Eksperci ds. bezpieczeństwa, przedstawiciele organów ochrony porządku publicznego i dziennikarze przybyli do kurortu Punta Cana na Dominikanie na zorganizowany przez firmę Kaspersky Lab szczyt Security Analysts Summit. W ciągu dnia uczestnicy brali udział w różnych wybranych przez siebie spotkaniach na temat bezpieczeństwa, w trzech oddzielnych turach. Wieczorem uczestnicy konferencji raczyli się kolacją przeplataną imprezami na plaży oraz w jaskiniach.
Pokoje na tej tropikalnej, bezchmurnej wyspie były wspaniałe, ale treści przedstawione na konferencji były jeszcze lepsze. Członkowie zespołu Global Research and Analysis Team (GReAT) firmy Kaspersky Lab przedstawili szczegóły nowej zaawansowanej kampanii cyberszpiegowskiej [PDF] znanej jako „Careto”. Słowo to jest intrygujące samo w sobie, bo jedni mówią, że ‚careto’ nic nie znaczy, natomiast inni twierdzą, że jest określenie brzydkiej twarzy albo maski (z tego powodu kampania jest określana również jako „The Mask”). Jednak przynajmniej jedna osoba powiedziała mi, że jest to slangowe, pejoratywne określenie twarzy, używane w Madrycie.
Tak czy inaczej, dyrektor GreAT, Costin Raiu, przedstawił fascynującą prezentację na temat kampanii The Mask i stwierdził, że jest to najbardziej wyszukana operacja cyberszpiegowska, jaką widział w ciągu kilku ostatnich lat. Biorąc pod uwagę liczbę kampanii, które odkrył wspólnie z kolegami, określenie to daje do myślenia. Jak tłumaczył, operacja jest niezwykła z dwóch powodów: po pierwsze, szkodliwe oprogramowanie i exploity wykorzystane w kampanii zostały stworzone przez osoby hiszpańskojęzyczne. Po drugie, kampania nie jest w żaden sposób powiązana z Chinami, które są przecież siedliskiem ataków APT i włamań online sponsorowanych przez państwa. Celem The Mask były agencje rządowe i firmy energetyczne w ponad 30 hiszpańskojęzycznych krajach. Sam szkodliwy program wykorzystany w kampanii może atakować maszyny z systemem Windows i Mac, a ruch przychodzący do serwera kontrolującego kampanię – który został przejęty przez ekspertów z Kaspersky Lab – sugeruje, że Maska jest również wyposażona w moduły zdolne do atakowania systemu operacyjnego Linux, iOS oraz Android.
Ludzie związani z kampanią – kimkolwiek są – zamknęli wszystko w ciągu kilku godzin po oficjalnym ogłoszeniu szczegółów dotyczących The Mask przez Kaspersky Lab. Raiu ostrzegł jednak, że zagrożenie może zostać z łatwością ponownie aktywowane w dowolnym momencie.
Podczas konferencji wystąpiło wiele osób, a wśród nich Katie Moussouris – strateg ds. bezpieczeństwa w firmie Microsoft, która sama podjęła walkę o łatanie dziur poprzez zwiększenie zasięgu programu wykrywania luk firmy Microsoft oraz kwot płaconych jego uczestnikom.
Chris Soghoian z amerykańskiej organizacji ochrony praw obywatelskich bez ogródek mówił na temat wpływu i następstw upublicznienia informacji przez dawnego współpracownika NSA, Edwarda Snowdena. Soghoian mówił przychylnie dla Snowdena, chociaż nie dla rządowej inwigilacji.
Steve Adegbite z firmy Wells Fargo nie był aż tak kontrowersyjny, a w swojej przemowie podkreślał istotę zarządzania ryzykiem. Według Adegbite’a rzetelny plan oceny ryzyka jest prawdopodobnie najistotniejszym aspektem bezpieczeństwa firmy. „Twój model ryzyka nie zawsze będzie działał” – powiedział, argumentując, że powinny plany takie powinny uwzględniać możliwość porażki.
Następnie eksperci z Kaspersky Lab, Witalij Kamliuk i Siergiej Bielow, wraz z Anibalem Sacco z Cubica Labs, zademonstrowali potencjalnie niszczycielski atak, który mógłby zdalnie wymazać wszystkie dane z zainfekowanego sprzętu. Bielow ujawnił lukę aktywującą tego exploita, która znajdowała się we fragmencie tajemniczego oprogramowania zainstalowanego na komputerze jego żony. I to nie w byle jakim miejscu na komputerze, ale w systemie podstawowym, zwanym BIOS, którego głównym zadaniem jest inicjowanie włączania komputera. Program – zwany Computrace – zachowywał się tak podejrzanie, jakby był częścią szkodliwego oprogramowania – wstrzykiwał nowy proces, uruchamiał mechanizmy ochrony przed wykrywaniem w celu ukrycia się i był trudny do usunięcia. Co dziwne, program jest legalny. Ma on za zadanie śledzenie zgubionego komputera, co – jak zauważył Kamliuk – brzmi jednak korzystnie. Ale ani Bielow, ani jego żona nie włączyli go, co sugeruje, że potencjalnie może on być włączony na milionach komputerów na całym świecie, nawet bez wiedzy ich użytkowników. To oczywiście może oznaczać, że użytkownicy ci są podatni na atak, który może zdalnie wymazać wszystkie dane z ich komputerów, jeśli atakujący zdoła przechwycić połączenie z internetem.
Ekspert ds. kryptografii i legenda w branży zabezpieczeń, Bruce Schneier, zaprosił na scenę baronową Pauline Neville-Jones, byłą minister stanu ds. bezpieczeństwa i przeciwdziałania terroryzmowi w Wielkiej Brytanii. Para na żywo debatowała, czy w dobie internetu możliwa jest zorientowana na bezpieczeństwo inwigilacja obywateli przez rząd przy poszanowaniu ich praw i swobody. Schneier, który był zagorzałym krytykiem potajemnego śledzenia, szerzenia strachu i terroryzmu, powtórzył prawie uniwersalny pogląd, że precyzyjna inwigilacja przeprowadzana przez organy prawa w celu namierzenia złoczyńców jest dobrą rzeczą. Jednak podkreślił, że potajemne śledzenie jest nieprzyjemne i złe dla każdego. Według niego usprawiedliwiane długofalowego szpiegostwa przeprowadzonego na szeroką skalę jako elementu przyczyniającego się do zapobiegania pogwałceniom prawa jest zbyt dużym uogólnieniem. Na to baronowa Neville-Jones odpowiedziała: „gdy życie ludzi jest zagrożone, to nie jest nadużycie”.
Jewgienij Kasperski, dyrektor generalny Kaspersky Lab, dołączył do baronowej Neville-Jones, Lathana Reddy’ego, byłego doradcy bezpieczeństwa narodowego w Indiach, oraz Jae Woo Lee z uniwersytetu Dongguk i Cyber Forensic Professional Association w Seulu w celu dyskusji na temat fatalnego stanu bezpieczeństwa w sferze infrastruktury krytycznej.
„Istnieją tylko dwie rzeczy, które nie dają mi spać” – powiedział Kasperski. „Błędy w infrastrukturze krytycznej i turbulencje”.
Moderatorem panelu był dawny koordynator cyberbezpieczeństwa administracji prezydenta Baracka Obamy, Howard Schmidt, który zapytał uczestników dyskusji, jak można rozwiązać poważne problemy bezpieczeństwa w systemach kontrolujących istotne elementy życia społecznego, takich jak elektrownie:
„Modlić się” – zażartował Kasperski.
Zaglądajcie na nasz blog – już wkrótce opublikujemy podsumowanie drugiego dnia szczytu Security Analyst Summit.