6 mld zdarzeń, 150 tys. alarmów i 1700 incydentów miesięcznie - Orange publikuje raport CERT

Podczas konferencji w Warszawie, w kilku słowach wstępu, wiceprezes Orange Polska, Piotr Muszyński, przybliżył zgromadzonym, dlaczego Orange jako jedyny operator w Polsce w ogóle wydaje taki raport. Jego firma nie musi tworzyć tego typu publikacji, ale czuje się do tego zobowiązana, ponieważ 1/3 polskiego ruchu sieciowego odbywa się właśnie za pośrednictwem usług pomarańczowego operatora. Dodał też, że tematyka bezpieczeństwa sieciowego powinna być jednym z największych priorytetów w kwestii bezpieczeństwa państwa i cieszy się, że obecna Minister Cyfryzacji, Anna Streżyńska, to dostrzega:

W Orange polityka bezpieczeństwa rozkłada się na cały proces projektowania produktu oraz jego późniejszej obsługi. Pomarańczowy operator pochwalił się przy okazji, że ma największe doświadczenie w ochronie wszystkich transakcyjnych działań w Internecie. Jest ono na tyle duże, że polskie centrum bezpieczeństwa w Orange świadczy swoje usługi nie tylko dla zagranicznych oddziałów Ofirmy, ale jest też wynajmowane przez podmioty zewnętrzne, których nazw niestety nie poznaliśmy. Oznacza to, że kompetencje pomarańczowego operatora są powszechnie doceniane.

Miesięcznie w sieci Orange dochodzi do niemal 6 miliardów zdarzeń, 150 tysięcy alarmów i 1700 incydentów. Oznacza to ogromny wzrost liczby takich niebezpiecznych zdarzeń w naszej części Internetu, ponieważ w 2014 r. dochodziło do zaledwie 1000 podobnych incydentów. Orange pochwalił się również, że udało mu się udaremnić kilkadziesiąt kampanii malware, dzięki czemu ochronił od ich działania ogromną liczbę użytkowników.

W raporcie CERT wymieniono też najważniejsze zagrożenia. Okazuje się, że aż 37,4 proc. niebezpieczeństw należało do kategorii obraźliwych i nielegalnych treści. Drugie w kolejności były ataki DDoS. Ich średnie natężenie odnotowane przez Orange Polska wynosiło 1,1 Gbps, podczas gdy rok wcześniej wartość ta była równa 0,9 Gbps.

Może wydawać się, że jest to niewielki wzrost, ale nawet duże organizacje, w tym banki, korzystają z łącz o przepustowości 10 Gbps. Co więcej, należą one do zdecydowanej mniejszości. Lwia część firm ma łącza kilkunastokrotnie słabsze. Dlatego ataki DDoS nadal są realnym zagrożeniem dla tych firm i konieczna jest skuteczna ochrona przed nimi.

Na szczęście w tym roku zabrakło ataków o rekordowych wartościach. O ile na świecie największe z nich miały natężenie wynoszące nawet kilkuset Gbps, to w Polsce największy atak tego typu miał 46 Gbps i był ponad dwukrotnie słabszy niż jego zeszłoroczny odpowiednik. Należy pamiętać o tym, że ofiarami ataków DDoS są nie tylko firmy, ale także użytkownicy indywidualni. Największy odsetek wśród zaatakowanych w ten sposób osób stanowili gracze online.

Narzędzia takie są często wykorzystywane przez ich sieciowych przeciwników. Odcięcie kogoś od Internetu to niekiedy najłatwiejszy sposób na wygranie z nim sieciowego pojedynku. Zjawisko to występuje stosunkowo często, ponieważ koszt ataku wystarczającego do unieruchomienia zwykłego użytkownika jest stosunkowo niewielki i wynosi kilka do kilkunastu dolarów. Oprócz tego 20,9 proc. wszystkich zdarzeń stanowiły próby włamań. Jest to jednak zjawisko na tyle szerokie, że nie powiedziano na jego temat nic więcej.

Należą do nich oszustwa sieciowe, infekcje za pomocą złośliwego oprogramowania i gromadzenie informacji na temat użytkowników. Żadna z tych kategorii nie przekroczyła 5 proc. udziału w zbiorze wszystkich incydentów. W ciągu roku o 300 proc. wzrosła liczba próbek oprogramowania ransomware, podczas gdy na Zachodzie współczynnik ten wynosił 150 proc. Termin ten może nie być znany przez większość użytkowników, dlatego warto go wyjaśnić. Oprogramowanie ransomware blokuje komputer i umożliwia odzyskanie dostępu do niego po zapłaceniu pewnej kwot.

W Polsce koszt odzyskania swoich danych wynosi średnio 500 zł, zaś na świecie też 500, ale... dolarów. Jednak, jako że polskie społeczeństwo nadal się bogaci, można spodziewać się zwiększenia liczby tego typu ataków.

Co ciekawe, niewielu ludzi zgłasza takie incydenty na policję. Wolą zapłacić, zaoszczędzić czas i mieć święty spokój. Wzrost liczby ataków wykorzystujących oprogramowanie ransomware może przekonać więcej osób do trzymania danych w chmurze, której przejęcie nie jest tak łatwe jak zwykłego dysku twardego. Sam jestem użytkownikiem Chromebooka i ataki tego typu nie są mi straszne.

Zdecydowana większość wyżej wymienionych zagrożeń dotyczy jednak komputerów. Ze względu na dynamicznie rosnące zainteresowanie urządzeniami mobilnymi wzrost próbek mobilnego złośliwego oprogramowania wyniósł 60 proc. Orange potwierdziło, że tego typu oprogramowanie prawie nie pojawia się na systemach iOS i bardzo często występuje na Androidzie. Wpływ na to ma różnica w filozofii jednego i drugiego oprogramowania. Apple nie pozwala nikomu modyfikować swojego systemu, zaś Google podchodzi do tego w sposób znacznie bardziej nonszalancki.

O tym, jak dziurawy jest Android, świadczy Stagefright, czyli zdecydowanie największa luka odkryta w najpopularniejszym mobilnym systemie na świecie. Umożliwiała przejęcie kontroli nad urządzeniem np. za pośrednictwem złośliwego MMS-a. Na działanie tego błędu było narażonych aż 950 milionów smartfonów i tabletów z systemem Android i mimo że błąd został odkryty już w sierpniu 2015, wiele urządzeń nie doczekało się załatania luki. Zwłaszcza producenci tańszych sprzętów nie zdecydowali się na wypuszczenie stosownych poprawek i uszczelnienie oprogramowania swoich sprzętów.

Wpływ na to miało przede wszystkim szybkie reagowanie na pojawiające się zagrożenia. Orange przedstawił swoją strategię działania na podstawie wspomnianej luki Stagefright. Po jej wykryciu Orange przeprowadził analizę podatności dostępnych sprzętów na atak, przygotował próbkę MMS oraz sprawdził sposób działania ataku. Następnie wdrożono reguły wykrywania i blokowania złośliwych wiadomości MMS. Dodatkowo, na stronach Orange Polska pojawiły się ostrzeżenia i porady dotyczące tego problemu. W końcu równie ważne jak aktywne przeciwdziałanie zagrożeniom jest też uświadamianie ludziom, że one istnieją. Dlatego także takie serwisy jak Spider's Web mają swój udział w dbaniu o bezpieczeństwo Internautów.

Wyjątkowe istotne dla poprawy bezpieczeństwa w sieci było zeszłoroczne wprowadzenie Cybertarczy, która chroni aż 2 miliony klientów Neostrady. Dzięki niej użytkownik może na bieżąco sprawdzać, czy jego komputer jest narażony na niebezpieczeństwo. Cybertarcza oferuje też ochronę przed wyciekiem wrażliwych danych, takich jak hasła do kont bankowych, portali społecznościowych, poczty e-mail. Sprawia też, że o wiele trudniejsze jest wykorzystanie zainfekowanych komputerów do działań przestępczych, takich jak przeprowadzanie ataków DDoS i rozsyłanie spamu.

Minimalizuje też zagrożenia związane ze złośliwym oprogramowaniem niewykrywanym jeszcze przez programy antywirusowe. Ta pasywna ochrona użytkowników całej sieci Orange jest naprawdę skuteczna. Operator chwali się, że w ciągu poprzedniego roku 88,5 tys. użytkowników Neostrady poinformowano o infekcji i dodano do kwarantanny, a tylko 0,1 proc. osób zrezygnowało z Cybertarczy. Liczby te robią wrażenie i pokazują, że usługa ta działa w odpowiedni sposób i, co najważniejsze, nie tylko chroni użytkowników, ale też im nie przeszkadza w codziennym korzystaniu z komputera.

Należą do nich ogromne liczby masowych ataków phishingowych oraz spamowych. Częstsze i silniejsze mają być ataki DDoS i wykorzystujące oprogramowanie ransomware. Coraz większy odsetek zagrożeń ma też dotyczyć urządzeń mobilnych. Problemem stają się urządzenia z kategorii Internetu rzeczy, które przechowują nasze osobiste informacje i często są słabo zabezpieczone. Jest to część zjawiska znanego jako "Internet of shit" lub "Internet śmieci". Przewiduje ono, że na rynku pojawi się ogromna liczba słabo zabezpieczonych sprzętów podpiętych do Internetu, które same proszą się o atak. Poważnie narażą nasze bezpieczeństwo. Przykładem tego jest chociażby zeszłoroczny model Jeepa, w którym można było sterować pedałami gazu i hamulca.

Oprócz tego powinniśmy spodziewać się bardziej widowiskowych ataków na organizacje i organy administracji publicznej. Eksperci CERT Orange Polska przewidują, że w tym celu cyberprzestępcy będą wykorzystywać prywatne profile pracowników na portalach społecznościowych, słabość zabezpieczeń domowych komputerów, z których ci łączą się z firmową siecią, a także coraz bardziej wymyślne formy oprogramowania szpiegującego. Ponadto będą poszukiwać luk nie tylko w oprogramowaniu, ale również w sprzęcie sieciowym. Ataki te mają ograniczać się nie tylko do kradzieży danych czy pieniędzy. Hakerzy dzięki atakom sieciowym będą mogli manipulować rynkiem i w ten sposób pośrednio się bogacić. Oznacza to, że ataki będą stawać się coraz bardziej skomplikowane, wymyślne i trudniejsze do wykrycia.

Raport CERT uświadamia nam, że Internet staje się coraz bardziej niebezpiecznym miejscem. Jest to jednak cena jego rozwoju i tego, że coraz chętniej z niego korzystamy. Nie powinniśmy jednak bać się zagrożeń, a być ich świadomi i im umiejętnie przeciwdziałać. Orange i inny operatorzy mogą bowiem wprowadzać najróżniejsze zabezpieczenia, ale i one okażą się zawodne, jeśli cyberprzestępcy uda się uśpić naszą czujność. Dlatego należy być świadomym występujących w sieci zagrożeń i umiejętnie je omijać lub chociaż kryć się przed nimi za pomocą odpowiednich narzędzi.

Zwiększająca się liczba cyfrowych niebezpieczeństw nie sprawia bowiem, że sieć staje się złym miejscem. Jest po prostu narzędziem, które można wykorzystać na różne sposoby. Tak jak nóż, którym można pokroić chleb lub kogoś zabić. Albo samochód, który może nas szybko dowieźć do celu lub potrącić. Grunt, żebyśmy sami wykorzystywali Internet w odpowiedni sposób i starali się unikać działających w nim przestępców. Zupełnie tak jak w prawdziwym życiu, którego sieć staje się integralną częścią.