{"id":38643,"date":"2021-06-30T11:30:43","date_gmt":"2021-06-30T09:30:43","guid":{"rendered":"https:\/\/biznes.t-mobile.pl\/?p=38643"},"modified":"2025-03-27T10:48:49","modified_gmt":"2025-03-27T09:48:49","slug":"czym-sa-exploity-i-jak-sie-przed-nimi-bronic","status":"publish","type":"post","link":"https:\/\/biznes.t-mobile.pl\/pl\/czym-sa-exploity-i-jak-sie-przed-nimi-bronic","title":{"rendered":"Czym s\u0105 exploity i jak si\u0119 przed nimi broni\u0107?"},"content":{"rendered":"\n\n\n
Z TEGO ARTYKU\u0141U DOWIESZ SI\u0118:<\/span><\/strong><\/strong>\n\n
    \n
  1. CZYM S\u0104 EXPLOITY ORAZ PODATNO\u015aCI?<\/span><\/strong><\/li>\n
  2. JAKA JEST SKALA PROBLEMU ZWI\u0104ZANEGO Z LUKAMI W OPROGRAMOWANIU?<\/span><\/strong><\/li>\n
  3. CZYM S\u0104 LUKI DNIA ZEROWEGO?<\/span><\/strong><\/li>\n
  4. JAKIE PODATNO\u015aCI STANOWI\u0141Y NAJWI\u0118KSZE ZAGRO\u017bENIE W 2020 ROKU?<\/span><\/strong><\/li>\n
  5. JAK CHRONI\u0106 ORGANIZACJ\u0118 PRZED EXPLOITAMI?<\/span><\/strong><\/li>\n<\/ol>\n<\/td>\n<\/tr>\n<\/thead>\n<\/table>\n

    Podatno\u015b\u0107 to luka w oprogramowaniu pozwalaj\u0105ca atakuj\u0105cym wykona\u0107 dzia\u0142ania, kt\u00f3rych tw\u00f3rca softwaru nie przewidzia\u0142. Mo\u017ce ona doprowadzi\u0107 do wycieku danych, zdobycia przez przest\u0119pc\u0119 uprawnie\u0144 umo\u017cliwiaj\u0105cych mu wykonanie dzia\u0142a\u0144 w systemie lub ingerencj\u0119 w kod oprogramowania. Podatno\u015bci mog\u0105 znale\u017a\u0107 si\u0119 w oprogramowaniu stron internetowych, system\u00f3w operacyjnych, aplikacji i urz\u0105dze\u0144. Exploit to okre\u015blony kod lub technika wykorzystuj\u0105ca t\u0119 luk\u0119 do przeprowadzenia ataku lub uzyskania nieautoryzowanego dost\u0119pu.<\/p>\n

    Z badania \u201eImproving Vulnerability Remediation Through Better Exploit Prediction\u201d1<\/sup> wynika, \u017ce w latach 2009-2018 do przeprowadzenia ataku wykorzystano zaledwie 4183 luki w zabezpieczeniach z \u0142\u0105cznej liczby 76 000 (5,5%) wykrytych podatno\u015bci. Co ciekawe, badacze odkryli, \u017ce nie ma zwi\u0105zku mi\u0119dzy publikacj\u0105 kodu exploita typu \u201eproof-of-concept\u201d (PoC) na publicznych stronach internetowych, a rozpocz\u0119ciem pr\u00f3b wykorzystania luki. Oznacza to, \u017ce sam fakt wykrycia podatno\u015bci nie jest r\u00f3wnoznaczny z powstawaniem exploit\u00f3w wykorzystuj\u0105cych istniej\u0105c\u0105 luk\u0119. Powodem, dlaczego tak si\u0119 dzieje jest r\u00f3\u017cna przydatno\u015b\u0107 oprogramowania. Przest\u0119pcy wykorzystuj\u0105 jedynie te luki w oprogramowaniu, kt\u00f3re pozwol\u0105 im uzyska\u0107 praktyczne korzy\u015bci, czyli wykona\u0107 atak powoduj\u0105cy szkody w systemach ofiary lub kradzie\u017c danych.<\/p>\n

    Mo\u017cliwe luki w zabezpieczeniach<\/h2>\n

    R\u0119czne wyszukiwanie podatno\u015bci przez atakuj\u0105cego by\u0142oby zbyt czasoch\u0142onne, dlatego wykorzystywane s\u0105 do tego celu zautomatyzowane narz\u0119dzia pozwalaj\u0105ce wykrywa\u0107 istniej\u0105ce luki w systemach ofiary. W przypadku stron dost\u0119pnych w Internecie sprawdzenie, czy jest ona podatna polega na weryfikacji, kt\u00f3ry z popularnych system\u00f3w CMS jest u\u017cywany, a nast\u0119pnie wykonanie pr\u00f3b, czy zarz\u0105dzaj\u0105cy stron\u0105 zaniedba\u0142 aktualizacji. Atakuj\u0105cy, w zale\u017cno\u015bci od rodzaju podatno\u015bci, mo\u017ce w\u00f3wczas zmieni\u0107 kod \u017ar\u00f3d\u0142owy strony, w\u0142ama\u0107 si\u0119 do bazy danych lub zmodyfikowa\u0107 jej dzia\u0142anie.<\/p>\n

    Praktycznie ka\u017cda strona w internecie wielokrotnie, ka\u017cdego dnia poddawana jest testom podatno\u015bci. Celem atakuj\u0105cego jest zazwyczaj dodanie do niej w\u0142asnych link\u00f3w przekierowuj\u0105cych na przyk\u0142ad na strony phishingowe. Korzy\u015bci\u0105 dla cyberprzest\u0119pcy mo\u017ce by\u0107 te\u017c kradzie\u017c danych lub zdobycie informacji pomocnych do prowadzenia ataku na inne firmowe systemy. Je\u017celi dost\u0119pno\u015b\u0107 strony jest kluczowa dla dzia\u0142ania organizacji skuteczny atak z u\u017cyciem exploita umo\u017cliwi r\u00f3wnie\u017c zaszyfrowanie jej zawarto\u015bci i szanta\u017c (klasyczny ransomware).<\/p>\n

    Luki dnia zerowego<\/h2>\n

    Ochron\u0105 przed exploitami<\/a> jest szybkie usuni\u0119cie podatno\u015bci przez producenta software\u2019u, zanim luka zostanie wykorzystana przez atakuj\u0105cych. Wysi\u0142ki zespo\u0142\u00f3w odpowiedzialnych za zabezpieczenia firmowych system\u00f3w IT koncentruj\u0105 si\u0119 zatem na szybkim pozyskiwaniu informacji o istniej\u0105cych lukach i natychmiastowej implementacji \u201e\u0142atek\u201d – patchy.<\/p>\n

    Luka dnia zerowego to b\u0142\u0105d w oprogramowaniu, kt\u00f3ry nie zosta\u0142 jeszcze zidentyfikowany i naprawiony. Je\u015bli luka zostanie wykryta przez cyberprzest\u0119pc\u00f3w, zanim producent oprogramowania usunie podatno\u015b\u0107, mo\u017cliwe jest skuteczne przeprowadzanie atak\u00f3w. Z tego powodu tradycyjne oprogramowanie antywirusowe i chroni\u0105ce przed malwarem nie b\u0119dzie w stanie ich zidentyfikowa\u0107. Organizacje i witryny, takie jak MITRE, NIST i vuldb.com prowadz\u0105 listy znanych krytycznych luk. Dopiero po wydaniu \u0142atki dla danej luki przestaje by\u0107 ju\u017c ona uwa\u017cana za luk\u0119 dnia zerowego.<\/p>\n

    Jednym z wa\u017cnych rozwi\u0105za\u0144 systemowych minimalizuj\u0105cymi ryzyko zwi\u0105zane z lukami dnia zerowego jest Zero Day Initiative (ZDI)2 <\/sup>podj\u0119ty przez Trend Micro, maj\u0105cy na celu nagradzanie os\u00f3b i zespo\u0142\u00f3w za odpowiedzialne ujawnianie luk w zabezpieczeniach. Sami producenci oprogramowania tak\u017ce bezpo\u015brednio nagradzaj\u0105 osoby przyczyniaj\u0105ce si\u0119 do wykrycia luk i przekazuj\u0105ce im informacje. Jednym z nagrodzonych jest Maciej Pulikowski, kt\u00f3ry w marcu 2021 otrzyma\u0142 od Google Chrome Bug Bounty nagrod\u0119 w wysoko\u015bci 5 tys. USD3<\/sup> za wykrycie podatno\u015bci w przegl\u0105darce.<\/p>\n

    Sytuacj\u0119 komplikuje jednak fakt, \u017ce profesjonali\u015bci wykrywaj\u0105cy luki w oprogramowaniu nie koniecznie dzia\u0142aj\u0105 po dobrej stronie i nie zawsze informuj\u0105 producent\u00f3w oprogramowania o wykrytych podatno\u015bciach. Skutkiem tego nie wszystkie firmy dostarczaj\u0105 \u0142atki na czas. Przyk\u0142adem mo\u017ce by\u0107 SolarWinds Orion, gdzie reakcja dostawcy nast\u0105pi\u0142a zbyt p\u00f3\u017ano. Przez kilka miesi\u0119cy, mi\u0119dzy marcem a majem 2020, szeroko dystrybuowany by\u0142 z\u0142o\u015bliwy kod znajduj\u0105cy si\u0119 w bibliotece tego oprogramowania. Ofiar\u0105 ataku, na skutek podatno\u015bci pad\u0142o m.in. ponad 425 firm z listy Fortune 5004<\/sup>, a tak\u017ce instytucje zajmuj\u0105ce si\u0119 bezpiecze\u0144stwem w USA.<\/a><\/p>\n

    Najpowa\u017cniejsze dziury w oprogramowaniu w 2020<\/h2>\n

    Zesp\u00f3\u0142 Radware  zajmuj\u0105cy si\u0119 lukami w zabezpieczeniach zbada\u0142 najpopularniejsze z exploit\u00f3w 2020 r5<\/sup>. Dane pochodz\u0105 z analizy ruchu zebranego za pomoc\u0105 Global Deception Network firmy Radware, kt\u00f3ra jest sieci\u0105 globalnie rozproszonych agent\u00f3w tzw. honeypot\u00f3w. Mowa tu o narz\u0119dziach, kt\u00f3rych celem jest przyci\u0105ganie uwagi atakuj\u0105cych. Honeypoty s\u0105 rodzajem przyn\u0119ty \u2013 wabikiem, powoduj\u0105cym, \u017ce cyberprzest\u0119pcy trac\u0105 czas na dzia\u0142ania, kt\u00f3re nie doprowadz\u0105 ich do rzeczywistej ofiary. Sie\u0107 Radware przyci\u0105ga setki tysi\u0119cy atakuj\u0105cych z r\u00f3\u017cnych adres\u00f3w IP, kt\u00f3re codziennie generuj\u0105 miliony zdarze\u0144. Algorytmy automatycznej analizy zapewniaj\u0105 wgl\u0105d i kategoryzacj\u0119 r\u00f3\u017cnych typ\u00f3w z\u0142o\u015bliwej aktywno\u015bci, od rozpoznania, poprzez pr\u00f3by brutalnego \u0142amania has\u0142a, po wstrzykni\u0119cia kodu i jego wykonanie \u2013 Remote Code Execution – RCE.<\/p>\n

    Na pierwszym miejscu listy Radware znalaz\u0142 si\u0119 exploit \/ ws \/ v1 \/ cluster \/ apps \/ new-application odpowiedzialny a\u017c za 74,9% wszystkich odwiedzin serwis\u00f3w honeypot. Ma on za zadanie wykonanie nieuwierzytelnionych polece\u0144 w Apache Hadoop za po\u015brednictwem YARN ResourceManager6<\/sup>. Hadoop jest platform\u0105 open source przeznaczon\u0105 dla aplikacji Big Data dzia\u0142aj\u0105cych w systemach klastrowych. Jak nietrudno si\u0119 domy\u015bli\u0107 cyberprzest\u0119pcy korzystaj\u0105 z tej luki, by zdobywa\u0107 nielegalnie dane. Podatno\u015b\u0107 znana jest od 2018 roku i zosta\u0142a za\u0142atana w nowych wersjach Hadoop7<\/sup>.<\/p>\n

    Na drugim miejscu sklasyfikowano exploit \/ manager \/ html odpowiedzialny za 11,3% wszystkich odwiedzin w serwisach Radware. Celem ataku jest Apache Tomcat b\u0119d\u0105cy serwerem www typu open source http, napisanym w Javie i s\u0142u\u017c\u0105cym do udost\u0119pniania aplikacji webowych w sieci.<\/p>\n

    Trzecie miejsce pod wzgl\u0119dem cz\u0119sto\u015bci u\u017cycia przypad\u0142o exploitowi \/ level \/ 15 \/ exec \/ – \/ sh \/ run \/ CR, kt\u00f3ry przyci\u0105gn\u0105\u0142 6,9% wszystkich odwiedzin serwis\u00f3w internetowych Radware. Pozwala on na dost\u0119p do router\u00f3w Cisco bez uwierzytelniania w interfejsie HTTP. Luka ta jest bardzo stara, bo pochodzi z sierpnia 2002 r. Mimo to atakuj\u0105cy wci\u0105\u017c pr\u00f3buj\u0105 znale\u017a\u0107 niechronione routery Cisco.<\/a><\/p>\n

    Jak broni\u0107 si\u0119 przed exploitami?<\/h2>\n

    O ile ochrona przed podatno\u015bciami w og\u00f3le wymaga przede wszystkim dyscypliny i sumienno\u015bci w mo\u017cliwie jak najszybszej implementacji \u0142atek dostarczanych przez producent\u00f3w oprogramowania, o tyle nie zabezpiecza ona przed lukami dnia zerowego. Mimo to istnieje kilka dzia\u0142a\u0144, kt\u00f3re wprawdzie nie eliminuj\u0105 ryzyka ca\u0142kowicie, ale mog\u0105 je znacz\u0105co zminimalizowa\u0107. Przyk\u0142adowo, warto zaimplementowa\u0107 2FA (two-factor authentication) wsz\u0119dzie tam, gdzie to mo\u017cliwe, aby ograniczy\u0107 ryzyko atak\u00f3w wykorzystuj\u0105cych luki w identyfikacji to\u017csamo\u015bci. Kluczowe mo\u017ce by\u0107 jednak powierzenie opieki nad systemami wyspecjalizowanym zespo\u0142om zajmuj\u0105cym si\u0119 cyberbezpiecze\u0144stwem.<\/p>\n

    Wykrywanie pr\u00f3b atak\u00f3w wykorzystuj\u0105cych podatno\u015bci, zw\u0142aszcza tych, kt\u00f3re nie zosta\u0142y jeszcze publicznie ujawnione, wymaga ogromnej wiedzy i do\u015bwiadczenia. Pierwsze oznaki naruszenia mog\u0105 obejmowa\u0107 nietypowe logowania lub \u015blady dzia\u0142ania narz\u0119dzi hakerskich. T-Mobile dostarcza us\u0142ug\u0119 sta\u0142ego monitoringu zespo\u0142\u00f3w bezpiecze\u0144stwa w ramach Security Operations Center (SOC)<\/a>, dzia\u0142aj\u0105c\u0105 24\/7<\/strong>. Us\u0142ugi SOC pomagaj\u0105 identyfikowa\u0107 i powstrzymywa\u0107 ataki, kt\u00f3re mog\u0105 prowadzi\u0107 do wycieku danych lub przej\u0119cia kontroli nad aplikacjami.<\/p>\n

    W ramach SOC dost\u0119pne s\u0105 rozwi\u0105zania wspieraj\u0105ce zarz\u0105dzanie podatno\u015bciami (Vulnerability Management). Dzi\u0119ki zaawansowanym narz\u0119dziom eksperci analizuj\u0105, wykrywaj\u0105 i wskazuj\u0105 podatno\u015bci system\u00f3w operacyjnych oraz aplikacji dzia\u0142aj\u0105cych na serwerach i urz\u0105dzeniach ko\u0144cowych. Dodatkowo dostarczane raporty wskazuj\u0105 zalecane dzia\u0142ania, takie jak zastosowanie odpowiednich poprawek (patchy), wymiana \u201edziurawego\u201d oprogramowania na bezpieczniejsz\u0105 wersj\u0119 lub wdro\u017cenie niezb\u0119dnych aktualizacji systemowych<\/strong>.\n<\/p>\n

    Podsumowanie<\/h3>\n