Trendy v kybernetické kriminalitě a porušování
Transkript
Trendy v kybernetické kriminalitě a porušování
Trendy v kybernetické kriminalitě a porušování bezpečnostipřehled typů podvodů a metod jejich předcházení Zatímco vstup do nového roku s sebou přináší výzvy v oblasti IT bezpečnosti, společnosti a uživatelé internetu se stále zotavují z následků mnoha hojně zveřejňovaných případů podvodů, které se udály v roce 2011. Podvodníci způsobili celosvětové poruchy a odcizili osobní údaje miliónů zákazníků. Podle nedávné zprávy společnosti Symantec bylo v důsledku internetové kriminality postiženo více než 430 miliónů lidí na celém světě a související peněžní i časové ztráty 1 byly vyčísleny na 400 miliard amerických dolarů . 70% počítačových uživatelů se navíc již někdy setkalo s některou z forem internetových podvodů, např. on-line podvody a viry. Průzkum také zdůrazňuje, že náklady spojené s porušením datové integrity přišly organizace v roce 2010 v průměru na více než 7 miliónů amerických dolarů, což představuje 7% nárůst oproti předchozímu roku. Další podnikové náklady zahrnují ztrátu produktivity zaměstnanců, nižší schopnost udržet zákazníky, dodatečné náklady na odhalování porušení bezpečnosti a akce na pomoc obětem. Nejčastější příčinou porušení bezpečnosti je nedbalost, která má na svědomí 41% incidentů, následují škodolibé či kriminální útoky (31%). Podle průzkumu Ponemon Institute, předního výzkumného centra zabývajícího se pravidly a ochranou IT bezpečnosti, mohou nadnárodní firmy z hlediska hodnoty značky ztratit v důsledku bezpečnostních porušení 2 184 – 330 miliónů amerických dolarů ročně . V roce 2011 se hlavní podvodné skandály odehrály např. v Citigroup, kdy banka vykázala porušení ochrany dat 200 000 držitelů karet. Přestože byla data zcizena pouze v omezené míře, experti na bezpečnost uvedli, že by dost informací mohlo být hackery zneužito pro kybernetické útoky. V souvislosti s porušením bezpečnosti začaly federální regulatorní úřady v USA zvažovat celoplošnou revizi bezpečnostních procesů a procesů na ochranu dat v bankovním sektoru. Společnost Fidelity National, která vydává předplacené karty, utrpěla ztrátu ve výši 13 miliónů amerických dolarů v důsledku napadení systémů skupinou hackerů, která zkopírovala zákaznické karty a později z nich prostřednictvím dalších lidí, kteří pracovali z Řecka, Španělska, Ruska a dalších zemí, vybrala zůstatky. K nejpozoruhodnějšímu porušení bezpečnosti v roce 2011 došlo ve firmě Sony, jejíž síť PlayStation Network a Qriocity byla napadena hackery, kteří získali přístup k 77 miliónům uživatelských účtů. Společnost Sony později přiznala, že došlo k dešifrování 12 miliónů čísel kreditních karet, která mohla být jednoduše zkopírována. Proti organizaci bylo následně podáno množství žalob. Mnoho expertů na bezpečnost předpokládá v roce 2012 a v dalších letech zhoršování tohoto trendu. Odborníci na IT bezpečnost mají příležitost dále chránit své organizace tím, že porozumí základním typům obvyklých kybernetických a emailových podvodů, porušování bezpečnosti a preventivních opatření. Asociace certifikovaných vyšetřovatelů podvodů, mezinárodní organizace vyšetřovatelů, kteří pomáhají podnikům a spotřebitelům při prevenci a odhalování podvodů, nabízí rady pro odborníky na IT bezpečnost. Manipulace hardwaru, softwaru a dat Nehmotný majetek společnosti obvykle představují data a bývají nejčastějším cílem podvodu. Tento majetek má v porovnání s fyzickým majetkem obvykle nejvyšší hodnotu a představuje větší potenciál pro ekonomické ztráty. Počítačové padělání a falšování zahrnuje změnu dokumentů, které existují v počítačové formě. Barevné laserové kopírky, scannery a grafický software jsou využívány stále více díky svým schopnostem kopírovat ve vysokém rozlišení, pozměňovat dokumenty a vytvářet falešné dokumenty. Padělky šeků, faktur a formulářů tak mohou být dílem podvodníka. K dalším podvodným schématům patří změna stávajících programů v počítačovém systému nebo vkládání nových programů či postupů. K nejčastějším typům programů patří viry, červi a Trojské koně. Viry jsou skryté počítačové programy, které obsahují instrukční kódy pro používání všech zdrojů v počítači, zavírání systému nebo jeho výrazné zpomalení. V důsledku napadení virem může dojít k vymazání dat nebo se může na monitoru objevit zpráva, která se zkopíruje do dalších programů. Schopnost kopírování může postihnout velké sítě a čas strávený zaměstnanci a stroji na odstranění a návratu do normálního provozu může stát milióny dolarů. Téměř 90% virů představují boot viry, které nenapadají soubory, ale disky, na kterých jsou soubory obsaženy. Tento typ viru obsahuje specifické informace související s formátováním disku a na něm uložených dat. Dále obsahuje malý program, tzv. boot program, který napadne soubory operačního systému. Tyto viry používají systém BIOS, nahradí boot sektor a skutečný boot sektor přesunou na jiné místo. Virus poté napíše kopii vlastního programového kódu, který se spustí při každém bootování systému nebo při běhu programů. Jakmile dojde k infikování virem, infekce se přenese na každý disk, který je infikovaným systémem používán, a tento disk pak může virus přenášet do dalších systémů. Červi jsou podobní virům, protože je podvodníci také používají k infiltraci do oficiálních programů pro zpracování dat a ke změně či zničení těchto dat. Červ se od viru liší tím, že je navržen tak, aby se šířil pomocí reprodukce/kopírování z počítače do počítače. Následky napadení červem mohou být stejně závažné jako při napadení virem. Trojské koně jsou programy nebo zlomyslné kódy v rámci zdánlivě oficiálního programu. Trojské koně se obvykle nemnoží a mohou začít účinkovat až za nějakou dobu. Mají schopnost mazat soubory, ničit informace na hard disku a otevírat zadní vrátka do počítačového systému. Tyto programy mohou zajistit kompletní přístup do systému uživatele a umožnit kopírování důvěrných informací. Při boji s těmito potenciálními problémy by odborníci na bezpečnost měli nejprve zvážit, zda se na hardwaru nebo softwaru vyskytuje nějaký problém. Přeformátování infikovaného hard disku není nutné a virus se tím nezničí. Práce v infikovaném systému by měla být přerušena a systém by se měl odpojit od sítě, dokud nedojde k odstranění infekce. Aplikace by měly být vypnuty a flash disky, cd a jiná média v systémech, které nebyly infikovány, by se neměly používat, dokud nedojde k otestování médií a k jejich vyčištění. Uživatelé infikovaných systémů by neměli dávat do oběhu svoje disky ani používat disky vypůjčené, dokud nedojde ke kontrole jejich systému a médií a k jejich vyčištění. Mezi přístroji v síti by nemělo dojít k žádné výměně souborů, dokud ji nebude možné uskutečnit bezpečně. Informujte všechny, kdo mohou být ohroženi infekcí, zkontrolujte média a zvažte používání a aktualizaci antivirového softwaru. E-mailové podvody Nevyžádaný hromadný e-mail (známý také jako spam), je nejčastější formou emailových podvodů; mnoho automatických emailových programů posílá denně milióny zpráv. Řetězové dopisy jsou zprávy zaručující okamžitý zisk a často se používají k posílání falešných varování, soucit vzbuzujících příběhů a e-mailových žertů. Odborník na bezpečnost by měl zvážit revizi, vytvoření a implementaci bezpečnostních pravidel s cílem zajistit ochranu před e-mailovými podvody. Zaměstnanci by měli být opatrní při otevírání e-mailových příloh, tyto přílohy totiž mohou obsahovat soubory, které by mohly vydávat instrukce poškozující systém nebo síť. Podvod vniknutím do systému Vniknutí do systému (také známé jako hacking) je situace, kdy se někdo pokusí o neautorizovaný přístup k informacím obsaženým v počítačových systémech. Potenciálními podvodníky mohou být zaměstnanci organizace nebo externí hackeři. Hackeři se snaží o vniknutí do systému tak, že se nejprve seznámí se zranitelnými místy cílového hardwaru a softwaru. Nepřetržitě se snaží do systému nabourat uhodnutím systémových ID a hesel nebo používáním aplikací, které tato potenciální systémová ID a hesla generují. Hackeři využívají také softwarové aplikace s cílem nainstalovat zadní vrátka, tj. naprogramovat instrukce, které znemožní činnost vedlejších bezpečnostních nastavení v operačním systému, aby mohli v budoucnu bez odhalení vniknout do systému. Hackeři se mohou do systému nabourat také zasláním e-mailu se speciálním kódem vloženým do přílohy. Při otevření přílohy dojde bez vědomí uživatele ke snížení bezpečnostního nastavení. Další obvyklé techniky zahrnují nahlížení přes rameno (nahlížení přes rameno zaměstnance s cílem zjistit přihlašovací údaje a hesla), a spoofing (elektronické napodobení ISP adresy, přičemž hackeři zneužívají počítače prostřednictvím sítě webových aplikací společnosti). Salámové techniky zahrnují používání neautorizovaných programů s cílem odcizovat malé částky majetku z velkého množství zdrojů, aniž by došlo ke znatelnému snížení celkové částky. V bankovním systému je například částka úroků, která má být připsána na účet, obvykle zaokrouhlena směrem dolů. Podvodník může nastavit systém tak, aby byl zlomek částky připisován na zvláštní účet, který vlastní pachatel. Keylogging (odposlech klávesnice) slouží k získávání informací od uživatele prostřednictvím zachycování uživatelských jmen a hesel z počítače oběti a potenciálně z dalších míst s internetovým přístupem, jako např. bankovnictví a on-line maloobchodní účty. Hardwarové keyloggery jsou malé a jednoduše zamaskovatelné, k cílovému zařízení však musí být připojeny klávesnicovým kabelem. Cílem je získat přístup k cílovému počítači, zařízení na nějakou dobu nainstalovat, poté jej získat zpět a stáhnout z něj informace o klávesové činnosti. Zachytávání paketů (packet sniffing) je odposlouchávání nebo zachytávání síťových paketů, které přenášejí informace po síti. Účelem této techniky je zachytit dostatečné množství paketů, aby bylo možno extrahovat zprávy nebo shromáždit informace o heslech pro využití hackerů. Odborníci na bezpečnost by měli zvážit podniknutí preventivních kroků s cílem snížit možnosti proniknutí do systému. Varovná hlášení v systému společnosti, která informují uživatele o tom, že právě hodlá vstoupit do soukromé sítě, by také mohla sloužit jako preventivní a detektivní opatření. Bezpečnostní politiky by měly být zavedeny napříč celou společností a měla by je doprovázet školení. K ochraně počítačů proti útokům hackerů během připojení k internetu mohou být používány bezpečnostní softwarové balíčky a brány firewall. V případě bezdrátových zařízení, citlivých datových souborů, souborů hesel a citlivých počítačových programů můžeme zvážit šifrování. Hesla by měla být pravidelně obměňována, měla by být dostatečně dlouhá a obsahovat různé typy znaků, aby odradily od tipování. Hesla přeložených zaměstnanců nebo zaměstnanců, jejichž pracovní poměr byl ukončen, by měla být okamžitě změněna. Vedení vyšetřování Jakmile společnost získá prostřednictvím svého IT systému podezření na trestní přestupek, měla by provést úvodní šetření tohoto obvinění. Společnost by měla v případě provádění potenciálního vyšetřování zvážit pomoc profesionálních vyšetřovatelů nebo certifikovaných vyšetřovatelů podvodů, kteří mají znalosti v oblasti počítačových podvodů, správné manipulace s elektronickými důkazy a v oblasti všeobecných pravidel. Informace obsažené v tomto článku prezentují hledisko autora, které je založeno na výsledcích jeho osobního výzkumu a nemusí nutně odrážet názory Deloitte Advisory. Zachary Rosen je manažerem v oddělení forenzních služeb Deloitte Advisory v Praze. Je odpovědný za vedení vyšetřování podvodů, posuzování rizik, školení klientů a implementaci programů zaměřených na boj s podvody a dodržování souladu s etickými principy v rámci těchto školení. Je certifikovaným vyšetřovatelem podvodů (CFE) a prezidentem Asociace certifikovaných vyšetřovatelů podvodů (ACFE) v České republice www.acfe.cz. Pana Rosena je možné kontaktovat e-mailem: [email protected]. Reference SC Magazine (7. září 2011). Cybercrime Costs $388B Annually, získáno na webové adrese: http://www.scmagazine.com/cybercrime-costs-388b-annually-reportsays/article/211431/ SC Magazine (28. října 2011). Breaches Lead to Major Reputation, Brand Damage; získáno na webové adrese: http://www.scmagazine.com/breaches-lead-tomajor-reputation-brand-damage/article/215595/