Търсене
Close this search box.

По повод на кибератаките към български потребители на популярен счетоводен софтуер от последната седмица се казаха и изписаха много неща, и макар и със закъснение нека и аз да дам своя принос в информационния поток.

Да започнем с анализ на т.нар. „Root causeили основна причина:

Както е видно от многото публикации и постове на колеги (а и всеки може да си направи справка в Shodan – без да е необходимо, а и не е желателно да правите активно сканиране), става въпрос за системи с отворен порт 1433. И да, ако направите същата справка, за която и да е друга услуга, със сигурност ще намерите няколко хиляди отворени такива (виж графиката по-долу за RDP – Remote Desktop Protocol – за Top 10 градове в България).

Наистина не разбирам защо, след атаките от 20 Май, всички се концентрираха върху производителя на софтуер, чиито потребители бяха основните „жертви“.

Нека го кажа още в началото: Производителя на въпросния софтуер НЯМА никаква, ама никаква вина за случилото се. Същото се отнася и за производителя на сървърите, които използват въпросния порт 1433.

Не ме разбирайте погрешно. Не съм „адвокат“ нито на едните, нито на другите. Просто “обичам” отговори от сорта на „Това не се прави така“. Ами кажете ми как се прави тогава по дяволите!

Ето това ще се опитам да направя във въпросния материал.

Опитайте се да си отговорите на следния въпрос:

  1. Защо е необходимо даден порт да бъде отворен?
    1. Искаме дадена услуга да бъде достъпна „Публично“ или иначе казано „през Интернет“.
    2. Някой наш доставчик или производител на оборудване ни е инструктирал, че този порт трябва да бъде отворен, за да работи определена система (обикновено за мониторинг на някакви промишлени контролери, видео наблюдение и др.)
    3. Искаме ние или определени от нас лица да могат „отдалечено“ или иначе казано „от вкъщи“ или „отвсякъде“ да могат да достъпват тази услуга.

 

Нека анализираме трите възможни отговора:

  1. Ако например искаме нашият Web сайт (който ние самите „хостваме“ локално, т.е. в нашата мрежа или иначе казано сайта върви на наш собствен сървър) да бъде достъпен „Публично“ – е, нямаме голям избор. Ще трябва да отворим порт 80 (за http – протокола, по който работи WWW – World Wide Web или „Глобалната Мрежа“) и неговият „събрат“ – порт 443 (за https – което е същото като http но последната буква „s” е изключително важна – защото означава „secure” или по този порт комуникацията е криптирана). Същото важи и за всички други услуги които искаме или трябва да са достъпни „Публично“.

Забележете, тук ключовата дума е „Публично“.

Представете си музей с отворени врати в нощта на музеите. И не, не е „разграден двор“. Просто сигурността е засилена в залите на музея, всички експонати са подсигурени в затворени витрини и/или са снабдени с аларми и разбира се на вход/изхода също има охрана, но тя е повече “пасивна” и се активира само при задействана аларма и просто се грижи да няма струпване на много хора на входа/изхода на музея. Все пак целта на музея е да представи експонатите които са вътре на максимален брой публика. И няма нищо „фатално“ в това, че вратите на музея са отворени, както и в това, че портове 80 и 443 на вашата защитна стена са отворени (разбира се, ако имате Web сайт който искате да показвате на широката публика). Просто трябва да имаме „едно на ум“ и да сме приложили различни механизми за „наблюдение“ и „справяне със задръстванията“ .

 

2. Искаме да имаме достъп до камерата в жилището си от мобилния си телефон, и производителя на камерата ни е дал (написал) инструкции какво трябва да направим за да си осигурим тази възможност. И една от стъпките е да отворим/пренасочим определен порт на нашия рутер, за да може облачния сървър на производителя да се свързва с камерата и след това да ни предостави тази връзка по стандартен http или още по-добре https протокол през мобилния ни телефон. В този случай също нямаме голям избор. Или отваряме порта както е казал производителя, или се отказваме да ползваме тази услуга.

 

Моля четете инструкциите до края!

Там (обикновено) ясно е написано, че трябва да смените потребителското име и паролата за достъп до устройството (в този пример камерата) с такива, различни от тези „по подразбиране“, както и (пак обикновено) има предупреждение, че паролите трябва да бъдат „сложни“ или „комплексни“, да се променят периодично и т.н.

Сега пак си представете музея, но този път не в деня/нощта на музеите. Пак можете да влезнете и да разгледате, но този път охраната на входа ви иска билет (в случая с камерата – потребител и парола) и ако имате такъв – всичко е наред и пак влизатe в музея. Отново няма нищо „фатално“ че вратата е отворена – нали?

Тук обаче имаме следния проблем. Всеки който има билет (и забележете, не казвам че си е купил билет) бива пропуснат от охраната на входа.

Ами, ако това не е музей, а частно парти само за членове на някаква малка общност, където ще се обсъждат или показват неща, които не бива да стават достъпни за „широката“ публика – тогава какво?

В такъв случай охраната ще проверява не само билет/покана а и самоличността на всеки един посетител, защото поканите ще са „поименни“.

И сега обратно към рутера и портовете. Е ли възможно на нашия рутер да отворим порт но само за определени устройства. Разбира се, че е и това се нарича „оторизация по MAC адрес“. Т.е. рутера може да бъде конфигуриран така, че само „познати“ или „предварително обявени в един списък“ устройства да могат да „преминат“ през този иначе отворен/пренасочен порт.

Казано по друг начин – пак нищо „фатално“.  Просто повече мерки за сигурност когато се налага.

 

3.Искаме да можем да работим (дори и да не ни се работи) от вкъщи.

ВНИМАНИЕ: НЕ ОТВАРЯЙТЕ ИЗЛИШНИ ПОРТОВЕ НА РУТЕРА!

Когато излизате от вкъщи обикновено заключвате вратата нали? Това все пак не е музея от предишните примери. В този случай има други механизми и средства които да използвате. Наричат се VPN (Virtual Private Network) и някои допълнения към тях. И, понеже, както вече казах, това не е музей, тук ще предположим, че искате да внесете забранени стоки или биологични видове от една държава в друга, Не ви насърчавам да го правите, но така ми е най-лесно за обяснение . В този случай търсите готов, или копаете нов (ако не ви хванат) тунел под граничната бразда или друго охранително съоръжение и след това преминавате през въпросния тунел.

Точно това представлява VPN-a. Тунел. И при това е напълно законен, а в случаите на „отдалечен достъп“ направо задължителен. Основната идея е, че през него каквото и да минава не се „вижда“ от вън а и през него минават само тези, които знаят къде, как и на кого да се „представят“ за да бъдат „допуснати“ да преминат.

Знам, че не всеки рутер поддържа VPN, но щом ще „работите“ дори и от „вкъщи“, все ще намерите някой лев за по-добър рутер.

 

Нека обобщим изводите от инцидента на 20 Май:

  1. Не отваряйте излишни портове на рутерите си! Основен принцип в сигурността е „Всичко е забранено, освен онова, което е изрично разрешено“.
  2. Ако все-пак се налага да отворите някои портове, вземете всички необходими мерки те да не са „публично“ достъпни, а с максимално ограничен достъп!
  3. Винаги, ама винаги променяйте потребителските имена и паролите по подразбиране на всяко едно ново устройство или софтуер, които инсталирате във вашата мрежа!
  4. За осигуряване на „отдалечен достъп“ винаги използвайте VPN! А потребителските имена и паролите за достъп до този VPN винаги третирайте като „актив“ с „най-висока степен на критичност“.
  5. По отношение на паролите – всичко онова, което сте се уморили да чувате: Сменяйте ги периодично – при това със „сложни“ и „комплексни“ такива. Не ги предоставяйте на никого – това са „ключовете“ към „вратите“ „които заключвате“! Не използвайте една и съща парола за различни системи (това май е най-сложното). И понеже съм сигурен, че не можете да запомните толкова различни „сложни“ и „комплексни“ пароли, както и че няма да изпълните последната ми препоръка, ВИНАГИ когато е възможно (а в днешно време това е почти навсякъде) и задължително когато използвате VPN – използвайте MFA – или Мулти Факторна Автентикация. Точно както когато банкирате електронно.
  6. И най-важното! Не бъдете „скъпи на триците и евтини на брашното“! Знам, че кибер сигурността е скъпо нещо, но не чак толкова, колкото възстановяването на щетите, ако нямате достатъчна сигурност!

И един призив към колегите:

Уважаеми колеги. За въпросния инцидент не са виновни производителите (не, че не се случва), нито потребителите на въпросните програми. Нека бъдем честни: не може да искате от един счетоводител хем да ви води счетоводството, хем да разбира от информационна сигурност. Не може да искате и от производителя да ви предоставя софтуер който хем да върши работата за която е предназначен, хем да е с цена поносима за малки и средни клиенти, хем да е така направен, че да има вградени всички възможности вкл. за сигурен отдалечен достъп.

Виновни сме ние, които „интегрираме“ различните софтуерни приложени при различните малки и средни клиенти и понякога се налага „с трици маймуни да ловим“! И ако един счетоводител или адвокат (а и много други професии) не трябва да разбира от компютри и киберсигурност, то ние „специалистите“ и „интеграторите“ сме длъжни да разбираме.

Грехота е (да не използвам по-тежка дума) да нарушаваме основни принципи и добри практики само защото „клиента така иска“ или „клиента няма пари за повече“. Да не говорим, че в повечето случай това дори не е така. Да, тези клиенти не винаги знаят какво точно искат. Но точно тук идва нашата роля. Да обясним, да повторим и потретим и ако е нужно и държим на Клиента (нарочно е с главна буква), дори да демонстрираме „какво може да се случи“ за да може той да разбере правилно, защо трябва да плати тази цена. И да, дори ако трябва в определени моменти да откажем да конфигурираме „грешно“ или „неправилно“ нещо, само защото „клиента няма пари за повече“.

В Заключение:

Киберсигурността не е „излишна екстра“. Днес не са толкова важни парите, колкото информацията. Както се казва „Информацията е новото злато“. И въпросът не е „дали“ а „кога“ и нас ще ни сполети. Никой не е застрахован. Но да си заравяме главата в пясъка с надеждата “…че кой се интересува от моите/нашите данни“ и „…аз 20 години работя така и нищо не се е случило“ ми изглежда малко като да си захвърлим мобилния телефон и лаптопа и да отидем да живеем на самотен остров.

И да, наистина ме изумява факта, че в 2024г. все още има хора, на които им е „скъпо“ да си купят истинска антивирусна програма или приличен рутер, и все още чуваме от някои (най-вече администрации) „ами така е, бавно е и не може да стане днес, защото работим с компютри“ а в същото време се борим за „дигитализация“, „електронно управление“, „електронно здравеопазване“ и какво ли още „електронно“ не. Но това е тема на цял отделен материал в друго време и по друг повод.

Автор: инж. Янко Спасов

 

 

Източник: antivirus.bg

Подобни публикации

4 октомври 2024

Русия арестува 96 души, свързани с прекъснати о...

Тази седмица руските власти обявиха, че са арестували 96 души по по...
4 октомври 2024

Използвана уязвимост на Ivanti EPM

Тази седмица Ivanti и американската агенция за киберсигурност CISA ...
4 октомври 2024

Холандското правителство обвинява АРТ за хакван...

Министърът на правосъдието заяви пред депутатите, че кибератаката, ...
3 октомври 2024

Криптопортфейли, насочени чрез пакети за Python...

Потребителите на популярни портфейли за криптовалута са били обект ...
3 октомври 2024

САЩ и техните съюзници издават ръководство за з...

Нови насоки от правителствени агенции в САЩ и съюзнически държави п...
3 октомври 2024

MITRE добавя смекчаващи мерки към модела на зап...

Във вторник (в България сряда )MITRE обяви пълната версия на модела...
Бъдете социални
Още по темата
04/10/2024

Използвана уязвимост на Iva...

Тази седмица Ivanti и американската агенция...
03/10/2024

Криптопортфейли, насочени ч...

Потребителите на популярни портфейли за криптовалута...
03/10/2024

Пробив с нулев ден в Racks...

Корпоративният хост за облачни услуги Rackspace...
Последно добавени
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
04/10/2024

Използвана уязвимост на Iva...

Тази седмица Ivanti и американската агенция...
04/10/2024

Холандското правителство об...

Министърът на правосъдието заяви пред депутатите,...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!