O noua zi, un nou atac informatic

Numarul atacurilor informatice care au loc in fiecare zi, desi nu poate fi oferit cu exactitate, este de ordinul miilor, fiind amplificat de situatia tensionata din Europa de Est, unde pe langa conflictul armat este in desfasurare si un adevarat razboi informatic intre Ucraina si Rusia care poate face o gramada de victime colaterale,  si de pandemia inca actuala de Covid-19. In IT exista de fapt doua tipuri de organizatii: organizatii care au fost atacate si organizatii care inca nu stiu ca au fost atacate 😊. Potrivit IBM, in 2021 timpul mediu de detectie al unei brese de securitate a fost de 212 zile ( cu un timp mediu de remediere de 75 de zile). In aceasta perioada, atacatorii isi pot indeplini obiectivele fara a fi detectati de masurile de securitate implementate de organizatii.

Atacurile informatice se bazeaza cel mai adesea pe:

  • Malware – raspandit ca fisier anexat emailurilor sau descarcat la accesarea unor link-uri malitioase. Cele mai intalnite forme de malware sunt ransomware, spyware, key loggers si cryptomalware.
  • Phishing – email malitios care incearca sa obtina informatii confidentiale/sensibile din partea utilizatorilor sau sa ii determine pe acestia sa instaleze software malitios; variante mai noi de phishing folosesc vectori precum sms-ul (smishing) sau apelurile telefonice (voice phishing – vishing)
  • Denial of service – tinta atacului este coplesita de un volum imens de trafic/cereri de date pe care nu il poate procesa / nu le poate onora. Clientii legitimi sunt impiedicati sa poata folosi resursa respectia. Atacul poate fi amplificat folosind o retea de tip botnet (mii de dispozitive aflate sub controlul hackerilor si coordonate pentru a ataca victima in sincron) rezultand intr-un atac mult mai intens si mai eficient numit Distributed Denial of Service (DDoS).
  • Vulnerabilitati „zero-day” – o astfel de vulnerabilitate poate fi exploatata cu succes de atacatori intrucat exista o diferenta intre momentul in care aceasta vulnerabilitate este identificata si momentul in care producatorul echipamentului/software-ului/aplicatiei ofera un patch/update care sa rezolve vulnerabilitatea. In aceasta perioada de timp, atacatorii incearca sa exploateze in mod activ vulnerabilitatea, avand adeseori rate mari de succes. In fiecare zi sunt anuntate noi astfel de vulnerabilitati, iar expertii in securitate trebuie sa isi pastreze vigilenta si sistemele actualizate la zi.
  • SQL injection – aplicatiile web folosesc adesea baze de date de tip SQL pentru a stoca diverse informatii. Atacatorii pot folosi relatia dintre site si baza de date injectand cod malitios intr-o cerere de date sau intr-un formular de abonare sau intr-un camp de pe pagina web (de exemplu un camp de search) care sa determine baza de date sa se comporte anormal, dezvaluind informatii pe care in mod obisnuit ar trebui sa ramana ascunse.
  • DNS tunnling – DNS (Domain Name System) este un serviciu vital pentru modul in care folosim Internetul. In loc sa retinem numere ca 142.251.39.3 este mai simplu sa scriem in browser google.ro. DNS-ul este un serviciu folosit in infrastructura IT a oricarei organizatii si este vazut ca un serviciu legitim, asa ca traficul nu este in mod normal inspectat de firewall-uri. Atacatorii se pot folosi de acest lucru in avantajul lor si pot folosi tehnici de DNS tunneling pentru a-si masca activitatile malitioase. Pot ascunde malware in traficul de DNS si acesta poate ajunge in interiorul organizatiei, compromitand infrastructura. Sau atacatorii pot exfiltra date din interiorul organzatiei catre un server din Internet aflat sub controlul lor.
  • Man-in-the middle – este o situatie cand atacatorul reuseste sa se interpuna in conversatia dintre doua sisteme. Astfel, atacatorul castiga acces la informatia schimbata intre cele doua parti (parole, informatii personale, date bancare). Hotspot-urile din locatiile publice (cafenele, mall-uri, magazine) ofera adesea conexiuni wireless gratuite, dar fara criptarea traficului. Orice din proximitate hotspot-ului poate intercepta traficul si il poate analiza sau modifica.

Organizatiile trebuie sa fie mereu in alerta si sa se considera a fi sub asediu continuu din partea hackerilor. Un moment de neatentie este suficient pentru ca atacatorii sa aiba succes si sa produca pagube financiare, probleme de natura legala (a se vedea reglementarile de tip GDPR sau PCI DSS) sau impact negativ asupra increderii clientilor, partenerilor si colaboratorilor in organizatie.

Mihai Dumitrascu, Sr Systems Engineer