Securitatea cibernetica este un domeniu vast care are la baza protectia organizatiilor si a indivizilor, impreuna cu dispozitivele, datele si fisierele acestora. Pentru a seta un nivel de securitate corespunzator, persoanele cheie din mangementul organizatiei (CIO, CISO) si membrii departamentului IT, in special cei din SOC (Security Operations Center) trebuie sa cunoasca cum anume functioneaza un atac, care sunt vectorii de intrare in retea si de propagare si cum poate fi mitigat atacul sau cum pot fi minimizate efectele acestuia.
Incepem o miniserie de articole in care vom prezenta succint cele mai frecvente atacuri lansate de hackeri atat asupra companiilor, cat si asupra oamenilor obisnuiti. In acest articol vom discuta despre:
- adware
- birthday attack
- botnet malware
- atac de tipul brute force
- cryptojacking
Adware – software care afiseaza reclame nedorite, de obicei sub forma unor ferestre pop-up. Desi nu este un malware in adevaratul sens al cuvantului si cade in categoria de programe software nedorite (PUP – potentially unwanted program) prezenta unui adware este un semn de intrebare cu privire la securitatea utilizatorului. Pe langa afisarea de reclame nesolicitate, adware-ul poate colecta si trimite catre atacatori informatii sensibile precum adresa IP a sistemului, locatia acestuia, versiunea sistemului de operare sau chiar credentiale de acces. Adware-ul poate fi detectat si eliminat prin folosirea unui antivirus. Utilizatorul trebuie sa exerseze precautie la instalarea programelor de tip freeware (sunt o sursa prin care adware-ul este distribuit) si la download-area fisierelor torrent sau a aplicatiilor din surse necunoscute.
Birthday attack – numele atacului este derivata din problema de statistica potrivit careia intr-o incapere cu 23 de oameni sunt 50% sanse ca doi dintre ei sa fie nascuti in aceeasi zi. Un birthday attack se foloseste de probabilitatea ca doua mesaje total diferite supuse aceluiasi algoritm de integritate sa ofere acelasi output sau hash. Hash-ul este folosit ca o amprenta digitala care verifica autenticitatea unui mesaj. De exemplu, doua parole complet diferite pot furniza acelasi hash, fenomen cunoscut sub numele de efectul de coliziune. Un atacator nu trebuie sa cunoasca parola reala a utilizatorului, ci doar sirul de caractere care rezulta in acelasi hash. Pentru algoritmul MD5, sunt 50% sanse ca doua input-uri diferite sa furnizeze acelasi output dupa 2^64 operatiuni, un numar de combinatii deloc mare. Pentru a evita astfel de situatii, sistemele care pastreaza parolele utilizatorilor sub forma de hash trebuie sa foloseasca algoritmi de integritate puternici precum SHA1 sau SHA2.
Botnet malware – Un astfel de malware reuseste sa compromita un sistem prin exploatarea anumitor vulnerabilitati ale acestuia si sa il treaca sub controlul atacatorului, transformand sistemul intr-un zombie. Atacatorul poate folosi calculatorul victimei pentru a lansa campanii de atac impotriva altor sisteme, fara ca victima sa aiba cunostiinta de acest lucru. Comunicarea cu un server de comanda si control (CnC) de-al atacatorului este vitala pentru acest tip de malware. Filtrarea adreselor IP dupa o lista de adrese cunoscute ca servere de CnC poate stopa acest tip de atac. Folosirea unui program antivirus sau de endpoint protection este o alta masura de protectie la download-area malware-ului de tip botnet (de obicei cand se viziteaza un site web malitios sau cand se acceseaza un atasament dintr-un email receptionat).
Atac de tipul brute force attack – un tip de atac prin care se incearca ghicirea parolei de acces la un anumit sistem, cont sau aplicatie prin incercarea tuturor combinatiilor posibile. Desi poate parea un mechanism rudimentar, dificil si consumator de tip, atacatorii pot folosi liste de cuvinte din dictionar, liste de parole deja compromise si retele de botnet pentru a grabi considerabil procesul. Folosirea de parole lungi si complexe poate face ca un astfel de atac sa nu fie fezabil din punct de vedere timp. Implementarea unei politici de MFA poate proteja accesul la resurse, chiar daca parola a fost compromisa. Blocarea contului dupa un anumit numar de incercari de logare esuate este un alt mod de protectie in fata unui atac de tipul brute force.
Cryptojacking – un astfel de atac nu pericliteaza sistemul (care poate fi orice dispozitiv: calculator, tableta, smartphone, servere), ci il foloseste pentru a mina criptomonede pentru hacker. Cryptojacking-ul este alaturi de ransomware una din cele mai profitabile surse de venit pentru criminalii cibernetici. In consecinta, fata de alte tipuri de atac, un malware de cryptomining nu doreste sa produca stricaciuni asupra sistemului si vrea ca acesta sa functioneaze corect pentru cat mai mult timp. Atacatorii folosesc tactici de camuflare pentru ca prezenta lor sa sa treaca neobservata. Totusi, daca PC-ul porneste mai greu la initializare, daca programele se misca greu, daca procesorul sta in 100% si ventilatoarele sunt turate la maxim, daca factura la curent este mai mare ca de obicei 😊, aceste semne sunt indicatori pentru prezenta unui cryptomalware. Folosirea unui software de antivirus poate detecta, carantina si elimina un astfel de malware de pe sistemul utilizatorului. Filtrarea traficului catre site-uri care contin malware malitios folosind o solutie de protectie la nivel de DNS este o alta metoda de a preveni infectarea cu cryptomalware.
Mihai Dumitrascu, Sr Systems Engineer