Jeśli weźmiemy pod uwagę ostatnie miesiące, to ataki na polskich użytkowników i firmy przeminęły głównie na socjotechnice: atakach typu phishing, sporadycznie spear phishing i pharming. Najbardziej dały o sobie znać szkodniki z rodziny krypto-ransomware. Prawdziwa plaga incydentów z udziałem ransomware miała miejsce na przełomie pierwszej i drugiej połowy czerwca 2016 roku. Chociaż dla wprawionego praktyka rozpoznanie fałszywej wiadomości nie jest trudną sztuką, to wydaje się, że nie możemy od wszystkich wymagać znajomości socjotechnik. Brakuje w tej kwestii ogólnopolskiej kampanii społecznej. Sytuacja wydaje się być nie do opanowania. Bez poznania metod działania spamerów bardzo trudno jest odróżnić wiadomość prawdziwą od fałszywej — szczególnie taką, w której wszelkie poszlaki (poprawna polszczyzna, logo firmy i nota prawna w stopce) wskazują na jej wiarygodność. 

AVLab: W jaki sposób działają spamerzy? Dlaczego pomimo niezliczonych artykułów ostrzegawczych i dobrych praktyk, analiza wiarygodności wiadomości nadal sprawia tyle trudności użytkownikom indywidualnym oraz pracownikom?

Sean Sullivan: Mechanizm jest prosty. Nie chodzi w nim o to, by do podjęcia działania przekonać każdego. Bazuje on raczej na wykorzystaniu zbiegu okoliczności. Jeśli zaspamuje się 100 000 osób, pewien procent z nich pewnie będzie akurat czekać na przesyłkę. Przynęta nie musi być więc zbyt skomplikowana. Bardzo ciężko jednak nauczyć użytkowników, by unikali tego typu pułapek. Występują dwa wektory ataku poprzez spam: dokumenty z makrami oraz archiwa ZIP z plikami .js. Rozwiązanie?
 
Po pierwsze: nigdy nie należy „włączać zawartości” w dokumentach Office. Bez względu na to, jakie uzasadnienie znajduje się w e-mailu czy dokumencie… jest to kłamstwo. O ile nie wiadomo, czym są makra i nie używa się ich, nigdy nie należy klikać przycisku „Włącz zawartość”. 
 
Po drugie: nie wolno ufać załącznikom w formacie .zip. Typ pliku .js jest używany do uruchamiania skryptów JScript w Microsoft Windows. Ikona pliku .js wygląda jak dokument skręcony w kształcie litery „S”. Konsumenci i małe firmy mogą prawdopodobnie bez problemu wyłączyć środowisko Windows Script Host. Niektóre firmy mogą używać WSH do uruchamiania skryptów logowania, więc nie mogą sobie na to pozwolić. W takiej sytuacji administrator IT może przypisać rozszerzenie .js (na przykład) do Notatnika. Skrypty .js powinny móc uruchamiać się przy logowaniu, ale użytkownicy, którzy dwukrotnie klikną groźne pliki z tym rozszerzeniem, otworzą tylko edytor tekstów Notatnik.
 
W ramach edukacji użytkowników należy zdecydowanie przestrzegać przed plikami .js.
 
AVLab: Jak wygląda w tym zakresie międzynarodowa współpraca F-Secure z organami z Interpolu, EC3, policji, prywatnych specjalistów, które mogłyby ukrócić działania twórców CryptoLockera?

Współpracujemy z organami ścigania. Niestety niewiele da się zrobić, jeśli chodzi o pokonywanie zabezpieczeń kluczowej infrastruktury. Taki atak zawsze było łatwo przeprowadzić. Prawdziwym wyzwaniem dla atakującego jest *uzyskać zapłatę* w nieodwracalny sposób. Bitcoin czy ukryte usługi w sieci Tor zapewniają rozwiązanie tego problemu, a metody działania ewoluują od lat. W praktyce istnieje ich ponad 100 różnych rodzajów. To zagrożenie przez jakiś czas nadal będzie się rozwijać.
 
AVLab: Czy da się coś z tym zrobić biorąc pod uwagę, że kod źródłowy CL jest dostępny do kupienia za kilkaset dolarów? Czy użytkownicy są tylko zmuszeni do czytania po fakcie komunikatów informacyjnych od firm, pod które podszywają się spamerzy? Oprogramowanie w tym zakresie zawodzi - zarówno w domowych sieciach, jak i firmowych. 
 
Sean Sullivan: Posiadanie kodu źródłowego nie pomaga, jeśli szyfrowanie zostało wykonane prawidłowo. Możemy już się tego dowiedzieć z próbek inżynierii wstecznej. Znajomość metody szyfrowania nie pomoże usunąć samego szyfrowania, a klucze są w rękach szantażystów wykorzystujących oprogramowanie ransomware (chociaż są też wyjątki od tej reguły, na przykład rodzina programów, które miały tylko szyfrować i nie robiły nic poza zmienianiem nazw plików).
 
Opcje historii zmian są czasem dostępne w chmurze, ale nie jest to typowa funkcja, której można się spodziewać. Na przykład w OneDrive domyślnie działa synchronizacja danych. Dlatego jeśli plik został zaszyfrowany na dysku twardym, zmiana pojawi się też na pliku w chmurze.
 
Właśnie dlatego nie korzystam z synchronizacji. Do przesyłania plików do chmury używam (topornego) interfejsu w przeglądarce. Tworzenie kopii zapasowych w ten sposób wymaga więcej wysiłku, aby utrzymać porządek – ale coś za coś: albo będzie wygodnie, albo bezpiecznie.

AVLab: W jaki sposób firmy powinny tworzyć kopię zapasową plików chroniąc się przed zaszyfrowaniem udostępnionych / zmapowanych zasobów sieciowych uwzględniając system operacyjny Windows Server oraz wybraną dystrybucję systemu Linux jako serwer plików?

Sean Sullivan: Oprogramowanie ransomware może zaszyfrować pliki tylko na tych dyskach, do których ma dostęp i na których może coś zapisać. Na ogół są to dyski zainstalowane na danym urządzeniu oraz zasoby udostępniane sieciowo. Jeśli Twoje rozwiązanie do tworzenia kopii zapasowej używa demona przekazującego pliki z systemu klienta na serwer, który nie jest udostępniony w sieci ani zainstalowany bezpośrednio w systemie, złośliwe oprogramowanie nie będzie w stanie dotrzeć do tych plików. Inaczej jest gdy rozwiązanie do tworzenia backupu automatycznie synchronizuje pliki kiedy zmienią się w systemie klienta, i zachowuje tylko najnowszą wersję kopii. W takim przypadku gdy pliki na dysku lokalnym zaczną być szyfrowane, demon synchronizacji kopii zapasowej nadpisze prawidłowe pliki tymi zaszyfrowanymi. W środowisku biznesowym na serwerach kopii zapasowej należy zapisywać poszczególne wersje każdego pliku, aby zabezpieczyć się przed takimi problemami (można skorzystać z systemów wersjonowania plików, na przykład Time Machine firmy Apple).

AVLab: Czy i w jaki sposób rozwiązania dla biznesu marki F-Secure chronią stacje robocze przed plagą malware z rodziny ransomware?

Sean Sullivan: Zabezpieczenia punktów końcowych firmy F-Secure blokują infekcje ransomware w kilku różnych warstwach w zależności od wektora ataku, którego doświadcza użytkownik. Więcej informacji w tym temacie znajduje się w jednym z materiałów na naszym blogu, wraz ze szczegółowym wyjaśnieniem sposobu działania technologii F-Secure: https://labsblog.f-secure.com…;

AVLab: Czy niedawno wprowadzona do portfolio F-Secure usługa Rapid Detection Service szybkiego reagowania na incydenty bezpieczeństwa będzie dostępna dla klientów z Polski?

Sean Sullivan: Nie jest określony dokładny termin, ale możemy zapewnić, że usługa Rapid Detection Service będzie dostępna dla klientów z Polski. Aktualnie trwają prace nad wprowadzeniem usługi oraz dostosowaniem modelu biznesowego do potrzeb rynku.

AVLab: Co F-Secure może zaoferować firmom wspierającym strategię BYOD?

Sean Sullivan: W przypadku wykorzystania modelu BYOD dla urządzeń mobilnych bardzo dobrym rozwiązaniem jest wdrożenie ochrony poprzez aplikację Freedome for Business. Połączenie możliwości zarządzania flotą mobilną znajdującą się poza siecią firmową oraz moduły ochronne działające na wielu płaszczyznach (między innymi skanowanie zainstalowanych aplikacji, ochrona połączenia, kontrola odwiedzanych stron WWW) pozwalają na zapewnienie odpowiedniego poziomu ochrony przed najnowszymi zagrożeniami. Dodatkowym atutem jest możliwość zdalnej kontroli nad urządzeniem mobilnym w przypadku jego utraty lub kradzieży. Zdalne polecenie zablokowania lub wyczyszczenia urządzenia mobilnego skutecznie uniemożliwi dostęp potencjalnemu złodziejowi do wrażliwych danych. 

AVLab: Czy F-Secure (w kontekście bezpieczeństwa) preferuje bezpieczeństwo urządzeń mobilnych, czy raczej bezpieczeństwo firmowych dokumentów i plików? Do zagadnienia ochrony tych dwóch aspektów można podchodzić całkowicie inaczej. Ze zdroworozsądkowego punktu widzenia, nie tyle protekcja systemów mobilnych przed szkodnikami jest istotna, co przechowywane na nich dane - często własność intelektualna przedsiębiorstwa.

Sean Sullivan: Coraz więcej czasu spędzamy nad usprawnieniami rozwiązań zabezpieczających systemy operacyjne (a co za tym idzie również dokumentów oraz plików). Desktopowe systemy operacyjne są powszechnie wykorzystywane przez przedsiębiorstwa, a ochrona kluczowych zasobów (które są najbardziej łakomym kąskiem podczas ataku) ma niezmiernie istotne znaczenie dla funkcjonowania firmy. Komputerowe systemy operacyjne są dużo częściej atakowane, a ich ochrona jest o wiele większym wyzwaniem niż w przypadku wersji mobilnych. Nowoczesne mobilne systemy operacyjne są lepiej zabezpieczone niż ich desktopowe odpowiedniki. Wynika to również z wyraźniejszego oddzielenia aplikacji od systemu operacyjnego – uniemożliwia to dostęp jednej aplikacji do danych zawartych w innej. Ponadto wiele aplikacji przechowuje dane w chmurze. Jedną z zalet mobilnych systemów operacyjnych jest to, że narzucają twórcom aplikacji pewne wymogi względem zabezpieczeń.

Aby złośliwa aplikacja mobilna mogła uszkodzić dane na urządzeniu, musiałaby opuścić piaskownicę, w której jest uruchomiona – i uzyskać dostęp na prawach administratora. Jednak nawet wtedy może nie mieć dostępu do danych w chmurze. Takie aplikacje istnieją (najnowszy przykład to Hummingbad http://www.cnet.com/news/malw…), ale ich stworzenie wymaga dużych umiejętności i czasu. Zwrot z inwestycji w złośliwe oprogramowanie mobilne jest wciąż niewielkim ułamkiem tego, co można uzyskać w systemach na komputery, dlatego cyberprzestępcy wciąż mocno skupiają na nich swoją uwagę.

Na pytania odpowiadał Sean Sullivan, doradca ds. cyberbezpieczeństwa z firmy F-Secure 
AUTOR:

Adrian Ścibor

Podziel się

Komentarze

Zyga pon., 18-07-2016 - 22:06

"Oprogramowanie ransomware może zaszyfrować pliki tylko na tych dyskach, do których ma dostęp i na których może coś zapisać. Na ogół są to dyski zainstalowane na danym urządzeniu oraz zasoby udostępniane sieciowo."

Czy szyfruje tylko pliki na dysku systemowym czy na wszystkich dyskach na zainfekowanym komputerze?

Adrian Ścibor pon., 18-07-2016 - 22:21

@#1
Dysk masz jeden lub kilka. Partycji możesz mieć kilka. Na ogól są to dwie - systemowa i na pliki. To jest cały dysk. Dyski twarde podłączone do płyty głównej oraz zasoby udostępnione w sieci - np. dokumenty z innego komputera w sieci domowej. Na ransomware trzeba naprawdę uważać. Jednak kryje się ono w 99% w spamie.

Zyga pon., 18-07-2016 - 22:47

@#2
Ok. Dzięki za odpowiedź.
Czyli wielka lipa i wcześniej wirusy raczej tylko atakowały partycje systemową, to teraz ransomware atakuje wszystko. Masakra.....

Zyga wt., 19-07-2016 - 01:27

@#2
I podłączona chmura (np dysk w chmurze) też jest potencjalnie zagrożona?

Adrian Ścibor wt., 19-07-2016 - 08:29

@#4

Też. Zaszyfrowane pliki zsynchronizują się z chmurą i będziesz mieć ich zaszyfrowane kopie na dysku internetowym. Najpewniejszym rozwiązaniem jest ręczne wrzucanie do chmury plików lub skorzystanie z Arcabit Internet Security https://avlab.pl/nowe-wersje-programow-z-serii-arcabit-beta-duzo-zmian-… Dobry polski soft. Wbudowany moduł SafeStorage jest tym, co chroni przed stałymi skutkami ransomware. Działa też na przypadkowo usunięte pliki.

Zyga wt., 19-07-2016 - 14:47

@#5
Ok. Dzięki zatem za odpowiedź
Nigdy nie szyfrowałem danych na kompie, więc na czym to polega? Poza tym nie każdy antywirus to posiada ( na pewno nie Eset ani Fsecure) a szkoda. Z drugiej strony - jak coś jest od wszystkiego to jest do niczego.
Zatem - co jest fajne i sprawdzone darmowe do szyfrowania oraz......czy szyfrowanie wymaga dodatkowego miejsca na dysku i jak to później wpływa na system podczas otwierania zaszyfrowanych plików?

Adrian Ścibor wt., 19-07-2016 - 15:13

@#6
Istnieje różnica pomiędzy szyfrowaniem przez malware a szyfrowaniem plików / folderów / całych dysków z wykorzystaniem oprogramowania. Pisałem o szyfrowaniu w kontekście malware. Jeśli ransomware zaszyfruje ci pliki, a będą one synchronizowane z chmurą, to w chmurze pojawi się ich zaszyfrowana wersja = utrata plików. Chociaż niektóre dyski w chmurze przechowują kopie plików do kilku dni wstecz, więc da się ich odratować.

Do szyfrowania w Windows stosuj Vera Crypt: http://sekurak.pl/veracrypt-godny-nastepca-truecrypta/ i http://www.dobreprogramy.pl/Szyfrowanie-calego-dysku-ochron-swoje-dane-… oraz http://www.pcworld.pl/news/403898/Szyfrowanie.co.warto.o.nim.wiedziec.h… poszukaj w sieci materiałów na ten temat. Nie będę ich tutaj przepisywał. Szyfrowanie ma swoje wady i zalety, musisz o tym pamiętać:

Niektóre zalety:
Cyberkradzież plików zaszyfrowanego kontenera gdzie przechowywane są zaszyfrowane pliki nic nie da przestępcy. Kradzież laptopa / smartfona uniemożliwia dostanie się do zaszyfrowanych plików. W smartfonie należy szyfrować całe urządzenie - android ma taką funkcję. Podobnie w laptopach, jednak Windows nie umożliwia tego przed instalacją. Niezbędny jest Linux / Mac OS. Unikaj szyfrowania sprzętowego oferowanego przez producentów dysków twardych. Mogą zawierać backdoory.

Niektóre wady: Zapomnisz hasła deszyfrującego - tracisz dostęp do plików na zawsze. Niektórzy uważają to za zaletę, ale dla ciebie na początek będzie to wada. Dla początkujących nie jest to łatwe zadanie. Odszukanie się w gąszczu oprogramowania tego typu, sposobach szyfrowania to czasami droga przez mękę. Szyfrowanie nie jest dla każdego.

Jeśli będziesz chciał przepiąć dysk z kompa do kompa, a będzie on cały zaszyfrowany nie będzie to możliwe :) Jeśli zaszyfrujesz Vera Crypt tylko konkretne foldery / pliki to jedynie do nich nie dostaniesz się bez podania hasła. Coś za coś.

Zyga śr., 20-07-2016 - 12:36

@#7
"zalety:
Cyberkradzież plików zaszyfrowanego kontenera gdzie przechowywane są zaszyfrowane pliki nic nie da przestępcy. Kradzież laptopa / smartfona uniemożliwia dostanie się do zaszyfrowanych plików. W smartfonie należy szyfrować całe urządzenie - android ma taką funkcję."
Wszystkie ładnie i pięknie ale to strasznie spowolni telefon.
Czy jest możliwość zrobienia tylko kopii jako zaszyfrowane pliki a przy okazji normalnie skorzystać z plików?
.

"Jeśli będziesz chciał przepiąć dysk z kompa do kompa, a będzie on cały zaszyfrowany nie będzie to możliwe :) Jeśli zaszyfrujesz Vera Crypt tylko konkretne foldery / pliki to jedynie do nich nie dostaniesz się bez podania hasła. Coś za coś."
Trochę porażka. A jak mi komputer padnie to co wtedy (płyta, grafika, zasilacz itp)? Gdzie pliki odczytam?
I czy jeśli dokonam formatu dysku z systemem Windows to również po postawieniu nowego świeżego systemu będą miał problem?

Adrian Ścibor śr., 20-07-2016 - 12:38

@#8
Czy spowolni telefon? Zależy który. Możesz spróbować, zawsze możesz potem cofnąć szyfrowanie i wrócić do normalnego stanu.

"Czy jest możliwość zrobienia tylko kopii jako zaszyfrowane pliki a przy okazji normalnie skorzystać z plików?"

Oczywiście. Możesz szyfrować sobie wybrane pliki / foldery. A pracować na ich kopii.

Adrian Ścibor śr., 20-07-2016 - 12:41

@#8
Po przepięciu dysku do innego kompa po prostu niezbędny będzie format i tyle. Dysk będzie sprawny, ale nie będzie można z niego odczytać danych. Dlatego pisałem o wadach i o zaletach. I jak mówiłem - nie dla każdego jest szyfrowanie. Na początek zacznij o szyfrowania w systemie plików. Z całym dyskiem poczekaj, aż nabierzesz wiedzy.

Zyga śr., 20-07-2016 - 13:36

@#10
Ok. Dzięki zatem za kolejną pomoc.
Pomyślę nad tym szyfrowaniem bo nie chciałbym sobie zaszkodzić, mimo, że to jednak jest bezpieczeństwo danych.
Szyfrowanie samych plików? Ale to pewnie też nie będę mógł odczytać na innym kompie ?

Adrian Ścibor śr., 20-07-2016 - 13:38

@#11
Będziesz mógł instalując Vera Crypt i podając hasło. Innej możliwości nie ma. Musisz pamiętać o kompatybilności. Szyfrując pliki na Windows nie zawsze możesz je odczytać na Linux i odwrotnie. Potrzebne jest to samo oprogramowanie na różne systemy operacyjne.

Zyga śr., 20-07-2016 - 17:23

@#12
Ok. Dziękuję.

Zyga sob., 13-08-2016 - 15:43

@#13
Adrian
A co z TrueScryptem? https://truecrypt.ch/
To też jest dobre?
Jaka jest w końcu prawda? Czytałem że już ponoć nie jest rozwijany i NSA z FBI złamały szyfr (co dziwne bo to open source)
Dodatkowo rząd Wielkiej Brytanii z GCHQ ma zabronić lub już zabronił szyfrowanie danych
https://www.theguardian.com/technology/2015/dec/21/apple-uk-government-…
Podobnie ma być w Chinach.
Jeszcze jest BitLocker od Windowsa (każdy go ma w systemie)
https://pl.wikipedia.org/wiki/BitLocker
Tylko ponoć TPM jest złamany a Microsoft zainstalował backdoora i zapisuje u siebie klucz (wpływ NSA)

Dodatkowo, szyfrowanie oprogramowanie dysków też ma wiele luk
https://zaufanatrzeciastrona.pl/post/dlaczego-nie-powinniscie-nigdy-ufa…

Wychodzi na to, że cokolwiek byśmy nie robili, to i tak może przed wirusem oszczędzimy dane a przed NSA się nie ukryjemy..... Masakra jakaś

Zyga sob., 13-08-2016 - 15:51

@#13
I jeszcze jedno
https://en.wikipedia.org/wiki/VeraCrypt
A nim taki akapit
"Malware
VeraCrypt documentation states that VeraCrypt cannot secure data on a computer if it has any kind of malware installed. Some kinds of malware are designed to log keystrokes, including typed passwords, that may then be sent to the attacker over the Internet or saved to an unencrypted local drive from which the attacker might be able to read it later, when they gain physical access to the computer"

Czyli wygląda na to, że nawet szyfrowanie danych nie daje nam gwarancji zabezpieczenia przed Malware...

Zyga czw., 01-09-2016 - 02:15

Tak właśnie czytam i widzę że nie otrzymałem odpowiedzi ;-)

Adrian Ścibor pt., 02-09-2016 - 08:09

@#17 Co mam powiedzieć... Jeśli ogarniesz to korzystaj, pod warunkiem, że odbiorca wiadomości także ogarnie. PGP jest powszechnie stosowane do szyfrowania wiadomości @.
Do generowania klucza możesz stosować terminal Linux / konsolę CMD w Windows / terminal w Windows 10 lub GNU - graficzną nakładkę i cieszyć się z aplikacji: http://pomoc.nazwa.pl/baza-wiedzy/produkty-i-uslugi/certyfikaty-ssl/inf…