Przegląd tygodnia: sezon huraganów, atak na RSA i bezpieczeństwo na Facebooku

W pierwszym przeglądzie tygodnia: sezon huraganów w pełni, kolejne szczegóły ataku na firmę RSA oraz bezpieczeństwo na Facebooku.

Huragan Irene. Jak często może występować to samo zagrożenie?

Głównym tematem zeszłego tygodnia był huragan Irene. Na szczęście nie okazał się kolejną Katriną i docierając do największych miast był już „tylko” większą burzą. Amerykanie nie zdążyli jeszcze do końca posprzątać po nawałnicy, a już są straszeni Katią i Lee. Według niektórych ubezpieczycieli Irene — względnie spokojna — uplasowała się w pierwszej dziesiątce najbardziej kosztownych katastrof w dziejach USA. Straty szacowane są obecnie na około 10 miliardów dolarów (dla porównania Katrina: ponad 100 miliardów dolarów).

Zastanawialiście się kiedyś, jak często może wystąpić huragan roku? A jeśli postrzegacie huragany jako zjawisko zbyt abstrakcyjne w Polsce: jak często możemy mieć powódź albo zimę stulecia? W ocenie ryzyka prawdopodobieństwo (opisujące nieznaną przyszłość) przybliżamy zazwyczaj wykorzystując częstotliwość wystąpień danego zagrożenia (czyli na podstawie znanej przeszłości). Tylko jaką mamy pewność, że nasz model jest wciąż aktualny, że po zimie stulecia w kolejnym roku nie przyjdzie kolejna, jeszcze cięższa?

Atak na RSA

W marcu informowaliśmy o kradzieży danych z firmy RSA. Dziś wygląda na to, że atak ten niekoniecznie był advanced ani persistent. Przynajmniej nie na początku. Scenariusz mógł wyglądać następująco:

1. Czterej zwykli pracownicy RSA (czyli nikt z Zarządu i wyższego kierownictwa) otrzymują wiadomość zatytułowaną „Plany rekrutacyjne na rok 2011”, zawierającą prośbę o otwarcie załączonego arkusza kalkulacyjnego.
2. Załącznik po otwarciu instaluje i uruchamia backdoora (tylne wejście), wykorzystując świeżą, niezałataną lukę w Adobe Flash (zero-day exploit).
3. Atakujący stopniowo uzyskuje kolejne uprawnienia i dostęp do sieci korporacyjnej, ostatecznie doprowadzając do kradzieży danych.

Niech podniosą rękę w górę wszyscy, którzy uważają, że taki atak jest niemożliwy w ich firmie… No właśnie…

Wielowarstwowa obrona to w tej chwili pierwsza i chyba najważniejsza rada, jeśli chodzi o zabezpieczenie naszych sieci firmowych. Bezpieczeństwo informacji to nie tylko firewall lub antywirus, polityka bezpieczeństwa, niezależne audyty, system antyspamowy, systemy wykrywania i zapobiegania atakom (IDS i IPS), szyfrowanie danych, szkolenia pracowników. Tak samo, jak ciągłość działania to nie PCD, a zarządzanie ryzykiem to nie coroczny przegląd zagrożeń. Wszystkie powyższe elementy są niezbędne i to nie na zasadzie „wybierz jeden”, ale w kombinacji kilku, dopasowanych do specyfiki danej organizacji.

Bezpieczeństwo na Facebooku

Facebook ostatnio intensywnie inwestuje w bezpieczeństwo, zgrabnie zamykając je w trzech słowach: „Stop. Think. Connect”. Być może przejął się ostrzeżeniem grupy Anonymous („Obywatele Świata! Medium, które tak bardzo kochacie, zostanie zniszczone 5 listopada!”), może to w końcu troska o użytkowników… Faktem jest, że serwis zmienia się na lepsze.

W sierpniu wystartował program Bug Bounty, w którym za zgłoszenie luki w zabezpieczeniach systemu można otrzymać nagrodę od 500 do 5000 dolarów. Kilka dni temu na stronie Facebook Security pojawił się przewodnik po bezpieczeństwie Facebooka. Pojawia się jednak pytanie: czy ktoś do tego poradnika zajrzy? Być może dobrym rozwiązaniem byłoby wysyłanie strony 13. („Top Tips for Staying Secure on Facebook”) każdemu nowemu użytkownikowi, a później wszystkim regularnie co dwa miesiące — dla przypomnienia.

Warto przeczytać

• Former Anonymous Hacker Offers Security Advice
• Hit the Reset Button: A New Guide to Facebook Safety and Privacy
• Anatomy of an Attack
• Researchers Uncover RSA Phishing Attack, Hiding in Plain Sight
• Business Continuity Scoping: Why Products and Services?
• An Update on TC 223 and ISO 22301
• Are We Okay?
• Notable Data Breaches of 2011