Gwałtowny rozwój Internetu w ciągu ostatniej dekady tylko ułatwił przestępcze działania. W znacznej mierze zostały one przeniesione do globalnej sieci, dającej nierzadko anonimowość i bezkarność. Czy współczesne zagrożenia, z jakimi muszą borykać się właściciele małych i dużych firm, są do siebie bardzo zbliżone?
Jako przykład rozpatrzmy rozproszone ataki odmowy do usługi (ang. Denial of Service). Przeprowadzanie skutecznego DDoS-a możliwe jest dzięki zbudowaniu sieci kontrolowanych komputerów, smartfonów, a nawet urządzeń IoT, które zarządzane są przez scentralizowane lub zdecentralizowane serwery kontrolno-zarządzające (Command and Control; C&C).
Zainfekowane urządzenia są to najczęściej maszyny umiejscowione w rozproszonej strukturze sieci botnet i wykorzystywane m.in. do dostarczania spamu na masową skalę zalewając miliony skrzynek pocztowych w ciągu kilku sekund, ataków DoS / DDoS, ataków słownikowych (brute force) poprzez crackowanie loginów i haseł, kradzieży tożsamości i oszustw internetowych w następstwie których wykradane są prywatne informacje z zainfekowanych komputerów. Aby można było mówić o skuteczności botnetu, taka sieć musi zawierać setki lub tysiące urządzeń, które razem dysponują zasobami niezbędnymi do wykonywania szkodliwych działań na wielką skalę.
W jaki sposób dołączyć do sieci botnet?
Oczywiście na skutek działania szkodliwego oprogramowania. Złośliwe aplikacje, by zainfekować urządzenie wykorzystuje luki i nieaktualne oprogramowanie w systemie, podczas gdy pracownik swobodnie surfuje po sieci. Malware dostarczane pod postacią trojanów lub spornego oprogramowania może być wysyłane bezpośrednio do skrzynki pocztowej jako załącznik przez spamerów lub nawet przez zainfekowany komputer jednego ze współpracowników.
W konsekwencji tych działań komputer staje się częścią botnetu — sieci zainfekowanych i powiązanych ze sobą urządzeń zwanych zombie (nazwa pochodzi od bezmyślnych zombie kierujących się tylko chęcią atakowania wszystkiego, co żywe), które sterowane są z drugiego końca świata. Zainfekowane firmowe urządzenie stanowić będzie nie tylko wewnętrzny problem — naruszone zostanie całe bezpieczeństwo firmy — zasoby systemowe i przepustowość łącza mogą zostać wykorzystywane do ataków na innych nieświadomych użytkowników. Ogromny potencjał jaki drzemie w zakresie cyberprzestępczości sprawia, że eksperci zajmujący się tą tematyką uważają botnety za najbardziej niebezpieczne zjawisko w Sieci.
Przykłady? Bardzo proszę
Za najbardziej rozpowszechnioną na świecie sieć uważa się botnet ZeuS, który w okresie swojej świetności posiadał ponad 51 milionów wykradzionych loginów i haseł z zainfekowanych komputerów. Na całe szczęście skoordynowane działania wielu organów ścigania oraz prywatnych ekspertów z całego świata doprowadziły do zamknięcia botnetu w 2014 roku oraz pociągnięcia do odpowiedzialności prawnej ich twórców.
Nie mniej groźnym w skutkach był botnet Graftor, który na komputery swoich ofiar pobrał 22 miliony złośliwych plików wykorzystywanych do celów przestępczych. Niewiele ustępuje mu botnet Ramnit — jego twórcom udało się „zgromadzić” ponad 13 milionów wykradzionych poświadczeń bankowych z komputerów zombie. I niewiele mnie groźnym w skutkach okazał się botnet Sality, który może „pochwalić się” mniejszą liczbą wykradzionych poufnych informacji, ale skradzione prywatne dane w liczbie „jedynie” 11 milionów rekordów i tak robią wrażenie.
Warto jeszcze wspomnieć o Conficker — chociaż ta zdecentralizowana sieć komputerów nie może pochwalić się takimi statystykami, jak wyżej wymienione odpowiedniki, to posiadał bardzo unikalną cechę, która wyróżnia go na tle innych botnetów — potrafił wyłączyć zabezpieczenia systemu operacyjnego (w tym oprogramowanie antywirusowe wbudowane w system Windows lub dostarczone przez firmę trzecią) oraz instalować robaki umożliwiając swoim twórcom zdalne podłączenie się do 12 milionów komputerów z całego świata.
Czy istnieje skuteczny sposób na ochronę?
Aby nie stać się ofiarą szkodliwego oprogramowania i nie dołączyć do sieci botnet, wymaga się przestrzegania pewnych środków bezpieczeństwa.
W pierwszej kolejności stacje robocze i urządzenia powinny być chronione renomowanym oprogramowaniem zabezpieczającym.
Zalecana jest wyjątkowa ostrożność podczas otwierania wiadomości e-mai. Jak zwykle w tym zakresie pracownicy muszą poznać metody działania przestępców i przyswoić sobie umiejętność analizowania wiadomości pocztowych — a więc niezbędne okazują się szkolenia (w tym przeznaczone środki finansowe na bezpieczeństwo), jednak korzyści wynikające ze świadomych zagrożeń pracowników będą nieporównywalnie większe od podniesionej inwestycji.
Przed otworzeniem załączników należy dokładnie sprawdzić szczegóły wiadomości. Chociaż nadawca wydaje się być wiarygodną osobą lub firmą, nie zawsze okazuje się tym, za kogo się podaje.
Większość problemów z atakami drive-by wykorzystującymi luki w systemie i zainstalowanym oprogramowaniu da się rozwiązać poprzez aktualizowanie programów i aplikacji. W ten sposób firma uniknie przypadkowe ataki wykorzystujące podatności, co utrudni działanie przestępcom oraz tym hackerom, którzy stoją po niewłaściwej stronie.
