Vaihtoehtoiseksi tehtäväksi sain tutustumisen venäläisiin foorumeihin, joista löytyy hakkerointiin liittyviä teemoja. Forumeita löysin useita, forum.xakepok.net -forumit eivät paljastaneet pahemmin mitään blackhat metodeja tai -ohjelmia. Siellä suosittiin enemmän greyhat metodeja. Vaihtoehtoisesti forumilla blackhacker.ru ensimmäisenä forumin aiheualueena on Hack -kauppatori, jonka ensimmäisenä ala-aiheena on Osto / Myynti / Vaihto – kerronpa tästä hieman enemmän.

blackhacker.ru forumilla ‘sticky’ -aiheina ovat hakkereille välttämättömät työkalut, joita ovat mm.:

• RDP-SHOP #1, joka tarjoaa täydellistä anonymiteettiä mainostekstin perusteella
• TeamViewer versio 14.2, joka on muokattu toimimaan täysin huomaamattomasti Win 7 – XP käyttöjärjestelmissä, hinnaksi ilmoitetaan 150$. Ominaisuuksiin lukeutuvat mm.:
  • Työpöydän ohjaus
  • Työpöydän katselu
  • Resurssienhallinta
  • Tiedostojen käynnistys
  • CMD-komentojen suoritus
  • Lisäksi tulevia ominaisuuksia ovat:
    • Keylogger
    • Salakatselu webkamerasta
    • Salakuuntelu mikrofonin avulla
• Tunnusten ‘varastelija’, jota ei estä VM, Sandbox tai seuranta. Tämä varastelija tukee satoja erilaisia ohjelmia, joista se voi varastaa keksejä ja tunnuksia.

Forumeilla lisäksi tarjotaan hakkereille töitä, pyydetään heiltä palveluksia ja tarjotaan asioita ilmaiseksi (lähinnä dumppeja) sekä löytyy 20:n päivän harjoitteluohjelma.

Kaikki edellä mainitut asiat näkee heti rekisteröitymättä ja julkisen verkon yli. Mielenkiinnosta oli pakko rekisteröityä ja katsoa mitä muuta sen myötä aukeaa. Näin heti harjoitus/opetus aihealueen, jossa yhdessä aiheessa kysyttiin neuvoa miten 3 500 luottokortin katteet saa turvallisesti pestyä/realisoitua. Tämä snowden nimimerkillä esiintyvä taho oli ‘heittänyt ongen järveen’, eli perustanut verkkokaupan ja sen avulla saanut kerättyä edellä mainitut luottokortit. Häntä ohjeistettiin olemaan varastamatta rahaa samasta maasta missä hän todennäköisesti toimii.

a) Ratkaise jokin WebGoatin tehtävä. Hyödynsitkö jotain OWASP10 -haavoittuvuutta? Mitä niistä?
b) Mainitse esimerkki MITRE:n Att&ck tekniikasta, joka soveltuu weppiin. Osaatko antaa esimerkin hyökkäyksestä tai haittaohjelmasta, jossa sitä on käytetty?

a) WebGoat:n tehtävässä 2.3 LAB: Role Based Access Control hyödynsin haavoittuvuutta, joka lukeutuu toiseksi yleisimpään haavoittuvuuteen:
A2 Weak authentication and session management ja sen suunnittelukategoriaan: Validate role is sufficient to perform this action.

b) External Remote Services, joita käytetään useimmiten etäyhteyden muodostamiseen. Onnistuneita luottokorttivarkauksia on mm. FIN5 ryhmä onnistuneesti suorittanut. FIN5:n ‘keikka’ kohdistui yhdessä tapauksessa kasinoon: https://securityaffairs.co/wordpress/41044/cyber-crime/fin5-hacked-a-casino.html

Haavoittuvuus koskee keskitettyä lokitusjärjestelmää, toisin sanoen SIEM-järjestelmää, jota hyödynnetään vähintään arkaluontoisia ja kriittisiä tietoja sisältävien järjestelmien lokitukseen.

Järjestelmät kirjoittavat useimmiten omaan tietokantaan mm. seuraavat tapahtumat:

• onnistuneet sisäänkirjautumiset
• epäonnistuneet sisäänkirjautumiset
• mitä ja kuka on arkaluontoisia tai kriittisiä tietoja katsonut, muokannut tai merkinnyt poistettavaksi

Edellä mainitut tiedot kopioidaan keskitettyyn lokitusjärjestelmään, joka säilyttää kaikki lokitiedot ja havaittaessa epäilyttävättävää toimintaa se aiheuttaa hälytyksen. Esim. kun käyttäjätunnukselle yritetään kirjautua sekunnin välein jatkuvasti väärin.

Skenaario #1 – lokitus ja valvonta puuttuu kokonaan. Ilman valvontaa murtoa on mahdotonta jälkikäteen selvittää.

Skenaario #2 – valvonta on konfiguroitu puutteellisesti, joka mahdollistaa esimerkiksi saman salasanan kokeilemisen äärettömälle määrälle käyttäjätunnuksia saman päivän aikana. Muutaman päivän päästä voi kokeilla toista salasanaa äärettömälle määrälle käyttäjätunnuksia. Kaikki tämä tapahtuu ilman, että lokitus- ja valvontajärjestelmä aiheuttaa hälytystä, joten kiinnijäämisriski on lähes olematon – kunhan kärsivällisyyttä löytyy.

Skenaario #3 – valvonta toimii ja ilmoittaa epäilyttävästä toiminnasta, mutta kukaan ei reagoi tai ota kantaa siihen.

Murron keskimääräinen havannointiaika on 191 päivää.

Miten haavoittuvuus paikataan?

1. Täytyy rekisteröidä kaikki palvelinpuolen tietojen syöttö-, käyttö- ja tarkistusvirheet siten, että asiayhteys riittää havaitsemaan epäilyttävät tai haittaohjelmat ja tallentaa ne myöhempää analyysiä varten.

2. Varmista, että arvokkaissa liiketoimissa on tarkastusreitti, jossa on eheydenhallinta, jotta estetään väärinkäytökset tai poistot

3. Käytä tehokkaita seuranta- ja varoitusjärjestelmiä epäilyttävien toimien havaitsemiseksi ja reagoimiseksi ajoissa