Anatomia cyberprzestępczych syndykatów, cz. 2

Stefanie Hoffman, Fortinet 02-03-2012, 12:53

Oto druga część naszej trzyczęściowej serii "Anatomia cyberprzestępczych syndykatów". Tematem części pierwszej były struktura i działalność cyberprzestępczego syndykatu. Dziś poddamy analizie krajobraz zagrożeń, który stanowi podstawę istnienia cyberprzestępczości, natomiast w części trzeciej przyjrzymy się rozwiązaniom, jakie mogą wdrożyć organizacje w celu zmniejszenia ryzyka.

Cyberprzestępcze syndykaty nie znikną w najbliższej przyszłości. Najkrócej ujmując, stanowią zbyt dochodowy interes – dla jego twórców oprogramowanie typu crimeware oznacza wysokie zyski i praktycznie zerowe ryzyko.

Jak dotąd, próby ograniczenia lub zapobiegania wykorzystaniu tego typu oprogramowania na większą skalę były w najlepszym razie nieskuteczne.

– Próby powstrzymania mających dziś miejsce wydarzeń to niekończąca się walka z wiatrakami – mówi Derek Manky, starszy strateg ds. bezpieczeństwa w firmie Fortinet. – Kiedy złośliwy kod ujrzy światło dzienne, niezwykle trudno jest z powrotem zamknąć takiego dżina w butelce.

Tymczasem cyberprzestępcze syndykaty mają do dyspozycji armie pracowników, przy pomocy których są w stanie szybko doskonalić, tworzyć i rozwijać złośliwe oprogramowanie z prędkością znacznie przekraczającą prędkość tworzenia odpowiednich zabezpieczeń. (Przykładowo, firma Fortinet przetwarza miliony próbek miesięcznie, obecnie około 3 razy więcej niż miało to miejsce w grudniu 2008 r.).

Czytaj także: Anatomia cyberprzestępczych syndykatów, cz. 1

Na tym właśnie polega problem: ilość złośliwego oprogramowania wzrasta wykładniczo, a środki w zakresie zapewnienia jakiejkolwiek kompleksowej ochrony są ograniczone.

– Smutne fakty są takie, że badacze i specjaliści w dziedzinie zabezpieczeń nie są w stanie powstrzymać wszystkich zagrożeń – mówi Manky. – Nikt nie wynalazł srebrnej kuli, która pozwoliłaby rozwiązać ten problem.

Jak zauważa Manky, w ostatnich latach miały jednak miejsce pewne obiecujące kroki we właściwym kierunku, a mianowicie skutecznie unieszkodliwiono kilka botnetów.

Dla przykładu wyznaczono grupy zadaniowe (tzn. grupy robocze złożone z pracowników organów śledczych, przedstawicieli organizacji rządowych i specjalistów z branży bezpieczeństwa informatycznego) do walki z bonetem Conficker/Mariposa, co w efekcie przyczyniło się do jego zlikwidowania.

Oto inne przykłady skutecznych akcji:

Unieszkodliwienie botnetu Butterfly/Mariposa w marcu 2010 r. Botnet zainfekował 12 milionów komputerów, spośród których ponad połowa należała do firm z listy Fortune 1000 i ponad 40 dużych banków (aresztowano 1 programistę i 5 współpracowników).

Unieszkodliwienie botnetu Zeus/Zbot we wrześniu 2010 r. Przedstawiono zarzuty 11 osobom z Europy Wschodniej i 73 mułom pieniężnym, spośród których 37 osób miało wyprać ponad 3 miliony dolarów, a 36 osób 860 tysięcy dolarów pochodzących od 34 ofiar (firm i osób prywatnych).

Unieszkodliwienie botnetu Bredolab w październiku 2010 r. Aresztowano jednego obywatela Armenii, który kontrolował 143 serwery i za ich pośrednictwem 29 milionów zainfekowanych komputerów. Holenderscy prokuratorzy szacują, że sam zysk z wynajmu do rozsyłania spamu wynosił 139 tysięcy dolarów miesięcznie.

Unieszkodliwienie botnetu Koobface w listopadzie 2010 r. Dzięki zastosowaniu technologii umożliwiającej jego twórcom szybką odbudowę botnet ten wrócił do życia w ciągu czterech dni po unieszkodliwieniu. Nie dokonano aresztowań, więc twórcy botnetu nadal przebywają na wolności.

Czytaj także: Kto jest kim w cybergangu?

Inną skuteczną techniką jest uniemożliwianie cyberprzestępcom rejestrowania szkodliwych domen. Manky podaje przykład Chin, gdzie podjęto tego rodzaju inicjatywę „low-tech” polegającą na zastosowaniu papierowych formularzy rejestracyjnych i w efekcie umożliwiającą dokładniejsze monitorowanie i zapewnienie wyższej jakości procesu rejestracji domen.

Manky dodaje jednak, że chociaż istnieje wiele tzw. zespołów CERT (ang. Computer Emergency Response Team), ich działalność ogranicza się zwykle do reagowania na incydenty w ich własnej jurysdykcji geograficznej. Natomiast kiedy incydent przemieści się do regionu, w którym mogą się nim zająć właściwe organy śledcze, często okazuje się, że urzędnicy są niewystarczająco przeszkoleni i/lub nie dysponują odpowiednimi zasobami umożliwiającymi podjęcie skutecznych działań.

– Na najwyższym poziomie potrzebny jest centralny kanał zgłoszeniowy, który służyłby jako źródło danych dla firm prywatnych prowadzących badania w tej dziedzinie – mówi Manky. – Wszystkie podejmowane działania muszą być prowadzone na skalę globalną.

Czytaj także: Cyberprzestępcy nie są "maniakami komputerowymi"

O autorze: Zanim dołączyła do zespołu firmy Fortinet, Stefanie Hoffman pracowała jako reporterka magazynu CRN – zajmowała się tematami dotyczącymi głównych trendów w dziedzinie zabezpieczeń, głośnych przypadków naruszeń bezpieczeństwa danych i ataków z wykorzystaniem złośliwego oprogramowania. Kiedy nie pisze o cyberprzestępczości i nie rozmawia z ekspertami z branży zabezpieczeń, najprawdopodobniej tańczy salsę. Zobacz także: Anatomia cyberprzestępczych syndykatów, cz. 1 oraz Anatomia cyberprzestępczych syndykatów, cz. 3.


Źródło: FortiCamp
  
znajdź w serwisie


RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy