Toto ale letí, 12. května to už totiž budou čtyři roky od nechvalně proslulého ransomwarového útoku WannaCry, který tehdy podle odhadů během několika málo dnů zasáhl na stovky tisíc počítačů ve více než 150 zemích světa včetně nemocnic a dalších institucí kritické infrastruktury.
V prosinci 2017 USA a také silně zasažená Velká Británie formálně obvinily hackery napojené na Severní Koreu, širší veřejnost se dozvěděla o existenci malwarů, které šifrují počítače a žádají výkupné, no a Interpol společně s Kaspersky Lab vyhlásil 12. květen za Anti-Ransomware Day.
Letos jej sice slavíme teprve podruhé, ovšem ve velkém stylu, potenciál vyděračského útoku totiž čerstvě a v plné síle pocítili na východním pobřeží Spojených států, když se zhroutila počítačová síť tamního potrubního dopravce Colonial Pipeline a přestala téct nafta. Skoro jako v hollywoodském filmu. Úřady viní skupinu Darkside, která je aktivní především ve východní Evropě.
Dekáda projektu Turris
Byť to útočníci nejčastěji zkoušejí přes starý dobrý poštovní phishing – celé spektrum podvodných e-mailů, nesmíme zapomínat ani na síťové roboty, kteří každý den podnikají kobercové nálety na veřejně dostupné routery a další síťové krabičky.
Videochat: Kam kráčí projekt Turris s jeho šéfem Petrem Palánem
Na českém internetu je už od přelomu let 2013/2014 analyzuje experiment Turris zdejšího správce internetové domény CZ.NIC. Pamětníci si jistě vzpomenou na modré plechové krabice, které sdružení před sedmi lety rozdávalo zájemcům za symbolickou korunu, z nichž se v následujících letech zrodila už ryze komerční řada Omnia a nakonec i exotické „lego“ MOX.
Dynamický firewall, který automaticky reaguje
Cílem Turrisu bylo nabídnout zájemcům router, jehož operační systém na bázi svobodného linuxového OpenWrt bude CZ.NIC neustále aktualizovat, a který zároveň poskytne pokročilý adaptabilní firewall, který bude reagovat na aktuální rizika na webu.
Dynamický firewall na routerech Turris
Modré krabičky – a posléze i černé a stříbrné – dlouhé měsíce a roky zaznamenávaly útoky, podobně jako antivirový program o nich předávaly informace do ústředí, no a to zase odpovídalo novými pravidly pro zmíněný firewall způsobem, aby ti, kteří se s útokem ještě nesetkali, zůstali v bezpečí.
Podobný systém napojený na komplexní antivirus vyvíjí také Avast ve své krabičce Omni, ta však zatím není určená pro český trh.
Tisíce útoků denně na domácí router
Systém kolektivní bezpečnosti Sentinel funguje dodnes jako volitelná funkce, kterou si mohou aktivovat všichni majitelé krabiček s logem Turris. A každý den se opravdu zapotí, podle Petra Palána, který má celý projekt na starost, totiž během prvního čtvrtletí letošního roku čelili majitelé turrisů zhruba 9 300 útokům každý den.
Všechny naše routery, jsou vybaveny dynamickým firewallem, který se na základě nasbíraných informací o bezpečnostních hrozbách automaticky aktualizuje často i 3 000× denně. Tento náš bezpečnostní ekosystém zaznamenal během prvního čtvrtletí letošního roku denně v průměru více než 9 300 pokusů o získání kontroly nad každým routerem.
Petr Palán, šéf značky Turris
嗨,这是北京
Z jakých zemí tyto útoky mířily? Na to odpoví web Sentinel View, na kterém najdete agregované výstupy v čele mapou světa, které s přehledem kraluje nejtmavší barvou zvýrazněná Čína – zdroj bezmála 38 milionů útoků.
Pokud budeme síť turrisů od Aše po Jablunkov považovat za dostatečně reprezentativní, můžeme tato čísla vztáhnout na celou republiku. Den má 86 400 sekund, takže to máme průměrně zhruba jednu bezpečnostní událost každých 9 sekund.
Čím tmavší, tím častější zdroj podezřelé aktivity zachycené systémem Sentinel
Právě teď to někdo zkouší na váš router. Nádech, výdech. Nádech, výdech. A zase! Zase někdo útočí. Jak? Může to být podezřelý sken otevřených portů, snaha o přihlášení skrze různé komunikační protokoly počínaje HTTP a SMTP a konče telnetem, nebo jiné incidenty.
Robot útočí, ale jen na fiktivní cíl
Zdrojem těchto dat je mimo jiné sada honeypotů – falešných volavek, které se chovají jako naprosto nezabezpečené síťové služby běžící na vaší krabičce Turris.
Kdybychom aktivovali třeba honeypot pro zabezpečený síťový terminál SSH, program otevře jeho standardní TCP port 22 a začne na něm poslouchat.
Základní princip HaaS – Honeypot as a Service na příkladu protokolu SSH
Jakmile IP adresu routeru vyčmuchá robot se specializací právě na šifrovaný terminál, vyzkouší, jestli počítač komunikuje na portu 22, což honeypot potvrdí, a útočný bot se pokusí přihlásit některým z mnoha častých hesel pro uživatele root – administrátora.
Vábnička samozřejmě akceptuje jakýkoliv pár uživatelského jména a hesla, záškodnický automat se proto dostane do nitra vzdáleného Linuxu a může začít s nejvyššími právy páchat prakticky cokoliv.
Kbelíky se sladkým medem
Majitel routeru je nicméně i nadále v naprostém bezpečí, protože už v okamžiku, kdy se robot pokusil připojit na TCP port, jej router skrytě přesměroval na oddělenou infrastrukturu. Veškerá aktivita proto probíhá v izolovaném a bedlivě sledovaném pískovišti – sandboxu, které vše nahrává.
Nutno podotknout, že se čas od času v minulosti napálil i sám právoplatný majitel, když zapomněl, že na portu 22 neposlouchá skutečný SSH server, ale ten falešný, faktem ale zůstává, že tato síť kbelíků se sladkým medem pro natvrdlé včelky – záškodnické roboty může efektivně zachytit prakticky jakoukoliv útočnou vlnu, která se pokouší zneužít tuto vrstvu zabezpečení a může být součástí nějaké širší kampaně na český internet a jeho síťovou infrastrukturu.
Jak by mohl probíhat fiktivní útok, když bude úplně všechno špatně
Útok fiktivního malwaru Trdelnik na zcela nezabezpečený SSH terminál: Záškodnický bot zjistil, že na zařízení s touto veřejnou IP adresou poslouchá SSH server. Zkusil se připojit slovníkovým heslem, což se podařilo. Poté z anonymního úložiště stáhl skript trdelnik.attack.sh, který spustil s právy administrátora.
Skript v síti LAN dohledá neaktualizované počítače s Windows, které trpí kritickou zranitelností protokolu SMB, skrze kterou do jejich paměti nahraje ransomware Burek3000 a spustí jej. Naštěstí jen v představách autora.
Spojení záškodníka s routerem skrze SSH a instalace zákeřného skriptu
Boti používají pitomá hesla. Odraz reality?
Když se znovu podíváme na data Sentinelu a časovou osu s unikátními IP adresami útočníků, trend je jasný – počet botů, respektive jejich útočících IP adres, se měsíc od měsíce zvyšuje. Poněkud legrační je také pohled na hesla, které boti testují, když se pokoušejí prolomit do cílových služeb.
Počet útočících botů zachycených Sentinelem se neustále zvyšuje
Vévodí jim slovíčka jako default, 12345, sofistikovanější 54321 a ano, samozřejmě nechybí ani password. Byť by se mohlo zdát, že takto pitomé heslo si přece nikdo příčetný nezvolí, jejich slovníky, které útočníci používají, nevznikly jen tak – pocházejí z oněch mnoha uniklých uživatelských databází a jsou to také výchozí přístupové údaje u všemožných prehistorických síťových krabiček, kdy sena bezpečnost příliš nedbalo, a jsou třeba i po 10-15 letech stále online.
Nejčastější hesla a přihlašovací jména botů, které zachytil systém Sentinel
Výstupem Sentinelu je nakonec i greylist IP adres ve formátu CSV, který bezpečnostní systém Turrisu vytváří každý den. Jsou to adresy, které boti používali během svého útoku a šedé jsou hlavně proto, že nemusí vždy předznamenávat nebezpečí. Mohou totiž patřit nic netušícím obětem, které jen některý z malwarů zapojil do botnetu.
Patří vám některá z těchto IP adres? Tak to máte problém...