Dušan DINGARAC

1. oktobar 2021.

Današnji nivo razvoja tehnologije i visok stepen umreženosti daje nam zaista sjajno okruženje za zabavu i posao. Veb, društvene mreže, striming servisi, usluge u oblaku, pametni mobilni telefoni, IoT uređaji... Kako se tehnologije usavršavaju, trend je sve veća zavisnost od interneta, ne samo da bi neke usluge radile, već se polako i sav lični i poslovni sadržaj seli primarno na neke servere u mnogobrojnim data centrima širom razvijenog sveta, često bez informacija o tome gde je to, zapravo, fizički smešteno. Internet je sve brži, dostupniji i jeftiniji, a uređaji koje fizički posedujete polako postaju samo terminali koji vam omogućavaju da se priključite na željene servise.

To je, jednostavno, pravac razvoja, i kada sve funkcioniše, to je zaista sjajno, jer mogućnosti novih servisa i gedžeta postaju gotovo neograničene. A šta kada stvari pođu naopako? Ako zanemarimo prekid internet komunikacije, kao nešto što je privremeno, i zanemarimo problem privatnosti i ličnih podataka, i dalje ostaje mnogo toga što može da krene po zlu. Dobra stvar je to da se za prosečnog korisnika te stvari ne dešavaju često, ali dovoljno je jednom da se doživi neprijatnost. Da li je to virus u mobilnom telefonu koji vam napravi veliki telefonski račun ili ga obuzme tako da morate da ga vratite na fabrička podešavanja i izgubite vreme na vraćanje svih podataka i servisa? Da li je to gubitak naloga na nekoj društvenoj mreži, tako što vam je neko ukrao nalog i ne možete da ga povratite iz bilo kog razloga ili vam je nalog ukinut iz nekog razloga i sav vaš dotadašnji virtuelni svet na tog društvenoj mreži više ne postoji? Da li je to gubitak podataka za koje nemate kopije i bekape, pa se osećate kao pokradeni ili vam posao strada toliko da ga morate zatvoriti?

Ima još mnogo scenarija koji se mogu dogoditi pa da stvari krenu po zlu, a scenaristi su uvek neki ljudi. Ljudi koji su nemarno radili svoj posao, ljudi koji su pisali scenarije koje je lako pretvoriti u negativne, jer su razmišljali samo o zaradi. Ljudi koji nisu ništa loše radili, ali je brzi razvoj tehnologije i njena složenost proizvela to da su njihovi proizvodi ranjivi. I, naravno, ljudi sa one druge strane, tamne strane, koji žele da zarade koristeći propuste koje su ljudi sa svetle strane napravili.

Već vekovima ljudi sa te druge strane koriste propuste ljudskog napretka i ljudske psihologije. Sa današnjim stepenom upletenosti novih tehnologija, nemili događaji, a i otkrića propusta u raznim sistemima, veoma su učestali. Mi bismo svakog meseca mogli da posvetimo celu rubriku tim događajima. To bi bila prava crna hronika. Cilj „Sveta kompjutera” je da populariše nove tehnologije, pa, svakako, ovakvu crnu hroniku nećemo uvesti. Ali, naša dužnost ostaje da upozorimo ljude da ih opasnosti, ipak, vrebaju. Pročitajte kako bi ta hronika mogla da izgleda samo sa događajima u proteklih mesec dana.

Hronika

Microsoft je krajem avgusta obavestio hiljade svojih klijenata da su njihove baze podataka u Azure Cosmos DB servisu, centralnoj bazi na Azure oblaku, podložne napadu. Potencijalni provalnici mogu da čitaju, menjaju i čak obrišu podatke iz ovih baza podataka. Istraživačka kompanija Wiz otkrila je problem sa ključevima za pristup bazi i bila je u mogućnosti da pristupi bazi bilo kog klijenta koji koristi ovu najkorišćeniju bazu u Azureu (i.sk.rs/358174). Microsoft je odmah obavestio korisnike podložne ovom problemu da generišu nove ključeve, ali preporuka je da to urade svi korisnici ovog servisa. Problem je bio u Jupyter Notebook sistemu za vizuelizaciju, koji je godinama prisutan, ali je od februara aktivan i onim korisnicima koji ga nisu posebno aktivirali.

Fortinet je jedan od navećih proizvođača mrežnih uređaja sa naglaskom na firewall uređaje. Na jednom forumu objavljene su lozinke za SSL VPN pristup FortiGateovim uređajima sa preko 87 hiljada uređaja. U pitanju je pola miliona korisničkih naloga koji su dobijeni korišćenjem propusta pod brojem CVE-2018-13379. To znači da je otkriven još 2018. godine. Fortinet je počeo da ga rešava u maju 2019. godine i zaokružio rešenje u novembru iste godine. Više puta je apelovao na korisnike da instaliraju zakrpe. Svi sistemi noviji od 5.4.12, 5.6.7 i 6.0.4 su bezbedni, ali ako je šifra ukradena, a nije resetovana, pristup tom sistemu je i dalje moguć. Spisak samih IP adresa rutera koji su podložni ovom problemu, bar prema objavljenom na forumu, izvađen je u poseban fajl i dostupan je na adresi i.sk.rs/358175. Dakle, ništa neobično, sva odgovornost je na korisnicima. Ili bar tako izgleda, jer ako je korisniku istekla pretplata na podršku proizvođača, „malo teže” će moći da instalira novu verziju softvera na svoj uređaj. Danas firewall uređaji, sam hardver, postaju ulaznica za razne pretplate i cloud security, pa ako želite zaštitu, morate redovno da plaćate za nju.

Milioni kućnih rutera od dvadeset proizvođača i ISP-ova podložni su napadu zaobilaženja autentifikacije (CVE-2021-20090). Ovaj propust je počeo da se koristi da bi se u rutere ubacila varijanta Mirai botneta koji se koristi za DDOS napade. Zajedničko svim ovim uređajima je to da koriste isti firmware, delo firme Arcadyan. Na spisku su uređaji sledećih brendova: ADB, Arcadyan, ASMAX, ASUS, Beeline, British Telecom, Buffalo, Deutsche Telekom, HughesNet, KPN, O2, Orange, Skinny, SparkNZ, Telecom (Argentina), TelMex, Telstra, Telus, Verizon i Vodafone. Ako neko zaista formira DDOS mrežu od ovakvih uređaja, biće je teško onemogućiti.

Pomenućemo ponovo Fortinet, koji je kritikovao istraživačku kompaniju Rapid7 zato što nije sačekala devedeset dana od trenutka kada je obavestila Fortinet o jednom propustu na njihovim uređajima, već je podatke o propustu javno objavila.

Microsoft Exchange serveri su pod novim napadima. Nakon ProxyLogon propusta, o kome smo pisali (i.sk.rs/358176), sada je aktuelan novi propust (CVE-2021-27065). Procenjuje se da je bar trideset hiljada servera podložno ovom propustu koji omogućava izvršavanje kôda na napadnutom serveru.

Istraživači su otkrili četrdeset bezbednosnih propusta u STARTTLS protokolu za enkripciju saobraćaja između e-mail klijenata i servera. Propusti omogućavaju man in the middle napad i ubacivanje komande, tako da mogu da se ukradu akreditivi, izmeni sadržaj poruka... Skeniranjem na internetu pronađeno je više od 320 hiljada servera podložih ovim problemima. Naravno, ti serveri komuniciraju sa desetinama miliona klijenata...

Exchange autodiscover protokol, koji Outlook koristi prilikom inicijalizacije prvog naloga nakon instalacije, može u određenim okolnostima da dovede do kompromitovanja akreditiva.

Firma Blackberry i dalje postoji, mada ne radi više sa pametnim telefonima. Njen proizvod, QNX, real-time operativni sistem koji se nalazi u medicinskim uređajima, fabrikama, automobilima pa čak i na Međunarodnoj svemirskoj stanici, podložan je BadAlloc propustu (CVE-2021-22156). QNX se nalazi na preko dvesta miliona automobila. Napadač može da onesposobi funkcionisanje uređaja ili čak da izvrši proizvoljni kôd na uređaju.

Realtek je upozorio na propust u tri svoja paketa za razvoj softvera za WiFi module, koji su ugrađeni u blizu dvesta miliona IoT uređaja 65 proizvođača. Napadač koji iskoristi ove propuste može kompletno da kompromituje uređaje i izvrši željeni kôd na njima.

Propust u milionima IoT uređaja (CVE-2021-28372) koji se bave snimanjem videa može dovesti do toga da napadač može da gleda i sluša ono što digitalne bezbednosne kamere snimaju. Na spisku su i razni baby monitori i digitalni video snimači. Problem je u Kalay protokolu koji mora da se apdejtuje bar na verziju 3.1.10, a prema nekim procenama preko 83 miliona uređaja koristi ovaj protokol.

Dve godine nakon pokretanja Mozi IoT botnet mreže, kineske vlasti uhapsile su odgovorne. Ova mreža koja radi na P2P principu inficirala je milion i po uređaja.

Istraživači su pronašli malver sakriven u Windows podsistemu za Linux (WSL). T-mobile se izvinio za curenje 48 miliona brojeva socijalnog osiguranja građana SAD i najavio bolje mere zaštite u budućnosti uz pomoć kompanije Mandiant.

Otkriveno je kako hakeri mogu da koriste aplikacije za mirorovanje tekst poruka da bi videli sve vaše SMS poruke i time premostili dvofaktorsku autentifikaciju.

Kineski špijunski alat koristi bezbednosne propuste na 58 popularnih veb-sajtova. Yandex je petog septembra doživeo vrhunac DDOS napada, sa čak 22 miliona zahteva u sekundi, što je najjači napad zabeležen u istoriji interneta. Ima indicija da je to bilo sve u sklopu raznih dešavanja na internetu povodom parlamentarnih izbora u Rusiji. Mesec dana ranije, Cloudfare je prijavio najveći DDOS napad sa 17,2 miliona zahteva u sekundi.

HolesWarm malware napada nezakrpljene Windows i Linux servere, pretvarajući ih u kopače kriptovalute Monero. Zaraženo je preko hiljadu servera, a sam botnet ima preko dvadeset načina za proboj u sisteme.

Nedavno je otkriven talas napada na Wordpress sajtove koji pokušava da iskoristi nebezbednost sistema i slabe lozinke za administratorski nalog. Ako uspe, napadač instalira backdoor plug-in i na kraju koristi napadnuti server za rudarenje kriptovaluta.

WMware je upozorio na bag u vCenter serveru koji omogućava ransomware napade.

O ransomware napadima nećemo ovom prilikom, iako njih ima najviše. Jednostavno, nemamo dovoljno prostora u ovom tekstu. A o svakom od navedenih slučajeva može se mirne duše napisati poseban tekst.

Život sa saznanjem

Kada se ovako, na jednom mestu, pročita samo istaknuti deo mesečne crne IT hronike, čovek može ozbiljno da se zabrine. Svako od nas koristi bar neki proizvod koji je pomenut. Teško je sa današnjom upotrebom računara, mobilnih telefona, pametnih gedžeta, automobila, kućnih uređaja i IoT uređaja izbeći silne bezbednosne pretnje.

Nedavni izveštaj GFI Software govori da sve veći broj napada tera proizvođače softvera da sve češće objavljuju zakrpe. I to više nije akcenat samo na Microsoft, kao što je nekada bilo, već su sada tu Google, Linux i Apple. Evo dela izveštaja za prethodnu godinu, u kojoj je broj zakrpa porastao za šest odsto u odnosu na 2019. godinu:

Najosetljiviji desktop operativni sistemi u 2020. bili su Windows 10 (807 ranjivosti), Windows Server 2016 (794) i Windows Server 2019 (743), a zatim sledi Debian Linux (533). Windows 7, čija je podrška od strane Microsofta prestala prošle godine, registrovao je 388 i Apple Mac OS X 298 ranjivosti.

-Za mobilne operativne sisteme, 807 ranjivosti je pronađeno na Google Androidu, koji je, inače, bio najviše nadgledani softver, dok je iPhone OS imao 304.

Među aplikacijama, najugroženiji je GitLab, veb-bazirani softver (237 ranjivosti), zatim veb-pregledači Google Chrome (228), Mozilla Firefox (141) i Apple Safari (76). Microsoft Office je prošle godine registrovao 71 ranjivost.

-Prvih pet proizvođača softvera s najvećim ukupnim ranjivostima su Microsoft, Google, Oracle, Debian i Apple (tim redosledom). Ranije zloglasne Adobe aplikacije prošle godine su doživele dramatičan pad ranjivosti, pa proizvođač nije ni među 30 najugroženijih prodavaca.

Kako reagovati na sve ove vesti? Ako ih shvatite previse ozbiljno, verovatno se nećete osećati lagodno i na kraju to sve može da vodi ka nekoj vrsi paranoje. No, da se od svega odbranite što postoji u divljini interneta u kome živimo, nije moguće. Jednostavno, treba biti svestan rizika, treba preduzimati razumne korake da biste se zaštitili (softver za zaštitu, apdejti, pretplate na apdejte, zamene uređaja novima koji imaju podršku...). Sve je to cena napretka, a kome se ne sviđa, uvek može da ode u planinu da čuva ovce i da se mane svih novotarija modernog sveta.