Cele mai importante 10 incidente de securitate din anul 2016


2016 a fost un an provocator pentru politică, sănătate publică sau securitate. A fost un an dificil și pentru celebrități. Din perspectiva securității online a fost de asemenea un an dificil, presărat cu numeroase incidente importante. Combaterea infractorilor cibernetici, din ce în ce mai sofisticați și mai perfecționați în strategie nu a fost deloc ușoară, așa cum au demonstrat incidentele petrecute în ultimele 12 luni.

  1. Atacul DDoS Dyn

În octombrie, infractorii cibernetici au lansat atacuri majore de tip DDoS, perturbând o serie de site-uri web, precum Twitter, Netflix, PayPal, Pinterest și rețeaua PlayStation Network, printre multe altele.

Grupul din spatele atacului a realizat acest lucru prin compromiterea a mii de dispozitive de tip IoT (inițial, s-a crezut că ar fi fost vorba de 100.000 de dispozitive – mai târziu numărul scăzând la aproximativ 20.000 în urma analizei efectuate de către cercetătorii din domeniul securității). Acestea au fost compromise și înrolate în botnet-uri ,direcționând cantități mari de trafic la furnizorul de servicii DNS Dyn (cumpărat de curând de Oracle).

Cu toate că acest atac a avut un efect de scurtă durată, el a vizat unele dintre cele mai populare site-uri din lume, însă nu acest lucru îl face important, și nici metoda de atac utilizată nu surprinde (DDoS rămâne în setul de instrumente utilizat de fiecare infractor cibernetic).

Atacul a fost uluitor prin dimensiunea sa, măsurând aproape 1 Tbps la un moment de vârf, asemănător atacului care a vizat site-ul lui Brian Krebs cu o lună mai devreme. Ce este însă important e odată cu previziunile din partea experților Gartner, conform cărora vor exista 20,8 miliarde de obiecte ‘conectate’ ce vor comunica între ele până în anul 2020, puteți fi siguri că acest tip de atac DDoS orchestrat să atace violent reprezintă doar începutul unei tendințe.

  1. Clienții Băncii Tesco au pierdut bani reali

Aproximativ 40.000 de conturi din Banca Tesco au fost compromise în cadrul unui atac cibernetic la începutul lunii noiembrie,Din această perspectivă nu a fost un atac extrem de important – la urma urmei, au existat breșe de date care au afectat mult mai mulți utilizatori (așa cum a fost cazul Target în 2013).

În schimb, sute de clienții au fost puși în situația de a-și pierde banii din conturile lor – o raritate în era infracționalității cibernetice, unde cele mai multe daune sunt ascunse privirii publice.

Banca, ce deține peste șapte milioane de clienții, a raportat că aproape 9.000 de clienți au avut pierderi individuale (din sustragerea frauduloasă) care s-au ridicat la aproximativ 600 de lire (în jur de 763 de dolari) și a promis restituirea pierderilor financiare către clienții în termen de 24 de ore de lucru.

Natura exactă a atacului a fost neclară, unii sugerând că a fost vorba de compromiterea unui comerciant terț, iar alții indicând activitatea infracțională din mediul online. Un client a susținut că numerarul a fost retras din contul său în cadrul a patru tranzacții distincte executate de la distanță, din Rio de Janeiro, Brazilia.

Este de prisos să menționăm faptul că atacul are consecințe profunde, nu numai pentru clienți, cât și pentru Banca Tesco, odată ce Autoritatea de Conduită Financiară din Marea Britanie (FCA) pregătește emiterea unei amenzi uriașe.

  1. Sistemele de automatizare DDoS din Finlanda

Atacul DNS de la Dyn a fost în topul titlurilor de securitate indicând riscul de implicare al  dispozitivelor IoT în luna octombrie, dar o lună mai târziu, s-a petrecut un alt incident de securitate care a avut, probabil, consecințe care anticipează o gravitate mai mare.

În cadrul unui atac ce demonstrează încă o dată pericolul dispozitivelor conectate (IoT), infractorii cibernetici din Finlanda au fot capabili să oprească încălzirea în două clădiri din orașul Lappeenranta.

Rapoartele locale sugerează că infractorii cibernetici au fost nu doar capabili să compromită sistemul de automatizare al clădirii utilizat în cele două imobile, prin direcționarea unei cantități mari de trafic fals ce a forțat astfel dispozitivele să repornească la fiecare câteva minute – dar și să oprească administrarea de la distanță a accesului la dispozitiv.

Acest lucru a însemnat că tehnicienii au fost nevoiți să se prezinte la fața locului și să deconecteze hardware-ul afectat de la internet, până ce traficul malițios a putut fi filtrat.

Compania de management IT Valtia, a afirmat că există o evidență puternică a faptului că dispozitivele vulnerabile expuse la internet, fabricate de producătorul local, Fidelix, au fost implicate în incident.

  1. Pierderea de date care a vizat angajații din Departamentul de Justiție din Statele Unite

În februarie, infractori cibernetici enervați de relațiile dintre SUA și Israel au atacat baza de date a Departamentului de Justiție din SUA.

CNN a relatat că atacatorii au compromis și publicat prima dată datele a 10.000 de angajați ai Departamentului de Securitate Internă, continuând apoi cu cele aparținând unui număr de 20.000 de angajați de la FBI în următoarea zi. Informațiile furate și lansate public au inclus nume, funcții, numere de telefon și adrese de e-mail, iar Departamentul de Justiție a susținut că nu crede că au fost compromise și alte informații sensibile, precum numerele de securitate socială.

Metoda de atac rămâne un mister, dar ce este important cu privire la acest atac este că a indicat nu numai faptul că infractorii cibernetici pot compromite o agenție guvernamentală mare, atrăgând totodată atenția și asupra faptului că aceste agenții au parte de aceleași incidente pe care le riscă și companiile.

Merită menționat faptul că infractorii cibernetici – care, aparent, au postat pe Twitter de pe contul @DotGovs – au susținut că a durat o săptămână până când Departamentul de Justiție a realizat că sistemele au fost compromise.

  1. AdultFriendFinder.com a fost atacat încă o dată

Site-ul web pentru adulți, AdultFriendFinder, a fost atacat de către infractorii cibernetici ani de-a rândul, iar atacul din luna noiembrie a afectat chiar mai multe persoane decât până acum.

De data aceasta, numărul conturilor compromise a fost imens – aproximativ 412 milioane de utilizatori au avut informațiile personale furate și publicate pe piețele negre destinate infracționalității informatice.

Datele furate au inclus adrese de e-mail, parole, statutul de membru, informații legate de căutări, ultima adresă IP folosită pentru autentificare și tranzacțiile efectuate. LeakedSource a descoperit breșa și a adus-o în atenția publicului.

Ce putem învăța din această breșă? Organizațiile vor continua să ignore securitatea dacă vor vedea în breșele de date un element bun de PR, iar confidențialitatea în mediul online nu va fi niciodată garantată – pe site-urile web.

  1. Fără liniște pentru LinkedIn, Tumblr sau Myspace

În iunie, un infractor cibernetic sub denumirea “Peace”, s-a remarcat după ce datele a milioane de utilizatori de pe LinkedIn, Tumblr și Myspace au devenit disponibile în mediul online. În total, au existat mai mult de un miliard de parole postate public.

Într-adevăr, magazinul din zona dark web administrat de către Peace are o gamă largă în ofertă. Potrivit unui articol realizat de Wired, magazinul său cuprinde 167 de milioane de conturi de utilizator de pe LinkedIn, 360 de milioane de pe MySpace, 68 de milioane de la Tumblr, 100 milioane de la rețeaua rusească de socializare VK.com și recent deține alte 71 de milioane de conturi de la Twitter, în total acestea depășind astfel 800 de milioane de conturi, iar numărul acesta este în continua creștere.

Aceste colecții de furturi de date au dus la utilizarea în mod abuziv a conturilor din social media a CEO-ului de la Facebook, Mark Zuckerberg, a starurilor pop Katy Perry și Drake și a cofondatorului Twitter, Biz Stone, printre alții.

Dar modul în care acesta a reușit să gestioneze – în cazul în care, în realitate a realizat acest lucru singur - o cantitate atât de mare de date rămâne nedeslușit. Există câteva sugestii conform cărora datele sunt vechi și datează din 2012, iar gravitatea acestor atacuri a fost amplificată pe baza reutilizării acelor parole.

  1. Site-ul jurnalistului specializat în securitate Brian Krebs a fost lovit de atacuri de tip DDoS

Jurnalistul și cercetătorul din domeniul securității, Brian Krebs, este un nume respectat în industrie,  fiind responsabil pentru investigații care au scos la lumină grupuri din cadrul crimei organizate și breșe de date cu mult timp înainte ca organizațiile implicate să fie conștiente de ele.

Dar eforturile de genul acesta pot aduce pe oricine în atenția oamenilor rău intenționați. Acest lucru s-a petrecut și cazul lui Krebs în septembrie, când site-ul său, mult mai protejat decât majoritatea celorlalte, a fost lovit de un atac DDoS record (la momentul respectiv), cu valori cuprinse între 620 și 655 Gbps.

Atacul, deși nu a avut succes, datorită eforturilor depuse de furnizorul DNS, Akamai, a fost uimitor din cauza faptului că atacul record precedent de acest tip a fost unul de 363 Gbps. Nu numai volumul de atac a suprins, ci și tehnica. În timp ce atacul anterior s-a bazat pe o tehnică esențială “de amplificare” a unui atac mai mic la nivelul unuia mult mai mare, atacul ce l-a vizat pe Krebs s-a dovedit că ar fi fost pur și simplu lansat dinspre un botnet imens, compus din dispozitive compromise.

Ce putem învăța din asta? Atacurile DDoS cresc într-un ritm rapid și se supradimensionează ca forță. Nu mai sunt niște atacuri de tip entry-level.

  1. Yahoo, victima unei breșe majore de date. Partea #1

În septembrie, motorul de căutare, furnizorul de e-mail și rivalul Google, Yahoo, a fost implicat  în ceea ce a fost ulterior descrisă ca fiind “cea mai mare breșă de date din istorie”.

Compania a fost forțată să admită că aproximativ 500 de milioane de clienții au fost victimele unui furt de date, aici fiind implicate detalii sensibile precum nume, adrese de e-mail, numere de telefon și parole trunchiate. În timp ce dimensiunea atacului a fost semnificativă, a fost notabil, de asemenea, faptul că s-a sugerat implicarea unui atacator sponsorizat la nivel de stat.

Acesta nu a fost primul caz în care Yahoo s-a găsit într-o situație jenantă în ceea ce privește securitatea cibernetică – a avut parte de o breșă de date și în anul 2014 – dar ce este cu adevărat interesant este faptul că Yahoo pare să fi știut de atac încă din august, cu două luni înainte ca breșa să fi fost raportată.

  1. Yahoo, victima unei breșe majore de date: Partea #2

Această breșă de date fără precedent a ajuns pe primele pagini ale site-urilor din întreaga lume în zilele de 14 și 15 decembrie 2016. Yahoo a anunțat că de data aceasta s-a ajuns la concluzia că au fost compromise aproximativ un miliard de conturi – și mai rău decât atât, s-a dezvăluit faptul că acesta a fost un incident diferit de cel legat de breșa de date din anul 2014.

Potrivit lui Bob Lord, responsabil cu securitatea informațiilor la Yahoo, se bănuiește că această breșă datează încă din august 2013. Au fost din nou compromise informații de tipul: nume, adrese de e-mail, numere de telefon sau parole trunchiate. Nu au fost aparent afectate detalii ;i mai sensibile de tipul contului bancar sau datele de plată (acestea nu sunt stocate de sistemul de la Yahoo). Mark James de la ESET a comentat atunci: “Ce puteți face în ceea ce privește această breșă? NIMIC! Din păcate, acesta este adevărul, nu puteți face absolut nimic în ceea ce privește această breșă de date, dar puteți încerca să limitați orice alte daune, ce ar putea fi cauzată de pierderea datelor.”

James a oferit însă sfaturi cu adevărat utile și eficiente cu privire la această situație. Ce înseamnă acest incident pentru industria de securitate? Este prea devreme pentru a fi susținut un punct de vedere cert, dar ce este sigur este că a reprezentat un punct critic în seria de incidente de anul trecut.

  1. Alegătorii din Filipine vizați de Anonymous

Este un subiect carer poate că nu a apărut pe primele pagini în emisfera vestică, dar în luna aprilie acesta a reprezentat unul dintre cele mai discutate și investigate atacuri ale intervalului.

breșă în baza de date a Comisei de Alegeri din Filipine (COMELEC) a dus la pierderea de informații personale aparținând fiecărui alegător din țară. Pretinzând că breșa a fost realizată de Anonymous Philippines, informația a fost făcută publică de către Lulzsec Pilipinas.

Acțiunile celor din grupul Anonymous au fost motivate aparent de intenția de a forța activarea unor caracteristici de securitate, la nivelul mașinilor instalate in infrastructura din sistemul de votare, înainte de alegerile naționale din data de 9 mai. Acest incident a apărut într-un moment interesant și sugerează faptul că politica poate fi influențată destul de mult de forțe exterioare, chiar mai mult decât am vrea să recunoaștem.

 

EDITOR

oana January 11, 2017

Lasa un comentariu