Orange zarządza ok. 1/3 ruchu internetowego w Polsce. Kiedy więc CERT Orange Polska ogłasza raport na temat zjawisk i zagrożeń w cyberprzestrzeni, to śmiało można te wnioski uogólniać. Skala działań Orange Polska – zarówno technologicznych, prewencyjnych, jak i edukacyjnych sprawia, że ma realny wpływ na poziom cyberbezpieczeństwa polskich internautów. Rozmowa z Tomaszem Matułą, dyrektorem infrastruktury ICT i cyberbezpieczeństwa Orange Polska, CIO Roku 2010.

CIO: Cyberbezpieczeństwo 2015 według CERT Orange Polska. Czy można pokusić się o hasła – nazwy zjawisk najlepiej charakteryzujących sytuację w ub. roku?

Zobacz również:

• FBI ostrzega - masowy atak phishingowy w USA
• 9 cech wielkich liderów IT
• Co trzecia firma w Polsce z cyberincydentem

Tomasz Matuła: W skrócie wygląda to tak: ransomware, ataki wielowektorowe, stare-nowe zagrożenia: trujący spam i phishing, skanowanie podatności oprogramowania i sprzętu na urządzeniach mobilnych...

A DDoS?

O 20% wzrosła nam średnia wielkość ataku, do 1,1 Gbps. Oceniam, że przy skali upowszechnienia szerokopasmowego Internetu w Polsce jest to tempo wzrostu „organiczne”.

Dużo i mało. W ub. roku prognozowaliśmy na spotkaniu Klubu CIO, że stanie się dźwignią rozwoju przestępczego przemysłu...

Czy to mało? W 2015 r. rekordowy atak sięgał blisko 50 Gbps, a wcześniej w 2014 r. przekroczył 80 Gbps, natomiast na świecie rekordowy atak to ponad 500 Gbps, zatem wielkość ataków na naszą sieć jest - rzekłbym – "na miarę potrzeb".

Okazuje się , że nie wszystkie polskie instytucje finansowe mają większe łącze internetowe do świata, więc samodzielnie trudno by im zneutralizować taki przeciętny atak DDoS.

Dlaczego jednak w 2015 r. nie został pobity rekord wielkości ataku DDoS?

DDoS przestaje być celem samym w sobie. Pojawia się coraz częściej w kontekście ataków wielowektorowych. Ataki tego typu stanowią przykrywkę do innych działań. Na przykład DDoS jest stosunkowo często preludium do kombinowanej próby ataku socjotechnicznego, zmierzającego do wykradzenia haseł lub poufnych informacji. Oczywiście, ataki DDoS to spektakularne zjawisko, dotkliwe, wielowymiarowe. Ich natura jest też coraz bardziej złożona, ataki są wielogodzinne, prowadzone w sposób inteligentny.

Rekord zatem nie padł, za to wzrosła liczb ataków na osoby indywidualne. I to jest nowe i szybko nasilające się zjawisko. Niski koszt „usługi” ataku na inną osobę w sieci ośmielił na przykład uczestników gier onlinedo stosowania tego typu „handicapów”. Odnotowaliśmy na razie kilkaset takich przypadków ataku.

Można zamówić atak DDoS na kogoś w czasie kampanii sieciowej i bezkarnie złupić jego terytorium...

To tylko pozornie zjawisko anegdotyczne. Jeśliby miało się to stać normą zachowań, to takie oswojenie cyberprzestępstw długofalowo przyniesie bardzo złe następstwa. Proszę pamiętać, że tak jak z urządzeniami postępujemy prywatnie, tak potem wykorzystujemy je w pracy.

W ub. roku prognozowaliśmy także, że takie ataki staną się raczej narzędziem nieuczciwej konkurencji w biznesie.

Niestety to się zmaterializowało. Chyba najbardziej spektakularny atak z ub. roku był takim właśnie przypadkiem - atak DDoS na znaną sieć handlową, jednego z największych w Polsce sprzedawców sprzętu elektronicznego przeprowadzony w okresie intensywnych zakupów przedświątecznych, po marketingowej kampanii promującej kanał sprzedaży online. Potężny, ustrukturyzowany i długotrwały atak, którego celem było wyłączenie z rynku konkurenta. Był to klient naszej sieci, chroniony usługą DDoS protection, więc mogliśmy dobrze rozpoznawać i odpowiednio zmitygować atak. Udało się go zneutralizować. Klienci tej sieci handlowej, którzy chcieli skorzystać z promocji, nawet nie odczuli, że w tle toczy się walka.

Wielowektorowe czy hybrydowe ataki utrudniają ocenę co jest rzeczywistym celem ataku. Chociaż w statystykach CERT Orange jest to już uchwytne.

Na podstawie statystyki ataków możemy przeanalizować i zinterpretować ich scenariusze. Najważniejsze jednak, aby umieć szybko przeciwdziałać – procedury pracy Security Operations Center (SOC) Orange Polska są zaprojektowane w ten sposób, aby zagrożenie się nie zmaterializowało. Aby nie doszło do wyłączenia usługi albo utraty poufnych danych. Tylko działając szybko możemy odseparować podejrzany ruch albo odciąć podejrzany kod od kontaktu z zarządzającym nim przestępcą.

Można mieć fantastyczne, nowoczesne systemy, ale rozwiązanie musi uwzględniać także praktyki i zasady bezpiecznych zachowań. Socjotechnika jako główne narzędzie włamywaczy – to na pewno się nie zmienia.

Oczywiście. Można mnożyć przykłady.

Bardzo przydatny jest dla cyberprzestępców rozwój mediów społecznościowych. A raczej – sposób, w jaki one się rozwijają, to jak szerokim zakresem informacji o swoim życiu ludzie dzielą się ze światem. Znamy przykłady, kiedy hasła dostępowe osób na kluczowych stanowiskach łamane były na podstawie informacji o imionach dzieci, dacie urodzin, imionach zwierząt domowych itp. Nie muszę wyjaśniać, że prostemu algorytmowi łączącymi te dane ze znakami interpunkcyjnymi, odkrycie właściwej kombinacji zastosowanej w haśle ofiary zajmuje czas liczony czasami w minutach.

To nie świadczy dobrze o rozsądku okradzionych.

Socjotechnika wygrywa póki co z edukacją. Z jednej strony to brak wyobraźni i naiwność. I pomyśleć, że śmiejemy się z internetowych filmów, na których „pani z kamerą” na ulicy udając dziennikarkę przygotowującą reportaż o cyberprzestępczości pyta przechodniów o używane przez nich hasło.

Tymczasem przez telefon ludzie skłonni są podawać numer CVV2 z karty kredytowej! - Przestępcy stosują proste, ale bardzo skuteczne psychologiczne chwyty, aby wydobyć najbardziej poufne informacje. Efekty takiej kradzieży danych mają również bardzo duże konsekwencje.

To znaczy?

Znowu wracamy do zagadnienia ataków wielowektorowych. Zdobyte prywatne dane, przestępcy próbują wykorzystywać do ataków na instytucje albo firmy, w których pracują ich ofiary. „Domowe” urządzenia są zresztą z reguły słabiej chronione, ich zabezpieczenia są rzadziej aktualizowane. To świetny przyczółek np. do włamania do sieci firmowej. Pracę przecież chętnie przynosi się do domu, z prywatnych urządzeń sięga się do zasobów firmowych, itd. Zhakowany użytkownik jest furtką do kolejnych przestępstw na większą skalę.

Mam wrażenie, że z kolei tym osobom, które mają świadomość zagrożeń, towarzyszy poczucie bezsilności.

Powiedziałbym raczej – podsuwanie klientom rozwiązań systemowych, przejmowanie odpowiedzialności za ich bezpieczeństwo w sieci przez dostawcę usług telekomunikacyjnych albo na przykład finansowych jest odbierane z ulgą. Mamy przykłady banków dystrybuujących u klientów oprogramowanie antywirusowe. Orange z kolei z racji swoich możliwość zaoferował swoim klientom Cybertarczę – automatyczne badanie ruchu internetowego do, i z ich urządzeń sieciowych, chroniące przed złośliwym oprogramowaniem na stronach, w poczcie, SMS-ach i MMS-ach.

Zakładam jednak, że u części użytkowników takie objęcie pełnym monitoringiem ich działania w Sieci uruchomi alarmową lampkę i wywoła poczucie utraty prywatności.

Z Cybertarczy zrezygnowało – bo oczywiście to dobrowolna usługa – tylko 0,1% objętych nią użytkowników.

Pomówmy zatem o mechanizmach działania włamywaczy, którzy muszą się zmierzyć z użytkownikami Cybertarczy i sięgną zapewne po socjotechnikę. Jej elementem jest usypianie czujności. Cieszymy się, że nie daliśmy plamy i nie daliśmy się złapać na spam albo phishing, tymczasem...

...tymczasem pod przykrywką znanych i pozornie zneutralizowanych już zagrożeń kryją się nowe. Takim groźnym zjawiskiem jest wzrost ilości zatrutego spamu. Stary, lekceważony dziś spam, jest teraz najpopularniejszym nośnikiem złośliwego kodu. Szacujemy, że blisko 40% spamu przenosi złośliwy kod, który infekuje komputer odbiorcy.

Phishing to także wydawałoby się metoda, na którą nikt nie da się złowić. Tymczasem w ub. roku mieliśmy do czynienia wręcz z wysypem fałszywych e-faktur. Większość malware’owych kampanii miała załączniki pdf. Masowo rozsyłane fałszywe faktury banków i operatorów telekomunikacyjnych albo energetycznych w postaci pdf infekowały komputery i dołączały je do sieci botnet.

Czy to jest rzeczywiście skuteczne?

Tak, skoro udział phishingu w liczbie ataków wzrósł z 1% do 5% w porównaniu z 2014 r. – widać zatem na co stawiają przestępcy.

To nawiązanie do zjawiska, które leży u podstaw rozwijającego się „rynku” usług DDoS...

Tak, ale solidne wsparcie dla sieci botnetowych stojących za "komercyjnymi" atakami DDoS daje także rozwój Internetu Rzeczy. Niewiele można zrobić krzywdy włamując się zdalnie do czyjejś lodówki albo systemu zarządzającego oświetleniem domowym. Ale te skromne w świecie sieciowym urządzenia nadają się świetnie na zombie w sieci botnetowej.

Pamiętam z poprzedniego raportu Orange, że sieci botnetowe miały służyć także do ataków na systemy SCADA. Nie ma o nich w tegorocznym raporcie wzmianki.

Nikt ich nie zgłosił, prawda? Zapewniam, że to nie znaczy, że ich nie było.

Ransomware to także nowe zjawisko i także „wstydliwe”, choć przede wszystkim dotyczy sfery prywatnej na urządzeniach mobilnych, głównie smartfonach.

Taki cyfrowy szantaż – zaszyfrowanie przy użyciu złośliwego oprogramowania dysku użytkownika i odblokowanie dopiero po opłaceniu okupu szantażyście - zdarza się coraz częściej. Cechą charakterystyczną jest stosunkowo niska kwota, jakiej domaga się szantażysta. Można wykupić klucz odblokowujący nasze zdjęcia, materiały do pracy, kontakty itd. – wszystko co nosimy ze sobą w telefonie za średnio 500 zł – choć na Zachodzie to średnio 500 USD. Dlatego większość osób woli zapłacić i nie informuje o tym ani policji, ani usługodawcy telekomunikacyjnego.

...niż ryzykować, że zaniepokojony przez organa ścigania przestępca zniszczy ostatecznie nasze dane. Widzę dwie charakterystyczne kwestie: niewiara w możliwość cyfrowego wsparcia ze strony Państwa i niespełnienie zasad bezpieczeństwa – niezadbanie o backup danych i urządzenia.

I w obu kwestiach mamy postęp.

Wśród użytkowników biznesowych mamy do czynienia na przestrzeni ostatnich 2 lat ze zmianą paradygmatu – rozwój disaster recovery nie jest już uwarunkowany erupcją wulkanów, uderzeniem meteorytu albo chociaż powodzią. Panuje przekonanie, że trudno się uchronić przed cyberatakiem i włamaniem. A skoro tak, to trzeba zneutralizować wpływ biznesowy, stąd rozwój podejścia polegającego na zapewnieniu równoległych zapasowych łączy, zapasowej infrastruktury...

Jeśli to obserwacja poparta statystyką, to rzeczywiście cieszy.

Ja mogę się odwołać do danych dotyczących sprzedaży stosownych usług Orange (śmiech). Ale widzimy ten trend wyraźnie także w innych danych – na przykład w zakresie przepływu specjalistów na rynku pracy.

...natomiast na poprawę jakości cyberbezpieczeństwa na poziomie Państwa jeszcze raczej poczekamy.

Ale są oznaki zmiany.

Istotną zmianę stanowi dokument Strategii Cyberbezpieczeństwa RP, konsultowany przez Ministerstwo Cyfryzacji z rynkiem w lutym i marcu br. Po raz pierwszy widać, że Państwo zamierza wziąć odpowiedzialność za sferę cyberbezpieczeństwa wobec obywateli, w tym przedsiębiorców. Koncentracja kompetencji z tego obszaru w specjalnym departamencie jest powszechnie odebrana pozytywnie. Widzimy także po stronie administracji państwowej pozytywne nastawienie dotyczące współpracy z podmiotami obecnymi na rynku, efektywnego podziału ról, a także wizję cyberbezpieczeństwa kraju. Jestem dobrej myśli.

Dziękuję za rozmowę.