Tietorikollisuus on liiketoimintaa ja tuottoisaa liiketoimintaa. Kuulemme, että organisaatioita ryöstetään ja kiristetään usein miljoonien dollareiden, puntien ja kryptovaluuttojen takia. Jossain, voit lyödä vetoa, joku makaa urheiluautossa, kiehuu konjakkia, puhaltaa sikaria ja juhlii elämäntapaa Instagramissa.
Jos olet erittäin onnekas, voi olla paljastavaa kysyä kyberturvallisuuden ammattilaisilta, kuinka he ansaitsisivat omaisuutensa, jos he eräänä aamuna heräävät ja päättäisivät vaihtaa puolta. Kuinka he tietävät, mitä he tietävät, tienaavat ensimmäisen kryptovaluuttansa miljoonan ja ostaisivat ensimmäisen Bentleyn?
Mutta ei tässä tapauksessa. "Sinun on allekirjoitettava NDA", sanoo professori Ali Al-Sherbaz FBCS. Tohtori Qublai Ali-Mirza sanoo hymyillen: "Et voi lainata minua."
Molemmat työskentelevät Gloucestershiren yliopistossa, jossa Sherbaz on teknisen ja soveltavan laskennan apulaisprofessori ja akateemisen aineen johtaja. Ali-Mirza on kyberturvallisuuden kurssijohtaja.
Kauhu kunnioitusta käänteissuunnittelusta
Joten, mikä haittaohjelma parin mielestä oli kiehtovin? Kenen käsityötä he ihailevat eniten?
"Zeus", Ali-Mirza sanoo painokkaasti. "Se tunnistettiin ensimmäisen kerran vuonna 2007. Sitä ei voitu havaita. Se toimi tutkan alla kaksi vuotta, ja tietueiden mukaan se varasti enemmän sata miljoonaa dollaria, mutta olen varma, että se varasti enemmän.
Zeus oli troijalainen, joka toimi Windows-järjestelmissä. Vaikka sitä käytettiin useisiin haitallisiin hyökkäyksiin, se sai häpeää keinona varastaa pankkitietoja tarttumalla, kirjaamalla näppäimiä ja manipuloimalla selainliikennettä. Se levisi pääasiassa tietojenkalastelulla ja ajolatauksella. Zeuksen supervoima oli sen kyky pysyä huomaamatta. Monet nykyajan parhaista virustentorjuntaohjelmista hämmästyivät sen salaperäisistä tekniikoista.
"Se oli todella taitavasti suunniteltu", Qublai sanoo. "Olen itse analysoinut Zeusta ja sen muunnelmia. Ohjelmointitapa oli todella hyvä. Tällä tarkoitan, että se levisi todella tehokkaasti ja leviäessään se muuttui joksikin muuksi. Eteenpäin se muutti [tiedoston] allekirjoituksia ja heuristiikkaa – käyttäytymistään. Ja se oli poistamassa aiemmat versiot itsestään. Se oli hyvin biologista...'
Rahoillaan Al-Sherbaz sanoo, että Tšernobyl on edelleen muistettava haittaohjelma – monista vääristä syistä. Tämä virus syntyi vuonna 1998 ja tartutti lähes 60 miljoonaa tietokonetta ympäri maailmaa.
Tshernobylin hyötykuormat olivat erittäin tuhoisia. Jos järjestelmäsi oli haavoittuvainen, virus saattoi korvata kiintolevyn kriittiset sektorit ja hyökätä tietokoneen BIOSiin. Jos ne vaurioituvat, tietokoneesta tulee käyttökelvoton.
"Zeus kuitenkin oli todella älykäs", Al-Sherbaz sanoo ja on samaa mieltä kollegansa kanssa. "Luulen, että ryhmät ymmärtävät, kuinka todelliset biologiset virukset toimivat. He värväsivät älykkäitä ihmisiä. Olen todella kiinnostunut siitä, kuinka he rekrytoivat ihmisiä. Nämä eivät ole vain ihmisiä, jotka tekevät koodausta. Olen varma, että heillä on oltava rekrytointiprosessi ja heillä on oltava ihmisiä eri taustoista – kryptanalyytikoita… biologeja… verkkoturvallisuuden asiantuntijoita. Se oli vaikuttavaa.'
Eilen ja tämän päivän ongelmat
Kierrä kelloa eteenpäin tähän päivään, ja näemme edelleen haittaohjelmia, jotka voivat välttää havaitsemisen ja lopulta välttää virustorjuntaohjelmiston. Nykypäivän suosituimmat AV-ohjelmat lupaavat eristämistä, poistamista, reaaliaikaista estoa, havaitsemista, reagointia, käyttäytymiseen perustuvaa seurantaa ja korjaamista. Lista jatkuu. Kaikesta tästä ja vuosikymmenien tuotekehityksestä huolimatta olemme edelleen haavoittuvia haittaohjelmille. Miksi?
"Se on hyvä kysymys", sanoo tohtori Ali-Mirza. "Haittaohjelmien torjuntaohjelmistosi kuluttaa resursseja ja olet edelleen haavoittuvainen. Vastaus on yksinkertainen. Vaikka ala on edistynyt, tiedustelutietojen jakamisesta puuttuu. Kyse on liiketoiminnasta. Monet työkalut ja tekniikat ovat patentoituja, eivätkä [yritykset] jaa älykkyyttä keskenään. Monet organisaatiot ovat melko suljettuja, he eivät jaa tekniikoitaan. He ovat ylpeitä tästä ja sanovat: "Haittaohjelmien allekirjoitustietokanta on parempi kuin x, y, z".
Tämä lähestymistapa voi tarjota myyjille markkinointietua. Sen avulla he voivat myydä tuotteitaan tunnettujen virustunnisteiden tietokannan runsauden perusteella. Se ei kuitenkaan tarjoa myyjille teknistä etua.
'Myyjät saattavat sanoa: "Olemme ensimmäisiä, jotka tunnistavat tämän haittaohjelman. Jos ostat tuotteemme, olet turvallisempi”, tohtori Ali-Mirza selittää. "Ongelma on, että tunnistaa vain allekirjoitus... vain heuristinen ominaisuus... vain pala haittaohjelma - se ei riitä. Haittaohjelmasta tulee tappava sen hyödyntämän haavoittuvuuden perusteella. Kun nollapäivän hyökkäys tunnistetaan ja sitä hyödynnetään, se on tappavin asia tällä alalla."
Rikollisilla on kohtuuttomia etuja
Hyökkäämisen ja puolustuksen pelikenttä ei ole tasapuolinen. Turvatutkijapari huomautti nopeasti, että lain oikealla puolella työskenteleviä sitovat eräät merkittävät rajoitukset.
Ensinnäkin haittaohjelmia itsessään ei sido tai rajoita mikään lainsäädäntö: rikolliset voivat käyttää mitä tahansa työkalua ja mitä tahansa tekniikkaa. Ali-Mirza sanoo: "He voivat poimia minkä tahansa avoimen lähdekoodin työkalun, parantaa sitä edelleen ja käyttää sitä hyökkäyksenä.
"Myös hakkerit ovat innovatiivisempia", hän jatkaa. "Mutta mikä tärkeintä, rikollisten täytyy saada se oikein vain kerran. Turvallisuus on sitä vastoin johdonmukainen harjoitus, jota on kehitettävä.
Tämän asian toistaen professori Ali Al-Sherbaz selittää, että hänen mielestään rikollisilla on toinen valtava etu: heillä on jossain määrin ajan ylellisyyttä. Ohjelmistojen suunnittelussa ja käyttöönotossa he voivat suunnitella, testata, iteroida ja lopulta hyökätä valitsemaansa virheeseen. Puolustajilla saattaa kuitenkin olla vain hetkiä reagoida, kun he huomaavat, että haavoittuvuutta käytetään hyväksi.
Lunnasohjelmien erittely
Kaikista verkossa päivittäistä vahinkoa aiheuttavista haittaohjelmien tyypeistä ja perheistä, kiristysohjelmat varastavat eniten otsikoita. Ransomware-hyökkäykset ovat aiheuttaneet tuhoa Wannacrysta Colonial Pipeline -hyökkäykseen, JBS Foodsiin ja CAN Financialiin.
Tätä taustaa vasten tohtori Ali Mirza ja neljä muuta Gloucesterin yliopiston tietojenkäsittely- ja tekniikan korkeakoulusta julkaisivat artikkelin: Ransomware Analysis using Cyber Kill Chain.
