V tomto článku zo série k budúcnosti Informačnej bezpečnosti sa budeme venovať budúcnosti už v súčasnosti existujúcich útokov na organizácie. Pripomenieme si útoky špeciálnych služieb, vysvetlíme si, ako funguje phishing a kam smeruje vývoj.
Oba spomínané útoky sú v súčasnosti už dobre popísané, napriek tomu útočníci stále vedia priniesť zaujímavú zmenu. Niektoré útoky budú stále prekvapením a aj odpovede na tieto útoky budú zložité, pretože sú vytvorené štátmi podporovanými organizáciami a teda majú nadbytok zdrojov. Typickými prípadmi sú útoky špeciálnych služieb na iné štáty alebo organizácie. Útoky prichádzajú nečakane, ale vzhľadom na cenu aj paralelné odkrytie vektora útoku a zneužitej zraniteľnosti, sú dobre plánované, pripravované a predvídateľné. Aj keď prezentácia útokov v médiach sa zdá byť náhodná, nie je to prvý prípad v dejinách, keď akcia sa zdá byť náhodná, napriek obrovskej snahe na pozadí. Príkladom je zvolanie rytierov do krížovej výpravy kázňou, ktorú predniesol pápež Urban II. 27.11. 1095 v Clermonte. Kázeň je prezentovaná ako spontánna, vyplývajúca z okamžitého popudu. Až dodatočne sa človek dočíta, že existuje prosba cisára Alexia Komnena o pomoc. Miesto bolo vybrané tak, aby sa tam zmestilo čo najviac ľudí, pričom šľachtické rodiny vzhľadom na pokojné obdobie disponovali obrovským množstvom druho a treťorodených synov bez šance na dedičstvo a postavenie. Najdôležitejší králi (Francúzsko, Nemecko, Anglicko), ktorí mohli výprave brániť boli v nemilosti alebo exkomunikovaní. No a na koniec spontánnej, náhodnej kázne sa medzi rytiermi objavili pásy červenej látky a šijacie potreby, aby si páni rytieri mohli našiť červené kríže, nič to za to, že červená látka bola najdrahšia a proces jej výroby bol zložitý. Nuž časy sa menia, zbraňami doby bolo zavádzanie, korupcia, vydieranie a vyhrážanie. Nová doba pridala do portfólia hacking a dezinformácie.
Vzhľadom na nastavenie koncových používateľov, ktorí správy v počítači a v telefónoch zriedkakedy čítajú s porozumením, ale zato vždy s rozhorčením, sa stane dezinformačná vojna základným nástrojom blízkej budúcnosti. Výhodou je nízka cena a nadmerný počet dôverčivých komunít na sociálnych sieťach. Stačí si len vymyslieť naozaj dobrú blbosť a vytvoriť podhubie, aktívnych šíriteľov sa nájde dosť.
Stále väčším nebezpečím sa stáva phishing. Útočníci sa vedia perfektne schovávať a neustále pracujú na svojom krytí. Ako sa však vedia dostať ku svojim obetiam? Už sú preč časy, keď útočníkom stačilo rozoslať tisíce emailov na všetky kúpené adresy z pochybných stránok a zároveň si na stránkach ako LinkedIn vyselektovať adresy konkrétnej firmy a tie zo zoznamu liniek vyňať. Tá lepšia skupina útočníkov dokonca na phishingových stránkach odtienila prístupy z IP adries firmy obetí na stránku s chybou 404. Tým pádom oddialili odhalenie vyšetrovateľmi a predĺžili čas na rybačku obetí. Čo nové priniesla nová doba? Po prvé je to využitie služieb sociálnych sietí. Obete si viete presne vybrať a nik iný phishingovú stránku neuvidí. Obete stránku nemajú dôvod nahlasovať a reklama si žije v pokoji dlhé obdobie, bez možnosti prístupu vyšetrovateľov. V roku 2020 na Slovensku podobný phishing zažili niektoré obchodné reťazce a rovnako aj hlavná poštová organizácia. Toto však nie je všetko, útočníci sú oveľa vynaliezavejší. Využívajú ďalšie možnosti na výber obetí, ako sú napríklad reklamné služby obľúbeného vyhľadávača. Výhodou je perfektná selekcia klientov, napríklad takých, čo sa zaujímali o kúpu drahého auta. Potom stačí, aby si klient vyhľadával adresu organizácie vo vyhľadávacej službe a nemal ju predvolenú… . Vlastne sa celkovo prostredie pre útočníkov zlepšuje. Prehliadače už skoro vôbec neprezentujú certifikát, ktorým sa šifruje komunikácia. Funkčné certifikáty je možné získať anonymne a zadarmo. Známe webové prekladače prekladajú skoro bez chyby z akéhokoľvek jazyka. Stránku firmy je jednoduché skopírovať a aktuálnu verziu uchovávať na githube stále prístupnú z celého sveta. Klienti bezvýhradne dôverujú technológiam a tomu, čo im technológie vypíšu. Prepájanie technológii a zariadení a služieb má za následok, že sa prestalo rozmýšľať nad tým, či to, čo sa deje je správne a očakávané alebo nie. Málokto číta, čo sa v správe, ktorú obeť čaká a je na ňu útočníkom pripravená píše, každý čaká na prepísanie kódu a zdá sa, že je jedno, čo potvrdzuje. Nezaujíma sa, či potvrdzuje 7,5 EUR alebo 7500 EUR alebo potvrdzuje vytvorenie novej virtuálnej peňaženky s kartou obete na neznámom telefóne, len nech je to už konečne potvrdené.
Aké bude ďalšie rozšírenie phishingu? Útočníci sa zamerajú na vytvorenie domény v rámci konkrétneho štátu alebo generickej domény, kde firma, pod ktorou útočníci phishujú, pôsobí. Meno stránky nebudú dávať podľa mena firmy, ktoré je ľahko kontrolovateľné, ale niečoho, čo firmu určuje, ako je reklamné heslo, či misia alebo vízia danej firmy. Klient takto nebude vedieť rozoznať, či ide o reklamu alebo podvod. Neustály rozvoj a stály prísun zlepšení (disruptive innovation) prispeje k tomu, že útok sa prestane viazať na procesy a služby firmy, ale bude „rozširovať“ služby a prinášať „inovácie“ existujúcej firmy v „prospech“ klientov. Obmedzením komunikácie na určitú oblasť klientov sa bude stále horšie identifikovať podvodný obsah aj pre sociálne siete a prevádzkovateľov internetových vyhľadávačov. Možno vás to prekvapí, ale s phishingom sme neskončili, tému rozvinieme a obohatíme o nový prístup na konci tejto série článkov.
Aj keď článok môže pôsobiť depresívne, nie je to jeho cieľom. Ani zatiaľ nenastala doba na prepadanie panike. Dokonalú pozornosť a hurónske zvyšovanie povedomia klientov jednotlivých služieb asi nezaznamenáme, ani sa nám nepodarí predvídať prácu špeciálnych zložiek. Čo však vieme robiť je neustále poukazovanie na podozrivé správanie a tým zvyšovať povedomie ľudí. Najjednoduchším spôsobom sa javí poukazovanie na špecifické chyby správania napríklad: Čítajte správy s porozumením. Prečo si myslíte, že systém sociálnych sietí v cene miliónov dolárov je pre Vás naozaj zadarmo? Paralelne je možné tlačiť na štát, aby podporoval kritické myslenie, aktívne bojoval proti dezinformáciam a zabezpečil zvyšovanie povedomia informačnej bezpečnosti alebo len nakupoval už vytvorené riešenia. Existujú rôzne špecializované firmy zabezpečujúce školenia pre celú plejádu ľudí. Najvýhodnejšou z možností ako na to, je vyučovanie informačnej bezpečnosti a to čo najskôr. Ja osobne podporujem začatie vyučovania Informačnej bezpečnosti od 3. ročníka základných škôl a odporúčam pokračovať až do posledného roka na vysokej škole bez prerušenia, s plnou vážnosťou. Výhodou, ktorú majú organizácie je možnosť začať skôr. Môžu zabezpečiť nábor a alokáciu zodpovedných zamestnancov. Ich úlohou bude pripraviť systémy na kontrolu prejavov útokov a aj všetkých nových možností, ktoré majú útočníci na realizáciu útokov. Verím, že táto séria článkov pomôže pri zvyšovaní povedomia a zlepší nastavenia kontrolných systémov.
Vyjadrite váš názor v komentároch