Narzędzia sieci społecznościowych w coraz większym zakresie wpływają na sposób prowadzenia biznesu. Trzeba jednak pamiętać, że technologie te wnoszą też duże ryzyko do przedsiębiorstwa. Przy setkach milionów użytkowników są bardzo atrakcyjnym celem dla hakerów czy innych niepożądanych osób. Lista zagrożeń jest długa: robaki sieci społecznościowych, phishing, trojany, botnety, APT czy wycieki danych. Przy dużym zaufaniu do sieci społecznościowych, a zarazem braku ich kontroli można narazić firmę na ogromne ryzyko. Jak się go ustrzec, jednoczęsnie jednak wykorzystując potencjał jaki niosą ze sobą serwisy typu Web 2.0 oraz media społecznościowe?
Od lat trwa nieustana walka pomiędzy specjalistami od zabezpieczeń a tymi, którzy chcą je sforsować. Proces ten wydaje się nie mieć końca, gdyż wszystko co wymyślił człowiek, drugi może obejść. Zawsze też znajdą się osoby, które chcą szybko wzbogacić się cudzym kosztem. Przykładów takiego zachowania można przytoczyć wiele, najwięcej z branży informatycznej. W globalnej sieci codziennie dochodzi do milionów różnego rodzaju prób łamania zabezpieczeń czy kradzieży, nie tylko pieniędzy lecz coraz częściej także danych. Internet jest naszpikowany różnego rodzaju wirusami, trojanami czy robakami, które nieustannie czyhają na niczego nieświadomych użytkowników. Modne ostatnio portale społeczościowe tylko pogorszyły sytuacje. By skutecznie pokonać wroga, należy go najpierw dobrze poznać.
Wroga trzeba znać
Niczym niezabezpieczony komputer po podłoczeniu do internetu może już w przeciągu kilku minut zostać zarażony. Pierwszą grupą zagrożeń jakie mogą dotknąć użytkowników portali społecznościowych (choć nie tylko ich), to robaki. Największym botnetem dedykowanym pod Web 2.0 jest Kobface, który został specjalnie napisany dla społecznościówek typu Facebook, mySpace czy Twitter. Zadaniem Kobface jest pozyskanie jak największej liczby maszyn do swojego botnetu. Pod koniec ubiegłego roku na wspomnianym Twitterze wykryto specjalnie przygotowane konta, które służyły do zdalnej obsługi szpiegowskich aplikacji. Hakerom do sterowania botnetem służył przede wszystkim zwykły komunikator IRC, choć znane są również specjalnie do tego celu stworzone “piloty”, jak choćby Storm, który działał w sieci P2P. Mimo iż zaraz po wykryciu luki, administratorzy serwisów skasowali wszystkie fake’owe konta, to i tak problem nie zostaje w pełni rozwiązany. Dostęp z zainfekowanych maszyn jest w dalszym stopniu łatwy. – Enterprise 2.0 jest jedynie nazwą funkcjonującą przy wdrażaniu technologii web 2.0. Główne zagrożenia płynące z wdrożenia web 2.0 jest skupienie w jednym miejscu danych setek osób korzystających z tego typu usług co jest bardzo atrakcyjne dla potencjalnego napastnika. Istnieje wiele powodów dla których pozyskanie takiej bazy danych może być bardzo interesujące, poza tym każda osoba korzystająca z danej usługi posługuje się jakąś maszyną, która może zostać przechwycona i wcielona do sieci botnetu. – wyjaśnia Marcin Kopacz, ekspert od zabezpieczeń z IT Kontrakt.
Kolejną, najbardziej znaną udręką internautów są trojany, które w ostatnim czasie zmieniły swoje preferencje. Przykładem może być popularny Zeus czy URL Zone – niegdyś trojany typowo bankowe. Dziś te programy zostały zmienione tak, by wykraść jak najwięcej danych z najpopularniejszych społecznościówek. Dokonane zmiany umożliwiają napastnikowi wstępną weryfikacje konta ofiary w celu precyzyjnej weryfikacji pod kontem przydatności.
Nowe rozwiązania – nowe problemy
Nowe rozwiązania dają niestety nowe możliwości wszystkim nieuczciwym internautom. Popularny Facebook stał się ulubionym miejscem do prowadzenia ataków. Powstały nawet specjalnie spreparowane witryny – klony prekursora społecznościówek, by pobrać loginy i hasła od niczego nieświadomych użytkowników (np. FBAction). Takie techniki stosowane były w prawdzie już wcześniej – świat zna przypadki w których złodzieje tworzyli identyczne witryny banków i następnie hurtowo wysyłali wiadomości do klientów z prośbą o szybkie zalogowanie się na serwisie. Oczywiście wszystko było tak spreparowane, że potencjalna ofiara nie zdawała sobie sprawy z tego, że loguje się na witrynie przestępców. Jednak skuteczność takich ataków nie była w pełni satysfakcjonująca. Problemem fałszywych bankowców było niskie zaufanie – internauci już od dawna patrzyli z przymrużeniem oka na wszelkiego typu “podejrzane” maile. Inaczej sprawa się na w przypadku, gdy dostajemy wiadomość na portalu społecznościowym od naszego znajomego. W takich przypadkach chętniej ufamy komuś kogo znamy z realnego świata, niż anonimom. Całe to zjawisko zyskało nawet swoją nazwę: phishing.
Przebiegłość internetowych włamywaczy jest z każdym dniem coraz większa. Wraz z pojawieniem się tzw. skracarek adresów – czyli witryn pozwalających skrócić, lub zamaskować długi link, hakerzy wywęszyli kolejny sposób manipulacji. Skracanie linków stało się niezwykle popularne wśród użytkowników web 2.0 – dlatego oszuści starają się podsunąć jak największej liczbie odbiorców zamaskowany adres odsyłający do zarażonej strony. Ta forma socjotechniki jest podwójnie skuteczna gdyż ofiara jest przekonana, że link który wysłany jest od “przyjaciela” jest dodatkowo weryfikowany przez skracarkę. Nic bardziej mylnego – skrócić można każdy adres URL.
Internauto – sam sobie jesteś winny
“Tylko dwie rzeczy są nieskończone: wszechświat i ludzka głupota, chociaż co do pierwszego nie mam pewności.” – te słowa wypowiedziane przez Alberta Einsteina warto sobie wziąć do serca, gdyż duża grupa internautów niczym na tacy przekazuje cenne informacje. Słowa Adriana Dorocińskiego, freelancera informatyka specjalizującego się w temacie bezpieczeństwa IT, zdają się potwierdzać to zjawisko: Istnieje szereg bardzo rozbudowanych zagrożeń. Ustrzec się przed nimi można na kilka sposób, jednak najsłabszym ogniwem jest niedoinformowany człowiek. Specjaliści zabezpieczają sieci konfigurując odpowiednio zapory oraz kontrolując ruch. Częstą praktyką jest ograniczenie swobody użytkowników, którzy najzwyczajniej w świecie są odcinani od uprawnień do wykonywania poszczególnych rzeczy na komputerze. Problem jednak pozostaje jeśli znajdzie się osoba, która nie wie jakie zagrożenie niesie ze sobą internet.
Rodzimym przykładem niefrasobliwości może być głośna kilka lat temu dekonspiracja funkcjonariuszy policji, którzy nagminnie umieszczali na Naszej Klasie grupowe zdjęcia ze szkół policyjnych. Fotografie przestawiały umundurowanych funkcjonariuszy, również tych z sekcji kryminalnej, którzy często działają w konspiracji. Każdy przestępca mógł bez problemu poznać sylwetki stróżów prawa. Zdekonspirowany policjant nie tylko nie wykryje przestępców, ujawniony wizerunek często zagraża jego życiu.
Wyżej opisywany przykład policjantów nie jest odosobniony. Użytkownicy internetu często ujawniają na portalach społecznościowych dane korporacyjne np. dotyczące nowych projektów, które z łatwością możne wykorzystać konkurencja. Wystarczy tylko znać nazwisko pracowników i prześledzić ich portalowy profil – APT (Advanced Persistent Threads). Problemem jest również zbyt duże zaufanie do samych aplikacji. Rutyna w tym przypadku faktycznie zabija. Bez zastanowienia otwieramy wszystkie linki czy pliki przesłane od “przyjaciół”, które mogą albo zawierać w sobie szpiegowskie aplikacje bądź przekierowywać do zainfekowanej strony. – Jednym z nietypowych rodzajów ataków jest Advaced Persistent Threads (APT), polega na gromadzeniu kluczowych informacji o osobach w sieciach społecznościowych co później może zostać wykorzystane w atakach związanych z socjotechniką lub też przy phishingu. – mówi Marcin Kopacz z IT Kontrakt. Innym ciekawym problemem związanym z portalami społecznościowymi jest atak CSRF (Cross-site request forgery). Polega on na wykonaniu czynności, których normalnie użytkownik nie zrobiłby, jednak przez ciągłe zalogowanie w serwisie i spreparowany przez atakującego link, napastnik może dotrzeć do funkcji serwisu dostępnych tylko dla zalogowanych użytkowników i wykonać akcje za ofiarę. Może się to wiązać z usunięciem informacji, dodaniem linku prowadzącego do spreparowanej strony etc. – dodaje ekspert od zabezpieczeń firmy IT Kontrakt.
Kontrola przede wszystkim
Nikt nie lubi być kontrolowany. Niemniej by nie dopuścić do strat, trzeba dmuchać na zimno. Profesjonalnie przygotowana kontrola firmowego zabezpieczenia powinna być podzielona na trzy etapy: kontrola desktopa, sieci i pracowników.
Pierwsza z listy jest wielkim wyzwaniem dla każdego działu IT. Ze względu na jej szczegółowość należy wypracować kompromis, gdyż wpływa ona bezpośrednio na wydajność pracy. W przypadku aplikacji Enterprise 2.0 większość oparta jest na zwykłej przeglądarce co w efekcie znacznie ogranicza możliwość kontroli. Wszelkie nośniki danych jak płyty CD, pamięci USB, poczta elektroniczna mogą być zainfekowane, z czego nie każdy zdaje sobie sprawę. Samo ograniczenie dostępu do możliwości instalowania oprogramowania nie jest też wszędzie możliwa, gdyż specyfika pracy może temu nie odpowiadać.
Drugą, nie mniej istotną formą weryfikacji zabezpieczeń jest kontrola na poziomie sieci. Dobrze skonfigurowany system jest wprawdzie w stanie skutecznie zabezpieczyć komputer przed zagrożeniem, lecz należy pamiętać, że nigdy nie mamy 100% pewności. Wszelkie blokady mają swoje wady i zalety. Podstawą są zapory ogniowe, które z grubsza filtrują ruch na łączu. Firewall dodatkowo dzieli sieć na tzw. segmenty strefy chronionej. Nie jest to niestety idealne zabezpieczenie, gdyż weryfikacja odbywa się przy wykorzystaniu portów i protokołów. Aplikacje Web 2.0 z reguły skanują wolne porty dopóki nie znajdą otwartego połączenia. Zaporę warto dodatkowo wzmocnić o IPS (Intrusion Prevention System), który umożliwia użytkownikowi możliwość weryfikacji podzbiorów ruchu sieci czy blokadę podejrzanej aplikacji. Jednak i w tym przypadku nie jest to idealne narzędzie. IPS nie jest w stanie przeprowadzić wnikliwej analizy aplikacji, a sama optymalna wydajność przeglądania przepływu danych na wszystkich portach jest w wielu przypadkach niemożliwa do uzyskania. Z tego powodu technika ta jest ograniczana jedynie do kilku podzbiorów, by uniknąć przeciążeniu samej jednostki obliczeniowej.
Kiedy infekcji ulega domowy komputer, bywa to uciążliwe, ale konsekwencje zwykle sa ograniczone. Jeśli jednak nieodpowiedzialny lub nieświadomy pracownik doprowadza do infekcji komputera w firmie, a w efekcie – do infekcji całego sytemu – skutki mogą być naprawdę poważne. Dlatego trzeci etap kontroli, choć może budzić sprzeciwy i być niepopularny wśród kadry pracowniczej – jest niezbędny. – Kiedy przyszedłem do pracy w pierwszy dzień, pracodawca zapytał, jakie strony lubię najczęściej przeglądać. Wymieniłem: Facebook, Demotywatory i parę innych. – opowiada Andrzej, pracownik jednej z Katowickich firm działających w branży nieruchomości. – Na drugi dzień dostęp do nich wszystkich miałem zablokowany. Takie rozwiązania to nie tylko próba zwiększenia efektywności, ale przede wszystkim sposób na zabezpieczenie przed zagrożeniami płynącymi z sieci. Firmom, które potrzebują dostępu do tego typu miejsc w sieci, by móc prowadzić biznes, pozostaje solidna edukacja.
Internetowe BHP
Bez względu na jakość czy ilość dostępnych zabezpieczeń należy pamiętać o przestrzeganiu wszelkich zasad bezpieczeństwa. Każdy przedsiębiorca, który prowadzi jakiekolwiek działania w internecie (w szczególności na portalach społecznościowych) powinien przeszkolić swoich pracowników z zakresu bezpieczeństwa sieci.
Nasz biznes istnieje całkowicie “w sieci” – mówi Anna Klimowicz, właścicielka sklepu internetowego z tuszami i częściami do drukarek Akma. – Więc siłą rzeczy większość naszych działań promocyjnych ogranicza się do internetu, w tym social media. Żeby zminimalizować ryzyko, jakie się z tym wiąże, prowadzimy regularne szkolenia wewnętrzne z zakresu bezpiecznego korzystania z zasobów internetu.
Dobrym rozwiązaniem jest stworzenie listy “groźnych” aplikacji oraz uświadomienie wszystkim, że przed instalacją czegokolwiek najlepiej spytać się o zgodę osobę odpowiedzialną za bezpieczeństwo IT lub po prostu w taki sposób zabiezpieczyć komputery, aby uniemożliwić samowolną instalację nieporządanego oprogramowania. Informatyk powinien dodatkowo sprawdzić stan zabezpieczeń na firmowych komputerach. Warto przy tym zaznaczyć, że na zabezpieczeniach nie należy oszczędzać, gdyż późniejsze straty poniesione z wyniku pozornych oszczędności mogą okazać się nieodwracalne.