Gdy niedźwiedź nas dogania

“Nie musisz biec szybciej od niedźwiedzia. Wystarczy, jeśli biegniesz szybciej od najwolniejszej osoby w grupie”

Pamiętacie to stwierdzenie? Chodziło o to, że nie trzeba dążyć do bezpieczeństwa absolutnego (zresztą jest to niemożliwe), wystarczy jeśli atakujący mają do dyspozycji łatwiejsze cele. To podejście nie działa wtedy, gdy atakujący ma konkretny cel i w jego osiągnięcie może zaangażować spore środki. Ale to już zupełnie inna historia.

Trzymajmy się tej metafory z niedźwiedziem. Goni on naszą grupę i kolejni jej członkowie stają się jego ofiarami. Albo giną, albo czując na plecach jego oddech, biegną szybciej. I w pewnej chwili dochodzimy do sytuacji, gdy to właśnie my jesteśmy tą najwolniejszą osobą z grupy...

To, czego czasem mi brak u różnych instytucji, to brak proaktywnego podejścia do bezpieczeństwa. Brak jest monitoringu tego, co się dzieje, jak wygląda sytuacja “na rynku”, jakie zabezpieczenia stosują nasi konkurenci i jak atakujący radzą sobie z tymi zabezpieczeniami. Do znudzenia można powtarzać, że bezpieczeństwo nie jest stanem, ale procesem. Rozwiązania wystarczająco skuteczne dziś mogą okazać się niewystarczające jutro.

Wiele banków stosuje te same mechanizmy bezpieczeństwa – hasło maskowane przy uwierzytelnieniu i kod SMS przy autoryzacji transakcji. Od dłuższego czasu wiemy jednak, że te zabezpieczenia nie są wystarczająco skuteczne w obronie przed atakiem z użyciem malware. Wystarczy popatrzeć kiedy po raz pierwszy pojawiło się hasło Zitmo.

Do tego ataku potrzeba (co najmniej) dwóch rzeczy:

Jest jeszcze trzeci czynnik – wystarczające nasycenie rynku (a więc i populacji klientów banków) telefonami, na których Zitmo może działać.

Na początku atakowane były większe banki. Może i stosowały takie same środki zabezpieczeń, co te mniejsze, ale dla atakujących “zwrot z inwestycji” w ich przypadku był największy. Po prostu większa była szansa, że malware trafi na stację (i telefon) klienta tego banku z tej prostej przyczyny, że tych klientów było po prostu najwięcej. Czysty rachunek prawdopodobieństwa i statystyka.

I tu właśnie dochodzę do sedna – mniejsze banki mogły czuć się bezpieczne, choć wcale nie powinny. Ich zabezpieczenia wcale nie były skuteczniejsze od tych banków, które były skutecznie atakowane. Były (z grubsza) takie same. Ewoluuj, albo giń...

Te banki, które były zaatakowane jako pierwsze, musiały zmodyfikować swoje zabezpieczenia. Ta zmiana nie musiała być wcale widoczna dla klientów, mogła dotyczyć wykrywania różnego rodzaju anomalii i nietypowych zachowań, wykrywania i blokowania prób wyprowadzania pieniędzy. Te, które czuły się bezpiecznie, nagle zostały z tyłu i również stały się celem ataków.

Jeśli nagle Twój bank zaczyna przypominać o zasadach bezpiecznego korzystania z bankowości internetowej, wiedz, że coś się dzieje...

P.S. Tu warto przypomnieć o hipotezie Czerwonej Królowej.
P.S2. Na otwarte komunikaty banków o tym, że ich klienci są atakowani z użyciem malware wciąż nie za bardzo można liczyć.

Oryginał tego wpisu dostępny jest pod adresem Gdy niedźwiedź nas dogania

Autor: Paweł Goleń