Dziennik Internautów (DI): Na przełomie grudnia i stycznia - jak zwykle - zostaliśmy zasypani prognozami na temat zagrożeń czyhających na nas w najbliższych miesiącach. Co firma, to inna wizja, zbieżna z pozostałymi tylko w niektórych punktach. Czego Pana zdaniem powinniśmy się najbardziej obawiać w 2011 roku?

Rik Ferguson (RF): W roku 2011 wzrośnie liczba eksploitów ukierunkowanych na alternatywne systemy operacyjne, programy i przeglądarki, a ponadto w znacznie większym stopniu wykorzystywane będą luki w zabezpieczeniach aplikacji.

Należy również zwrócić uwagę na przetwarzanie w chmurze i wirtualizację - technologie te przynoszą znaczne korzyści i oszczędności, ale jednocześnie wyprowadzają serwery poza tradycyjną strefę bezpieczeństwa, a tym samym otwierają przed cyberprzestępcami nowe możliwości. To z kolei zwiększa wymagania dotyczące zabezpieczeń stawiane firmom świadczącym usługi przetwarzania w chmurze. Trend Micro przewiduje, że w 2011 roku wzrośnie liczba ataków sondujących luki w zabezpieczeniach infrastruktury przetwarzania w chmurze i systemów zwirtualizowanych. Cyberprzestępcy zdają sobie sprawę, że monokultura komputerów biurkowych jest w zaniku, będą więc testować możliwości infiltrowania chmur i wykorzystywania ich do nielegalnych celów.

Równocześnie nie ustaną ataki na starsze (lecz szeroko wykorzystywane) systemy, które nie są już aktualizowane - takie jak Windows 2000 i Windows XP SP2. Ponadto średnie przedsiębiorstwa staną się celem działań szpiegowskich z wykorzystaniem internetu. Nasilą się też ściśle ukierunkowane ataki na duże, znane firmy i/lub newralgiczną infrastrukturę.

DI: Większość specjalistów ds. bezpieczeństwa uważa Stuxneta za jednego z najbardziej wyrafinowanych szkodników wszech czasów. Niektórzy starają się natomiast udowodnić, że daleko mu do majstersztyku, że np. zaimplementowane w nim funkcje maskujące pozostawiają wiele do życzenia, podobnie jak funkcja zdalnego sterowania (zob. Raport o (cyber)stanie świata). Pan po jakiej opowiada się stronie?

RF: Możliwe, że niektóre elementy szkodliwego oprogramowania Stuxnet lub związanego z nim „systemu dowodzenia” faktycznie nie były aż tak „doskonałą cyberbronią”, za jaką powszechnie się je uznaje. Należy jednak spojrzeć na sprawę obiektywnie: z dostępnych obecnie informacji wynika, że oprogramowanie to mogło swobodnie działać nawet przez rok, zanim zostało wykryte, a przy tym bardzo skutecznie zakłócało działanie obiektów, przeciw którym było wymierzone. W związku z tym - bez względu na ewentualne błędy - należy uznać, że narzędzie to spełniło swoją rolę.

DI: Wiele szumu robi ostatnio grupa określająca się jako Anonymous - najpierw przeprowadziła szereg ataków typu DDoS przeciwko witrynom organizacji antypirackich, potem zaatakowała firmy, które odmówiły wsparcia serwisowi Wikileaks, a niedawno doprowadziła do zablokowania stron rządowych w Egipcie i innych państwach, w których wybuchły zamieszki. Pana zdaniem to przelotna moda czy w 2011 roku należy oczekiwać eskalacji tego typu cyberprotestów?

RF: Obecnie mamy do czynienia z internetowym odpowiednikiem studenckiego strajku okupacyjnego, ale powszechna dostępność i rosnący poziom wyrafinowania narzędzi służących do przeprowadzania ataków budzą obawy. Duża gotowość „ochotników” oznacza, że w niedalekiej przyszłości możemy stać się świadkami pierwszych globalnych „zamieszek” internetowych.

W wielu krajach udział w atakach typu DDoS jest jednoznacznie uznawany za niezgodny z prawem, a obecna generacja narzędzi wykorzystywanych przez ochotników do przeprowadzania ataków nie umożliwia fałszowania ani ukrywania źródłowego adresu IP, co oznacza realną groźbę pociągnięcia do odpowiedzialności karnej. Następna generacja narzędzi zostanie jednak z pewnością wyposażona w powyższe funkcje, przez co zwiększy się też liczba potencjalnych użytkowników.

Kolejnym powodem do obaw jest możliwość wykorzystania rozrastającej się, złożonej z ochotników sieci botnet przez osoby z zewnątrz. Monokultury są dla przestępców łatwym celem, a narzędzie do dokonywania ataków pobrano już dziesiątki tysięcy razy.

DI: Coraz więcej firm przygotowuje oprogramowanie antywirusowe nie tylko dla systemu Windows, ale też Mac OS X i Linux. W kręgu ich zainteresowań znalazły się też platformy mobilne, takie jak Android i stosowany w produktach Apple'a iOS. Czy ilość zagrożeń czyhających na użytkowników platform innych niż Windows rzeczywiście tak mocno się zwiększyła, czy to tylko dmuchanie na zimne?

RF: Liczba zagrożeń dla platform mobilnych rośnie cały czas w  niezmiennym tempie. Ilość szkodliwego oprogramowania atakującego urządzenia bezprzewodowe i alternatywne systemy operacyjne jest oczywiście znacznie mniejsza niż w przypadku systemów z rodziny Windows, gdzie zjawisko to przybrało rozmiary epidemii, ale przestępcy interesują się coraz częściej również tym obszarem.

Widzimy, że ataków wymierzonych jednocześnie przeciwko wielu platformom dokonują obecnie te same grupy przestępcze, które wcześniej atakowały systemy Wintel. Jednocześnie obserwujemy uderzający wzrost złożoności zagrożeń, czego przykładem może być szkodliwe oprogramowanie ZeuS. Jego aktualna wersja obejmuje elementy działające w telefonach komórkowych, mające za zadanie przechwytywać kody uwierzytelniające do systemów bankowych przesyłane w postaci SMS-ów. Przestępcy dostosowują swoje działania do zachowań konsumentów, jeśli więc platformy mobilne zaczną stwarzać możliwości wzbogacenia się, przestępcy skrzętnie je wykorzystają.

DI: Rosnąca popularność serwisów społecznościowych przyciąga do nich różnego rodzaju oszustów i twórców szkodliwego oprogramowania. Ostatnio pisał Pan o zagrożeniach, jakich możemy się spodziewać w związku z wprowadzeniem na Facebooku nowych stron fanowskich. Na jakie jeszcze cyberprzestępcze tricki warto uważać? A może lepiej nie korzystać z tego typu serwisów?

RF: Facebook i inne serwisy społecznościowe są znakomitym miejscem do spotkań towarzyskich, a także mogą być z powodzeniem wykorzystywane do celów handlowych. Należy jednak zachować zdrowy rozsądek i zastanowić się, jakie dane osobowe chcemy udostępniać oraz w jakim zakresie. Osobiście nie odradzam korzystania z powyższych platform, ponieważ - o ile używa się ich rozważnie - ich zalety często przeważają nad zagrożeniami. Należy jednak pamiętać, że monokultury i duże zbiorowiska użytkowników powstające w sieciach opartych na zaufaniu są atrakcyjne dla przestępców - głównie z uwagi na możliwość wykorzystania socjotechniki. Przejęte konto w sieci społecznościowej jest znakomitym punktem wyjścia do dokonywania ataków na osoby zaprzyjaźnione z jego właścicielem.

Istnieje kilka dróg, którymi cyberprzestępcy przedostają się do interaktywnego środowiska sieci społecznościowych. Są to chociażby fałszywe lub skradzione profile, szkodliwe aplikacje, fałszywe reklamy, cybersquatting, spam i wiadomości służące do wyłudzania danych osobowych udające prawdziwe powiadomienia z serwisów społecznościowych, informacje gromadzone dzięki przynależności do grup, luki w zabezpieczeniach umożliwiające wprowadzanie fałszywych skryptów (XSS) czy wiadomości bezpośrednie. Atakowane osoby mogą stać się ofiarami kradzieży tożsamości, oszustw czy infekcji, a także mogą zostać wykorzystane do infekowania czy oszukiwania swoich znajomych czy współpracowników.

Wszystkie powyższe ataki mają jedną cechę wspólną - wykorzystują najważniejszy czynnik leżący u podstaw działania serwisów społecznościowych, jakim jest zaufanie. Użytkownicy są znacznie bardziej podatni na ataki dokonywane przy użyciu wiadomości i łączy pochodzących od znajomych lub kolegów niż na ataki oparte na zwykłym spamie od nieznajomych. Nawet robak Koobface - umieszczony w wiadomościach będących niemal podręcznikowym przykładem tradycyjnego spamu - może trafić na bardziej podatny grunt, jeśli zostanie przesłany z konta znajomej osoby. Ponadto użytkownicy decydujący się na dołączenie do internetowej społeczności przyjmują niejako z natury naiwną postawę, która każe im udostępniać swoje dane osobowe innym członkom grupy wyłącznie z uwagi na wspólne zainteresowania.

DI: Dziękujemy za rozmowę.