Proč zabezpečení RDP pomocí VPN hackery nezastaví

15
Proč zabezpečení RDP pomocí VPN hackery nezastaví

Přemýšlíte, jak zvýšit zabezpečení RDP (vzdálené plochy)? Prozradím vám, jak hackeři nejčastěji RDP hackují a proč na tom VPN nic nezmění. Ale jak tedy zařídit, aby zabezpečení RDP bylo dostatečné?

Hacknutých firem přibývá

Ransomware se v ČR před pár měsíci dostalo velké mediální pozornosti (díky benešovské nemocnici a OKD). Leckdo mimo IT obor by se mohl mylně domnívat, že další firmy už se zašifrovat nenechají. Všichni byli o hrozbě informováni a zabezpečili své sítě. Problém vyřešen!

Realita je však taková, že firem, které přišly o data včetně záloh, stále přibývá (minimálně nám se jich ozývá více a více). Jak je to možné?

Bezpečnost se musí budovat

Jde o to, že bezpečnost se nedá vyřešit pouze nákupem jedné krabičky, změnou několika nastavení, nebo pár přesčasy.

Firmy bezpečnost zpravidla zanedbávají roky. Za tu dobu se u nich naakumuloval „technologický dluh“ a ten se nedá odstranit jemným „pošolicháním“. Stejně jako u sedavého zaměstnání nezmizí bolest zad s první návštěvou posilovny („osobní zkušenost“ 😊).

Není snadné najít někoho, kdo pomůže síť kvalitně zabezpečit. Podle webových stránek sice dělá „IT bezpečnost“ každá IT firma, avšak realita mi připomíná spíše tvrzení, že „papír snese všechno“. Zvláště pro manažery mimo IT obor může být obtížné posoudit, kdo skutečně pomůže a kdo firmě jen „pustí žilou“ (pokud jste ještě nečetli, doporučuji článek „Jak hackeři napadají firmy skrze jejich IT dodavatele“).

Všechno se svede na RDP

Vzdálenou plochu (RDP) používá řada firem, aby umožnila zaměstnancům práci z domu. Využívá ji i řada správců sítě (včetně nás) ke vzdálené správě serverů. Protože je smyslem vzdálené plochy umožnit „vzdálenou“ práci, je tato služba často dostupná napřímo z internetu. Takže se k ní mohou připojovat jak legitimní uživatelé, tak i hackeři.

Za posledních pár let pozorujeme, že většina úspěšných útoků na firmy (a zašifrování dat) byla provedena právě skrze vzdálenou plochu. Z toho důvodu začala řada lidí „bojovat“ proti RDP dostupnému přímo z internetu a jako řešení problému je doporučováno schovat vše za VPN. Ti, kteří i přesto nechávají svá RDP dostupná napřímo z internetu, jsou často označení jako nekompetentní. 😊

Nejspíše už tušíte, že mám na věc jiný, malinko kacířský 😈 názor. Dle mě totiž není problém v RDP, ale v nedbalém přístupu IT správců. Nemyslím tím všechny IT správce, ale jen ty, co svůj obor flákají. A pokud se přístup správců nezmění, tak VPN nic nevyřeší a firmy budou prolamovány i nadále.

Jak hackeři prolamují RDP (vzdálenou plochu)

Pro lidi mimo obor je hackování zahaleno určitým tajemnem. Je mi líto, pokud vás o to tajemno nyní připravím.

Skutečnost je taková, že: všechna hacknutí vzdálené plochy (až do druhé půlky 2019) byla provedena tak, že hackeři získali přihlašovací údaje oběti a normálně se na vzdálenou plochu přihlásili!

Tyto firmy nebyly hacknuty proto, že měly dostupnou vzdálenou plochu, ale proto, že měly ledabylé IT správce.

Vzdálenou plochu můžeme vinit pouze z toho, že umožnila IT správcům:

  • používat slabá (krátká/slovníková) hesla,
  • vypnout uzamykání účtů,
  • používat známá uživatelská jména (např. administrator, printer, scanner, support),
  • nepoužívat 2FA,
  • vypnout síťové ověřování (NLA),
  • používat nedůvěryhodné certifikáty.

Možná ještě přemýšlíte, jak se útočníci k přihlašovacím údajům dostali. Někdy je nalezli na internetu – v únicích hesel z jiných služeb. Občas je uživatelé zadali na napadených počítačích. V naprosté většině je pak uhádli s pomocí slovníkového útoku. Prostě jejich botnety jen pečlivě několik dní zkoušeli heslo po heslu. Protože správci tyto pokusy o přihlášení nesledují, tak proti tomu nic nepodnikli.

Proč VPN nic nezmění

Nyní se dostáváme k myšlence, podle které je pojmenovaný celý článek. Jelikož slabým místem není technologie, nepomůže ani její výměna. Tzn. pokud vyměním RDP za VPN (skrze které se teprve na RDP budu připojovat), síť neudělám bezpečnější, protože:

  • uživatelé stále budou používat stejná slabá hesla (pravděpodobně bude VPN navázána přímo na AD),
  • zadávat je na nedůvěryhodných zařízeních (domácích/cizích počítačích),
  • útočníci stále budou moci zkoušet hádat hesla (protože VPN je dostupná z celého světa).

Jedinou cestou k bezpečné firemní síti je dělat věci pořádně a zajímat se o svůj obor.

Důvod, proč je pro útočníky teď v kurzu vzdálená plocha, je ten, že ji používá obrovské množství uživatelů (dle shodan.io alespoň 5 milionů serverů) a zároveň jsou na internetu volně dostupné nástroje k jejímu „hackování“ (zejména pro zkoušení hesel).

Jak bude více uživatelů využívat VPN, přesunou se tam i útočníci. V podstatě už i teď zneužívají VPN k hackování firem, viz další kapitola. O tom, co všechno útočníci dokážou, jsem psal i v článku „Co dokážou hackeři s ransomware ve vaší firemní síti“.

Ale co chyby v technologiích a exploity?

Určitě si vzpomenete na kritické chyby BlueKeep a DejaBlue, které se v implementaci RDP nalezly minulý rok. Díky nim bylo možné získat úplnou kontrolu nad libovolným zařízením s OS Windows, které mělo povolenou vzdálenou plochu.

Možná právě proto si řeknete, že je dobré mít v cestě nějaké zařízení – např. VPN. To nedovolí přímý přístup k serverům a i když bude v aplikaci chyba, útočníci ji nebudou moci zneužít.

Problém však je, že i tato zařízení mají své chyby. Zrovna letos pár výzkumníků našlo kritické zranitelnosti ve VPN výrobců: Palo Alto, FortiNet a Pulse Secure (Attacking SSL VPN). Tyto zranitelnosti umožnily:

  • získat kontrolu nad routerem,
  • získat uživatelská jména a hesla přihlášených uživatelů do VPN,
  • ovládnout i klientské počítače (ty, které se přihlašovaly do VPN).

Všechny tyto chyby byly uveřejněny v době, kdy už existovaly opravné patche. Přesto řada firem (včetně Twitteru a Uberu) včas neaktualizovala. Některé firmy ve skutečnosti neaktualizovaly ani dodnes a tak jsou postupně hackovány právě skrze tyto kritické chyby („The US DHS CISA agency is warning organizations that threat actors continue to exploit the CVE-2019-11510 Pulse Secure VPN vulnerability“).

Obecně veškeré veřejně dostupné služby (tzv. „internet facing“) jsou potenciální problém a je nutné se o ně pečlivě starat. Nedávno byly například nalezeny kritické (umožnily komukoliv dané zařízení ovládnout) zranitelnosti v:

V podstatě těch chyb bylo v poslední době tolik, že hackeři ani nestíhají všechny zranitelné firmy hackovat. Začali tak do zranitelných sítí alespoň vkládat backdoory (zadní vrátka), aby se k nim mohli v budoucnu vrátit (i když už si firma zranitelnost opatchuje) a data zašifrovat. Občas to bylo až tak paradoxní, že chybu firmě sami „opravili“. To proto, aby ji nemohla zneužít jiná hackerská skupina („Hackers are racing to exploit a Citrix bug that the company hasn’t patched yet“).

Jak zvýšit zabezpečení RDP (vzdálené plochy)

Jak tedy zabezpečit RDP (i VPN a jiné veřejně dostupné služby), aby bylo dostatečně bezpečné? Zde jsou tipy a technologie, které sami používáme, nebo jsme je používali:

  • Používejte vícefaktorové ověřování – zabrání to útočníkům přihlásit se k vaší službě, pokud budou mít pouze přihlašovací údaje. Uživatelé pak naučte hlásit správcům, pokud jim přijde „push notifikace“ na 2FA, aniž by se někde přihlašovali (odhalíte tak únik přihlašovacích údajů). Zároveň je nutné, aby 2FA platilo pro všechny uživatele bez výjimek (obzvlášť pro správce, pro ty je to důležitější než pro běžné účty). Technologie, které se nám osvědčily jsou ESET Secure Auth nebo Azure MFA.  
  • Blokujte ty, kterým se nepodaří přihlásit – je dobré mít představu o tom, kdo se k vám snaží přihlásit a zdali se někdo nesnaží uhodnout přihlašovací údaje (nám to sleduje monitorovací systém). Ještě lepší však je, rovnou je blokovat. Jako nástroje můžete použít: RDPGuard, nebo Cyberarms.
  • Omezte dostupnost služeb – častokrát stačí když se na danou službu dostanete jenom z pár veřejných IP adres či z několika málo zemí. Málokdo potřebuje mít RDP dostupné z celého světa. 😊 Je to trochu „security by obscurity“, ale rychle se nastaví (řada routerů to umí jako „geo blocking“) a radikálně sníží nechtěný traffic na dané služby. Vedlejším efektem je, že zmizíte z řady databází jako je Shodan.
  • Sledujte, co se děje ve světě – náš obor se vyvíjí neskutečnou rychlostí a je těžké znát všechno. Zkuste aspoň sledovat pár internetových zdrojů jako bleepingcomputer.com nebo thehackernews.com či se aspoň přihlaste k odběru týdenního bulletinu o nových zranitelnostech na https://www.us-cert.gov/ncas/bulletins (a třeba i mého blogu). No a co je neméně důležité – pracujte s těmi informacemi. Když se někde objeví chyba – aktualizujte. Když se útočníci naučí překonávat určitý obraný prvek – upravte obrannou strategii.

VPN a RDP není jediná cesta do firmy

Celý článek jsme se bavili pouze o VPN a RDP, jako by to byla jediná cesta útočníků do firmy. Myslet si to by byla chyba. Útočníci se mohou dostat do firmy i skrze podvodné mailové zprávy (phishing), zranitelné internetové prohlížeče (nedávno byly nalezeny 0-day kritické chyby v IE, FireFoxu i Chrome).

Všechny tyto cesty však mají jedno společné. Jakmile se útočník ocitne ve vnitřní síti, má většinou omezená práva (jako běžný uživatel) a musí si nějakým způsobem dopomoci k vyšším právům. To proto, aby mohl smazat zálohy a zašifrovat data v celé síti.

Právě v eskalaci oprávnění jsou útočníci velice dobří (většinou mají do hodiny hotovo) a obrana firem je značně pozadu. Správci, se kterými se potkávám, věnují totiž všechno úsilí ochraně vnějšího perimetru (tzn. rozhraní internet – vnitřní síť) a na zbytek již jim nezbývá čas.

Obrana musí být komplexní! Líbí se mi trochu zjednodušená analogie, že je to stejné, jako když se budovala obrana měst. Většinou existovaly vnější hradby s vodním příkopem (ochrana rozhraní internet – vnitřní síť), vnitřní hradby (vnitřní segmentace sítě), omezený počet vstupů (VPN, geo-blocking), příslušníci stráže, kteří kontrolovali identitu (autentizace, autorizace – ideálně 2FA), a strážní věže, kteří sledovali, že se neblíží nebezpečí a neděje něco špatného uvnitř města (monitorovací systém).

Defense in depth
Obrázek 2: Zdroj: https://www.ciatec.com/

Pokud chcete nějaké tipy k interní segmentaci, koukněte na článek „Zabezpečení sítě: Tierování a PAW (jak děláme interní segmentaci u nás) a „IT bezpečnost: životní cyklus“ (o tom, že bezpečnost nejsou jen restrikce).

Jak jsou na tom hackeři

Myslím, že hackeři se nikdy neměli tak dobře jako nyní. Z naší zkušenosti je běžná cena výkupného, které platí firmy střední velikosti v ČR, v řádu statisíců (nárůst o stovky procent za poslední roky). V oblasti korporací je pak výkupné ještě o řád vyšší. Například Maastricht university v Holandsku zaplatila v prosinci 2019 výkupné okolo 5.000.000 Kč („Ransomware attack: Maastricht University pays out $220,000 to cybercrooks“).

Není tedy divu, že s takovýmto financováním se útočníci stále zlepšují a profesionalizují. My to pozorujeme i u útoků, které řešíme. Před pár roky jsem psal články o tom, jak jsme řešili ransomware u pár zákazníků:

Netušil jsem tehdy, že pár let na to budu psát články, jak sítě zákazníků hackují ručně a ničí u toho zálohy („Co dokážou hackeři s ransomware ve vaší firemní síti“), vydírají zveřejněním ukradených dat („Hackeři mají nový trik. Naučili se s ransomware lépe vydírat“) a k napadání firem zneužívají jejich dodavatele („Jak hackeři napadají firmy skrze jejich IT dodavatele“).

Jak uchránit svou síť

Nutné je držet krok s útočníky, resp. být o krok napřed. To se však snadněji řekne, než udělá. Aby byla síť bezpečná, nesmíme udělat ani jednu chybu. Zatímco hackerům stačí najít jenom tu jednu chybu, aby síť prolomili.

Dobrou cestou je podle mě vzájemná spolupráce. Protože potřebných znalostí je tolik, že není v silách jednotlivce obsáhnout je sám. Ti, co to dokáží, jen potvrzují pravidlo a stejně jich není dost, aby pomohli byť jen zlomku firem. Společně však dokážeme naše firemní sítě ubránit. V to věřím, a proto i píšu tento blog. 😊

PS: Aktuálně k nám do firmy hledáme 2 nové kolegy/kolegyně. Měřítka máme přísná, chceme kolegu, který pro IT žije. Věřím, že právě taková je většina čtenářů mého blogu, proto se o tom zde zmiňuji. Více info najdete na https://www.patron-it.cz/kariera .

Líbí se vám témata, o kterých píši?

Abyste nemuseli kontrolovat, jestli už vyšel nový článek, rád vám ho ihned po zveřejnění pošlu do e-mailu. Každý kontakt, který mi poskytnete, si nechám vždy jen pro sebe.

  1. Pěkně napsaný článek a nezbývá než souhlasit. Bohužel to je přesně tak, jak píšete a potkávám to takto dnes a denně. Od Benešova je sice nějaká vůle to řešit, ale zase se často narazí na argumenty „my tady máme super krabičky za miliony, nás nikdo neprolomí“ a pak stačí sednou do zasedačky a oni tam nemají ani VLAN, hromady nespravovaných výjimek, BYOD naprosto bez politik atd. Nakonec padne ta první hradba a útočník si nestíhá vybírat zranitelné cíle.

  2. Aleluja… skvěle nápsano. Konečně někdo, kdo poukázal na to, že pojďme koupit krabičky, kouzelný SW a všechno bude zase vpořádku je pěknej bulls…, hlavně, aby za tím nestála žádná práce. Skvěly proklik na Tiering/PAW a to, že bezpečnost je taky nějaký process, jelikož to je pro zákazníky většinou něco jako černá magie.
    Díky.

    • Moc díky :)! Bál jsem se, že článek bude přijat negativně. Proto mám velkou radost z toho, že je více lidí kteří se na věc dívají obdobně (Většinou nikdo nechce slyšet o tom, že se věci nedají vyřešit kouzelnou „pilulkou“, ale pečlivou prací).

  3. Článek super. Ještě přinutit management firem číst tyto články… Dokud se něco nestane, pořád je to v očích managementu mnoha menších firem „pasivní investice“, která nepřinese hodnotu…

    • Díky za komentář. Je to tak, často je mezi IT a vedením určitý komunikační blok. Na druhou stranu je spousta opatření, které se dají udělat i bez potřeby peněz (resp. stačí „jenom“ čas).

  4. Nějaké doporučení na správce hesel? Zatím se tomu vyhýbám, z obavy před únikem hlavního hesla které by pak sndno otevřelo cestu ke všem… A 2FA aby zase podstatně nezdržovala při práci….

    • Já bych se na to koukal z opačné strany. Pokud nebudete mít správce hesel, tak budete používat jenom pár hesel, které si můžete zapamatovat. Teď záleží na kolika místech je budete mít. Čím víckrát je zopakujete, tím spíše se stane že nějaké unikne (heslo vždy zná i správce webu kde jej použijete – bez ohledu na to zdali v DB ukládají hashe, nebo ne). Když jej pak budete potřebovat změnit, ani nebudete vědět kde všude to heslo je :).

      Používat správce hesel s master heslem tedy nepovažuji za snížení bezpečnosti. Jde však o to, mít databázi hesel jenom na důvěryhodných zařízeních a jinde ji neotvírat. Jakmile máte vault otevřený, může k heslům přistoupit jakákoliv aplikace běžící pod vašimi oprávněními, či admin/system právy.

      Já osobně pro soukromá hesla používám Keepass, s tím že mám několik vaultů (v každém jsou jinak důležitá hesla) a mám je otevřené jen po nezbytně dlouhou dobu.

  5. Martine.. Diky. Tvuj blog je super, tvoje postrehy jsou super a jsem rad, ze nekdo rejpe do ostatnich (se mnou vcetne), aby delali veci lip, neusnadnovali si to vic nez je treba, a premejsleli nad tim.. Hodne mi chytla ta myslenka ‚sdileni poznatku‘, mam docela chut na to sestavit nejakej portal.. Vylozene zamerenej na prakticky postupy, jak to delat poradne, vice ci mene detailni, a vymenovani tipu a poznatku.. Nema cenu si to syslit pro sebe.

      • Zatim jsme neprisli na to, jak to rict slusne a stejne uderne :). Kdyz se nam podari nevychladnout a neco realizovat, urcite dam vedet.

Napsat komentář