01-10-2024, 09:11 AM
Hajde da krenemo redom.
1. Potvrda podataka sa screenshot-a JSON file-a koji je Vladimir objavio ovde
U podacima sa darknet-a, nema konkretno ova četiri korisnika za testauth.izisrs.org (niti za auth.izisrs.org). Ali mogu potvrditi da su formirani na isti način, čak imam neke sa drugim slovima a istim brojevima "1306". Tako da smatram da su ovi podaci tačni koje je Vlado objavio na ovom screenshot-u JSON file-a.
2. Da li se koriste isti podaci za testauth.izisrs.org i auth.izisrs.org
Prema pristupnim podacima sa darknet-a, ne koriste se isti kredencijali, ali evidentno je da je postojao "algoritam" i za auth (prvo slova, pa brojevi) kako se formiraju korisnička imena i lozinke. Ovde uviđam nekoliko potencijalnih rizika:
- lozinke nemaju specijalne karaktere
- kredencijali su se vjerovatno slali email-om ili na neki drugi nedovoljno bezbjedan način
- kredencijali ukoliko su se slali email-om potencijalni je rizik da su se čuvali u nekom plain tekstu na računaru
- prema ovom što imam od podataka (recimo prva slova korisničkih imena) pretpostavljam da su korisnički nalozi kreirani za svaku zdravstvenu ustanovu (dom zdravlja, bolnicu) a ne za recimo zaposlenog u toj zdravstvenoj ustanovi (što povećava rizik da su lozinke čuvane na samom računaru ili zapamćene u cache memoriji browswer-a)
3. Ransomware i curenje pristupnih podataka IZIS-a su odvojeni incidenti (ali mogu biti povezani)
Ransomware koji se desio 31.12.2023. godine ukazuje na to da su hakeri imali pristup serverskoj infrastrukturi, odnosno serveru. Poruku koju su ostavili u vidu file-a govori da su imali access serveru (jer prema nezvaničnim informacijama, kada sam dobio na uvid od medija tu poruku) ona je bila na server ne unutar aplikacije IZIS. Sa druge strane pristupni podaci za IZIS su se prodavali na darknet-u nekoliko mjeseci prije (ne bih da otkrivam detalje koji datum i slično), i pristupni podaci su zapravo bili pristupni podaci zdravstvenih ustanova (ili uopšte korisnika). Tako da ovde imamo dva vektora napada, ne mora značiti da su dio jednog napada, mogu biti i dva potpuno odvojena napada.
4. Šta se moglo desiti?
Možemo samo nagađati, i moje mišljenje koju ću iznijeti je bazirano samo na teoriji zasnovano na podacima nad kojim imam uvid (darknet, osint) - vjerovatno je neki korisnik IZIS-a (zdravstvena ustanova) bila hakovana recimo jedna od 10500 mašina (koje je spomenuo Vladimir) a zatim neko je kupio/pronašao i iskoristio radi potvrde, nakon toga je možda koristio brute force napad jer korisničko ime i lozinka nisu komplikovani i kroz brute force napad je uspio da otkrije i ostale pristupe. Radeći na ovom napadu, hakerska grupa je mogla uzeti i prodati podatke ili nastaviti sa izviđanjem za sledeći napad, i time otkrili IP adrese servera, skenirali iste vidjeli otvorene portove i pokušali pristupiti sa nekom default word listom ili pak sa ovim podacima. E sad ne znam da li su korišteni pem keys na severima (ako jesu onda imamo veći problem), kakav je firewall bio itd. tu sada stvari koje nećemo sigurno ni saznati kao zajednica, ali svakako će biti relevantni u digitalnoj forenzici.
5. Babe i žabe
Vlado ima pravo na svoje mišljenje, ali budući da ne radim za IZIS i FZO, slobodan sam sve ovo napisati jer ja isključivo govorim argumentovano osim kada naglasim da se nešto zasniva na teoriji. Moj blog koji sam objavio na onom thread-u isključivo je fokusiran na to da se dokaže da nije istina i što sada svi vidimo a to je da se u ovom momentu ne prodaju podaci građana Republike Srpske, što je su tvrdili. Isto tako što sam napisao na blogu i dalje ovde postoji rizik da su podaci građana iscurili, ali pričati o tom riziku bez uvida u logove bez digitalne forenzike je besmisao i ko god pisao i pričao o tome i tvrdio da jesu ili nisu iscurili, ja mogu zaključiti da ili nema veze sa cybersec-om i digitalnom forenzikom ili postoji neka druga pozadina (za koju ne znamo). Što se tiče PURS isto je jasno, nije sistem PURS hakovan, nego pojedinačni korisnici.
Overall:
Sajber bezbjednost je bila vrlo niska ovde, čemu svjedoče dva incidenta, jer ne bi se desili da su postojale neke kontrole, prakse i primjene politika (ne znam ni da li su postojali dokumenti i politike).
1. Potvrda podataka sa screenshot-a JSON file-a koji je Vladimir objavio ovde
U podacima sa darknet-a, nema konkretno ova četiri korisnika za testauth.izisrs.org (niti za auth.izisrs.org). Ali mogu potvrditi da su formirani na isti način, čak imam neke sa drugim slovima a istim brojevima "1306". Tako da smatram da su ovi podaci tačni koje je Vlado objavio na ovom screenshot-u JSON file-a.
2. Da li se koriste isti podaci za testauth.izisrs.org i auth.izisrs.org
Prema pristupnim podacima sa darknet-a, ne koriste se isti kredencijali, ali evidentno je da je postojao "algoritam" i za auth (prvo slova, pa brojevi) kako se formiraju korisnička imena i lozinke. Ovde uviđam nekoliko potencijalnih rizika:
- lozinke nemaju specijalne karaktere
- kredencijali su se vjerovatno slali email-om ili na neki drugi nedovoljno bezbjedan način
- kredencijali ukoliko su se slali email-om potencijalni je rizik da su se čuvali u nekom plain tekstu na računaru
- prema ovom što imam od podataka (recimo prva slova korisničkih imena) pretpostavljam da su korisnički nalozi kreirani za svaku zdravstvenu ustanovu (dom zdravlja, bolnicu) a ne za recimo zaposlenog u toj zdravstvenoj ustanovi (što povećava rizik da su lozinke čuvane na samom računaru ili zapamćene u cache memoriji browswer-a)
3. Ransomware i curenje pristupnih podataka IZIS-a su odvojeni incidenti (ali mogu biti povezani)
Ransomware koji se desio 31.12.2023. godine ukazuje na to da su hakeri imali pristup serverskoj infrastrukturi, odnosno serveru. Poruku koju su ostavili u vidu file-a govori da su imali access serveru (jer prema nezvaničnim informacijama, kada sam dobio na uvid od medija tu poruku) ona je bila na server ne unutar aplikacije IZIS. Sa druge strane pristupni podaci za IZIS su se prodavali na darknet-u nekoliko mjeseci prije (ne bih da otkrivam detalje koji datum i slično), i pristupni podaci su zapravo bili pristupni podaci zdravstvenih ustanova (ili uopšte korisnika). Tako da ovde imamo dva vektora napada, ne mora značiti da su dio jednog napada, mogu biti i dva potpuno odvojena napada.
4. Šta se moglo desiti?
Možemo samo nagađati, i moje mišljenje koju ću iznijeti je bazirano samo na teoriji zasnovano na podacima nad kojim imam uvid (darknet, osint) - vjerovatno je neki korisnik IZIS-a (zdravstvena ustanova) bila hakovana recimo jedna od 10500 mašina (koje je spomenuo Vladimir) a zatim neko je kupio/pronašao i iskoristio radi potvrde, nakon toga je možda koristio brute force napad jer korisničko ime i lozinka nisu komplikovani i kroz brute force napad je uspio da otkrije i ostale pristupe. Radeći na ovom napadu, hakerska grupa je mogla uzeti i prodati podatke ili nastaviti sa izviđanjem za sledeći napad, i time otkrili IP adrese servera, skenirali iste vidjeli otvorene portove i pokušali pristupiti sa nekom default word listom ili pak sa ovim podacima. E sad ne znam da li su korišteni pem keys na severima (ako jesu onda imamo veći problem), kakav je firewall bio itd. tu sada stvari koje nećemo sigurno ni saznati kao zajednica, ali svakako će biti relevantni u digitalnoj forenzici.
5. Babe i žabe
Vlado ima pravo na svoje mišljenje, ali budući da ne radim za IZIS i FZO, slobodan sam sve ovo napisati jer ja isključivo govorim argumentovano osim kada naglasim da se nešto zasniva na teoriji. Moj blog koji sam objavio na onom thread-u isključivo je fokusiran na to da se dokaže da nije istina i što sada svi vidimo a to je da se u ovom momentu ne prodaju podaci građana Republike Srpske, što je su tvrdili. Isto tako što sam napisao na blogu i dalje ovde postoji rizik da su podaci građana iscurili, ali pričati o tom riziku bez uvida u logove bez digitalne forenzike je besmisao i ko god pisao i pričao o tome i tvrdio da jesu ili nisu iscurili, ja mogu zaključiti da ili nema veze sa cybersec-om i digitalnom forenzikom ili postoji neka druga pozadina (za koju ne znamo). Što se tiče PURS isto je jasno, nije sistem PURS hakovan, nego pojedinačni korisnici.
Overall:
Sajber bezbjednost je bila vrlo niska ovde, čemu svjedoče dva incidenta, jer ne bi se desili da su postojale neke kontrole, prakse i primjene politika (ne znam ni da li su postojali dokumenti i politike).