U periodu između juna 2004. i marta 2005. godine u Grčkoj se dogodio skandal. Možda ste čuli nešto o tome, a ipak možda i ne, naime, radi se tome da je mobilni telefon premijera Grčke Kostasa Karamanalisa bio prisluškivan. Pored njega, prisluškivano je još 100 ljudi, zvaničnika, novinara, čak i jednog radnika u ambasadi Sjedinjenih Država.
Interesantna činjenica koja je meni privukla pažnju je ta što prisluškivanje i snimanje razgovora nije radila nikakva vladina agencija ili tajna služba, prisluškivanje je radila nepoznata osoba koja je uspela da instalira maliciozni softver u bazne stanice Grčkog mobilnog operatera Vodafona. Uspeli napad na informacionu strukturu mobilnog operatera bi prošao nežapaženo ko zna još koliko da nije menjana sama oprema. Napad je bio krajnje sofisticiran, verovatno jedan od naprednijih o kojima sam čuo. Očigledno je napadač imao jake razloge da razvije softver kojim je uspeo da koristeći radio signal kao medijum za prenos podataka iskoristi propust u sistemu baznih stanica i da instalira maliciozni program. Ne moram vam reći koliko je vremena i znanja potrebno napraviti neki takav program. Za tako nešto su potrebni meseci ako ne i godine rada, jer do sada to niko nije uradio niti se upuštao u tu priču.
Verovatno se pitate zašto ovo pišem i kakve to veze ima sa mobilnim operaterom na slici. Razlog je očigledan, i naš operater ima sličnih problema. Iako ne znam da je neko postavio takav softver u sistem MTS-a, vrlo je moguće. Čak mu za to ne treba znanje programiranja, nisu potrebni meseci ili godine, dovoljno je da samo odšeta u neko od prodajnih mesta ovog operatera, ponese sa sobom olovku i papir, zapiše sve šta mu treba, ode na najbližu lokaciju sa besplatnim bežičnim pristupom i započne svoju igru, verovatno onu koju najviše voli. On je u tom trenutku Bog, onaj koji kontroliše, onaj koji uništava.
Da skratim priču i najzad kažem o čemu se ovde radi. Bio sam do prodajnog mesta MTS-a kako bih zasnovao korisnički ugovor sa njima i postao postpaid korisnik, međutim ono što sam video me je dosta šokiralo. Korisnička imena koja služe za autentifikaciju na sistem MTS-a stoje zalepljeni na stolovima zajedno sa važećim siframa. Da li su radnici koji rade tamo needukovani ili je to možda politika firme to ne znam, ali znam da svi naši podaci o uplatama, stanju na računima i ostali koji idu uz sve to su obezbeđeni od napadača samo korišćenjem VPN-a iliti Virtuelne Privatne Mreže...
Šta ovo znači? Ovo znači da svako iole upućen u kompjutersku sigurnost može videti, brisati ili u najgorem slučaju menjati vaše podatke.
Kako? Pa i nije neki problem... Evo i jedan primer kako se mogu primeniti informacije koje smo prepisali...
Na svim prodajnim mestima MTS-a kupac ili neko ko se zatekne tu moze videti monitor, dakle sta sam ja video tamo? Video sam Internet Explorer, video sam Outlook Express, i video sam Oracle klijent. Sve to lepo zapakovano pod okriljem Windows XP-a.
Da bi smo uspešno izveli napad potrebna nam je e-mail adresa nekog od radnika tamo, kako bi smo poslali exploit kojim napravimo konekciju na naš računar i tako zaobidjemo zaštitu koju sam pominjao, dakle tako smo zaobišli VPN. Kako doći do e-mail adrese nekog radnika tamo? Ja sam lepo pitao i čovek mi je sa zadovoljstvom dao.
Nakon zaobilaženja VPN-a pokrenućemo browser na tom raćunaru, naravno u pozadini koristeći neki od servisa kao što su remote assistant ili mozda VNC. Uneti adresu mts.dileri.telekom.yu, unesemo korisničko ime i sifru koju smo prepisali prilikom posete i to je to.
Dobili smo pristup internoj aplikaciji telekoma... Zar to nije divno... Odatle sva vrata su otvorena.
Uopšteno gledajuci, sigurnost informacionih sistema kod nas u zemlji je katastrofalna. Uglavnom se zasniva na skrivanju arhitekture sistema. Potrebno je edukovati kadar, ulagati u infrastrukturu...
14 comments:
Dobro, exploit se zasniva na najslabijem faktoru sigurnosti svuda na ljudima.
Verujem da je dovoljno pozvati telefonom nekog od zaposlenih, predstaviti se kao radnik tehnicke sluzbe i traziti password...
Pozdrav za novog blogera
Fotomanijak
Ovo je odlicno sto si objavio. Mada bi bilo dobro da si sve to "pospesio" i jednim "dobronamernim" upadom i dokumentovao screenshotovima.
Ne zbog mene, nego da bi vest imala "vecu tezinu" i lakse se prosirila.
Naravno, pitanje je da li bi hteo to sve objaviti pod tvojim imenom :)) Ako te brine anonimnost javi se ;)
Super ti je ideja za blog. Svakako treba podići svest korisnika računara po pitanju security-a a naročito zaposlenih u firmama.
svaka cast na postu
pozdrav
@Pedja, zakonska regulativa ne dozvoljava bilo koju takvu pricu kod nas. Anonimnost nije problem... ;)
Zero-day napad na MTS mrezu putem phishinga i instalacije posebno kreiranog exploita ne bi bio neki narocit problem da isti taj MTS nema jos neke vrlo zanimljive sisteme kojima se brani od instalacije i izvrsavanja takvih aplikacija...
Pitanje je samo prema kome u MTS-u bi napadac uputio svoj pokusaj phishinga, zbog striktnih role-based polisa njihovih aplikacija i na bazi toga odredjenih privilegija... Verovatno bi do rezultata najlakse
stigao onaj koji bi od sveg "hakeraja" i "trojanisanja" lepo zapisao user/pass nekog operatera iz MTS poslovnice, samo je ipak malo naivno da bi preko VNC-a, na primer, mogao da i "prismrdi" njihovoj mrezi...
Ne kazem da su sanse za nanosenje stete male, ali zelim da kazem da mnogo toga ili ne znas o MTS-ovim sistemima sigurnosti (ne znam ni ja mnogo toga, niti bi trebalo) ili nisi zeleo da ovde iznosis neke detalje o tome koje znas, vec si hteo samo da malo nalozis masu onim sto mi u antivirusnoj industriji zovemo horror story.
E, u tom smislu te podrzavam iz cisto materijalnih razloga :) Samo plasi narod!!
Dragi Katilovicu, vidim da ili nisi razumeo moj blog, ili volish da se pravish pametan, kao i svi iz antivirusne branshe... Elem, posto nisi upucen u te "vrlo zanimljive sisteme" zastite, molio bih te da zadrzish svoje misljenje dok se bar ne upoznash sa njima. Ja u blogu nigde nisam pominjao trijance i phishing, tako da ne znam odakle ti ta ideja. Ako malo bolje zagledash u tekst, videcesh da samo pominjao exploataciju oracle servisa, i samim tim se sve role based polise zaobilaze.
I sem toga exploit nije program koji se instalira. Pogledaj na wikipediji...
Molio bih te da pre postovanja prvo procitash ceo tekst.
Pozdrav.
nice found :)
pozz
Bogu hvala na moderaciji komentara, a? Nema veze, eno ga na http://samomalo.hermani.info/?p=352#comments pa nek ljudi uzivaju u tvojem profesionalizmu...
Ja ne kapiram dve stvari, odakle ti stranica za login zaposlenih i zashto ona ne radi ? (mislim na mts.dileri.telekom.yu)
Bilo bi lepo da si prvo ti upao u mts napravio par screenshota i obavestio mts da imaju ozbiljan sigurnosni propust.
@katilovic,
svi tvoji komentari su objavljeni, a moderacija je stavljena zbog spama. Drago mi je da si bar pomenuo celu pricu, iako ne verujesh da je sve to moguce...
@Mladen, aplikacija na adresi mts.dileri.telekom.yu je interna i pristupa joj se kroz VPN. Zato je u tekstu bilo reci o slanju maila radniku na prodajnom mestu MTS-a i preuzimanju prvo njegove radne stanice, pa onda odatle moze da se izvrsi reversni dns lookup i pogleda sta sve od internih aplikacija imaju...
A kao sto sam vec rekao, zbog zakonske regulative nije bilo moguce dati detaljnije informacije.
E sad, možda ima u telekomu možda nema. Jel ima ili nema ... ovo je rekla kazala i šta bi bilo kad bi bilo.
@Anonymous, procitaj ponovo pa zakljuci sam...
ili josh bolje, probaj...
Kako seru neki ljudi, to je strašno...
Blog me je oduševio i evo već je bookmarkovan! :)
Post a Comment