Craig Schiller: Problém s boty je horší, než si většina lidí myslí

Roman Smělý , 30. březen 2010 07:00 0 komentářů

Internet
U krádeží identity nastal obrovský nárůst jak v USA, tak i ve staré Evropě, zde ale lidé riziko více podceňují. Ještě horší je situace v případě botnetů, všechno, co uživatelé vidí je „aha, byl jsem infikován virem“. Vůbec netuší, že třeba právě jejich počítač už byl zneužit pro šíření dětské pornografie nebo spamu, říká Craig Schiller, bezpečnostní ředitel Portlandské státní univerzity, keynote řečníkem na konferenci IDC IT Security Roadshow 2010.


Craig Schiller

Myslíte si, že jsou sítě botů, takzvané botnety, skutečně největší bezpečnostní hrozbou?

Řekl bych, že ano. A to především z toho důvodu, že všechny tyto hrozby jsou zaměřeny na finanční zisk. Jakmile se totiž dostanou na váš počítač, začnou hledat čísla kreditních karet, čísla bankovních účtů, hesla k těmto účtům nebo vaše čísla pojistek. Prostě vše, co umožní krádež identity.

A jakmile tyto informace mají, dopad na konkrétní osobu je devastující. Věšina firem, jakmile zjistí, že má podobné viry v síti, tak je vyčistí. Ale už neřeknou uživateli, aby kontaktoval svoji banku, zrušil svoji kreditní kartu, změnil si hesla. Takže tato osoba je pak ponechána ve své zranitelnosti týdny a týdny. A vůbec o těchto únicích neví.



Profil


Craig Schiller je diplomovaný bezpečnostní odborník informačních systémů se zaměřením na řízení bezpečnosti a bezpečnostní architekturu. V počítačovém průmyslu působí již 28 let, z toho 8 let jako odborník na informační bezpečnost.

Je ale také autorem knihy Botnets: The Killer Web App, která je první publikací zabývající se fenoménem botnetů. Zeptali jsme se ho na to, proč je tato oblast jiná, než běžné viry, a proč bychom se měli s botnety bojovat s vyšším nasazením.


Krádež identity je poměrně rozšířená záležitost ve Spojených státech. V Evropě existuje mnohem méně takových příkladů. Čím to je?

Řekl bych, že si toho lidé nejsou tolik vědomi. A přitom tomu jsou vystaveni stejně. Ve Spojených státech máme nově zákon, který říká, že pokud vaše osobní informace byly kompromitovány, tak firma, která je měla chránit, vám to musí říct.

Takže nastal obrovský nárůst oznámených krádeží identity. A to přitom neznamená, že se to najednou změnilo a je toho víc. Jenom je to vyžadováno zákonem. Takže si myslím, že podobné to bude i tady. Pokud by se změnil zákon, abyste museli tyto ztráty hlásit, tak byste viděli mnohem větší množství zneužitých kreditních karet a dalších informací.

Postoj ve Spojených státech, ještě před tím, než se zákon změnil, byl takový, že přece nechceme něco takového oznamovat. Mohlo by to mít vliv na náš tržní podíl, zákazníci by nás opustili. Je jasné, že například ztráta čísel kreditních karet by důvěru snížila. To se ale v Evropě děje také.

Proč lidé, i přestože určitě o sítích botů slyšeli, zatím na tyto hrozby nedbají?

Pokud lidé vyrůstají v prostředí běžných virů, které vám zpomalují počítač a průběžně vás akorát rozčilují, je to pochopitelné. Jenže problém s boty je mnohem větší, než jenom starost o jeden konkrétní počítač. Onen uživatel vidí „och, můj počítač je zase nakažen“, a tak jej vyčistí. Jenže už nevidí tisíce dalších počítačů, které jsou také nakaženy. Nevidí data, která byla ukradena z těchto počítačů a zneužita za účelem kriminality.

Všechno, co uživatelé vidí je „aha, byl jsem infikován virem“. Vůbec netuší, že třeba právě jejich počítač už byl zneužit pro šíření dětské pornografie nebo spamu, který všichni nenávidí. Pokud by zjistili, že byli infikováni, a hlavně, co onen virus udělal, určitě by je to znepokojilo mnohem víc. Ale to teď nejsou, protože to nevidí. Hodně současných „záchranných“ akcí se zaměřuje na to, aby se počítač uvedl opět do provozuschopného stavu. Nedívají se na to, co počítač vlastně dělá.

Na Portlandské univerzitě tenhle přístup začínáme měnit. Jakmile máme infikovaný počítač, uděláme určitou forenzní analýzu, která nám řekne, co všechno počítač dělá a s kým ještě komunikuje. Snažíme se najít maximum vodítek, které by nám řekly, kdo je ještě infikován. Součástí je i to, o jaký byznys útočníkům vlastně jde.

Je možné odhadnout množství peněz, které se v byznysu se sítěmi botů pohybuje?

FBI nebo CSI dělají každý rok průzkumy na téma, o kolik podniky přicházejí prostředků v důsledku těchto útoků. Pravdou je ovšem to, že to nikdy nikdo neví přesně. Nevíme, kolik kreditních karet bylo ukradeno, kolik bylo za každou kreditní kartu zaplaceno. Jenom víme, že se to děje často.

Zažila vaše univerzita útok botů, a pokud ano, jak se s tím vyrovnala?

Ještě před tím, než jsem se dostal na pozici ředitele informační bezpečnosti, jsem se s takovým útokem setkal. První, co jsme zjišťovali, bylo, o jaký rozsah poškození se jedná. A zjistili jsme, že kromě jedné nákazy, kterou jsme našli, máme ještě další. Museli jsme od univerzitní sítě oddělit na 300 stanic. Byly to počítače, u kterých se boti snažili rozlousknout administrátorská hesla. Využívaly k tomu distribuovaný útok pro odhalení hesel.

Jakmile jsme posléze našli první nakažený počítač, který útok prováděl, prošli jsme jeho bezpečnostní logy, a zjistili, jaké další počítače jsou do útoku zapojeny. Získali jsme seznam asi 40 počítačů, u kterých jsme také procházeli bezpečnostní logy. Tyto počítače se snažily prolomit do oněch asi 300 stanic.

Druhá síť botů pak již prolomené počítače využívala pro nelegální distribuci intelektuálního vlastnictví, jako jsou například filmy či hudba.

To je zřejmě nejběžnější porušení…

Ano, útočníci odhadli, že tak zřejmě budou nejblíže k cílové skupině (smích). Nicméně z technického hlediska se jednalo o velmi sofistikovaný útok. Boti zřídili virtuální FTP server, který byl zařazen na seznam míst, ze kterých se dá nelegální obsah stáhnout. Každý z infikovaných počítačů měl složku, ve které byly údaje o jeho výkonu. Jak dlouho trvá dostat data na tuto stanici, jak rychle se stahují na různá místa planety a tak dále. Díky těmto datům si mohli uživatelé vybrat to správné místo pro stažení písničky nebo filmu.

Chytré hlavy!

Ano, velmi chytré. Fungovalo to tak léta a my jsme neměli tušení, že tomu tak je. Protože z provozu na síti, který sledujete, nezjistíte, že se právě přenášejí špatná data.


Komentáře

RSS 

Komentujeme

V datových centrech už nejde o Windows?

Pavel Houser , 22. březen 2017 12:47
Pavel Houser

Trevor Pott si na The Register pokládá otázku o budoucnosti serverových Windows na platformě ARM. ...

Více






Kalendář

25. 03. INSPO 2017
31. 03. CRA IoT Hackathon
04. 04. Affiliate konference
RSS 

Zprávičky

Čínská ZTE přiznala nelegální zasílání zboží z USA do Íránu

ČTK , 25. březen 2017 09:00

Čínský výrobce telekomunikačního zařízení ZTE Corp. přiznal před soudem v Texasu vinu, že nelegálně ...

Více 0 komentářů

Bosch a IBM začaly spolupracovat na IoT pro průmysl

Pavel Houser , 24. březen 2017 13:08

Výrobci aut mohou nyní plánovat a organizovat aktualizaci softwaru u milionů vozů....

Více 0 komentářů

Apple čeká na Novém Zélandu vyšetřování kvůli daním

ČTK , 24. březen 2017 13:00

Americkou společnost Apple čeká na Novém Zélandu vyšetřování, navzdory miliardovému obratu tam totiž...

Více 0 komentářů

Starší zprávičky

Huawei a SUSE spolupracují na platformě pro kritické úlohy

Pavel Houser , 24. březen 2017 11:42

SUSE Linux Enterprise Server jako preferovaný standardní OS pro KunLu umožňuje výměnu procesorů a pa...

Více 0 komentářů

Novela zavádí lepší užití informačních systémů veřejné správy

ČTK , 24. březen 2017 08:00

Zákon má mj. zabránit duplicitě informačních systémů a plýtvání penězi při jejich nákupu....

Více 0 komentářů

Workplace Hub pro optimalizaci systémů i procesů

Pavel Houser , 23. březen 2017 16:09

Konica Minolta v partnerství se společnostmi Microsoft, HPE, Sophos, Canonical a BrainTribe přichází...

Více 0 komentářů

Jen necelá polovina firem pravidelně zkoumá data o zákaznících

ITBiz.cz , 23. březen 2017 14:30

Podle studie společnosti Oracle pouze 44 % firem pravidelně zkoumá data o svých zákaznících s cílem ...

Více 0 komentářů