Jak bronić się przed cyberatakami?
Popularne i wciąż niebezpieczne luki w aplikacjach zazwyczaj są przyczyną większości cyberataków. Nawet najbardziej zaawansowane technologiczne zabezpieczenia mogą okazać się nie wystarczające, gdy mamy "dziury" w naszych systemach informatycznych. Jedną z metod weryfikacji stanu zabezpieczeń systemu informatycznego są tzw. testy bezpieczeństwa lub audyty bezpieczeństwa.
Mimo postępu technologicznego, hakerzy nadal wykorzystują znane od dawna luki w aplikacjach typu SQL-Injection, XSS czy CSRF. Informacje o tych podatnościach w różnych produktach komercyjnych i opensource pojawiają się w Sieci niemal codziennie. Cyberprzestępcy śledzą je na bieżąco, modyfikują swoje narzędzia i szukają nie zaktualizowanych witryn w Sieci. To najczęstszy schemat cyberataków.
Ofiarą hakera może stać się każdy z nas. W 2011 roku słyszeliśmy o atakach na instytucje publiczne, banki czy dostawców gier on-linowych. Cyberwłamania trudno uniknąć w ogóle, ale można skutecznie ograniczać ryzyka podobnych zdarzeń. – Poza zabezpieczeniami fizycznymi serwerów i gromadzonych na nich danych, zabezpieczeniami systemów operacyjnych oraz właściwą ochroną warstw sieciowej i aplikacji, należy również (a nawet przede wszystkim!) zadbać o bezpieczny kod. Witryna WWW jest bowiem interfejsem przeznaczonym do pracy z danymi – podkreśla Jerzy Patraszewski, certyfikowany specjalista CISSP ds. bezpieczeństwa informatycznego w firmie Hostersi.
Ciągły proces
Nawet jeśli otrzymamy gwarancję na kod, to należy pamiętać, że coś co jest dzisiaj bezpieczne, jutro może okazać się ?dziurawe?. Bo bezpieczeństwo jest ciągłym procesem i musi podlegać ciągłej weryfikacji. Jedną z metod są audyty i testy bezpieczeństwa. – Audyt bezpieczeństwa sprowadza się do sprawdzenia systemu zgodnie z wytycznymi czy też normami. Natomiast test bezpieczeństwa, w szczególności typu "black-box", ma na celu weryfikację stopnia zabezpieczenia systemu poprzez symulację działań potencjalnego agresora. Testy bezpieczeństwa (nazywane też penetracyjnymi ? przyp. red.) dają więc pełną informację o podatnościach systemu na ataki zewnętrzne – wyjaśnia Jerzy Patraszewski.
Zasadniczo wyróżniamy dwa typy profesjonalnych testów bezpieczeństwa. Pierwszy to ?black-box?. Charakteryzuje się tym, że przed rozpoczęciem swoich prac tester nie posiada wiedzy dotyczącej analizowanego systemu. – Ten rodzaj testy jest najbardziej skuteczny i efektywny, bo symuluje typowe działania hakera, nie znającego środowiska (systemów operacyjnych, działających w systemie usług i aplikacji, topologii sieci itp.) ? stwierdza specjalista bezpieczeństwa informacji w firmie Hostersi. Drugim typem są testy "white-box", gdzie atakujący (tester) otrzymuje szczegółowe informacje dotyczące badanego systemu (np. modele urządzeń sieciowych, wersje serwerów webowych, aplikacji, systemów operacyjnych, rodzaje baz danych, typy zastosowanych ścian ogniowych itp.).
Testować bezpieczeństwo
Testy bezpieczeństwa można wykonywać za pomocą gotowych narzędzi, ale najbardziej precyzyjne są oczywiście te wykonywane przez człowieka (tzw. pen-testera). To wydatek jednorazowy, rzędu od kilkuset do nawet kilkudziesięciu tysięcy złotych. Cena uzależniona jest przede wszystkim od rodzaju zastosowanych narzędzi badawczych i rodzaju testowanego systemu. Najczęściej testy bezpieczeństwa kojarzą się z badaniem bezpieczeństwa aplikacji webowych, jednak można (a nawet trzeba) wykonywać je również dla pozostałych elementów systemu.
Testy bezpieczeństwa kończą się raportem podsumowującym wszystkie wykonywane czynności wraz ze szczegółowym opisem ujawnionych podatności na ataki zewnętrzne. Często taki raport wzbogacony jest również o zalecenia bezpieczeństwa. Istotną częścią raportu powinna być również ocena wpływu ujawnionych nieprawidłowości na działalność biznesową ? czyli określenie stopnia ryzyka biznesowego, w przypadku ataku wykorzystującego wykrytą ?dziurę? w systemie.
Ludzkie luki
Na zakończenie należy wspomnieć o często pomijanym czynniku ludzkim. Kevin Mitnick, zwracając uwagę na aspekt inżynierii socjalnej wykorzystywany często przez przestępców, napisał w swojej książce: "Łamałem ludzi, a nie hasła". – To właśnie dzięki takim "lukom" możliwe są ataki phishingowe czy spamerskie. I to właśnie dzięki takim ?lukom? często wyciekają poufne dane z firm. Z tego też względu tak ważne jest opracowanie odpowiednich procedur, ich wdrożenie, weryfikacja oraz konsekwencja w ich egzekwowaniu – zauważa Jerzy Patraszewski.
Najsłynniejsze włamania hakerskie w 2011 roku
W 2011 roku ofiarami hakerów padły znane marki (np. Sony, kwiecień 2011), instytucje rządowe (CIA, senat USA, czerwiec 2011) czy finansowe (Citigroup w USA, czerwiec 2011). Były one dziełem grup LulzSec i Anonymous. Również w Polsce hakerzy dali o sobie znać. Tzw. scripts-kiddies (wykorzystujący gotowe narzędzia automatycznie skanujące podatności) dokonali zmasowanej podmiany kilkuset witryn samorządowych (wrzesień, 2011).