Prędzej czy później nadchodzi w końcu ten moment, kiedy z dotychczasowych wersji oprogramowania po prostu nie da się już dłużej korzystać, a aktualizacje programów, systemów i firmware wymuszają okoliczności, które są niezależne od użytkowników końcowych. W tym konkretnym przypadku, jak na ironię, to amerykańska rządowa agencja, której przypisuje się przełamywanie zabezpieczeń dziesiątek, jeśli nie setek różnych programów, będzie tym czynnikiem, który wymusi na osobach prywatnych i firmach wzmożoną czujność w zakresie podejmowania większej odpowiedzialności za bezpieczeństwa danych, bez których prowadzenie biznesu będzie niemożliwe.
Przykłady? Proszę bardzo:
– Niepozorny Notepad++ mógł być wykorzystany jako „niewinny szpieg”, jeśli hakerom udałoby się podmienić plik scilexer.dll, który wymagany jest do uruchomienia programu. Wersja Notepad++ 7.3.3 łata nie tyle konkretną lukę (w taki sposób hakerzy CIA nie dostaną się do systemu), co brak walidacji certyfikatu dla pliku scilexer.dll przed załadowaniem go przez aplikację.
– Aż 318 modeli przełączników firmy Cisco zawierało luki w firmware, które pozwalały zdalnie wykonać kod z podwyższonymi uprawnieniami. Firma Cisco oficjalnie potwierdziła istnienie luk oraz wypisała wszystkie podatne urządzenia. Przy okazji udostępniła też aktualizację bezpieczeństwa.
– Powszechnie uważane za bardzo bezpieczne routery i przełączniki firmy Routerboard Mikrotik zawierały podatność do wersji oprogramowania 6.30.X, którą można było wykorzystać do ataków ATP. Obecnie dostępna jest wersja firmware 6.38.5. Oczywiście zalecamy zrobienie kopii konfiguracji do pliku oraz aktualizację.
Windows, Mac OS, Linux, iOS, Android, routery, telewizory, systemy samochodowe, SCADA i SIEM… CIA posiada narzędzia, dzięki którym możliwe jest obejście zabezpieczeń każdego z nich. Chociaż wyciek upubliczniony przez WikiLeask dotyczy lat 2013-2016, to hakerzy CIA z całą pewnością na tym nie poprzestali.
W jaki sposób pokrzyżować plany CIA?
Bardzo trudno jest zabezpieczyć sieć firmową i urządzenia stacjonarne oraz mobilne bez sporządzenia polityki bezpieczeństwa. Zainstalowane rozwiązanie antywirusowe oraz urządzenie sieciowe (UTM / NGFW), które będzie filtrować ruch sieciowy i kontrolować bezpieczeństwo plików i aplikacji nie zawsze przynosi oczekiwane rezultaty. Bez przygotowania odpowiednich reguł jeszcze przed ich wdrożeniem, ochrona danych firmowych przed atakiem sieciowym lub z wykorzystaniem socjotechniki może być trudna do zrealizowania. Już od bardzo dawna specjaliści sugerują – i słusznie – aby stosować ochronę w oparciu o białe listy: dopuszczać tylko te aplikacje i usługi sieciowe do komunikacji z internetem, które są niezbędne do funkcjonowania firmy. Cały problem w tym, że bez regularnych aktualizacji reguł oraz firmware i oprogramowania zainstalowanego na komputerach roboczych, cały ten wysiłek i trud włożony w zabezpieczenie może być daremny – co też namacalnie wskazują dokumenty CIA.
Z aktualizacjami oprogramowania można radzić sobie całkiem sprawnie. Już od dawna budowana samoświadomość wśród konsumentów rozwiązań bezpieczeństwa zmusiła ich producentów do opracowania narzędzi, które zautomatyzują żmudny proces aktualizacji przeglądarek, systemowych łatek i aplikacji trzecich. To tak zwane moduły do „patch menagementu”, czyli do zarządzania aktualizacjami, które dostępne są w niektórych produktach antywirusowych dostępnych na polskim rynku. Dla przykładu możemy wskazać:
- oprogramowanie firmy G Data z modułem Patch Management (zawarte informacje w tym artykule dotyczą starszej wersji antywirusów dla firm marki G Data),
- Software Updater, który dostępny jest w produktach firmy F-Secure,
- Comodo ONE, które otrzymuje aktualizacje konsoli w sposób ciągły (SaaS) i które powinno dostać wsparcie dla języka polskiego pod koniec 2017 roku,
- Seqrite, to zupełnie nowy produkt na polskim rynku (chociaż na świecie bardzo znany). Jego możliwości prezentują się obiecująco (nie mieliśmy jeszcze okazji do testów): moduły do zarządzania łatkami oraz do monitorowania zmian w plikach (informowanie o edycji, kopiowaniu bądź usunięciu) mogą pomóc w namierzaniu źródła wycieku dokumentów firmowych i załatać krytyczne podatności.
