Czy czują się Państwo bezpiecznie?

Orange zarządza ok. 1/3 ruchu internetowego w Polsce. Kiedy więc CERT Orange Polska ogłasza raport na temat zjawisk i zagrożeń w cyberprzestrzeni, to śmiało można te wnioski uogólniać. Rozmowa z Tomaszem Matułą, dyrektorem infrastruktury ICT i Cyberbezpieczeństwa Orange Polska, CIO Roku 2010.

Orange zarządza ok. 1/3 ruchu internetowego w Polsce. Kiedy więc CERT Orange Polska ogłasza raport na temat zjawisk i zagrożeń w cyberprzestrzeni, to śmiało można te wnioski uogólniać. Skala działań Orange Polska – zarówno technologicznych, prewencyjnych, jak i edukacyjnych sprawia, że ma realny wpływ na poziom cyberbezpieczeństwa polskich internautów. Rozmowa z Tomaszem Matułą, dyrektorem infrastruktury ICT i cyberbezpieczeństwa Orange Polska, CIO Roku 2010.

CIO: Cyberbezpieczeństwo 2015 według CERT Orange Polska. Czy można pokusić się o hasła – nazwy zjawisk najlepiej charakteryzujących sytuację w ub. roku?

Tomasz Matuła: W skrócie wygląda to tak: ransomware, ataki wielowektorowe, stare-nowe zagrożenia: trujący spam i phishing, skanowanie podatności oprogramowania i sprzętu na urządzeniach mobilnych...

A DDoS?

O 20% wzrosła nam średnia wielkość ataku, do 1,1 Gbps. Oceniam, że przy skali upowszechnienia szerokopasmowego Internetu w Polsce jest to tempo wzrostu „organiczne”.

Dużo i mało. W ub. roku prognozowaliśmy na spotkaniu Klubu CIO, że stanie się dźwignią rozwoju przestępczego przemysłu...

Czy to mało? W 2015 r. rekordowy atak sięgał blisko 50 Gbps, a wcześniej w 2014 r. przekroczył 80 Gbps, natomiast na świecie rekordowy atak to ponad 500 Gbps, zatem wielkość ataków na naszą sieć jest - rzekłbym – "na miarę potrzeb".

Banki i DDoS

Nie wszystkie polskie instytucje finansowe mają łącze internetowe do świata większe niż przeciętny atak DDoS.

Okazuje się , że nie wszystkie polskie instytucje finansowe mają większe łącze internetowe do świata, więc samodzielnie trudno by im zneutralizować taki przeciętny atak DDoS.

Dlaczego jednak w 2015 r. nie został pobity rekord wielkości ataku DDoS?

DDoS przestaje być celem samym w sobie. Pojawia się coraz częściej w kontekście ataków wielowektorowych. Ataki tego typu stanowią przykrywkę do innych działań. Na przykład DDoS jest stosunkowo często preludium do kombinowanej próby ataku socjotechnicznego, zmierzającego do wykradzenia haseł lub poufnych informacji. Oczywiście, ataki DDoS to spektakularne zjawisko, dotkliwe, wielowymiarowe. Ich natura jest też coraz bardziej złożona, ataki są wielogodzinne, prowadzone w sposób inteligentny.

Rekord zatem nie padł, za to wzrosła liczb ataków na osoby indywidualne. I to jest nowe i szybko nasilające się zjawisko. Niski koszt „usługi” ataku na inną osobę w sieci ośmielił na przykład uczestników gier onlinedo stosowania tego typu „handicapów”. Odnotowaliśmy na razie kilkaset takich przypadków ataku.

Można zamówić atak DDoS na kogoś w czasie kampanii sieciowej i bezkarnie złupić jego terytorium...

DDoS jako handicap w sieciówce

Niski koszt „usługi” ataku na inną osobę w sieci ośmielił uczestników gier online do zamawiania ataków DDoS na konkurentów. Odnotowaliśmy na razie kilkaset takich przypadków ataku.

To tylko pozornie zjawisko anegdotyczne. Jeśliby miało się to stać normą zachowań, to takie oswojenie cyberprzestępstw długofalowo przyniesie bardzo złe następstwa. Proszę pamiętać, że tak jak z urządzeniami postępujemy prywatnie, tak potem wykorzystujemy je w pracy.

W ub. roku prognozowaliśmy także, że takie ataki staną się raczej narzędziem nieuczciwej konkurencji w biznesie.

Niestety to się zmaterializowało. Chyba najbardziej spektakularny atak z ub. roku był takim właśnie przypadkiem - atak DDoS na znaną sieć handlową, jednego z największych w Polsce sprzedawców sprzętu elektronicznego przeprowadzony w okresie intensywnych zakupów przedświątecznych, po marketingowej kampanii promującej kanał sprzedaży online. Potężny, ustrukturyzowany i długotrwały atak, którego celem było wyłączenie z rynku konkurenta. Był to klient naszej sieci, chroniony usługą DDoS protection, więc mogliśmy dobrze rozpoznawać i odpowiednio zmitygować atak. Udało się go zneutralizować. Klienci tej sieci handlowej, którzy chcieli skorzystać z promocji, nawet nie odczuli, że w tle toczy się walka.

Wielowektorowe czy hybrydowe ataki utrudniają ocenę co jest rzeczywistym celem ataku. Chociaż w statystykach CERT Orange jest to już uchwytne.

Na podstawie statystyki ataków możemy przeanalizować i zinterpretować ich scenariusze. Najważniejsze jednak, aby umieć szybko przeciwdziałać – procedury pracy Security Operations Center (SOC) Orange Polska są zaprojektowane w ten sposób, aby zagrożenie się nie zmaterializowało. Aby nie doszło do wyłączenia usługi albo utraty poufnych danych. Tylko działając szybko możemy odseparować podejrzany ruch albo odciąć podejrzany kod od kontaktu z zarządzającym nim przestępcą.

Można mieć fantastyczne, nowoczesne systemy, ale rozwiązanie musi uwzględniać także praktyki i zasady bezpiecznych zachowań. Socjotechnika jako główne narzędzie włamywaczy – to na pewno się nie zmienia.

Oczywiście. Można mnożyć przykłady.

Hasło opublikowane na Facebooku

Hasła dostępowe osób na kluczowych stanowiskach łamane były na podstawie informacji o imionach dzieci, dacie urodzin, imionach zwierząt domowych itp. Odkrycie właściwej kombinacji zastosowanej w haśle ofiary zajmuje czas liczony czasami w minutach.

Bardzo przydatny jest dla cyberprzestępców rozwój mediów społecznościowych. A raczej – sposób, w jaki one się rozwijają, to jak szerokim zakresem informacji o swoim życiu ludzie dzielą się ze światem. Znamy przykłady, kiedy hasła dostępowe osób na kluczowych stanowiskach łamane były na podstawie informacji o imionach dzieci, dacie urodzin, imionach zwierząt domowych itp. Nie muszę wyjaśniać, że prostemu algorytmowi łączącymi te dane ze znakami interpunkcyjnymi, odkrycie właściwej kombinacji zastosowanej w haśle ofiary zajmuje czas liczony czasami w minutach.

To nie świadczy dobrze o rozsądku okradzionych.

Tomasz Matuła, Dyrektor Infrastruktury ICT i Cyberbezpieczeństwa Orange Polska

Tomasz Matuła, Dyrektor Infrastruktury ICT i Cyberbezpieczeństwa Orange Polska

Tomasz Matuła, dyrektor Infrastruktury ICT i Cyberbezpieczeństwa, Orange Polska

W latach 1996-2004 dyrektor Biura Usług Wewnętrznych w PTK Centertel. W TP od 2004 roku. Rozwinął kluczowe kompetencje informatyczne m.in. bezpieczeństwo ITN, Data Center, cloud computing, zarządzanie usługami IT, zarządzanie infrastrukturą IT.

Ukończył Politechnikę Śląską, kierunek Telekomunikacja. W 2002 roku uzyskał Międzynarodowy Dyplom Managementu IFG (MBA) Francuskiego Instytutu Zarządzania, w 2009 ukończył Advanced Management Program IESE Uniwersytetu Nawarra. Zdobył tytuł Lidera Green IT 2009 dla Grupy TP.

CIO Roku 2010 - zwycięzca 8. edycji konkursu CIO Roku. Członek Rady Programowej Klubu CIO.

Socjotechnika wygrywa póki co z edukacją. Z jednej strony to brak wyobraźni i naiwność. I pomyśleć, że śmiejemy się z internetowych filmów, na których „pani z kamerą” na ulicy udając dziennikarkę przygotowującą reportaż o cyberprzestępczości pyta przechodniów o używane przez nich hasło.

Tymczasem przez telefon ludzie skłonni są podawać numer CVV2 z karty kredytowej! - Przestępcy stosują proste, ale bardzo skuteczne psychologiczne chwyty, aby wydobyć najbardziej poufne informacje. Efekty takiej kradzieży danych mają również bardzo duże konsekwencje.

To znaczy?

Znowu wracamy do zagadnienia ataków wielowektorowych. Zdobyte prywatne dane, przestępcy próbują wykorzystywać do ataków na instytucje albo firmy, w których pracują ich ofiary. „Domowe” urządzenia są zresztą z reguły słabiej chronione, ich zabezpieczenia są rzadziej aktualizowane. To świetny przyczółek np. do włamania do sieci firmowej. Pracę przecież chętnie przynosi się do domu, z prywatnych urządzeń sięga się do zasobów firmowych, itd. Zhakowany użytkownik jest furtką do kolejnych przestępstw na większą skalę.

Mam wrażenie, że z kolei tym osobom, które mają świadomość zagrożeń, towarzyszy poczucie bezsilności.

Powiedziałbym raczej – podsuwanie klientom rozwiązań systemowych, przejmowanie odpowiedzialności za ich bezpieczeństwo w sieci przez dostawcę usług telekomunikacyjnych albo na przykład finansowych jest odbierane z ulgą. Mamy przykłady banków dystrybuujących u klientów oprogramowanie antywirusowe. Orange z kolei z racji swoich możliwość zaoferował swoim klientom Cybertarczę – automatyczne badanie ruchu internetowego do, i z ich urządzeń sieciowych, chroniące przed złośliwym oprogramowaniem na stronach, w poczcie, SMS-ach i MMS-ach.

Zakładam jednak, że u części użytkowników takie objęcie pełnym monitoringiem ich działania w Sieci uruchomi alarmową lampkę i wywoła poczucie utraty prywatności.

Z Cybertarczy zrezygnowało – bo oczywiście to dobrowolna usługa – tylko 0,1% objętych nią użytkowników.

Pomówmy zatem o mechanizmach działania włamywaczy, którzy muszą się zmierzyć z użytkownikami Cybertarczy i sięgną zapewne po socjotechnikę. Jej elementem jest usypianie czujności. Cieszymy się, że nie daliśmy plamy i nie daliśmy się złapać na spam albo phishing, tymczasem...

...tymczasem pod przykrywką znanych i pozornie zneutralizowanych już zagrożeń kryją się nowe. Takim groźnym zjawiskiem jest wzrost ilości zatrutego spamu. Stary, lekceważony dziś spam, jest teraz najpopularniejszym nośnikiem złośliwego kodu. Szacujemy, że blisko 40% spamu przenosi złośliwy kod, który infekuje komputer odbiorcy.

Spam nie rdzewieje

40% spamu przenosi złośliwy kod, który infekuje komputer odbiorcy.

Phishing to także wydawałoby się metoda, na którą nikt nie da się złowić. Tymczasem w ub. roku mieliśmy do czynienia wręcz z wysypem fałszywych e-faktur. Większość malware’owych kampanii miała załączniki pdf. Masowo rozsyłane fałszywe faktury banków i operatorów telekomunikacyjnych albo energetycznych w postaci pdf infekowały komputery i dołączały je do sieci botnet.

Czy to jest rzeczywiście skuteczne?

Tak, skoro udział phishingu w liczbie ataków wzrósł z 1% do 5% w porównaniu z 2014 r. – widać zatem na co stawiają przestępcy.

To nawiązanie do zjawiska, które leży u podstaw rozwijającego się „rynku” usług DDoS...

Tak, ale solidne wsparcie dla sieci botnetowych stojących za "komercyjnymi" atakami DDoS daje także rozwój Internetu Rzeczy. Niewiele można zrobić krzywdy włamując się zdalnie do czyjejś lodówki albo systemu zarządzającego oświetleniem domowym. Ale te skromne w świecie sieciowym urządzenia nadają się świetnie na zombie w sieci botnetowej.

Pamiętam z poprzedniego raportu Orange, że sieci botnetowe miały służyć także do ataków na systemy SCADA. Nie ma o nich w tegorocznym raporcie wzmianki.

Nikt ich nie zgłosił, prawda? Zapewniam, że to nie znaczy, że ich nie było.

Ransomware to także nowe zjawisko i także „wstydliwe”, choć przede wszystkim dotyczy sfery prywatnej na urządzeniach mobilnych, głównie smartfonach.

500 zł dla ransomware

Wszystko co nosimy ze sobą w telefonie można odblokować płacąc szantażyście średnio 500 zł – choć na Zachodzie to średnio 500 USD. Dlatego większość osób woli zapłacić i nie informuje o tym ani policji, ani telekomu.

Taki cyfrowy szantaż – zaszyfrowanie przy użyciu złośliwego oprogramowania dysku użytkownika i odblokowanie dopiero po opłaceniu okupu szantażyście - zdarza się coraz częściej. Cechą charakterystyczną jest stosunkowo niska kwota, jakiej domaga się szantażysta. Można wykupić klucz odblokowujący nasze zdjęcia, materiały do pracy, kontakty itd. – wszystko co nosimy ze sobą w telefonie za średnio 500 zł – choć na Zachodzie to średnio 500 USD. Dlatego większość osób woli zapłacić i nie informuje o tym ani policji, ani usługodawcy telekomunikacyjnego.

...niż ryzykować, że zaniepokojony przez organa ścigania przestępca zniszczy ostatecznie nasze dane. Widzę dwie charakterystyczne kwestie: niewiara w możliwość cyfrowego wsparcia ze strony Państwa i niespełnienie zasad bezpieczeństwa – niezadbanie o backup danych i urządzenia.

I w obu kwestiach mamy postęp.

Wśród użytkowników biznesowych mamy do czynienia na przestrzeni ostatnich 2 lat ze zmianą paradygmatu – rozwój disaster recovery nie jest już uwarunkowany erupcją wulkanów, uderzeniem meteorytu albo chociaż powodzią. Panuje przekonanie, że trudno się uchronić przed cyberatakiem i włamaniem. A skoro tak, to trzeba zneutralizować wpływ biznesowy, stąd rozwój podejścia polegającego na zapewnieniu równoległych zapasowych łączy, zapasowej infrastruktury...

Jeśli to obserwacja poparta statystyką, to rzeczywiście cieszy.

Ja mogę się odwołać do danych dotyczących sprzedaży stosownych usług Orange (śmiech). Ale widzimy ten trend wyraźnie także w innych danych – na przykład w zakresie przepływu specjalistów na rynku pracy.

...natomiast na poprawę jakości cyberbezpieczeństwa na poziomie Państwa jeszcze raczej poczekamy.

Ale są oznaki zmiany.

Istotną zmianę stanowi dokument Strategii Cyberbezpieczeństwa RP, konsultowany przez Ministerstwo Cyfryzacji z rynkiem w lutym i marcu br. Po raz pierwszy widać, że Państwo zamierza wziąć odpowiedzialność za sferę cyberbezpieczeństwa wobec obywateli, w tym przedsiębiorców. Koncentracja kompetencji z tego obszaru w specjalnym departamencie jest powszechnie odebrana pozytywnie. Widzimy także po stronie administracji państwowej pozytywne nastawienie dotyczące współpracy z podmiotami obecnymi na rynku, efektywnego podziału ról, a także wizję cyberbezpieczeństwa kraju. Jestem dobrej myśli.

Dziękuję za rozmowę.

Raport CERT Orange Polska za rok 2015

Kopię raportu CERT Orange Polska podsumowującego cyberbezpieczeństwo w 2015 r. z perspektywy polskiego rynku można pobrać stąd:https://cert.orange.pl/uploads/CERT_final.pdf .

CERT Orange Polska

CERT Orange Polska (Computer Emergency Response Team) to specjalistyczna jednostka w strukturach Orange Polska, odpowiedzialna za bezpieczeństwo użytkowników internetu, korzystających z sieci operatora. Powstał w 2006 r. jako trzecia tego typu jednostka w Polsce, choć wywodzi się z jednostki TP Abuse, powołanej do życia 19 lat temu. Obecnie liczy 80 osób (łącznie z SOC).

W marcu br. CERT Orange Polska uzyskał najwyższy poziom akredytacji w Trusted Introducer (TI). To inicjatywa działająca przy największej w Europie organizacji zrzeszająca zespoły reagowania na zagrożenia w sieci, TERENA TF-CSIRT. CERT Orange Polska jest jedynym zespołem z naszego kraju o najwyższym stopniu akredytacji.