Rozmowa z Maciejem Sobiankiem, specjalistą ds. bezpieczeństwa w firmie Panda Security
Które techniki stosowane przez cyberprzestępców są najskuteczniejsze? Dlaczego?
Cyberprzestępcy, aby osiągnąć swój cel jakim jest pozyskanie cennej informacji wykorzystują obecnie wiele technik lub ich kombinacje. Aby zainfekować komputer ofiary cyberprzestępca musi przygotować odpowiednią złośliwą aplikację, która wykona określone zadanie np. wykradnie adresy ze skrzynki kontaktowej ofiary.
Taką aplikację złośliwą przestępca musi w pewien sposób dystrybuować. Rozsyła więc masowo odpowiednio spreparowane wiadomości zawierające informację przygotowaną w oparciu o pewne techniki inżynierii społecznej. W takim wypadku mówimy więc o wykorzystaniu zarówno aplikacji złośliwych, technik socjotechnicznych (Phishing), a także o masowo rozsyłanej korespondencji niepożądanej (SPAM).
Nieustannie obserwowany jest wzrost ilości najbardziej obecnie popularnych zagrożeń – trojanów bankowych. Z dnia na dzień pojawiają się kolejne, nowe odmiany tego typu niebezpiecznego kodu. Obecnie bardzo \”popularnym\” wśród przestępców działaniem jest łączenie trojanów z rootkitami.
Zainfekowanie głównego rekordu rozruchowego dysku twardego przez rootkita pozwala na manipulację całym systemem operacyjnym, co daje możliwość ukrycia wewnątrz systemu trojana bankowego monitorującego określone operacje.
Poważnym problem są także sieci botnet, które w dużej mierze zagrażają także użytkownikom banków. Po przejęciu kontroli nad komputerem przestępca może przechwycić i przekierować komunikację naszego komputera ze strony banku na ówcześnie spreparowaną witrynę lub wykorzystać nasz komputer do rozsyłania spamu lub infekowania innych maszyn. Biorąc pod uwagę fakt, iż sieci botnetowe mogą gromadzić nawet kilka milionów komputerów zagrożenie jest bardzo poważne.
Przeprowadzane na masową skalę ataki phishingowe w dużej mierze koncentrują się na użytkownikach elektronicznych kont bankowych, jednakże ze względu na coraz skuteczniejsze systemy zabezpieczające konta oraz złożone procedury autoryzacji zauważalny jest wzrost zainteresowania np. wykradaniem haseł dostępowych do gier online. Wbrew pozorom niektóre konta gier sieciowych są bardzo wartościowe i sprzedając takie konto na aukcji internetowej przestępca może zdobyć dużą sumę.
Czy kryzys finansowy ma wpływ na działania cyberprzestępców?
Według naszych analiz istnieje bezpośredni związek między niestabilną sytuacją na giełdzie i zwiększeniem ilości nowych zagrożeń. Te dwie sprawy są ze sobą bardziej powiązane, niż to się wcześniej wydawało.
Organizacje przestępcze uważnie obserwują sytuację na rynku i dostosowują się do niej zależnie od potrzeb – celem jest jak największy zysk. Przestępcy nie polegają już tylko na phishingu i wyciąganiu z jego pomocą informacji od banków. Zwiększyli aktywność na innym polu, aby swoim zasięgiem objąć jak największą liczbę użytkowników, zwłaszcza w okresie gdy gospodarka światowa jest tak niestabilna.
Można przypuszczać, że w obecnej sytuacji w przyszłości istnieć będzie mniej banków, a niestabilność w środowisku finansowym czyni z niego mało atrakcyjny cel. Sytuacja ta spowodowała nasilenie się innych zagrożeń, jak np. adware, który w normalnych okolicznościach byłby mniej popularny niż trojany. Zauważono także znaczny wzrost liczby fałszywych programów antywirusowych, przekonujących niczego nie podejrzewającego użytkownika do dokonania zakupu w sieci.
Czy w ostatnim czasie pojawiły się jakieś nowe sposoby wyłudzania informacji?
Zainfekowanie komputera złośliwym oprogramowaniem, a następnie pozyskanie za jego pomocą cennych danych z pewnością długo jeszcze będzie jednym z najczęściej spotykanym sposobem wykradania informacji.
Obserwujemy nieustanny rozwoju złośliwego oprogramowania tworzonego przez cyberprzestępców. Procentowy udział wirusów oraz oprogramowania typu adware tak jak i w ubiegłych latach maleje natomiast w sieci pojawia się coraz więcej trojanów, aplikacji szpiegujących, rootkitów oraz narzędzi takich jak \”MPack\”. Przeprowadzane są ciche ataki mające na celu przejęcie kontroli nad komputerem, pozyskanie jego zasobów lub wykorzystanie go do kolejnych ataków.
Innym często spotykanym atakiem, mającym na celu wyłudzenie informacji, jest atak typu phishing. Poprzez odpowiednią manipulację cyberprzestępca jest w stanie wyłudzić od swojej ofiary cenne informacje. Metody postępowania pozostają zbliżone, zmienia się jedynie tło całej operacji.
Nowością może być chociażby wykorzystanie do tego celu portali społecznościowych. Cyberprzestępca podający się za naszego dawnego kolegę ze szkoły może poprosić nas chociażby o podanie naszych danych teleadresowych oraz kontaktów do innych osób ze szkoły.
Na pozyskanie jakiego rodzaju danych są nastawieni cyberprzestępcy? W jaki sposób je zdobywają?
W ostatnim czasie najbardziej popularne stało się wykradanie numerów kart kredytowych, danych dostępowych do kont bankowych, portali społecznościowych, witryn aukcyjnych bądź sklepów internetowych. Cennym kąskiem są także bazy teleadresowe.
Należy jednak pamiętać iż każda, nawet pozornie mało istotna informacja może być niezwykle cenna dla cyberprzestępcy. Składając i analizując kilka pozornie nieistotnych elementów cyberprzestępca uzyskać może interesujące go informacje. Przeprowadzane są coraz częściej ataki targetowane na konkretne firmy bądź grupy ich klientów. Celem takiego ataku może paść tajny projekt prowadzony przez daną firmę, plany biznesowe, baza kontrahentów lub informacje finansowe.
Panda Security udostępniła skanowanie online. Jak duże jest zainteresowanie tą usługą?
Wraz z wprowadzeniem technologii Collective Inteligence Panda Security rozpoczęła akcję \”Infected or Not\”. Głównym celem akcji jest uświadomienie użytkownikom obecnego zagrożenia oraz pokazanie słabej efektywności standardowej ochrony antywirusowej.
Użytkownicy domowi za pomocą aplikacji Panda ActiveScan 2.0 mogą sprawdzić poziom bezpieczeństwa swojego systemu. Oprócz zaawansowanej funkcji dogłębnej analizy plików weryfikowany jest poziom ochrony oferowany przez aktualnie zainstalowane oprogramowanie, a także sprawdzany jest system pod kątem obecności krytycznych luk. Dla firm przygotowane zostało specjalne narzędzie o nazwie Panda Malware Radar, które umożliwia administratorowi przeprowadzenie audytu bezpieczeństwa stacji roboczych oraz serwerów.
Zainteresowanie akcją jest ogromne, nie tylko wśród klientów firmy Panda Security. Dotychczas przeskanowano 4 473 887 komputerów, z czego zainfekowanych było ponad 693 tysięcy.
Co to jest Kolektywna Inteligencja i technologia TruPrevent? W jaki sposób są wykorzystywane w ochronie przed złośliwym oprogramowaniem?
Technologie TruPrevent to mechanizm pozwalający na skuteczne wykrywanie i blokowanie najnowszych wirusów, bez potrzeby wcześniejszego przebadania ich w laboratoriach antywirusowych.
Obecne rozwiązania antywirusowe są skuteczne w wykrywaniu i eliminowaniu rozpoznanych wirusów. Mają jednak słaby punkt: muszą czekać, aż wirus się pojawi i zostanie przeanalizowany – nie chronią przed wirusami, które nie znajdują się w bazie sygnatur. Technologie TruPrevent wypełniają tę lukę – chronią komputer przed nieznanymi wirusami i atakami.
Dzięki zaawansowanym technikom analizy behawioralnej TruPrevent potrafi wykryć niepożądane i groźne zachowanie się kodu przed jego aktywacją i zablokować zagrożenie zanim nastąpią jakiekolwiek zmiany w systemie chronionego komputera. Mechanizm ten analizuje więc zachowanie wszystkich programów, które przepuściło tradycyjne rozwiązanie antywirusowe i podejmuje decyzje, czy stanowią one zagrożenie i należy je blokować, czy też nie.
Coraz więcej firm produkujących oprogramowanie antywirusowe implementuje w swych rozwiązaniach metodę skanowania heurystycznego. Co prawda heurystyka jest krokiem w kierunku walki z nieznanymi zagrożeniami, jednak jest znacznie mniej efektywna niż TruPrevent gdyż opiera się na zasadzie wykrywania prostych podobieństw charakterystycznych znanym już wirusom.
TruPrevent to działanie znacznie szersze. Przede wszystkim jest to analiza behawioralna, a nie szukanie podobieństw. Nawet w przypadku wykrycia kodu zupełnie zaskakującego i niespotykanego dotychczas technika ta potrafi rozpoznać, czy jest on niebezpieczny czy nie. Poza wykrywaniem nieznanych wirusów TruPrevent blokuje ataki sieciowe (takie jak przeprowadzane przez Sasser\’a lub Blaster\’a), próby włamań i penetracje zabezpieczeń. W tym sensie technologia ta stanowi uzupełnienie także dla rozwiązań typu firewall. Firewall zezwala lub zabrania na konkretną komunikację komputera z Internetem. TruPrevent idzie krok dalej i skanuje informacje przechodzące przez firewall w celu identyfikacji potencjalnych ataków i zagrożeń.
Aplikacja antywirusowa nie wystarczy już, by w pełni chronić nas przed atakami. Aby system ochrony użytkowników był efektywny i w pełni chronił przed najnowszymi zagrożeniami technologie ochronne muszą być stale rozwijane. Wraz z implementacją nowych modułów ochronnych pełen system zabezpieczający stawia coraz większe wymagania techniczne.
Aby zapewnić maksymalne bezpieczeństwo użytkownikowi przy minimalnym wykorzystaniu zasobów lokalnego komputera stworzona została Technologia Collective Intelligence. Dzięki niej wiele procesów, które przetwarzane były na lokalnym komputerze przeniesionych zostało \”w chmury\” czyli do centralnego serwera laboratorium PandaLab. Każdy komputer korzystający z technologii Collective Intelligence staje się sensorem zbierającym informacje. Każde nieznane zagrożenie, każdy podejrzany proces zostaje zaraportowany do systemu przetwarzającego.
System ten ma za zadanie zbierać i przetwarzać informacje spływające z całego świata. Dzięki globalnej współpracy, szybkość reakcji na nowe zagrożenie jest błyskawiczna. Większość operacji jest całkowicie zautomatyzowana, zarówno zbieranie i wysyłanie informacji jak również ich przetwarzanie i generowanie szczepionek.
Czego się wystrzegać, aby uchroni swój komputer przed atakiem?
Korzystając z internetu, nigdy nie mamy stuprocentowej pewności bezpieczeństwa. Jednakże przestrzegając kilku podstawowych zasad możemy znacznie ograniczyć czyhające na nas niebezpieczeństwo:
1. Nie instalujmy nieznanych aplikacji, kodeków czy sterowników. Coraz częściej przy wejściu na witrynę pojawia się komunikat o konieczności instalacji nowej wersji kodeka lub aplikacji pozwalającej na wyświetlenie zawartości strony. Najlepiej skierujmy się bezpośrednio na stronę producenta danej aplikacji i to z niej pobierzmy niezbędne oprogramowanie.
2. Nie korzystajmy stale z jednego hasła. Do każdego systemu stwórzmy inne hasło i zmieniajmy je co pewien czas. Wykorzystywane hasła powinny zawierać cyfry, duże oraz małe litery jak i znaki specjalne.
3. Unikajmy publikowania posiadanego adresu email na stronach WWW, forach, portalach.
4. Nie otwierajmy załączników od nieznajomych.
5. Nie wchodźmy na strony banków, sklepów, portali za pomocą linków. Samodzielnie uruchamiajmy przeglądarkę i wprowadzajmy adres witryny (do logowania się wykorzystujmy sposób bezpieczny – połączenie szyfrowane https://).
W jaki sposób powinien postępować użytkownik, by wystrzegać się złośliwego oprogramowania?
Podstawą w walce z zagrożeniami jest aplikacja zabezpieczająca nasz komputer. Bez odpowiednio dobranego pakietu ochronnego nie możemy skutecznie walczyć z zagrożeniami.
Stosowany przez nas pakiet powinien zawierać moduły chroniące nas przez znanymi wirusami, trojanami, robakami, narzędziami szpiegującymi oraz innym złośliwym oprogramowanie. Ważne jest aby taki system zawierał także moduł analizy heurystycznej i behawioralnej, dzięki któremu nasz system będzie skutecznie chroniony przed nieznanymi jeszcze zagrożeniami.
Podstawą takiego pakietu jest również zapora sieciowa (firewall). Dzięki niej nie będą nam grozić bezpośrednie ataki z Internetu.
Osoby wykorzystujące oprogramowanie zabezpieczające wiedzą, iż należy aktualizować je codziennie natomiast nieliczne osoby podobną zasadę stosują w odniesieniu do posiadanego systemu operacyjnego. Nieustanna aktualizacja systemu operacyjnego jest równie ważna jak aktualizacja baz sygnatur aplikacji zabezpieczającej. Najlepszym wyjściem jest więc aktywowanie funkcji automatycznej aktualizacji systemu operacyjnego.
Przed przystąpieniem do transakcji online powinniśmy sprawdzić autentyczność witryny, na której się znajdujemy. Zweryfikujmy wygląd witryny, zwróćmy też uwagę na szczegóły (układ menu, kolorystyka, czcionki, błędy językowe). Jeżeli dostępna jest opcja połączenia szyfrowanego HTTPS: (literka S oznacza połączenie bezpieczne) zawsze z niej korzystajmy.
Przed wprowadzeniem danych identyfikacyjnych sprawdźmy certyfikat witryny. W prawym dolnym rogu pojawi się kłódeczka – po kliknięciu na nią pojawi się szczegółowa informacja o certyfikacie (kto i dla kogo, dla jakiej witryny wystawił dany certyfikat).
Nie wprowadzajmy danych identyfikacyjnych w wyskakujące okienka typu POP UP. Banki lub inne serwisy nigdy nie wykorzystują takich mechanizmów logowania – takie okienko nie może być oznaczone certyfikatem.
