Ako pomohli zraniteľnosti nulového dňa zaútočiť na Coinbase? Ako sa tomu zabránilo?
Na Coinbase – jednu z najväčších búrz kryptomeny v USA – sa útočníci zamerali počas mája – júna 2019. Našťastie Coinbase tento útok zmaril – „sofistikovaný, vysoko cielený, premyslený útok“ na Coinbase.
Útok mal za cieľ kompromitovať jeho systémy s cieľom prístupu k prostriedkom jeho používateľov – kryptomien v hodnote miliárd dolárov. Útok bol naplánovaný s použitím dvoch zraniteľností v nultý deň v prehliadači Mozilla Firefox (webový prehliadač s otvoreným zdrojovým kódom). Jeho tím však útok včas odhalil a zastavil.
To nás privádza k otázke: čo sú zraniteľnosti nultého dňa a ako sa proti nim možno brániť? V tomto príspevku postupne nájdeme ich odpovede.
Čo je to Zraniteľnosť nulového dňa?
Využitie v nulový deň (tiež známe ako 0 dní) – zraniteľnosť je zraniteľnosť softvéru, ktorá nie je dotknutými stranami známa alebo je neadresovaná. Pretože zraniteľnosť zatiaľ nie je známa alebo zmiernená, môžu počítačoví hackeri využiť túto príležitosť na zneužitie zraniteľnosti na ohrozenie softvéru, jeho údajov alebo pripojených strojov alebo sietí. V dôsledku toho je tento útok alebo zneužitie známy ako nultý deň útoku alebo nultého dňa zneužitia, pretože obe využívajú zraniteľnosť nulového dňa.
Čo je to chyba softvéru? Chyba alebo zraniteľnosť je chyba v softvéri alebo operačnom systéme. Príčinou chyby alebo chyby môže byť chyba vývoja alebo nesprávna konfigurácia. V obidvoch prípadoch vytvorí zraniteľnosť – ak je neadresovaná alebo neopravená – bezpečnostnú dieru, ktorú môžu použiť zločinci.
Ako sa zneužíva zraniteľnosť? „Hackeri píšu kód, aby sa zamerali na konkrétnu slabinu zabezpečenia. Zabalili ho do škodlivého softvéru, ktorý sa nazýva zneužitie nulového dňa. Škodlivý softvér využíva zraniteľnosť na kompromitáciu počítačového systému alebo na neúmyselné správanie, “uvádza Norton – bezpečnostný expert.
Zneužitie môže narušiť váš systém s cieľom ovládať ho, uzamknúť vás mimo neho, špehovať vaše digitálne aktivity, odcudziť alebo uzamknúť vaše údaje za účelom výkupného atď. Takéto zneužitie môže byť priamo distribuované prostredníctvom infikovaných médií alebo webových stránok a zoznamy adries alebo v kombinácii s inými typmi útokov na zahájenie sofistikovanejšieho útoku – ako to bolo v prípade útoku na Coinbase.
Ako bol napadnutý Coinbase?
Útok využíval kombináciu stratégií – spear phishing a sociálne inžinierstvo v kombinácii s dvoma zraniteľnosťami nulového dňa. Na konci mája útočníci poslali niekoľko phishingových e-mailov od Gregoryho Harrisa, administrátora Research Grants na univerzite v Cambridge. Tieto e-maily neobsahovali žiadne prílohy ani odkazy a prešli všetkými bezpečnostnými testami. Príjemcom sa teda zdali legitímne.
Avšak; „17. júna o 6:31 poslal Gregory Harris ďalší e-mail, ale tento bol iný. Obsahovala adresu URL, ktorá po otvorení vo Firefoxe nainštaluje malware schopný prevziať stroj niekoho iného. Coinbase Security rýchlo zistil, že tieto e-maily neboli nič iné ako bežné … Počas niekoľkých hodín Coinbase Security detekoval a zablokoval útok, “napísal Coinbase.
Útočníci pre tento útok spojili dohromady dve zraniteľnosti nulového dňa. Prvý z nich umožnil útočníkovi získať privilégiá zo stránky do prehľadávača pomocou JavaScriptu (CVE-2019–11707). Druhá možnosť umožnila útočníkovi narušiť izolovanú plochu prehliadača a spustiť kód na hostiteľskom počítači (CVE-2019–11708). Ako už bolo povedané vyššie, tieto chyby zabezpečujúce nulu sa zameriavali na program Mozilla Firefox.
Ako to Coinbase obhájila?
Coinbase očakával útok; bol pripravený so stratégiou detekcie a reakcie útoku. Preto dokázalo zmariť pokus o útok. „Dokázali sme sa brániť pred týmto útokom vďaka našej kultúre zabezpečenia na prvom mieste v Coinbase, úplnému nasadeniu našich nástrojov na detekciu a reakciu, jasným a dobre nacvičeným príručkám a schopnosti rýchlo odvolať prístup,“ uvádza Coinbase.
V prvom rade Coinbase poskytuje svojim zamestnancom školenia v oblasti bezpečnosti. Prvýkrát si útok všimol a nahlásil jeden zo zamestnancov. Označil to tiež ich systém detekcie útokov. Potom ich bezpečnostný tím preskúmal stroj dotyčného zamestnanca. Zistili, že Mozilla Firefox sa krúti – obľúbený nástroj na prenos dát cez rôzne protokoly vrátane HTTP.
To bolo dosť podozrivé na to, aby pochopili, že sa pozerajú na útok. Pokúsili sa zistiť rozsah útoku, potom vyšetrovali ich siete kvôli podozrivým činnostiam. Potom nakoniec izolovali útok na napadnutý počítač odvolaním všetkých poverení a uzamknutím všetkých účtov príslušného zamestnanca. Takto dokázali potlačiť útok.
Ako zabrániť zneužitiu nulového dňa?
Existujú rôzne typy obranných techník na detekciu a obranu proti zneužitiam nultého dňa. „Vedecká komunita všeobecne klasifikovala obranné techniky proti zneužitiu nulového dňa ako štatistické, podpisové, behaviorálne a hybridné techniky (Kaur & Singh, 2014). Primárnym cieľom každej z týchto techník je identifikovať zneužitie v reálnom čase alebo čo najbližšie k reálnemu času a umiestniť konkrétny útok do karantény, aby sa eliminovali alebo minimalizovali škody spôsobené útokom, “uvádza informačná kniha od inštitútu SANS.
Nemusíte však používať všetky tieto obranné techniky, musíte však potvrdiť, že vaše bezpečnostné riešenie tieto techniky implementuje. To znamená, poďme sa rozprávať o základných opatreniach, ktoré musíte vo svojej organizácii prijať.
1. Aktualizujte svoje systémy
Pretože zneužitie nulového dňa je založené na nových alebo neopravených chybách zabezpečenia, je najlepšie softvér aj operačný systém pravidelne aktualizovať. Ak je opravná aktualizácia k dispozícii, útočníci nájdu a zacielia na počítače s neopraveným softvérom.
To bol prípad Heartbleed – kritickej chyby v OpenSSL, kryptografickej knižnici s otvoreným zdrojom, ktorá implementuje SSL / TLS (metodika šifrovania používaná na zabezpečenie internetu). “Teraz niečo vyše dvoch mesiacov po Heartbleed sme skenovali … zistili sme, že 300 000 (309 197) je stále zraniteľných,” napísal Errata bezpečnosť.
2. Vyhľadajte chyby zabezpečenia
Nestačí iba aktualizovať systémy; musíte vykonať kontroly zraniteľnosti, pretože môžu identifikovať zraniteľnosti nulového dňa. Takéto riešenia simulujú útoky a vykonávajú kontroly kódu príslušného softvéru (povedzme po aktualizácii), aby našli nové chyby zabezpečenia. Ak sa zistí chyba zabezpečenia, bezpečnostný tím musí vykonať kontrolu kódu, otestovať softvér a rýchlo zneškodniť zraniteľný kód.
Vo väčšine prípadov organizácie na takéto správy zabezpečenia reagujú pomaly a zvyčajne to vedie k úspešnému útoku. Prečo? Útočníci väčšinou rýchlo zneužijú zraniteľnosť nulového dňa, ako to bolo v prípade útoku na Coinbase. Bolo to tak aj v prípade spoločnosti Equifax – úverovej kancelárie v USA. Bezpečnostný tím spoločnosti Equifax pomaly dva mesiace opravoval chybu v serveri Apache Struts, čo viedlo k porušeniu údajov jej 147 miliónov zákazníkov vrátane ich osobných údajov.
3. Rozhodnite sa pre bránu firewall aplikácie
Web Application Firewall (WAF) je špecializovaný firewall, ktorý slúži ako štít medzi vašim softvérom a webom škodlivých činiteľov. Monitoruje prenos prichádzajúci do vašej aplikácie s cieľom zistiť a blokovať škodlivý prenos.
WAF chráni pred najkritickejšími bezpečnostnými rizikami a slabými miestami vrátane zraniteľností nulového dňa. Spravidla implementuje niektoré funkcie detekcie a overovania útokov, ktoré pomáhajú filtrovať útoky. Potom sa môže integrovať aj s inými bezpečnostnými riešeniami a poskytnúť tak zastrešujúce riešenie.
To je všetko o slabých miestach nulového dňa a o tom, ako sa môžete brániť proti zneužitiam nulového dňa.