25.1.19

Digitalna transformacija procesa upravljanja ranjivostima


Upravljanje ranjivostima je u povijesnoj perspektivi (ako razdoblje od dvadesetak godina možemo nazvati poviješću) bilo ograničeno na postupak mrežnog skeniranja, s mogućnošću otkrivanja ranjivosti uglavnom do razine mrežnih servisa. Iako se skeniranje može provesti i putem autenticiranog kanala i time otkriti puno više ranjivosti (pogledajte raniji tekst), takva se tehnika provodi razmjerno rijetko. Stoga, ranjivosti se otkrivaju tek na površini računalnih resursa, eventualno, nakon laganog grebanja, tek malo ispod površine. Neotkrivene ostaju brojne neugodne sigurnosne rupe. Niti se o njima puno znalo, a još maje pričalo.

Napadači su do pojave naprednih prijetnji koristili iste tehnike za kompromitaciju sustava, dakle tek one površinski vidljive ranjivosti. No, priča se temeljito mijenja s pojavama naprednih računalnih prijetnji. U novoj konstelaciji sukoba, žrtve idu napadačima a ne više napadači na računala žrtve. Privlačne ali lažne mail poruke, zavodljivi Internet servisi, malo neopreznije surfanje – jako malo je potrebno za preuzimanje malicioznog implantata…

Napadači znaju da se sada moraju jače potruditi, nema više lakih meta. No, potencijalni dobitak nije zanemariv, mogućnosti za daljnju propagaciju su postaju gotovo neograničene. Osim toga, ekonomski model kibernetičkog kriminala je izuzetno održiv, dodatno pojačan činjenicom da se žrtve moraju puno više potruditi kako bi zatvorili sve rupe.

Ovakva promjena napadačke doktrine bila je znak da se mora promijeniti i doktrina ojačanja sustava, pa je tako to bio i signal za promjenu paradigme upravljanje računalnim ranjivostima kakvu smo poznavali godinama. Umjesto periodičkog ali nisko frekventnog mrežnog skeniranja i tek rutinskog izvještavanja, nastupilo je vrijeme za kontinuiranu (ili barem visokofrekventnu) provjeru prisutnosti propusta, ali ne više samo onih površinskih. Umjesto rutinskog izvještavanja i neučinkovitog "patchiranja", sada se nalazi moraju rangirati prema realnim prijetnjama koje proizlaze iz utvrđenih nedostataka. Umjesto kompleksnog procesa totalnog "patchiranja" za koji smo nalazili sto razloga za odgađanje, sada se bez izuzetka moramo, ali i možemo, fokusirati barem na one ključne ranjivosti, čije nam povezane prijetnje kucaju na vrata.

Upravo je ovo tehnološki okvir unutar kojeg je Qualys prošle godine uveo značajne inovacije u servisu za upravljanje ranjivostima QualysGuard. Korištenje agenata za prikupljanje ranjivosti, uvedenih nekoliko godina ranije (o čemu sam pisao ovdje), a naglasak se sada daje na kvalitetnoj obradi i prezentaciji bogatih informacija koje su agenti u stanju prikupiti, te na pružanju informacija koje omogućuju operativno djelovanje. Upravljanje ranjivostima sada mora uključivati indikatore iz „cloud“ infrastrukture i kontejnerskih entiteta, a rezultati moraju biti primjenjivi kako u upravljanju rizicima tako i u  DevOps procedure…  Ove godine očekujte digitalnu transformaciju procesa upravljanja ranjivostima.

11.1.19

Doxxing

Pojam „doxxing“ (ili „doxing“, ako to smatrate ispravnijim pojmom) je u prvim danima ove godine bio nadprosječno prisutan u medijima svih vrsta. Neposredni povod je informacija o objavi osobnih podataka njemačkih političara i drugih javnih osoba putem Twittera. Tako smo doznali da su objavljene informacije Angele Merkel, njemačkih parlamentaraca i nekih osoba izvan svijeta politike.

Takav događaj se u žargonu novih medija naziva „doxxing“. „Doxxing“ je naziv za javnu objavu osobnih podataka neke osobe bez pristanka same osobe a u cilju stvaranja neugodne situacije za žrtvu. Objavljuju se brojevi telefona ili kućne adrese, što implicira neposredni pritisak prema žrtvi, objavljuju se neugodne fotografije, pisma ili dokumenti, financijski podaci... Iako se „doxxing“ povezuje s hakiranjem, podrazumijevajući da se u posjed ovim informacijama može doći tek nakon uspješnog hakerskog napada, hakeri u scenarijima „doxxing-a“ nisu nužni. „Doxxing“ može obuhvatiti objavu informacija do kojih se dolazi strpljivim kopanjem po dostupnim izvorima podataka, često i onim klasičnim, ne-digitalnim. Moramo biti svjesni da ostavljamo jako puno tragova, treba se samo sagnuti i pažljivo prikupiti ih.

Ako pak govorimo o hakerskom porijeklu informacija, ponekad se radi tek o pogađanju jednostavno postavljenih zaporki za cloud mail servise, a najčešće lukavo skrojenom ciljanom „phishing“ napadu kroz koji će žrtva neoprezno otkriti zaporku za pristup mail servisu. Za tako nešto, danas više ne treba previše truda niti ekspertize. A kad se dođe do pretinaca elektroničke pošte, svašta se može pronaći. Važno je reći da objava podataka o jednoj osobi ne znači nužno da je kompromitiran mail račun sam žrtve. Ponekad je dovoljno kompromitirati mail tajnika/tajnice uglednog političara ili bliskih prijatelja nekog celebrity-a. Tamo se onda mogu naći zahvalne informacije, od adresa, brojeva telefona pa do osjetljivih fotografija. Omiljena forma „doxxinga“ je objava stvarnog identiteta neke osobe koja na društvenim mrežama koristi anonimni profil.

Jako je puno primjera „doxxing-a“, a objava podataka njemačkih političara je tek zadnji u nizu. Prisjetimo se nekih ranijih. U političkom svijetu smo imali objavu elektroničke pošte Hillary Clinton, bivšeg direktora CIA-e, „doxxing“ javnih osoba čiji su stavovi suprotni jednom od „mi ili oni“ grupacija… U show business svijetu su ovi slučajevi još češći: Ashton Kutcher, Paris Hilton, Jay-Z , Britney Spears, Beyonce, Kim Kardashian, Scarlett Johansson… Popis je veoma dug.

Žrtve „doxxing-a" mogu biti i organizacije ili tvrtke. Sjetimo se slučajeva Sony, Hacking Team, pa čak i NSA u slučaju Edwarda Snowden-a.

Očigledno, glavni motivi osoba koje stoje iza „doxxing“ akcije su osveta, poniženje, politički ili svjetonazorski obračun… Ponekad je „doxxing“ i sredstvo ucjene. Naravno, kao i druge navodne istine koje se objavljuju na društvenim mrežama, tako i „doxxing“ može sadržavati potpuno lažnu informaciju koja će žrtvi dodatno naškoditi, a da zapravo i ne postoje mehanizmi učinkovitog ispravka ove informacije.

Podataka o svima nama je sve više pa možemo očekivati porast doxxing napada ali i njihovu sve maštovitiju upotrebu. No, kako se zaštiti od „doxxing“ napada? Ako govorimo o osobnim podacima pojedinaca, najizloženija točka je servis elektroničke pošte pa se dosta visoka razina zaštite može postići korištenjem dvo-faktorske autentikacije ili barem dovoljno jake zaporke. Naravno, i sve uobičajene mjere osnovne higijene računala i mobitela su neophodne. Svakako treba reducirati broj osobnih podataka koje svjesno ostavljate u Internet prostoru.

Ipak, kao i za druge oblike računalnih zloupotreba ili kibernetičkog kriminala, na snazi je pravilo da je lakše izvesti napade nego obraniti se od njih.