Kdo na nás útočí, nevíme, jen se to domníváme a pak z toho vyvozujeme dalekosáhlé závěry

V posledních dnech jsme mohli zaznamenat nejrůznější zprávy informující nás o tom, kdo na nás útočí.

Některé z nich poutají značnou pozornost, ovlivňují veřejné mínění a bohužel i vrcholový management rozhodující o investicích do bezpečnosti. Pojďme se společně zamyslet nad závěry, ke kterým došli nejmenovaní experti na kybernetickou bezpečnost.

Hned zkraje uveďme, že atribuce zdroje kybernetického útoku dle IP adresy vede k naprosto falešným závěrům, neboť IP adresa zdroje odkud útok přichází, nemusí vůbec nic vypovídat o tom, kdo je skutečným útočníkem. Útočník může být z jiné země a používat hacknutou anebo pronajatou infrastrukturu v jiné zemi, a to proto, aby nebylo možné zjistit, kdo za daným útokem opravdu stojí.

Žádný stát také nebude vést sofistikované útoky ze svých IP adres, ale vždy se schová, nejlépe pod IP adresy svého protivníka. A pokud je něco moc zřejmé, tak to většinou není pravda, a jedná se o součást dezinformační kampaně. Identifikace útoku se děla primárně dle způsobu provedení, ať už to jsou použité nástroje/malware nebo zneužívané služby apod.

Rovněž rozhodnutí útočníka ohledně toho odkud útok povede, může být velice přímočaré a založené na ekonomické stránce věci, okamžité dostupnosti pro něj vhodné infrastruktury, ale stejně tak může být veden i čirou snahou svést útok na někoho zcela jiného, např. v rámci vedení hybridní války.

Použitý jazyk v názvech adresářů, funkcí, proměnných a komentářů ve zdrojovém kódu nemusí vůbec nic znamenat. Může maximálně poukazovat na to, jakým jazykem hovořil ten, kdo daný exploit naprogramoval. Nezapomínejme, že s eploity se obchoduje již mnoho let jako s jakoukoliv jinou komoditou.

A stejně tak někdo mohl lehce provést refaktoring kódu a jazyk pozměnit anebo jej naopak ponechat, aby svedl vyšetřování jiným směrem. Rovněž skutečnost, že se daný exploit více používá v určité zemí nebo odvětví nemusí nic znamenat, neboť se může jednat o kouřovou clonu.

Pokud jde o vlastnictví domény, na které je umístěn C&C server, drop zóna anebo phishing web, tak je třeba si uvědomit, že platba za doménu a infrastrukturu se provádí z hacknutých bankovních účtů, zkopírovaných anebo zcizených karet, kdy si útočník může úmyslně zvolit, že k registraci a platbě použije identitu občana konkrétní národnosti, aby odvedl pozornost jinam.

A konečně cílené útoky na organizace spadající do konkrétního odvětví, jsou spíš jen aktuální mediální téma, než realita dnešních dní. Ukazuje se, že útočník evidentně ve většině případů ani netuší, koho že to vlastně napadl, jen skenuje IP adresní prostor a hledá určitou zranitelnost, které umí zneužít.

A jestli pak napadené organizace v minulosti měly stejného IT architekta, a používají stejná řešení anebo dokonce i stejné technologie, aplikace a infomační systém, pak celkem logicky trpí i stejnými zranitelnostmi.

To, že se více píše o útocích na organizace působící v určitém odvětví, ještě neznamená, že na ostatní organizace v jiných odvětvích žádné útoky vedeny nejsou. Jsou, ale drtivá většina organizací nemá povinnost útoky hlásit a taky je nikomu nehlásí, takže se o nich nedozvíte.

Je otázka, jaké cíle sleduje ten, kdo tyto a podobné články píše a dál šíří, resp. kdo k nim tyto informace poskytl.

[ssba]

Štítky:

  1. Pavel Mišík

    Vyborne popisany clanok a uplne suhlasim s obsahom…


K článku “Kdo na nás útočí, nevíme, jen se to domníváme a pak z toho vyvozujeme dalekosáhlé závěry” se zde nachází 1 komentář.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: