Mám dojem, že rok 2017 je pro mne v oblasti bezpečnosti IT určitým způsobem přelomový. Zatím jsem stihl přijít o iluze a značně přehodnotit nejčernější scénář, co se v síti může stát. Je možné, že některým mé postřehy pomohou. Proto jsem se rozhodl podělit o informace, které mi způsobily několik bezesných nocí.
Kritické zero-day chyby jako běžná součást života
Vždy jsem tak nějak tušil, že v SW je spousta vážných neobjevených chyb. To, co se ale dostalo na světlo s leakem od Shadow Brokers, mě zarazilo. Bezpečnostní chyba ve všech verzích MS Windows i MS Windows Server (od Windows XP, Windows Server 2000 až po Windows 10 a Windows Server 2016), která umožňovala na dálku převzít „vládu“ nad PC/serverem, aniž by uživatel musel poskytnout součinnost.
Představte si, že máte univerzální klíč ke všem dveřím na světě. Veřejně ani nevíme, jak dlouho měla NSA informaci o této chybě a exploit k dispozici. Do té doby si mohli dělat, co chtěli, a jednoduše napadat/ovládat počítače po celém světě. Kdyby měl někdo pocit, že s Linuxem je na tom lépe, tak v SAMBA serveru se našla podobně kritická chyba, které se začalo říkat „SambaCry“.
Podobných chyb se již v minulosti našlo více a další se ještě najdou. Zvláště, když skupina Shadow Brokers, která získala exploity od NSA, vytvořila privátní „klub“. V rámci tohoto klubu dostávají předplatitelé každý měsíc přístup k informacím o chybách a zero-day exploitům, které mohou ihned použít k útokům na jiné systémy. Přičemž na chyby, co budou zneužívat, nebudou hned existovat opravy (tzn. ani pravidelné aktualizace nás neuchrání). To nás opět staví o jeden velký krok dozadu za útočníky. Uvědomil jsem si, že musím nově přemýšlet o každém SW/HW jako o děravém a zahrnout to do svých „návrhů a řešení“ sítí.
Chytřejší a agresivnější malware
WannaCry
Delší dobu mi přišlo, že malware (viry, červi, trojské koně) je poměrně amatérsky napsán. Často se nedokáže pořádně šířit, je „nekompatibilní“ (padá nebo selže), nevyužívá plně potenciálu a nepáchá příliš velké škody. Jako kdyby jej psali „začátečníci“, přičemž v kyberkriminalitě je spousta profesionálů (často lepších než na „straně dobra“).
S příchodem WannaCry se však můj názor změnil. Až na školáckou chybu s pseudo kill switchem (podle mě to byla jen technologie pro detekci sandboxu) to byl zajímavý malware. Primární infekce sítě tímto virem byla skrze e-mail (tzn. nic převratného) a bylo nutné, aby uživatel přílohu e-mailu spustil. To bylo ještě stádium, kterému se dalo dobře bránit (antiviry, e-mailové politiky, AppLocker, Software restriction policy). Nicméně, pokud jej uživatel spustil, byl virus schopen eskalovat svá oprávnění využitím EternalBlue exploitu. Následně se pokusil zreplikovat na všechna PC v síti pomocí EternalBlue exploitu a nakonec zašifroval všechna data, ke kterým se dostal.
Nejzajímavější je ta část šíření v rámci vnitřní sítě pomocí EternalBlue exploitu. V podstatě stačilo nemít aktualizovaný PC/server a pokud na něm nebyl vhodný IPS, tak byl ihned kompromitován. Čím více počítačů bylo napadeno, tím rychleji se virus v síti šířil. To znamená, že za 30 minut od spuštění viru prvním uživatelem jste mohli mít síť s několika stovkami počítačů a serverů kompletně zašifrovanou.
Pokud jste měli zálohy na nějakém síťovém nebo lokálním disku, na který napadený PC/server viděl, byli jste i bez záloh. Což je situace, do které se nikdo z nás nechce dostat. Obnovit firmu do normálního provozu, když musíte reinstalovat stovky počítačů a obnovit terabajty dat, zabere víc jak 1 den.
NotPetya
Tento malware byl podobný jako WannaCry. Používal stejnou metodu šíření v síti (tzn. EternalBlue). Navíc si ale stáhnul na pomoc další a to Mimikatz, díky kterému dokázal vyčítat hesla z paměti a OS Windows. Tzn. mít aktualizované Windows nestačilo k tomu, abyste byli v bezpečí. Pokud na infikovaném PC/serveru byla nějaká uložená hesla k naplánovaným úlohám, službám nebo zde byl přihlášen uživatel s právy přístupu na další stanice (stačí i odpojené RDP), tak se virus dokázal dostat dál. Pokud se mu podařilo dostat k přístupům doménového administrátora, síť kompletně padla.
Tentokrát jsme měli na aktualizace Windows okolo dvou měsíců, než se objevil WannaCry a začal se šířit. Stejně se našla velká řada firem, co počítače aktualizované neměla. Nyní si představte, že by byla obdoba na aktualizace pouze týden nebo se začal virus s exploitem šířit ještě dříve než aktualizace.
Čeho se tedy bojím?
Bojím se toho, že se objeví malware nebo hackerská skupina, která bude využívat zranitelností/exploitů, na které nejsou aktualizace. Následně budou šifrovat veškerá data, ke kterým se dostanou. Můžeme se tomu všichni snažit zabránit vrstvenou bezpečností (restrikce, IPS, AV, behaviorální AV, školení uživatelů), ale 100% to asi nikdy nebude. Otázka pak zní: přežijí to vaše zálohy, nebo ne?
A věřte mi, že já rozhodně nechci nikdy žádnému zákazníkovi do očí říkat, že jsme přišli o jeho data. Naštěstí se nám zatím daří spíš opačné – zachraňovat data firmám, které nejsou našimi zákazníky. Viz například článek Ransomware 1: Obnova dat aneb štěstí v neštěstí.
Zároveň jsme s kolegy vymysleli technologie a postupy, které ochrání zálohy našich zákazníků proti cryptovirům a ransomware.