Ukrajinska (cyber) situacija: Kako izgleda kad umjesto metaka padaju državne web stranice?

Infobip ❤️ Netokracijašto akvizicija znači za vas - i nas?

Ukrajinska (cyber) situacija: Kako izgleda kad umjesto metaka padaju državne web stranice?

Posljednjih godinu dana, a naročito posljednjih par tjedana, stalno smo slušali o "zveckanju oružja" na rusko-ukrajinskoj granici. Kako živimo u modernom dobu, metak više nije jedini način ratovanja, već u to možemo uključiti i hakiranje koje može biti još destruktivnije. U razgovoru s dva hrvatska sigurnosna stručnjaka otkrivamo više o cyber ratovanju.

Veliki hakerski napad na ukrajinske državne stranice dogodio se 14. siječnja kada su bile srušene web stranice ukrajinskog Ministarstva obrane, Ministarstva obrazovanja, Ministarstva energetike i Ministarstva vanjskih poslova te mnoge druge. Hakirana je čak bila i stranica državne službe za hitne slučajeve, a ukupno se radi oko 70 palih stranica koje su bile vraćene nakon sat vremena.

Poslana je poruka na ukrajinskom, ruskom i poljskom jeziku koja je glasila ovako:

Ukrajinci! Svi vaši osobni podaci objavljeni su na internetu. Svi podaci na vašem računalu su uništeni i ne mogu se vratiti. To je za vašu prošlost, sadašnjost i budućnost. Za Volinju, OUN UPA, Galiciju, Poljsku i povijesna područja.

O cijeloj ovoj situaciji pričali smo s Danijelom Teslićem, Penetration Testing Team Leaderom u Combisu i Vlatkom Košturjakom, Chief Technology Officerom u Divertu.

Poruka koji su Ukrajinci mogli vidjeti tijekom posjeta državnim stranicama, a pretpostavlja se kako su hakeri koristili Google Translator za poruku na poljskome jer je gramatički netočna.

Prijašnji napadi uzrokovali su nestanak električne energije za 23.000 ljudi

Ovo je samo nastavak napada koji se događaju i prošlih godina, naglašava Vlatko, a službeni podaci obično su šturi i ne daju detalje:

Primjerice, da li se radi o uspješnim i neuspješnim napadima te o kojim kategorijama napada se radi poput uskraćivanja usluge ili probojima sustava.

O napadu kojem raspravljamo ipak znamo nešto više:

Znamo da se radi o stranicama koji su imale isti CMS sustav te su bile ranjive na poznatu Log4j ranjivost pa se vjeruje da je iskorištavanjem iste ranjivosti došlo do kompromitiranja navedenih 70 stranica.

Ono što je još opasnije je pojava zlonamjernog koda, ističe Vlatko, u obliku lažnih ransomwarea o čemu su upozoravale razne organizacije koje se bave sigurnosti:

Naime, takav oblik zlonamjernog koda prikazuje se kao ransomware, ali nisu pronađene funkcionalnosti da se sami podaci vrate već takvi jednostavno uništavaju podatke.

Naravno, uvijek može biti gore pa Vlatko navodi napade na industrijske kontrolne sustave koje je Ukrajina pretrpjela kada je 23.000 ljudi ostalo bez električne energije.

Za sada se ova situacija u Ukrajini nastavlja kroz targetirane napade na banku u vlasništvu države, te opet – samo Ministarstvo obrane.

“…svega petina proboja u svijetu je uzrokovana nekakvim propustima u tehnologiji…”

Dok Vlatko smatra kako se u napadu na ukrajinske državne stranice vjerojatno radi o iskorištavanju iste ranjivosti, Danijel tvrdi kako pad 70 web stranica u vrlo kratkom roku nije uzrokovan samo jednom ranjivošću:

Malo je vjerojatno da apsolutno sve te stranice koriste istu tehnologiju, prije da su napadači čekali da se dobro pozicioniraju i onda koordinirano ugase web stranice.

Danijel smatra kako je u pitanju tip napada u kojem su hakeri već duže vrijeme prisutni su sustavu. Skupili su veliku količinu informacija, zarazili web poslužitelje i radne stanice (odnosno imaju pristup na njih) i samo su čekali pravi trenutak da izvrše nekakav napad. Kod ovako velikih napada se uglavnom radi o dobro financiranoj skupini napadača, dodaje.

Upravo zato, kao i privatne organizacije, državne imaju jednaku vjerojatnost da budu hakirane jer razina zaštite sustava ovisi o tome koliko je pojedina državna ili privatna institucija uložila u zaštitu sustava i edukaciju vlastitih ljudi:

Što se samog proboja tiče, svega petina proboja u svijetu je uzrokovana nekakvim propustima u tehnologiji (web aplikacijama, raznoraznim poslužiteljima i operacijskim sustavima), a u 80% slučaja je “kriv” ljudski faktor, odnosno napadači prevare jednog ili više zaposlenika preko kojega dođu do pristupa na sustav.

Danijel ističe kako ne može procijeniti koliko su vješti hakeri koji su ušli u ovaj sustav jer ne zna s kakvom su se obrambenom tehnologijom morali suočiti. Najčešća točka prodora obično je zaposlenik neke tvrtke ili institucije koji bude žrtva phishing maila, ističe Danijel:

Napadači kreiraju scenarij u kojem šalju e-mail potencijalnim metama koji ih navodi na malicioznu radnju, bilo da pokrenu nekakvu datoteku ili pristupe na malicioznu stranicu (ostvarivanje pristupa u sustav), izvrše uplatu (financijske prevare) ili otvore maliciozan dokument (eksfiltracija podataka i ostvarivanje pristupa).

The Guardian navodi kako je tijekom 2021. godine pokušano je otprilike 288.000 napada, a tijekom 2020. njih 397.000.

“Svi vaši osobni podaci stavljeni su na internet”

Ukrajincima sigurno nije bilo svejedno kada su vidjeli poruku na kojoj piše kako su svi njihovi podaci postali javno dostupnim – i je li to moguće uopće? Vlatko odgovara jednostavnim “da”. Dodaje kako su danas svi podaci digitalizirani te kako postoji različito shvaćanje razina informacijske sigurnosti te stoga ni on ne bi samo isključio takvu mogućnost:

Ne možete očekivati da će sve zaštite koje ste postavili raditi i biti bez grešaka cijelo vrijeme. Zato se, između ostalog, primjenjuju višeslojne zaštite kako bi umanjili vjerojatnost da se takvo nešto dogodi.

Teško je procijeniti posljedice curenja takvih podataka, ali sve ovisi koji bi to točno podaci bili, ali na primjeru drugih curenja podataka, možemo pretpostaviti što bi se moglo dalje s tim dogoditi, navodi Vlatko:

  • Porast napada na povezane servise i osobe,
  • isprobavanje da li se koriste iste lozinke na drugim servisima,
  • iznude te
  • standardne krađe identiteta.

Potencijalna šteta koja se može uzrokovati hakiranjem može biti bezazlenih razmjera pa sve do katastrofalnih posljedica, a sve ovisi o kritičnosti sustava i podacima kojima takav sustav raspolaže:

U slučaju bilo kakvih institucija koje sadrže osobne podatke, ta šteta može biti velika, sjetite se npr. WikiLeaksa ili napada na British Airways 2018. godine. Najčešće se ipak radi o upravo ovakvim napadima kao sada u Ukrajini gdje kratkoročno učinite sustav nedostupnim i više uzrokujete reputacijsku štetu i širenje panike nego što zapravo naštetite sustavu.

Zašto je nemoguće utvrditi tko je izvršio napad?

Napadačke skupine prilikom hakiranja koriste zapravo vlastite napadačke poslužitelje ili druge poslužitelje koje su već ranije zarazili, objašnjava nam Danijel:

Dakle spajaju se s vlastitim računalima na te poslužitelje i onda s njih napadaju dalje. Također se poslužitelji mogu povezivati u lance gdje se spajate na prvi pa s njega na drugi pa na treći, s kojeg onda tek napadate sustav.

Ti poslužitelji često se nalaze na legalnim domenama registriranim na lažne osobe ili se pak nalaze na Dark Webu te je izuzetno teško ući im u trag.

Kojev je krivio bjelorusku APT grupu (Advanced Persistent Threat) odnosno UNC1151 za hakerski napad.

Kako se pazi na sigurnost državnih stranica?

Prema Danijelovom iskustvu, zaštita državnih stranica obično je na istoj razini kao i većina privatnih kompanija. Naravno, postoje institucije koje više ulažu u zaštitu i one kojima je to manje bitna stavka, a to jako ovisi o budžetima i zainteresiranosti nadležnih osoba za cyber sigurnost:

Neke će kompanije recimo radije uložiti sredstva u tehnološka rješenja koja bi ih trebala štititi misleći da su time riješili stvar, neki će radije raditi penetracijska testiranja i simulacije napada da vide kako stoje zapravo i koliko je sustav podložan hakiranju. Neki će uložiti u implementaciju vlastitog aktivnog nadzor sustava i edukaciju djelatnika i slično.

Potpredsjednik Europske komisije Josep Borrell izjavio je kako su “svi resursi mobilizirani kako bi Ukrajini pomogli u odbijanju ovakvih cyber napada”, a Vlatko nam objašnjava kako se ta pomoć obično odnosi na financijska sredstva koja će se potrošiti na razvoj stručnjaka za cyber sigurnost i donošenje regulativnih reformi:

Osim financijski, pomoć je obično moguće realizirati kroz proizvode, usluge i znanje. Dugoročno najisplativije je naravno kroz znanje i edukaciju, ali uzima i dragocjeno vrijeme kada vam je pomoć potrebna odmah. Obično se onda u tom slučaju realizira kroz posudbu već gotovih stručnjaka uz mentoriranje.

A što je sa cyber sigurnošću Hrvatske?

Danijel procjenjuje kako je Hrvatska prosječna po pitanju cyber sigurnosti što opet ovisi o pojedinoj instituciji:

Prema mom mišljenju najbolje stoje financijske institucije jer oni iskustveno najozbiljnije shvaćaju cyber sigurnost i samim time najviše ulažu u nju iz očitih razloga. Ostali polako hvataju priključak i primjetan je porast ulaganja u IT sigurnost, ali je proces prelaska iz nekakve tranzicijske u zrelu razinu cyber sigurnosti vrlo spor.

Nije stvar u tome da ljudi ne žele to napraviti nego je jednostavno sustav toliko narastao da je teško preko noći napraviti veliku promjenu.

Hrvatska ima posebno zapovjedništvo zaduženo za cyber sigurnost naziva Zapovjedništvo za kibernetički prostor koje se nalazi u sklopu MORH-a (pitali smo ih za komentar, ali se do trenutka objave nisu javili).

Vlatko nam na isto pitanje odgovara jednom riječi, a to je “raznoliko”. Prema posljednjem Global Cybersecurity Indexu (Str. 38, 44 i 123), ne stojimo loše, ali to pokazuje našu posvećenost samoj cyber sigurnosti:

U praksi, vidim veliku razliku između reguliranih i nereguliranih industrija. Jednostavno, područja i industrije koje su regulirane pokazuju određenu zrelost dok je ispravan pristup ili posvećenost ove teme kod nereguliranih više iznimka.

Razmjena podataka o incidentima je isto tako  na “infantilnoj razini”, ističe Vlatko, i to je već prepoznato te postoji regulatorni okvir koji sada nalaže suradnju i razmjenu preko CERT tijela. No, sve izvan nereguliranog djela nema sustavne razmjene već zavisi više o volji i angažiranosti pojedinaca.

Sigurnost je kontinuirani proces, što prije krenemo – to bolje

Sve više je ozbiljnih sigurnosnih incidenata i u našem susjedstvu tako da se može očekivati prelijevanje i kod nas. No, treba biti pripravan za ozbiljnije incidente, upozorava Vlatko:

Ukratko, dosta je napravljeno na regulatornom dijelu i tehničkom, ali postoji još veliki prostor za poboljšanje. Ono što i reguliranoj i nereguliranoj nedostaje je aktivan pristup obrani i informacijskoj sigurnosti.

Što prije krenemo, manji ćemo imati jaz jer sigurnost je kontinuirani proces i na njemu treba svakodnevno raditi i poboljšavati. To znači kontinuirano educirati ljude, poboljšavati tehnologiju i procese jer vrlo brzo možemo postati arhaični odnosno neupotrebljivi.

Sukladno članku 94. Zakona o elektroničkim medijima, komentiranje članaka na Netokraciji dopušteno je samo korisnicima koji ostave svoje ime i prezime te mail adresu i prihvate pravila ponašanja.

Pravila ponašanja

Na Netokraciji za vas stvaramo kvalitetan, autorski potpisan sadržaj i zaista se veselimo vašim kvalitetnim, kontruktivnim komentarima. Poštujmo stoga jedni druge prilikom komentiranja, kao i Zakon, držeći se sljedećih pravila ponašanja:

  • Ne budite 💩: Nema vrijeđanja, diskriminiranja, ni psovanja (osim ako nije osobni izričaj, ali onda neka psovka bude općenita, a ne usmjerena prema nekome). Također, upoznajte se sa stavkom 2. članka 94. Zakona o elektroničkim medijima prije no što ostavite komentar.
  • Samo kvalitetna rasprava, manje trolanja: Ne morate se ni sa kim slagati, ali budite konstruktivni i doprinesite raspravi! Svako trolanje, flameanje, koliko god "plesalo" na granici, leti van.
  • Imenom i prezimenom, nismo Anonymous 👤: Autor sadržaja stoji iza svog sadržaja, stoga stojite i vi iza svog komentara. Koristimo ime i prezime te pravu email adresu.

Kako koristimo podatke koje ostavljate? Bacite oko na našu izjavu o privatnosti.

Sve ostale komentare ćemo s guštom spaliti, jer ne zaslužuju svoje mjesto na internetu.

Odgovori

Tvoja e-mail adresa neće biti objavljena.

Popularno

Kolumna

Što Infobipova akvizicija Netokracije znači za hrvatsku tehnološku scenu i Netokracijin tim

Najveća tehnološka tvrtka u Hrvatskoj nas je upravo akvizirala, a mi nastavljamo urednički neovisno pratiti startup i developersku scenu, a globalno stvarati kvalitetan developerski sadržaj.

Analiza

Novi Zakon o radu regulira platformski rad. Što o tome misle Uber, Bolt i Glovo, a što sindikat?

Načinom na koji je u izmjenama i dopunama Zakona o radu reguliran rad putem digitalnih platformi nisu zadovoljne ni digitalne platforme, ni sindikati. Platforme se, naravno, pozivaju na fleksibilnost i slobodu koju njihovi vozači ili dostavljači cijene, a sindikat smatra kako su se opet izvukle od odgovornosti.

Startupi i poslovanje

Trebaju li se hrvatski osnivači pripremiti na “zimu” u investicijama i kako?

Kako će se kriza odraziti na domaće startupe, koji su u boljem, a koji u lošijem položaju te što savjetuju osnivačima kao obrambene mjere komentiraju Vedran Blagus iz South Central Ventures, Stevica Kuharski iz Fil Rouge Capitala i Ivaylo Simov iz Eleven Venturesa.

Što ste propustili

Novost

Infinum Academy donosi nova 3 edukacijska programa: UX/UI dizajn, DevOps i WordPress

Infinum kroz svoju akademiju ove jeseni polaznicima nudi tri nova besplatna tečaja, a novost je i da prijave više nisu otvorene samo studentima i diplomantima!

Vodič

Neki ljudi su bolji “materijal” za lidere od drugih – i to najčešće zbog ovih 5 osobina

Postoji tona literature i edukacija na temu liderstva, no loših menadžera kao da nije ništa manje. Zašto su psihološke osobine važne za vođenje? Kakav skup karakteristika čini dobrog menadžera? Kako prepoznati ljude koji imaju potencijal postati dobri lideri? Mitja Ružojić s Katedre za psihologiju rada na Filozofskom fakultetu u Zagrebu ima odgovore...

Sponzorirano

SuperMinds u Zagreb dovodi Paula Hudsona, uz poruku “Hrvatska može sve što i Silicon Valley”

Konferencija SuperMinds ove će jeseni u dva dana okupiti 400 mobile developera, a jedan od keynote predavača je autor popularnog serijala Hacking with Swift.

Intervju

Lovre de Grisogono studente sociologije priprema za zapošljavanje – u IT industriji!

Kako jednim rješenjem riješiti dva problema? Kolegij Sociologija informatičke profesije na Fakultetu hrvatskih studija buduće sociologe čini spremnijima za tržište rada, a domaćim tehnološkim poslodavcima pomaže riješiti kronični nedostatak radne snage.

Digitalni proizvodi

Operacija kralježnice potaknula je Domagoja da osmisli aplikaciju koja olakšava oporavak

Od pripreme za operaciju do korisnih informacija, vježbi i lakšeg praćenja boli ili bitnih nalaza, saznajemo kako domaća aplikacija MySpine olakšava život pacijentima i liječnicima.

Kolumna

Napraviti dobru stvar ili napraviti stvari – dobro? Vječna dilema svakog Product Managera

Vječno pitanje koje nerijetko daje vrlo polarizirane odgovore, a postavi si ga svaki product manager u nekom trenutku - neovisno radi li se o startupu gdje tu funkciju nerijetko obavlja osnivač - ili velikoj kompaniji s 50+ product managera.