foto1
foto1
foto1
foto1
foto1

Saugumo testavimai

Botnetų stebėjimas

DDOS gynyba

WEB svetainių apsauga

Kibernetinio saugumo tyrimai

   E.bankas, e.parduotuvė – tai jau normalu ir įprasta. Internetas kompiuteryje ar išmaniajame telefone – būtinybė. Tačiau internetas ir kompiuteriai į mūsų gyvenimą yra įsiskverbę kur kas labiau – televizorius, šaldytuvas, kondicionierius, automobilis – daugelio jų viduje yra kompiuteriai, kurie neretai įjungti į internetą – tai taip vadinamas daiktų internetas – IoT ( internet of things ). Taigi interneto reikšmė kasdieniniame gyvenime vis auga, kaip auga su jo naudojimu susijusi rizika. Praktiškai visos gyvenimo sritys taip pat atsiranda ir virtualioje erdvėje. Tam, kad suvaldyti grėsmes, kylančias iš vis didesnio interneto naudojimo, visų pirma jas reikia suprasti. Šias grėsmes analizuoja IT sritis, skirta kibernetiniam saugumui.

   Kibernetinis ar IT saugumas – tai informacinių sistemų apsauga nuo vagystės, poveikio aparatinei ar programinei įrangai, taip pat informacijos apsauga ( https://en.wikipedia.org/wiki/Computer_security )

   Kibernetiniu saugumu rūpinasi interneto saugumo centras ( CIS ) – tai ne pelno organizacija, įkurta 2000 m spalį, kurios tikslas yra „gerinti kibernetinio saugumą privačiame ir valstybiniame sektoriuose“. CIS steigėjai yra : ISACA®, The American Institute of Certified Public Accountants (AICPA), The Institute of Internal Auditors (IIA), The International Information Systems Security Certification Consortium (ISC2) ir The SANS Institute (System Administration, Networking and Security). CIS dabar turi apie 180 narių iš 17 skirtingų šalių. CIS kuria de facto standartus geriausiems IT konfigūravimo principams. Šie standartai, vadinami “Security Configuration Benchmarks” yra laisvai ir nemokamai platinami PDF formatu tam, kad būtų kuo plačiau naudojami visame pasaulyje ir būtų de facto standartai IT saugume. CIS Benchmarks yra vieninteliai saugumo konfigūravimo gidai, kurie remiasi geriausiomis saugumo praktikomis iš vyriausybinių, verslo, pramonės ir mokslo sričių ( https://www.cisecurity.org/, https://www.sans.org/media/critical-security-controls/CSC-5.pdf )

   Ištrauka iš tokio gido:

 

   Pagrindiniai grėsmių šaltiniai vartotojui / įmonei

  • Vartotojų lankymasis nesaugiose ( infekuotose ) svetainėse
  • El.paštas
  • Įmonės / įstaigos išorinė infrastruktūra ( svetainės, pašto serveriai, DNS serveriai ir t.t.)
  • Prijungiami infekuoti periferiniai įrenginiai
  • t.t.

   Infekuotos svetainės

  • Analizuojant įsilaužimus pastebėjome, kad 99% visų saugumo incidentų vartotojo darbo vietoje yra susiję su infekuotomis WEB svetainėmis
  • Pagrindinis programišių ( hakerių ) tikslas – užvaldyti vartotojo kompiuterį
  • Svetainės pagrinde infekuojamos tam, kad būtų galima įsilaužti į vartotojo darbo vietą. Tai pat tai lengviausias kelias į įstaigos/įmonės tinklą. 

   Pagrindinis atakų tikslas – pinigai. Užvaldytas kompiuteris gali būti:

  • Užšifruotas ir už tai reikalaujama išpirkos
  • Gali būti skirtas dalyvauti DDOS atakose. Grasinant šiomis atakomis potencialiai aukai yra reikalaujama išpirkos
  • Gali būti panaudotas surinkti jautriai vartotojo informacijai – pvz. bankinių prisijungimų informacijai. Tikslas – pinigai.

   Infekuotų svetainių paskirtis

  • Įmonės/įstaigos WWW  svetainės pačios savaime dažniausiai programišiams neįdomios – jos tik įrankis pinigų generavimo procese.
  • Todėl didžiulis kiekis infekuotų Lietuvos svetainių ir yra naudojamos šiems finansiniams tikslams pasiekti. 

   Kaip „ateina“ kenkėjiškas kodas į vartotojo kompiuterį?

  •  Didžioji infekcijų dalis ateina iš infekuotų svetainių
  • Botnetai, kontroliuojantys infekuotas svetaines, dažnai keičia infekcijos kodą („landing page“ kodą) betarpiškai vartotojui lankantis svetainėje („on the fly“)

 

   Pavyzdinis pirminis šifruotas infekcijos kodas svetainėje („Landing page“)

 

 

   Po iššifravimo jis atrodo taip:

 

   

   Šiuolaikines infekcijas yra labai sunku aptikti:

  • Botnetai naudoja „antidetektavimo“ technikas taip detektavimą padarydami žymiai sunkesniu
  • Dažnai „slepiasi“ nuo antivirusinių / apsaugos ir analizės produktų  
  • Jos yra masiškai šifruojamos (encrypted and / or obfuscated ), naudojant Javascript-ą, kuris yra vykdomas tiktai naršyklėje – tokiu būdu perimetro apsauga tampa „akla“. Tam, kad detektavimas būtų dar sudėtingesnis, šis kodas gali būti įvykdytas tik tam tikroje naršyklėje – kitose jis net neveikia.

 

Slėpimasis nuo antivirusų (antidetektavimas) - ištrauka, ka tikrina kai kurios infekcijos, kad nebūtų vartotojo kompiuteryje, prieš pradėdamos veikti:

   Infekcijos atpažinimas

   Infekcijos pažinimas auga su laiku, bet pradžioje jis menkai pažįstamas, todėl apsaugos produktai neveikia, pavojus didelis. Apsaugos efektyvumas taip pat labai priklauso nuo naudojamų produktų. Čia pateikiamame pavyzdyje parodoma kaip kito vienos lietuviškos svetainės pirminio infekcijos puslapio pažinimas laike:

 

2016 Rugsėjo 6 d.

2016 Spalio 13 d.

2016 Gruodžio 12 d.

 

 

   Matant tokią situaciją 2009 m. buvo pradėtas stebėti LT internetas bei jo problemos – tam, kad rasti vaistus prieš šias atakas. Tuo tikslu buvo sukurta specializuota įsilaužimų aptikimo ir analizės sistema. Plačiau apie tai - straipsnyje "Tyrimų laboratorija"

 

Pagrindinės rekomendacijos

 

  • Naudokite legalią, su naujausiais saugumo pataisymais, programinę įrangą
  • Naudokite ugniasienę
  • Naudokite kokybišką antivirusinę programinę įrangą. Dažniausiai kokybiškos antivirusinės programinės įrangos už dyką negausite. 
  • Jei bandydami atidaryti svetainę, naršyklėje gaunate perspėjimą apie pavojų  – neikite į ją.
  • Neatidarinėkite įtartinų, iš nežinomų asmenų gautų laiškų.
  • Iškylančius langus (pop-up) uždarinėkite per kryžiuką dešiniajame viršutiniame kampe
  • Naudodamiesi ebanku ar kita jautria sistema, atkreipkite dėmesį, ar yra „spynelės“ piktograma
  • Kilus menkiausiam įtarimui, dėl keisto kompiuterio darbo, esant neaiškumams – kreipkitės į specialistą