Pregled javno objavljenih napadov in zlorab informacijskih sistemov v zadnjih mesecih

Want create site? With Free visual composer you can do it easy.

Ena bistvenih nalog skrbnikov IS je spremljanje varnostnih pomanjkljivosti in ustrezno sprotno varnostno nadgrajevanje sistemov.

Zanimivo in poučno pa je tudi spremljanje objav o dejanskih napadih. Te objave marsikaj novega povedo o zmožnostih konkretnih varnostnih pomanjkljivosti, hkrati pa dajejo uporabnikom občutek o neprestani nevarnosti, ki preži v Internet omrežju.

Napadi se dogajajo. So se dogajali včeraj, se dogajajo danes in se bodo dogajali jutri. Glede na to, da jih je vedno več, so vedno bolj zapleteni in vedno bolj agresivni oz. destruktivni, ni smiselno zgolj pasivno čakati na trenutek, ko žrtev postanete prav vi.

Glede na to, da je skupno večini napadom dejstvo, da so odkriti in zaznani šele z zamikom, se lahko upravičeno vprašamo, ali nismo slučajno že danes žrtev napada iz Internet omrežja, pa tega še ne vemo…

Iz obdobja zadnjih mesecev izpostavimo naslednje znane napade.

 

Napad na NSA

Tehnološko sicer ni najbolj pomembna novica, vsekakor pa je novica, ki je dokaj odmevala v krogih IT strokovnjakov.

Najprej povejmo, da ni šlo za neposreden napad na NSA, ampak na skupino hekerjev, za katere naj bi bilo znano, da so povezani z NSA. Cilj napada je bil pridobiti razna orodja in programe, s katerimi ta skupina napada podjetja in posameznike po svetu. Vsaj po javno dostopnih informacijah je bil ta cilj dosežen.

nsa

Tehnološke podrobnosti izvedbe napada niso poznane in v tem primeru to ni pomembno. Skupina hekerjev »Equation group«, ki je napad izvedla, je pomemben del zaseženih orodij tudi javno objavila. Ali je to naredila zaradi »Robin Hood« usmeritve, ali zgolj kot promocijo lastne skupine (pomembnejši »exploiti« naj ne bi bili javno objavljeni in naj bi bili na prodaj na črnem trgu) niti ni pomembno. Pomembno je dvoje:

  • v relativno kratkem obdobju so se pojavili številni novi prej nepoznani »exploiti«, ki so sedaj na voljo vsakomur (dobrim hekerjem za preučevanje, slabim za izkoriščanje…).
  • Očitno obstajajo hekerske skupine, ki poznajo bistveno več ranljivosti in »exploitov«, kot se jih zavedamo. Napade izvajajo usmerjeno v določena podjetja.

Več o tej novici in o ostalih podrobnostih, si lahko preberete na

http://thehackernews.com/2016/08/nsa-hack-russia-leak.html

 

Napad na Rambler.ru – glavni Ruski portal oz. t.i. »Ruski Yahoo«.

Napad se je v resnici zgodil že leta 2012. Vendar je organizacija LeakedSource šele sedaj ugotovila, da se baza s skoraj 100 mio uporabnikov nahaja na črnem trgu.

Posebej je zaskrbljujoče dejstvo, da je portal Rambler.ru gesla očitno hranil v nešifrirani bazi, tako da so bila napadalcu takoj na voljo vsa izmed 100 mio. uporabnikov.

Dodaten problem je v tem, da ob dogodku iz leta 2012 uporabniki niso bili ustrezno in transparentno obveščeni, zaradi česar sploh ni prišlo do masovne menjave gesel, kar je bilo napadalcem še v dodatno korist.

Kako in s čim so napadalci izkoristili informacije iz ukradene baze oziroma kako točno se je vdor v letu 2012 sploh zgodil, ni znano. Bistveno je, da so javni portali včasih zelo ranljivi za napade, zato morajo biti uporabniki pozorni na novice, s katerimi pravočasno ugotovijo zlorabo »njihovega« portala. Ob tem naj takoj prenehajo z uporabo oziroma naj takoj zamenjajo gesla.

Več zanimivih podrobnosti glede omenjenega dogodka lahko preberete na spodnji povezavi

http://thehackernews.com/2016/09/russias-largest-portal-hacked-nearly.html

 

Kraja Bitcoinov preko Internet omrežja

Bitcoin borzo »Bitfinex« iz Hong Konga je doletela nehvaležna usoda. Spletna borza je postala tarča napadalcev, ki so uspeli vdreti v njihov sistem in izvesti krajo več kot 120.000 Bitcoinov (v času kraje je bila protivrednost približno 72 mio. USD).

Rezultat kraje je bil poguben:

  • borza »Bitfinex« je zaprla svoja vrata in prenehala s poslovanjem,
  • vrednost valute Bitcoin je na svetovnih borzah padla za 20%.

Tehnične podrobnosti napada niso znane, vendar nauk zgodbe ostaja. Napadi so realnost. V primeru, da je vaše poslovanje ogroženo, je potrebno nujno poskrbeti za varnost. Zgolj zatiskanje oči v smislu »mene pa ne bodo našli«, je neodgovorno.

Več podrobnosti v povezavi:

http://thehackernews.com/2016/08/bitcoin-exchange-price.html


Napad na popularno grupo Epic-game

Forum spletne strani Epic-game je bil nedavno napaden. Rezultat je kraja informacij o več kot 800.000 uporabniških računov. Ukradeni podatki vsebujejo uporabniška imena, e-mail naslove, hashirana gesla, ipd.

Objavljen je bil tudi način napada. Izkoriščena je bila pomanjkljivost v programski opremi v Bulleting forumu, ki je skrbniki portala očitno niso ustrezno nadgradili.

Predstavniki podjetja sicer izjavljajo, da gesla oziroma njihovi »hashi« niso bili ukradeni. Poznani so primeri, kjer portali ob uspešnih napadih pišejo enako, a se čez nekaj časa (lahko šele čez nekaj let) ukradena baza z njeno celotno vsebino odkrije na črnem trgu.

Nauk te novice je dvojni:

  • znane ranljivosti nikoli ne bi smele biti razlog za uspešen napad. Odgovornost skrbnikov je, da spremljajo podatke o Internet omrežju ter pravočasno zaznajo novico o odkriti ranljivosti in izvedejo nadgradnjo programske opreme, še preden je ta ranljivost izkoriščena.
  • Izjave predstavnikov podjetij po uspešnih napadih v smislu:»Ni panike, gesla niso ukradena.« so lahko močno zavajajoče. Takšnih izjav ne bi smeli dajati, razen če imajo 100% dokaze o neizvedeni kraji gesel. Uporabniki si morajo v takih situacijah zamenjati gesla takoj. »Olepševanje« zgolj privede do tega, da si določen del uporabnikov gesel ne menja, zaradičesar je škoda posledično večja.

Več o tej novici lahko preberete na spodnji povezavi:

http://thehackernews.com/2016/08/game-forum-hacked.html

 

Napad na volilno komisijo v ZDA

Letošnje volitve bodo očitno zanimive tudi s stališča »cyber security« vidika. Varnost informacijskih sistemov posameznih kandidatov je bila do sedaj že nekajkrat na tapeti.

V prejšnjem mesecu je FBI objavila informacijo, da so vsaj v dveh zveznih državah našli indice o morebitnem vdoru v informacijski sistem volitev, z namenom kraje informacij o volivcih. Iz sporočila sicer ni razvidno, ali je do vdora dejansko prišlo. V enem primeru so odkrili sledi poizkusa »SQL injection« napada na bazo volivcev. Prišlo je do sesutja baze, ni pa (javno) znano, ali je napadalcem dejansko uspelo prenesti  zavarovane informacije.

Napadi se lahko pojavljajo kjerkoli. »SQL injection« je pogost napad na spletne aplikacije, ki nakazuje, da le-ta ni bila ustrezno varnostno pregledana. Iz sporočila sklepamo, da je šlo za veščega napadalca, ki je napad izvedel »ročno« in ne s klasičnim skenirnim orodjem. Ročni napadi imajo hujše posledice sploh, če se na drugi strani nahaja vešč uporabnik. Če razvijalci aplikacij niso 100% prepričani v varnost svojih aplikacij (kar nikoli ne bi smeli biti), je edini pravi način preprečevanja tovrstnih napadov varnostni pregled aplikacije.

Več podrobnosti o opisanih incidentih, lahko preberete na spodnji povezavi:

http://thehackernews.com/2016/08/election-system-hack.html

 

Uspešen napad na zdravstveni sistem zvezne države Ohio

To je nov primer »SQL injection« napada. Ukrajinski heker je uspel vdreti v zdravstveni sistem zvezne države Ohio. Ukradel je približno 100.000 različnih dokumentov pacientov in nekatere od njih celo objavil na medmrežju. Mimogrede, 100.000 dokumentov predstavlja približno 156GB podatkov, ki si jih je omenjeni heker pretočil z napadenega strežnika.

»SQL injection« napadi so lahko zelo kompleksni in zapleteni. V tem primeru pa je mogoče »med vrsticami« razbrati, da je šlo za preprostejši klasičen napad.

Glavna kritika je torej namenjena skrbnikom informacijskega sistema, ki:

  • očitno niso vnaprej preprečili klasičnih »SQL injection« vdorov. To bi lahko storili bodisi z zunanjim preverjanjem svojih spletnih aplikacij, bodisi z ustrezno nastavljenim WAF (»Web-application-firewall«).
  • niso bili dovolj pozorni na dogajanja v omrežju; napadi, ki imajo za posledico pretočitev 156GB prometa vedno pustijo dovolj indicev, da se nekaj dogaja. SIEM sistem je namenjen zaznavanju takšnih vdorov in alarmiranju.

Nauk te zgodbe je ne ponoviti napake skrbnikov IS. Ali so bistveno podcenjevali možnost vdora, ali pa niso povsem razumeli, kakšne varnostne pomanjkljivosti imajo.

Več podatkov o tej novici lahko preberete na spodnji povezavi:

http://www.infosecurity-magazine.com/news/hacker-steals-100000-docs-from-ohio/

 

Usmerjeni napadi na izbrane cilje

Strokovnjaki podjetja Symantec so zaznali zanimivo (in izjemno nevarno) skupino hekerjev. Skupina je razvila »malware« zlonamerno kodo z imenom Remsec. Gre za specifičen »malware«, ki so ga napadalci usmerili zgolj na 7 podjetij ter 36 delovnih postaj v teh podjetjih, čeprav je celotna akcija napada trajala kar 5 let.

Dobro napisan »malware« in ozka usmerjenost je tisto, kar je antivirusnemu sistemu kar 5 let preprečevala, da ga zaznajo. Tovrstne zlonamerne kode so še posebej nevarne za uporabnika. Napad je vedno uspešen, uporabnik pa ne ve, da je napaden. Napadalec ima na voljo ogromno časa, da postopoma izbira in pregleduje notranjost omrežja iz napadene delovne postaje.

Izdelana zlonamerna koda je dokaj zapletena in uporabljene so marsikatere tehnike, ki kažejo na to, da je bil glavni namen napadalcev nerazkritje njihovih aktivnosti. Več podrobnosti o sami kodi lahko preberete na spodnjih povezavah.

To kar je bistveni nauk te novice je še ena potrditev obstoja posebnih hekerskih skupin, ki ne iščejo svoje žrtve na slepo. Zaradi »galame«, ki jo s tem ustvarjajo ter zaradi ne najbolj natančno izdelanih tehnik napada, slej ko prej naletijo na radar žrtve. Takšne hackerske skupine so zelo nevarne in vsako podjetje si lahko zgolj želi, da ne bi postal tarča takšnih napadalcev. Če konkretno pogledamo na naveden primer, bi lahko rekli, da bi SIEM mehanizem, to je sistem za zaznavanje zero-day napadov in osvščenje uporabnikov, preprečilo ali vsaj pripomoglo k prepričitvi takšnega napada.

Več o napadu, kodi in ostalih podrobnostih, si lahko preberete na naslednjih povezavah:

http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/Symantec_Remsec_IOCs.pdf

http://www.darkreading.com/attacks-breaches/symantec-discovers-strider-a-new-cyberespionage-group/d/d-id/1326532

 

United airlines izplačala nagrado hackerjem, ker so odkrili varnostne pomanjkljivosti njihovih online sistemov

To je še ena v vrsti novic, kjer vidimo kako se podjetja zavedajo nevarnosti, ki prežijo v Internet omrežju in kako so lahko izvedenske storitve varnostnih pregledov koristne.

United airlines je pred časom sprožil «Bug bounty« program, kjer je povabil hackerje, da preverijo njihov sistem in najdejo varnostne pomanjkljivosti.

Veliko hackerjev se je lotilo izziva in podjetje je v zadnjih letih izplačalo kar nekaj nagrad. Zanimivo pri tem je, da so nagrade izplačali v obliki darilnih bonov za njihove polete.

Podrobnosti vseh varnostnih pomanjkljivosti, ki so jih hackerji odkrili, niso znane. V besedilu pa lahko zaznamo novice glede odkritja pomanjkljivosti v smislu zmožnosti zaganjanja zlonamernih programov (tipično je to značilno za ranljivosti operacijskih sistemov oz. razne strežniške programske opreme) ter pomanjkljivosti tipa XSS, kar je pomanjkljivost spletnih aplikacij.

Ugotovimo, da so napadalci našli veliko število občutljivih točk ter da se te gibljejo vse od ranljivosti operacijskih sistemov, do ranljivosti spletnih aplikacij. To pomeni, da je bilo okolje United airline zelo pomanjkljivo, zaradi česar so se očitno zelo pametno odločili glede najemanja zunanjih izvajalcev za preverjanje varnosti.

Več o tej novici si lahko preberete na:

http://thehackernews.com/2016/08/united-airlines-air-miles.html

 


Več vsebin s področja varnosti

Varnostne storitve

Več vsebin s področja varnosti

Did you find apk for android? You can find new Free Android Games and apps.
[grwebform url="https://app.getresponse.com/view_webform_v2.js?u=V1sSi&webforms_id=6394102" css="on" center="off" center_margin="200"/]
[iframe-popup id="2"]