Partnerzy strategiczni
Partnerzy wspierający
Partnerzy wspierający
Partnerzy wspierający
Partnerzy merytoryczni
Nawrat: żaden bank nie jest odporny na atak hakerski

Z Januszem Nawratem, znanym ekspertem od bezpieczeństwa informatycznego, rozmawiamy o głośnym cyberataku, którego ofiarą padł jeden z polskich banków

O udanym ataku na jeden z mniejszych polskich banków napisał wczoraj blog Zaufana Trzecia Strona. Wpis na ten temat można znaleźć pod tym linkiem.

Przeczytaj także: Orange będzie wysyłać bezpieczne e-faktury

Bloger nie podał nazwy banku, który padł ofiarą zdarzenia. W sieci od razu pojawiły się jednak domysły, o którą instytucję chodzi. Pomijając jej nazwę chciałbym skupić się na samym ataku, który dotknął bezpośrednio jej system informatyczny.

To inaczej niż w większości przypadków, o których ostatnio jest bardzo głośno, a których celem jest klient i jego komputer. Tym razem włamywacz miał dostęp do systemu bankowego. Mógł wykonywać i modyfikować przelewy, miał dostęp do danych klientów, ich kart, rachunków, itd. Sam haker chwali się, że udało mu się ukraść milion złotych.

Przeczytaj także: Nie spodziewasz się przesyłki? Nie otwieraj tego mejla od DHL

Po publikacji Zaufanej Trzeciej Strony w internecie rozgorzała dyskusja na temat bezpieczeństwa polskiego systemu bankowego. O tym, czy jest się czego bać i czy bezpieczniej będzie, jeśli pozamykacie internetowe rachunki, rozmawiam z Januszem Nawratem*.

O atakach na instytucje finansowe słyszymy bardzo często. Zazwyczaj jednak celem ataków jest klient, który uważany jest za najsłabsze ogniwo systemu. Tym razem zaatakowano jeden z banków. Jakie jest prawdopodobieństwo, że podobny atak zostanie powtórzony w innej instytucji?

Tego rodzaju ataki, określane skrótem APT (od anglojęzycznej nazwy zagrożenia: Advanced Persistent Threats), nazywane są także atakami ukierunkowanymi. Zdarzały się i wciąż się zdarzają na całym świecie, choć nie zawsze zaatakowane instytucje przyznają się do tego, że padły ich ofiarą.

Mając na uwadze – z jednej strony – ogromną i wciąż wzrastającą skalę zależności biznesu od systemów informatycznych – z drugiej zaś – lawinowy poziom „produkcji” szkodliwego oprogramowania krążącego w sieci i towarzyszący mu spadek efektywności klasycznych antywirusów, śmiem twierdzić, że każda organizacja na świecie, niezależnie od tego, czy jest to instytucja finansowa, jak bank, czy jakakolwiek inna firma, może stać się ofiarą ataku ukierunkowanego typu APT.

To oczywiste, że nie zawsze tego rodzaju atak musi zakończyć się katastrofą, bo bywa bardzo często tak, że jest on na wczesnym etapie identyfikowany i udaremniany przez ekspertów od zarządzania bezpieczeństwem systemów informatycznych. Z tego samego powodu nie zawsze też wiążą się z nim duże straty finansowe, problemy prawne i uszczerbek dla dobrej reputacji instytucji.

Na czym taki atak APT polega?

Pierwszym etapem ataku jest na ogół zainfekowanie komputera użytkownika końcowego, czyli pracownika banku lub kontraktora realizującego jakieś prace zlecone mu przez bank, szkodliwym oprogramowaniem (wirusem). Infekcja następuje na zewnątrz organizacji, kiedy użytkownik będąc podłączony swoim laptopem do sieci domowej, sieci osiedlowej lub hotspotu WiFi odwiedza serwery WWW z zainfekowaną treścią.

Jednak równie dobrze może zdarzyć się to także wewnątrz firmy na przykład wtedy, kiedy użytkownikowi zdarzy się otworzyć zainfekowany wirusem załącznik do otrzymanej od oszustów wiadomości poczty elektronicznej. Teraz w internecie krąży pełno fałszywej poczty od rzekomych operatorów telekomunikacyjnych czy oszustów podszywających się pod firmy kurierskie. Przenoszą one załączniki, w których kryją się wirusy, tak szybko na przestrzeni czasu zmieniające swój kod (mutujące), że producenci oprogramowania antywirusowego nie nadążają z produkcją „szczepionek” przeciwko nim.

Proszę zwrócić uwagę, że szkodliwe oprogramowanie dostaje się do wnętrza sieci zainfekowanej instytucji niejako poza kontrolą na ogół bardzo silnie ufortyfikowanych zabezpieczeń brzegowych firmowej sieci. Atakujący nie musi więc łamać tych zabezpieczeń, bo użytkownik wyświadczył mu „przysługę”: uległ socjotechnice, dając się przekonać do kliknięcia na link do zainfekowanej strony czy otwarcia zarażonego załącznika do wiadomości poczty. Słowem – legalny użytkownik – tak można powiedzieć – wniósł wirusa na drugą stronę, za „pancerne drzwi”.

Co ciekawe, współczesne wirusy używane do tego rodzaju ataków potrafią w sprytny sposób uniknąć wykrycia przez program antywirusowy, stosując różne mechanizmy zaciemniania swojego kodu. W kolejnych etapach ataku zainfekowany komputer użytkownika końcowego wykorzystany jest jako przyczółek do dalszych działań agresorów – rozpoznania podatnych na ataki systemów wewnętrznych i ich atakowania metodami najlepiej dopasowanymi do rodzaju wykrytych luk w bezpieczeństwie systemów wewnętrznych.

To czy to oznacza, że banki nie mogą przed takimi atakami się bronić?

Mogą stosując zabezpieczenia wielopoziomowe, które zawsze są najskuteczniejsze, w przeciwieństwie do zabezpieczeń – powiedziałbym – punktowych. Nie powinny więc polegać wyłącznie na programie antywirusowym, ale korzystać kompleksowo także z systemów przeciwdziałających włamaniom, monitorujących ruch w sieci wewnętrznej, wykrywających fraudy, przeciwdziałających wyciekom informacji, śledzącym anomalie w systemach, analizujących zdarzenia istotne z punktu widzenia bezpieczeństwa i kontrolujących logi systemowe oraz dzienniki zdarzeń systemów, by wspomnieć tylko o tych podstawowych.

Ale systemy zabezpieczeń, to też nie wszystko. Banki powinny stosować bezpieczne procesy – nieustannie badać swoje systemy pod kątem podatności czyli znanych i na bieżąco wykrywanych luk w oprogramowaniu, by niezwłocznie „łatać” zidentyfikowane podatności zanim staną się celem ataków hakerskich. Powinny też testować systemy równie skutecznie, jak robią to hakerzy oraz jak najsprawniej reagować na incydenty, jeśli takowe już nastąpią.

Czy w tym konkretnym przypadku, o którym dziś tak głośno, można zarzucić bankowi niedbalstwo?

Trudno powiedzieć. Być może doszło do zaniedbań, ale nie mamy na to żadnych dowodów. Mogę natomiast powiedzieć, że ataki potrafią być tak sprofilowane pod konkretną instytucję, że żadna organizacja na świecie nie może o sobie powiedzieć, że w 100 proc. jest na nie odporna.

Mówi Pan o sprofilowaniu ataku pod konkretną instytucję. Czy to oznacza, że aby taki atak był skuteczny, musi brać w nim udział pracownik banku?

Nie ma takiej potrzeby. Są relatywnie prostsze sposoby, aby dostać się do sieci wewnętrznej, na przykład poprzez zainfekowaną pocztę elektroniczną.

To w jaki sposób możliwe jest to profilowanie ataku pod kątem konkretnej instytucji?

Ataki APT mogą być rozciągnięte w czasie, co daje szansę cyberprzestępcom na rozpracowanie zasad obowiązujących w danej organizacji. Mówiąc o zasadach, mam na myśli zabezpieczenia (lub ich brak) podatności systemów na atak, architekturę systemów IT, topologię sieci, specyfikę procesów biznesowych itp.

Często w początkowej fazie wirus infekuje jeden komputer, z którego otwiera tzw. wsteczny kanał komunikacji do centrum sterowania atakiem, którym jest serwer kontrolowany przez przestępców. Dzięki temu hakerzy mogą w pełni panować nad przebiegiem ataku wykorzystując zainfekowany komputer do rozpoznawania systemów organizacji i rozszerzania zasięgu ataku. Jak powiedziałem – zaatakowany komputer użytkownika końcowego może być działającym dyskretnie urządzeniem pośredniczącym, pozwalającym na długotrwały monitoring instytucji.

Jakie konsekwencje ponosi klient w przypadku, gdy dochodzi do tego rodzaju ataku?

Cała operacja odbywa się po stronie banku. Klienci w żaden sposób nie są za to odpowiedzialni. Nie powinni więc w tym wypadku ponosić jakichkolwiek kosztów, a wszystkie straty powinien pokryć bank.

Dziękuję za rozmowę.

*Janusz Nawrat

Janusz Nawrat LinkedIn

Dyrektor w Raiffeisen Polbank, odpowiedzialny za bezpieczeństwo, ceniony specjalista w dziedzinie bezpieczeństwa w sieci. Laureat nagrody im. prof. Remigiusza Kaszubskiego za 2014 rok, przyznawanej osobom działającym na rzecz rozwoju bankowości elektronicznej. Fot. LinkedIn

UDOSTĘPNIJ TEN ARTYKUŁ

Zapisz się do newslettera

Aby zapisać się do newslettera, należy podać adres e-mail i potwierdzić subskrypcję klikając w link aktywacyjny.

Nasza strona używa plików cookies. Więcej informacji znajdziesz na stronie polityka cookies