Kineski špijuni! Napredne trajne prijetnje! Sofisticirani "cyber" napadi! To su samo poštapalice za napade koji se stalno događaju, pa zašto se čuditi?
Prema vijestima koje dolaze iz Australian Financial Review u ponedjeljak je australska rezervna banka (RBA) bila pogođeni od napadača koji se infiltrirao u njegove mreže i navodno ukrao informacije.
Ali trebamo li se doista čuditi?
Dok su kineski hakeri napali australske banke sjajan naslov, stvarnost je da se ovaj napad ne razlikuje po ničemu od onih koji su se dogodili u prošlosti.
Prema Dokumenti o slobodi informacija (PDF) koju je RBA objavila u prosincu prošle godine, napadači su ulazili putem elektroničke pošte. E-pošta, koja je poslana u studenom 2011., sadržavala je poveznicu na zlonamjernu web stranicu koja bi, ako se klikne na nju, preuzela zlonamjerni softver na računala svojih žrtava.
Poslan je, a da ga sigurnosni sustavi RBA nisu otkrili, "nekolicini djelatnika banke, uključujući viši menadžment voditelju odjela", i na kraju je bio uspješan — šest je ljudi kliknulo poveznicu i zarazilo svoje strojevi.
Iako to izaziva razne fraze kao što su "napredna trajna prijetnja" i "vrlo ciljano" s hakiranjem koje sponzorira država, zapravo nije osobito teško sastaviti neka imena i e-mail adrese. Brzo pretraživanje LinkedIna pokazuje nekoliko voditelja odjela i oko 352 rezultata za zaposlenike RBA.
Otimanje adresa e-pošte? Lako. Korisnička imena za domenu rba.gov.au su prezimena zaposlenika iza kojih slijedi prvo slovo njihovog imena.
Sigurnosni sustav RBA je zaobiđen jer ga antivirusni sustavi nisu uspjeli označiti. To bi moglo zvučati sofisticirano, ali pokrenite zlonamjerni softver kroz VirusTotal i brzo postaje očito da mnogi dobavljači ili potpuno propuste nedavno stvorene dijelove zlonamjernog softvera ili im treba neko vrijeme prije nego što ih shvate prijetnja. A "prilagođeni" zlonamjerni softver koji je sposoban izbjeći otkrivanje ponekad ne mora biti puno više od nekoliko promjena u kompletu alata.
Dodatno postoji argument koji se u proteklih nekoliko godina mota po sigurnosnoj industriji zaštita korištenjem samo potpisa i heuristike je zabluda, a umjesto toga mrežna forenzika je važnija.
Naravno, malware temeljen na alatima ne mora nužno imati razinu sofisticiranosti da preuzme računalo i kopati informacije poput one koja koristi zero-day can, ali RBA-ov zlonamjerni softver nije bio na toj razini profinjenost.
Sažetak incidenta uključuje redak koji umanjuje značaj problema, navodeći: "Napomena, sva pogođena računala nisu imala prava lokalnog administratora. To je spriječilo širenje virusa."
I prije nego što skočimo na tih šest zaposlenika, kakvo je njihovo porijeklo? Ne znamo jesu li to bili tehnološki potkovani ljudi ili samo oni koji, poput ogromnog dijela Australaca, moraju koristiti računalo za obavljanje svog posla. Možda nikad nećemo saznati.
Ali mi znamo da čak i ljudi koji najviše razumiju tehnologiju s vremena na vrijeme nasjedu na sheme krađe identiteta. Uzmimo za primjer Facebook programera — nekoga za koga biste razumno očekivali da zna o zaštiti intelektualnog vlasništva, posebno kada ima pristup živim sustavima.
Facebookov projekt "Loopback", dizajniran za testiranje vlastite sigurnosti, ugledao je programera postanete žrtva e-pošte za krađu identiteta. Njegov zaraženi stroj nakon toga je promijenio kod na kojem je radio, objavivši backdoor (onemogućen od strane Loopbackovih koordinatora) na Facebookovim živim poslužiteljima.
Ovakve stvari vjerojatno se stalno događaju. To što se to dogodilo šestero zaposlenika RBA nije ništa neobično.
Čini se da se RBA slaže, sudeći po odgovoru.
U biti je sugerirao implementaciju ažuriranih definicija virusa, traženje poveznica u e-pošti i moguće blokiranje preuzimanja određenih datoteka s interneta putem pregledavanja weba. Nije razmatrao nikakve promjene u svom registru rizika, a ni tim koji je radio sigurnosnu analizu nije smatrao da treba.
Iako to pokriva tehnološku stranu problema, što je s ljudskom stranom? RBA je napisala da "iako su korisnici svjesni potrebe za oprezom sa sumnjivim privicima, takva svijest vjerojatno neće zaštititi banku od e-poruka i privitaka koji izgledaju vjerodostojno".
Njegova vlastita dokumentacija navodi "ozbiljnost stvarnog utjecaja" kao neznatnu, i iako se navodi da je "imovina banke mogla biti potencijalno ugrožena, što je dovelo do usluge poremećaj, gubitak informacija i ugled", u sažetku izvješća o incidentu RBA ne navodi ga kao financijski, pravni i usklađeni ili reputacijski utjecaji.
Kontaktirao je Upravu za obrambene signale (DSD), zbog čega bi neki mogli pomisliti da se radi o dilemi nacionalne sigurnosti. Ali stvarnost je da je to samo dobra praksa. DSD-ovi Priručnik o informacijskoj sigurnosti navodi da se agencijama preporučuje da koordiniraju svoje izvješćivanje o kibersigurnosnim incidentima DSD-u.
Ovo nije samo kako bi se pomoglo u dobivanju odgovarajuće pomoći, ako je potrebna, već i kako bi se pomoglo vladi da zadrži bolju perspektivu o napadima koji se protiv nje provode.
Znači li to da nismo u nekom obliku "cyber" rata sa zastrašujućim stranim državama?
Nikako. Kina nas vjerojatno hakira, baš kao što mi i SAD hakiramo njih, i bilo koga drugoga tko padne ispod našeg radara. Samo se ne trebamo čuditi što se to događa.
Nakon pisanja ovog članka, RBA je izdala sljedeće priopćenje:
Kako su izvijestili današnji mediji, banka je povremeno bila meta kibernetičkih napada. Banka ima sveobuhvatne sigurnosne aranžmane koji su izolirali te napade i osigurali da se virusi ne šire mrežom ili sustavima Banke. Ti napadi niti u jednom trenutku nisu uzrokovali gubitak podataka ili informacija banke ili oštećenje njezinih sustava. IT sustavi banke rade sigurno, sigurno i s visokim stupnjem otpornosti.
Banka vrlo ozbiljno shvaća kibernetičku sigurnost i njezine moguće posljedice. Kao dio svojih opsežnih napora da osigura da sigurnosni aranžmani budu najbolja praksa, banka redovito se savjetuje s Upravom za obrambene signale i oslanja se na stručnost privatnih stručnjaka poduzeća. U tijeku su rigorozna testiranja informatičkih sustava banke i redovita obuka osoblja.