Eksperci zajmujący się bezpieczeństwem od lat przestrzegają przed elektronicznym Pearl Harbour, jednak mało kto traktuje te ostrzeżenia poważnie. Jakie działania są podejmowane, by chronić nas przed cyberterroryzmem i jakie kroki może podjąć każdy, by przeciwdziałać zagrożeniom online?
Na początku roku rząd USA próbował włamać się do niektórych kluczowych
komputerów w Wielkiej Brytanii, co było częścią szeroko zakrojonych gier
wojennych mających na celu przetestowanie podatności na cyberataki. W różnych
ćwiczeniach, trwających przez kilka miesięcy, wojsko USA i różne uniwersytety
sprawdzały umiejętności kadetów i studentów z zakresu bezpieczeństwa. Jaki był z
nich pożytek? I jak miały się do zagrożeń, które można spotkać w realnym
świecie?
Operacja Cyber Storm to tygodniowe ćwiczenia, które symulują efekt
ataku online na duża skale i angażują więcej niż 100 publicznych i prywatnych
agencji, banków, elektrowni i firm z branży IT, takich jak Microsoft, Cisco i
VeriSign. Zorganizował je Department of Homeland Security przy wsparciu
brytyjskiego Ministerstwa Obrony oraz NISCC (http://www.niscc.gov.uk), który w
ramach MI5 zajmuje się minimalizowaniem ryzyka elektronicznych ataków w Wielkiej
Brytanii.
Dla potrzeb symulacji przećwiczono różne scenariusze obejmujące próbę
włamania do elektrowni i wyłączenia jej. Pełny raport zawierający wyniki ma
zostać opublikowany późnym latem. Urząd Spraw Wewnętrznych (Home Office)
potwierdził, że podobne ćwiczenia maja być przeprowadzone w Wielkiej Brytanii,
ale nie podano jeszcze szczegółów.
Uniwersytety i akademie wojskowe w całych
Stanach Zjednoczonych testowały ostatnio umiejętności studentów w obronie sieci
przeciw działaniom intruzów. Szóste roczne ćwiczenia Cyber Defence, sponsorowane
przez Agencje Bezpieczeństwa Narodowego (NSA), zgromadziły kadetów i przyszłych
marynarzy w potyczce przeciwko ekspertom od bezpieczeństwa z NSA w symulowanej
cyberwojnie, której zwycięzcami zostali przedstawiciele Air Force Academy.
Drużyna niebieskich miała za zadanie ochronę swojej sieci przed drużyna
czerwonych, której zadaniem było, na przykład, zaradzenie się do sieci i
dodanie użytkowników mogących uzyskać nieautoryzowany dostęp.
W innym
przykładzie hakerzy NSA starali się zamknąć komputer strzeżony przez
zespół reprezentujący marynarkę, zostawiając po swoich działaniach jedynie
niebieski ekran. Uczestnicy zostali podzieleni ze względu na to, jak zareagowali
na zdarzenie, jak dawali sobie rade i jak szybko przywracali system do
działania. Kevin Hicks, kadet z Akademii Wojskowej US powiedział: – Musieliśmy
zmienić strukturę naszej sieci w ostatniej sekundzie, by sprostać wymaganiom
postawionym przez White Cell (sędzia). Nowa struktura obejmowała nowy ruter,
który sieciowy inżynier nadal konfigurował, gdy już zaczęło się ćwiczenie.
Niestety, wróg był w stanie włamać się do rutera i zmienić konfiguracyjne hasło
przed nami. Zostaliśmy zablokowani na własnym ruterze.
Obrona narodu
10 porad chroniących przed cyberatakami:
- Instalujmy firewalle, które muszą być stale włączone.
-
Korzystajmy z oprogramowania antywirusowego
i antyszpiegowskiego, które musi być stale aktualne. - Regularnie aktualizujmy system operacyjny.
-
Usuwajmy usługi, które nie są potrzebne i zamykajmy
porty. Usuńmy wszystkie niepotrzebne aplikacje,
które uruchamiają się wraz ze startem systemu. -
Poznajmy własną sieć LAN – będziemy wówczas
wiedzieć, gdy zdarzy się cooe nienaturalnego. -
Za pomocą narzędzi do łamania haseł sprawdźmy
siłę naszych haseł. - Usuńmy wszystkie strony phpinfo.
- Twórzmy kopie bezpieczeństwa.
-
Upewnijmy się, że domyślny port Secure Shell nie
jest ustawiony na 22 i używajmy tylko Protocol 2. -
Aby nie dopuścić, by haker skorzystał z komendy
wget do pobierania plików na serwer sieciowy,
zmieńmy nazwę pliku (np. na real_wget).
W pierwszych zawodach National Collegiate Cyber Defense Competition wyłoniono 5
zwycięskich drużyn z regionalnych rund kwalifikacyjnych miedzy uniwersytetami
w USA. Zawody odbywały się w Center for Infrastructure Assurance and Security na
stanowym uniwersytecie w Teksasie.
Greg White, dyrektor, wyjaśnia: – Dzięki
stworzeniu warunków, studenci mogli przetestować swoje umiejętności. Zadaniem
zespołów było utrzymanie sieci i zachowanie działających serwisów, takich jak
strona WWW i serwer pocztowy. Byli także odpowiedzialni za zabezpieczenia sieci
w obliczu wrogich ataków.
Ćwiczenia tego rodzaju maja odzwierciedlać warunki
panujące w realnym świecie. – Studenci regularnie chcą zamykać system po to, aby
go zabezpieczyć – mówi White. – Jednak, gdy jest to jedyny system, na którym
działają usługi firmowe, firma nie może pozwolić na jego zamkniecie, ponieważ
może to oznaczać wymierne straty. Od administratorów wymaga się zabezpieczenia
systemów, przy jednoczesnym zachowaniu ich funkcjonalności.
Te współzawodnictwo
nie skupiało się na możliwych atakach cyberterrorystów, raczej na atakach z
jakimi spotykamy się na co dzień.
Czy cyberterroryzm istnieje?
Pomimo ostrzeżeń, eksperci zajmujący się bezpieczeństwem są podzieleni co do
istnienia zagrożeń ze strony cyberterroryzmu. Steve Nice, dyrektor techniczny
ForLinux (http://www.forlinux.co.uk), mówi: – W mojej opinii zagrożenie jest
minimalne.
Jak stwierdzono w wielu raportach, nie odnotowano ataku, który zakończyłby się
sukcesem. Może to wynikać z przyjętej definicji \”cyberterroryzmu\”. Laikowi
może przyjść do głowy obraz Arabów pochylonych nad klawiatura, wyłączających
elektrownie, doprowadzających samoloty do katastrof i otwierających zapory.
W
teorii jest to możliwe, w rzeczywistości już nie. Bruce Schneier, guru
bezpieczeństwa i założyciel Counterpane Internet Security
(http://www.couterpane.com), od lat głosi, że przedstawiciele rządu nadużywają
określenia \”cyberterroryzm\”, aby zapewnić sobie większy budżet. Jego zdaniem
haker Irhabi 007 z Al Kaidy to przykład zachwiania proporcji.
– Irhabi 007 nie jest bardziej cyberterrorysta niż pan cyberreporterem. Był
terrorysta, który tak jak każdy o którym wiem, skorzystał z internetu do
zrobienia swojej roboty. Cyberterroryzm to mit. Cyberprzestepstwa to realne
zagrożenie.
To dlatego ćwiczenia z cyberbezpieczeństwa są nadal istotne.
Cyberprzestępstwa zdarzają się codziennie.
– Najprostszym sposobem dla organizacji, która chce być na nie przygotowana, jest
dysponowanie Brygada Tygrysa, stale testująca zabezpieczenia w najbardziej
wyszukany sposób
– mówi Drew Copley, inżynier w eEye Digital Security
(http://www.eeye.com). – W rzeczywistym
świecie nie musimy się przejmować znanymi atakami.
To, czym musimy się przejmować, to ataki
o których nic nie wiemy.
W obliczu zalewu złośliwego oprogramowania
prawdziwe zagrożenie kryje się w uzyskiwaniu informacji
czemu służą włamania.
– Jeśli ktoś włamuje się do elektrowni atomowej,
jest mało prawdopodobne, że może spowodować
jej wybuch. Jednak prawdopodobnie może zdobyć informacje o elektrowni, które później
mogą posłużyć do przeprowadzenia już fizycznego
ataku – mówi Copley.
Rosyjska mafia
Robert Chapman, współzałożyciel Training Camp
(http://www.trainingcoamp.co.uk), prowadzącego
kursy etycznego hakingu, na temat sposobów
myślenia hakerów opowiedział, jak instytucje
finansowe sa nieustannie zagrożone przez
rosyjska mafie. Niektóre serwisy hazardowe płaca
okup, gdyż kryminaliści grożą im wyłączeniem
ich witryn, co dla nich oczywiście równałoby się
finansowemu kataklizmowi.
Bez względu na ostrzeżenia, większość biznesmenów
nadal nie jest wystarczająco przygotowana
na ataki.
– Bezpieczeństwo zawsze trudno się sprzedawało
– przyznaje Oxblood Ruffin, członek Cult of
the Dead Cow (http://www.cultdeadcow.com).
– Umieszczenie pieniędzy w bezpiecznych miejscach
jest jak kupowanie polisy – po prostu konieczne.
Każdy z szerokopasmowym dostępem do sieci i stale włączonym komputerem jest
częścią problemu. Stad tak ważne są podstawowe działania, takie jak aktualne
oprogramowanie antywirusowe i firewall. To podstawy, które powinni znać wszyscy.
Training Camp Roberta Chapmana zgadza się z tym, lecz wskazuje, że skupianie się
na urządzeniach mających zapewnić bezpieczeństwo i oprogramowaniu to nie
wszystko.
W pewnym opublikowanym niedawno opracowaniu stwierdzono, że 70%
wszystkich dziur bezpieczeństwa wewnątrz organizacji związanych jest z
człowiekiem – wyjaśnia. – Czynnik ludzki to najsłabszy punkt w łańcuchu ze
względu na ludzka chciwość i słabości. Przykładowo, tuż po huraganie Katrina
cyberzłodzieje wykorzystali publiczna chęć udzielenia pomocy i przejęli
pieniądze od hojnych darczyńców za pośrednictwem fikcyjnych stron
charytatywnych.
Aby to sprawdzić, Training Camp przeprowadził ostatnio
eksperyment, w którym rozdano 100 płyt CD w okolicy stacji Liverpool Street w
Londynie. Na CD znajdowała się obietnica połączenia ze strona na której można
było wygrać wycieczkę do Paryża. CD przesyłało też raport z adresem IP osoby,
która z niego skorzystała. Blisko 70% płyt, na których mogło znajdować się
mnóstwo złośliwego oprogramowania, włożono do napędów firmowych komputerów,
włączając w to dwie firmy ubezpieczeniowe i znajdujący się w pierwszej czwórce
brytyjski bank. – To była próbka inżynierii społecznej – mówi Chapman. –
Zabezpieczenia banku i firm ubezpieczeniowych zostały ominięte fizycznie przez
kogoś, kto przyniósł CD w teczce i przeszedł przez drzwi.
Tak wiec, skądkolwiek
nie przyszłoby zagrożenie, czy to od terrorystów, rosyjskiej mafii lub nudzących
się nastolatków, musimy być właściwie przygotowani. Ćwiczenia z
cyberbezpieczenstwa to dobry pomysł, bez względu na to, czy prowadza je
uniwersytety, wojsko, kręgi biznesowe czy osoby prywatne. Jeśli nie będziemy
stale testować naszych zabezpieczeń, ktoś gdzieś może znaleźć lukę i wtedy jest
już za późno.
Najwieksze światowe włamania
Haker: Gary McKinnon aka Solo
Włamanie do ponad 90 systemów komputerowych
NASA i armii Stanów Zjednoczonych.
Cel: znalezienie dowodów na istnienie UFO
W latach 2001-2002 39-letni bezrobotny administrator sieci Gary
MCKinnon włamał się sieci zarządzanych przez Pentagon, armię
USA, Siły Powietrzne i NASA po to, by znaleźć dowody na
istnienie UFO. Obecnie trwa próba jego ekstradycji do Stanów
Zjednoczonych, gdzie spędziłby blisko 70 lat w więzieniu za największe
włamanie do komputerów wojskowych wszech czasów.
Haker: John Draper aka Captain Crunch aka Crunchman
Włamanie do telefonicznego systemu komputerowego.
Cel: bezpłatne dzwonienie
W latach 70. John Draper, pierwszy telefoniczny phreaker, zauważył, że małe plastykowe gwizdki, które dołączano do płatków
zbożowych Cap\’n Crunch produkują dźwięki o częstotliwości
2600 Hz. Zbudował urządzenia, które w połączeniu z gwizdkiem
umożliwiały wykonywanie bezpłatnych telefonów na cały
świat. Później Draper podzielił się swoją wiedzą ze Stevem
Jobsem i Steve Wozniackiem, którzy założyli Apple\’a.
Haker: Kevin Poulsen aka Dark Dante
Włamanie do sieci telefonicznej w Los Angeles.
Cel: wygranie Porsche 944S2
Jednym z najbardziej znaczących wyczynów Kevina Poulsena
było włamanie do linii telefonicznych Los Angeles w 1990 r.
Wszystko po to, by zostać 102 dzwoniącym do lokalnej rozgłośni radiowej, która ufundowała nagrodę w postaci Porsche.
Został skazany na 51 miesięcy więzienia i zapłatę 56 tys. $.
Jest teraz redaktorem w Wired News.
Haker: Kevin Mitnick aka The Condor
Włamanie do systemów komputerowych Nokii,
Fujitsu, Motoroli i Sun Microsystems.
Cel: inżynieria społeczna
Pierwszy haker, który znalazł się na liście FBI najbardziej poszukiwanych
jako ten, który rzekomo skradł dziesiątki tysięcy numerów
kart kredytowych i skopiował warte miliony dolarów oprogramowanie
komputerowe, zanim został aresztowany w 1995 roku.
Mitnick, który spędził w więzieniu 5 lat, postrzega siebie bardziej
jako inżyniera społecznego niż hakera. Obecnie prowadzi
firmę zajmującą się konsultingiem z dziedziny bezpieczeństwa.
Haker: Mafiaboy
Włamanie do eBaya, Amazona, CNN, Yahoo! i Della.
Cel: sianie spustoszenia
W 2000 r. 15-letni kanadyjski uczeń uzyskał dostęp do 75 komputerów
w 52 sieciach i rozpoczął atak typu DoS, który szacunkowo
wywołał straty rzędu 1,7 mld $. Mafiaboy był zaledwie dzieciakiem
stosującym skrypt, korzystającym z narzędzi otrzymanych od innych
ludzi. Obecnie redaguje kolumnę poświęconą internetowemu
bezpieczeństwu w gazecie codziennej ukazującej się w Montrealu.
