W 2015 roku było wiele historii związanych z bezpieczeństwem. Zawężenie listy do 10 z nich jest dosyć trudnym zadaniem, jednak aby pozostać neutralnym, zdecydowałem się wybrać te najbardziej popularne w serwisie Threatpost. Z pewnością każdy, kto interesuje się obszarem IT lub bezpieczeństwem, będzie miał swoją własną listę top 10, dlatego starałem się jak najbardziej być bezstronny – to nie ja wybrałem te historie, ale czytelnicy. Jeśli masz inne zdanie lub czujesz, że pominąłem jakieś istotne incydenty, możesz do mnie napisać w komentarzu do tego wpisu. Poniżej znajdziesz listę Top 10 historii związanych z bezpieczeństwem z 2015 roku.
W tym roku lista została podzielona na pięć kluczowych kategorii:
- zagrożenia dla użytkowników końcowych, które działają potajemnie,
- najmniej oczekiwane luki: bezpieczeństwo Internetu Rzeczy, sprzętu AGD i urządzenia sieci przemysłowych,
- kwestie związane z szyfrowaniem,
- znane luki w popularnych platformach oraz zaawansowane cyberzagrożenia, a także przykłady najbardziej zaawansowanych ataków,
- zwykłe, choć niebezpieczne luki w popularnym oprogramowaniu.
Zaczynamy!
Zagrożenia dla użytkowników końcowych
#10 Trojan w serwisie Facebook, zauważony w styczniu (klik). Ponad 110 000 użytkowników Facebooka zainfekowało swoje urządzenia trojanem poprzez kliknięcie szkodliwych odnośników w sieci społecznościowej.
Niestety w przypadku większości użytkowników internetu zagrożenia te występują niejako przy okazji cyberwojny pomiędzy cyberprzestępcami a dobrymi ludźmi. Przykładem może być trojan ukrywający się pod postacią aktualizacji Adobe Flash i instalujący na komputerze ofiary keyloggera. My nieustannie śledzimy tego rodzaju incydenty, ale rzadko tworzymy z nich jakąś listę, ponieważ eksperci bezpieczeństwa nie są zazwyczaj nimi zbyt podekscytowani.
Jednak te „tradycyjne” zagrożenia bezpieczeństwa pozostaną główną bolączką zarówno dla użytkowników prywatnych, jak i korporacyjnych. Sposoby ochrony przed nimi są całkiem proste i oczywiste i wcale nie zostają w tyle, a mimo to ataki podobne do tego styczniowego (z trojanem na Facebooku) dotknęły dziesiątki tysięcy użytkowników. Może więc warto wysilić się i spróbować zwiększyć świadomość publiczną odnośnie technik ochrony, aby działać kompleksowo.
Ataki na Internet Rzeczy, rutery domowe i sieć przemysłową
Co mają wspólnego zdalne kontrolery do drzwi garażowych i oprogramowanie sieciowe firmy Cisco? W obu przypadkach zabezpieczenia są na niewystarczającym poziomie.
Podczas gdy użytkownicy i dostawcy traktują bezpieczeństwo jako istotny element w przypadku tradycyjnych komputerów i urządzeń, przykładają mniejszą wagę do swoich „inteligentnych” urządzeń. Przy okazji Internetu Rzeczy często pomija się, że urządzenia te są wszechstronnymi komputerami, co automatycznie przekłada się na brak zabezpieczeń oraz może prowadzić do np. wycieków.
Jeśli chodzi o ataki na tego rodzaju urządzenia, było wiele historii, które wyróżniły się w serwisie Threatpost. #9 W 2014 roku badacze bezpieczeństwa z Check Point odkryli lukę, która dotknęła 12 milionów ruterów domowych (klik). Specjalnie przygotowany pakiet został użyty do zainfekowania interfejsu sieciowego ruterów. #8 W czerwcu 2015 roku w zabezpieczeniach firmy Cisco odkryto zapisane na stałe domyślne klucze SSH (klik), lecz był to tylko jeden z wielu przypadków, gdy takie luki zostały odkryte w urządzeniach sieciowych i oprogramowaniu.
#7 Znany badacz bezpieczeństwa Samy Kamkar odkrył, że zdalne kontrolery drzwi garażowych, które są całkiem popularne w Stanach Zjednoczonych, także nie świecą przykładem, jeśli chodzi o bezpieczeństwo (klik). Zhakowanie kluczy metodą siłową może zająć około 30 minut, lecz poważne błędy programistyczne pozwoliły Kamkarowi zrobić to nawet w ciągu 10 sekund.
Nie wolno zapominać także o poważnych lukach w systemach samochodowych. Minionego lata Charlie Miller i Chris Valasek przeprowadzili przełomowe badanie, po którym Fiat Chrysler zdecydował się opublikować pierwszą w historii łatę dla samochodu: luka mogła zostać użyta do zdalnego zhakowania systemu zarządzania pojazdem przy użyciu tablicy multimedialnej, otwierając ostatecznie możliwość przechwycenia systemu sterującego. Sytuacja jest dosyć poważna – skoro luki znajdują się w oprogramowaniu i urządzeniach komputerowych, dlaczego miałyby nie występować w autach? Mogę jedynie zacytować znany, choć już usunięty Tweet:
Gdy komputer ma wykonać jakieś zadanie, zwykle robi mniej błędów niż człowiek. Cały problem leży po stronie ludzi, którzy je programują, a przecież systemy obliczeniowe coraz częściej wykonują zadania krytyczne, np. zarządzają elektrowniami nuklearnymi czy ruchem drogowym. Witamy w nowym odważnym świecie!
Szyfrowanie
Cóż, tutaj sprawa jest dosyć złożona. Skuteczność danej metody szyfrowania może pomóc oszacować jedynie poważny badacz naukowy. W tym miejscu można podać przykład popularnego algorytmu rozpraszającego SHA-1, który jakieś pięć lat temu został uznany za niezawodny, a w roku 2015 stwierdzono, że jest teoretycznie dziurawy.
NSA zakwestionowała już odporność algorytmu szyfrowania na krzywych eliptycznych oraz rozważa (lub ma taki zamiar) techniki szyfrowania, które byłyby niemożliwe do zhakowania nawet dla komputerów kwantowych.
#6 Lecz nie jest to jedyny problem związany z szyfrowaniem. Słabe szyfrowanie stwarza poważne zagrożenie dla protokołu Open Smart Grid (klik). OSGP jest wdrożeniem Internetu Rzeczy sieci elektrycznej, próbą zunifikowania wszystkich pomiarów i systemów zarządzania w pojedynczej sieci. Oznacza to, że potencjalne kwestie bezpieczeństwa miałyby wpływ na zasilanie elektryczne. Złożoność sieci sprawia, że kluczowym kryterium w ocenie siły szyfrowania jest zaufanie.
W 2014 roku twórcy TrueCrypta zdecydowali się zamknąć swój projekt, który był dosyć popularnym narzędziem używanym do szyfrowania w locie. #5 Kolejne wydarzenia obejmowały kilka niezależnych audytów kodu źródłowego i pojawienie się interesujących pokrewnych zagrożeń VeraCrypt i CipherShed (klik). Niedawno odkryto backdoora w ruterach Juniper, a w incydencie tym duże znaczenie miała także kwestia szyfrowania.
Poważne luki & poważne ataki
#4 Podczas gdy w zeszłym roku „gwiazdami” wśród luk były bez wątpienia Shellshock i Heartbleed, w tym roku scena należała do Stagefright odkrytej w Androidzie (klik) oraz #3 do luki w standardowej funkcji biblioteki GLIBC w systemie Linux (klik).
Łowca błędów w systemie Linux. Interpretacja artystyczna
Każda znana luka mogła zostać wykryta zarówno teoretycznie, jak i praktycznie. W niektórych przypadkach badacze dostarczyli najpierw ataku dowodu koncepcji, ale czasami nowa luka została wykryta dopiero po ataku.
Jeśli chodzi o ataki praktyczne, firma Kaspersky Lab wykryła dwie duże kampanie: Carbanak i The Equation. Pierwsza była imponująca pod względem poniesionych strat (1 miliard dolarów, gdyby ktoś chciał wiedzieć), druga zadziwiła swoim zaawansowaniem i wyszukanym zestawem narzędzi, w których skład wchodziły między innymi kontrola przywracania komputera PC ofiary przy użyciu zmodyfikowanego oprogramowania firmowego dysku twardego, jak również czasu kampanii mierzonego w dziesiątkach lat.
Zwykłe luki w popularnym oprogramowaniu
W tej kategorii doskonałym przykładem jest Adobe Flash: 14, 24 i 28 stycznia, marzec, czerwiec, lipiec, wrzesień, grudzień. Zła wiadomość jest taka, że Adobe Flash jest wciąż niewiarygodnie dziurawym oprogramowaniem. Dobra wiadomość jest taka, że łaty (przynajmniej te dla Adobe) są instalowane masowo, a jedna aktualizacja naprawia kilka błędów. Nie oznacza to, że oprogramowanie staje się bardziej bezpieczne, choć z roku na rok sytuacja poprawia się: dostawcy oprogramowania zaczęli poważnie traktować kwestie bezpieczeństwa.
Oprogramowanie to jest zainstalowane na wielu systemach, włącznie z przeglądarkami internetowymi, i przyciąga dużą uwagę. Twórcy przeglądarek są zmuszeni zarówno kontrolować ich własne oprogramowanie, jak i chronić użytkowników przed zagrożeniami znajdującymi się na stronach (czasami ich jedyną możliwością jest ograniczenie pewnych możliwości, tak stało się z Flashem w przeglądarce Chrome). #2 W marcu uczestnikom pwn2own hackathon udało się zhakować wszystkie najważniejsze przeglądarki: najpierw Firefoxa i IE, a następnie Chrome i Safari (klik).
Białe kapelusze po udanym ataku podczas pwn2own
#1 Przestarzałe rozszerzenie NPAPI, służące do tworzenia wtyczek do przeglądarek internetowych, zostało zablokowane w Chrome (klik). Blokowanie NPAPI, które miało miejsce w kwietniu, spowodowało nieprawidłowe działanie wielu wtyczek, od Javy do Silverlighta, powodując wiele problemów na stronie twórców. Największym trendem stało się ostatnio wycofywanie kodów odziedziczonych.
Wątpię, aby problemy z bezpieczeństwem były mniej widoczne w roku 2016. Jestem przekonany, że w końcu pojawią się nowe metody walki z zagrożeniami cybernetycznymi. Zatem z pewnością będziemy mieć wiele do omówienia w następnym roku. Jeśli chodzi o źródła informacji, zachęcam do zapoznania się z podsumowaniem zagrożeń w roku 2015 przygotowanym przez ekspertów z Kaspersky Lab, specjalnymi analizami cyberzagrożeń dla biznesu oraz prognozami na 2016 rok.