Firma FireEye, lider w dziedzinie obrony przez zaawansowanym cyberatakami zamieściła na swoim blogu wpis dotyczący botnetu o nazwie BrutPOS. Ostatnio wiele uwagi poświęca się przypadkom naruszenia bezpieczeństwa danych w handlu detalicznym, a BrutPOS pozwala nam spojrzeć na stan zabezpieczeń w tym sektorze z perspektywy czasu.
Popularne powiedzenie, zgodnie z którym „łańcuch jest tak mocny jak jego najsłabsze ogniwo”, sprawdza się również w świecie bezpieczeństwa informacji. Istnieje wiele sposobów włamywania się do sieci przedsiębiorstw, przestępcy odnoszą jednak gros sukcesów, korzystając z całkiem zwykłych metod. Nasuwa się więc ważne pytanie: dlaczego tak się dzieje? Część odpowiedzi tkwi w fakcie, że atakujący często nie czują większej potrzeby stosowania bardziej wyrafinowanych metod ataku. Skoro mogą przeprowadzić skuteczną akcję za pomocą dość podstawowych narzędzi, dlaczego mieliby się bardziej starać? Przyjrzyjmy się tej zasadzie na przykładzie botnetu BrutPOS.
Większość przedsiębiorstw korzysta w swojej codziennej działalności biznesowej z protokołu Remote Desktop Protocol (RDP) firmy Microsoft. RDP umożliwia zdalne logowanie się do systemów Windows. Istnieje wiele legalnych sposobów korzystania z tego mechanizmu, np. gdy administrator zdalnie loguje się do systemu, aby zaktualizować jeden z pakietów oprogramowania. Podobnie jak w przypadku innych zgodnych z prawem usług, przestępcy chętnie wykorzystują protokół RDP do swoich własnych, niecnych celów. Przykładem może tu być oprogramowanie typu „malware” o nazwie BrutPOS, którego szczegółową analizę przedstawiono na blogu FireEye. Ogólnym celem botnetu BrutPOS jest łamanie zabezpieczeń terminali kasowych za pośrednictwem protokołu RDP i kradzież danych kart płatniczych z takich zaatakowanych terminali. Przestępcy nie muszą pisać zaawansowanych protokołów dla swojego oprogramowania, aby zdalnie zalogować się do systemu — RDP sprawdza się tu całkiem dobrze.
Istnieje wiele sposobów pozwalających firmom lepiej poradzić sobie z ryzykiem, jakie niesie ze sobą BrutPOS. Jednym z nich jest powrót do podstaw i przypomnienie sobie pewnych kluczowych założeń bezpieczeństwa informacji. Trzeba przy tym zadbać o to, aby reguły uwierzytelniania i autoryzacji były przemyślane i egzekwowane w całej firmie. Oto kilka przykładowych, prostych kroków, które mogą pomóc przedsiębiorstwu poprawić mechanizmy obrony przed takimi zagrożeniami jak BrutPOS:
- wyłączenie dostępu do systemów na poziomie administratora z wyjątkiem specjalnych kont dla administratorów,
- blokowanie kont po określonej liczbie nieudanych prób logowania,
- domyślne wyłączenie logowania w systemach za pośrednictwem protokołu RDP i aktywowanie tej funkcji jedynie w razie potrzeby,
- ograniczenie lub eliminacja korzystania z kont współużytkowanych lub grupowych,
- monitorowanie dzienników uwierzytelniania pod kątem wielokrotnych nieudanych prób logowania w jednym systemie lub wielu środowiskach.
Przedsiębiorstwa starają się nieprzerwanie optymalizować swoje zabezpieczenia informacji, dlatego nie wolno zapominać, że zasady fundamentalne są równie istotne jak dawniej. Nasz arsenał powinien obejmować różnorodne środki ochronne, warto jednak pamiętać, że nie wszystkie muszą mieć nowatorski charakter. Czasem to podstawowe najlepsze procedury mogą pomóc nam w prosty sposób ograniczyć ryzyko stwarzane przez współczesne zagrożenia.
źródło: FireEye
