Atacurile cibernetice explicate

Pentru că în ultima perioadă văd prin media aruncate aceste atacuri cibernetice ca fiind un pericol apărut din neant, aș vrea să explic puțin ce sunt și mai ales de ce eu consider știrile astea ca fiind o fentă.

Simplist, internetul este alcătuit dintr-o rețea de cabluri interconectate fizic, continentele și insulele fiind în general unite între ele prin cabluri submarine. Poziția majorității acestor cabluri este bine cunoscută, aici puteți vedea cablurile submarine.

Această rețea fizică este administrată de mai multe instituții (IANA, ICANN), iar doar acestea pot să emită adrese IP publice.

Adresele IP sunt numerele (sau numere + caractere) unice care identifică un dispozitiv (calculator, telefon, server, frigider) conectat la o rețea, în cazul internet, avem nevoie de o adresă IP publică, emisă de cele mai multe ori de un ISP (Internet Service Provider), dar mai sunt și alte organizații care pot emite IP-uri publice. Orice ISP din lume are alocate un număr binecunoscut de IP-uri, asta face posibilă și identificarea emitentului unui astfel de IP.

Acum de ce este importanta teoria asta: orice IP poate fi localizat ca aparținand unei țări sau organizații, putem de multe ori afla și toate nodurile din rețea prin care călătoresc datele. Iar exact aceste informații sunt folosite și în momentul când “atacatorii” doresc să efectueze un “atac cibernetic” clasic. Iar orice domeniu de pe web are nevoie de unul sau multe IP-uri asociate pentru a putea fi accesat.

În momentul când vizitam zoso.ro de exemplu, putem obține foarte ușor IP-ul în spatele căruia funcționează programul, sau așa-zisul web server, care ne arată nouă în browser topoare sș fashion.

Una din cele mai răspândite solutii de web-server este bazată pe limbajul de programare PHP și se numește WordPress. All good până aici, cu excepția faptului că PHP este un limbaj de programare foarte vulnerabil și în trecut s-a dovedit relativ ușor de compromis prin varii tehnici.

Un atac este de obicei lansat către o listă destul de mare de IP-uri, în funcție de regiune, țară sau ce alte criterii are atacatorul. Pe scurt, fiecare IP este scanat folosind tot felul de programe specifice, care în cea mai simplă formă încearcă să acceseze pagini/zone de pe un server care nu sunt securizate, dar și pagini gen login, creare cont și altele.

Odată găsite, atacatorul încearcă prin alte programe, tot automat de regulă, să introducă combinații user/parolă sau chiar cod PHP care fie să îi permită să se autentifice, fie să introducă niște cod malițios, cum îi spunem noi, în serverul respectiv sau, în cazul în care avem un sistem de operare, să acceseze așa numite “backdoors” (zone nesecurizate) pentru a avea acces în server pentru a rula alte scripturi interesante. Ceva amuzant: ce se întâmpla când conectezi Windows XP la internet în 2024.

De multe ori, un atacator nu face neapărat rău serverului infectat, ci poate alege să instaleze anumite programe care doar ascultă la un semnal venit de la un server central, iar în momentul când primesc semnalul vor executa anumite programe, uneori și după luni de la infectare. Tipul asta de acțiune se numește command-and-control, serverul central dând comanda de start la nevoie.

Acum, pentru a lansa un cyber atack avem două modalități de execuție: prima prin închirierea de servere virtuale, ceea ce costă cam de la 3 USD/lună, sau și mai profitabil, prin folosirea calculatoarelor deja infectate prin diverse metode, printre care și cea descrisa mai devreme.

Iar pentru că avem acum acces la niste calculatoare gratis de folosit, putem rula aceste scannere permanent pentru a încerca a găsi noi vulnerabilități în orice nou server atașat la un IP/domeniu cunoscut.

Orice persoana cu expunere în zona de webservere ne poate confirma că avem zilnic mii sau chiar zeci de mii de astfel de scanuri cam pe orice este public.

Și asta se întâmpla global, așa că eu spun că cel puțin o parte din “atacurile cibernetice” pomenite prin media sunt de fapt ceva perfect obișnuit și așteptat cam de oricine are ceva experiență în domeniu.

Este un domeniu foarte vast și eu am acoperit doar o mică parte a tipurilor de atac și de infectare.

 

cyber-attack

Mulțumesc că ai citit acest articol.
Dacă vrei să susții acest blog, cumpără un abonament de 5$

43 comentarii

  1. All good până aici, cu excepția faptului că PHP este un limbaj de programare foarte vulnerabil și în trecut s-a dovedit relativ ușor de compromis prin varii tehnici.

    Nu mai scrie articole despre „atacuri cibernetice”, dacă doar atât te duce mintea.

    • nu fi carcotas, sunt multe site uri care nu au input sanitising chiar si acum. La alea se refera. Nu ti a insultat limbajul preferat

      Comentariu apreciat.8015
    • Ba este o formulare incorectă, ce treabă are limbajul cu faptul că unii nu știu să-l folosească corect?

      Este ca și cum ai spune sa nu îți cumperi o casă în Suedia că sunt vulnerabile casele acolo din cauza că suedezii nu obișnuiesc să încuie ușile

      Comentariu apreciat.5818
    • nu va luati dupa fenta, toata lumea stie ca de fapt nu trebuie sa-ti iei casa in Suedia din cauza suedejilor.

      Comentariu apreciat.1130
    • Si serverele-s vulnerabile, ar trebui sa nu mai folosim servere, nici internet …. sa nu mai zic de cabluri ce vulnerabile-s …

      131
  2. Buna intentia, domnu’ znuff zice el ceva, dar le putem pune la ideea „pe intelesul tuturor”. Istoric vorbind, omul are dreptate, in ultimul timp s-a mai lucrat la asta, dar programatorii au ramas aceiasi :)

    Eu as adauga inca o idee, de sezon cu toate stirile legate de „conturi”, mai ales vechi. O linie de atac foarte veche, triviala dar cu impact mare este simpla „incercare de parole”. Se incearca combinatii de useri si parole, fie din leakuri, fie pe baza de dictionar (cu sau fara reguli) pentru a incerca „ghicirea” parolelor. Pentru ca, istoric vorbind, foarte multi oameni folosesc aceeasi parola la toate conturile, odata leakuita o baza de date, se poate ajunge la compromiterea altor conturi pe alte platforme.

    Conturile astea sunt bagate in „retele” si folosite atunci cand e nevoie. De aia uneori arata ca persoane reale, dar posteaza pe grupuri romanesti desi au poze de prin asia. Sau invers. Internetul e global.

    Asa ca, atunci cand cititi stiri de genul sute de conturi create in 2016, parte din ele au fost create special cu scopul de a fi folosite in ferme, parte din ele sunt conturi vechi ale unor persoane care intre timp au fost „compromise” de diversi oameni cu diverse glugi pe cap.

    Ce puteti face voi este sa folositi un manager de parole, sa nu folositi aceeasi parola in fiecare loc, si sa va activati diversele metode de protectie (2fa, biometrice, etc).

    Indecis. Tu ce zici?297
    • Aaaaa… Lastpass o fi bun ca gestionat de parole?

      30
    • eu nu stiu cate parole leakuite mai ajuta cu … orice

      daca vreau sa ma conectez pe sistemul meu cu un cont de yahoo, trebuie sa-i dau codul venit pe un gmail, daca incerc acelasi cont de gmail pe acelasi pc – imi cere un sms

      si am pe calc de acasa vreo 6 conturi de yahoo ciclate pe diverse servicii, sa evit spam-ul pe contul principal de gmail, idem la gmail-uri imi cere confirmarea confirmarii ca s-a confirmat

      am facut un gmail pt. chirie unde am tras toate conturile de utilitati, facturi, etc sa il pot da la proprietar cand plec sa nu trebuiasca sa se plimbe pe la diverse firme sa modifice adresa de email, si am pierdut jumate de ora cu google pt. muta acel cont pe telefonul (ca aparat) noului chirias, bonus recovery-ul de cont de mutat de pe nr meu pe nr lui. ca sa fiu sigur ca nu ramane inchis de langa, am exportat si i-am dat un set de coduri de siguranta

      acum daca vrei cont nou de google, trebuie sa dai si nr de la sosete, si daca nu ai telefon atunci nu primesti nimic pe ideea ca unu care sta doar la calculator sigur are si telefon, eventual un telefon pe care nu a fost inregistrat niciodata un cont de google – da fail ca „utilizat de prea multe ori” (nr unui prieten avea 2 conturi facute pe nr ala)

      01
  3. Niște termeni aruncați random. E diferență când un atacator e script kidie, grupare de ransom sau actor statal. Contează și scopul, un pusti care doar se joaca, o grupare ca vrea sa obțină milioane de dolari sau un actor statal care vrea sa fure date sensibile sau sa blocheze sisteme. Dar articolul asta e… php vulnerabil. Lol, orice limbaj de programare e vulnerabil, dacă codul nu este securizat. Atacatorii vor alege sa instaleze programe care sa execute alte programe… Vor instala programe care sa execute comenzi. Dar, autorul a sărit de la a explica cum functioneaza un website și a ajuns la server de comanda și control…

    Comentariu apreciat.4112
    • Nu e despre PHP articolul, ala e doar un limbaj de programare ca multe altele, dar care in trecut venea cu eval() activat, ceea ce permitea rularea de cod random in locul unde era instalat php. Vulnerabilitatile de orice fel sunt un vector de atac cu scopul de a instala programe care sa faca chestii pe un calculator compromis.

      135
    • sunteti asa de amuzanti ca v ati atacat ca a zis ceva de limbajul vostru preferat. Nu aia era ideea

      Indecis. Tu ce zici?3513
    • Nu doar ca s-au atacat, dar nici n-au dreptate :)

      Informatia e la un search si-un click distanta. Dar, asa cum ziceam zilele trecute, e greu sa zici „my bad, am gresit”. Mai ales pe-nternet. Mai ales cand „esti colegul priceput” al sefului cu topoarele. Si ne-ntrebam dupa aia de ce e tara cum e. Pai uite, ca ne certam ca chiorii pe detalii, cand tara arde. Si nu acceptam neam ca poate, totusi, gresim. Mai ales cand e usor de verificat.

      Indecis. Tu ce zici?1813
    • Era mai util dacă prezenta cum se realizează un atac fără tehnicalitati, cu etape și obiective. Nu sunt programator, doar zic ca toate limbajele sunt „vulnerabile” dacă codul nu e scris bine. Blogul lui zoso folosește wordpress, care e scris în php, asta apropo de php e un limbaj de cacat. Lumea are impresia ca aplicațiile sunt vulnerabile, când de fapt, de multe ori sunt erori de configurare, sau credentiale slabe, cum ar fi admin / admin, lipsa mfa pentru chestii critice sau utilizatori imbecili care pica la phishing. E amuzant sa afli ca firma ta a fost compromisă și te-ai fi așteptat sa fie un atac sofisticat, când de fapt, Ioana de la hr a primit un mail de it-admin@hdowjchda.com care ii spunea ca are o problema și trebuie sa instaleze anydesk. Și cum Ioana a avut nevoie la un moment dat sa instaleze spotify și un pdf reader, iar Andrei de la IT a zis ca e ocupat și mai bine ii face un local admin account ca să nu îl mai streseze Ioana niciodată. Și uite asa hackerul nostru a intrat in rețea și de acolo a început sa se joace.

      Comentariu apreciat.314
    • Andrei de la IT a zis ca e ocupat și mai bine ii face un local admin account ca să nu îl mai streseze Ioana niciodată.

      Andrei de la IT ar trebui ținut măcar 6 luni departe de tastatură în compania aia.
      De exemplu poate schimba tonerele în imprimante și poate mufa și eticheta cabluri de rețea.

      /s

      62
    • e bine daca exista un Andrei de la IT. Sunt multe firme mici unde se ocupa un nepot al patronului sau in marile corporatii unde s-a migrat IT supportul catre India.

      91
  4. Pentru domnii pehaspisti loviti in aripa, studiu din 2019:

    > PHPs popularity has been in decline for the past few years. Throughout, the number of vulnerabilities has been the second highest of all the languages that we’ve included in this list, rising and falling in cycles since 2009, with a sharp increase in vulnerabilities in 2017.

    > PHP shares three of Ruby’s top 4 most common CWEs, with XSS at the top. However, PHP is the only language with SQL Injection (CWE-89) vulnerabilities featured so prominently at the top of the list.

    > Many security experts would expect SQL injection vulnerabilities to be a thing of the past, however, this is not the case for PHP, where the SQL injection vulnerabilities have been common for years.

    > These issues are continuing to increase, and the number of SQL Injection vulnerabilities has been particularly high in 2017 and 2018.

    1511
    • vulnerabilitatile phpului nu au treaba decat 10% cu limbajul in sine, 90% vin din cat de simplu e limbajul. Cu cat limbajul e mai simplu => cu atat e mai popular => cu atat mai multi idioti lucreaza in el. Cum it-istii sunt niste blue-collar care au ca singur scop sa livreze cat mai rapid ca sa nu „ia bataie” de la stapan, evident ca simplu devine automat si vulnerabil.

      1711
    • Apa e uda doar 10% pentru ca e apa, restul de 90% vine din faptul ca sta inconjurata de apa, care de fapt aia e uda.

      199
    • @Andrei: Citesti articole din 2018.

      119
  5. Niște generalități aruncate din burtă de un itist plictisit. Poate ar fi mai bine să ne arăți cv-ul ca să știm ce te recomandă să-ți dai cu părerea despre așa ceva.

    Indecis. Tu ce zici?2915
  6. Ideea astăzi este sa bagi sintagma “actor statal” … altfel textul nu are valoare.

    Comentariu apreciat.291
    • Avem deja, APT – Advanced Persistent Threat. Care de obicei implica actori statali, sau adiacenti. Din pacate omul si-a luat timp sa scrie un text care voia in mare sa spuna „nu toate atacurile sunt targetate, si nu tot ce apare in loguri e oculta mondiala patru chan”, dar s-au poticnit cativa la exprimare si pehaspeu.

      172
  7. Deja ai luat viteză prea mare. Aici nu e vorba de atac cibernetic, că nu au fost alterate digital cifrele cu numarul de voturi, ci a fost influențat neuronul unor minți leneșe care au introdus votul cu mînuța lor.

    Indecis. Tu ce zici?256
  8. Offtopic – toata discutia asta seamana cu abordarea USR asupra problemelor, in care se lupta ei pentru adevarul absolut, mustind a aroganta si elitism, ducand toate discutiile in derizoriu.

    Indecis. Tu ce zici?246
  9. textul este scris pentru presă, nu pentru ăia care dorm, mănâncă și fut IT.

  10. Am si eu o intrebare tampita, nu sariti cu mistourile.
    In cazul unor „actor statali”, cum se poate stabili tara respectiva? Ok, in cazul cu alegerile de la noi, este simplu, ca doar nu o fi Bangladesh-ul interesat de destabilizarea tarii.
    Dar, daca ar fi mai multe tari din care ai de ales,gen Rusia, China, Iran? Presupun ca cei implicati in astfel de atacuri, au un nivel mai bun „hackerii” din Valcea, sau baiatul ala din Bacau, care a fost omorat recent, parca scrisese Cetin de el.

    121
    • E destul de greu identificarea lor ca nu sunt chiar amatori si e un subiect destul de tehnic. Daca vrei sa afli mai multe, ai aici o lista destul de mare cu grupuri identificate, sunt destui state-actors pe acolo: https://attack.mitre.org/groups/

      Si aici un write-up fain despre atacul asupra retelei energetice din Ucraina din 2022: https://cloud.google.com/blog/topics/threat-intelligence/sandworm-disrupts-power-ukraine-operational-technology/

      41
    • Dupa ce se descopera un atac vin niste oameni care se ocupa cu asta si incearca sa inghete, sa pastreze si sa analizeze tot ce se gaseste pe sistemele respective. Fiecare atacator lasa in spate niste urme, fie pe sisteme in sine, fie incidental prin loguri sau alte mecanisme de detectie in retea. Din totalitatea urmelor respective se poate face o „amprenta”, si in functie de cat de sofisticat e atacatorul amprenta asta e relativ unica, la nivel de grup, sau uneori chiar de individ. In functie de amprentele astea se „atribuie” atacul unor grupari, si gruparile unor tari sau adiacente unor tari.

      De multe ori cand citesti comunicate de presa de la firme de securitate, sau divizii de securitate din firme gen Microsoft, o sa vezi ceva gen „atacul a fost atribuit grupului numit APT14 sau „pisicile bete” sau „ursul beat”, etc. Astea sunt nume date de firme pentru anumite grupuri, APT – Advanced Persistent Threat, sau numele interne in functie de companie.

      Iar legatura APT – tara de origine se face analizand atat dovezile de mai sus, cat si interesele lor (istoric vorbind), tinta atacurilor, ce urmareau (date, sisteme, etc), ce suite de tooluri folosesc, samd.

      Oamenii sunt destul de previzibili in ceea ce folosesc, ceea ce stiu si felul in care fac ceva. Firmele mari, ajutate uneori de institutii ale statelor respective (agentii cu 3 litere), invata sa lege dovezile astea de niste grupari, si apoi la fiecare incident nou adauga la „lista” ce-au facut si ce-au gasit. Nu e o chestie exacta mereu, dar de multe ori se poate atribui destul de precis un atac, daca exista suficiente „urme” lasate pe sisteme.

      Si, ca sa nu vina speciali sa spuna ca am aburit fara detalii, evident ca de multe ori e o joaca de-a soarecele si pisica, unde anumite grupuri folosesc tooluri comune, sau arunca niste cod scris in chineza la misto, sau alte chestii de genul asta. Dar, cum spuneam mai sus, daca pui suficiente chestii cap la cap, si ai ce sa analizezi, de obicei poti da un procent de siguranta in estimarea grupului responsabil.

      221
    • Am si eu o intrebare tampita, nu sariti cu mistourile.
      In cazul unor “actor statali”, cum se poate stabili tara respectiva?

      bună întrebare
      eu dacă m-aș apuca să fac așa ceva, nu aș folosi IPul meu de acasă, aș face exact cum zice băiatul din articol, aș sparge calculatoare și le-aș folosi pe alea la atac.
      problema aici este că așa cum le-ai spart tu le pot sparge și alții.

    • Nu vad de ce te-ai complica sa spargi calculatoare. Parchezi la McDonald. Sau in apropierea oricarui complex rezidential.

      41
  11. Eu n as zice ca e atac cibernetic asta ci mai degraba social engineering at its finest… ma refer lna ce s a intamplat acum. S a manipulat parerea unei mase de oameni prin videouri, text, influenceri etc prin social media/grupuri etc

    251
    • Exact. Pentru că așa s-a ajuns la numărul foarte mare de voturi. Ar fi mai interesant cce tehnici de manipulare în masă au fost folosite pentru a-i determina pe oameni nu doar să-l voteze, dar și să creadă cu tărie că individul ăla e un fel de Mesia. După toate dezvăluirile din ultimele zile, tot aud oameni care susțin că e cel mai bun, cel mai deștept, că e salvatorul nostru, dar nenorociții ăia care au închinat țara Occidentului nu-l vor. Parcă sunt hipnotizați. Dacă s-ar fi ajuns la turul 2, am fi avut adevărata măsură a manipulării, social engineering, social influence sau oricum s-ar mai numi.

      31
  12. securitate prin obscuritate…si un simlu mfa sau ban iptables la 3 pass incorecte. Cum ziceam, raportul de desecretizare arata ca sunt gen ai de pl lor

    43
    • /offtopic

      @alexm, de două zile mă uit la un server aflat sub atac cibernetic și am numărat cam 40 de mii de adrese IP.
      Ban iptables ăla e ca Hodor, ține cât ține, dar la un moment dat nu mai poate.

      70
    • Babaieti, citind articolul mi-am zis, ce naiba, e pe lângă placa, e ‘captain obvious’ pt audiența lu’ zoso blog și acum fac și eu ca snowden(?) ‘ i mean, Austria????’

      30
  13. ce treaba are contextul cu textul?

    43
  14. Daca ma apuc sa fac loguri probabil pot sa raportez si eu triliarde de atacuri la adresa modemului meu. Doar ca eu neavand nevoie sa imi justific existenta nu fac statistic din astea.

    Valoare echipei infosec se vede la incident.

    42
  15. Stop flexing, guys!
    Pt un novice ca mine, textul e ok. Pe când continuarea?

    51
  16. Hai să adaug o continuare simplă: exploatarea vulnerabilităților WordPress.
    (rog zeii WP din stratosferă să aibă milă de nivelul limbajului)

    Imediat după ce ai cumpărat un abonament de găzduire web și ai instalat WordPress, în panoul de administrare ai o grămadă de plugin-uri – module care se instalează în platforma WordPress și îi cresc funcționalitatea.
    Vrei să-ți transformi site-ul WordPress în magazin online ? Instalezi WooCommerce. Vrei să faci backup la site în fiercare noapte ? Pui Updraft.

    Similar, există și o mulțime de interfețe vizuale (sau teme, echivalentul fețelor de telefon de la Nokia alea din copilărie), care transformă radical modul în care arată un site WordPress.

    Toate aceste plugin-uri și teme nu sunt perfecte: fie apare nevoia unei facilități noi, fie un programator își dă seama că a făcut o greșeală și trebuie să o corecteze, ori un hacker descoperă greșeala mai repede decât programatorul. În orice caz, plugin-urile și temele vizuale sunt periodic actualizate de cei ce le întrețin. (Bineînțeles, asta e valabil și la nucleul WordPress care iată, a ajuns la venerabila versiune 6.7.1).

    E, dacă un proprietar de site nu actualizează la timp oricare din componente, atacatorii vor încerca să se folosească de aceste breșe și să le exploateze.
    De exemplu:

    WordPress Contact Form 7 plugin <= 5.3.1 – Unrestricted File Upload vulnerability
    Unrestricted File Upload vulnerability discovered by Jinson Varghese Behanan in WordPress Plugin Contact Form 7 (versions <= 5.3.1)

    Cu alte cuvinte, dacă ai plugin-ul ce îți permite să pui in formular de contact pe site si nu l-ai actualizat, un atacator priceput va putea încărca un fișier în site-ul tău, fișier pe care apooi să-l folosească pentru a obține controlul total al site-ului.

    În concluzie: dacă ai un site WordPress, acordă-i 5 minute pentru întreținere
    – actualizează periodic toate modulele
    – fă backup înainte de orice schimbare majoră
    – nu păstra backup-ul în același loc cu site-ul
    – nu ezita să ceri ajutor – întotdeauna va fi cineva mai priceput ca tine

    Notă: există o mulțime de alte tipuri de atacuri cibernetice, însa ideea de bază e ca în medicină: spălatul pe dinți e mult mai ieftin decât implantul.

    150
    • NOU
      #41

      Sa vezi cat de fun este sa le explici unor clienti ce inseamna „mentenanta” si cand le spui ca daca instaleaza 40-50 de plugins de la o tema cumparata de pe themeforest ii fac mult mai vulnerabili.

      00
  17. Daca vreti sa vedeti live cam jumatate din atacurile globale live: https://horizon.netscout.com/

    Ps: Netscout este o companie mare care ofera sisteme de securitate contrat atacurilor venite din internet si pe baza sistemelor pe care le au in intreaga lume creeaza harta aceea.

    20
  18. Tiananmen Square – dedicație pentru boții chinezi

    00

Adaugă un comentariu

Câmpurile marcate cu * sunt obligatorii! Adresa de email nu va fi publicată.

1. Linkurile utile în context sunt binevenite.
2. Comentariile asumate fac bine la blăniță.
3. Șterg comentariile care îmi strică buna dispoziție.
4. Nu fiți proști, agramați sau agresivi la primele 50 comentarii aici.

Ultimele articole

Susținere

Susține acest blog cumpărând de la eMAG, de la Finestore, de la PORC sau de la Aceeași Mărie.

Pun clipuri pe Youtube

Top articole

7 zile