Objavljeno:

Zaupanje v programsko opremo za zaščito pred kibernetskimi napadi

Februarja 2020 je ameriški Washington Post razkril kako sta ameriška obveščevalna služba CIA (s sodelovanjem NSA) in nemška obveščevalna služba BND v 1970-tih letih finančno in operativno prevzeli švicarsko podjetje Crypto AG, ki je proizvajalo in različnim državam prodajalo šifrirne naprave za zaščito zlasti diplomatskih komunikacij.

Po prevzemu podjetja, so operativci obeh držav v rešitve Crypto AG namerno vgradili številne varnostne ranljivosti, kar jim je omogočalo nadzor večine zaupnih komunikacij strank tega podjetja. Tako so obveščevalci ZDA in Zahodne Nemčije preko navidez neodvisnega švicarskega podjetja pridobili dostop do diplomatskih in vojaških komunikacij Libije, Irana, Indije, Pakistana, Vatikana, Argentine, Alžirije,… in seveda številnih podjetij po vsem svetu. Konec leta 2020 je na to prišlo na dan, da je bilo na podoben način kompromitirano še drugo švicarsko podjetje, Omnisec AG, ki je prodajalo strojno opremo za šifriranje pogovorov, faksimilnih sporočil in podatkov z vgrajenimi stranskimi vrati in ranljivostmi. Kupci njihovih rešitev so bila ravno tako številna podjetja (tudi švicarska) ter državni organi številnih držav po vsem svetu.

Seveda pa obveščevalci ZDA in ostalih zahodnih držav niso edini, ki bi se lotevali tovrstnih podvigov. Ameriško ministrstvo za domovinsko varnost je tako septembra 2017 prepovedalo uporabo vseh produktov protivirusnega podjetja Kaspersky Lab na računalnikih ameriških državnih agencij, zaradi suma, da Kaspersky prikrito sodeluje z rusko obveščevalno službo FSB. Ustanovitelj podjetja Eugene Kaspersky je kasneje sicer javno zatrdil, da nikoli niso in da tudi ne bodo pomagali nobeni državi pri vohunjenju, podjetje pa je napovedalo, da bodo jedrni del svoje infrastrukture za izbrane stranke iz Rusije preselili v Švico. A ameriškemu zgledu prepovedi so kljub temu sledile številne druge države: v letu 2017 Velika Britanija in Litva, leta 2018 Nizozemska, leta 2022 pa še Nemčija in Italija. Poleg tega je Odbor za zunanje zadeve Evropske unije junija 2018 objavil poročilo, ki je programsko opremo podjetja Kaspersky označilo za “potrjeno zlonamerno”.

Cynet 360 in Slovenija

Sodobni informacijski sistemi so visoko kompleksni, kar povečuje njihovo nepreglednost ter prinaša večje tveganje za njihovo ranljivost. Ker je varnostno testiranje kompleksnih sistemov težavno, je seveda vanje mogoče lažje skriti namerne varnostne ranljivosti ali pomanjkljivosti. Zato je pri uporabi varnostnih rešitev zelo pomembno zaupanje. Ne samo v samo tehnologijo, pač pa tudi v razvijalca varnostne rešitve ter - zlasti v primeru oblačnih rešitev - v njenega upravljavca.

Julija 2021 je slovenska vlada objavila Načrt za okrevanje in odpornost.

Na strani 123 Priloge 2 lahko v poglavju Digitalizacija procesov pravosodnih organov (gre za nadgradnjo sistema digitalnega poslovanja Ustavnega sodišča RS) preberemo, da je vlada za Ustavno sodišče Republike Slovenije predvidela nakup “varnostnega mehanizma, ki preprečuje kibernetske napade na celotni sistem”. Dokument zgolj bežno omenja, da gre za rešitev Cynet.

V resnici gre za XDR rešitev Cynet 360. Kratica XDR (Extended Detection and Response - razširjeno odzivanje in zaznavanje) označuje varnostno rešitev, ki je namenjena zaznavi, analizi in predvidevanju naprednih kibernetskih groženj.

Precej poenostavljeno povedano gre za programsko opremo, ki se jo namesti na računalnike neke organizacije, ta programska oprema pa nato spremlja in analizira delovanje računalnika z namenom odkrivanja kibernetskih groženj.

Ena izmed takih rešitev je tudi že omenjeni Cynet 360. Poleg ostalih funkcionalnosti ima rešitev tudi možnost spremljanja ter analize omrežnega prometa računalnika ter pregledovanja datotek na datotečnem sistemu z namenom iskanja virusov in druge zlonamerne programske kode.

Kar pomeni, da ima rešitev praktično popolno dostop do računalnika na katerega je nameščena ter vseh podatkov na njem. Zato je zaupanje v tako varnostno rešitev še posebej pomembno.

Podjetje Cynet

Rešitev razvija istoimensko podjetje Cynet. Gre podjetje, ki je bilo leta 2015 ustanovljeno v Izraelu, danes pa ima sedež v ZDA.

Leta 2018 je podjetje zbralo 13 milijonov USD investicijskih sredstev od dveh finančnih skladov (Ibex Investors in Norwest Venture Partners) ter od izraelskega podjetnika Shloma Kramerja. Shlomo Kramer je znan in uspešen izraelski podjetnik in investitor ter tudi strokovnjak iz področja kibernetske varnosti. Zanimivo pa je, da je bil Kramer v preteklosti član kibernetsko obveščevalne enote izraelske vojske Unit 8200.

Enota 8200 se v izraelski vojski ukvarja s prestrezanjem (SIGINT) in dešifriranjem komunikacij in velja za eno najboljših na tem področju v svetovnem merilu. Znano pa je tudi, da so bivši člani te vojaško-obveščevalne enote ustanovili precej podjetij, ki ponujajo kibernetsko-varnostne rešitve, rešitve za varno komuniciranje (med drugim tudi podjetje Viber) ter rešitve za nadzor in prisluškovanje (npr. NICE Systems ter NSO, ki med drugim razvija vohunsko opremo za mobilne telefone Pegasus).

Odnos do varnosti

Dejstvo, da je podjetje, ki razvija kibernetsko varnostno rešitev povezano z osebami iz obveščevalne sfere tuje države, samo po sebi še ni sporno. Je pa, kot smo to videli v primeru podjetja Kaspersky, včasih to lahko razlog za nekoliko večjo previdnost. Še zlasti, če naj bi bila varnostna rešitev nameščena na računalnikih tako pomembne institucije kot je Ustavno sodišče, katerega dokumenti in odločitve, če bi bile znane že vnaprej, lahko resno vplivajo na strateške interese države.

Rešitev Cynet 360 sicer v Sloveniji trži kar nekaj podjetij, omenja pa se jo tudi kot eno izmed (možnih) rešitev v enem izmed varnostno-operativnih centrih slovenskih državnih institucij. Po neuradnih informacijah, je rešitev Cynet 360 že v operativni uporabi v vsaj enem večjem državnem organu v Republiki Sloveniji.

A poglejmo si, kakšen odnos do varnosti imajo v podjetju Cynet.

Varnostni raziskovalci podjetja SRLabs so lansko leto objavili zanimiv prispevek z naslovom EDRs decrease your enterprise security, unless properly hardened.

V njem so izpostavili, da so lahko EDR oz. XDR rešitve izjemno koristne odkrivanje in odzivanje na kibernetske napade v omrežju neke organizacije, a lahko predstavljajo tudi veliko grožnjo varnosti, če so napačno konfigurirane oz. ranljive.

Raziskovalci SRLabs so tako odkrili, da rešitev Cynet 360 ob namestitvi na infrastrukturo uporabnikov (tim. on premise installation) uporablja privzeta gesla, ki so bila celo dokumentirana v javno dostopnem uporabniškem priročniku. Raziskovalci so odkrili, da številni uporabniki te rešitve privzetih gesel niso spremenili, čeprav jim je namestitvena aplikacija to priporočila. Rešitev bi bila seveda obvezna sprememba privzetega gesla, kar pa Cynet v tistem času ni imel implementirano.

Raziskovalci so v rešitvi Cynet 360 odkrili tri varnostne ranljivosti, katerih izraba napadalcu omogoča, da na končnih računalnikih, ki naj bi jih rešitev ščitila, poganja poljubne ukaze in dostopa do vseh datotek, izklaplja obvestila o zaznanih grožnjah, prikaže kateri uporabniki na sistemu so lažni in ustvarjeni zgolj zato, da predstavljajo vabo za hekerje, katerih delov sistema rešitev ne varuje ter katere dele sistema rešitev varuje.

Po razkritju in obvestilu s strani raziskovalcev iz SRLabs so pri Cynet 360 omenjene varnostne ranljivosti odpravili. Vseeno pa ostaja grenak priokus, saj si resno varnostno podjetje takih napak nikakor ne bi smelo privoščiti.

Morda bo kdo zamahnil z roko, da gre bolj za porodne težave mladega start-up podjetja. A aprila 2020 je varnostni raziskovalec Ben Tasker odkril še precej hujše varnostne ranljivosti v zasnovi rešitve Cynet 360.

Ugotovil je namreč, da kontrolni strežniki rešitve (preko katerih se strankam distribuirajo varnostne in druge posodobitve) uporabljajo samopodpisana digitalna potrdila. Kar je v svetu informacijske varnosti hud greh že samo po sebi, še bolj problematično pa je bilo odkritje, da Cynet 360 odjemalci na končnih računalnikih veljavnosti digitalnih potrdil sploh niso preverjali ter so celo omogočali zagon programskih modulov oz. posodobitev, ki so jih prejeli od domnevnih kontrolnih strežnikov.

Raziskovalec je namreč ugotovil, da je z nekaj preprostimi napadalskimi tehnikami mogoče komunikacijo Cynet 360 odjemalcev preusmeriti na lažne kontrolne strežnike in preko njih distribuirati zlonamerne posodobitve. In to povsem nezaznavno. Poleg tega je odkril še, da je bilo iz končnih računalnikov, na katere je bila nameščena rešitev Cybet 360 mogoče neopazno eksfiltrirati podatke.

Na slabo zasnovo varnosti pa kaže še ena njegova ugotovitev - aplikacijo Cynet 360 so prevajali v binarno kodo na precej zastarelem operacijskem sistemu, kar omogoča napad na tim. dobavno verigo (angl. supply-chain attack).

Kljub temu, da so bile odkrite varnostne ranljivosti odpravljene, pa vse to kaže, da zaposleni pri podjetju Cynet varnosti ne jemljejo dovolj resno.

Vprašanje zaupanja

Ne glede na to, da so ranljivosti bile odpravljene, pa to pomeni zgolj to, da poganjanja poljubnih ukazov, nameščanja poljubne programske kode in eksfiltracije podatkov na opisani način zdaj ne more izvajati zunanji napadalec. Še vedno pa to lahko vsaj teoretično napravi proizvajalec Cynet rešitve. Poleg tega pa ne vemo ali Cynet rešitev oziroma kakšna izmed njenih kasnejših posodobitev ne vsebuje kakšnih drugih varnostnih ranljivosti. Verjetnost, da bi sistematičen varnostni pregled rešitve razkril še kakšno ranljivost, namreč glede na dosedanja odkritja varnostnih raziskovalcev sploh ni zanemarljiva. Zgodovina odkritih ranljivosti pa tudi kaže na neprimeren odnos podjetja do varnosti, kar pa seveda vpliva na zaupanje rešitvam tega podjetja.

Ampak to ni težava, če proizvajalec strankam zatrdi, da tega ne počne in tudi nikoli ne bo počel. Prav tako kot kot lahko tudi zatrdi, da nikakor ne sodeluje z varnostno obveščevalnimi službami svoje države.

Kajti, kot smo rekli, je pri uporabi kibernetsko varnostnih rešitev zelo pomembno zaupanje. Zaupanje v tehnologijo, v razvijalca in v upravljavca. In če nam proizvajalec zagotovi, da je varnostna rešitev razvita in vzdrževana v skladu z vsemi najvišjimi strokovnimi in etičnimi standardi, potem mu lahko tudi zaupamo. Včasih celo na besedo.

Kategorije: Kibernetska varnost
Ključne besede: Cynet 360, XDR