Krzysztof Silicki: Ataki trwają cały czas
- Ataki trwają cały czas. Będą one stawały się coraz bardziej wyrafinowane. Wystarczy spojrzeć na nasze raporty. Liczba obsługiwanych przez CSIRT NASK incydentów wzrasta rocznie o kilkadziesiąt procent - stwierdza w rozmowie z Interią Krzysztof Silicki, zastępca dyrektora NASK, dyrektor ds. cyberbezpieczeństwa i innowacji w NASK (Naukowa i Akademicka Sieć Komputerowa - Państwowy Instytut Badawczy).
Interia, Jak dużym zagrożeniem w sieci jest podszywanie się pod inną osobę lub instytucję w celu wyłudzenia poufnych informacji (phishing)?
Krzysztof Silicki, NASK: Phishing to jedno z najczęściej występujących zagrożeń dla przeciętnego użytkownika. Nie jest to coś nowego. Phishing jest wykorzystywany przez różnych aktorów do konkretnych celów. Jeśli mamy do czynienia z motywacją finansową, phishing będzie prowadzony przez podszywanie się pod instytucje finansowe w celu przejęcia naszych kont w bankach. W przypadku szerzenia dezinformacji będzie to szeroka kampania, aby dotrzeć do jak największego grona internautów - osoby podające się za kogoś innego, publikują wtedy informacje będące fałszywymi. Aby to zrobić w sposób ukryty, przejmują konta pocztowe lub konta w serwisach społecznościowych. Konta mailowe są szczególnie ważne, o czym nie wszyscy pamiętają - w poczcie elektronicznej znajdziemy nie tylko informacje cenne dla atakującego, ale za pomocą kont mailowych sterujemy kontami w różnych serwisach, chociażby społecznościowych (na przykład zmiana lub przypomnienie hasła). Konta e-mail są zatem naturalnym celem ataków. Jest to zagrożenie istniejące od lat i przybiera na sile. Nie dotyczy wyłącznie Polski.
No co zatem należy uważać w przypadku phishingu?
- Higiena związana z cyberbezpieczeństwem powinna dotyczyć każdego, niezależnie od tego, czy znajduje w pracy, czy w domu, czy korzysta z konta prywatnego, czy służbowego (oczywiście nie należy mieszać tych dwóch światów). Nie wystarczy już nawet silne hasło, nie mówiąc już o słabych, które zawsze były zagrożeniem. Teraz należy wszystkich edukować, aby włączali wieloskładnikowe uwierzytelnianie, bo to daje dużo większą gwarancję, że nasze dane nie zostaną przechwycone i nie staniemy się ofiarą ataku. Ale z drugiej strony, jeśli, korzystając z internetu, nie będziemy czujni i będziemy klikać w linki prowadzące do spreparowanych stron i wpisywać tam swoje dane logowania do serwisu bankowego, społecznościowego itp., albo będziemy otwierać załączniki, w których ukrywa się szkodliwe oprogramowanie, to nawet silne uwierzytelnianie nic nie pomoże. Trzeba być czujnym.
- Podstawowe dwie prawdy są następujące: Po pierwsze, w jaki sposób dbam o to, aby moje dane uwierzytelniające dawały mi coraz większą gwarancję, że nikt nie przejmie moich danych dostępowych. Po drugie, metody phishingowe stają się coraz bardziej zaawansowane. Przyzwyczailiśmy się do tego, że podczas transakcji bankowej otrzymujemy SMS potwierdzający. Tymczasem do internautów nie dociera, że zwykłe konto mailowe powinno być chronione podobnie. Często brakuje świadomości, że zostawiany przez nas ślad cyfrowy może zostać zmanipulowany.
Kto może stać za tym atakiem na poselskie konta? To odosobniony przypadek czy zorganizowana akcja?
- Warto poczytać raport poważnej firmy takiej jak Mandiant (dzisiaj FireEye), w której przeprowadzono analizę kampanii Ghostwriter, ze wskazaniem aktora o oznaczeniu UNC1151 (kampania dezinformacyjna przeprowadzona na Litwie, Łotwie i w Polsce, jej ofiarą padł m.in. Marek Suski - przyp. redakcji). To, co atakujący pozyskają w takiej kampanii, może być wykorzystywane potem do przeprowadzenia innych działań przestępczych i na przykład do skompromitowania znanej instytucji. Raporty takie jak Madianta mówią o źródle i powodach ataku "z dużym prawdopodobieństwem", nikt nie da pełnej gwarancji, kto za tym stoi.
Czy należy spodziewać się następnych ataków?
- Ataki trwają cały czas, a sprawa jest - jak to się mówi - rozwojowa. Będą one stawały się coraz bardziej wyrafinowane. Wystarczy spojrzeć na nasze raporty. Liczba obsługiwanych przez CSIRT NASK (Computer Security Incident Response Team NASK zajmuje się kwestiami cyberbezpieczeństwa - przyp. redakcji) incydentów wzrasta rocznie o kilkadziesiąt procent.
- Jednym z możliwych wydarzeń są ataki typu "state sponsored" ("sponsorowane przez obce państwo" - dop. redakcji), chociażby SolarWinds - są to przemyślane ataki o charakterze globalnym, gdzie wykorzystywane są podatności typu zero day ("luka dnia zerowego" ), błędy których nikt wcześniej nie znał. Inne ataki korzystają z metody "zatrutego źródła". Jeśli dojdzie do "zatrucia" oprogramowania, jakie produkuje firma obsługująca inne podmioty, to za pomocą aktualizacji pozostałe firmy pobiorą kod do siebie. Nie trzeba wtedy atakować poszczególnych instytucji, tylko producentów oprogramowania przez nich wykorzystywanego - tak było w przypadku SolarWinds.
Czy cyberatak na polskich polityków może być uznany za akcję "sponsorowaną przez państwo"?
- Obserwacje CSIRT NASK oraz analizy poważnych, doświadczonych i wiarygodnych międzynarodowych instytucji potwierdzają taką tezę. Podobne wnioski przedstawione są również w komunikatach naszych służb specjalnych.
Rozmawiał Łukasz Kujawa