Podatności SPPA-T3000 i ich konsekwencje

Podatności i luki coraz częściej stanowią tylną furtkę dla cyberprzestępców. Choć borykają się z nimi producenci wielu rozwiązań z rozmaitych obszarów, w niektórych przypadkach stanowią poważny problem. To normalne, że mogą zdarzyć się liderom branży. Źle jednak, jeśli mówimy o kosztownych i kompleksowych rozwiązaniach, którym można naliczyć aż 50 słabych punktów (!). Natomiast jeszcze gorzej że są to wady, które można wykorzystać do interwencji w kluczowe procesy. Na przykład zakłócenia wytwarzania energii elektrycznej w elektrowniach. Takie informacje o podatnościach Siemens SPPA-T3000 trafiły do sieci pod koniec grudnia. Co jeszcze wiemy o możliwych konsekwencjach luk w rozwiązaniach Siemens?

Przemysłowe systemy sterowania nie są wolne od podatności. Niestety, to właśnie one coraz częściej są na celowniku hakerów

SPPA-T3000 i jego zadania

SPPA-T3000 to rozproszony system sterowania (z angielskiego DCS – Distributed Control System) zaprojektowany m.in. dla przemysłu rafineryjnego. Według Siemens ma wspierać swoich klientów kompleksowym podejściem do bezpieczeństwa cybernetycznego. Zadaniem SPPA-T3000 jest identyfikacja i eliminacja luk w zabezpieczeniach – również w odniesieniu do oprogramowania firm trzecich. Jego ochroną obejmowane są m.in. systemy operacyjne, bazy danych, sterowniki sprzętowe PLC.  W broszurze poświęconej temu rozwiązaniu można również przeczytać, że: W przeciwieństwie do niektórych innych systemów sterowania procesami, Siemens zdaje sobie sprawę z zagrożeń dla infrastruktury krytycznej, które wiążą się z silną integracją systemów sterowania z korporacyjnymi sieciami LAN.

Realizując to założenie SPPA-T3000 oferuje dodatkowe funkcje związane z bezpieczeństwem oraz narzędzia do stałego monitorowania zdarzeń złośliwego systemu. Jak dalej pisze producent, zapewnia to niezawodne działanie infrastruktury krytycznej w odpowiedzi na rosnące ryzyko cybernetyczne. Podsumowując, jest to jasny przekaz odnośnie świadomości potrzeby kompleksowych zabezpieczeń w odniesieniu do środowisk przemysłowych. Rozczarowujące jest zatem to, że system, który ma w swoich założeniach zapewnić bezpieczeństwo… sam jest dziurawy. Udane wykorzystanie tych luk może pozwolić atakującemu na wykonanie wielu, bardzo niebezpiecznych operacji.

Zdalny dostęp do serwerów SPPA-T3000 na wyciągnięcie ręki

Już od października 2018 badacze z Kaspersky, Positive Technologies i Biznet Bilişim pracowali nad identyfikacją podatności SPPA-T3000. Ostatecznie wiele z nich jest podobnych, choć mają przypisane różne identyfikatory CVE. Serwer aplikacji SPPA-T3000 jest podatny w 19 aspektach. Z kolei serwer migracji SPAA-T3000 MS3000 ma 35 luk bezpieczeństwa, w tym słabości ocenione jako krytyczne. Oznacza to, że można je wykorzystać do wykonania dowolnego kodu na serwerze. Stwarza to pole do ataków typu odmowa usługi (DoS) . Co więcej, badacze  odkryli również luki w zabezpieczeniach, które można wykorzystać do:

  • uzyskiwania i zmiany haseł użytkowników,
  • uzyskiwania list folderów i plików zawierających poufne informacje,
  • zwiększania uprawnień do rootowania,
  • wyliczania uruchomionych usług Remote Procedure Call,
  • przesyłania dowolne pliki bez uwierzytelniania,
  • odczytywanie i zapisywanie dowolnych plików w lokalnym systemie plików,
  • ścieżki dostępu i nazwy plików na serwerze,
  • ujawnienia nazw użytkowników oraz dostępu do dzienników i plików konfiguracyjnych.
źródło obrazka: Siemens

Według Siemens do wykorzystania luk wymagany jest dostęp do zamkniętych segmentów sieci. O ich odcięciu decyduje prawidłowa konfiguracja systemu, zgodnie z zaleceniami w instrukcji. Eksperci potwierdzili, że uzyskanie dostępu tamże zazwyczaj nie jest łatwym zadaniem. Co więcej, klienci rozwiązań SPPA-T3000 otrzymali zalecenia odnośnie wdrożenia szeregu działań zapobiegających potencjalnym atakom. Idąc dalej, Siemens twierdzi, że nie ma żadnych dowodów sugerujących wykorzystanie którejkolwiek z podatności. Eksperci bezpieczeństwa twierdzą natomiast, że nie jest to tak oczywiste. Od momentu pojawienia się na rynku do publikacji aktualizacji łatającej minęło dość czasu, aby skorzystać z nierozważnie stworzonych tylnych furtek.

Aktualizacje są, problem rozwiązany?

Zarówno producent jak i badacze, którzy odkryli luki, są zgodni co do braku informacji o jawnym wykorzystaniu ich przez cyberprzestępców. Mimo że niektóre z odkrytych podatności są łatwe do wykorzystania, inne wymagają obszernej wiedzy na temat docelowego systemu. Według zespołu Kaspersky, ataki wpływające na bezpieczeństwo lub prowadzące do przerw w dostawie prądu wymagają bardziej zaawansowanej wiedzy o systemie docelowym. W świetle tych informacji a także ze względu na dostępne patche, można uznać problem za rozwiązany. Jest to jednak zapominanie o tym, że współcześni hakerzy działają inaczej niż jeszcze kilka, kilkanaście lat temu.

Planując atak na elektrownię czy inny obiekt takiego kalibru, zorganizowana grupa cyberprzestępców przygotowuje się przez dłuższy czas. Naiwnością byłoby stwierdzenie, że z impetem zaatakują najbardziej odsłoniętą część systemu i ujawnią swoje działania. Hakerzy wykorzystują wiele technik i podejść, choćby na przykład opisywany tutaj ruch boczny. Podobnie, wiele ze znanych współcześnie zagrożeń APT funkcjonuje w sieci od lat, dostosowując swoje możliwości do zmieniających się realiów internetu. Każda z podatności, jaka kiedykolwiek została wykryta przez badaczy bezpieczeństwa, mogła zostać wcześniej znaleziona przez kogoś o mniej szlachetnych intencjach. Aktualizacja zgodnie z rekomendacją producenta niewiele może pomóc, jeśli do sieci zdążył dostać się ktoś trzeci.

Przez wiele lat założeniom projektowym sieci przemysłowych towarzyszyło przekonanie o konieczności izolacji. Nie zakładano, aby wyjście na świat w rozumieniu współczesnego internetu było konieczne. Dzięki temu nawet w przypadku błędów projektowych i implementacyjnych, rozwiązania przemysłowe pozostawały odporne na działania intruzów z zewnątrz. Dostęp z zewnątrz do zamkniętej sieci przemysłowej bywał praktycznie niemożliwy, ale dziś obserwujemy odwrotną sytuację. Nie dość, że dostęp do infrastruktury przemysłowej jest ułatwiony to jeszcze  cyberprzestepcy dysponują coraz bardziej zaawansowanymi technikami włamań. Podatności, które pozwalają na zdalne uruchamianie komend, jak w przypadku SPPA-T3000 to dodatkowy prezent dla czyhających na bezpieczeństwo ICS.

Podatności to klucz, dzięki któremu cyberprzestępcy dostają się do sieci ofiary. Następnie ukrywają swoją obecność, zbierając informacje o słabych punktach i przygotowując atak.

Oczekiwanie w ukryciu

Dobrze, że w odpowiedzi na informację o podatnościach, producent wypuścił aktualizację. Bieżące patchowanie to jeden ze sposobów na podtrzymanie ochrony sieci. Warto mieć na uwadze to, że w przypadku systemów przemysłowych ryzyko wzrasta kilkukrotnie w porównaniu do „zwykłych”. Jak pokazuje przykład luk w SPPA-T3000 cyberprzestępcy mogli z łatwością wykonać operacje mające wpływ na kluczowe procesy obiektu. Wyeliminowanie podatności za pomocą przygotowanych aktualizacji odcina dostęp dla przyszłych atakujących. Należy mieć jednak na uwadze, że nie jest to całkowite rozwiązanie problemu, ponieważ nie pozwala na wykrycie intruzów będących już w sieci.

Dobrą praktyką jest posiadanie kontroli nad dostępem uprzywilejowanym. W ten sposób możliwe będzie szybka reakcja na wypadek gdyby ze wspomnianych luk skorzystali hakerzy. Obecnie coraz częściej cyberprzestępcy ukrywają swoją obecność w sieci ofiary, gromadząc jak najwięcej informacji. Podatności, wykryte w rozwiązaniu Siemens nie muszą zostać wykorzystane już teraz. Oby nie posłużyły do niepostrzeżonego wtargnięcia cyberprzestępców i  przygotowania wyrafinowanych ataków w późniejszym czasie.

Polymorphic i metamorphic malware – nowe (?) zagrożenia

Za złośliwym oprogramowaniem zazwyczaj stoją duże pieniądze. A im bardziej jest ono wyrafinowane, tym większe zyski może przynieść swoim twórcom. Szczególnie jeśli mowa o takich przedsięwzięciach jak ransomware, keyloggery, trojany bankowe i wydobywaniu kryptowalut do złośliwych celów. Te projekty zapewniają spore dochody, ale wymuszają też konieczność utrzymywania ich, zupełnie tak jak ma to miejsce w świecie legalnego oprogramowania. Chęć zadbania o bezpieczeństwo wirusa jako produktu skłoniła programistów do stworzenia takich form, które stawią czoła nawet najbardziej zaawansowanym mechanizmom security. Dziś przyjrzymy się polymorphic i metamorphic malware czyli polimorficznym i metamorficznym odmianom złośliwego oprogramowania. O co w tym chodzi?

Każdy wirus ma zdolność do replikacji, ale odmiany poli- i metamorficzne potrafią zmieniać swoje właściwości tak, by zidentyfikowanie ich za pomocą poprzedniego wzorca było niemożliwe.

Klasyczne programy antywirusowe posługują się sygnaturami w celu wykrycia, czy program jest złośliwy. Po identyfikacji nowego wirusa jego podpis (sygnatura) jest rejestrowany i wysyłany do wszystkich programów antywirusowych. W pewnym sensie podpis jest odciskiem palca wirusa w policyjnym rejestrze. Podczas gdy zostanie „złapany”, wszyscy inni zostaną poinformowani o tym fakcie. W ten sposób do lokalnych baz innych producentów trafiają informacje o niebezpiecznych programach a rozwiązania AV zyskują nowe „szczepionki”. Bardzo często ten mechanizm porównuje się do naturalnych mechanizmów obronnych ludzkiego organizmu, który wytwarza przeciwciała w następstwie kontaktu z wirusem czy to w formie szczepionki czy po przebytej chorobie.

Wirusy jednak mutują i znamy to chociażby z corocznych doniesień o nowej odmianie szczepionki na grypę. Co więc jeśli przełożymy tę sytuację na świat IT a sygnatura tego samego wirusa mogła się zmieniać? W ten sposób nie zostałby wykryty, nawet jeśli program antywirusowy posiadałby zapis poprzedniego „odcisku palca” złośliwego oprogramowania. Dla hakerów oznacza to, że nie muszą zmieniać kodu malware’u po jego wykryciu; wystarczy, jeśli po prostu stworzą dla niego „nowe przebranie”. Właśnie to dzieje się w przypadku oprogramowania polimorficznego i metamorficznego. Jego przyszłość w połączeniu ze sztuczną inteligencją może oznaczać powstanie nowych, nieprzewidywalnych w skutkach szkodliwych programów.

Polymorphic i metamorphic malware – różnice

Metamorficzne i polimorficzne złośliwe oprogramowanie to dwie kategorie malware, które mogą zmieniać swój kod podczas rozprzestrzeniania się. Oba przejawiają zdolność do adaptacji, ale realizują ją w różny sposób.

Polymorphic malware

Złośliwe oprogramowanie polimorficzne ma „rdzeń”, który zawsze robi to samo, bez względu na to, ile razy się zmienia. Zawsze wykonuje te same akcje i zawsze atakuje w ten sam sposób, ale wciąż zmienia morfologię reszty kodu. Polymorphic malware  może być nieco łatwiejsze do wykrycia niż jego metamorficzny wariant, ponieważ jego stała część umożliwia identyfikację. Przykładem polimorficznego malware’u jest Storm Worm. Pojawił się on w 2007 roku a swoją nazwę zawdzięcza metodzie ataku, polegającej na wysłaniu wiadomości e-mail z tematem „230 dead as storm batters Europe”.

Po zainfekowaniu ofiary, generował się nowy szczep złośliwego oprogramowania i co trzydzieści minut „wysyłał się” dalej. Jak widać na obrazkach, wiersz tematu ulegał modyfikacji, ale sama zawartość już nie. To oczywiście prymitywny przykład działania polymorphic malware, jednak nadal jest on w obiegu i dobrze obrazuje na czym polega mechanizm zmiany.

Storm Worm jako przykład polimorficznego malware – źródło

Metamorphic malware

Szkodliwe oprogramowanie metamorficzne jest o wiele bardziej nieprzyjemne. Podczas gdy polimorficzne ma charakterystyczną część, którą można wykryć, złośliwe oprogramowanie metamorficzne próbuje reorganizować cały swój kod przy każdej iteracji. Ponownie łączy tę samą logikę i funkcjonalność, którą posiadał wcześniej, ale dodaje nowe elementy. Dzięki temu każda następna wersja jego kodu będzie różnić się od poprzedniej a to z kolei znacznie utrudnia identyfikacje i wykrycie. Programy antywirusowe oparte na sygnaturach nie będą w stanie rozpoznać, że różne iteracje są tym samym złośliwym programem.

Co więcej, pomimo ciągłych zmian w kodzie każda iteracja złośliwego oprogramowania metamorficznego działa w ten sam sposób. Im dłużej złośliwe oprogramowanie pozostaje w komputerze, tym więcej iteracji produkuje i tym bardziej zaawansowanych, przez co aplikacje antywirusowe coraz trudniej je wykrywają. Autor może korzystać z wielu technik transformacji, w tym zmiany nazw rejestrów, permutacji, rozszerzania, zmniejszania i wstawiania kodu. W związku z tym do wykrywania wymagane są zaawansowane techniki, takie jak ogólne skanowanie odszyfrowywania, negatywna analiza heurystyczna, emulacja i dostęp do technologii wirtualizacji.

Morficzny malware jest wszędzie

Z punktu widzenia nakładu pracy programisty, polymorphic i metamorphic malware to wyzwania. Okazuje się jednak, że typ polimorficzny jest bardziej powszechny niż zdajemy sobie z tego sprawę. Badania przeprowadzone przez Webroot wykazały, że „ponad 94% wszystkich złośliwych plików wykonywalnych, które napotykamy, ma charakter polimorficzny”. Webroot przyznaje, że nastąpił gwałtowny wzrost rozpowszechnienia złośliwego oprogramowania i potencjalnie niechcianych aplikacji (PUA). Jednak wiele osób może nie wiedzieć zbyt wiele o złośliwym oprogramowaniu polimorficznym – a przynajmniej nie mówić o nim tak często, jak powinno.  Jeszcze gorzej sytuacja wygląda jeśli chodzi o typ metamorficzny.

Przyczyną rozwoju tych typów złośliwego oprogramowania jest monotonia w obszarze pracy wielu rozwiązań AV. Organizacje, które zawierzają swoje bezpieczeństwo wyłącznie sygnaturom, okazują się silnie podatne na ataki z wykorzystaniem polymorphic i metamorphic malware. A skoro brakuje należytej ochrony po stronie ofiary, wkład poniesiony podczas tworzenia adaptacyjnego wirusa niechybnie się zwróci. Ukierunkowane lub wyspecjalizowane zagrożenia złośliwym oprogramowaniem są bardziej skuteczne, a tym samym generują przychody dla tych zaawansowanych twórców złośliwego oprogramowania.

Zastosowanie sztucznej inteligencji na polu tworzenia złośliwego oprogramowania to fakt, który należy przyjąć – zwłaszcza w kontekście zabezpieczeń przeciwko nowym zagrożeniom.

Ponieważ trwa walka między cyberprzestępcami a zespołami bezpieczeństwa, obie strony wykorzystują sztuczną inteligencję aby uzyskać przewagę. Dostęp do zaawansowanych technologii sztucznej inteligencji i narzędzi uczenia maszynowego jest obecnie szeroko rozpowszechniony.Co więcej, koszty opracowania lub dostosowania tych technologii do tworzenia szkodliwych programów drastycznie spadły.  Dzięki AI restrukturyzacja kodu złośliwego oprogramowania polimorficznego i metamorficznego jest szybka i wydajna. Oczywiście, producenci bezpieczeństwa mają również dostęp do wysokiej klasy sztucznej inteligencji. Wielu z nich już dawno wyszło poza schematy sygnaturowy i wspierają się bardziej zaawansowanymi narzędziami. Przykładowo z wykorzystaniem AI, która podejmuje logiczne decyzje w momencie gdy zagrożenie zostanie ujawnione czyli wirus się uaktywni.

Wpływ polymorphic i metamorphic malware na codzienne bezpieczeństwo organizacji

Nowe możliwości programistów software zawsze oznaczają trudniejsze do wykrycia wirusy. Sama koncepcja oprogramowania adaptacyjnego nie jest niczym szczególnie nowym. To, co stawia malware poli- i metamorficzny w nowym świetle to galopujący rozwój technologii sztucznej inteligencji. W tym znaczeniu możemy spodziewać się całkowicie nowych form złośliwego oprogramowania. W związku z tą ewolucją, budowanie firmowego security w oparciu o klasyczne rozwiązania AV mija się z celem.

Wyeliminowanie ryzyka już na poziomie przeciętnego użytkownika jest o tyle ważne, że możliwości replikacji i rozmnażania tych typów są imponujące. Istnieje wiele rodzajów zagrożeń, które potrafią penetrować naszą sieć niezauważenie – wtedy mówimy o tzw atakach bocznych. Polimorficzny i metamorficzny malware też może się do nich przyczynić. Szczególnie, że w dobie współczesnego Internetu sieć pozwala na większą integrację komponentów niż kiedykolwiek wcześniej. A to jak wiemy pociąga za sobą nie tylko korzyści, ale również i niebezpieczeństwa. Zwłaszcza w świetle zastosowania sztucznej inteligencji na polu tworzenia złośliwego oprogramowania.

Niezależnie jednak od kierunku, w którym podąży rozwój polmorphic i metamorphic malware – oraz innych zagrożeń – podstawą bezpieczeństwa organizacji jest świadomość. Dlatego warto wiedzieć, na czym polega ten typ wirusów i dlaczego standardowe mechanizmy nie działają. Jeśli w naszej organizacji każdy będzie przestrzegał podstawowych dobrych praktyk security, morficzny malware nie będzie stanowił większego zagrożenia.

Inteligentne miasto – wyzwanie dla cyberbezpieczeństwa

Powstawanie inteligentnych miast (smart cities) to już nie pieśń przyszłości, ale znak naszych czasów. W efekcie intensywnej urbanizacji szacuje się, że 60% populacji będzie zamieszkiwać miasta do 2050 r. Ponadto coraz więcej technologii wkracza w obszary życia codziennego, co wiąże się ze zmianą podejścia do miejsca zamieszkania i jego warunków. Inteligentne miasto to koncepcja, której założeniem jest poprawa środowiskowych, finansowych i społecznych aspektów życia. Innymi słowy – zastosowana w nim technologia smart ma poprawić jakość życia mieszkańców. Instytucje opiniotwórcze w zakresie nowoczesnych technologii zakładają intensywny rozwój inteligentnych miast jako odpowiedź na potrzeby współczesnego świata. Ogromną rolę odgrywa w tym podejściu czwarta rewolucja przemysłowa czyli integracja systemów, maszyn i ludzi m.in. za pomocą Internet of Things (IoT).

Smart cities składają się z wysoce złożonej, współzależnej sieci urządzeń, systemów, platform i użytkowników. Inteligentna energia, media, woda i odpady, parking i motoryzacja, przemysł i produkcja, automatyka budynków, e-administracja i telemedycyna to tylko niektóre ich dziedziny. Projekty rozwoju inteligentnych miast wykorzystują możliwości współczesnej techniki do opracowywania wydajniejszych i bardziej zrównoważonych rozwiązań. Zdarza się jednak, że cyfrowe inwestycje w bezpieczeństwo są poważnie opóźnione, przez co ekosystem IoT staje się podatny na zagrożenia. W szczególności sytuacja ta dotyczy inteligentnych miast, które opierają się na Internecie Rzeczy.

Jak inteligentne miasta mają poprawić jakość życia?

Istnieje wiele definicji inteligentnego miasta, z ogólnym założeniem dotyczącym poprawy warunków bytowych ludności przy minimalizacji kosztów. Aby to zapewnić, konieczne jest wykorzystanie inteligentnych czujników i technologii telekomunikacyjnych. Dzięki temu obecny w smart cities Internet Rzeczy będzie mógł łączyć każdą warstwę miasta. Można stwierdzić, że czerpanie danych ze wszystkich możliwych połączonych źródeł i wykorzystywanie ich do poprawy jakości życia czyni miasto inteligentnym. Z drugiej strony, można też posłużyć się miarą efektywności optymalizacji wszystkich kluczowych obszarów aglomeracji. Założeniem jest wówczas pozyskanie najlepszych praktyk dla wszelkich działań i zdarzeń w mieście, ale z uwzględnieniem kontekstu obywatela.

Spojrzenie na mieszkańca jako osobę o indywidualnych potrzebach pozwala na wyodrębnienie specyficznych grup odbiorców. To właśnie dla nich inteligentne miasto oferuje usługi kontekstowe. Sposobem na poprawę jakości życia mieszkańców są aplikacje mobilne, dopasowane do spełnienia konkretnych potrzeb i oczekiwań. Przykładowo aplikacja pozwalająca na jak najszybszy i bezproblemowy dojazd do wolnego miejsca parkingowego. W zatłoczonym mieście, w godzinach szczytu może być to problematyczne. Tymczasem dzięki aplikacji zbierającej dane z czujników rozmieszczonych na miejscach parkingowych, można dokładnie sprawdzić, gdzie konkretnie należy się udać. Uwzględnienie przez aplikację natężenia ruchu i innych parametrów dodatkowo podniesie wartość takiej usługi.

Wartością łączoną z powstawaniem inteligentnych miast jest troska o ekonomię – najlepiej generując samodzielny, inteligentny ekosystem – oraz ochronę środowiska. Smart cities mają w swoim założeniu zapewnienie nowoczesnych technologii dla dostaw energii. Jednym z wiodących na tym polu miast jest Kopenhaga, która została pierwszą stolica z zerową emisją dwutlenku węgla. Na nieco mniejszą skalę, możnaby zaproponować technologię inteligentnego gospodarowania odpadami. W ten sposób czujniki, znajdujące się w pojemnikach, dokonują analizy swojej zawartości oraz informują odpowiednie instytucje w momencie zapełnienia. Taka usługa połączona z całościową wizją przemyślanego gospodarowania zasobami i odpadami komunalnymi czyni miasto wizjonerskim i przyszłościowym.

Znaczenie inteligentnych miast

Czwartą rewolucję przemysłową, w której żyjemy, określają nie tylko zmiany technologiczne ale i socjologiczne. Jej kolebkę stanowią organizacje, przemysł i technika nierzadko związane ze środowiskiem miejskim. Urbanizacja staje się problemem, z którym będą musiały radzić sobie wszystkie miasta na świecie. Według raportu IDC wydatki na technologie inteligentnych miast na całym świecie osiągnęły w 2016 r. 80 mld USD, a do 2021 r. mają wzrosnąć do 135 mld USD. Przewiduje się też, że przemysł inteligentnych miast będzie rynkiem o wartości 400 miliardów dolarów do 2020 roku. Z kolei 600 miast na całym świecie ma wygenerować 60% światowego PKB do 2025 roku (McKinsey).

Inteligentne miasta mają więc znaczenie dla gospodarki, korzystny wpływ na środowisko oraz zmierzają do transformacji doświadczenia mieszkańców i gości.

“Jednym z najważniejszych powodów tworzenia smart cities jest możliwość komunikacji ze środowiskiem w sposób, jakiego nigdy wcześniej nie mieliśmy . Dzięki możliwościom inteligentnego miasta możemy doświadczyć bezpośredniej interakcji z naszym otoczeniem. Mogą to być znajdujące się wokół nas fizyczne obiekty, ale też dostępne za ich pośrednictwem usługi i możliwości. Co więcej, nie tylko uzyskujemy informacje. Inteligentne miasto zapewnia dwukierunkowy dialog między osobą a jej otoczeniem oraz usługami umożliwiającymi działania w tej przestrzeni”

Mrinalini Ingram, Cisco System, szef Smart City Initiative w Verizon

Wydaje się, że inteligentne miasta mają bardzo rozległy wpływ na wiele obszarów. Wspólnym kierunkiem wszystkich zaangażowanych w ich powstanie jest zrównoważone korzystanie z zasobów naturalnych ziemi. Organizacja SmartCitiesWorld zajmuje się analizą inteligentnych miast pod kątem komunikacji, danych, mediów, transportu, inteligentnych budynków i zarządzania. Zespół badaczy przygotował na bazie ich platformy kilka raportów poświęconych inteligentnym miastom. Z europejskich miast wyróżniono Amsterdam, Barcelonę, Kopenhagę, Dortmund, Dublin, Helsinki, Londyn, Manchester, Milton Keynes i Paryż. Z kolei w zestawieniu „The 2017 Smart Cities Index” opracowanym przez EasyPark Group, Warszawa znajduje się na 89 miejscu na 100.

Optymalizacja a bezpieczeństwo

Dla coraz większej liczby organizacji wydatki na cyberbezpieczeństwo zaczynają odgrywać coraz większą rolę. ABI Research, prowadzące badania nad globalnym rynkiem technologii, zauważa, że w przypadku inteligentnych miast kwoty te mogą okazać się niewystarczające. Wprawdzie branże  z kategorii ICT oraz przemysł obronny będą stanowiły 56% światowych wydatków na cyberbezpieczeństwo w 2024 r. Pozostałe 44% zostanie podzielonych między sektory energetyczny, opieki zdrowotnej, bezpieczeństwa publicznego, transportu oraz gospodarki wodnej i odpadów . W konsekwencji tak rozległego podziału, obszary te mogą pozostać niedofinansowane i niezwykle podatne na ataki cybernetyczne.

Według analityków z ABI Research inteligentne miasta są coraz częściej atakowane przez różne zagrożenia. Należą do nich:

  • wyrafinowane cyberataki na krytyczną infrastrukturę,
  • zatrzymanie przemysłowych systemów kontroli (ICS),
  • nadużywanie sieci rozległych o niskiej mocy LPWAN (Low-Power Wide-Area Network),
  • zrywanie komunikacji z urządzeniami,
  • krytyczne incydenty z wykorzystaniem ransomware,
  • manipulowanie danymi z czujników w celu wywołania konkretnych zachowań (np. powszechnej paniki w przypadku systemów wykrywania katastrof),
  • kradzież danych osobowych, w tym wrażliwych danych związanych z aktywnością mieszkańców.

Szacuje się, że do 2024 r. będzie około 1,3 mld sieci inteligentnych miast. W miarę jak IoT staje się coraz większy, lista protokołów komunikacyjnych rywalizujących o zasilanie sieci WAN staje się coraz dłuższa i bardziej złożona. Oczekuje się, że prawie 50% tych połączeń będzie typu LPWA-LTE i LPWA Proprietary.

Choć LTE stało się synonimem mobilnych usług transmisji danych, ma również iteracje specyficzne dla zastosowań IoT. W szczególności ze względu na zoptymalizowanie pod kątem stopniowo malejącej przepustowości i co za tym idzie optymalnego zużycia energii przez urządzenie. Korzystając z Proprietary LPWA można skonfigurować prywatną sieć bez certyfikacji, która pozwala na szybsze uruchomienie. Niektóre protokoły LPWA, takie jak NB-IoT, próbują rozwiązać przynajmniej część problemów cyberbezpieczeństwa. Pozostaje jednak faktem, że te z natury lekkie wersje komórkowe mają na celu obniżenie kosztu przepustowości, zwiększenie zasięgu i opóźnienie.

Czy standard 5G rozwiąże problem z bezpieczeństwem?

Obecne możliwości konfiguracji sieci nie są w stanie poradzić sobie ze zwiększoną liczbą cyberzagrożeń w połączonym środowisku inteligentnego miasta. Eksperci z ABI Research wymieniają podatności takiej infrastruktury.:„Brak środków kryptograficznych i słabe zarządzanie kluczami szyfrującymi. Dalej –  nieistniejące zabezpieczenia usług i podatne na manipulacje  technologie uczenia maszynowego. Wreszcie słabe zrozumienie inżynierii społecznej oraz brak ochrony np. przeciwko atakom DDoS to tylko niektóre z kluczowych problemów”. Należałoby kompleksowo wzmocnić ochronę przed zagrożeniami w ekosystemach inteligentnych miast. Niestety, sytuację dodatkowo pogarsza brak należytych inwestycji w bezpieczeństwo cyfrowe. A to z kolei może zagrozić kluczowym elementom inteligencji, wydajności i stabilności przyszłych wdrożeń inteligentnych miast.

Wiele nadziei pokłada się w nadchodzącym standardzie LTE 5G, choć dla IoT może to być wciąż odległa kwestia. Minie zapewne sporo czasu, zanim nowy standard zostanie dostosowany do tego by pracować w ramach Internetu Rzeczy. To co jest najistotniejsze z punktu widzenia użytkowania IoT w inteligentnych miastach to cenę, zasięg i niższe zużycie energii. Kwestie bezpieczeństwa zajmują dalsze miejsca na liście priorytetów i założeń. Można więc wywnioskować, że ulepszenie standardu łączności nie rozwiąże problemów z cyberbezpieczeństwem w sposób samoistny. W ochronę infrastruktury IT inteligentnych miasta, ale i np. środowisk przemysłowych trzeba będzie jeszcze włożyć trochę wysiłku.

Przegląd najbardziej znanych i najgroźniejszych ataków APT

Advanced Persistent Threat czyli zaawansowane, trwałe zagrożenie to szczególny przypadek cyberataku. Zazwyczaj opisuje się je jako działania sponsorowane przez państwa lub organizacje o globalnym zasięgu. Ataki służą cyberprzestępcom do uzyskania dostępu do kluczowych zasobów, pozostając niewykrytymi przez ofiary. Ponieważ, wiele niszczycielskich, uporczywych zagrożeń zostało stworzonych dekadę temu, obecne organizacje teoretycznie powinny być w stanie na nie odpowiedzieć. Ze względu na intensywny rozwój technologii i narzędzi, postępy czynione są nie tylko przez producentów rozwiązań security ale i atakujących. Ostatnio analizowaliśmy jak cyberprzestępcy wykorzystują sztuczną inteligencję do swoich celów. Dziś przyjrzymy się najpopularniejszym i najgroźniejszym atakom APT.

advanced persistent thereat
Cykl życia zagrożeń APT, źródło tutaj

Pierwszy opublikowany atak na wojskowe placówki badawcze został wykryty już pod koniec lat 80. Wówczas hakerzy z Niemiec Zachodnich przeniknęli do sieci komputerów w Kalifornii, aby pozyskać informacje związane z programem „Gwiezdne wojny”. Opis tego szczególnego zestawu ataków znajduje się w książce z 1989 roku „The Cuckoo’s Egg: Tracking a Spy Through the Maze of Computer Espionage” autorstwa Clifforda Stolla, z Lawrence Berkeley National Laboratory. Działalność hakerów wykrył przypadkiem, podczas weryfikowania rozbieżności księgowych na kilku kontach.

Stoll odkrył, że wtargnięcie pochodziło z uniwersytetu w Niemczech Zachodnich poprzez łącze satelitarne. Następnie ustawił pułapkę ze szczegółami fikcyjnego kontraktu Gwiezdnych wojen, umożliwiając władzom Niemiec Zachodnich zlokalizowanie hakera. Był nim student o nazwisku Markus Hess, który sprzedawał skradzione informacje sowieckiemu KGB. Hess został osądzony i uznany za winnego szpiegostwa w 1990 roku i wysłany do więzienia. W konsekwencji incydent ten pomógł podnieść świadomość w środowiskach wywiadu i bezpieczeństwa na temat potencjalnego ataku ofensywnego. Ujawniał też rażące podatności ówczesnych sieci komputerowych. Już wtedy badacze przypuszczali, że kolejne ataki zmaterializują się w nadchodzących latach.

EternalBlue

Wprawdzie EnternalBlue nie jest złośliwym oprogramowaniem w klasycznym znaczeniu tego słowa, jest raczej exploitem, natomiast jest wiązany z atakami APT. Z tego tytułu został zawarty w tym zestawieniu. EternalBlue stworzyło NSA i pojawił się on w kwietniu 2017 r., podczas gdy grupa tajemniczych hakerów znana jako The Shadow Brokers opublikowała kod online. Co ciekawe, pierwszy raz użyto go w kampaniach wydobywających kryptowaluty. Natomiast stał się powszechnie znanym i rozpoznawalnym po tym, jak przyczynił się do trzech wybuchów ransomware w 2017 roku, a mianowicie WannaCry, NetPetya i Bad Rabbit.

Od tego czasu EternalBlue nadal egzystuje w cyberprzestrzeni. Przykładowo jako mechanizm rozprzestrzeniania się zagrożenia na inne systemy w zaatakowanych sieciach, wykorzystując podatności systemu Windows.

WannaCry

Wirus WannaCry zapoczątkowao trzy wybuchy ransomware w 2017 r. Były one odmianami oprogramowania szyfrującego, stworzonymi przez sponsorowanych hakerów. Pierwszy z nich, WannaCry, został opracowany przez hakerów z Korei Północnej, wyłącznie w celu infekowania ofiar i zbierania okupów za reżim w Pjongjangu, który w tym czasie podlegał surowym sankcjom ekonomicznym. Aby złagodzić wpływ tych sankcji, wykorzystano cyberprzestępców do rabowania banków, wydobywania kryptowaluty lub przeprowadzania operacji ransomware w celu gromadzenia funduszy.

Jednak błędy w kodzie WannaCry spowodowały, że zamiast działać tylko w sieciach lokalnych, samoreplikujący się, wewnętrzny komponent wydostał się na zewnątrz. Robak szybko rozprzestrzenił się, w efekcie powodując globalną epidemię. Według MalwareTech 100 000 grup w co najmniej 150 krajach i ponad 400 000 maszyn zostało zainfekowanych tym wirusem. To statystyki za 2017 r., natomiast całkowity koszt tego ataku wyniósł około 4 mld USD.

NotPetya

Dwa miesiące po WannaCry na świecie wybuchła druga epidemia oprogramowania ransomware. Oprogramowanie ransomware, nazywane NotPetya, zostało zakodowane przez rosyjską grupę Fancy Bear (APT28) i początkowo zostało wdrożone tylko na Ukrainie.

Jednak z powodu wspólnych sieci i korporacyjnych sieci VPN oprogramowanie ransomware rozprzestrzeniało się na całym świecie, podobnie jak WannaCry, powodując miliardy szkód. Podobnie jak WannaCry, NotPetya wykorzystał exploit EternalBlue jako centralny element swojego robaka. Zagrożenie to dotarło do Polski i wśród naszych organizacji wyrządziło prawdopodobnie więcej szkód niż WannaCry. Swego czasu Kaspersky Lab informował, że jesteśmy na trzecim miejscu pod względem strat. Bardziej ucierpiały tylko Rosja i Ukraina.

Bad Rabbit

Ostatni globalny wybuch ransomware w 2017 r. Był również dziełem hakerów z Rosji, którzy wdrożyli go na Ukrainie. Podobnie jak w poprzednich przypadkach, oprogramowanie ransomware rozprzestrzeniło się na cały świat, choć miało mniejszy wpływ w porównaniu do WannaCry i NotPetya. Bad Rabbit zaraził m.in. agencję prasową Interfaks oraz lotnisko w Odessie. W przeciwieństwie do NotPetya, nie używał EternalBlue jako głównego mechanizmu rozprzestrzeniania, a także zawierał wiele odniesień do Game of Thrones.

Stuxnet

To tak znany przykład Advanced Persistent Threat, że doczekał się nawet filmu na swój temat. W roku 2000 Stuxnet opracowały wspólnie amerykańskie NSA i izraelska jednostka 8200. Został on wdrożony w 2010 roku w Iranie, w ramach wspólnego wysiłku obu krajów w celu sabotażu irańskiego programu nuklearnego.

Stuxnet został specjalnie przygotowany do ataku na docelowe, przemysłowe systemy sterowania. Jego rolą była modyfikacja ustawień wirówek wykorzystywanych do operacji wzbogacania jądrowego poprzez zwiększanie i zmniejszanie prędkości wirników. W efekcie wzbudzało to wibracje niszczące maszyny. Stuxnet odniósł sukces, infekując ponad 200 000 komputerów. Co więcej, w samym obiekcie jądrowym Natanz ostatecznie zniszczył prawie 1000 wirówek.

Warto wspomnieć, że do swego działania Stuxnet wykorzystywał co najmniej kilka wówczas nie załatanych podatności. Część z nich była powiązana z wbudowanym oprogramowaniem komponentów zwanym firmware. O tym jak ważne jest bezpieczeństwo firmware pisaliśmy wcześniej tutaj.

Duqu

Pierwsza wersja Duqu została odkryta przez węgierskich badaczy bezpieczeństwa w 2011 roku. Została wdrożona, aby wspomóc ataki Stuxnet. Wariant Duqu 2.0 ujawniono w 2015 roku i przyczynił się on do naruszenia bezpieczeństwa sieci Kaspersky Lab. Duqu 2.0 znaleziono również na komputerach w hotelach w Austrii i Szwajcarii, gdzie miały miejsce międzynarodowe negocjacje między USA / UE a Iranem, dotyczące programu nuklearnego i sankcji ekonomicznych.

W przeciwieństwie do Stuxnet, Duqu jest przeznaczony do gromadzenia informacji, a nie powodowania szkód. W szczególności przechwytuje dane jak naciśnięcia klawiszy i informacje systemowe. Celem tej agregacji jest najprawdopodobniej umożliwienie przyszłego ataku APT na przemysłowe systemy sterowania. Badacze z Kaspersky Lab zauważyli, że w przeciwieństwie do wielu innych szkodliwych programów, kod dzieli podobieństwa z profesjonalnie produkowanym oprogramowaniem komercyjnym. Sugeruje to, że został on opracowany przez profesjonalistów oprogramowania, a nie hakerów komputerowych. Analiza Duqu wykazała również, że szkodliwe oprogramowanie zbudowano na wcześniejszej platformie o nazwie Tilded (ze względu na ~ d na początku tworzonych nazw plików), która powstała już w 2007 roku.

Regin

Uważany jest za najbardziej zaawansowaną rodzinę Advanced Persistent Threat, jaką kiedykolwiek stworzono w ramach “narodowych” działań. Regin opracowało NSA i udostępniło niektórym partnerom Five Eyes (przede wszystkim GCHQ). Jego istnienie ujawniono publicznie w 2014 roku, ale najwcześniejsze próbki pochodzą z 2011 roku. Istnieją podejrzenia, że szkodliwe oprogramowanie zostało utworzone już w 2003 roku.

Znane przypadki wykorzystania Regin obejmują belgijski telco Belgacom (przeciwko rządowi niemieckiemu), a najnowszy przypadek to rosyjski gigant wyszukiwania Yandex. Na poziomie technicznym analitycy bezpieczeństwa postrzegają Regina jako najbardziej zaawansowaną do tej pory platformę szkodliwego oprogramowania. A to ze względu na moduły, zawierające dziesiątki funkcji, z których większość zaprojektowano w oparciu o operacje nadzoru. Co więcej, część z nich do dziś pozostaje niewykryta na zainfekowanych hostach.

Flame

Kiedy odkryto go w 2012 roku, Flame był tak zaawansowany, że aby opisać jego strukturę, użyto terminu „zestaw narzędzi do ataku”. Przypomina on nieco Advanced Persistent Threat Regin, ponieważ podobnie jak poprzednik zawiera zbiór modułów. Działają one na bazie frameworka Flame i wdraża się je w oparciu o natywne narzędzia. Flame odkryto w 2012 r. przez MAHER Center of Iranian National CERT w atakach na agencje rządowe tego kraju. Odkrycie nastąpiło dwa lata po atakach Stuxnet. Następnie zostało szybko powiązane z Equation Group, kryptonimem amerykańskiej NSA. Powieliło się to później w atakach na inne władze Bliskiego Wschodu.

Shamoon

Shamoon opracowali hakerzy z Iranu. Po raz pierwszy został wdrożony w 2012 r., w sieci największego producenta ropy w Arabii Saudyjskiej. Złośliwe oprogramowanie zniszczyło ponad 30 000 komputerów podczas ataku w 2012 roku. Po raz kolejny użyto go w ataku w 2016 r., przeciwko temu samemu celowi. Z kolei ostatnio wykorzystano go przeciwko włoskiemu dostawcy ropy i gazu Saipem, rzekomo niszcząc 10% floty komputerów firmy.

Shamoon wyłącza komputery, zastępując kluczowy plik zwany głównym rekordem rozruchowym, uniemożliwiając uruchomienie urządzeń. Były sekretarz obrony USA Leon Panetta powiedział, że atak Shamoon z 2012 roku przeciwko Saudi Aramco był prawdopodobnie najbardziej destrukcyjnym cyberatakiem do tej pory w prywatnym biznesie.

Industroyer

Złośliwe oprogramowanie Industroyer, znane również jako Crashoverride, to framework szkodliwego oprogramowania opracowany przez rosyjskich hakerów państwowych. Pojawił się w grudniu 2016 r. podczas cyberataków na ukraińską sieć energetyczną. Atak zakończył się sukcesem i na godzinę odciął dostęp energii elektrycznej do części Kijowa.

Szkodliwe oprogramowanie uważa się za ewolucję wcześniejszych odmian, takich jak Havex i BlackEnergy. Obie były również wykorzystywane w atakach na ukraińską sieć energetyczną. Jednak bardziej przypominały ogólne złośliwe oprogramowanie, wdrażane na systemach zarządzających systemami przemysłowymi. W odróżnieniu od nich, Industroyer zawierał komponenty zaprojektowane specjalnie do współpracy z urządzeniami sieci energetycznej Siemens.

Warto pamiętać, że mimo iż Industroyer nie zagroził naszym rodzimym organizacjom, to w Polsce znaleziono ślad oprogramowania BlackEnergy.

Triton

Nowszym dodatkiem do tej listy jest Triton, który występuje też pod nazwą Trisis. Uważa się, że to złośliwe oprogramowanie zostało opracowane przez rosyjskie laboratorium badawcze. Zaprojektowano go specjalnie do współpracy ze sterownikami Schneider Electric Triconex Safety Instrumented System (SIS) i wdrożony w 2017 roku . Według raportów technicznych, zadaniem tego malware było nagłe zamknięcie procesu produkcyjnego lub zezwolenie na pracę maszyn w niebezpiecznym stanie. Kod złośliwego oprogramowania wyciekł, a ostatecznie opublikowano go na GitHub.

O Tritonie pisaliśmy omawiając podatności przemysłowych systemów sterowania, ale nie tylko. Najnowszym dzieckiem twórców tego malware jest Xenotime, o którym również pisaliśmy.

Gozi

Na zakończenie przypomnijmy zagrożenie Advanced Persistent Threat, które w naszym kraju odegrało znaczącą rolę. Mowa o Gozi, czyli wirusie bankowym odkrytym w 2007 roku. Zainfekował on ponad milion komputerów w Stanach Zjednoczonych, Wielkiej Brytanii, Niemczech, Polsce, Francji, Finlandii, Włoszech, Turcji i innych krajach. Ataki dotknęły również systemy w NASA. Skutki jego działalności spowodowały dziesiątki miliony dolarów straty. Autorstwo tego wirusa przypisuje się Rosjanom, a konkretnie Nikicie Kuzmin.

Początkowo zaprojektowany w celu przechwytywania i przesyłania osobistych informacji bankowych, w późniejszych wersjach zawierał możliwość przechwytywania ruchu przeglądarki i modyfikowania komunikacji internetowej. Rozpowszechniano go wśród ofiar za pomocą różnych metod, najczęściej zamaskowanych, na przykład jako “łagodny” dokument PDF. Mimo aresztowania głównego odpowiedzialnego w USA w listopadzie 2010 r., banki nadal doświadczają ataków ze strony nowych wariantów Gozi. Przykładowo, wersja z początku 2013 r., infekuje Master Boot Record czyli główny rekord rozruchowy dysku twardego. W skutek tego, konsekwencji ataku nie da się łatwo zniwelować nawet przez ponowne sformatowanie i ponowną instalację systemu operacyjnego.

Dalszy kierunek Advanced Persistent Threat

W żadnym zestawieniu nie sposób jest ująć wszystkie typy i rodzaje zagrożeń. Te, które zostały wymienione stanowią grupę najpopularniejszych i najbardziej niebezpiecznych. Większość z nich ma wiele wspólnych cech takich jak:

  • opracowanie przez hakerów “narodowych” czyli na zlecenie państwa
  • pojawienie się “na rynku” w odpowiednim momencie – np. podczas konfliktów ekonomicznych lub zbrojnych
  • cel stanowi paraliż instytucji o kluczowym znaczeniu dla państw – najczęściej powiązanych z przemysłem energetycznym i paliwowym
  • atak przebiegający etapowo i możliwie jak “najciszej”, co sprawia, że jest niewykrywalny na wczesnym etapie
  • wyrafinowane techniki, przemyślana droga infekcji i doskonałe rozeznanie w słabych punktach ofiary

Gdybyśmy chcieli się zastanowić nad dalszym kierunkiem rozwoju tych zagrożeń, to musielibyśmy uzmysłowić sobie jak w ogóle rozwija się technologia. Na łamach SECURMESS wielokrotnie podkreślamy, że działania atakujących i obrońców w cyberprzestrzeni następują równolegle. Jeśli pojawia się jakaś technologia, odkryty zostaje dany patent, to zwykle nie trzeba długo czekać, aż trafi w niepowołane ręce. Na przykład ostatnio pisaliśmy o tym, jak cyberprzestępcy wykorzystują sztuczną inteligencję do swoich celów. Powinniśmy się zatem spodziewać, że pojawiające się zagrożenia Advanced Persistent Threat będą dopasowane do realiów Industry 4.0. W związku z tym na polu działań twórców zagrożeń można założyć:

  • rozwój zagrożeń związanych z inteligentnymi urządzeniami,
  • przeniesienie ataków sprawdzonych w Internet of Things na poziom Industral Internet of Things,
  • intensyfikację prac nad wykorzystaniem AI w cyberatakach ze względu na wchodzący w 2020 roku standard łączności 5G,
  • tworzenie złośliwego oprogramowania na WSZYSTKIE systemy operacyjne, nie tylko Android i Windows, które stanowią obecnie większość ofiar,
  • modyfikację znanych ataków APT na przemysłowe sieci w celu uzyskania konkretnych korzyści.

Jak cyberprzestępcy wykorzystują AI do swoich celów

O powszechności sztucznej inteligencji i wkraczaniu jej w wiele obszarów życia człowieka nie trzeba wspominać. O historii AI i jej znaczeniu dla nowoczesnego przemysłu możecie przeczytać w poprzednim artykule na ten temat. Na polu cyberbezpieczeństwa sztuczna inteligencja również odgrywa coraz większą rolę. Niestety, nie tylko służąc zwiększeniu bezpieczeństwa dzięki zaawansowanym funkcjom i technologiom. Okazuje się bowiem, że również cyberprzestępcy wykorzystują AI aby osiągnąć swoje cele.

Zanim jednak przejdziemy do tego jak to się dzieje, przyjrzyjmy się jakie podejście do AI reprezentują współcześni odbiorcy nowoczesnych technologii. W szczególności pod kątem bezpieczeństwa cybernetycznego.

Podejście do AI i bezpieczeństwa przez współczesne organizacje

W zeszłym miesiącu Capgemini opublikowało raport Capgemini Reinventing Cybersecurity with Artificial Intelligence Report. Publikacja jest efektem badania na grupie 850 kierowników wyższego szczebla z siedmiu branż, w tym produktów konsumenckich, handlu detalicznego, bankowości, ubezpieczeń, motoryzacji, mediów i telekomunikacji. 20% respondentów wykonawczych to CIO (Chief Information Officer), a 10% to CISO (Chief Information Security Officer). W raporcie uwzględniono przedsiębiorstwa z siedzibą w krajach europejskich i nie tylko. Powołując się na wyniki raportu:

  • 61% przedsiębiorstw twierdzi, że nie może dziś wykryć prób naruszenia bezpieczeństwa bez użycia technologii sztucznej inteligencji.
  • 48% twierdzi, że ich budżety na sztuczną inteligencję w cyberbezpieczeństwie wzrosną średnio o 29% w roku budżetowym 2020.
  • 69% przedsiębiorstw uważa, że AI będzie koniecznością, aby zareagować na cyberataki.
  • 80% firm telekomunikacyjnych twierdzi, że liczy na sztuczną inteligencję, która pomoże zidentyfikować zagrożenia i udaremnić ataki.

Instytut Badawczy Capgemini twierdzi, że wraz z rozwojem cyfryzacji ryzyko cyberataków wzrasta wykładniczo. 21% badanych stwierdziło, że ich organizacja doświadczyła naruszenia bezpieczeństwa cybernetycznego prowadzącego do nieautoryzowanego dostępu w 2018 roku.

Z pewnością już dziś organizacje płacą wysoką cenę za naruszenia bezpieczeństwa cybernetycznego: 20% zgłasza straty przekraczające 50 milionów USD. Ponadto stwierdzono, że 74% wszystkich naruszeń dotyczyło dostępu do konta uprzywilejowanego. Nie jest tajemnicą, że to najpopularniejsza technika hakerów do inicjowania naruszeń. Tymczasem sztuczna inteligencja może wspomóc wiele obszarów bezpieczeństwa:

  • zapobieganie zagrożeniom z zewnątrz – identyfikacja trendów w pojawiających się malware i spyware,
  • wykrywanie zagrożeń wewnętrznych – np luk w infrastrukturze, działań pracowników, analiza podejrzanego zachowania aplikacji,
  • zapewnienie jak najszybszej reakcji na zagrożenie : zatrzymywanie złośliwego oprogramowania, łagodzenie skutków ataków.

73% przedsiębiorstw badanych przez Capgemini testuje obecnie rozwiązania security oparte na AI. Szczególnym priorytetem jest bezpieczeństwo punktów końcowych: Przewiduje się wzrost urządzeń IoT/IIoT do ponad 25 miliardów w 2021 r. W konsekwencji powoduje to zwiększanie powierzchni zagrożeń oraz nowe możliwości dla sztucznej inteligencji.

Problem z prywatnością, zmianą i… kontrolą świata

Inteligentne urządzenia określane są mianem smart i pod taką nazwą funkcjonują w wielu dziedzinach życia codziennego. Badania sugerują, że ci, którzy są bardziej otwarci na technologie sztucznej inteligencji, pozytywnie oceniają jej rolę w zapewnieniu cyberbezpieczeństwa. Równocześnie okazuje się, że użytkownicy inteligentnych technologii mają mieszane odczucia co do własnego bezpieczeństwa i prywatności. 43% respondentów z regionu EMEA ma zastrzeżenia, co do bezpieczeństwa użytkownika w kontekście Internetu Rzeczy.

Według analityków jest to normalne zachowanie, bowiem zwykle obawiamy się tego, czego nie znamy. W przeszłości wiele z ówczesnych wynalazków budziło w ludziach lęk bądź potrzebowało czasu aby przekonać do siebie większość. Co więcej, mimo że innowacje wiązały się z poprawą jakości życia (np. elektryczność) i tak spotykały się z rezerwą u części społeczeństwa. Wielu ludzi postrzega zmiany jako ryzyko a z natury jesteśmy niechętni do podejmowania ryzyka. Przykłady z historii i współczesności pokazują, że wystarczy zrozumienie i czas. Wykorzystanie technologii jako wsparcia dla ludzkich możliwości znajduje też odzwierciedlenie w podejściu człowieka do wielu zagadnień.  Przerzucenie odpowiedzialności za bezpieczeństwo na gotowe rozwiązania w tym sztuczną inteligencję jest tego przykładem.

Godnym uwagi jest fakt, jakie wyobrażenie nadal ma część ludzkości na temat sztucznej inteligencji. Wciąż zdarzają się głosy, że pewnego dnia AI zwróci się przeciwko nam i zacznie atakować ludzi samodzielnie. A już w najlepszym przypadku będziemy tylko kontrolowani przez inteligentne maszyny. Powielając takie teorie, wyolbrzymiamy nasze możliwości technologiczne. Jesteśmy dopiero na samym początku drogi współpracy ze sztuczną inteligencją. Jak się okazuje, to nie inteligentne urządzenia dybią na nasze życia. Obecna rzeczywistość jest taka, że to … ludzie regularnie atakują systemy AI.

ai w rękach cyberprzestepcow

W jaki sposób cyberprzestępcy wykorzystują AI?

Konsorcjum SHERPA , prowadzące badania nad możliwościami sztucznej inteligencji, stwierdza, że cyberprzestępcy mają dostęp do technik uczenia maszynowego. Ponadto, większość swoich wysiłków koncentrują oni na manipulowaniu istniejącymi systemami sztucznej inteligencji pod kątem złośliwych działań. Tworzenie nowych ataków wykorzystujących sztuczną inteligencje póki co nie jest opłacalne. Badania SHERPA koncentrują się na tym, jak w szkodliwy sposób można wykorzystywać AI, uczenie maszynowe i inteligentne systemy informacyjne. Naukowcy zidentyfikowali różne potencjalnie złośliwe zastosowania sztucznej inteligencji, które są w zasięgu dzisiejszych atakujących. Należą do nich tworzenie zaawansowanych kampanii dezinformacyjnych i socjotechnicznych.

Atak Sybil

Okazuje się, że ataki następują poprzez manipulowanie istniejącymi systemami sztucznej inteligencji wykorzystywanymi przez wyszukiwarki, firmy społecznościowe, strony rekomendacyjne i inne. Andy Patel z firmy F-Secure, badacz z Centrum Doskonałości Sztucznej Inteligencji, przyznaje, że dla wielu osób są to zaskakujące informacje:

„Ataki człowieka na sztuczną inteligencję faktycznie zdarzają się cały czas. Szczególnie szkodliwe są incydenty Sybil, które uderzają w narzędzia AI codziennego użytku. Częstymi ofiarami są systemy rekomendacji. Istnieją nawet firmy sprzedające usługi wspierające to zachowanie. Jak na ironię, dzisiejsze inteligentne systemy muszą bardziej obawiać się ludzi niż na odwrót.”

Ataki Sybil polegają na tym, że jeden podmiot tworzy i kontroluje wiele fałszywych kont w celu manipulowania danymi, które AI wykorzystuje do podejmowania decyzji. Popularnym przykładem tego ataku jest manipulowanie rankingami wyszukiwarek lub systemami rekomendacji w celu promowania lub obniżania poziomu niektórych treści. Jednak te ataki mogą być również wykorzystane do inżynierii społecznej osób w ukierunkowanych scenariuszach ataków.

Tego rodzaju ataki są już niezwykle trudne do wykrycia dla dostawców usług internetowych. Według Patela, jest wysoko prawdopodobne, że takie zachowanie jest znacznie bardziej rozpowszechnione, niż można podejrzewać. Jego opinia podparta jest wnioskami z szeroko zakrojonych badań podejrzanych działań na Twitterze.

Fałszywe treści

Już teraz sztuczna inteligencja osiągnęła poziom, w którym może wytwarzać niezwykle realistyczne treści pisane, dźwiękowe i wizualne. Według raportu SHERPA, niektóre modele AI zostały nawet ukryte przed opinią publiczną, aby zapobiec wykorzystywaniu ich przez cyberprzestępców. Istotny jest fakt, że zdolność do tworzenia przekonujących fałszywych treści jest znacznie bardziej wyrafinowana i zaawansowana niż możliwości technologiczne do ich wykrywania. A ponieważ AI wspiera tworzenie fałszywych treści, może nastąpić trudna do opanowania dezinformacja.

„Istnieje wiele różnych aplikacji do przekonujących, fałszywych treści, więc spodziewam się, że może to stać się problematyczne” – stwierdza Andy Patel. Oczywiście, można stwierdzić, że samo tworzenie fałszywych treści nie oznacza krytycznego zagrożenia dla organizacji. W przeciwieństwie do sytuacji, w której działania cyberprzestępców będą miały przełożenie na ludzkie zdrowie i życie. Na przykład przenosząc możliwości tworzenia fałszywych treści i komunikatów do infrastruktury przemysłowej i systemów użyteczności publicznej. Można sobie łatwo wyobrazić co to może oznaczać, chociażby w odniesieniu do komunikatów na dworcach, lotniskach, ekranach ostrzegawczych i innych miejscach.

W ubiegłych latach pojawiły się teorie odnośnie manipulacji danymi przez AI na korzyść decyzji politycznych. Z punktu widzenia technologii, jest to jak najbardziej realne. Podczas gdy osoby tworzące złośliwe oprogramowanie nazywamy hakerami, sprecyzowanie cienkiej granicy między marketingiem a manipulacją z wykorzystaniem AI jest problematyczne. Z pewnością jednak możemy założyć, że cyberprzestępcy będą się nadal uczyć, jak czynić systemy AI bardziej podatnymi na ich manipulacje.

newsy
Tworzenie fałszywych treści i manipulowanie danymi to jedne z możliwości sztucznej inteligencji

Człowiek po raz kolejny

Liczba sposobów, jakimi atakujący mogą manipulować inteligentnymi systemami, sprawia, że takie ataki są trudne do wykrycia i przewidzenia. Dodając do tego nieustanne ulepszanie algorytmów uczenia się, arsenał możliwości cyberprzestepców powiększa się. Można spotkać się już z takim pojęciem jak „wyścig zbrojeń AI” – który w zasadzie jest odwieczną walką między atakującymi a obrońcami, tyle, że na płaszczyźnie niespotykanych dotąd możliwości.

Zabezpieczanie systemów AI przed atakami może powodować problemy etyczne. Przykładowo, zwiększone monitorowanie aktywności może naruszać prywatność użytkowników. Pisaliśmy o tym szerzej, zastanawiając się nad bezpieczeństwem przemysłowego Internetu Rzeczy (IIoT). Te dylematy związane z przyjmowaniem założeń czwartej rewolucji przemysłowej będą niestety wykorzystywane przez cyberprzestępców. Tak jak musimy utrzymywać w dobrym stanie zabezpieczenia naszego środowiska IT & OT, tak samo powinniśmy być na bieżąco z zagrożeniami wykorzystującymi sztuczną inteligencję.  W końcu ataki na smart urządzenia IoT to nic nowego i mogą je przeprowadzać nawet nastolatki.

Z jednej strony, system jest tak dobry jak zaprojektował go człowiek. Tak samo nasza sieć jest tak bezpieczna, jak zabezpieczone jest jej najsłabsze ogniwo. Z drugiej jednak, reguły te tracą na znaczeniu w świecie sztucznej inteligencji. Za korzystanie z narzędzi i modeli AI w złośliwym oprogramowaniu zwykle biorą się zaawansowani i doświadczeni hakerzy. Niestety programy  bądź kody źródłowe aplikacji „mają tendencję” do rozprzestrzeniania się i bycia modyfikowanymi przez kolejne osoby o… niższych kwalifikacjach. Taką drogę przebył chociażby botnet Mirai, doczekawszy się kilkudziesięciu odmian.

Podsumowując, niemal każdą technologię można wykorzystać na wiele sposobów. Sztuczna inteligencja i jej możliwości mogą równie dobrze służyć cyberprzestępcom. Pocieszające jest to, że daleko nam do scenariusza, w którym złowrogie maszyny kontrolują świat. Wciąż naszym głównym cyberzagrożeniem pozostaje po prostu drugi człowiek.

https://www.forbes.com/sites/louiscolumbus/2019/07/14/why-ai-is-the-future-of-cybersecurity
https://www.capgemini.com/wp-content/uploads/2019/07/AI-in-Cybersecurity_Report_20190711_V06.pdf
https://www.helpnetsecurity.com/2019/07/09/ai-control-digital-security
https://www.helpnetsecurity.com/2019/07/16/abuse-artificial-intelligence

Wykorzystanie ruchu bocznego w atakach na sieci przemysłowe

Z angielskiego lateral movement można przetłumaczyć jako „ruch boczny”, który w kontekście sieci ma konkretne znaczenie. Odnosi się bowiem do specyficznych technik, stosowanych przez cyberprzestępców. Zazwyczaj chodzi o stopniowe poruszanie się po sieci, wyszukując kluczowe dane i zasoby, które docelowo będą stanowiły przedmiot ataku. Pod wieloma względami wykorzystanie bocznego ruchu stanowi największą różnicę między dzisiejszymi ukierunkowanymi atakami a uproszczonymi podejściami z przeszłości. Jest to szczególnie widoczne na polu ataków celujących w sieci przemysłowe, które określa się jako APT czyli zaawansowane, trwałe zagrożenie (Advanced Persistent Threat).

industral_landscape
Od czasu głośnego ataku Stuxnet z 2010 roku, różne gałęzie przemysłu są na celowniku cyberprzestępców.

Temat APT w przemyśle poruszaliśmy tutaj a ostatnio omówiliśmy konieczność dopasowania systemów i narzędzi do wymogów i skali naszej infrastruktury. Dziś pochylimy się nad tematem ataków bocznych, znaczenia ich wykrywalności w kontekście strategii cyberprzestępców. Ważne jest bowiem, aby zespoły bezpieczeństwa były w stanie szybko zareagować, powstrzymując zagrożenie przed zwiększaniem zasięgu w organizacji. Szczególnie pod kątem dotknięcia infrastruktury krytycznej. W jaki sposób ruch boczny pozwala cyberprzestępcom na dokonywanie włamań? Które zasoby stanowią furtkę dla atakujących? I jakie zastosowanie mają ataki boczne w przejęciu kontroli nad siecią przemysłową?

Co oznacza korzystanie z ruchu bocznego?

W praktyce zanim cyberprzestępcy zaczną korzystać z ruchu bocznego, dokonują jakiejś wstępnej infekcji. Przykładowo poprzez zaatakowanie pojedynczej stacji roboczej, która nie musi mieć oczywistego powiązania z docelowym punktem, do którego dążą. Po wstępnym jej skompromitowaniu,  hakerzy próbują jak najlepiej zorientować się w obrębie sieci. Oznacza to skupianie wysiłków na rozpoznaniu wewnętrznym, zbieraniu danych uwierzytelniających, ewentualnie – dalszemu atakowaniu wewnętrznych systemów. Często na tym etapie używa się wbudowanych narzędzi jak np. PowerShell ponieważ ich aktywność nie jest częścią procesu przeglądania dziennika bezpieczeństwa. W ten sposób cyberprzestępcy unikają wykrywania, co jak wiadomo jest kluczowym aspektem długoterminowych kampanii.

Kluczową rolę w procesie rozciągania zasięgu po sieci ofiary jest zbieranie danych uwierzytelniających. Zaczyna się od pierwszego punktu infekcji a następnie przenosi coraz dalej. Mogą to być dane do logowania do różnych miejsc w sieci dla poszczególnych użytkowników ale i nie tylko. Atakujący zazwyczaj próbują wyodrębnić poświadczenia, zwłaszcza te uprzywilejowane, na wiele sposobów. Przykładowo poprzez wyszukiwanie plików, które przechowują dane uwierzytelniające, rejestrowanie kluczy, zrzuty pamięci itp. Na podstawie danych, które uda się pozyskać na jednym etapie, cyberprzestępcy przechodzą do kolejnych. Nierzadko te same hasła otwierają drzwi do miejsc w infrastrukturze docelowej.

Innym sposobem rozprzestrzeniania się w sieci jest wykorzystanie niezałatanych systemów. W takim przypadku sieć jest sprawdzana pod kątem podatności, które są następnie wykorzystywane. Mimo że wielokrotnie luki w oprogramowaniu umożliwiały cyberataki, w kontekście ruchu bocznego takie podejście jest mniej powszechne. Jednym z powodów jest ryzyko czasochłonnego przeszukiwania sieci – nawet jeśli ofiara nie posiada zaktualizowanego systemu za chwilę może się to zmienić. Wówczas furtka z jakiej korzystają atakujący zostałaby zamknięta. Może się również zdarzyć, że hakerzy nie dysponują określonym narzędziem w swoim arsenale, który miałoby zastosowanie w atakowanym środowisku. Mogą się wówczas pokusić o stworzenie takiego exploita 0-day – tylko, że ponownie będzie to czasochłonne.

Pozyskiwanie danych z przeglądarki Chrome, źródło: Azeria-labs.com

Mocne i słabe punkty ataków bocznych

Współczesne zespoły IT w organizacjach, zwłaszcza tych o większej skali, są zwykle zalewane przez najróżniejsze zdarzenia związane z bezpieczeństwem. Przy braku odpowiedniego zarządzania incydentami i alertami można spędzić cały dzień weryfikując naruszenia, anomalie lub zgłoszenia od użytkowników. Kwestia priorytetyzacji zadań i zarządzania tym, czym mają się zajmować poszczególne osoby to temat na osobny artykuł. W tym momencie istotne jest zwrócenie uwagi na symptomy związane z obecnością ruchu bocznego. To wyraźny wskaźnik zagrożenia, które próbuje rozszerzyć swój zasięg wewnątrz sieci na kluczowe zasoby i dane. Zdolność do jego szybkiego i niezawodnego wykrywania jest obecnie jedną z najważniejszych umiejętności w zakresie cyberbezpieczeństwa.

Kluczowy element strategii atakujących i… obrońców

W większości przypadków cyberprzestępcy muszą migrować między urządzeniami, pozyskując uprawnienia dostępu aby ostatecznie otrzymać wgląd w najcenniejsze informacje. Oprócz zagłębiania się w sieć, ruch boczny zapewnia im dodatkowe punkty kontroli w atakowanej sieci. Dzięki tym „rezerwowym” pozycjom mogą zachować stałą obecność, podczas gdy zostaną wykryci na jednej z zainfekowanych maszyn. Ponieważ ruch boczny daje tak strategiczne podejście, jest jednym z najbardziej wyraźnych rozróżnień między atakiem ukierunkowanym a „standardowym” zagrożeniem. W związku z tym, że stosowanie ruchu bocznego jest tak korzystne dla atakującego, można by wnioskować, że mechanizmy obronne pozostają bezradne. Okazuje się jednak, że technika ta ma swoje minusy.

Godnym uwagi jest to, że faza ruchu bocznego nie pozwala cyberprzestępcom na kontrolę obu końców połączenia. Gdyby korzystali , np. z eksfiltracji to wówczas mogliby pozwolić sobie elastyczność i sposoby na ukrycie swojego ruchu. Problem polega na tym, że ruch boczny stawia ich w bardziej tradycyjnej pozycji, mającej konkretny węzeł i cel. To jednostronne podejście zmusza atakujących do ujawnienia się i zapewnia pole do popisu dla zespołów wykrywających zagrożenia. Oczywiście wymaga to od nich wiedzy czego i gdzie należy szukać. Przyda się zatem gruntowna znajomość słabych punktów sieci i monitoring w ich obrębie.

Ponadto warto wiedzieć, że atakujący niejednokrotnie muszą obracać się między tymi samymi zainfekowanymi hostami, aby „odbijać się” głębiej w sieci. Ten proces jest często wyraźnym wskaźnikiem bocznego ruchu w sieci a przede wszystkim – jest możliwy do wykrycia. Część działań atakujących jest zaplanowana z wyprzedzeniem i zautomatyzowana. Należy jednak pamiętać, że gdy zagrożenia i cyberataki stają się bardziej zaawansowane, oznacza to, że prawie zawsze zawierają silny element ludzki. A to oznacza kolejne słabe punkty i to ponownie po stronie napastników.

Czynnik ludzki

W atakach strategicznych zwykle stroną kierującą jest kreatywny człowiek, który właściwie (i po cichu) porusza się po wewnętrznej sieci, aby znaleźć naprawdę cenne dane. Oznacza to, że atakujący potrzebują zdalnego sterowania w czasie rzeczywistym nad urządzeniami sieciowymi ofiary, aby ruch boczny był udany. Może to przybrać formę narzędzi zdalnego pulpitu lub bardziej wyspecjalizowanych narzędzi do zdalnej administracji. Przykładem może być aplikacja typu RAT (Remote Access Trojan), który zapewni precyzyjną kontrolę ataku. Jak działają takie programy można się dowiedzieć na przykładzie Monokle, o którym pisaliśmy tutaj.

human_factor
W cyberbezpieczeństwie człowiek jest najsłabszym ogniwem – nie zapominajmy, że dotyczy to nie tylko ofiar ale i napastników.

Zachowanie osoby zewnętrznej kontrolującej proces wewnętrzny jest czymś, co narzędzia do analizy ruchu sieciowego mogą szybko rozpoznać. Co więcej, zachowanie związane z jakimkolwiek wewnętrznym rozpoznaniem lub podejrzanym zachowaniem powinno natychmiastowo zostać oznaczone czerwoną flagą.

Ponadto w technice ruchu bocznego często unika się złośliwego oprogramowania na rzecz kradzieży poświadczeń. Oczywiste jest, że podszywanie się pod prawidłowego użytkownika daje atakującym cichszy i subtelniejszy sposób rozprzestrzeniania się w sieci niż bezpośrednie wykorzystywanie wielu komputerów. W związku z tym niezwykle ważne jest, aby specjaliści ds. bezpieczeństwa w organizacjach mieli świadomość znaczenia zachowań behawioralnych. Idealnym scenariuszem byłaby budowa wewnętrznej inteligencji sieci, która mogłaby rozpoznać sygnały ostrzegawcze w przypadku nadużycia lub nienormalnego użycia danych uwierzytelniających. W rzeczywistości gdzie nie jest to możliwe, pozostaje monitorować zachowania użytkowników tradycyjnymi metodami.

Zaawansowane, trwałe zagrożenie dla ICS

Pomimo licznych przykładów wskazujących na to jak można rozpoznać aktywność za pomocą ruchu boczego, ataki z jego użyciem wciąż cieszą się dużą skutecznością. Wykorzystanie ruchu bocznego stanowi element strategii APT czyli zaawansowanych, trwałych zagrożeń. Istota problemu związanego z trudnością opanowania takiego ataku opiera się na tym, że APT nie występują pojedynczo i jednorazowo. Podmioty zajmujące się tworzeniem cyberzagrożeń nieustannie szukają nowych celów, aby zwiększyć kontrolę nad docelową organizacją. Zmieniają także swoje plany i stosują różne techniki i narzędzia w zależności od zgromadzonych informacji. Stąd do wykrycia ruchu bocznego potrzeba zwykle zaawansowanych technik oraz dużej wiedzy zespołów zajmujących się problemem.

Joe Slowik, badacz Dragos zajmujący się problematyką bezpieczeństwa sieci przemysłowych wyróżnia dwa wyraźne wzorce ewolucji ataków ICS:

  • wektory początkowego ataku coraz częściej unikają stosowania złośliwego oprogramowania i technik będących oznakami hakerskiej aktywności,
  • dopiero na końcowych etapach, kiedy atakujący spenetrowali infrastrukturę ofiary w wystarczającym stopniu, wprowadza się złożone złośliwe oprogramowanie.

Działając w oparciu o dwa powyższe założenia, cyberprzestępcy najpierw monitorują całą sieć i dopiero w określonym momencie przystępują do ataku. Co więcej, trendy te ujawniają określony kierunek, w jaki będą zmierzać przyszłe ataki na sieci przemysłowe. Cyberprzestępcy będą działać małymi krokami z ukrycia, bez ujawniania faktycznych celów przy jednoczesnym wdrażaniu coraz bardziej zaawansowanych możliwości.

Joe Slowik w swojej publikacji zwraca uwagę na bardzo istotną kwestię. Zazwyczaj omawiając dany atak na infrastrukturę krytyczną – na przykład głośny Industroyer(CrashOverride) na Ukrainie – skupiamy się na tym, co się stało. Wyliczane są systemy, które zostały zainfekowane, analizowane są skutki ataku, generowane są raporty podsumowujące skalę strat i temu podobne działania. Relatywnie mało miejsca (i czasu) badacze poświęcają na DOKŁADNĄ analizę tego w jaki sposób doszło do ataku. Nie jest przecież łatwo dostać się od razu do kluczowych zasobów i przeprowadzić udany atak. Wciąż brakuje świadomości na temat konwergencji systemów IT & OT i strategii bezpieczeństwa obejmującej całość infrastruktury.

Ataki na sieci przemysłowe wzbudzają ogromne emocje, ale wciąż nie poświęca się im wystarczająco badań i analiz.

Podejście holistyczne lecz indywidualne

Wykorzystanie ruchu bocznego w atakach na sieci przemysłowe miało miejsce nie raz i zapewne wielokrotnie powtórzy się w przyszłości. Wielu odbiorców informacji o atakach na infrastrukturę krytyczną traktuje je jako wyjątkowe incydenty, nie powiązane z regularnym bezpieczeństwem IT. Tymczasem, cyberprzestępcy zdążyli już wystarczającą liczbę razy udowodnić, że nie potrzebują luk w zabezpieczeniu samych systemów ICS żeby się do nich dostać. Inną kwestią jest to, że często takie podatności występują. Abstrachując od zabezpieczeń samych systemów przemysłowych, wciąż niska jest świadomość powiązań między ich bezpieczeństwem a bezpieczeństwem informatycznym.

W dobie Industry 4.0, gdzie przenikalność maszyn i ludzi dociera do coraz większej grupy odbiorców, podejście oparte na oddzieleniu części przemysłowej może nie zdać egzaminu. Oznacza to, że tradycyjne sposoby izolacji infrastruktury krytycznej bądź produkcyjnej przestaną być możliwe do wdrożenia. To, co jednak nie zmieni swojego statusu to konieczność wyboru takich rozwiązań zabezpieczeń aby sprawdzały się w konkretnych warunkach. O potrzebie skalowalnego bezpieczeństwa dla systemów OT pisaliśmy w poprzedniej publikacji. Podsumowując – tak jak otaczamy się coraz bardziej złożonymi urządzeniami, tak sami musimy pogłębiać wiedzę w coraz bardziej specjalistycznych obszarach.

Świadomość istnienia techniki ruchu bocznego jako metody pracy cyberprzestępców jest jednym z takich obszarów. Pamiętajmy jednak, że w naturze atakujących leży nieprzewidywalność i trend ten nie ulegnie zmianie. Joe Slowik twierdzi, że jedynym prawdziwym sposobem na walkę z zagrożeniami 0-day i atakami bocznymi jest szczegółowy monitoring zdarzeń. Taka pasywna agregacja danych a następnie ich korelacja (ręczna bądź z wykorzystaniem dedykowanych narzędzi) pozwoli na uzyskanie informacji o potencjalnie złośliwych zachowaniach. Patrząc na bezpieczeństwo organizacji przemysłowych należy mieć więc na uwadze zarówno kompleksowy poziom zabezpieczeń jak i indywidualne podejście do najbardziej podatnych na ataki obszarów.

https://www.securityweek.com/lateral-movement-when-cyber-attacks-go-sideways

https://azeria-labs.com/lateral-movement

https://dragos.com/wp-content/uploads/Evolution-of-ICS-Attacks-and-the-Prospects-for-Future-Disruptive-Events-Joseph-Slowik-1.pdf

O potrzebie skalowalnego bezpieczeństwa dla systemów OT

Rośnie świadomość kwestii cyberbezpieczeństwa wśród różnych grup społecznych – i jest to pożądane zjawisko. Nie trzeba dziś być zapalonym miłośnikiem komputerów aby wiedzieć czym jest wirus i po co instalować dedykowane oprogramowanie ochronne. Te pozytywne zmiany dotyczą również podejścia biznesowego. Coraz więcej osób interesuje się branżą IT, tematyką bezpieczeństwa i dziedzinami pokrewnymi. Wciąż jednak często pomija się aspekt infrastruktury przemysłowej. W przeciwieństwie do takich tematów jak zabezpieczanie poczty email czy służbowych smartfonów, bezpieczeństwo systemów OT rzadko kiedy jest poruszane przez popularne media. A przecież to właśnie sieć technologii operacyjnych i infrastruktura przemysłowa stają się coraz częstszym celem ataków cybernetycznych.

miasto
Współczesność przynosi nieodwracalne zmiany w postrzeganiu cyberprzestrzeni jako potencjalnego zagrożenia dla całych miast

Dziś ofiarami ataków mogą padać nie tylko korporacje, ale i fabryki, elektrownie a czasem całe miasta. W zeszłym tygodniu zachodnie portale rozpisywały się o sytuacji w Johannesburgu. 25 lipca miał miejsce udany atak ransomware na dostawcę energii elektrycznej w stolicy RPA. Oprogramowanie zaszyfrowało firmową bazę danych, sieć wewnętrzną, aplikacje internetowe i oficjalną stronę internetową. W efekcie mieszkańcy ( i nie tylko) zostali pozbawieni prądu na co najmniej kilkanaście godzin. W tym roku to z resztą nie pierwszy incydent, w którym całe miasto pada ofiarą ransomware. Riviera Beach City i Lake City na Florydzie a także Jackson County w Georgii zdecydowały się nawet zapłacić okup.

Wspomniane wydarzenia po raz kolejny dowiodły, że każda sieć OT, niezależnie od tego, czy obsługuje fabrykę, krytyczną infrastrukturę, czy inteligentny budynek, może paść ofiarą cyberataku. Konieczność prawidłowej ochrony jest niepodważalna. Niestety nie należy ona do najprostszych bowiem wiele istniejących rozwiązań nie jest zaprojektowanych z myślą o dużym natężeniu ruchu w tych sieciach. O tym czym jest i jak zapewnić bezpieczeństwo systemów OT przeczytacie w dzisiejszym artykule.

Czym są systemy OT?

Zacznijmy od podstaw – angielskojęzyczna Wikipedia przedstawia tę kwestię następująco:

Operational Technology (OT) – Technologia operacyjna  – sprzęt i oprogramowanie przeznaczone do wykrywania lub wywoływania zmian w procesach fizycznych poprzez bezpośrednie monitorowanie i / lub sterowanie urządzeniami fizycznymi, takimi jak zawory, pompy itp.”

Innymi słowy mianem infrastruktury OT można określić te miejsca, w których wykorzystuje się komputery do monitorowania lub sterowania danym, fizycznym systemem. Termin ten powstał aby wykazać różnice technologiczne i funkcjonalne między tradycyjnymi systemami informatycznymi (infrastrukturą IT) a środowiskiem przemysłowym. Przykłady technologii operacyjnych obejmują:

  • Sterowniki PLC (Programmable Logic Controller) czyli programowalne sterowniki logiczne. Pełnią one rolę układów przeznaczonych do sterowania procesami technologicznymi np. linią produkcyjną. Ich cechą charakterystyczną jest cykliczny obieg pamięci programu.
  • Systemy SCADA (Supervisory Control and Data Acquisition ) nadzorujące lub też sterujące przebiegiem procesu przemysłowego. Oprócz zbierania danych (pomiarów) zajmują się wizualizacją, najlepiej w czasie rzeczywistym, połączoną z alarmowaniem.
  • Układy CNC (Computerized Numerical Control) wyposażane w mikrokomputery, które można dowolnie zaprogramować. Często nazywane obrabiarkami CNC ponieważ zwykle służą do sterowania frezarkami, tokarkami itp.

Omawiając bezpieczeństwo systemów OT i tłumacząc ich specyfikę, nie sposób nie odnieść się do terminu ICS czyli Industrial Control Systems. Przemysłowe systemy sterowania (stosujemy angielski skrót – ICS) to ogólny termin, obejmujący kilka rodzajów systemów sterowania i związane z nimi oprzyrządowanie do sterowania procesami przemysłowymi. Jaka jest zatem różnica między ICS a OT? Systemy ICS stanowią podgrupę systemów OT o konkretnej specjalizacji. Większość ICS mieści się w systemie sterowania procesem ciągłym, zwykle zarządzanym za pomocą sterowników PLC lub systemów sterowania procesami dyskretnymi (DPC).

Pomocny może być tutaj poniższy rysunek:

PLC, DPC i SCADA są składowymi ICS, które z kolei stanowią podzbiór systemów OT.

Większość rozwiązań bezpieczeństwa systemów OT została pierwotnie zaprojektowana dla przemysłu naftowo-gazowego, komunalnego i wodnego. W tych obszarach infrastruktura OT zazwyczaj rozkłada się na dużą skalę geograficzną. Niemniej, każda pojedyncza sieć OT ma stosunkowo niewielką liczbę zasobów, niską przepustowość i deterministyczne, przewidywalne zachowanie.

Wyzwania w zapewnieniu spójności systemom IT & OT

Jednym z głównych ograniczeń ochrony systemów przemysłowych jest niezrozumienie różnicy między IT a OT. Dla wielu osób nie jest jasne czy i jak te dwie płaszczyzny pokrywają się, gdzie się rozchodzą, i jak należy zapewnić im bezpieczeństwo. Z pewnością lektura poprzedniej części artykułu przyniosła tę podstawową wiedzę. Podsumujmy zatem jeszcze raz: IT przechowuje, pobiera, przesyła i manipuluje danymi. OT wykorzystuje te dane do monitorowania, kontrolowania i obsługi urządzeń fizycznych, procesów i zdarzeń. Kiedyś systemy OT nie były podłączone do Internetu. Dzisiaj sytuacja wygląda zupełnie inaczej. I to właśnie w tym kontekście dbałość o bezpieczeństwo systemów OT staje się wyzwaniem.

Internet przemysłowy to miejsce, w którym infrastruktura informatyczna spotyka się z wymogami środowiska industrial. Technologia Internet of Things wkracza już w obszary przemysłowe. IoT pociąga za sobą obietnicę wygody dostępności i wydajności. O aspekcie bezpieczeństwa tego rozwiązania przeczytacie w jednym z poprzednich artykułów. Innymi słowy –  połączenie z Internetem stało się nieuniknioną rzeczywistością każdego biznesu, również środowisk przemysłowych z licznymi systemami OT. Wymaga to w konsekwencji zwiększonych zasobów – w tym przepustowości łącza, na co już w 2015 wskazywał portal SmartIndustry.com.

Według ich badania, respondenci zadeklarowali wykorzystanie inteligentnych rozwiązań w 25% urządzeń i procesów produkcyjnych. Natomiast w ciągu kolejnych dwóch lat przewidziano zwiększenie wykorzystania inteligentnych urządzeń i wbudowanej inteligencji w procesach produkcyjnych. Szacowano również, że w tym czasie o 66% zwiększy się zastosowanie aplikacji IIoT. Na ile przewidywania te się sprawdziły, można ocenić badając stan wdrożenia tzw technologii Industry 4.0 w przedsiębiorstwach. W wielu przypadkach zwiększyła się jedynie świadomość użytkowników i osób decyzyjnych. Aby dokonać konwergencji tych dwóch światów i zapewnić bezpieczeństwo systemów OT należy nierzadko zmienić podejście. Przykładowo wbrew powszechnemu przekonaniu testowanie rozwiązań security w warunkach laboratoryjnych nie będzie dobrym pomysłem. Mała sieć nie będzie w stanie zamodelować rzeczywistych wyzwań środowiska produkcyjnego. To podkreśla konieczność zastosowania przemyślanych i odpowiednich rozwiązań.

Zastosowanie technologii Industry 4.0 może służyć nie tylko poprawie wydajności ale również podnieść poziom bezpieczeństwa,

Zabezpieczanie środowisk działających na dużą skalę

Instalacja nieodpowiednich systemów bezpieczeństwa daje złudzenie, że sieć jest chroniona. Niestety, nie wszystkie krytyczne informacje mogą być prawidłowo przetwarzane z powodu problemów z wydajnością. Ponieważ nie wszystkie pakiety są przetwarzane, będą zapewniać tylko częściowe alarmowanie. Idąc dalej, będziemy mieli tylko częściową inwentaryzację, a niezabezpieczone zasoby OT pozostają w cieniu. Ponadto w złożonych, dużych sieciach, „szum” sieci jest znacznie bardziej widoczny. Termin ten oznacza nieprawidłowości, będące wynikiem błędnych konfiguracji i prac konserwacyjnych w różnych protokołach i urządzeniach. Te normalne zdarzenia powodują alarmujące zachowanie systemów, które nie mają wyspecjalizowanych algorytmów, aby odróżnić te zdarzenia od incydentów cyberbezpieczeństwa, na które należy zareagować.

Zamiast przeprojektowywać swoje systemy, większość dostawców zabezpieczeń po prostu próbuje skalować system. I to system, który nigdy nie był zaprojektowany odpowiednio dla sieci z tysiącami zasobów. Chociaż rozwiązania te są kompetentne w „klasycznych” sieciach, nie potrafią skalować się wystarczająco dobrze, aby zapewnić odpowiednie monitorowanie i bezpieczeństwo systemów OT. Brak wsparcia dla wielkoskalowych sieci OT jest widoczny w kwestiach takich jak niska wydajność i użyteczność, słaba wykrywalność i wysoki koszt. Eksperci z ScadaFense wyjaśniają, dlaczego tak się dzieje:

  • Aby naprawdę obsługiwać środowiska z tysiącami (a nawet dziesiątkami tysięcy) urządzeń, rozwiązanie zabezpieczające musi być w stanie zbierać i analizować ogromne ilości danych bez pominięcia pojedynczego bajtu, urządzenia, konfiguracji lub jakiegokolwiek innego punktu danych.
  • Gdy dane zostaną prawidłowo zebrane i przeanalizowane, użytkownicy końcowi muszą uzyskać do nich dostęp za pośrednictwem responsywnego i użytecznego interfejsu, pozwalającego im ocenić rzeczywiste zagrożenia bezpieczeństwa i odpowiednio zareagować.
  • Rozwiązania mogą mieć problemy z dokładnością i są obciążone dużą liczbą fałszywych alarmów z powodu ciągłych zmian i hałasu w dużych środowiskach. To ostatecznie odbija się na kondycji i efektywności zespołu bezpieczeństwa.

Wszystko to powoduje wzrost całkowitego kosztu posiadania (Total Cost of Ownership – TCO), ponieważ zespoły bezpieczeństwa zazwyczaj muszą wdrażać kosztowny sprzęt. W konsekwencji rosną koszty konserwacji oraz pojawia się konieczność zatrudniania dodatkowego personelu do obsługi bieżących operacji bezpieczeństwa.

Skalowalne bezpieczeństwo systemów OT w praktyce

To, że dziś nie wszyscy zdają sobie sprawę z priorytetu jaki ma bezpieczeństwo systemów OT, nie oznacza, że tak zostanie. Dzięki napędzającej się cyfrowej transformacji i wkraczania IIoT, wiele organizacji skaluje swoje operacje przemysłowe pod względem rozmiaru, złożoności i automatyzacji. Przykładowo rozmieszczając czujniki w swoich sieciach OT, mogą zbierać więcej danych. W konsekwencji zwiększają ogólną efektywność firmy poprzez ulepszanie procesów podejmowania decyzji.

Mimo istnienia coraz większej płaszczyzny, gdzie rozwiązania IT & OT się przenikają, środowiska przemysłowe wymuszają zastosowanie dedykowanych technologii.

Prowadzi to do zwiększenia poziomu łączności i automatyzacji w różnych branżach – a tak zaawansowane funkcje należy bezpiecznie wspierać. Organizacje muszą przyjąć odpowiednie środki bezpieczeństwa, które umożliwią ich rozwój i podróż w erę Industry 4.0. Oto kilka zaleceń i najlepszych praktyk:

1. Testowanie systemów nie tylko na nieaktywnej linii produkcyjnej lub w laboratorium – weryfikacja zachowania w obliczu rzeczywistych sytuacji.

2. Wykonanie test fałszywych alarmów – weryfikacja liczby alarmów opartych na prawdziwym zdarzeniu. Do tego dochodzi weryfikacja wprowadzonych reguł alarmowania oraz sprawdzenie zachowania osób decyzyjnych.

3. Przeprowadzenie testu false negative. Elad Ben-Meir, CEO w SCADAfence radzi by bez wiedzy dostawcy wykonać test w sieci produkcyjnej. W ten sposób pojawia się możliwość sprawdzenia co producent ukrył i czy monitoruje wszystkie pakiety. Następnym krokiem będzie sprawdzenie czy w GUI systemu można znaleźć dokładne informacje o incydencie.

4. Inwentaryzacja – czyli sprawdzenie liczby wykrytych zasobów i weryfikacja pod kątem dokładności i głębokości wykrywania.

5. Po uruchomieniu przez kilka dni w produkcji należy się upewnić, że interfejs użytkownika systemu jest responsywny oraz czy wszystkie funkcje są nadal użyteczne.

6. Dla tych, którzy planują zarządzać więcej niż jednym środowiskiem lub infrastrukturą o wysokiej złożoności, dobrze jest rozeznać się w ofercie rozwiązań SIEM. Pod tym akronimem kryje się Security Information and Event Management czyli system do zbierania informacji o incydentach bezpieczeństwa i zarządzania nimi. W praktyce jest to platforma integrująca dane z różnych punktów sieci w celu korelacji zdarzeń i wizualizacji. W przypadku złożonych infrastruktur jak sieci przemysłowe rozwiązanie SIEM jest dobrą inwestycją pod kątem bezpieczeństwa systemów OT.

Więcej informacji:

https://www.zdnet.com/article/ransomware-incident-leaves-some-johannesburg-residents-without-electricity

https://www.kuppingercole.com/blog/williamson/ot-ics-scada-whats-the-difference

https://www.helpnetsecurity.com/2019/07/26/scalable-ot-security

https://www.controlglobal.com/articles/2016/understanding-cybersecurity-for-operational-technology

Jak i komu Monokle wykrada dane z aplikacji mobilnych?

W ostatnim czasie prawdopodobnie każdy słyszał o aplikacji FaceApp, pozwalającej m.in. na modyfikację swojego zdjęcia tak, by „zobaczyć siebie za kilkadziesiąt lat”. Za pomocą sztucznej inteligencji aplikacja przetwarza zdjęcia prywatnych użytkowników i ukazuje im ich nowe oblicze, nie tylko z przyszłości ale i np. w nowej fryzurze. Ogromna popularność rozwiązania przyniosła jednak za sobą falę krytycyzmu. Wiele źródeł wskazało na liczne miejsca do jakich aplikacja chce mieć dostęp i podważało zasadność uprawnień. Szczególną niechęć wzbudził fakt, że jej twórca pochodzi z Rosji i tam znajdują się serwery gromadzące i przetwarzające dane.

FaceApp nie stanowi jednak wyjątku na rynku aplikacji ani pod względem żądań ani lokalizacji serwerów. Jest wiele aplikacji wyspecjalizowanych w śledzeniu użytkowników i gromadzeniu informacji na ich temat. Niektóre z nich jak TRIADA trafiały na urządzenia jeszcze w fazie produkcyjnej. O niechcianych „dodatkach” do aplikacji dowiadujemy się zwykle, gdy jest już za późno. Niektóre z nich mogą oznaczać poważne kłopoty dla każdego użytkownika smartfona. Należy do nich coraz szerzej omawiane, złośliwe oprogramowanie o nazwie Monokle.

Choć złośliwe oprogramowanie nie miało wcześniej swojej premiery pod nazwą Monokle, okazuje się, że w różnych formach działa już od kilku lat.

Czym jest Monokle?

Najczęściej jego nazwa występuje z określeniami RAT lub spyware. RAT to skrót od Remote Access Trojan czyli oprogramowanie zdalnie kontrolujące ofiarę. Jego instalacja przebiega w ukryciu lub pod pozorem instalacji innego oprogramowania (stąd określenie koń trojański). RAT ukrywa swoją działalność przed użytkownikiem oraz przed programami antywirusowymi. Z kolei spyware to w dosłownym tłumaczeniu oprogramowanie szpiegowskie. Ma ono na celu agregację danych o użytkowniku i jego urządzeniu, a nierzadko również przesłanie ich dalej. Niektóre rodzaje spyware mogą wysyłać wiadomości z kont poczty email ofiary lub wyświetlać jej konkretne reklamy. Nie ulega wątpliwości, że wirus określany w ten sposób stanowi poważne zagrożenie.

Nie inaczej jest w przypadku odkrycia ekspertów z Lookout, którzy malware’owi Monokle poświęcili pokaźną publikację: Monokle.The Mobile Surveillance Tooling of the Special Technology Center. Badacze wskazują na wyjątkowość Monokle ze względu na wykorzystanie nowych i zaawansowanych zestawów niestandardowych narzędzi do nadzoru smartfona. Monokle pojawia się w bardzo ograniczonym zestawie aplikacji, z których większość jest zainfekowana, ale zawiera legalną funkcjonalność. Zatem podejrzenia użytkowników nie są wzbudzane, a narzędzie jest nadal aktywnie wdrażane. Co więcej, Monokle nie potrzebuje dostępu do tzw roota czyli nie potrzebuje by urządzenie miało aktywowany tryb deweloperski. W ten sposób nawet bez podniesionych uprawnień, malware jest w stanie przejąć kontrolę.

Zaawansowanie technologiczne Monokle skłania badaczy bezpieczeństwa do głębokiej analizy. Autorstwo Monokle przypisuje się rosyjskiemu Special Technology Center (STC). Mimo że malware nie działał wcześniej pod swoją nazwą, szacuje się, że miał udział w wysoce ukierunkowanych atakach przynajmniej od marca 2016 r. Lookout wskazuje, że narzędzia Monokle pokrywają się z częścią zestawu kampanii, opracowywanej przez STC. Okazuje się, że zestaw aplikacji zabezpieczających dla Androida, w tym rozwiązanie antywirusowe, nad którym STC pracuje, współdzieli infrastrukturę z Monokle. Godnym uwagi jest fakt, że STC zostało usankcjonowane za ingerencję w ostatnie wybory prezydenckie w Stanach Zjednoczonych.

Bogactwo funkcjonalności na miarę Enterprise Mobile Management

Monokle oferuje szeroką gamę funkcji szpiegujących i implementuje zaawansowane techniki infiltracji danych. Ponieważ obsługuje 78 różnych predefiniowanych poleceń, z których 61 jest zaimplementowanych w ostatnich próbkach, atakujący mogą pozyskać żądane informacje. Służą im od tego możliwości takie jak:

  • śledzenie lokalizacji urządzenia,
  • pobieranie informacji o istniejących kontach i powiązanych hasłach,
  • rejestrowanie połączeń,
  • wykonanie autoresetu, przywrócenia do ustawień fabrycznych,
  • nagrywanie dźwięku i ekranu, robienie zdjęć,
  • pobieranie historii przeglądania, wiadomości email i sms,
  • pozyskanie kontaktów i informacji kalendarza,
  • nawiązywanie połączeń i wysyłanie wiadomości.

Chociaż większość jego funkcji jest typowa dla urządzeń do monitoringu mobilnego, Monokle jest wyjątkowy, ponieważ wykorzystuje istniejące metody w nowatorski sposób, aby być niezwykle skutecznym nawet bez dostępu do roota. Jednakże najgorsze jest to, co może się stać, jeśli uzyska takie uprawnienia. Jak się okazuje, Monokle ma możliwość samodzielnego podpisywania zaufanych certyfikatów w celu przechwycenia zaszyfrowanego ruchu SSL. Z dostępem roota, Monokle jest w stanie zainstalować dodatkowe certyfikaty, określone przez atakującego, jako zaufane na zainfekowanym urządzeniu. W ten sposób skutecznie otwiera smartfon na atak Man-in-the-middle (MITM), przejmując ruch TLS.

Czasy w których odnotowano aktywność Monokle. Źródło

Monokle & Android Xposed Framework

Najnowsze przykłady Monokle obejmują framework Xposed, który to stanowi szkielet do dalszych modyfikacji Androida. Sam w sobie Xposed jest potężym narzędziem, umożliwiającym ingerencję w system operacyjny i aplikacje, bez naruszania plików APK. W ten sposób po odinstalowaniu frameworka, wszystkie zmiany cofają się i nie są konieczne żadne inwazyjne działania „czyszczące”. Jak można zauważyć, taka lekkość użytkowania w porównaniu z ogromem możliwości jest korzystna, a co za tym idzie przyciąga odbiorców. Niestety, nie tylko dobra strona mocy widzi w zastosowaniu Xposed pole do manewru.

Niektóre fałszywe aplikacje Xposed zawierają moduły Monokle, które implementują funkcjonalność przechwytywania i ukrywania obecności na liście procesów. Znaczna część rdzennej szkodliwej funkcjonalności znajduje się w późniejszych próbkach. Monokle używa zaciemnionego pliku DEX XOR w folderze zasobów. Jak możemy przeczytać na łamach publikacji cytujących wyniki pracy Lookout: „Funkcjonalność ukryta w pliku DEX obejmuje wszystkie funkcje kryptograficzne zaimplementowane w bibliotece open source spongycastle11, różne protokoły e-mail, ekstrakcję i eksfiltrację wszystkich danych, serializację i deserializację danych przy użyciu protokołu Thrift, a także funkcje zakorzenienia i przechwytywania”. Po raz kolejny opis możliwości złośliwego oprogramowania wskazuje na wysoki poziom zagrożenia. Należałoby jeszcze określić kto w tej grupie potencjalnych ofiar może się znaleźć?

Kierunek zagrożenia

Potęgę Monokle utwierdza mnogość jego możliwości. Natomiast poza tym, spora część problemu wynika z tego, że atakujący doskonale określili grupę docelową. Ich celem nie jest złośliwe atakowanie „zwykłego Kowalskiego” – skala przedsięwzięcia wskazuje na coś więcej. Wiemy, że Monokle i pakiet bezpieczeństwa STC dla Androida o nazwie Defender są podpisane cyfrowo za pomocą tych samych certyfikatów cyfrowych i mają tę samą infrastrukturę kontroli. Ktoś, kto podejmuje takie inwestycje, ma na myśli bardziej opłacalny cel niż zaszkodzenie pojedynczym użytkownikom. Być może istotny będzie tutaj efekt skali – przechwycenie wrażliwych informacji o np. 100 000 przypadkowych osobach. A być może istotne będzie ukierunkowanie ataku na konkretną grupę docelową – osoby powiązane z określonymi instytucjami.

Podczas gdy Monokle atakuje obecnie tylko urządzenia z Androidem, badacze twierdzą, że kilka próbek złośliwego oprogramowania zawiera nieużywane polecenia i obiekty do przesyłania danych, które wskazują na istnienie wersji iOS, co sugeruje, że w przyszłości atak zostanie wystosowany na iPhone’y. W wielu miejscach te właśnie modele urządzeń wykorzystywane są przez osoby mające kluczowe znaczenie dla organizacji. Co więcej nadal spora część mniej świadomych użytkowników Internetu i urządzeń mobilnych uważa, że tak naprawdę nie ma wirusa na systemy iOS z prawdziwego zdarzenia. Życzmy sobie, żeby Monokle nie musiało im tego demonstrować.

Monokle był prawdopodobnie wykorzystywany do szpiegowania osób w regionach Kaukazu i osób powiązanych z grupą Ahrar al-Sham w Syrii

Jeśli posiadamy telefon z Androidem, zagrożenie Monokle niestety jest realne. Na zakończenie kilka dobrych praktyk w zakresie bezpieczeństwa mobilnego:

Nie korzystajmy ze zrootowanych urządzeń

Sprawdzajmy uważnie aplikacje, które chcemy zainstalować – szczególnie pod kątem aktualizacji w sklepie Play

Nie instalujmy aplikacji firm trzecich spoza oficjalnego sklepu czyli pochodzących z tzw „niezaufanych źródeł”

Raport Lookout i pozostałe źródła:

https://www.lookout.com/documents/threat-reports/lookout-discovers-monokle-threat-report.pdf

https://threatpost.com/monokle-android-spyware/146655/

https://www.darkreading.com/endpoint/android-spyware-has-ties-to-election-interference/d/d-id/1335351

https://securityaffairs.co/wordpress/88888/malware/monokle-surveillance-malware.html

http://www.gadgethelpline.com/monokle-surveillance-software

Czego można się spodziewać po kolejnym wcieleniu Mirai?

Mirai to złośliwe oprogramowanie, które funkcjonuje od 2016 roku. Jego specjalnością jest infekowanie inteligentnych urządzeń, działających na procesorach ARC. Malware ten zmienia je w sieć zdalnie sterowanych botów lub zombie, którą następnie może wykorzystać do uruchamiania ataków DDoS. Według najnowszych doniesień, aktywność Mirai podwoiła się między pierwszym kwartałem 2018 a pierwszym kwartałem obecnego roku. Oznacza to, że zagrożenie rozwija się, zmieniając dotychczasową taktykę, techniki i procedury. Jak badacze przewidują, w polu zainteresowań atakujących znajdą się organizacje o szerokiej skali działania. Ze względu na popularność migracji do chmury i narastające trendów IoT, przebudzenie Mirai ma szczególne znaczenie.

Botnet to sieć komputerów zainfekowanych złośliwym oprogramowaniem, na przykład w skutek ataku DDoS

Jak działa Mirai?

Mirai to samonapędzający się wirus botnetowy. Kod źródłowy Mirai został udostępniony publicznie przez autora po udanym i nagłośnionym ataku na stronie internetowej Krebbs. Od tego czasu wielu innych hakerów próbowało korzystać z niego do przeprowadzenia ataków na infrastrukturę internetową. Ze względu na innowacyjny przebieg działania, wiadomość o aktywności tego malware obiegła Internet. Uważa się, że jest przyczyną masowego ataku, który w październiku 2016 r. doprowadził do upadku dostawcy usług rejestracji domen – Dyn.

Mirai skanuje Internet w poszukiwaniu urządzeń IoT działających na procesorze ARC, który wykorzystuje uproszczoną wersję systemu operacyjnego Linux. Jeśli domyślna kombinacja nazwy użytkownika i hasła nie zostanie zmieniona, Mirai może zalogować się do urządzenia i zainfekować. To znany scenariusz, który pojawia się w wielu organizacjach o wysokim (zdawałoby się) poziomie bezpieczeństwa. Podobnie do routerów przemysłowych na których działają standardowe poświadczenia – pisaliśmy o tym omawiając bezpieczeństwo robotów przemysłowych. Mirai infekuje słabo chronione urządzenia internetowe (m.in. routery, urządzenia do monitorowania środowiska, rejestratory cyfrowe itp.) za pomocą telnetu. Czyli za pomocą standardowego protokołu komunikacyjnego do zdalnej obsługi urządzeń.

Skuteczność Mirai wynika z jego zdolności do infekowania dziesiątek tysięcy tych niezabezpieczonych urządzeń i koordynowania ich w celu zamontowania ataku DDOS na wybraną ofiarę. Z tego względu, schemat działania i pozyskiwania odbywa się w sposób ciągły. Mirai próbuje dostać się via telnet (na porcie TCP 23 lub 2323), do losowych adresów IP. Gdy logowanie się powiedzie, tożsamość nowego bota i jego poświadczenia są przesyłane z powrotem do serwera C&C. Obsługuje on prosty interfejs wiersza poleceń, pozwalający atakującemu określić adres IP ofiary i czas trwania ataku top4games.net.

Co więcej, C&C czeka również na swoje istniejące boty, aby zwrócić nowo odkryte adresy urządzeń i poświadczenia. Podczas gdy tworzy nowe boty, wykorzystuje je do kopiowania kodu wirusa. Schemat działania malware’u i pozyskiwania nowych ogniw botnetu prezentuje poniższy obrazek.

Schemat działania Mirai według Corero, producenta rozwiązań m.in. anty DDoS

Ewolucja i znane warianty Mirai

Podobnie jak większość wirusów, Mirai także się mutuje. Według IBM X-Force, malware składa się obecnie z kilku różnych powiązanych botnetów, które czasami konkurują ze sobą. Atak na wspomniany Dyn wpłynął na olbrzymie obszary Internetu, w tym również na portale jak Twitter, Spotify i GitHub. Chociaż twórcy Mirai zostali ujęci, ich kod źródłowy żyje. Badacze szacują, że botnet rozprzestrzenił się w co najmniej 63 warianty m.in. Okiru, Satori, Masuta i PureMasuta. Na przykład PureMasuta jest w stanie wykorzystać i „udoskonalić” podatność HNAP w urządzeniach D-Link. Z drugiej strony, OMG przekształca urządzenia IoT w proxy, które pozwalają cyberprzestępcom pozostać anonimowymi. Istnieje również niedawno odkryty – i potężny – botnet, nazywany IoTrooper lub Reaper. Jest on w stanie skompromitować urządzenia IoT w znacznie szybszym tempie niż Mirai. Prawdopodobnie jest też w stanie dotrzeć do większej liczby producentów urządzeń i ma znacznie większą kontrolę nad swoimi botami.

„Szkodliwe oprogramowanie Mirai i jego warianty ewoluują wraz z intencjami operatora, dostarczając różnorodnych exploitów i coraz bardziej ukierunkowanych na środowiska korporacyjne. W miarę jak urządzenia IoT stają się coraz bardziej powszechne wśród gospodarstw domowych i dużych organizacji, Mirai i jego warianty będą ewoluować, aby dostosować się do zmieniających się środowisk i wybranych celów”.

– zespół IBM X-Force

Szczególne zagrożenia związane z aktywnością rodziny Mirai

Wspomniane dostosowanie zakłada precyzyjny dobór metod, technik i sprzętu pod kątem ofiary. W marcu bieżącego roku odkryto nowe próbki Mirai przeznaczone dla korporacyjnych urządzeń IoT. Ich zadaniem było kopanie kryptowalut i szukanie nowych typów backdoorów w oparciu o przejęte urządzenia. Godnym uwagi jest fakt, że zmiana urządzenia w koparkę kryptowalut może być bardzo niebezpieczna. Wirus będzie wykorzystywał moc obliczeniową zainfekowanych urządzeń IoT kosztem ich parametrów i wydajności. W porównaniu do rzeczywistej jednostki centralnej i procesora graficznego mają one niewielkie możliwości obliczeniowe, zatem taki atak je po prostu fizycznie uszkodzi.

Atakujący skorzystali też z kodu PHP shell a o nazwie C99, podatnego na ominięcie uwierzytelnienia i umożliwienie przejęcia kontroli. Co dziwne, nie wykorzystali do tego znanego reverse shell czyli najprostszego sposobu na dostęp do wewnętrznych systemów bez dostępu do sieci. W ten sposób wykazano nowy poziom zaawansowania znanego backdoora. „Ekspansja rodziny ładunków Mirai poza reverse shell jest niepokojąca, ponieważ pozwala aktorom zagrożeń szybko pobrać dowolną liczbę szkodliwych plików na dużą liczbę urządzeń IoT” – zauważyli badacze. Co więcej odkryto, że ponad 80 procent wszystkich obserwowanych aktywności botnetów w tym roku dotyczyło mediów / usług informacyjnych i branży ubezpieczeniowej.

Urządznia IoT wchodzą skład rozwiązań inteligetnej automatyki budynkowej. Takie instalacje tworzone są na coraz większej liczbie budynków użyteczności publicznej.

To jednak nie wszystko. W dużej mierze zagrożenie koncentruje się na przedsiębiorstwach, ponieważ urządzenia IoT połączone w chmurze mogą pozwolić Mirai na uzyskanie dostępu do serwerów. Jest możliwość, że główny serwer zostanie zainfekowany dodatkowym, złośliwym oprogramowaniem aby odgórnie narazić wszystkie urządzenia IoT podłączone do niego na dalsze problemy. Ponieważ architektura chmury jest wzrastającym trendem, coraz więcej organizacji będzie z niej korzystać. Konsekwencje zetknięcia z którymś z wariantów Mirai mogą być wówczas katastrofalne.

Wzrost aktywności = wzrost zaangażowania twórców

Ostatnie badania i analizy wykazały, że aktywność Mirai niemal podwoiła się między pierwszym kwartałem 2018 r. a pierwszym kwartałem 2019 r. „W porównaniu z innymi botnetami, które są ukierunkowane na urządzenia IoT, Mirai i jego warianty to zdecydowanie najpopularniejsze, szkodliwe oprogramowanie, jakie trafiło do sieci korporacyjnych w 2019 r.” – wynika z analizy. „W rzeczywistości warianty Mirai obserwowano ponad dwukrotnie częściej niż kolejny najpopularniejszy botnet podobny do Mirai, Gafgyt. Rozpowszechnienie Mirai podkreśla narastające zagrożenie również w kontekście wykorzystywania jego możliwości. ”

Urządzenia IoT stanowią interesującą powierzchnię ataku dla cyberprzestępców, tworzących sieci botnet. Zgodnie z danymi Business Insider Intelligence światowa baza urządzeń Internet of Things ma osiągnąć ponad 31 miliardów urządzeń do 2020 roku. Wiele z nich prawdopodobnie pozostanie z domyślnymi hasłami. Część zostanie tylko zainstalowana i nigdy nie otrzyma aktualizacji. „Wiele instalacji IoT traktuje się jako fire-and-forget: Po wstępnym skonfigurowaniu, urządzenia nie podlegają monitorowaniu ani sprawdzaniu pod kątem nietypowych zachowań. Oznacza to, że zainfekowane urządzenie może działać przez znaczny okres czasu, zanim zdołamy pomóc”. Tak sprawę przedstawiają eksperci z IBM. A z pewnością taki scenariusz jest prostą drogą do poważnych problemów.

Podsumowując – zarówno urządzenia IoT wykorzystywane prywatnie jak i korporacyjnie mogą paść ofiarą ataku. Pamiętajmy, że źródłem infekcji nie musi być Mirai ale jeden z jego wariantów, wyspecjalizowany pod kątem danych działań. Informacja o tym zagrożeniu powinna dotrzeć także do środowisk przemysłowych. Industrial Internet of Things już znajduje zastosowanie w wielu obszarach, lecz cechują go niestety te same podatności co zwykły IoT. Więcej o jego bezpieczeństwie możecie przeczytać tutaj.

Źródła

https://threatpost.com/mirai-botnet-sees-big-2019-growth-shifts-focus-to-enterprises/146547

https://www.corero.com/resources/ddos-attack-types/mirai-botnet-ddos-attack

https://www.cloudflare.com/learning/ddos/glossary/mirai-botnet/

Znaczenie hardeningu firmware dla cyberbezpieczeństwa

Firmware można rozumieć jako oprogramowanie sprzętowe (układowe), zainstalowane na stałe w urządzeniu i zapewniające realizację podstawowych procesów jego działania. Firmware można aktualizować, backupować, a nierzadko też samo w sobie stanowi o działaniu sprzętu w ogóle. Przykładem z obszaru bezpieczeństwa są urządzenia UTM, które oprócz aktualizacji (np. bazy sygnatur AV) muszą mieć cyklicznie wgrywane nowy firmware, żeby działać poprawnie. Z pewnością można stwierdzić, że dla każdego urządzenia prawidłowa konserwacja wbudowanego oprogramowania ma kolosalne znaczenie. Dziś przyjrzymy się temu jak hardening wpływa na bezpieczeństwo wbudowanego oprogramowania.

Na co dzień spotykamy się z koniecznością aktualizacji firmware np w naszych smartfonach.

W komputerach hardening jest zazwyczaj procesem zabezpieczania systemu poprzez niwelowanie powierzchni podatności. Takie działania mogą objąć zmianę domyślnych haseł, usunięcie niepotrzebnych kont użytkowników, wyłączenie niepotrzebnych programów i usług. Temat luk i podatności jest stale obecny w naszych artykułach nie bez powodu. Podczas gdy systemy wykonują coraz więcej funkcji, wspomniana powierzchnia ataku systematycznie się zwiększa. Zasadniczo system jednofunkcyjny jest bezpieczniejszy niż system wielofunkcyjny. Wydaje się, że jednak nie unikniemy wielozadaniowości w przypadku większości urządzeń. Nadal zostają wprawdzie specjalistyczne maszyny przeznaczone tylko do konkretnych działań. Ale nawet ich specyfika pracy ulega zmianie. Niegdyś zamknięte sieci przemysłowe otwierają się dziś na bezprzewodowość i komunikację w ramach Internet of Things.

Rootkity schodzą poziom niżej

Z pewnością cyberprzestepcom łatwiej jest sięgać po tak zwane „nisko wiszące owoce”. Czyli podczas hakowania systemu szukają jak najprostszych sposobów. Dawniej oznaczało to celowanie w aplikacje użytkownika oraz ewentualnie jądro systemu operacyjnego (OS) w celu uzyskania kontroli. Narzędziem pomocnym we włamaniach do systemów informatycznych jest rootkit. Historycznie rootkity były paczkami (ang. kit) zawierającymi zmodyfikowane kluczowe pliki binarne w systemach, które zastępowały oryginalne tuż po zhakowaniu. Dzięki tym modyfikacjom możliwe było np. uzyskanie najwyższych uprawnień do systemu. Rootkity mogą działać w trybie użytkownika (usermode) lub systemu operacyjnego (kernel-mode). Mogą również dostać się do komputera użytkownika wraz z aplikacją będącą w rzeczywistości koniem trojańskim.

Jednak wraz z rozwojem bezpieczeństwa systemów operacyjnych coraz trudniej jest je skompromitować jakimkolwiek trwałym rootkitem jądra. W rezultacie hakerzy (i badacze po drugiej stronie mocy) przeszli poniżej poziomu systemu OS. Obecnie na tapecie znajduje się oprogramowanie układowe vel sprzętowe czyli firmware. W szczególności Unified Extensible Firmware Interface lub UEFI (często dalej określany jako Basic Input Output System lub BIOS). Możemy pamiętać czasy, kiedy BIOS migał na ekranie startowym pulpitu jako program ładujący. To również jeden z pierwszych kodów firmware, które mają działać na platformie, wyliczając wszystkie dostępne komponenty urządzenia, pamięć itp. Zadanie BIOS można określić jako przygotowanie całości i przekazanie kontroli do systemu operacyjnego.

Obecnie większość standardowych platform korzysta z interfejsu UEFI, który został zaprojektowany w celu poprawy wielu niedostatków wydajności systemu BIOS. Został opracowany przez Intel, AMD, Microsoft i wielu innych producentów komputerów PC i jest obecnie utrzymywany przez Unified Extended Firmware Interface Forum. Do tej pory ataki oprogramowania układowego były nieliczne. Pierwszy znany atak BIOS, zwany Chernobyl Virus, miał miejsce w 1998 roku i został użyty do wymazania zawartości pamięci flash ROM BIOS na chipsetach. Dopiero odkrycia z początku XXI wieku rzuciły inne światło na ten problem.

UEFI to interfejs pomiędzy OS a firmware, opracowywany jako następca BIOS.

Black Hat, Fancy Bear, Shadow Brokers

Black Hat w 2006 roku zaprezentował kolejną lukę w BIOSie, kiedy to Johna Heasmana wykazał możliwość podniesienia uprawnień i czytania pamięci fizycznej. Ponownie w 2009 roku, Alfredo Ortega przedstawił trwałą infekcję BIOS-u (wstawianie złośliwego kodu do procedur dekompresyjnych) . Co więcej, w ciągu ostatniej dekady liczba luk w oprogramowaniu wbudowanym znacznie wzrosła. Mimo że zagrożenia te mają charakter głównie akademicki, nie pozostaną takimi na zawsze.

Przykładowo, LoJax był pierwszym dzikim rootkitem UEFI zidentyfikowanym w 2018 r. w kampanii prowadzonej przez rosyjskich cyberszpiegów Fancy Bear. Rootkit ten został znaleziony w pakiecie z zestawem narzędzi do łatania oprogramowania systemowego ofiary. Miał na celu zainstalowanie złośliwego oprogramowania na jak najgłębszym poziomie. W konsekwencji złośliwy kod miał zostać wykonany podczas procesu rozruchu systemu. Badacze wskazują też na problem z jego usunięciem. Nie pomoże tu ani reinstalacja systemu operacyjnego ani wymiana dysku twardego. Konieczna jest ingerencja w firmware o nie jest standardowym rozwiązaniem. Jeśli zagrożenie dotarłoby do globalnej organizacji o dużej skali działania, możemy mówić o sporych kłopotach.

Godny uwagi a raczej przypomnienia jest też przeciek odnośnie grupy hakerskiej Equation Group autorstwa Shadow Brokers, który ujawnił katalog narzędzi do ataku, w tym moduł BIOS. Ich działalność sklasyfikowano jako zaawasowane stałe zagrożenie (APT). Są także łączeni z twórcami słynnego Stuxnet (wspominaliśmy o nim w tym artykule). Możemy wywnioskować, że jakiekolwiek podatności firmware stanowią punkt zaczepienia dla hakerów „większego kalibru”. Na celowniku stoi nie od dziś przemysł czyli organizacje z branży produkcyjnej, paliwowej, energii elektrycznej. Wyścig o identyfikację nowych luk, zanim zrobią to przestępcy, ma kluczowe znaczenie.

Podatności UEFI / BIOS – gdzie jesteśmy dzisiaj?

W ciągu ostatnich kilku lat ataki trybu zarządzania systemem (System Management Mode – SMM) były najczęstszą podatnością w UEFI, ponieważ SMM współpracuje bezpośrednio z OS. Przykładowo, powszechny exploit polega na zainstalowaniu rootkita na poziomie jądra w SMM, który może dotrzeć do systemu operacyjnego. Ponieważ SMM działa w podzielonym na przedziały trybie działania, system operacyjny nie jest w stanie go „zobaczyć”. Ponadto SMM jest również jednym z zabezpieczeń stosowanych w celu uniemożliwienia użytkownikom ponownego przepisywania samego oprogramowania układowego UEFI. Jeśli atakujący chciałby zainstalować trwały rootkit w oprogramowaniu, atak SMM może być pierwszym krokiem do wykonania tego zadania.

Nieprawidłowe konfiguracje to kolejny duży problem, jeśli chodzi o luki w UEFI. Tradycyjnie kod źródłowy przekazuje się od producenta np. chipów do innych podmiotów. Partnerstwo OEM zakłada modyfikację wejściowego produktu – innymi słowy nakładane jest dodatkowe kodowanie. W trakcie tego procesu można celowo wygenerować luki. Na przykład nie przestrzegając wytycznych bezpieczeństwa, umieszczając podatny kod lub po prostu przypadkowo błędnie konfigurując bity. Nie tylko eksperci bezpieczeństwa i badacze podatności są w stanie je wychwycić. Wiemy dobrze, że to hakerzy są mistrzami w znajdowaniu wszelkiego rodzaju uchybień i błędów konfiguracji.

Nawet jeśli wejściowy produkt jest wolny od podatności, dodatkowe funkcje i moduły w który wyposażany jest na dalszym etapie produkcji, może przyczynić się do osłabienia bezpieczeństwa.

Istnieją setki różnych bitów, które muszą być poprawnie skonfigurowane, zanim system będzie gotowy do wydania. Jednym z przykładów typowej luki w zabezpieczeniach związanej z błędną konfiguracją są bity ochrony (pamięci) flash, które uniemożliwiają nieautoryzowaną modyfikację firmware. Aby się przed nią uchronić, wbudowane oprogramowanie musi wyczyścić bit „BIOS Write Enable”. Niestety, pojawia się pewien problem bowiem atakujący … sam może po prostu ustawić ten bit. Oczywiście istnieje ścieżka zapobiegawcza, jak np. „Blokada BIOS” ale i tutaj napastnicy znaleźli sposoby na obejście tego bitu, wyłączając wewnętrzne zdarzenia procesora.

Podczas gdy SMM i błędne konfiguracje to dwie najczęściej występujące podatności w UEFI, istnieją inne, w tym te, które wymagają dokładnych konfiguracji w trybie uśpienia i bezpiecznego rozruchu.

Narzędzia poprawy bezpieczeństwa firmware

Inwestycje w badania i rozwój bezpieczeństwa dowodzą, że i klienci i dostawcy rozwiązań security zdają sobie sprawę ze swojego położenia. Przede wszystkim obie strony muszą robić wszystko by w wyścigu z cyberprzestępcami znajdować się choć pół kroku wprzód. Nie zawsze tak się dzieje (jak można poczytać na naszym blogu) ale godne uwagi jest to, że rzeczywiście poczyniono postępy. Podjęto działania, aby znacznie zmniejszyć niektóre z najczęstszych ataków na oprogramowanie sprzętowe.

Fuzzing (rozmycie) jest powszechną techniką stosowaną przez hakerów w celu znalezienia luk w zabezpieczeniach. Polega ona na zautomatyzowanym wysyłaniu do programu różnego rodzaju losowych danych wejściowych i rejestrowaniu niepożądanych wydarzeń, takich jak crash, wycieki pamięci czy nieautoryzowany dostęp. Analizę rozmytą wykorzystuje się nie tylko przy badaniu podatności firmware, ale i w innych dziedzinach bezpieczeństwa. Z kolei wykonywanie symboliczne (także ocena symboliczna) jest sposobem analizowania programu w celu określenia, które wejścia powodują wykonanie każdej części programu. Podsumowując, z kodem źródłowym i informacjami o atakowanym oprogramowaniu można odwzorować awarie i błędy, aby ułatwić ich naprawianie.

Propozycje Intel

Projekt Excite firmy Intel łączy ocenę symboliczną, rozmycie i konkretne testy w jednym narzędziu, które pomaga zautomatyzować wykrywanie luk w zabezpieczeniach UEFI w SMM. Łącząc zestaw różnych narzędzi z różnych kategorii otrzymujemy rezultat niemożliwy do osiągnięcia przez samodzielne rozwiązania. Unikalne możliwości platform wirtualnych do przepływu danych wraz z wykonywaniem symbolicznym pozwalają na generowanie testów w kilku wymiarach. Dodając do tego fuzzing, rozszerzamy testowaną przestrzeń i zwiększamy powodzenie wykrycia podatności.

Koncepcja projektu Excite firmy Intel

Naukowcy pracują również nad analizą incydentów bezpieczeństwa z wbudowanym oprogramowaniem. Wykorzystując zautomatyzowane narzędzia do identyfikowania, gdzie atakujący mogą wprowadzić złośliwego wejścia, śledzą przepływ danych. Wszystko w celu zidentyfikowania kodu, który mógłby zostać „skażony” przez cyberprzestepców. Co więcej, dostępny jest oparty na hostach analizator oprogramowania (Host-Based Firmware Analyzer – HBFA), zautomatyzowane narzędzie o otwartym kodzie źródłowym. HBFA ma umożliwić programistom przeprowadzanie zaawansowanych testów sterowników UEFI i sterowników UEFI PI (Platform Initialization ) w środowisku systemu operacyjnego.

Jeśli chodzi o radzenie sobie z błędnymi konfiguracjami, dostępnych jest kilka narzędzi, takich jak projekt Chipsec z otwartym dostępem do Intela, czyli systemy skanowania błędnej konfiguracji. Chipsec umożliwia producentom OEM sprawdzenie poprawności konfiguracji wszystkich bitów systemowych w firmware. Przed powstaniem Chipsec Intel zaoferował przewodnik po programie BIOS Writers (i nadal oferuje podręczniki UEFI Writers Guides), który pomagały stworzyć prawidłowy kod BIOS / UEFI. Korzystanie z zaawansowanych, zautomatyzowanych narzędzi analitycznych stanowi ogromny krok naprzód w dziedzinie bezpieczeństwa oprogramowania układowego.

Na marginesie, niwelowanie podatności w obszarze firmware to nie jedyne działania Intel zmierzające do poprawy bezpieczeństwa ich produktów. Wspominaliśmy o tym, że uporali się z podatnościami w swoim narzędziu do diagnostyki procesorów.

Znaczenie hardeningu dla firmware

Pomimo tych wysiłków zawsze pojawią się błędy oprogramowania układowego. Zdając sobie z tego sprawę, naukowcy opracowują technologie hardeningu firmware dla UEFI, które poważnie ograniczą możliwości atakującego, nawet jeśli wykonają kod wewnątrz oprogramowania. Na przykład nowe technologie łagodzą skutki ataków SMM, uniemożliwiając wykonanie dowolnego kodu wewnątrz SMM i umożliwiając systemowi operacyjnemu weryfikację stanu SMM za pomocą bezpiecznych technik walidacji.

UEFI odgrywa nie tylko istotną rolę w bezpiecznym uruchamianiu systemów, ale oferuje również hakerom atrakcyjną powierzchnię ataku. Przede wszystkim wciąż pozostają jednym z potencjalnych wektorów ataku, na wypadek wojny cybernetycznej. Ataki sprzętowe takie jak RowHammer czy RAMBleed zmieniają postrzeganie sprzętowych podatności. Pora na zabranie się za luki w oprogramowaniu procesora. Tylko poprzez dalsze inwestowanie w badania, rozwój nowych zautomatyzowanych technologii i lepszą komunikację bariery wejścia dla hakerów pozostaną odporne.

https://www.zdnet.com/article/fancy-bear-lojax-campaign-reveals-first-documented-use-of-uefi-rootkit-in-the-wild

https://www.helpnetsecurity.com/2019/07/17/hardening-firmware-security

https://software.intel.com/en-us/articles/finding-bios-vulnerabilities-with-symbolic-execution-and-virtual-platforms