среда, 17. јануар 2018.

Novi problemi sa Meltdown i Spectre zakrpama


Taman kada smo pomislili da su svi odreagovali na pravi način i da će zakrpe za dva velika sigurnosna problema poznata kao Meltdown i Spectre o kojima sam pisao u prošlom postu biti rešenje problema pojavile su se dve nove stvari.

1. Javio se problem sa antivirus softverima


Kod nekih korisnika koji su instalirali najnovije zakrpe na Windows operativnom sistemu dešavalo se da se pojavljuje plavi ekran smrti poznat kao Blue Screen of Death (BSOD). Razlog je u tome što neki proizvođači antivirusa koriste tehnike kojima zaobilaze Kernel Patch Protection i što zapravo dovodi sisteme u stanje "plavog ekrana smrti". Iz Microsofta kažu da korisnici Windowsa neće dobiti ažuriranja iz januarskog paketa ažuriranja, kao ni naredna mesečna ažuriranja, ako antivirusni program koji oni koriste ne bude kompatibilan sa Meltdown i Spectre zakrpama. Microsoft je hitno zatražio od proizvođača antivirusa da naprave promene, jer su u kompaniji tokom testiranja zakrpa primetili da su neki antivirusi doveli do greške "plavog ekrana smrti" koja sprečava dalja pokretanja sistema.

Rešenje je pronađeno u vidu posebnog registry ključa u Windows Registry. Prisustvo ovog ključa govori operativnom sistemu Windows da je antivirus kompatibilan što je znak za pokretanje Windows Update. Neki proizvođači antivirus softvera zahtevaju od korisnika da ručno dodaju registry ključ. Razlog za to je što su kompanije primetile da neki od njihovih korisnika koriste njihov antivirus uz drugi antivirusni softver tako da automatsko dodavanje ključa može da proizvede problem sa tim drugim softverom.

Microsoft korisnicima nudi dve mogućnosti:
  • da odluče da prestanu da dobijaju bezbednosne ispravke i da ostanu sa svojim trenutnim antivirusom
  • da zamene trenutno nekompatibilni antivirus onim koji podržava ispravke za Meltdown i Spectre bagove.

Bitno je napomenuti da na korisnike Windowsa koji ne koriste antivirus ili koji koriste Windows Defender ove novine nemaju uticaj.

2. Javio se problem sa lažnim zakrpama


Nemačka kancelarija za bezbednost (Federal Office for Security and IT - BSI) je postala akter u ovoj priči i to tako što je neko poslao spam mail i predstavio se kao oni. Pošto je ova kancelarija pandam američkom NIST-u mail je bio takve sadržine da upozorava korisnike na Meltdown i Spectre propust i u njemu se nalazi link za preuzimanje zakrpa. Link vodi ka lažnom sajtu koji sadrži malver koji može da zarazi računare i smart telefone. Da bi sve ovo bilo još zanimljivije lažni sajt ima SSL sertifikat koji je neko registrovao na  .bid generičkom domenu.


Jérôme Segura istraživač iz Malwarebytes kaže da je u pitanju malver Smoke Loader koji može da instalira druge malvere. Fajl koji se preuzima i pokreće ima veoma dobre definisano ime 'Intel-AMD-SecurityPatch-11-01bsi.zip'. Posle prijave kontaktirane su kompanije Comodo i CloudFlare posle čega sajt više nije dostupan.

Ovo je po ko zna koji put pokušaj da se igra igra najslabije karike što bi u ovom slučaju bio korisnik. Takođe ovo je čist primer kako su sajber kriminalci sve pametniji i kako prate aktuelna dešavanja i pokušavaju da to iskoriste na razne načine. Jedini način da budemo koliko toliko bezbedni jeste da dobro razmislimo pre nego što kliknemo na neki fajl ili pop-up koji se može pojaviti u pretraživači i pokrenuti ko zna šta. Nadam se da sam ovim postom uspeo da bar malo utičem na svest krajnjih korisnika i ako sam vas naterao da bar malo razmislite na ovu temu uspeo sam u svojoj nameri.

уторак, 09. јануар 2018.

Sigurnosni problemi na milionima Intel procesora


Da li ste mogli zamisliti da će se u jednom momentu pojaviti takav propust koji će izložiti milione računara ozbiljnom bezbednosnom riziku. Ako niste u ovom postu ću malo pisati o takvom problemu zbog koga su Microsoft, Linux i Apple prinuđeni da ažuriraju svoje operativne sisteme.

Koji procesori su podložni napadima


Svaki procesor proizveden od 1995., sa izuzetkom Intel Itaniuma i Intel Atom procesora objavljenih pre 2013 godine, pogođen je ovim propustima, bez obzira da li koriste Windows, Linux, macOS, Android, Chrome OS ili FreeBSD operativni sistem. Bagovi prvenstveno utiču na Intelove procesore ali su i neki AMD procesori i ARM Cortex-A čipovi takođe podložni ovakvim napadima.


Kakav je ovo bag


Ono što je za sada svima jasno jeste da je bag na nivou hardvera prisutan u modernim Intelovim procesorima koji su proizvedeni u poslednjih dvadeset godina ali da to nije sve jer su i neki procesori drugih proizvođača takođe pogođeni. On omogućava programima da čitaju sadržaj iz memorije kernela, što uključuje lozinke i login ključeve do kojih se na ovaj način može doći. Kad god neki program treba da izvrši neki zadatak kao što je pisanje u fajlu ili otvaranje mrežne konekcije, on prepušta kontrolu nad procesorom kernelu, koji je jezgro operativnog sistema. Da bi prelazak iz korisničkog u kernel mod i natrag bio brz i efikasan, kernel je prisutan u virtuelnom memorijskom prostoru svakog procesa, iako je nevidljiv za te programe.
Ovde je konkretno reč o dva hardverska baga nazvana Meltdown i Spectre koji su otkriveni u Intelovim procesorima i koji utiču na skoro svaki kompjuterski uređaj proizveden u poslednje dve decenije. Računari koji rade u oblaku su najugroženiji zbog ove dve ranjivosti (CVE-2017-5753 i CVE-2017-5715 za Spectre i CVE-2017-5754 Meltdown) jer je moguće ukrasti podatke i od drugih korisnika okruženja.

Kako se izboriti sa ovim problemom


S obzirom da bag ne može biti ispravljen na nivou hardvera, proizvođači operativnih sistema kao što su Microsoft i Apple prinuđeni su da redizajniraju svoje kernele. Ispravka potpuno odvaja memoriju kernela od korisničkih procesa, što rešava problem, ali loše utiče na performanse računara.
Međutim stručnjaci upozoravaju da bi softverska ispravka mogla da uspori računare. Efekti ažuriranja na Linuxu i Windowsu mogli bi dovesti do usporavanja performansi za 5 do 30%. Prema tvrdnjama Intela, svaki uticaj na performanse zavisiće samo od radnog opterećenja uređaja koji rade sa Intelovim procesorima proizvedenim u poslednjih deset godina, i to će biti ublaženo tokom vremena. "Do kraja ove nedelje Intel očekuje da će izdati nadogradnje za više od 90% procesora predstavljenih u poslednjih pet godina", kaže se u saopštenju kompanije Intel.

Apple je već objavio MacOS High Sierra 10.13.2, iOS 11.2.2 i Safari 11.0.2, koji rešavaju problem Spectre baga dok su ažuriranja za Linux kernel već dostupna. Špekuliše se da je razlog zbog čega je ovaj propust sve do prošle nedelje bio pod velom tajne najverovatnije to što je Microsoftu bilo potrebno vreme za zakrpu koja će korisnicima biti dostupna od danas kada kompanija planira da objavi mesečni paket ažuriranja.

Nadam se da sam ovim postom uspeo da bar malo razjasnim šta je problem i koja su moguća rešenja kao i to da upozorim korisnike da je moguće da će uskoro doći do pada performansi računara na kojima rade zbog resavanja navedenog problema.

уторак, 02. јануар 2018.

Šta se sve bitno dogodilo u svetu hakera u 2017 godini


Pošto smo ušli u novu 2018 godinu pravo je vreme da se osvrnemo na sada već prošlu 2017 godinu i da hronološki prođemo kroz sve bitno što se dogodilo prošle godine u svetu sajber kriminala. Hoću da napomenem da ovde kada kažem bitni događaji mislim pre svega na velike napade ili na krađu velike količine podataka (data breachs) uključujući i maligni softver pre svega ransomware.

Idemo sada po redu:

- Mart 2017 - DDOS napadi na US college koji je trajao 54 sata. U napadu je korišćena nova verzija Mirai malvera koja je po merenjima firme Imperva Incapsula generisao preko 2,8 milijardi upita i sasvim paralisao servere.

- Maj 2017 - WannaCry ransomware je korišćen u jednom od najvećih sajber napada ikada viđenog u online svetu. Napadnut je nacionalni medicinski servis u UK (NHS) i preuzeta je kontrola na 200.000 računara sa starim MS Windows operativnim sistemom koji se nalaze u 150 zemalja.

- Maj 2017 - Napadnuta je infrastruktura za glasanje u Kaliforniji i ukradeno je 19 miliona zapisa sa glasanja koji obuhvataju ime i prezime, grad, broj telefona, adresu, status glasanja, email u druge lične podatke.

- Jun 2017 - Petya ili NotPetya malver koji briše diskove je napao poslovne subjekte u Ukraini, Englesku reklamnu agenciju WPP, FedEx, Dansku prevozničku firmu Maers, gasnog giganta Rosnet i Rusku rafineriju.

- Jun 2017 - DeepRoot marketing firma je greškom učinila dostupnom javnosti podatke od 200 miliona Američkih građana što je oko 62% populacije. Među dostupnim podacima bili su: kućna adresa, političko opredeljenje, broj telefona i datum rođenja. Ovi podaci bili su dostpni neko vreme dok istraživači nisu prijavili incident kompaniji posle čega je onemogućen pristup a kompanija tvrdi da su zaposlenni krivi za incident i da nije reč o hakersko napadu.

- Jul 2017 - Equifax kredit report agencija je napadnuta i ukradeni su podaci o 143 milliona Amerikanaca. U napadu su korišćeni hakerski alati koji pripadaju agenciji NSA a do kojih je došla grupa Shadow Brokers.

- Avgust 2017 - HBO je napadnut od strane Iranskog hakera koji je ukrao veliku količinu materijala veoma popularnog serijala Game of Thrones uključujući i još ne emitovane epizode među kojima je i 7 i završna epizoda sezone.

- Avgust 2017 - Taringa društvena platforma koja je  medijski gigant u latinskoj Americi je hakovana i ukradeno je 28 miliona korisničkih naloga. Od podataka tu su: korisniča imena, email adrese i lozinke hešovane sa MD5 algoritmom. Kompanija se oglasila povodom ovoga i izjavila da brojevi telefona i bitkoin novčanika nisu ukradeni.

- Septembar 2017 - CCleaner softver je hakovan po izveštaju kompanije Avast od strane nepoznatih hakera koji su inficirali njihove servere backdoor-om koji je uticao na 2,27 miliona korisnika.

- Oktobar 2017 - Yahoo je zvanično objavio da je u toku 2013 godine došlo do sajber nada gde su hakeri ukrali 3 milijarde korisničkih naloga korisnika što predstavlja skoro sve naloge koji postoje. 

- Decembar 2017 - NiceHash market za kriptovalute je hakovan i ukradena je protivvrednost od 70 miliona dolara u bitkoinima iz kompanijskog novčanika koji je ispražnjen.

- Decembar 2017 - istraživači su detekovali na dark veb forumu fajl od 41GB koji u sebi sadrži 1,4 milijardi kredencijala u čistom tekstu (clear text) uključujući i lozinke. Istraživači veruju da je ovo fajl posledica Onliner Spambot dumpa.

Šta možemo očekivati u 2018



Svakako će se nastaviti trend sve većeg broja sajber napada što se pokazalo prelaskom iz 2016 u 2017 godinu jer je u prvoj polovini 2017 ukradeno više podataka nego u čitavoj 2016 godini. Takođe ono što će svakako biti trend to je sve veći broj napada na firme koje posluju sa kriptovalutama jer su sajber kriminalci svakako svesni gde se pare trenutno nalaze.

уторак, 26. децембар 2017.

8 napada na platforme za kriptovalute u poslednjih pola godine


Ovaj post predstavlja nastavak priče iz prethodnog posta gde se nisam bavio napadima na platforme koje se bave kriptovalutama.

Vidljiv je trend koji će se vremenom sve više povećavati a to je napad na platforme koje se bave kriptovalutama i pokušaj sajber kriminalaca da ukradu određenu količinu neke od kriptovaluta i na taj način dođu do finansijske koristi.

Evo šta se sve dešavalo prethodnih pola godine i to po redosledu dešavanja događaja:

04.07.2017. - napad na Bithumb jednu od najvećih menačnica i krađa milijardi bitkoina

17.07.2017. - napad na CoinDash i krađa 7 miliona Etheriuma

20.07.2017. - napad na Parity Technologies kompaniju koja se bavi novčanicima za kriptovalute i zamrzavanje Etheriuma u vrednosti od oko 162 miliona dolara

24.07.2017. - napad na Veritaseum i krađa 8,4 miliona Etheriuma

05.08.2017. - napad na Enigma marketplace i krađa Etheriuma u vrednosti od 500.000 dolara

19.11.2017. - napad na Tether start-up i krađa tokena u vrednosti od 30 miliona dolara

07.12.2017. - napad na NiceHash i krađa bitkoina u vrednosti od 70 miliona dolara

21.12.2017. - napad na EtherDelta menjačnicu i krađa Etheriuma u vrednosti od 267.000 dolara


Kao što možete videti sajber kriminalci su shvatili gde se danas nalazi veliki novac i svakako će pokušavati na sve načine da dođu do svog dela kolača.

Ono što je bio cilj ovog posta jeste da upozna čitaoce da osim gubitka koji možete osetiti ako ne uložite svoj novac u pravo vreme i u pravu kriptovalutu postoji i druga opasost da ostanete bez svog novca.

понедељак, 18. децембар 2017.

Kako hakeri mogu zloupotrebiti vas racunar za rudarenje kriptovaluta


U poslednje dve nedelje tema kriptovaluta a posebno bitcoina se eksponencijalno povećala.

Razlog tome je ogroman skok cene bitcoina koja se u momentu pisanja ovog teksta kreće u iznosu nešto manje od 19.000$ za jedan bitcoin sa tendencijom daljeg rasta.

I to nije sve, osim bitcoina zabeležen je konstantan rast cena Ethereum i Litecoin kriptovaluta. Samim ovim postavlja se pitanje svih vrsta manipulacija vezanim za ove i slične kriptovalute.

Ovaj post sam želeo da posvetim toj temi i da upoznam širu zajednicu sa opasnostima.


Šta se promenilo

Nekada je primarna meta sajber kriminalaca bio računar korisnika ali sa namerom da se sa njega ili ukradu podaci na neki način ili da se taj računar pretvori u zombi računar koji postaje deo velike botnet mreže zaraženih računara koji se mogu koristiti za DDOS napade ili slanje SPAM poruka.

Razvojem popularnosti kriptovaluta sajber kriminalci su došli na ideju da iskoriste računare korisnika interneta za jednu sasvim drugu namenu.

Radi se o tome da se računar korisnika to jest njegov centralni procesor (CPU) koristi za nešto što je poznato kao proces "rudarenja" odnosno rešavanja kriptografskog algoritma koji se koristi za generisanje novih bitcoina.

Kako to sve funkcioniše

Osnovna ideja jeste da se veliki broj web sajtova inficira malverom kome je osovni cilj da "rudari" određenu kriptovalutu na račun vlasnika računara koji ga posećuje odnosno njegovog CPU-a.

Da se ovo već uveliko radi dokazuje blog na poznatom sajtu Sucuri gde se piše o tome da je preko 5500 wordpres sajtova inficirano malverom koji se koristi za "rudarenje" kriptovalute poznate pod nazivom Monero. Međutim da to nije najgore pokazuje i istraživanje Malwarebytes gde možemo pročitati da čak i posle zatvaranje taba određenog sajta proces "rudarenja" se nastavlja.

Još jedna stvar koja je veoma interesantna jeste i istraživanje TrendMicro gde se može pročitati da nisu samo računari mete ovakvih napada već i android uređaji u ovom slučaju se radi o Google play aplikacijama koje koristi JavaScript da bi se koristio CPU smart telefona ili tableta.


Šta stoji iza ovoga

Firma koja je napravila kod koji se izvršava na pretraživačima korisnika bez upozorenja i znanja korisnika je CoinHive.

Veliki broj sajtova nije upozorio korisnike, ovo je posebno prisutno na torrent sajtovima gde prednjači The Pirate Bay međutim neki od ovih sajtova su ipak upozorili korisnike kao što je na primer 4 oktobra uradio PassThePopcorn torent sajt kada je najavio da će početi sa korišćenjem ove tehnike za rudarenje Monero kriptovalute kao načina za finansiranje rada samog torent sajta.



Kako da se spreči izvšavanje koda

Postoji nekoliko načina da sprečite izvršavanje ovakvih kodova na vašim uređajima.

Na primer za Google Chrome postoje dve izuzetno popularne ekstenzije za ovu namenu NoCoin i minerBlock.

Potrebno je da potražite na internetu rešenje za vaš pretraživač ili uređaj koji koristite ukucavanjem CoinHive javascript code stop.

Opera je u svojoj novoj verziji 50 prvi pretrazivac sa ugradjenom zastitom.

Šta dalje, kuda idemo

Sajber kriminalci su shvatili da im se više isplati da napadnu i koriste CPU velikih računara koji imaju izuzetno veliku procesorsku moć, a ne običnih kućnih i laptop računara što dokazuje vest agencije Reuters o napadu na Ruski kompjuter koji se koristi za naftovod i nije poznato koliko je bitcoina generisano na njegovom procesoru.




Nadam se da sam uspeo da širu publiku upozorim na najnoviji trend koji će se u naredni periodu sve više zloupotrebljavati. Ukoliko želite da proverite trenutnu vrednost kriptovaluta to možete uraditi na sledećem linku.

уторак, 12. децембар 2017.

Chrome od sada moze da izoluje sajt


Nova varijanta popularnog google pretraživača dobila je u svojoj verziji 63 novu mogućnost koja će posebno povoljno uticati na bezbednost poslovnih korisnika ali i ličnih računara. Evo o čemu se radi.
Novina koja omogućava izolaciju sajta zove se Site isolation. Administratori sada mogu da podese da Chrome prikazuje sadržaj za svaki otvoreni web sajt u zasebnom procesu, izolovanom od drugih web sajtova. Cilj nove opcije jeste da se napravi dodatna sigurnosna granica između web sajtova, tako da se osigura da se novi proces pokreće svaki put kad se poseti novi domen.

Kako to sve funkcioniše

Postoje dve opcije odnosno dva pravila. Jedna je izolacija za sve web sajtove, a druga je izolacija samo sa liste određenih web sajtova (npr. sajtovi na kojima se korisnici prijavljuju i ostavljaju svoje podatke). Ako korisnici ne omoguće nijedno od ova dva pravila, Chrome će nastaviti sa svojom starom politikom: jedna kartica, jedan proces.
Još jedna novina u novoj verziji Chrome je da će administratori od sada moći da blokiraju upotrebu dodataka za Chrome na osnovu dozvola koje traže. Na primer, mogu se blokirati sve ekstenzije koje zahtevaju korišćenje web kamere ili mikrofona. Pored ovoga bitno je istaći i da nova verzija pretraživača sa oznakom 63 dolazi sa podrškom za TLS 1.3 koji će se za sada koristiti samo za gmail.

Da li postoji neki problem

Može se reći da su sva unapređenja vrlo pozitivna sa aspekta bezbednosti međutim jedino što opcija izolacije sajta ima svoju cenu a to je korišćenje memorije od strane Chrome-a koje je u tom slučaju veće za 10 do 20%.

Nadam se da je ovaj post bio od koristi a ukoliko želite da saznate kako uključiti opciju izolacije sajta pogledajte sledeći link.

среда, 29. новембар 2017.

Vaznost donosenja akta o bezbednosti IKT sistema


Plašim se da će ova mera koja je trebala da poboljša stanje bezbednosti IKT sistema u našoj zemlji izazvati više problema nego što se trenutno očekuje i zbog toga sam odlučio da ovaj post posvetim ovoj temi.

Kakav je to zakon i kada je donet?

Zakon o informacionoj bezbednosti je donet početkom 2016 godine dok je 5.02.2016. godine počela njegova primena („Sl. glasnik RS”, br. 6/16) dok su akti koji omogućavaju primenu Zakona usvojeni su 17.11 2016. čime je omogućena primena ovog Zakona.
Ovim zakonom se uređuju mere zaštite od bezbednosnih rizika u informaciono-komunikacionim sistemima, odgovornosti pravnih lica prilikom upravljanja i korišćenja informaciono-komunikacionih sistema i određuju se nadležni organi za sprovođenje mera zaštite, koordinaciju između činilaca zaštite i praćenje pravilne primene propisanih mera zaštite.

Aktom o bezbednosti, u skladu sa zakonom, određuju se:
  • mere zaštite,
  • principi, način i procedure postizanja i održavanja adekvatnog nivoa bezbednosti sistema,
  • kao i ovlašćenja i odgovornosti u vezi sa bezbednošću i resursima IKT sistema od posebnog značaja.
U izradi akta moraju se uzeti u obzir odredbe Uredbe o bližem uređenju mera zaštite informaciono-komunikacionih sistema od posebnog značaja, kao i Uredbe o postupku dostavljanja podataka, listi, vrstama i značaju incidenata i postupku obaveštavanja o incidentima u informaciono-komunikacionim sistemima od posebnog značaja, a koje su objavljene takođe u „Sl. glasniku RS“, br. 94/2016 i stupile su na snagu 2. decembra 2016. god.


Šta se zakonom zahteva?

Navedenim zakonom zahteva se sledeće:
  1. Da se uspostavi sistem bezbednosti informacija – 28 zahteva (Član 7.)
  2. Da se uspostavi i dokumentuje Akt o bezbednosti IKT sistema (Član 8.)
  3. Da se minimum jednom godišenje vrši interna provera usklađenosti sa Aktom i dokumentuje izveštaj, samostalno ili uz spoljne eksperte (Član 8.)
Koji su rokovi, kakav je nadzor a kakve su sankcije?

Akt o bezbednosti IKT sistema se mora uspostaviti i dokumentovati u roku od 90 dana od dana stupanja na snagu Zakona – (Član 33. Zakona i Član 8. Uredbe o bližem sadržaju Akta). Nadzor vrši inspekcija za informacionu bezbednost Ministarstva trgovine, turizma i telekomunikacija (Član 28. i 29.)

Novčana kazna iznosi od 50.000,00 do 2.000.000,00 RSD (Član 30. i 31.):
  • ne donese Akt o bezbednosti IKT sistema iz člana 8. stav 1. ovog zakona;
  • ne primeni mere zaštite određene Aktom o bezbednosti IKT sistema iz člana 8. stav 2. ovog zakona;
  • ne izvrši proveru usklađenosti primenjenih mera iz člana 8. stav 4. ovog zakona
  • ne postupi po nalogu inspektora za informacionu bezbednost u ostavljenom roku iz člana 29. stav 1. tačka 1. ovog zakona.
Za navedene prekršaje kazniće se i odgovorno lice u pravnom licu novčanom kaznom u iznosu od 5.000,00 do 50.000,00 dinara.


Na koga se ovaj zakon odnosi odnosno koga kači primena?

Zakon se odnosi na Operatore IKT sistema od posebnog značaja (Član 2. i 6.), a to su:
  1. Organi javne vlasti:
    - državni organ, organ autonomne pokrajine, organ jedinice lokalne samouprave,
    - organizacija kojoj je povereno vršenje javnih ovlašćenja,
    - pravno lice koje osniva Republika Srbija, autonomna pokrajina ili jedinica lokalne samouprave, kao i pravno lice koje se pretežno, odnosno u celini finansira iz budžeta
  2. Pravna lica za obradu podataka (u smislu Zakona o zaštiti podataka o ličnosti) i
  3. Pravna lica koja obavljaju delatnost od javnog interesa (Član 6. i Uredba o utvrđivanju liste poslova)

O čemu je potrebno posebno voditi računa i gde je problem?

Na sajtu RATEL-a možete preuzeti Model akta o bezbednosti IKT sistema koji se može koristiti kao prva pomoć, međutim potrebno je dosta znanja da bi se posao obavio valjano. Ono što predstavlja poseban problem jeste "resavska škola" gde je veliki broj firmi preuzeo navedeni dokument i izvršio izmene u vidu naziva kompanije i datuma donošenja dok je sve ostalo ostalo manje više isto. Ono o čemu niko ne vodi računa jer se išlo na to ajde da obavimo to kako tako da nas ne bi neko zbog toga kažnjavao jeste to što će se zapravo proveravati primena ovog akta što će raditi inspektorat i što bi trebalo da uskoro počne. Ovaj akt na sajtu RATEL-a je napravljen u najboljoj nameri kako bi se pomoglo firmama da naprave ovaj dokument međutim niko nije želeo da se radi klasičan copy/paste i da se dokument ne prilagođava posebim potrebama svake firme.

Ko i kako bi trebalo da ovo radi?

Postoji  velika zabluda vezana za ovo pitanje. Prvo i osnovno što pre svega treba naglasiti jeste da ovakav dokument nikako ne spada u sektor pravne službe jer oni nemaju potrebna IT znanja i poznavanje poslovnih procesa da bi ovo mogli valjano napisati. Druga stvar jeste i da ovo nije nešto što bi trebalo da radi IT služba jer ljudi u ovom sektoru ne poznaju dovoljno poslovne procese niti pravne aspekte. Treća stvar jeste rukovodstvo firme koje jeste odgovorno pred zakonom za sprovođenje mera iz ovog dokumenta ali oni ne poznaju dovoljno specifičnosti IT sistema i postojeće opreme u firmi ali je pitanje i koliko su upoznati sa pravnim aspektom. Kao što možete videti za pisanje ovog dokumenta idealno bi bilo da postoji radni tim koji bi morao da ima bar po jednog člana iz pravne službe, rukovodstvo i IT službe. Ukoliko je ovo nemoguće realizovati zbog veličine firme ili smatrate da je potrebno da ovo urade ljudi koji to dobro poznaju možete ovo platiti konsultantskoj kući koja to može napraviti za vas a na osnovu specifičnosti poslovanja firme.

Nadam se da sam ovim postom uspeo da Vas malo podstaknem na razmišljanje o ovoj temi i da ako niste do sada napisali ovaj akt to što pre uradite a ako jeste da izvršite proveru pre nego što dođu nadležni organi kako ne bi rizikovali plaćanje propisane kazne. Iz tog razloga mi smo formirali tim koji se bavi ovom problematikom i koji Vam može pomoći kako za pisanje akta tako i za skeniranje postojećeg stanja u Vašoj organizaciji. Ukoliko imate bilo kakvih nedoumica ili pitanja vezano za navedenu temu slobodno nas možete kontakti na mail office@secitsecurity.com.

среда, 15. новембар 2017.

Kako sigurno upravljati nalozima i lozinkama

Imam utisak da se veoma neoprezno rukuje sa nalozima i lozinkama za pristup različitim sistemima pa zbog toga želim da kroz ovaj post malo skrenem pažnju na to. Ono što je još gore ne samo što krajnji korisnici ne koriste lozinke na pravi način već ni sistem administratori ne rade baš sve kako treba.

Prvo malo o korisničkim nalozima
Posebno treba obratiti pažnju na nekoliko stvari vezano za upravljanje korisničkim nalozima a naravno direktno u vezi sa tim i korisničkim lozinkama. Prva stvar jeste da je potrebno raditi obavezno sa grupama a ne sa pojedinačnim korisnicima jer na taj način se određena prava dodeljuju ili oduzimaju grupi i svim njenim članovima a ne pojedinačnim korisnicima. Druga stvar jeste neprestano praćenje korisničkih naloga što podrazumeva logovanje svih aktivnosti korisnika na sistemu. Treća stvar jesu neaktivni nalozi koji postoje na sistemu i o kojima treba posebno voditi pažnju jer ih hakeri mogu reaktivirati na različite načine. Neko se može zapitati zašto ne brisati nepotrebne naloge već ih sam privremeno deaktivirati (disable). Odgovor na ovo pitanje je direktno vezan za stavku koju sam već ranije pomenuo a tiče se logovanja aktivnosti naloga. Ukoliko se nalog obriše sa sistema brišu se i svi prateće podaci dok u slučaju deaktivacije sve je i dalje tu sem što korisnik više ne može da pristupi sistemu. Poslednja ali možda i najbitnija stvar jesu takozvani Shared accounts nalozi koje više ljudi zna i koriste se za pristup nekim resursima. Na primer kupi se samo jedna licenca nekog programa a onda više ljudi se loguje preko istog korisničkog imena i lozinke po potrebi. Preporuka stručnjaka jeste da ovakve naloge skoro nikada ne koristiti osim u slučajevima kada drugačije nije moguće.

Šta možemo uraditi da bi kroz upravljanje nalozima otežali ili sprečili otkrivanje lozinke?
Prvo što možemo uraditi jeste voditi računa o minimalnoj kompleksnosti lozinke (Password strength). Kada pričamo o kompleksnim lozinkama mislimo na to koje elemente mora da sadrži (mala slova, velika slova, brojevi i specijalni simboli)
Druga stvar koju možemo podesiti jesti isticanje (Expiration) korisničkog naloga ili lozinke. Ovo može biti korisno jer korisnik mora da periodično promeni svoju lozinku ili da ponovo aktivira nalog i postavi novu lozinku u zavisnosti od polise.
Treća stvar jeste podešavanje koliko se puta ne može ponovo postaviti ista lozinka (Password history/reuse). Ovo je korisno ako korisnici vrte u krug svoje lozinke, recimo imaju 3 lozinke koje vrte u krug. Na ovaj način takav način rada će biti onemogućen i samim tim biće otežan rad hakera na otkrivanje šifre.
Još jedna od mera koja je u direktnoj vezi sa prvom jeste minimalna dužina lozinke (Password length). Ovo podešavanje zavisi od tipa naloga i danas je standard da se za obične naloge koristi minimum dužina 8 karaktera a za admin i privilegovane naloge minimum 12 karaktera.
Mera koja sprečava online napade efikasno poznata je kao Lockout a radi se o tome da se posle nekoliko pogrešno unetih lozinki zaključa korisnički nalog određeni vremenski period. Ovo drastično otežava odnosno onemogućava online napad grubom silom. Sam MS Windows operativni sistem ima podešeno da se na 5 pokušaja nalog zaključa na 3-5min i ovo se može menjati po potrebi.
Ono o čemu još treba povesti računa jeste proces oporavka lozinke u slučaju da je zaboravljena (Recovery). Da li je taj proces automatizovan preko nekog portala ili se to radi tako što se pozove odgovorno lice koje će to uraditi direktno na sistemu. U oba slučaja postoje opasnosti jer u slučaju automatskog sistema neko može pokušati da promeni šifru postojećeg korisnika a u slučaju da to nije sistem već čovek mogu se koristiti tehnike socijalnog inženjeringa kako bi se taj čovek prevario i promenio lozinku.

Gde se nalaze lozinke i u kom su obliku?
Prvo što je izuzetno važno istaći jeste da se lozinke ne čuvaju nikada u čistom tekstu već kao heš vrednosti (Hashed values) gde se uglavnom koriste neki od popularnih algoritama za ovu namenu kao što su md5 i različite varijante sha algoritma). U ovom slučaju čak i da neko dođe u posed heš vrednosti neće moći lako da dođe do same lozinke.
Ako gledamo MS Windows operativni sistem postoje dva mesta gde se mogu naći hešovane vrednosti lozinke. Na svakom računaru sa Windows operativnim sistemom se nalazi takozvani SAM fajl gde se nalaze lokalni korisnici ali i korisnici koji su se preko domena logovali na računar. Ovo je veoma opasno jer se možda neki od privilegovanih korisnika logovao na sistem i ostavio svoje podatke u SAM bazi. Sa druge strane ako se koristi opcija Run as administrator koja postoji na sistemu tada se uneseni podaci neće ubeležiti u SAM bazu. Što se tiče samog fajla on se nalazi u Windows/System32/Config folderu. Drugo mesto na kome se mogu naći heš vrednosti lozinki jeste AD server i na njemu fajl pod nazivom ntds.dit koji je mnogo teži za rad od SAM fajla a i mnogo je teže doći do njega jer se nalazi na samom AD serveru.
Kod operativnog sistema Linux stvari su sasvim drugačije i heš vrednosti lozinki se uvek nalaze u jednom od sledeća dva foldera etc/passwrd i etc/shadow. Odavde ih možete iskopirati na neki eksterni disk i onda ih kasnije razbijati offline tipom napada.

Kako se hakuje lozinka?
Prva stvar jeste da je potrebno ovaj proces razdvojiti u odnosu na to da li imamo pristup samom sistemu (online) ili smo uspeli da iskopiramo fajl sa heš vrednostima lozinki i da ih onda u lokalu obrađujemo (offline). Druga opcija je mnogo bolja jer na napadača ne utiče Lockout naloga koji može biti podešen ili brzina samog linka i servera odnosno krajnjeg računara.
Sledeće metode se mogu koristiti za otkrivanje lozinke:
- Pogađanje, shoulder surf (na osnovu podataka koje znamo o korisniku (datum rođenja, ime članova porodice, ime kućnog ljubimca, automobil koji vozi i slično) ili tako što pratimo šta radi na računaru i možda uspemo da uhvatimo i lozinku koju unosi na tastaturi)
- Sniffing (ovo je tehnika koja se može koristiti samo ako je lozinka u čistom (clear) tekstu u suprotnom ćemo uhvatiti podatke koji nam neće biti od koristi)
- Dictionary (za ovu tehniku nam je potrebno da imamo dobar rečnik za različite jezike, što veći broj reči i sveobuhvatniji rečnik to su nam šanse veće, međutim ova metoda ne garantuje da će se otkriti lozinka jer ako se u lozinci ne nalazi smislena reč neće biti moguće naći odgovarajuću vrednost)
- Brute force (ovo je tehnika grube sile i izuzetno je zahtevna vremenski jer je potrebno ispitati sve moguće vrednosti kombinacije karaktera za određenu dužinu lozinke, sigurno je da će u jednom momentu biti otkrivena lozinke ovom metodom međutim to može da bude i posle nekoliko stotina godina)

Saveti za kraj
1. nikada ne koristiti istu lozinku na više različitih mesta jer ako neko uspe da otkrije na jednom mestu sigurno će pokušati da isproba istu lozinku na drugom mestu
2. nikada ne zapisivati lozinku na papiru i onda ostaviti ispod tastature ili još gore zalepiti na monitor računara gde svako može da je vidi (ako već zapisujete čuvajte kod sebe u novčaniku ili negde gde može biti pod ključem)
3. nikada prilikom kreiranja lozinke ne unositi smislene reči zbog napada rečnikom koji će u tom slučaju biti efikasan.
4. uvek koristiti kompleksnu lozinku sa svim elementima i dužinom nikada manjom od 8 karaktera.
5. nikada ni unositi svoju lozinku na stranici koja nema sertifikat (to možete videti kroz zeleni katanac sa leve strane u internet pretraživaču u suprotnom ne unositi podatke)
6. nikada i nikom ne slati putem elektronske pošte ili otkrivati putem telefona svoju lozinku jer neko može prisluškivati mrežu ili telefonsku liniju i na taj način doći do lozinke. Takođe moguće je i da se neko posluži tehnikama socijalnog inženjeringa i pokuša da se predstavi kao neko drugi.
7. koristiti program za upravljanje lozinkama - Password manager o kom je već bilo reči u jedno od prethodnih postova (zanimljivo je da je po nekim istraživanjima prosečan korisnik ovakvih programa imao 91 zabeleženu lozinku)

Nadam se da sam ovim postom bar malo uspeo da skrenem pažnju na problem koji je izuzetno izražen i koji je mnoge kompanije mnogo koštao. Ako se bar malo zamislite oko ove teme mislim da sam postigao svoj cilj.