Adesea ne găsim în situația extinderii necontrolate a rețelelor corporate, adăugăm host-uri noi, servere noi, imprimante și tot felul de echipamente. Odată cu această extindere se mărește și plaja de acțiune a unui atacator deoarece numărul crescut de sisteme informatice duce la creșterea posibilelor vulnerabilități din rețea.
Dacă extinderea nu o putem controla putem face ceva în privința vulnerabilităților. Asemeni unui atacator putem scana periodic rețeaua, identifica vulnerabilitățile de pe sisteme și în loc să le exploatăm le putem remedia prin actualizarea lor sau prin alte metode.
Un utilitar ce ne permit să scanăm rețeaua, să identificăm vulnerabilitățile și să le remediem este Qualys. Cu ajutorul Qualys putem efectua scanări periodice ale rețelei și putem ține o evidență centralizată a vulnerabilităților găsite până ce acestea sunt remediate.
Pentru rețelele mici putem opta pentru versiunea Community Edition ce este gratuită. Aceasta ne permite să scanăm până la 16 sisteme interne, 3 externe și un web site. În cazul rețelelor mari este necesar un upgrade, o vedere de ansamblu a rețelei ne poate ajuta să depistăm sistemele noi instalate în rețea, asta în cazul în care un atacator își instalează un sistem nou pentru a păstra un canal de comunicare cu exteriorul sau porturile noi deschise pe sisteme astfel încât dacă un atacator a compromis un sistem și a deschis un port nou pentru a exfiltra date îl putem descoperi.
În cazul în care doriți să testați soluția vă puteți face cont pe https://www.qualys.com/community-edition/
După ce primiți confirmarea veți avea accces la cloud-ul Qualys.
Pentru a începe scanarea sistemelor interne aveți nevoie să instalați în rețea un Virtual Appliance din tab-ul Scan -> Appliances.
În cazul nostru am folosit un Virtual Appliance de VMware Workstation deoarece rețeaua simulată de noi a fost construită în VMware Workstation.
Cu ajutorul codului de personalizare din cloud-ul Qualys am reușit să conectăm mașina virtuală la platformă.
Putem începe scanarea selectând din mai multe profile inițiale.
Sau putem personaliza scanarea apăsând pe Select.
Rezultatele scanării pot fi văzute inspectând fiecare sistem în parte din meniul Assets -> Hosts assets.
Sau cu ajutorul unui raport din meniul Reports -> Templates, de unde putem selecta mai multe tipuri de rapoarte.
Iar raportul are forma următoare:
În raport putem vedea tipul vulnerabilităților, dacă există exploit disponibil și ce metode de remediere exista.
Un astfel de soft, cum este Qualys ne poate ajuta să descoperim vulnerabilitățile înaintea atacatorilor, să le remediem și cu ajutorul rapoartelor periodice putem vedea progresul remedierii lor.
Dacă doriți să implementați soluția management a vulnerabilităților Qualys în rețeaua dvs. ne puteți contact oricând folosind formularul nostru de contact.
Review Boosteroid: cum să ți se tragă banii de pe card după ce ai închis contul.
Boosteroid este o platformă de cloud gaming, pentru cine nu știe ce este o platformă de cloud gaming, imaginați-vă că nu aveți un pc performant pentru a te juca ultimele jocuri și apelezi la o platformă de genul acesta, cu un cont și câteva zeci de RON lunar poți juca în browser ultimele jocuri apărute pe piață cu o performanță acceptabilă.
Problema vine când în spatele unei idei bune se află un management nu prea bun, de menținut că site-ul boosteroid.com este marcă înregistrată a BOOSTEROID GAMES SRL, cu adresa în Sector 1, Str. Avionului nr. 26, România.
Întâmplarea următoare ne-a fost relatată de un coleg și s-a întâmplat de curând.
Pe data de 04.10.2020 acesta și-a creat un cont trial pentru a încerca soluția, în data de 04.11.2020 a fost facturat pentru prima lună de acces. Deși nu asta era intenția lui a solicitat un refund, i s-a explicat ca nu se poate emite refund pentru auto-renewal, toate bune și frumoase, colegul nostru și-a dat cancel la auto-renewal în ideea că va folosi serviciul atunci când va avea nevoie.
În data de 06-12-2020 i-a fost emisă o nouă factură deși subscripția era închisă.
Conversația cu suportul a fost una triviala fără ca măcar să primească un număr de tichet.
În ideea că problemele se vor opri odată ce a fost notificat suportul, colegul nostru și-a închis contul cu gândul că orice problemă de facturare se va rezolva crezând că auto-renewal se va închide automat și că cei 9.89 EURO nu sunt o avere. Când avea să primească o rezoluție o va primi.
Surpriza a venit în data de 04.01.2021 când a fost facturat iarăși deși știa că are subscripția închisă și contul la fel.
A doua interacțiune cu suportul a fost la fel de slabă ca prima.
Contul fusese șters pe 09-12-2020 dar subscripția a continuat să existe după ștergere deși colegul nostru își aduce aminte clar că și-a închis subscripția după prima factură din noiembrie iar odată ce îți închizi contul nu se închide și subscriptia/auto-renewal? Pe premisa că dacă omul se prinde că îi sunt trași bani din cont bine, dacă nu, mai facturăm câteva luni bune după.
Refund-ul pentru factura din ianuarie a fost făcut, colegul nostru ne-a rugat să publicăm această întâmplare pentru a aduce la cunoștință utilizatorilor practicile operatorului de date cu caracter personal mai ales din perspectiva faptului că serviciul este folosit în mare parte de către copii cu ajutorul cardurilor părinților.
În momentul de față echipa Boosteroid nu știe dacă o cerere de închidere a subscripției a fost făcută înainte ca a doua factură să fie generată și nu i-a răspuns colegului nostru cu log-uri clare ale activității sale pe site. La solicitarea log-urilor de pe server răspunsul celor de la Boosteroid a fost următorul.
Cu alte cuvinte subscripția a fost închisă de către Boosteroid la aproape o lună după ce colegul nostru și-a închis contul și ca urmare a solicitării acestuia de a îi fi închisă. Fie au un bug pe site prin care cererile nu sunt procesate automat, fie acestea sunt procesate manual după ce clientul a făcut cererea în sistem iar acolo s-a produs o eroare umană sau pur și simplu este rea voință a operatorului care se bucură la un 9.89 EURO facturați.
Colac peste pupăză, la o lună după acest episod, colegul nostru a primit o notificare pe telefonul mobil cu privire la o ofertă:
Cum sunt procesate cererile de închidere a subscripției de către Boosteroid, cât timp rămân datele cardului bancar în sistemele lor și cum sunt procesate datele rămâne un mister așa că aveți grijă ce servicii achiziționați online.
Colegul nostru a făcut o plângere GDPR pentru folosirea datelor personale după închiderea contului pe site, aceasta urmează să fie rezolvată de https://www.dataprotection.ro/.
În decembrie 2020, SolarWinds, o companie din Austin, Texas, anunță că a fost victima unui atac de tip supply-chain.
Pentru a înțelege mai bine acest tip de atac ne putem imagina că o companie din țară care comercializează apă plată este compromisă de un atacator, atacatorul pune în sursele sale de apă o substanță care poate face rău clienților. Compania distribuie la rândul ei apa și în felul acesta substanța ajunge la mai mulți oameni.
În cazul de față nu a fost vorba de oameni ci de companii, SolarWinds estimează că undeva la 18.000 companii au primit actualizarea malițioasă dintr-un total de 33.000 ce folosesc produsul Orion.
Printre clienții celor de la SolarWinds se numără Ericsson, Yahoo, Texaco, AT&T, Pentagonul, State Department, NASA, NSA, Postal Service, NOAA, Department of Justice, biroul Președintelui Statelor Unite ale Americii și mulți alții, o listă parțială poate fi consultată pe WayBackMachine deoarece lista clienților de pe site-ul SolarWinds a fost ștearsă.
Companiile ce au confirmat compromiterea:
Cisco, dar aceasta nu a putut să spună dacă produsele sale au fost compromise sau nu. La scurt timp după anunțul atacului, pe ceea ce pare a fi site-ul atacatorilor http://solarleaks.net/ sunt furnizate detalii despre breșa de securitate și sunt vândute codurile sursă ale produselor companiei mai sus menționate.
Microsoft admite că o parte din codul sursă al aplicațiilor a ajuns pe mâna atacatorilor cel mai probabil ca urmare a pivotării de pe instanțele compromise în conturile interne a utilizatorilor.
Alte companii care au confirmat compromiterea: CrowdStrike, Fidelis, FireEye, Malwarebytes, Palo Alto Networks, US Justice Department,
Sergei Shevchenko, un blogger și cercetător a analizat interogările de DNS pasiv furnizate de Zetalytics și a reușit să decodeze o parte din traficul către domeniul folosit de atacatori ca domeniu de C2 (Command and Control) găsind urme ale comunicării altor 119 companii cu domeniul malițios, cel mai probabil și aceste companii au fost compromise.
De ce este atât de periculos atacul asupra SolarWinds?
Răspunsul este din perspectiva soft-ului în sine. Dacă atacatorii ar fi executat un atac de tip supply-chain asupra unui producător de jocuri impactul ar fi mult mai mic deoarece ar fi fost compromiși numai utilizatorii finali pe când în cazul de față au fost compromise companiile ce furnizează software și produse utilizatorilor finali iar impactul este semnificativ mai mare. Atacatorii putând să compromită mai departe soft-ul produs de acele companii, asemenea unui joc de domino.
Ce avantaje au avut atacatorii din compromiterea SolarWinds?
Pentru a înțelege asta trebuie să înțelegem ce produse furnizează SolarWinds.
SolarWinds Orion poate să ofere prin extensiile sale: monitorizarea performanței rețelei, monitorizarea aplicațiilor și serverelor, administrarea configurațiilor de pe rețea, analizor de trafic, analizor de log-uri și multe altele.
Odată compromisă soluția Orion, atacatorii și-au putut facilita accesul în rețelele compromise cu ușurință și în liniște (fără să declanșeze măsuri de protecție, IDS/IPS, AV, șamd.)
În rețeaua clienților compromiși, soft-ul Orion le-a permis atacatorilor să efectueze operațiuni de recunoaștere deoarece este o bază de date imensă cu informații despre rețea. De aici și până la a compromite alte sisteme este cale mică, partea de recunoaștere și documentare a rețelei este procesul cel mai time consuming pentru un atacator.
Mai jos puteți găsi câteva imagini din interiorul platformei Orion.
Un alt aspect demn de menționat este faptul că victimele nu au putut să reacționeze la atac până în momentul dezvăluirii acestuia deoarece toate binarele infectate aveau semnăturile SolarWinds și orice eveniment suspect declanșat de acestea ar fi fost tratat ca fals pozitiv.
Atacul este atribuit UNC2452 , o grupare ce este bănuită că ar fi sponsorizată de către guvernul Rusiei.
Cât de mare a fost impactul acestei compromiteri nu vom putem ști dar având în vedere complexitatea atacului este posibil ca tot mai multe companii să admită că au fost victime deoarece procesul de remediere este de durată, atacatorii putând să altereze și alte fișiere, să își creeze persistență prin intermediul backdoor-uri, șamd.
Calendarul atacului poate fi consultat aici:
Iar indicatorii de compromitere aici:
https://github.com/fireeye/sunburst_countermeasures
Dacă credeți că ați fost afectați de acest atac ne puteți scrie oricând pe adresa contact@redelite.ro sau folosind formularul nostru de contact și vă putem oferi consultanță pentru remedierea atacului.
În articolul precedent subliniam faptul că un antivirus tradițional nu este de ajuns pentru a securiza host-urile angajaților. Astăzi vom prezenta câteva avantaje ale soluțiilor de tip EDR (Endpoint Detection and Response) în comparație cu un antivirus tradițional.
Ce este un EDR (Endpoint Detection and Response)
Soluțiile EDR sunt aplicații ce ajută membrii SOC (Security Operation Center) în detectarea și invesigarea activităților suspecte de pe endpoint-urile din întreaga organizație. EDR-ul a devenit tehnologia preferată de organizațiile din întreaga lume pentru a adăuga un strat suplimentar de securitate pentru rețelele lor în comparație cu un antivirus.
Structura unui EDR
Structura unui EDR este compusă din aplicații de tip client care se instalează pe endpoint-uri și platforme ce stochează datele primite de la clienți, aceste platforme pot fi înstalate în rețeaua organizației (in house/on-premise) sau pot fi folosite soluții de stocare în cloud-ul funizorului de serviciu.
Cum funcționează un EDR
Soluțiile EDR monitorizează traficul de rețea al endpoint-urilor și evenimentele de pe acestea. Datele sunt colectate centralizat pe un server pentru a putea fi analizate de membrii SOC.
Avantajele EDR
Programele antivirus tradiționale se limitează la detectarea și îndepărtarea virușilor și a altor programe malițioase pe baza unor semnături actualizate de vânzătorul produsului, acestea sunt o componentă a EDR. Pe lângă funcțiile oferite de antivirus, EDR-ul oferă o privire de ansamblu a tuturor evenimentelor de pe endpoint-uri. Mai jos vom prezenta câteva scenarii unde se poate vedea eficiența sporită a unui EDR.
- Utilizatorii raportează un email de phishing, analisul SOC extrage URL-ul malițios și poate verifica în EDR dacă și alți utilizatori au dat click pe URL-ul respectiv. Un alt beneficiu al verificării traficului este acela că pe baza URL-urilor malițioase se pot crea watchlist-uri astfel încât atunci când un endpoint face un DNS Lookup pentru domeniul malițios să se creeze o alertă și incidentul să poată fi remediat.
- Actualizarea proactivă a semnăturilor fișierelor malițioase. Un antivirus tradițional are în spate o echipă care actualizează semnăturile, actualizărilor pot fi primite cu întârziere de către client. Cu ajutorul unui EDR, personalul din SOC poate analiza mai multe surse externe de semnături și pot bloca proactiv ce este de interes pentru companie. În domeniul securității IT 5 minute de întârziere în blocarea unei amenințări pot fi catastrofale.
- Cu ajutorul unui EDR analiștii SOC pot determina dacă un proces este malițios sau nu folosindu-se de cunoștințele lor în criminalistică digitală. Se poate determina dacă un proces a pornit dintr-un folder din care nu ar fi trebuit să pornească, se poate determina ce sub-procese a deschis un anumit proces și dacă acesta conțin cod malițios, spre exemplu powershell.
- Un alt aspect foarte important ce poate face un EDR să fie mai eficient decât un antivirus este acela că oferă o privire de ansamblu asupra tuturor fișierelor din mediul clientului. La ce ajută asta? Spre exemplu, departamentul SOC primește o alertă despre un fișier posibil malițios, cu ajutorul EDR-ului se poate determina cât de mare este impactul asupra mediului clientului, dacă fișierul este instalat pe 5 endpoint-uri sau dacă este instalat pe 10.000 iar dacă în urma analizei se determină că fișierul este malițios acesta poate fi blocat pe toate endpoint-urile.
- Blocarea USB-urilor malițioase pe toate endpoint-urile din organizație. La ce ne ajută asta? Spre exemplu un atacator cu acces fizic in organizație introduce un USB malițios într-un endpoint, acesta este detectat dar între timp atacatorul a scos USB-ul și a plecat mai departe, dat fiind că identificarea atacatorului poate dura, ca măsura preventivă se poate bloca USB-ul pentru citire/scriere pe toate endpoint-urile din organizație.
Cele prezentate mai sus sunt câteva dintre avantajele unui EDR în comparație cu un antivirus tradițional. Nu toate soluțiile de EDR au caracteristicile enumerate mai sus și este posibil ca o soluție să aibă o parte dintre caracteristici iar cealaltă să aibă caracteristici diferite. În funcție de necesitățile companiei se poate alege soluția optimă.
Directivă NIS (Network and Information Security) 2016/1148 a Parlamentului European este prima reglementare în domeniul securității informatice la nivel european.
Statele membre sunt nevoite să adopte reglementările Uniunii Europene în materie de securitate informatică, o parte dintre aceste reglementări se aplică la nivel:
- Național – statele li se solicită să aibă instituții ce pot gestiona evenimentele de securitate cibernetică, să facă exerciții periodice, etc.
- Interstatal – să colaboreze cu statele membre din rețeaua EU CSIRT (Computer Security Incident Response Services), grupul strategic de cooperare NIS, etc.
- Supraveghere a sectoarelor critice naționale – Furnizarea și distribuirea de apă potabilă, energie, transport, sănătate și sectorul bancar.
În România, implementarea NIS a început odată cu promulgarea legii 362/2018 însă această lege nu a fost de ajuns, iar în 2020 prin Ordonanța de Urgență nr. 119 din 22.07.2020 au fost lămurite încă o parte din aspectele implementării directivei NIS în țară.
Echipa RedElite a dorește să obțină atestatul auditor de securitate a rețelelor și sistemelor informatice și am încercat să obținem mai multe informații de la cei ce se ocupă direct de implementarea NIS, CERT-RO. Răspunsul acestora a fost următorul:
Urmare la email-urile dvs. … / 11.10.2020 14:28 // înregistrat la CERT-RO/ACNNISS: A13-153 din 12.10.2020
Direcția Reglementare, Evidență, Autorizare și Monitorizare, în calitate de Autoritatea competentă la nivel național pentru securitatea rețelelor și sistemelor informatice (ACNNISS), vă comunică următoarele:
I/ În ceea ce privește atestarea auditorilor de securitate a rețelelor și sistemelor informatice.
Procesul de atestare este unul complex, iar la acest moment ne aflăm în etapa de elaborare a actelor subsecvente (regulamente, metodologii, normative etc.). Modalitatea de autorizare și înscriere în Registrul auditorilor de securitate NIS (RASI) va fi precizată în Regulamentul pentru atestarea și verificarea auditorilor de securitate informatică pentru auditarea rețelelor și sistemelor informatice aparținând operatorilor de servicii esențiale sau furnizorilor de servicii digitale și pentru stabilirea condițiilor de valabilitate pentru atestatele acordate (REGANIS) – document aflat în faza de elaborare și aprobare.
II/ În ceea ce privește pașii necesari de urmat.
Procesul de atestare a auditorilor de securitate NIS este unul complex care presupune:
- identificarea operatorilor de servicii esențiale și a furnizorilor de servicii digitale;
- elaborarea actelor subsecvente specifice (norme, regulamente, dispoziții etc.)
- atestarea auditorilor de securitate NIS.
- înscrierea auditorilor de securitate NIS în registrul RASI.
Pași necesari de urmat vor fi precizați pe parcursul acestui proces, în funcție de aprobarea actelor subsecvente.
Precizare. La acest moment, la nivelul ACNNISS este în plin proces etapa de elaborare a actelor subsecvente. După aprobare, actele vor fi publicate atât pe site-ul instituției (www.CERT.RO) – la secțiunea: ACNNISS (https://cert.ro/pagini/ansrsi) / subsecțiunea: ACTE SUBSECVENTE (https://cert.ro/pagini/nis-acte-subsecvente) – , cât și în Monitorul Oficial, Partea I. De asemenea, procedurile/ghidurile specifice vor fi publicate, după apariție, la subsecțiunea PROCEDURI/GHIDURI (https://cert.ro/pagini/nis-proceduri-ghiduri).
Totodată, precizăm faptul că mai multe informații puteți accesa pe pagina web a CERT-RO (www.cert.ro), secțiunea Autoritatea Națională NIS/IMPLEMENTAREA DIRECTIVEI NIS (https://cert.ro/pagini/ansrsi), unde vor fi postate etapele procesului de aprobare a actelor subsecvente specifice auditorilor de securitate NIS, modalitățile de atestare a acestora, procedurile de lucru etc.
Se pare că ne îndreptăm cu pași repezi către implementarea NIS în țară, ținem să mulțumim colegilor de la CERT-RO pentru promptitudinea cu care ne-au răspuns solicitării.
Pe 17 octombrie s-a împlinit un an de la conferința HackTheZone Conference & Challenges, ne bucurăm că am făcut parte din proiect. Conferința a fost precedată de o serie de CTF-uri inspirate din Cicada 3301 menite să testeze concurenții într-un mediu cât mai aproape de cel real.
RedElite a contribuit împreună cu echipa HackTheZone la designul CTF-urilor din cadrul competiției și la instalarea lor. CTF-urile au fost 5 la număr după cum urmează:
Web application penetration testing
Concurenții au avut primit adresa unui website, după recon-ul inițial făcut cu WPScan a returnat mai multe vulnerabilități, cea care permitea accesul pe server a fost CVE-2019-8942. Odată inițializat reverse shell-ul concurenții au putu găsi în home folder-ul utilizatorului un base64 ce conținea informațiile de logare pentru un alt utilizator.
După logarea cu credențialele găsite concurenții au putut vedea primul flag și o conversație între un personaj fictiv și unul real.
Social engineering
Din conversație se puteau obține link-ul către o arhivă parolată și indicațiile pentru a obține parola dintr-o prima locație fizică.
Locația a fost un salon de coafură din București, angajații salonului au fost instruiți ca dacă cineva vine și întreabă de câinele Monei să le indice o poza cu câinele. La gâtul câinelui se afla o eșarfă cu un string codat în Caesar.
Arhiva conținea al doilea flag și indicațiile pentru a doua locație împreună cu handshake-ul din care se putea obține parola Wifi-ului din a doua locație.
Wardriving + Mobile + Audio Steganography
Odată ajunși în a doua locație, concurenții au fost nevoiți să extragă parola din handshake cu ajutorul wordlist-ului Rockyou să facă o scanare cu Nmap iar din rezultatul scanării puteam fi găsite două dispozitive mobile vulnerabile la CVE-2019-6447. Pe dispozitivele mobile se puteau găsi două fișiere audio intitulate sugestiv: Message From ISS.
La o simplă căutare pe Google se putea deduce că fișierele erau codate în SSTV și puteau fi decodate cu un utilitar simplu denumit QSSTV.
Din decodarea fișierelor audio a rezultat flag-ul al 3-lea, a 3-a locație fizică și credențialele pentru Wifi-ul din locație.
Binary Buffer overflow
Al 4-lea CTF s-a desfășurat la Mechano Pub în Regie, concurenții au fost nevoiți să scaneze rețeaua, să identifice un server web care hosta un fișier binar, totodată acel binar rula pe un al port al serverului. Cu ajutorul unui debugger concurenții au putut identifica offeset-ul unde binarul dădea eroare.
Odată exploatată vulnerabilitatea de overflow aceștia au putut să obțină un reverse shell pe host și să obțină flag-ul 4 și binarul pentru flag-ul 5.
Reverse Engineering
Pentru al 5-lea flag analiza completă poate fi găsită direct pe site-ul conferinței https://www.hackthezone.com/challenges/official-challenges-2019/
Datorită restricțiilor impuse de pandemia Covid-19, companiile sunt împinse din ce în ce mai mult să adopte lucrul de acasă.
Deși telemunca s-a dovedit a fi benefică atât pentru angajator cât și pentru angajat din punct de vedere al securității cibernetice lucrurile nu stau chiar așa de bine.
Putem compara lucrul de acasă cu lucrul dintr-o cafenea sau dintr-un hotspot public, adesea, rețelele personale nu sunt atât de bine securizate ca cele ale companiilor, accesul persoanelor neautorizate (vecini curioși) este destul de facil aceștia putând intercepta cu ușurință traficul necriptat.
Un alt aspect ce poate face o rețea personală nesigură este multitudinea de device-uri prezente în rețea, telefoane mobile, televizoare smart și alte device-uri conectate, un număr mai mare de echipamente mărește aria de atac. Unul dintre cele mai vulnerabile echipamente de pe rețeaua de acasă este chiar routerul, adesea routerul este cumpărat, instalat și așa rămâne pe rețea, foarte puțini utilizatori știu că routerele personale, asemenea telefoanelor sau a altor dispozitive, necesită actualizări de soft iar foarte puține routere sunt capabile să facă aceste actualizări automat.
Lipsa firewall-urilor sau a serverelor proxi poate crește riscul ca utilizatorii să acceseze link-uri malițioase.
Cum putem reduce riscurile unui atac cibernetic pentru angajații ce lucrează de acasă?
Implementarea soluțiilor suplimentare de Endpoint management, un antivirus nu este suficient pentru a contracara atacurile cibernetice.
Separarea traficului de rețea prin utilizarea vlan-urilor, majoritatea routerelor noi sunt capabile să creeze vlan-uri separate.
Instruirea periodică a angajaților, atacurile de tip phishing pot fi contracarate cu ușurință de un utilizator instruit.
Instruirea angajaților pentru a își actualiza device-urile din casă.
Utilizarea unui VPN pentru accesarea rețelei organizației.