un blog de Radu Dumitru

asus s5507

►► Ofertele continuă la: eMAGFashion DaysFinestoreDysonFlip. 📺 YouTube: youtube.com/NwraduBlog ◄◄

asus s5507

De ce companiile au cel mai mult de pierdut prin lipsa securității IT și cum pot corecta asta (p)

20 Apr 2016  ·

TEHNOLOGIE  ·

17 comentarii

Acum trei zile, pe când încercam a zecea oară la rând să introduc parola corectă pe Steam, urmată de o lungă procedură de recovery pe bază de cod primit pe SMS și apoi încă un cod pe email, mă gândeam de ce naiba mă silește Steam să folosesc niște parole complicate pe care niciodată nu le pot ține minte. Apoi mi-am dat seama că, dacă cineva îmi află parola, îmi poate șterge direct contul și aș pierde deci cei aproximativ 100 de euro băgați până acum în jocuri.

Tot probleme de securitate mi-ar putea produce pagube mult mai mari. Am fotografiile din concedii pe diverse servere, aș putea pierde o mulțime de amintiri plăcute. Blogul acesta ar putea fi “hăckuit”, șters, aș pierde două zile să-l pun la loc din backup. De conturile bancare nici nu mai are rost să zic.

Gândește-te acum la câte alte entități au informații despre tine: clinici medicale, compania la care lucrezi, magazinele online. Cum ar fi dacă toate aceste date ar fi furate de hackeri și date pe net, să le vadă toți despre tine?

În caz că nu crezi că se întâmpla asta, te asigur că se întâmplă. Se vorbește chiar de hacking-as-a-service, cu diverse programe și servere puse la vânzare pentru a fi utilizate de hackeri.

Ce se întâmplă însă când companiile nu se gândesc la securitatea lor? Am aflat mai mult despre noul val al amenințărilor informatice din Raportul CISCO de Securitate pe 2016, un document făcut periodic de gigantul IT.

Am asistat în anii trecuți la prezentarea rezumatului acestuia, dar pentru acest articol am citit întreg raportul, din scoarță în scoarță, de două ori. Ce scrie acolo m-a pus pe gânduri, pentru că ridică o problemă importantă și anume securitatea insuficientă la nivelul companiilor. Citește în continuare ca să vezi de ce, că l-am scris într-un limbaj ușor de înțeles.


Cred că mulți asociem cumva partea de securitate IT cu acele companii puternic implicate în online, precum magazinele online sau streamingul de muzică sau internet bankingul, dar situația nu stă deloc așa. Zilele offline-ului au trecut, orice companie are și o componentă IT, iar tot ce este digital, tot ce este online, este supus riscurilor. Acesta este primul pas în înțelegerea situației.

S-au dus și vremurile când hackingul era un fel de înfruntare între echipa de securitate și omul care voia să demonstreze că le poate intra în sistem. Acelea erau vremurile “nobile”. Hackingul modern este despre bani, foarte, foarte mulți bani prin șantaj, furt de date bancare și alte fraude.

cisco_evolutie_lunara_exploit

Cazul Angler

Cel mai bun exemplu este Angler, numele unui exploit care anul trecut a lovit tare de tot.

Angler nu opera de pe o infrastructură mare, ci doar de pe 8-12 servere în fiecare zi. Serverele erau active puțin timp, site-urile prin care exploata vulnerabilități în browserele vizitatorilor se schimbau des, doar câteva persoane erau atacate prin aceeași combinație de metode, totul pentru a se ascunde cât mai bine.

Cercetătorii CISCO și Level 3 Threat Research Lab, care au “demontat” Angler, spun că au identificat peste 15.000 de site-uri ce duceau vizitatorii spre exploit, dar 99,8% dintre ele făceau asta pentru mai puțin de câteva zile.

Angler era echivalentul artileriei care trage 2-3 focuri și apoi își schimbă poziția și muniția, pentru a nu fi reperată de inamici, deși în acest caz “inamicii” erau algoritmii de securitate pe care ne bazăm cu toții zilnic.

Odată ce prindea un sistem vulnerabil, Angler introducea în el un ransomware.

Ransomware este un tip de malware ce-ți criptează toate datele și nu-ți dă acces la ele până nu plătești o sumă de bani mărișoară, de exemplu chiar și sute de dolari. Ați mai auzit de acest sistem de șantaj, au căzut pradă în ultimii ani multe calculatoare și telefoane mobile.

ransomware

Sigur, poți formata întreg calculatorul și ai scăpat de criptarea respectivă, dar chiar poți face asta? Dacă ai date importante în el, bilanțuri contabile, baza de date cu clienți, lista de newsletter? Dacă astfel de informații ajung publice?

Și acum să trecem la cifrele concrete: cei de la CISCO au făcut un calcul de bani. Câte servere, câte acțiuni pe zi, doar 10% exploituri găsesc ținta, doar 2,9% din cei infectați plătesc recompensa… Știi cât ar fi câștigat cei ce-au făcut Angler? 34 de milioane de dolari pe an!

cisco_angler_revenue

Ți-am spus, hackingul este acum pentru bani. Mai știi filmul Ocean’s Eleven? Așa cum cei de acolo planificau cu atenție spargerea unui seif bine protejat, la fel îmi închipui că au făcut și cei din spatele Angler, “proiectând” pe rând metodele de a livra ransomware-ul, de a face asta la scară largă găsind serverele și site-urile potrivite și totuși într-un mod cât mai bine disimulat.

Îți dai seama ce jaf organizat, ce proiect de amploare a fost și cât a durat totul și ce cunoștințe avansate a necesitat?

Iar multe IMM-uri cred că este suficient că cer angajaților o parolă atunci când se loghează pe mailul companiei sau pe serveru de fișiere. Pare suficient, atunci când analizezi Angler? Dar când adaugi în ecuație SSHpsychos, o rețea ce făcea atacuri asupra oricărui serviciu îi ieșea în cale, încercând în total 300.000 de parole cu speranța că se va potrivi una și va avea acces la sistem; atacurile SSHpsychos au constituit la un moment dat 35% din traficul Internet. Dar când adaugi în ecuație și botnet-urile, adică acele calculatoare ce sunt deja infectate cu malware și pot fi comandate să facă anumite lucruri, de la atacuri concertate asupra altor servere la trimis trafic pe site-urile dubioase sau înregistrat parole? Sau faptul că poți deghiza malware în bloguri pe WordPress?

Mai crezi că o simplă parolă te poate feri de necazuri atunci când vorbim de botnets, vulnerabilități din programe neactualizate, 300.000 de noi malware-uri descoperite în fiecare zi și atacuri bine planificate?

De ce sunt vulnerabile IMM-urile?

Pentru că sunt cele mai expuse. Companiile mari au departamente de IT, au angajați experți în securitate, fac audituri, investesc în echipamente și soluții complexe, particularizate pe nevoile lor. Utilizatorii casnici, pe de altă parte, nu au multe de pierdut, că nu vorbim de milioane de euro în cazul lor.

În schimb, IMM-urile sunt exact în zona de mijloc, “the sweet spot”, adică pot pierde tot business-ul în cazul unor probleme, pot strica intimitatea a mii de oameni și pot pierde o mulțime de bani. Multe companii mici și medii cred că investiția în securitate este mare, dar acest lucru este fals, sunt soluții pentru oricine.

Ce-i de pierdut? Păi să ne aducem aminte de cazul Ashley Madison, site-ul de dating canadian spart de hackeri, și în câte mii de cupluri a început scandalul atunci când au apărut pe net detalii despre infidelitățile sau fanteziile fiecăruia.

Dar dacă un angajat de la un departament oarecare folosește o versiune veche de Flash și prin calculatorul său permite acces la fișierele clinicii medicale pentru care lucrează, iar de acolo ajung pe net dosarele pacienților?

Dacă o vulnerabilitate în serverul de fișiere al firmei va permite concurenței să afle prețul cu care iei marfă de la furnizori și modul în care calculezi adaosul comercial la vreo licitație, totul pentru că un angajat plictisit a intrat pe un site dubios?

În ordine în sondajele CISCO, managerii consideră că următoarele date trebuie protejate:

  1. informațiile financiare confidențiale
  2. datele despre clienți, inclusiv cine sunt aceștia, de unde, ce vor șamd
  3. informațiile despre business, adică ce vinzi, ce iei, cu cât

Pierderile de imagine și de business pot fi imense, poți ajunge la procese civile, despăgubiri, faliment șamd. E genul de chestie despre care nu știi că se poate întâmpla pentru că cei pățiți fac tot posibilul să țină secret cât i-a costat o breșă pe partea de securitate, dar sunt destule exemple în lume pentru a vedea impactul, cum a fost la Sony Pictures.

lacat_securitate

Problemele se pot amplifica în cascadă. De multe ori, penetrarea unui IMM poate duce la accesarea informațiilor unei companii mari. Sunt multe firme ce-și oferă serviciile unor companii mari, fie ele servicii de curierat, de catering, de outsourcing pentru parcul auto șamd, care au sistemele IT interconectate cu cele ale companiilor mari pentru o colaborare mai bună și mai rapidă. Cred că exemplul cu Angler demonstrează cât de ingenioși pot fi hackerii și cum principiul “unde dai și unde crapă” se aplică din plin aici.

Mai mult, IMM-urile se păcălesc uneori făcând outsourcing de servicii către alte firme. Iți ține altcineva contabilitatea, se ocupă altcineva să-ți rezerve hoteluri, iar ei îți spun că preiau deci și riscul unor breșe de securitate. Foarte bine, așa este și normal, dar știi cât de bine protejează ei datele tale? Ce va fi când datele tale financiare sunt aflate de alții?

Raportul CISCO, ce a fost făcut în mii de companii din țări precum SUA, Marea Britanie, Franța, Germania și Canada și altele, arată cum IMM-urile se cred în siguranță pentru că nu ar fi ținte “high profile”, dar este cazul să uităm vremurile când toți încercau să spargă serverele NASA sau Pentagon și să înțelegem că-i vorba de bani, iar oricine poate fi șantajat pentru bani.

Același sondaj spune și de ce IMM-urile nu investesc în securitatea datelor. În ordine, motivele ar fi:

  1. buget insuficient
  2. compania are alte priorități în dezvoltare
  3. probleme de compatibilitate cu sistemele vechi
  4. nu le-a cerut nimeni sau nu sunt informați despre riscuri
  5. e prea mult de muncă deja și nu are cine să se ocupe
  6. nu vor să investească în securitate până când soluțiile nu își dovedesc utilitatea în piață

Observă că ultimul motiv sună tare stupid. Este ca și cum ai spune că vei cumpăra o mașină doar când se dovedește că un anumit model este mult mai bun decât celelalte.

Ce pot face IMM-urile pentru o securitate mai bună?

Ar fi câțiva pași, iar în gândirea mea aceștia ar fi următorii:

Alcătuirea unei strategii de securitate. OK, facem ședință, stabilim ce trebuie protejat, ce date ne dau peste cap afacerea dacă sunt furate, ce nevoie de securitate au angajații noștri, dacă vom folosi sau nu mobile și VPN-uri șamd. Pentru asta se face de obicei un audit de securitate care arată ce probleme sunt.

Delegarea unui om pentru a fi responsabil cu securitatea. Marile companii au în organigramă funcții precum Chief Security Officer și manageri de securitate.

În IMM-uri este mai greu să faci un astfel de post, dar important este ca un om să fie responsabil cu securitatea, să fie cel care studiază problema, care o înțelege, care este la curent cu ce se mai întâmplă în domeniu, care merge la câte o conferință.

Hardware și software pe măsură. Angajații ce browser folosesc? Instalează fiecare ce extensii vrea? Sunt blocate eventualele site-uri capcană din firewall? Există programe care să analizeze traficul și să spună “băi nene, vezi că de ieri serverul vostru de email tot trimite mii de mailuri pe oră, pare că îl controlează ceva și face spam”?

Mai important, software-urile folosite sunt actualizate? Ai ultima versiune de Flash?

Un exemplu bun de sistem protejat, dar vulnerabil, este atunci când firma investește în soluții de securitate, dar blogul companiei nu a mai fost actualizat de luni de zile, că nu este nimeni responsabil cu asta. Încă rulează WordPress 3.8 și niște pluginuri vechi, că merge și așa, însă este ca o poartă deschisă pentru toate vulnerabilitățile descoperite de atunci.

Proceduri de răspuns la incidente. OK, ai fost hăckuit, cum acționezi acum? Cine decide că trebuie scoase serverele din priză pentru a opri furtul de date sau trimiterea de spam? Există comunicate de presă pregătite, există opțiunea de a reseta pe loc toate parolele clienților sau trebuie să chemi băiatul care a pus la punct baza de date acum 6 luni?

Buget separat pentru securitatea IT. Pe asta o spune chiar raportul CISCO, care notează că în multe firme bugetul pentru securitate IT este inclus în cel general de IT. În practică, banii se duc pe noi laptopuri, în general investițiile în securitate fiind ignorate până în momentul când te “arzi”. Faci un buget separat, aloci bani ce nu pot fi cheltuiți pe altceva, ci doar pe creșterea securității IT.

Cursuri cu angajații. Le explici un pic de ce să nu dea click pe bannerele care-i informează că au câștigat ceva pentru că sunt vizitatorul cu numărul un milion.

Studiile arată că angajații care nu se pricep la chestiuni avansate de IT consideră că există niște departamente IT ce-i protejează, așa că ei nu pot strica nimic. Din păcate situația nu stă așa, câtă vreme nu sunt luate măsuri clare de securitate. Explică-le riscurile, spune-le să ceară ajutorul dacă nu sunt siguri de ceva șamd.

Outsourcing de securitate. Se poate și asta. Lasă-i pe alții să-ți facă un audit, să instaleze soluții de securitate, să-ți recomande noi echipamente, să analizeze un log în caz de probleme pentru a înțelege cum au apărut acestea și a astupa găurile șamd.


 

Cel mai important lucru și, de fapt, punctul de pornire, este înțelegerea riscurilor și nevoia de securitate IT. Încui poarta la firmă și ai paznic de noapte? Atunci de ce să nu încui și poarta digitală?

Mai ales în vremurile moderne, când hackingul este o metodă de a face bani și poți fi vulnerabil fără să o știi, să fii informat despre ce înseamnă securitatea IT este obligatoriu pentru orice manager sau, în fine, “stakeholder” în companie, fie ea mică, medie sau mare. Descarcă Raportul CISCO de Securitate pe 2016, te va convinge că am dreptate.

    17 comentarii

  1. Apropo, care e faza cu Steam? Am același cont și aceeași parolă de 6 ani și de fiecare dată aceeași procedură: ați greșit parola – reset parola – introduceți parola ȘI COD CAPTCHA. O reintroduc, o schimb CU ACEEAȘI PAROLĂ, zice totul ok. Dau login, zice, parola greșită, parola greșită, parola greșită. Dau reset password…

    Abia la a treia sau a patra tentativă pricepe că AIA e parola, ACEEAȘI. Geezăs, nu am întâlnit ceva mai frustrant …

      (Citează)

    • Eu am avut ani de zile o parola din 7 cifre, adica mega simpla si n-am avut probleme de login niciodata. Acum e ceva mai complexa, litere+cifre key sensitive si la fel, nicio problema de login.

      Incearca sa pui ceva mega simplu (numai cifre) sa nu o poti gresi si fa un test.

        (Citează)

    • Dacă nu o țin minte ulterior, degeaba. Pot să pun și 12345678, important e să țin minte că am făcut asta.

        (Citează)

    • Asta ziceam, eu n-am auzit de problema asta niciodata, ideea era sa testeze cu una simpla sa nu o greseasca din graba, daca nu o tine minte nici pe cea simpla atunci da, e o problema.

        (Citează)

  2. Mai urmăresc știrile din domeniu. E amuzant cum toți vendorii au devenit experți în ransomware așa, din mijlocul propoziției.

      (Citează)

    • Da, de anul trecut a început nebunia cu metoda asta. S-au dus încercările de phishing, de exemplu, acum se cer bani la modul activ.

        (Citează)

  3. Nu am citit decat primul paragraf si intr-adevar e doar pentru (P), fiind destul de absurd. Lucrand intr-un domeniu in care din cand in cand trebuiesc puse cele mai noi jocuri pe diverse sisteme demonstrative mi-a fost furat contul de vreo 3 ori, asta insemnand schimbarea adresei de email a contului respectiv. Dat mail Valve, mutat inapoi pe emailul vechi.

      (Citează)

    • Da, probabil că s-ar fi putut rezolva cu emailuri și scanări de buletin și chitanțe PayPal, dar de ce să pierd timpul?

        (Citează)

    • Doar cu un email, verifica ei mai departe dupa IP and shit, daca 99% din trafic l-ai facut dupa un IP si mai nou s-a schimbat adresa de email de la un alt IP te ajuta.

        (Citează)

  4. impunerea parolele complicate gen 20 characterem alfanumerice, ascii, x litere mari x litere mici, non dictionary, expirare la 10 zile, noua parola sa nu fie una din ultimele 50 si asa mai departe e una din cele mai proaste idei care le poti implementa.

    ce se intampla cu parolele astea : refresh.ro/2013/04/parole-complicate

    pentru multe site-uri folosesc un cod de bare din portofel cu un mini usb reader :).

      (Citează)

  5. Da’ l-ai scris pe articol, nu gluma!!
    Idei bune in el, totusi!

      (Citează)

  6. user:
    impunerea parolele complicate gen 20 characterem alfanumerice, ascii, x litere mari x litere mici, non dictionary, expirare la 10 zile, noua parola sa nu fie una din ultimele 50 si asa mai departe e una din cele mai proaste idei care le poti implementa.

    ce se intampla cu parolele astea : refresh.ro/2013/04/parole-complicate

    pentru multe site-uri folosesc un cod de bare din portofel cu un mini usb reader :).

    Ai, te rog, un link? Suna foarte interesant.

      (Citează)

  7. Ciudat e ca o banca si-a schimbat politica de securitate si au setat accesul clientilor cu o parola formata doar din 5 cifre, sunt excluse cele consecutive sau similare.

      (Citează)

  8. Nu trebuie să ne concentrăm doar pe parole. Raportul de fapt zice clar asta, nu-ți fură cineva parola, ci se folosesc de vulnerabilități în servere sau browsere pentru a căpăta acces la fișiere.

    Toți cei afectați de Angler n-au băgat vreo parolă pe undeva, s-au trezit direct cu payload-ul în sistem.

    Cel mai bun exemplu de vulnerabilitate pentru companii mi se pare cel cu blogul companiei, neactualizat.

      (Citează)

  9. nwradu: astea : refresh.ro/2013/04/parole

    Dar dacă îți pui o soluție gen lastpass cu o parolă de access complicată, iar restul de parole generate de aceasta și stocate in ea..?

      (Citează)

  10. Linuxul te scapă de multe din grijile enumerate de tine. :))

      (Citează)

    Alătură-te discuției, lasă un mesaj

    E-mail-ul nu va fi publicat. Fără înjurături și cuvinte grele, că vorbim prietenește aici. Gândiți-vă de două ori înainte de a publica. Nu o luați pe arătură doar pentru că aveți un monitor în față și nu o persoană reală.

    Apăsați pe Citează pentru a cita întreg comentariul cuiva sau selectați întâi anumite cuvinte și apăsați apoi pe Citează pentru a le prelua doar pe acelea. Link-urile către alte site-uri, dar care au legătură cu subiectul discuției, sunt ok.


    Prin trimiterea comentariului acceptați politica de confidențialitate a site-ului.



    Vreți un avatar în comentarii? Mergeți pe gravatar.com (un serviciu Wordpress) și asociați o imagine cu adresa de email cu care comentați.

    Dacă ați bifat să fiți anunțați prin email de noi comentarii sau posturi, veți primi inițial un email de confirmare. Dacă nu validați acolo alegerea, nu se va activa sistemul și după un timp nu veți mai primi nici alte emailuri

    Comentariile nu se pot edita ulterior, așa că verificați ce ați scris. Dacă vreți să mai adăugați ceva, lăsați un nou comentariu.

sus