CYBERBEZPIECZEŃSTWO

Cyberprzestępczość stała się w dzisiejszych czasach problemem - cyberataki to jedno z najpoważniejszych zagrożeń, które mogą mieć wpływ na bezpieczeństwo danych i rozwój firmy, instytucji, szczególnie tak wymagającej, jaką jest Bank. Największy niepokój wzbudzają zawsze straty finansowe i (w obliczu RODO) kradzież lub wyciek danych, w tym danych osobowych. Jeśli do tego dorzucimy utratę ciągłości działania firmy, kradzież własności intelektualnej oraz, a może przede wszystkim, utratę reputacji, to konsekwencje zaniedbań w tym obszarze mogą okazać się katastrofalne.

Cyberbezpieczeństwo polega na zapewnianiu bezpieczeństwa danych elektronicznych i procesów ich przetwarzania w systemach informatycznych firm i instytucji oraz klientów korzystających z e-usług - również bankowych. Jest to proces wymagający stałej gotowości do reagowania na nowo pojawiające się zagrożenia.

Cyberbezpieczeństwo łączy systemy IT, audyt, aspekty prawne, zarządzanie danymi oraz ich odzyskiwanie, techniki włamań i cyberprzestępczość. Dotyczy również pracowników, którzy powinni znać podstawowe zagrożenia, czyhające na dane i dokumenty firmowe oraz powinni wiedzieć, jak zapewnić im bezpieczeństwo.

JAK ZMINIMALIZOWAĆ RYZYKO I SKUTKI CYBERATAKU?

1. Należy uznać krytyczne znaczenie bezpieczeństwa dla działalności biznesowej. Dotyczy to zarówno kadry kierowniczej (zapewnienie finansowania bezpieczeństwa na priorytetowym poziomie), jak i poszczególnych pracowników (edukacja w zakresie bezpieczeństwa).

2. Kontrola przestrzegania zasad bezpieczeństwa - regularny przegląd stosowanych praktyk bezpieczeństwa, aktualizowanie oprogramowania oraz mechanizmów kontroli dostępu do sieci, aplikacji, funkcji systemu i danych.

3. Wdrożenie zintegrowanego systemu bezpieczeństwa - integracja i automatyzacja, zmniejszenia czasu niezbędnego do wykrycia i przeciwdziałania cyberatakom.

4. Testowanie efektywności systemu bezpieczeństwa, możliwość oceny poziomu bezpieczeństwa i ulepszenia stosowanych praktyk.

W JAKI SPOSÓB ZABEZPIECZYĆ ZASOBY?

Dobre praktyki obejmują:

Zabezpieczenie informacji/systemów/sieci przed wirusami, programami szpiegującymi oraz złośliwym oprogramowaniem, regularne aktualizowanie oprogramowania antywirusowego oraz uaktualnianie systemów operacyjnych i programów.
Ochronę połączenia internetowego firmy, zabezpieczenie styku sieci lokalnej z siecią zewnętrzną.
Instalację i aktywację zapór sieciowych (firewall) na wszystkich systemach firmy.
Weryfikacja użytkowników nie tylko za pomocą standardowego i łatwego do przechwycenia loginu lub hasła, ale głównie za pomocą takich elementów jak: odcisk palca, skan siatkówki, jednorazowe hasło (Time-based One Time Password, TOPS) dostarczane przez SMS / token lub klucz fizyczny (np. Yubikey).
Sporządzanie kopii zapasowych ważnych danych.
Szkolenie pracowników w zakresie podstawowych zasad bezpieczeństwa danych, ograniczenie liczby naruszeń wynikających z błędu ludzkiego i ignorowania podstawowych zasad bezpieczeństwa.
Regularna ocena ryzyka - POLECAMY audyt bezpieczeństwa, w ramach którego specjaliści sprawdzą zasady i narzędzia służące bezpieczeństwu i wskażą najlepsze, sprawdzone rozwiązania.

Spoofing

„Spoofing” czyli fałszowanie adresów IP, mające na celu udawanie serwera w istniejącym połączeniu sieciowym. Technika ta ma na celu uniknięcie zabezpieczeń jakie wprowadzają na danym serwerze administratorzy sieci wewnętrznej oraz „ podszycie” się pod użytkownika sieci, co umożliwia atakującemu przechwytywanie wszystkich danych , które miały trafić do prawdziwego komputera. Spoofing oznacza fałszowanie podstawowych usług oraz protokołów sieciowych tak, aby ofiara ataku nie rozpoznała atakującego. Pozwala to uzyskać nieuprawniony dostęp do zasobów sieci, zdobycie numerów kart kredytowych, haseł, informacji osobowych itp. Spoofing może przybierać różne formy.

Metody spoofingu: IP, ARP, DNS, web i e-mail.

Fałszowanie przy wykorzystaniu protokołu ARP. ARP spoofing stosuje konstrukcję fałszowanego pakietu ARP request oraz ARP reply. Po wysłaniu sfałszowanego pakietu ARP reply docelowy host będzie przesyłał pakiety do hosta atakującego, zamiast do właściwego. Taki atak to "zatruwanie" tablicy ARP (ARP poisoning). Istnieją programy automatycznie wykonujące proces zatruwania (np. ARPoison).
Atak man-in-the middle

Atak man-in-the middle

Drugą metodą fałszowania ARP jest wykorzystanie oprogramowania typu sniffer do badania ruchu, w celu zdobycia tablicy ARP sieci lokalnej. Zmiana adresu MAC karty sieciowej jest możliwa praktycznie w przypadku każdego systemu. Fałszując dane MAC, możemy "udawać" dowolny komputer w sieci lokalnej, uzyskując dostęp do informacji nieprzeznaczonych dla danego użytkownika. W ten sposób można ominąć ograniczenia związane z regułami zapory ogniowej, przydziałem dynamicznych adresów, czy dostępem do określonego VLAN.

Zabezpieczeniem chroniącym przed takim atakiem może być wprowadzenie statycznej tablicy ARP na przełączniku. Do monitorowania zmian ARP w lokalnej sieci można użyć oprogramownia ArpWatch, dostępnego w wersji dla systemu Unix.

Wiele protokołów w modelu TCP/IP nie dostarcza mechanizmów do uwierzytelniania źródła lub celu wiadomości. Są one przez to podatne na ataki spoofing, gdy dodatkowe środki ostrożności nie są zachowane przez aplikację by weryfikować tożsamość wysyłającego lub odbierającego hosta. W szczególności IP spoofing i ARP spoofing mogą zostać użyte by uzyskać możliwość ataku man in the middle przeciwko hostom na sieci komputerowe. Ataki spoofing, które korzystają z zestawów protokołów TCP/IP mogą być zminimalizowane poprzez użycie zapory sieciowej zdolnej do głębokiej inspekcji pakietów (DPI) lub poprzez zastosowanie środków by weryfikować tożsamość osoby wysyłającej lub osoby odbierającej wiadomości.

Niektóre strony internetowe, zwłaszcza pornograficzne, pozwalają na dostęp do swoich materiałów tylko przy użyciu odpowiednio zatwierdzonych loginów. Jest to narzucone poprzez sprawdzenie nagłówka żądania HTTP. Ten odwołujący nagłówek może jednakże zostać zmieniony (sytuacja ta nazywana jest „referrer spoofing” lub „Ref-tar spoofing”), pozwalając użytkownikom na zyskanie nieupoważnionego dostępu do chronionych materiałów.

Publiczne sieci telefoniczne często dostarczają CLIP, czyli informacje, która zawiera imię dzwoniącego i numer, z każdym połączeniem. Jednakże niektóre technologie (zwłaszcza w sieciach Voice over Internet Protocol) pozwalają dzwoniącym na podrobienie tej informacji i przedstawienie fałszywego nazwiska i numeru. Bramki sieciowe pomiędzy sieciami, które pozwalają na taki spoofing i inne publicznie sieci następnie przekazują dalej tą fałszywą informacje. W sytuacji gdy spoofing połączenia pochodzą z innych krajów, prawo w kraju odbiorcy może nie dotyczyć wykonującego połączenie. To ogranicza efektywność prawa przeciwko użyciu fałszowanych informacji CLIP do dalszych oszustw.

Atak GPS spoofing stara się oszukać odbiornik GPS poprzez nadawanie sfałszowanego sygnału GPS, złożonego tak by przypominał zwyczajny sygnał GPS, lub poprzez powtórne nadawanie oryginalnego sygnału zdobytego gdzie indziej lub o innym czasie. Te sfałszowane sygnały mogą być modyfikowane w taki sposób by odbiorca błędnie oszacował swoją aktualną pozycję lub by odbiorca poprawnie zlokalizował swoją pozycję, ale o innym czasie. Jedna z popularnych form ataku GPS spoofing, często nazywana atakiem carry-off, zaczyna się od nadania sygnału GPS zsynchronizowanym z oryginalnym sygnałem obserwowanym przez cel ataku. Siła sygnału fałszowanego jest wtedy stopniowo zwiększana i zmieniana w stosunku do oryginalnego sygnału. Zostało zasugerowane, że przechwycenie dronu Lockheed RQ-170 w północno-wschodnim Iranie, 2011, był wynikiem takiego ataku.

Sniffing

Sniffing umożliwia wychwycenie ważnych informacji, takich jak hasła, numery kart kredytowych czy dane osobowe.
Podczas sniffingu wykorzystuje się specjalne oprogramowanie tzw. snifery. Sniffer (wąchacz) jest to program komputerowy, którego zadaniem jest przechwytywanie i ewentualne analizowanie danych przepływających w sieci.

Sniffer stanowi nieodzowne narzędzie diagnostyczne większości administratorów sieci, zwłaszcza podczas diagnostyki problemów z niezawodnością lub wydajnością połączeń. Może być również stosowany do monitorowania aktywności sieciowej osób trzecich, co jest w większości przypadków niezgodne z prawem. W celu ochrony przed takimi atakami, niektóre protokoły komunikacyjne stosują mechanizmy kryptograficzne.

Najczęściej używanymi programami tego typu są: tcpdump, sniffit, ettercap, dsniff, wireshark (dawniej ethereal) oraz snort. Ten ostatni pełni także funkcję sieciowego systemu wykrywania intruzów. Istnieją także liczne bardziej specjalizowane narzędzia tego typu (np. komercyjne systemy przeznaczone na potrzeby organów ścigania i służb wywiadowczych).

Hijacking

„Hijacking” jest to metoda polegająca na przechwytywaniu transmisji odbywającej się między dwoma systemami. Metoda ta jest bardzo skuteczna gdy próbujemy uzyskać dostęp do szczególnie chronionych programów.

Session hijacking (przechwytywanie sesji) – wszystkie ataki, w których włamywacz próbuje uzyskać dostęp do istniejącej sesji użytkownika, tzn. takich gdzie identyfikator został już wcześniej przydzielony. Polegają na uzyskiwaniu nieuprawnionego dostępu do systemów komputerowych na skutek przechwycenia sesji legalnego użytkownika. Opiera się na przesyłaniu w sesji np. adresu IP komputera wraz z nazwą przeglądarki, spod których została ona utworzona, a następnie porównywać je przy kolejnych wizytach z danymi dostarczonymi przez serwer.

Denial of service - DoS, DDoS

„Denial of service” (DoS) I “Distributed Denial of service” (DDoS). Atak DoS, czyli po polsku odmowa usługi oraz DDoS ,rozproszona odmowa obsługi. DoS ma na celu zablokowanie jakiegoś konkretnego serwisu sieciowego, czyli witryny internetowej lub zawieszenie danego komputera. Dzięki swojej elastyczności, odpowiednio pokierowany może spowodować nawet awarię całej sieci.

DDos różni się tym , że poprzedzony jest spenetrowaniem wielu internetowych serwerów i zmienieniu ich w zombies czyli zainstalowaniu na nich programu, który później może posłużyć do ataku. Po zainstalowaniu zombies na wielu komputerach cyberprzestępca może przeprowadzić rozproszony atak z wielu stron. Do przeprowadzenia takiego ataku potrzebne są cztery elementy. „Agresor”, czyli osoba koordynująca całą akcję, „zarządca”, „ żołnierze” i sama ofiara. Pierwszy rozpoczyna Agresor, który wysyła sygnał do programu, czyli tak zwanego zarządcy całego przedsięwzięcia. Ten wysyła instrukcje z planem działania do poszczególnych żołnierzy. Żołnierze to po prostu umieszczone w systemie wirusy, których zadaniem jest atak na inny komputer podłączony do sieci.

Właściciele danego komputera, który został użyty do ataku, są zazwyczaj nieświadomi, działalności cyberprzestępcy na ich komputerze. Wykrycie jest tym trudniejsze, ponieważ program może zawierać w sobie instrukcję, która w razie otrzymania sygnału o ewentualnym ujawnieniu, karze mu odinstalować się z używanego systemu.

E-mail bombing

“E-mail bombing” polega na zatkaniu konkretnego serwera pocztowego ogromną liczbą wiadomości, wysyłanych z wielu miejsc w tym samym czasie do adresata. Skrzynka ofiary ulega zapchaniu przez co nie może on odczytać wiadomości, która faktycznie miała do niego dotrzeć. Cyberprzestępcy programują tak komputery, aby wysyłały one nieustannie ogromne ilości maili na konto pocztowe ofiary.

Smurfing

Technika ataku polegająca na destabilizacji pracy serwera sieciowego poprzez zalewanie portów serwera sygnałami ping. Jest to jedna z części składowych ataków typu Denial of Service lub Distrubuted Denial of Service.

Flooding

Flooding czyli "zalewanie" to technika blokowania serwerów IRC polegająca na przesyłaniu do określonego kanału bardzo dużych ilości tekstu co powoduje zazwyczaj problemy w prowadzeniu konwersacji przez innych użytkowników kanału. Flooding jest również jednym ze sposobów ataku typu Denial of Service i polega on na wysyłaniu do atakowanego serwera takiej liczby żądań, jakiej ten nie jest w stanie obsłużyć.

Większość nowoczesnych sieciowych systemów operacyjnych jest w stanie wykryć tego typu atak i zablokować potoki wysyłanych danych tekstowych, jednocześnie wyrzucając osobę atakującą z danego kanału.

Bomba logiczna

Bomba Logiczna to rodzaj wirusa komputerowego, który po zainstalowaniu się na danym komputerze, może przez dłuższy czas pozostawać nieaktywny. Aktywuje go obecność określonych plików, określona data lub uruchamiana przez użytkownika określona aplikacja.

Przykładowe warunki uaktywnienia bomby logicznej:

określona data/godzina/dzień tygodnia
utworzenie/usunięcie danego pliku
uruchomienie programu
zalogowanie się danego użytkownika
połączenie z internetem
dana liczba uruchomień programu

Aktywowana bomba logiczna może mieć dowolne działanie, np. skasowanie danych, zmiana haseł, zawieszenie systemu, dokonanie ataku typu DoS, czy umożliwienie autorowi przejęcia kontroli nad komputerem. Najczęściej spotykanym typem bomb logicznych są bomby czasowe (ang. time bomb), wykonujące się o określonym czasie. Działały w ten sposób m.in. sławne wirusy Michelangelo oraz Czarnobyl. Ten ostatni na przełomie XX/XXI w. spowodował ogromne straty, atakując komputery na całym świecie.

Koń trojański

Koń trojański, częściej nazywany „trojan” lub „trojan horse” jest jednym z najgroźniejszych programów używanych przez cyberprzestępców. Po zainfekowaniu systemu dokonuję on nieprzewidywalnych działań na komputerze. Może on usunąć określone pliki lub wszystkie dane z twardego dysku komputera. Jest wstanie sam zainicjować procedurę formatowania lub przesłać dane do swojego twórcy. Trojona można dołączyć do każdego oprogramowania. Najprostszym sposobem jego rozpowszechniania jest poczta elektroniczna, lecz często uruchamia się przez wejście na zainfekowaną stronę Internetową. Konie trojańskie służą także do wyłapywania haseł. Sytuacja taka następuje, w przypadku gdy cyberprzestępca zastępuje standardowy program rejestrujący się na komputerze wersją z trojanem. Użytkownik nie zdając sobie sprawy z zagrożenia loguje się do systemu, a w między czasie jego hasło przechwytywane jest przez program z koniem trojańskim. Metoda ta jest często łączona z spoofingiem i stosowana przez cyberprzestępców do przechwytywania haseł dostępu do kont bankowych.

Wirusy

Wirusy potrafią zrobić najwięcej spustoszenia i zainfekować i unieruchomić pracę tysięcy komputerów. Wirus to samo reprodukujący się kod , który uszkadza dane, programy, a niektóre jego odmiany mogą nawet zniszczyć komputer. Jest on zazwyczaj obcym fragmentem kodu dołączanym do programu. Jego uruchomienie powoduje dołączenie go do innych „zdrowych” programów zainstalowanych na komputerze. Działa on kaskadowo , zarażając kolejne nie zainfekowane programy. Obecnie Istnieje wiele odmian wirusów , które liczone są w setkach tysięcy. Praktycznie codziennie pojawia się jego nowa odmiana.

Robaki

Robak może zachowywać się jak wirus, koń trojański lub bakteria. Działa on w sieci jak potencjalny hacker, lecz jego atak nie musi być koordynowany przez niego. Wyszukuje on słabe strony w poczcie elektronicznej, stronach internetowych, czy popularnych chatach i infekuje się na kolejnych komputerach. Bakteria jest programem , którego zadaniem jest rozmnażanie się na zaatakowanym komputerze. Typowa bakteria na początku dzieli się na dwie kopie ,instalując się w środowisku zasobów danych. Następnie ulega kolejnemu rozmnażaniu, przez co zajmuję pamięć w komputerze i uniemożliwia jego pracę.

Przejęcie sesji TCP

Przejęcie TCP/IP wykorzystuje fałszywe pakiety w celu przejęcia połączenia pomiędzy ofiarą i serwerem. Połączenie ofiary zostaje przerwane, a włamywacz uzyskuje możliwość komunikacji z danym serwerem w imieniu tego użytkownika.
Aby możliwe było przeprowadzenie ataku przejęcia TCP/IP, włamywacz musi znajdować się w tej samej sieci co ofiara. Komputer, z którym komunikuje się ofiara, może znajdować się w dowolnym miejscu.

Łamanie haseł - metoda słownikowa

Atak słownikowy polega na sprawdzaniu kolejnych, gotowych haseł znajdujących się w bazie danych, w tzw. słowniku. Słownikiem takim jest zazwyczaj zwykły plik tekstowy. Atak może polegać np. na kolejnych próbach zalogowania się do systemu na czyjeś konto, przy założeniu, że znana jest nazwa konta (login).

Łamanie haseł - metoda siłowa

Metoda siłowa polega na omijaniu zabezpieczeń systemu przez podejmowanie prób zalogowania się przy użyciu każdego dopuszczalnego hasła. W tej metodzie analizowany jest każdy możliwy przypadek - atak polega na sprawdzaniu po kolei każdego znaku i jego kombinacji, np. z literami,
cyframi, znakami specjalnymi.

Metoda ta jest czasochłonna, ponieważ sprawdzenie wszystkich możliwych kombinacji znaków wymaga dużej mocy obliczeniowej. Mimo długiego czasu łamania hasła, ten rodzaj ataku ma przewagę nad metodą słownikową, ponieważ umożliwia łamanie haseł typu „#ds2#$@&!wt", z którymi metoda słownikowa sobie nie poradzi.
Teoretycznie za pomocą metody siłowej można złamać każde hasło

ZAUFANIE

Podmioty świadczące usługi bankowe mają świadomość wagi bezpieczeństwa - nie tylko fizycznego, ale i informatycznego. Strona banku MUSI posiadać certyfikat SSL, który mówi odbiorcy, że jest godna zaufania. Tymczasem są banki, które zabezpieczają jedynie stronę w sferze bankowości internetowej, a zasadnicze treści witryny głównej nie są chronione. Nie budzi to zaufania do banku, jako instytucji.

Czy zastanawiali się Państwo, czy sama strefa bankowości elektronicznej, udostępniana Państwu zazwyczaj z zewnątrz, jest w pełni bezpieczna?

Zalecane jest, aby strona banku była zamieszczona w środowisku bezpiecznym, fizycznym (nie w popularnej ostatnio chmurze) i gwarantującym systematyczny backup (tworzenie kopii zapasowych). Adresy poczty elektronicznej zawsze w domenie banku, nigdy np. @gmail...