Σχόλιο ιστολογίου μας : Το αρχικό άρθρο για το θέμα "Διαύγεια"
Από το ιστολόγιο http://www.secnews.gr/archives/15650#more-15650
Το 2011 σημαδεύεται παγκοσμίως από υψηλότατη αύξηση των ηλεκτρονικών επιθέσεων προς κυβερνητικούς ιστοτόπους, οργανισμούς και εταιρείες.
Οι στόχοι των hackers αλλάζουν κατά περίπτωση [είτε πρόκειται για hacktivists, hackers, crackers, ηλεκτρονικούς κατασκόπους ή κυβερνοπολεμιστές] όμως τα εργαλεία και οι μεθοδολογίες συνήθως είναι κοινές, έχοντας ως απώτερο στόχο να αποκτήσουν πρόσβαση στις υποδομές του “αντιπάλου” ώστε να αντλήσουν έγγραφα, δεδομένα, απόρρητα οικονομικά αρχεία, στοιχεία κωδικών χρηστών ή πιστωτικές κάρτες.
Βασική μεθοδολογία που συνήθως χρησιμοποιήθηκε στις τελευταίες γνωστές επιθέσεις παγκοσμίως<…>
για την επίτευξη του παραπάνω είναι η χρήση client side exploitation [επιθέσεις τελικού χρήστη], εγκατάσταση δηλαδή κακόβουλου λογισμικού μέσω τεχνικών phising στον υπολογιστή του στόχου-θύματος. Η επιτυχία τις συγκεκριμένης μεθόδου βασίζεται κυρίως στην ενημέρωση και επίγνωση του χρήστη σχετικά με τους κινδύνους που διατρέχει ανοίγοντας ένα “παράξενο” e-mail ή επισκεπτόμενος μια ιστοσελίδα αμφιβόλου προέλευσης.
Ένα άκρως σημαντικό βήμα στις client side επιθέσεις αποτελεί η δυνατότητα συγκέντρωσης e-mail διευθύνσεων από την ιστοσελίδα του στόχου είτε πρόκειται για Υπουργείο, Οργανισμό η εταιρεία.
Πώς όμως όλα αυτά σχετίζονται με την Ελληνική πραγματικότητα ? Φαντάζουν πολύ μακρινά μήπως όμως δεν είναι?
Στην ιστοσελίδα et.diavgeia.gov.gr “ανεβαίνουν” καθημερινά αποφάσεις με σκοπό την επίτευξη της μέγιστης διαφάνειας στην διοικητική δραστηριότητα και στην άσκηση της δημόσιας εξουσίας. Πλήθος αρχείων .pdf , word documents , παρουσιάσεις powerpoint με αποφάσεις φορεών, υπουργείων κλπ είναι στην διάθεση του καθενός. Συνεπώς και των κακόβουλων χρηστών.
Σε αυτό ακριβώς το σημείο τίθεται το “λογικό σφάλμα” που προκαλεί έκθεση πληροφοριών για αξιοποίηση προς τρίτους.
Με ένα απλό εργαλείο mail document harvesting [αναζήτηση emails εντός αρχείων] που διαβάζει το σύνολο των αρχείων και εντοπίζει αξιοποιήσιμες e-mail διευθύνσεις, είναι δυνατόν να εντοπισθούν στόχοι που μετέπειτα να αποσταλεί κακόβουλο λογισμικό για απευθείας πρόσβαση στους ηλεκτρονικούς υπολογιστές. Μάλιστα σύμφωνα με την έρευνα μας, οι e-mail διευθύνσεις που είναι εκτεθειμένες αφορούν κυρίως ενεργές e-mail διευθύνσεις τμημάτων προμηθειών από το σύνολο της δημόσιας διοίκησης.
Παράδειγμα με το ακόλουθο ερώτημα στην φόρμα αναζήτησης [mil.gr, astynomia.gr, ypes.gr] βλέπουμε μερικές διευθύνσεις-πιθανών στόχων που μπορούν να αποτελέσουν εν δυνάμει στόχους.
Τμήμα της λίστας των εκτεθειμένων σε ηλεκτρονικές επιθέσεις e-mail μπορείτε να δείτε εδώ. http://pastebin.com/emRU2uHM
Επιπροσθέτως σε σημαντικό πλήθος αναρτημένων αρχείων στο et.diavgeia.gov.gr είναι δυνατόν να αντληθούν με χρήση εφαρμογών άκρως σημαντικές πληροφορίες που μπορούν να χρησιμοποιηθούν από κακόβουλους hackers προσδίδοντας εσωτερικές πληροφορίες όπως:
- Ονόματα δημιουργών των εγγράφων
Με μια γρήγορη αναζήτηση εντοπίσαμε τα ακόλουθα ονόματα υπολογιστών ή usernames:
EYE_user13, NP, Authorized User, marineze, GEN/E1, dioikitiko, a381u075, avramaki, elatsino, stratologia_dad, e.havos, user, Quest User και πολλά άλλα
Τα συγκεκριμένα στοιχεία μπορούν να χρησιμοποιηθούν για την δημιουργία πιθανών e-mail διευθύνσεων αποστολής κακόβουλου λογισμικού
- Λογισμικό που χρησιμοποιείται απο τους τερματικούς σταθμούς όπως:
OpenOffice 3.0, OpenOffice 3.2, Writer, Bullzip PDF Printer, Acrobat Distiller 7.0, Microsoft Office 2000, PScript5.dll version 5.2.2, Nitro PDF Professional, Oracle10gR2 AS Reports Services,
Τα συγκεκριμένα στοιχεία μπορούν να χρησιμοποιηθούν για να γνωρίζει ο hacker τις εκδόσεις λογισμικού που χρησιμοποιούνται ώστε να χρησιμοποιήσει μετέπειτα κατάλληλα τροποποιημένο λογισμικό επίθεσης.
- Λειτουργικό σύστημα τερματικών σταθμών όπως:
Windows XP, Windows 7.
Τα συγκεκριμένα στοιχεία μπορούν να χρησιμοποιηθούν ώστε να γνωρίζει τα λειτουργικά συστήματα που χρησιμοποιούνται εσωτερικά.
Όλες οι παραπάνω πληροφορίες είναι διαθέσιμες στο ευρύ κοινό και δεν απαιτείται ουδεμία χρήση επιθετικών μεθόδων ή εργαλείων για την άντληση των συγκεκριμένων στοιχείων!
Οι υπεύθυνοι διαχειριστές που υλοποίησαν αυτή την πολύ καλή ιδέα του opengov.gr, πρέπει να βρουν ΑΜΕΣΑ κάποιον τρόπο ώστε να διασφαλιστούν οι ανωτέρω εκτεθειμένες πληροφορίες.
Τεχνικές λύσεις σίγουρα υπάρχουν. Όμως βασικό είναι η ευαισθητοποίηση στελεχών σε νευραλγικές θέσεις σχετικά με τα θέματα ασφαλείας, καθώς και ο καθορισμός συγκεκριμένης διαδικασίας ανάρτησης των αποφάσεων με καθορισμένη διαδικασία απαλλαγμένη από “λογικά σφάλματα” για να αποφευχθεί έκθεση σημαντικών δεδομένων που μπορούν να αξιοποιηθούν από εισβολείς.
Έρευνα – Σύνταξη: Αναγνώστης
Συντακτική ομάδα SecNews: Επιβεβαιώσαμε τα γραφόμενα του αναγνώστη και επικοινωνήσαμε με την ομάδα διαχείρισης του opengov.gr.
Οι στόχοι των hackers αλλάζουν κατά περίπτωση [είτε πρόκειται για hacktivists, hackers, crackers, ηλεκτρονικούς κατασκόπους ή κυβερνοπολεμιστές] όμως τα εργαλεία και οι μεθοδολογίες συνήθως είναι κοινές, έχοντας ως απώτερο στόχο να αποκτήσουν πρόσβαση στις υποδομές του “αντιπάλου” ώστε να αντλήσουν έγγραφα, δεδομένα, απόρρητα οικονομικά αρχεία, στοιχεία κωδικών χρηστών ή πιστωτικές κάρτες.
Βασική μεθοδολογία που συνήθως χρησιμοποιήθηκε στις τελευταίες γνωστές επιθέσεις παγκοσμίως<…>
για την επίτευξη του παραπάνω είναι η χρήση client side exploitation [επιθέσεις τελικού χρήστη], εγκατάσταση δηλαδή κακόβουλου λογισμικού μέσω τεχνικών phising στον υπολογιστή του στόχου-θύματος. Η επιτυχία τις συγκεκριμένης μεθόδου βασίζεται κυρίως στην ενημέρωση και επίγνωση του χρήστη σχετικά με τους κινδύνους που διατρέχει ανοίγοντας ένα “παράξενο” e-mail ή επισκεπτόμενος μια ιστοσελίδα αμφιβόλου προέλευσης.
Ένα άκρως σημαντικό βήμα στις client side επιθέσεις αποτελεί η δυνατότητα συγκέντρωσης e-mail διευθύνσεων από την ιστοσελίδα του στόχου είτε πρόκειται για Υπουργείο, Οργανισμό η εταιρεία.
Πώς όμως όλα αυτά σχετίζονται με την Ελληνική πραγματικότητα ? Φαντάζουν πολύ μακρινά μήπως όμως δεν είναι?
Στην ιστοσελίδα et.diavgeia.gov.gr “ανεβαίνουν” καθημερινά αποφάσεις με σκοπό την επίτευξη της μέγιστης διαφάνειας στην διοικητική δραστηριότητα και στην άσκηση της δημόσιας εξουσίας. Πλήθος αρχείων .pdf , word documents , παρουσιάσεις powerpoint με αποφάσεις φορεών, υπουργείων κλπ είναι στην διάθεση του καθενός. Συνεπώς και των κακόβουλων χρηστών.
Σε αυτό ακριβώς το σημείο τίθεται το “λογικό σφάλμα” που προκαλεί έκθεση πληροφοριών για αξιοποίηση προς τρίτους.
Με ένα απλό εργαλείο mail document harvesting [αναζήτηση emails εντός αρχείων] που διαβάζει το σύνολο των αρχείων και εντοπίζει αξιοποιήσιμες e-mail διευθύνσεις, είναι δυνατόν να εντοπισθούν στόχοι που μετέπειτα να αποσταλεί κακόβουλο λογισμικό για απευθείας πρόσβαση στους ηλεκτρονικούς υπολογιστές. Μάλιστα σύμφωνα με την έρευνα μας, οι e-mail διευθύνσεις που είναι εκτεθειμένες αφορούν κυρίως ενεργές e-mail διευθύνσεις τμημάτων προμηθειών από το σύνολο της δημόσιας διοίκησης.
Παράδειγμα με το ακόλουθο ερώτημα στην φόρμα αναζήτησης [mil.gr, astynomia.gr, ypes.gr] βλέπουμε μερικές διευθύνσεις-πιθανών στόχων που μπορούν να αποτελέσουν εν δυνάμει στόχους.
Τμήμα της λίστας των εκτεθειμένων σε ηλεκτρονικές επιθέσεις e-mail μπορείτε να δείτε εδώ. http://pastebin.com/emRU2uHM
Επιπροσθέτως σε σημαντικό πλήθος αναρτημένων αρχείων στο et.diavgeia.gov.gr είναι δυνατόν να αντληθούν με χρήση εφαρμογών άκρως σημαντικές πληροφορίες που μπορούν να χρησιμοποιηθούν από κακόβουλους hackers προσδίδοντας εσωτερικές πληροφορίες όπως:
- Ονόματα δημιουργών των εγγράφων
Με μια γρήγορη αναζήτηση εντοπίσαμε τα ακόλουθα ονόματα υπολογιστών ή usernames:
EYE_user13, NP, Authorized User, marineze, GEN/E1, dioikitiko, a381u075, avramaki, elatsino, stratologia_dad, e.havos, user, Quest User και πολλά άλλα
Τα συγκεκριμένα στοιχεία μπορούν να χρησιμοποιηθούν για την δημιουργία πιθανών e-mail διευθύνσεων αποστολής κακόβουλου λογισμικού
- Λογισμικό που χρησιμοποιείται απο τους τερματικούς σταθμούς όπως:
OpenOffice 3.0, OpenOffice 3.2, Writer, Bullzip PDF Printer, Acrobat Distiller 7.0, Microsoft Office 2000, PScript5.dll version 5.2.2, Nitro PDF Professional, Oracle10gR2 AS Reports Services,
Τα συγκεκριμένα στοιχεία μπορούν να χρησιμοποιηθούν για να γνωρίζει ο hacker τις εκδόσεις λογισμικού που χρησιμοποιούνται ώστε να χρησιμοποιήσει μετέπειτα κατάλληλα τροποποιημένο λογισμικό επίθεσης.
- Λειτουργικό σύστημα τερματικών σταθμών όπως:
Windows XP, Windows 7.
Τα συγκεκριμένα στοιχεία μπορούν να χρησιμοποιηθούν ώστε να γνωρίζει τα λειτουργικά συστήματα που χρησιμοποιούνται εσωτερικά.
Όλες οι παραπάνω πληροφορίες είναι διαθέσιμες στο ευρύ κοινό και δεν απαιτείται ουδεμία χρήση επιθετικών μεθόδων ή εργαλείων για την άντληση των συγκεκριμένων στοιχείων!
Οι υπεύθυνοι διαχειριστές που υλοποίησαν αυτή την πολύ καλή ιδέα του opengov.gr, πρέπει να βρουν ΑΜΕΣΑ κάποιον τρόπο ώστε να διασφαλιστούν οι ανωτέρω εκτεθειμένες πληροφορίες.
Τεχνικές λύσεις σίγουρα υπάρχουν. Όμως βασικό είναι η ευαισθητοποίηση στελεχών σε νευραλγικές θέσεις σχετικά με τα θέματα ασφαλείας, καθώς και ο καθορισμός συγκεκριμένης διαδικασίας ανάρτησης των αποφάσεων με καθορισμένη διαδικασία απαλλαγμένη από “λογικά σφάλματα” για να αποφευχθεί έκθεση σημαντικών δεδομένων που μπορούν να αξιοποιηθούν από εισβολείς.
Έρευνα – Σύνταξη: Αναγνώστης
Συντακτική ομάδα SecNews: Επιβεβαιώσαμε τα γραφόμενα του αναγνώστη και επικοινωνήσαμε με την ομάδα διαχείρισης του opengov.gr.
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου