Symantec: Η ασφαλεια… κατεβαινει

Με αφορµή πρόσφατη έρευνα της Symantec που καταδεικνύει το πόσο ευάλωτες είναι οι µικροµεσαίες επιχειρήσεις σε επιθέσεις, συζητήσαµε λεπτοµέρειες µε τον Χρήστο Βεντούρη, technology manager της Symantec Hellas.

Η συζήτηση µε τον κ. Βεντούρη ξεκίνησε από τα αίτια για τα οποία η αύξηση των επιθέσεων είναι δυσανάλογα υψηλή στην περίπτωση των µικροµεσαίων επιχειρήσεων, και συνεχίστηκε σε άλλα επίκαιρα θέµατα γύρω από το θέµα της ασφάλειας, όπως οι τεχνικές ransomware, ο ρόλος του mobile κ.α. Ας δούµε τι µας δήλωσε ο technology manager της Symantec Hellas.

TCP: Πως δικαιολογείται η δυσανάλογη αύξηση των επιθέσεων σε µικρές επιχειρήσεις; Είναι θέµα τεχνολογικής υποδοµής που ενδεχοµένως απουσιάζει ή κάτι περισσότερο και γενικότερο, όπως για παράδειγµα έλλειψη νοοτροπίας και κουλτούρας ως προς το θέµα της ασφάλειας;

Χ.Β.: Υπάρχουν αρκετοί λόγοι αυτής της εντυπωσιακής διαφοράς. Ένας –και ο πιο σηµαντικός – είναι η έλλειψη λήψης µέτρων ασφάλειας στην IT υποδοµή των µικρών επιχειρήσεων. Αυτή η αιτία όµως προσελκύει τους επιτιθεµένους για δύο λόγους. Ένας είναι προφανώς η εκµετάλλευση των αδυναµιών µιας µικρής επιχείρησης για το κέρδος. Για παράδειγµα, πολλές επιθέσεις που κατεγράφησαν σε µικρές επιχειρήσεις που είχαν POS το οποίο αποθηκεύει στοιχεία πιστωτικών καρτών και άλλων δεδοµένων. Γιατί να χτυπήσω σε έναν µεγάλο οργανισµό που θα έχει επενδύσει στην ασφάλεια ενώ µε λιγότερο κόπο µπορώ να έχω ίδιες απολαβές από 20-30 µικρές επιχειρήσεις; O δεύτερος λόγος είναι ότι οι επιτιθέµενοι χρησιµοποιούν τις µικρές επιχειρήσεις σαν δούρειο ίππο σε µια µεγαλύτερη. Ερευνώντας τις συνεργασίες και τις σχέσεις µεταξύ των επιχειρήσεων, ο επιτιθέµενος επιτίθεται σε µια µικρή επιχείρηση, συνήθως πάροχο υπηρεσιών ή αγαθών σε µια µεγαλύτερη και µέσω της πρόσβασης που µπορεί να έχει αυτή στους πελάτες της, να χτυπήσει έναν µεγαλύτερο στόχο. Το σενάριο αυτό το έχουµε δει τουλάχιστον σε 5 περιπτώσεις στοχευµένων επιθέσεων.

TCP: Τελευταία γίνεται ολοένα και µεγαλύτερος λόγος για απειλές τύπου “ransomware” µέσω των οποίων οι “επιτιθέµενοι” ζητάν “λύτρα” από τα “θύµατά” τους. Πως προτείνετε να αντιµετωπίσουµε µία τέτοια απειλή και τι κάνουν συνήθως οι χρήστες; Υπάρχει διαφορά στην αντιµετώπιση µεταξύ καταναλωτών, µικρών και µεγάλων επιχειρήσεων;

Χ.Β.: Δυστυχώς υπάρχει µερίδα χρηστών οι οποίοι πληρώνουν το ποσό που τους ζητείται ως “πρόστιµο” και όταν καταλαβαίνουν το λάθος τους είναι πολύ αργά. Το ίδιο ευάλωτος είναι ο χρήστης όπου και εάν βρίσκεται είτε είναι στο σπίτι του, είτε στη δουλειά του. Η προστασία από τέτοιες επιθέσεις µπορεί εύκολα να προληφθεί έχοντας τον browser µας πάντα updated από άποψη patches και security fixes. Από άποψη προστασίας, µια λύση Endpoint Security που µπορεί να αναγνωρίζει patterns περίεργης συµπεριφοράς στον browser και έχει ειδικούς µηχανισµούς πρόληψης επιθέσεων µέσα από τον browser µπορεί να προστατέψει σε πολύ µεγάλο βαθµό. Στην περίπτωση που δούµε κάποιο παράθυρο τύπου ransomware (βλ. φωτό) στον υπολογιστή µας, το σίγουρο είναι ότι σε καµία περίπτωση δεν δίνουµε προσωπικά στοιχεία ή στοιχεία πληρωµής.

TCP: Σε στοιχεία τρίτης εταιρείας, αναφέρεται ότι το ποσοστό των Android apps που διαθέτουν κάποιου είδους malware, είναι εξαιρετικά υψηλό. Εσείς παρατηρείτε κάτι αντίστοιχο και αν ναι, ποιοι είναι οι βασικοί λόγοι αυτού του φαινοµένου;

Χ.Β.: Είναι αλήθεια ότι ο αριθµός των malware στην πλατφόρµα του Android είναι δυσανάλογα µεγάλος σε σχέση µε άλλα mobile OSes παρά το γεγονός ότι έχουν διαπιστωµένα περισσότερα vulnerabilities (όπως π.χ. ο Safari του iOS). Ο λόγος ύπαρξης των Android malware είναι το µοντέλο διανοµής των εφαρµογών και η άγνοια των χρηστών. Δωρεάν εφαρµογές Android από άγνωστης προέλευσης App Stores , “δωρεάν” εφαρµογές που βρήκες σε κάποιο file sharing site, ακόµα και εφαρµογές που εµφανίζονται σε δηµοφιλή app stores έχουν µολύνει χιλιάδες χρηστών παγκοσµίως. Ελάχιστα app stores που υπάρχουν στο Internet διενεργούν ελέγχους στις εφαρµογές που ανεβάζει ένας developer και συχνά τις προβάλουν χωρίς κανέναν απολύτως έλεγχο. Παρόλο που µέχρι πριν λίγα χρόνια το antivirus στα κινητά θεωρούταν ανέκδοτο, ειδικά οι Android συσκευές δεν πρέπει να τρέχουν χωρίς αυτό.

TCP: Ποιος είναι ο ρόλος των social media στο σύγχρονο πεδίο της ασφάλειας; Πόσο ευκολότερα ή δυσκολότερα πραγµατοποιούνται επιθέσεις µέσω αυτών;

Χ.Β.: Όπως παρατηρήσαµε στην αναφορά ISTR της Symantec το 2012 , έτσι και το 2013 γίναµε µάρτυρες αρκετών συµβάντων που πήγασαν από τα Social media. Τα Social Media χρησιµοποιούνται µε πολλαπλούς τρόπους :

  • Σαν µέσο έρευνας: Διαβάζοντας το wall ή τα tweets του στόχου µας, µπορούµε να µάθουµε πολλά γι’ αυτόν κι έτσι να προετοιµάσουµε µια αρκετά στοχευµένη επίθεση.
  • Σαν µέσο επίθεσης: Μια επίθεση social engineering µπορεί να έχει µεγαλύτερα ποσοστά επιτυχίας εάν γίνει µέσα από social networks. Ειδικά όταν τα links που κατευθύνουν στην επίθεση είναι “κρυµµένα” πίσω από shortened URL links.
  • Σαν µέσο διασποράς ψευδών πληροφοριών: Υπήρξαν αρκετές περιπτώσεις όπου έγιναν hijack λογαριασµοί στο twitter γνωστών εταιριών και προσώπων, µε σκοπό τη διασπορά ψευδών πληροφοριών ή και την επίθεση σε άλλους στόχους.

TCP: Ένα από τα σηµαντικότερα προβλήµατα που αντιµετωπίζουµε ως χρήστες, είναι το γεγονός ότι χρησιµοποιούµε αµέτρητες εφαρµογές για διάφορες λειτουργίες. Το αποτέλεσµα είναι να έχουµε κοινά passwords και να µην τα αλλάζουµε εύκολα γιατί θα πρέπει να κάνουµε νέο authorization κάθε εφαρµογής. Το µεγαλύτερο πρόβληµα, όµως, είναι ότι δεν έχουµε -τελικά- την παραµικρή ιδέα για την ποιότητα αυτών των εφαρµογών. Υπάρχει κάποιος τρόπος προφύλαξης; Δεν θα έπρεπε να υπάρχει κάποιο είδος πιστοποίησης. Εάν, ναι, ποιος θα ήταν ο φορέας που θα την εξέδιδε;

Χ.Β.: Ο ιστός του Web είναι τόσο µπλεγµένος πλέον που δεν υπάρχει εύκολος τρόπος να ξετυλίξεις το κουβάρι του. Διαρκώς βγαίνουν νέες καινοτόµες υπηρεσίες που για να γίνουν πιο προσιτές σού επιτρέπουν να συνδεθείς µαζί τους µέσω άλλων δικτύων όπως Facebook, Twitter, Google+ κ.α. και συνήθως βασίζονται σε κάποιους µηχανισµούς που επιτρέπεται να χρησιµοποιεί για παράδειγµα το Facebook (π.χ. το login σου στο τρίτο δίκτυο λειτουργεί ως token για το login σου σε αυτές τις υπηρεσίες/apps). Το πρόβληµα µε αυτές τις εφαρµογές είναι ότι κανείς δεν γνωρίζει πως γράφτηκαν ή αν ακολούθησαν πρότυπα συγγραφής ασφαλούς κώδικα όπως π.χ. το OWASP. Ένα παράδειγµα κακής υλοποίησης ήταν προ καιρού αυτό που αφορούσε στην εφαρµογή Path, το οποίο “ανέβαζε” στους servers της τα τηλέφωνα των επαφών που είχες στο κινητό σου, ή άλλης εφαρµογής που αποθήκευε τους κωδικούς των χρηστών σε cleartext ή απλά MD5 hashes.

Μιας και δεν υπάρχει τρόπος πιστοποίησης της ποιότητας µιας εφαρµογής, θα πρότεινα να προσέχουµε το πλήθος των εφαρµογών που χρησιµοποιούµε, εάν αποθηκεύουµε ευαίσθητα δεδοµένα σε αυτές να µην χρησιµοποιούµε federated authentication και να έχουµε ένα ξεχωριστό password µόνο για αυτήν. Τέλος , οι πιο προσεκτικοί, ας παρακολουθούµε τακτικά το blog της κατασκευάστριας εταιρίας για τυχόν ανακοινώσεις περί της ασφάλειας της εφαρµογής τους ή τα νέα που κυκλοφορούν για πιθανά breaches και επί τόπου να αλλάζουµε τους κωδικούς µας, εάν δεν το κάνουµε σε τακτά διαστήµατα.

TCP: Ποιος ο ρόλος των open source λύσεων CMS (Content Management Systems) που έχουν επικρατήσει στο Web, στο θέµα της ασφάλειας; Οι περισσότερες επιθέσεις ξεκινάνε από επίσηµα µεν, µολυσµένα δε, Web sites. Υπάρχει κάποιος συστηµατικός λόγος γι’ αυτό το φαινόµενο;

Χ.Β.: Όπως και τα Windows, ως πιο δηµοφιλές λειτουργικό , γίνεται ο µεγαλύτερος στόχος , έτσι και τα δηµοφιλέστερα CMS στοχοποιούνται ώστε µε την ίδια προσπάθεια το αποτέλεσµα να επιστρέφει πολλαπλάσιο. Ακόµα και όταν το ίδιο CMS ωριµάζει και είναι λιγότερο ευπαθές, κυκλοφορούν και τόσα modules/plugins µε ευπάθειες που και αυτά στοχοποιούνται µε τη σειρά τους. Έτσι , είτε είναι το site του φούρνου της γειτονιάς µας, είτε η επίσηµη ιστοσελίδα κάποιας εταιρίας έχουν την ίδια πιθανότητα να µολυνθούν και να µολύνουν. Η εξίσωση είναι ίδια πάντα:
Δηµοτικότητα Πλατφόρµας * Αριθµός Ευπαθειών = Επίθεση µε πολλά ανυποψίαστα θύµατα.

Το θετικό πάντως µε τις περισσότερες πλατφόρµες CMS είναι ότι είναι ανοιχτού κώδικα και έτσι πολλές ευπάθειες της πλατφόρµας ανακοινώνονται και διορθώνονται γρήγορα. Από εκεί και πέρα, είναι στη διακριτική ευχέρεια του διαχειριστή να κάνει την αναβάθµιση και να σώσει “εαυτόν και ποιµνίω”.

TCP: Τέλος, πως κρίνετε τη θέση της χώρας µας; Βρισκόµαστε σε “καλό σηµείο” ή χρήζουµε σηµαντικής βελτίωσης, και αν ναι, σε ποιους τοµείς και σε ποιες αγορές; (εάν υποθέσουµε ότι κάποιες ξεχωρίζουν). Επίσης, βλέπετε κάποια σηµαντική διαφορά στον βαθµό ωριµότητας µεταξύ καταναλωτών, µικροµεσαίων και µεγάλων επιχειρήσεων;

Χ.Β.: O πόνος της χώρας (µάλλον ένας ακόµα πόνος) στον τοµέα αυτό, είναι ότι στις µικρές και µεσαίες επιχειρήσεις η ασφάλεια δεν λαµβάνεται σοβαρά υπόψη. Θέλετε λόγω επένδυσης που απαιτείται και απουσία πόρων, θέλετε λόγω της νοοτροπίας “γιατί να συµβεί σε µένα, δεν είµαι τράπεζα”, θέλετε λόγω της ψευδαίσθησης ασφάλειας που επικρατεί, θέλετε λόγω της έλλειψης παιδείας στον IT κλάδο γύρω από την ασφάλεια;

Όλοι αυτοί οι λόγοι µάς φέρνουν σε όχι τόσο καλή θέση. Οι µεγαλύτερες επιχειρήσεις έχοντας συνδέσει το Business Risk µε το IT Risk, λαµβάνουν την ασφάλεια σοβαρότερα και επενδύουν ακόµα.
Οι καταναλωτές είναι το δυσκολότερο κοµµάτι της αγοράς. Μεγάλο ποσοστό δεν γνωρίζει τι µπορεί να πάει στραβά. Θέλουν να κάνουν απλά τη δουλειά τους, να διασκεδάζουν, να µοιράζονται και αυτή ακριβώς είναι η δουλειά µας. Να τους βοηθήσουµε να συνεχίσουν να είναι ανέµελοι στο Διαδίκτυο και όσο πιο διάφανα γίνεται να τους βγάζουµε από τις “κακοτοπιές”.

Related Posts