[SLOVENSKI PRIMER V ČLANKU] Pregled javno objavljenih napadov in zlorab informacijskih sistemov v zadnjih mesecih

Want create site? With Free visual composer you can do it easy.

Ena bistvenih nalog skrbnikov IS je spremljanje varnostnih pomanjkljivosti in ustrezno sprotno varnostno nadgrajevanje sistemov. Iz obdobja zadnjih mesecev izpostavimo tri odmevne primere.

 

Napadeni spletni strežniki 7-ih indijskih ambasad po svetu

Napadeni so bili spletni strežniki v 7-ih državah, posledica napada je bila kraja ogromne količine podatkov o osebah (številke potnih listov, imena, naslovi, ipd.) predvsem indijskih državljanov, ki so živeli v dotični državi. Seveda je med temi podatki cela vrsta tajnih podatkov, ki bi jih lahko napadalci z ustreznim motivom izkoristili na veliko groznih načinov. K sreči so v tem primeru napad izvedli t.i. pen-testerji, ki so želeli dokazati skrbnikom, da so njihovi strežniki vse prej kot varni.

Iz novice ni točno razvidno, ali so pen-testerji to izvajali pod soglasjem indijske vlade (kar bi vedno morali), bistveno sporočilo je, da skrbniki nikoli ne smejo podcenjevati varnosti javnih spletnih strežnikov.

Napad je bil izveden preko SQL injection metodologije, kjer so napadalci v vnosna okna uspešno vnesli posebne SQL klice, ki so nato omogočili dostop do širše baze podatkov. SQL injection napadi so lahko zelo nevarni. Prvič zato, ker vedno targetirajo baze podatkov, kjer se neizbežno nahajajo pomembni podatki, drugič pa zato, ker jih kljub enostavnosti ni nujno vedno enostavno preprečiti.

Sicer je analiza pokazala, da je bil napad v tem primeru izveden dokaj enostavno in da je bila varnost strežnikov v smislu preprečevanja SQL injection napadov na dokaj nizki ravni.

SQL injection napadi so nevarni in realni. Spletne aplikacije morajo biti pregledane v smeri tovrstnih ranljivosti. Skrbniki nikakor ne smejo privzeti, da so napadi nemogoči.

Nauk za skrbnike:

Skrbniki spletnih aplikacij morajo vedno poskrbeti, da so vnosni podatki ustrezno pregledani, preden jih aplikacija uporabi. V primeru, ko aplikacija dostopa do baz, je potrebno zagotoviti, da vnosni podatki ne vsebujejo takšnih ali drugačnih baznih klicev, ki bi jih zlonamerni uporabnik sprožil z namenom, da bi iz baze pridobili podatke, do katerih ni pooblaščen. Pri tem se je potrebno zadevati, da ni pomembno, da vsebinske kontrole vnosnih podatkov obstajajo, ampak da so te kontrole neprebojne. To pa ni vedno enostavno, saj nikoli ne smemo podcenjevati zmožnosti napadalcev, v kakšni obliki in na kakšen način bodo ti podatki posredovani. Dobra praksa je, da vnosne kontrole redno preverjajo izkušeni penetration testerji.

Prav tako je potrebno ustrezno urediti nastavitve na bazi, ki bi minimizirale možnosti, da spletna aplikacija dostopa do podatkov, ki uporabnikom niti niso namenjeni. Več o napadu si lahko preberete na povezavi: http://thehackernews.com/2016/11/indian-embassy-hacked.html

 

Uporabniki AdultFinder portala imajo kar naenkrat dvojno skrb

V zadnjem času se pojavlja vedno več znanih napadov na velike svetovane portale, katerih cilj je bolj ali manj kraja uporabniških imen in gesel. Tovrstni podatki so za napadalce zelo zanimivi, saj lahko takšne baze, ki praviloma vsebujejo ogromno število uporabnikov, zelo dobro prodajo na t.i. črnem Internet trgu. Gre za ogromno osebnih podatkov in gesel, ki se lahko nato uporabljajo za email spaming, vdor na druge bolj zanimive portale, ipd.

Kar je za uporabnike dodatno problematično je dejstvo, da so tovrstni ukradeni podatki postali bistveno bolj dostopni kot so to bili včasih. Včasih so bili podatki dostopni zgolj peščici napadalcev, ki so si tovrstne podatke izmenjavali med seboj daleč stran od oči ostalih. Danes pa lahko z nekaj brskanja in iznajdljivosti skorajda vsak pride do teh podatkov. Res, da so lahko podatki, do katerih pride takšen manj vešč napadalec že malce zastareli, a marsikdaj so še vedno veljavni.

Zadnji tak velik vdor se je zgodil na portal AdultFinder. Vdor naj bi se zgodil preko t.i. »Local-file-inclusion« ranljivosti. Rezultat vdora so ukradeni podatki s portala več kot 400 milijonov uporabnikov.

Nauk za skrbnike:

»Local-file-inclusion« ranljivost pomeni, da aplikacija dostopa do lokalnih datotek in vsebino prikazuje uporabnikom.

Lahko je že sama aplikacija narejena tako, da je del uporabnosti. V takšnih primerih je potrebno zagotoviti, da zlonamerni uporabnik ne more klicati skript na način, da bi se prikazovale druge datoteke, kot je to mišljeno pri legalni uporabi aplikacije.

Aplikacija sama po sebi niti ni namenjena dostopu do lokalnih datotek, ampak vseeno sprejema določene vhodne podatke, kjer pa bi lahko zlonamerni napadalec vnesel php ali podobne skripte s sistemskimi ukazi za klicanje vhodnih datotek.

V obeh primerih je nujno potrebno zagotoviti ustrezno vsebinsko kontrolo vnesenih podatkov, preden se ti posredujejo aplikaciji. Pri tem ni dovolj, da kontrola zgolj obstaja, ampak mora biti neprebojna. Nikoli ne podcenjujmo znanja in domišljije napadalcev, na kakšne načine vse lahko v vsebino vrinejo sistemske in podobne ukaze. Tako da je vedno smiselno tovrstne kontrole prepustiti v preverbo izkušenim penetration testerjem.

Dodatni nauk pa sledi iz arhitekture aplikacij. V dotičnem primeru, je očitno portal imel lokalno shranjeno datoteko z vsemi gesli (in to nekriptirano), kar je seveda zelo slaba praksa. Pomembni podatki se nikoli ne smejo nahajati na strežniku, do katerega dostopajo uporabniki.

Nauk za uporabnike:

  • Nikoli ne uporabljajte enakih ali podobnih gesel na javnih portalih in portalih, ki so pomembni (recimo enako ali podobno geslo na Dropbox portalu in na PayPal portalu). Pomembni portali (PayPal in podobni) so praviloma dobro zaščiteni. A drugi javni portali očitno manj in vdor na drug javni portal lahko avtomatično pomeni možnost dostopa do pomembnih portalov, če uporabnik pri tem uporablja enako ali podobno geslo.
  • Nikoli ne uporabljajte enakih ali podobnih gesel na javnih portalih in na službenih portalih.
  • Nikoli se v javne portale ne prijavljajte s službenim elektronskim naslovom.

Več o napadu si lahko preberete na spodnji povezavi

http://thehackernews.com/2016/11/adult-friend-finder-hack.html

 

Težave slovenskega Telemacha – dostop do podatkov o uporabnikih elektronske pošte

Neljubi dogodek se je zgodil tudi v Sloveniji. Operater Telemach je pred kratkim vzpostavil nov strežnik za zaščito pred Spam in podobno elektronsko pošto. Pri tem pa so skrbniki spregledali, da se log zapisi o uporabi elektronske pošte beležijo v datoteke, ki so del javno dostopnih direktorijev.

Log datoteke so seveda vsebinsko zelo sporne, saj so vsebovale ogromno podatkov o tem kdo komu pošilja elektronsko pošto, subjekt elektronski sporočil, ipd. Niso sicer vsebovale same vsebine elektronskih sporočil, a to ne zmanjšuje pomena »incidenta«.

Ko je bilo javno opozorjeno na takšno stanje, so skrbniki Telemacha hitro odreagirali in podatki niso več dosegljivi.

Nauk za skrbnike:

Iz omenjenega incidenta sledi kar nekaj naukov za skrbnike spletnih portalov in aplikacij.

  • Vedno je potrebno preveriti, kam se določeni log in debug zapisi zapisujejo in nikoli ni dobra praksa, da se zapisujejo na javno dostopne direktorije, do koder imajo teoretično dostop vsi uporabniki.
  • Za dostop do dotičnih datotek je sicer napadalec moral poznati točen URL naslov, a skrbniki se morajo zavedati, da obstaja cela vrsta mehanizmov in skript, ki s preizkušanjem postopoma najdejo in razkrijejo vse prisotne direktorije in datoteke. To posebej velja za sisteme, ki so »off-the-shell«, saj je pri njih direktorijska struktura vsaj povečini znana in četudi do določenih direktorijev in datotek ne kaže noben javni URL link, lahko napadalci takšen link enostavno uganejo. Takšni »napadi« zahtevajo, da skripta oz. napadalec preizkusi večje število različnih kombinacij imen direktorijev ter imen, kar pomeni da napadalec neizbežno na sistemu pušča sledi poizkusov. Skrbniki morajo spremljati dogajanja na lastnih aplikacijah in vzpostavljen mora biti sistem, ki bi zaznal in alarmiral skrbnike v primeru, da se nenadoma pojavi večje število »napačnih« URL klicev, ker je to očiten znak, da nekdo s poizkušanjem želi ugotoviti, kaj vse se na strežniku dejansko nahaja.

 

Več o novici si lahko preberete na spodnji povezavi:

http://telemach.si/a15689/Za-medije/OBVESTILO-O-ZAZNANEM-IN-ODPRAVLJENEM-VARNOSTNEM-TVEGANJU.html

 

Ostali pomembni znani vdori

  • Vdor v Tesco banko je povzročil, da so napadalci nepooblaščeno prenesli del sredstev iz več kot 20.000 TRR računov njihovih uporabnikov. http://thehackernews.com/2016/11/tesco-bank-hack.html
  • Weebly in Foursquare portala sta prav tako doživela usodo podobnih portalov (Linkedn, Dropbox, Yahoo, Badoo, AdultFriendFinder, ipd.) – bilo je ukradenih več kot 43 mio. podatkov o uporabnikih (gesla, uporabniška imena, ipd.). http://thehackernews.com/2016/10/weebly-foursquare-data-breach.html
  • Vdori v tri mobilne operaterje v Veliki Britaniji so povzročil krajo več kot 6 mio. podatkov o uporabnikih/naročnikih ter operaterjem povzročili neposredno škodo, posledica katerih je bila prevara in kraja več kot 500 novih telefonskih aparatov.

http://thehackernews.com/2016/11/3-mobile-uk-hacked.html

 

Author photo
  • Vladimir Ban
  • Strokovnjak za kibernetsko varnost
  • M: 041 333 318
  • E: vladimir.ban@smart-com.si
    • LinkedIn circle icon
    • Twitter circle icon
    • Facebook circle icon
    • Google Plus circle icon

Zavarujte svoj informacijski sistem

Varnostne storitve


Več vsebin s področja varnosti

Did you find apk for android? You can find new Free Android Games and apps.
[grwebform url="https://app.getresponse.com/view_webform_v2.js?u=V1sSi&webforms_id=6394102" css="on" center="off" center_margin="200"/]
[iframe-popup id="2"]