Bug Poaching

 

Kyberzločinci přišli s novým postupem, jak přijít k výkupnému. Po úspěšném průniku do počítačové sítě významného podniku znepřístupní životně důležitá data, a následně požadují výkupné za jejich opětovné zpřístupnění, přičemž tvrdí, že vlastně odhalením zranitelnosti prokázali oběti laskavost či službu, za kterou si odměnu zasluhují. Tento druh trestné činnosti je momentálně na vzestupu u všech společností, které jsou závislé na IT.

Bug bounty

Nevyžádané Bug Bounty
IBM Security určila aktivní kampaň zaměřenou na více než 30 podnikových organizací během posledního roku. Daboval chyba pytláctví výzkumníky, tento škodlivý taktika se používá k vydírat organizace pro velké platby nahoru $ 30,000 odhalit stránkách nedostatky, které umožnily útočníka do podnikové sítě.

Je důležité si uvědomit, že se nejedná o případy, kdy organizace oběť sponzoroval nájemný program, bug , který umožňuje tuto činnost. To vše se děje pod rouškou předstírá, že je to dobrý chlap, když ve skutečnosti to je čistá vydírání na černém klobouku měřítku. Útok se provádí zločinci a předstírá, že chcete udělat něco dobrého pro organizaci, ale náročné platbu za to.

Tito zločinci se nebojí proniknout do sítě organizace ukrást data. Oni argumentují jejich metody dokázat upozorňuje, že systém organizace je zranitelná. Tím, že se okamžitě zničeny nebo uvolnění data organizace, jsou ilustrující etiky (jako bílý klobouk), které jim brání být kompletní černý klobouk. Bez ohledu na jejich odůvodnění, je to krádež dat a vydírání - ať už je to s údajným dobrými úmysly, či nikoli.

Chyba pytláctví v akci
Proces chyby pytláctví je poměrně jednoduché a rozkládá do několika kroků:

Útočník najde a využívá zranitelnosti na internetových stránkách. Organizace SQL injection se zdá být hlavní metodou útoku, případně pomocí off-the-shelf penetrační testování nástroje k nalezení vady. (Poznámka: Zatím žádný z případů zkoumány pouze významné zranitelnosti nultého dne, ale spíše taktiky, které by mohly být snadno zabránit.)
Poté, co byli schopni získat citlivá data nebo osobní údaje (PII), zločinci rychle strhnout vše, co mohou a uložit ji.
Ukradený data jsou umístěna na cloud storage služby.
E-mail je odeslán na organizaci, která spojuje k datům jako důkaz, že útočník pronikl do sítě.
Útočník požádá o platbu převodem zveřejní, jak byla data odcizena.
Zatímco útočník není výslovně hrozit uvolnit data nebo útočit na organizaci znovu, to zůstává mnoho otázek pro oběti. V e-mailu je odvážné tvrzení jako: "Prosím, buďte ujištěni, že data jsou v bezpečí se mnou. To se extrahuje pouze důkaz. Upřímně řečeno, já tuto práci na živobytí, ne pro zábavu. "

To nepopírá skutečnost, že útočník ukradl data organizace a položil ji on-line, kde jiní mohl potenciálně najít nebo kde to může být propuštěn. Mírně řečeno, důvěřivý neznámé strany, aby zabezpečit citlivá firemní data - zvláště ti, kteří porušili bezpečnostní opatření v organizaci bez povolení - není cenným papírem osvědčených postupů. Je to také není jasné, že útočníci se nejen uvolnit dat, platby nebo žádnou platbu.

Pokud jste Bug pytláctví oběť
Co uděláte, pokud jste obětí pytláctví útok bug? Za prvé, shromažďovat všechny informace, které máte na útok, včetně e-mailů, které jste obdrželi a protokoly z vašich webových serverů. Dále kontaktovat místní policii, FBI nebo Interpol. Dodat jim tak podrobně, jak je to možné.

Tam je hodně debata o tom, zda organizace by pak měl zaplatit výkupné. Zatímco v tomto případě existuje náznak, že útočník může poskytnout podrobnosti o zranitelnosti po zaplacení, by se dalo tvrdit, že nemusí být vždy případ. Organizace bude přispívat k počítačové trestné činnosti.

Navíc, platba pouze kupuje informace o organizaci na jedné zranitelnosti; je tu dobrá šance, že tam, kde je jedna třída vykořisťování, tam jsou jiní. Konečně skutečnost, že organizace má za sebou historii zaplacení výkupného může povzbudit budoucí potíže.

Na druhou stranu, kdo by mohl zaujmout stanovisko, že společnost s pevnou bezpečnostní situaci by neměla muset zaplatit výkupné vůbec. Forenzní vyšetřování útoku a jejích metodik mohli snadno identifikovat exploit použit bez placení útočníka.

S využitím protokolů z webového serveru by byl klíč, ale mají tyto protokoly snadno dostupné může být výzvou pro mnoho organizací. Podniky, které nejsou jisti, jak zkoumat své vlastní protokoly mohou získat pomoc od reakce na mimořádné události a forenzních vyšetřovacích služeb .

Jak se mohu vyhnout těmto útokům?
Ochrana proti těmto druhům útoků se opírá o využití strategie ochrany do hloubky.

Jezdí pravidelně zranitelností na všechny vaše navenek orientovaný webových stránek. Také si pamatuji, že to není jen v exteriéru, na čem záleží: Pravidelné skenování zranitelnosti všech interních a externích systémů by měly být součástí bezpečnostní politiky každé společnosti.
Penetrační testy mohou pomoci identifikovat webové aplikace zranitelnosti před zločinci dělat.
Využít systém prevence průniku a firewallů pro webové aplikace a poskytuje tak ochranu před webovými útoky.
Přísně test a audit celý kód webové aplikace před vydáním výroby.
Podniky, které používají technologii SIEM a sledování čistých tocích již máte nohu ve útoky, jako bug pytláctví. Ukládání a analýzu těchto protokolů v centrální poloze může výrazně snížit množství času potřebného k identifikaci útoků a forenzně analyzovat.
Zatímco na povrchu těchto útočníci mohou zdát být méně ohrožující než ostatní, ale stále představují hrozbu pro údaji organizace a bezpečnostní situaci. Je to klíč k mít a udržovat plán Incident Response případ, že budete čelit podobným hrozbám. Zajištění vaší organizaci ví, na koho se obrátit a jak reagovat v předstihu je rozhodující pro účinnou reakci a zmírňování.

Zatímco nároky chyba pytláctví se nemusí cítit tak přísné jako sofistikovaných útoků, které odhalí vaše data carding fór nebo vložením stránky otevřít, měli byste s nimi zacházet stejně vážně.