Opšti nivo pretnje od novih oblika kiber napada veoma visok

Dragi klijenti, prijatelji, saradnici

Obaveštavamo vas da je opšti nivo pretnje od novih oblika kiber napada veoma visok.
Opšti opis:

Nivo pretnje: veoma visok – napad je veoma verovatan. Neophodno je primeniti dodatne i održive mere bezbednosne zaštite kao odgovor na pretnje širokog spektra u kombinaciji sa specifičnim poslovnim i geografskim ranjivostima i procenama o stepenu  prihvatljivog rizika.

Opis:

Dok se svet još uvek veoma intenzivno bavi pretnjom u vidu samoširećeg WannaCry ransomvera, primetili smo da je Wikileaks objavio novu seriju CIA Vault 7 curenja, detaljno opisujući dva očigledna CIA malvera usmerena na Microsoft Windows platformu. Ova dva malvera, pod nazivom „AfterMidnight“ i „Assassin„, dizajnirani su za praćenje i izveštavanje o akcijama preduzetim na inficiranom udaljenom host-u i za izvršavanje zlonamernih radnji. Malver ‘After Midnight’ omogućava svojim operatorima dinamičko učitavanje i izvršenje zlonamernog malvera  na ciljanom sistemu. Glavni kontrolor zlonamernog malvera  je maskiran kao Windows Dinamic-Link Library (DLL) samoodrživi fajl koji startuje ’Gremlins’ – skriveni malver  koji dobro  skriven  u napadnutom računaru  podriva  funkcionalnost softvera, monitoriše sve aktivnosti i pruža podršku  za ostale Gremlins-e. Malver ‘Assassin’ je sličan malveru After Midnight i može se opisati  kao automatski implant koji predstavlja jednostavnu platformu za prikupljanje podataka na udaljenim računarima koji rade pod operativnim sistemom Microsoft Windows. Kada se instalira na ciljanom računaru, ovaj maliciozni  softver  startuje implantat unutar Windows service procesa, omogućavajući napadačima  da obavljaju maliciozne zadatke na zaraženom računaru, baš kao i malver After Midnight.  Malver Assassin se sastoji od četiri podsistema: Implant, Builder, Command and Control i Listening Post.

Važno je istaći  da je praksa obaveštajnih agencija da ne otkrivaju ranjivosti vendorima, uzrokovala haos širom sveta u poslednja 3 dana, kada je WannaCry ransomver pogodio računare u 150 zemalja koristeći nedostatak u SMB-ukoji je NSA otkrio i održavao, ali koji je kasnije procurio i dospeo u posed ’The Shadow Brokers’-a pre više od mesec dana.

Sistemi koji su pogođeni: Microsoft Windows operativni sistemi

Preporuke:

Priložene smernice će vam pomoći da se zaštitite od zlonamernih programa, i njegovih povezanih bezbednosnih pretnji:

* Ažurirajte antivirusni program sa najnovijim update-ovima i koristite zaštitu u    realnom vremenu.

* Ažurirajte vaš web pretraživač. Uverite se da koristite najnoviju verziju koja sadrži sve najnovije bezbednosne zakrpe.

* Redovno ažurirajte računare sa najnovijim verzijama i zakrpama kako antivirus tako i antispyware softvera.

* Osigurati da se računari redovno ažuriraru sa bezbednosnim zakrpama, naročito operativni sistem i ključne aplikacije.

* Preporučljivo je da se sprovede Security Awareness program, upućen menadžmentu i zaposlenima, dizajniran da poveća nivo razumevanja u vezi sa socijalnim inženjeringom i bezbednosnim pretnjama u celini.

* Filtrirajte izvršne datoteke kod e-pošte. Ukoliko vaš email gateway ima sposobnost filtriranja fajlova po ekstenziji, blokirati elektronsku poštu  poslatu  sa „.exe“, „.scr“, „.bat“ fajlovima i blokirati mejlove  poslate sa datotekama koje imaju dve ekstenzije, gde je poslednja ekstenzija izvršna.

* Konačno, u slučaju da je sistem kompromitovan, treba ga odmah ukloniti iz mreže.

 

TowersNet tim i Društvo za infomacionu bezbednost Srbije Vam stoje na raspolaganju za sva dodatna pitanja ili pomoć vezano za gore navedeno.

 

Srdačan pozdrav,
Zoran Živković

Predsednik društva

z.zivkovic@towersnet.rs

+381112662444

Kako se zaštititi od masovnog ransomver napada WannaCry?

Шта је WannaCry?
WannaCry је рансомвeр варијанта која користи експлоит у оперативном систему Windows (MS17-010) (објављен од стране хакерске организације под називом Shadow Brokers у марту) . Наведени експлоит и алати су наводно део колекције шпијунских алата који се користе од стране Агенције за националну безбедност SAD  (NSA). Microsoft тврди да је издао закрпу за рањивост врло брзо након објаве рањивости, реална ситуација је да данас вероватно милиони рачунара још увек нису ажурирани са том најновијом закрпом. Дакле, сви ти рачунари су и даље рањиви и вероватно активно нападнути. WannaCry рансомвер експлоатише ту познату рањивост да би успоставио  своје упориште у окружењу и шири се брзо и ефикасно без знања и без потребе за аутентикацијом или било којом другом акцијом корисника. Тренутна ситуација је веома лоша и вероватно ће проћи још пуно времена док се ситуација не стабилизује и даље ширење напада заустави.

Могу ли наша решења Deep Secure’s Content Threat Removal (CTR), AlienVault Unified Security Management (USM), Towers Net Defender (TND),  да се користe за детекцију и заштиту система рањивих на МS17-010?

*Deep Secure’s Content Threat Removal (CTR)
Microsoft  je 11. Априла објавио да је издао најновију закрпу која решава рањивост у оперативном систему и у његовом пакету Office.  У односу на криминалце то је већ претпостаљало кашњење од најмање неколико недеља што им је сигурно омогућило да стекну контролу над рањивим системима.
Срећом, наша платформа Content Threat Removal (CTR) у пракси функционише ефикасно и против тзв Напада нултог дана (Zero Day) и која омугућује свим корисницима да на миру раде своје послове без потребе за бригом да ли су ажурирали регистре оперативног система или преузели најновију закрпу. Систем рада платформе је такав да практично прекида долазну комуникацију, врши дубинску проверу, одбацује непотребан и сумњив садржај те у завршној фази потпуно обнови oригинални саобраћај али без било каквог штетног садржаја. Закључак је да ова наша платформа без проблема зауставља WannaCry и све друге врсте рансомвeра.

*AlienVault USM Anywhere и USM Appliance
Са апсолутном сигурношћу детектује ову врсту напада. USM Anywhere и USM Appliance имају уграђене технике да открију ову рањивост на системима клијената. Клијенти могу покренути скенирање својих система за процену и идентификацију  оних који су потенцијално угрожени. Препоручујемо да наши клијенти покрену скенирање одмах да би идентификовали рањиве системе и применили закрпу. Уколико се то не уради могли би брзо и лако да буду компромитовани и угрожени од WannaCry рансомвeр варијанте.
Може ли AlienVault да се користити за детекцију напада који користе MS17-010 рањивости?
Апсолутно. AlienVault Labs безбедносни истраживачки тим је објавио ажуриране интелигентне податке о претњи за USM Anywhere и USM Appliance за откривање експлоатације рањивости. Ако је откривено да је систем експлоатисан, аларм ће се генерисати тако да AlienVault безбедносни аналитичар може одмах уклонити систем са мреже и решити проблем.
Клијенти који користе USM Anywhere, такође имају додатну корист од уграђене способности оркестрираног одговора који нуди Forensics and Response AlienApp. Преко ове апликације, ако је систем заражен, корисник може одмах да предузме акцију којом изолује или на други начин искључује заражени систем да би спречио исти да даље напада и инфицира друге системе на мрежи. То није нешто што традиционални SIEM може да уради. То је моћ унифициране безбедности и оркестриране акције!
Шта USM корисници треба да ураде?
USM Anywhere корисници су аутоматски ажурирани и заштићени. Не постоји ништа што треба да ураде, осим можда да покрену скенирање рањивости на својим системима.
USM Appliance клијенти треба да ажурирају обавештајне податке о претњама на свом систему да би добили најновије потписе, тако да њихова USM апликација може открити рањивост и претње. У блиској будућности, када се објави USM Appliance v5.4, биће доступна опција да се то уради аутоматски, чиме се штеди време клијентима и спречава потенцијална празнина у безбедносној покривености. Али, још увек нисмо сасвим стигли до те тачке. Дакле, мануелно ажурирање је потребно.

*Towers Net Defender (TND)
ТНД, најсавременији  систем за детекцију и превенцију  напада  са  интегрисаном заштитом веб апликација надгледа и анализира све лог датотеке на улазу у систем у реалном времену. Удањени ТНД сервер располаже у реалном времену ажурном базом података свих познатих напада те је врло брзо након појаве WannaCry рансомвера синхронизовано ажурурао базу својих сервера тако да немамо податак да је било који систем штићен помоћу ТНД-а успешно нападнут и експлоатисан од стране нападача. Сваки напад овим малвером ТНД успешно детектује на брањеном порту и штити систем од даље екплоатације малвером.

*Општа препорука администраторима:
Како наведни малвер има могућност да снажно скенира ТЦП порт 445 (Server Message Block/SMB) понашајући се као црв те на тај начин компромитује систем и кодира све фајлове на истом,  препорука је да се провери статус ажурности Windows решења те да администратори блокирају СМБ портове 139 и 445 до даљег.

Ваш Towers Net тим

У Београду 15.05.2017. године

Neprobojne veze stigle u Srbiju

List Večernje Novosti izveštavao je o prezentaciji rešenja finske kompanije XXLSEC organizovanoj od strane naše kompanije Towers Net. Tekst prenosimo u celosti.

fotorcreated

Finska kompanija XXLSEC, svetski lider broj 1 u proizvodnji specijalizovane IT opreme iz domena informacione bezbednosti, u Domu garde VS održala je prezentaciju svog hardvera i IT alata. Demonstraciji sistema po kome rade „neprobojni“ mobilni telefoni, tableti i PC računari prisutvovali su IT menadžeri iz probranih srpskih kompanija i, naravno, predstavnici naših bezbednosnih civilnih i vojnih agencija. Ponuđeni hardver ove kompanije uskoro će moći da se nabavi preko beogradske IT sekjuriti kompanije Tower net, uz posebne protokole prodaje.

Firma iz Helsinkija pojavila sa na svetskom IT tržištu pre tri godine. Njen uspon koincidira s nekoliko velikih bezbednosnih afera u svetu, pre svega sa obelodanjivanjem Snoudenovih podataka o NCA špijuniranju, čak i nemačke kancelarke Merkel. U istom periodu mnoge zemlje shvatile su da u borbi protiv terorizma moraju da se oslone na svoj sigurnosni aparat, jer se pokazalo da „kolektivni sistem“ sigurnosti ima previše nedostataka.

logo

– Zakoni u Finskoj ne obavezuju proizvođača da sarađuje sa državom, i to nam je omogućilo da napravimo potpuno transparentno rešenje sa otvorenim izvornim kodom softvera za poznatog krajnjeg kupca. Svaki kupac za sebe pravi svoje kriptoključeve komunikacije, tako da firma iz Helsinkija sa svojim proizvodom više nema ništa. Od autentičnih algoritama i kriptoključeva korisnika zavisi bezbednost njegovih veza. Naravno, moguće je kriptoključeve napraviti i u Finskoj – kaže za „Novosti“, Airimo Koivisto, direktor kompanije XXLSEC.

Mobilni telefoni „prajv kol“, tableti „prajv tab“ i „prajv buk“ koje nudi ova kompanija napravljeni su na japanskoj hardverskoj platformi Panasonic. Za razliku od Amerikanaca i Kineza, Japanci nemaju obavezu da svoja tehnološka rešenja dele sa državom. Srce sistema je hab, uređaj koji ide uz opremu, preko koga se odvija sva komunikacija. Hab se nalazi na zatvorenom serveru i diže se za desetak minuta pre svake zatvorene komunikacije.

– Svaki naš uređaj, bez obzira na to da li ostvaruje vezu preko baznih stanica ili radio-talasa, odnosno satelitske veze, ide preko haba. Tu ostvaruje vezu sličnu sistemu „ogledala“. Na baznim stanicama ne ostavlja nikakve meta podatke o svojim korisnicima i njihovim bivšim komunikacijama. Registruje se samo prvih i poslednjih 10 sekundi komunikacije, i to dok uređaj proverava kriptopoklapanja uređaja. Ključevi preko kojih se odvija komunikacija menjaju se na 10 sekundi i apsolutno je nemoguće „provaliti“ šta zaista govore zaštićeni korisnici – objašnjava direktor kompanije XXLSEC.
Uspeh na tržištu, Koivisto objašnjava posebnim protokolima proizvodnje u Finskoj. Timovi koji rade pojedine komponete nisu u međusobnoj komunikaciji, čak se i ne poznaju. Kao krajnji proizvod kupac dobija izvorni kod sistema na koji sam ugrađuje šifru.

privecall2

Na beogradskoj prezentaciji sistema prikazana je i oprema namenjena bezbednosnim agencijama koja omogućava da više „ne dele“ svoje podatke „s prijateljima“ i „neprijateljima“. Saznajemo da su mnoge najrazvijenije zemlje već nabavile ovakve „taktičke servere“. U poslednjih nekoliko godina, naime, pokazalo se da se oprema za bezbednosni nadzor nekih od najuglednijih svetskih proizođača iz zapadne hemisvere „različito ponaša“ u zavisnosti od zadataka koji joj se postavljaju.

– I ova oprema radi preko haba. Komunikacija koja ide preko njega je klasifikovana „privilegijama“, pa čak ni u okviru istog sistema ne može svako da komunicira sa svakim. Taktički serveri nude zatvorenu bazu podataka, recimo o terorističkoj ili razbojničkoj grupi, i specifičnosti operacije na terenu znaju samo „privilegovani“ – kaže Koivisto.

SVETI GRAL BEZBEDNOSTI

Živković, koji je predsednik Udruženja za informacionu bezbednost Srbije, podseća da je beogradska škola kriptografije donedavno bila među najuglednijima u svetu, a da i danas imamo odlične matematičare koji su u stanju da naprave „neprobojne“ algoritme. Dakle, srpske tajne praktično bi štitili srpski kriptografi.

Kupovina najnovijih Cisco softverskih rešenja od sada putem lizinga Easelease 0%

Novim finansijskim rešenjem od sada možete kod nas kupiti na lizing kompletnu Cisco tehnologiju (software, hardware ili servis)
Jedinstvenstvena ponuda programa finansiranja UniCredit Leasing-a – Easelease 0% Vam omogućava da unapredite tehnologiju u svojoj kompaniji, bez obzira na budžet i to podelom troškova na 24 jednake rate bez kamate, i to uz jednostavan način podnošenja zahteva i brz proces obrade zahteva.
picture1

Easelease 0% je vrsta lizinga:

  • sa kamatom od 0% za finansiranje Cisco tehnologije;
  • koju je moguće koristiti za kupovinu Cisco tehnologije na 24 meseca;
  • koja podrazumeva učešće od samo 10% neto nabavke + PDV( na ceo iznos);
  • iznos PDV-a može biti takođe kreditiran.

Iznos nabavne vrednosti opreme (nabavna cena nove opreme bez PDV-a) koja može biti predmet lizinga je od 25.000 evra do 250.000 evra (ili u dinarskoj protivvrednosti).
cisco

Primer:

  • Nabavna cena nove opreme bez PDV-a: 100.000 EUR
  • Trajanje ugovora o lizingu: 24 meseca
  • Iznos lizinga: 100.000 – 10% učešće = 90.000 EUR
  • Mesečna rata: 90.000 EUR/24 = 3.750 EUR

Uslov koji mora biti ispunjen da bi se razmatrao zahtev za dobijanje Easelease 0% jeste taj da udeo Cisco tehnologije (software, hardware ili servis) u celoj nabavci mora biti minimum 70%, pri čemu udeo cene hardware-a mora biti minimum 10% neto vrednosti cele nabavke bez PDV-a.
Za sve dodatne informacije, molimo Vas da nas kontaktirate putem e-mail-a: office@towersnet.rs

Towers Net is an exclusive distributor for P.H.U. BASTION audio jammers programme

Towers Net company has become an exclusive distributor for P.H.U. Bastion audio jammers  programme for territory of Serbia, Slovenia, Croatia, Bosnia and Herzegovina, Montenegro, Macedonia and Albania. We can offer all jamming products in that territory.

As an example of this programme, we would like to present an innovative device in the field of information security – Infratornado, based on his own algorithm for generating a digital jamming signal. Infratornado effectively protects from eavesdropping and recorders, enabling clients to protect confidential conversations, meetings, business conferences and secret meetings.hand-holding-a-briefcase

Infratornado effectively blocks more than 99% of different eavesdropping devices in the average distance of 3 meters, such as:

  • Cassette recorders, older mobile phones such as: Nokia, Samsung …
  • Analog recorders with built-in microphone or a microphone on cable
  • Digital audio recorders that can be found on the market
  • Professional types of digital voice recorders: EDIC-mini, Gnome, Olympus, Gnome DR, Papyrus…
  • Smartphones, including iPhones, HTC, Sony, LG, SAMSUNG, iPad …,
  • Wireless microphones, microphones, audio and video recorders
  • Wireless cameras with microphones, microphones bugging
  • Professional digital voice recorder in the Bank card
  • Older and newer recorders and recorders in a metal housing

Jammer Infratornado also prevents information leaking through analog, digital and seismic wiretaps. The product is camouflaged in a briefcase and has the ability to work as a stationary and mobile unit.

Intervju predsednika DIBS-a za portal Aljazeera

Predsednik Društva za informacionu bezbednost Srbije, gospodin Zoran Živković, je dao izjavu za portal Al Jazeera. Tekst novinara Maria Pejovića prenosimo na našem sajtu u celosti.

Na internetu niko ne zna da ste pas

Obavještajni podaci su danas vredniji nego ikad, a od špijuniranja nisu sigurni ni saveznici.
2294951-broadband-fibre-router-cat5-cable-internet-high-speedInformacija – u vojne, ekonomske, političke i brojne druge svrhe – vrednija je nego ikad prije. Mali podatak može značiti razliku između pobjede i poraza, uspjeha i neuspjeha, zarađenih miliona i velikih gubitaka.
A da u potrazi za informacijama nisu sigurni ni najveći i najopasniji igrači na svjetskom tržištu pokazuje i vijest da je ruska federalna sigurnosna služba saopćila da su kompjuterske mreže 20-ak ruskih organizacija, vladinih agencija i privatnih sigurnosnih firmi zaražene virusom koji ima za cilj špijunažu na internetu.
“Obavještajno djelovanje, odnosno korištenje obavještajno prikupljenih informacija danas je važnije nego ikada prije. Težnja da budete korak ispred protivnika, neprijatelja, prisutna je od kada postoji i civilizacija”, navodi vojni analitičar Denis Avdagić.
Ono što se s vremenom promijenilo je način prikupljanja informacija i njihova obrada. Danas nijedna savremeno postavljena sigurnosna služba, vojska i policija ne može dopustiti da svaki korak ne planira na temelju podataka, bilo da se radi na onim statističkim ili onima prikupljenim obavještajno-operativnim putem.

CYBER NAPADI

Cyber napadi na infrastrukturu drugih zemalja već su se događali, kaže Avdagić. Kako naša civilizacija sve više ovisi o visokoj tehnologiji tako i budućnost i prijetnja od cyber napada i rata postaje sve veća.
“Oduvijek se u ratovima ključna infrastruktura smatrala ‘legitimnom metom’. Telekomunikacijski pružatelji o kojima uvelike ovisi i ključna informatička infrastruktura su bili i ostali u toj kategoriji.”
Međutim, problem je što danas nije samo komunikacija ona bez koje se ne može, nego se informatičkim putem upravlja svim sferama života. Od poljoprivrede, industrijske proizvodnje do zdravstva i sigurnosti. Opasnost od kompromitiranja informatičkih sistema već je danas takva da može dovesti u opasnost i ljudske živote, a ne samo infrastrukturu.

Korištenje hakera

Podaci i njihovo prikupljanje se digitaliziraju, obrada je brža nego ikada prije pa je i oslonjenost na obavještajne informacije logično daleko veća, dodaje Avdagić.
Zbog te digitalizacije je u porastu korištenje informatičkih stručnjaka – poznatijih kao hakeri – u svrhu pribavljanja obavještajnih podataka.
Mr. Zoran Živković, stručnjak za savremene IKT sisteme i informacionu sigurnost te predsjednik Društva za informacionu bezbednost Srbije, naglašava da svijet danas počiva i potpuno zavisi od informacionih tehnologija i rješenja.
“Nacionalna bezbednost savremenih država počiva pre svega na informacionoj bezbednosti kao zajedničkom imenitelju svih ostalih osnovnih kamena temeljaca bezbednosti. Ekonomska, vojna i diplomatska bezbednost se ne mogu više posmatrati samostalno bez informacione bezbednosti.”
Upravo zbog toga je informaciona sigurnost već dugo nacionalni resurs od najvećeg značaja, dodaje on. “To je nacionalno blago 21 veka.”
Kolika je vrijednost tog blaga ukazuje i činjenica da su Sjedinjene Američke Države i još nekoliko moćnih država u svijetu informatike napad na njihovu kritičnu infrastrukturu izjednačili sa ostalim klasičnim oblicima napada i u svojim normativnim aktima predvidjeli da se na takve napade kao odgovor ima primijeniti svaka raspoloživa vrsta sile.

Zaštita resursa

473172057Predsjednik Društva za informacionu bezbednost Srbije podsjeća da računarskim mrežama od suštinskog značaja za američku vojsku autsajderi pokušavaju da pristupe “stotine hiljada puta svaki dan”.
“To pre svega govori sa koliko se ozbiljnosti shvata važnost informacione bezbednosti, pre svega sa aspekta posledica koje po savremeno društvo može imati ozbiljan i ciljani kiber napad.”
Savremene države su shvatajući važnost i potrebu za čuvanjem informacione sigurnosti kao neodvojivog i jednako važnog integralnog dijela nacionalne sigurnosti izradile i usvojile strategiju, donijele zakone i stvorili neophodne ljudske i materijalne resurse potrebne i dovoljne da se uhvate u koštac sa cyber prijetnjama.
Živković ističe da najsofisticiranija prijetnja u cyber domenu dolaze od država koje žele da iskoriste računare i komunikacione mreže za prikupljanje obavještajnih podataka o državnim, vojnim, industrijskim i ekonomskim ciljevima i protivnicima njihovih režima.
Tehnike koje koriste ovi državni akteri idu dalje od “tradicionalnih” prikupljanja obavještajnih podataka i mogu da se koriste za širenje dezinformacija i remećenje kritičnih usluga.
“Neotkriven zlonamerni softver, instaliran na sistemu, koji može biti prilagođen da menja ciljeve napadača, leži skriven u okviru sistema u pripravnosti za korišćenje u vreme povećane napetosti ili sukoba. Neke države takođe podstiču, i izvlače korist od njih, stručne ‘patriotske hakere’ – zanesene pojedince ili grupe obučenih hakera, da izvode napade, a zaštićeni su od krivičnog gonjenja u svojim zemljama”, kaže stručnjak za informatičku sigurnost.

Špijuniranje saveznika

Vojni analitičar Denis Avdagić dodaje da se posve sigurno zemlje, vojske i obavještajne službe koriste IT stručnjacima, pa i hakerima, za prikupljanje informacija.
“Tu imamo legalnu i dobro poznatu sferu obrade ili ‘prisluškivanja’ telekomunikacije i digitalnog prisustva pojedinaca i grupa, koje se provodi unutar svake zemlje, sukladno zakonskim propisima. Tu je i obavještajno djelovanje koje izlazi izvan sfera onog zakonskog ili je u “sivoj zoni”, a koje odavno nije tajna.”
Avdagić napominje da je dobro poznato da su se obavještajno prisluškivali i državnici, čak i među saveznicima, strateške kompanije u drugim zemljama, te da su se na državnim nivoima izvodili takozvani cyber napadi.
Ruske sigurnosne službe nisu navele ko stoji iza upada u ruske sisteme, ali osumnjičenih ne nedostaje, bez obzira da li se radi o malim hakerskim grupama, protivnicima režima, zemalja sa kojim Rusija nije u dobrim odnosima, ali možda čak i neko i njenih saveznika.
Avdagić navodi da je uobičajeno da zavađene zemlje pokušavaju špijunirati jedna drugu, ali da nije rijetkost da saveznici upadaju u sisteme svojih “prijatelja”.
“Kada su odnosi među zemljama dobri, u usponu, daleko je lakše doći do obavještajnih informacija pa i onih pribavljenih putem cyber špijunaže. U slučaju eskalacije neprijateljstva, moguće je očekivati i prekid međusobne, uključivo i digitalne komunikacije.”

Brojne opasnosti

490772505“Međutim, dok ćemo takvo prikupljanje podataka gledati kao opasnost, ono zapravo djeluje i kao sredstvo smirenja. Jer ako i jedna i druga strana obavještajnim radom doznaje kako nema aktivnih planova za međusobno napadanje, onda takve operacije imaju i smisla za sve nas. Ako se dozna drugačije, onda su oni svoju ulogu u potpunosti ispunili.”
Ono što je sigurno jeste da u vrijeme apsolutne povezanosti informacija ima neprocjenjivu vrijednost, ali da digitalizacija uz sve prednosti donosi i brojne opasnosti.
“Svako, od tinejdžera-hakera do velikih modernih vlada, može da učini štetu u kiber-prostoru, i, kao što je u čuvenoj njujorškoj karikaturi jednom rečeno, “na internetu niko ne zna da ste pas”, kaže Živković.
Zbog toga je jasno da pojedinac ili manja grupa ljudi uz vrlo mala ulaganja mogu učiniti zaista veliku štetu u cyber prostoru.
I dok su objektivno male šanse da pojedinac sa kućnog računara prodre u sistem za kontrolu nuklearnog arsenala velikih sila, postavlja se pitanje koliko daleko može da stigne pojedinac insajder unutar jednog takvog sistema, dodaje on.

Intervju predsednika DIBS-a za portal Aljazeera

Predsednik Društva za informacionu bezbednost Srbije, gospodin Zoran Živković, je dao izjavu za portal Al Jazeera na temu kiber terorizma. Tekst novinara Maria Pejovića prenosimo na našem sajtu u celosti.

Živković: Regiji prijete hakerski napadi

Život u 21. stoljeću znači i život u digitalnom dobu. Zahvaljujući razvoju interneta, i najmanje razvijena društva su uvezana sa ostatkom svijeta, a skoro svaki aspekt našeg života svakim danom sve više ovisi o međusobnoj povezanosti. Kako ta povezanost omogućava zlonamjernim, tehnički obučenim ljudima da iz velike udaljenosti i udobnosti svog doma počine znatnu štetu? Stručnjak za savremene IKT sisteme i informatičku sigurnost te predsjednik Društva za informacionu bezbjednost Srbije Zoran Živković, za Al Jazeeru govori o osposobljenosti regionalnih službi sigurnosti da zaštite svoje građane od e-napada, realnim prijetnjama sa kojim smo suočeni, ali i šteti koju hakeri mogu napraviti.

Koliko su regionalne sigurnosne službe opremljene i osposobljene za borbu protiv hakera i cyber terorista?

global-ict-accessibilityOsnovni problem regionalnih sigurnosnih službi predstavlja nedostatak zakonske regulative, nepostojanje lokalnih i regionalnih CERT-ova i nedovoljan broj osposobljenih pripadnika u skladu sa izuzetno velikim porastom kriminala u kiber prostoru. Takođe, usled hroničnog nedostaka novca mora se reći da sve regionalne sigurnosne službe kasne sa nabavkom najmodernijih rešenja za praćenje, analizu i digitalnu forenziku. Kiber kriminal je globalna pretnja i u cilju prevencije i borbe protiv te vrste kriminala, pored potrebnih ljudskih i materijalnih resursa na lokalnom nivou od suštinskog značaja je neprekidna međunarodna i regionalna saradnja. To, pre svega, podrazumeva stalnu razmenu informacija i zajedničko delovanje svih regionalnih i svetskih službi, u zavisnosti od vrste pretnji i oblika kiber kriminala. Uspesi u borbi protiv kiber terorizma ili pedofilije po pravilu pretpostavljaju intenzivnu zajedničku saradnju više sigurnosnih službi iz velikog broja zemalja. Pod imenom Armagedon poznat je slučaj presecanja lanca pedofilije u Srbiji i regionu koji je uspešno izveden pre svega zahvaljujući intenzivnoj saradnji više evropskih službi, uključujući i američki FBI. Samo daljim jačanjem regulatornih okvira i snažnim investiranjem u savremena rešenja i stručne kadrove region može da uspostavi minimalno potrebne uslove za uspešnu prevenciju i otkrivanje kiber kriminala. Nakon usvajanja Zakona o informacionoj bezbednosti, Srbija je donela odluku i pripremila sredstva da Službu za borbu protiv visokotehnološkog kriminala poveća za četiri puta u odnosu na dosadašnju, što direktno upućuje na razmere porasta kiber kriminala u našoj regiji. I ostale članice regije se pripremaju na sličan način, jer svako dalje kašnjenje imaće nesagledive posledice na sve aspekte društva.

Da li je regija interesantna kao potencijalna meta napada cyber kriminalaca i cyber terorista?

– Stanje informacione bezbednosti u našoj regiji sa aspekta mogućih pretnji, posledica i šteta jednaka je stanju u svetu i okruženju. Internet je svetski fenomen, jedinstven je i važi za sve, za male i za velike, za siromašne i bogate, za moćne i one koji to nisu. Na toj svetskoj jedinstvenoj mreži postoji bar jedna nepobitna jednakost, a to je da su sa aspekta bezbednosti i mogućih pretnji manje-više svi ranjivi i po tom kriterijumu ravnopravni. Postoje nijanse koje su pre svega posledica manje ili više atraktivnog cilja za napad, manje ili više bezbednosno interesantnog područja, razlike u veličini i brojkama. Suštinski ne postoje razlike – svi su ugroženi. Savremene države su, shvatajući važnost i potrebu za čuvanjem informacione bezbednosti kao neodvojivog i jednako važnog integralnog dela nacionalne bezbednosti, izradile i usvojile strategiju, donele zakone i stvorile neophodne ljudske i materijalne resurse potrebne i dovoljne da se uhvate ukoštac sa kiber pretnjama. Upotrebu kiber-prostora karakterišu povećani nivoi korišćenja od strane državnih organa, biznisa i pojedinaca širom sveta, koji nastavljaju da izvlače korist od značajnih prednosti sve umreženijeg društva. Sa ovom rastućom zavisnosti, međutim, dolazi uvećan nivo izloženosti i ranjivost od nekih nacionalno-bezbednosnih pretnji koje interaktuju sa kiber-prostorom i kroz njega. Na primer, napajanje, distribucija hrane, vodovod i kanalizacija, finansijske usluge, informisanje, saobraćaj, zdravstvo, službe hitne pomoći, odbrana i državne službe – svi bi pretrpeli vrlo ozbiljne gubitke ako bi se nacionalna informaciona infrastruktura poremetila. S druge strane, niska cena i obimna anonimnost prirode kiber-prostora čini atraktivnim domen za upotrebu od strane onih koji žele da koriste kiber-prostor za zlonamerne svrhe. Oni uključuju kriminalce (pojedince, grupe i organizovani kriminal), teroriste i države (prijateljske i neprijateljske), bez obzira na njihov motiv (krađa, prevara, špijunaža, uticaj, ili čak ratovanje).

Ko predstavlja najveću prijetnju i ko je najčešća meta napada?

16560_540Najsofisticiranija pretnja u kiber-domenu je od država koje žele da iskoriste računare i komunikacione mreže za prikupljanje obaveštajnih podataka o državnim, vojnim, industrijskim i ekonomskim ciljevima i protivnicima njihovih režima. Tehnike koje koriste ovi državni akteri idu dalje od “tradicionalnih” prikupljanja obaveštajnih podataka i mogu da se koriste za širenje dezinformacija i remećenje kritičnih usluga. Neotkriven zlonamerni softver, instaliran na sistemu, koji može biti prilagođen da menja ciljeve napadača, leži skriven u okviru sistema u pripravnosti za korišćenje u vreme povećane napetosti ili sukoba. Neke države takođe podstiču (i izvlače korist od njih) stručne “patriotske hakere” – zanesene pojedince ili grupe obučenih hakera, da izvode napade, a zaštićeni su od krivičnog gonjenja u svojim zemljama. Prema podacima dobijenih od službi za borbu protiv kiber kriminala, mete napada i osnovni oblici kiber kriminala u regionu su pre svega kompjuterski podaci i sistemi, krađa identiteta, distribucija dečje pornografije, falsifikovanje i krivotvorenje, razne vrste prevara (sa kreditnim karticama, prevarni e-transfer sredstava, krađa telefonskih usluga) ali bez obzira što o tome nema zvaničnih podataka, ceo naš region je ugrožen drugim specifičnim oblicima kiber kriminala poput presretanja komunikacija, svi oblici špijunaže, elektronsko pranje novca, korišćenje interenet komunikacije radi zločinačkog udruživanja. Mete u regionu su, dakle, jednake metama u svetu – poverljive informacije, državne i vojne tajne, poverljivi podaci o građanima i slično, koje se kasnije mogu iskoristiti u neke druge maliciozne svrhe, kao što su napadi na pojedince i/ili institucije, prodaja poverljivih informacija na crnom tržištu, krađa intelektualne svojine kao i krađa identiteta i novca. Svaka zemlja u svakom trenutku može biti zanimljiva nekoj terorističkoj ili pobunjeničkoj grupi, ako ne svetskoj, onda lokalnoj. Što se kiber kriminalaca tiče u regionu, redovno se dešavaju napadi kao što je krađa novca sa bankarskih računa pojedinaca ili kompanija, upadi i obaranje sajtova, menjanje sadržaja sajta i slično, a u poslednje vreme učestali su i ransomware napadi. Kod kiber kriminalaca najzanimljivije mete su svakako banke i druge finansijske institucije, a kod kiber terorista meta može biti bilo koja institucija od javnog značaja kao što su aerodromi i preduzeća gradskog saobraćaja, institucije sa kritičnom infrastrukturom (telekom, elektroprivreda), kao i policijske i vojne agencije i sistemi.

Postoje li saznanja o postojanju hakerskih grupa ili pojedinaca iz regije? Ako da, koliko su oni doista opasni i da li više prijete regiji ili stranim zemljama?

– Još od druge polovine devedesetih počele su se javljati grupe i pojedinci na prostoru bivše Jugoslavije koje su svoje aktivnosti pre svega bazirale na osnovu tadašnjih političkih dešavanja i sukoba u regionu. Mete napada su većinom bili sajtovi vladinih institucija i medija, obaranje i upad na sajt se uglavnom koristilo za prenošenje političkih i ratnih poruka. Uglavnom su ratovale hakerske grupe i pojedinci iz Hrvatske, Srbije i Albanije, što je nastavljeno sve do danas. To je nešto što se stalno dešava i svaki napad po pravilu izaziva kontranapad. Pre nekoliko dana je albanska hakerska grupa napala sajt RTS-a i za nekoliko sati preuzela kontrolu nad njim uz uobičajeno kačenje zastave velike Albanije i prateće poruke. Za očekivati je brz odgovor hakera iz Srbije. Smatra se da ove hakerske grupe, osim simbolične štete, nisu previše opasne i radi se pre svega o mladima željnih dokazivanja. Poznate su hakerske grupe iz Srbije i Bosne i Hercegovine koje su napravile veliku štetu krađom novca od naplate putarine, nešto slično je otkriveno i u Hrvatskoj. U pitanju je udruživanje više pojedinaca u kriminalnu grupu koja je s obzirom na način krađe u suštini hakerska. Trenutno najveću opasnost u regiji predstavlja upotreba interneta u terorističke svrhe koji se odnosi na vrbovanje/regrutovanje novih snaga za ISIL kao i širenje panike vrlo radikalnim i pretećim izjavama. Vrbovani mladi ljudi iz naše regije koriste se za vrbovanje novih, kao i za prenošenje zastrašujućih pretnji i presuda. Najnoviji slučaj je pretnja smrću upućena poimenice većem broju ljudi iz regije (Muameru Zukorliću i drugima) od strane mladića sa naših prostora koji je sada u ISIL-u. Takođe, učestali su masovni DDOS napadi na medije i medijske kuće. U Srbiji se gotovo jednom nedeljno događaju ovi napadi koji za cilj imaju prekid servisa. Smatra se da iza nekih od ovih napada stoje hakerske grupe sa Kosova ii z Albanije, kao i hakerske grupe povezane sa delovanjem ISIL-a u regiji koje deluju sa područja BiH, Austrije i još nekih zemalja Evrope. Takođe, nije zanemarljiv kriminalni lanac distributera i korisnika dečje pornografije. Postoje različiti ogranci Anonimusa i drugih internacionalnih hakerskih grupa u regionu, u većini slučajeva se radi o pojedincima ili manjim grupama koji se anonimno priključuju i njihovo ciljevi uglavnom nisu lokalnog karaktera.

Koliko česti su ti informatički napadi u regiji?

connect-globe-pac-rim-internetPrema zvaničnim podacima u periodu od 2009. do 2015. godine u Srbiji je podneto preko 1.350 krivičnih prijava za različite oblike kiber kriminala. Struktura prijava je takva da pokriva gotovo sve najraširenije oblike kriminala uključujući: ugrožavanje računarskih podataka; falsifikovanje i zloupotreba platnih kartica; prikazivanje, pribavljanje i korišćenje pornografskog materijala i iskorišćavanje maloletnog lica za pornografiju; računarske sabotaže; pravljenje i unošenje računarskih virusa; računarske prevare; neovlašćen pristup zaštićenom računaru; sprečavanja i ograničavanja pristupa računarskoj mreži; pravljenje, nabavljanje i davanje drugima sredstava za ugrožavanje računarskih sistema. Protiv 1.270 lica podneto je ukupno 1.345 krivičnih prijava. Slične brojke imaju i sve zemlje u regionu, a u pitanju je samo vrh ledenog brega. Za jedan deo kiber kriminala gotovo da i nema zvaničnih podataka. Tu se pre svega misli na špijunažu, presretanje, ugrožavanje privatnosti kao i na najveći deo tajnih kiber aktivnosti koje sprovode države. Iza svih ovih krivičnih dela stoje organizovane kriminalne hakerske grupe i pojedinci iz našeg regiona. Primetićete da izraz haker, kada govorim o kriminalu, kada je u pitanju kriminal, ako koristim izraz haker, onda uz isti uvek ide pridev kriminalni, jer haker ne znači kriminalac. Imamo humane hakere, etničke hakere, ali i kriminalne i terorističke hakere.

Banke su često meta hakerskih napada. Prema Vašim saznanjima, koliko su naše banke sigurne od informatičkih napada?

Postoji više desetina različitih vrsta kiber napada koje osobe sa malicioznim namerama mogu da izvrše nad bankama, tako da je svaka banka manje ili više ugrožena. Postoje insajderski napadi, napadi na baze podataka banaka, krađe identiteta korisnika, različiti malveri i mnogo drugih načina koje mogu ugroziti ili prevariti informacioni sistem banaka. Samo one banke koje imaju vrlo visoke standarde po pitanju informacione bezbednosti i koje koriste odgovarajuće visokokvalitente sisteme zaštite, neprekidno edukuju i proveravaju svoje zaposlene, mogu biti u velikoj meri bezbedne. S obzirom na ukupno ekonomsko i stanje informacione bezbednosti kod nas u regiji, banke priemenjuju one mere i sisteme zaštite koje su uslovljene lokalnim zakonskim aktima, ili su deo usvojene korporativne politike bezbednosti. To često nije dovoljno da se stepen informacione bezbednosti podigne na najviši mogući nivo. Možemo slobodno zaključiti da su gotovo sve banke u regionu imale jedan ili više oblika ugrožavanja informacione bezbednosti i kao posledicu materijalnu štetu. U cilju sprečavanja dalje štete, banke se odlučuju da saniraju posledice u tišini.

Izvor: Al Jazeera

Ransomver – evolucija i zaštita

securityRansomver je klasa malvera koja ograničavanjem ili onemogućavanjem korisnika da pristupi podacima na svom računarskom sistemu iznuđuje novac (otkup). Ova vrsta malvera može da zaključa sistem ili da enkriptuje datoteke i dokumenta koja se čuvaju u samom sistemu. Nakon zaključavanja sistema ili enkripcije podataka, ovaj malver prikazuje poruku u kojoj se zahteva otkup (ransom). Poruka o otkupu može biti u formi tekstualne datoteke, slike ili se može prikazati kao veb strana. Sam otkup može biti u vidu vaučera za plaćanje, PayPal transakcije ili plaćanje pomoću Bitcoin elektronske valute. Ransomver se može svrstati i u klasu scareware jer zastrašivanjem korisnika pokušava da iznudi novac.
U ranijim verzijama ransomvera korišćena je tehnika zaključavanja sistema dok se kod novijih verzije češće primenjuje tehnika enkriptovanja datoteka. Oba načina omogućuju da korisnik dobije obaveštenje o radnjama koje su se odvile u njegovom sistemu. Nakon enkripcije datoteka malver najčešće sam sebe izbriše a za sobom ostavi samo poruku o otkupu. U poruci o otkupu korisnik dobija detaljne informacije o načinu plaćanja otkupa u cilju dekriptovanja blokiranih datoteka. Neke varijante ransomvera u okviru poruke o otkupu imaju i tajmer koji odbrojava vreme za plaćanje otkupa. Kod poruka sa tajmerom napadač često preti da će izbrisati sve datoteke pri isteku vremena ili će uvećati iznos otkupa.
Ransomver može dospeti u sistem preko zaraženih veb strana, kao deo nekog drugog malvera ili preko phishing kampanja. Kreatori ransomvera su veoma inovatnivni i neprekidno smišljaju nove taktike napada. Radi boljeg razumevanja načina rada ransomvera potrebno je znati i evoluciju ovog tipa malvera. U nastavku rada biće dat pregled evolucije ransomvera sa posebnim akcentom na CryptoLocker i CryptoWall kao i preporuke za prevenciju ove vrste napada.

Kratka istorija ransomvera

Prvi slučajevi ransomvera zabeleženi su u periodu 2005.-2006. godine u Rusiji. Ovaj ransomver (TROJ_CRYZIP.A) je koristio tehniku zipovanja sa lozinkom da onemogući korisnika da pristupi svojm datotekama. Naime, ransomver bi određene datoteke grupisao u jednu zipovanu datoteku koja bi bila zaštićena loznkom. Osim toga, u sistemu bi se kreirala i tekstulana datoteka sa porukom u kojoj se zahteva otkup u iznosu od 300$. U početku ransomver je korišćen za enkripciju samo određenih vrsta datoteka (pr. DOC, EXE, DLL, XL).
Prvi SMS ransomver ( TROJ_RANSOM.QOWA) se pojavio 2011. godine. Ovaj ransomver, nakon inficiranja sistema, takođe je generisao poruku o otkupu koja se pojavljivala sve dok korisnik ne plati otkup. Naziv SMS ransomver potiče od tehnike koja se koristila za naplatu otkupa. Naime, korisnik bi dobio broj premium SMS servisa koji je trebao da nazove kako bi platio otkup i dobio svoje datoteke nazad.

unlocked_padlock-600x400U ovom periodu pojavila se još jedna vrsta ransomvera čija je meta bila Master Boot Record (MBR) ranjivog sistema. Napadom na MBR ransomver ubacuje svoj maliciozni kod u boot sektor i automatski restartuje računar. Nakon restarta sistema na ekranu bi se ispisala poruka o otkupu na ruskom.
Prvih nekoliko godina ransomver je bio pojava vezana isključivo za područje Rusije, ali već 2012. ovi napadi počinju da se događaju širom sveta. U martu 2012. godine primećeno je masovno širenje ransomver napada u Evropi, SAD-u i Kanadi. Osim širenja napada na druge regione, došlo je do promena u tehnikama za propagaciju napada. Ransomver napadi su emitovani u vidu watering-hole napada, odnosno, usmeravani su na kompanije ili organizacije. Kod ove taktike napadač inficira veb stranu za koju je članovi ciljane ogranizacije često posećuju kako bi došlo do masovnog širenja ransomvera čak i kod organizacija koje su otporne na phishing napade.
Reveton ransomver se pojavio 2012. godine i spade u grupu ransomver Trojan. Ovaj ransomver je poznat i pod imenom policijski ransomver jer se, u svojoj poruci o otkupu, predstavlja kao lokalna policijska služba. U poruci o otkupu navodi se da je računar korišćen za ilegalne aktivnosti kao što su piraterija ili dečja pornografija i da korisnik mora da plati kaznu. U poruci se navodi i IP adresa računara ili snimak sa kamere kako bi se žrtva uverila u autentičnost poruke. Napadači su prilagođavali poruke o otkupu na osnovnu geografske lokacije žrtve, koristili službeni jezik tog područja pa čak i lažne digitalne sertifikate.
U septembru 2013. godine se pojavila nova vrsta ransomvera koja je osim zaključavanja sistema koristila i tehniku enkriptovanja datoteka. Zbog tehnike koju koristi ovaj ransomver je nazvan CryptoLocker.

Cryptolocker

CryptoLocker se prvi put javlja u spetembru 2013. godine. Ovaj ransomver je dizajniran za napad na sisteme koji rade na Windows operativnom sistemu. Za razliku od ranijih vrsta ransomvera, CryptoLocker enkriptuje datoteke koje se nalaze u zaraženom sistemu.
Za propagaciju CryptoLockera korišćene su e-mail poruke i bot mreža. Naime, meta napada dobije e-mail sa prilogom koji je u zipovanom formatu. Ove e-mail poruke su takve sadržine da na prvi pogled deluju kao da dolaze iz legitimnog izvora. U direktorijumu iz priloga se nalazi izvršna datoteka prikrivena pdf ikonicom. Ukoliko korisnik otvori tu datoteku malver će se instalirati u user direktorijum korisnikovog računara i dodati ključ u registar. Zatim, malver će pokušati da se konektuje sa jednim od komandnih servera bot mreže. Nakon povezivanja sa komandnim serverom, server će generisati 2048-bitni RSA par ključeva (javni i privatni) i onda će javni ključ poslati nazad ka zaraženom računaru. Komunikacija između komandnog servera i zaraženog računara se preusmerava preko više različitih tačaka kako bi se onemogućilo praćenje i otkrivanje lokacije servera. Nakon dobijanja javnog ključa, malver će enkriptovati datoteke i upisaće logove svih enkriptovanih datoteka u registar ključeva.

aaeaaqaaaaaaaak2aaaajddiotnhyjhilwq3owitngy3my1hngmwltk3nmy3mwq5owzkoqCryptoLocker enkriptuje samo datoteke sa određenom ekstenzijom odnosno dokumente (MS Office, Open Office…), formate slika i AutoCad formate.
Nakon enkripcije datoteka, na ekranu korisnika se pojavljuje poruka u kojoj se traži otkup u vrednosti od 400$ u bitcoin-ima ili preko pre-paid vaučera. Ovaj otkup treba da se plati u određenom vremenskom roku (tipično 72-100 sati) ili će ključ za dekripciju biti uništen. Nakon plaćanja otkupa, korisnik dobija program za dekripciju sa upisanim odgovarajućim ključem za dekripciju.
Neke od žratava ovog ransomvera su tvrdile da i nakon plaćanja otkupa nisu dobili program za dekripciju pa su kreatori CryptoLocker-a kreirali online servis za dekripciju. Ovaj servis je pružao mogućnost dekripcije datoteka nakon kupovine ključa za dekripciju kao i kupovinu ključa nakon isteka predviđenog roka za plaćanje otkupa. Ovaj ransomver je kreirala i kontrolisala bot net grupa pod nazivom Gameover ZeuS, koja je uhvaćena sredinom 2014. godine u sklopu operacije Tovar. Operacija Tovar je okupila bezbednosne agencije više zemalja, kompanije i stručnjake iz oblasti bezbednosti kao i pojedine univerzitete kako bi otkirli grupu koja stoji iza CryptoLocker ransomvera. Nakon razotkrivanja Gameover ZeuS grupe, bezbednosne kompanije su uspele da dođu do baze podataka ključeva za dekripciju koju je ova grupa pokušala da pošalje na bezbednu lokaciju. Stručnjaci su iskoristili ovu bazu i napravili online portal za dekriptovanje datoteka enkriptovanih CryptoLocker-om. Kao vođa Gameover ZeuS grupe identivikovan je Evgenij Bogačev. On i Gameover Zeus grupa su, širenjem CryptoLocker-a i naplatom otkupa, zaradili oko 3 000 000$.
Nakon izolacije CryptoLocker-a pojavilo se više ransomvera koji rade na istom principu. Neki od njih su: Crypt0L0cker virus, CryptoLocker-v3, Cryptografic Locker, PCLock ransomware, CryptoTorLocker 2015, CryptoWall.

Dalji razvoj

Početkom 2014. godine pojavio se novi ransomver iz grupe ransomvera koji koriste tehniku enkripcije datoteka – Crypto Wall. U svom radu koristi AES enkripciju, CHM mehanizam za propagaciju i Tor anonimnu mrežu. Postoji više varijanti Crypt Wall-a i to: Cryptorbit, CryptoDefense, CryptoWall 2.0, 3.0 i 4.0.
Prve verzije CryptoWall-a su najčešće bile distribuirane preko exploit kit-a ili e-mail poruka sa malicioznim prilogom. U prilogu ovakve e-mail poruke obično se nalazi .rar direktorijum koji sadrži CHM datoteku. CHM datoteka je interaktivna html datoteka spakovana u CHM kontejner. Nakon pokretanja CHM datoteka preuzima binarnu verziju CryptoWall-a i kopira samu sebe u %temp% direktorijum. Ovo preuzimanje malvera se obavlja u pozadini, odnosno, bez znanja korisnika. E-mail poruke koje se koriste za propagaciju CryptoWall-a najčešće pokušavaju korisnika da ubede da je reč o legitimnom obaveštenju koje šalje banka ili druga finansijska institucija. Još jedna odlika CryptoWall ransomvera je poruka o otkupu na više jezika. Naime, kreatori ovog ransomvera su prilagodili poruku o otkupu geolikaciji napadnutog sistema.

shutterstock-internet-1000x460Kod CryptoWall 2.0 ransomvera datoteke su enkriptovane pomoću algoritama enkripcije sa javnim ključem dok se kod verzije 3.0 ovog ransomvera koristi 265-bitni AES ključ za enkripciju. Zatim se ovaj AES ključ enkriptuje novim javnim ključem kako bi se smanjila mogućnost njegovog otkrivanja. Prilikom enkripcije datoteka, CryptoWall 3.0 prvo kopira datu datoteku sa dodatnim slučajnim karakterom, zatim enkriptuje sadržaj datoteke i upiše ga i na kraju obriše originalnu datoteku. Svaka enkriptovana datoteka počinje sa heširanom vrednošću javnog ključa koji je dobijen od servera a zatim sledi 256-bitni AES ključ koji je enkriptovan pomoću algoritma enkripcije sa javnim ključem. Sva imena dodeljena enkriptovanim datotekama skladište su u registar ključeva “HKCU\Software\\”. Na osnovu javnog ključa CryptoWall 3.0. generiše jedinstveni ID za svaku zaraženu datoteku dok su starije verzije ovog ransomvera javne ključeve skladištile na komandnom i kontrolnom centru.
Nakon enkripcije datoteka CryptoWall emituje poruku o otkupu u kojoj opisuje svoje akcije i daje instrukcije za plaćanje. U sklopu poruke o otkupu nalaze se i Tor linkovi i jedinstveni ID specijalno generisan za odgovarajućeg korisnika. Ova poruka se može generiše na tri različita načina: kao datoteka za prikaz u veb pregledaču, u tekstualnom formatu i u formatu slike. Zahtevani otkup je najčešće u Bitcoin-ima a uplata se vrši preko Tor-a. U najnovijoj verziji CryptoWall ransomvera, verziji 4 unete su neke značajne promene. Naime, jedna od novina kod ovog ransomvera je što osim datoteka enkriptuje i njihova imena kako bi se otežao process dekripcije bez plaćanja otkupa. Osim toga, sam process instalacije CryptoWall-a 4.0 se sastoji od brojnih komandi koje se izvršavaju kako bi kako bi se zavarao anti-virus program i nesmetano izvršila instalacija ransomvera i enkripcija datoteka. Ova izmena je dovela do znatnog smanjenja detekcije CryptoWall ransomvera. Izmene se primećuju i u poruci o otkupu koja je preimenovana u ‘Help your files’ i sadrži i FAQ sekciju za korisnika.
CryptoWall i njegove varijante detektovane su širom sveta. Najveći procenat detekcije je u Severnoj Americi i Kanadi (13%), zatim u Velikoj Britaniji, Holadniji i Nemčkoj (po 7%). Procenjuje se da su napadači, samo pomoću CryptoWall 3.0 iznudili preko 325 000 000 $.
Osim CryptoWall-a veliku rasprostranjenost imaju i:

  • TeslaCrypt koji se fokusira na korisnike online igrica,
  • SamSam koji prvenstveno napada sektor zdravstva,
  • Locky koji je fokusiran uglavnom na region Nemačke i Holandije,
  • Petya ransomver koji napada boot sektor sistema,
  • KeRanger koji je dizajniran za iOS sisteme kao i
  • ransomveri koji napadaju Android sisteme.

Preporuke i predlog zaštite

Ransomver napadi se mogu izbeći primenom određenih dnevnih praksi. Korišćenjem legitimnih anti-virus programa i firewall-a sa dobrom reputacijom kao i njihovim redovnim ažuriranjem, zatim kreiranjem rezervne kopije podataka na eksternim memorijama i slično. Preporuke za prevenciju ransomvera ili ublažavanje posledica ransomvera su:

  • Redovno kreiranje rezervne kopije podataka. Poželjno je čuvanje rezervne kopije podataka na eksternim medijumima jer postoje tipovi ransomvera koji brišu rezervne kopije iz sistema,
  • Sistem treba radovno ažurirati kako bi se smanjio rizik od napada,
  • Posećivati samo proverene veb sajtove,
  • Preuzimati samo one e-mail priloge koji su poslati sa proverenih adresa,
  • Koristiti anti-virus i firewall proverenih vendora,
  • Instalirati program za blokiranje pop-up programa,
  • Onemogućiti System Restore opciju,
  • Obavestiti nadležne o napadu.

Korišćenje anti-virus programa i firewall-a proverenih vendora je dobra praksa u zaštiti od kiber napada ali često nije dovoljna. Šteta koju mogu da nanesu ovi napadi zavisi od tipa i značaja podatka koji se skladište u napadnutom sistemu. Kod rezidencijalnih korisnika materijalna šteta je najčešće simbolična jer enkriptovane datoteke obično sadrže fotografije ili profile za igranje online igara (TeslaCrypt). Kod poslovnih korisnika šteta je znatno veća. Podaci koje ransomver enkriptuje kod poslovnih korisnika mogu da budu poslovni planovi, nacrti, finansijskih podaci, lični podaci, odnosno podaci koji su poverljivi.
Malver za pokretanje instalacije ransomvera najčešće se distribuira e-mail phishing kampanjam i to u vidu priloga. Prilozi kod phishing e-mailova su obično datoteke u word ili eksel formatu sa ugrađenim aktivnim sadržajem (macros) koji se koristi za pokretanje instalacije ransomvera. Efikasan sistem za prevenciju ransomvera trebao bi da uoči ovakav sadržaj i da ga ukloni ili blokira. Jedan od pristupa za pravenciju ransomvera je filtriranje datoteka i blokiranje svih aktivnih sadržaja kao i skrivenih i nedozvoljenih sadržaja. Drugi pristup za prevenciju ransomvera je dubinska analiza sadržaja i uklanjanje potencijalno opasnih sadržaja.
Primer sistema koji koristi tehniku filtriranja datoteka je Selector IT proizvođača YazamTech. Selector IT je sistem za filtriranje različitih tipova datoteka. Rad ovog sistem se bazira na kontroli i filtriranju svih datoteka koje se unose u sistem, bilo preko mreže ili preko medijuma (CD, USB…). Kontrola i filtriranje datoteka se vrše na osnovu:

yazam

  • ekstenzije – datoteke sa lažnim ekstenzijama se odbacuju,
  • pretrage teksta – zahtevane reči, zabranjene reči, skriveni sadržaj,
  • zabranjenog sadržaja – uklanjanje aktivnog sadržaja.

Ovaj sistem ima podršku za više od 10 anti-virus programa različitih vendora i u svom radu koristi njihove anti-virus mehanizme. Datoteke koje Selector IT može da filtrira su:

  • MS office tipovi,
  • pdf,
  • tekstualni formati,
  • audio formati i formati slika,
  • formati arhiva (zip, rar…),
  • HTML, XML,
  • CAD, GIS,
  • formati poruka (e-mail, kontakti, kalendari),
  • datoteke nepoznatog tipa.4

Selector IT je preporučeno rešenje za prevenciju ransomvera zbog načina filtriranja datoteka. Naime, ovaj sistem radi filtriranje na osnovu ekstenzije i odbacuje datoteke sa lažnom ili zabranjenom ekstenzijom. Ovaj način filtriranja onemogućuje malicioznim datotekama da uđu u sistem. Osim toga, filtriranje se vrši i na osnovu aktivnog sadržaja, odnosno, aktivni sadržaj se isključuje. Veliki deo ransomvera u sistem dospeva upravo preko aktivnih sadržaja (macros) koji su ugrađeni u tekstualne dokumente. Još jedna prednost korišćenja Selector IT sistema i činjenica da su mehanizmi više anti-virus programa različitih vendora ugrađeni u ovaj sistem.
deepsKao primer rešenja koja koriste tehniku dubinske provere sadržaja radi uočavanja i uklanjanja opasnih i potencijano opasnih sadržaja mogu se navesti rešenja za bezbednu komunikaciju kompanije Deep Secure.
Web guard, rešenje kompanije Deep Secure, konroliše veb saobraćaj organizacije i vrši odbranu od naprednih pretnji i napada. U svom radu Web guard, kao i ostala Deep Secure rešenja koriste Transhipment tehniku. Transhipment tehnika se zasniva na dekompoziciji podataka i njihovoj detaljnoj analizi. Naime, kod ove tehnike na prijemu dolazi do prekidanja dolaznog protokola i potpune dekompozicije podataka. U dekomponovanom stanju podaci prolaze kroz verifikator koji vrši proveru i sve nepotrebne ili potencijalno opasne podatke eliminiše. Svi podaci koji prođu validaciju bivaju rekonstruisani i, pomoću nove konekcije, se prenose kao odredištu.
Na ovaj način Web guard vrši proveru zaglavlja svih HTTP zahteva i odgovora. Ukoliko se u njima nalaze osetljivi podaci (pr.cookies) oni bivaju odbačeni a ostatak podataka rekonstruisan i prenet dalje do odredišta. Web guard podržava autentifikaciju klijenata preko Windows Integrated Authentifications ili digitalnih potpisa i na taj način omogućuje da samo autentifikovani klijenti mogu da vrše komunikaciju u mreži. Osim HTTP protokola, Web guard podržava i HTTPS protokol što omogućuje prenos enkriptovanog saobraćaja.
Još jedna od pogodnosti Web guarda je mogućnost obaveštavanja administratora o detekciji nedozvoljenog ili sumnjivog sadržaja.
Web guard sistem je efektivna zaštita od ransomvera jer potpuno dekomponuje sve podatke i odbacuje sve osim poslovnih informacija.
Osim Web guarda postoje i druga specijalizovana rešenja za zaštitu na aplikativnom nivou kao što je rešenje Mail guard za zaštitu e-mail saobraćaja, File Transfer guard za bezbedan prenos datoteka, XML guard za kontrolu XML saobraćaja, TransGap Import Export za kontrolu datoteka koje se uvoze/izvoze na medijume, itd. Kod kompleksih sistema najbolja zaštita od ransomvera ali i drugih kiber napada bi bila kombinacija više rešenja iz domena zaštite na aplikativnom nivou. Za što viši stepen bezbednosti preporučuje se višeslojna zaštita mreže korišćenjem Web guard-a kao prvi sloj zaštite celokupne mreže, zatim Mail guard-a za zaštitu e-mail saobraćaja, File Transfer gurad-a za bezbedan prenos datoteka i TransGap ImpEx za bezbedan uvoz/izvoz datoteka sa medijuma. Ukoliko sistem poseduje servis za skladištenje datoteka preporučuje se korišćenje i TransGap SFS (Shared File Store) za zaštitu podataka u skladištima datoteka.
tnd21U uslovima savremenih kiber pretnji kao prvi i obavezan stepen zaštite mreže od kiber napada preporučuje se i kombinacija anti-virus programa, firewall-a i sistema za detekciju i prevenciju kiber napada – Intrusion Detection and Prevention Systems, skraćeno IDPS. Sve je više izvanrednih softverskih rešenja za detekciju i prevenciju kiber napada koji koriste više unakrsnih metoda za detekciju uključujući i specijalne metode za otkrivanje čak i napada nultog dana – Zero Day Attacks, koji sve masovnije zamenjuju tradicionalna serverska (IPS Server type) i mrežna rešenja (IPS Gataway type) poznatih brendiranih, veoma kompleksnih a samim tim i skupih rešenja. Jedno od izvanrednih rešenja za detekciju i prevenciju kiber napada predstavlja Towers Net Defender – TND, potpuno automatski IPDS sistem koji veoma efikasno štiti mrežu, lako i brzo se implementira, prilagođen je za rad na svim operativnim sistemima i hardverskim platformama.
Ovaj sistem nadgleda mrežu, blagovremeno identifikuje maliciozne aktivnosti i blokira ih. Zahteva vrlo malo resursa (memorija, potrošnja) i ne usporava rad sistema. Uspešno blokira DoS i DDoS napade, SYN floods, SQL injections, Brute-force napade, Rootkits, XSS napade, Zero Day napade i malvere za uspostavljanje backdoor-a.
Kombinacijom predstavljenih rešenja i pravilnom edukacijom zaposlenih sistem se može zaštititi od bilo kog kiber napada ili kombinacije napada.

Prevencija curenja podataka

downloadOtkrivanje osetljivih poslovnih podataka, može da ima ozbiljne posledice po poslovanje jedne kompanije, njenu reputaciju ili čak opstanak. U pitanju mogu da budu osetljive poslovne informacije ili intelektualna svojina čije otkrivanje narušava uspeh daljeg poslovanja kompanije, ili finansijski i lični podaci klijenata na čije čuvanje je kompanija obavezna.
Najveći rizik po poverljive poslovne informacije predstavlja pojam curenja podataka, tj neprimetno iznošenje podataka van granica sistema kojem pripadaju. Curenje podataka se definiše kao neautorizovana transmisija informacija (ili podataka) iz organizacije (kompanije, institucije) ka eksternoj adresi ili primaocu.
Za adekvatan pristup rešavanju ovog problema potrebno je shvatiti njegove uzroke, bilo da su oni tehnički ili pripadaju ljudskoj prirodi i ponašanju. Odgovor na tehničke izazove treba da prati razvoj rastućeg broja pretnji ali tako da bude u skladu sa svim aspektima organizacije poslovanja. Samo tako osetljive informacije mogu da budu sprečene da napuste granice sistema bez većeg opterećivanja poslovnih procesa.

Uzroci i posledice curenja podataka

access1Sa aspekta intencije curenje podataka može da bude namerno ili slučajno.
Namerno curenje izazvano je od strane napadača koji ima korist od podataka koje preuzima. Sa tehničkog aspekta može da ima različite uzroke. Umetanje zlonamernog softvera poput spyware-a ili backdoor-a omogućava napadaču da neovlašćeno pristupi sistemu i preuzme osetljive podatke. Slično se može postići presretanjem kriptografski nezaštićenie komunikacije ili običnom fizičkom krađom hardverskog mediuma koji sadrži nezaštićene podatke (laptop, USB, prenosni hard diskovi).
Osim toga, curenje može biti posledica zlonamerne aktivnosti jednog od zaposlenih koji ima pristup sistemu sa određenim stepenom autorizacije. Najčešći uzroci ovakvog ponašanja su nezadovoljstvo na poslu, čak 92%, ali u pitanju mogu da budu i industrijska špijunaža i finansijska dobit.

Slučajno curenje podataka je uglavnom uzrokovano nepažnjom, nemarom ili neinformisanošću zaposlenih koji nemaju za cilj nanošenje štete. Zapravo, istraživanja pokazuju da je ovo mnogo češći uzrok (99%) kada su unutrašnji rizici u pitanju.
Dominantni problem je slanje osetljivih dokumenata putem elektronske pošte primaocu koji nema pravo uvida u primljene podatke ili gubitak prenosnog hardverskog medijuma sa osetljivim sadržajem. Zaposleni mogu biti nesvesni rizika pri nepromišljenom slanju dokumenata jer, na primer, nisu upoznati sa nivoom osetljivosti podataka koje dokumenta sadrže, rizicima koji postoje ako se ti podaci otkriju ili bezbednosnom politikom kojom je definisana njihova upotreba. Uz to, uvek postoji mogućnost slučajne greške pri slanju usled nepažnje ili zamora.
Posledice gubitaka podataka mogu biti direktne ili indirektne. Direktne posledice se mogu sagledati na konkretan finansijski način. One nastaju nakon gubitka ličnih i finansijskih podataka klijenata. Kompanije kojima su podaci ukradeni primorane su da plaćaju visoke odštete i zakonom propisane kazne. Indirektne posledice je teže sagledati jer se javljaju tokom dužeg perioda i njihovu finansijsku težinu ne možemo uvek precizno da odredimo. Ove posledice nastaju nakon gubitka kritičnih p
oslovnih podataka i intelektualne svojine a uzorkuju narušavanje reputacije kompanije, okretanja klijenata ka konkurentim kompanijama i smanjivanje obima poslovanja.

Prevencija curenja podataka

Prevencija curenja podataka treba da bude usmerena ka najrizičnijim aspektima poslovne prakse. U ovom radu fokus je stavljen na dva zasebna rizika: baratanje osetljivom poslovnom dokumentacijom i očuvanje integriteta baza podataka.

Zaštita elektronske dokumentacije

Zaštita elektronskih dokumenata se može obaviti strogom kontrolom pristupa i dodelom dozvola odnosno pristupnih prava za svaki dokument. Tehnika dodele prava za pristup i manipulaciju dokumentima naziva se IRM (Information Rights Management). IRM predstavlja skup tehnologija za zaštitu osetljivih informacija od neovlašćenog pristupa. Sistemi koji su zasnovani na IRM tehnologijama rade na principu dodeljivanja prava pristupa korisnicima sistema. Administrator IRM sistema bi trebalo da ima mogućnost dodele prava odnosno dozvola za pristup dokumentu, modifikaciju, kopiranje, štampanje, screenshot i slično. Takođe, IRM sistemi bi trebalo da pružaju mogućnost klasifikacije dokumenata prema stepenu osetljivosti. Osim radnji koje korisnik može da sprovodi nad dokumentima IRM sistemi bi trebalo da imaju i mogućnost definisanja dozvola za vremensko trajanje dokumenta i lokacija sa kojih se pristupa dokumentu. Administrator može postaviti rok trajanja dokumenta pri čemu se, nakon isteka tog roka, blokira pristup. Dozvole koje se odnose na lokaciju sa koje se pristupa dokumentu mogu biti definisane na osnovu serijskog broja uređaja ili IP adrese. Nakon dodele dozvola za pristup datoteci, IRM sistem vrši enkripciju te datoteke kako bi se sprečio neovlašćeni pristup.
slider-a3Kod većine IRM sistema samo administrator može da dodeljuje, uklanja i modifikuje dozvole. Jednom dodeljene dozvole bi trebalo da ostanu trajno na zaštićenoj datoteci bez obzira na način deljenja i platforme sa koje se pristupa toj datoteci. Permanentnost pristupnih prava odnosno dozvola sprečava curenje poverljivih podataka u slučaju krađe ili gubitka prenosnih hardverskih medijuma. Naime, ukoliko dođe do gubitka ili krađe prenosnog medijuma (USB, hard disk) bilo koji korisnik koji pokuša da pristupi zaštićenim datotekama na tom medijumu neće biti u mogućnosti da to učini ukoliko nema definisana pristupna prava. Osim toga, sistem za zaštitu datoteka treba da ima mogućnost praćenja zaštićenih datoteka odnosno treba da pruži administratoru uvid u sve akcije izvršene nad dokumentom uključujući i pokušaje neovlašćenog pristupa. Ukoliko dođe do krađe ili gubitka zaštićenih datoteka administrator će imati informaciju o pokušajima neovlašćenog pristupa kao i o svim akcijama koje napadač ili sličajni pronalazač pokuša nad zaštićenim datotekama.
Radi autentifikacije korisnika i praćenja aktivnosti zaštićenih dokumenata poželjno je da IRM sistem ima mogućnost integracije sa LDAP sistemom kao što je MS Microsoft Windows Active Directory, IBM Tivoli Directory Services i slično. IRM sistemi bi trebali da imaju i mogućnost integracije sa softverskim paketima koji se koriste u poslovnom okruženju kao što su sistemi za prevenciju gubitaka podataka, poslovne komunikacije i upravljanje dokumentima. Jedno od vodećih svetskih IRM rešenja je rešenje Seclore FileSecure kompanije Seclore iz Indije. Ovo rešenje je ima mogućnost integracije sa LDAP sistemima kao što je MS Microsoft Windows Active Directory. Fleksibilnost sistema se ogleda u činjenici da sva ugrađena pravila i klasifikacije mogu da se menjaju i prilagode bilo kom poslovnom okruženju.
3sko7kyxSeclore FileSecure pruža mogućnost dodele svih standardnih dozvola koje IRM sistem treba da podržava. Dozvole koje su definisane ovim sistemom ostaju na zaštićenoj datoteci sve dok ih administrator ne ukloni ili modifikuje i ne zavise od načina deljenja datoteke i platformi koje se koriste za pristup. Nakon dodele dozvola datoteka biva enkriptovana kako bi se sprečio neautorizovani pristup i može se podeliti sa drugim korisnicima. Čak i posle deljenja datoteke sa drugim korisnicima administrator može da modifikuje, ukine ili postavi novu dozvolu na datoteku bez potrebe za ponovnim deljenjem jer se sve promene rade na serveru samog sistema.
Za pristup datotekama zaštićenim Seclore FileSecure sistemom korisnik mora da se autentifikuje svojm korisničkim imenom i lozinkom. Zaštićenim datotekama se može pristupati preko Seclore aplikacije i tada se datoteka otvara u svojoj matičnoj aplikaciji (word, excel, adobe…). Drugi način pristupa datoteci je preko veb pregledača i na taj način datoteka može samo da se pregleda ali ne i da se modifikuje. Ukoliko se zaštićena datoteka šalje korisniku koji još uvek nije u sistemu njegov profil će automatski biti generisan i on će dobiti e-mail obaveštenje o prijemu zaštićene datoteke i načinu pristupa datoteci.

Row of virtual folders with data inside

Administrator, preko upravljačke konzole, ima uvid u sve akcije sprovedene nad zaštićenom datotekom. U tabelarnom prikazu aktivnosti dat je pregled akcija preduzetih nad zaštićenom datotekom, vreme i datum kao i trenutno i originalno ime datoteke i sve to je povezanom sa odgovarajućim korisnikom. Ukoliko korisnik pokuša da izvede akciju za koju nema dozvolu ili da neovlašćeno pristupi datoteci administrator će dobiti e-mail obaveštenje o tome a korisnik će na ekranu dobiti upozorenje.
Seclore FileSecure podržava rad sa brojnim tipovima datoteka kao što su MS Office (.doc, .docx, .xls, .ppt, .pptx), Adobe, AutoCad, tekstualni i formati slika. Osim toga, ovaj sistem ima mogućnost integracije sa sistemima za upravljanje dokumentima kao što su FileNet, SharePoint, Newgen i Documentum, sistemima za prevenciju gubitaka podataka kao što su Symantec, McAfee, Websence, GTB technologies i MyDLP i sistemima za poslovnu komunikaciju kao što su SAP, Lotus Notes i Outlook.
Fleksibilnost kod dodele pristupnih prava, kompatibilnost sa velikim brojem tipova podataka i mogućnost integracije sa poslovnim softverskim rešenjima su osobine koje ovaj sistem čine vrlo dobrim rešenjem za zaštitu elektronskih dokumenata.

Zaštita baza podataka

Poverljive informacije se, osim u vidu elektronskih dokumenata, mogu čuvati i u bazama podataka. Baze podataka na sajtovima su česta meta napada. Napadi na veb aplikacije smatraju se jednim od najvećih problema organizacija poput institucija zdravstvene zaštite, finansijskih institucija i banaka kao i kompanija koje u svom poslovanju koriste veb aplikacije. Napadači koriste Cross-site scripting (XSS) i SQL injection napade kako bi došli do poverljivih informacija o korisnicima koji se čuvaju u bazama podataka veb aplikacija.
tnd21Cross-site scripting (XSS) predstavlja jedan od najvećih bezbednosnih problema kad je reč o veb aplikacijama a samim tim je i jedan od najčešćih tipova napada jer eksploatiše ranjivosti u veb aplikacijama, serverima i plug in-ovima. Ovaj tip napada pripada klasi napada koji koriste tehniku insertovanja koda. XSS napadi se izvode tako što napadač insertuje maliciozni skript u legitimni sajt. Ovaj skript će se automatski izvršiti kada korisnik u svom veb pregledaču otvori zaraženu stranu. Pri svom izvršenju maliciozni skript može da pristupi svim osetljivim informacijama koje se razmenjiju između veb pregledača i zaraženog sajta (cookies, season tokens). Ova vrsta napada se koristi rad zaobilaženja kontrole pristupa i/ili kako bi se došlo do osetljivih informacija o korisnicima. SQL injection, takođe, pripada klasi napada koji koriste tehniku insertovanja koda. Naime, napadač menja ključne reči ili operatore u već postojaćem SQL upitu kako bi došao do informacija koje se nalaze u bazi podataka. SQL ranjivosti opisane su kao jedna od najozbiljnijih pretnji po veb aplikacije i servere. Veb aplikacije i serveri koji su ranjivi na ovu vrstu napada otvaraju mogućnost napadaču da pristupi celokupnim bazama podataka koje se na njima nalaze. Ove baze podataka uglavnom sadrže osetljive informacije o klijentima i korisnicima pa posledice SQL injection napada mogu da budu krađa identiteta, gubitak poverljivih informacija ili finansijske prevare. Kako bi se zaštitile baze podataka na veb serverima i veb aplikacijama potrebno je, osim firewall-a i IPS sistema, postaviti i Web Application Firewall – WAF.
Firewall vrši nadzor i analizu saobraćaja na osnovu definisanih pravila, a IPS sistem odbija maliciozne pakete ali nijedan od ovih sistema nema mogućnost razumevanja logike veb protokola. Upravo iz tog razloga često napadači uspevaju da zaobiđu ove barijere i uspeju da dođu do podataka iz baza na veb serverima. WAF je dizajniran upravo da štiti veb aplikacije i servere od napada tako što analizira pakete na aplikativnom sloju odnosno vrši dubinsku analizu sadržaja odlaznih i dolaznih paketa.
WAF treba da bude ima mogućnost detekcije SQL injection i XSS napada ali i novih i nepoznatih napada odnosno Zero day attacks. Napade nultog dana WAF detektuje uočavanjem neočekivanih ili neobičnih dešavanja nakon čega treba da bude u mogućnosti da blokira napad i pošalje upozorenje administratoru.
Sistem pogodan za zaštitu baza podataka na veb serverima je Towers Net Defender – TND. TND je sistem za detekciju i prevenciju upada sa integrisanim WAF-om. U ovom sistemu su objedinjene funkcionalnost IPS-a odnosno nadgledanje saobraćaja i blokiranje malicioznih paketa sa funkcionalnostima WAF-a odnosno analiza paketa na aplikativnom nivou. Shodno tome, TND štiti sistem od DoS i DDoS napada, SQL injection, XSS, Brute-force napada, SYN floods, Zero day napada i rootkits-a. Osim zaštite, TND ima i funkciju automatizovanog i prilagođenog izveštavanja o aktivnostima na mreži. Ovaj sistem pruža efikasnu zaštitu bazama podataka na veb serverima a ne usporava saobraćaj jer zahteva vrlo malo resursa (memorija, procesorsko vreme…).

Zaštita privatnosti digitalnih podataka

aaeaaqaaaaaaaajpaaaajgy0ntljmjdjltnhogetndviyy1hnwfilwqznze3nge1ytq0naPitanje digitalne privatnosti postaje sve izraženije poslednjih godina kao društveni i tehnološki problem. Usled činjenice da se uz razvoj i široku primenu tehnologije paralelno razvija i njena zloupotreba, pojam privatnosti definisan od strane Luisa Brandeisa i Samuela Vorena krajem 19. veka kao „pravo da budemo ostavljeni na miru“, danas postaje sve više okrenut ka problematici zaštite privatnosti komunikacije i sigurnosti podataka.
Da je ovo pitanje već nekoliko decenija podrazumevano kao ozbiljna tematika govori i činjenica da je privatnost definisana kao jedno od osnovnih ljudskih prava u Univerzalnoj deklaraciji o ljudskim pravima Ujedinjenih nacija. Pravni okvir zaštite privatnosti podataka počeo da se razvija još sedamdesetih godina prošlog veka u Evropi. Danas obuhvata veliki broj međunarodnih dokumenata i zakona pojedinačnih država. Od značaja za zaštitu podataka u Republici Srbiji su međunarodni dokumenti Ujedinjenih nacija, regulativa Evropske Unije i naravno Ustav, Zakon o zaštiti podataka o ličnosti donet 2008. godine i Zakon o informacionoj bezbednost donet početkom 2016.
Ispunjavanje zakonskih obaveza o privatnosti podataka u digitalno doba podrazumeva i dobro poznavanje rizika koje kiber prostor donosi kao i metoda prevencije i odbrane od zloupotrebe. Kiber napadi više nisu retkost niti su jednostavno konstruisani. Brzina njihovog razvoja je vremenom sve veća pa je nepohodno da zaštita i odbrana održe barem isti tempo. Pre svega je potrebno shvatiti značaj i neophodnost pravovremene implementacije tehničke zaštite. Posledice njenog izostanka mogu biti ozbiljne i, bilo da su sudski sankcionisane ili ne, skoro uvek povlače ozbiljne financijske reperkusije.

Ugrožavanje integriteta podataka u savremenom kiber prostoru

Današnji kiber prostor nije okruženje u kojem je preporučljivo ostaviti bilo koji tip podataka nezaštićen, a tako nešto učiniti sa podacima o ličnosti je i zakonski kažnjivo. Rizici kojima su izloženi podaci i informacioni sistemi obuhvataju široki opseg napada. Oni mogu biti relativno jednostavni ali i visoko sofisticirani, najčešće u zavisnosti od koristi koja se napadom može ostvariti.
rm09-15_ff_studentdata2Po zaštitu privatnosti i integriteta podataka naročito su značajni napadi koji bi doveli do neovlašćenog pristupa, izmene i preuzimanja podataka, slučajnog „curenja“, namernog ili nenamernog uništavanja ili, što je u poslednjih par godina naročit problem, njihovog namernog zaključavanja zarad ostvarivanja finansijske dobiti. Kiber kriminal dosegao je nivo razvoja koji daje tehničke mogućnosti napadaču da se na različite načine infiltrira u sistem koji čuva podatke i nakon toga načini štetu. Najznačajniji vektori napada su email korespondencija, nebezbedan pristup internetu i presretanje transfera osetljivih podataka.
Email komunikacija, uprkos svojoj širokoj primeni, donosi veliki broj bezbednosnih izazova. Najveći problem email poruka predstavljaju prilozi koje one sadrže ili linkovi koji se nalaze u tekstu poruke. Otvaranjem priloga ili linka zlonamerne poruke može da dovede do pokretanja skrivenog malvera različitih namena i dometa u pogledu štete koju može da načini.
Zlonamerne email poruke mogu najčešće da se klasifikuju u tri grupe: spam, phishing i spear-phishing. Problem spama je prisutan jako dugo. Zaštita od njega postoji i primenjuje se na tehničkom nivou ali su i sami korisnici email servisa dovoljno informisani da ga u principu prepoznaju i brišu iz svog inboksa. Međutim, što zbog sve kvalitetnije konstruisanih poruka, što zbog nepažnje, pada koncentracije ili zamora korisnika neretko se događa da se spam poruke otvore i da se tako napadaču otvore vrata u informacioni sistem.
Spam je vremenom evoluirano u phishing (pecanje), napredniji vid napada preko email-a. Poruke su pažljivije konstruisane, njihov sadržaj i pošiljalac deluju legitimno ali ako se pažljivije pogledaju njihove karakteristike može se primetiti da su maliciozne. Za razliku od spama, phishing poruke su uglavnom napisane na jeziku koji potencijalna žrtva koristi u svojoj korespondenciji i manjeg je obima u količini poslatih poruka.
Poslednji evolutivni nivo predstavljaju spear-phishing poruke koje su uglavnom u upotrebi prilikom ciljanih (APT) napada. Usmereni su ka malom broju email korisnika konkretne organizacije koja je meta napadača.
Internet konekcija sistema koji skladišti osetljive podatke nosi slične rizike kao i otvaranje email poruka od strane njegovih korisnika. Web protokoli su sveprisutni, podržavaju web pretraživanje, mobilne aplikacije i veb servise. Međutim kompleksnost aplikacija koje ih koriste i opštost HTTP-a vodi do curenja informacija i može dovesti do zloupotrebe. Takođe pristupi nebezbednim stranicama može da dovede do prodora malvera u računar i informacioni sistem kojem on pripada.
Značajan vektor napada, takođe, predstavlja prenos fajlova sa osetljivim podacima preko nebezbedne konekcije ili prijem fajlova čija struktura i sadržaj nisu podrobno provereni.

Tehnička rešenja za očuvanje privatnosti i integriteta podataka

online-privacy-protection-lawyerRazvoj velikog broja kiber pretnji pratio je i razvoj tehničke zaštite privatnosti i integriteta podataka i informacionih sistema. Zaštitna rešenja su nastajala na osnovu potrebe da se spreče potencijalni vektori napada, određeni tipovi pretnji ali i da se ponude različiti nivoi bezbebednosti u skladu sa sigurnosnim potrebama i financijskim mogućnostima organizacije koja odluči da ih primeni.
Velike kompanije i državne institucije širom sveta odavno su svesne neophodnosti očuvanja integriteta i privatnosti podataka koje čuvaju. Iskustva kompanija koje su pretrpele napade pokazuju da, pored neizbežnih pravnih konsekvenci, ni malo nije zanemarljiv gubitak poverenja klijenata i opadanje prihoda i ugleda. Tako se, iz zakonske i poslovne nužde, okreću primeni zaštitnih rešenja.
Međutim, jedan od trendova 2015. godine je to što se kiber kriminal u velikoj meri okreće ka srednjim i malim preduzećima. Uzrok tome je što su bili posmatrani kao „lake mete“ očekujući da zbog manjeg budžeta neće uložiti u zaštitu svojih podataka i sistema.
Značajno je i to da tehnička zaštita potrebna bez obzira na domen kojim se kompanija/organizacija /institucija bavi. Dokle god skladišti lične podatke dužna je da se brine o njima.
Izbor rešenja može biti izvršen na osnovu nivoa zaštite koji je potrebno ostvariti, vektora napada koje treba štititi i finansijskih mogućnosti kojima se raspolaže.

Rešenje koje zaustavlja više vektora napada

Organizacije koje raspolažu manjim brojem zaposlenih, manjom infrastrukturom koju treba da štite i manjim budžetom, svoje informacije mogu da zaštite primenom rešenja koja brane od više vektora napada.
Ovakva rešenja vrše proveru više različitih tipova saobraćaja i sprečavaju ulazak zlonamernog sadržaja i curenje podataka. Filtriranje je potrebno izvršiti za tri najkritičnija tipa komunikacije (mail, web i file transfer). Postavljaju se na granici sistema organizacije i štite njenu celokupnu infrastrukturu.
Sprečavanje prodora zlonamernog sadržaja u sistem se pre svega može obaviti filtriranjem dolaznih datoteka vršenjem njihove dubinske provere. Dubinskom proverom analiza se unutrašnji sadržaj datoteka koji može biti različite strukture i karaktera. Datoteka može da ima u sebi druge datoteke, pa tako dubinska provera treba da bude višeslojna. Nakon provere datoteke je potrebno ponovo sastaviti uz izostavljanje pronađenih zlonamernih sadržaja. Blokiranje se primenjuje u slučaju prisustva aktivnih objekata kao što su skripte, interaktivne forme ili flash. Na taj način sprečava se da u sistem uđe spyware, ransomware ili neki drugi vid malware koji bi oštetio podatke, izbrisao ih, neautorizovano im pristupio ili omogućio njihovo curenje.
Zlonamernu prirodu datoteke napadači često pokušavaju da prikriju menjanjem njene ekstenzije. Tako jedna maliciozna skripta za postavljanje backdoor-a promenom ekstenzije može da postane .pdf ili .doc tekstualni fajl poslat uz komplementarnu poruku u mail-u, pa je potrebno da zaštitno rešenje bude sposobno da to prepozna.
Curenje podataka u vidu nepromišljenog ili namernog slanja osetljivih podataka van sistema može da bude sprečeno odgovarajućom administratorskom politikom definisanom pomoću ključnih reči na osnovu kojih bi se vršila provera sadržaja koji izlazi iz sistema.
yazamJedno od rešenja koje se može preporučiti za zaštitu sistema od više vektora napada je SelectorIT, u proizvodnji kompanije YazamTech. Ovo rešenje vrši proveru i filtriranje različitih tipova datoteka koje ulaze u sistem. Ima mogućnost integracije sa popularnim aplikacijama za email, web pretragu i transfer fajlova a skeniranje vrši pomoću 13 antivirusnih rešenja bez međusobne kolizije.

Rešenja specijalizovana za pojedinačne vektore napada

Veliki informacioni sistemi operatora ili kompleksnih organizacija mogu imati potrebu za kompleksnijom zaštitom, pa njihove potrebe ne može uvek da podmiri jedno rešenje koje pokriva sve potencijalne vektore napada. U tom slučaju primenjuju se zasebna rešenja za određene tipove komunikacija.
Kada je u pitanju zaštita privatnosti i integriteta podataka od posebnog je značaja u kompleksnim sistemima implementirati rešenja za zaštitu email komunikacije, pristupa internetu i transfera fajlova.
Zaštitna rešenja ovog tipa koriste različite mehanizme filtriranja saobraćaja. Preporuka autora je primena tehnologija koje pored ostalih metoda koriste i prekid TCP/IP konekcije na granici sistema. Ovaj pristup omogućava dodatni stepen izolacije štićenog sistema. Naime, za svaki dolazni tok saobraćaja prekida se TCP/IP konekcija i primljeni saobraćaj se analizira i filtrira. Nakon povere uspostavlja se nova TCP/IP konekcija koja omogućava prenos odobrenih podataka u drugu mrežu. Tako ni u jednom trenutku ne postoji TCP/IP konekcija koja povezuje obe mreže i daje napadaču uvid u nju.

Zaštita email komunikacije

ds-mail-guardOrganizacije koje raspolažu velikom količinom mail saobraćaja, kao što su telekomunikacioni operateri ili druge organizacije koje imaju svoje mail servere, mogu da primene tome posebno namenjenu zaštitu.
Rešenja namenjena mail zaštiti omogućavaju administratoru da za specifične potrebe sistema formira posebna pravila za ograničavanje saobraćaja. Mogu da se definišu u zavisnosti od potreba poslovanja i da budu različita za pošiljaoca i primaoca ili različit tip poruke i sadržaja.
Dolazni mail saobraćaj je potrebno filtrirati tako da se spreči ulaz nebezbednih priloga koji u sebi sadrže ransomware, spyware ili skripte koje mogu da postave backdoor, dok se odlazni saobraćaj ograničava tako da iz sistema ne izađu poruke koje sadrže osetljive podatke.
Poruke koje nisu u skladu sa bezbednosnom politikom mogu biti tiho odbačene, odbačene bez slanja povratnog izveštaja ili stavljene u karantin deep-secure-logo-without-straplinedok administrator ne odluči pojedinačno šta treba sa njima da bude učinjeno. Zaustavljanje lažnih email-ova i pokušaja socijalnog inžinjeringa se vrši proverom adrese pošiljaoca, autentifikacije i dodelom digitanih identiteta. Curenje podataka tokom tranzita poruke se dodatno može sprečiti upotrebom enkripcije.
Primer rešenja koje može da obezbedi visok nivo zaštite email komunikacije može biti Mail Guard proizvođača Deep Secure. Ovo rešenje je dizajnirano da štiti i od veoma naprednih napada i zloupotreba fokusirajući se na sadržaj. Preporučuje se njegova primena ukoliko je potrebna stroga kontrola ovog vida komunikacije.

Zaštita web komunikacije

ds-web-guardOrganizacije čiji sistemi upravljaju velikom količinom web saobraćaja imaju potrebu da taj saobraćaj prilagode svojim bezbednosnim politikama.
Rešenja za konrolu web saobraćaja vrše proveru korisnog segmenta HTTP paketa (payload) na različite vrste malvera i osetljive podatke. Dozvoljavaju administratoru da definiše bezbednosnu politiku na osnovu identiteta klijenta i servera i upotrebljene HTTP metode. To omogućava da se pravila posebno definišu da bi se ostvario najviši stepen bezbednosti.
HTTP zaglavlja takođe mogu biti proverena, modifikovana ili potpuno uklonjena i zamenjena. Na ovaj način sprečava se upotreba cookies-a i tajnih tokova informacija koje bi koristio kontrolni centar naprednih napada. Kao primer rešenja koje štiti od napada koji može doći putem web saobraćaja može se uzeti srodno rešenje, Web Guard takođe proizvodnje kompanije Deep Secure. Namenjen je preciznoj kontroli saobraćaja Internet pretraživanja i web protokola koje koriste različite aplikacije za razmenu podataka.

Zaštita transfera datoteka

ds-file-transfer-guardOrganizacije koje imaju potrebu da pažljivo kontrolišu transfer datoteka sa Internet serverima ili imaju potrebu da razmenjuju datoteke između internih zona sistema mogu da primene rešenja za konrolu ovog vida razmene podataka. Bezbednosnim pravilima koje postavlja administrator ograničava se sadržaj i određuje kako se tretira datoteka koja se prenosi. Dubinskom proverom se uklanja malver i zaustavlja curenje osetljivih podataka.
Curenje podataka može da bude sprečeno primenom bezbednosnih oznaka koje čine unapred definisane reči ili fraze. Prilikom transfera datoteka pored drugih provera vrši se i provera da li datoteka sadrži definisane reči ili fraze u svom sadržaju i pratećim karakteristikama (properties, header i footer).
Bezbednosna pravila mogu biti uslovljena identitetom klijenta koji se utvrđuju pomoću lozinke ili digitalnog potpisa. Na taj način se sprečava da neautorizovane osobedeep-secure-logo-without-straplineostvare pristup datotekama sa osetljivim podacima. Primer rešenja koje može obezbediti siguran transfer datoteka sa osetljivim podacima je File Transfer Guard takođe proizvođača Deep Secure.
Rad ovog rešenja je zasnovan na terminaciji konekcije transfera i dubokoj proveri datoteka koje se razmenjuju pre nego što se uspostavi nova konekcija i obavi prenos do odredišta. Podržava prenos pomoću FTP protokola koji koristi različite konekcije za transfer datoteka i kontrolu sesije, pa se terminacija vrši za obe konekcije.

Zaštita posebno osetljivih baza podataka

Zaštita posebno osetljivih podataka se može konstruisati na različite načine. Postavlja se pitanje koji nivo zaštite je potreban, kakav pristup podacima se očekuje.
Nivo zaštite se definiše na osnovu nivoa rizika koji postoji u čuvanju osetljivih podataka. Obično se u osnovnim arhitekturama koriste firewall uređaji u kobinaciji sa IPS (Intrusion Prevention System) rešenjima.
ds-minerva-iconU pojedinim sistemima potrebno je napraviti posebno bezbedni i izolovani backup. Tada je moguće kao poseban vid zaštite upotrebiti jednosmerne data diode. Ovi uređaji su zasnovani na jednosmernom prenosu podataka. Jednosmernost može biti obezbeđena na softverskom i hardverskom nivou. Obično se hardverski nivo obezbeđuje upotrebom jednosmernih optičkih vlakana i koristi se kao dopuna već postojećoj softverskoj jednosmernosti zarad ispunjavanja različitih standarda zaštite.
Jednosmeran uređaj ovog tipa može biti postavljen na ulazu u backup sistem, tako da dozvoljava samo ulaz podataka u zaštićenu zonu. Na taj način omogućava se unos najnovijih podataka u skladištenu memoriju ali se sprečava njihovo curenje.
Drugi način može biti njihovo postavljanje ispred sistema u kojem se čuvaju podaci kojima može biti dopušteno da napuste štićenu zonu ali je imperativ da njihov integritet bude apsolutno očuvan. U ovom slučaju dioda bi omogućila dostupnost podataka i sprečila njihovo kompromitovanje usled napada.
Pored same jednosmernosti, bitno je da data diode u sebi sadrže i mehanizme za kontrolu sadržaja koji bi uklonio potencijalne zlonamerne softvere. U prvom scenariju, bez ovakvog mehanizma moguće je da malver dospe do štićene zone i naruši integritet podataka iako nikako ne može da dovede do njihovog curenja.
arowPrimera ovakvih uređaja ima više. Minerva dioda u proizvodnji kompanije Deep Secure nudi pouzdanu softversku jednosmernost prenosa podataka uz mogućnost primene i fizičke jednosmernosti. Naime, realizovana je u vidu dva servera (prijemni i predajni) koji se ako je potrebno mogu povezati optičkim linkom. Kao drugi primer može se uzeti Arow dioda u proizvodnji kompanije Somerdata. Ova data dioda je realizovana tako da je u potpunosti hardverski jednosmerna jer su predajni i prijemni moduli (dati u redundansi) međusobno povezani optičkim linkovima. Obe ove diode sadrže mehanizme za detekciju i uklanjanje zlonamernog sadržaja iz saobraćaja koji prolazi kroz njih.