Godina za nama: Koliko smo (bili) bezbedni?
Godina iza nas bila je puna bombastičnih naslova o napadima i brizi o privatnosti korisnika. Koliko smo zaista (bili?) u opasnosti?
Proteklu godinu pamtićemo po borbi koja se digla oko privatnih podataka građana. S jedne strane stupila je na snagu evropska GDPR legislativa, a s druge su otkriveni stari i novi propusti koje su svetski giganti Facebook i Google imali baš u domenu zaštite podataka svojih korisnika.
Podaci više desetina miliona ljudi bili su ugroženi u ta dva napada, a Google je pokrenuo proces gašenja mreže Google+ nakon ponovljenog problema. Ali daleko od toga da su to bili jedini napadi na podatke korisnika. Do sličnog je došlo i u slučaju sajtova Quora i Reddit, ali mnogo više brinu napadi na kompanije British Airways i Marriott Hotels gde su „procurili“ podaci o ličnim dokumentima (pasošima), platnim karticama… A tek napadi na brojne zdravstvene organizacije u kojima su ukradeni osetljivi podaci o pacijentima – kako navodi Forbes, samo u trećem kvartalu 2018. ukradeni su podaci 4,4 miliona pacijenata!
Manje pažnje privlači broj ljudi čiji su podaci kompromitovani – iako te brojke jesu zabrinjavajuće – već je mnogo bitnije šta će se s tim podacima dalje dešavati. Uglavnom završe na crnom tržištu, a često s više godina zakašnjenja saznamo da su uopšte ukradeni. Kad to uparimo s podatkom da svake 44 sekunde dođe do pokušaja upada u zaštićene podatke, postaje jasno da problem samo može da eskalira ako se ne preduzmu adekvatne mere.
DDoS ne jenjava
Za pojam DDoS napada više se čulo 2010. godine. Tada je, zbog pritisaka na WikiLeaks, grupa Anonymous počela da koristi ovaj tip napada kao formu aktivizma (haktivizam) napadajući sajtove organizacija kao što su MasterCard, Visa, PayPal zbog odbijanja da obrađuju donacije WikiLeaks‑u.
Iako je DDoS tada dobijao puno pažnje javnosti, ovaj tip napada nije prestao da se koristi, naprotiv. Najveći potvrđeni DDoS napad do sada bio je u februaru 2018. godine i trajao je 20 minuta. „Žrtva“ je bio GitHub a napad je imao snagu od 1,3 terabajta u sekundi! Adekvatna zaštita sprečila je da se to ne odrazi ozbiljnije na funkcionisanje ovog servisa.
DDoS napadi su postali snažniji, a napadači pametniji – pronalazeći nove načine da poremete rad sistema koje napadaju. Istovremeno, broj napada se smanjuje – u prvoj polovini 2018. godine bilo je 13 odsto manje nego godinu dana ranije. Ipak, to je i dalje više od 400.000 DDoS napada mesečno na globalnom nivou.
Manjkavosti mobilne autentifikacije
Godina iza nas ostaće za mnoge upamćena po neverovatnom rastu napada tzv. SIM swapping metodom. Iako je ovih napada bilo i ranije, njihov broj je eksplodirao ove godine. I to u tolikoj meri, da je REACT Task Force, američka agencija za borbu protiv tehnološkog kriminala, 2018. godine svoj fokus prebacila upravo na kriminalce koji koriste ovaj tip napada.
Razlog za to je sve veći broj žrtava koje su investirale u kriptovalute, koje u roku od nekoliko minuta nakon uspešnog preuzimanja telefonskog broja, ostaju bez miliona dolara! Došlo je dotle da su pokradeni tužili mobilne operatore AT&T i T‑Mobile jer ih nisu zaštitili na adekvatan način. Ovaj tip napada je zapravo samo jedan od problema mobilne autentifikacije. Osim putem SIM swapping‑a, napadači jednokratni kod poslat SMS‑om mogu da presretnu i upotrebe pre žrtve. U decembru je zabeležen masivan phishing napad koji je kriminalcima omogućio pristup Gmail i Yahoo nalozima žrtava.
Mobilni operatori to pokušavaju da reše pružajući druge metode autentifikacije, ali većina se odlučuje za, s korisničkog stanovišta, jednostavan sistem upotrebe header enrichment tehnike koja kredencijale na proveru šalje nebezbednim HTTP protokolom. Suvišno je reći da u današnje doba to jednostavno ne sme biti rešenje!
Šta donosi 2019. godina
S obzirom na aktivnosti koje su tokom 2018. narušavale bezbednost data centara, aplikacija i servisa, kao i samih korisnika, ove godine biće u fokusu tehnike i pristupi koji će smanjiti efektivnost napada. Zero Trust Security je pristup zaštiti bezbednosti informacionih sistema koji polazi od toga da se nikome ne sme verovati i da se svaka aktivnost mora verifikovati, bez obzira na to da li se radi o internim ili eksternim korisnicima. Iako se očekivalo da ovaj pristup bude u fokusu i 2018. godine, izgleda da je tek 2019. pravo vreme da se on primeni.
Biometrička autentifikacija nameće se kao sve češći metod jer korisnici žele da se što manje bave login procesom. Iako će se koristiti sve više, pitanje privatnosti podataka, kao i pojavljivanje metoda koje uspešno kopiraju otiske prsta ili glas korisnika, čine ovaj metod već sada nedovoljno bezbednim.
Bezbednost IoT uređaja postaće još značajnija tema. Broj uređaja raste, pojavljivanje eSIM tehnologije omogućiće da još lakše budu povezani, ali i učiniti ih lakše dostupnim za napade. Zbog loše bezbednosti IoT uređaja, počinje da se govori i o zakonima koji će proizvođače učiniti odgovornim ako korisnike uređaja ne „nateraju“ da podrazumevanu, nebezbednu šifru odmah po pokretanju uređaja promene.
SIM swapping napad
Napad SIM swapping metodom odvija se u nekoliko koraka. Kriminalac najpre nabavlja novu, aktivnu SIM karticu. Potom poziva mobilnog operatora i prijavljuje da je izgubio telefon i traži da njegov broj telefona povežu sa SIM karticom koju u tom trenutku koristi. Uz proveru, koja očigledno nije dovoljna, operator izvrši prenos broja na novu SIM karticu i od tog trenutka napadač ima pristup svemu što je žrtva povezala sa svojim telefonskim brojem. To veoma često obuhvata pristup svim online servisima i profilima, uz verifikaciju preko telefona i slanja jednokratnog koda putem SMS‑a. Žrtva uglavnom prekasno shvati da postoji problem. A prvi signal je iznenadni nestanak mobilnog signala, do kog dođe kad operator telefonski broj prebaci na novu SIM karticu.
Korisnik plaća
Napadi na korisničke uređaje biće sve brojniji. S jedne strane, oni su relativno nebezbedni a korisnici raspoloženi da plate određenu svotu da bi ih vratili pod svoju kontrolu (u slučaju ransomware napada). Pritom to može da se odnosi na svaki pametni uređaj povezan na Internet. S druge strane, korisnici svoje uređaje unose u poslovno okruženje i koriste brojne aplikacije koje imaju pristup osetljivim podacima, što će uticati na promenu načina logovanja. Operatori se tu nameću kao rešenje – u SAD je grupa operatora pokrenula Project Verify a stiže i tehnologija IPification koja svakog operatora može da „pretvori“ u stranu koja će na bezbedan način verifikovati korisnika.
GDPR usaglašenost kao usluga će dobiti na značaju. U doba kad zakonska regulativa primorava kompanije da još pažljivije vode računa o podacima korisnika, male organizacije nisu u mogućnosti da se ovoj temi posvete na adekvatan način. Okreću se alatima koji su usklađeni s regulativom, ali da bi bili sigurni da ne krše propise – očekuje se da tokom 2019. outsource‑uju upravljanje celokupnim sistemom alata.
Pet trendova koje smo izdvojili nisu jedini o kojima se govori. Očekuje se i da kriminalci umesto da kradu podatke iz različitih baza počnu da ih menjaju, a i veštačka inteligencija dobiće sve zapaženiju ulogu – kako na strani zaštite, tako i na strani napada. Sve to će dovesti i do toga da se organizacije odlučuju za plaćanje osiguranja u slučaju cyber napada, a da u vrhove kompanija dođe nova funkcija – Chief Cybersecurity Officer (CCO).
Za godinu dana, pred kraj 2019, videćemo i šta se od svega ovoga zapravo desilo…