Back

Konferenca RSA2019 – pesë sulmet më të rrezikshme

Në Konferencën RSA 2019, ekspertët e Institutit SANS kanë diskutuar teknikat më të sofistikuara të sulmeve që ata kanë parë deri më tani, duke përfshirë manipulimin e të dhënave në DNS dhe dominimin e domain-it.

Kur është fjala për kërcënimet më të rrezikshme kibernetike në ditët e sotme, sulmet DNS dalin të jenë nga më të dëmshmet. Në Konferencën RSA 2019, ekspertët e sigurisë nga Instituti SANS përshkruan pesë nga ato që ata i quajtën “teknikat më të rrezikshme të sulmit” që po marrin hov në vitin 2019 – veçanërisht sulmet DNS – dhe propozuan masa që profesionistët e sigurisë kibernetike mund të vendosin për të mbrojtur vetën dhe organizatat e tyre ndaj këtyre sulmeve.

Panelistët e SANS thanë se shkëmbimi i informacionit mbetet çështja më thelbësore për të trajtuar sfidat e sigurisë kibernetike, duke përfshirë teknikat e evoluimit të sulmeve, të cilat përfshijnë fushën e dominimit dhe shfrytëzimin e dobësive në CPU.

“E vetmja mënyrë për të përmirësuar sigurinë tonë është duke mësuar nga gabimet e të tjerëve”, tha Johannes Ullrich, dekan i hulumtimit në Institutin SANS. “Nëse bëni gabime, ndani ato, le të dijnë të gjithë për to, me shpresë që nuk do të bëjnë edhe të tjerët të njëjtat gabime. Edhe ata të ndajnë gabimet e tyre me ju në mënyrë që ju të mund të mësoni prej tyre”.

Manipulimi i DNS

Një lloj sulmi i DNS që ka ndikuar ndjeshëm në organizata të ndryshme gjatë disa muajve të fundit është manipulimi i infrastrukturës DNS të lidhur me ndërmarrjet specifike, tha Ed Skoudis, një ndjekës i SANS.

Sulmuesit po përdorin kredenciale të komprometuara, emra të përdoruesve dhe fjalëkalime për të sulmuar ofruesit e shërbimeve DNS dhe regjistruesit e emrave, për të manipuluar regjistrimet, në mënyrë që një DNS të një ndërmarrjeje të vendosë diku tjetër në vend të infrastrukturës së saj, tha Skoudis.

“Në fakt, ajo që po bëjnë është se po manipulojnë rekordin e shkëmbimit të postës në mënyrë që email-i i destinuar për organizatën tuaj në të vërtetë të ridrejtohet te serverat e emaileve të liqeneve, kështu që ata mund të përgjojnë emailin”, tha ai për të pranishmit e konferencës RSA.

Përmes kësaj, ata kanë arritur të marrin edhe certifikatat e sigurisë TLS nga autoritetet e certifikatave (Comodo apo Let’s Encrypt), duke aplikuar në emër të kompanive të komprometuara.

Skoudis i referohej sulmeve të gjera DNS të ndërmarrë kundër ndërmarrjeve dhe agjencive qeveritare kohët e fundit në një fushatë të quajtur “DNSpionage”, e cila më vonë u atribuohet aktorëve iranianë të kërcënimit. Stuart McKenzie, nënkryetar i konsultimit Mandiant, EMEA në FireEye, diskutoi sulmet DNS në një panel tjetër të RSA dhe tha se fushata përfshinte planifikim të kujdesshëm dhe disa faza. Ndryshimi i të dhënave DNS për të përcjellë trafikun nuk është e tëra.

McKenzie gjithashtu tha se është jashtëzakonisht e vështirë për të zbuluar këtë lloj manipulimi DNS, sepse “ndodh aq shpejt”.

Një mënyrë efektive për t’u mbrojtur ndaj sulmeve DNS, Skoudis tha, që është duke zbatuar verifikimin me shumë faktorë, ose të paktën me dy faktorë, sa herë që organizatat të bëjnë ndryshime në infrastrukturën e tyre DNS. Personeli i operacioneve duhet gjithashtu të monitoroi për çdo ndryshim të lidhur publikisht me të dhënat e tyre DNS ose çertifikatat digjitale të lidhura me organizimin e tyre, shtoi ai.

Ai gjithashtu i këshilloi ata që të vendosin Domain Name System Security Extensions (DNSSEC), e cila forcon autentifikimin në DNS duke përdorur nënshkrime digjitale të bazuara në kriptografinë kryesore të çelësit publik. “Nëse vendosni DNSSEC mos harroni se që të dy duhet të keni të regjistruar regjistrimet DNS, si dhe validim për to; nëse vendosni vetëm gjysmën e kësaj, ju nuk keni vendosur DNSSEC,” tha ai.

Domain Fronting

Domain fronting është një teknikë e përdorur nga sulmuesit për të fshehur lokacionin e tyre, nga ku keqbërësi ‘exfiltron’ të dhëna , tha Skoudis. Kjo abuzon mënyrën se si rrjetet e shpërndarjes së përmbajtjes (CDNs) dhe ofruesit e shërbimeve të cloud-it përcjellin trafikun.

Algoritmi të cilin e shpjegoi Skoudis duket kështu:

  1. Në rrjetë ndodhet një kompjuter i infektuar.
  2. Ky kompjuter dërgon një kërkesë DNS për një faqe të pastër dhe të besueshme nga një CDN i besueshëm.
  3. Sulmuesi, i cili po ashtu është klient i atij CDN-i, e hoston një ueb-faqe aty.
  4. Kompjuteri i infektuar e vë një lidhje të siguruar me TLS me ueb-faqen e besueshme.
  5. Brenda kësaj lidhjeje, malueri lëshon një kërkesë HTTP 1.1 në drejtim të ueb-serverit të sulmuesit në CDN-in e njëjtë.
  6. Ueb-faqja i pason kërkesën serverit të sulmuesit.
  7. Kanali i komunikimit është vendosur me sukses.

 

 

Si rezultat i kësaj, sulmuesi tashmë ka ndërtuar një kanal për tërheqje, që në ‘sytë’ e softuerëve për mbrojtje duket si një faqe e besueshme në atë CDN. Ky trend nuk duket se do të zhduket së shpejti, pasi kjo u tregoi sulmueseve se si të “zhduken nëpër re”. Ekziston rreziku që kriminelët janë duke kaluar në teknologjinë “cloud”, ku nga aty, ata teorikisht mund të krijojnë një zinxhirë me CDN dhe të humbin gjurmë prapa shërbimeve “cloud”, duke formuar kështu “pastrim të lidhjeve”.

Ndër të tjera, Skoudis rekomandon:

  • Implementimin e përgjimit të lidhjeve të koduara me TLS në kufi të rrjetës tonë;
  • Enkriptimin e të dhënave në “cloud” dhe ruajtjen e çelësave diku tjetër;
  • Përdorimin e veglave si RITA[i] e cila ofrohet falas nga “Black Hills Information Security

 

Kapja e trafikut DNS

Derisa monitorimi i regjistrave DNS u siguron mbrojtësve kibernetikë aftësinë për të skanuar atë që po ndodh në rrjetin e tyre, duke përfshirë trafikun e sulmit, tha Ullrich, aktorët e kërcënimit po përdorin sulmet DNS për të mbledhur regjistra të trafikut.

“Nga pikëpamja e privatësisë, lidhja e vërtetë e rrezikshme është ajo midis jush dhe serverit tuaj DNS rekursive, sepse në qoftë se keqbërsi është në gjendje të kapë atë trafik, ata mësojnë shumë për trafikun tuaj, çfarë po bëni dhe çfarë ueb-faqe jeni”, tha ai.

Një mënyrë për të zgjidhur këtë, është të enkriptoni trafikun DNS me DNS mbi HTTPS e cila e siguron lidhjen e klientit me serverin rekursiv. Kjo është shumë e mirë për privatësinë dhe për sigurinë, mirëpo u pamundëson mbrojtësve të identifikojnë aktivitetet e dyshimta si më parë.

Disa nga rekomandimet që jep z. Ullrich:

  • Limitimi i shfletimit privat të uebit në një ndërmarrje;
  • Përdorimi i VPN-it të sigurt;
  • Ri-vlerësim të balancës mes sigurisë dhe privatësisë në ndërmarrje, me mundësi të rritjes së qasjes për mbrojtësit (administratorët e sigurisë).

 

Gabimet e CPU

Ullrich u kujtoi të pranishmëve në konferencën RSA se sistemet kompjuterike nuk janë vetëm një CPU e vetme, por përbëhen nga ‘patate të skuqura’ të tjera që kanë fuqi përpunimi, memorie dhe kod drejtimin mbi to.

“Nëse një sulmues merr nën kontroll një nga serverët tuaj … ata në fakt mund t’i përdorin këto sisteme kundër jush”, tha Ullrich.

Një shembull i kësaj janë sulmuesit që përdorin kontrollorët e menaxhimit të bazës (BMC[ii]) për të fituar qasje më të vazhdueshme në një sistem, tha ai.

“Herën e fundit që morët me qira një server në cloud, a kontrolluat nëse BMC ishte akoma në gjendjen e tij origjinale apo nëse dikush e ndryshoi atë, një përdorues paraprak i atij sistemi p.sh.”, tha Ullrich.

BMC-të shpesh përdoren për të rinisur sistemet dhe duhet të lidhen me një rrjet menaxhues, tha ai. Një sulmues që kontrollon një BMC, tani ka qasje në atë rrjet të menaxhimit, shtoi ai.

Organizatat duhet të mbajnë në mend se rrjetat e menaxhimit që ata krijojnë nuk kanë boshllëk, tha ai, dhe se monitorimi pasiv i rrjetit është i nevojshëm për këto rrjete të menaxhimit.

“Ne duhet të aplikojmë të njëjtin lloj monitorimi të rrjetit që përdorim në rrjetet tona të jashtme që ballafaqohen me këto rrjete të menaxhimit”, tha ai. “Mos u mbështetni vetëm në identifikimin, ndërto në këto BMC, sepse kjo është ajo që sulmuesi mund të ketë qasje dhe kjo është ajo që mund të kompromentohet”.

Sulmet individuale me shënjetstër në cloud

Heather Mahalik, drejtor i inxhinierisë së forenzikës në ManTech dhe drejtor i kurseve të forenzikës mobile në Institutin SANS, mori një hap prapa nga detajimi i teknikave të sulmit në nivel ndërmarrjeje si sulmet DNS dhe informoi pjesëmarrësit në konferencë rreth sulmeve të personalizuara ndaj individëve.

Sot është shumë e lehtë për sulmuesit që të mbledhin informacion rreth ndonjë individi, tha Mahalik.

“Ata do të dinë jo vetëm ku ndodheni, por edhe ku mund të synoni të shkoni, sepse është gjetur në cloud”, tha ajo. “Sapo të infiltrojnë një cloud, ata mund të bëjnë vetëm kapërcim në informacionin tjetër.”

Këto sulme mund të ndodhin kudo dhe shpesh pikat hyrëse të përbashkëta përfshijnë malware Android, ku u bënin përdoruesve të futnin adresën e tyre të emailit dhe fjalëkalimet ose malware që përdorë  FairPlay DRM[iii] të Apple për të sulmuar përdoruesit e iOS.

Një problem tjetër, theksoi Mahalik, është që përdoruesit që ndajnë shumë informacione në internet, duke përfshirë detajet personale si datën e lindjes dhe emrat e kafshëve të tyre – të cilat më parë janë përdorur si masa mbrojtëse.

“Të gjitha këto gjëra mund të përdorën kundër jush,” tha ajo.

Përdoruesit duhet të rishikojnë përdorimin e aplikacioneve dhe shërbimeve cloud që nuk ofrojnë vërtetim me dy faktorë, tha ajo. Ajo u bëri thirrje përdoruesve të bëjnë kontrolle të shpeshta të sigurisë, duke përfshirë rishikimin e cilësimeve të llogarive të tyre në ‘cloud’, dhe kontrollimin e qasjes së aplikacioneve nga palët e treta mbi informacionin e tyre.

“Merrni parasysh për atë që ju jepni leje dhe vendosni fjalëkalime vërtet të forta,” tha ajo. “Nëse nuk jeni në gjendje ta bëni këtë, përdorni një menaxher fjalëkalimi që do ta bëjë atë për ju dhe pastaj sigurohuni që fjalëkalimi të jetë vërtet i sigurt”.

 

[i] Real Intelligence Threat Analytics

[ii] Baseboard Management Controller

[iii] DRM – Digital Rights Management, e drejta për të mbrojtur mediat digjitale nga publikimi apo shpërndarja e pa-autorizuar.

Tag:, , , , , , ,

User Avatar
Ragip Avdijaj

Mund të pëlqeni edhe këto

Lira2
Inflacioni dhe Lira turke
21 Nëntor, 2022
Red-Grey-Hacker
Si i zgjedhin hakerët viktimat e tyre?
5 Korrik, 2022
Zukerberg-Facebook-Instagram
Zukerberg paralajmëron mjete të reja në platformat e Meta-s për të fituar para
23 Qershor, 2022

Lini një përgjigje

QTO Milingona © 2024 Të gjitha të drejtat e rezervuara