Bezpieczeństwo – Raport CERT Orange Polska 2014 – ataków jest i będzie coraz więcej
Sieć Orange Polska obsługuje 40% całości ruchu w polskim internecie, co pozwala na obserwację trendów i wyciąganie wniosków dotyczących całej sieci w kraju. W raporcie przedstawiono informację o zagrożeniach wykrytych w minionym roku w sieci Orange Polska.
Jak podano, miesięcznie wykrywanych jest ok. 1000 incydentów bezpieczeństwa. Wśród których 39% to rozpowszechnianie spamu. Ponad 100 tys. ostrzeżeń jest związanych z atakami DDoS. Przeciętnie system SIEM (Security Incidents and Event Management) Orange obsługuje 5 mld zdarzeń miesięcznie. Są to również zdarzenia dotykające bezpośrednio operatora telekomunikacyjnego – Orange Polska. Zmienia się struktura ataku.
W przypadku ataków przeprowadzonych na jeden z banków, który w jego trakcie poprosił o pomoc CERT Orange, trwał on przez kilkanaście dni po 12 godzin w ciągu dnia. Atak uruchamiany był każdego dnia rano o godzinie 8. Taki rodzaj ataku to głównie ataki wolumetryczne, których celem jest, przeciążenie łączy dostępu do internetu i zablokowanie świadczonych przez bank tą drogą usług. Nawet jeśli ma się dobrze skonfigurowane urządzenia zabezpieczające, to przy takiej blokadzie dostępu nie można sobie samemu poradzić. Coraz częściej pojawiają się też ataki aplikacyjne, które mają niewielki wolumen, ale trafiają bezpośrednio w ważne aplikacje. Są dużo trudniejsze do zauważenia i, jak mówią specjaliści z Orange, tylko współpraca z klientami, którzy informują o tym, co zauważają we własnej sieci, pozwala zastosować odpowiednie filtry blokujące atak. W lutym podano informację, że Orange zaobserwował atak na swoich klientów, którzy otrzymywali maile podszywającym się pod e-fakturę, w którym pod pozorem jej pobrania zachęcano do ściągnięcia złośliwego oprogramowania. To tylko jeden z przykładów z minionych dni. CERT (Computer Emergency Response Team) w Orange Polska zaobserwowało w minionym roku wzrost o 40% liczby ostrzeżeń o nasileniu ruchu w sieci (ponad 100 tys. ostrzeżeń), mających znamiona ataku typu DDoS w stosunku do 2013 roku.
Do prowadzenia ataków zaczęto częściej wykorzystywać źle skonfigurowane serwery, na przykład synchronizacji czasu. W takim przypadku do uruchomienia ataku na dużą skalę wystarczy stosunkowo niewielka liczba zainfekowanych wcześniej komputerów, W czasie ataku, zainfekowany komputer z sieci botnetu wysyła spreparowane zapytanie do serwera czasu i kieruje jego odpowiedź na adres IP serwera, na jaki skierowany jest atak. Wzmacnia to nawet kilkaset razy siłę ataku. Średnie szczytowe natężenie ataku zaobserwowane przez CERT Orange to ok. 900 Mbps a największy zaobserwowany atak to 93 Gbps oraz 50 Mpps (milionów pakietów na sekundę). Jak podano w raporcie, na podstawie analizy złośliwego oprogramowania, można stwierdzić, że w minionym roku dużym zainteresowaniem świata przestępczego cieszyły się tzw. bankiery, czyli programy nastawione na wykradanie danych logowania do systemów bankowości elektronicznej. Popularny był też malware ukierunkowany na ataki APT (Advanced Persistent Threat). Jak wiadomo, są one szczególnie trudne do wykrycia, a przestępcy (lub inne organizacje) pozyskują w ten sposób dostęp do poufnych danych. Według opublikowanych informacji, najczęściej atakowane usługi to: serwery WWW oraz web proxy (port 8080), oprogramowanie umożliwiające zdalny dostęp do komputera (Virtual Network Computing, port 5900) oraz połączenia do baz danych opartych na SQL (MS SQL Server, port 1433). Dlatego twórcy raportu zalecają, by na bieżąco aktualizować zabezpieczenia aplikacji łączących się z siecią internet oraz blokować dostęp do nieużywanych portów.
Najpopularniejsza podatność stwierdzona przez CERT Orange (21% przypadków) to Directory Listing, pozwalająca atakującemu na podejrzenie zawartości katalogów na serwerze – w tym między innymi pliku /etc/passwd/. Odnotowano też wzrost liczby podatności w systemach Unix/Linux dotychczas uważanych za względnie bezpieczne.
Prognozy
Autorzy raportu obawiają się ataków wykorzystujących dynamiczny rozwój Internet of Things, czyli skierowanych na różnego rodzaju urządzenia korzystające z dostępu do internetu, na przykład takich jak inteligentne liczniki energii przystosowane do zdalnego odczytu. Również ataki APT będą coraz bardziej wyrafinowane, a złośliwe aplikacje wyposażane w mechanizmy samozniszczenia w celu utrudnienia wykrycia sprawców. Jak stwierdził Piotr Muszyński wiceprezes zarządu ds. Operacyjnych w Orange Polska, CERT poza usługami dla Grupy Orange świadczy szereg komercyjnych usług bezpieczeństwa (monitorowania zdarzeń w sieciach innych podmiotów). Firma ma również dużych klientów wśród banków i największych portali transakcyjnych w Polsce. To między innymi monitorowanie w trybie 24/7/365 ruchu sieciowego klienta pod kątem ataku DDoS. Usługa pozwala na ograniczanie skutków nowo występujących ataków DDoS, dzięki filtrowaniu ruchu za pomocą „black” i „white” list oraz filtrów tworzonych na podstawie baz GeoIP. Firma prowadzi testy penetracyjne i audyty bezpieczeństwa sieci, badanie zachowania podejrzanego kodu (anty-malware). Takie usługi z roku na rok mogą zyskiwać na popularności.
Bohdan Szafrański
