2018: hakerskie ataki, wycieki, cyberskandale

Kiedyś były po prostu wirusy. Roznoszone przez gapowatych użytkowników na wspomnianych dyskietkach. Wystarczyła odrobina wyobraźni i zdrowego rozsądku, by się ich ustrzec. A podstawową techniką pozyskiwania poufnych danych była socjotechnika, z powodzeniem stosowana przez Kevina Mitnicka. Oczywiście, to uproszczenie, ale przyznajcie, czy za „modemowych” czasów nie czuliście się nieco bezpieczniej? Teraz, w czasach powszechnego dostępu do internetu, gdy w zasadzie cały czas pozostajemy online, podstawowym programem jest dobry antywirus, a w zasadzie pakiet „antywszystko”, a i tak nie można być pewnym, czy się czegoś z internetu nie przywlecze. Nawet jednak taki pakiet nie daje pełnego poczucia bezpieczeństwa, bowiem nasze dane – imiona i nazwiska, numery kart kredytowych, adresy e-mail i numery kont wędrują po sieci tam i z powrotem. Czy można tego uniknąć? Oczywiście. Nie korzystać z konta bankowego przez internet, nie kupować online, nie oglądać filmów VoD, nie wysyłać e-maili i ich nie odbierać. Nie da się? Da się. Będzie trudno? Zdecydowanie.
Ogromny, trójwymiarowy pacman pożerający miasto.
Ogromny, trójwymiarowy pacman pożerający miasto.

Wielkie wycieki – liczby idą w miliony

Facebook –  skandal roku

W marcu 2018 roku dzienniki “The Guardian” oraz “The New York Times” opublikowały informacje dotyczące pewnej nikomu nie znanej firmy analitycznej, Cambridge Analytica, która przeanalizowała dane 87 milionów użytkowników Facebooka bez ich wiedzy. Owe dane posłużył m.in. podczas kampanii prezydenckiej Donalda Trumpa. Facebook tak wiele o nas wie, że nie było problemu z tym, by autorzy kampanii mając wiedzę o gustach i poglądach Amerykanów dostosować pod nie wyborcze komunikaty.

– Praktycznie rzecz biorąc bawiliśmy się psychologią całego kraju, a żaden z obywateli nic o tym nie widział – przyznaje Wylie w rozmowie z The Guardian. – Cambridge Analytica to firma zajmująca się propagandą.

Facebook: Klucz do władzy

W sprawie pojawiły się też dwa polskie wątki. Pierwszy dotyczy twórcy algorytmu wykorzystywanego przez CA. Ten bowiem został opracowany przez Polaka doktora Michała Kosińskiego. Drugi to zarzuty kierowane w stronę sztabu wyborczego Andrzeja Dudy. We wrześniu zeszłego roku “Gazety Wyborcza” oraz Radio ZET poinformowały, że sztab miał korzystać z usług firmy zajmującej się budowaniem wizerunku w sieci. Z kolei już  “The Guardian” wspominał o “wschodnioeuropejskim kraju” korzystającym z usług Cambridge Analytica. Szczegóły znajdziecie tutaj. Cambridge Analytica ostatecznie zbankrutowała, Facebook wbrew pozorom trzyma się dobrze. W świetle tej afery za ponury żart można uznać jedną z ostatnich wypowiedzi Marka Zuckerberga. W rozmowie z profesorem prawa Uniwersytetu Harvarda Jonathanem Zittrainem twórca Facebooka powiedział: Myślenie o Facebooku jako o innowatorze w dziedzinie prywatności z pewnością nie jest popularne. Pamiętając o aferze Cambridge Analytica trzeba się z nim zgodzić. Tak pojęta prywatność jest bardzo innowacyjnym poglądem.

Wniosek – zanim opublikujecie coś na Facebooku dwa razy się zastanówcie.

MyHeritage – poszukiwanie przodków zajęciem wysokiego ryzyka

Jeden z bardziej popularnych serwisów do tworzenia drzewa genealogicznego padł ofiarą ataku hakerskiego. Wyciekły dane ponad 92 mln jego użytkowników. Loginy, hasła oraz adresy e-mail są owszem ważne i nie powinny się dostać w niepowołane ręce, ale w przypadku MyHeritage sprawa ma drugie dno. Otóż serwis umożliwia chętnym badanie DNA, które umożliwia poznanie przodków. A dokładnie dowiedzenie się skąd nasz ród – jesteśmy bardziej Ugrofinami, czy też w większym procencie mamy pradawne słowiańskie korzenie. W sieci pojawiły się dane absolutnie wszystkich użytkowników serwisu zarejestrowanych do października 2017 r. I nie ma żadnej pewności, że nie wypłynęły też wyniki testów DNA. Serwis oczywiście zaprzeczył. Komu mogłyby się przydać? Na przykład firmom ubezpieczeniowym lub różnego rodzaju służbom.

Przy czym, nie trzeba wycieku, by informację o naszym DNA poznało np. FBI. Jak donosi serwis Bloomberg, amerykańska firma FamilyTreeDNA, jedna z pierwszych, która zaczęła świadczyć usługę badania genotypu, udostępniła wyniki FBI. Tłumacząc przy tym, że nie wszystkie, a jedynie 2 mln osób. W jej bazie takich próbek znajduje się kilkaset milionów.

Strona główna FamilyTreeDNA.
Dla niektórych osób powierzenie własnego DNA firmie FamilyTreeDNA może faktycznie okazać się przygodą życia.

Exactis – dwa terabajty danych dla każdego

Exactis to amerykańska firma marketingowa z siedzibą na Florydzie, która dane swoich klientów umieściła na otwartym dla wszystkich serwerze. Owe dane to m.in. imiona, numery telefonu, adresy zamieszkania, adresy e-mail, ale też ponad 400 innych danych, np. dotyczących nałogów, wyznania czy posiadania dzieci. Ponieważ Exactis zgromadziło dane dotyczące prawie 218 milionów (110  mln gospodarstw) to baza, którą tworzyły zajęła prawie 2 TB. O wycieku jako pierwszy poinformował portal Wired.

1,1 miliardów Hindusów

Aadhaar to system identyfikacji działający w Indiach. Każdy obywatel tego kraju, a jest ich ponad 1 mld 300 mln otrzymuje 12-cyfrowy numer identyfikacyjny, zawierający dane biometryczne i demograficzne. W maju ubiegłego roku system został złamany, a hakerzy dostali m.in. dostęp do odcisków palców niemal wszystkich mieszkańców Indii oraz pozostałych wrażliwych danych. Rzecz wyszła na jaw, gdy okazało się, że na portalach aukcyjnych zostały wystawione pozyskane z systemu dane. Rząd Indii zaprzeczył naruszeniu bezpieczeństwa.

500 milionów klientów sieci Marriott

Z początkiem września firma Marriott International przyznała, że doszło do nieautoryzowanej próby uzyskania dostępu do bazy danych systemu rezerwacji miejsc hotelowych sieci Starwood w Stanach Zjednoczonych. Hotele Starwood zostały kupione przez Marriott International w 2016 r. Dwa lata później nowy właściciel odkrył, że dane klientów płynęły wolnym strumieniem od 2014 r. Z przeprowadzonego śledztwa wynika, że począwszy od 2014 r. dochodziło do nieautoryzowanego dostępu do sieci Starwood” – poinformowała jesienią zeszłego roku sieć hoteli. Według przekazanych przez Marriott International informacji potencjalnie zagrożonych mogło się czuć 327 mln. klientów hoteli Starwood. W bazie znalazły się imiona i nazwiska klientów, ich adresy, numery dokumentów tożsamości, informacji o przylotach i odlotach, daty rezerwacji i preferencji dotyczących komunikacji. A w niektórych przypadkach także zaszyfrowane numery kart płatniczych i termin ich ważności. Sieć nie zamiotła sprawy pod dywan, uruchomiła stronę dla zaniepokojonych klientów i specjalne centrum obsługi telefonicznej.

To oczywiście najbardziej spektakularne wycieki danych, głównie ze względu na liczbę osób narażonych w ich wyniku na nieprzyjemności. Te pomniejsze idą w tysiące. Analitycy firmy badawczej Risk Based Security dostrzegli jednak malejący trend. Liczba naruszeń, do których doszło w 2018 r. była nieco mniejsza niż rok wcześniej. Według raportu opublikowanego przez RBS w ubiegłym roku doszło do 6500 tego typu incydentów, a liczba wykradzionych rekordów to “tylko” około 5 mld. W przypadku 12 wycieków skradziono 100 lub więcej milionów rekordów — te największe incydenty są źródłem aż 74% wszystkich wykradzionych danych, jakie znalazły w rekach cyberprzestępców w 2018 roku.

Raport RSB
5 najczęstszych powodów utraty danych. (źr. Raport RBS)

Według RBS większość wycieków (5400) była spowodowana atakiem z zewnątrz. Zła konfiguracja serwera lub jego niedostatecznie zabezpieczenie to 900 przypadków uzyskania nieautoryzowanego dostępu do bazy. W efekcie przyczyny zewnętrzne spowodowały kradzież 2,6 miliarda rekordów, wewnętrzne – 1,7 miliarda.

Kiedyś baliśmy się czarnego luda. Teraz najczęściej ransomware’u. Ransomware to program, którego celem jest całkowita blokada dostępu do danych ofiary, najczęściej przez zaszyfrowanie dysku. Innymi słowy jest to program szantażujący ofiarę – “zapłać, a odzyskasz dane”. Albo i nie. Bywa bowiem, że tego typu komunikat wysyłają hakerzy (a może raczej pseudohakerzy?), którzy wcale nie mają zamiaru przesłać klucza deszyfrującego. Ofiara zostaje więc z zaszyfrowanym dyskiem i bez pieniędzy.

Znane ransomware’y mają to do siebie, że hulają w sieci przez kilka lat siejąc spustoszenie. O tych wywołujących największe emocje pisaliśmy już w 2017 r. I w tej kwestii nie zmieniło się wiele. W 2018 r. WannaCry radził sobie równie dobrze, jak rok wcześniej.

5 najbardziej znanych ransomware’ów

WannaCry – efekt domina

W 2017 roku w ciągu czterech dni WannaCry sparaliżował systemy informatyczne brytyjskiej służby zdrowia, rosyjskiego MSW, banku centralnego oraz prasowej agencji informacyjnej. Pod naporem złośliwego szyfrującego oprogramowania padło 200 tys. komputerów w 150 krajach. W niektórych fabrykach stanęła produkcja. Szacunkowe koszty ataku (nie tylko okupów, ale i niemożności prowadzenia działalności) to podobno ok. 4 mld dolarów. W tym konkretnym przypadku hakerzy skorzystali z faktu, że użytkownicy nie dbają o aktualizację systemu. Wprawdzie Microsoft załatał system, ale stało się to na dwa miesiące przed pierwszymi atakami. Gdy WannaCry ruszył do boju, dla wielu użytkowników było już za późno na aktualizację.

Twórcy ransomware’u życzyli sobie pierwotnie 300 dol. za odszyfrowanie danych, później cena wzrosła do 600 dol. Cena w wielu przypadkach niewielka, jak za możliwość odzyskania dostępu do dysku. Jednak eksperci ds. bezpieczeństwa zgodnym chórem mówią – “nie płacić”. Po pierwsze nigdy nie ma pewności, czy twórca takiego programu dotrzyma słowa. Po drugie – z szantażystami się nie rozmawia.

Jeden z groźniejszych exploitów powraca

Petya czy NotPetya?

Niechlubny tytuł największego szkodnika należy do programu szyfrująco-blokującego, znanego również jako NotPetya. Podobnie jak WannaCry wykorzystuje on exploity EternalBlue i EtrernalRomance. Piszemy wykorzystuje, bowiem najbardziej aktywny był w roku 2017, ale i w zeszłym nieźle sobie poczynał. NotPetya nie miał takiego zasięgu jak WannaCry, ale atakował głównie firmy, stąd jego niszczycielska siła rażenia. Szacuje się, że koszt związany z działalnością NotPetya to ok. 10  mln dol. Tyle utraciły firmy na całym świecie. NotPetya rozszedł się w sieci ponieważ cyberprzestępcom udało się uzyskać kontrolę nad serwerem aktualizacji oprogramowania finansowego ukraińskiej firmy M.E.Doc.

Wielu klientów tego oprogramowania do finansowości otrzymało wspomniany szkodliwy program pod postacią aktualizacji. Potem NotPetya rozeszła się po sieci. A do siedziby firmy, będącej głównym źródłem infekcji, choć jak się później okazało, niczemu winnej, ostatecznie weszła ukraińska policja.

Petya to najdroższy w historii pojedynczy incydent z zakresu cyberbezpieczeństwa. W jego efekcie firmy na całym świecie straciły nawet 10 miliardów dolarów. Wirus działał podobnie do WannaCry, blokując zainfekowane urządzenia i żądając 300 dolarów w bitcoinach za ich odszyfrowanie. W ataku najbardziej ucierpiały instytucje rosyjskie i ukraińskie – m.in. Rada Ministrów Ukrainy i Ukraiński Bank Narodowy, rosyjski bank centralny, a nawet monitoring promieniowania nieczynnej elektrowni atomowej w Czarnobylu. W tym przypadku ogromnym stratom również można było zapobiec, dbając o aktualizację systemów.

Spectre/Meltdown – cios prosto w procesor

Ta wiadomość zelektryzowała większość środowiska IT. Intel, ARM, AMD, Oracle, IBM – wadę w architekturze układów obliczeniowych odnaleziono w podzespołach produkowanych przez największe firmy. Największe wrażenie zrobiła wiadomość o lukach wykrytych w niemal wszystkich procesorach firmy Intel. Wada umożliwiała wyciek informacji przechowywanych w pamięci jądra.

ANALIZA: na czym technicznie polega luka w procesorach?

Wbrew prognozom nie nastąpił gwałtowny atak wykorzystujący luki w architekturze procesorów. Choć jak pisaliśmy na początku zeszłego roku exploity wykorzystujące to luki powstały. Zostały opracowane przez ekspertów Nvidii. Zainteresowanym tematem polecamy stronę Meltdownattack.com

Nowe zagrożenie, czyli “wsparcie dla górnictwa”

Kopanie kryptowalut przyniosło, poza pieniędzmi dla kopiących, dwa negatywne skutki. Po pierwsze – obłędne ceny kart graficznych, po drugie pojawienie się tzw. cryptominerów. Cryptominery to programy przeznaczone do obliczania kryptowalut bez zgody osoby, na komputerze której taki kod się zagnieździ. Nie stanowią zagrożenia dla danych, ale są obciążającym komputer pasożytem. Powiedzmy takim “kryptotasiemcem”.

Według raportu Check Point Software Technologies w 2018 r. najpopularniejsze były Coinhive (który  od września 2017 r. zainfekował 12% organizacji na całym świecie), Cryptoloot oraz SEcoin. Wszystkie trzy trudnią się wydobywaniem Monero bez wiedzy właściciela komputera. Za to na jego koszt. W miarę jak rośnie rynek walut, można się spodziewać coraz większej liczby takich programów i większej pokusy włamywania się do sieci komputerowych. Jeśli będzie to infrastruktura miejsc takich jak szpitale czy lotniska, to ich działalność zacznie być prawdziwym problemem.

Polska wśród najczęściej atakowanych krajów w maju

TRENDY, CZYLI NA CO SIĘ ZANOSI

Nie spodziewamy się jakiejś niebywałej aktywności, albo odmiany w rodzajach ataków. Z pewnością jednak warto zwrócić uwagę na cryptomining. Mimo spadku kursu kryptowalut, możliwość “bezpłatnego” ich kopania może stanowić sporą pokusę. Zapewne większość zagrożeń i trendów występujących w 2018 roku, dotyczyć będzie także tego roku.

Według Kamila Sadkowskiego, eksperta ESET to właśnie cryptominery staną się największym wyzwaniem dla systemów bezpieczeństwa. Jak wskazuje ekspert z firmy ESET, natężenie ataków ransomware nieco spada na rzecz cryptominerów, a celem cyberprzestępców będą w tym roku serwisy e-commerce i posiadacze portfeli kryptowalut. Cryptominery będą również aktywne w przeglądarkach internetowych. Statystyki dowodzą, że w 2018 roku liczba cryptominerów wzrosła aż o 956 procent!

Gdy wejdziecie na naszą stronę i wpiszecie w pole wyszukiwania słowo “atak”, to przekonacie się, jak często publikujemy teksty dotyczące kolejnych incydentów związanych z bezpieczeństwem. Praktycznie codziennie zdarza się informacja o wycieku danych, ataku hakerskim, podatności czy luce. Jak żyć? Przede wszystkim nie dać się zwariować. Robić kopie. Stosować dobry program “antywszystko”. Nie buszować po zakamarkach sieci. I w końcu zmienić hasło z nieśmiertelnego “1234” na zdecydowanie bardziej skomplikowane. | CHIP