Nieszczelna sieć

Kilka tygodni temu ujęty został internauta, który włamał się na serwer Multimedia Polska. Nie byłoby w tym nic nadzwyczajnego, gdyby nie fakt, iż chłopak utrzymuje, że nie złamał żadnych zabezpieczeń systemowych. Oznacza to, że uzyskanie dostępu do danych było dziecinnie proste…
Ile jest w Polsce źle zabezpieczonych stron? Czy włamanie się na nie to jeszcze robota dla specjalisty?

 

W raporcie firmy Akamai o stanie Internetu można wyczytać ciekawostki – np. że ulubionym dniem hakerów jest poniedziałek. Ale można też znaleźć informację o tym, że Polska znalazła się w pierwszej dziesiątce krajów, z których pochodzi najwięcej hakerskich ataków na całym świecie. Nasz kraj powrócił do rankingu po długiej nieobecności, wypierając z pierwszej dziesiątki takie mocarstwa, jak np. Rosja. Co prawda wciąż najwięcej ataków dokonywanych jest w Chinach, Stanach Zjednoczonych i Korei Południowej, ale na polskim cyberpodwórku też nie jest nudno.
Najczęstszym problemem 2009 r. było rozsyłanie obraźliwych i nielegalnych treści. Głównym winowajcą jest oczywiście spam, ale w tę kategorię włącza się również dyskredytację i obrażanie oraz pornografię dziecięcą. Na drugim miejscu plasują się oszustwa komputerowe. W porównaniu z rokiem 2008 liczba rozsyłanych obraźliwych i nielegalnych treści zmalała o 5,95 proc. (wynik z 2008 r.: 40,7 proc.), ale liczba oszustw komputerowych wzrosła o 4,35 proc. (wynik z 2008 r.: 26,84 proc.). Jako główną przyczynę eksperci podają wzrost aktywności phisherów.

 

– Phishing jest próbą wyłudzenia poufnych informacji poprzez podszywanie się pod instytucję lub jednostkę godną zaufania – tłumaczy dyrektor IT Kontrakt, Marceli Smela – najpopularniejsza forma phishingu opiera się na podrabianiu wiadomości z banku z prośbą o zalogowanie się na swoje konto w celu weryfikacji użytkownika.

 

Jeszcze bardziej niebezpieczny jest tzw. phishing selektywny. Dostajemy wiadomość od administratora strony naszej firmy albo szefa działu IT z prośbą o zalogowanie się w sprawie służbowego konta, klikamy na podany link i otwieramy złodziejowi drogę dostępu do tajnych danych firmy. – Taka metoda działania opiera się na klasycznej zasadzie marketingu: kierowanie właściwego przekazu do właściwych ludzi – wyjaśnia Marceli Smela – przynęta trafia do zamkniętego grona odbiorców, co uwiarygodnia komunikat i usypia czujność odbiorcy.

 

Trzecim źródłem ataków sieciowych jest złośliwe oprogramowanie. Komputery prywatne były atakowane przez popularne konie trojańskie, zresztą, jak pokazuje najnowszy raport Kaspersky Lab dotyczący szkodliwego oprogramowania, taka sytuacja nie zmieniła się i w tym roku. Programy najczęściej atakujące komputery prywatne to: Trojan.Win32.Inject.anru (12,69-proc. udział), HEUR:Trojan.Win32.Generic (10,16 proc.), Packed.Win32.Krap.ao (5,38 proc.) i Backdoor.Win32.Hackdoor.og (3,97 proc.).
Pozytywnym aspektem zestawienia jest to, że najmniej zgłaszanych ataków dotyczyło bezpieczeństwa informacji.

Co tam, panie, w polityce?

Najlepiej nie jest – przeprowadzone pod koniec ubiegłego roku badania 16 witryn rządowych ujawniły 431 błędów. Ponad 70 proc. z nich cechuje niski stopień zagrożenia, ale prawie 20-proc. wynik błędów o bardzo wysokim poziomie zagrożenia jest alarmujący.
Bardzo wysoki: 17 proc.
Wysoki: 2 proc.
Niski: 73 proc.
Informacyjny: 8 proc.

Jakie błędy zostały włączone w poczet podatności o wysokim/ bardzo wysokim stopniu niebezpieczeństwa? Przede wszystkim Cross Site Scripting oraz SQL/XPath Injection, jednak nie wszystkie zagrożenia wynikają z błędów specjalistycznych. 7 proc. spowodowanych jest używaniem nieaktualnego oprogramowania.
Nieaktualna wersja protokołu SSL: 3 proc.
Nieaktualna wersja modułu PHP: 3 proc.
Podatności typu SQL/XPathInjection: 11 proc.
Nieaktualna wersja serwera Apache: 1 proc.
Podatności typu Cross Site Scripting: 82 proc.

Jak mówi Marceli Smela: „Największe zagrożenia dla bezpieczeństwa wynikają z błędów w aplikacjach, do których dostęp ma użytkownik zewnętrzny. Aplikacje te bardzo często nie są budowane, konfigurowane i utrzymywane przez lokalnych administratorów”.

Pozdrowienia dla pana premiera

Ataków hakerskich jest zdecydowanie zbyt wiele, żeby notować każdy z nich. Kilka jednak odbiło się szerokim echem w opinii publicznej…
Pod koniec listopada zeszłego roku gruchnęła wieść o wycieku tysięcy haseł polskich internautów. Na portalu goldenline.pl pojawił się link do strony zawierającej loginy i hasła dostępu do kont między innymi na takich serwisach, jak: Allegro.pl, Nasza-Klasa.pl, Era.pl, Kurnik.pl, TP.pl, Orange.pl, O2.pl, Fotka.pl, Blox.pl.

 

 

Jak się okazało, wyciek nie pochodził z serwisów internetowych, a z zainfekowanych trojanem Ha******d Stealer komputerów użytkowników. Spreparowany plik trojan.exe zawierał informacje o koncie FTP lub adresie e-mail, pod który wysłane będą przechwycone hasła. Zainfekowany plik podrzucany był użytkownikowi (jako link do zdjęć, aplikacja etc.), kliknięcie na niego automatycznie powodowało zainstalowanie się Trojana w systemie i zaczynało się przechwytywanie haseł.

 

Łakomym kąskiem dla cyberprzestępców są strony rządowe. Pod koniec ubiegłego roku mieliśmy do czynienia z dwoma atakami hakerskimi w ciągu dwóch dni. Najpierw na stronie Rady ds. Uchodźców pojawił się tekst: „Możesz mnie zatrzymać, ale nie zatrzymasz nas wszystkich… Pozdrowienia dla Pana Premiera”, a później zaatakowana została strona Państwowej Służby Hydrogeologicznej.

 

ABW błyskawicznie ustaliła tożsamość sprawcy, jednak haker nadal pozostaje na wolności. Polskie prawo zabrania bowiem ścigać tego typu przestępstwa z urzędu. Wcześniej ktoś musiałby złożyć na działalność hakera doniesienie, a takowe nie wpłynęło. Co ciekawe, żadna z zaatakowanych stron nie bierze udziału w dobrowolnym programie ochrony witryn internetowych przed atakami hakerskimi prowadzonym przez CERT (Computer Emergency Response Team).

 

Takie ataki to niestety nie rzadkość, ostatnie doniesienia pochodzą chociażby z początku kwietnia – urzędnicy administracji publicznej dostali w tych dniach e-mail zatytułowany: „The annual Cybersecurity meeting on April 05-08.” Jak poinformował CERT: Nadawcy podszywają się pod Ministerstwo Obrony Estonii, a przesyłki zawierać mogą plik PDF, który po otwarciu wykorzystuje niezałatane luki w programie Adobe Acrobat Reader i służy do infekcji komputera osobistego złośliwym oprogramowaniem.
Dlaczego hakerzy atakują rządowe strony? Wcale nie po to, żeby przechwycić tajne dane, bo nie jest tajemnicą, że te przechowywane są na innych serwerach. Jak podkreśla Marceli Smela: „Większość ataków to nie autentyczne próby włamań, ale nauczka – hakerzy chcą zwrócić uwagę, że witryny nie są odpowiednio chronione”.