Ataki w sieci bez stosowania szkodliwych programów

Data: 21-10-2013 r.

Eksperci z Kaspersky Lab oraz Outpost24 badali rozpowszechnianie niezałatanych luk w oprogramowaniu, aby lepiej zrozumieć krajobraz bezpieczeństwa IT. Raport pokazuje, że nawet niewyrafinowane ataki w sieci bez stosowania szkodliwych programów mogą zakończyć się powodzeniem.

Cyberprzestępcy nadal powszechnie wykorzystują znane błędy w zabezpieczeniach i nie ma w tym nic dziwnego, biorąc pod uwagę fakt, że załatanie luki zajmuje przeciętnie 60-70 dni – wystarczająco dużo czasu, aby osoby atakujące uzyskały dostęp do sieci korporacyjnej. Audyt bezpieczeństwa zespołu ekspertów ujawnił również, że cyberprzestępcy nie muszą przeprowadzać ataku w sieci stosując szkodliwe programy; wystarczy, że przeprowadzą ataki hakerskie na osoby zarządzające systemem.

Standardem jest łatanie wszystkich krytycznych luk w zabezpieczeniach w ciągu trzech miesięcy. Jednak 77% zagrożeń, które przekroczyły ten trzymiesięczny termin, było nadal obecne w systemie po upłynięciu roku od ich wykrycia. Zespół badawczy firmy Kaspersky Lab i Outpost24 zebrał dane dotyczące luk w zabezpieczeniach pochodzące z 2010 r. i znalazł systemy, które były narażone na ataki w sieci przez ostatnie trzy lata. Te niezałatane luki są uważane za krytyczne ze względu na łatwość, z jaką można je wykorzystać, oraz wpływ, jaki mogą mieć na systemy operacyjne. Co ciekawe, niektóre systemy korporacyjne pozostawały niezałatane przez dziesięć lat, mimo że firmy płaciły za specjalną usługę monitorowania ich bezpieczeństwa. W takiej sytuacji przeprowadzenie ataku w sieci bez stosowania szkodliwego programu jest bardzo łatwe.

Po zgromadzeniu danych wraz z zespołem Outpost24 David Jacoby - starszy specjalista ds. bezpieczeństwa z Kaspersky Lab - postanowił przeprowadzić eksperyment socjotechniczny, aby sprawdzić, jak łatwo można wpiąć pamięć USB do komputerów w instytucjach rządowych, hotelach i prywatnych firmach. Ubrany w garnitur i uzbrojony w pamięć USB zawierającą jedynie jego życiorys w formacie PDF, David zapytał personel w recepcji w 11 organizacjach, czy mógłby pomóc mu wydrukować dokument na umówione spotkanie w zupełnie niepowiązanym miejscu.

Grupa poddana audytowi bezpieczeństwa objęła trzy hotele z różnych sieci, sześć organizacji rządowych oraz dwie duże prywatne firmy. Na komputerach znajdujących się w organizacjach rządowych przechowywane są zwykle poufne informacje dotyczące obywateli, podczas gdy maszyny zlokalizowane w największych prywatnych firmach najprawdopodobniej zawierają połączenia sieciowe z innymi firmami, natomiast pięciogwiazdkowe hotele to miejsca, w których zatrzymują się podczas podróży dyplomaci, politycy i dyrektorzy najwyższego szczebla.

Tylko jeden hotel zgodził się podłączyć urządzenie Davida do swojego komputera; pozostałe dwa odmówiły. Firmy prywatne również odrzuciły jego prośbę. Jednak z sześciu odwiedzonych organizacji rządowych aż cztery pomogły Davidowi, wpinając jego pamięć USB do komputera. W dwóch przypadkach port USB był zablokowany, więc personel poprosił go, aby wysłał plik za pośrednictwem poczty e-mail.

Rafał Janus

Zobacz także:

Tagi: komputer