Bezpieczeństwo danych: GhostNet to dopiero początek?

Eksperci są zgodni: czasy młodocianych hakerów, włamujących się do komputerów "dla funu" by zdobyć rozgłos, minęły. Ich miejsce zajęli osobnicy politycznie lub ekonomicznie umotywowani, doceniający wartość najcenniejszego zasobu nowoczesnego świata - informacji. Niedawne wykrycie cyberszpiegowskiej sieci GhostNet, której ofiarami w dużej mierze padły instytucje rządowe wielu państw, stawia pod znakiem zapytania jakość systemów zabezpieczających stosowanych w administracji publicznej - skoro udało się włamać do peceta w kwaterze NATO, co powstrzyma hakera przed przeszukaniem zasobów lokalnych w urzędzie gminnym?

Zgodnie z danymi przedstawionymi przez analityków SecDev Group i naukowców uniwersytetu w Toronto, w ramach sieci GhostNet funkcjonowało co najmniej 1295 komputerów ze 103 krajów rozsianych po całym świecie. Pecety (wśród których ok. 30 % to maszyny należące do placówek dyplomatycznych, ministerstw, firm prywatnych i organizacji pozarządowych) były infiltrowane i kontrolowane przez hakerów, próbujących uzyskać dostęp do danych o dużym znaczeniu politycznym, militarnym i handlowym.

Więcej informacji: GhostNet - armia chińskich cyberszpiegów?

Czy zabezpieczenia systemów komputerowych administracji rządowej rzeczywiście pozostawiają wiele do życzenia? Czy możemy mieć pewność, że nasze dane, przechowywane na komputerze urzędnika nie wpadną w niepowołane ręce?

Zestaw słabości

Tomasz Grudziecki z polskiego oddziału CERT (Computer Emergency Response Team) uważa, że największą bolączką użytkowników - jeśli mowa o zabezpieczeniu informacji przed wyciekiem - jest pewien "zestaw słabości", czyli wrażliwych elementów systemu. Owe słabości to: czynnik ludzki (użytkownicy podatni na ataki wykorzystujące socjotechnikę) i nieaktualne oprogramowanie (system operacyjny, aplikacje antywirusowe z przestarzałymi regułami/sygnaturami). To ostatnie "pośrednio sprowadza się do czynnika ludzkiego, wszak to użytkownik powinien zadbać o aktualizacje" - uważa przedstawiciel CERT i dodaje: "Oczywiście dochodzi jeszcze niedoskonałość antywirusów czy ogólnie aplikacji zabezpieczających (nie ma i nie będzie jednego idealnego rozwiązania tego typu)."

Jak sprawdzić, czy komputer to 'zombie-PC'?

Tomasz Grudziecki, CERT:

W przypadku typowych infekcji (kiedy użytkownik staje się częścią typowego botnetu) częstym objawem jest tzw. "dziwne zachowanie" komputera:

@ zauważalne spowolnienie działania systemu, czy spadek prędkości łącza internetowego. Związane jest to z tym, że nasz komputer "pracuje" teraz dla cybeprzestępców wykonując konkretne zadania, np. wysyłając spam lub atakując (atak typu DDoS) jakąś witrynę internetową.

@ blokowanie dostępu do stron www Microsoftu, firm antywirusowych, instytucji zajmujących się bezpieczeństwem IT, itp. (tak jest chociażby w przypadku popularnego ostatnio Confickera). Złośliwe oprogramowanie potrafi dla własnej ochrony blokować takie serwisy, zatem niemożność odwiedzenia tych stron powinna zaalarmować użytkownika.

@ komputer jest sterowany zdalnie, co oznacza, że przynajmniej co jakiś czas komunikuje się z jakimś zewnętrznym serwerem - jeżeli ktoś monitoruje ruch sieciowy, to w ten sposób może wykryć infekcję we własnej sieci. Ale to dotyczy tylko bardziej zaawansowanych użytkowników i administratorów (w tym administracji rządowej).

Ponieważ sieć GhostNet nie była typowym botnetem - należące do niej komputery nie były wykorzystywane do rozsyłania spamu czy ataków DDoS, będąc jedynie celami działalności szpiegowskiej - zaobserwowanie wymienionych symptomów było trudniejsze.

Potwierdza się zatem - i to po raz kolejny - przekonanie, że to człowiek jest najsłabszym ogniwem bezpieczeństwa komputera. Analizując dane zawarte w raporcie Information Warfare Monitor dotyczącym GhostNetu można dojść do wniosku, że głównym narzędziem cyberprzestępców była socjotechnika (tzw. "social engineering"). Wykorzystywali oni ludzką naiwność wysyłając e-maile z zainfekowanym załącznikiem. "Proszę zauważyć, że najprawdopodobniej co najmniej jeden exploit z załącznika (w raporcie jest zrzut ekranu z serwisu VirusTotal) wykorzystywał lukę z 2006 roku. Można więc przypuszczać, że ofiara w chwili infekcji nie miała zaktualizowanego oprogramowania (w tym przypadku Word). Dodatkowo, z danych VirusTotal wynika, że wprawdzie malware z załącznika został wykryty tylko przez 11 z 34 antywirusów, ale w tej grupie znalazło się także oprogramowanie Microsoftu. Może to sugerować (choć to dalej są tylko domniemania), że ofiara mogła nie mieć także zaktualizowanego systemu operacyjnego" - uważa T. Grudziecki.


Zobacz również