Ziņas par IT drošību, kiberincidentiem un aktualitātēm.
Kritiska ievainojamība Java bibliotēkā log4j
Lai gan decembris vēl nav beidzies, var ar pārliecību apgalvot, ka nupat atklātais caurums log4j žurnalēšanas bibliotēkā kļūs par vienu no gada lielākajiem incidentiem.
Atklātā ievainojamība “log4shell” ļauj uzbrucējam palaist sistēmā patvaļīgu kodu, injicējot strādājošajā Java programmā savu klasi, piemēram ar LDAP protokola starpniecību:
Tā kā log4j ir ļoti populāra bibliotēka Java pasaulē, tad kopā ar to ievainojami kļuvuši visi produkti un servisi, kas no tās atkarīgi. Tādu produktu skaits ir mērāms simtos, daudzi no tiem — tirgus līderi ar lielu klientu skaitu.
ASV prezidenta tikšanās ar kiberdrošības pārstāvjiem
Šonedēļ ASV prezidents Joe Biden tikās ar IT industrijas pārstāvjiem pirmo reizi rīkotajā kiberdrošības samitā, kur tika apspriesti šī gada lielākie uzbrukumi un IT kompāniju pasākumi situācijas uzlabošanai.
Šī ir laba iniciatīva un domājams, ka laika gaitā no tās varētu gaidīt reālus uzlabojumus. No pirmās tikšanās gan radās priekšstats, ka tā vairāk domāta PR, nevis rezultātiem.
Pieaicinātās puses
Tika uzaicināti tādi visiem zināmi uzņēmumi kā Google, Apple, Microsoft, taču iztrūka uzņēmumi, kuri profesionāli nodarbojas ar kiberdrošības incidentu risināšanu — Crowdstrike un Fireeye. Bija ieradušies arī lielāko banku CEO (finanšu sektors noteikti ir liels mērķis uzbrucējiem, bet diez vai kiberdrošības tēmām tiek veltīts daudz laika banku CEO līmenī).
Konkrētikas trūkums
Dienas rezultātā ir publicēti daudzi solījumi, bet pārsvarā tie izklausās pēc tukšām preses relīzēm, jo tiek pieminētas lietas, kuras kompānijas visticamāk plānotu darīt neatkarībā no šī samita.
Apple solījumi
Apple sola veicināt MFA popularitāti, bet nav skaidrs, ko tieši tas nozīmē, jo iCloud jau tā ir viens no labāk pasargātajiem resursiem (MFA tam tiek pieslēgts pēc noklusējuma).
Savukārt galvenā problēma, ar ko saskaras Apple pētnieki, ir testa iekārtu pieejamība, un par to preses relīzē nekas nav minēts.
Tieši pretēji, Apple tikko kā padeva apelāciju, lai turpinātu tiesāties pret Corellium, kas faktiski ir vienīgais pētniekiem pieejamais risinājums, kas nodrošina nepieciešamo pieeju iOS zemākajiem līmeņiem
Microsoft solījumi
Ņemot vērā Microsoft fokusu uz mākoņpakalpojumiem, to vājā vieta ir augstā E5 licenzes cena, kas nepieciešama lai piekļūtu pilnai žurnalēšanas informācijai Office 365 risinājumos.
Microsoft piedāvātais risinājums šai problēmai ir $150 miljoni grantos ASV valsts sektoram (t.i. bezmaksas E5 licenzes šīm organizācijām) — kas nerisina problēmu industrijas / pasaules mērogā.
Masīva T-Mobile datu noplūde
Vienā no šī gada plašākajām datu noplūdēm, hakeri ieguvuši visu T-Mobile ASV lietotāju datus. Kopumā skarti aptuveni 100 miljoni klientu.
Nozaudētie dati
Datubāze, kas tagad tiek pārdota pagrīdes forumā, satur visu kompānijas rīcībā esošo personu identificējošo informāciju, t.sk. lietotāju
- Social Security Numbers (SSN, ASV personas koda analogs)
- vārdus un adreses
- autovadītāju tiesības
- telefonu numurus un IMEI identifikatorus (kas unikāli identificē katru telefonu)
T-Mobile apgalvo, ka skarto klientu skaits ir mazāks, iespējams ap 50 miljoniem, turklāt dažādiem lietotājiem tika nopludināta dažāda veida personīgā informācija. Taču viņu incidenta analīze turpinās un citētie skaitļi jau vairākas reizes mainījušies.
Uzbrukuma sekas lietotājiem
Nopludinātā informācija sakrīt ar to, kas nepieciešama, lai atvērtu kredītu vai pieteiktos citiem pakalpojumiem. Šī informācija var arī tikt izmantota personalizētos spearphishing uzbrukumos.
Telefonu numuru, vārdu un IMEI kombinācija ir ideāla priekš SIM swapping uzbrukumiem, kas ļauja hakeriem apiet SMS-bāzētu otro faktoru. Lai gan Latvijā šādus uzbrukumus veikt ir grūtāk, tomēr ieteicams SMS vietā multifaktoru autentifikācijai izvēlēties vienreizlietojamo kodu ģeneratorus (piem. Google Authenticator / Microsoft Authenticator) vai fiziskas drošības atslēgas.
Nozagti (un atgriezti!) $600 miljoni no Poly Network
Poly Network nav atsevišķa kriptovalūta, bet gan decentralizētās finanšu tehnoloģijas (DeFi) risinājums, kas nodrošina kriptovalūtas konvertāciju starp dažādiem tīkliem. Šīs programmatūras kods ir veidots viedo līgumu (smart contracts) veidā, t.i. to var brīvi pētīt, kā arī sistēma ir izmantojama anonīmi, bez īpašām līgumsaistībām.
$600 miljonus vērta kļūda
Hakeri ir atklājuši ievainojamību Poly Network viedajā līgumā — izrādījies, ka bija nekorekti izmantota publiskā kriptogrāfija, nepietiekami validējot kontraktu parakstu. Šī cauruma rezultātā ir bijis iespējams piemeklēt hash collision tā, lai uzbrucēju komanda izietu validāciju, neskatoties uz to, ka viņiem nebija zināma nepieciešamā privātā atslēga. Tas ļāvis apiet īpašumtiesību pārbaudes un izvadīt no tīkla $600 miljonus.
Uzbrucēji arī publicējuši Q&A, kurā apgalvo, ka nauda ir pārskaitīta “drošai uzglabāšanai”, lai kāds cits to nevarētu nozagt pirms atklātā problēma tiek atrisināta.
Radītie zaudējumi
Haka rezultātā no sistēmas bija izvadīti:
- $267 miljoni Ethereum (atgriezti)
- $252 miljoni Binance Coin (atgriezti)
- $33 miljoni USDT (nav atgriezti, jo USDT uzturētājs - Tether ir iefrīzojis šos līdzekļus)
Atgrieztā nauda
Poly Network ir piedāvājuši hakeriem $500,000 atlīdzības naudu, kā arī deva solījumu pasargāt viņus no kriminālas atbildības, ja tiks atgriezti nolaupītie līdzekļi. Negaidītā pagriezienā, izskatās, ka uzbrucēji ir piekrituši un atgriezuši visu piesavināto kriptovalūtu.