2017 m. rugpjūčio 27 d.

Kibernetinės erdvės pažeidžiamumas

Nepaliaujamai progresuojančios technologijos, besiplečiantis centralizuotų kompiuterių tinklo paslaugų spektras ir jų įsigalėjimas, didėjantis prie interneto tinklo prijungtų prietaisų skaičius, stiprėjanti pavienių individų, o kartu ir organizacinių vienetų, produktyvumo ir konkurencingumo šiuolaikinėje ekonomikos rinkoje priklausomybė nuo informacinių technologijų harmoningo funkcionavimo formuoja itin pažeidžiamą naujos kartos informacinę visuomenę. Todėl šiandien kibernetinės erdvės sauga kaip niekada aktuali tema reikalaujanti išskirtinio dėmesio.

Šiame blogo įraše bandysiu apibendrinti paskutinio dešimtmečio kompiuterijos saugos įvykius, kurie tikiuosi padės išsklaidyti mintis apie saugius ir nenulaužiamus kompiuterių tinklus bei priminti, jog bet kuri organizacija turi jautrių duomenų kuriuos privalu atitinkamai apsaugoti.


Kiekvienais metais gausu pranešimų apie vieną už kitą didesnes duomenų vagystes, kurios neretai tampa viešomis naujienomis ne aukos noru pasigirti apie savo sukompromituotą kompiuterijos infrastruktūrą, o po įsilaužėlių duomenų paviešinimo nepavykus deryboms dėl išpirkos. Paskutinio dešimtmečio duomenų nutekėjimo mastas itin gerai matyti duomenų vagysčių vizualizacijoje: nuoroda. Kibernetinės saugos atžvilgiu 2017 metai ypatingi ir lietuviško kapitalo įmonei „Grožio Chirurgija“ iš kurios buvo pavogti itin jautrūs klientų duomenys (plačiau).

O kiek dar nežinomų duomenų vagysčių niekada neišlenda į dienos šviesą, kurių duomenimis prekiaujama vadinamojoje tamsiojoje interneto pusėje {darknet} pagal užsakymą? Ten pat egzistuoja, viešai nežinomų saugumo spragų {zero-day vulnerabilities} anoniminės prekyvietės programišiams, kuriose be pavienių saugumo spragų {zero-day exploits} galima įsigyti lengvai naudojamus įrankius, taikomosios programos pavidalu, jų rinkinius {hacking toolkit}. Su pastaraisiais bet koks IT žioplys gali pažeisti į saugumą neinvestuojančių organizacijų kompiuterių tinklus.

Sunku neprisiminti skandalingą Snowden istoriją, apie paviešintą JAV Nacionalinio Saugumo Agentūros (angl. National Security Agency, NSA) veiklą, kuri atskleidė iki tol neregėto pasaulinio masto sekimo operacijas ir neteisėtus veiksmus pasitelkiant įspūdingą kibernetinį arsenalą – viešai nežinomos saugumo spragos populiarioje programinėje ir aparatinėje įrangoje {zero-day vulnerabilities}, bei jų taikomieji įrankiai {toolkits}.

Centrinė NSA būstinė. Kiek primena Kaaba, abu objektai simbolizuoja dieviškumą, dieviškas galias.

Šiai dienai, 2017 metais, WikiLeaks pradėjus viešinti JAV Centrinės Žvalgybos Vadybos (angl. Central Intelligence Agency, CIA) konfidencialius dokumentus kodiniu pavadinimu „Vault 7“, kibernetinės saugos situacija atrodo dar prasčiau. Iš paviešintų dokumentų matyti, jog CIA vykdo NSA agentūrai analogišką kibernetinę veiklą (CIA yra pagrindinė, konkuruojanti su NSA, JAV žvalgybos agentūra).


Edward Snowden nutekintų dokumentų žinoma, jog vien Jungtinių Valstijų vadinamasis juodasis biudžetas 2013 metais buvo apie 52,6 mlrd. JAV dolerių (palyginimui, visas Lietuvos valstybės biudžetas tuo metu siekė 8,2 mlrd. JAV dolerių). Galima daryti tvirtą prielaidą, jog tokių mastų kibernetiniam arsenalui galimybės neribotos, ir greičiausiai nėra visiškai saugaus kompiuterių tinklo į kurį nesugebėtų įsilaužti didžiųjų valstybių remiamos programišių grupės.

Tai puikiai paliudija Stuxnet kompiuterinis virusas, pirmasis precendentas kibernetinėje karyboje tarp valstybių. Stuxnet buvo JAV ir Izraelio koordinuota kibernetinė ataka nukreipta prieš Irano branduolinę programą Natanz branduolinėje jėgainėje. Stuxnet sugebėjo patekti į nuo pasaulio fiziškai atskirtą (air gapped) kompiuterių tinklą ir per metus sudaužyti apie dešimtadalį urano sodrinimo centrifugų. Gana ilgą laiko tarpą Irano mokslininkai suko galvas kodėl staiga be jokių techninių gedimų ar pakitimų tai viena tai kita centrifugą pradėdavo pašėlusiai suktis ir garsiai ūžti kol subyrėdavo į metalo laužą. Turbūt dar ilgai nebūtų supratę, jei ne Stuxnet atakos koordinatorių klaida išplatinant naują viruso versiją. Atnaujinta agresyvesnė Stuxnet viruso versija turėjo sparčiau plisti ir patekti į reikiamus taikinius, tačiau perlenkus lazdą virusas numigravo už taikinių ribos ir atkreipė virusų tyrėjų dėmesį. Plačiau apie šią istorija arstechnica.com siūlo linksmą straipsnį: nuoroda.

Tie kurie domisi kibernetinės erdvės saugumo įvykiais – neturi iliuzijų apie visišką saugą tinkle. Tik pro-aktyvi ir itin paranojiška kibernetinės saugos praktika gali jei ne užkirsti kelią, tai bent sumažinti galimybę konfidencialių duomenų nutekėjimui. Kita tvertus, nevisos organizacijos užsitraukia JAV, Kinijos ar Rusijos žvalgybos nemalonę. Daugeliu atveju gera kibernetinės saugos praktika organizacijoje gali padėti apsisaugoti nuo pavienių individų ar mažesnių piktavalių grupių veikiančių internetuose.




Ne taip seniai atrasta viena svarbiausių saugumo spragų interneto amžiuje – net keletą metų viešai nepastebėta kritiška saugumo spraga slėpėsi itin plačiai naudojamoje tinklo paslaugų programinėje įrangoje – OpenSSL kriptografijos bibliotekoje (Heartbleed). Šis įvykis paskatino didžiąsias IT kompanijas po Linux Foundation organizacijos sparnu sukurti Core Infrastructure Initiative projektą, su misiją tikslingai remti nemokamos ir atvirosios programinė įrangos projektus, kurie nepakankamai finansuojami, bet vertinami kritiškai svarbiais tinklo paslaugų infrastruktūrai, bei kompiuterijos funkcionavimui apskritai.

Google kompanija nesustojo ties pastarojo projekto dosnaus rėmimo, bet ėmėsi ir savos iniciatyvos – jau kurį laiką brendusios idėjos įgyvendinimą – suburti programišių komandą, po Project Zero vardu. Jos visas laikas ir pastangos nukreiptos į plačiausiai naudojamos programinės įrangos tyrimą, viešai nežinomoms saugumo spragoms medžioti, o aptiktas klaidas, jų taisymo eigą, dokumentuoti viešai prieinamoje duomenų bazėje.
Abiem iniciatyvomis tikimasi ateityje užkirsti kelią Heartbleed tipo saugumo incidentams.

Atrastos saugumo spragos programinėje įrangoje pagal metus
Šaltinis: cvedetails.com

Saugos tyrimams įsibėgėjus, nuo 2014 m., svetainės cvedetails.com duomenimis, fiksuojami neženkliai didesni atrastų saugumo spragų skaičiai programinėje įrangoje. Tačiau per pirmuosius aštuonis 2017 metų mėnesius atrasta maždaug 150 procentų visų 2016 metais pastebėtų saugumo spragų. Jei tempai nesumažės 2017 metais jų bus atrasta daugiau nei du kartus nei 2016 metais. O kiek dar egzistuoja viešai nežinomų, bet atrastų ir savanaudiškais tikslais, dažniausiai piktavališkais, slepiamų saugumo spragų programinėje įrangoje?

Nors didžiosios IT kompanijos pradėjo aktyviau remti, o kartais ir pačios imasi iniciatyvos taisyti kibernetinio saugumo padėtį, būtų klaidinga ir naivu tikėtis visiškos, iš sąlyginai nedidelės tyrėjų grupelės, kompiuterijos saugos užtikrinimo. Apsauga reikia rūpintis ir patiems, kaip dauguma įtakingų kompiuterijos saugu ekspertų nuolatos pabrėžia, svarbiausias kompiuterijos apsaugos komponentas yra pats technologijų vartotojas – žmogus, jo tingumas, abejingumas gerai saugos praktikai ir neišmanymas, leidžia piktavaliams ir jų kenkėjiškoms programoms {malware} triumfuoti.

Auganti DDoS atakų grėsmė


Sparčiai didėjant tinklinių prietaisų skaičiui, didėja ir vadinamųjų DDoS atakų skaičius {distributed denial-of-service attack}, sparčiai didėja ne tik kiekybiškai, bei stabiliai auga ir jų kokybiniai mastai. DDoS – tai paskirstytosios DoS atakos versija, kurios metu iš daugybės sukompromituotų interneto tinklinių prietaisų {botnet} siunčiamas nepageidaujamas duomenų srautas į atakuojamą tinklo serverį ar jų sistemą, su tikslu padaryti tos sistemos tiekiamas tinklo paslaugas neprieinamas teisėtiems jos vartotojams {denial-of-service}. Jei bombarduojama sistema dėl ribotų kompiuterio sistemos ar jos tinklo išteklių nepajėgia aptarnauti visų užklausų, teisėtos vartotojų prieigą prie tinklo paslaugų labai sulėtėja arba tampa visiškai nepasiekiama sistemai neatlaikius krūvio ir nulūžus.

Visi prieš Amerika ir Amerika prieš save. NORSE realaus laiko DDoS atakų vizualizacija.

DDoS atakos per paskutinius 5 metus ypač suagresyvėjo, remiantis Arbor Networks 12th Worldwide Infrastructure Security Report ataskaitos duomenimis žymiai padaugėjo DDoS atakų skaičius, kurių duomenų srautas didesnis nei 100 Gbps: 2015 metais jų užregistruota 223, o 2016 metais jau 558 atakų. Dar įspūdingesnis DDoS atakų padidėjimas, kurių srautas didesnis už 200 Gbps: 2015 metais užfiksuota 16, o 2016 metais jau 87 atakos. Sparčiai auga ir DDoS atakų srauto kokybiniai parametrai: didžiausia 2016 metų ataka siekė 800 Gbps, o tai net 60 procentų daugiau nei 2015 metais (500 Gbps).

DDoS atakų srauto kokybinis augimas per paskutinį dešimtmetį
Šaltinis: Arbor Networks Worldwide Infrastructure Security Report

Kai kuriais šaltiniais, tie skaičiai 2016 metais buvo dar didesni, OVH kompanijos savininkas pranešė apie dvi rekordines DDoS atakas, kurių srautas siekė 1,1 Tbps ir 901 Gbps. Vieną DDoS ataką 2016 metų pabaigoje pajuto didelė dalis JAV rytinės pakrantės gyventojų. Dyn duomenimis maždaug 1,2 Tbps srautas nukreiptas į jų kritinius DNS sistemos serverius sugebėjo sutrikdyti visos JAV rytines pakrantes interneto veikla iki tol neregėtu mastu. Saugumo ekspertų teigimu, jei situacija nesikeis, 1 Tbps srauto DDoS atakos artimiausiais metais gali tapti normaliu reiškiniu.

Norint geriau suprasti kaip sunku išvesti iš rikiuotės DNS sistemą galima perskaityti mano ankstesnį blogo straipsnį, trumpai nužvelgianti jos veikimo principus: Domenų vardų sistema

Kenkėjiškų programų valdomieji tinklai


Šiai dienai tokias intensyvias DDoS atakas formuoja proliferuojantys tinkliniai prietaisai, priskiriami vadinamiesiems IoT {Internet of things}, kenkėjišku programiniu kodu paversti į piktavalių valdomus botus {bot}. Prieš IoT revoliuciją kenkėjiškų programų tinklus {botnets} formuodavo įprasti prie interneto prijungti kompiuteriai, kurių apsauga geresnė už IoT prietaisų, todėl ir piktavalių programišių pastangos buvo mažiau vaisingos. Dėl tinklinių prietaisų gamintojų aplaidumo ir abejingumo dauguma internetinių kamerų, išmaniųjų televizorių, skaitmeninių vaizdo rašytuvų, maršrutizatorių bei daug kitų prie interneto jungiamų prietaisų, pasižymi itin prasta apsauga ir tampa lengvu taikiniu. Deja tų prietaisų dažniausiai pataisyti negalima, todėl siūloma prie tinklo jungiamiems prietaisams pakeisti numatytuosius vartotojo vardus ir slaptažodžius, bei jų nejungti prie interneto tinklo jei tam nėra būtinybės.


Dar vienas, klasikinis kenkėjiškų programų tinklo {botnet} panaudojimas – brukalų {spam} siuntinėjimas. Tais atvejais kai kenkėjiška tinklo programa užsikrečia vienas ar daugiau įmonės kompiuterių, visas įmonės tinklas, jo išorinis IP adresas, rizikuoja atsidurti brukalų juoduosiuose sąrašuose {spam blacklist} ir sutrikdyti įmonės el. pašto serverio funkcionavimą. Galima nesunkiai įsivaizduoti, kiek netvarkos atsiras įmonės veikloje, jie jos el. laiškai nepasieks visų adresatų, kiek bus patirta žalos dėl elementarios tinklo paslaugos sutrikimo.

Išvados ir rekomendacijos


Žvelgiant į sparčiai didėjantį tinklo vartotojų skaičių, kompiuterijos saugumo pažeidimų mastą (kokybiškai ir kiekybiškai) per paskutinį dešimtmetį, o kartu augančią priklausomybę nuo informacinių technologijų, leidžia geriau suprasti kaip svarbu laikytis geros saugumo praktikos bet kurioje organizacijoje.

Net smulki ar vidutinė verslo organizacija gali turėti itin konfidencialių duomenų, padedančiu jai konkuruoti rinkoje. Daugumos organizacijų gerovė priklauso nuo stabilios interneto prieigos ir patikimai veikiančių jos tinklo paslaugų internete. Dėl to, tinkamas tinklo saugos įrengimas ir valdymas yra itin svarbus ir būtinas uždavinys kiekvienai save ir savo klientus gerbiančiai organizacijai.

Norint apsaugoti kompiuterių tinklo paslaugų sistemas ir jų vartotojus, būtina taikyti patikimas ir šiuolaikiškas kompiuterijos apsaugos priemones. Tačiau vienu svarbiausiu, esminiu kompiuterijos apsaugos sistemų komponentu išlieka kompiuterių tinklo užkarda – pirmoji gynybos linija tarp vidinio organizacijos kompiuterių tinklo ir interneto. Tinkamai suderinta užkardos sistema padeda užtikrinti stabilų ir patikimą ryšį, užkerta atvirą prieigą bei kitokią neapibrėžtą ir neleistiną veiklą tarp atskirų, bet tarpusavyje sąveikaujančių tinklų.

Pasigirsta kompiuterijos saugumo ekspertų nuomonių, jog kompiuterijos saugumo praktika paremta tinkamai suderinta tinklo užkardos sistema, kartu su programų baltaisiais sąrašais {whitelist} yra svarbesnė už antivirusinės programos naudojimą galutinių vartotojų kompiuteriuose, kadangi jos nebepajėgios susidoroti su naujausiomis kompiuterijos grėsmėmis. Iš tiesų, antivirusinės programos taip pat neverta pamiršti, ji padeda apsisaugoti nuo senų ir mažiau pažangių grėsmių. Teisinga sistemos apsauga yra sluoksniuota, po saugos sprendimą kiekviename sluoksnyje.

Suprantama, joks tinklo užkardos prietaisas negali tiesiogiai apsaugoti nuo 1 Tbps DDoS atakų. Tačiau tinklo užkardos priemonės gali padėti izoliuoti lengvai pažeidžiamus tinklo prietaisus, todėl būtina suprasti kaip svarbu naudoti tinklo užkardą visoms organizacijoms bei namų vartotojams, norint sumažinti DDoS atakų grėsmę ateityje. Viena vertus IoT kenkėjiškas duomenų srautas į eikvoja organizacijos išteklius – trikdo interneto prieigos ir vietinio tinklo pralaidumą. Antra vertus, jei IoT situacija nesikeis, neužilgo interneto paslaugų nepasiekiamumas gali tapti normaliu reiškiniu.

Visus kenkėjiškų programų valdomuosius tinklus {botnets} formuoja sukompromituoti interneto tinklo dalyviai. Šių nepageidaujamų programų nuotolinis valdymas ir plitimas kibernetinėje erdvėje paremtas kompiuterių tinklu. Todėl tinkamai suderinta tinklo užkardos sistema gali padėti sustabdyti kenkėjiškų programų plitimą ir jų tinklų {botnet} susidarymą, bei padėti laiku pastebėti įtartina veiklą kompiuterių tinkle ar atskleisti naujus, dar nežinomus kenkėjiškų programų tinklus.

XXI a. įsibėgėjus smulkusis ir vidutinis verslas vis dar pasyviai žiūri į kompiuterių tinklo apsaugą, nors jiems galioja tie patys kibernetiniai dėsniai kaip ir didžiosioms organizacijoms. Deja smulkiojo verslo kompiuterijos sauga arba neegzistuoja arba lengvai apeinama. Tik tinkamas dėmesys ir adekvačios investicijos į kompiuterijos saugą padeda apsaugoti organizacijos konkurencingumą, reputaciją ar išlikimą rinkoje apskritai. Kaip informacinės visuomenės istorija rodo, smulkus ir vidutinio dydžio verslas patyręs organizuotą kibernetinę ataką ir tinklo saugos pažeidimą, neretai baigia savo veiklą bankroto byla.

Daugiau informacijos apie kompiuterių tinklo užkardų taikymą organizacijos bei namu tinkle galima rasti mano ankstesniame straipsnyje: pfSense kompiuterių tinklo mazge

Komentarų nėra:

Rašyti komentarą