/* Urbjam un lāpam */

Ziņas par IT drošību, kiberincidentiem un aktualitātēm.

Lai gan decembris vēl nav beidzies, var ar pārliecību apgalvot, ka nupat atklātais caurums log4j žurnalēšanas bibliotēkā kļūs par vienu no gada lielākajiem incidentiem.

Atklātā ievainojamība “log4shell” ļauj uzbrucējam palaist sistēmā patvaļīgu kodu, injicējot strādājošajā Java programmā savu klasi, piemēram ar LDAP protokola starpniecību:

ilustrācijas avots: fastly.com

Tā kā log4j ir ļoti populāra bibliotēka Java pasaulē, tad kopā ar to ievainojami kļuvuši visi produkti un servisi, kas no tās atkarīgi. Tādu produktu skaits ir mērāms simtos, daudzi no tiem — tirgus līderi ar lielu klientu skaitu.

Šonedēļ ASV prezidents Joe Biden tikās ar IT industrijas pārstāvjiem pirmo reizi rīkotajā kiberdrošības samitā, kur tika apspriesti šī gada lielākie uzbrukumi un IT kompāniju pasākumi situācijas uzlabošanai.

Šī ir laba iniciatīva un domājams, ka laika gaitā no tās varētu gaidīt reālus uzlabojumus. No pirmās tikšanās gan radās priekšstats, ka tā vairāk domāta PR, nevis rezultātiem. 

Pieaicinātās puses

Tika uzaicināti tādi visiem zināmi uzņēmumi kā Google, Apple, Microsoft, taču iztrūka uzņēmumi, kuri profesionāli nodarbojas ar kiberdrošības incidentu risināšanu — Crowdstrike un Fireeye. Bija ieradušies arī lielāko banku CEO (finanšu sektors noteikti ir liels mērķis uzbrucējiem, bet diez vai kiberdrošības tēmām tiek veltīts daudz laika banku CEO līmenī). 

Konkrētikas trūkums

Dienas rezultātā ir publicēti daudzi solījumi, bet pārsvarā tie izklausās pēc tukšām preses relīzēm, jo tiek pieminētas lietas, kuras kompānijas visticamāk plānotu darīt neatkarībā no šī samita.

Apple solījumi

Apple sola veicināt MFA popularitāti, bet nav skaidrs, ko tieši tas nozīmē, jo iCloud jau tā ir viens no labāk pasargātajiem resursiem (MFA tam tiek pieslēgts pēc noklusējuma).

Savukārt galvenā problēma, ar ko saskaras Apple pētnieki, ir testa iekārtu pieejamība, un par to preses relīzē nekas nav minēts.

Tieši pretēji, Apple tikko kā padeva apelāciju, lai turpinātu tiesāties pret Corellium, kas faktiski ir vienīgais pētniekiem pieejamais risinājums, kas nodrošina nepieciešamo pieeju iOS zemākajiem līmeņiem

Microsoft solījumi

Ņemot vērā Microsoft fokusu uz mākoņpakalpojumiem, to vājā vieta ir augstā E5 licenzes cena, kas nepieciešama lai piekļūtu pilnai žurnalēšanas informācijai Office 365 risinājumos.

Microsoft piedāvātais risinājums šai problēmai ir $150 miljoni grantos ASV valsts sektoram (t.i. bezmaksas E5 licenzes šīm organizācijām) — kas nerisina problēmu industrijas / pasaules mērogā.

Vienā no šī gada plašākajām datu noplūdēm, hakeri ieguvuši visu T-Mobile ASV lietotāju datus. Kopumā skarti aptuveni 100 miljoni klientu.

Nozaudētie dati

Datubāze, kas tagad tiek pārdota pagrīdes forumā, satur visu kompānijas rīcībā esošo personu identificējošo informāciju, t.sk. lietotāju

  • Social Security Numbers (SSN, ASV personas koda analogs)
  • vārdus un adreses
  • autovadītāju tiesības
  • telefonu numurus un IMEI identifikatorus (kas unikāli identificē katru telefonu)

T-Mobile apgalvo, ka skarto klientu skaits ir mazāks, iespējams ap 50 miljoniem, turklāt dažādiem lietotājiem tika nopludināta dažāda veida personīgā informācija. Taču viņu incidenta analīze turpinās un citētie skaitļi jau vairākas reizes mainījušies.

Uzbrukuma sekas lietotājiem

Nopludinātā informācija sakrīt ar to, kas nepieciešama, lai atvērtu kredītu vai pieteiktos citiem pakalpojumiem. Šī informācija var arī tikt izmantota personalizētos spearphishing uzbrukumos.

Telefonu numuru, vārdu un IMEI kombinācija ir ideāla priekš SIM swapping uzbrukumiem, kas ļauja hakeriem apiet SMS-bāzētu otro faktoru. Lai gan Latvijā šādus uzbrukumus veikt ir grūtāk, tomēr ieteicams SMS vietā multifaktoru autentifikācijai izvēlēties vienreizlietojamo kodu ģeneratorus (piem. Google Authenticator / Microsoft Authenticator) vai fiziskas drošības atslēgas.

Poly Network nav atsevišķa kriptovalūta, bet gan decentralizētās finanšu tehnoloģijas (DeFi) risinājums, kas nodrošina kriptovalūtas konvertāciju starp dažādiem tīkliem. Šīs programmatūras kods ir veidots viedo līgumu (smart contracts) veidā, t.i. to var brīvi pētīt, kā arī sistēma ir izmantojama anonīmi, bez īpašām līgumsaistībām.

$600 miljonus vērta kļūda

Hakeri ir atklājuši ievainojamību Poly Network viedajā līgumā — izrādījies, ka bija nekorekti izmantota publiskā kriptogrāfija, nepietiekami validējot kontraktu parakstu. Šī cauruma rezultātā ir bijis iespējams piemeklēt hash collision tā, lai uzbrucēju komanda izietu validāciju, neskatoties uz to, ka viņiem nebija zināma nepieciešamā privātā atslēga. Tas ļāvis apiet īpašumtiesību pārbaudes un izvadīt no tīkla $600 miljonus.

Uzbrucēji arī publicējuši Q&A, kurā apgalvo, ka nauda ir pārskaitīta “drošai uzglabāšanai”, lai kāds cits to nevarētu nozagt pirms atklātā problēma tiek atrisināta.

Radītie zaudējumi

Haka rezultātā no sistēmas bija izvadīti:

  • $267 miljoni Ethereum (atgriezti)
  • $252 miljoni Binance Coin (atgriezti)
  • $33 miljoni USDT (nav atgriezti, jo USDT uzturētājs - Tether ir iefrīzojis šos līdzekļus)

Atgrieztā nauda

Poly Network ir piedāvājuši hakeriem $500,000 atlīdzības naudu, kā arī deva solījumu pasargāt viņus no kriminālas atbildības, ja tiks atgriezti nolaupītie līdzekļi. Negaidītā pagriezienā, izskatās, ka uzbrucēji ir piekrituši un atgriezuši visu piesavināto kriptovalūtu.

Menu