Jump to content
Forum Kopalni Wiedzy
Sign in to follow this  
KopalniaWiedzy.pl

Atak za pomocą robaka WannaCry mógł spotkać się ze zbrojną odpowiedzią NATO

Recommended Posts

Podczas niedawnego panelu dyskusyjnego nt. bezpieczeństwa wojskowych sieci komputerowych dowiedzieliśmy się, że NATO mogło przeprowadzić konwencjonalny atak w odpowiedzi na cyberatak robaka WannaCry. Generał-major Jürgen Setzer, odpowiedzialny w Bundeswerze za bezpieczeństwo cyfrowe, przyznał, że sekretarz generalny NATO nie odrzucił idei ataku zbrojnego w odpowiedzi na cyberatak.

W ubiegłym roku sekretarz generalny NATO mówił, że atak WannaCry z 2017 roku, na którym szczególnie ucierpiały szpitale w Wielkiej Brytanii, mógł być powodem do użycia sił NATO, stwierdził Setzer.

Generał dodał, że takie stanowisko sekretarza generalnego oznacza, iż kwestia odpowiedzi zbrojnej na cyberatak nie powinna być ściśle określona. Fakt, że przeciwnik przeprowadził cyberatak nie powinien oznaczać, że zaatakowany może odpowiedzieć wyłącznie w ten sam sposób.

Jeśli mówimy o cyberbezpieczeństwie, to nie znaczy, że na cyberatak musimy odpowiadać w ten sam sposób. To już ryzyko napastnika, który nie wie gdzie leży granica i czy cyberatak jest już jej przekroczeniem, dodał Setzer.

W prawie międzynarodowym od co najmniej 180 lat stosuje się zasadę koniecznej i proporcjonalnej odpowiedzi na atak Pomiędzy atakiem, a odpowiedzią nań musi istnieć pewna równowaga. Kwestia tego, czym jest proporcjonalna odpowiedź, wciąż pozostaje przedmiotem sporów. A obecnie sprawę komplikuje fakt, że atak może być też przeprowadzony za pomocą sieci komputerowych. Wydaje się, że przeważa opinia o możliwości odpowiedzi zbrojnej na cyberatak.

Już w 2011 roku informowaliśmy, że Pentagon przygotowuje swoją pierwszą strategię obrony cyberprzestrzeni i nie wyklucza odpowiedzi militarnej na cyberatak.

Za atakiem WannaCry najprawdopodobniej stała Korea Północna. Atak został powstrzymany przez byłego hakera Marcusa Hutchinsa, który później został aresztowany w USA. Zanim jednak Hutchins go powstrzymał, robak zdążył narobić poważnych szkód w 150 krajach.


« powrót do artykułu

Share this post


Link to post
Share on other sites

Cała zabawa z cyberatakami polega na tym, że nie zostawiają one wiarygodnego adresu zwrotnego.

Share this post


Link to post
Share on other sites
2 hours ago, peceed said:

Cała zabawa z cyberatakami polega na tym, że nie zostawiają one wiarygodnego adresu zwrotnego.

To nie jest tak do końca. Wiele atakujących pozostawia wystarczająco dużo śladów, aby umożliwić atrybucję. Nawet jeżeli pozostaną nieuchwytni, to w końcu zostawią ślady i popełnią wystarczająco błędów.

Po pierwsze tworzenie narzędzi i procedur zabiera czas, więc grupy mają często wypracowane charakterystyczne TTPs (tools, tactics, procedures). Tak samo infrastruktura jest często wykorzystywana ponownie do kolejnych ataków. Zacieranie śladów kosztuje, chociaż większości rządowych grup APT (advanced persistent threat) zależy na skrytości, szczególnie tym mocno zaawansowanym i z zasobami jak te z USA. Grupy takie jak Lazarus z Korei Północnej działają pod presją łagrów i mają parcie na wyniki ($), bo reżim finansuje w ten sposób programy militarne.

Były też takie przypadki:

Quote

It was a case of spies watching spies watching spies: Israeli intelligence officers looked on in real time as Russian government hackers searched computers around the world for the code names of American intelligence programs.

https://www.nytimes.com/2017/10/10/technology/kaspersky-lab-israel-russia-hacking.html

Ale też i takie:

Quote

Wspólne brytyjsko-amerykańskie śledztwo wykazało, że irańscy hakerzy z grupy OilRig padli ofiarą rosyjskiej cyberszpiegowskiej grupy Turla. Rosjanie podszywali się pod Irańczyków, stosując ich narzędzia i metody, by przeprowadzać ataki na instytucje wojskowe, rządowe, naukowe oraz uniwersytety z wielu krajów świata.

https://tvn24.pl/swiat/rosyjscy-cyberprzestepcy-podszywali-sie-pod-hakerow-z-iranu-ra979233-2293643

Edited by cyjanobakteria

Share this post


Link to post
Share on other sites

 

24 minuty temu, cyjanobakteria napisał:

Ale też i takie:

Cytat

Wspólne brytyjsko-amerykańskie śledztwo wykazało, że irańscy hakerzy z grupy OilRig padli ofiarą rosyjskiej cyberszpiegowskiej grupy Turla. Rosjanie podszywali się pod Irańczyków

No właśnie. Naloty nie mają opcji "rallback". Grożenie nalotami za ataki cybernetyczne jest po prostu głupie w takim kontekście.

Share this post


Link to post
Share on other sites
48 minutes ago, peceed said:

Grożenie nalotami za ataki cybernetyczne jest po prostu głupie w takim kontekście.

Nie zgadzam się z tym. Nie jestem zwolennikiem przemocy, ale warto mieć taką opcję. Z drugiej strony, nie powinien to być standard. Jeżeli nalot ma być przeprowadzony natychmiastowo (real-time) albo w bardzo krótkim czasie to rośnie ryzyko pomyłki.

Przykład niedawnego ataku na siedzibę Hamasu. Podobno Izraelczycy śledzili działania Hamasu i cały czas kontrolowali sytuację, więc pojawiły się pytania o proporcjonalność odpowiedzi.

https://www.zdnet.com/article/in-a-first-israel-responds-to-hamas-hackers-with-an-air-strike/

  • Upvote (+1) 1

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Similar Content

    • By KopalniaWiedzy.pl
      W chipsetach Intela używanych od ostatnich pięciu lat istnieje dziura, która pozwala cyberprzestępcom na ominięcie zabezpieczeń i zainstalowanie szkodliwego kodu takiego jak keyloggery. Co gorsza, luki nie można całkowicie załatać.
      Jak poinformowała firma Positive Technologies, błąd jest zakodowany w pamięci ROM, z której komputer pobiera dane podczas startu. Występuje on na poziomie sprzętowym, nie można go usunąć. Pozwala za to na przeprowadzenie niezauważalnego ataku, na który narażone są miliony urządzeń.
      Na szczęście możliwości napastnika są dość mocno ograniczone. Przeprowadzenie skutecznego ataku wymaga bowiem bezpośredniego dostępu do komputera lub sieci lokalnej, w której się on znajduje. Ponadto przeszkodę stanowi też klucz kryptograficzny wewnątrz programowalnej pamięci OTP (one-time programable). Jednak jednostka inicjująca klucz szyfrujący jest również podatna na atak.
      Problem jest poważny, szczególnie zaś dotyczy przedsiębiorstw, które mogą być przez niego narażone na szpiegostwo przemysłowe. Jako, że błąd w ROM pozwala na przejęcie kontroli zanim jeszcze zabezpieczony zostanie sprzętowy mechanizm generowania klucza kryptograficznego i jako, że błędu tego nie można naprawić, sądzimy, że zdobycie tego klucza jest tylko kwestią czasu, stwierdzili przedstawiciele Positive Technologies.
      Błąd występuję w chipsetach Intela sprzedawanych w przeciągu ostatnich 5 lat. Wyjątkiem są najnowsze chipsety 10. generacji, w której został on poprawiony.
      Intel dowiedział się o dziurze jesienią ubiegłego roku. Przed kilkoma dniami firma opublikowała poprawkę, która rozwiązuje problem. Firma przyznaje, że programowe naprawienie dziury jest niemożliwe. Dlatego też poprawka działa poprzez poddanie kwarantannie wszystkich potencjalnych celów ataku.
      Dziura znajduje się w Converged Security Management Engine (CSME), który jest odpowiedzialny za bezpieczeństwo firmware'u we wszystkich maszynach wykorzystujących sprzęt Intela.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Cyberprzestępcy sparaliżowali jedną z tłoczni gazu w USA. W wyniku ataku typu ransomware gazociąg był przez dwa dni nieczynny, tyle bowiem czasu zajęło odzyskiwanie zaatakowanego systemu z kopii zapasowej.
      Przestępcy byli w stanie dostać się do części infrastruktury IT tłoczni i manipulować systemem kontroli i komunikacji (OT). Jak poinformowała Cybersecurity and Infrastructure Security Agency (CISA), atak rozpoczęto od phishingu na jednego z pracowników.
      Dzięki udanemu atakowi phishingowemu przestępcy mogli umieścić w sieci rancomware, które zaszyfrowało dane i uniemożliwiło dostęp do systemu kontroli. CISA poinformowała również, że takie działanie było możliwe, gdyż nie istniał rozdział pomiędzy elementami IT i OT infrastruktury sieciowej.
      Napastnicy nie zyskali jednak możliwości sterowania procesami fizycznymi tłoczni, a atak nie dotknął programowalnych kontrolerów (PLC), które są bezpośrednio odpowiedzialne za sterowanie procesami w środowisku przemysłowym. Stało się tak, gdyż atak był ograniczony wyłącznie do środowiska Windows. Jednak napastnicy sparaliżowali interfejsy umożliwiające obsłudze tłoczni sterowanie urządzeniami. Operatorzy tłoczni, którzy zdalnie nadzorowali jej pracę, mogli jedynie odczytywać parametry jej pracy.
      W tej sytuacji zdecydowano się na wyłączenie tłoczni i przywrócenie jej do ostatniej działającej konfiguracji. Przywracanie systemu trwało dwa dni, a jako, że prace kolejnych tłoczni zależą od innych, konieczne było wyłączenie całego gazociągu.
      Właściciele tłoczni przyznali, że nie byli przygotowani na tego typu wydarzenie. Wcześniej opracowane plany przewidywały jedynie działania na wypadek fizycznej awarii, a nie cyberataku. W związku z tym pracownicy nie byli odpowiednio przeszkoleni. Zdaniem ekspertów, ujawnia to poważniejszy problem w całym przemyśle. Wiele firm uznaje, że ich systemy kontrolne są dobrze izolowane. Tymczasem łączność z siecią jest coraz bardziej powszechna, pracownicy mają słabą świadomość zagrożeń, pojawiają się ludzkie błędy i infrastruktura przemysłowa jest wystawiona na ataki.
      To nie pierwszy przypadek tego typu. W listopadzie ubiegłego roku cyberprzestępcy wykorzystali dziurę w firewallach firmy Cisco i odcięli firmie sPower możliwość zdalnej kontroli jej farm wiatrowych i słonecznych. W ten sposób firma straciła możliwość monitorowania stanu systemów produkujących energię. W przemyśle jest to nazywane „utratą z pola widzenia”. Jeśli napastnicy chcieliby na przykład wyłączyć części sieci, ich pierwszym krokiem mogłyby być właśnie takie działania, gdyż w ten sposób operator sieci nie wiedziałby o kolejnych działaniach przestępców, mówi Phil Neray z firmy CyberX, która specjalizuje się w cyberbezpieczeństwie instalacji przemysłowych.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Badania kwestii bezpieczeństwa związanych z współdzielonymi elektrycznymi hulajnogami czy skuterami ograniczają się zazwyczaj do wypadków drogowych i ich skutków dla użytkowników hulajnóg oraz pieszych. Inżynierowie z University of Texas w San Antonio przyjrzeli się natomiast zagadnieniom cyberbezpieczeństwa tych urządzeń.
      Zespół profesora Murtuza Jadliwala przygotował analizę, z której wynika, że cyberprzestępcy mogą przeprowadzić różnego typu ataki na elektryczne hulajnogi i ich użytkowników, w tym i takie, które pozwolą im na śledzenie użytkowników czy ataki typu GPS spoofing. W ich wyniku można oszukać GPS i zaprowadzić użytkownika w inne miejsce niż by sobie życzył. Zidentyfikowaliśmy wiele słabych punktów w obecnych systemach udostępniania środków transportu. Cyberprzestępcy mogą je potencjalnie wykorzystać do wielu różnych celów, od kradzieży prywatnych danych użytkownika, poprzez spowodowanie strat w firmie udostępniającej pojazdy, po zdalne kontrolowanie zachowania pojazdów, mówi Jadliwala.
      Naukowcy ostrzegają, że może dojść np. do przechwycenia komunikacji pomiędzy smartfonem użytkownika a pojazdem. Osoby korzystające z takich usług udostępniają o sobie znacznie więcej informacji, niż tylko dane pozwalające na opłacenie usługi. Zebranie większej ilości danych z hulajnóg i skuterów, zidentyfikowanie ich użytkowników, odpowiednia analiza tych danych mogą umożliwić np. poznanie tras, którymi porusza się dana osoba, miejsca jej zamieszkania, pracy, zainteresowań, zdobycia informacji, kiedy i gdzie przebywa.
      Dlatego też Jadliwala i jego zespół uważają, że firmy oferujące usługi krótkoterminowego wypożyczania pojazdów powinny skupić się nie tylko na bezpieczeństwie fizycznym, ale również bezpieczeństwie cyfrowym ich użytkowników.
      Szczegóły badań zostaną omówione w marcu podczas 2nd ACM Workshop on Automotive and Aerial Vehicle Security.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Nowa metoda ataku na procesory Intela wykorzystuje techniki overclockingu. Eksperci ds. bezpieczeństwa odkryli, że możliwe jest przeprowadzenie ataku na procesory i zdobycie wrażliwych danych – jak na przykład kluczy kryptograficznych – poprzez manipulowanie napięciem procesora.
      Nowy atak, nazwany Plundervolt, bierze na celownik Intel Software Guard Extensions (SGS). To zestaw kodów bezpieczeństwa wbudowanych w intelowskie CPU. Celem Intel SGX jest zamknięcie najważniejszych informacji, takich właśnie jak klucze, w fizycznie odseparowanych obszarach pamięci procesora, gdzie są dodatkowo chronione za pomocą szyfrowania. Do obszarów tych, zwanych enklawami, nie mają dostępu żadne procesy spoza enklawy, w tym i takie, działające z większymi uprawnieniami.
      Teraz okazuje się, że manipulując napięciem i częstotliwością pracy procesora można zmieniać poszczególne bity wewnątrz SGX, tworząc w ten sposób dziury, które można wykorzystać.
      Naukowcy z University of Birmingham, imec-DistriNet, Uniwersytetu Katolickiego w Leuven oraz Uniwersytetu Technologicznego w Grazu mówią: byliśmy w stanie naruszyć integralność Intel SGX w procesorach Intel Core kontrolując napięcie procesora podczas przetwarzania instrukcji w enklawie. To oznacza, że nawet technologia szyfrowania/uwierzytelniania SGX nie chroni przed atakiem Plundervolt.
      Intel zaleca aktualizacje BIOS-u do najnowszych wersji.
      Przeprowadzenie ataku nie jest łatwe. Znalezienie odpowiedniej wartości napięcia wymaga eksperymentów i ostrożnego zmniejszania napięcia (np. w krokach co 1 mV), aż do czasu wystąpienia błędu, ale przed spowodowaną manipulacją awarią systemu, stwierdzają odkrywcy dziury. Naukowcom udało się doprowadzić do takich zmian w SGX, że stworzyli dziury umożliwiające zwiększenie uprawnień i kradzież danych.
      Do przeprowadzenia ataku nie trzeba mieć fizycznego dostępu do komputera, jednak by zdalnie zaatakować SGX konieczne jest wcześniejsze zdobycie uprawnień administracyjnych na atakowanym systemie.
      Plundervolt może zostać przeprowadzony na wszystkie procesory Intel Core od czasów Skylake'a, co oznacza, że narażone są Intel Core 6., 7., 8., 9. i 10. generacji oraz układy Xeon E3 v5 i v6, a także Xeony z rodzin E-2100 i E-2200.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Gruzja doświadczyła wielkiego cyberataku. Jego skutki odczuły tysiące witryn internetowych oraz kanały telewizyjne. Wydaje się, że atak został dokonany na przypadkowe witryny. Jego ofiarami padły zarówno strony należące do przedsiębiorstw, lokalnych gazet jak i osób prywatnych. Napastnicy zaatakowali też witryny rządowe.
      W sumie na ataku ucierpiało ponad 15 000 witryn, a dwie stacje telewizyjne, Imedi TV oraz Maestro w ogóle przestały nadawać. Imedi utraciła sygnał, a w Maestro doszło do uszkodzenia komputerów. Atak przeprowadzono też na kanał Pirveli, jednak on nie zniknął z telewizorów.
      Gruzińskie służby doniosły też, że jednej z zaatakowanych rządowych witryn znalziono pośrednią groźbę skierowaną do prezydent Salome Zurabishvili. Napastnicy umieścili tam zdjęcie byłego prezydenta Saakaszwilego i napis „I'll be back”. Atak przeprowadzono też na niemieckiego dostawcę hostingu, firmę Pro.
      Gruzini twierdzą, że to największy cyberatak na ich kraj i obwiniają za niego Rosję. Jest on podobny do ataków, do jakich dochodziło podczas wojny rosyjsko-gruzińskiej.
      Patrząc na skalę ataku i naturę celów, można dojść do wniosku, że mamy tu do czynienia z atakiem ze strony innego państwa, mówi ekspert ds. cyberbezpieczeństwa, profesor Alan Woodward z brytyjskiego Surrey University.

      « powrót do artykułu
×
×
  • Create New...