Aktivní obrana nebo protiútok?
3. díl
V rámci probíhající hybridní války roste riziko přelití válečného konfliktu i do zemí, které s konfliktem původně neměly nic společného.
To je dáno především postupující globalizací a využíváním společné infrastruktury, technologií a produktů, které mohou být napadeny. Riziko napadení pak roste s mírou zapojení dané země do válečného konfliktu, a vyjádřením podpory, ať už přímé či nepřímé.
V tomto příspěvku se zamyslíme nad realizací kybernetického útoku skrze aktualizace a aktualizační systém. Tuto techniku bychom mohli zařadit pod hacking v rámci kybernetických represálií, které jsme si popsali v minulém dílu.
Jde o to, že informační technologie tvořené serverovými a desktopovými operačními systémy, aplikacemi, databázemi, knihovnami, frameworky, antiviry, ale i firmwarem v nejrůznějších síťových prvcích a rovněž i operační technologie se musí vzhledem k neustále objevovaným zranitelnostem aktualizovat bez ohledu na to, zda jsou umístěny on-premise nebo v cloudu.
Zapomínat také nesmíme na využívání nejrůznějších zdrojových kódů, pluginů, addonů, skriptů, webových služeb třetích stran, ale i HW komponent. Do všech z nich může být začleněn škodlivý kód ve formě backdooru už při vývoji anebo distribuci, ale i kdykoliv později zneužitím (automatických) aktualizací anebo jejich prosté komunikace se serverem.
Útočník může aktualizace záměrně blokovat (pak daný prvek bude dál obsahovat zranitelnost, které bude moci být zneužito) anebo upravit aktualizační soubor tak, aby do něj skrze aktualizaci zranitelnost začlenil (a získal tak vzdálenou kontrolu nad daným prvkem). Pokud aktualizovat nebudeme, tak nám hrozí, že v okamžiku, kdy v některém prvku bude nalezena zranitelnost, tak ta bude záhy zneužita.
Ve výsledku tak útočník může způsobit vážné narušení důvěrnosti, integrity, dostupnosti, neodmítnutelnosti a užitečnosti. Mimochodem opět se ukazuje, proč nabývá na stále větším významu Parkerian hexad model – k narušení CIA triády vůbec nemusí dojít.
Zabránit aktualizacím lze třeba i nevydáním patche pro určité zařízení anebo se dohodnout na určité úpravě aktualizačního souboru přímo s vydavatelem aktualizací. Pak se zpravidla jedná o státem organizovaný útok. Mohlo by se třeba jednat o dohodu US administrativy přímo s Microsoftem nebo Ciscem.
Začlenit škodlivý kód do aktualizačního balíčku může i zaměstnanec organizace vydávající aktualizace. To je klasický případ využití insidera, nicméně vzhledem k nejrůznějším duálním kontrolám a procesnímu workflow to nemusí být úplně triviální, ostatně jsme o tom psali zde.
Dalším řešením je ovládnutí infrastruktury, přes kterou se aktualizace stahují, mirrory, proxy servery apod. Ovšem v tomhle případě záleží na tom, jak kontrola aktualizačního balíčku probíhá, takže tenhle způsob není vždy možný. Aktualizace se zpravidla podepisují a na straně příjemce probíhá kontrola aktualizačního balíčku.
Provedení tohoto typu útoku vyžaduje plnou kontrolu nad aktualizacemi, tj. útočník musí mít kontrolu nad tím, jaká aktualizace a kým bude stažena. Protože pokud by tomu tak nebylo, tak hrozí, že by mohly být kompromitovány i prvky jiných subjektů, třeba i vlastních. Ovšem i s tím se v rámci vedení hybridní války tak nějak počítá.
Dochází zde rovněž k zametání stop, takže se třeba v první aktualizaci záměrně oslabí kryptografie a až v další se doručí škodlivý kód. Přidá se nová certifikační autorita, použije se krátký klíč nebo se kompromituje nějaká stávající, a když se na to přijde, tak se prohlásí, že vývojář udělal chybu, anebo došlo k napadení. Čímž se z útočníka udělá jen další oběť.
Obrana proti tomuto typu útoku je nasnadě. Měli bychom se zajímat o to, kdo je autorem daného SW, v jaké zemi je provozována infrastruktura, která je využívána, anebo kdo ji ve formě cloudu poskytuje. Měli bychom izolovat infrastrukturu, kontrolovat aktualizace (pokud je k dispozici zdrojový kód, tak provést jeho vlastní audit a kompilaci) zakázat aktualizace (tam kde zdrojový kód k dispozici není) a ideálně pak mít i připraven plán přechodu na jiné řešení, které útočící strana nemůže napadnout.
V neposlední řadě je třeba budovat obranou v hloubce, uplatňovat princip ZeroTrust a usilovat o zajištění celkové kybernetické odolnosti organizace.
ČERMÁK, Miroslav, 2022. Aktivní obrana nebo protiútok? – 3. díl. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/aktivni-obrana-nebo-protiutok-3-dil/. [citováno 07.12.2024].
Štítky: hybridní hrozby
K článku “Aktivní obrana nebo protiútok?
3. díl” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.