Fordulóban a kocka a biztonsági fenyegetettségek piacán. Ma már nem a zsarolóvírusok, hanem a hálózaton összekapcsolódó okos eszközök kezdenek egyre nagyobb kockázatot jelenteni. A dolgok internetét(IoT) a kriptobányászok is igyekeznek a saját hasznukra fordítani. Az új jelenségekről Martin Lee-vel, a világ egyik legnagyobb biztonsági elemzőcége, a Talos európai vezetőjével beszélgettünk.
Az amerikai informatikai óriáshoz a Ciscohoz tartozó Talos csapatában jelenleg több mint 250 kutató dolgozik teljes állásban. A szakértők valós időben figyelik az internetes adatforgalmat, sérülékenységeket és behatolókat fedeznek fel, valamint eszközöket fejlesztenek a védelemhez.
Az új technológiák, mint a mesterséges intelligencia(AI), vagy a gépi tanulás(ML) világra gyakorolt hatása megosztja a közvéleményt. Van, aki szerint megjelenésük fokozott veszélyt jelent az emberiségre, mások szerint inkább ellenkezőleg. Ön, mint biztonsági szakértő, hogy látja a szerepüket, és használják-e már ezeket a saját munkájukban is?
A felsorolt technológiákat már évek óta használjuk. Amikor 16 évvel ezelőtt elkezdtem a biztonsággal foglalkozni, a gépi tanulást, – ami egyébként már több mint 20 éves technológia –, már akkor bevetettük a levélszemetek(spamek) felderítésére. Mind a mesterséges intelligencia, mind a gépi tanulás jól alkalmazható a manapság robbanásszerűen növekvő adatmennyiség statisztikai elemzéseihez.
Árnyoldalai persze ezeknek a technológiáknak is vannak, a kiberbűnözés is viszonylag hamar rájuk talált. Az egyik legutóbbi példa a tavalyi téli olimpia idején felfedezett hackertámadás, ami a szervezők számítógépeiben igyekezett kárt tenni. A kiberbűnözők ehhez már a gépi tanulás technológiáját is igénybe vették.
Nekik is segíthet ugyanis az AI/ML a folyamataikat automatizálni. A kártékony szoftverek(malware) gyártásában például a szóban forgó technológiák addig változtatták a kódot, amíg mindegyik antivírus rendszer tisztának nem minősítette azokat.
Összességében azonban a jó oldalon jobban és több mindenre használjuk őket, például a sérülékenységek, fenyegetések idő előtti felderítésére is. Így azt mondhatjuk, hogy ezen a téren előtte járunk a „rosszfiúknak”.
Folyamatosan figyeljük a hálózatokat. Kifejlesztettünk egy technológiát, ami beazonosítja, hogyan kell egy adott rendszernek normálisan működnie, és riaszt, ha ettől eltérő esemény következik be. A normálistól eltérő működés általában már valami fenyegetettséget is jelez.
Küszöbön áll egy újabb robbanás, amit a dolgok internete(IoT), vagyis a hálózatba kötött okos eszközök nagyszámú megjelenése okozhat. Ideje felkészülnünk rá IT-biztonsági szempontból is?
Valóban változóban a helyzet, a kiberbűnözők ezen a területen is egyre jobban aktivizálódnak. A Mirai botnetet például már kimondottan IoT eszközök sérülékenységeire tervezték a „rosszfiúk”. Az IoT eszközök így tehát nagyon nagy veszélyt jelentenek a biztonság szempontjából, mivel náluk a szoftverfrissítés tipikusan nem megoldott terület.
Ezeket az eszközöket “ugródeszkaként” használják a kiberbűnözők, a nagyobb támadások előkészítésére. Eddig elsősorban az elosztott, túlterheléses (DDoS) támadásoknál bukkantak fel, de ma már előszeretettel alkalmazzák kriptovaluta bányászatra is.
Ez utóbbi viszonylag új formája a rosszindulatú támadásoknak. A virtuális pénzekre fókuszáló bűnözők célja nem az, hogy átvegyék az uralmat az IoT eszközök felett hanem, hogy ellopják belőlük a processzorok(CPU) ciklusait, amiket aztán a kriptopénzek megtalálásában hasznosítanak.
Ugyan az IoT- eszközökben tipikusan nincs nagy teljesítményű központi egység, de mivel egy támadó sok ilyen eszköz felett rendelkezhet, ezért tudtak kedvelt célpontokká válni. A biztonsági szakértők feladata, hogy ezek gyenge pontjait minél előbb és minél alaposabban derítsék fel.
Ezzel a módszerrel persze ma még nem sok kriptopénzt lehet keresni. Az egyik támadás után csináltunk egy elemzést, ami szerint a bűnözők IoT eszközönként napi 18 dollárcentre tehettek szert. Mivel azonban itt hamarosan IoT eszközök nagy tömegéről beszélünk, a kriptobányászkodás ilyetén formája hosszabb távon meglehetősen vonzó és életképes pénzkereseti üzleti modell lehet a rossz fiúknak.
Tavaly blokkoltunk egy virtuális magánhálózati(VPN) szűrő elleni adatlopásos jellegű(APT) támadást is. Ez is terjedőben lévő folyamat, hogy a bűnözők ma már nemcsak, vagy nem feltétlenül a nagy cégek rendszereire pályáznak, hanem inkább a kisebb vállalkozások internetes eszközeit támadják.
Veszélyt rejt az okos otthonok túl precíz szabályozhatósága is. Ezeket a rendszereket is érhetik célzott támadások, akár odáig eljutva, hogy átveszik felettük az irányítást. Elegendő lehet mondjuk az ajtónyító alrendszer „birtokba vétele”, ami után már csak egy kattintás, hogy az ajtó fizikailag is kinyíljon.
Hol tartunk a mobiltelefonok és egyéb mobil eszközök fenyegetettségével?
Hasonló a helyzet, mint az asztali hardverek esetében, hiszen ezek is lényegében – zsebben hordható – számítástechnikai eszközök. Itt sem árt az óvatosság, nem kell elővigyázatlanul minden alkalmazást letölteni, ami éppen szembejön velünk. Fontos, hogy megbízható legyen a letölteni kívánt applikáció forrása. Ne féljünk használni az újdonságokat, de azért legyünk kellően elővigyázatosak.
Mi a helyzet a zsarolóvírusokkal? Az új trendek miatt lassan a lejárt lemez kategóriájába kerülnek, vagy éppen ellenkezőleg?
Valóban észlelhető valamilyen trendfordulat, lásd a kriptobányászatot, de a zsarolóvírusok sem mennek ki a divatból. Sőt ezek valóban mindent felforgatók, nem lehet róluk nem tudomást venni. Vegyük az elhíresült SamSam vírust, ami például bizonyos iparágakat vesz célba.
Köztük az egészségügyet, ahol azzal tud fenyegetni, hogy bekerülve egy adott kórház rendszerébe, fel tudja törni a betegek adatbázisát, hozzájutva a kényes, személyes adatokhoz. Az ilyen jellegű zsarolások sokkal nagyobb üzletet jelentenek a bűnözőknek, mintha egy magánszemélynek blokkolnák le a számítógépét és a családi fotók törlésével fenyegetnék.
Az internetforgalom nagyobb része ma már titkosított. Ez mennyiben nehezíti a Talos szakértők munkáját? Hogyan lehet az onnan származó adatokat visszafejteni és feldolgozni?
A Cisco kifejlesztette az ETA (Encrypted Traffic Analytics) technológiát, amely visszafejtés nélkül is képes megkülönböztetni a legitim és a rosszindulatú kommunikációt. Még ha mi nem is tudjuk visszafejteni a tartalmat, fel tudjuk deríteni honnan hová tartanak az adatok.
Az ETA is egy gépi tanuláson alapú automatikus rendszer, amely a hosszú idejű, nagy mintaszámú tanítás révén megtanulta, és azóta is folyamatosan tanulja, hogyan néz ki egy kártékony szoftver kommunikációja.
Visszafejtés esetén pedig a hagyományos felismerési technológiák – gyanús email, illetve betörés detektáló, vagy betörés megelőző rendszerek – is használhatók.