MATRICA iliuzij praradimas arba prarastos iliuzijos Apie Darius
MATRICA - iliuzijų praradimas (arba prarastos iliuzijos)
Apie Darius Povilaitis, SANS sertifikuotas įsilaužimų analitikas; • Svetainių saugumo patikrinimai / svetainių apsauga ( WAF-ai ) • Svetainių saugumo stebėsena • Saugumo tyrimai • Mobilios platformos • t. t. darius@esec. lt
Duomenų saugumas Saugumas ir duomenų apsauga – labai tampriai tarpusavyje susiję.
TURINYS • • • Tolimesnė ir artimesnė „istorija“ Pamatykime botnetus Asmens duomenys internete Tyrimai Praktinės demonstracijos
DĖMESIO !!! • Bandymai pakartoti gali būti žalingi Jūsų kompiuteriui ar piniginei
KLAUSIMAI ? – klauskite iš karto
Tolimesnė ir artimesnė „istorija“ Keletas pavyzdžių iš mano veiklos pagal duomenų / informacijos apsaugą / saugumo požiūriu: • 2008 – planuojami elektroniniai rinkimai. Pavyko parodyti grėsmes, ir jie neįvyko. • 2012 -2014 - milžiniškos saugumo problemos valstybiniame sektoriuje. Bandymai jas parodyti, aibės saugumo testų, rezultatų pristatyma LRV kancleriui / VRM /KAM atstovams.
Tolimesnė ir artimesnė „istorija“ • 2016 m –aktualių saugumo problemų pristatymas kibernetinio saugumo taryboje – tame tarpe pateikta informacija apie GALIMYBĘ sustabdyti ar didele dalimi sustabdyti RANSOMWARE plitimą / veikimą Lietuvoje. • 2009 -2018 – informacija apie šimtus, jei ne tūkstančius infekuotų / įsilaužtų svetainių perduota LT CERT.
Tolimesnė ir artimesnė „istorija“ • 2018 m – aptiktas įsilaužimas į LR Seimo tinklą. Įsilaužimo trukmė – ne mažiau 2 metai. • 2018 m aptiktas įsilaužimas į Vilniaus teritorinės ligonių kasos svetainę. Aukštas potencialas vartotojų sąskaitų perėmimui. • 2018 m – svetainių lankytojų apvogimas • 2018 m – identifikuota kritinė saugumo spraga Esveikatos sistemoje.
Tapatybės vagystė 2008 – planuojami elektroniniai rinkimai.
https: //www. alfa. lt/straipsnis/162438/bals avimas-internetu-iki-seimo-rinkimu-spetidar-imanoma
https: //www. delfi. lt/archive/skropas-jeipolitikai-apsispres-bankai-suteiks-galimybe -balsuoti-per-ju-sistemas. d? id=59642711
https: //www. delfi. lt/archive/balsavimainternetu-zlugdo-pralaimejimobaime. d? id=59482347
Tapatybės vagystė 2008 – planuojami elektroniniai rinkimai. Analogiška ataka, nukreipta į vartotoją DEMO
2012 -2014 - milžiniškos saugumo problemos valstybiniame sektoriuje.
Atlikti nemokami keleto ministerijų bei kitų valstybinių įstaigų interneto svetainių saugumo patikrinimai. Šiems patikrinimams atlikti buvo gauti minėtų institucijų leidimai.
Pažvelkime į pagrindinių Lietuvos institucijų svetaines – kokia turinio valdymo sistema ( TVS ) yra jų pagrindas ir kur svetainės talpinamos Pavadinimas Svetainė CMS IP (ISP - Internet service provider) 1 Lietuvos Respublikos Prezidento kanceliarija www. lrp. lt Easy. Web 3 195. 182. 95. 132 ( VĮ „Infostruktūra“ ) 2 Lietuvos Respublikos Seimo kanceliarija www. lrs. lt LRS ITD RVS 193. 219. 60. 42 (Seimas) 3 Lietuvos Respublikos Ministro Pirmininko tarnyba www. lrv. lt Site. Supra 195. 182. 95. 147 ( VĮ „Infostruktūra“ ) 4 Lietuvos Respublikos aplinkos ministerija www. am. lt ? 212. 59. 22. 37 (Aplinkos ministerija / Teo ) 5 Lietuvos Respublikos socialinės apsaugos ir darbo ministerija www. socmin. lt Smart. Web 195. 182. 69. 3 (Soclailinės apsaugos ministerija / VĮ „Infostruktūra“) 6 Lietuvos Respublikos krašto apsaugos ministerija www. kam. lt Easy. Web 3 195. 182. 81. 122 ( VĮ „Infostruktūra“ ) 7 Lietuvos Respublikos kultūros ministerija www. lrkm. lt Smart. Web 195. 182. 81. 58 ( VĮ „Infostruktūra“ ) 8 Lietuvos Respublikos teisingumo ministerija www. tm. lt ? 91. 199. 55. 72 (Registrų centras) 9 Lietuvos Respublikos užsienio reikalų ministerija www. urm. lt Smart. Web 195. 22. 173. 50 (URM / Omnitel) 10 Lietuvos Respublikos ūkio ministerija www. ukmin. lt 195. 182. 67. 17 (Ukmin/ VĮ „Infostruktūra ) 11 Lietuvos Respublikos žemės ūkio ministerija www. zum. lt Dizaino Kryptis Smart. Web 12 Lietuvos Respublikos susisiekimo ministerija www. transp. lt ? 195. 182. 95. 170 ( IVPK / VĮ „Infostruktūra ) 13 Lietuvos Respublikos finansų ministerija www. finmin. lt ERP 195. 182. 66 (Finmin/ VĮ „Infostruktūra) 14 Lietuvos Respublikos vidaus reikalų ministerija www. vrm. lt Smart. Web 193. 219. 12. 69 ( VĮ „Infostruktūra“ ) 15 Lietuvos Respublikos sveikatos apsaugos ministerija www. sam. lt Smart. Web 195. 182. 81. 116 ( VĮ „Infostruktūra“ ) 16 Valstybinė asmens duomenų inspekcija www. ada. lt Smart. Web 195. 182. 71. 86 ( VĮ „Infostruktūra“ ) 195. 182. 65. 1 (ZUM / VĮ „Infostruktūra )
Svetainių bei susijusių sistemų saugumo testų rezultatai • Pavyko užvaldyti 100% testuojamų svetainių. • Keletas svetainių pentest-o metu buvo neteisėtai kontroliuojamos iš išorės • Aptikta laisva prieiga prie kai kurių valstybinių registrų • Vartotojai galėjo būti atakuojami, apsilankę valstybinės institucijos svetainėje.
Rezultatas - nulinis
2015 m https: //www. alfa. lt/straipsnis/49789521/s tt-traisko-vrm-milijonines-korupcinesschemas
RANSOMWARE 2016 m. – aktualių saugumo problemų pristatymas kibernetinio saugumo taryboje – tame tarpe pateikta informacija apie GALIMYBĘ sustabdyti ar didele dalimi sustabdyti RANSOMWARE plitimą / veikimą Lietuvoje.
2016 12 16
Organizacijos perimetro apsauga • Identifikavus infekuotas svetaines, prieiga prie jų įmonės / organizacijos darbuotojams gali būti blokuota ant perimetro 29
RIG-o serveriai
RIG-o stabdymas Turint šią informaciją ir blokavus prieigą prie šių IP adresų, buvo galima išvengti kompiuterių užšifravimo įmonės / įstaigos / valstybės lygmeniu. Informacija buvo aktuali 2017. 01 – 2017. 02
Rezultatas - 0
RANSOMWARE DEMO
“Japoniškas” botnetas Nepamirškime - visi botnetai vienaip ar kitaip slepiasi
“Japoniškas” botnetas • https: //www. google. lt/search? q=site%3 A. pan eveziokatedra. lt • https: //www. google. lt/search? q=site%3 Aaplin kosauga. kaisiadorys. lt • https: //www. google. lt/search? q=site: jaunima s. klaipeda. lt • https: //www. google. lt/search? ei=h 0 i. VWmt. Jt. LRs. AH 0 mbo. Ag&q=site%3 Awww. vilniaustlk. lt
Požymiai • image. rakuten. co. jp • nishiogi. in • shop. r 10 s. jp ir t. t.
Kaip aptikti / pamatyti • https: //www. google. lt/search? q=site: . lt+ド • Galite iteruoti per kitus hieroglifus – rasite kitų svetainių, į kurias įsilaužta
DEMO
Aukštų tarifų SMS / reklaminis botnetas
Eiga • Aptikta prieš keletą mėnesių • Didžiausias Lietuvoje – buvo aptiktas apie 300 svetainių, priklausančių šiam botnetui • Buvo stebimas pastovus augimas • Šiuo metu kinta
Požymiai • • • • cobalten. com mobpushup. com luckypushh. com basepush. com pushnest. com go. pub 2 srv. com go. oclaserver. com fortpush. com newprofitcontrol. com go. mobtrks. com go. oclasrv. com go. onclasrv. com defpush. com go. mobisla. com go. pushnative. com
Aptikimas • Kreipiantis iš Google paieškos svetainėje yra įterpiami tokie ar panašūs kodai: • script async="async" type="text/javascript" src="//go. mobisla. com/notice. php? p=1601611&i nteractive=1&pushup=1"></script> • <script src="//basepush. com/ntfc. php? p=1601612" datacfasync="false" async></script> • <script src="//go. mobtrks. com/notice. php? p=1601613&i nterstitial=1"></script>
DEMO
• 2018 m – identifikuota kritinė saugumo spraga Esveikatos sistemoje • https: //www. 15 min. lt/mokslasit/straipsnis/te chnologijos/e-sveikatos-sistemoje-milziniskaspraga-prienami-visu-gyventoju-asmensduomenys-646 -998402
ANALITINĖ SISTEMA
Laikas • Analizei skiriama ne daugiau 0. 5 val laiko per dieną, o analizės rezultatai – prezentacijoje.
Klausimai ?
- Slides: 50