По повод на кибератаките към български потребители на популярен счетоводен софтуер от последната седмица се казаха и изписаха много неща, и макар и със закъснение нека и аз да дам своя принос в информационния поток.
Както е видно от многото публикации и постове на колеги (а и всеки може да си направи справка в Shodan – без да е необходимо, а и не е желателно да правите активно сканиране), става въпрос за системи с отворен порт 1433. И да, ако направите същата справка, за която и да е друга услуга, със сигурност ще намерите няколко хиляди отворени такива (виж графиката по-долу за RDP – Remote Desktop Protocol – за Top 10 градове в България).
Наистина не разбирам защо, след атаките от 20 Май, всички се концентрираха върху производителя на софтуер, чиито потребители бяха основните „жертви“.
Нека го кажа още в началото: Производителя на въпросния софтуер НЯМА никаква, ама никаква вина за случилото се. Същото се отнася и за производителя на сървърите, които използват въпросния порт 1433.
Не ме разбирайте погрешно. Не съм „адвокат“ нито на едните, нито на другите. Просто “обичам” отговори от сорта на „Това не се прави така“. Ами кажете ми как се прави тогава по дяволите!
Ето това ще се опитам да направя във въпросния материал.
Нека анализираме трите възможни отговора:
Забележете, тук ключовата дума е „Публично“.
Представете си музей с отворени врати в нощта на музеите. И не, не е „разграден двор“. Просто сигурността е засилена в залите на музея, всички експонати са подсигурени в затворени витрини и/или са снабдени с аларми и разбира се на вход/изхода също има охрана, но тя е повече “пасивна” и се активира само при задействана аларма и просто се грижи да няма струпване на много хора на входа/изхода на музея. Все пак целта на музея е да представи експонатите които са вътре на максимален брой публика. И няма нищо „фатално“ в това, че вратите на музея са отворени, както и в това, че портове 80 и 443 на вашата защитна стена са отворени (разбира се, ако имате Web сайт който искате да показвате на широката публика). Просто трябва да имаме „едно на ум“ и да сме приложили различни механизми за „наблюдение“ и „справяне със задръстванията“ .
2. Искаме да имаме достъп до камерата в жилището си от мобилния си телефон, и производителя на камерата ни е дал (написал) инструкции какво трябва да направим за да си осигурим тази възможност. И една от стъпките е да отворим/пренасочим определен порт на нашия рутер, за да може облачния сървър на производителя да се свързва с камерата и след това да ни предостави тази връзка по стандартен http или още по-добре https протокол през мобилния ни телефон. В този случай също нямаме голям избор. Или отваряме порта както е казал производителя, или се отказваме да ползваме тази услуга.
Там (обикновено) ясно е написано, че трябва да смените потребителското име и паролата за достъп до устройството (в този пример камерата) с такива, различни от тези „по подразбиране“, както и (пак обикновено) има предупреждение, че паролите трябва да бъдат „сложни“ или „комплексни“, да се променят периодично и т.н.
Сега пак си представете музея, но този път не в деня/нощта на музеите. Пак можете да влезнете и да разгледате, но този път охраната на входа ви иска билет (в случая с камерата – потребител и парола) и ако имате такъв – всичко е наред и пак влизатe в музея. Отново няма нищо „фатално“ че вратата е отворена – нали?
Тук обаче имаме следния проблем. Всеки който има билет (и забележете, не казвам че си е купил билет) бива пропуснат от охраната на входа.
Ами, ако това не е музей, а частно парти само за членове на някаква малка общност, където ще се обсъждат или показват неща, които не бива да стават достъпни за „широката“ публика – тогава какво?
В такъв случай охраната ще проверява не само билет/покана а и самоличността на всеки един посетител, защото поканите ще са „поименни“.
И сега обратно към рутера и портовете. Е ли възможно на нашия рутер да отворим порт но само за определени устройства. Разбира се, че е и това се нарича „оторизация по MAC адрес“. Т.е. рутера може да бъде конфигуриран така, че само „познати“ или „предварително обявени в един списък“ устройства да могат да „преминат“ през този иначе отворен/пренасочен порт.
Казано по друг начин – пак нищо „фатално“. Просто повече мерки за сигурност когато се налага.
3.Искаме да можем да работим (дори и да не ни се работи) от вкъщи.
Когато излизате от вкъщи обикновено заключвате вратата нали? Това все пак не е музея от предишните примери. В този случай има други механизми и средства които да използвате. Наричат се VPN (Virtual Private Network) и някои допълнения към тях. И, понеже, както вече казах, това не е музей, тук ще предположим, че искате да внесете забранени стоки или биологични видове от една държава в друга, Не ви насърчавам да го правите, но така ми е най-лесно за обяснение . В този случай търсите готов, или копаете нов (ако не ви хванат) тунел под граничната бразда или друго охранително съоръжение и след това преминавате през въпросния тунел.
Точно това представлява VPN-a. Тунел. И при това е напълно законен, а в случаите на „отдалечен достъп“ направо задължителен. Основната идея е, че през него каквото и да минава не се „вижда“ от вън а и през него минават само тези, които знаят къде, как и на кого да се „представят“ за да бъдат „допуснати“ да преминат.
Знам, че не всеки рутер поддържа VPN, но щом ще „работите“ дори и от „вкъщи“, все ще намерите някой лев за по-добър рутер.
Уважаеми колеги. За въпросния инцидент не са виновни производителите (не, че не се случва), нито потребителите на въпросните програми. Нека бъдем честни: не може да искате от един счетоводител хем да ви води счетоводството, хем да разбира от информационна сигурност. Не може да искате и от производителя да ви предоставя софтуер който хем да върши работата за която е предназначен, хем да е с цена поносима за малки и средни клиенти, хем да е така направен, че да има вградени всички възможности вкл. за сигурен отдалечен достъп.
Виновни сме ние, които „интегрираме“ различните софтуерни приложени при различните малки и средни клиенти и понякога се налага „с трици маймуни да ловим“! И ако един счетоводител или адвокат (а и много други професии) не трябва да разбира от компютри и киберсигурност, то ние „специалистите“ и „интеграторите“ сме длъжни да разбираме.
Грехота е (да не използвам по-тежка дума) да нарушаваме основни принципи и добри практики само защото „клиента така иска“ или „клиента няма пари за повече“. Да не говорим, че в повечето случай това дори не е така. Да, тези клиенти не винаги знаят какво точно искат. Но точно тук идва нашата роля. Да обясним, да повторим и потретим и ако е нужно и държим на Клиента (нарочно е с главна буква), дори да демонстрираме „какво може да се случи“ за да може той да разбере правилно, защо трябва да плати тази цена. И да, дори ако трябва в определени моменти да откажем да конфигурираме „грешно“ или „неправилно“ нещо, само защото „клиента няма пари за повече“.
Киберсигурността не е „излишна екстра“. Днес не са толкова важни парите, колкото информацията. Както се казва „Информацията е новото злато“. И въпросът не е „дали“ а „кога“ и нас ще ни сполети. Никой не е застрахован. Но да си заравяме главата в пясъка с надеждата “…че кой се интересува от моите/нашите данни“ и „…аз 20 години работя така и нищо не се е случило“ ми изглежда малко като да си захвърлим мобилния телефон и лаптопа и да отидем да живеем на самотен остров.
И да, наистина ме изумява факта, че в 2024г. все още има хора, на които им е „скъпо“ да си купят истинска антивирусна програма или приличен рутер, и все още чуваме от някои (най-вече администрации) „ами така е, бавно е и не може да стане днес, защото работим с компютри“ а в същото време се борим за „дигитализация“, „електронно управление“, „електронно здравеопазване“ и какво ли още „електронно“ не. Но това е тема на цял отделен материал в друго време и по друг повод.
Автор: инж. Янко Спасов
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.