Pregled javno objavljenih napadov in zlorab informacijskih sistemov

Want create site? With Free visual composer you can do it easy.

Ena bistvenih nalog skrbnikov IS je spremljanje varnostnih pomanjkljivosti in ustrezno sprotno varnostno nadgrajevanje sistemov.

Iz obdobja zadnjih mesecev izpostavimo naslednje znane napade.

 

Napad na sisteme, ki uporabljajo bazo MongoDB

MongoDB je relativno popularna baza za različne informacijske sisteme. Gre za t.i. Opensource non-SQL bazo.

Problem pri tej bazi je bil, da je pred časom omogočala neoviran skrbniški dostop za vsakogar, ki je do baze lahko dostopal. Razvijalci so sicer že pred leti pripravili popravek baze, s katerim so lahko skrbniki dostop ustrezno omejili, a tako kot se to večkrat dogaja, marsikdo tega popravka ni implementiral.

To so v zadnjem mesecu izkoristili napadalci, ki so izvedli napad na MondoDB instalacije, ki so jih zaznali v Internet omrežju. Pri napadu so najprej prekopirali vsebino k sebi, nato pa z izsiljevanjem zahtevali od skrbnikov oz. lastnikov podatkov plačilo, v zameno za povrnitev podatkov.

Vsekakor se priporoča implementacija vseh popravkov na MongoDB instalacijah ter upoštevanje vseh varnostnih navodil razvijalcev baze.

https://docs.mongodb.com/manual/administration/security-checklist/

Več o tem napadu si lahko preberete na:

http://thehackernews.com/2017/01/secure-mongodb-database.html

http://www.darkreading.com/attacks-breaches/mongodb-attack-shows-off-cyber-extortionists-new-tricks-/d/d-id/1327860

 

AplhaBay strežnik napaden na »skritem« internetu – razkritih več kot 200.000 sporočil uporabnikov

V novicah prejšnjega meseca smo spregovorili o t.i. »skritem« internetu, kjer se razvijajo prave tržnice ukradenih podatkov. Ukradeni podatki so praviloma rezultati uspešnih napadov na razne javne spletne portale.

Tokrat je žrtev takšnih napadov postala kar tržnica sama!

Napadalec je namreč izkoristil ranljivost na sistemu in si omogočil prebiranje več kot 200.000 sporočil, ki so si jih izmenjavali uporabniki tega »črnega« portala glede ponudb in nakupov nelegalnih vsebin (ukradenih podatkov, malware datotek ipd.).

Napadalec je prav tako uspel pridobiti neznano število uporabniških imen in ostalih podatkov uporabnikov.

Tehnične podrobnosti napada niso znane. So pa napad potrdili skrbniki portala, ki zagotavljajo, da so pomanjkljivosti sedaj odpravljene.

Zaradi vsebinske občutljivosti sporočil, ki si jih na takšnem portalu izmenjujejo uporabniki, so sicer skrbniki že prej opozarjali uporabnike, di si pri izmenjavi sporočil najprej izmenjajo PGP šifrirne ključe in sporočila še sami šifrirajo, a je seveda večje število uporabnikov to opozorilo spregledalo oz. ga ni upoštevalo.

Za sam napad bi marsikdo lahko (upravičeno) rekel »Prav jim je!«, a to ni bistvo te novice.

Bistvo novice je:

  • Še ena potrditev poleg mnogo drugih v zadnjem času, da so ravno spletni portali zelo privlačna tarča napadalcev. Takoj ko je portal dovolj popularen, da vsebuje večje število uporabnikov, postane tudi željena tarča napadalcev. Vsebina portala pri tem ni pomembna, pomembno je število uporabnikov.
  • Skrbniki portala se morajo zavedati, da zgolj opozorila uporabnikom, naj upoštevajo določena varnostna načela (dobra gesla ipd.) niso dovolj. Vedno obstaja dovolj velik delež uporabnikov, ki opozoril enostavno ne upošteva, zato morajo skrbniki za varnost skrbeti sami in se ne zanašati na »sodelovanje« uporabnikov.

Več o novici si lahko preberete na:

http://thehackernews.com/2017/01/alphabay-darkweb.html

 

Napad na banke na Poljskem

Pred kratkim so bile žrtve napadov na informacijski sistem tudi poljske banke. Točno število napadenih bank ni znano, šlo pa naj bi za največji napad v državi doslej (okuženih naj bi bilo preko 20 bank).

Pri tem je zanimiv način izvedbe napada. Napadalci so najprej izkoristili ranljivost na spletni strani poljskega državnega regulacijskega finančnega organa. Preko ranljivosti so na spletno stran vrinili zlonamerne »java-script« ukaze.

Nič hudega sluteči obiskovalci (praviloma iz bančnega sektorja) njihovih strani, so tako nevede na svojih delovnih postajah sprožili zlonamerne »java skript« ukaze, ki so nato delovne postaje okužili z različnimi zlonamernimi datotekami. S tem so napadalci postopoma prevzeli nadzor nad delovnimi postajami, od koder so nadaljevali napad v notranjost omrežij. V določenih primerih so uspeli prevzeti nadzor nad centralnimi strežniki.

Ko so posamezne banke pričele zaznavati napad in so o tem obvestile ustrezne organizacije, so bile na napad opozorjene tudi ostale banke. Te so šele na osnovi opozorila pričele pozorneje spremljati dogajanje v svojem informacijskem sistemu in tako opazile sumljiv SSL izhodni promet, ki se je ves zaključeval na posebnem IP naslovu v tujini.

Način napada je sicer klasičen, a vseeno ponuja nekaj posebnih opozoril za skrbnike:

  • Spletne strani so velikokrat izvor napadov. Četudi je vsebina spletnih strani manj pomembna ali zanimiva, to ni razlog, da ne skrbimo za varnost. Takšne spletne strani so idealne za napadalce, ki vrinejo zlonamerno kodo, s katero nato okužijo obiskovalce teh spletnih strani.
  • Vnos zlonamernih datotek je vedno mogoč. Če podjetje že ne poskrbi za posebne APT sisteme, ki tovrstne okužbe preprečujejo, je potrebno vsaj poskrbeti za minimiziranje škode z notranjimi požarnimi pregradami ipd. Tu ne gre za varovanje pred zlonamernimi namen notranjih uporabnikov, ampak pred zlonamernimi programi, ki jih notranji uporabniki nehote in nevede prenesejo na svoje delovne postaje.
  • Spremljanje in nadzor izhodnega prometa (predvsem SSL z nenavadnimi destinacijami) mora biti ena izmed pomembnejših rednih nalog skrbnikov. Nevarno je, če skrbniki ne zaznajo vdora, še bolj nevarno pa je, če lahko napadalec neopaženo prenaša podatke in datoteke v notranjost omrežja in iz njega.

Več o tem napadu si lahko preberete na naslednji povezavi:

http://thehackernews.com/2017/02/bank-hacking-malware.html

 

Organizirana tolpa računalniških napadalcev uporablja Google servise za svoje napade

Znana hekerska skupina Carbanak je v zadnjem času pričela z zelo učinkovito zlorabo Google servisov. Že nekaj časa je namreč znan princip napadov, kjer napadalci na različne načine na delovne postaje uporabnikov prenesejo zlonamerne datoteke. Te se nato povežejo s t.i. C&C strežniki, preko katerih napadalci upravljajo z zlonamernimi datotekami, s čimer lahko kontrolo nad delovno postajo in notranjostjo omrežja žrtve širijo naprej.

Če že zatajijo obrambni mehanizmi, ki naj bi zlonamerno datoteko zaznali že ob prvi okužbi ter če že zatajijo notranji mehanizmi varovanja (oz. jih sploh ni…), ki preprečujejo napadalcem, da iz manj pomembnih delovnih postaj (kjer se okužba tipično prične) nadaljujejo svoj pohod vse do centralnih strežnikov, pa imajo skrbniki še zadnjo možnost. To je spremljanje izhodnega prometa z namenom zaznati te izhodne povezave med okuženimi delovnimi postajami in C&C strežniki v Internet omrežju.

Spremljanje takšnega izhodnega prometa pa ni enostavno. Kot prvo je pomešan z vsem legalnim izhodnim prometom, kot drugo gre praviloma za SSL izhodni promet.

Brez namenskih SSL dekriptorjev (ki jih večina podjetij nima), lahko skrbniki razločijo SSL promet le po destinaciji. Enostaven način takšnega nadzora pomeni, da se najprej izloči SSL promet proti znani/pričakovani destinaciji, nato sledi še pregled, kam vse preostale destinacije zares kažejo. Če podjetje oz. skrbniki že pregleduje izhodni promet, pa to praviloma izvajajo zgolj na ta enostaven način.

Uporabniki Google servise pogosto uporabljajo, zato je pri pregledu izhodnega prometa razvidno, da vsebuje zelo veliko prometa z Google servisi. Prav zato skrbniki pri enostavnem pregledu tega promet ne spremljajo podrobno, saj je to pričakovan-znan promet. In ravno to je bil cilj napadalcev, da svoje C&C strežnike »skrijejo« med Google servise in na ta način zagotovijo svojo neopaženost.

Nauk tega napada:

  • Okužbe z zlonamernimi datotekami so vedno možne.
  • Spremljanje izhodnega prometa je nujno, če želimo zaznati prisotnost zlonamerne kode, ki ji vhodni mehanizmi niso preprečili vstopa v omrežje.
  • SSL dekripcija je zares edino učinkovito spremljanje izhodnega prometa, saj zgolj ločevanje SSL prometa po destinaciji pri takšnih napadih ne omogoča razlikovanja legalnega in zlonamernega prometa.

Več o tem napadu si lahko preberete na naslednji povezavi:

http://thehackernews.com/2017/01/google-banking-malware.html

 

Uspešen napad na FBI strežnike

V januarju je bil zabeležen tudi napad na FBI spletne strežnike.

Napad je bil javno zaznan dokaj hitro, saj je napadalec sam pričel objavljati dokaze in material, ki je prikazoval uspešen napad.

Kar je pri tem napadu poučno, je naslednje. Napadeni strežniki so uporabljali Plone. Plone je open-source platforma, na nek način podobna Joomli ali WordPressu, s to razliko, da je namenjena izgradnji spletnih strani z veliko dokumenti, datotekami ipd.

Na sploh velja, da naj bi bila Plone platforma zelo varna, zato je pri marsikaterih državnih inštitucijah dokaj popularno orodje.

Ko je bil napad objavljen, so raziskovalci po prvem pregledu ocenili, da je napadalec zlorabil t.i. zero-day ranljivost oz. ranljivost, ki jo do takrat avtorji Plone platforme niso poznali. Vendar se je nato izkazalo, da gre za že znano ranljivost, ki so jo pred časom opazili in s popravki tudi odpravili. Skrbniki FBI strežnikov pa popravkov niso ustrezno implementirali.

Nauk tega napada:

  • Spletne strani in spletni strežniki so vedno pod udarom napadalcev.
  • Sprotno spremljanje novih ranljivosti na tehnologijah, ki jih uporabljamo na strani spletnih aplikacij ter sprotno implementiranje popravkov in nadgradenj je nujen proces, kjer pravega opravičila za zamudo ne bi smelo biti.

Več o tem napadu lahko preberete na:

http://thehackernews.com/2017/01/fbi-plone-cms-hacked.html

 

Ostali pomembni napadi

Xbox in Playstation Gaming forum napaden. Ukradeni podatki več kot 2,5 milijona uporabnikov!!! – http://thehackernews.com/2017/01/gaming-forum-hacking.html

Spletni portal podjetja Cellebrite, ki se ukvarja z varnostjo mobilnih telefonov uspešno napaden. Ukradeno več kot 900GB podatkov!!! – http://thehackernews.com/2017/01/mobile-hacking-cellebrite.html

LeakedSoruce spletna stran (pred meseci smo jo navajali v novicah, kot idealen poligon za preverjanje, če je bil naš e-mail naslov/uporabniško ime v preteklosti žrtev napada na katerem izmed javnih portalov) ne deluje več!!! – http://thehackernews.com/2017/01/leakedsource-police-raid.html

Ransom napad uničil celo vrsto dokazov kriminalnih dejanj pri Texaški policijski upravi – http://www.darkreading.com/texas-police-unit-loses-years-of-evidence-to-ransomware-/d/d-id/1328008

 

Author photo
  • Vladimir Ban
  • Strokovnjak za kibernetsko varnost
  • M: 041 333 318
  • E: vladimir.ban@smart-com.si
    • LinkedIn circle icon
    • Twitter circle icon
    • Facebook circle icon
    • Google Plus circle icon

 

Zavarujte svoj informacijski sistem

Varnostne storitve


Več vsebin s področja varnosti

Did you find apk for android? You can find new Free Android Games and apps.
[grwebform url="https://app.getresponse.com/view_webform_v2.js?u=V1sSi&webforms_id=6394102" css="on" center="off" center_margin="200"/]
[iframe-popup id="2"]