25.2.18

Izvješće o stanju računalnih ranjivosti

Tvrtka Risk Based Security je prije prije desetak dana objavila zanimljivo istraživanje o stanju računalnih ranjivosti u 2017. godini. Spomenuta tvrtka održava bazu podataka o računalnim ranjivostima VulnDB (komercijalna verzija nekad slobodno dostupne OSVDB baze podataka o računalnim ranjivostima). Preporučujemo pročitati izvješće, a ovdje ću izdvojiti nekoliko indikativnih podataka o još uvijek podcijenjenoj komponenti informacijskih rizika.

  • Prvi podatak - u 2017. godini je formalno evidentirano 20.832 ranjivosti, što je porast od 31% u odnosu na 2016. godinu - čak i ne smatram ključnim. Na taj broj su mogli utjecati i neki drugi faktori osim pada kvalitete softverskih proizvoda - od unaprjeđenja prakse traganja za računalnim ranjivostima, proširenja platformi obuhvaćene istraživanjem ranjivosti, promjena prakse prijave ranjivosti... Zanimljive su, zapravo, druge informacije o svojstvima samih ranjivosti.
  • Što se tiče ocjena ranjivosti prema CVSSv2 standardu ocjenjivanja, zadržana je raspodjela koja je zacrtana i u ranijim godinama: oko 40% ranjivosti ima CVSS ocjene 7 ili više, a gotovo 20% ocjene 9 ili 10 (točnije, 17,2% u 2017.).
  • Analizirajući podatke o scenarijima iskorištavanja ("exploit"),  izvješće pokazuje da za 39,5% ranjivosti postoje "exploit" scenariji, a za 6.569 ranjivosti postoje javno objavljeni "exploit" scenariji. Preostali scenariji su prisutni u komercijalnim paketima ili za njih postoji dovoljna količina informacija za uspješno iskorištavanje u praksi. Za širu sliku, treba uzeti u obzir da se u svakoj tekućoj godini pojavljuju "exploit" scenariji za ranjivosti iz prethodnih godina koji nisu obuhvaćeni ovim brojkama.
  • Osobito je zanimljiv podatak o vektoru iskorištavanja određenog "exploit-a", tj. točke s koje napadač pokreće scenarij napada. Gotovo pola utvrđenih ranjivosti (točnije 49,9%) može biti pokrenuto s udaljenih lokacija odnosno preko mreže, što se smatra najkritičnijim vektorom napada. Ako ovom broju pribrojimo oko 7.000 ranjivosti čije iskorištavanje ovisi o lokalnom kontekstu, dolazimo do preko 17.000 ranjivosti koji se sasvim sigurno ili prilično izvjesno mogu iskoristiti mrežnim putem, što za napadača predstavlja ležerniju i poticajniju priliku za ostvarivanje ciljeva.
  • Za 23,2% ranjivosti iz 2017. godine nije bilo odgovarajućih popravaka (programskih zakrpi ili softverskih nadogradnji). Ako uzmemo u obzir uobičajeno neučinkovit proces primjene ovih popravaka onda možemo zaključiti da značajni opseg resursa ostaje ranjiv.
  • Nedovoljna, neispravna ili čak nepostojeća kontrola aplikativnih ulaznih vrijednosti  predstavlja uzrok za 66,7% ranjivosti. Ova činjenica govori o nekvalitetno provedenom procesu razvoja i testiranja aplikacija i potvrđuje nam da je upravo ovo područje ključ za ograničavanje računalnih ranjivosti.
  • Sigurnosni softver sudjeluje s gotovo 1000 ranjivosti u ukupnom broju ranjivosti u 2017. godini, a dodatnu ozbiljnost ovoj činjenici daje i podatak da je proizvođačima trebalo prosječno 195 dana za otklanjanje ovih nedostataka.
  • Među zanimljivim podacima iz prošlogodišnjeg izvješća možemo istaknuti one o ranjivostima u SCADA sustavima i programima vezanim za kriptovalute. U SCADA sustavima (računalnim sustavima kojima se kontrolira kritična infrastruktura - od nadzora industrijske infrastrukture, proizvodnje i distribucije energetskih resursa pa do upravljanja industrijskim procesima) izbrojeno je 692 ranjivosti - broj koji izgleda nizak u odnosu na ukupan broj ranjivosti ali nikako nije zanemariv s  obzirom na značaj ili s obzirom da je dvije trećine nalaza visoke kritičnosti (CVSSv2 ocjena 7 ili više). Što se tiče kriptovaluta, imamo, za sada,  simbolički broj od 60 ranjivosti no koji ukazuje na prisutnost slabih točaka u ovoj tehnologiji koja je u 2017. doživjela značajnu afirmaciju.
Pored indikatora opisanih u dokumentu, moramo biti svjesni i činjenice da smo u 2017. godini imali eskalaciju ranjivosti koja je bila poznata godinama ranije ali koja nije bila javno objavljena niti obuhvaćena VulnDB, OSVDB ili NVD/CVE bazom podataka i to iz jednostavnog razloga što podaci o ovim ranjivostima nisu bili objavljeni. Možemo biti sigurni da i danas postoji negdje arsenal takvih ranjivosti.


Ipak, zaključit ću u pozitivnom tonu: računalne ranjivosti su izuzetno značajna komponenta ukupnih informacijskih rizika, no, srećom, jedina kojom možemo koliko-toliko upravljati. 

20.1.18

Prognoza za Hrvatsku: Cybersecurity u području niskog tlaka

"Allianz Risk Barometer 2018" je naziv publikacije koju Allianz objavljuje niz godina (možete je preuzeti ovdje), a sadrži procjene specifičnih rizika prisutnih u svjetskom gospodarstvu. Publikacija je rezultat anketa koje su obuhvatile 1911 stručnjaka na području upravljanja rizicima iz 80 zemalja, a odgovori su obrađeni posebnom metodologijom. Ukratko, publikacija donosi popis 10 glavnih rizika koji su identificirani ovom anketom, pri čemu su rizici rangirani sukladno procijenjenom značaju. Pored glavnog popisa koji se odnosi na svjetsko gospodarstvo u cjelini, publikacija donosi rezultate po pojedinim regijama i za uzorak država, te za glavne gospodarske grane.

Glavni rezultati nisu iznenađujući. Na globalnoj razini, kao i vodećim svjetskim gospodarstvima, glavnim rizikom je identificiran "Business interruption", a odmah iza njega slijedi rizik "Cyber incidents" (u nastavku vidimo prvih 5 rizika)





"Business interruption" obuhvaća sve posljedice uslijed prekida poslovnog procesa koji dolaze od djelovanja iz njegovog vanjskog okruženja -  cyber incidenti, tehnički prekidi, požari, prirodne katastrofe,  požara, prekidi rada dobavljača...

"Cyber incidents" rizik, pozicioniran na drugo mjesto, obuhvaća sve direktne posljedice djelovanja cyber prijetnji na poslovanje - krađe informacije, ugrožavanje reputacije, operativne posljedice. Treba naglasiti da djelovanje cyber prijetnji čini i komponentu prvo-pozicioniranog rizika i to kroz rizik izazivanja prekida poslovnog procesa.

Gledajući popise po pojedinim razvijenim gospodarstvima, rizici "Business interruption" i "Cyber incidents" po pojedinim državama drže prva dva mjesta (rotirajući ove pozicije), pa možemo definitivno zaključiti da su cyber prijetnje izrazito prepoznate kao značajan rizik svjetskog gospodarstva. 

No sad dolazimo na zanimljiviju točku ovog istraživanja. Publikacija sadrži popise rizika po državama. U europskom dijelu istraživanja obuhvaćeno je 10 EU država (uključujući Hrvatsku) te Švicarska.

Pogledajte popis 10 najvažnijih rizika u Hrvatskoj - "Cyber incidents" je percipiran tek kao umjeren rizik i nalazi se na šestom mjestu ovog popisa:




Najprisutnijim rizikom za Hrvatsku predviđa se utjecaj zakonodavnih i regulatornih promjena, promjena državne administracije i sličnih sustavnih događaja (pretpostavljam da nećemo biti toliko pogođeni Brexitom).

Ako pogledamo druge članice Europske unije s ovog popisa, u većini ovih država imamo isti uzorak kao i na globalnoj razini. Rizik "Business interruption" i "Cyber incidents" zauzimaju prva dva mjesta (uz uglavnom neznatnu razliku u visini procjene), no meni su zanimljivija odstupanja od ovog uzorka: u Grčkoj se "Cyber incidents" ne nalazi uopće na Top 10 popisu, a u Španjolskoj dijeli tek četvrto i peto mjesto (istina, procjena iznosi 32% što je znatno više od 20% za Hrvatsku). Podsjeća li vas ovo na razdoblje ekonomske krize iz proteklih desetak godina? Nažalost, Allianzovo istraživanje ne obuhvaća druge tranzicijske EU države s kojima bismo se mogli usporediti, no ipak se upitajmo možemo li izvući neke zaključke iz rezultata ovog istraživanja?

Prije nego što pokušam dati odgovor, želio bih naglasiti da je ovakva procjena rizika za Hrvatsku prilično realna. Govorim iz vlastitog iskustva i smatram da se među velikim dijelom gospodarstvenika cyber prijetnje ne percipiraju kao realna i prisutna opasnost. Je li baš realnija prijetnja prirodnih katastrofa od cyber napada kako nam sugerira gornja tablica - to je za diskusiju, no to ne utječe značajno na Allianzov popis.

Prema rezultatima ovog istraživanja možemo zaključiti da je visina cyber rizika direktno proporcionalna stupnjem razvoja i snagom gospodarstva. U slabije razvijenim gospodarstvima kakva je Hrvatska (a, složiti ćete se, i Grčka) manje je vrijednosti izloženo cyber prijetnjama i manje se može izgubiti. No, ne radi se samo ograničenoj snagi gospodarstva. Možemo govoriti i o (ne)disciplini korporativnog upravljanja, izostanku poslovne odgovornosti i ukupno problematičnoj gospodarskoj klimi. U situaciji kada tržišni mehanizmi nisu presudni kriterij poslovnog uspjeha i kad značajan dio gospodarstva još uvijek čine politički upravljani te politici podložni sustavi, za naš management zaista veća prijetnja dolazi od nekontrolirane promjene sustava u kojem se pokušava poslovati nego od cyber prijetnji.

Nemojte me krivo shvatiti: ovime nikako ne obezvrjeđujem napore koje moje kolege, uključujući i mene, provodimo na osvješćivanju glavnih dionika na tržištu i u promociji mjera informacijske sigurnosti, niti pokušavam defetistički zaključiti da radimo nepotreban posao. Radi se ipak o poremećaju percepcije rizika, na koji svi možemo utjecati.

Moj prijedlog za unaprjeđenje stupnja osviještenosti o cyber rizicima: mislim da treba pojačati napore na dijeljenu informacija o cyber prijetnjama i unaprijediti mjere aktivnog praćenja pojave prijetnji. Nekako tradicionalno, mi nismo skloni dugoročno sagledavati niti rizike ali niti doprinose bilo kakvih procesa pa tako ni poslovnih, no iščekivane promjene gospodarskog okruženja moraju unaprijediti percepciju i cyber rizika.

Zaključujem u meteorološkom žargonu iz naslova ovog teksta. Područje niskog tlaka u kojem su danas nalaze cyber rizici stvaraju uvjete za skoro pogoršanje vremena. Možemo predvidjeti da će se i kod nas pojaviti prvi epohalni cyber incidenti kakvi su u 2017. na globalnoj razini bili, npr. krađe podataka u Equifaxu i Uberu. Za prve žrtve će biti prekasno, no na Allianzovom barometru će cyber rizici preći u područje visokog tlaka. To neće značiti nužno bezbrižan vremenski ugođaj, ali bi mogao biti pokazatelj da se cyber rizicima zna i želi upravljati.

31.12.17

Bauk GDPR-a kruži Europom (a i šire)

Gledajući na događanja u informacijskoj sigurnosti s aspekta tematike ovog bloga, onda možemo reći da je uvođenje GDPR obilježio 2017. godinu u Hrvatskoj. Barem u zadnjih 4-5 mjeseci jer smo uvođenje GDPR još početkom godine vidjeli kao jednu veoma daleku obavezu koja se, k tomu, možda nas i ne tiče.

Pretpostavljam da se niste mogli oduprijeti stalnom podsjećanju na drastične novčane kazne kojim GDPR prijeti, niti pozivima na brojne seminare i konferencije na ovu temu, a nadam se da je to ostavilo pozitivan trag na vaš stav o GDPR-u. Ja ću se na ovim stranicama baviti GDPR-om iz druge vizure: primarno ću govoriti o ulozi CISO  u provedbi zahtjeva GDPR-a.    Iznijeti ću razmišljanja koje učestalo dijelim s kolegama, kao i pitanja/odgovore iz konzultantskih projekata o uvođenju GDPR u kojima sudjelujem. Napominjem da pod pojmom CISO, u ovim tekstovima, obuhvaćam ne samo osobe formalno nadležne za sigurnost informacijskog sustava već sve informatičke stručnjake uključene u sigurnosne procese.

Je li primjena GDPR zahtjeva uopće dio odgovornosti CISO funkcije?

Primjena GDPR-a je primarno odgovornost poslovnih funkcija i pravne službe, iako značajna uloga mora biti dodijeljena i informatičkim službama a posebno osoba nadležnim za informacijsku sigurnost. Ipak, iz višestrukih razloga, u mnogim se organizacijama smatra da je uvođenje GDPR primarno problem informatike i informacijske sigurnosti. Stoga, pokušati ću definirati crtu razgraničenja između poslovno/pravne i informatičko/sigurnosne funkcije kod uvođenja GDPR-a, pri čemu razmatranja o ulozi DPO i o naporima za očuvanje sukladnosti sa zahtjevima GDPR-a po okončanju procesa njegovog uvođenja ostavljam za drugu priliku.

Proces uvođenja GDPR-a podjelo sam, ne samo radi ovog teksta, na četiri glavne faze, a u svakoj od ovih faza moguće je identificirati ulogu CISO funkcije.

U prvoj fazi potrebno je uspostaviti okvir za uvođenje i upravljanje sukladnošću s GDPR-om, a naročito identificirati sve osobne podatke u poslovnom procesu i informacijskom sustavu. Krunski moment ove faze je procjena učinka na zaštitu podataka te specifikacija neophodnih mjera zaštite ovih podataka. Ključnu ulogu mora imati poslovna funkcija, no osobe iz redova informacijske sigurnosti koje imaju iskustvo na uvođenju regulatornih okvira ili sigurnosnih standarda (npr. PCI DSS, ISO 27001, pa, zašto ne, i Odluka HNB-a o primjerenom upravljanju informacijskim sustavom) mogu pružiti značajan doprinos uspješnoj provedbi ove faze, koja mora rezultirati, minimalno, kvalitetnom inventurom osobnih podataka i popisom mjera koje se nužno moraju provesti).

Druga faza mora rezultirati formalnom dokumentacijom (privole, ugovori s klijentima, interni pravilnici..) koji su u funkciji upoznavanja ispitanika o postupanju s osobnim podacima te pribavljanje njihove suglasnosti. U ovoj su fazi neophodni poznavanje poslovnog procesa i pravna kompetencija, a tehnički detalji će biti u drugom planu, iako ne i potpuno zanemarivi. Stoga smatram da sudjelovanje CISO u ovoj fazi nije nužno.

Treća faza uvođenja GDPR-a obuhvaća uvođenje “Data protection by design” mjera. Ove mjere se temelje na rezultatima procjene utjecaja na privatnost i procjenu rizika, no ne očekujem da će se nužno provoditi u svakoj organizaciji, a opseg primjene svakako će se razlikovati među organizacijama. Ova faza uglavnom obuhvaća primjenu različitih kontrolnih mjera, gotovo isključivo unutar aplikativnih sustava u kojima se obrađuju osobni podaci. Stoga, ključnu ulogu imati će razvojni timovi u informatičkim odjelima, a poslovne funkcije će sudjelovati u fazi dizajna i testiranja, kao što je praksa i u drugim razvojnim projektima. CISO neće nužno sudjelovati u ovoj fazi, no svakako predlažemo da bude konzultiran u postupku planiranja i testiranja predviđenih sigurnosnih mjera.  

Uloga CISO-a bit će ključna u četvrtoj fazi, a to je primjena općih sigurnosnih mjera koje ojačavaju otpornost informacijskog sustava i onemogućuju kompromitaciju osobnih podataka. Nažalost, GDPR je u svojem osnovnom tekstu veoma škrt oko specifikacije ovih mjera, no sadrži možda najznačajniji doprinos u promišljanju kvalitete sigurnosnih mjera: obavezu objave podataka o sigurnosnih proboja i to u roku od 72 sata od trenutka kada organizacija detektira takav događaj. Ovaj zahtjev povlači obavezu detaljne razrade plana odgovora na sigurnosne incidente i to će svakako biti tema jednog od sljedećih tekstova na ovim stranicama.

GDPR ne sadrži detaljnu specifikaciju općih kontrolnih mjera, no predviđena je mogućnost naknadne specifikacije ovih standarda koji bi mogli biti i podloga za certifikaciju. Iako bi se lako moglo zaključiti da je izostanak ovih mjera manjkavost GDPR-a, ja ne mislim tako. Sigurnosnim stručnjacima stoji na raspolaganju nekoliko veoma detaljnih sigurnosnih okvira, a moja preferencija su CIS Critical Security Controls. Također, uz malo truda, možete napraviti i derivaciju PCI DSS standarda i prilagoditi ga okruženju osobnih podataka.

Bez obzira što ovu fazu proglašavamo glavnim područjem odgovornosti CISO-a, treba jasno reći da završnu riječ u pravilu ima management. Naime, ove mjere često podrazumijevaju dodatan budžet kao i nova ograničenja za poslovne procese, što će se moći provesti isključivo uz autoritet managementa. Stoga, glavni rizik kojem CISO može biti izložen je eventualni pristup managementa koji bi se temeljio na principu zadovoljavanja tek nužnih zahtjeva GDPR-a. U tom slučaju kompetencija i iskustvo CISO-a bi se fokusirali na traženju rupa u GDPR uredbi, a ne u kreiranju sveobuhvatnog i učinkovitog sigurnosnog okvira, čime CISO nezasluženo preuzima značajnu odgovornost. Iz tog razloga svakako ohrabrujemo CISO-e i sve druge informatičke stručnjake da inzistiraju na punoj primjeni zahtjeva GDPR i da ovu uredbu iskoriste kao priliku za argumentiranu traženje suglasnosti managementa za primjenu sigurnosnih mjera.


Na koncu, nemojte zaboraviti na činjenicu da usklađenost s regulatornim standardima ne znači nužno i sigurnost sustava. To je tek prva postaja na složenom putu na kojem morate očekivati transformaciju GDPR od pravnih formulacija i strateških rezolucija ka dubinskim mjerama i kontinuiranom nadzoru ovih mjera.  Možemo, stoga, i zaključiti da uloga CISO u fazi uvođenja GDPR-a nije ključna (tek u četvrtoj gore opisanoj fazi), ali kad budu zaživjele mjere zaštite osobnih podataka, uloga CISO-a će biti ključna u održavanju ovih mjera.

5.6.17

Teorije o WannaCrypt napadu

Nakon nepunih mjesec dana od pojave malicioznog programa WannaCrypt došlo je vrijeme za rezimiranje viđenoga.

WannaCrypt nije bio pucanj iz praznog pištolja, mnoge tvrtke su ga osjetile na vlastitoj koži. Uzmimo u obzir i da su informatičari u brojnim tvrtkama potrošili najmanje vikend za krpanje Windows zakrpi na svojim računalima, tako da su troškovi savjesnim organizacijama ipak bili podnošljivi. U prošlom zapisu sam najavio da je onaj udarni vikend bio tek prvo poluvrijeme a većina nas se pribojavala ponedjeljka i onog što slijedi nakon tog ponedjeljka.

Ipak, događaji koji su uslijedili su, srećom, demantirali pesimiste među nama. Ključnu ulogu je odigralo ne toliko hitno krpanje sustava koliko misteriozno ugrađen “kill switch” u programskom kodu WannaCrypt-a koji je spriječio njegovo širenje. Strah i iščekivanje su nakon toga zamijenile teorije o porijeklu WannaCrypt-a i stvarnim motivima njegovih autora.

Je li se zaista radilo o amaterski i brzopleto napisanom programu koji je propustio predvidjeti vlastiti bug? Je li moguće da tako kataklizmičan program zarađuje tek 130.000 USD u nepunih mjesec dana (iznos na dan pisanja ovog teksta).

Vjerujem da ste čuli teorije o sjeverno-korejskom porijeklu, no meni je zanimljiva i teorija koju je iznio Joseph Carson, stručnjak iz tvrtke Thycotic. On smatra da je WannaCrypt zapravo manipulacija vrijednošću valute Bitcoin koja rezultira nečime što najbliže možemo usporediti s insiderskom trgovinom. Naime, prema postojećim ekonomskim teorijama, vrijednost Bitcoina se povećava proporcionalno s kvadratom broja korisnika, slijedeći zakonitosti koje općenito vrijede za telekomunikacijske mreže.

Što se dogodilo? Pojavom WannaCrypt-a, porastao je  broj osoba koje se otvorili vlastiti digitalni novčanik, što je rezultiralo i porastom vrijednosti Bitcoin-a (tečaj Bitcoina je 1.5.2017. iznosio 1.379 USD,  a nakon manjih fluktuacija oko 12.5.2017. (dana pojave WannyCrypt-a), na dan 20.5.2017. tečaj je iznosio 2.158 USD).  Prema iznesenom scenariju, kriminalci su se prethodno opskrbili dovoljnom količinom Bitcoina koju su prodavali u tjednu nakon njegove pojave, kreirajući tipičnu “pump and dump” shemu.

No, ovo nije jedina veza između ranjivosti EthernalBlue i kripto valuta. Desetak dana prije WannaCrypt-a pojavio se malware koji iskorištava iste NSA ranjivosti (EthernalBlue/DoublePulsar) da bi instalirao softver Adylkuzz koji na računalu korisnika prikriveno rudari kriptovalutu Monero. Dakle, ovaj malware nije destruktivan kao WannaCrypt, a za napadače ostvaruje jednako značajnu dobit. Dapače, tamo gdje se pojavio napravio je promjene na sustavu i spriječio prodor WannaCrypta. Gledajući sa strane korisnika to je bio možda i dobar deal: dajete nešto performansi i procesorskog vremena napadačima a zauzvrat ste zaštićeni od WannyCrypta.

Očigledno, ovi događaji reflektiraju promjene u razmišljanju cyber-kriminalaca i ponovo nas uče da treba očekivati neočekivano, a pravo pitanje zapravo ostaje zbog čega je EthernalBlue ranjivost ostala prikrivena nekoliko godina?

14.5.17

WanaCrypt: je li ovo tek prvo poluvrijeme?

Ovaj tekst pišem u nedjelju poslijepodne, dva dana nakon globalne pojave jednog od najagresivnijih malicioznih programa u posljednih godinu/dvije. Premijera je bila u petak, pa epidemija malicioznog programa WanaCrypt nije još stigla zahvatiti većinu naših tvrtki i organizacija. Erupcija bi se mogla očekivati sutra, kada se u jutarnjim satima budu uključila računala. Ipak, vikend je, izgleda, imao spasonosno djelovanje, zahvaljujući zagonetnoj funkciji koja je pronađena u kodu malicioznog programa WanaCrypt.

Naime, timovi koji su analizirali tijek instrukcija ovog programa utvrdili su da ovaj program iz nekog, za sada nepotvrđenog, razloga pokušava dohvatiti URL fabriciranog sadržaja iza kojeg ne stoji realni poslužitelj. Postoji nekoliko objašnjenja za ovakvo ponašanje - o njima pišem u nastavku, no za slijed događaja je važno reći da je ovo svojstvo iskorišteno za obuzdavanje djelovanja programa WanaCrypt. Naime, ukoliko se pokaže da program ne može dohvatiti fabriciranu domenu onda nastavlja posao do kraja i preuzima zaraženo računalo. Ukoliko bi, kojim slučajem, pokušaj dohvata fabricirane domene bio uspješan onda program prekida akciju. Znači, ako bi dakle fabricirana domena zaista postojala - što inače nije intencija autora, onda bi to obustavilo djelovanje programa WanaCrypt. To je i napravljeno - tvrtka MalwareTech je registrirala domenu prilično kriptičnog naziva i invazija je obustavljena. Barem za sada.

Ostaje pitanje kako to da program WanaCrypt koristi ovu naizgled naivnu funkciju koja značajno ograničava njegovo djelovanje? Zasigurno se ne radi se o propustu no motivi su, izgleda, dvojaki. Prema jednoj teoriji, napadači se poigravaju s nama te su nam ostavili dostupan "kill switch" koji će nas zaštiti ali kojima će nam dati do znanja da oni drže stvar pod kontrolom. Prema drugoj teoriji, ovakva reakcija je rezultat kontrole u programskom kodu koja ima funkciju prepoznavanja okruženja forenzičke analiza malicioznih programa. Ova kontrola nije nova, pojavljivala se i u nekim drugim slučajevima.

No bilo kako bilo, za očekivati je pojavu podvarijanti malicioznog programa WanaCrypt koje će isključiti ovakvu kontrolu ili koji će URL ime generirati primjenom generatora slučajnih vrijednosti. U svakom slučaju, nemojte se zavarati trenutnim zatišjem. Primijenite popravke koji su opisani u MS17-010 (https://technet.microsoft.com/en-us/library/security/ms17-010.aspx), ali i inače održite ažurnu razinu patcheva operativnog sustava. Razmotrite i ukidanje protokola SMBv1, uglavnom nije neophodan (pogledajte https://support.microsoft.com/en-us/help/2696547).

Korisnici sustava QualysGuard mogu provjeriti zdravlje sustava modulom ThreatPROTECT ili provjerom prisutnosti ranjivosti QID 91345, QID 1029, QID 91360 i QID 70077. Napominjemo da se provjere ranjivosti QID 91345, 1029 i 91360 mogu provesti samo autenticiranim skenom ili korištenjem QualysGuard agenata. QID 70077 omogućuje detekciju "backdoor" programa DOUBLEPULSAR koja se koristi u scenariju WanaCrypt a koji nam takođe dolazi u istoj pošiljci iz NSA.

Kada se stvari oko ovog napada budu slegle onda će biti vremena za neke konačne zaključke, no dobro su mi je poznata raširena percepcija da nije nužno pre-ažurno primjenjivati programske popravke jer naše tvrtke "nisu zanimljive napadačima", naročito ne onima koji koriste napade iz NSA aresenala. Ovaj slučaj je možda trenutak otrežnjenja. Naročito ako ponedjeljak bude jače "stormy" nego obično.

6.11.15

Upravljanje ranjivostima u vremenima ciljanih prijetnji

U ponedjeljak, 2.11.2015. održao sam prezentaciju na redovitom mjesečnom sastanku hrvatskog ogranka organizacije ISACA.

Tema prezentacije je bila upravljanje računalnim ranjivostima u vremenima sve opasnijih ciljanih prijetnji ("targeted threats")


26.10.15

Sudjelovanje u emisiji Hrvatskog radija

U subotu, 24.10.2015. sudjelovao sam u emisiji Hrvatskog radija na temu kriminala i ratovanja u cyber prostoru. U emisiji je sudjelovao i Božo Kovačević, a emisiju je vodio Željko Ivanković.

U nastavku se nalazi link na kojem možete poslušati ovu emisiju.