Pregled javno objavljenih napadov in zlorab informacijskih sistemov v zadnjih mesecih – maj 2017

Want create site? With Free visual composer you can do it easy.

Ena bistvenih nalog skrbnikov IS je spremljanje varnostnih pomanjkljivosti in ustrezno sprotno varnostno nadgrajevanje sistemov.

Iz obdobja zadnjih mesecev izpostavimo naslednje znane napade.

 

  1. Več kot milijon Google in Yahoo računov na prodaj na črnem trgu Interneta

Večkrat smo že poročali o napadih na različne svetovne spletne portale, katerih glavni namen je dokopati se do celotne baze uporabnikov, skupaj z njihovimi podatki, ki po možnosti vsebujejo tudi gesla. Veliko teh napadov je bilo uspešnih in skoraj da ne mine dan, ko ne bi različni svetovni portali poročali o takšnih incidentih.

Yahoo je na primer 15. februarja javno objavil informacijo o novem napadu:

http://thehackernews.com/2017/02/yahoo-hack.html

Na Dark-net »tržnicah« se je pojavil prodajalec, ki za relativno majhen denar zainteresiranim kupcem na prodaj ponuja bazo več kot milijon različnih računov. Predvideva se, da je ta baza sestavljena iz različnih prej izvedenih uspešnih napadov na posamezne portale – predvsem Google in Yahoo.

Sicer to ne pomeni, da je bil izveden nov napad, vsekakor pa pomeni novo nevarnost za uporabnike, ki so bili žrtev prejšnjih napadov.

Seveda je to še dodaten razlog, da morajo uporabniki nujno in vestno upoštevati naslednja priporočila:

  1. Na vseh javnih portalih naj si čimprej zamenjajo geslo.
  2. Na javnih portalih vedno uporabljamo različna gesla za bolj pomembne in različna za manj pomembne portale. Tipičen primer je PayPal. Ta velja za zelo varno okolje in do sedaj še ni večjih znanih napadov, ki bi uspeli pridobiti gesla uporabnikov. A če uporabnik uporablja isto (ali zelo podobno) geslo v Gmail ali Facebook okolju, kot v Paypal, je s tem avtomatično znižal nivo varnosti svojega računa v PayPal okolju, saj so gesla na prvih dveh portalihlahko že bila ukradena.
  3. Na javnih portalih za identifikacijo ne uporabljamo službenih e-mail naslovov. Praktično vsak izmed nas ima danes že vsaj dva e-mail naslova (službenega in zasebnega), zato to ne bi smel biti problem. Tarče napadalcev so pogostokrat okolja različnih podjetij. Napadalec bo bistveno hitreje želel napasti ali zlorabiti račun na javnem portalu, če bo spoznal, da je to uporabnik s službenim naslovom podjetja, ki ga želi napasti.

Več o tej novici si lahko preberete na naslednjem naslovu

http://thehackernews.com/2017/03/gmail-yahoo-password-hack.html

 

  1. Velik napad na brazilske banke

Napad na brazilske banke se je sicer zgodil že oktobra 2016, a so bile podrobnosti napada javno objavljene šele aprila.

Posebnost pri tem napadu je širina, agresivnost in uspešnost napada.

Napadalci so namreč najprej uspeli vdreti v skrbniški račun banke pri njihovem DNS ponudniku. Res je, da so pri tem zlorabili ranljivost na sistemih ponudnika, vendar je ta pred tem pozival banko, da si na svojih dostopih do DNS skrbništva uredi večnivojsko avtentikacijo, ki bi takšen napad preprečila. A banka tega ni storila.

S pomočjo prevzema kontrole nad DNS sistemom so napadalci oktobra sprožili napad, ki jim je omogočil prevzem kontrole nad prometom Internet omrežja in glavnimi strežniki banke. Posledično so tako napadalci uporabnikom banke uspeli vriniti celo vrsto zlonamerne kode, katere namen je bil ukrasti celo vrsto podatkov povezanih z bančnimi transakcijami, vključno z gesli, dostopi ipd.

Ker so napadalci imeli polno kontrolo nad informacijskim sistemom banke, skrbniki v banki o napadu kar nekaj ur niso mogli obvestiti svojih uporabnikov, kar je uspešnost napada le še povečalo.

V točki, ko so napadalci pričeli prevzemati kontrolo nad informacijskih sistemom, so skrbniki banke težko preprečili najhujše. Glavni nauk so napake storjene v predpripravi na napad.

Dejstvo je, da je DNS sistem banke slonel na ranljivem zunanjem ponudniku DNS storitev kot tudi, da banka ni ustrezno zavarovala svojih skrbniških dostopov do lastnega DNS sistema, nekaj kar lahko vključimo v »rubriko« nepotrebnih napak. V tem se skrivata dve težavi, ki ju velikokrat srečamo tudi pri slovenskih uporabnikih.

Določen del informacijskega sistema podjetje preda v izvajanje zunanjim ponudnikom, skrbniki in odgovorne osebe v podjetju pa ob tem mislijo, da je ta del varen, saj za varnost poskrbi zunanji izvajalec. Seveda ponudniki storitev del svojih aktivnosti namenijo tudi varnostnim zadevam, saj se zavedajo, da bodo v nasprotnem primeru izgubili svoje stranke. A to ne pomeni, da ponudniki tudi aktivno skrbijo za varnost. Četudi ima podjetje del svojega informacijskega sistema pri zunanjem ponudniku, je še vedno podjetje tisto, ki mora skrbeti za varnost.

Več informacij o tej novici lahko najdete na naslednji povezavi

http://www.darkreading.com/attacks-breaches/cybercriminals-seized-control-of-brazilian-bank-for-5-hours/d/d-id/1328549

 

  1. Napadalci povzročili manjšo paniko v mestu Dallas

Produkcijski oz. SCADA sistemi so mnogokrat neposredna tarča napadalcev. Za razliko od klasičnih poslovnih okoljih je za napadalce predvsem zanimivo:

  1. Da so SCADA okolja praviloma sestavljena iz posebnih naprav, ki pogosto delujejo na starih operacijskih sistemih. Za takšne naprave velikokrat skrbijo razni zunanji tehniki in IT oddelek praviloma nad temi napravami nima kontrole in na njih ne izvaja klasičnih varnostnih nastavitev.
  2. Poseg v SCADA sistem lahko neposredno vpliva na delovanje podjetja.

Po drugi strani pa velja, da SCADA sistemi niso (ali pa vsaj ne bi smeli biti) odprti v Internet omrežje, tako da je vdor možno doseči le preko poslovnega omrežja ali pa preko raznoraznih odprtih vzdrževalnih portov, ki jih imajo vzdrževalci pripravljene za delo.

Napad na SCADA sisteme se je pred kratkim zgodil v mestu Dallas. Napad je potekal preko zlorabe radijskih povezav, ki so jih vzdrževalci uporabljali za nadzor siren, s čimer so lahko nepooblaščeno naenkrat vklopili 156 siren po celotnem mestu. Ali je bil to njihov namen ali pa so to vklopili bolj pomotoma, ni znano. Dejstvo je, da je napad povzročil kar nekaj »panike« med prebivalci in vsekakor ni ostal neopažen.

Mesto Dallas je poročalo, da so vzdrževalci po napadu kmalu uspeli prevzeti kontrolo nad omrežjem in so na sisteme že implementirali različne popravke, ki naj bi v bodoče takšne napade omejili.

Zgodba sama po sebi ni nič posebnega in je na žalost že del vsakdanjika. A vseeno je pomembna predvsem z vidika naukov, ki bi si v podobnih podjetjih veljalo zapomniti:

  1. SCADA sistemi so in bodo zaželena tarča napadalcev.
  2. Zgolj zaradi dejstva, da za SCADA sisteme skrbi nekdo drug oz. »se jih ne smemo dotikati«, podjetje ne more in ne sme dopustiti, da bi bila varnost SCADA omrežij kakorkoli ogrožena.
  3. Mnogokrat slišimo odgovor tehnikov ali odgovornih, da na SCADA sistemih ni možno namestiti varovalke ali popravka. V smislu »to se ne da«, »to ne smemo«, »nemogoče je za eno uro prekiniti delo« ipd. Ko pa nato pride do napada, pa se vse zadeve izvedejo. Zakaj bi se morali učiti na lastnih napakah, če to ni potrebno.

Več o novici lahko preberete na

http://thehackernews.com/2017/04/dallas-tornado-siren-hack.html

http://thehackernews.com/2017/04/emergency-tornado-siren-hack.html

 

  1. Gesla in e-mail računi na prodaj na tržnicah Dark Interneta

O t.i. »Dark-Internet« omrežju in pravih tržnicah, ki se na tem skritem delu Interneta pojavljajo, smo že poročali. – LINK!!!!

Tokrat izpostavljamo nekaj poročil in pregledov, ki so jih izvedli različni raziskovalci z namenom prikazati resnost groženj, ki jih prinašajo razni napadi.

Raziskava podjetja Trend Micro je pokazala, da na omenjenih tržnicah osebni zdravstveni podatki dosegajo zelo visoko ceno. Jasno je, da so lahko takšni podatki za marsikoga zelo zanimivi, tako da visoka cena ni presenečenje. Pomembno pa je tudi razumeti trend napadalcev, ki zadnje čase tovrstne podatke prodajajo in izkoriščajo za namen kraje »zdravstvene identitete«, s čimer lahko nepooblaščeno dostopajo do zdravil in podobnega, za kar je potreben recept/napotnica.

Na drugi strani so se raziskovalci DCA agencije osredotočili na analizo, koliko različnih e-mail računov znanih univerz je na voljo na tržnicah. Ugotovili so, da je računov ogromno in da si lahko recimo zainteresirani zgolj za nekaj $ kupijo račun in ukradeno geslo takšnih uporabnikov. Skupno število ukradenih e-mail računov glavnih ameriških univerz presega številko 100.000.

Navedeni trendi nam kažejo, da se tržnice na »Dark-internet« omrežju razvijajo zelo hitro in imajo pri tem svojo finančno logiko. Vse to pospešuje interes napadalcev za redno izvajanje napadov.  Razmišljanje posameznikov ter podjetij v smislu »sem sploh zanimiv za napadalce?« je tako vedno bolj napačno, saj mnogokrat atraktivnost določenih podatkov za napadalce ne določa nujno vsebina podatkov, ampak konkretni in splošni trendi na »DarkNet« tržnicah, ki pa imajo svojo logiko in nepredvidljivost. Generalno pa že nekaj časa velja, da se trgovanje na tržnicah strmo povečuje in da praktično ni več podatka v Internet omrežju, ki ne bi bil zanimiv za napadalce.

Dodatno so se pojavile še informacije, da je na tržnicah na voljo:

  • Prodaja skupka več kot milijon ukradenih Yahoo in Gmail računov
  • Prodaja skupka približno 640.000 ukradenih PlayStation računov

Več o tej problematiki si lahko preberete na naslednjih povezavah

http://www.darkreading.com/attacks-breaches/stolen-health-record-databases-sell-for-$500000-in-the-deep-web/d/d-id/1328225

https://latesthackingnews.com/2017/03/10/decrypted-playstation-accounts-640000-users-sold-darkweb/

http://www.darkreading.com/threat-intelligence/millions-of-stolen-us-university-email-credentials-for-sale-on-the-dark-web–/d/d-id/1328511

 

  1. Ostali pomembni napadi

 

Author photo
  • Vladimir Ban
  • Strokovnjak za kibernetsko varnost
  • M: 041 333 318
  • E: vladimir.ban@smart-com.si
    • LinkedIn circle icon
    • Twitter circle icon
    • Facebook circle icon
    • Google Plus circle icon

 

Zavarujte svoj informacijski sistem

Varnostne storitve

Did you find apk for android? You can find new Free Android Games and apps.
[grwebform url="https://app.getresponse.com/view_webform_v2.js?u=V1sSi&webforms_id=6394102" css="on" center="off" center_margin="200"/]
[iframe-popup id="2"]