Tag Archives: point-of-sales

2014 ????????????????? 4 ???

      No Comments on 2014 ????????????????? 4 ???
重大な脆弱性からサイバースパイ活動まで、今年の事件を振り返り、将来への影響を考察します。

Twitter Card Style: 

summary

events-2014-concept-600x315-socialmedia.jpg

2014 年は、大規模なデータ侵害から Web の根幹に関わる脆弱性まで、さまざまなセキュリティ事案が発生しましたが、その中で重要度を判断するのは難しいことです。単に興味を引くだけの出来事もあれば、オンラインセキュリティにおける大きなトレンドを示す出来事もあります。過去の名残に過ぎない脅威もあれば、将来を指し示す脅威もあるのです。

この 1 年にオンラインセキュリティの世界で発生した 4 つの重要な事件を振り返り、そこから得られた(または得るべき)教訓と、来年予想される出来事を考察します。

Heartbleed 脆弱性および ShellShock(Bash Bug)脆弱性の発見
今年の春、Heartbleed 脆弱性が見つかりました。Heartbleed は OpenSSL の深刻な脆弱性です。OpenSSL は、SSL プロトコルと TLS プロトコルの最も普及している実装として、多くの有名な Web サイトで使用されています。攻撃者は、Heartbleed 脆弱性を悪用して、ログイン情報や個人データ、さらには復号鍵といった機密情報を盗み出し、セキュア通信を解読できる可能性があります。

続いて秋口には、Linux および Unix、さらには Unix ベースである Mac OS X の多くのバージョンに搭載されている Bash(シェルと呼ばれる共通コンポーネントの 1 つ)の脆弱性が見つかりました。

ShellShock または Bash Bug と呼ばれるこの脆弱性によって、攻撃者は、侵入先のコンピュータからデータを盗み取ることができるだけでなく、そのコンピュータを制御してネットワーク上の他のコンピュータにアクセスする可能性もあります。

Heartbleed 脆弱性と ShellShock 脆弱性によって、オープンソースソフトウェアのセキュリティに注意が向けられ、電子商取引で使われているきわめて多くのシステムの根幹に関わっていることが明らかになりました。ベンダー独自のプロプライエタリソフトウェアで脆弱性が見つかった場合は、そのベンダー 1 社が提供するパッチが必要になるだけです。しかし、オープンソースソフトウェアの場合には、膨大な数のアプリケーションやシステムに統合されている可能性があるため、管理者はさまざまなベンダーが提供するパッチを必要とします。ShellShock 脆弱性と Heartbleed 脆弱性では、パッチの提供状況や有効性について多くの混乱が発生しました。これを契機に、オープンソースの脆弱性に関して、MAPP プログラムのように足並みを揃えた対応の必要性が認識されることを願っています。

オープンソースプログラムでは、今後もこのような新しい脅威が見つかるでしょう。それらが攻撃者にとって新しい攻撃対象になる可能性がある一方で、最大のリスク要因はやはり、適切なパッチが適用されていない既知の脆弱性です。今年のインターネットセキュリティ脅威レポートによると、正規の Web サイトの 77 % で悪用可能な脆弱性が放置されています。したがって 2015 年は、攻撃者は Heartbleed 脆弱性や ShellShock 脆弱性を悪用すると共に、パッチが適用されていない多数の脆弱性をまんまと悪用し続けることでしょう。

組織化されたサイバースパイ活動とサイバー妨害工作の可能性: Dragonfly および Turla
Dragonfly グループは、2011 年にはすでに活動が確認されており、当初は米国とカナダの航空防衛企業を標的としていましたが、2013 年の初めに主にエネルギー企業に狙いを変えています。このグループは複数の経路で攻撃を仕掛ける能力を備えており、大掛かりな攻撃活動を実行して、産業用制御システム(ICS)機器メーカー数社のソフトウェアにリモートアクセス型のトロイの木馬を感染させました。これにより、攻撃者は、ソフトウェアがインストールされているシステムにアクセスすることができ、標的組織に侵入してサイバースパイ活動を実行する足掛かりができたのです。さらに、それらのシステムの多くでは、石油パイプラインやエネルギー網など、重要なインフラの制御に使用されるICSプログラムが稼働していました。これらの攻撃においてサイバー妨害工作は確認されませんでしたが、攻撃者が妨害工作を実行できる能力を持ち合わせており、いつでも攻撃を仕掛けることができたのは間違いありません。おそらく、攻撃の開始を待ち構えていたところで、実行前に中断したのでしょう。

また、Dragonfly は、標的の組織に侵入するために標的型のスパムメール攻撃や水飲み場型攻撃を実行していました。Turla マルウェアの背後にいるグループも、同様に多段階の攻撃戦略を用いており、スピア型フィッシングメールや水飲み場型攻撃を使って標的を感染させます。水飲み場型攻撃では標的を極度に絞り込んだ侵害機能が用いられ、特定範囲の正規の Web サイトを侵害して、事前に指定した IP アドレス範囲からアクセスした標的のみにマルウェアを配布していました。さらに、攻撃者たちは、重要度の高い標的のために最も高度な監視ツールも用意しています。ただし、Turla の動機は Dragonfly とは異なります。Turla の攻撃者は大使館や政府機関を標的として長期的な監視活動を実行しており、これはきわめて典型的なスパイ活動です。

Dragonfly の攻撃と Turla の攻撃のどちらにも、国家が支援している活動に見られる特徴があり、高度な技術力と豊富なリソースが認められます。これらのグループは、複数の経路で攻撃を仕掛けたり、多数のサードパーティの Web サイトを侵害したりできる能力を備え、サイバースパイ活動を目的としているようです。Dragonfly はさらに、妨害工作を実行する能力も備えています。

こうした攻撃は、ほぼ毎日観測される多数のサイバースパイ攻撃のほんの一例です。問題は世界中で発生していて静まる気配はありません。Sandworm などによる攻撃でも、多数のゼロデイ脆弱性が悪用されています。高度な技術リソースや潤沢な資金力を踏まえると、これらの攻撃は国家が支援している可能性が高いでしょう。

狙われたクレジットカード
盗んだクレジットカードやデビットカードのデータを闇市場で販売して儲けるために、こうしたカード類は犯罪者の格好の標的となっています。今年は、店頭レジ端末(POS)システムを狙って消費者の決済カード情報を盗み取る大規模な攻撃が何件も発生しました。米国が主な標的となった原因として、磁気ストライプのカードよりも高度なセキュリティを提供する、EMV(Europay, MasterCard, and VISA)と呼ばれる「チップアンドピン」方式のシステムが採用されていないことが挙げられます。攻撃に使用されたマルウェアは、決済カードの磁気ストライプから読み取られた情報を、暗号化される前に盗み取ることが可能です。この情報を使ってカードを複製することができます。EMV カードの取引情報は一回限りの暗号化が毎回行われるため、犯罪者が決済データの有用な部分だけを選んで別の購入に再利用するのは困難です。ただし、EMV カードも不正なオンライン購入に利用される危険性があります。

また、今年は、近距離無線通信(NFC)技術を利用して iPhone を「仮想財布」として利用する Apple Pay も開始されました。NFC とは、ハードウェアデバイスから近くにある別の物理オブジェクト(Apple Pay の場合は店のレジ)に、データを無線で送信する通信手段です。

NFC 決済システムは目新しいものではありませんが、多くのスマートフォンで NFC 規格がサポートされるようになれば、来年はこの技術を利用する消費者も増えると予想されます。NFC システムは磁気ストライプよりも安全性が高いとはいえ、依然として犯罪者に悪用される可能性があることには注意が必要です。ただし、犯罪者は個々のカードを標的とする必要があるので、今年米国で発生したような大規模な侵害や盗難は起きないでしょう。しかし、決済カードデータを安全に保管していない小売業者を NFC 決済システムが保護してくれるわけではありません。保管されたデータは、引き続き厳重に保護する必要があります。

法執行機関との協力体制の強化
最後は、よいニュースをお伝えします。今年は、国際的な法執行機関が、サイバー犯罪者の摘発に向けてオンラインセキュリティ業界との協力を深め、従来よりも活発かつ積極的に活動した事例が多く見られました。

Blackshades は、初心者レベルのハッカーから高度なサイバー犯罪グループにいたるまで、さまざまな攻撃者によって使用されている有名かつ強力なリモートアクセス型のトロイの木馬(RAT)です。2014 年 5 月、FBI、欧州警察組織、その他複数の法執行機関は、Blackshades(別名 W32.Shadesrat)に関連するサイバー犯罪活動の疑いで数十名を逮捕しました。今回の一斉摘発において、シマンテックは FBI と緊密に連携し、関与した容疑者たちを追跡するための情報を提供しています。

そのちょうど 1 カ月後、FBI、英国の国家犯罪対策庁、その他複数の国際的な法執行機関は、シマンテックを含め複数の民間パートナーと協力して、非常に危険な 2 つの金融詐欺活動、Gameover Zeus ボットネットと Cryptolocker ランサムウェアネットワークに対する大規模な摘発作戦を実行しました。この結果 FBI は、双方の脅威によって使われていた大規模なインフラを押収しています。

これらの摘発作戦を含めて継続的な取り組みは行われているものの、サイバー犯罪が一夜にしてなくなることはありません。長期的な成功のためには、民間のパートナーと法執行機関が協力を継続することが必要です。サイバー犯罪活動がますます急速に高度化していくなか、サイバー犯罪者を摘発して活動を停止させるべく、今後もこの協力活動が続くことを期待します。

以上が、2014 年のオンラインセキュリティにおける 4 大事件です。まだ 2015 年まで数週間あるので、もちろん新しい事件が発生する可能性もあります。しかし、将来何が起きようとも、シマンテックはお客様を保護することをお約束いたします。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

POS malware: Potent threat remains for retailers

The retail industry continues to be a low-hanging fruit for attackers and attacks are likely to continue until the full transition to more secure payment technologies.

Twitter Card Style: 

summary

As Americans gear up for another holiday shopping season, the threat posed by point-of-sale malware remains high. More than a year after the discovery of the first major attacks against POS networks, many US retailers are still vulnerable to this type of attack and are likely to remain so until the complete transition to more secure payment card technologies in 2015. 

While some retailers have enhanced security by implementing encryption on their POS terminals, others have not and retailers will continue to be a low-hanging fruit for some time. While the introduction of new technologies will help stem the flow of attacks, it will not eliminate fraud completely and attackers have a track record of adapting their methods. 

Point-of-sale malware is now one of the biggest sources of stolen payment cards for cybercriminals. Although it hit the headlines over the past year, the POS malware threat has been slowly germinating since 2005 and the retail industry missed several warning signals in the intervening period. This allowed attackers to hone their methods and paved the way for the mega-breaches of 2013 and 2014, which compromised approximately 100 million payment cards and potentially affected up to one-in-three people in the US.

Attacks have reached epidemic proportions in part because POS malware kits are now widely available, which means attackers can target retailers without having to develop their tools from scratch. For example, BlackPOS (detected by Symantec as Infostealer.Reedum), which was used in the some of the most high profile attacks, has been for sale since February 2013 with a price tag of US$2,000. This is a relatively small investment for attackers, who are likely to net millions from a successful operation. 

pos-barchart-662x518.png
Figure 1. Point-of-sale attacks exploded once malware kits became widely available on the cyberunderground

Hopelessly exposed
Attacks on point-of-sale terminals had their genesis as far back as 2005, when attackers began using networking-sniffing malware to intercept payment card data while in transit. A group of attackers led by Albert Gonzalez were the main perpetrators, stealing more than 90 million card records from retailers. 

As payments processors and retailers tightened up their security, the attackers adapted and attention turned to the point-of-sale terminal. When a card is swiped, its details are briefly stored in the terminal’s memory while being transmitted to the payment processor. This provides a brief window for malware on the terminal to copy the card data, which it then transmits back to the attackers. The technique is known as “memory scraping”. 

POS malware was first discovered October 2008, when Visa issued an alert on a new type of exploit. During a fraud investigation, it found that attackers had been installing debugging software on POS systems that was capable of extracting full magnetic stripe data from its memory. Little heed appears to have been taken of this warning, giving malware developers time to perfect their methods. In the intervening period, developers have worked to streamline the malware, integrating all functionality into a single piece of software. 

This development process eventually led to fully featured POS malware kits emerging on underground markets from 2012 onwards. US retailers were hopelessly exposed and what followed was a flood of high profile breaches, with several major US retailers hit by POS malware attacks. 

Spotlight: BlackPOS
One of the most widely used forms of POS malware is BlackPOS which is also known as KAPTOXA, Memory Monitor, Dump Memory Grabber, and Reedum. Variants of BlackPOS have been used to mount some of the biggest retail POS breaches. 

Its development mirrors the evolution of the broader POS malware market. The earliest versions of BlackPOS date from 2010. Over time, it has evolved into a highly capable cybercrime tool which employs encryption to cover its tracks and can be customized to suit the target environment. 

By February 2013, BlackPOS was ready for the mass market and the group behind one of its variants began selling it on underground forums, charging customers $2,000 for the package. 

Thriving marketplace
While the malware used to mount POS attacks is usually sold on underground forums, these forums are also often where the bounty of those attacks returns to be sold. For example, stolen credit card details from some of the biggest US breaches were sold on a forum known as Rescator. 

New research from Symantec found that prices can vary heavily depending on a number of factors, such as the type of card and its level, i.e. gold, platinum or business. Card data originating from the US tends to be cheaper because of the widespread availability stolen US cards. Card details along with extra information, known as “Fullz”, tend to attract higher prices because details such as someone’s date of birth or credit card security password make it easier to perform fraudulent transactions or other activities. 

Single credit cards from the US tend to cost $1.50 to $5, with discounts often available for those who buy in bulk. Single cards from the EU tend to cost more, selling for $5 to $8. Fullz start at $5 and can range up to $20. A single embossed plastic card with custom number and name meanwhile will sell for approximately $70. The stolen cards uploaded to Rescator were initially selling at a cost of $45 to $130 per card before prices later settled down.

Will new technologies render POS malware obsolete? 
New payment card technologies, many of which are already in use in Europe, have been promoted as effective countermeasures for POS malware but are not a silver bullet. Their arrival is likely to herald the end of the large-scale POS breaches seen in recent years, but they will not eradicate theft of credit card data completely.  

The adoption of EMV, chip-and-pin cards to replace traditional magnetic stripe cards ought to render the current generation of memory-scraping POS malware ineffective. However, chip-and-pin cards are still susceptible to skimming attacks and stolen credit card numbers can still be used in “card-not-present” transactions, such as online purchases. 

Additionally, stolen credit card information in Europe is often used in the US since it doesn’t have chip and pin as a verification method. Going by this precedent, the advent of chip and pin in the US may mean attackers will continue to attempt to steal card information but use it in other countries that don’t use the chip-and-pin standard. 

The chip-and-pin standard itself may be superseded at some point by the adoption of NFC mobile payment solutions such as Apple Pay, Google Wallet or CurrentC. With these payment technologies, the credit card number isn’t transmitted during the transaction. NFC is still susceptible to exploitation by attackers, but most attacks require physical proximity, making large-scale thefts almost impossible.

Advice for consumers
Some retailers are rolling out encryption on their point-of-sale networks to prevent memory scanning, which is encouraging. However, attackers have a tendency to adapt and evolve, and will no doubt look to circumvent these additional countermeasures. 

There are several steps you can take to remain vigilant against this type of fraud:

  • Monitor your bank account and credit card statements for any strange or unfamiliar transactions. Notify your bank immediately if you notice anything suspicious. Small transactions, such as a $1 charitable donation, are often used by criminals to test if a card is still usable.
  • Carefully guard personal information such as your address, your Social Security number, or date of birth, and don’t use easily guessed passwords or PIN codes. All of these details can be used to facilitate identity theft and defeat additional security checks.

Advice for businesses
Symantec has a number of solutions for retailers who wish to guard their point-of-sale systems from attack. For more details, please read: Secure Your Point-of-Sale System

Symantec protection
Symantec products detect all of the currently known variants of point-of-sale malware, including:

BlackPOS

FrameworkPOS

Dexter

Chewbacca

JackPOS

RawPOS

Vskimmer

Backoff

Further information
For more information about attacks against POS systems, please read our whitepaper entitled: Attacks on point of sales systems

The four most important online security events of 2014

From major vulnerabilities to cyberespionage, Symantec looks at what the past year has brought and what it means for the future.

events-2014-concept-600x315-socialmedia.jpg

With such an array of security incidents in 2014—from large-scale data breaches to vulnerabilities in the very foundation of the web—it’s difficult to know which to prioritize. Which developments were merely interesting and which speak of larger trends in the online security space? Which threats are remnants from the past and which are the indications for what the future holds?

The following are four of the most important developments in the online security arena over the past year, what we learned (or should have learned) from them, and what they portend for the coming year.

The discovery of the Heartbleed and ShellShockBash Bug vulnerabilities
In spring 2014, the Heartbleed vulnerability was discovered. Heartbleed is a serious vulnerability in OpenSSL, one of the most common implementations of the SSL and TLS protocols and used across many major websites. Heartbleed allows attackers to steal sensitive information such as login credentials, personal data, or even decryption keys that can lead to the decryption of secure communications.

Then, in early fall, a vulnerability was found in Bash, a common component known as a shell, which is included in most versions of the Linux and Unix operating systems, in addition to Mac OS X (which is, itself, based around Unix). 

Known as ShellShock or the Bash Bug, this vulnerability allows an attacker to not only steal data from a compromised computer, but also to gain control over the computer itself, potentially providing them with access to other computers on the network.

Heartbleed and ShellShock turned the spotlight on the security of open-source software and how it is at the core of so many systems that we rely on for e-commerce. For vulnerabilities in proprietary software we just need to rely on a single vendor to provide a patch. However, when it comes to open-source software, that software may be integrated into any number of applications and systems. This means that an administrator has to depend on a variety of vendors to supply patches. With ShellShock and Heartbleed there was a lot of confusion regarding the availability and effectiveness of patches. Hopefully this will serve as a wake-up call for how we need greater coordinated responses to open-source vulnerabilities, similar to the MAPP program

Moving forward, new threats like these will continue to be discovered in open-source programs. But while this is potentially a rich, new area for attackers, the greatest risk continues to come from vulnerabilities that are known, but where the appropriate patches aren’t being applied. This year’s Internet Security Threat Report showed that 77 percent of legitimate websites had exploitable vulnerabilities. So, yes, in 2015 we’ll see attackers using Heartbleed or ShellShock, but there are hundreds of other unpatched vulnerabilities that hackers will continue to exploit with impunity.

Coordinated cyberespionage and potential cybersabotage: Dragonfly and Turla
The Dragonfly group, which appears to have been in operation since at least 2011, initially targeted defense and aviation companies in the US and Canada, before shifting its focus mainly to energy firms in early 2013. Capable of launching attacks through several different vectors, its most ambitious attack campaign compromised a number of industrial control system (ICS) equipment providers, infecting their software with a remote access-type Trojan. This gave the attackers full access to systems where this software was installed. While this provided the attackers with a beachhead into target organizations in order to carry out espionage activities, many of these systems were running ICS programs used to control critical infrastructure such as petroleum pipelines and energy grids. While no cybersabotage was seen in these attacks, no doubt the attackers had the ability and could have launched such attacks at any time. Perhaps they chose to lie in wait and were interrupted before they could move on. 

Dragonfly also used targeted spam email campaigns and watering hole attacks to infect targeted organizations. Similarly, the group behind the Turla malware also uses a multi-pronged attack strategy to infect victims through spear-phishing emails and watering hole attacks. The watering hole attacks display extremely targeted compromise capabilities, with the attackers compromising a range of legitimate websites and only delivering malware to victims visiting from pre-selected IP address ranges. The attackers would also save their most sophisticated surveillance tools for high-value targets. Turla’s motives are different to Dragonfly, however. The Turla attackers are carrying out long-term surveillance against embassies and government departments, a very traditional form of espionage. 

Both the Dragonfly and Turla campaigns bear the hallmarks of state-sponsored operations, displaying a high degree of technical capability and resources. They are able to mount attacks through multiple vectors and compromised numerous third-party websites, with their apparent purpose being cyberespionage—and sabotage as a secondary capability for Dragonfly. 

These campaigns are just examples of the many espionage campaigns we see on an almost daily basis. This is a global problem and shows no sign of abating, with attacks such as Sandworm also leveraging a number of zero-day vulnerabilities. Given the evidence of deep technical and financial resources these attacks are very likely state-sponsored. 

Credit cards in the crosshairs
The lucrative business of selling stolen credit or debit card data on the black market makes these cards a prime target for bad guys. 2014 saw several high-profile attacks targeting point-of-sale (POS) systems to obtain consumers’ payment card information. One factor making the US a prime target is the failure to adopt the chip-and-PIN system, known as EMV (Europay, MasterCard and VISA), which offers more security than magnetic stripe-based cards. The attacks used malware which can steal the information from the payment card’s magnetic stripe as it is read by the computer and before it is encrypted. This stolen information can then be used to clone that card. Because EMV card transaction information is uniquely encoded every time, it’s harder for criminals to pick up useful payment data pieces and use them again for another purchase. However, EMV cards are just as susceptible to being used for fraudulent online purchases.

Apple Pay, which basically turns your mobile phone into a “virtual wallet” by using near-field communication (NFC) technology, was also launched in 2014. NFC is a type of communication that involves wirelessly transmitting data from one hardware device to another physical object nearby, in this case a cash register. 

While NFC payment systems have been around for a while now, we expect to see an uptick in consumer adoption of this technology in the coming year, as more smartphones support the NFC standard. It’s worth noting that while NFC systems are more secure than magnetic stripes, there is still a possibility of hackers exploiting them, although this would require the bad guys to target individual cards and wouldn’t result in large scale breaches or theft like we have seen in the US. However, the payment technology used won’t protect against retailers who aren’t storing payment card data securely, they’ll still need to be vigilant in protecting stored data. 

Increased collaboration with law enforcement 
Now, for a bit of good news: 2014 saw many examples of international law enforcement teams taking a more active and aggressive stance on cybercrime by increasingly collaborating with the online security industry to take down cybercriminals.

Blackshades is a popular and powerful remote access Trojan (RAT) that is used by a wide spectrum of threat actors, from entry-level hackers right up to sophisticated cybercriminal groups. In May of 2014, the FBI, Europol, and several other law enforcement agencies arrested dozens of individuals suspected of cybercriminal activity centered on the use of Blackshades (also known as W32.Shadesrat). Symantec worked closely with the FBI in this coordinated takedown effort, providing information that allowed the agency to track down those suspected of involvement. 

Just one month later, the FBI, the UK’s National Crime Agency, and a number of international law enforcement agencies, working in tandem with Symantec and other private sector parties, significantly disrupted two of the world’s most dangerous financial fraud operations: the Gameover Zeus botnet and the Cryptolocker ransomware network. This resulted in the FBI seizing a large amount of infrastructure used by both threats. 

While these takedowns are part of an ongoing effort, we won’t see cybercrime disappearing overnight. Both private industry and law enforcement will need to continue to cooperate to have long-lasting impact. As the rate and sophistication of cyberattacks grows, we expect to see a continuation of this trend of collaboration to track down cybercriminals and stop them in their tracks.

So, there you have it, my take on the four most important online security events of 2014. Of course, there’s still a few weeks left before we ring in 2015, so we may yet see other events arise, but you can trust that Symantec is here and that we’ve got your back, no matter what the future may bring!

Los cuatro eventos más destacados de seguridad en Internet del 2014

Desde importantes vulnerabilidades hasta el ciberespionaje, Symantec revisa lo sucedido este año y lo que significará para el futuro.

events-2014-concept-600x315-socialmedia.jpg

Con tanta variedad de incidentes de seguridad en 2014 -desde las fugas de datos a gran escala hasta las vulnerabilidades en la web- es difícil saber qué destacó más. ¿Cuáles situaciones fueron meramente interesantes y cuáles tienen que ver con las tendencias más grandes en temas de seguridad en Internet? ¿Qué amenazas son restos del pasado y cuáles son indicaciones de lo que nos depara el futuro?

A continuación presentamos cuatro de los acontecimientos más importantes en el ramo de la seguridad en línea del último año, lo que aprendimos (o deberíamos haber aprendido) a partir de ellos y lo que presagian para el próximo año.

 

El descubrimiento de las vulnerabilidades Heartbleed y ShellShock Bash Bug

En la primavera de 2014, se descubrió Heartbleed, una grave vulnerabilidad en OpenSSL. Es una de las implementaciones más comunes de los protocolos SSL y TLS que se utilizan en muchos sitios web populares. Heartbleed permite a los atacantes robar información confidencial como credenciales de acceso, datos personales o incluso las claves de cifrado que pueden llevar a la revelación de comunicaciones seguras.

Luego, a principios de otoño, una vulnerabilidad fue encontrada en Bash, un componente común conocido como un caparazón, que se incluye en la mayoría de las versiones de los sistemas operativos Linux y Unix, además de Mac OS X (que en sí mismo está basado en Unix). Conocida como ShellShock o Bash Bug, esta vulnerabilidad permite a un atacante no sólo robar datos de una computadora infectada sino también tener control sobre el propio equipo, lo que podría darle acceso a otros equipos de la red.

Heartbleed y ShellShock se convirtieron en el centro de atención en seguridad del software de código abierto y se identificó como el núcleo de muchos sistemas de los que dependemos para el comercio electrónico. Para las vulnerabilidades en software patentado dependemos de un solo proveedor para proporcionar un parche. Sin embargo, cuando se trata de un software de código abierto, éste puede estar integrado en cualquier número de aplicaciones y sistemas. Esto significa que un administrador tiene que depender de una variedad de proveedores para el suministro de parches. Con ShellShock y Heartbleed hubo una gran confusión en cuanto a la disponibilidad y eficacia de los parches. Esperemos que esto sirva como una llamada de atención para la necesidad de contar con mayores respuestas coordinadas a las vulnerabilidades de código abierto, similares al programa MAPP.

En el futuro, amenazas como éstas seguirán descubriéndose en programas de código abierto. Pero, si bien esto es potencialmente una rica y nueva área para los atacantes, el mayor riesgo viene de las vulnerabilidades conocidas, en las que no se están aplicando los parches adecuados. El Informe sobre las Amenazas de Seguridad de Internet de este año mostró que 77% de los sitios web legítimos tenía vulnerabilidades explotables. Así que, en 2015 probablemente veremos atacantes utilizando Heartbleed o ShellShock, pero hay cientos de otras vulnerabilidades sin parches que los hackers continuarán explotando libremente.

 

Ciberespionaje coordinado y potencial: Dragonfly y Turla

El grupo Dragonfly que parece haber estado en funcionamiento por lo menos desde 2011, inicialmente se enfocó en atacar empresas de defensa y aviación en Estados Unidos y Canadá, antes de cambiar su blanco a empresas de energía, a principios de 2013. Capaz de lanzar ataques a través de varios vectores diferentes, su más ambiciosa campaña de ataque infectó una serie de sistema de control industrial (ICS) de proveedores de equipos, dañando su software con un tipo de acceso remoto troyano. Esto dio a los atacantes acceso completo a los sistemas en los que se había instalado este software. Si bien esto permite a los atacantes llegar a las organizaciones objetivo con el fin de llevar a cabo actividades de espionaje, muchos de estos sistemas estaban utilizando programas ICS para controlar infraestructura crítica, tales como oleoductos y redes de energía. Si bien no se vio ciberespionaje en estos ataques, no hay duda que los atacantes tenían la capacidad y podrían haber puesto en marcha este tipo de acciones en cualquier momento. Quizás eligieron esperar y fueron interrumpidos antes de que pudieran seguir adelante.

Dragonfly también utiliza campañas dirigidas de correo electrónico spam y ataques de tipo watering hole para infectar organizaciones seleccionadas. Del mismo modo, el grupo detrás del software malicioso Turla también utiliza una estrategia de ataque múltiple para infectar a las víctimas a través de correos electrónicos de suplantación de identidad y ataques watering hole. Los ataques infectan una serie de sitios web legítimos y sólo “entregan” el software malicioso a los visitantes de cierto rango de direcciones IP preseleccionados. Los atacantes también podían dejar sus herramientas de vigilancia más sofisticadas para objetivos de alto valor. Los motivos de Turla son diferentes a los de Dragonfly. Los atacantes detrás de Turla están vigilando a largo plazo embajadas y departamentos del gobierno, una forma muy tradicional de espionaje.

Sin embargo, tanto las campañas de Dragonfly y de  Turla llevan el sello de operaciones patrocinadas por algún Estado, mostrando un alto grado de capacidad técnica y recursos. Ellos son capaces de montar ataques a través de múltiples vectores e infectar numerosos sitios web de terceros, con el propósito aparente de ser ciberespionaje -y sabotaje- como una capacidad secundaria de Dragonfly.

Estas campañas son sólo ejemplos de las muchas otras campañas de espionaje que vemos y se crean a diario. Este es un problema mundial y no muestra señales de disminuir, como por ejemplo ataques como Sandworm , relacionados con una serie de vulnerabilidades de día-cero. Dada la evidencia de los amplios recursos técnicos y financieros, es muy probable que estos ataques estén patrocinados por el Estado.

 

Tarjetas de crédito en la mira

El lucrativo negocio de la venta de datos de tarjetas de crédito o débito robadas en el mercado negro las vuelve un objetivo prioritario para los cibercriminales. En 2014 se presentaron varios ataques de alto perfil dirigidos a sistemas de punto de venta (POS) para obtener información de tarjetas de pago de los consumidores. Un factor que hace de Estados Unidos un objetivo prioritario es la falta de adopción del sistema chip-and-PIN, conocido como EMV (Europay, MasterCard y Visa), que ofrece más seguridad que las tarjetas de banda magnética. Los ataques utilizan malware que puede robar información de la banda magnética de la tarjeta de pago, al momento de ser leída por el equipo y antes de que se encripte. Esta información robada puede entonces ser utilizada para clonar esa tarjeta. Debido a que la información de transacciones de tarjetas EMV se codifica de forma única, cada vez, es más difícil para los criminales recoger pedazos de datos útiles de pago y utilizarlos de nuevo para otra compra. Sin embargo, las tarjetas EMV son tan susceptibles de ser utilizadas para compras en línea fraudulentas como las tarjetas tradicionales.

Apple Pay, que básicamente convierte tu teléfono móvil en una “billetera virtual” utilizando tecnología de comunicación de campo cercano (NFC), también se lanzó en 2014. NFC es un tipo de comunicación que implica la transmisión de datos de forma inalámbrica desde un dispositivo a otro objeto físico cercano, en este caso una caja registradora.

Mientras que los sistemas de pago NFC han estado disponibles por un tiempo, esperamos ver el próximo año un aumento en la adopción de esta tecnología en los consumidores, a medida que más teléfonos inteligentes son compatibles con él. Vale la pena señalar que, si bien los sistemas NFC son más seguros que las bandas magnéticas, todavía hay una posibilidad de que los hackers lo exploten, aunque esto requeriría que los atacantes se enfoquen en tarjetas individuales y no daría lugar a fugas a gran escala o robos como los que hemos visto. Sin embargo, la tecnología de pago utilizada actualmente no protegerá contra las tiendas que no almacenan los datos de las tarjetas de pago de sus clientes de forma segura, así que ellos todavía tendrán que estar al pendiente en proteger los datos almacenados.

 

El aumento de la colaboración con la policía

Ahora, para hablar un poco de buenas noticias: en 2014 vimos muchos ejemplos de equipos internacionales de aplicación de la ley que tomaron una postura más activa y agresiva sobre los delitos informáticos, colaborando cada vez más con la industria de la seguridad en Internet para acabar con los criminales cibernéticos.

Blackshades es un troyano de acceso remoto (RAT) muy popular y poderoso utilizado por una amplia gama de agentes de amenaza, desde piratas informáticos principiantes hasta sofisticados grupos de ciberdelincuencia. En mayo de 2014, el FBI, Europol y varias otras agencias de aplicación de la ley arrestaron a decenas de personas sospechosas de actividad criminal cibernética centradas en el uso de Blackshades (también conocido como W32.Shadesrat). Symantec trabajó en estrecha colaboración con el FBI en este esfuerzo coordinado para acabar con ellos, compartiéndoles información que permitió a la agencia localizar a los presuntos implicados.

Apenas un mes después, el FBI, la Agencia Nacional de Crimen del Reino Unido y una serie de agencias internacionales encargadas de hacer cumplir la ley, trabajaron en conjunto con Symantec y otras empresas del sector privado, para detener dos de las operaciones de fraude financiero más peligrosas del mundo: el botnet Gameover Zeus y la red de ransomware CryptoLocker. Y, como resultado, el FBI confiscó una gran infraestructura utilizada por ambas amenazas.

Si bien estos desmantelamientos son parte de un esfuerzo continuo, no veremos a la ciberdelincuencia desaparecer de la noche a la mañana. Tanto la industria privada como las autoridades tendrán que seguir cooperando para tener un impacto duradero. En este sentido, a medida que la tasa y la sofisticación de los ataques cibernéticos se incrementa, esperamos ver la continuación de esta tendencia de colaboración para localizar a los delincuentes y detenerlos en el camino.

Así que, estos son los cuatro eventos más importantes de seguridad en línea que hemos visto este 2014. Por supuesto, todavía quedan algunas semanas antes de que llegue el 2015, por lo que todavía podríamos ver que aparezcan otros eventos, pero se puede confiar en que Symantec está aquí y protegemos tu información, sin importar lo que venga a futuro.

Os quatro eventos de segurança online mais importantes de 2014

De grandes vulnerabilidades a ciberespionagem, a visão da Symantec sobre o que o último ano apresentou e o que significa para o futuro.

events-2014-concept-600x315-socialmedia.jpg

Com uma ampla variedade de incidentes de segurança em 2014 – de violações de dados em larga escala a vulnerabilidades na própria base da rede – é difícil saber o que é prioridade. Quais acontecimentos foram apenas interessantes e quais se referem a tendências na área de segurança online? Que ameaças são resquícios do passado e quais são indicação do que virá no futuro?

Abaixo estão os quatro acontecimentos mais importantes da área de segurança online do último ano, o que aprendemos (ou deveríamos ter aprendido) com eles, e que alerta eles enviam para o ano que vem.

 

A descoberta das vulnerabilidades Heartbleed e ShellShockBash Bug

No primeiro semestre de 2014, a vulnerabilidade Heartbleed foi descoberta. Ela é uma vulnerabilidade séria em OpenSSL, uma das implementações dos protocolos SSL e TLS mais utilizada em sites. O Heartbleed permite que os atacantes roubem informações sensíveis como dados pessoais, de login, ou mesmo chaves de criptografia que podem levar à decodificação de comunicações protegidas.

Além disso, alguns meses depois foi encontrada uma vulnerabilidade em Bash, um componente comum também conhecido como shell, que está incluído na maioria das versões dos sistemas operacionais Linux e Unix, além do Mac OS X (também baseado em Unix). Conhecida como ShellShock (ou Bash Bug), ela permite que um cibercriminoso não apenas roube dados de um computador comprometido, mas também ganhe controle sobre o aparelho em si, potencialmente obtendo acesso a outros dispositivos na rede.

As ameaças Heartbleed e ShellShock levaram a atenção à segurança de softwares de código aberto e em como elas estão no centro de tantos sistemas dos quais dependemos para e-commerce. No caso de vulnerabilidades de software proprietário, precisamos apenas contar com um único fornecedor que entregue um patch.

No entanto, quando se trata de software de código aberto, o software pode estar integrado a uma série de aplicações e sistemas, o que significa que o administrador depende de uma variedade de fornecedores para que entreguem patches. Com o ShellShock e Heartbleed, houve muita confusão quanto à disponibilidade e eficácia dos patches e esperamos que isso sirva como um toque de despertar sobre o quanto precisamos de respostas coordenadas maiores às vulnerabilidades de código aberto, semelhante ao programa MAPP.

Ou seja, daqui em diante novas ameaças como essas continuarão a ser descobertas em programas de código aberto. Ainda que seja uma área nova e potencialmente rica para atacantes, o maior risco continua a vir de vulnerabilidades conhecidas, onde os patches adequados não são aplicados. De acordo com o Relatório sobre Ameaças à Segurança na Internet deste ano, 77% dos sites legítimos tinham vulnerabilidades exploráveis. Portanto, em 2015 veremos cibercriminosos utilizarem o Heartbleed ou ShellShock, mas há centenas de outras vulnerabilidades sem patches que os hackers continuarão a explorar impunemente.

Ciberespionagem coordenada e cibersabotagem em potencial: Dragonfly e Turla

O grupo Dragonfly, que parece estar em operação desde pelo menos 2011, inicialmente visou empresas de defesa e aviação nos EUA e Canadá, antes de mudar seu foco principalmente para empresas de energia no começo de 2013. Capaz de lançar ofensivas através de diversos vetores diferentes, sua campanha de ataque mais ambiciosa comprometeu diversos provedores de equipamentos de sistemas de controle industriais (ICS), infectando softwares com um Trojan de acesso remoto.

Tal ação deu aos atacantes acesso total aos sistemas onde o software estivesse instalado, o que permitia se infiltrar nas organizações alvo para desempenhar atividades de ciberespionagem. Muitos destes sistemas estavam rodando programas ICS utilizados para controlar infraestruturas críticas como oleodutos e redes de energia, porém não houve registro de cibersabotagem nestes ataques. Sem dúvida os criminosos tinham essa capacidade e poderiam ter lançado ataques rapidamente, mas talvez tenham optado por aguardar, sendo interrompidos antes que pudessem avançar.

O Dragonfly também empregou campanhas dirigidas de spam por e-mail e ataques de watering hole para infectar organizações-alvo. De forma semelhante, o grupo por trás do malware Turla também usa uma estratégia de ataque em múltiplas frentes para infectar as vítimas através de e-mails de spearphishing e ataques de watering hole, que exibem capacidades de comprometimento extremamente dirigidas, onde os atacantes comprometem uma série de sites legítimos e entregam o malware apenas para vítimas que acessem a partir de faixas de endereço de IP previamente selecionadas. Eles também deixavam suas ferramentas mais sofisticadas de vigilância para alvos de alto valor. Porém, a motivação do Turla é diferente da do Dragonfly. Os cibercriminosos do Turla estão executando vigilância de longo prazo contra embaixadas e departamentos governamentais, uma forma muito tradicional de espionagem.

Tanto as campanhas do Dragonfly como do Turla carregam a marca de operações patrocinadas por Estados, apresentando um alto nível de capacidade técnica e de recursos. São capazes de montar ataques através de vetores múltiplos e comprometeram diversos sites de terceiros. Seu propósito aparente seria de ciberespionagem – e sabotagem como uma capacidade secundária no caso do Dragonfly.

Estas campanhas são apenas exemplos das inúmeras campanhas de espionagem que encontramos quase diariamente. Este é um problema global e não há sinais de trégua, com ataques como o Sandworm alavancando uma série de vulnerabilidades de dia zero. Considerando-se a evidência de profundos recursos técnicos e financeiros, estes ataques são, muito provavelmente, patrocinados por Estados.

 

Cartões de crédito no alvo

O lucrativo negócio de venda no mercado negro de dados de cartões de crédito ou débito roubados torna esse ramo um grande alvo para criminosos. Em 2014, ocorreram diversos ataques de destaque focados em sistemas point-of-sale (POS) para obter as informações do cartão de pagamento de consumidores. Um fator que torna os Estados Unidos o maior alvo é a incapacidade de adotar o sistema chip-e-PIN, conhecido como EMV (Europay, MasterCard e VISA), que oferece mais segurança que os cartões com faixa magnética. Os ataques utilizaram malwares que podem roubar informações da faixa magnética do cartão de pagamento enquanto ela é lida pelo computador e antes que seja criptografada. As informações roubadas podem então ser utilizadas para clonar o objeto. Como as informações de transações com EMV são criptografadas de modo único a cada vez, é mais difícil para os criminosos captar partes úteis de dados de pagamento e usá-las novamente para outra compra. No entanto, essa tecnologia é igualmente suscetível ao uso em compras online fraudulentas.

O Apple Pay, que basicamente transforma seu celular em uma “carteira virtual” através da tecnologia near-field communication (NFC), também foi lançado em 2014. O NFC é um tipo de comunicação que envolve a transmissão sem fio de dados, de um dispositivo de hardware para outro objeto físico que esteja próximo, neste caso, a caixa registradora.

Os sistemas de pagamento de NFC já existem há algum tempo, mas esperamos ver um aumento na adoção dessa tecnologia por consumidores no próximo ano, já que mais smartphones terão suporte a esse padrão. Vale notar que os sistemas NFC são mais seguros que faixas magnéticas, mas ainda existe a possibilidade de hackers explorarem o sistema, ainda que isso exija que os bandidos se direcionem a cartões individuais e não resulte em violação ou roubo de grande escala como vimos nos EUA. No entanto, a tecnologia de pagamento utilizada não protege contra varejistas que não armazenam dados de cartões de forma segura, eles ainda precisam ser cuidadosos na proteção dos dados armazenados.

 

Maior colaboração com agências de segurança

Agora, uma boa notícia: em 2014 tivemos muitos exemplos de agências internacionais de segurança adotando uma posição mais ativa e agressiva contra o cibercrime, colaborando cada vez mais com o setor de segurança online para derrubar cibercriminosos.

Blackshades é um Trojan de acesso remoto (RAT) popular e poderoso, utilizado por uma série de autores de ameaças, desde hackers iniciantes até grupos cibercriminosos sofisticados. Em maio de 2014, o FBI, a Europol e diversas outras agências de segurança prenderam dezenas de pessoas suspeitas de atividades centradas no uso de Blackshades (também conhecido como W32.Shadesrat). A Symantec trabalhou junto ao FBI neste esforço coordenado de combate, fornecendo informações que permitiram que a agência localizasse pessoas suspeitas de envolvimento.

Apenas um mês depois, o FBI, o National Crime Agency do Reino Unido, e diversas outras agências internacionais de segurança, trabalhando ao lado da Symantec e outras empresas do setor privado, interromperam significativamente duas das mais perigosas operações de fraude financeira do mundo: o botnet Gameover Zeus e a rede Cryptolocker ransomware. Com isso, o FBI apreendeu uma grande infraestrutura usada pelas duas ameaças.

Apesar de estes golpes serem parte de um esforço contínuo, não veremos o desaparecimento do cibercrime de forma rápida. Tanto o setor privado como as agências de segurança precisam continuar a colaborar para ter um impacto duradouro. Conforme a taxa e sofisticação de ciberataques aumentam, esperamos uma continuidade dessa tendência de colaboração para localizar os atacantes e interromper sua ação.

Então, aí está, minha visão sobre os quatro acontecimentos mais importantes na segurança online em 2014. Claro, ainda temos algumas semanas antes da chegada de 2015, então podemos ver o surgimento de outros eventos, mas você pode confiar que a Symantec está aqui e cuidaremos de você, independentemente do que o futuro possa trazer!