A A+ A++
contrast mute
Godło Polski
Politechnika Śląska

Wojna w sieci

pexels-pixabay-60504

W ostatnim czasie z powodu bardzo trudnej sytuacji międzynarodowej wzrosło zagrożenie cyberatakami. Z tego powodu postanowiliśmy przybliżyć Państwu zagadnienia związane z cyberbezpieczeństwem oraz przedstawić zalecenia, jak powinniśmy i jak nie powinniśmy się zachowywać w trakcie pracy z komputerem.

Zacznijmy od tego, czym właściwie jest cyberatak. Według definicji książkowej jest to „ofensywne działanie w sieci, którego celem mogą być systemy informatyczne, sieci komputerowe lub urządzenia osobiste”. Tak więc spełnione muszą być trzy przesłanki: celem jest atak, medium ataku jest sieć komputerowa a ofiarą jest urządzenie. Pamiętać jednak należy, że za tym urządzeniem stoi zawsze człowiek lub grupa ludzi i to oni są prawdziwymi ofiarami.

Mamy kilka rodzajów cyberataków, z grubsza możemy podzielić je na ataki na infrastrukturę mające na celu jej zniszczenie, ataki na różne instytucje mające na celu uzyskanie korzyści (dane, pieniądze) oraz ataki na prywatne osoby.

Jeśli chodzi o ataki na infrastrukturę, to szczególnie widoczne będą one w czasie wojny. Dla każdej strony konfliktu kluczową sprawą jest utrudnienie działania przeciwnikowi. Tak więc może tu chodzić o unieszkodliwienie systemu komunikacji, elektrowni, wodociągów czy zakładów przemysłowych. Najprostszym tego typu atakiem jest tak zwany atak DDOS (Distributed Denial of Service), który polega na tym, że napastnik zasypuje atakowany serwer fałszywymi zgłoszeniami (na przykład fałszywymi mailami). Serwer jest zbyt zajęty obsługą tych fałszywych zgłoszeń i przestaje odpowiadać na zgłoszenia prawdziwych użytkowników. Pomimo, że z punktu widzenia użytkownika wygląda to groźnie, bo nie potrafi się on skontaktować z usługami, z których chce skorzystać (np. serwisem bankowym), w rzeczywistości taki atak nie jest specjalnie niebezpieczny. Jedyne, co nam grozi, to czasowy brak dostępu do usług.

Znacznie groźniejsze są ataki, w których napastnikowi udaje się dostać do wnętrza systemu i zakłócić jego działanie. Przykładowo, nawet krótkie zakłócenie działania systemu chłodzenia w elektrowni lub zakładzie przemysłowym może doprowadzić do nieodwracalnych uszkodzeń infrastruktury. Najczęściej jednak tego typu ataki dotyczą danych. Napastnik może przykładowo skasować wszystkie dane w atakowanej instytucji. To akurat niekoniecznie musi być dużym problemem, jeśli zakładamy, że instytucja ma kopie zapasowe z których może odtworzyć skasowane dane. Gorszy problem pojawia się, gdy napastnikowi uda się odczytać dane lub nawet je zmienić. W ten sposób uzyskuje dostęp do danych wrażliwych (np. militarnych) albo wręcz zaczyna kontrolować sposób działania instytucji. Z zewnątrz najbardziej widoczne są ataki, które mają na celu podmianę zawartości stron WWW. Jednak takie ataki, choć bardzo widowiskowe, zwykle nie powodują wielkiego zagrożenia dla atakowanej instytucji (oprócz utraty zaufania do niej). Najbardziej niebezpieczne są ataki na wewnętrzne dane firmy: listę transakcji, listę klientów, rachunki bankowe. Zaznaczyć należy, że jeśli atak taki przeprowadzony jest przez „poważnych” napastników (takich, jak na przykład służby specjalne), zwykle w ogóle się o nim nie dowiadujemy.

Dla nas, zwykłych użytkowników, podstawowe pytanie brzmi: co możemy w tej sytuacji zrobić? Niestety nie mamy żadnego wpływu na powodzenie lub niepowodzenie takiego ataku choć czasem nasze zachowanie może mieć znaczenie). Możemy jedynie próbować zabezpieczyć się przed jego skutkami. Dawniej mieliśmy zawsze w szufladzie świeczki i zapałki na wypadek braku prądu a w łazience kanister wody. W dzisiejszych czasach odzwyczailiśmy się już od awarii i często o to nie dbamy. Warto jednak choćby w taki prosty sposób zadbać o swoje bezpieczeństwo. Należy także być przygotowanym na brak dostępu do Internetu i telefonii komórkowej. Na wszelki wypadek trzymajmy ważne dane (numery kont, hasła, kody) lokalnie na dysku lub nawet na staromodnym papierze, zamiast zawierzać chmurze, która nagle może przestać być dostępna. Podobnie, warto zawsze mieć przy sobie trochę gotówki na wypadek awarii sieci kart płatniczych. W obliczu ataku nie ufajmy też stronom WWW atakowanych instytucji – mogły one zostać przejęte. Jeśli strona wygląda tak jak zwykle, ale prosi o jakieś dodatkowe dane, o które nigdy wcześniej nie pytała (np. numer karty kredytowej), należy zachować szczególną ostrożność!

pexels-saksham-choudhary-2036656

Na ataki skierowane na infrastrukturę czy instytucje nie możemy – jako zwykli ich użytkownicy – nic poradzić. Jednak innym rodzajem ataku są ataki na osoby prywatne, których my sami możemy łatwo stać się ofiarami. Takie ataki przybierają najczęściej formę tak zwanych ataków „phishingowych”. W tego typu ataku napastnik przesyła nam informację, za pomocą której próbuje nas namówić do udostępnienia mu jakichś cennych danych lub do wykonania jakichś działań, na których on skorzysta. Ta informacja może zostać przesłana mailem, SMSem, Messengerem, WhatsAppem a nawet telefonicznie!

Gdy mówimy o takich atakach, najczęściej przychodzą nam do głowy maile, które otrzymujemy od „byłego prezydenta Nigerii” albo „wdowy po królu Gambii”, w których ktoś oferuje nam miliony dolarów w zamian za jakąś bliżej nieokreśloną współpracę. Oczywiście, mało kto daje się nabrać na takie maile, są one zwykle sporządzone w sposób nieudolny zarówno pod względem języka jak i formatowania. Zwykle uważa się, że to dlatego, że tworzące je osoby są słabo wykształcone i nie potrafią napisać prawidłowo dwóch zdań po polsku czy po angielsku. Być może często jest to prawda. Jednak jest także inny cel nieporadności maila. Wyobraźcie sobie Państwo, że taki mail wysyłany jest do 20 mln osób na całym świecie. Jeśli byłby napisany w sposób budzący zaufanie, być może 500 tys. z tych osób odpowiedziałoby na niego. Skąd wziąć zasoby ludzkie pozwalające na „obsługę” pół miliona potencjalnych „klientów”? Nie ma takiej możliwości, zresztą spodziewać się należy, że 99% tych osób na którymś etapie komunikacji zorientuje się w końcu, że to oszustwo i wycofa się. Atakujący stracą tylko na nich czas. Dlatego maile skonstruowane są w taki sposób, że jeśli ktoś na nie odpowie to oznacza, że jego naiwność jest na tyle wysoka, że warto zainwestować w niego trochę czasu!

Najczęściej ataki phishingowe rozsyłane są na ślepo. Mogą jednak trafić w nasz czuły punkt. Jeśli dostaniemy wiadomość z Bank of Ghana, to prawdopodobnie nie zareagujemy. Co jednak, jeśli otrzymamy maila o nowym oprogramowaniu, którego nadawcą jest bank w którym rzeczywiście mamy konto? Albo dostaniemy ponaglenie do zapłaty od firmy, której rzeczywiście zalegamy z jakąś płatnością? Oczywiście w takim „ponagleniu” firma usłużnie poda nam link, pod którym będziemy mogli uregulować należność. W takich sytuacjach łatwo dać się nabrać.

Jak więc demaskować fałszywe maile? Jest parę elementów, które od razu powinny wzbudzać naszą nieufność. Po pierwsze, jeśli podpisanym nadawcą maila jest znana nam osoba lub organizacja a adres mailowy nadawcy jest inny, takiego maila od razu należy wyrzucić do kosza. Przykłady z mojej skrzynki pocztowej:

 

„Alior Bank”

<ikmezsl@affistalles.grozny.ru>

„Administrator serwera PolSl”

<mail.adm@morgancheckhit.cam>

„DHL Express”

<donotreplay@jurnwayholdings.com>

pexels-tima-miroshnichenko-5380591

Po drugie, jeśli email zawiera podejrzane załączniki z niebezpiecznymi rozszerzeniami jak: js, html, jar, exe, msi, wsf, ps1, itp. takich załączników nigdy nie należy otwierać. Uruchomią one na naszym komputerze kod przesłany przez napastnika – najczęściej powoduje to uzyskanie przez niego dostępu do naszego komputera! Należy pamiętać, że niebezpiecznymi załącznikami są też doc czy xls – w dokumentach Office mogą być zapisane makra, a makra to nic innego jak aplikacje podesłane nam przez napastnika. Wydawałoby się, że bezpieczne są pliki docx, bo nie mogą zawierać makr, jednak i takie pliki można „zarazić” makrami za pomocą odpowiednio spreparowanych szablonów dotm. Najbezpieczniejsze są  pliki pdf, jednak także do takiego rodzaju plików udawało się w przeszłości dodawać złośliwy kod. W przypadku plików pdf ważne jest, żeby nasza przeglądarka pdf, jak Acrobat Reader czy inna, była na bieżąco aktualizowana – wtedy jest duża szansa na to, że potencjalne podatności zostały już w niej naprawione.

Niezależnie od typu pliku – nigdy nie należy otwierać załączników z maili, co do których mamy choćby najmniejsze wątpliwości, na temat ich pochodzenia!

Innym rodzajem ataku jest przesłanie ofierze linku, który prowadzi do strony innej niż deklarowana w treści maila. Przykładowo link opisany jako www.dhl.com/tracking prowadzi do strony: https://round-union-2663.udated.com (to kolejny przykład z mojej skrzynki).

Załóżmy więc, że otrzymaliśmy maila od znanej nam instytucji lub osoby, podpisanego prawidłowym adresem email i zawierającego wyglądający prawidłowo link. Czy możemy być pewni, że jest to prawdziwy email? Niestety nie… Na niedawnym szkoleniu pokazywałem uczestnikom fałszywego maila, którego sam sobie wysłałem. Nadawcą maila był JM Rektor Uniwersytetu Śląskiego (adres rektor@us.edu.pl). Spreparowanie takiego maila nie stanowi większego problemu. Oczywiście często da się wykryć fałszerstwo zaglądając do nagłówków RFC maila – ale kto z Państwa ostatnio oglądał te nagłówki? Podobnie zresztą jest z SMSami czy nawet telefonami – spreparowanie fałszywego nadawcy nie stanowi większego problemu.

Podobnie linki są niełatwe do rozpoznania. Mogą być bardzo podobnie do prawdziwych. Przykładowo, nie przyglądając się dokładnie, możemy nie rozróżnić linków: www.dotpay.pl, www.d0tpay.pl, www.dotpay.pay.pl, www.doptay.pl. Oczywiście tylko pierwszy z nich zaprowadzi nas do prawdziwej strony. Linki można też zaciemnić. Przykładowo, poniższy link wcale nie zaprowadzi nas na stronę ONETu:

http://www.onet.pl.%6b%61%73%70%72%6f%77%73%6b%69%2e%70%6c

Dlatego zawsze, gdy już otworzymy link w przeglądarce, sprawdźmy adres strony w oknie adresu. Po pierwsze, jeśli na stronie mamy wprowadzić jakieś ważne dane (hasło, numer karty kredytowej) u góry powinna się pojawić zielona kłódka. Jednak pojawienie się tej kłódki nie gwarantuje, że strona jest uczciwa! Napastnik może stworzyć własną stronę, dla której wyrobi prawidłowy certyfikat. Dlatego zawsze – ZAWSZE! – gdy wprowadzamy hasło czy numer karty czy jakiekolwiek inne wrażliwe dane sprawdzajmy dokładnie w oknie adresu, czy strona na której jesteśmy to rzeczywiście strona, o którą nam chodziło.

pexels-sora-shimazaki-5935791

Ataki phishingowe mogą być ślepe – rozsyłane do bardzo wielu osób z nadzieją, że trafi się w kogoś, kto jest zmęczony, spieszy się, ma konto w danym banku i kliknie link nie czytając, chcąc szybko załatwić sprawę. Czym innym – i znacznie groźniejszym – są ataki phishingowe dedykowane. Taki atak napastnik kieruje w konkretną osobę, której dane (np. konto mailowe) chce zdobyć. Zwykle taki atak poprzedzony jest zebraniem informacji na temat atakowanego – nie jest to trudne w czasach powszechności serwisów społecznościowych i różnego rodzaju publicznych baz danych. Ataki takie w sposób znacznie bardziej zaawansowany wykorzystują zdobycze psychologii. Zwykle atakujący zaczyna od wzbudzenia zaufania, powołując się na wspólnych znajomych czy wspólne problemy. Następnie wywołuje u atakowanego chęć pomocy, przedstawiając się jako osoba poszkodowana – „tylko Ty możesz mi pomóc”. Ważna jest także zwykle presja czasowa – pomoc musi nadejść szybko, bo może być za późno. Nie daje to atakowanemu możliwości zastanowienia się nad sytuacją. Wykorzystuje się tu fakt, że człowiek ma zakodowaną chęć pomocy bliźniemu – sprawia mu to przyjemność, szczególnie jeśli ten bliźni jest sympatyczny i budzący zaufanie.

Niestety prawda jest brutalna: w ten sposób można nabrać dosłownie każdego, wszystko zależy od zdolności atakującego i trochę od szczęścia. Jednak nikt z nas nie może powiedzieć „mnie się to nie przydarzy”. Historia zna przykłady udanych ataków także na wysokiej klasy specjalistów od bezpieczeństwa!

Po co przeprowadza się takie ataki? Zwykle po to, aby umożliwić przeprowadzenie ataku na infrastrukturę, o czym pisaliśmy na początku. Ataki na infrastrukturę mogą oczywiście wykorzystywać luki w systemach informatycznych, tak zwane „podatności”. Takich podatności było w przeszłości wykrytych wiele i ciągle wykrywane (i naprawiane!) są nowe. Jednak znane powiedzenie mówi, że każdy system jest tak mocny jak jego najsłabsze ogniwo. A tym najsłabszym ogniwem najczęściej jest… człowiek.

Atakujący nie musi mozolnie łamać zabezpieczeń systemu, jeśli uda mu się uzyskać hasło dostępowe od któregoś z użytkowników posiadających wysokie uprawnienia.

W tym momencie być może myślą sobie Państwo: to mnie nie dotyczy, ja nie pracuję na żadnym ważnym stanowisku, nie mam dostępu do wrażliwych danych, moja firma nie jest kluczowa dla gospodarki – kto chciałby mnie atakować? Poza tym, jeśli nawet ktoś przejmie moje konto na Facebooku albo maila na publicznym serwerze, to nie będzie to wielki problem – założę sobie nowe konto i tyle.

Zwróćcie jednak Państwo uwagę na to, że przejęcie konta mailowego czy w serwisie społecznościowym oznacza przejęcie Państwa tożsamości. Ktoś, kto tego dokonał, może się teraz zwrócić do Państwa znajomych z prośbą o kliknięcie linka czy otwarcie załącznika. A Państwa znajomi oczywiście uwierzą informacji przesłanej od Państwa! Ci znajomi mogą mieć innych znajomych, którzy pracują w ważnych instytucjach – i być może to właśnie znajomi znajomych są rzeczywistym celem ataku! Podobnie wszelkie przejęte od Państwa zasoby (komputer, zasoby w chmurze, serwer) mogą posłużyć do ataku na innych. A nie chcieliby chyba Państwo być pierwszym ogniwem w ataku na ważną infrastrukturę?

Aby się zabezpieczyć przed atakami phishingowymi zawsze warto próbować zastosować Zasadę Hollywood: „nie dzwoń do mnie, ja zadzwonię do Ciebie”. Jeśli dzwoni do nas pracownik działu IT naszej firmy i prosi o podanie haseł zaoferujmy, że odzwonimy do niego (na znany nam z innych źródeł numer, a nie na podany przed dzwoniącego). Jeśli dzwoni do nas pracownik banku z ofertą i prosi nas o numer PESEL i pozostałe dane – zaproponujmy, że oddzwonimy na infolinię banku. Jeśli dostaniemy od kolegi nietypowego maila z podejrzanym załącznikiem, zawsze najpierw spróbujmy się upewnić u źródła, że to on jest jego autorem. To wszystko oczywiście kosztuje trochę czasu i nie zawsze jest wygodne – ale właśnie nasze wygodnictwo najczęściej wykorzystują napastnicy!

Na koniec warto zwrócić uwagę na to, że powyższe porady nie są specyficzne dla naszej aktualnej sytuacji i zwiększonego zagrożenia cyberatakami. Warto o nich pamiętać zawsze, bo także w czasie pokoju możemy paść ofiarą cyberprzestępców! 

Dr hab. inż. Paweł Kasprowski, prof. PŚ. Z-ca Kier. Katedry Informatyki Stosowanej, Wydział Automatyki, Informatyki i Elektroniki. Koordynator POB 2: Sztuczna inteligencja i przetwarzanie danych.

© Politechnika Śląska

Polityka prywatności

Całkowitą odpowiedzialność za poprawność, aktualność i zgodność z przepisami prawa materiałów publikowanych za pośrednictwem serwisu internetowego Politechniki Śląskiej ponoszą ich autorzy - jednostki organizacyjne, w których materiały informacyjne wytworzono. Prowadzenie: Centrum Informatyczne Politechniki Śląskiej (www@polsl.pl)

Deklaracja dostępności

„E-Politechnika Śląska - utworzenie platformy elektronicznych usług publicznych Politechniki Śląskiej”

Fundusze Europejskie
Fundusze Europejskie
Fundusze Europejskie
Fundusze Europejskie