Znajdź zawartość

Podczas konferencji Black Hat przeprowadzono pokaz cyberataku, który może... zabić człowieka. Jay Radcliffe, specjalista ds. bezpieczeństwa, który od kilkunastu lat cierpi na cukrzycę typu 1 i korzysta z pompy insulinowej, zademonstrował, w jaki sposób można zaatakować urządzenie. Atak można przeprowadzić z odległości 45 metrów, a napastnik potrzebuje jedynie odpowiedniego sprzętu, oprogramowania oraz znajomości numeru seryjnego pompy. Taki zestaw pozwala na połączenie się z pompą i wydawanie jej poleceń. Można ją wyłączyć lub, co gorsza, zmienić podawane przez nią dawki insuliny. To z kolei może doprowadzić do śmierci właściciela pompy. To jak mieć dostęp do urządzenia, a to oznacza posiadanie dostępu do chemii organizmu - mówi Radcliffe. Nie chciał on zdradzić, jakiego producenta pomp dotyczy problem. Z jednej strony mogłoby to wywołać panikę posiadaczy takich urządzeń, a z drugiej - zachęcić cyberprzestępców do szukania w nim luk. Radcliffe nie badał innych modeli pomp i innych producentów. Nie wiadomo zatem, ile tego typu urządzeń można zaatakować. Jego zdaniem należy wprowadzić mechanizmy bezpieczeństwa, polegające np. na tym, że wszelkie zmiany w działaniu pompy muszą zostać zatwierdzone przez jej użytkownika.

Inżynierowe z MIT-u postanowili zabezpieczyć osoby z rozrusznikami serca i tym podobnymi urządzeniami przed potencjalnie śmiertelnym cyberatakiem. Na całym świecie miliony osób korzystają z wszczepionych defibrylatorów, rozruszników, pomp podających leki. Co roku 300 000 takich urządzeń trafia do ciał pacjentów. Wiele z nich posiada moduł łączności bezprzewodowej, dzięki czemu lekarze mogą zdalnie nadzorować stan pacjenta. Niestety, badania dowiodły, że możliwe jest przeprowadzenie ataku na takie urządzenie. W najgorszym przypadku napastnik może poinstruować je, by podało zbyt dużo leku lub zbyt duże napięcie, doprowadzając do śmierci właściciela. Badacze z MIT-u oraz University of Massachusetts-Amherst (UMass) pracują nad systemem, który zapobiega atakom. Ma on korzystać z drugiego nadajnika, który zagłusza nieautoryzowane sygnały nadawane na częstotliwości implantu. Tylko uwierzytelnieni użytkownicy mogą się połączyć z wszczepionym urządzeniem. Nadajnik będzie szyfrował transmisję i wymagał uwierzytelnienia. Dzięki temu, iż jest to osobne urządzenie, możliwe będzie wykorzystanie go przy już wszczepionych urządzeniach. Inżynierowe przewidują, że nadajnik, zwany przez nich tarczą, będzie na tyle mały, iż pacjent będzie go nosił jak naszyjnik lub zegarek. Urządzenie autoryzowane do łączności będzie przesyłało informacje do tarczy, ta je odszyfruje i prześle do urządzenia w ciele pacjenta. Obecnie stosowane implanty nie były projektowane z myślą o zapobieganiu atakom, zatem transmisja nie jest szyfrowane. Dina Katabi z MIT-u uważa, że i w przyszłości bardziej praktyczne będzie poleganie na zewnętrznym urządzeniu szyfrującym. Trudno jest wbudować mechanizmy szyfrujące w implanty. Są one bowiem naprawdę małe, więc ze względu na zużycie energii i ich architekturę, nie ma sensu wbudowywać weń mechanizmów szyfrujących - mówi Katabi. Co więcej, jak zauważa, mogłoby to być niebezpieczne. W sytuacji zagrożenia życia, gdy pacjent np. jest nieprzytomny, załoga karetki pogotowia mogłaby nie być w stanie połączyć się z implantem i sprawdzić jego danych lub wysłać doń instrukcji. Jeśli zaś wykorzystamy zewnętrzne urządzenie, jak wspomniana tarcza, to wystarczy, by ratownicy odsunęli je od pacjenta. Katabi pracuje nad tarczą wraz ze swoimi dwoma studentami oraz Kevinem Fu, profesorem z UMass i jego studentem Benem Ransfordem. Wykorzystują oni używane defibrylatory otrzymane od szpitali z Bostonu. Katabi wyjaśnia, że kluczowym elementem systemu jest nowa technika, która pozwala tarczy na jednoczesne wysyłanie i odbieranie sygnałów w tym samym paśmie częstotliwości. Standardowe urządzenia bezprzewodowe tego nie potrafią. Ostatnio uczeni z Uniwersytetu Stanforda zaprezentowali tego typu system, jednak wymaga on użycia trzech anten, których odległość od siebie zależy od częstotliwości sygnału. Dla urządzeń medycznych anteny musiałyby znajdować się w odległości 0,5 metra jedna od drugiej. Zespół z Massachusetts opracował system korzystający z dwóch anten, a dzięki odpowiedniemu przetwarzaniu sygnałów nie jest konieczne, by były one od siebie oddalone.

Pentagon przygotowuje swoją pierwszą strategię obrony cyberprzestrzeni. Z treścią jej jawnej części będzie można zapoznać się prawdopodobnie już w przyszłym miesiącu, jednak już teraz wiadomo, że nie wykluczono zbrojnej odpowiedzi na cyberatak. Pentagon chce w ten sposób zniechęcić inne kraje do podejmowania prób zaatakowania amerykańskiej infrastruktury poprzez sieć komputerową. Jeśli wyłączysz nasze elektrownie, może wyślemy rakietę do jednej z twoich elektrowni - stwierdził urzędnik Pentagonu. Stany Zjednoczone stały się szczególnie czułe na punkcie cyberprzestrzeni w 2008 roku, gdy doszło do udanego ataku na co najmniej jeden wojskowy system komputerowy. Ostatnie ataki na Pentagon czy pojawienie się robaka Stuxnet, który z cel obrał sobie irańskie instalacje nuklearne, tylko dolały oliwy do ognia, a ostatnio ofiarą ataku stał się Lockheed Martin, jeden z największych dostawców sprzętu wojskowego. Nieoficjalnie wiadomo, że wśród urzędników Pentagonu ciągle trwają spory na temat tak istotnych kwestii jak możliwość jednoznacznego wskazania źródła ataku oraz określenie, jak potężny musi być cyberatak, by uznać go za wypowiedzenie wojny. Wydaje się, że w tym drugim punkcie specjaliści są bliscy osiągnięcia porozumienia - jeśli cyberatak powoduje śmierć, zniszczenia lub poważne zakłócenia, a więc ma skutki podobne do tego, jakie przyniósłby tradycyjny atak, wówczas można zacząć rozważać użycie siły zbrojnej w celu jego odparcia. Wiadomo, że opracowywany dokument liczy około 30 tajnych i 12 jawnych stron. Zawiera m.in. stwierdzenie, że obecnie obowiązujące przepisy prawne dotyczące prowadzenia wojny mają zastosowanie również podczas konfliktu w cyberprzestrzeni. Położono w nim nacisk na zsynchronizowanie amerykańskiej doktryny cyberwojny z doktrynami sprzymierzeńców. NATO przyjęło w ubiegłym roku zasadę, że podczas cyberataku na jeden z krajów zbierze się specjalna grupa konsultacyjna, jednak poszczególne kraje nie będą miały obowiązku przychodzić innym z pomocą. Zdaniem Pentagonu najbardziej zaawansowane cybearaki wymagają zastosowania zasobów, którymi dysponują tylko rządy. Stąd też wniosek, że za takimi atakami stoją państwa, a więc można się przed nimi bronić za pomocą tradycyjnych sił zbrojnych. Emerytowany generał Charles Dunlap, obecnie profesor prawa na Duke University mówi: Cyberatak rządzi się tymi samymi prawami, co inne rodzaje ataku, jeśli jego skutki są zasadniczo takie same. Dlatego też w razie cyberataku, aby konwencjonalny kontratak był zgodny z prawem, należy wykazać, że jego skutki są podobne do ataku konwencjonalnego. James Lewis, specjalista ds. bezpieczeństwa w Centrum Studiów Strategicznych i Międzynarodowych, który był doradcą prezydenta Obamy, stwierdził, że jeśli np. cyberatak przyniósł takie straty w handlu, jakie przynosi blokada morska, to usprawiedliwia to zbrojną odpowiedź. Najtrudniejszą kwestią będzie prawdopodobnie jednoznaczne stwierdzenie, że za atakiem stoi rząd konkretnego państwa. Dość wspomnieć, że wciąż nie wiadomo, kto stał za atakiem Stuxneta. Niektórzy eksperci podejrzewają Izrael i nie wykluczają, że pomagały mu Stany Zjednoczone. Pewności jednak nie ma, gdyż tylko 60% infekcji zanotowano na terenie Iranu. Inne kraje, w których znaleziono Stuxneta to Indonezja, Indie, Pakistan i USA.

Spór pomiędzy Google a Chinami ponownie się zaostrzył po tym, jak wyszukiwarkowy gigant oskarżył ChRL o przeprowadzenie niedawnego ataku na Gmaila. W odpowiedzi w dzisiejszym numerze państwowego Renmin Ribao (Dziennik Ludowy) stwierdzono, że Google jest narzędziem politycznym używanym przez Zachód do szkalowania Chin, a ostatnie oświadczenie koncernu może zaszkodzić jego pozycji w Państwie Środka. Google nie powinno zbytnio wikłać się w międzynarodową politykę, odgrywając rolę narzędzia walki politycznej. Gdy międzynarodowe wiatry zmienią swój kierunek, Google może zostać poświęcone na ołtarzu polityki i zostanie odrzucone przez rynek - piszą redaktorzy Renmin Ribao. Gróźb tych nie można lekceważyć, gdyż dziennik jest największą gazetą w Chinach i oficjalnym organem prasowym partii komunistycznej.

Eksperci ostrzegają, że rośnie liczba hakerskich ataków na istotną infrastrukturę, taką jak terminale gazowe, elektrownie czy sieci wodociągowe. Na podstawie ankiet przeprowadzonych wśród 200 menedżerów IT z 14 krajów stwierdzono, że 80% takiej infrastruktury doświadczyło w ubiegłym roku jakiegoś rodzaju ataku. Największa liczba ataków przeprowadzana jest z Chin, Rosji i USA. Jeszcze w roku 2009 nieco ponad połowa infrastruktury doświadczała ataków. Większość z nich to DDoS, przeprowadzane za pomocą botnetów. Jako, że za ich pomocą raczej nie uda się doprowadzić np. do odcięcia dostaw energii, są one skierowane przeciwko witrynom WWW lub infrastrukturze IT firm. Specjaliści obawiają się jednak, ze w przyszłości ataki DDoS mogą stać się groźniejsze. Aż 75% menedżerów IT było zdania, że w ciągu najbliższych dwóch lat może dojść do ataków powodujących „poważne problemy", definiowane jako zaprzestanie świadczenia usług na co najmniej 24 godziny, powodujące śmierć lub rany u ludzi, doprowadzające firmę do upadku. Menedżerów pytano też o to, które rządy najbardziej pomagają przedsiębiorstwom w zabezpieczaniu infrastruktury. Wymienili Japonię, Chiny i Zjednoczone Emiraty Arabskie. Nie odróżniano tutaj bowiem dobrowolnej i wymuszonej współpracy rządu i biznesu.

Esowaty kształt koników morskich od dawna zastanawiał biologów i amatorów. Teraz wydaje się, że zagadka uformowania ciała tych ryb została wyjaśniona. Wg akademików z Antwerpii, charakterystyczne wygięcie pozwala lepiej polować na ofiarę z dystansu (Nature Communications). W odróżnieniu od innych igliczniowatych, koniki nie podpływają do ofiary, ale czekają, aż sama przepłynie obok. Pobierają pokarm dzięki ssąco-wciągającym ruchom pyska. Dr Sam Van Wassenbergh posłużył się szybką kamerą i modelami matematycznymi i doszedł do wniosku, że wygięcie umożliwia konikom atakowanie ofiar znajdujących się w większej odległości od nich. Obracają głowę ku górze do przepływającej nad nimi zdobyczy. Jednocześnie częściowo prostują się w pierwszym "przegubie" (wciągają brzuch), przez co ich pysk zbliża się do skorupiaka bardziej, niż gdyby nadal miały proste kształty igliczniowatych, z których się wywodzą. Po tych manewrach można już zacząć wsysać danie. Wassenbergh uważa, że zmiana sposobu polowania na przyczajanie się i atak z ukrycia wymusiła zmianę kształtu ciała. Koniki przytwierdzają się ogonem do trawy morskiej i czekają na jedzenie przepływające w zasięgu uderzenia.

Firma McAffee opisuje, jak cyberprzestępcy przez kilkanaście miesięcy mieli dostęp do sieci komputerowej co najmniej pięciu firm działających w sektorze ropy naftowej i gazu. Atakującym udało się ukraść dokumenty dotyczące wydobycia złóż i zawartych kontraktów. Skoordynowanym działaniom eksperci z McAffee nadali kryptonim Night Dragon. Wszystkie ataki zostały przeprowadzone za pomocą kodu powszechnie dostępnego w cyberprzestępczym podziemiu. Ataki rozpoczęły się w listopadzie 2009 roku. Najpierw przestępcy włamywali się na serwer WWW firmy. Następnie wgrywali tam specjalne narzędzia, dające im dostęp do sieci wewnętrznej. Później łamali hasła i nazwy użytkownika, dostając się jeszcze głębiej do firmowej infrastruktury. Dzięki temu zyskiwali dostęp do danych, które "dla konkurencyjnych firm są warte fortunę". Nie wiadomo, kto stał za atakami. Fakt, że były one przeprowadzane tylko w przypadające w Chinach dni robocze może stanowić pewną wskazówkę, lecz trudno na tej podstawie wyciągać jakiekolwiek wnioski. Tym bardziej, że atakujący nie starali się zbytnio ukryć śladów swojej działalności, co może wskazywać albo na to, że brakowało im umiejętności, albo też, że chcieli skierować podejrzenia na fałszywy trop.

Jon Larimer z IBM-owskiego zespołu X-Force udowodnił, że Linux system nie jest odporny na technikę, którą dotychczas wykorzystywano przeciwko platformie Windows. Larimer wykorzystał fakt, że wiele dystrybucji automatycznie wykrywa i pokazuje zawartość takich plików przechowywanych na klipsach USB. Dzięki temu udało się przeglądarkę plików Nautilus zmusić do uruchomienia zawartego na klipsie szkodliwego kodu. Larimer był też w stanie wyłączyć mechanizmy ASLR oraz AppArmor. Ataki za pomocą klipsów USB, a technikę taką wykorzystali twórcy Confickera i Stuxneta, nie są zatem ograniczone tylko do platformy Windows.

Federalne organy ścigania badają przypadek włamania do komputerów giełdy Nasdaq. Jak donosi The Wall Street Journal, do włamania doszło w ubiegłym roku. Przestępcy dostali się do komputerów Nasdaq OMX Group, ale nie zaatakowali platformy do przeprowadzania operacji giełdowych. Jak na razie wygląda na to, że się tylko rozglądali - poinformowało dziennikarzy anonimowe źródło. Śledczy biorą pod uwagę różne motywy ataku. Od próby manipulowania kursami, poprzez kradzież tajemnic handlowych po chęć zniszczenia samej giełdy. Ta niepewność najbardziej niepokoi śledczych. Wielu doświadczonych hakerów działa tak, że nie próbują od razu zarobić na ataku. Często najpierw dokonują rozpoznania terenu, jakby zbierali dane wywiadowcze, by dowiedzieć się, w jaki sposób osiągnąć największe korzyści ze swoich działań - mówi Tom Kellerman, były ekspert Banku Światowego ds. bezpieczeństwa. Śledztwo prowadzone jest przez Secret Service i FBI.

Podczas zakończonej w ubiegłym miesiącu konferencji Defcon przeprowadzono test, polegający na wykorzystaniu technik inżynierii społecznej do uzyskanie od pracowników korporacji istotnych danych na temat ich firmy. Spośród 135 zaatakowanych osób tylko 5 odmówiło podania informacji. Co ciekawe, wszystkie 5 to... kobiety. Szczegółowy raport na temat ataków zostanie opublikowany w najbliższym czasie. Obecnie wszelkie dane analizuje FBI. Atakujący wzięli na cel 17 firm z listy Fortune 500, wśród nich Google, Microsoft, Forda, Wal-Mart, Symantec, Cisco, Pepsi i Coca-Colę. Napastnicy siedzieli w przeszklonych budkach i dzwonili do pracowników wspomnianych firm, próbując wydobyć od nich istotne informacje. Ataki okazały się niezwykle udane. Tylko jedna firma się przed nimi obroniła, a to tylko dlatego, że telefon odbierały automaty. Atakujący nie mogli pozyskiwać najistotniejszych informacji, takich jak hasła czy numery ubezpieczeń społecznych, ale mieli prawo pytać o takie dane, które mogą zostać wykorzystane przez cyberprzestępców - takie jak rodzaj systemu operacyjnego, oprogramowania antywirusowego czy używanej przeglądarki. Rozmówców usiłowano również nakłonić do odwiedzenia konkretnej witryny WWW. Podczas testu dokonano dwóch istotnych odkryć. Połowa firm wciąż używa niebezpiecznego Internet Explorera 6, ponadto okazało się, że zawsze udaje się namówić rozmówcę do odwiedzenia dowolnej witryny. To z kolei wskazuje, że nawet najbardziej dbającą o bezpieczeństwo firmę można zaatakować. Kobiety stanowiły mniej niż połowę spośród 135 osób, do których dzwoniono. Jednak to płeć piękna, z nieznanych jeszcze przyczyn, przeszła test znacznie lepiej niż mężczyźni. Pięć pań, natychmiast po odebraniu telefonu nabrało podejrzeń i w ciągu 15 sekund odłożyły słuchawkę. Trzy z nich pracowały na stanowiskach menedżerskich. Być może w tym tkwi przyczyna sukcesu gdyż, jak mówi Jonathan Ham z firmy Lake Missoula Group, która specjalizuje się w testach penetracyjnych, kobiety menedżerowie są bardziej odporne na techniki inżynierii społecznej. Ham przyznaje, że gdyby był cyberprzestępcą atakującym firmę, to unikałby kontaktu z kobietami na stanowiskach kierowniczych. Znacznie łatwiej zaatakować menedżerów płci brzydkiej.

Rozpoczęta przez Wikileaks afera Cablegate odbiła się rykoszetem w... Zimbabwe. Anonimowi poinformowali o zaatakowaniu i zablokowaniu witryny rządu tego kraju. Atak został sprowokowany wypowiedzią żony prezydenta Grace Mugabe, która pozwała dziennik Zimbabwe Standard. Pani prezydentowej nie spodobało się, że opublikował on ujawnione przez Wikileaks depesze amerykańskich dyplomatów, w których informują oni, iż Grace Mugabe należy do grupy zimbabweańskiej elity zarabiającej miesięcznie setki tysięcy dolarów na przemycie diamentów nielegalnie wydobywanych w okręgu Marange. Wydobywane tam kamienie to tzw. krwawe diamenty, a ich sprzedaż w wielu krajach świata jest zabroniona. W roku 2009 diamenty z Marange nie uzyskały tzw. certyfikatu Kimberley Process, gdyż ich wydobycie związane jest z niewolniczym zatrudnieniem i licznymi naruszeniami praw człowieka. Kimberley Process to organizacja składająca się urzędników rządowych i przedstawicieli przemysłu, a jej celem jest niedopuszczenie do wydobywania, przemytu i sprzedaży krwawych diamentów. Mimo to wydobycie w okręgu Marange trwa, gdyż - jak informują organizacje pozarządowe - uzyskane w ten sposób pieniądze zasilają partię prezydenta Mugabe. Grace Mugabe domaga się w pozwie 15 milionów dolarów odszkodowania od Zimbabwe Standard. Jednocześnie prokurator generalny Zimbabwe powołał specjalną komisję do zbadania depesz ujawnionych przez Wikileaks. Komisja ta najprawdopodobniej oskarży o zdradę - co w Zimbabwe karane jest śmiercią - premiera Morgana Tsvangiraia, głównego konkurenta politycznego prezydenta Mugabe. Z ujawnionych depesz można bowiem wnioskować, że Tsvangirai w rozmowie z amerykańskimi dyplomatami sugerował, że sankcje przeciwko Zimbabwe, które nałożono w odpowiedzi na dyktatorskie rządy Mugabe, powinny zostać utrzymane. Witryna rządu Zimbabwe jest wciąż niedostępna.

FBI zajęła serwery, które najprawdopodobniej zostały wykorzystane przez cyberprzestępców do przeprowadzenia ataku DDoS na serwis PayPal, który był odwetem za zablokowanie możliwości dokonywania wpłat na konto Wikileaks. Serwery należą do teksańskiej firmy hostingowej Tailor Made Services i wszystko wskazuje na to, że zostały wykorzystane bez wiedzy jej właścicieli. Maszyny zajęto, gdyż prawdopodobnie znajdują się na nich ślady, które umożliwią dotarcie do organizatorów ataku. Wcześniej FBI otrzymało od PayPala osiem adresów IP, które przeprowadzały atak. Specjaliści z FBI już wiedzą, że część z nich to adresy serwerów kontrolujących botnet. Do firmy w Teksasie śledczy dotarli po śladach znalezionych w dołączonym do botnetu komputerze należącym do niemieckiego przedsiębiorstwa Host Europe. Najprawdopodobniej serwery Tailor Made Services posłużyły jako centrum kontroli, skąd wydano, m.in. niemieckiemu komputerowi, polecenie przeprowadzenia ataku. Do nalotu na siedzibę Tailor doszło 16 grudnia. Agenci FBI skopiowali wówczas zawartość dwóch dysków twardych. Wiadomo również, że kolejny ze zidentyfikowanych adresów IP należy do wirtualnego serwera hostowanego przez kalifornijską Hurricane Electric. Na razie nie wiadomo, czy dotychczasowe śledztwo zakończyło się jakimiś aresztowaniami.

Ktoś postanowił złamać jedną z podstawowych ponoć zasad internetu, która brzmi "nie zadzieraj z 4Chan". Serwery 4Chan.org padły ofiarą ataku DDoS i serwis był przez jakiś czas niedostępny. 4Chan to siedziba Anonimowych, którzy przeprowadzali ataki, próbując przyjść w sukurs Wikileaks. Informacje o ataku przekazał Moot, założyciel 4Chan, który na Twitterze napisał: Witryna niedostępna wskutek DDoS. Dołączyliśmy do Mastercard, Visy, Paypala i innych - jesteśmy w ekskluzywnym klubie. Obecnie nie wiadomo, kto stoi za atakiem na 4Chan. Niewykluczone, że to odwet za atakowanie przez Anonimowych innych witryn. Zdaniem Paula Muttona, specjalisty ds. bezpieczeństwa z firmy Netcraft, atak na 4Chan trwał przez wiele godzin. W ciągu ostatnich 24 godzin witryna odpowiadała bardzo powoli albo w ogóle była niedostępna - stwierdził. Początkowo sądzono, że za atakiem stoi hacker o pseudonimie Jester, autor pierwszego ataku na Wikileaks, w wyniku którego serwis Assange'a był niedostępny. Sam Jester zaprzeczył na Twitterze, jakoby zaatakował 4Chan. O samym Jesterze (na Twitterze podpisuje się on jako @th3j35t3r) niewiele wiadomo. Prawdopodobnie jest on obywatelem USA. Pewien rozgłos zdobył w środowisku atakując witryny radykalnych islamistów powiązanych z Al-Kaidą. Do ataków używa, jak sam twierdzi, własnego narzędzia o nazwie XerXes. Mówi też, że zaatakował witrynę prezydenta Iranu. Po tym, jak wziął na siebie odpowiedzialność za atak na Wikileaks, Anonimowi zapowiedzieli odwet.

Atak Anonimowych, którzy stanęli w obronie Wikileaks, był bez znaczenia. Wbrew temu, co można było wywnioskować czytając prasę, był on niezwykle słaby i nie przysporzył nikomu większych kłopotów. Craig Labovitz, główny naukowiec firmy Arbor Networks, porównał skalę i zaawansowanie techniczne ataku Anonimowych z 5000 innych ataków DDoS przeprowadzonych w 2010 roku. Doszedł do wniosku, że był on bez znaczenia. Z pewnością nie była to wojna, jak czytaliśmy w niektórych tytułach prasowych. To była pewna forma protestu z jedną przypadkową ofiarą. Labovitz podczas porównania wykorzystał bazę danych kompletowanych przez Arbor Networks. Do firmy tej należy aż 75% światowego rynku rozwiązań mających chronić sieci przed atakami DDoS. Badanie wykazało, że ataki nie były ani mocne, ani technicznie zaawansowane. Zapytania wysyłane przez LOIC [oprogramowanie użyte przez Anonimowych podczas ataku - red.] były bardzo proste. Dobrze przygotowany atak wykorzystuje odpowiednią kolejność zapytań, odpowiedni ich zestaw prowadzi do awarii atakowanego systemu - mówi Labovitz i dodaje, że nie zauważył żadnych cech zmasowanego, dobrze przygotowanego ataku. Jego zdaniem szczytowe natężenie ruchu generowanego przez Anonimowych osiągnęło wartość 5 Gb/s. Mocny, zmasowany atak powinien mieć wartość około 50 Gb/s, a podczas najpotężniejszego tegorocznego DDoS napastnicy wygenerowali niemal 70 gigabajtów na sekundę. Anonimowi nie byli też dobrze zorganizowani. Mimo iż LOIC został pobrany ponad 100 000 razy, to liczba osób biorących udział w poszczególnych atakach była liczona w setkach. Całkowicie nie powiodła się próba ataku na Amazon, co może świadczyć o sile chmury obliczeniowej, jednak, ze względu na słabe przygotowanie Anonimowych, trudno o tym jednoznacznie przesądzać. Labovitz mówi, że specjaliści są w stanie poradzić sobie z większością przeprowadzanych DDoS. Ostrzega jednak, że w sieci działają też świetnie zorganizowani i silnie motywowani przestępcy, którzy są w stanie zainwestować duże pieniądze w przeprowadzenie potężnego, zaawansowanego ataku.

Nad osobami, które zbyt pochopnie postanowiły dołączyć do Anonimowych i wziąć udział w atakach na firmy, urzędy i osoby, którym nie podoba się działalność Wikileaks, zawisły czarne chmury. Ostrzeżenia ekspertów okazały się prawdziwe - organa ścigania nie mają większych kłopotów z namierzeniem osób, biorących udział w atakach. Specjaliści ds. zabezpieczeń od początku ostrzegali, że pobranie, zainstalowanie i uruchomienie pakietu LOIC (Low Orbit Ion Cannon), który jest wykorzystywany przez Anonimowych do atakowania kolejnych celów, nie jest, delikatnie mówiąc, zbyt rozsądne. Po pierwsze dlatego, że przeprowadzanie ataków jest przestępstwem. Ponadto, dawanie dostępu do komputera kodowi nieznanego pochodzenia to bardzo ryzykowna decyzja. Po trzecie w końcu - LOIC nie zapewnia użytkownikowi anonimowości. Przewidywania ekspertów sprawdziły się. W co najmniej kilkunastu krajach świata trwają śledztwa w sprawie ataków. I jak wynika z analizy pakietu LOIC, przeprowadzonej przez naukowców z holenderskiego Uniwersytetu w Twente, w zdecydowanej większości przypadków władze nie będą miały problemów ze zidentyfikowaniem atakujących. Narzędzie to nawet nie próbuje chronić tożsamości użytkowników. Adresy IP atakujących są widoczne we wszystkich pakietach wysyłanych podczas ataku, Dostawcy internetu mogą z łatwością przypisać je do konkretnych klientów i zidentyfikować konkretne osoby. Ponadto serwery sieciowe standardowo tworzą logi wszystkich zapytań, a zatem maszyny, które stały się celem ataków, zapisały informacje na temat atakujących - napisali naukowcy w swoim raporcie. Dodali, że atak Anonimowych można porównać do próby zalania kogoś listami wysyłanymi zwykłą pocztą i umieszczeniu na kopercie adresu nadawcy. HD Moore, znany ekspert ds. bezpieczeństwa, który przeprowadził własne testy LOIC, powiedział: Każdy, czyj adres IP pojawi się w logach wielu celów, będzie miał poważne kłopoty, by odeprzeć oskarżenia lub naciski na ujawnienie innych atakujących. Oprócz używania tak nieprofesjonalnego narzędzia jak LOIC Anonimowi popełnili szereg innych błędów. Na przykład w ubiegłym tygodniu aresztowany został niejaki Alex Tapanaris, który w imieniu Anonimowych przygotował plik .pdf z oświadczeniem prasowym. Zidentyfikowano go dzięki... informacjom metadata zapisanym w pliku, gdzie znalazło się jego nazwisko. W ciągu najbliższych kilku miesięcy przekonamy się, na ile władzom poszczególnych krajów będzie chciało się ścigać Anonimowych.

Yaniv Altshuler i jego koledzy z Ben Gurion University prognozują, że w przyszłości pojawi się szkodliwe oprogramowanie, które będzie kradło informacje o naszych zachowaniach i powiązaniach społecznych. Obecnie szkodliwy kod kradnie nasze hasła, e-maile, nazwiska, numery kart kredytowych czy kont bankowych. Część z tych informacji służy do ataków na banki czy sklepy online'owe, ale większość trafia do spamerów zalewających skrzynki pocztowe reklamami. Altshuler zauważa, że w serwisach społecznościowych znajdują się dane, po które cyberprzestępcy jeszcze się sięgnęli, ale są one tak cenne, że z pewnością spróbują je zdobyć. To informacje o kręgu naszych znajomych, o zainteresowaniach, pracy czy rodzinie. Dane te są niezwykle cenne dla osób, które chciałyby nam wysłać reklamę. Zamiast celować ślepo w grupę ludzi określonej płci i w określonym wieku, znacznie skuteczniejszą metodą reklamy jest wysłanie jej do osoby, która rzeczywiście jest daną dziedziną zainteresowana. Nie ma najmniejszego powodu, dla którego twórcy szkodliwych aplikacji nie mieliby wykorzystać metod i algorytmów pozwalających na zebranie takich informacji w swoich przyszłych złośliwych programach. O ile już tego nie zaczęli robić - mówią eksperci. Taki program może tworzyć mapy odnośników w serwisach społecznościowych, a jego działanie będzie niezwykle trudne do wykrycia. Taką opinię wyraził Altshuler i jego koledzy, którzy wspólnie przeanalizowali różne strategie mapowania i tworzenia wzorców behawioralnych w sieci komórkowej składającej się z 200 000 telefonów i 800 000 różnego typu połączeń pomiędzy nimi. Badacze nazwali ten typ ataku "kradzieżą rzeczywistości" (stealing reality). Podczas analizowania metod najskuteczniejszych ataków, uczeni doszli do zaskakujących wniosków. O ile podczas standardowych ataków największy sukces odnosi się zarażając jak najszybciej jak największą liczbę komputerów - co czyni atak łatwiejszym do wykrycia - to ataki na powiązania społeczne zapewniają większy sukces gdy liczba infekcji jest nieduża, a atak rozwija się powoli. To z kolei czyni je trudniejszymi do wykrycia. Jeszcze bardziej niepokojącym aspektem stealing reality jest to, że po udanym ataku stajemy się bezbronni. Gdy obecnie ktoś ukradnie nam numer karty kredytowej czy numer konta, możemy zawiadomić bank i ograniczyć straty. W przypadku kradzieży informacji o naszych powiązaniach społecznych nie jesteśmy w stanie zrobić nic, co zminimalizowałoby straty. Jedynym bowiem rozwiązaniem byłoby zmiana zachowania i zerwanie ze znajomymi czy rodziną. Zdaniem Altshulera nie unikniemy takich ataków. Historia pokazała, że jeśli coś ma jakąś wartość, to zawsze znajdzie się ktoś, kto spróbuje nielegalnie to zdobyć - mówi uczony.

Brytyjski komisarz ds. informacji zapowiedział, że jeśli okaże się, iż przez swoje zaniedbania firma ACS:Law dopuściła do wycieku danych brytyjskich internautów, może zostać ukarana grzywną w wysokości do 500 000 funtów. ACS:Law to firma prawnicza, która ściga osoby podejrzewana o nielegalną dystrybucję chronionych prawem plików. Ostatnio firmowa witryna doświadczyła ataku typu DDoS, a po jej powrocie do sieci okazało się, że pliki z danymi tysięcy osób są publicznie dostępnie. Jeśli śledztwo wykaże, że upublicznienie danych nastąpiło nie wskutek ataku, a niedbalstwa, firmie grozi grzywna. ACS:Law od dawna jest na celowniku organizacji broniących prywatności i praw konsumenckich, gdyż stosuje kontrowersyjne metody postępowania. Wiele osób prywatnych przygotowuje się też do wniesienia oskarżeń przeciwko firmie. ACS:Law identyfikuje adresy IP komputerów podejrzewanych o piractwo, a następnie uzyskuje prywatne dane ich właścicieli kontaktując się z dostawcami internetu. Jednak taka metoda uzyskiwania prywatnych danych prawdopodobnie nie jest zgodna z prawem. Później do podejrzanych wysyłane są listy z żądaniem zapłacenia grzywny. Wiele osób twierdzi, że zostało niesłusznie oskarżonych. Pikanterii całej sprawie dodaje fakt, że wśród danych, które wyciekły, znalazły się nazwiska 5000 osób podejrzewanych o nielegalną wymianę filmów pornograficznych.

Robak Stuxnet, atakujący przemysłowe systemy SCADA działające pod kontrolą Windows, jest być może najbardziej zaawansowanym szkodliwym kodem w historii. Eksperci, którzy go analizowali twierdzą, że kod jest tak skomplikowany, iż wskazuje to na jakieś rządowe agencje stojące za jego powstaniem. To naprawdę niesamowite, ile zasobów poświęcono na napisanie tego kodu - stwierdził Liam O Murchu z Symanteka. Dla Roela Schouwenberga z Kaspersky Lab Stuxnet jest przełomowy. Ekspert mówi, że w porównaniu z nim kod Aurora, który złamał zabezpieczenia serwerów Google'a to dziecinna zabawka. O istnieniu Stuxneta jako pierwsza poinformowała w połowie czerwca mało znana białoruska firma VirusBlokAda. Jednak głośno zrobiło się o nim miesiąc później, gdy Microsoft potwierdził, że skutecznie atakuje on systemy SCADA, wykorzystywane w przemyśle do kontrolowania linii produkcyjnych, elektrowni czy rurociągów. Kolejne tygodnie badań wykazały, że Stuxnet działa co najmniej od czerwca 2009 roku. Początkowo myślano, że wykorzystuje on pojedynczą dziurę w Windows. Microsoft ją załatał, jednak wkrótce okazało się, że twórcy Stuxneta znali jeszcze inne luki i w sumie wykorzystywali cztery dziury. Ponadto po infekcji robak wyszukiwał i skutecznie atakował systemy SCADA produkcji Siemensa. Nigdy nie widzieliśmy kodu, który wykorzystuje cztery dziury typu zero-day. To czyste szaleństwo - mówi O Murchu. W międzyczasie Microsoft załatał - w ramach ostatnich poprawek Patch Tuesday - kolejną z dziur, a dwie pozostałe, mniej groźne, mają doczekać się łat w późniejszym terminie. Jednak Stuxnet nie poprzestaje na nowych dziurach. Atakuje też lukę, którą Microsoft poprawił w 2008 roku w ramach biuletynu MS08-067. To ta sama dziura, którą pod koniec 2008 i na początku 2009 roku wykorzystywał Conficker, infekując miliony komputerów. Stuxnet przenosi się za pomocą klipsów USB. Gdy już znajdzie się w sieci wewnętrznej, atakuje kolejne komputery wykorzystując jeden ze wspomnianych już błędów. Szuka w ten sposób maszyn z oprogramowaniem WinCC oraz PCS7 do zarządzania systemami SCADA. Gdy je znajdzie, dokonuje ataku za pomocą spoolera drukarki sieciowej lub dziury MS08-67. Następnie próbuje uzyskać uprawnienia administracyjne za pomocą fabrycznych haseł Siemensa. Gdy mu się to uda, wprowadza zmiany w oprogramowaniu PLC i zaczyna wydawać systemowi SCADA polecenia. Twórcy Stuxneta wyposażyli go nawet w co najmniej dwa autentyczne, skradzione certyfikaty cyfrowe. Poziom organizacji i skomplikowania całego pakietu wchodzącego w skład robaka jest imponujący. Ktokolwiek go stworzył, zrobił to tak, by móc atakować dowolną firmę - mówi Schouwenberg. A O Murchu dodaje, że szkodliwy kod wykorzystuje tak różne techniki, iż musieli pracować nad nim ludzie o bardzo różnych umiejętnościach i doświadczeniu. Od specjalistów tworzących rootkity, poprzez znawców systemów bazodanowych po osoby wiedzące, jak pisze się złośliwy kod wykorzystujący dziury w oprogramowaniu. Kod Stuxneta zajmuje aż pół megabajta i został napisany w wielu różnych językach, w tym w C i C++. O tym, jak olbrzymimi zasobami dysponowali twórcy Stuxneta może świadczyć chociażby fakt, iż musieli mieć do dyspozycji własne przemysłowe oprogramowanie i sprzęt, by móc przetestować swój kod. To bardzo wielki projekt - mówi O Murchu. Eksperci mówią, że autorzy robaka są też niezwykle sprytni. Wskazuje na to fakt, że do ataku na MS08-67 dochodzi tylko i wyłącznie w momencie, gdy kod jest pewny, iż ma do czynienia ze SCADA. W większości sieci używających tego typu systemów nie stosuje się logowania zdarzeń, systemy bezpieczeństwa są w nich bardzo ograniczone, a komputery łatane niezwykle powoli. Dlatego też, jak uważają O Murchu i Schouwenberg, obraz całości świadczy o tym, że za Stuxnetem stoi rząd jakiegoś kraju. Żaden cybergang nie dysponuje bowiem zasobami, które pozwoliłyby na stworzenie tak zaawansowanego kodu. Świadczy o tym też fakt przeprogramowywania PLC, a zatem przestawiania urządzeń na inny sposób produkcji, niż życzyliby sobie właściciele fabryki. To pokazuje, że za Stuxnetem kryje się coś więcej niż szpiegostwo przemysłowe i próba kradzieży informacji. Na ataku szczególnie ucierpiał... Iran. To w tym kraju znajdowało się w pewnym momencie aż 60% komputerów zarażonych Stuxnetem. Autorzy robaka mogli kontrolować dzięki niemu produkcję niektórych zakładów przemysłowych. Specjaliści wskazują jednocześnie, że infrastruktura użyta do kontrolowania Stuxneta była niezwykle prymitywna. To, ich zdaniem, może wskazywać, że twórcy robaka byli przekonani, iż osiągną swoje cele zanim szkodliwy kod zostanie odkryty.

Girish Kumar, dyrektor firmy Aiplex Software zasugerował, że jego przedsiębiorstwo atakuje witryny z pirackimi filmami. Aiplex Software pracuje przede wszystkim dla Bollywood, ale miało też w przeszłości zlecenie z Fox Star Studios (to spółka Fox i Star TV). Głównym zadaniem Aiplex jest szukanie w internecie nielegalnych kopii filmów, które dopiero zadebiutowały w kinach. Większość debiutów ma w Indiach miejsce w piątki o godzinie 10 rano. Już po południu tego samego dnia ich kopie trafiają do sieci. Przedsiębiorstwo Kumara wyszukuje witryny, na których znajdują się nielegalne kopie i wysyła do nich ostrzeżenia. Ogólnie rzecz biorąc 95% providerów usuwa nielegalną zawartość. Jedynie strony z torrentami - jakieś 20-25 procent takich serwisów - w ogóle nie przejmują się takimi ostrzeżeniami - mówi Kumar. Jak jednak zasugerował, jego firma posuwa się do przeprowadzania ataków. Jak możemy doprowadzić do wyłączenia takiej witryny? Jedynym sposobem jest DoS. Krótko mówiąc, musimy zalać witrynę milionami ostrzeżeń i doprowadzić w do jej wyłączenia.

Koń trojański, którym zostały zarażone pirackie wersje Windows 7 RC tworzy botnet, składający się już z dziesiątków tysięcy maszyn. Firma Damballa twierdzi, że 10 maja, kiedy to jej specjaliści przejęli kontrolę nad botnetem, w jego skład wchodziło 27 000 komputerów. Tripp Cox, wiceprezes Damballi, mówi, że obecnie do botnetu codziennie dołączanych jest 1600 nowych maszyn. Twórcy tej sieci komputerów-zombie zarabiają na zarażaniu komputerów szkodliwym kodem. Są opłacani przez autorów takiego kodu. Pocieszający jest fakt, że, jak zapewnia Damballa, od 10 maja cyberprzestępcy nie kontrolują maszyn, które zostały podłączone do botnetu po tym dniu. Jednak mają do dyspozycji starsze komputery-zombie. Ponadto niewykluczone, że uda im się odzyskać kontrolę nad całym botnetem. Wiadomo, że 10% zarażonych komputerów znajduje się w USA, a po 7% w Holandii i Włoszech.

Pentagon przyznał, że w 2008 roku doszło do najpoważniejszego ataku na amerykańskie sieci wojskowe. Zostały one zainfekowane przez szkodliwy kod przeniesiony na klipsie USB. Urządzenie podłączono do notebooka, co zapoczątkowało infekcję, która objęła w końcu zarówno tajne jak i jawne sieci. Jak poinformował William Lynn, zastępca sekretarza obrony, szkodliwy kod został umieszczony na klipsie przez obcą agencję wywiadowczą. To właśnie ten atak stał się przyczynkiem do poważnych zmian w podejściu Pentagonu do spraw bezpieczeństwa sieci oraz do powołania dowództwa wojny cyfrowej. Od tamtej pory opracowano techniki "aktywnej obrony", które umożliwiają szybkie wykrycie intruzów w sieci. Lynn przyznał, że Pentagon miał poważne problemy z opracowaniem zasad wojny cyfrowej, gdyż obecnie obowiązujące prawa dotyczące prowadzenia wojny były pisane przed rozpowszechnieniem się sieci komputerowych.

Podczas konferencji Black Hat zaprezentowano gotowy zestaw narzędzi do podsłuchiwania telefonów komórkowych. Jego pojawienie się może oznaczać początek epoki ataków na komórki dokonywanych przez script kiddies. Mianem takim określane są osoby, które korzystają z gotowych narzędzi hakerskich bez znajomości programowania czy zasad ich działania. Obecnie dostępne narzędzia są na tyle proste, że ich uruchomienie i przeprowadzenie ataku nie wymaga dużych umiejętności. Dotychczas jednak narzędzia takie pozwalały przede wszystkim na atakowanie pecetów czy sieci bezprzewodowych. Przed kilkoma laty mieliśmy do czynienia z prawdziwą plagą script kiddies, którzy zaczęli używać gotowych narzędzi do włamywania się do Wi-Fi prywatnych osób. Po zmianie domyślnego szyfrowania z WEP na WPA liczba ataków znacząco spadła, gdyż script kiddies nie potrafią złamać nowego algorytmu szyfrowania. Obecnie jednak groźba podobnych ataków zawisła nad GSM. Pokazane podczas Black Hat narzędzie jest bowiem w stanie w ciągu 30 sekund złamać klucze zabezpieczające SMS-y. Oprogramowanie wykorzystuje tęczowe tablice i z łatwością łamie liczący sobie dziesięć lat algorytm A5/1. Jest on używany przez około 80% światowych operatorów telefonii komórkowej. Na razie największym problemem, z którym muszą zmierzyć się potencjalni chętni do podsłuchiwania GSM jest dystrybucja danych z tęczowych tablic. Zajmują one bowiem aż 1,7 terabajta. Niewykluczone jednak, że twórcy nowego narzędzia udostępnią je w sieciach BitTorrent. GSM Alliance, która skupia 800 operatorów twierdzi, że możliwość ataku jest jedynie teoretyczna, gdyż istnieją też inne metody zabezpieczeń SMS-ów. Istnieje jednak oprogramowanie AirProbe, które jest w stanie przechwytywać w czasie rzeczywistym komunikację pomiędzy stacją bazową a telefonem GSM. Warto przypomnieć, że główną słabością GSM jest właśnie algorytm A5/1. Już kilka lat temu zaproponowano wdrożenie znacznie bezpieczniejszego algorytmu A5/3. Nie został on jednak przyjęty, gdyż jego wprowadzenie wiąże się z olbrzymimi kosztami i nie działa on na starszych telefonach. W wielu krajach używany jest algorytm A5/0, który w ogóle nie ma żadnych mechanizmów szyfrujących. Podczas Black Hat zaprezentowano też inne typy ataków na GSM, w tym takie, które pozwalają na wyłączenie pobliskiej stacji bazowej za pomocą telefonu komórkowego.

Andreas Grech informuje, że Chrome jest podatny na kradzież haseł. Wszystko przez dodatki do tej przeglądarki, które mogą być pisane w JavaScript oraz HTML i mają dostęp do obiektowego modelu dokumentu (DOM). Grech dowodzi, że możliwe jest stworzenie dodatku, który będzie kradł hasła i wysyłał je cyberprzestępcy. By to udowodnić stworzył prototypowy szkodliwy kod, pozwalający mu na pozyskanie haseł z Gmaila, Facebooka i Twittera. "Gdy tylko użytkownik wypełnia formularz z hasłami, kod próbuje je przechwycić i wysyła je do mnie mailem wraz z adresem URL, do którego użytkownik się logował" - czytamy na blogu Grecha. Sam Grech zauważa, że technika ataku jest dość oczywista, co tym bardziej powinno skłonić użytkowników do ostrożności przy instalowaniu dodatków do przeglądarki. Niewykluczone też, że na tego typu atak podane są też programy innych producentów.

Developerzy opensource'owego serwera IRC o nazwie UnrealIRCd poinformowali, że przez wiele miesięcy nie zauważyli, iż jeden z ich serwerów został zaatakowany przez cyberprzestępców. Atakujący zastąpili plik Unreal3.2.8.1.tar.gz własną wersją, w której wprowadzili tylne drzwi. Dzięki temu cyberprzestępcy mieli nieskrępowany dostęp do każdego serwera z uruchomionym UnrealIRCd. Najprawdopodobniej podmieniony plik został wgrany na serwer w listopadzie 2009 roku, ale zauważono to dopiero ostatnio.

W przyszłym tygodniu podczas konferencji nt. bezpieczeństwa, która odbędzie się w Oakland, naukowcy z University of Washington i University of California, San Diego, omówią szczegółowo odkryty przez siebie sposób zaatakowania nowoczesnego samochodu i zablokowania jego hamulców, zmianę odczytów prędkościomierza czy zamknięcia pasażerów wewnątrz pojazdu. Testy, podczas których naukowcy przejmowali kontrolę nad samochodem, odbyły się pod koniec ubiegłego roku na jednym z nieczynnych lotnisk. Naukowcy podłączyli laptop do komputera samochodu i za pomocą łączy bezprzewodowych, z jadącego obok pojazdu, byli w stanie uniemożliwić hamowanie, wyłączyć silnik czy doprowadzić do nierównomiernej pracy hamulców, co przy dużych prędkościach z łatwością może zakończyć się wypadkiem. Stefan Savage i Tadayoshi Kohno informują jednocześnie, że obecnie przeprowadzenie podobnego ataku jest mało prawdopodobne. Napastnik musi nie tylko uzyskać dostęp do samochodu, by zamontować w nim komputer, ale powinien być również świetnym programistą. Obaj naukowcy mówią jednak, że przemysł samochodowy powinien brać pod uwagę względy bezpieczeństwa także jeśli chodzi o możliwość włamania do systemów elektronicznych. Ponadto, jak zauważają, projektanci samochodów chcą je wyposażyć w coraz bardziej zaawansowaną elektronikę i łączność bezprzewodową, co w przyszłości może zwiększyć prawdopodobieństwo ataków. Savage i Kohno, rozpoczynając swoje testy, spodziewali się, że będą musieli bardzo mocno zaangażować się w odwrotną inżynierię i poszukiwanie błędów w oprogramowaniu samochodowych komputerów. Tymczasem przejęcie kontroli nad najważniejszymi funkcjami pojazdu okazało się niezwykle łatwe. Wystarczyło dobrze zapoznać się z systemem Controller Area Network (CAN), który jest obowiązkowym narzędziem diagnostycznym dla wszystkich samochodów w USA wyprodukowanych po roku 2007. Następnie napisali program CarShar, który nasłuchuje komunikacji z CAN i wysyła swoje własne pakiety. W ten sposób dowiedzieli się, jak można przejąć kontrolę nad pojazdem - od silnika i hamulców, poprzez klimatyzację i zamek centralny, po system nagłaśniających. Co więcej naukowcom udało się podmienić firmware samochodowego komputera bez konieczności przechodzenia procesu autoryzacji. Przemysł samochodowy zapewniał dotychczas, że jest to niemożliwe.