Безбедност: МК сајбер простор и инфраструктура

Отстранување на национална сајбер закана

Истражување на Ѓоко Крстиќ, Zero Science Lab

Почетокот на февруари случајно наидов на неколку илјадници мрежни уреди (рутери, контролери) изложени кон светот, кои потекнуваат од македонски IP опсег на адреси и содржат неколку сериозни ранливости што овозможуваат далечинска контрола на мрежните уреди без автентикација и заобиколување на зададени и основни безбедносни полиси. Ваквите сајбер безбедносни закани се од огромно значење на национално ниво. Во светот постојат државни служби кои “дебело” плаќаат за вакви типови на информации (пр. купување на информации за непознати ранливости како и експлоатациски кодови) таргетирани до конкуренцијата или пак до цела инфраструктура на една држава.

Одлучив да ја санирам заканата со пријавување на инцидентот до засегнатите компании и до тимот на MKD-CIRT и со јавно објавување на пронајдените ранливости и сценарија за експлоатација.

Сакав да откријам како тимот на AEK: MKD-CIRT (Macedonian Computer Incident Response Team)- Националниот центар за одговор на компјутерски инциденти - се справува со инциденти и самите чекори на пријавување на инциденти како и процесот на безбедносна санизација. Идејата е да го споделам тоа искуство, вклучувајќи ја и комуникацијата со компаниите и нивните одговори на вакви инциденти (Incident response) и преземени чекори наспроти пријавување на ранливости во IoT/ICS производи или услуги и секако, транспарентноста. Овие откритија всушност ги засегаат и граѓаните и компаниите и државните институции. Идејата за воспоставување на CERT/CIRT тим датира уште од 2007 година уште кога започнавме со македонскиот е-магазин за сајбер безбедност “IT-SEC” и беше предложено на министерот за информатичко општество. Имаше и неколку предлози и дискусии од сите сектори во РМ за воспоставување на таков тим: https://vistinomer.mk/neispolneto-ne-e-vospostaven-tsert-tim-za-upravuvane-so-sajber-napadi/. Не успеавме да го воспоставиме тимот (приватен сектор) поради премногу причини.

MKD-CIRT започнува со функција во 2015 година (според датумот на регистрација на доменот, од Неотел), и во рок од 6 години имаат објавено 5 извештаи: https://mkd-cirt.mk/category/izveshtai/ од кои повеќето се од 2018 година и се од типот на статистичка анализа за познатите малвери и рансомвери и присутни штетни софтвери во Македонија. Нема јавни предупредувања, истражувања и публикации за регионални и локални инциденти. Нема желба за комуникација и за соработка со надворешни лица.

Постои публикација со тираж од 4000 парчиња со наслов: Сајбер-безбедност, водич за мали и средни претпријатија. За услугите можете да читнете повеќе тука: https://mkd-cirt.mk/uslugi/

За секаков инцидент MKD-CIRT ги известува само конституентите:

  • Сите министерства, јавната администрација и услугите на Влада на Република Македонија
  • Операторите на критичната инфраструктура во Република Македонија, и
  • Големи организации во банкарскиот, транспортниот, комуникацискиот, здравствениот, енергетскиот и други стратешки сектори во Република Македонија

Откако некој инцидент е изолиран, тимот треба да објави информации за настанот за да можат и обичните смртници да се едуцираат и да реагираат доколку нема кој друг да придонесе закрпи или приложи соодветни мерки и заштита од пријавената закана или ранливост. Овие два инциденти што решив да ги споделам со MKD-CIRT би требало да бидат пронајдени од нивна страна и од страна на засегнатите компании со активна инволвираност и хигиена за сајбер безбедност на критична инфраструктура. И покрај RFC 235, би било уште подобро доколку MKD-CIRT објават некое искуство, некој инцидент или блог пост за истражување и заштита на државно ниво. Поголем интерес и комуникација затоа што воопшто не покажаа интерест и не воспоставија соработка за поефикасно санирање, едукација и транспарентност.

Понатаму ќе покажам и како дојде до наоѓање на ранливостите, нивна техничка анализа и ризикот и влијанијата наспроти ваши лични податоци како и прекршување на полисата за приватност на национално ниво.

Објавените безбедносни предупредувања можете да ги најдете тука: https://www.zeroscience.mk/en/vulnerabilities

Детален опис на истражувањата и анализите:

TL;DR

Додека работев на еден безбедносен тест, дознав дека откриените мрежни уреди се користат и во македонскиот сајбер простор. Со ова истражување би сакал малку и да ја подигнам свеста за безбедност на информации во нашата држава, како на корисниците така и на снабдувачите на мрежни уреди, софтвер и интернет пристап и на самиот MKD-CIRT тим.

Во првиот случај се работи за производот SOYAL Access Control System со потекло од Тајван и открив дека 62 IP адреси од Македонија го користат горенаведениот систем за контрола на пристап (влез) кој се користи во владиниот, приватниот и индустрискиот сектор. Секој можеше да пристапи до системот и да отклучува и заклучува врати во некои објекти, и можност за преземање и промена на главниот “клуч” (Master Code). Открив различен опсег на IP адреси од неколку македонски телекомуникациски оператори. ПРОЧИТАЈ ПОВЕЌЕ ЗА ОВОЈ СЛУЧАЈ.

Во вториот случај се работи за производот ЈТ3500V 4G LTE CPE со потекло од Кина и открив дека 1550 IP адреси од Македонија го користат горенаведениот уред за Интернет пристап и VoIP повици овозможен од Неотел оператор. Во овој “рутер” што се наоѓа во вашиот дом, се наоѓаат секакви ранливости и скриени алатки за пристап (backdoor) од оригиналниот производител – KZ Broadband Technologies, Ltd. Тимот на Неотел има направено една мала грешка при инсталирање на овие уреди во вашите домови – воопшто не погледнале што има внатре – Supply Chain Attack. ПРОЧИТАЈ ПОВЕЌЕ ЗА ОВОЈ СЛУЧАЈ.

Заклучок

Целото патешествие беше само еден вовед и запознавање со спремноста на македонските сајбер кадри во однос на напади и инциденти. Малку се разочарав од комуникацијата при пријавување на ранливости но се надевам дека во иднина ваквите инциденти ќе се сфатат посериозно и со инволвираност наместо целосно игнорирање од страна на засегнатите service провајдери. Доколку некоја компанија или организација има веб сајт, има оставено имејл за контакт, зошто да не одговори на едноставен обид за помош во врска со безбедност на информации? Get off your high horse.

Пред неколку години имаше слична ситуација со порталот на IT.mk. Човек од Мексико, случајно нашол Cross-Site Scripting (XSS) ранливост во софтверот за објавување на содржина (WordPress). Испратил имејл за да извести и помогне на читателите и членовите. Веднаш беше одговорено на имејлот, соработувавме и ја закрпивме слабоста за еден час. Испративме благодарност и еден подарок до пријавувачот. Ако се игнорираше имејлот, потенцијално IT.mk ќе беше дел од некој поголем инцидент и довербата на членовите како и репутацијата на порталот драстично ќе се намалеше.

Комуницирајте и покажете интерес и професионалност со некој што се обидува безусловно да ви помогне и да ве заштити вас и вашите корисници од сајбер напади. Еве еден пример (Vendor Status) за успешно справување и отстранување на инцидент: https://www.zeroscience.mk/en/vulnerabilities/ZSL-2019-5542.php.