Don’t make me cry: Vol. 1
[sau ce s-au decis sa-ti spuna Baietii de la IT]
Dragi prieteni, dupa o lunga perioada, revenim cu un articol. Cum altfel, daca nu cu opinia noastra despre cel mai cald subiect al acestor zile. Si nu ne referim doar la tehnologie. Evident vom analiza, insa intr-un context mai larg, ceea ce media a numit atacul cibernetic mondial. Sau, pe scurt, WannaCry. Este primul articol dintr-o serie mai lunga. Vom incerca sa decriptam? cat mai multe informatii pentru a oferi o mai buna viziune cu privire la contextul actual, dar mai ales la cel viitor. Informatiile vor fi usor tehnice pe alocuri, insa la finalul seriei, ne dorim sa crestem gradul general de intelegere a abordarilor moderne de securitate.
O scurta clarificare din partea autorului (Silviu): Nu sunt expert sau certificat in networking sau security. In evolutia mea profesionala am descoperit destul de tarziu, din pacate, frumusetea acestei parti din tehnologie. Insa, de peste 3 ani, sunt extrem de pasionat si am avut norocul sa pot invata destul de multe. Daca tot sunt aici, as vrea sa nominalizez persoanele care m-au influentat, real si virtual, si m-au facut sa inteleg din perspectiva holistica tehnologia informatiei. In ordinea numerelor de pe tricou: ES, AB si CV. Multumesc! Din ce in ce mai mult vom discuta despre realitate virtuala si inteligenta artificiala si despre cum software-ul schimba lumea. Totusi, fara a intelege tot ecosistemul peste care ruleaza aplicatiile este complicat sa poti selecta solutiile potrivite care sa sustina viziunea companiei (tocmai am descris o buna parte din ce fac zi de zi la birou).
Din diverse motive, unele identificabile in textul de mai jos, am asteptat sa treaca mesajele de tipul soc si groaza: atacul cibernetic mondial, cele 7 modalitati in care te poti proteja, care este cel mai mare pericolos…, cea mai afectata tara…, cea mai mare amenintare…, atacul fara precedent…, harta in timp real si alte titluri de genul breaking news. S-au alocat multe minute si la TV (asa am auzit). Macar s-a renuntat la mesajul de tip click aici ca sa nu stiu ce. Probabil frica criptarii datelor a inhibat creativitatea ziaristilor mesajele specialistilor autorilor?.
Avem o veste prosta si cred ca-i bine sa o spunem de la inceput. Vulnerabilitati de tipul celor utilizate in atacul WannaCry (exploit), metoda de distributie (worm) sau monetizarea directa (ransomware) nu sunt noutati. Democratizarea codului malitios, scalabilitatea adusa de penetrarea tehnologiilor de tip cloud si rafinarea vectorilor de atac fac parte din lumea noastra de zi cu zi. Printre altele vindem, instalam sau operam solutii de securitate. In ultimele luni, de cand urmarim pagina dedicata de catre Check Point, unul dintre cei mai buni producatori de solutii de securitate, consolidarii informatiilor cu privire la atacurile informatice, n-am vazut nicio zi cu mai putin de 10 000 000 (zece milioane de atacuri). Ieri au fost 11 641 175 de atacuri descoperite. In realitate, au fost mai multe. Acum doua saptamani erau aproximativ aceleasi cifre. Detalii mai jos:
Sambata trecuta, dupa ce s-a pornit avalansa in media, la birou fiind, am fost tentati sa pornim o campanie de comunicare proactiva. N-am fost surprinsi de atac. Dupa cum am mai scris anul trecut, codul vine din arsenalul TAO (detalii in volumul urmator). In timp ce scriam documentul am analizat din perspectiva tehnica “noul” vector si am decis sa ne relaxam. Este vorba despre un atac bazat pe EternalBlue (detalii in articolele viitoare). Deja, pe 21 aprilie erau infectate zeci de mii de computere. La doar o saptamana dupa publicarea codului de catre Shadow Brokers (14 aprilie). Vinerea trecuta a fost doar o rafinare.
Intr-o companie cu o abordare decenta cu privire la securitate (a se citi ca orice pachet critic trebuie sa treaca prin minim doua echipamente de tip firewall), mecanismul de infectie nu putea trece de protectiile de perimetru (solutia firewall aflata intre internet si reteaua locala) sau de protectiile aflate intre segmentele interne protejate (retelele virtuale care sunt analizate de un firewall intern). Protectiile de tip IPS (intrusion prevention system), dar mai ales cele de tip Threat Extraction si Threat Emulation (Sandboxing) sunt eficiente impotriva acestui tip de atac. Daca este utilizata si solutia Check Point SandBlast Zero-Day Protection amenintarile se reduc foarte mult, mai ales in cazul codului malitios necunoscut. Dansul real-time de tip eu stiu ca tu stii ca eu stiu ca tu stii ca asa se manifesta codul malitios dintre solutia de securitate si vectorul de atac este spectaculos prin creativitatea si inteligenta echipelor de programatori implicate. Mai ales cand au facut aceeasi scoala?. Uneori este ca si cum te-ai uita la Mr Robot direct din platoul de filmare. Avantajul de a avea colegi certificati ca SandBlast Administrator sau Security Expert de catre Check Point Software Technologies. Sau colegi tineri si nelinistiti (a se citi cu suflet si minte de hacker?).
In rezumat, decizia de a sta linistiti s-a bazat pe urmatoarele elemente:
– Nu avem motive sa permitem trafic dinspre internet catre o retea interna pe portul 445. De altfel, pe niciun port, fara un motiv specific si fara macar un layer de protectie suplimentara;
– Conceptul Patch Tuesday nu ne suna ciudat. Poate cu exceptia lunii februarie?. Smiley-ul este pentru cunoscatori. Revenim cu detalii in episoadele urmatoare;
– Multe dintre sistemele administrate ruleaza Windows 10. Pro sau Enterprise. Probabil, cel mai sigur OS de pe piata. Pana in iunie, daca nu se decide cineva sa plateasca rascumparare?. Detalii tot in viitor;
– Pe sistemele pe care nu pot fi facute update-uri (long live old enterprise apps) nu-i atat de usor sa ajungi datorita protectiei oferite de firewall. Dublata si de segmentare pentru ce este critic;
– Datele importante si procesele importante de business sunt protejate din minim doua unghiuri;
– Foarte multe dintre “workloadurile” clientilor nostri ruleaza in cloud. SaaS, PaaS, IaaS. Sau hibrid. Utilizand cele mai bune platforme, avem un extra layer de securitate. Livrata ca si serviciu;
– Nu-i frumos sa dau din casa, insa in IT avem o vorba: Cea mai mare gaura de securitate se afla intre scaun si ecran?. Vorbind despre ransomware, procentul infectiilor generate de comportamentul utilizatorului este de 94% (a se vedea studiul de mai jos). Fiind weekend era mai greu cu “Click here to …”, iar pana duminica seara toata lumea era experta in securitate. Ce nu face televizorul din om? Prin urmare a disparut cel mai mare risc de infectie, utilizatorii devenind foarte grijulii cu mesajele neasteptate.
Exista si va exista un singur scenariu foarte complicat: infectie prin eroare umana (a se citi din interior) intr-o retea mare si nesegmentata. Au aparut deja in spatiul public cateva exemple de companii afectate. Scenariul cu un sistem vulnerabil expus direct la internet vine direct din filmele mute si ne este greu sa-l descriem in 2017?.
La finalul primului articol avem urmatorul mesaj: fara panica, dar cu o abordare inteligenta, intelegand intregul context. Drumul catre economia digitala are si dezavantaje, iar daca intelegi cum functioneaza lucrurile (nu doar tehnologic, ci si geo-politic ca sa stabilim nivelul de asteptare pentru urmatoarele articole) renunti la expresii precum provocare, amenintare, pierdere sau impact. Din unghiul nostru, si acum, si in viitor: business as usual. Si daca va place viata linistita, pot fi altii nelinistiti pentru voi: Baietii de la IT (avem si fete, e doar o expresie)