Artykuły dotyczące tematu: cyberprzestępczość

dodany: 04.07.2013 | tagi: , , ,

Wiele imion tożsamości – czemu ma służyć przywłaszczanie obcych personaliów?

86

Naturalną potrzebą człowieka jest poczucie przynależności oraz identyfikacji. Każdy z nas powinien być świadom tego, kim jest i w jakim kręgu się obraca. W cyberprzestrzeni kreujemy tożsamość internetową. Czy do tego stopnia nie akceptujemy siebie samych, że musimy podszywać się pod innych? A być może za tym działaniem stoją zupełnie inne powody?

Nie chcę być no-name

Imię, nazwisko, adres zamieszkania, nr telefonu – własne dane osobowe jesteśmy w stanie podać bez chwili zawahania o każdej porze dnia i nocy. Człowiek utożsamia się z miejscem, płcią, zawodem czy kulturą i środowiskiem, w którym żyje. Umiejscawia się w pewnym obszarze rzeczywistości, do której przynależy. Rozmaite cechy osobowości, zainteresowania czy odróżniająca nas od innych fizyczność określa nas samych, definiuje indywidualność.

Przekraczając próg internetowych bram, logujemy się na witryny, portale, fora i blogi. Bez zastanowienia wklepujemy prawdziwe informacje. Dopisujemy się do pewnej grupy, współtworzymy ją. Tym samym wyrażamy zgodę na publiczne funkcjonowanie w sieci. Kreujemy naszą tożsamość internetową, przybierając różnego rodzaju maski.  

Profilowi złodzieje

Weryfikacja prawdziwości udostępnianych danych jest bardzo trudna. Dlatego też każdy może stworzyć fikcyjne konto w sieci. Profil osoby, która nie istnieje w rzeczywistości nie jest żadnym problemem. Uruchomienie strony i korzystanie z niej pod czyimś nazwiskiem – jest już karalne! Wraz z rozwojem Internetu, coraz bardziej powszechne staje się zjawisko phishingu.

Kradzież tożsamości w świecie wirtualnym to pierwszy krok do cyberprzestępczości. Użytkownicy Internetu zakładają nieswoje konta mailowe czy profile na portalach społecznościowych. Czasem to zachowanie przybiera silniejszy i bardziej wyrazisty charakter. Skradzione dane wykorzystywane są również do podrabiania dokumentów, dokonywania zakupów w sklepach elektronicznych oraz otwierania fałszywych kont bankowych. Informacje można pozyskać m.in. poprzez specjalne programy komputerowe lub niepozornie, wyłudzając je bezpośrednio od ofiary. Jest to najgroźniejsza forma przemocy, ponieważ godzi bezpośrednio w społeczny wizerunek użytkownika Internetu.

Prawo po stronie internauty

Wykorzystywanie wizerunku czy danych innej osoby w celu wyrządzenia szkody majątkowej lub osobistej podlega przepisom prawnym. Od 2011 roku uregulowane jest w Kodeksie karnym. Poszkodowany sam musi zadbać o ochronę własnego mienia, składając odpowiedni wniosek do prokuratury. W tym momencie poszczególne organy ścigania będą mogły podjąć konkretne działania.

Z pozoru błaha aktywność

Nieświadomość i bezrefleksyjność internautów często jest przyczyną stawania się ofiarą cyberprzestępczości. Dokładny opis posiadanego sprzętu, szczegółowe zdjęcia domu, które udostępniamy przypadkowo na portalach – mogą stanowić nęcący wabik i zaproszenie dla potencjalnego złodzieja. Zwyczajnie niezabezpieczony hasłem komputer to doskonałe źródło informacji. Wystarczy spuścić go na chwilę z oka, a dane mogą dostać się w niepowołane ręce. Nigdy nie wiemy na jaki użytek zostaną przeznaczone!

dodany: 11.06.2013 | tagi: , , , , , ,

Phishing – jak oni to robią? Przeczytaj, żeby wiedzieć jak się bronić

6

Pewnie wielu z was zastanawiało się, jak wyglądają ataki phishingowe. Ostatnio opisywaliśmy, jak wygląda ten proces od strony ofiary (zobacz artykuł: Anatomia phishingu) – dzisiaj przyjrzymy się drugiej stronie medalu, a więc temu, jakie narzędzia i sposoby są najczęściej wykorzystywane przez cyberprzestępców.

W sieci natknęliśmy się na materiał, będący swego rodzaju przewodnikiem dla phisherów. Postanowiliśmy przetłumaczyć dla Was obszerne fragmenty, ponieważ wiedząc, jak działają phisherzy, można skuteczniej bronić się przed ich szkodliwą działalnością. Nasz materiał ma na celu przede wszystkim pokazanie, jak można się chronić oraz na co należy zwrócić uwagę podczas wdrażania polityki zabezpieczeń.

Ataki poprzez e-mail za każdym razem muszą przyciągnąć uwagę i być unikalne. Proces tworzenia zakończonej sukcesem e-mailowej kampanii phishingowej jest bardzo metodyczny i zdecydowaną większość czasu, uwagi i pracy przestępca poświęca etapowi planowania.

Dobry poziom bezpieczeństwa oznacza zabezpieczania wielopoziomowe i wiele z tych poziomów może potencjalnie zniszczyć próbę phishingu. Niektóre z możliwych przeszkód dla przestępcy, to między innymi – wszelkie filtry antyspamowe (np. Email Gateway Spam Filter, Outlook „Junk E-mail” Filter), antywirusy, systemy zapobiegające wtargnięciom (z ang. Intrusion Prevention Systems), serwery Web Proxy i tak dalej. Jednak przestępcom udaje się pokonywać postawione im przeszkody. Przyjrzymy się kilku najbardziej powszechnym systemom bezpieczeństwa, żeby zobaczyć, jak phisher może omijać ich zabezpieczenia.

Zdobywanie adresów e-mail

Jedną z pierwszych rzeczy, jaką atakujący musi zrobić w każdej kampanii phishingowej, jest pozyskanie adresów e-mail. Jednak nie może wysyłać wiadomości, jeśli nie wie, gdzie ma je wysłać.

Uwaga: I tutaj z pomocą dla phishera przychodzi np. Jigsaw, który w prosty i szybki sposób znajduje odpowiednie adresy. Obecnie ma on nawet wsparcie baz danych i może wygenerować plik CSV z danymi. Doskonale działa po założeniu darmowego konta na jigsaw.com i podaniu swoich danych jako argumenty w linii poleceń.

01

W inny sposób można zrobić to samo za pomocą theHarvester. Mały skrypt napisany w pythonie, który jest częścią dystrybucji BackTrack 5. Skrypt ma możliwość przeszukiwania różnych wyszukiwarek do szybkiego pozyskiwania adresów.

02

Omijanie antywirusów

Nie będziemy opisywać zbyt obszernie, jak cyberprzestępca może ominąć zabezpieczenia programu antywirusowego, ponieważ temat ten poruszany jest przez wiele blogów, kanałów IRC, filmików na YouTube i wszystkie inne możliwe kanały komunikacji. Jeśli chcesz dowiedzieć się więcej na ten temat, warto rzucić okiem np. na wiki Metasploita, w którym wszystko jest wytłumaczone w przyjazny sposób.

Uwaga: Internet dostarcza cyberprzestępcom ogromnej wiedzy. Łatwo można znaleźć chociażby kilka artykułów opisujących, jak użyć cache DNS w celu wykrycia używanego antywirusa przez upatrzony cel (czyli ofiarę).

Cyberprzestępcy nie skąpią także czasu na instalację antywirusa w maszynie wirtualnej przed wysyłaniem swoich wiadomości. Często są to dokładnie odwzorowane kopie systemu, który chcą atakować. Jednak nie zawsze jest to możliwe, ale z pewnością testują wszystkie najpopularniejsze i darmowe antywirusy, takie jak Microsoft Security Essentials, AVG, Comodo itd. Tym samym sprawdzają, czy uda im się przejść obok zabezpieczeń oprogramowania antywirusowego potencjalnej ofiary.

Większość kompresorów jest oznaczana przez programy zabezpieczające, ale niektóre zabezpieczenia plików przechodzą bez problemu przez większość silników skanowania.

Uwaga: Cyberprzestępcy chcąc dodatkowo umocnić swój złośliwy program, kupują często poprawny certyfikat i podpisują nim plik, by w ten sposób dla ofiar program wyglądał wiarygodnie!

Wyjście poza filtry

Tutaj phisherzy mają dwie możliwości. Mogą użyć odwrotnego https, które jest świadomym proxy albo reverse_tcp_all_ports. Ten drugi to moduł, który implementuje odwrócony sterownik TCP. Sterownik nasłuchuje na jednym porcie TCP i system operacyjny przekierowuje wszystkie przychodzące połączenia na wszystkich portach do tego nasłuchiwanego. Do poprawnego działania wymaga to iptables albo innego filtra pakietów. Przykładowo taka komenda na systemie bazującym na Linuksie przekierowuje cały ruch na port 443/tcp:

Uwaga: Ważną sztuczką jest możliwość przeniesienia ssh na port 65535 w celu zdalnego logowania na maszynie nie przeszkadzając w kampanii phishingowej.

iptables -t nat -A PREROUTING -p tcp –dport 1:65534 -j REDIRECT –to-ports 443

reverse_https ustala połączenie za pomocą szyfrowanego tunelu, co powoduje trudności dla systemów zapobiegających włamaniom. Systemy nie mogą wykryć podejrzanego ruchu wewnątrz szyfrowanego tunelu.

Większość osób odpowiedzialnych za ataki phishingowe wybiera reverse_https, które łączy się do LHOST=X.X.X.X i LPORT=433. Prawie wszystkie korporacje zezwalają na przeglądanie Internetu, więc ten wybór wygląda dla nich jak zwykły ruch HTTPS.

Scenariusz ataku

Z poprzedniego artykułu wiemy, że użytkownicy, niestety, klikają w podejrzane i fałszywe linki. Wygląda na to, że nie ma znaczenia, jak bardzo dobre treningi uświadamiające prowadzone są w firmie – zawsze znajdzie się ktoś, kto kliknie w spreparowany adres.

Jednym z ciekawszych (ze strony atakującego) scenariuszy jest dostarczenie wiadomości e-mail wyglądającej na wysłaną przez wewnętrzną firmę IT, zawierającej informacje, iż „nowa krytyczna łatka została wydana i każdy musi zainstalować aktualizację”. Wtedy atakujący wysyła link do strony wyglądającej podobnie, jak na zrzucie ekranu niżej.

03

Uwaga: Atakującemu wystarczy sklonowanie strony i uruchomienie jej na swoim serwerze. Phisherzy używają do tego prostych narzędzi, np. SET (z ang. Social Engineer Toolkit), by strona znalazła się w set/src/program_junk.

Serwery Web Proxy

Wiele korporacji uruchamia serwery Web Proxy, które blokują końcowym użytkownikom odwiedzanie niektórych stron internetowych. Niektóre serwery mają wbudowane skanery antywirusowe, które wykrywają czy istnieje jakiś podejrzany ruch na interfejsie sieciowym. Niektóre firmy blokują nawet ściąganie jakichkolwiek plików wykonywalnych. Można się zastanawiać, jak phisher ma dostarczyć swój program do użytkownika końcowego, kiedy nie może on ściągać żadnych plików wykonywalnych? I tutaj należy zwrócić uwagę na zagrożenia!

Uwaga: W tym momencie atakujący może wykorzystać poprawny certyfikat SSL, jeśli zainwestował wcześniej w jego zakup. W ten sposób, podczas połączenia ze spreparowaną stroną, zostaje nawiązany tunel SSL. Zaszyfrowany tunel zdecydowanie utrudnia pracę serwerowi Proxy, tak że nie zauważy on, czy ruch nie jest przypadkiem podejrzany. Skoro serwer nie jest w stanie tego wykryć, nie zauważy też, że użytkownik ściąga plik wykonywalny – dla Proxy będzie to niewidzialne.

Wysyłanie e-maili

Kiedy przychodzi czas wysyłania wiadomości, phisher ma kilka różnych możliwości. Po pierwsze może wybrać E-mail spoofing (podszyć się pod istniejący adres, np. osoby znanej, wiarygodnej) albo kupić przekonującą domenę. Na potrzeby tego artykułu skupimy się na wysyłaniu e-maili z zakupionej domeny.

Wiele bramek e-mail (ang. email gateways) sprawdza odwrotne DNS domeny, z której otrzymuje wiadomość. Jeżeli domena nie ma przypisanego rekordu MX wiele bramek odrzuci takiego e-maila i wtedy kampania phishingowa nie odniesie żadnego skutku.

Uwaga: Przestępcy potrafią bronić się przed tymi zabezpieczeniami przez automatyczne ustawianie rekordów MX, bez zmartwienia ustawieniami DNS w sposób poprawny.

06

Innym sposobem obrony wykorzystywanym przez atakujących jest wykonanie whois na domenie wysyłającego przez serwer SMTP – tylko po to, by upewnić się, że wszystko wygląda normalnie. Atakujący może przezwyciężyć ten mechanizm sprawdzając whois domeny, którą zamierza udawać i uzupełnić w panelu takimi samymi danymi.

07

Uwaga: Phisherzy mogą posługiwać się rozmaitymi skryptami, np. pobierającymi listę adresów i wiadomość, którą wysyłają do wszystkich oraz dodającymi do linku zakodowany w base64 adres e-mail odbiorcy. Dzięki temu mogą sprawdzać, kto wszedł na ich fałszywą stronę.

Przykładowy link z base64: http://example.com/index.php?dXNlckBleGFtcGxlLmNvbQ==

Niżej wynik działania skryptu wysyłającego wiadomość do dwóch użytkowników.

08

Wiedząc jak działają phisherzy, można skuteczniej bronić się przed ich działalnością. Warto uświadomić sobie, że przestępcy potrafią obejść zabezpieczenia, które mogłoby się wydawać, że są nie do przejścia. Mamy nadzieję, że nasz materiał pomoże zarówno administratorom, jak i zwykłym chronić siebie i swoje komputery przed phishingiem.

 

Źródło: pentestgeek.com/2013/01/30/how-do-i-phish-advanced-email-phishing-tactics

dodany: 15.05.2013 | tagi: , ,

7 wyroków za ataki internetowe

0

W kwietniu odnotowano wzrost liczby aresztowań cyberprzestępców – większość przypadków była bezpośrednio związana z kradzieżą pieniędzy. Co ciekawe, przestępcy wolą okradać na mniejsze sumy setki posiadaczy kart kredytowych niż iść na całość i wykonać jeden duży skok. W ten sposób mają nadzieję na uniknięcie kary, jako że w każdym jednostkowym przypadku szkoda jest stosunkowo niewielka i często trudna do wykrycia. Czy ta taktyka się sprawdza? Eksperci z Kaspersky Lab przygotowali zestawienie siedmiu wyroków za cyberprzestępstwa.

Piraci XXI wieku

Chociaż filmy kreują piratów na romantycznych bohaterów, trzeba pamiętać, że ich sposobem wzbogacenia się jest kradzież i do dzisiaj niewiele zmieniło się pod tym względem. W Szwecji w stan oskarżenia postawiono współzałożyciela Pirate Bay, popularnego portalu torrentowego. Zarzuty, jakie tym razem usłyszał Gottfrid Svartholm Warg, nie dotyczyły naruszenia praw autorskich, ale przeprowadzenia ataku hakerskiego na komputery IBM typu mainframe. Jeden z nich należał do Logica Co., firmy zajmującej się doradztwem w zakresie rozliczania podatków, świadczącej usługi szwedzkiemu rządowi, a inny do banku Nordea. Prokurator Henrik Olin określił ten incydent jako największy atak hakerski w historii Szwecji. W tym przypadku zyski cyberprzestępców były raczej skromne – na wszystkie transakcje o wartości ponad 900 000 dolarów powiodła się tylko jedna, na kwotę 4 300 dolarów. Mimo to z firmy Logica skradziono mnóstwo danych osobowych, łącznie z numerami ubezpieczenia i informacjami dotyczącymi samochodów. Jak dotąd nie wiadomo, w jaki sposób przestępcy zamierzali wykorzystać te informacje, zawsze jednak istnieje na nie duży popyt na czarnym rynku.

Co ciekawe, Svartholm Warg został wcześniej skazany w związku z serwisem Pirate Bay i uciekł do Kambodży w celu uniknięcia odpowiedzialności karnej. We wrześniu 2012 roku został aresztowany i deportowany do Szwecji. W miarę postępowania śledztwa lista zarzutów wobec niego zwiększa się.

 

Miliony kart kredytowych

W Waszyngtonie swój finał znalazła sprawa przeciwko niesławnemu carderowi. 30-letni Władysław Korokorin został skazany na 7 lat i cztery miesiące pozbawienia wolności za kradzież i odsprzedanie numerów kart kredytowych. Według amerykańskiego departamentu sprawiedliwości ukradł on miliony kart kredytowych. Oprócz odsprzedania tych danych innym przestępcom Korokorin, który posiada obywatelstwo rosyjskie, ukraińskie i izraelskie, wykorzystywał również skradzione karty osobiście. W jednym ataku ukradł ponad 120 000 dolarów z bankomatów zlokalizowanych w Moskwie, wykorzystując fałszywe kopie kart kredytowych. Długo ścigany przez władze amerykańskie, Korokorin ukrywał się w Moskwie. W 2010 roku wybrał się na wycieczkę do Monako i został zatrzymany na lotnisku w Nicei. Przebywając we francuskim więzieniu, Korokorin aktywnie opierał się ekstradycji do Stanów Zjednoczonych, sprzedając wartą około 5 milionów dolarów posiadłość w celu opłacenia kosztów usług prawnych. Na nic się to jednak nie zdało, bo w końcu i tak trafił do więzienia.

 

„Sprytny” student

Niestety przestępczość wśród studentów również nie jest niczym nowym dla policji. W Akademgorodoku, rosyjskim miasteczku uniwersyteckim będącym dzielnicą Nowosybirska, 22-letni student został zatrzymany pod zarzutem zakupienia danych dotyczących sześciu kart kredytowych, tworzenia ich kopii oraz wykorzystywania ich do robienia zakupów. Rzekomo wydał 50 000 rubli (około 1 600 dolarów) skradzionych z kont bankowych innych osób, zanim zagraniczny bank zablokował kartę. Przestępstwo to niczym nie wyróżnia się pod względem skali, inwencji czy zastosowanych technologii, mimo to student może dostać za nie wyrok 10 lat pozbawienia wolności. Z drugiej strony, rosyjskie sądy często wydają wyroki w zawieszeniu za tego rodzaju przestępstwa – kolejny powód, dla którego cyberprzestępcy robią wszystko, aby pozostać w tym kraju.

 

Niefrasobliwość w kwestii przechowywania danych może kosztować Cię miliony

W Sewastopolu aresztowano hakera, który rzekomo ukradł organizacji charytatywnej milion hrywien (około 250 000 dolarów). Infekując komputer księgowego szkodliwym oprogramowaniem, przestępca ten uzyskał zdalny dostęp do systemu i odkrył, że mimo standardowych instrukcji bankowych hasło dostępu do internetowego konta bankowego oraz jego klucze były przechowywane w publicznie dostępnych plikach. Tym samym, miał wszystko, czego potrzebował, aby dokonać kradzieży. Ukraińska policja niezwłocznie zablokowała konto i zwróciła pieniądze, a przestępcy grozi teraz do 5 lat pozbawienia wolności zgodnie z prawem ukraińskim.

Niestety taki brak rozwagi nie jest rzadkością, warto więc po raz kolejny zastanowić się nad koniecznością właściwego przechowywania haseł i wykorzystywania wszechstronnej ochrony przed szkodliwym oprogramowaniem.

 

Bezpieczeństwo to nie żarty

Wciąż toczy się proces członków grupy hakerskiej LulzSec, zamieszanej w ataki na sieć PlayStation Network oraz inne zasoby firmy Sony. Na skutek tego incydentu około 100 milionów graczy utraciło w wyniku kradzieży swoje informacje osobiste, a firma Sony była zmuszona na miesiąc zawiesić swoją sieć.

Jeden z oskarżonych, 25-letni Cody Andrew Kretzinger, został skazany za udział w przeprowadzonym na mniejszą skalę ataku na Sony Pictures. Jego kara obejmowała rok aresztu domowego, 100 godzin służby społecznej oraz grzywnę w wysokości ponad 600 000 dolarów. Współoskarżony Rinaldo Riveire będzie miał rozprawę w maju i grozi mu do 15 lat pozbawienia wolności.

 

Białoruski ZeuS

Mimo że wielokomponentowy szkodnik o nazwie ZeuS, stworzony w celu kradzieży danych umożliwiających dostęp do serwisów bankowości online, stopniowo wychodzi z mody wśród cyberprzestępców, lista przestępstw dokonanych przy jego użyciu zapewni sądom zajęcie jeszcze przez jakiś czas. W Białorusi do prokuratury skierowano sprawę, po tym jak mieszkaniec Mińska został oskarżony o wykorzystanie tego trojana do kradzieży danych bankowych od obywateli Francji, Włoch oraz Europy Wschodniej, a następnie wyczyszczenie ich kont bankowych. Jak wykazało śledztwo, ukradł on w sumie 20 tysięcy euro. Sprawa zostanie zbadana przez sąd, oskarżony przebywa w areszcie, a jego majątek został skonfiskowany.

 

Socjotechnik

Przydatna cyberprzestępcom funkcja ZeuSa – możliwość kradzieży nie tylko haseł do komputerów, ale również jednorazowych kodów SMS-owych – jest dość skomplikowana do wdrożenia, a jej wykorzystywanie nie gwarantuje powodzenia. Z tego powodu rosyjski cyberprzestępca z miasta Togliatti zaczął stosować bardziej złożone oszustwo. Wykorzystanie trojana Carberp umożliwiło mu ingerencję w procesy logowania się do systemów bankowości online czołowych banków rosyjskich w celu przechwycenia numerów telefonu ofiar, ich loginów i haseł. Następnie zdołał uzyskać kopię kart SIM swoich ofiar od operatora telefonii komórkowej i stworzyć potwierdzenia SMS-owe z banku. Chociaż oszust zdobył dane dotyczące 5 000 osób, liczba skutecznych prób kradzieży gotówki była raczej niewielka. W toku śledztwa nie ujawniono skali rzeczywistych strat, jednak inne źródła podają, że mogą one wynosić nawet do 1 miliarda rubli (34 miliony dolarów).

Naturalnie, aby możliwe było dokonanie wszystkich tych aresztowań, niezbędne jest przeprowadzenie złożonego dochodzenia, łącznie z analizą szkodliwego oprogramowania, przeszukaniem i neutralizacją serwerów i – co najważniejsze – odnalezieniem samych przestępców, którzy starają się działać z dala od miejsca, w którym mieszkają. Na szczęście, nowy poziom współpracy międzynarodowej umożliwia ukaranie przestępców nawet w takich złożonych sprawach.

Źródło: Kaspersky Lab

dodany: 27.04.2013 | tagi: , ,

Brian Krebs dostaje wiadomości od Redkita

0

Brian Krebs to jeden z najpopularniejszych blogerów zajmujących się bezpieczeństwem. Poza byciem popularnym, Krebs pomaga w rozbrajaniu botnetów i psuje szyki niejednemu cyberkryminaliście na świecie. Sprawia to, że ilość jego wrogów jest wprost proporcjonalna do ilości osób, które go lubią i są mu przychylne.

To, jak bardzo Krebs jest nielubiany pokazuje zdarzenie z ubiegłego miesiąca: ci nieprzychylni działalności Krebsa zaatakowali jego blog DDoS-em i wysłali SWAT pod jego dom.

Tym razem obyło się bez broni.  Researcher SophosLabs, Fraser Howard badając najnowszy zestaw exploitów RedKit odkrył wiadomość, której odbiorcą jest właśnie Krebs.

brian-krebs-message

Szkoda tylko, że osoba stojąca za wiadomością nie poświęciła chwili i nie sprawdziła, jak Krebs ma dokładnie na nazwisko, już o niepoprawnej gramatyce nie wspominając.

Ale przecież nie o to tu chodzi! Chodzi o to, że nowy zestaw exploitów powstał przez Krebsa. To on jest winien i to on powinien czuć się odpowiedzialny.

Sam zestaw exploitów Redkit jest wykrywany jako Troj/ExpJS-II  i wykorzystuje luki w Javie (CVE=2012-4681).

Pamiętajcie, jeśli coś wam się stanie – its Crebs fault!

dodany: 08.04.2013 | tagi: , ,

Metody wywiadowcze skuteczną bronią w walce z cyberzagrożeniami

0

Ponad 80 proc. zagrożeń w Internecie nosi znamiona działań o charakterze zorganizowanym. Tymczasem ani prawo, ani narzędzia dotychczas wykorzystywane przez firmy w walce z cyberprzestępczością nie nadążają za nowymi sposobami ataków. Autorzy raportu „Cyberodporność w świecie ewoluujących zagrożeń” przygotowanego przez firmę doradczą Deloitte zwracają uwagę, że każda polska firma oraz organizacja musi zakładać, że jest potencjalnym obiektem ataku w sieci. Tylko działania prewencyjne mogą skutecznie przygotować ją na takie zagrożenie.

 

Dynamiczne zmiany technologiczne poza wieloma zaletami niosą za sobą także wiele zagrożeń. Zorganizowane grupy przestępcze zachęcone pozorną anonimowością w sieci, nieskutecznością działań organów ścigania oraz łatwością uzyskania korzyści finansowych, atakują organizacje rządowe i firmy na całym świecie. Wbrew pozorom nie jest to tylko problem amerykańskich gigantów czy tamtejszej administracji publicznej. W erze globalizacji granice pomiędzy poszczególnymi krajami zacierają się, a Polska i polskie firmy są członkami licznych organizacji o zasięgu międzynarodowym.

Tymczasem w ostatnich latach nastąpił gwałtowny proces profesjonalizacji grup przestępczych działających w cyberprzestrzeni. Obecnie cyberprzestępczość jest kolejną generacją rozwoju zorganizowanych grup przestępczych i potencjalnie może okazać się realnym następcą choćby mafii narkotykowej, a przez to atrakcyjną alternatywą dla tradycyjnych źródeł działań przestępców.

Atrakcyjność cyberrzeczywistości, jako platformy przeznaczonej do nielegalnych działań, wynika z kilku czynników. Przestępcy mogą liczyć na brak gotowości organów ścigania i wymiaru sprawiedliwości do sprawnego reagowania, a co za tym idzie do ograniczonego ryzyka sankcji. Zachęcającym czynnikiem jest także fakt, że koszt rozpoczęcia działań przestępczych w sieci jest mniejszy niż w wypadku tradycyjnych metod działania przestępczości zorganizowanej. Istotnym czynnikiem wpływającym na atrakcyjność cyberprzestęczości jest również ograniczona konkurencja, która w tradycyjnie pojmowanych obszarach działań przestępców jest znaczna. To wszystko sprawia, że rynek handlu informacjami rośnie w ogromnym tempie

– tłumaczy Jakub Bojanowski, Partner w Dziale Zarządzania Ryzykiem Deloitte.

Działalność przestępców to jednak tylko jedno z wielu źródeł współczesnych zagrożeń dla organizacji działających w cyberrzeczywistości. Organizacje uczestniczące w globalnym badaniu Deloitte TMT Security Survey 2013 (z ang. 2013 TMT Global Security Study: Blurring the lines) wskazały, że dostrzegają istotne zagrożenia związane:

  • z ilością oraz rodzajem danych przekazywanych stronom trzecim (78 proc. respondentów),
  • coraz szerszym wykorzystaniem urządzeń mobilnych (74 proc.) oraz
  • brakiem odpowiedniej świadomości wśród użytkowników (70 proc.).

Powoduje to sytuację, w której organizacje stoją przed wyzwaniami związanymi z cyberprzestępczością z jednej strony, a trendami w dziedzinie wykorzystania technologii z drugiej.

 

Potrzeba nowego podejścia

Skuteczna odpowiedź na nowe lub rozwijające się zagrożenia związane z działaniem w cyberrzeczywistości wymaga zastosowania nowego podejścia. Stosowana od lat ochrona polegająca na wykrywaniu i neutralizowaniu cyberzagrożeń oraz doskonaleniu procesów ochrony w oparciu o wnioski wynikłe z analizy zdarzeń, przestała być skuteczna. Skala potencjalnych strat w organizacjach silnie uzależnionych od technologii może być tak znaczna, że nie będą one miały szans na naukę – przestaną istnieć w wyniku skutecznego cyberataku. 

W obliczu zagrożeń typu APT – Advanced Persistent Threats („zaawansowane, ciągłe zagrożenia”) najważniejszym czynnikiem, który minimalizuje skutki ataku, jest natychmiastowa reakcja. Tradycyjne metody oparte na kontroli dostępu okazują się nieadekwatne do stopnia złożoności i szkodliwości aktualnych zagrożeń

– wyjaśnia Cezary Piekarski, Starszy Menedżer w Dziale Zarządzania Ryzykiem Deloitte.

 

Zdaniem ekspertów Deloitte w takich przypadkach dobrym pomysłem jest ciągła analiza zachowań infrastruktury informatycznej oraz informacji pochodzących z zewnątrz organizacji (z ang. threat intelligence).

Mechanizmy obrony muszą mieć charakter wyprzedzający i działać niczym sprawny wywiad, który dostarcza informacji na czas. W gotowości powinny czekać narzędzia do zbierania materiału (mogącego stanowić dowód w postępowaniu), środki komunikacji wewnętrznej i zewnętrznej firmy oraz grupa ekspertów, która niezwłocznie podejmie działania eliminujące słabości wykorzystane przez atakujących oraz ograniczy wpływ zagrożenia

– tłumaczy Cezary Piekarski.

 

Tymczasem mimo rosnącej skali zagrożeń budżety przeznaczane przez organizacje na ochronę kluczowych informacji oraz obronę przed cyberzagrożeniami pozostają niemal bez zmian na przestrzeni ostatnich trzech lat. Wynika to przede wszystkim z trwającego kryzysu ekonomicznego i konieczności redukcji kosztów. Jest jednak szansa na zmianę postrzegania wydatków na ochronę informacji jako zbędnego balastu w budżecie. Blisko połowa firm z sektora bankowego i technologicznego zdaje sobie sprawę, że ograniczenia budżetowe stanowią poważną przeszkodę na drodze do budowania efektywnego programu bezpieczeństwa IT.

 

Jak Polska i polskie firmy są przygotowane do walki z cyberprzestępczością? W ocenie Deloitte, propozycje Ministerstwa Spraw Wewnętrznych RP zawarte w dokumencie „Rządowy Program Ochrony Cyberprzestrzeni RP na lata 2011-2016” oraz „Polityce Ochrony Cyberprzestrzeni” są krokiem w dobrą stronę, ale niezbędne są również zmiany legislacyjne, których celem byłoby stworzenie lepszych warunków do współpracy pomiędzy administracją publiczną a sektorem prywatnym.

Niepokoi również brak współpracy i wymiany doświadczeń w zakresie bezpieczeństwa w sieci pomiędzy firmami w wielu branżach, także tych kluczowych dla gospodarki, jak energetyka czy transport. Dużo lepiej jest za to w sektorze telekomunikacyjnym czy bankowym, gdzie dochodzi do regularnych kontaktów pomiędzy osobami odpowiedzialnymi za bezpieczeństwo informacji w danej spółce. Działania koordynowane z innymi firmami z tego samego sektora gospodarki lub posiadającymi podobny profil ryzyka powinny być podstawą skutecznego programu zwalczania cyberzagrożeń

– podsumowuje Jakub Bojanowski.

 

Informacje o raporcie:

Raport Deloitte „Cyberodporność w świecie ewoluujących zagrożeń” podsumowuje zmiany, które zachodzą na polu cyberzagrożeń. Raport przedstawia powody, dla których cyberprzestępcy decydują się na nielegalne działania w sieci, omawia kwestie związane z rozwojem technologii i jej adaptacji oraz zwraca uwagę na fakt, iż dotychczasowe, standardowe metody walki ze zorganizowanymi grupami przestępczymi nie stanowią już odpowiedniej ochrony i nie gwarantują bezpieczeństwa. Autorzy opracowania udzielają odpowiedzi, jak stawić czoła wszechobecnym zagrożeniom, wskazując nowe drogi w bezpieczeństwie informacji.

 

Źródło: deloitte.com/pl/cyber

dodany: 02.04.2013 | tagi: , , ,

Europejskie organy ścigania rozbijają sieć oszustów kart kredytowych

1

Operacja nazwana „Pandora-Storm” została przeprowadzona przez Rumuńską Jednostkę ds. Cyberprzestępczości we współpracy z Europejskim Centrum ds. Cyberprzestępczości przy Europolu (z ang. Europol’s European Cybercrime Centre, w skr. EC3). Jej wynikiem było namierzenie i przejęcie dwóch nielegalnych warsztatów produkujących urządzenia i oprogramowanie manipulujące terminalami POS. Dodatkowo nielegalny sprzęt, dane finansowe, sklonowane karty i gotówka zostały także przejęte podczas przeszukania 82 domów w Rumunii i Wielkiej Brytanii.

Według danych podawanych przez Europol ofiarami gangu padło 36 tysięcy posiadaczy kart kredytowych. W posiadaniu przestępców były numery kart debetowych, numery PIN i złośliwe oprogramowanie na terminale POS.

Gang wykorzystywał podrobione karty płatnicze w Argentynie, Kolumbii, Dominikanie, Japonii, Meksyku, Korei Południowej, Sri Lance, Tajlandii i USA.

To już kolejna udana akcja Europolu w przeciągu kilku miesięcy.

dodany: 26.03.2013 | tagi: , ,

Cyberpsychologia, czyli jak się zachowuje człowiek w cyfrowym świecie?

3
cyberpsychologia

Żyjąc w XXI wieku, jesteśmy naocznymi świadkami stale rozwijających się technologii. Korzystamy z jej dóbr w każdej dziedzinie życia. Współczesne pokolenie nie jest w stanie nawet wyobrazić sobie funkcjonowania bez telefonu komórkowego, laptopa czy tabletu przez kilka godzin. Nie wspominając o połączeniu z magiczną siecią internetową!

(więcej…)

dodany: 25.03.2013 | tagi: , , ,

Chiński uniwersytet powiązany z jednostką wojskową oskarżaną o cyberprzestępczość

0

Jednostka Ludowej Armii Wyzwolenia (z ang. People’s Liberation Army, w skr. PLA) oskarżana o cyberszpiegostwo współpracowała z jednym z najlepszych chińskich uniwersytetów nad pracami badawczymi dotyczącymi bezpieczeństwa i networkingu.

W znalezionym materiale odkrytym przez Reutersa, Shanghai Jiatong University od Information Security Engineering (w skr. SISE) i Ludowa Armia Wyzwolenia pracowały wspólnie nad co najmniej trzema pracami badawczymi w ostatnich latach. Jednostka armii o numerze 61398 jest znana ze swoich powiązań (oczywiście rzekomych) z atakami cybernetycznymi celującymi w zachodnią stronę mapy świata. Wspomniano o niej również w raporcie bezpieczeństwa wydanym przez Madiant, gdzie stwierdzono, że „przytłaczająca” liczba cyberataków pochodzi z jednej jednostki w Szanghaju.

Reuters powołuje się na prace, których autorzy pochodzą zarówno z SISE, jak i jednostki PLA 61398, a dotyczą wykrywania ataków i bezpieczeństwa komputerowego.

Jednak ani Reuters, ani nikt inny nie ma stuprocentowej pewności, że strony uniwersyteckie są aktywnie zaangażowane w jakąkolwiek cybernetyczną przestępczość czy badania mogące zaszkodzić jakiemukolwiek zachodniemu użytkownikowi Internetu.

Jeden z zapytanych o to chińskich urzędników stwierdził, że raport Madiant jest sfałszowany, a oskarżenia w nim zawarte są bezpodstawne. Popierając swoje słowa dodał, że przecież jakby tak było i taka współpraca miałaby miejsce to ataki cybernetyczne na Chiny raczej nie miałyby miejsca.  Zakończył oficjalnym stanowiskiem Chin mówiącym o cyberprzestępczości jako czynie nielegalnym.

dodany: 17.02.2013 | tagi: , ,

Europol rozbija sieć ransomware

0

Operacja Ransom zakończyła się jedenastoma aresztowaniami – pierwszym złapanym był 27-letni Rosjanin odpowiedzialny za stworzenie, rozwój i dystrybucję różnych wersji złośliwego oprogramowania. Został aresztowany w Zjednoczonych Emiratach Arabskich i obecnie czeka na ekstradycję do Hiszpanii. Reszta aresztowanych to sześciu Rosjan, dwóch Ukraińców i dwóch Gruzinów. Grupa prowadziła finanse w Costa del Sol, a cały sprzęt trzymała w Maladze.

Grupa zdołała zainfekować miliony komputerów i wyłudzić w przeliczeniu na złotówki nawet kilkanaście milionów złotych od ludzi w 30 krajach. Ransomware wysyłane było pod postacią informacji od policji, która mówiła ofiarom o wykryciu nielegalnej aktywności internetowej i nałożonej karze, po której zapłaceniu komputer zostanie odblokowany.

Badacze zidentyfikowali 48 wersji wirusa, który zazwyczaj instalował się przez nakłonienie użytkowników do pobrania szkodliwego pliku wykonywalnego w wiadomości z użyciem inżynierii społecznej.

Grupa żądała grzywny w wysokości 100 funtów, które zapłaciło co najmniej 3% ofiar. Dokładne liczby nie są możliwe do ustalenia, ale szacujemy, że ofiarami zostały setki tysięcy Europejczyków

– powiedział dyrektor Europolu Rob Wainwright na konferencji prasowej w Madrycie.

Wirus został wykryty dwa lata temu po zainfekowaniu ponad 20 000 komputerów w sześciu krajach. Sieć zdołała przedostać się w sumie do 30 krajów. Reprezentant hiszpańskiego rządu na konferencji powiedział, że rząd otrzymał ponad 750 000 zapytań od użytkowników dotkniętych ransmowarem, w jaki sposób mają odblokować swoje komputery.

dodany: 15.02.2013 | tagi: , ,

Jak zabezpieczyć się przed atakiem na witrynę WWW

0

Cyberprzestępczość to jeden z głównych argumentów za zrezygnowaniem z pomysłu prowadzenia biznesu w Internecie. Strach przed atakiem hakerskim w wielu przypadkach okazuje się być większy niż brak środków finansowych na utrzymanie internetowego interesu. Istnieje kilka metod, które w pewnym stopniu mogą zmniejszyć ryzyko takiego ataku. Warto zadbać o to już na etapie budowania strony, gdyż bezpieczeństwo naszych danych oraz danych naszych klientów jest najważniejsze.

Szyfrowanie haseł

Wiele osób, które strony internetowe znają tylko z ich „fizycznego” wyglądu, nie zdaje sobie sprawy, jak wiele informacji ukrytych jest w ich kodzie. To właśnie podczas tworzenia witryny WWW popełnia się najwięcej błędów, a jednym z nich jest przechowywanie haseł w czystej, niezakodowanej postaci. Gdyby ktoś włamał się do niezabezpieczonej bazy danych, jak na tacy miałby podane wszystkie dane użytkowników, a przecież to właściciel strony odpowiedzialny jest za bezpieczeństwo danych. Dobrym sposobem na zabezpieczenie danych jest kryptografia, a więc wykorzystanie funkcji jednokierunkowych, które każdemu hasłu przyporządkowują pewien ciąg znaków np.: zamiast nazwiska „Kowalski” otrzymamy zaszyfrowany zapis „b78b6b578a568d890b679a808”. Odszyfrowanie takiego hasła jest bardzo czasochłonne, a więc, jeśli ktoś już włamie się do bazy danych, jest szansa, że jej nie odszyfruje i nie wykorzysta.

SSL

Jeśli hasła w bazie danych są zaszyfrowane, warto także zadbać o to, aby transmisja danych również była zaszyfrowana. Wymagane jest to szczególnie wtedy, kiedy strona zawiera formularz rejestracyjny, a więc dane, które przekazują użytkownicy, mogą mieć dla nich kluczowe znaczenie. Dotyczy to konta e-mail, hasła oraz danych personalnych. Szyfrowanie danych za pomocą SSL to wydatek kilkuset złotych rocznie, ale warto w niego zainwestować, ponieważ dane, które przesyłają użytkownicy będą zaszyfrowane, a więc utrudnione będzie ich przechwycenie pomiędzy użytkownikiem, a serwerem.

 

Niebezpieczne przekierowania

Jeśli ktoś nie zna się na bezpieczeństwie stron internetowych, powinien zwrócić uwagę na filtrowanie adresów wyświetlanych stron. Dość często widać brak filtrowania, aplikacja adresuje domenę na zasadzie {stala}http://nazwadomeny.pl?strona=podstrona.html{/stala}, to istnieje ogromne ryzyko, że zamiast „index.html” będzie można podstawić np.: {stala} http://wirus.pl?strona=robak.exe{/stala}, w takim wypadku zawartość podejrzanej aplikacji wyświetli się na stronie domowej. Jest to bardzo niebezpieczna sytuacja, ponieważ w takim przypadku, cyberprzestępca, może wysłać link podobny do tego, który wykorzystywany jest przez stronę „domową” i przekierować zaatakowanych użytkowników na własny formularz rejestracyjny, który będzie wyświetlany, jako fragment strony „domowej”. Skutki takiego działania mogą być bardzo niebezpieczne, wystarczy, więc zadbać o to, aby strona posiadała filtrowania wyświetlanego adresu, a skutecznie uchroni to witrynę przed tego typu sytuacją.

 

Aktualne oprogramowanie i odpowiednia konfiguracja

Zawsze należy pamiętać o tym, aby mieć aktualną wersję oprogramowania i dotyczy to zarówno serwera WWW, jak i działających na nim skryptów, jak np.: WordPress czy Joomla. Niektórzy dostawcy usług hostingowych osobiście aktualizują wersje oprogramowania do tej najbardziej aktualnej, ale najlepiej zrobić to we własnym zakresie. Luka w oprogramowaniu to bardzo często zachęta do ataku, szczególnie, kiedy usługodawca udostępnił informację w Internecie, w której publikuje, że poprzednia wersja zawierała lukę w kodzie i zaleca aktualizację do jej najnowszej odsłony. Osoba, która w porę nie dokona aktualizacji, narażona jest na duże ryzyko. Po aktualizacji, warto zadbać o odpowiednią konfigurację, a więc ustalić silne hasło oraz login, a także zablokować dostęp do bazy danych z różnych komputerów. Szczególnie często popełniany błąd, to ustalenie loginu „admin” oraz hasła „admin”. Takie działanie wydaje się być zaproszeniem dla niepowołanego gościa w panelu administracyjnym. Warto ustalić hasło, które składa się zarówno z wielkich jak i małych liter, liczb oraz znaków specjalnych.

Przedstawione działania dla zaawansowanych użytkowników wydają się być może banalne, jednak wdrożenie ich wszystkich, to dobry pierwszy krok do zwiększenia bezpieczeństwa serwisu. Należy zawsze pamiętać o tym, że bezpieczeństwo naszych danych oraz danych naszych klientów jest najważniejsze

– mówi Tomasz Kuźniar, prezes Monit24.pl.