5.6.17

Teorije o WannaCrypt napadu

Nakon nepunih mjesec dana od pojave malicioznog programa WannaCrypt došlo je vrijeme za rezimiranje viđenoga.

WannaCrypt nije bio pucanj iz praznog pištolja, mnoge tvrtke su ga osjetile na vlastitoj koži. Uzmimo u obzir i da su informatičari u brojnim tvrtkama potrošili najmanje vikend za krpanje Windows zakrpi na svojim računalima, tako da su troškovi savjesnim organizacijama ipak bili podnošljivi. U prošlom zapisu sam najavio da je onaj udarni vikend bio tek prvo poluvrijeme a većina nas se pribojavala ponedjeljka i onog što slijedi nakon tog ponedjeljka.

Ipak, događaji koji su uslijedili su, srećom, demantirali pesimiste među nama. Ključnu ulogu je odigralo ne toliko hitno krpanje sustava koliko misteriozno ugrađen “kill switch” u programskom kodu WannaCrypt-a koji je spriječio njegovo širenje. Strah i iščekivanje su nakon toga zamijenile teorije o porijeklu WannaCrypt-a i stvarnim motivima njegovih autora.

Je li se zaista radilo o amaterski i brzopleto napisanom programu koji je propustio predvidjeti vlastiti bug? Je li moguće da tako kataklizmičan program zarađuje tek 130.000 USD u nepunih mjesec dana (iznos na dan pisanja ovog teksta).

Vjerujem da ste čuli teorije o sjeverno-korejskom porijeklu, no meni je zanimljiva i teorija koju je iznio Joseph Carson, stručnjak iz tvrtke Thycotic. On smatra da je WannaCrypt zapravo manipulacija vrijednošću valute Bitcoin koja rezultira nečime što najbliže možemo usporediti s insiderskom trgovinom. Naime, prema postojećim ekonomskim teorijama, vrijednost Bitcoina se povećava proporcionalno s kvadratom broja korisnika, slijedeći zakonitosti koje općenito vrijede za telekomunikacijske mreže.

Što se dogodilo? Pojavom WannaCrypt-a, porastao je  broj osoba koje se otvorili vlastiti digitalni novčanik, što je rezultiralo i porastom vrijednosti Bitcoin-a (tečaj Bitcoina je 1.5.2017. iznosio 1.379 USD,  a nakon manjih fluktuacija oko 12.5.2017. (dana pojave WannyCrypt-a), na dan 20.5.2017. tečaj je iznosio 2.158 USD).  Prema iznesenom scenariju, kriminalci su se prethodno opskrbili dovoljnom količinom Bitcoina koju su prodavali u tjednu nakon njegove pojave, kreirajući tipičnu “pump and dump” shemu.

No, ovo nije jedina veza između ranjivosti EthernalBlue i kripto valuta. Desetak dana prije WannaCrypt-a pojavio se malware koji iskorištava iste NSA ranjivosti (EthernalBlue/DoublePulsar) da bi instalirao softver Adylkuzz koji na računalu korisnika prikriveno rudari kriptovalutu Monero. Dakle, ovaj malware nije destruktivan kao WannaCrypt, a za napadače ostvaruje jednako značajnu dobit. Dapače, tamo gdje se pojavio napravio je promjene na sustavu i spriječio prodor WannaCrypta. Gledajući sa strane korisnika to je bio možda i dobar deal: dajete nešto performansi i procesorskog vremena napadačima a zauzvrat ste zaštićeni od WannyCrypta.

Očigledno, ovi događaji reflektiraju promjene u razmišljanju cyber-kriminalaca i ponovo nas uče da treba očekivati neočekivano, a pravo pitanje zapravo ostaje zbog čega je EthernalBlue ranjivost ostala prikrivena nekoliko godina?

14.5.17

WanaCrypt: je li ovo tek prvo poluvrijeme?

Ovaj tekst pišem u nedjelju poslijepodne, dva dana nakon globalne pojave jednog od najagresivnijih malicioznih programa u posljednih godinu/dvije. Premijera je bila u petak, pa epidemija malicioznog programa WanaCrypt nije još stigla zahvatiti većinu naših tvrtki i organizacija. Erupcija bi se mogla očekivati sutra, kada se u jutarnjim satima budu uključila računala. Ipak, vikend je, izgleda, imao spasonosno djelovanje, zahvaljujući zagonetnoj funkciji koja je pronađena u kodu malicioznog programa WanaCrypt.

Naime, timovi koji su analizirali tijek instrukcija ovog programa utvrdili su da ovaj program iz nekog, za sada nepotvrđenog, razloga pokušava dohvatiti URL fabriciranog sadržaja iza kojeg ne stoji realni poslužitelj. Postoji nekoliko objašnjenja za ovakvo ponašanje - o njima pišem u nastavku, no za slijed događaja je važno reći da je ovo svojstvo iskorišteno za obuzdavanje djelovanja programa WanaCrypt. Naime, ukoliko se pokaže da program ne može dohvatiti fabriciranu domenu onda nastavlja posao do kraja i preuzima zaraženo računalo. Ukoliko bi, kojim slučajem, pokušaj dohvata fabricirane domene bio uspješan onda program prekida akciju. Znači, ako bi dakle fabricirana domena zaista postojala - što inače nije intencija autora, onda bi to obustavilo djelovanje programa WanaCrypt. To je i napravljeno - tvrtka MalwareTech je registrirala domenu prilično kriptičnog naziva i invazija je obustavljena. Barem za sada.

Ostaje pitanje kako to da program WanaCrypt koristi ovu naizgled naivnu funkciju koja značajno ograničava njegovo djelovanje? Zasigurno se ne radi se o propustu no motivi su, izgleda, dvojaki. Prema jednoj teoriji, napadači se poigravaju s nama te su nam ostavili dostupan "kill switch" koji će nas zaštiti ali kojima će nam dati do znanja da oni drže stvar pod kontrolom. Prema drugoj teoriji, ovakva reakcija je rezultat kontrole u programskom kodu koja ima funkciju prepoznavanja okruženja forenzičke analiza malicioznih programa. Ova kontrola nije nova, pojavljivala se i u nekim drugim slučajevima.

No bilo kako bilo, za očekivati je pojavu podvarijanti malicioznog programa WanaCrypt koje će isključiti ovakvu kontrolu ili koji će URL ime generirati primjenom generatora slučajnih vrijednosti. U svakom slučaju, nemojte se zavarati trenutnim zatišjem. Primijenite popravke koji su opisani u MS17-010 (https://technet.microsoft.com/en-us/library/security/ms17-010.aspx), ali i inače održite ažurnu razinu patcheva operativnog sustava. Razmotrite i ukidanje protokola SMBv1, uglavnom nije neophodan (pogledajte https://support.microsoft.com/en-us/help/2696547).

Korisnici sustava QualysGuard mogu provjeriti zdravlje sustava modulom ThreatPROTECT ili provjerom prisutnosti ranjivosti QID 91345, QID 1029, QID 91360 i QID 70077. Napominjemo da se provjere ranjivosti QID 91345, 1029 i 91360 mogu provesti samo autenticiranim skenom ili korištenjem QualysGuard agenata. QID 70077 omogućuje detekciju "backdoor" programa DOUBLEPULSAR koja se koristi u scenariju WanaCrypt a koji nam takođe dolazi u istoj pošiljci iz NSA.

Kada se stvari oko ovog napada budu slegle onda će biti vremena za neke konačne zaključke, no dobro su mi je poznata raširena percepcija da nije nužno pre-ažurno primjenjivati programske popravke jer naše tvrtke "nisu zanimljive napadačima", naročito ne onima koji koriste napade iz NSA aresenala. Ovaj slučaj je možda trenutak otrežnjenja. Naročito ako ponedjeljak bude jače "stormy" nego obično.

6.11.15

Upravljanje ranjivostima u vremenima ciljanih prijetnji

U ponedjeljak, 2.11.2015. održao sam prezentaciju na redovitom mjesečnom sastanku hrvatskog ogranka organizacije ISACA.

Tema prezentacije je bila upravljanje računalnim ranjivostima u vremenima sve opasnijih ciljanih prijetnji ("targeted threats")


26.10.15

Sudjelovanje u emisiji Hrvatskog radija

U subotu, 24.10.2015. sudjelovao sam u emisiji Hrvatskog radija na temu kriminala i ratovanja u cyber prostoru. U emisiji je sudjelovao i Božo Kovačević, a emisiju je vodio Željko Ivanković.

U nastavku se nalazi link na kojem možete poslušati ovu emisiju.

17.10.15

Agenti u akciji

QualysGuard, "cloud" servis za upravljanje računalnim ranjivostima, nedavno je uveo u rad agente za prikupljanje podataka o računalnim ranjivostima. Ova inovacija predstavlja promjenu paradigme pregleda računalnih ranjivosti. Uobičajeno je da se podaci o računalnim ranjivostima prikupljaju tehnikom mrežnog skeniranja, no agenti će omogućiti znatno dublji pogled u stanje računalnih ranjivosti.

18.6.15

Top 30 ranjivosti u ciljanim napadima

Američki CERT je objavio upozorenje koje sadrži popis 30 najčešćih ranjivosti korištenih u ciljanim napadima. Upozorenje je sastavljeno na temelju sudjelovanja stručnjaka US-CERT-a u brojnim istragama nakon pojave ciljanih napada, pa tako možemo biti sigurni da je ovaj popis rezultat neposrednog iskustva.

10.4.15

Sudjelovanje na konferenciji DataFocus 2015

Prošli tjedan sam sudjelovao na međunarodnoj konferenciji DataFocus 2015, koja se već četvrtu godinu održava u Zagrebu. Tema konferencije je digitalna forenzika, odnosno digitalni dokazi koji predstavljaju jednu od suštinskih komponenti digitalne forenzike. Na konferenciji je sudjelovalo oko 250 polaznika. I ove godine, kao i u prethodni dvije, održao sam prezentaciju iz područja digitalne forenzike. Tema ovogodišnje prezentacije je bila digitalna forenzika i "cloud computing".