BIZIT 11 - prvi dan

Godina za nama: Koliko smo (bili) bezbedni?

Godina iza nas bila je puna bombastičnih naslova o napadima  i brizi o privatnosti korisnika. Koliko smo zaista (bili?) u opasnosti?

PCPress.rs Image

Pro­te­klu go­di­nu pam­tićemo po bo­rbi ko­ja se di­gla oko pri­va­tnih po­da­ta­ka građana. S je­dne stra­ne stu­pi­la je na sna­gu ev­rop­ska GDPR le­gi­sla­ti­va, a s dru­ge su ot­kri­ve­ni sta­ri i no­vi pro­pus­ti ko­je su svet­ski gi­gan­ti Facebook i Google ima­li baš u do­me­nu za­šti­te po­da­ta­ka svo­jih ko­ri­sni­ka.

Po­da­ci vi­še de­se­ti­na mi­li­ona lju­di bi­li su u­gro­že­ni u ta dva na­pa­da, a Google je po­kre­nuo pro­ces ga­še­nja mre­že Google+ na­kon po­nov­lje­nog pro­ble­ma. Ali da­le­ko od to­ga da su to bi­li je­di­ni na­pa­di na po­dat­ke ko­ri­sni­ka. Do sličnog je do­šlo i u slučaju saj­to­va Quora i Reddit, ali mno­go vi­še bri­nu na­pa­di na kom­pa­ni­je British Airways i Marriott Hotels gde su „pro­cu­ri­li“ po­da­ci o ličnim do­ku­men­ti­ma (pa­so­ši­ma), pla­tnim kar­ti­ca­ma… A tek na­pa­di na broj­ne zdrav­stve­ne or­ga­ni­za­ci­je u ko­ji­ma su u­kra­de­ni ose­tlji­vi po­da­ci o pa­ci­jen­ti­ma – ka­ko na­vo­di Forbes, sa­mo u trećem kvar­ta­lu 2018. u­kra­de­ni su po­da­ci 4,4 mi­li­ona pa­ci­je­na­ta!

Ma­nje pa­žnje priv­lači broj lju­di čiji su po­da­ci kom­pro­mi­to­va­ni – iako te broj­ke je­su za­bri­nja­va­juće – već je mno­go bi­tni­je šta će se s tim po­da­ci­ma da­lje de­ša­va­ti. U­glav­nom zav­rše na crnom trži­štu, a čes­to s vi­še go­di­na za­ka­šnje­nja sa­zna­mo da su uop­šte u­kra­de­ni. Kad to upa­ri­mo s po­dat­kom da sva­ke 44 se­kun­de dođe do po­ku­ša­ja upa­da u za­štićene po­dat­ke, pos­ta­je ja­sno da pro­blem sa­mo mo­že da es­ka­li­ra ako se ne pre­du­zmu ade­kva­tne me­re.

DDoS ne je­njava

Za po­jam DDoS na­pa­da vi­še se čulo 2010. go­di­ne. Ta­da je, zbog pri­ti­sa­ka na WikiLeaks, gru­pa Anonymous počela da ko­ris­ti ovaj tip na­pa­da kao for­mu ak­ti­vi­zma (hak­ti­vi­zam) na­pa­da­jući saj­to­ve or­ga­ni­za­ci­ja kao što su MasterCard, Visa, PayPal zbog od­bi­ja­nja da o­brađuju do­na­ci­je WikiLeaks‑u.

Iako je DDoS ta­da do­bi­jao pu­no pa­žnje jav­nos­ti, ovaj tip na­pa­da ni­je pres­tao da se ko­ris­ti, na­pro­tiv. Naj­veći potvrđeni DDoS na­pad do sa­da bio je u fe­bru­aru 2018. go­di­ne i tra­jao je 20 mi­nu­ta. „Žrtva“ je bio GitHub a na­pad je imao sna­gu od 1,3 te­ra­baj­ta u se­kun­di! Ade­kva­tna za­šti­ta sprečila je da se to ne o­dra­zi o­zbilj­ni­je na fun­kci­oni­sa­nje ovog ser­vi­sa.

Pročitajte i:  Meta razvija robota koji „oseća“ dodir

DDoS na­pa­di su pos­ta­li sna­žni­ji, a na­pa­dači pa­me­tni­ji – pro­na­la­zeći no­ve načine da po­re­me­te rad sis­te­ma ko­je na­pa­da­ju. Is­tov­re­me­no, broj na­pa­da se sma­nju­je – u prvoj po­lo­vi­ni 2018. go­di­ne bi­lo je 13 od­sto ma­nje ne­go go­di­nu da­na ra­ni­je. Ipak, to je i da­lje vi­še od 400.000 DDoS na­pa­da me­sečno na glo­bal­nom ni­vou.

PCPress.rs Image

Manj­ka­vos­ti mo­bil­ne auten­ti­fi­ka­cije

Go­di­na iza nas os­taće za mno­ge upamćena po ne­ve­ro­va­tnom ras­tu na­pa­da tzv. SIM swapping me­to­dom. Iako je ovih na­pa­da bi­lo i ra­ni­je, nji­hov broj je ek­splo­di­rao ove go­di­ne. I to u to­li­koj me­ri, da je RE­ACT Task Force, ame­rička agen­ci­ja za bor­bu pro­tiv te­hno­lo­škog kri­mi­na­la, 2018. go­di­ne svoj fo­kus pre­ba­ci­la u­pra­vo na kri­mi­nal­ce ko­ji ko­ris­te ovaj tip na­pa­da.

Ra­zlog za to je sve veći broj žrta­va ko­je su in­ves­ti­ra­le u krip­to­va­lu­te, ko­je u ro­ku od ne­ko­li­ko mi­nu­ta na­kon us­pe­šnog pre­uzi­ma­nja te­le­fon­skog bro­ja, os­ta­ju bez mi­li­ona do­la­ra! Do­šlo je do­tle da su po­kra­de­ni tu­ži­li mo­bil­ne ope­ra­to­re AT&T i T‑Mobile jer ih ni­su za­šti­ti­li na ade­kva­tan način. Ovaj tip na­pa­da je za­pra­vo sa­mo je­dan od pro­ble­ma mo­bil­ne auten­ti­fi­ka­ci­je. Osim pu­tem SIM swapping‑a, na­pa­dači je­dno­kra­tni kod po­slat SMS‑om mo­gu da pre­sre­tnu i upo­tre­be pre žrtve. U de­cem­bru je za­be­le­žen ma­si­van phishing na­pad ko­ji je kri­mi­nal­ci­ma omo­gućio pris­tup Gmail i Yahoo na­lo­zi­ma žrta­va.

Mo­bil­ni ope­ra­to­ri to po­ku­ša­va­ju da re­še pru­ža­jući dru­ge me­to­de auten­ti­fi­ka­ci­je, ali većina se o­dlučuje za, s ko­ri­sničkog sta­no­vi­šta, je­dnos­ta­van sis­tem upo­tre­be header enrichment te­hni­ke ko­ja kre­den­ci­ja­le na pro­ve­ru ša­lje ne­be­zbe­dnim HTTP pro­to­ko­lom. Su­vi­šno je reći da u da­na­šnje do­ba to je­dnos­tav­no ne sme bi­ti re­še­nje!

Pročitajte i:  ChatGPT se najviše koristi u Južnoj Africi

Šta do­no­si 2019. go­dina

S ob­zi­rom na ak­tiv­nos­ti ko­je su to­kom 2018. na­ru­ša­va­le be­zbe­dnost data cen­ta­ra, a­pli­ka­ci­ja i ser­vi­sa, kao i sa­mih ko­ri­sni­ka, ove go­di­ne biće u fo­ku­su te­hni­ke i pris­tu­pi ko­ji će sma­nji­ti efek­tiv­nost na­pa­da. Zero Trust Security je pris­tup za­šti­ti be­zbe­dnos­ti in­for­ma­ci­onih sis­te­ma ko­ji po­la­zi od to­ga da se ni­ko­me ne sme ve­ro­va­ti i da se sva­ka ak­tiv­nost mo­ra ve­ri­fi­ko­va­ti, bez ob­zi­ra na to da li se ra­di o in­ter­nim ili ek­ster­nim ko­ri­sni­ci­ma. Iako se očeki­va­lo da ovaj pris­tup bu­de u fo­ku­su i 2018. go­di­ne, i­zgle­da da je tek 2019. pra­vo vre­me da se on pri­me­ni.

Bi­ome­trička auten­ti­fi­ka­ci­ja na­meće se kao sve češći me­tod jer ko­ri­sni­ci že­le da se što ma­nje ba­ve login pro­ce­som. Iako će se ko­ris­ti­ti sve vi­še, pi­ta­nje pri­va­tnos­ti po­da­ta­ka, kao i po­jav­lji­va­nje me­to­da ko­je us­pe­šno ko­pi­ra­ju otis­ke prsta ili glas ko­ri­sni­ka, čine ovaj me­tod već sa­da ne­do­volj­no be­zbe­dnim.

Be­zbe­dnost IoT uređaja pos­taće još značaj­ni­ja te­ma. Broj uređaja ras­te, po­jav­lji­va­nje eSIM te­hno­lo­gi­je omo­gućiće da još lak­še bu­du po­ve­za­ni, ali i učini­ti ih lak­še dos­tu­pnim za na­pa­de. Zbog lo­še be­zbe­dnos­ti IoT uređaja, počinje da se go­vo­ri i o za­ko­ni­ma ko­ji će pro­i­zvođače učini­ti od­go­vor­nim ako ko­ri­sni­ke uređaja ne „na­te­ra­ju“ da po­dra­zu­me­va­nu, ne­be­zbe­dnu ši­fru o­dmah po po­kre­ta­nju uređaja pro­me­ne.

SIM swap­ping na­pad

Na­pad SIM swapping me­to­dom o­dvi­ja se u ne­ko­li­ko ko­ra­ka. Kri­mi­na­lac naj­pre na­bav­lja no­vu, ak­tiv­nu SIM kar­ti­cu. Po­tom po­zi­va mo­bil­nog ope­ra­to­ra i pri­jav­lju­je da je i­zgu­bio te­le­fon i tra­ži da nje­gov broj te­le­fo­na po­ve­žu sa SIM kar­ti­com ko­ju u tom tre­nut­ku ko­ris­ti. Uz pro­ve­ru, ko­ja oči­gle­dno ni­je do­volj­na, ope­ra­tor i­zvrši pre­nos bro­ja na no­vu SIM kar­ti­cu i od tog tre­nut­ka na­pa­dač ima pris­tup sve­mu što je žrtva po­ve­za­la sa svo­jim te­le­fon­skim bro­jem. To ve­oma čes­to obu­hva­ta pris­tup svim online ser­vi­si­ma i pro­fi­li­ma, uz ve­ri­fi­ka­ci­ju pre­ko te­le­fo­na i sla­nja je­dno­kra­tnog ko­da pu­tem SMS‑a. Žrtva u­glav­nom pre­ka­sno shva­ti da pos­to­ji pro­blem. A prvi si­gnal je i­zne­na­dni nes­ta­nak mo­bil­nog si­gna­la, do kog dođe kad ope­ra­tor te­le­fon­ski broj pre­ba­ci na no­vu SIM kar­ti­cu.

Pročitajte i:  EU kažnjava Metu sa 797 miliona evra

PCPress.rs Image

Ko­ri­snik plaća

Na­pa­di na ko­ri­sničke uređaje biće sve broj­ni­ji. S je­dne stra­ne, oni su re­la­tiv­no ne­be­zbe­dni a ko­ri­sni­ci ras­po­lo­že­ni da pla­te o­dređenu svo­tu da bi ih vra­ti­li pod svo­ju kon­tro­lu (u slučaju ransomware na­pa­da). Pri­tom to mo­že da se o­dno­si na sva­ki pa­me­tni uređaj po­ve­zan na In­ter­net. S dru­ge stra­ne, ko­ri­sni­ci svo­je uređaje uno­se u po­slov­no o­kru­že­nje i ko­ris­te broj­ne a­pli­ka­ci­je ko­je ima­ju pris­tup ose­tlji­vim po­da­ci­ma, što će uti­ca­ti na pro­me­nu načina lo­go­va­nja. Ope­ra­to­ri se tu na­meću kao re­še­nje – u SAD je gru­pa ope­ra­to­ra po­kre­nu­la Project Verify a sti­že i te­hno­lo­gi­ja IPification ko­ja sva­kog ope­ra­to­ra mo­že da „pre­tvo­ri“ u stra­nu ko­ja će na be­zbe­dan način ve­ri­fi­ko­va­ti ko­ri­sni­ka.

GDPR usa­gla­še­nost kao u­slu­ga će do­bi­ti na značaju. U do­ba kad za­kon­ska re­gu­la­ti­va pri­mo­ra­va kom­pa­ni­je da još pa­žlji­vi­je vo­de računa o po­da­ci­ma ko­ri­sni­ka, ma­le or­ga­ni­za­ci­je ni­su u mo­gućnos­ti da se ovoj te­mi po­sve­te na ade­kva­tan način. O­kreću se ala­ti­ma ko­ji su us­klađeni s re­gu­la­ti­vom, ali da bi bi­li si­gur­ni da ne krše pro­pi­se – očeku­je se da to­kom 2019. outsource‑uju u­prav­lja­nje ce­lo­ku­pnim sis­te­mom ala­ta.

Pet tren­do­va ko­je smo i­zdvo­ji­li ni­su je­di­ni o ko­ji­ma se go­vo­ri. Očeku­je se i da kri­mi­nal­ci umes­to da kra­du po­dat­ke iz ra­zličitih ba­za počnu da ih me­nja­ju, a i ve­štačka in­te­li­gen­ci­ja do­biće sve za­pa­že­ni­ju ulo­gu – ka­ko na stra­ni za­šti­te, ta­ko i na stra­ni na­pa­da. Sve to će do­ves­ti i do to­ga da se or­ga­ni­za­ci­je o­dlučuju za plaćanje osi­gu­ra­nja u slučaju cyber na­pa­da, a da u vrho­ve kom­pa­ni­ja dođe no­va fun­kci­ja – Chief Cybersecurity Officer (CCO).

Za go­di­nu da­na, pred kraj 2019, vi­dećemo i šta se od sve­ga ovo­ga za­pra­vo de­si­lo…

Facebook komentari:
Računari i Galaksija
Tagovi: , , , , , ,