Δευτέρα, 3 Ιουλίου 2017

Cyberwar - Cyberattack. Πώς γίνεται η επίθεση, πώς εκδηλώνεται, πώς εντοπίζεται.

CSIRT - NOC


Είναι πάρα πολλοί που μου αναφέρουν πώς είναι δυνατόν να ξεφεύγει ένας hacker σε σενάριο κυβερνοπολέμου/κυβερνοεπίθεσης και να μην εντοπίζεται από τις αρχές; Είναι τόσο δύσκολο να τον εντοπίσουν;

Η απάντηση μου είναι πώς η δυσκολία της εύρεσης ενός hacker έχει τρεις παραμέτρους.

Η πρώτη αφορά την ικανότητα του επιτιθέμενου. Δηλαδή το πόσο μεγάλη γνώση έχει του χώρου της ασφάλειας πληροφορικής και των σχετικών εργαλείων , συν ..... και του φυσικού πεδίου ασφαλείας.

Η δεύτερη έχει να κάνει με την εξίσωση κόστους ζημιάς με κόστους επιχείρησης εντοπισμού ενός ηλεκτρονικού εισβολέα. Προφανώς για να εντοπιστεί κάποιος και να γίνει αναδρομή όλων των βημάτων επίθεσης του, θέλει χρόνο, κόπο και χρήμα (εργατοώρες + νομικά έξοδα). Αν η ζημιά είναι απλά μια αλλαγή σελίδας (defacement) ή μια απώλεια προσωρινή για υπηρεσίες ( DDoS ) προφανώς δεν υπάρχει λόγος να ξοδέψεις τίποτα παραπάνω εκτός από την επαναφορά της αρχικής κατάστασης και την βελτίωση των μέτρων ασφαλείας για τα κενά που υπήρξαν.

Η τρίτη και κυριότερη είναι αυτή που αφορά την σημαντικότητα της πράξης. Είναι τελείως διαφορετικό να υπάρξει μια επίθεση κατά μιας υπηρεσίας ταχυδρομείου ή ιστοσελίδας μιας εταιρίας από μια συντονισμένη επίθεση κατά δικτύων ενός κράτους ή ακόμα και υποκλοπές δεδομένων από ευαίσθητους τομείς, π.χ. νοσοκομεία, τράπεζες.

Ας πάρουμε όμως ένα σενάριο για να υπάρχει μια ιδέα πώς εκδηλώνεται μια επίθεση και πώς αντιμετωπίζεται. Το σενάριο να αναφέρω πώς είναι ρεαλιστικό και προέρχεται από εμπειρικό μνημονικό μέσα από ομάδα ανταπόκρισης ασφαλείας ( CSIRT  )που είχε ασχοληθεί με κάτι τέτοιο.

ΕΠΙΘΕΣΗ

1. Το πρώτο βήμα σε μια επίθεση είναι πάντα η επιλογή του στόχου για κάποιον κακόβουλο και το "μέτρημα" του όσον αφορά την οικονομική ή συμβολική αξία του, καθώς φυσικά και ο βαθμός δυσκολίας που περιέχει το εγχείρημα.

Με απλά λόγια ο επίδοξος εισβολέας θα κάνει χρήση διάφορων τεχνικών και εργαλείων (έτοιμα ή ειδικά παραμετροποιημένα) για να μαζέψει πληροφορίες για τον στόχο του (enumeration, footprinting, social engineering, vulnerability scan, trash diving,  etc. ). Παράλληλα με αυτό θα γίνει ένας έλεγχος όλων των φυσικών στοιχείων που σχετίζονται με τον στόχο έτσι ώστε να υπάρξει μια εικόνα και για την δυναμική που έχει στον πραγματικό κόσμο και πόσο αυτό θα αυξάνει τον βαθμό δυσκολίας. Παράδειγμα ένα νοσοκομείο μπορεί να έχει πολύ ισχυρό ηλεκτρονικό δίκτυο, αλλά επί της ουσίας δεν διαθέτει την ίδια φυσική δυναμική που έχει ένας οργανισμός που σχετίζεται με τον στρατό, την αστυνομία ή ακόμα και τράπεζες (ισχυρότατο νομικό τμήμα).

Το πρώτο βήμα της αναγνώρισης (recon) μπορεί να πάρει ακόμα και εβδομάδες. Όχι όμως πάνω από μήνα, καθώς το περιβάλλον είναι αρκετά δυναμικό και οι λεπτομέρειες μπορεί να αλλάξουν καθιστώντας την όλη προσπάθεια άκυρη.

2. Επιλογή εργαλείων. Εδώ είναι και το σημείο που δείχνει και την ικανότητα του επιτιθέμενου. Οι περισσότερες επιθέσεις του κυβερνοκόσμου γίνονται με περίπου έτοιμα εργαλεία και κλασσικές μεθόδους επίθεσης μέσα από ήδη παραβιασμένα συστήματα ( zombies, DDoS, fragmentation attack, man in the middle, etc. ). Αυτού του είδους οι επιθέσεις είναι και οι πιο εύκολες να αντιμετωπιστούν, συγκριτικά πάντα με τις επόμενες σε αναφορά.

Υπάρχουν όμως και επιθέσεις με ειδικά λογισμικά , με παραμετροποιημένα εργαλεία και ειδικές συνθήκες σε λογισμικό, παράδειγμα μέσα από metasploit, xss injection, κτλ. Φυσικά όλο αυτό θα ολοκληρωθεί από anonymizer proxies ( μηχανήματα που κρύβουν τις ΙΡ ) σε μορφολογία αλυσίδας (chain proxies ) έτσι ώστε η πηγή της επίθεσης να μην μπορεί να βρεθεί ποτέ. Ειδικά όταν μετά από την επίθεση το τερματικό , η κάρτα δικτύου και οτιδήποτε σχετικό με αυτά , ως ηλεκτρονικό ίχνος καταστραφεί, η πιθανότητα να βρεθεί ο δράστης μειώνονται δραματικά.

3. Επίθεση. Σε αντίθεση με ότι πιστεύουν πολλοί η επίθεση διαρκεί ελάχιστα λεπτά και ο δράστης απομακρύνεται ταχύτατα μετά της πράξης. Οι περισσότερες δράσεις έτσι και αλλιώς γίνονται αυτόματα, ειδικά από την στιγμή που ο δράστης έχει προχωρήσει στην διαμόρφωση των παραπάνω. Το ακόμα πιο δυσάρεστο είναι πώς οι στόχοι-θύματα χρειάζονται εώς και μέρες, αναλόγως το μέγεθος του δικτύου τους, για να αντιληφθούν πώς έπεσαν θύμα επίθεσης. Αυτό σημαίνει πώς ο επιτιθέμενος έχει ήδη το προβάδισμα. Θυμίζω εδώ το παράδειγμα του stuxnet που χρειάστηκαν χρόνια για να βρεθεί πώς είναι λογισμικό κωδικοποιημένο από ΗΠΑ και Ισραήλ με στόχο τους πυρηνικούς αντιδραστήρες του Ιράν.

Κατά την διάρκεια της επίθεσης , λοιπόν, σε αντίθεση με ότι βλέπουν κάποιοι σε ταινίες, μεσολαβεί μόνο αυτοματοποιημένη επίθεση και άμυνα από τα μηχανήματα και συστήματα που θα μετέχουν αυτής της κυβερνο-μάχης. Ελάχιστες φορές θα ενεργοποιηθεί ο ανθρώπινος παράγοντας και αυτό θα είναι κυρίως από την πλευρά της άμυνας καθώς τα IPS/IDS θα εντοπίσουν πιθανή ανωμαλία στην ροή δεδομένων και σε θύρες επικοινωνίας συστημάτων. ( traffic singature/pattern, port spoofing/redirection traffic, etc. )

AMYNA

Η άμυνα είναι απείρως πιο πολύπλοκη και πιο δύσκολη. Οι λόγοι είναι πώς πέρα από το οτι έχεις να αντιμετωπίσεις μια ευρεία γκάμα επιθέσεων με διάφορες τακτικές και μεθόδους, έχεις και την δυσκολία διατήρησης της ποιότητας υπηρεσιών εντός του οργανισμού που βρίσκεσαι , έτσι ώστε να μην δημιουργηθεί πρόβλημα οικονομικό και εργασιακής καθημερινότητας προκαλώντας ζημιά χωρίς καν να έχει εισβάλει κάποιος (transparent SecDef)

Πρέπει να υπολογιστεί καταρχάς πώς δεν υπάρχει ποτέ και πουθενά 100% ασφάλεια. Αυτό σημαίνει πώς πρέπει πάντα να υπάρχει εφεδρικό πλάνο αντίδρασης για να συνεχίσει να υπάρχει ο οργανισμός ακόμα και αν όλο το κεντρικό δίκτυο καταρρεύσει. Το Εργασιακό Σχέδιο Ασφαλείας (BCP) θέλει πολύ μεγάλη ανάλυση όμως, καθώς περιέχει και πλάνα επανάκαμψης (disaster recovery) και νομικά πλαίσια που δεν είναι θέμα του παρόντος άρθρου, για αυτό και θα μείνουμε στα δραστικά στοιχεία της άμυνας.

1. Η άμυνα εξαρτάται πάντα από την ικανότητα των μηχανικών και συμβούλων ασφαλείας, καθώς και από τα τεχνικά στοιχεία του εξοπλισμού (hardware) και τις δικές τους ικανότητες. Για παράδειγμα διαφορετικά θα αντιδράσει μια συστοιχία (raid/ traffic ballancer) από IPS/IDS + Firewalls σε μια επίθεση από ένα απλό router/firewall που έχει ο μέσος όρος εταιριών σήμερα. Σε αυτό φυσικά, όπως και στην επίθεση από hacker, πάντα πρώτο ρόλο έχει η εξίσωση κόστους άμυνας με αξία δεδομένων. Αν τα δεδομένα σου είναι π.χ. κρατικής σημασίας, προφανώς και πρέπει η επένδυση να είναι εξίσου μεγάλη.

Δεν θα ζαλίσω με παραμετροποιήσεις ή ρυθμίσεις για τα συστήματα, καθώς περνάμε σε πολύ τεχνικά επίπεδα. Θα πω απλά πώς αν το σύστημα έχει φτιαχτεί σωστά, 9 στις 10 δεν θα υπάρξει καμία παραβίαση... η μία όμως στις δέκα θα είναι εκείνη που θα ασχοληθώ.

2. Μέθοδοι αντίδρασης on the fly. Αν είσαι τυχερός και εντοπίσεις νωρίς την επίθεση τότε οι τρόποι δράσης είναι μόνο δύο. Ο πρώτος είναι να περιορίσεις την έκταση της ζημιάς απομονώνοντάς την υπηρεσία και το δίκτυο που βρίσκεται υπό επίθεση (damage control) μέχρι να αναδρομολογήσεις την υπηρεσία αυτή σε άλλα δίκτυα ( περίπτωση BCP που αναφέρθηκε). Αυτό συνήθως δουλεύει αν η επιλογή σου ως στόχο έχει γίνει από μέτρια ικανούς επιτιθέμενους.

Στον δεύτερο τρόπο άμυνας που είναι και ο πιο επώδυνος , σημαίνει πώς θα αποκοπείς συνολικά από το διαδίκτυο καθώς η επίθεση είναι τόσο μεγάλη και τόσο σφοδρή που το δίκτυο σου θα κινδυνεύει με ολική κατάρρευση και ίσως και υποκλοπή δεδομένων. Η δεύτερη επιλογή μπορεί να φαντάζει πιο λογική, όμως επί της ουσίας είναι και εκείνη που προκαλεί την περισσότερη ζημιά σε ένα οργανισμό καθώς διακόπτει τις υπηρεσίες του για άγνωστο χρονικό διάστημα χάνοντας ίσως και εκατομμύρια ευρώ/δολάρια.

Όποια μέθοδο και από τις δύο πάντως να επιλεγεί είναι σίγουρο πώς ζημιά στην εταιρία , οικονομική θα έχει προκληθεί. Το χειρότερο όμως θα είναι να έχει υπάρξει και υποκλοπή καθώς εκεί τίθεται και θέμα διαχείρισης εταιρικής φήμης, άρα μέγιστη απώλεια χρημάτων αφού η διαφήμιση θα είναι 100% αρνητική.

ΑΝΤΕΠΙΘΕΣΗ.

Εδώ είναι και το κύριο σημείο αναφοράς που δυστυχώς στην Ελλάδα είναι ακόμα στα σπάργανα και δεν υπάρχει καν νομικό πλαίσιο για την υποστήριξη τέτοιων μεθόδων.

Ο εντοπισμός (traceback) δεν είναι πάντα απλός και θέλει ειδικές διαδικασίες και πρωτόκολλα ( digital forensics ) καθώς μια επίθεση μπορεί να καταλήξει να χρειαστεί να φτάσει σε αίθουσες δικαστηρίων και είναι σημαντικό τα πειστήρια να θεωρούνται "ακέραια". Ο τομέας digital forensics είναι επίσης σημαντικός αλλά πολύ μεγάλος για να γίνει αντικείμενο αυτού του άρθρου.

Σε αυτή την διαδικασία ανεύρεσης στοιχείων για τον δράστη, πάντα το πρώτο βήμα γίνεται από τα μηχανήματα που προσβλήθηκαν. Εκεί ερευνώνται στοιχεία που μπορούν να οδηγήσουν στον δράστη όπως κάποια ΙΡ διεύθυνση, κάποιο εκτελέσιμο αρχείο που έμεινε πίσω για να σβύσει αρχεία κτλ κτλ.

Ακολουθεί η διαδικασία reverse engineering για να αναλυθούν όποια στοιχεία κώδικα βρέθηκαν μήπως και ταυτοποιηθεί κάποιο μοτίβο γραφής κώδικα ( code signature ) όπως και άλλα στοιχεία που μπορεί να βοηθήσουν σε ανεύρεση του δράστη.

Όλα αυτά συλλέγονται και δίνονται στο νομικό τμήμα, στις Αρχές και στην διεύθυνση του οργανισμού αν και εφόσον αυτό κριθεί ότι πρέπει να γίνει. Μια απόφαση που ανήκει αποκλειστικά στον διευθυντή ασφαλείας και στο νομικό τμήμα του οργανισμού.

Σε συμφωνία τώρα με τις Αρχές του τόπου, ξεκινάει το πλάνο αντίδρασης. Οι Αρχές ερευνώντας στο πλαίσιο της ανοιχτής εξέτασης , εντοπίζουν μέχρι που μπορεί να φτάνει η ανίχνευση της κάθε ΙΡ διεύθυνσης που συνήθως σταματάει σε μια σειρά από anonymizer proxies. Στην περίπτωση αυτή , η δυσκολία αυξάνεται καθώς οι περισσότεροι εξ αυτών (proxies) είτε θα βρίσκονται σε χώρα με διαφορετικό νομοθετικό πλαίσιο, είτε θα είναι στην σκιώδη σφαίρα λειτουργίας του dark net. Εκεί τίθεται και το πρώτο ερώτημα στο αν τελικά το κόστος αντίδρασης υπερέχει αυτό της ζημιάς. Συνήθως κάπου εκεί σταματάει η έρευνα καθώς ο εντοπισμός πίσω από anonymizers και μάλιστα σε μορφή αλυσίδας ( chain proxies ) είναι δαπανηρότατος σε χρόνο και χρήμα.

Οι περιπτώσεις που θα συνεχιστεί το έργο είναι για διεθνή εγκλήματα όπως παιδεραστία, τρομοκρατία ή ακόμα και για υποκλοπές εθνικών δεδομένων κρίσιμων για εθνική άμυνα. Σε αυτή την περίπτωση το παιχνίδι γίνεται δύσκολο και ενδιαφέρον.

Η κλήση ενταλμάτων μέσω EUROPOL/INTERPOL ανοίγει το 90% των proxies παγκοσμίως. Όσον αφορά το DarkNet υπάρχουν διαδικασίες που δεν είναι της παρούσης αν και οι πρόσφατες αποκαλύψεις για τα εργαλεία της NSA/CIA δίνουν μια ιδέα για το τι γίνεται και πώς αναλύονται κάποια πράγματα.

Η αναδρομή μετά μέσα από τους proxies (ip traceback) λειτουργεί γρήγορα και εντοπίζεται η ΙΡ που χρησιμοποιήθηκε ως διεύθυνση μέσα από τα στοιχεία των ISP (πλέον κρατούν στοιχεία συνδέσεως ως και 2 έτη ) με σφραγίδα ημερομηνίας και αριθμό συνδρομητή. Αυτό ειναι το πρώτο σενάριο.

Το δεύτερο έχει να κάνει με το ακόμα δυσκολότερο όπου η επίθεση ξεκίνησε από τερματικό σε δημόσιο χώρο και το τερματικό πλέον δεν υπάρχει διότι καταστράφηκε. Σε αυτή την περίπτωση εντοπίζεται αρχικά το router που συνδέθηκε ο χρήστης και γίνεται χρήση πολλών μεθόδων για αυτό. Εδώ θα δώσω μια ενδεικτική.

- Wifi δίκτυο μέσα από war driving μέθοδο (περαστικός που κλέβει σήμα κοινώς). Την ώρα και ημέρα της χρήσης του router που τακτοποιήθηκε με την ώρα εκκίνησης της επίθεσης (ip + timestamp ) θα σπεύσουν οι Αρχές και στα φυσικά μέσα ασφαλείας. Οι κάμερες κλειστού κυκλώματος ( CCTV ) και οτι έχουν καταγράψει (6 μήνες η υποχρεωτική αποθήκευση σε εξωτερικό διά νομοθεσίας) θα σκαναριστεί σε απόσταση 100 μέτρων από τον συγκεκριμένο wifi router. Όσοι εντοπιστούν με ενεργές συσκευές στα χέρια τους στις λήψεις, θα μπουν υπό εξέταση που συνήθως είναι και επιτυχής καθώς μετά φεύγει από τον πλαίσιο του κυβερνοκόσμου και περνάει στον κόσμο της φυσικής παρακολούθησης και ανάκρισης.

- GSM δίκτυο κινητής τηλεφωνίας. Λίγο πιο δύσκολα εδώ καθώς κινητές συσκευές (tablet, κινητά) διαθέτουν όλοι πλέον και ειδικά αυτές με τα "Πακιστανικά νούμερα" που λέμε εδώ ή burn phones όπως τα λένε στο εξωτερικό είναι πολύ δύσκολο να ταυτοποιηθούν με τους χρήστες τους. Εδώ γίνεται χρήση των δεδομένων των παροχών κινητής και ταυτοποιείται η ΙΡ του διαδικτύου με το IMEI/IMSI της συσκευής όπου θα συνδυαστεί με χρόνο και ώρα επίθεσης. Αμέσως μετά εντοπίζεται με είδος τριγωνομετρίας όπου βρίσκεται και η κυψέλη μετάδοσης του παρόχου και ο τομέας εκπομπής.

Αν η συσκευή είναι ακόμα ενεργή, τότε με το σύστημα GPS εντοπίζεται με απόκλιση 5 - 30 μέτρων. Αν δεν είναι ενεργή τότε μπαίνει στο παιχνίδι και πάλι το σύστημα CCTV και οι κάμερες που βρίσκουν το στίγμα GPS μέσω τελευταίας εκπομπής του κινητού και προχωρούν σε ταυτοποίηση ώρας και ημερομηνίας επίθεσης με αυτό. Έτσι έχοντας ώρα, ημερομηνία και στίγμα, κάνουν ανάλυση των λήψεων από κλειστό κύκλωμα καμερών στην περιοχή και βρίσκουν ενεργές συσκευές εκείνη την στιγμή. Αμέσως μετά αρχίζει και η δουλειά των Αρχών με ανακρίσεις κτλ.

======

Επίλογος.

Να αναφέρω ξανά πως τα παραπάνω είναι ελάχιστο δείγμα ενός σεναρίου κυβερνοπολέμου/κυβερνοεπίθεσης και πολλά από αυτά μπορεί (σίγουρα μάλλον) θα αλλάζουν στην πορεία και θέλει συνεχείς δράσεις και εναλλακτικές από την ομάδα CSIRT καθώς και συνεχή συνεργασία με νομικούς , διεθνείς και τοπικές Αρχές. Η κοινή λογική λέει πώς οι ομάδες αυτές μπορούν να καταφέρουν τα πάντα δεδομένης της τηρούμενης αναλογίας σε δαπάνη χρόνου, χρήματος και εργατοωρών. Φυσικά αυτό θα έχει πάντα σχέση με την βασική εξίσωση σε ασφάλεια που δείχνει το κόστος εργασιών και δαπανών, σε σχέση με την συμβολική και οικονομική αξία της ζημιάς για την υποκλοπή πληροφορίας και αλλοίωσης συστήματος.

Υ.Γ. δύο δόγματα για τους μη γνώστες ...

Δεν υπάρχει 100% ασφάλεια πουθενά και για τίποτα.
Κανείς δεν μπορεί να κρυφτεί στο διαδίκτυο αν γίνει ο απόλυτος στόχος των Αρχών.




Αλέξανδρος Νίκλαν
Σύμβουλος Θεμάτων Ασφαλείας

==========================================

 Ιδιοκτησία πνευματικών δικαιωμάτων του Geopolitics & Daily News - © 2017. Το περιεχόμενο του site αποτελεί πνευματική ιδιοκτησία του Geopolitics & Daily News. Οποιαδήποτε πληροφορία (κείμενο, εικόνες, γραφικά) περιέχεται στο site μπορεί να χρησιμοποιηθεί μόνο για προσωπική, μη εμπορική χρήση. Είναι παράνομη η αντιγραφή, αναπαραγωγή, τροποποίηση με οποιονδήποτε τρόπο, μέρους ή του συνόλου των περιεχομένων του site χωρίς προηγούμενη έγγραφη συγκατάθεση ή αναφορά της σελίδας