Utánajártunk

54_the-interview_420
Forrás: -
Köszönjük meg a Sony-nak!

Tanulságok a támadásból

A tavaly hálaadáskor felfedezett betörés három jellemzőjében tér el a korábbi támadásoktól. Először is a támadás nagyon bonyolult volt. Másodszor, a Sonyt ért támadás egy „törlő” kártevő volt, amely az adatok ellopása mellett dokumentumokat törölt, számítógépeket bénított meg, ami az adatok helyreállítását jelentősen megnehezítette. Végül különösen egyedivé teszi ezt a támadást az, hogy a célja nemcsak információszerzés volt, hanem kárt akartak okozni a Sony alkalmazottainak.

A kiberbűnözés egy új, ijesztő vonása ez a járulékos pusztítás. Ráadásul, ha összehasonlítjuk a bankokkal vagy kereskedőkkel, itt – mivel ezek a cégek felkészülnek a támadásra, hiszen értékeket tárolnak – rendelkeznek olyan akciótervekkel, amelyek korlátozzák a károkat. Az olyan cégek, mint a Sony, nincsenek ennyire felkészülve. (Elég meglepő, mert a Sony-t nem először éri támadás, nem egy vezetője bukott már bele abba, hogy a korábbi támadók azt is nyilvánosságra hozták, milyen nevetségesen gyenge a cég védelme. – A szerk.) Bár, az FBI szakértője szerint a mostani Sony-támadás a jelenleg piacon lévő védekezési rendszerek 90 százalékán átjutott volna. Összegyűjtöttük tehát, hogy milyen védekezési lehetőségeink vannak az ilyen támadásokkal szemben.

 


 

 

1. Ne használjunk emailt érzékeny információk továbbításához!

Az email nem biztonságos kommunikációs forma, a levelek kódolatlanul utaznak, bárki belehallgathat az adatforgalomba a sok email szolgáltató között. És amúgy is, az email csak annyira biztonságos, mint amilyet a címzett számítógépe biztosít – és ez legtöbbször ismeretlen. Alapszabály: sohase küldj digitálisan olyan információt, amelyet nem osztanál meg a versenytársaddal (ellenségeddel). Jelenleg, és a belátható jövőben senki nem tudja garantálni, hogy nem hekkelik meg, nem szivárogtatják ki a digitális kommunikációt. Ebbe beleérthetjük a szöveges üzeneteket, a webes kommenteket, a fórumüzeneteket, megosztott fényképeket – és az emaileket is.

 

2. Ne adjunk mindenkinek mindenhez hozzáférést!

Mi szivárgott ki a Sonytól?

– 26,4 GB adat: 33880 fájl 4864 mappában

– 47426 társadalombiztosítási azonosító (ssn), ezek közül 15232 jelenlegi vagy volt Sony alkalmazottaké; 3253 ssn több mint százszor szerepelt

Nyilvánvalónak hangzik, de nem valósul meg anélkül, hogy az adatokat osztályoznánk, és a hálózatunkat szegmentálnánk. A Sony sok bánatot megspórolhatott volna, ha megfelelően osztályozták volna a dokumentumaikat, például a színészi és vezetői szerződéseiket szigorúan titkosnak nyilvánították volna, és szabályozták volna, hogy az ilyen dokumentumokat tilos internettel kapcsolatban lévő adattárban tartani. A hálózatot pedig úgy kell felosztani, hogy a hozzáféréseket megfelelően lehessen kontrollálni vele. A 2013-as támadás keményen megtanította a Target-et, hogy nem jó dolog a munkaállomásokat ugyanazon a hálózaton tartani, mint a bolti fizető terminálokat.

 

3. Ne hagyjuk figyelmen kívül a figyelmeztetéseket!

Az átlagos felhasználók is tudják már, hogy ha úgy látszik, valami nem jó, akkor nem megy el mellette figyelmetlenül. Készíthetünk egy képernyőképet, leírhatjuk a hibaüzenetet, felhívhatjuk a helpdeszket, vagy elindíthatjuk az antivírus szkennert. Kiderülhet persze a végén, hogy nem volt semmi probléma, vagy az éppen csak egy új fícsör, amit eddig nem ismertünk. A Sony birodalom bizonyos részeit már évek óta folyamatosan támadták, és ezek közül sok sikerült is. Ezeknek már fel kellett volna keltenie a vezetők figyelmét, hogy a biztonságnak magasabb prioritást adjanak. Különösen akkor, amikor úgy döntöttek, hogy olyan filmet gyártanak, ami garantáltan felbőszíti azt az országot, amelynek még atomfegyvere is van.

 

4. Ne tároljuk a jelszavat titkosítatlanul!


A Sony már 2011-ben kiszivárgott adatbázisaiban – melyeket sql-injection technológiával, kezdetleges módszerrel törtek fel, amely ellen könnyen megvédhető minden adatbázis – milliónyi felhasználói fiókot találtak, mindenhol titkosítatlan jelszóval. Aki bele tud nézni egy adatbázisba, az látja a jelszavakat is. És ehhez hozzáadhatjuk, hogy a felhasználók újra és újra ugyanazt a jelszót alkalmazzák, legyen az webes belépés, email, vagy online bankolás.

Az újonnan kiszivárogtatott adatokból pedig azt is tudjuk, hogy híres színészek „taj-számai” is kikerültek. Ez az USA-ban olyan bizalmas adat, mint a bankkártya kódja, így ezek tárolása titkosítás nélkül szintén súlyos biztonsági probléma.

 

5. Elengedhetetlen a szoftverfrissítés

A rendszerek akkor működnek jól, és stabilan, ha nem változtatják a környezetüket. Statisztikák szerint 2013-ban összesen több mint 6000 sérülékenységet publikáltak, ez majdnem 30 százalékkal több, mint a megelőző évben. A támadások leggyakrabban azokra a hibákra alapoznak, amelyeket a gyártók befoltoztak, és publikáltak. Kihasználják, hogy a cégek nagy része késve vagy egyáltalán nem használja fel a kiadott frissítéseket, ezeket visszafejtik és a foltozatlan rendszerre írják a támadó kódot. Ezért nem opcionális az alábbi lista:

– használjuk az antivírusszállító automatikus frissítését, hogy mindig meglegyen a legfrissebb kártevődefiníció-készlet;

– frissítsük a böngészőket, azok moduljait, az alkalmazásainkat. Cseréljük le az elavult böngészőket a legfrissebbre;

– ahol lehetséges, állítsunk be automatikus frissítést.

Nagyvállalati környezetben mindezt sokkal könnyebb mondani, mint megvalósítani. Mégis, az it akkor szolgálja jól a szervezetet, ha megoldja, hogy minden rendszert a lehető legrövidebb idő alatt frissíteni lehessen. Ehhez tesztkörnyezetek felállítására és kiszolgálására van szükség. Ma, amikor a virtualizáció már mindennapos, a tesztkörnyezet felállítása nem jelent költséget.

 

6. Mindig legyen biztonsági mentés!

A mentés természetes feladat. De az már nem, hogy ez a mentés legyen automatikus, ellenőrizhető, és a mentett adatok legyenek elválasztva a működő rendszerektől. A mentéseket, ha természeti katasztrófákra is fel akarunk készülni, több kilométerrel távolabbi telephelyen kell tárolni. A hekkertámadások esetére azonban könnyen és gyorsan hozzáférhető mentésre van szükségünk, tehát egy példány mindig maradjon a rendszerek közelében.

Az adatmennyiség – és a lementésükhöz szükséges idő – miatt csak a kulcsrendszereket és a felhasználói végpontokat kell menteni. (A nagy adatbázisokat, multimédia tárakat más módszerrel védik meg.)

 


 

7. Legyen tervünk az incidensek kezelésére!

Nem az a kérdés, hogy meghekkelnek-e, hanem az, hogy mikor. Viszont egy esemény bekövetkezésekor nem mindegy, hogyan kezeljük az esetet. Elfogadva, hogy biztosan meghekkelnek, a felkészültség létfontosságú szerepet játszik a veszteségek enyhítésében. Mindig legyen kéznél az a lista, amelyen megtalálhatók a szállítók elérhetősége, kit kell felhívni, és hogy milyen lépéseket kell megtennünk, ha fertőzést találtunk a rendszerünkben. Kapcsoljuk le a fertőzött rendszereket a hálózatról, hogy a további fertőzéseket megakadályozzuk.

Egy Sony alkalmazott a Fortune-ban számolt be arról, hogy a cég nem kezelte megfelelően a támadást, sem a felfedezéskor sem utána. A dolgozókat egyszerűen hazaküldték, és nem tájékoztatták őket sem arról, hogy mi történt, sem arról, hogy milyen helyreállítási feladatok várnak rájuk. A médiából tudták meg, hogy mi történt, és egymástól kaptak arról is információkat, hogy jobb, ha minden jelszavukat megváltoztatják. Napokig kölcsön laptopokkal és papír-ceruza módszerrel dolgoztak.