Kliknąłeś w wilka brawo !

Złośliwe oprogramowanie – a mówiąc precyzyjniej: boty, stworzone z myślą o atakowaniu i uzyskiwaniu zdalnego dostępu do systemów – są obecnie znacznie większym problemem, niż sądzi wiele osób. Z niedawnego raportu firmy Check Point dowiadujemy się, że w 49% firm znajduje się… 7 lub więcej zainfekowanych nimi systemów. Zdaniem ekspertów, niezbędne jest opracowanie i wdrożenie nowych metod walki z botami – jedną z najbardziej skutecznych może okazać się odpowiednio sprawny system wymiany informacji o zagrożeniach.

Sytuacja robi się coraz gorsza – ze wspomnianego raportu wynika, że w 2013 r. przynajmniej jedną infekcję bota wykryto w 73% zbadanych firm (to o 10% więcej niż w roku 2012). Ale to nie wszystko: w ubiegłym roku w 16% firm znajdowało się co najmniej 35 zainfekowanych systemów, w których złośliwe oprogramowanie było aktywne przez więcej niż cztery tygodnie. Nie brakuje również przykładów organizacji, w których miesiącami zarażone pozostają tysiące stanowisk.

Dla laika sytuacja, w której mamy do czynienia z setkami czy tysiącami potencjalnie niebezpiecznych programów w firmowej sieci może wydawać się ekstremalna. Faktem jednak jest, że bot nie jest równy botowi - niektóre faktycznie są w stanie sparaliżować czy wręcz uszkodzić firmową infrastrukturę, inne są zupełnie nieszkodliwe. Wszystko zależy od zdolności i intencji ich autorów. Boty mogą różnić się pod względem zagrożenia – kilka przykładowych kategorii to np. (od najmniej do najbardziej niebezpiecznych).

- boty reklamowe, stworzone z myślą o generowaniu zysków wydawców serwisów np. poprzez automatyczne klikanie w reklamy,
- boty takie jak Zeus, których zadaniem jest wykradanie danych niezbędnych np. do przejęcia kontroli nad kontem bankowym użytkownika,
- wyspecjalizowane boty szpiegowskie lub sabotażowe, napisane zwykle z myślą o konkretnym celu czy operacji – tu świetnym przykładem jest Stuxnet, stworzony w celu sabotowania irańskiego programu nuklearnego.

Dlaczego boty są tak skuteczne w propagowaniu się w sieci? Cóż, podstawowym powodem jest fakt, iż oparte na botach operacje przestępcze (oszustwa reklamowe, wykradanie danych, okradanie e-kont) są po prostu bardzo dochodowe – a to sprawia, że autorzy złośliwego oprogramowania wykazują się niesamowitą pomysłowością i determinacją w tworzeniu możliwie najbardziej skutecznych botów, trojanów itp. Dochodzi do sytuacji, w których narzędzia do ich tworzenia i zarządzania nimi są oferowane na zasadach zbliżonych do legalnych, komercyjnych aplikacji – z całodobowym wsparciem technicznym, możliwością outsource’owania pewnych zadań i dostosowywania złośliwego programu do indywidualnych potrzeb klienta. Generalnie mamy tu do czynienia z klasyczną rynkową sytuacją: skoro są klienci, to zawsze znajdzie się dostawca odpowiedniej usługi – w tym przypadku złośliwego programu doskonale potrafiącego się rozprzestrzeniać w dowolnej sieci.

Jak się bronić?

Co zatem mogą zrobić specjaliści IT, by ochronić swoje firmy przed atakami botów i ich skutkami? Oczywiście, jest podstawowy zestaw narzędzi z zakresu bezpieczeństwa (skanowanie sieci i ruchu, wyszukiwanie i neutralizowanie złośliwego oprogramowania, firewall itp.) – ale bardzo ważne jest, by został on uzupełniony o pewne rozwiązanie niestandardowe... choć w sumie dość oczywiste. Chodzi o odważniejsze niż obecnie dzielenie się z innymi firmami informacjami o zagrożeniach.

Niestety, wciąż pokutuje opinia, że udostępnianie informacji o ataku przeprowadzonym na czyjąś firmę jest tak naprawdę przyznaniem się do błędu (tzn. do tego, że dopuściliśmy do przeprowadzenia ataku). Efektem takiej podejścia jest jednak sytuacja, w której autorzy złośliwego oprogramowania mogą bez problemu atakować kolejne firmy – do czego nie doszłoby, gdyby ofiary poprzednich ataków poinformowały o tym i opisały, jak przebiegał cały incydent.

Złośliwe oprogramowanie tego typu jest skuteczne i dochodowe – musimy więc założyć, że botów będzie coraz więcej i będą coraz bardziej wysublimowane. Dlatego niezbędna jest zmiana podejścia i wypracowanie pewnych procedur i metod przekazywania i współdzielenia informacji o atakach. Zacząć można np. od dzielenia się informacjami o skutecznych metoda ochrony infrastruktury przed atakami. Wiele organizacji nie chce ich udostępniać w obawie przed tym, że ktoś wykorzysta je do zaplanowania ataku – ale przecież dysponujemy obecnie rozwiązaniami, które umożliwiają anonimizowanie takich informacji (dzięki czemu będzie można je wykorzystać w dobrej sprawie bez ryzyka). Im takich informacji będzie więcej i im skuteczniejsza będzie wymiana danych, tym lepiej będziemy mogli się bronić.

Najbardziej cenne są jednak informacje o konkretnych atakach – szczególnie tych, które okazały się skuteczne. Wymiana tych informacji może przynieść same korzyści: możliwość uczenia się na błędach, identyfikowanie konkretnych metod wykorzystywanych przez przestępców czy wreszcie możliwość skuteczniejszego identyfikowania i eliminowania źródeł ataków.

Wraz z nieuchronnym pogarszaniem się sytuacji w dziedzinie bezpieczeństwa internetowego szersza wymiana danych o zagrożeniach i atakach stanie się tak naprawdę koniecznością – bez niej firmowi specjaliści ds. bezpieczeństwa właściwie nie mają szans z coraz skuteczniejszymi i coraz bardziej profesjonalizującymi się przestępcami.

Opracowano na podstawie tekstu „Can information sharing stop bots in their tracks?” Kellmana Meghu, szefa działu Security Engineering (Canada and Central US) firmy Check Point Software Technologies Inc.