Sean Sullivan, doradca ds. cyberbezpieczeństwa w F-Secure odpowiada na nasze pytania

14 lipca, 2016

Jeśli weźmiemy pod uwagę ostatnie miesiące, to ataki na polskich użytkowników i firmy przeminęły głównie na socjotechnice: atakach typu phishing, sporadycznie spear phishing i pharming. Najbardziej dały o sobie znać szkodniki z rodziny krypto-ransomware. Prawdziwa plaga incydentów z udziałem ransomware miała miejsce na przełomie pierwszej i drugiej połowy czerwca 2016 roku. Chociaż dla wprawionego praktyka rozpoznanie fałszywej wiadomości nie jest trudną sztuką, to wydaje się, że nie możemy od wszystkich wymagać znajomości socjotechnik. Brakuje w tej kwestii ogólnopolskiej kampanii społecznej. Sytuacja wydaje się być nie do opanowania. Bez poznania metod działania spamerów bardzo trudno jest odróżnić wiadomość prawdziwą od fałszywej — szczególnie taką, w której wszelkie poszlaki (poprawna polszczyzna, logo firmy i nota prawna w stopce) wskazują na jej wiarygodność. 

AVLab: W jaki sposób działają spamerzy? Dlaczego pomimo niezliczonych artykułów ostrzegawczych i dobrych praktyk, analiza wiarygodności wiadomości nadal sprawia tyle trudności użytkownikom indywidualnym oraz pracownikom?

Sean Sullivan: Mechanizm jest prosty. Nie chodzi w nim o to, by do podjęcia działania przekonać każdego. Bazuje on raczej na wykorzystaniu zbiegu okoliczności. Jeśli zaspamuje się 100 000 osób, pewien procent z nich pewnie będzie akurat czekać na przesyłkę. Przynęta nie musi być więc zbyt skomplikowana. Bardzo ciężko jednak nauczyć użytkowników, by unikali tego typu pułapek. Występują dwa wektory ataku poprzez spam: dokumenty z makrami oraz archiwa ZIP z plikami .js. Rozwiązanie?
 
Po pierwsze: nigdy nie należy „włączać zawartości” w dokumentach Office. Bez względu na to, jakie uzasadnienie znajduje się w e-mailu czy dokumencie… jest to kłamstwo. O ile nie wiadomo, czym są makra i nie używa się ich, nigdy nie należy klikać przycisku „Włącz zawartość”. 
 
Po drugie: nie wolno ufać załącznikom w formacie .zip. Typ pliku .js jest używany do uruchamiania skryptów JScript w Microsoft Windows. Ikona pliku .js wygląda jak dokument skręcony w kształcie litery „S”. Konsumenci i małe firmy mogą prawdopodobnie bez problemu wyłączyć środowisko Windows Script Host. Niektóre firmy mogą używać WSH do uruchamiania skryptów logowania, więc nie mogą sobie na to pozwolić. W takiej sytuacji administrator IT może przypisać rozszerzenie .js (na przykład) do Notatnika. Skrypty .js powinny móc uruchamiać się przy logowaniu, ale użytkownicy, którzy dwukrotnie klikną groźne pliki z tym rozszerzeniem, otworzą tylko edytor tekstów Notatnik.
 
W ramach edukacji użytkowników należy zdecydowanie przestrzegać przed plikami .js.
 
AVLab: Jak wygląda w tym zakresie międzynarodowa współpraca F-Secure z organami z Interpolu, EC3, policji, prywatnych specjalistów, które mogłyby ukrócić działania twórców CryptoLockera?

Współpracujemy z organami ścigania. Niestety niewiele da się zrobić, jeśli chodzi o pokonywanie zabezpieczeń kluczowej infrastruktury. Taki atak zawsze było łatwo przeprowadzić. Prawdziwym wyzwaniem dla atakującego jest *uzyskać zapłatę* w nieodwracalny sposób. Bitcoin czy ukryte usługi w sieci Tor zapewniają rozwiązanie tego problemu, a metody działania ewoluują od lat. W praktyce istnieje ich ponad 100 różnych rodzajów. To zagrożenie przez jakiś czas nadal będzie się rozwijać.
 
AVLab: Czy da się coś z tym zrobić biorąc pod uwagę, że kod źródłowy CL jest dostępny do kupienia za kilkaset dolarów? Czy użytkownicy są tylko zmuszeni do czytania po fakcie komunikatów informacyjnych od firm, pod które podszywają się spamerzy? Oprogramowanie w tym zakresie zawodzi – zarówno w domowych sieciach, jak i firmowych. 
 
Sean Sullivan: Posiadanie kodu źródłowego nie pomaga, jeśli szyfrowanie zostało wykonane prawidłowo. Możemy już się tego dowiedzieć z próbek inżynierii wstecznej. Znajomość metody szyfrowania nie pomoże usunąć samego szyfrowania, a klucze są w rękach szantażystów wykorzystujących oprogramowanie ransomware (chociaż są też wyjątki od tej reguły, na przykład rodzina programów, które miały tylko szyfrować i nie robiły nic poza zmienianiem nazw plików).
 
Opcje historii zmian są czasem dostępne w chmurze, ale nie jest to typowa funkcja, której można się spodziewać. Na przykład w OneDrive domyślnie działa synchronizacja danych. Dlatego jeśli plik został zaszyfrowany na dysku twardym, zmiana pojawi się też na pliku w chmurze.
 
Właśnie dlatego nie korzystam z synchronizacji. Do przesyłania plików do chmury używam (topornego) interfejsu w przeglądarce. Tworzenie kopii zapasowych w ten sposób wymaga więcej wysiłku, aby utrzymać porządek – ale coś za coś: albo będzie wygodnie, albo bezpiecznie.

AVLab: W jaki sposób firmy powinny tworzyć kopię zapasową plików chroniąc się przed zaszyfrowaniem udostępnionych / zmapowanych zasobów sieciowych uwzględniając system operacyjny Windows Server oraz wybraną dystrybucję systemu Linux jako serwer plików?

Sean Sullivan: Oprogramowanie ransomware może zaszyfrować pliki tylko na tych dyskach, do których ma dostęp i na których może coś zapisać. Na ogół są to dyski zainstalowane na danym urządzeniu oraz zasoby udostępniane sieciowo. Jeśli Twoje rozwiązanie do tworzenia kopii zapasowej używa demona przekazującego pliki z systemu klienta na serwer, który nie jest udostępniony w sieci ani zainstalowany bezpośrednio w systemie, złośliwe oprogramowanie nie będzie w stanie dotrzeć do tych plików. Inaczej jest gdy rozwiązanie do tworzenia backupu automatycznie synchronizuje pliki kiedy zmienią się w systemie klienta, i zachowuje tylko najnowszą wersję kopii. W takim przypadku gdy pliki na dysku lokalnym zaczną być szyfrowane, demon synchronizacji kopii zapasowej nadpisze prawidłowe pliki tymi zaszyfrowanymi. W środowisku biznesowym na serwerach kopii zapasowej należy zapisywać poszczególne wersje każdego pliku, aby zabezpieczyć się przed takimi problemami (można skorzystać z systemów wersjonowania plików, na przykład Time Machine firmy Apple).

AVLab: Czy i w jaki sposób rozwiązania dla biznesu marki F-Secure chronią stacje robocze przed plagą malware z rodziny ransomware?

Sean Sullivan: Zabezpieczenia punktów końcowych firmy F-Secure blokują infekcje ransomware w kilku różnych warstwach w zależności od wektora ataku, którego doświadcza użytkownik. Więcej informacji w tym temacie znajduje się w jednym z materiałów na naszym blogu, wraz ze szczegółowym wyjaśnieniem sposobu działania technologii F-Secure: https://labsblog.f-secure.com/tags/explainer/ 

AVLab: Czy niedawno wprowadzona do portfolio F-Secure usługa Rapid Detection Service szybkiego reagowania na incydenty bezpieczeństwa będzie dostępna dla klientów z Polski?

Sean Sullivan: Nie jest określony dokładny termin, ale możemy zapewnić, że usługa Rapid Detection Service będzie dostępna dla klientów z Polski. Aktualnie trwają prace nad wprowadzeniem usługi oraz dostosowaniem modelu biznesowego do potrzeb rynku.

AVLab: Co F-Secure może zaoferować firmom wspierającym strategię BYOD?

Sean Sullivan: W przypadku wykorzystania modelu BYOD dla urządzeń mobilnych bardzo dobrym rozwiązaniem jest wdrożenie ochrony poprzez aplikację Freedome for Business. Połączenie możliwości zarządzania flotą mobilną znajdującą się poza siecią firmową oraz moduły ochronne działające na wielu płaszczyznach (między innymi skanowanie zainstalowanych aplikacji, ochrona połączenia, kontrola odwiedzanych stron WWW) pozwalają na zapewnienie odpowiedniego poziomu ochrony przed najnowszymi zagrożeniami. Dodatkowym atutem jest możliwość zdalnej kontroli nad urządzeniem mobilnym w przypadku jego utraty lub kradzieży. Zdalne polecenie zablokowania lub wyczyszczenia urządzenia mobilnego skutecznie uniemożliwi dostęp potencjalnemu złodziejowi do wrażliwych danych. 

AVLab: Czy F-Secure (w kontekście bezpieczeństwa) preferuje bezpieczeństwo urządzeń mobilnych, czy raczej bezpieczeństwo firmowych dokumentów i plików? Do zagadnienia ochrony tych dwóch aspektów można podchodzić całkowicie inaczej. Ze zdroworozsądkowego punktu widzenia, nie tyle protekcja systemów mobilnych przed szkodnikami jest istotna, co przechowywane na nich dane – często własność intelektualna przedsiębiorstwa.

Sean Sullivan: Coraz więcej czasu spędzamy nad usprawnieniami rozwiązań zabezpieczających systemy operacyjne (a co za tym idzie również dokumentów oraz plików). Desktopowe systemy operacyjne są powszechnie wykorzystywane przez przedsiębiorstwa, a ochrona kluczowych zasobów (które są najbardziej łakomym kąskiem podczas ataku) ma niezmiernie istotne znaczenie dla funkcjonowania firmy. Komputerowe systemy operacyjne są dużo częściej atakowane, a ich ochrona jest o wiele większym wyzwaniem niż w przypadku wersji mobilnych. Nowoczesne mobilne systemy operacyjne są lepiej zabezpieczone niż ich desktopowe odpowiedniki. Wynika to również z wyraźniejszego oddzielenia aplikacji od systemu operacyjnego – uniemożliwia to dostęp jednej aplikacji do danych zawartych w innej. Ponadto wiele aplikacji przechowuje dane w chmurze. Jedną z zalet mobilnych systemów operacyjnych jest to, że narzucają twórcom aplikacji pewne wymogi względem zabezpieczeń.

Aby złośliwa aplikacja mobilna mogła uszkodzić dane na urządzeniu, musiałaby opuścić piaskownicę, w której jest uruchomiona – i uzyskać dostęp na prawach administratora. Jednak nawet wtedy może nie mieć dostępu do danych w chmurze. Takie aplikacje istnieją (najnowszy przykład to Hummingbad http://www.cnet.com/news/malware-from-china-infects-over-10-million-android-users-report-says/), ale ich stworzenie wymaga dużych umiejętności i czasu. Zwrot z inwestycji w złośliwe oprogramowanie mobilne jest wciąż niewielkim ułamkiem tego, co można uzyskać w systemach na komputery, dlatego cyberprzestępcy wciąż mocno skupiają na nich swoją uwagę.

Sean Sullivan
Na pytania odpowiadał Sean Sullivan, doradca ds. cyberbezpieczeństwa z firmy F-Secure 
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
18 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]