Security trendovi Trka sa hakerima

U ovom broju donosimo vam sažet osvrt na najznačajnije cyber pretnje u prethodnih godinu dana. Šta se to na ovom polju događalo od aprila do aprila?

Posao zaštite podataka uvek je dinamičan, jer podrazumeva konstantnu trku sa hakerima u pronalaženju i zatvaranju sigurnosnih rupa pre nego što one budu iskorišćene. Međutim, napada će uvek biti, jer administratori moraju da brane ceo sistem, a hakeru je dovoljno da pronađe samo jedan propust. Godina za nama nije bila izuzetak.

Krađa podataka

Kao i svake godine, najviše cyber napada izvršeno je sa ciljem da se od kompanija ukradu podaci. Jedan od takvih primera je krađa podataka oko 57 miliona Uber korisnika. Među ukradenim podacima bila su imena, e-mail adrese, telefonski brojevi i registarske tablice korisnika, kao i pružalaca usluga, dok sami finansijski podaci nisu bili ugroženi. Smatra se da je napad bilo moguće izvesti usled nedostatka odgovarajuće sigurnosne regulative u samoj kompaniji. Naime, napadači su preko zaposlenih u kompaniji došli do kredencijala potrebnih za pristupanje kodu aplikacije, odakle su došli do pomenutih informacija. Uber je primer lošeg upravljanja u kriznoj situaciji, pošto je menadžment kao rešenje problema izabrao da izvrši isplatu hakerima za brisanje podataka, a da pri tom korisnicima i nadležnim organima nije prijavljeno kompromitovanje podataka. Zbog ovakve odluke kompanija Uber se trenutno suočava sa tužbom.

Sa sličnim problemom suočio se američki kreditni biro Equifax, kada je u maju ugroženo oko 148 miliona korisničkih podataka. Među ukradenim ličnim podacima nalaze se imena, datumi rođenja, brojevi socijalnog osiguranja, adrese, informacije o vozačkim dozvolama. Sumnja se da je cilj napadača bio krađa identiteta, koji bi mogli da se iskoriste za aktivnosti poput otvaranja novih računa, dobijanja kreditnih kartica ili podizanja kredita. Pretpostavlja se da je kao tačka ulaska u sistem poslužio javno dostupni server koji nije bio na vreme patch-ovan. Na njemu je još 2016. godine detektovana ranjivost na Cross-site Scripting napade, a par meseci pre napada objavljena je ranjivost na Apache serveru. Interesantno je da ispred ovakvog servera nije postojao neki napredniji princip zaštite, poput Web Application Firewall-a ili IPS-a. Iako je Equifax izašao sa predlogom bolje zaštite računa, koja podrazumeva tzv. credit freez, njegova reputacija ostaje ugrožena zbog predugog perioda za obaveštavanje korisnika i sumnje da nije izvršena kompletna detekcija svih ugroženih podataka. Takođe, korisnici su pokrenuli i pitanje zašto je ova kompanija uopšte i sakupljala ovoliko podataka o njima.

Ucenjivački malver

I ove godine je ucenjivački malver (ransomware) jedna od najvećih pretnji za privatne i poslovne računare. Po proceni kompanije Symantec, porast broja ransomver napada samo u 2017. godini iznosi oko 36%. Najviše odjeka imali su ransomver napadi bazirani na EthernalBlue eksploitu, poput Wannacry i Petya, ali bilo je i dosta drugih, jednako opasnih.

Bad Rabbit i ExPetr (NotPetya) tipovi ransomvera bazirani su na još jednom eksploitu procurelom iz NSA, EthernalRomance. Iako su dosta slični u kodu, Bad Rabbit, za razliku od verzije ExPetr, nije tzv. wiper ransomware, odnosno postoji legitiman ključ za dekripciju fajlova koji se može dobiti nakon uplate. Bad Rabbit je tzv. dropper malware, koji se automatski preuzima prilikom poseta legitimnim web sajtovima, kao lažna instalacija za Adobe Flash Player, a najprisutniji je bio u Evropi. Pored enkripcije određenih fajlova i u poslednje vreme standardnog lateralnog kretanja pomoću SMB-a, ovaj malver je vršio pregledanje svih NTLM login informacija i na osnovu njih pokušavao da proširi zarazu. Šta to znači za jedan korporativni sistem? Ako je domenski administrator pre zaraze pristupao određenoj mašini, njegovi kredencijali ostali su sačuvani kao hash na tom računaru. Pribavljanjem tog hash-a, malver može potencijalno da izvrši Pass-the-hash napad na svim ostalim mašinama i da na taj način proširi zarazu. Na sreću, Bad Rabbit pokušava samo da nađe odgovarajući password koristeći brute force, tako da kompleksne lozinke mogu da odole napadu. Dobra stvar je to što ovaj ransomver ne vrši enkripciju celog diska, kao ni brisanje shadow kopija, što je veoma česta praksa za ransomver, tako da fajlovi, u slučaju da na računaru već postoji antiransomver alat koji koristi ovu metodu, mogu biti povraćeni.

Ostale metode napada

Krađa privatnih podataka i kriptovanje dokumenata nisu jedini izvori zarade za hakere. Napadač pod imenom Rasputin je tokom ove godine ostvario pristup sistemima više od 60 univerziteta, među kojima su Kembridž i Oksford, kao i državnim organizacijama u Americi i Velikoj Britaniji. Cilj napada bio je pre svega prodaja ovog pristupa na dark web-u. Pristup je ostvaren pomoću SQL Injection napada, korišćenjem slabosti nastalih usled loše prakse pisanja koda za aplikacije koje koriste univerziteti.

Da nije uvek potreban napadač da bi se napravila šteta i da niko nije otporan na napade pokazuje i Cloudflare, kompanija koja se bavi pružanjem security i hosting usluga. Ranjivost u njihovom kodu, nazvana Cloudbleed, omogućavala je curenje poverljivih informacija iz memorije sa više od hiljadu različitih web sajtova koji su hostovani kod njih. Naime, pristupom pojedinačnom web sajtu dobijane su i neke informacije iz bafera drugih sajtova: kredencijali, cookies, tokeni za autentifikaciju, sadržaji HTTP POST-a itd. Neki od ugroženih web sajtova su Uber, Yelp, Fitbit, OkCupid i Pirate Bay. Iako se sumnja da je ranjivost postojala oko 6 meseci, nakon njene detekcije kompanija se postavila veoma profesionalno i zaustavila curenje u roku od 45 minuta, a u potpunosti rešila bug nakon 7 sati.

Napadi i iz Srbije

Ako ste mislili da se različite vrsta malvera razvijaju samo u zemljama poput Rusije, Kine i Izraela, pogrešili ste. Kreativan script kiddie iz Srbije je u februaru prošle godine razvio ransomver koji je dobio ime Serbransom. Kada bi zarazio računar, ovaj ransomver je, pored poruke sa mapom Kosova i srpskom zastavom koja se pojavljivala na ekranu, puštao i pesmu „Srpska se truba s Kosova čuje“, a svi kriptovani fajlovi dobijali su ekstenziju .velikasrbija.

Za kreiranje ovog ili sličnog ransomvera nije potrebna velika veština. Postoji čitav niz alata za kreiranje ransomvera, koji pružaju mogućnost da se odabere tip enkripcije, ključ, bitcoin wallet ID (za primanje uplata), ekstenzija koja će se dodati na kriptovane fajlove i sl.

Ranjivosti koje treba imati u vidu

Napadi će se uvek dešavati, ali se mi, kao administratori sistema, moramo potruditi da saznamo šta je kritično u našem sistemu i da li na tim uređajima ili aplikacijama postoje poznate ranjivosti. Tokom ove godine, pored ranjivosti na SMB protokolu verzije 1 koja je poslužila za širenje ransomvera, pronađeno je još par ranjivosti kojih treba da budemo svesni.

Krack (Key Reinstallation Attacks) je napad koji iskorišćava ranjivost na wireless standardu WPA2, koji se dugo smatrao sigurnim. Koristeći ovu tehniku, napadač može da pristupi poverljivim informacijama, za koje se pretpostavljalo da su sigurno enkriptovane, nezavisno od proizvođača wireless opreme. Opasnost leži u tome što korišćenjem različitih alata za skeniranje napadač može da uhvati sve razmenjene pakete dok god se nalazi u blizini wireless signala. Ovaj napad ne pokušava da izvrši dekripciju paketa koristeći brute force; on zapravo iskorišćava ranjivost na 4-way-handshake-u, u okviru koga se pregovara o ključu za enkripciju. Naime, u okviru samog handshake-a dozvoljeno je da se ovaj ključ ponudi nekoliko puta, pošto postoji mogućnost gubitka paketa, što napadač iskorišćava. Novi ključ označava i reset određenih parametara, koji omogućavaju napadaču da ponovi, dekriptuje ili lažira pojedine pakete. Da bi se rešio ovaj problem, potrebno je primeniti patch koji je kreirao proizvođač opreme.

Jedan od opasnijih eksploita otkrivenih ove godine odnosi se na ranjivost na samim procesorima. Meltdown i Spectre mogu iskoristiti za krađu podataka ranjivost koja se ogleda u tome da program može iščitati informacije koje trenutno obrađuje procesor za potrebe nekog drugog programa. Na ovaj način može se doći do poverljivih informacija, poput lozinki iz password manager-a ili browser-a, slika, elektronske pošte, chat poruka itd. Pre nego što požurimo i zaštitimo sistem od ove ranjivosti, treba imati u vidu da će patch dosta usporiti mašinu. Na novijim procesorima, kakvi su Skylake ili Kaby Lake, usporavanje je zvanično izraženo u svega par procenata, ali ako je u pitanju Hasswell ili procesor stariji od 2015. godine usporavanje je primetno. Ovaj performance impact najviše zavisi od toga koliko I/O operacija imaju aplikacije na datoj mašini, tako da se ne može sa sigurnošću reći da sa novijim procesorom neće postojati problem nakon primene patch-a. Ovo usporavanje nastaje izmenama u spekulativnom izvršavanju koje su procesori pre patch-a koristili da bi ubrzali obradu. Taj princip svodio se na izračunavanja koja su vršena unapred, tokom praznog hoda procesora, a za koje je predviđeno da će biti potrebna kasnije. Zbog ovoga, rezultati su morali biti čuvani u nekoj vrsti bafera, što je otvorilo put za eksploit.

A šta nas čeka u 2018?

Mnogi napadi, poput ransomvera i krađe identiteta ili podataka, sigurno će nastaviti da žive dugi niz godina. Moguće novine koje će budući napadi doneti odnosiće se, najverovatnije, pre na mete koje napadači biraju, nego na same metode. Sa pojavom kriptovaluta očekuju se i intenzivniji napadi na njih. Već je bilo govora o skrivenom rudarenju kriptovaluta (cryptojacking), odnosno instalaciji softvera za cryptomining na tuđim serverima, čime se zapravo vrši krađa resursa procesora. Za ovu instalaciju može se koristiti malver WannaMine, koji se kao „crv“ lateralno prenosi na servere u sistemu. Zbog greške u podešavanjima, žrtve cryptojacking-a već su bile kompanije koje hostuju servere na Amazonu, npr. LA Times i Tesla. Sa druge strane, postaju sve popularnije prevare u obliku lažnih isplata ili fišinga, a postoji i čitav niz softvera, kakav je npr. besplatni CoffieMiner, koji se mogu koristiti za krađu kriptovaluta preko wireless-a. Čak je i Stiv Voznijak, jedan od osnivača kompanije Apple, bio žrtva bitkoin prevare.
Nove razmere dobijaju i DDoS napadi. Tako je napad na GitHub krajem februara proglašen za najveći do sada, sa pikom od 1.350 Gb/s. Najinteresantnije je što je za njega korišćena Memcached tehnologija, koja je namenjena za efikasan pristup sadržaju na internetu pomoću keširanja podataka u RAM memoriji, čime se postiže da za svaki poslati bajt Memcached ka serveru pošalje 51 kb. Srećom, postojala je Akamai DDoS zaštita, koja je brzo ublažila uticaj ovog napada.

Kada razmišljamo o godinama pred nama, moramo biti svesni toga da će napadi postajati sve raznovrsniji, iako će glavni principi zaštite ostati isti, a pojaviće se i sve više meta koje je potrebno zaštititi. Samim tim, i mi moramo biti spremni da se menjamo i prihvatamo nove ideje kako bismo održali korak.

Mi u COMING-u držimo korak sa security trendovima. Pripremamo i još jednu Security konferenciju, koja će se ove godine održati u Crowne Plaza hotelu u Beogradu, 17. aprila.

Jasna Jović

0 komentara

Najnoviji

Novi-NetApp-proizvodi

Novi NetApp proizvodi

Da li su vam već poznati novi NetApp sistemi C-serije, sa QLC Flash tipom...
Veštačka-inteligencija-u-našim-rukama

Veštačka inteligencija u

Broj oblasti u kojima se eksperimentiše sa različitim dostignućima veštačke...
Azure-Active-Directory--postaje-Entra-ID

Azure Active Directory

Azure Active Directory je sada Entra ID. I premda većina korisnika ovu promenu...
Transformacija-tehničkog-duga--pomoću-DevOps-tehnologija

Transformacija tehničkog duga

Najveću opasnost za organizacije ne predstavlja samo postojanje tehničkog duga...

Sveobuhvatna platforma za

U vreme kada su sajber pretnje sve složenije i opasnije, timovima koji brinu o...