by ·0 Comments

Kilka lat temu nad wyraz profesjonalna grupa włamywaczy wykradła z Microsoftu bazę danych, zawierającą informacje o niezałatanych błędach w systemach i aplikacjach. Informacja o tym zdarzeniu dopiero teraz wyciekła do mediów.

Na początku 2013 opisywaliśmy niezwykle ciekawą serię włamań, których ofiarami padły największe firmy technologiczne świata. Włamywacze najpierw przejęli kontrolę nad forum dla programistów iphonedevsdk.com i osadzili w nim kod nieznanego wcześniej exploita na Javę, atakującego maszyny z OS X. Przejmując kontrolę nad komputerami programistów uzyskiwali dostęp do środowisk deweloperskich takich gigantów jak Twitter (skąd wykradli co najmniej bazę danych 250 000 użytkowników), Facebook (gdzie zainfekowano wiele komputerów i wykradziono między innymi fragmenty kodu źródłowego) oraz Apple (który nie określił strat). Facebook atak wykrył, przejął (we współpracy z Shadowserverem) serwer C&C włamywaczy i ustalił, że ofiar ataku było ok. 40. Okazuje się, że na liście był też Microsoft, który stracił bardzo, ale to bardzo wrażliwe dane.

Najciekawsza baza firmy

Jaki zasób w Microsofcie jest najciekawszy? No może poza kluczami kryptograficznymi? Jak ujawniła przed chwilą agencja Reutera, przestępcy wykradli z Microsoftu bazę informacji o wykrytych, lecz nadal niezałatanych błędach w oprogramowaniu. Znajdujące się w niej informacje mogły pomóc we włamaniach do milionów komputerów na całym świecie – wiedza o tym, jakie błędy znajdują się w systemie operacyjnym Windows lub pakiecie Microsoft Office jest dla włamywaczy bezcenna. Microsoft, gdy tylko odkrył skutki włamania, przyspieszył prace nad załataniem błędów opisanych w bazie, jednak przestępcy mogli mieć kilka tygodni lub miesięcy na ich wykorzystanie. Firma także przeprowadziła śledztwo w celu wykrycia, czy wykradzione błędy były używane w późniejszych atakach, lecz podobno nie znalazła na to dowodów. Prawdopodobnie metodą badania była analiza zrzutów pamięci po błędach w systemie Windows, które dość dobrze sygnalizują próby ataków na konkretne podatności w systemach, jednak jeśli atakujący byli wystarczająco dobrze przygotowani, mogli ataki przeprowadzać w sposób trudny do wykrycia dla Microsoftu.

Kim są włamywacze

W praktycznie prawie każdym przypadku gdy mamy do czynienia z grupą profesjonalnych włamywaczy, cele ich ataków lub wycieki informacji pozwalają ustalić ich pochodzenie i powiązania z danym krajem. W tym wypadku badacze oceniają, że grupa poziomem profesjonalizmu lokuje się w absolutnej czołówce atakujących, jednak ich obszar zainteresowania wskazuje raczej na działanie komercyjne niż szpiegowskie. Grupa ta, nazwana przez badaczy Wild Neutron lub Butterfly, ma bardzo szeroki zakres zainteresowań. Oprócz opisanych wyżej ataków przypisywane są im próby infekowania użytkowników serwisów dla dżihadystów, producenta oprogramowania szpiegowskiego, firm zajmujących się tematyką bitcoinów, korporacji z całego świata, firm inwestycyjnych oraz kancelarii prawnych. Kompozycja celów wskazuje, że Wild Neutron raczej nie reprezentuje żadnego rządu, lecz działa na własną rękę lub indywidualne zlecenia. Przecieki prasowe wskazują na lokalizację grupy w naszym regionie świata, a ślady w kodzie unikatowych koni trojańskich używanych przez grupę wskazują na zaangażowanie programistów z Rumunii i Ukrainy. O Wild Neutronie i jego atakach możecie poczytać w serwisach Kaspersky’ego i Symanteca.

To nie pierwszy raz

Warto także zauważyć, że to nie pierwszy udokumentowany przypadek kradzieży danych z bazy niezałatanych podatności. Pisaliśmy jakiś czas temu o podobnym ataku na system śledzenia błędów w produktach Fundacji Mozilla, czyli głównie w Firefoksie. W owym przypadku ktoś niepowołany miał przez kilka lat dostęp do bazy wszystkich niezałatanych błędów i co najmniej jednego z nich użyto w prawdziwym ataku na internautów.  Pozostaje nam tylko wierzyć, że firmy, które padły ofiarami podobnych ataków, obecnie lepiej dbają o bezpieczeństwo tak bardzo wrażliwych danych.

by ·0 Comments

Od wielu lat analizujemy wszelkie dostępne opisy ciekawych incydentów bezpieczeństwa i rzadko coś nas zaskakuje pomysłowością po stronie atakujących. Tak jest jednak tym razem – ich pomysł naprawdę jest ciekawy.

Firmy zajmujące się zawodowo bezpieczeństwem z zawodowego obowiązku musza być bardziej wyczulone na różnego rodzaju ataki – bo i na nie są częściej narażone. Nie wszyscy przyznają się do bycia ofiarami – czasem dowiadujemy się o tym z relacji włamywaczy (jak np. w przypadku Hacking Teamu), czasem poszkodowani stają na wysokości zadania, jak chociażby Kaspersky. Tym razem swoją historią postanowiła podzielić się firma Fox-IT, świadcząca wiele profesjonalnych usług z obszaru bezpieczeństwa – w tym także analiz powłamaniowych. Opis tego, co się im przydarzyło, jest ciekawą lekturą.

Mistrzowski MiTM

19 września 2017 tajemniczy atakujący przeprowadził bardzo sprytny atak na firmowy portal przeznaczony dla klientów Fox-IT. Atakującemu udało się przejąć kontrolę nad serwisem dla klientów firmy i to w taki sposób, że mógł podsłuchiwać hasła klientów i wykradać ich dokumenty – a to wszystko mimo dość rozwiniętego systemu firmowych zabezpieczeń. Wszystko zaczęło się od trzy dni wcześniej, kiedy to firma zaobserwowała serię skanów swojej infrastruktury. Nie uznała jednak tego wydarzenia za krytyczne – ot, kolejny dzień jak co dzień. Trzy dni później, krótko po północy, atakujący uzyskał dostęp do wpisów DNS głównej domeny Fox-IT.com, utrzymywanych przez firmę trzecią. Fox-IT przyznaje, że nie wie, w jaki sposób uzyskano dostęp do jego konta – hasło było skomplikowane, choć nie było zmieniane od roku 2013 a samo logowanie nie wymagało dwuskładnikowego uwierzytelnienia.

Atakujący zaczął od bardzo krótkiego przekierowania serwera obsługującego firmową pocztę elektroniczną. Ta faza ataku trwała zaledwie 10 minut, po których przywrócono oryginalne wpisy. W tym czasie jednak atakujący przechwycił korespondencję od firmy wystawiającej certyfikaty SSL, która pozwoliła mu podszyć się pod Fox-IT i uzyskać prawidłowy certyfikat dla jej portalu klienckiego. Kilka minut później portal dla klientów (clientportal.fox-it.com) został przejęty, także przez zmiany we wpisach serwera DNS, przekierowując ruch na zupełnie inny serwer. Maszyna przygotowana przez przestępców działała jako serwer proxy – wszystkie zapytania klientów podsłuchiwała i przesyłała do serwera właściwego. Atak zaczął się o 2:21, a o 7:25 został wykryty przez pracowników firmy. Prawidłowe rekordy DNS zostały przywrócone, jednak ze względu na ich propagację problem nie został natychmiastowo usunięty. By ograniczyć skalę naruszenia, o 12:25 firma wyłączyła mechanizmy dwuskładnikowego uwierzytelnienia klientów, by uniemożliwić im logowanie do serwisu przestępców.

Dzięki licznym sensorom w sieci firmowej i nagrywaniu sporych porcji ruchu Fox-IT mógł szybko określić skalę problemu. Przestępcy wykradli jedynie hasła kilku klientów (i na dokładkę bez dostępu do kodów jednorazowych nie mogli ich użyć). Weszli także w posiadanie trzech poufnych dokumentów, do których nie powinni mieć dostępu. Wykradli także nazwy uzytkowników portalu klienckiego oraz część ich adresów email.

Rekomendacje

Fox-IT podzielił się także swoimi wnioskami i zaleceniami po analizie incydentu. Obejmują one:

  • Korzystanie z usług dostawcy DNS, który albo wymaga manualnego procesu zmiany wpisów (jeśli nie są te zmiany zbyt częste) abo obsługuje 2FA (jeśli zmiany są regularne)
  • Monitoring logów certificate transparency by zauważyć, gdy komuś uda się uzyskać certyfikat do jednej z naszych domen
  •  Wymuszenie okresowej zmiany haseł systemowych (choć trudno tutaj wskazać dlaczego ma ona poprawić bezpieczeństwo i nie do końca się z tym zgadzamy)
  • Prowadzenie pełnego nagrywania ruchu w kluczowych punktach infrastruktury (np. DMZ i punkty styku)
  • Przygotowanie kierownictwa na podjęcie decyzji o świadomym utrzymywaniu zagrożonych systemów w trakcie ataku, by lepiej móc zrozumieć działanie atakujących (natychmiastowe wyłączenie systemów ogranicza straty, ale często uniemożliwia pełne zrozumienie skali ataku i sposobu działania napastników)
  • Współprace z organami ścigania od samego początku incydentu (tu nasza uwaga – o ile organy są na taką współpracę gotowe)

Podsumowanie

Fox-IT należy pogratulować ujawnienia szczegółów incydentu i przyznania się do popełnionych błędów. Dzięki takim publikacjom cała branża może nauczyć się czegoś nowego. Pozostaje nam mieć nadzieję, że inne ofiary podobnych incydentów pójdą w ich ślady. Firmom, które martwią się o bezpieczeństwo swoich rekordów DNS, polecamy ten wpis omawiający możliwe rozwiązania poprawiające komfort snu obrońców.

by ·0 Comments

W ujawnionej niedawno ogromnej bazie danych zawierającej ok. 1,4 miliarda adresów email i haseł można znaleźć ponad 10 milionów kont z polskimi adresami. Poniżej przyglądamy się bliżej tej bazie i poddajemy ją małej analizie.

Kilka dni temu świat bezpieczeństwa obiegła wiadomość o odkryciu bazy danych zawierającej 1,4 miliarda kont poczty elektronicznej z hasłami zapisanymi jawnym tekstem. Dzięki współpracy z badaczami pragnącymi zachować anonimowość ustaliliśmy, że w bazie tej znajduje się ponad 10 milionów kont w domenie .PL i otrzymaliśmy wyniki ich analizy.

Skąd te dane

Omawiana baza zawiera połączony zbiór kilkuset wycieków danych, zarówno wcześniej znanych jak i nieznanych. Różni się jednak od danych dostępnych do tej pory tym, że dane zamieszczono w jednym zbiorze oraz tym, że złamano hasła przypisane do poszczególnych adresów email. Oznacza to, że każdy z 1,4 mld adresów email w bazie połączony jest z jawnie zapisanym hasłem. Dane w większości mają już swoje lata – jednak w wielu przypadkach nadal mogą być aktualne.

W bazie prawdopodobnie znajduje się dużo więcej niż 10 milionów polskich kont – wielu rodaków korzysta ze skrzynek w innych domenach niż .PL, jednak nie da się w łatwy sposób ich w bazie znaleźć i policzyć. Z tego powodu wszystkie przedstawione poniżej statystyki będą dotyczyły wyłącznie adresów email w domenie .PL.

Rzut oka na statystyki

Wszystkich par email:hasło w domenie .PL w bazie znaleźć można 13 215 257. Unikatowych adresów email znaleźć można 10 496 798. Oznacza to, że dla ok. 2,7 miliona kont w bazie znajduje się więcej niż 1 hasło. Może się zatem zdarzyć, że w bazie znajdzie się kilka Waszych starych haseł w różnych wariantach, co może pomóc włamywaczom odgadnąć wg jakiego wzoru swoje hasła tworzycie.

Lista 50 najpopularniejszych domen w bazie:

Nie ma tutaj żadnego zaskoczenia – w większości analogicznych zbiorów wyniki są podobne. Dużo ciekawsze są jednak hasła – wg naszej wiedzy do tej pory nie udostępniono tak obszernych statystyk prawdziwych polskich haseł.

Oto lista najpopularniejszych 100 haseł na podstawie wszystkich 13,2 milionów rekordów.

Analiza listy haseł pokazuje, że mamy na niej:

  • 43 imiona: 18 damskich, 25 męskich (6 z „1” na końcu”),
  • 17 różnych „wzorków z klawiatury” takich jak np. zaq12wsx czy qwerty,
  • 16 haseł składających się z samych cyfr,
  • 8 słów „miłosnych” (misiek, kochanie, myszka, misiaczek, niunia, kochamcie, kocham, misiek1),
  • 3 razy występuje nieśmiertelna dupa (dupa, dupadupa, dupa123),
  • 3 razy samo hasło (haslo, haslo1, password),
  • 3 razy to co mamy przed nosem (komputer, komputer1, samsung),
  • 2 hasła patriotyczne (polska, polska1),
  • 1 klub sportowy (barcelona),
  • plus cztery hasła z kategorii „inne” (lol123, dragon, matrix, master).

Rozkład długości haseł:

Inne cechy haseł:

  • tylko małe litery: 6 002 860 (45.43%),
  • tylko duże litery:  56 362 (0.43%),
  • tylko cyfry: 878 898 (6.65%),
  • pojedyncza cyfra na końcu: 1 359 345 (10.29%),
  • dwie cyfry na końcu: 1 461 088 (11.06%),
  • trzy cyfry na końcu: 736 211 (5.57%).

Ostatnia cyfra:

Z listy uzyskanej z bazy wyeliminowane zostały ewidentne przypadki, gdzie ktoś zakładał tysiące kont z tym samym hasłem. Nie wiemy, z jakiego serwisu te dane pochodziły, ale hasła wyglądały tak:

Powiązane z nimi adresy email były ewidentnie tworzone na potrzeby jakiegoś większego botnetu (w podobnych lub identycznych tanich domenach, tworzone wg takiego samego schematu).

Co jeszcze można znaleźć w bazie

Kilka innych ciekawych wyszukiwań w bazie i ich statystyki:

Pytania i odpowiedzi

Pytanie: Czy jestem w bazie?

Odpowiedź: Jeśli nurtuje Was takie pytanie, to niestety nie możemy pomóc. Możecie za to sprawdzić to na stronie HaveIBeenPwned. To bezpieczny serwis, nie ukradnie Waszego emaila i nie zacznie Was spamować. Baza, w której wyszukuje HaveIBeenPwned jest w dużej mierze zbieżna z tą analizowaną powyżej.

Pytanie: Skąd mogę pobrać bazę?

Odpowiedź: Niestety nie możemy udzielić takiej informacji.

Pytanie: Czy pracownicy mojej firmy są w bazie?

Odpowiedź: HaveIBeenPwned ma darmową usługę informowania o obecności konkretnej domeny w wyciekach danych.