Vă mai aduceţi aminte de Stuxnet?

Dacă nu, vă reîmprospătez rapid memoria: Stuxnet a fost o aplicație malware special creată pentru a sabota programul nuclear iranian prin atacarea sistemelor SCADA ale centralei de la Natanz. Având în vedere ţinta, unii speculează că în spatele atacului s-ar fi aflat Israelul şi Statele Unite. Evident, niciuna din părţile incriminate nu a recunoscut nimic. Dar nici nu a infirmat oficial vreun zvon…

De ce merită atenție o poveste veche de aproape 10 ani? Pentru că Stuxnet, ca şi WannaCry sau NotPetya, au reuşit să facă un număr considerabil de victime exploatând vulnerabilităţi software. Unele cunoscute – sau, mai precis, recunoscute oficial de către producătorii respectivelor aplicaţii şi remediate–, altele nu.

E vorba de aşa-numitele „Zero-day exploits“, o „plagă modernă“ la care suntem aproape cu toţii expuşi. Doar că cei mai mulţi dintre noi nu o ştim…
Şi asta din cauză că vulnerabilităţile cu pricina primesc acest titlu după ce erorile software care le generează devin publice.
Dacă de acest lucru se ocupă producătorii software-ului respectiv, anunţul descoperirii este însoţit automat şi de măsurile corective necesare (patch-uri, de obicei). Dar, în acest caz, nu mai putem vorbi cu adevărat de o „Zi zero“ care marchează momentul din care o vulnerabilitate este exploatată, pentru că aceasta este remediată chiar din momentul anunţului.

Situația se schimbă atunci când vulnerabilităţile sunt descoperite de către terţe părţi.

Dacă cei care le descoperă sunt de partea Binelui – fie informează producătorii software, fie fac un anunţ public. De exemplu, în luna mai a.c. un cercetător în domeniul securităţii cunoscut sub pseudonimul „SandboxEscaper“ a publicat pe GitHub un cod de exploatare a unei vulnerabilităţi Zero-day descoperite în Windows 10, prin care un hacker putea prelua atribuţiile de administrator pe un sistem compromis. Ce-i drept, anunţul a dat peste cap programul de update-uri al Microsoft, dar tot răul spre bine, pentru că, odată făcută publică problema, compania din Redmond s-a grăbit să o remedieze.

Dacă cei care descoperă vulnerabilitatea sunt de partea întunecată a Forţei, cel mai adesea aceasta devine publică după o analiză post-atac realizată de către specialişti. Şi în acest caz începe o cursă contra-conometru pentru găsirea şi publicarea cât mai rapidă a măsurilor de eliminare a problemei. Cu cât se întârzie mai mult, cu atât hackerii au mai mult spaţiu de manevră. De aceea, unii producători software apelează la „paleative“, măsuri parţiale de protecţie până la lansarea unui patch final.

Mai există însă şi vulnerabilităţi care nu sunt nici făcute publice, nici exploatate, ci… vândute!

Şi nu vă gândiţi că doar hackerii sunt dornici să achiziţioneze astfel de mărfuri – pe cât de rare, pe atât de valoroase. Adepţii teoriei conspiraţiei susţin că şi agenţiile secrete, serviciile de spionaj şi alte entităţi de aceeaşi teapă sunt extrem de interesate.
Există chiar şi misiţi care intermediază astfel de achiziţii, precum Zerodium, o companie care cumpără vulnerabilităţi şi le vinde mai departe celor dispuşi să plătească bine. Compania are un tarifar clar – cu cât sistemul afectat este mai popular, cu atât preţul este mai mare – şi un plan de achiziţii public. De exemplu, în martie anunţau că sunt dispuşi să plătească şi până la jumătate de milion de dolari pentru vulnerabilităţi depistate în Microsoft Hyper-V sau VMWare ESXi.

După cum se poate vedea, cerere există.
Dar şi oferta e pe măsură, pentru că niciun producător software nu este scutit de astfel de probleme. Oracle, Cisco, SAP, HPE, VMware, Avaya, Microsoft se înghesuie la rând cu WhatsApp, Chrome, Adobe, Safari, WordPress sau Firefox pe lista anuțurilor „Zero-day exploits“.
Nici sistemele Open Source nu sunt scutite de probleme. La începutul acestui an, israelienii de la Perception Point au anunţat că au descoperit vulnerabilităţi la nivelul unor versiuni de kernel Linux, care afectau, conform estimărilor iniţiale, 66% din device-urile care rulează sub Android şi milioane de servere.

După cum se poate vedea, niciun producător software nu este imun în fata „Zero-day exploits“. Iar în cazul celor care se încumetă să susţină altceva, cel mai probabil fie e vorba de aplicații neimportante ca număr de utilizatori, fie e doar o problemă de timp până când cineva le va acorda atenţie şi timp pentru a descoperi o vulnerabilitate.

Dacă toţi sunt expuşi şi nimeni nu scapă, nu înseamnă însă automat că nu puteţi lua nicio măsură de prevenire a riscurilor de securitate pe care le generează vulnerabilităţile Zero-day.
O primă măsură de bun simț este să fiţi la zi cu toate aplicaţiile şi sistemele de operare, pentru că – cel mai adesea – hackerii exploatează probleme relativ recente pentru care s-au emis patch-uri, dar care nu au fost aplicate. Cazurile WannaCry şi NotPetya sunt deja exemple de manual, din care oricine ar putea să înveţe. Evident, pentru unele companii care utilizează câteva zeci de aplicaţii nu este chiar simplu să fie la zi cu orice actualizare apărută, dar aici vă putem ajuta noi. Specialiştii PRAS Consulting au competențe multivendor şi experienţă în domeniu şi vă pot ajuta nu doar să țineți pasul cu patch-urile, ci să remediați și eventualele probleme de compatibilitate pe care acestea le pot genera.
În unele cazuri patch-urile s-ar putea dovedi ineficiente și ar putea fi nevoie de un update. Cel mai elocvent exemplu în acest sens este Windows Server 2008 şi Windows Server 2008 R2, al căror suport încetează de la începutul anului viitor. Dacă alegeţi să faceţi trecerea la WS 2016 (suport extins până în 2027) sau WS 2019 (până în 2029), este posibil să fie nevoie și de un upgrade, adică să achiziţionaţi un nou server mai performant, care să poată „duce“ noul sistem de operare. Noi vă putem ajuta să faceţi alegerea care se potriveşte cel mai bine nevoilor companiei voastre şi, mai ales, bugetului disponibil.

O altă măsură de prevenţie pe care o puteţi lua este să renunţaţi la aplicaţiile pe care nu le mai folosiţi sau sunt depășite din punct de vedere al performanțelor. Şi aici vă putem veni din nou în ajutor – realizând un audit software, analizăm împreună costurile de licenţiere, numărul de utilizatori, cerințele de performanță şi vă propunem soluţii alternative eficiente, mai sigure şi avantajoase ca preţ.
De asemenea, vă putem ajuta să stabiliţi și o listă de aplicaţii autorizate, precum şi un „Black list“ cu cele care prezintă riscuri de securitate. Este o măsură necesară în contextul BYOD, în care angajații îşi folosesc propriile device-uri în scopuri profesionale. Un sistem de control şi monitorizare neintruziv, care să asigure și securizarea accesului la datele companiei vă scutește de asumarea altor riscuri.
Nu în utimul rând, vă putem ajuta să implementaţi şi utilizaţi o gamă largă de soluţii anti-exploit, care identifică proactiv activităţile anormale din infrastructura companiei voastre – de la modificările de trafic, până la tentativele de conectare la serverele de comandă şi control ale device-urilor compromise.

Prin urmare, măsuri există.

Contactaţi-ne dacă v-ați decis să nu aşteptaţi pasivi apariţia unei noi vulnerabilităţi Zero-day, sperând că veţi scăpa neafectaţi.