Kaip nulinės dienos pažeidžiamumas padėjo užkirsti kelią „Coinbase“? Kaip tai buvo užkirstas kelias?

„Coinbase“ – viena didžiausių kriptovaliutų mainų JAV – buvo užpultos užpuolikų 2019 m. Gegužės – birželio mėn. Laimei, „Coinbase“ sužlugdė ataką – „sudėtingą, labai tikslingą, apgalvotą išpuolį“. Monetų bazė.

Ataka buvo siekiama pakenkti jos sistemoms, siekiant patekti į jos vartotojų lėšas – kriptovaliutas, kurių vertė milijardai dolerių. Ataka buvo suplanuota naudojant dvi nulinės dienos spragas „Mozilla Firefox“ (atviro kodo žiniatinklio naršyklėje). Tačiau jos komanda laiku aptiko ir sustabdė ataką.

Tai priveda prie klausimo: kas yra nulinės dienos pažeidžiamumas ir kaip galima nuo jų apsiginti? Šiame pranešime rasime jų atsakymus po vieną.

Kas yra nulio dienos pažeidžiamumas?

Nulinės dienos išnaudojimas (taip pat žinomas kaip 0 dienos) – Pažeidžiamumas yra programinės įrangos pažeidžiamumas, kurio nežinia ar nepaiso susijusios šalys. Kadangi pažeidžiamumas dar nėra žinomas ar pašalintas, kompiuterių įsilaužėliai gali pasinaudoti šia galimybe pasinaudoti pažeidžiamumu, kad pažeistų programinę įrangą, jos duomenis ar prijungtas mašinas ar tinklus. Vadinasi, šis išpuolis ar išnaudojimas yra žinomas kaip nulio dienos išpuolis arba nulio dienos išnaudojimas, nes jie abu naudoja nulinės dienos pažeidžiamumą.

Kas yra programinės įrangos pažeidžiamumas? Klaida ar pažeidžiamumas yra programinės įrangos ar operacinės sistemos trūkumas. Pagrindinė klaidos ar trūkumo priežastis gali būti kūrimo klaida arba netinkama konfigūracija. Bet kuriuo atveju dėl pažeidžiamumo, jei jis nėra pašalintas ar nepataisytas, atsiranda saugumo spraga, kuria gali pasinaudoti kibernetiniai nusikaltėliai.

Kaip išnaudojamas pažeidžiamumas? „Įsilaužėliai rašo kodą, kad nukreiptų į konkretų saugumo trūkumą. Jie pakuoja ją į kenkėjišką programą, vadinamą nulinės dienos išnaudojimu. Kenkėjiška programinė įranga pasinaudoja pažeidžiamumu, kad pažeistų kompiuterio sistemą ar sukeltų nenumatytą elgesį “, – teigia Nortonas – saugumo ekspertas.

Išnaudojimas gali pakenkti jūsų sistemai, siekdamas ją valdyti, uždaryti iš jos, šnipinėti savo skaitmeninę veiklą, pavogti ar užrakinti duomenis išpirkai ir pan. Be to, toks išnaudojimas gali būti tiesiogiai platinamas per užkrėstą laikmeną ar svetaines ir pašto adresų sąrašus arba kartu su kitų rūšių išpuoliais, kad būtų galima pradėti sudėtingesnę ataką – kaip buvo išpuolio prieš „Coinbase“ atveju.

Kaip buvo užpultas „Coinbase“?

Atakoje buvo panaudotos įvairios strategijos – ieties sukčiavimas ir socialinė inžinerija kartu su dviem nulinės dienos pažeidžiamumais. Gegužės pabaigoje užpuolikai išsiuntė keletą sukčiavimo el. Laiškų iš Kembridžo universiteto mokslinių tyrimų stipendijų administratoriaus Gregory Harriso. Šiuose el. Laiškuose nebuvo jokių priedų ar nuorodų ir jie išlaikė visus saugos testus. Taigi jie gavėjams atrodė teisėti.

Tačiau; „Birželio 17 d. 6:31 val. Gregory Harrisas išsiuntė kitą el. Laišką, tačiau šis buvo kitoks. Jame buvo URL, kurį atidarius „Firefox“ bus įdiegta kenkėjiška programa, galinti perimti kieno nors mašiną. „Coinbase Security“ greitai atrado, kad šie el. Laiškai buvo ne kas kita, o įprasti … Per kelias valandas „Coinbase Security“ aptiko ir užblokavo ataką “, – rašė„ Coinbase “..

Užpuolikai šiai atakai sujungė du nulinės dienos pažeidžiamumus. Pirmasis leido užpuolikui kelti privilegijas iš puslapio į naršyklę naudojant „JavaScript“ (CVE-2019–11707). Kitas leido užpuolikui pažeisti naršyklės smėlio dėžę paleisti kodą pagrindiniame kompiuteryje (CVE-2019–11708). Kaip sakyta aukščiau, šios nulinės dienos pažeidžiamumai buvo nukreipti į „Mozilla Firefox“.

Kaip „Coinbase“ ją gynė?

„Coinbase“ tikėjosi išpuolio; jis buvo paruoštas su atakų aptikimo ir reagavimo strategija. Štai kodėl jis sugebėjo sugadinti ataką. „Mes sugebėjome apsiginti nuo šio išpuolio dėl savo saugumo principo„ Coinbase “, visiško aptikimo ir reagavimo įrankių įdiegimo, aiškių ir gerai praktikuojamų grojaraščių bei galimybės greitai atšaukti prieigą“, – teigia „Coinbase“..

Visų pirma, „Coinbase“ savo darbuotojams rengia saugumo mokymus. Pirmą kartą užpuolimą pastebėjo ir pranešė vienas iš darbuotojų. Be to, tai buvo pažymėta jų atakų aptikimo sistema. Tada jų apsaugos komanda ištyrė aptariamo darbuotojo mašiną. Jie nustatė, kad „Mozilla Firefox“ surengė garbaną – tai populiarus įrankis duomenims perduoti per įvairius protokolus, įskaitant HTTP.

Tai buvo pakankamai įtartina, kad jie suprastų, jog ieško atakos. Jie bandė rasti atakos mastą, tada jie ištyrė savo tinklus dėl įtartinos veiklos. Tada galiausiai jie išskyrė ataką prieš pažeistą mašiną, panaikindami visus įgaliojimus ir užrakindami visas susijusio darbuotojo sąskaitas. Taip jie sugebėjo suvaldyti ataką.

Kaip išvengti nulinės dienos išnaudojimo?

Yra įvairių rūšių gynybos būdai, skirti aptikti ir apsiginti nuo nulio dienos išnaudojimų. „Mokslininkų bendruomenė gynybos metodus nuo nulio dienos išnaudojimo plačiai priskyrė prie statistikos, parašo, elgesio ir hibridinių metodų (Kaur & Singhas, 2014). Pagrindinis kiekvieno iš šių būdų tikslas yra nustatyti išnaudojimą realiuoju laiku arba kuo arčiau realaus laiko ir karantinuoti konkretų išpuolį, kad būtų pašalinta ar sumažinta išpuolio padaryta žala “, SANS instituto baltraštis.

Tačiau jums nereikia taikyti visų šių gynybos metodų, tačiau turite patvirtinti, kad jūsų saugumo sprendimas įgyvendina šias technikas. Vis dėlto aptarkime pagrindines priemones, kurių turite imtis savo organizacijoje.

1. Atnaujinkite savo sistemas

Kadangi „nulinės dienos“ išnaudojimai grindžiami naujais arba nepašalintais pažeidžiamumais, geriausia reguliariai atnaujinti programinę įrangą ir operacinę sistemą. Jei pleistras yra, užpuolikai suranda mašinas su nepatvirtinta programine įranga ir nukreipia jas.

Taip buvo su „Heartbleed“ – kritine „OpenSSL“ klaida, atviro kodo kriptografine biblioteka, diegiančia SSL / TLS (šifravimo metodiką, naudojamą saugant internetą). „Dabar šiek tiek daugiau nei du mėnesius po„ Heartbleed “mes nuskenavome … radome 300 tūkst. (309 197) vis dar pažeidžiamus“, – rašė „Errata Security“.

2. Ieškokite pažeidžiamumų

Nepakanka tik atnaujinti sistemas; turite nuskaityti pažeidžiamumą, nes jie gali nustatyti nulio dienos pažeidžiamumus. Tokie sprendimai imituoja atakas ir atlieka atitinkamos programinės įrangos kodų peržiūras (tarkime, po atnaujinimo), kad rastų naujų pažeidžiamumų. Jei randama pažeidžiamumas, saugos komanda turi atlikti kodo peržiūras, išbandyti programinę įrangą ir greitai išvalyti pažeidžiamą kodą.

Daugeliu atvejų organizacijos lėtai reaguoja į tokias saugumo ataskaitas, o tai dažniausiai lemia sėkmingą ataką. Kodėl? Užpuolikai dažniausiai skuba pasinaudoti nulinės dienos pažeidžiamumu, kaip buvo užpuolimo „Coinbase“ atveju. Taip buvo ir su „Equifax“ – kredito biuru JAV. „Equifax“ saugos komanda du mėnesius lėtai užtaisė „Apache Struts“ klaidą, dėl kurios buvo pažeisti jos 147 milijonai klientų, įskaitant jų asmens duomenis..

3. Pasirinkite „App Firewall“

Tinklo programų užkarda (WAF) yra specializuota užkarda, veikianti kaip skydas tarp jūsų programinės įrangos ir kenkėjiškų veikėjų interneto. Jis stebi srautą, nukreipiamą į jūsų programą, kad aptiktų ir užblokuotų kenkėjišką srautą.

WAF apsaugo nuo kritiškiausių saugumo rizikų ir pažeidžiamumų, įskaitant pažeidimus, kurie įvyksta be dienos. Paprastai jis įgyvendina kai kurias atakų aptikimo ir atakų patvirtinimo funkcijas, kurios padeda išfiltruoti atakas. Tada ji taip pat gali būti integruota su kitais saugumo sprendimais ir pateikti skėtinį sprendimą.

Viskas apie nulio dienos pažeidžiamumą ir tai, kaip galite apsisaugoti nuo nulio dienos išnaudojimų.