Tematyka konferencji

Tematy i zagadnienia, które chcemy poruszyć na tegorocznej Next Generation Security Conference:

Symboliczny Zegar Zagłady (ang. Doomsday Clock) stworzony przez Magazyn „Bulletin of the Atomic Scientists” działający od 1947 roku, został na początku 2015 roku przestawiony o dwie minuty do przodu i teraz wskazuje on 3 minuty do północy. Oznacza to, że tylko tyle czasu dzieli nas od symbolicznej zagłady ludzkości. W tym roku podczas ustawiania wskazówek uwzględniono również zagrożenia związane z przestępczością komputerową i jej potencjalnym wpływem na napięcia w relacjach międzypaństwowych, a także zagrożenia ze strony sztucznej inteligencji. Dla ułatwienia należy dodać, że maksymalnie cofnięto wskazówki w 1991 roku do poziomu 17 minut po północy.

Analizując obecne trendy stworzyliśmy listę, która już tradycyjnie posłuży nam, jako założenia programowe dla tegorocznej czwartej już edycji konferencji NGSec. Wydaje się, że tematy zebrane w naszej liście mogą zdominować w bieżącym roku rynek bezpieczeństwa. Tradycyjnie mamy świadomość, że lista ta nie jest kompletna, więc z przyjemnością zaakceptujemy inne ciekawe tematy.

Cyberprzestępczość

Internet z roku na rok staje się coraz bardziej atrakcyjnym miejscem dla wszelkiego rodzaju przestępców, aktywistów i terrorystów, zmotywowanych chęcią zarobienia pieniędzy, potrzebą bycia zauważonym, chęcią spowodowania zakłóceń w pracy lub nawet całkowitej jej uniemożliwienie wybranym korporacjom czy nawet rządom.

haskerDzisiejsi cyberprzestępcy działają głownie z terenów byłego Związku Radzieckiego oraz Chin. Nie świadczy to koniecznie o ich pochodzeniu. Jest bowiem powszechną praktyką wykorzystanie tuneli VPN terminowanych w tych krajach. Cyberprzestępcy to często bardzo wysoko wykwalifikowane osoby wyposażone w nowoczesne narzędzia. Tym samym nadal powszechne w Internecie cele oparte na przestarzałych systemach czy posiadające od wielu lat znane, a nieusunięte podatności stanowią dla nich łatwy łup. Rok 2014 pokazał ponadto, że środowisko cyberprzestępców wykazuje wzrost wzajemnej współpracy, co w połączeniu z rosnącymi kompetencjami technicznymi pozwala im skutecznie brać na cel wydawałoby się dobrze chronione instytucje i korporacje.

W 2015 roku organizacje powinny być gotowe nawet na nieprzewidywalne formy, sposoby i drogi ataków, a zwłaszcza na ataki ukierunkowane, które praktycznie mogą zostać „skrojone” pod nie.

Naruszenie ochrony danych – „data breaches”

Wszelkiego rodzaju „naruszenia ochrony danych” będą coraz bardziej powszechne. Od tych, w których ucierpią dane prywatne pojedynczych osób, takie jak choćby prywatne zdjęcia po olbrzymie zbiory danych przechowywanych przez korporacje i instytucje, aż po ukierunkowane ataki związane ze szpiegostwem przemysłowym czy intelektualnym skierowane przeciwko najbardziej innowacyjnym czy strategicznym przedsiębiorstwom. Listę największych naruszeń chronionych danych można śledzić na systematycznie uaktualnianej stronie webowej:

http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/

Ransomware

RansomwareNależy się spodziewać dalszego wzrostu zagrożeń typu „ransomware”, w których przestępcy wykorzystują szkodliwe oprogramowanie do szyfrowania plików i przedstawienia żądania okupu, aby je odblokować. Oszuści stają się coraz bardziej kreatywni, stosując metody socjotechniczne podszywają się pod instytucje zaufania publicznego, takie jak banki, urzędy skarbowe czy urzędy pocztowe i w ten sposób nakłaniają ludzi do kliknięcia w złącznik czy też linki prowadzące do infekującego oprogramowania. W wielu przypadkach oprogramowanie w razie braku zapłaty okupu niszczy zainfekowane dane. Ransomware będzie również coraz częściej dotykał urządzeń i użytkowników wykorzystujących rozwiązania pamięci masowej w chmurze, takich jak: Dropbox, Google Drive, OneDrive itp.

Dodatkowego smaku dodaje również fakt, że wśród poszkodowanych znalazły się instytucje państwowe, a nawet posterunek policji.

Internet Rzeczy (Internet of Things) IoT

Pojęciem Internetu Rzeczy obejmuje się wszelkie urządzenia, maszyny i komputery połączone ze sobą za pośrednictwem Internetu. Wśród innych obszarów, pojęcie to może być stosowane do systemów medycznych, automatyki domowej czy też systemów transportowych i przemysłu ciężkiego. Gartner w swoich prognozach Internet of Thingsprzewiduje, że 4,9 mld urządzeń inteligentnych będzie w użyciu do końca 2015 roku. Daje to aż 30 procentowy wzrost w stosunku do 2014 roku. Ostrożne szacunki wskazują, że w roku 2020 ich liczba osiągnie 50 mld. Oczywiście gdzieś z tyłu stoi za tym protokół IPv6 zapewniający wystarczającą przestrzeń adresową. Taka liczba tego typu urządzeń tworzy nowe wektory podatności. Należy się spodziewać rosnącej liczby ataków skierowanych właśnie przeciwko nowym kategoriom urządzeń IoT ze względu zarówno na ich szybko rosnącą ilość, jak i fakt wzajemnego połączenia między poszczególnymi elementami ekosystemu IoT. Najsłabiej zabezpieczone kawałki systemu mogą stanowić wejście do tych elementów, które już przechowują wysokiej wartości dane.

Ataki skierowane przeciwko IoT mogą się np. koncentrować na elementach automatyki inteligentnego domu, którego centrum może stanowić domowy komputer, a tym samym może on bezpośrednio w swoich lokalnych zasobach czy też w zasobach chmurowych przechowywać informacje chronione lub prywatne.

Ostatnie badania podatności prezentowane przez różnych ekspertów pokazują, że można je znaleźć w najpopularniejszych elementach struktury inteligentnych domów, takich jak termostaty, telewizory, kamery i  w innego rodzaju czujnikach.

Zagrożenia mobilne

Przestępcy będą nadal w coraz większym stopniu przesuwać swoje zainteresowanie w kierunku urządzeń mobilnych – zarówno ze względu na obecną i wciąż rosnącą ilość tego typu urządzeń w powszechnym stosowaniu, jaki i atrakcyjność tych celów biorąc pod uwagę obfitość danych osobowych jak dane kontaktowe, numery kart płatniczych, hasła itd. zagrożenia mobilneDodatkowo należy zwrócić uwagę na fakt, że coraz więcej operatorów oferuje usługi mobilnych systemów płatniczych, których telefon jest integralną częścią. Tym samym ochrona tego typu rozwiązań staje się coraz większym wyzwaniem, często już samym momencie otrzymania nowego „smartphona”. Jego oprogramowanie systemowe wymaga aktualizacji, gdyż czas od jego produkcji do chwili, gdy trafia do użytkownika może zająć kilka tygodni a to już wystarczy, aby taka aktualizacja była konieczna. Do tego dochodzi jeszcze strategia BYOx, o której później…

Ataki na samodzielne punkty sprzedaży – Point-of-Sale (POS)

POSami określamy punkty samodzielnej sprzedaży, takie jak biletomaty czy też samoobsługowe kasy, które możemy spotkać w wielu większych marketach. Służą temu, aby klient mógł samodzielnie skasować zakupione produkty wczytując kody kreskowe oraz zapłacić za towar kartą lub gotówką. Możemy się spodziewać w 2015 roku rosnącej liczby prób włamań właśnie na takie sprzętowe rozwiązania POS.

Prywatność a regulacje i odpowiedzialność prawna

Większość państw czy większych struktur międzynarodowych takich jak np. Unia Europejska już powołały do życia odpowiednie przepisy, które nakładają zasady dotyczące zabezpieczenia i wykorzystania danych osobowych. Z naruszaniem tych przepisów wiążą się stosowne kary dla organizacji, które nie będą w wystarczającym stopniu chronić tego rodzaju danych. W rezultacie organizacje muszą traktować ochronę prywatność zarówno jako kwestię zgodności z przepisami, jak i ryzyka biznesowego, w celu uniknięcia sankcji prawnych i wzrostu kosztów prowadzenia działalności gospodarczej. Jednak ochrona prywatności danych ma również aspekty takie jak utrata reputacji czy strata klientów z powodu naruszenia ich prywatności. Te argumenty mogą być bardziej dotkliwe dla firmy niż straty operacyjne.

Zagrożenia od strony zewnętrznych dostawców

Tak zwany „łańcuch dostaw” jest istotnym elementem działalności każdej organizacji i stanowi on jedną z podstaw współczesnej gospodarki. Jednak im bardziej stajemy się otwarci na współpracę z zewnętrznymi dostawcami tym bardziej wzrasta nasze ryzyko. Zakres i rodzaj cennych informacji, które często współdzielimy z dostawcami oraz fakt, zewnętrzni dostawcyże znika bezpośrednia możliwość kontroli nad nimi prowadzi do zwiększonego ryzyka naruszenia poufności współdzielonych informacji lub ich integralności. Organizacje każdej wielkości muszą myśleć o skutkach przypadkowego, a w konsekwencji szkodliwego uzyskania dostępu do ich własności intelektualnej, danych klienta, pracowników, planów handlowych, dokumentów negocjacyjnych, od strony ich zewnętrznego partnera. Co więcej ta uwaga nie powinna ograniczać się do partnerów produkcyjnych lub dystrybucyjnych. Należy objąć ją również dostawców usług profesjonalnych, prawników i księgowych oraz tych wszystkich, którzy mają dostęp do najcenniejszych zasobów danych.

Powyższe rozważania nie są nowością i powinny skłonić nas do profesjonalnego podejścia do problemu. Wiele z dyskutowanych aspektów posiada gotowe recepty ich rozwiązania. Takim drogowskazem niewątpliwie są normy bezpieczeństwa np. z rodziny PN ISO/IEC 27000.

Trend BYOx w środowisku pracy

BYODTrend Bring Your Own (BYO) jest już wszędzie i nie da się go zatrzymać niezależnie od tego, czy organizacjom się to podoba czy nie. Pracownicy z roku na rok coraz częściej przynoszą swoje urządzenia mobilne, aplikacje, wykorzystują swoje dyski ulokowane chmurze, a tym samym dostęp tego typu elementów w miejscu pracy nadal rośnie. Przedsiębiorstwa każdej wielkości widzą rosnące zagrożenia bezpieczeństwa informacji w skali większej niż kiedykolwiek wcześniej. Zagrożenia te wynikają zarówno z zagrożeń wewnętrznych, jak i zewnętrznych. Są w tym zarówno niedoskonałości samego urządzenia, niezauważone luki w oprogramowaniu systemowym, czy celowo fabrycznie umieszczony backdoor, taki jak niedawny przykład firmy Lenovo i ich oprogramowania Superfish

Personel

Największy atut każdej organizacji, a zarazem najbardziej wrażliwy cel z punktu widzenia bezpieczeństwa to personel.

presonel zagrożeniaW ciągu ostatnich kilku dekad, organizacje na całym świecie wydały miliony, jeśli nie miliardy, dolarów na działania związane z podnoszeniem świadomości bezpieczeństwa informacji – programy Security Awareness. Jest to związane właśnie z inwestycją w ich najważniejszy zasób – ludzi – dostarczając im wiedzy o ich obowiązkach, schematach prawidłowego zachowania, zmieniając ich przyzwyczajenia i uwrażliwiając na zagadnienia bezpieczeństwa, zmieszamy ryzyko utraty bezpieczeństwa.

Jednak to jest za mało, szkolenia Security Awareness nie powinny być tylko działaniem doraźnym czy okazjonalnym, ale ciągłym procesem, w którym szkolenie pracowników jest jednym z krytycznych elementów. Mówiąc o ryzyku czynnika ludzkiego nie tylko powinniśmy go minimalizować dbając o świadomość samych pracowników, ale również zakładać, że nadal mogą oni stanowić słaby element naszej ochrony.

Infrastruktura krytyczna

Do tej pory, najbardziej poważne naruszenie infrastruktury krytycznej, które zostało ujawnione nastąpiło za granicą, w Iranie, kiedy Stuxnet został wykorzystany do sabotażu programu wzbogacania uranu tego kraju. Czasy, gdy infrastruktura krytyczna w Europie czy USA pozostaje nietknięta prawdopodobnie dobiegają końca. W 2012 roku infrastruktura krytycznacyberprzestępcy uzyskali dostęp do projektu plików dla systemu SCADA firmy Telvent odpowiedzialnej za stworzenie oprogramowania sterującego do inteligentnej sieci elektrycznej (ang. „smart grid”) stanowiącej fragment krajowej sieci elektrycznej w USA. Obecna sytuacja polityczna i otwarte konflikty wojskowe w Europie czy na Bliskim Wschodzie tylko powiększają zainteresowanie „wrogich czynników” dostępem i możliwością kontroli czy destrukcji infrastruktury krytycznej.

Sprawy nie poprawia fakt, że systemy sterowania przemysłowego (ang. Industrial Control Systems) są zazwyczaj 10 lat lub więcej w tyle w stosunku do systemów IT powszechnego użytku, jeżeli chodzi o elementy bezpieczeństwa. Należy jednak pamiętać, że w systemach sterowania rakietami kosmicznymi latają takie starocie jak procesory Sun Spark ze względu na ich niezawodność i odporność na przykład na promieniowanie kosmiczne.

Szyfrowanie jest standardem

szyfrowanieWraz ze wzrostem świadomości bezpieczeństwa i ochrony prywatności, jak i posądzeniem wielu agencji wywiadowczych o szpiegostwo oraz coraz powszechniejszemi naruszeniami ochrony danych (data breaches) szyfrowanie danych w końcu stało się standardem.

Nowe metody ataku na kryptografię powodują ostatnio jej gwałtowny rozwój. Tradycyjna kryptografia oparta o liczby pierwsze jest mocno osłabiona i musi być zastąpiona nowymi metodami. Bez kryptografii nie ma telefonii mobilnej, kart płatniczych, zakupów przez Internet etc.

Bardziej wyrafinowane ataki DDoS

Ataki pozbawienia usługi (Denial of Service) są bardziej irytujące, niż jakiekolwiek inne. Nie służą one bezpośrednio do wykradania informacje, nie powodują też wprost uszkodzeń – tradycyjnie zalewają one infrastrukturę usługową czy bezpośrednio aplikację lub bazę danych tak dużą ilością ruchu i zapytań, że ulegają one ogromnemu obciążeniu, przez co nie są w stanie obsługiwać legalnego ruchu. O uciążliwości tego typu ataku mogli się przekonać gracze sieci Xbox i PlayStation w okresie ostatnich świąt Bożego Narodzenia. Należy zaznaczyć, że formy ataków DDoS cały czas ewoluują, atakujący nie tylko skupiają się na samej sile ataku, ale stosują np. ataki wielowektorowe, zalewając cel równocześnie pakietami różnych typów, prowadząc zalew skierowany zarówno na warstwę sieciową, jak i aplikacyjną, czy też w końcu modyfikują sam atak w trakcie jego trwania w odpowiedzi na stosowane metody obrony.

Sieci społecznościowe źródłem ataków

W 2015 roku, jaki i kolejnych latach, możemy przewidzieć wzrost udziału mediów społecznych, a zwłaszcza ataków typu „wodopój” (ang. „water hole”) w taktykach stosowanych podczas ataków ukierunkowanych. Przy wykorzystaniu sieci społecznościowych możemy zaatakować konkretną grupę, organizację, branżę czy nawet region. Stosując konkretnie technikę wodopoju sam atak możemy podzielić na trzy fazy:

  • Zaobserwowanie lub odgadniecie, z jakich zasobów, miejsc w sieci społecznościowej korzysta dana grupa
  • Systematyczne publikowanie, podrzucanie zainfekowanie treści, linków kierujących do oprogramowania malware
  • Zainfekowanie niektórych celów

Napastnicy stale rozwijają i doskonalą metody ataków z wykorzystaniem sieci społecznościowych.

Ataki ukierunkowane

Powszechną taktyką ataków internetowych było uderzenie frontalne. Ataki takie jak Nimda dziesiątkowały Internet, ale przy sprawnie działającym systemie zbierania informacji mieliśmy szanse na szczepionki i sygnatury. W chwili obecnej mamy coraz częściej do czynienia z atakiem ukierunkowanym. Celem może być konkretna firma, organizacja, osoba czy hackernawet konkretne urządzenie podłączone do sieci. Atak tego typu głownie różni się tym od innych właśnie precyzyjnym zdefiniowaniem celu – możemy powiedzieć, że forma ataku jest „szyta na miarę” pod swój cel, a narzędzia wykorzystane do ataku nie były nigdy wcześniej wykorzystywane. Rosnący wzrost takiej formy ataków świadczy o wyspecjalizowaniu się cyberprzestępców w działalności, która przynosi im profit. Biorąc na cel konkretną osobę czy firmę, zdobywają oni określone informacje, którą mogą dalej wykorzystać lub sprzedać. Same ataki są trudne do wykrycia, przestępcy posługują się dedykowanym oprogramowaniem infekującym, które jest trudno wykryć przez fakt jego unikalności. Samej fazie ataku mogą towarzyszyć działania odwracające uwagę takie jak np. atak DDoS.

Płatności mobilne

Przebijające się do coraz powszechniejszego użytku mobilne formy płatności mogą być łakomym kąskiem dla cyberprzestępców. W 2015 roku możemy spodziewać się coraz większej liczby konsumentów stosujących w praktyce punkty POS wspomniane w jednym z wcześniejszych punktów. Poza formami płatności jak gotówka czy katy płatnicze pojawia się potencjał dla płatności mobilnych: płatności mobilne w formie dedykowanej aplikacji i sprzętowych systemów NFC. Biorąc pod uwagę jak pojawienie się rozwiązań Apple takich jak iPhone czy iPad zmieniło rynek urządzeń mobilnych, to pojawienie się aplikacji Apple Pay może być zwiastunem eksplozywnego rozwoju płatności mobilnych. Inni dostawcy jak Google czy Microsoft z pewnością dołączą do tego trendu. Konsekwencją będzie wysyp wszelkiego rodzaju form ataków skierowanych na takie usługi.

Problem ten nie jest tylko problemem rynku światowego. Bez mikropłatności obsługiwanych poprzez urządzenia mobilne trudno dziś o sensowną obsługę zakupu biletów komunikacji miejskiej czy opłaty za parking.