Hétpecsét Információbiztonsági Egyesület

A fenyegető 8-as

a pörgőujjú kódzseniket nem kell elfelejteni, de a vállalkozások és magánemberek pénztárcáit érintően már nem ők generálják a legnagyobb kiberfenyegetéseket. Fussuk át gyorsan, hogy az idei DefCon (a las vegasi etikus "hacker" konferencia) egyes résztvevői szerint mi jelenti az átlagember és az átlagos vállalkozás számára a legnagyobb kiberbiztonsági kihívásokat.

Az alcím abból a tekintetből helytálló, hogy ma már kisebbségbe kerültek azok a hackerek, akik tényleges informatikai tudásukra támaszkodva követik el fehér/szürke/fekete zónába sorolható műveleteiket. Megjelent az átlagos IT ismeretekkel rendelkező, leginkább a "kémkedés és szabotázs" eszköztárába tartozó eljárásokkal és/vagy "dobozos" X-ware-ekkel (X= spy-, mal- stb.) operáló "talpas" kiberbűnözők hada. Ennek és az emberi lélek kiismerhetetlen tulajdonságainak köszönhetően, az alábbi fenegetésekkel kell szembenéznie nagytöbbségünknek mostanában.

1.) Az emberi természet
Szerintem, ez a kockázati tényező senkit nem lepett meg. Akár előre megfontolt szándékkal, akár csak hanyagság révén, de az ember jelenti a legnagyobb veszélyt egy informatikai rendszerre. Ha a vállalkozásokat nézzük, minden olyan személy (legyen az a cég alkalmazottja, vagy egy beszállító munkatársa) veszélyt jelenthet, aki hozzáfér az adott IT rendszerhez. Mégha a szándékosságot (jóindulatúan) figyelmen kívül hagyjuk, egy "véletlenül" magára hagyott PC/notebook/okostelefon; illetve a már "klasszikusnak" nevezhető könnyű/alapértelmezett jelszavak használata mind oda vezethet, hogy kényes információ juthat nem kívánt kezekbe. Nem is beszélve arról, hogy ezzel kaput nyílhatnak igen komoly támadások előtt.

Alapértelmezetten a bosszú a szándékos adatszerzés / szivárogtatás egyik fő motivátora. Az esetek többségében egy még jelenlegi, vagy már "ex" státusú munkatárs követi el a bűncselekményt, mellyel – érzete szerint – bosszút áll az őt ért vélt vagy valós igazságtalanságokért. A másik ősi indok a "könnyű" pénzszerzés vonzó lehetősége. Persze, ne hagyjuk figyelmen kívül a szimpla emberi khm… idiotizmust sem, amikor a "mert meg tudom tenni" protokoll indul be az elkövető agyában.

Egyre növekvő azon esetek száma, mikor nem is az érintett cég munkatársa a hunyó, hanem egy beszállító / szolgáltató szervezet munkatársának elméje áll át "zsivány-1" üzemmódba. Mintegy hónappal ezelőtt került a média főbb hírei közé (főként az USA-ban), hogy a Capital One Bank ügyfeleinek igencsak húsbavágó adatai kerülhettek nyilvánosságra. Az elkövető nem a Bank, hanem a Capital One felhőszolgáltatójának (Amazon Web Services) egykori munkatársa volt, aki egy hibás szerverbeállítást (amiről tudomása volt) használt ki. Mindenki szerencséjére igen botcsinálta bűnözőnek bizonyult, így különösebb károkozás nélkül zárult az ügy. Mármint, a bank ügyfelei szempontjából. A Capital One 100-150 MUSD mértékű extra költséggel néz szembe az ügy kapcsán.
Bár hasonló jellegű támadások fő célpontjai jellemzően a nagyobb cégek, de a milliónyi mikro webáruházak és "drop-shipping" (webes közvetítő kereskedelem) korában, a kisebb vállalkozások is veszélynek lehetnek kitéve. Természetesen, akadnak módszerek a megelőzésre és a megelőző felderítésre. A nagyobb cégek belső, vagy külsős kiberbiztonsági szakértőket foglalkoztatnak, akik (az általuk üzemeltett megoldások) folyamatosan ellenőrzik a cég szervereinek és weboldalainak naplófájljait, jelezve a nem oda illő eseményeket, de persze más kibervédelmi teendőket is ellátnak. Kisebb vállalkozások számára, első sorban weboldalaik védelme érdekében több cég kínál SaaS (Security-as-a-Service) megoldást. A hatékonyságukról nem nyilatkozhatom, mert személyesen nem teszteltem őket, de a legnagyobb SSL tanúsítvány kiállítói is köztük vannak, havi kb. 10e Ft költségtől induló tarifákkal, mely mégis olcsóbb, mint egy adatvédelmi bírság.

2.) Rosszindulatú szoftverek
Nem lehet kihagyni az ő megemlítésüket sem, tekintve, hogy már nem csak a profik használják, hanem –dobozos szoftver gyanánt – a műkedvelő amatőrök is. A kis huncutok komoly kihívás elé állítják a szakértőket, mivel egyes verzióik képesek álcázni, sőt átalakítani magukat, megnehezítve az ellenük való védekezést. Ide sorolhatók a legkülönbözőbb férgek, trójai- / letöltő- / zsarolóvírusok. Napjainkban talán a legismertebb nevek a témában: ZeuS, Gh0st, CoinMiner, WannaCry.

Az ellenük való védekezés sem lehetetlen, a módszerek és eszközök ismertek. Alapvető a megfelelő kibervédelmi (antivírus, spamszűrők, tartalom kontroll stb.) szoftverek alkalmazása szerveroldalon és a végpontokon. Az sem baj, ha nem minden munkatárs rendelkezik adminisztrátori jogosultságokkal. Itt is hangsúlyozni kell a munkavállalók folyamatos oktatását. Meg kell őket tanítani arra, miről ismerhetik fel a gyanús emaileket és weboldalakat.

3.) Adathalászat
Egyes felmérések szerint évente kb. 9.3Mrd USD az a kárösszeg, ami adathalászat számlájára írható. Ebből is látható, hogy ez nem is „piac”. Teljesen lényegtelen a cégméret, egyáltalán az, hogy cégről, egyéb szervezetről, esetleg magánszemélyről van szó. Lassan már kéthavonta határolódik el egy bank a nevében küldött adathalász emailektől, a NAV nevében is küldözgetnek adatkérő leveleket. Az utóbbiakban, az SZJA bevalláshoz közeledve még Ügyfélkapu belépési azonosítókat is kértek. Mindössze azért, hogy szűkebb pátriánknál maradjunk, egy telepítő kollégát találtak meg néhány hónapja „trükkös” emberek, akik azzal a sztorival hívták fel, hogy folyton riaszt a riasztó, le kellene állítaniuk, de ehhez kell a telepítőkód. Természetesen, az adott címen ő telepített és természetesen semmilyen kódot nem adott ki, ellenben a rendőrséget értesítette. Minden esetre a történet megmutatja, hogy némi munkát is fektettek a „projektbe” a reménybeli elkövetők, hiszen megtudták, hogy ki telepített, valamint az illetékes elérhetőségét is, majd így próbáltak meg adatot szerezni. Ez utóbbi, bizonyos megközelítésből a spear phishing tipikus esete, amikor nem nagyot merítenek és sokezer embernek küldenek pl. emailt, hanem egy adott személyt pórbálnak behálózni. Igen, az alap adathalászat szakirodalmi neve a phishing, és ebből is már számos változat létezik. Az adathalászat gyakran vegyül pszichológiai manipulációval (social engineering), melynek célja, hogy elaltassa a manipulálás tárgyának éberségét, olyasmire vegye rá, mely egyébként érdekei ellen való. A DefConon az egyik etikus hacker bemutatta, hogy egy személy telefonszámának (és egyéb azonosítói, valamint élettársa nevének) ismeretében, némi gyermeksírást háttérként felhasználva, miként zárja ki az őt kérdező riportert saját számlájáról. Természetesen, a telefonszám „klónozása” már igényel némi eszközismeretet, viszont egy weboldal design, pláne egy email sablon lemásolása, egy megtévesztő URL létrehozása (pl.: otpbank.hu / otqbank.eu) alig igényel mélyebb ismereteket. Nagyon észnél kell lennie egy profibb támadás célpontjának, hogy még időben felismerje a próbálkozást.
Az adathalászattal az a probléma, hogy az egyszerűbb verziói viszonylag egyszerűen felismerhetők. Viszont a gondosan előkészített akciók, pláne a pszichológiai manipulációval vegyítettek már okozhatnak gondot. Vállalkozások szemszögéből a leghatékonyabb megelőző taktika a munkatársak folyamatos oktatása, felkészítése ezekre a szituációkra, beleértve a szimulációs támadásokat. Úgy szervezeteknél, mint magánszemélyeknél segítség lehet egy hatékony spamszűrő alkalmazása, továbbá a kétlépcsős azonosítási eljárások alkalmazása.

4.) Klónok
A fogalom alatt (formjacking) pontosan a fentebb már említett metódus értendő, amikor egy email, illetve weboldal, főként webáruházak formavilágát alakítják ki a bűnözők egy többé-kevésbé hasonló URL-en. Sok esetben nem a teljes weboldalt, csak pl. a fizetési felületet alakítják ki, és az eredeti weboldal sérülékenységét kihasználva, pl. saját JavaScriptek beinjektálásával „dobják át” a vásárlót saját felületükre. Leginkább webáruházak és vásárlóik esnek áldozatul ennek a bűncselekménynek, hiszen a megrendelt termék soha nem fog megérkezni. Különösen az ún. „Fekete Péntek” kiváló vadászidény a formjackereknek, hiszen ilyenkor kevésbő feltűnő, hogy egy adott termék irreálisan alacsony áron jelenik meg az „ismert” webáruház kínálatában. Természetesen, nem csak pénzhez jutnak így a bűnözők, hanem személyes és bankkártya adatokhoz is. A közelmúlt legismertebb példáját a British Airways példája szolgáltatta, amikor is 380 000 bankkártya adatait szerezték meg az elkövetők, 17M USD-nyi veszteséget okozva. Persze ez a szám eltörpül az adatvédelmi bírság kb. 200M USD összege mellett, melyet a BA lesz kénytelen kifizetni.

5.) Kezeletlen „sebek”
Valahogy ez is részben visszavezethető az első ponthoz. Kevés szoftver akad hiba nélkül. Ezeket előbb-utóbb felfedezik a fejlesztők és ún. patcheket bocsátanak ki, melyek orvosolják a problémát. Az emberi természet már csak olyan, amilyen. Ha túl sokszor kell „foltozni” (patch) egy IT rendszer összetevőit, belép a hozzászokás effektus és egy-egy fontos „tapasz” telepítése kimarad. Nem olyan nagy baj, igaz?! Azt kell, mondanom, hogy hatalmas probléma. Ezek a hiányosságok a zsarolóvírusok (pl. WannaCry) boldog vadászmezői. Favágó munka, unalmas, de kötelező, ha nem szeretne valaki igen sokat fizetni. Természetesen nem a zsarolóknak, hanem az új informatikai eszközei beszállítójának.

6.) Elavult hardver és szoftver
Minden patch frissítés, de nem minden frissítés patch. Amennyiben átfogóbb, strukturális átalakítások kerülnek kibocsátásra, az már több, mint egy kis foltozás, inkább „ráncfelvarrásnak” nevezhetjük. A szoftverek esetében remélem egyértelmű, miért fontosak a frissítések. Az átlag felhasználó még ezzel akár tisztában is lehet, de azt már nem tudja, hogy a hardver elemek is rendelkezhetnek frissítésre szoruló „szoftverrel”, igen a firmwarekről beszélek. A biztonságtechnikában főként ez utóbbiak rendszeres frissítése kellene, hogy a végfelhasználók figyelmét felkeltse. Ám, mint említettem, emberek vagyunk. Nem várhatjuk el, hogy azok, akik az alapértelmezett felhasználónév/jelszó párost sem módosítják, a firmware frissítés részleteivel bajlódjanak. Vagy mégis…?

7.) Internet of (biztonságtalan) Things
Jövőre több mint 20Mrd IoT eszközzel leszünk „gazdagabbak” úgy, hogy ezen termékek biztonsági kihívásaival alig törődnek. Egy Brit bankot saját IP CCTV kamerán keresztül támadtak be, IoT eszközök hatalmas botnet hálózatokat alakítanak ki, melyek segítségével egyre masszívabb DDoS támadásokat generálnak. Akkor még nem is beszéltem a közelgő 5G korszak kérdésre gyakorolt hatásáról. Értsd: minőségileg több IoT eszköz kapcsolódhat egyetlen adótoronyhoz. Nincs kábelezés, így a telepítés is könnyebb, a felhasználásuk is egyszerűbb, valószínűsíthető az IoT eszközök számának robbanásszerű növekedése. Mindezt úgy, hogy még mindig alig foglalkozunk a biztonságuk kérdésével. A probléma megoldása rendszerszintű gondolkodást kíván. Nem csak egyetlen eszközt, de a teljes érintett infrastruktúra sérülékenységét meg kell vizsgálni és a gyenge pontokat meg kell erősíteni. Külön figyelmet fordítva a adatforgalmazásuk hitelesítésére.

8.) Közbeékelődéses támadás
A szakemberek kiemelten erre hivatkozva óvnak a publikus WiFi hálózatok használatától. Tudniillik, kiválóan alkalmasak arra, hogy nem kívánatos harmadik fél megcsapolja adatkommunikációnkat és hozzájusson személyes adatainkhoz. A publikus hálózatok mellett, már komolyabb tudást igénylően, egyes bűnözők komplett WiFi hálózatok jellemzőit másolják le és terelik át a forgalmat saját hálózataikra, töméntelen mennyiségű információhoz jutva ez által.

Zárszó
Elcsépelt közhely, hogy az Internet korát éljük. Ennek ellenére még mindig úgy viselkedünk, mintha a boldog 90-es évek elején járnánk. Sajnos, avagy sem, a világ nem lett egyszerűbb, különösen, ha a biztonság kerül vizsgálódásaink fókuszába. Mindazonáltal érdemes felfigyelni arra, hogy a még a kibertérből érkező fenyegetések zöme is megelőzhető lenne a jó öreg emberi józan ész, jószándék és odafigyelés hármasának leporolásával.

Szerző: O.V.SZ.
Forrás: Fusion.net

https://www.securifocus.com/portal.php?pagename=hir_reszlet&hir_id=7457&hirlevel_id=3472

Megtekintés: 13