U ovom tekstu ću ukratko opisati pomenute uljeze i dati neke preporuke kako ih se čuvati.
Uljez 1: "Čovek u web čitaču"
„Čovek u web čitaču" (browseru) je ime pretnje koja se često materijalizuje kao uspešan napad hakera. U stručnim krugovima se označava kao Man-in-the-browser (MITB, MitB) i oblik je Internet pretnje „Čovek u sredini" ili Man-in-the-middle (MITM, MitM). Radi se o trojancu koji inficira web čitač i ima mogućnost da modifikuju web stranice, izmeni sadržaj transakcije ili ubaci dodatne transakcije. To se odvija na potpuno prikriven način, nevidljiv i za korisnika i, čak, za host aplikaciju (recimo bankarski sistem ili prodavnicu na Internetu).
Nezgodno je što MitB napad može biti uspešan i kod primene sigurnosnih mehanizama kao što su korišćenje SSL/PKI protokola i infrastrukture, pa čak i kod korišćenja autentifikacije (provere identiteta) zasnovane na dva od tri faktora (nešto što znaš, nešto što imaš, nešto sto jesi), a ponekad i sva tri faktora, pa se mora uključiti i četvrti.
Da ne ulazim u tehničke detalje ovog napada što može biti predmet posebnog teksta, navešću nekoliko mera koje mogu poslužiti kao zaštita.
Mere zaštite
Efikasan način zaštite jeste da za transakcije postoji alternativni metode potvrde. To može biti:
• Alternativni kanal komunikacije:
- Jednostavno zahtevanje telefonske potvrde za određene iznose
- Slanje SMS poruke sa verifikacionim kodom, koji se može uneti u određeno polje,
- Korišćenje posebne mobilne aplikacije
- Korišćenje autentifikacije bazirane na tri faktora (recimo uz dodatak biometrije)
• Softverska rešenja za proveru sigurnosti web čitača
• Antivirusni alati
• Korištenje sistema za detekciju prevara (engl. fraud) preko Weba što bi trebalo da bude sastavni deo softvera bankarskih sistema.
Postoje i mnoge druge mere. Naravno, većina ovih mera je na bankama, online prodavnicama i onima koji za njih razvijaju softver i ostala rešenja.
Kako da uočite da je Vaš sistem zaražen?
Evo nekoliko ponašanja koja mogu indicirati da je Vaš sistem zaražen:
• Ako Vaše transakcije traju nešto ili značajno duže nego što je to uobičajeno, postoji mogućnost da su preusmerene i da idu kroz sistem prevaranata (engl. fraudster's system).
• Ako se od Vas traži da date više informacija nego što je to normalno i uobičajeno, posebno cele lozinke tamo gde su ranije pitali za deo, zatim PIN kodove ili slično, to može značiti da je mašina inficirana tj. da imate „uljeza u web čitaču".
• Zaraženi računari su često usporeni, pošto zlonamerni kod monopolizuje procesore i često i Internet vezu.
Ovo su samo neki od znakova, ali loša vest je što je ovakve probleme teško otkriti jer su relativno novi, stalno se razvijaju i unapređuju.
Šta da radite kada posumnjate?
Reagujte na vreme, najbolje odmah:
• Obratite se svojoj banci. Koristite telefon, a ne e-mail, jer postoji mogućnost da i on padne u ruke napadaču ili da i ne stigne do banke.
• Pripremite sve detalje (tačno vreme pristupa bankarskom računu i ostale akcije koje ste uradili). Ukoliko se detalji Vaših i bankarskih zapisa ne poklapaju, moguće da je Vaš računar ugrožen i zaražen.
• U većini zemalja, banke će obično uraditi povratak novca žrtvama prevare ili će to uraditi pod određenim okolnostima. Dobro je da se obavestite kako Vaša banka postupa u ovim situacijama.
Nije zgoreg napomenuti nešto što je opšte poznato, ali mnogi propuštaju da urade. Redovno proveravajte transakcije na svojim računima, čuvajte odsečke i račune, bilo da su oni u papirnoj ili elektronskoj formi. Ovo će Vam pomoći da rekonstruišete događaje, zlu ne trebalo.
Uljez 2: Softer za video kamere sa greškom
Američka kompanija Trendnet potvrdila je ranije glasine da su neimenovani hakeri ugrozili na hiljade njenih kućnih bezbednosnih kamera i omogućili slobodan pristup snimcima tih kamera, i to bez korišćenja lozinke. Na nekoliko chat lokacija (lokacija za ćaskanje) preko veba pojavili su se linkovi do lokacija na kojima se nalaze ukradeni video materijali.
Pre nekoliko dana je web sajt The Verge objavio detalje o ovom problemu, a onda je krenula lavina i na drugim Web sajtovima.
Ne znam koliko ima Trendnet kamera kod nas i da li ih uopšte ima. Takođe, nije isključeno da i drugi sistemi video nadzora mogu imati ovakve ili slične propuste.
Sudeći po vestima na Internetu, prvi izveštaji o ovom problemu se počeli pojavljivati pre kojih mesec dana. Korisnici su se žalili da kamerama može da pristupi svako ko unese odgovarajuću adresu na Internetu, uprkos podešavanja kamera i određivanja lozinke za njihovo korišćenje. Pojavili su se detaljni opisi kako se pretraživač Shodan (specijalizovan za pronalaženje mrežnih uređaja), može upotrebiti za pronalaženje kamera koje se mogu gledati. Jedan od korisnika je naveo da je prilikom jedne pretrage sa pretraživačem Shodan otkrio oko 350 kamera do čijih snimaka je bilo moguće doći. U pojedinim slučajevima adrese kamera su bile dokumentovane i lokacijom na Google Mapsu. Pominje se primer jednog stanovnika Danske koji je nag radio čučnjeve u svom kupatilu.
Kompanija Trendnet je saopštila da je obustavila isporuke spornih modela kamera, kao i da će ažurirati softver koji kamere koriste, kako ubuduće ne bi dolazilo do ovakvih incidenata. Istovremeno, kompanija je e-poštom obavestila korisnike kamera da njihovi uređaji mogu biti ugroženi.
Savet je da ne koristite ovaj tip kamera dok se softver ne ažurira.
Navodi se da je ova greška u softveru nastala 2010. godine. Očito je da nije dovoljno vođeno računa o mogućim slabostima softvera koji tako osetljive video snimke otvara za udaljeni pristup preko Interneta. Jako je dobro imati mogućnost za udaljeni nadzor, recimo kada ste na odmoru, odsutni iz kuće ili firme, ali se podrazumeva da je ceo sistem napravljen tako da ne može da mu pristupi neko ko nije ovlašten za to. U ovom slučaju, došlo je do propusta koji omogućava skoro svakome da ima pristup i to je veliki faul firme Trendnet.
Verovatno je pitanje vremena kada će se slična stvar otkriti i za druge, jer to obično ide u naletima. Zato savetujem onima koji prave softver za video nadzor da vode računa o pravilima pisanja bezbednog koda.
Napomena: Poverenik je, pre nekoliko nedelja, pisao na temu Video nadzor - pitanja koja traže odgovore, pa nije zgoreg podsetiti se i tog teksta ovom prilikom.
Kako sprečiti uljeze?
Dva primera ovde samo pokazuju koliko je živo na strani napadača na on-line sisteme i usluge. Sa druge strane, pokazuje se i koliko mnoge firme, banke, Internet prodavnice i drugi propuštaju da vode računa o zaštiti.
Šta je potrebno? Mere treba da se kreću u nekoliko pravaca.
Prvenstveno treba obrazovati korisnike i podići svest u poznavanju online problema, kako preventivne, tako i akcija koje treba preduzeti kada se nešto desi. Korisnici treba da budu u stanju da na što prihvatljiviji i jednostavniji način prepoznaju da nešto nije u redu. Ovo nije lako postići, jer su napadi složeni, pa time i njihovo otkrivanje, ali se rizik svakako može značajno smanjiti. Pišući ove tekstove, pokušavam da dam svoj doprinos edukaciji.
Sa strane firmi koje rade razvoj, potrebno je vrlo pažljivo i ozbiljno razvijati softver koji će biti dostupan na Internetu. U ovoj oblasti sam relativno dugo i čini mi se da mnogi programeri skoro da i ne prepoznaju reči kao što su OWASP, SDL / SDLC (Security Development Lifecycle) i principe razvoja bezbednog / sigurnog softvera. Čini mi se da se problematici bezbednog softvera ne posvećuje dovoljna pažnja, a ponegde se uopšte ne posvećuje nikakva pažnja, nažalost. To se mora promeniti.
Takođe, posebno sa strane davaoca online usluga i onih koji razvijaju rešenja (softver, hardver, sisteme), potebno je razvijati i dalje unapređivati softver i rešenja koja će obezbediti:
• Detekciju prevara (Fraud Detection)
• Detekciju i prevenciju curenja lični podataka kroz softverska i tehnička rešenja (Data Leak Protection and Prevention)
• Detekciju i prevenciju upada u računaraske sisteme, informacione sisteme i mreže (Intrusion Detection and Prevention)
Beleška na margini
Pre nekoliko dana je bio međunarodni Dan bezbednosti na Internetu (engl. Safer Internet Day, SID). Zato savetujte deci da posete koristan sajt Klikni bezbedno i to ne samo jedanput nego povremeno i, rekao bih, što češće. Ponavljanje je majka znanja i ovaj sajt je odlično mesto za obrazovanje i podizanje svesti o problematici bezbednosti na Internetu.
Ukoliko govorite engleski jezik, što je verovatno slučaj, posetite Safer Internet Day Website. Bilo da ste dete, roditelj, nastavnik ili "samo" obični korisnik Interneta, na obe navedene lokacije ćete naći dosta zanimljivih i korisnih sadržaja. Nemojte čekati da se nešto desi, pa se onda „češati iza uva". Delujte proaktivno i na vreme posvetite pažnju bezbednosti dece na Internetu, ali i bezbednosti Vas samih.
Veoma pohvalno i za sve čestitke je što i Srbija ima „Safer Internet Day committee" i što je ovaj dan propratila odgovarajućim aktivnostima.