Oto druga część naszej trzyczęściowej serii "Anatomia cyberprzestępczych syndykatów". Tematem części pierwszej były struktura i działalność cyberprzestępczego syndykatu. Dziś poddamy analizie krajobraz zagrożeń, który stanowi podstawę istnienia cyberprzestępczości, natomiast w części trzeciej przyjrzymy się rozwiązaniom, jakie mogą wdrożyć organizacje w celu zmniejszenia ryzyka.
Cyberprzestępcze syndykaty nie znikną w najbliższej przyszłości. Najkrócej ujmując, stanowią zbyt dochodowy interes – dla jego twórców oprogramowanie typu crimeware oznacza wysokie zyski i praktycznie zerowe ryzyko.
Jak dotąd, próby ograniczenia lub zapobiegania wykorzystaniu tego typu oprogramowania na większą skalę były w najlepszym razie nieskuteczne.
– Próby powstrzymania mających dziś miejsce wydarzeń to niekończąca się walka z wiatrakami – mówi Derek Manky, starszy strateg ds. bezpieczeństwa w firmie Fortinet. – Kiedy złośliwy kod ujrzy światło dzienne, niezwykle trudno jest z powrotem zamknąć takiego dżina w butelce.
Tymczasem cyberprzestępcze syndykaty mają do dyspozycji armie pracowników, przy pomocy których są w stanie szybko doskonalić, tworzyć i rozwijać złośliwe oprogramowanie z prędkością znacznie przekraczającą prędkość tworzenia odpowiednich zabezpieczeń. (Przykładowo, firma Fortinet przetwarza miliony próbek miesięcznie, obecnie około 3 razy więcej niż miało to miejsce w grudniu 2008 r.).
Na tym właśnie polega problem: ilość złośliwego oprogramowania wzrasta wykładniczo, a środki w zakresie zapewnienia jakiejkolwiek kompleksowej ochrony są ograniczone.
– Smutne fakty są takie, że badacze i specjaliści w dziedzinie zabezpieczeń nie są w stanie powstrzymać wszystkich zagrożeń – mówi Manky. – Nikt nie wynalazł srebrnej kuli, która pozwoliłaby rozwiązać ten problem.
Jak zauważa Manky, w ostatnich latach miały jednak miejsce pewne obiecujące kroki we właściwym kierunku, a mianowicie skutecznie unieszkodliwiono kilka botnetów.
Dla przykładu wyznaczono grupy zadaniowe (tzn. grupy robocze złożone z pracowników organów śledczych, przedstawicieli organizacji rządowych i specjalistów z branży bezpieczeństwa informatycznego) do walki z bonetem Conficker/Mariposa, co w efekcie przyczyniło się do jego zlikwidowania.
Oto inne przykłady skutecznych akcji:
Unieszkodliwienie botnetu Butterfly/Mariposa w marcu 2010 r. Botnet zainfekował 12 milionów komputerów, spośród których ponad połowa należała do firm z listy Fortune 1000 i ponad 40 dużych banków (aresztowano 1 programistę i 5 współpracowników).
Unieszkodliwienie botnetu Zeus/Zbot we wrześniu 2010 r. Przedstawiono zarzuty 11 osobom z Europy Wschodniej i 73 mułom pieniężnym, spośród których 37 osób miało wyprać ponad 3 miliony dolarów, a 36 osób 860 tysięcy dolarów pochodzących od 34 ofiar (firm i osób prywatnych).
Unieszkodliwienie botnetu Bredolab w październiku 2010 r. Aresztowano jednego obywatela Armenii, który kontrolował 143 serwery i za ich pośrednictwem 29 milionów zainfekowanych komputerów. Holenderscy prokuratorzy szacują, że sam zysk z wynajmu do rozsyłania spamu wynosił 139 tysięcy dolarów miesięcznie.
Unieszkodliwienie botnetu Koobface w listopadzie 2010 r. Dzięki zastosowaniu technologii umożliwiającej jego twórcom szybką odbudowę botnet ten wrócił do życia w ciągu czterech dni po unieszkodliwieniu. Nie dokonano aresztowań, więc twórcy botnetu nadal przebywają na wolności.
Inną skuteczną techniką jest uniemożliwianie cyberprzestępcom rejestrowania szkodliwych domen. Manky podaje przykład Chin, gdzie podjęto tego rodzaju inicjatywę „low-tech” polegającą na zastosowaniu papierowych formularzy rejestracyjnych i w efekcie umożliwiającą dokładniejsze monitorowanie i zapewnienie wyższej jakości procesu rejestracji domen.
Manky dodaje jednak, że chociaż istnieje wiele tzw. zespołów CERT (ang. Computer Emergency Response Team), ich działalność ogranicza się zwykle do reagowania na incydenty w ich własnej jurysdykcji geograficznej. Natomiast kiedy incydent przemieści się do regionu, w którym mogą się nim zająć właściwe organy śledcze, często okazuje się, że urzędnicy są niewystarczająco przeszkoleni i/lub nie dysponują odpowiednimi zasobami umożliwiającymi podjęcie skutecznych działań.
– Na najwyższym poziomie potrzebny jest centralny kanał zgłoszeniowy, który służyłby jako źródło danych dla firm prywatnych prowadzących badania w tej dziedzinie – mówi Manky. – Wszystkie podejmowane działania muszą być prowadzone na skalę globalną.
O autorze: Zanim dołączyła do zespołu firmy Fortinet, Stefanie Hoffman pracowała jako reporterka magazynu CRN – zajmowała się tematami dotyczącymi głównych trendów w dziedzinie zabezpieczeń, głośnych przypadków naruszeń bezpieczeństwa danych i ataków z wykorzystaniem złośliwego oprogramowania. Kiedy nie pisze o cyberprzestępczości i nie rozmawia z ekspertami z branży zabezpieczeń, najprawdopodobniej tańczy salsę. Zobacz także: Anatomia cyberprzestępczych syndykatów, cz. 1 oraz Anatomia cyberprzestępczych syndykatów, cz. 3.
Aktualności
|
Porady
|
Gościnnie
|
Katalog
Bukmacherzy
|
Sprawdź auto
|
Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy
Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.
*
|
|
|
|
|
|