Atak na wielkiego holenderskiego dostawcę usług internetowych

Rik Ferguson z firmy Trend Micro komentuje przyczyny ataku na holenderską firmę KPN

Tags: bezpieczeństwo sieci firmowej , haker , atak hakerski , patch , łatki , KPN

Warszawa, 15 lutego 2012 r. – 8 lutego firma KPN ogłosiła, że doszło do naruszenia bezpieczeństwa jej sieci. Pracownicy tego wielkiego holenderskiego dostawcy usług internetowych zorientowali się, że włamanie miało miejsce około 27 stycznia tego roku, rozpoczęli wówczas działania zmierzające do powstrzymania i wyśledzenia intruza. Firma współpracowała z Narodowym Centrum Cyberbezpieczeństwa, urzędem regulacyjnym OPTA, Agencją Ochrony Danych, Ministerstwem Gospodarki, Rolnictwa i Innowacji, Ministerstwem Sprawiedliwości i Bezpieczeństwa, a także prokuraturą. W styczniu podjęto też celową decyzję o nieupublicznianiu informacji o włamaniu, kierując się dwoma powodami: chciano zwiększyć szanse na przeprowadzenie skutecznego śledztwa oraz zapobiec szkodom, które mógłby wywołać haker, gdyby dowiedział się o tym, że został nakryty.

Wyniki analizy przeprowadzonej przez firmę KPN są zgodne z informacjami udzielonymi przez hakera, który sam przyznał się do winy. Wskazują na to, że główną przyczyną sukcesu włamywaczy było przestarzałe oprogramowanie stosowane przez firmę. Według hakera, pierwszy złamany system działał pod SunOS 5.8 z patchem 108528-29, czyli wersją z roku 2004. Serwisowanie systemu operacyjnego SunOS 5.8 było planowane na przyszły miesiąc. Co więcej, hakerzy twierdzą, że udało im się ściągnąć przynajmniej 16GB danych, które następnie zniszczyli, a także że byli w stanie przełamać zabezpieczenia systemu do tego stopnia, że uzyskali indywidualną kontrolę nad dostępem do internetu konkretnych użytkowników.

Wygląda na to, że KPN w znacznej części potwierdza wersję hakera, w oficjalnym oświadczeniu firmy czytamy: „Grono ekspertów analizujących sprawę włamania zasugerowało, że KPN korzystało z bardzo przestarzałego oprogramowania, które nie było również regularnie aktualizowane”. Joost Farwerck, prezes KPN Netherlands powiedział: „Oczywiste jest, że w naszej branży postęp dokonuje się niezwykle szybko. Mając to na uwadze, w ciągu ostatnich kilku tygodni przekonaliśmy się, że obsługa i konserwacja systemów IT nie była zawsze optymalna. Wyciągamy z tego wnioski, aby zapewnić naszym klientom większe bezpieczeństwo i wyższy poziom usług.”

Jakby zamieszanie wokół firmy Sony było niewystarczające, znów mamy do czynienia z sytuacją, która może być dobrą nauczką: systemy przestarzałe oraz te posiadające luki w zabezpieczeniach nie powinny być połączone z internetem, jeśli nie są wystarczająco chronione. Zidentyfikowanie wersji systemu operacyjnego i aplikacji uruchomionych na danym serwerze jest względnie proste, jeszcze prostsze jest odkrycie luk i błędów w zabezpieczeniach.

„Choć wymaganie, żeby firmy instalowały każdy najnowszy patch, może być nierealistyczne, to instalowanie bez zapewnienia wystarczającego poziomu ochrony zestawu aplikacji i systemu operacyjnego, które są przestarzałe o osiem lat, jest niewybaczalnym błędem. Nawet w środowiskach wewnętrznych firmy powinny osłaniać luki (o których istnieniu wiedzą dzięki zastosowaniu skutecznego oprogramowania chroniącego przed włamaniami) aż do momentu instalacji patchy, natomiast same patche powinny być wdrażane tak szybko, jak to możliwe. Nie bądź kolejnym KPNem” - mówi Rik Ferguson, Dyrektor ds. komunikacji i badań nad bezpieczeństwem w firmie Trend Micro.

Komentarz pochodzi z bloga eksperckiego prowadzonego przez Rika Fergusona z firmy Trend Micro.

Informacje na temat firmy Trend Micro
Trend Micro Incorporated (TYO: 4704, TSE: 4704) jako światowy lider w dziedzinie oprogramowania i rozwiązań zabezpieczających dąży do zapewnienia bezpiecznego globalnego środowiska wymiany informacji cyfrowych. Od ponad 25 lat jej pracownicy dokładają wszelkich starań, aby zapewnić bezpieczeństwo użytkownikom, rodzinom, firmom i organizacjom rządowym korzystającym z możliwości współczesnych technologii i nowych sposobów udostępniania informacji.

Informacje stanowią obecnie w firmach jeden z najcenniejszych zasobów strategicznych, który decyduje o ich przewadze nad konkurencją i odpowiednim funkcjonowaniu. Gwałtowny rozwój technologii związanych z urządzeniami przenośnymi, sieciami społecznościowymi i środowiskiem chmury sprawia, że ochrona tych informacji stanowi coraz większe wyzwanie. Organizacjom potrzebna jest odpowiednio dobrana strategia ochrony.

Informacje są chronione w sposób inteligentny z użyciem innowacyjnych rozwiązań zabezpieczających, które można łatwo wdrożyć, bezproblemowo nimi zarządzać i dopasować do zmieniającego się ekosystemu. Rozwiązania firmy Trend Micro zapewniają wielopoziomową ochronę zawartości na urządzeniach przenośnych i serwerach oraz w punktach końcowych, bramach i chmurze. Korzystając z tych rozwiązań, organizacje mogą zapewnić bezpieczeństwo użytkowników końcowych, zmieniających się centrów danych, zasobów w chmurze i innych informacji zagrożonych coraz bardziej wymyślnymi atakami.

Wszystkie rozwiązania korzystają z opartego na chmurze mechanizmu globalnej ochrony przed zagrożeniami, Trend Micro™ Smart Protection Network™, a ich obsługę zapewnia 1200 ekspertów ds. zagrożeń z całego świata. Dodatkowe informacje — www.trendmicro.pl.