Bezbednost na internetu

Aktuelne pretnje se oslanjaju na ljudski faktor

Nakon prvih nekoliko godina burnog razvoja interneta, koji je u tim vremenima sa tehničke strane praktično u celosti bio orijentisan na engleski jezik, pojavila se potreba prilagođavanja jezicima koji nisu bazirani na anglosaksonskoj latinici. Pre nekih dvadesetak godina, počelo se sa poslom čiji cilj je bio da se pronađe način adaptacije karaktera koji ne pripadaju engleskom alfabetu, a da se pri tome ne menja već uspostavljena infrastruktura interneta i principi funkcionisanja DNS servera. Nakon nekoliko godina rada, usvaojen je standard poznat pod skraćenicom IDN (Internationalized Domain Names), koji je predviđao prevođenje nacionalnih simbola u takozvani punycode (panikod) ekvivalent. U bazama DNS servera se čuva jedino panikod reprezentacija naziva, dok se u pregledačima interneta (u zavisnosti od verzije) može videti i varijanta na izvornom jeziku. Princip konverzije panikoda ćemo demonstrirati na nekoliko primera:

Na početku svakog panikod izraza nalazimo sekvencu „xn--”, iza koje sledi niz znakova koji eventualno koriste latinične karaktere. Ostatak reprezentacije nije jednostavan za čitanje pošto nastaje kao rezultat rada dekodera zasnovanog na principima konačnih automata. Pregledači interneta Firefox, Opera i Chrome, prikazuju ćirilične domene u izvorom obliku pod uslovom da su sastavljeni isključivo od ćiriličnih slova. Ista stvar važi i za adrese na arapskom, hebrejskom, kineskom ili bilo kom drugom pismu.

Naravno, uvođenje IDN je u krugovima malicioznih hakera dočekano sa odobravanjem, pošto je pružalo mnogo novog manevarskog prostora za njihovo „ribarenje” (phishing). Međutim, da im sve ne bi bilo tako idilično, potrudio se upravo pomenuti panikod, koji je svojim pojavljivanjem pažljivom korisniku mogao staviti do znanja da nešto nije u redu sa veb adresom. Različiti pregledači interneta različito reaguju na pojavljivanje potencijalno sumnjivih adresa. Chrome razmatra svaku komponentu pojedinačno i na osnovu skupa pravila ugrađenih u kod internet pregledača rešava da li će biti prikazana izvorna Unicode varijanta ili pak, panikod ekvivalent. Firefox se više oslanja na postojanje liste domena koje prikazuje u izvornom obliku, ali istovremeno koristi tehnike slične Chromeu. Naravno, kod svih savremenih pregledača postoji podrška za filtere koji proveravaju da li se dati URL nalazi na listi phishing sajtova.

Međutim, internet je tokom aprila obišla vest da je Xudong Zheng, samostalni kineski istraživač na polju internet bezbednosti, došao do saznanja kako je na jednostavan način moguće prevariti dobar deo najpopularnijih pregledača (Firefox, Chrome i Opera), da ne detektuju da je reč o homografskom napadu. Strategija je više nego jednostavna i sastoji se u registraciji internet domena u panikod obliku.

Da bi praktično dokazao funkcionisanje tehnike, on je kreirao jednostavni sajt čiji se domen www.apple.com ni u čemu vizuelno ne razlikuje od domena poznate kompanije. Pošto je poznato da se u svakodnevnoj praksi ispravnost adrese utvrđuje čitanjem sadržaja adresne linije i proverom da li je prenos podataka zaštićen enkripcijom, Xudong je obezbedio domen sa https protokolom putem besplatnog servisa Let’s Encrypt (o kome smo pisali pre nekoliko brojeva). Međutim, ukoliko bi korisnik pokušao da kopira gornji URL iz adresne linije u neki tekst dokument, dobio bi sledeći sadržaj: www.xn80ak6aa92e.com.

Razlog za prikazivanje „ispravne” adrese sajta sastoji se u tome što su svi korišćeni znakovi iz ćiriličnog skupa, tako da pregledač interneta nije u stanju da primeti neregularnost.

U trenutku dok budete ovo čitali, verovatno će se pojaviti najnovije verzije pregledača interneta koje će imati zaštitu od ovakvog načina prevare. Opera je reagovala još tokom aprila, dok se rešenje za Chrome očekuje sa stabilnom verzijom broj 58. Kod Firefoxa je moguće ručno intervenisati i uključiti konverziju adresa u panikod. Zanimljivo je da su se Microsoftovi Internet Explorer i Edge, te Apple Safari pokazali kao imuni na ovakvu vrstu phishing napada.

Zaštita za prevarante

Pomenuli smo Let’s Encrypt, besplatni servis za omogućavanje šifrovanog prenosa podataka preko interneta. U tekstu o ovom servisu (SK 3/2107) najavili smo da će ga često koristiti pojedini hakeri, da bi obmanuli manje obazrivi korisnike koji misle da koriste bezbedan resurs. Naravno, statistika za prvi kvartal ove godine je pokazala da je čak 96% phishing sajtova imalo TLS sertifikat koji su izdali sertifikacioni autoriteti (CA) Let’s Encrypt i Comodo. Razlog za tako veliki broj sertifikata kanadske kompanije Comodo leži u jednostavnom podatku da oni korisnicima nude tri meseca besplatnog testiranja njihovog SSL servisa. Ne samo da je ovaj servis besplatan, već je i procedura njegovog aktiviranja sasvim jednostavna (za razliku od Let’s Encrypt gde je potrebno određeno tehničko predznanje). Tri meseca je sasvim dovoljno da internet kriminalci pokušaju da ostvare svoje zamisli, pa ne treba da čudi tako velika popularnost Comodo sertifikata. Britanska kompanija Netcraft, koja je specijalizovana za ponudu usluga vezanih za suzbijanje phishinga, u periodu od 1. januara pa do 31. marta ove godine, blokirala je preko 47.500 phishing napada od strane sajtova sa TLS sertifikatom. Statistički gledano, 61% tih sajtova je imalo sertifikate koje je izdao Let’s Encrypt, a u 36% slučajeva izdao ih je Comodo. Tako smo zahvaljujući časnoj nameri da dobijemo internet koji će štititi privatnost korisnika, došli u situaciju da se isti resursi koriste protiv tih istih korisnika. Odgovor na ovakvu vrstu kriminala bi bio u pooštravanju politike izdavanja domena, ali za sada niko jedan takav obiman zadatak ne želi da preuzme na sebe. Izdavači sertifikata se pravdaju da to nije njihov posao, već onih firmi koje registruju domene, što u suštini jeste tako, ali bi i oni mogli da u celu priču unesu „svoja dva centa”. Ukoliko prevaranti nastave da otvaraju nove SSL naloge ovim tempom, brzo ćemo doći u situaciju da više nećemo moći lako da razlikujemo bezbedne od opasnih internet resursa.

Baby I WannaCry

Prethodni 12. maj će biti upamćen po pojavi virusa koji je dobio naziv WannaCry (često i WCry, WanaCrypt0r) i koji je u roku od dva dana zarazio više od 230000 računara u preko 150 zemalja, što je po rečima Evropola, po obimu nezapamćen napad u njihovoj dosadašnjoj praksi (tvrdnja je diskutabilna pošto se zna da je virus Code Red davne 2001. za četrnaest časova uspeo da zarazi preko 350000 računara). Među žrtvama napada našle su se i brojne poznate firme i institucije, kao što su: španski telekomunikacioni gigant Telefonica, britanski zdravstveni sistem NHS (National Health System), kurirska služba Fedex, nemačka železnica Deutsche Bahn, proizvođači automobila Nissan, Dacia i Renault, kao i rusko Ministarstvo unutrašnjih poslova MVD.

Sam virus nije potpuna novost, već se radi o svojevrsnoj modifikaciji koda koji se pojavio u februaru ove godine i tada nije privukao mnogo pažnje. Program je pisan u jeziku C++, jednostavan je za analiziranje, ne maskira sopstveni kod, a podatke na kompjuteru žrtve šifruje 128-bitnom enkripcijom, dodajući im ekstenziju .WNCRY. Kao što to obično biva kod virusa ovakvog tipa, od žrtve se traži da uplati novac do određenog vremena (konkretno, 300 dolara u bitkoinima), a ukoliko to ne uradi, suma se udvostručuje. Nakon isteka ukazanog vremena, prestaje mogućnost dešifrovanja fajlova. Sam virus se sastoji od dva izvršna fajla, od kojih je mssecsvc.exe zadužen za širenje, dok tasksche.exe obavlja funkciju šifrovanja fajlova.

Primarno zaražavanje računara se obavlja preko elektronske pošte, odnosno, phishinga, dok se za širenje unutar mreža upotrebljavaju drugi mehanizmi, uključujući i bezbednosni propust pod nazivom DoublePulsar, koji koristi američka služba NSA, a kojeg se naknadno dočepala (bolje reći, ukrala ga) hakerska grupa The Shadow Brokers (TSB). Inače, pojedini mediji sa zapada su ovu hakersku grupu pokušali da dovedu u vezu sa Rusijom, ali za to nisu pružili nikakve valjane dokaze. Propust je moguće zloupotrebiti na sistemima koji imaju uključenu podršku za SMBv1 protokol i širenje se obavlja preko njegovog porta 445. Kada se infiltrira u računarsku mrežu, traži računare sa pomenutim propustom i na njima instalira svoj kod.

Zanimljivo je da je Majkrosoft još sredinom marta objavio zakrpu za bezbednosni propust MS17-010, koja onemogućava širenje virusa, ali su očigledno mnogi administratori bili lenji da je primene. Posebno su na udaru starije varijante Windowsa, kao što su XP i 2003 Server, pošto je Majkrosoft prestao sa izdavanjem apdejta za njih. Zbog velike opasnosti virusne infekcije za starije sisteme, u Redmondu su se odlučili na redak korak da izrade zakrpe i za varijante operativnog sistema koje zvanično ne podržavaju. Nije isključeno da posle poslednjih dešavanja prodaja novih verzija Windowsa znatno skoči iz straha kompanija da bi njihovi stari računari mogli u budućnosti da posluže kao odskočna daska za neke nove napade sličnog tipa.

Ko zna koliko bi još kompjutera širom sveta bilo zaraženo, da jedan mladi Britanac pod kodnim nazivom MalwareTech, nije izvršio registraciju domena koji se nalazi upisan unutar programskog koda. Zlonamernik koji je kreirao program, predvideo je da tu adresu koristi za prekidanje virusnog napada.

Postavlja se pitanje zašto je drastično neproporcionalan broj infekcija zabeležen na teritoriji Ruske Federacije. Postoji veći broj različitih teorija koje objašnjavaju taj fenomen. Dobar deo Rusa veruje da je njihova zemlja odabrana kao glavna meta napada, tim pre što se radi o kodu koji je potekao iz NSA i što je jedna od žrtava tamošnji MVD, a da su napadi u ostalim državama bili dimna zavesa. Sa druge strane, pojedini krugovi sa zapada su činjenicu da je najveći broj zaraženih sistema u Rusiji (i u pojedinim zemljama bivšeg SSSR) tumačili time da je izvorište virusa upravo Rusija. Iako za sada ne postoje materijalni dokazi koji bi mogli isključiti ovu ili onu varijantu, po rečima pojedinih ruskih specijalista, jedan od razloga bi mogao da leži i u svojevrsnoj indolenciji tamošnjih sistemskih administratora (nije tajna da je Rusija poznata po čestim nesrećama koje su posledica ljudskog nemara). Drugi faktor bi se mogao tražiti u relativnoj starosti računarske tehnike koja datira još iz vremena Windowsa XP i koja se često sreće po tamošnjim državnim službama i preduzećima. Bilo kako bilo, ovakva disproporcija ostavlja mnogo manevarskog prostora za sumnju. Bilo je pokušaja da se za napad optuži Severna Koreja, ali je nije lako poverovati da bi oni za metu napada izabrali Rusiju pre SAD.

Iako je zaražen veliki broj računara, od kojih su mnogi imali važne dokumente, finansijski efekti virusa nisu bili preterano izraženi. U toku tri prva dana, na ukazani bitkoin račun je uplaćeno 42.000 dolara, odnosno samo 140 korisnika je rešilo da rizikuje i plati traženu sumu.

Brojne afere o kojima smo često pisali na stranicama časopisa, znatno su diskreditovale rad američkih bezbednosnih službi. Nekadašnji saradnik NSA i najpoznatiji tražilac azila Edvard Snouden, iskoristio je ovu priliku da svoju bivšu službu optuži za moralnu odgovornost, koja je dovela do cele situacije sa virusom WannaCry. On je na svom Twitter nalogu napisao da NSA uprkos upozorenjima nastavlja da razvija opasne alate koji bi na kraju mogli da napadnu i zapadnjački softver, kao i da danas vidimo cenu toga. Kritiku na račun NSA je izneo i Bred Smit, predsednik kompanije Majkrosoft i njen glavni čovek za pravna pitanja, koji je izjavio da je šteta nastala širenjem ovog virusa posledica skrivanja sigurnosnih propusta u softveru od strane obaveštajnih agencija.

U senci događaja vezanih za WannaCry, dosta nezapaženo je prošlo publikovanje novih Vikiliks dokumenata iz paketa Vault 7 u kojima se pominju dva programa namenjena špijuniranju preko računara sa Windowsom. Reč je o projektima poznatim pod nazivima „AfterMidnight” i „Assassin”. U pitanju su slični programi koji imaju za cilj da se kroz njima poznate bezbednosne propuste, neopaženo infiltriraju u operativni sistem i otuda sakupljaju informacije.

S obzirom na to da je WannaCry napisan na osnovu koda ukradenog od NSA, i znajući koliko sličnog koda ima u vlasništvu CIA, što je nedavno objavio Vikiliks, s razlogom se možemo pribojavati da bi zlonamerni hakeri mogli doći u posed informacija koje bi im omogućile još opasnije napade od ovog.

Igor S. RUŽIĆ