Republika Srpska IZIS zarazena masina - curenje podataka

[kernel_priest]

Podaci iz interne mreze IZIS-a
Curenje podataka se i dalje nastavlja

Cestitam "strucnjacima"

[1van]

Ne mogu da stignem da ispratim sve slučajeve, ali ovo moram da prokomentarišem jer vidim da i ti i branko propuštate da objasnite šta znači što neko ima pristup mašini na koju se loguje osoba koja može da pristupi testauth.izisrs.org.

Dakle testauth.izisrs.org je verovatno testni ili razvojni domen/server kompanije koja izrađuje softver, i kome pristupaju osobe koje mogu biti administratori, programeri, testeri, i slično (uglavnom osobe sa višim priveligijama od običnog korisnika i verovatno mogu da pristupe podacima i drugih korisnika). Ove osobe u isto vreme pristupaju i produkcijskom okruženju, branko je to dokazao ovde: https://bezbedanbalkan.net/thread-1115-p...ml#pid3110.

Ovi kredencijali su iscureli još pre ovog incidenta koji se desio pre neki dan (tj. neka osoba ima trojanca na kompijuteru mnogo pre), i moguće je da je to bila tačka ulaza. Ako se ove osobe bave razvojem i drugih aplikacija i sistema, onda su i oni u problemu. kernel_priest je ovo takođe na malo drugačiji način prokomentarisao u svojoj izjavi za televiziju.

E sad molim obojicu da iznesete detalje koje imate

[kernel_priest]

Ovo su ranije dostupni podaci ali i dalje se sheruju - vjerovatno postoji razlog zasto se to desava a da niko nije provjerio da li su ove info koristene kao IA.
Mislim da jesu, a curenje tj kopiranje istih - znaci da postoji dobar razlog zasto se desava. Konkretno, moguce da su u upotrebi i dalje i da se radi o programerima i QA.

Izvinjavam se nisam ranije napisao: QA i programeri ali je moguce da je dio baza koja se koristi u produkciji isto tako ima ove informacije (QA / DEv da imaju pristup)

Racunari su zarazeni - postoji 10.500 racunara unutar te mreze, znaci velika vjerovatnoca da u kombinaciji sa nedostatkom sigurnosnog treninga imamo sve moguce opcije na stolu.

Ranije sam naveo u izjavi da su IA podaci, ali sada sumnja na jos dodatnih IA: Wifi u domovima zdravlja i bolnicama nema segregaciju / odvajanje pristupa svim servisima. Wifi ne koristi nikakve zastite (open - bar sto sam uspio da vidim)

Doktori su mogli da pristupe kartonu pacijenta iz drugih gradova (receno mi je) npr doktor iz Trebinja moze da vidi karton pacijenta u Banjaluci - nije bilo kontrole ko i gdje moze da pristupi niti mehanizma.

Smatram da posto nije bilo obuke za osoblje vezano za sigurnost - a pricamo o 10.500 masina u mrezi - definitivno mala sansa za ovakav opstanak IZISa.

Ovo je moje misljenje - cekacemo da vidimo sta drugi kazu. Misljenje Branka za mene nema tezinu. Ako vec radi za IZIS i FZO zamolio bih ga da ne izlazi u javnost sa podacima. Pogotovo sto su novinari uzeli moje izjave prije nekoliko dana sa tviter naloga, moju izjavu sa BN i napravili novu izjavu vezano za Poresku Upravu za koju Branko uporno tvrdi da je moja.

Hvala puno!

(Ivane redukuj ako sta treba)

[branko]

Hajde da krenemo redom.

1. Potvrda podataka sa screenshot-a JSON file-a koji je Vladimir objavio ovde
U podacima sa darknet-a, nema konkretno ova četiri korisnika za testauth.izisrs.org (niti za auth.izisrs.org). Ali mogu potvrditi da su formirani na isti način, čak imam neke sa drugim slovima a istim brojevima "1306". Tako da smatram da su ovi podaci tačni koje je Vlado objavio na ovom screenshot-u JSON file-a.

2. Da li se koriste isti podaci za testauth.izisrs.org i auth.izisrs.org
Prema pristupnim podacima sa darknet-a, ne koriste se isti kredencijali, ali evidentno je da je postojao "algoritam" i za auth (prvo slova, pa brojevi) kako se formiraju korisnička imena i lozinke. Ovde uviđam nekoliko potencijalnih rizika:
- lozinke nemaju specijalne karaktere
- kredencijali su se vjerovatno slali email-om ili na neki drugi nedovoljno bezbjedan način
- kredencijali ukoliko su se slali email-om potencijalni je rizik da su se čuvali u nekom plain tekstu na računaru
- prema ovom što imam od podataka (recimo prva slova korisničkih imena) pretpostavljam da su korisnički nalozi kreirani za svaku zdravstvenu ustanovu (dom zdravlja, bolnicu) a ne za recimo zaposlenog u toj zdravstvenoj ustanovi (što povećava rizik da su lozinke čuvane na samom računaru ili zapamćene u cache memoriji browswer-a)

3. Ransomware i curenje pristupnih podataka IZIS-a su odvojeni incidenti (ali mogu biti povezani)
Ransomware koji se desio 31.12.2023. godine ukazuje na to da su hakeri imali pristup serverskoj infrastrukturi, odnosno serveru. Poruku koju su ostavili u vidu file-a govori da su imali access serveru (jer prema nezvaničnim informacijama, kada sam dobio na uvid od medija tu poruku) ona je bila na server ne unutar aplikacije IZIS. Sa druge strane pristupni podaci za IZIS su se prodavali na darknet-u nekoliko mjeseci prije (ne bih da otkrivam detalje koji datum i slično), i pristupni podaci su zapravo bili pristupni podaci zdravstvenih ustanova (ili uopšte korisnika). Tako da ovde imamo dva vektora napada, ne mora značiti da su dio jednog napada, mogu biti i dva potpuno odvojena napada.

4. Šta se moglo desiti?
Možemo samo nagađati, i moje mišljenje koju ću iznijeti je bazirano samo na teoriji zasnovano na podacima nad kojim imam uvid (darknet, osint) - vjerovatno je neki korisnik IZIS-a (zdravstvena ustanova) bila hakovana recimo jedna od 10500 mašina (koje je spomenuo Vladimir) a zatim neko je kupio/pronašao i iskoristio radi potvrde, nakon toga je možda koristio brute force napad jer korisničko ime i lozinka nisu komplikovani i kroz brute force napad je uspio da otkrije i ostale pristupe. Radeći na ovom napadu, hakerska grupa je mogla uzeti i prodati podatke ili nastaviti sa izviđanjem za sledeći napad, i time otkrili IP adrese servera, skenirali iste vidjeli otvorene portove i pokušali pristupiti sa nekom default word listom ili pak sa ovim podacima. E sad ne znam da li su korišteni pem keys na severima (ako jesu onda imamo veći problem), kakav je firewall bio itd. tu sada stvari koje nećemo sigurno ni saznati kao zajednica, ali svakako će biti relevantni u digitalnoj forenzici.

5. Babe i žabe
Vlado ima pravo na svoje mišljenje, ali budući da ne radim za IZIS i FZO, slobodan sam sve ovo napisati jer ja isključivo govorim argumentovano osim kada naglasim da se nešto zasniva na teoriji. Moj blog koji sam objavio na onom thread-u isključivo je fokusiran na to da se dokaže da nije istina i što sada svi vidimo a to je da se u ovom momentu ne prodaju podaci građana Republike Srpske, što je su tvrdili. Isto tako što sam napisao na blogu i dalje ovde postoji rizik da su podaci građana iscurili, ali pričati o tom riziku bez uvida u logove bez digitalne forenzike je besmisao i ko god pisao i pričao o tome i tvrdio da jesu ili nisu iscurili, ja mogu zaključiti da ili nema veze sa cybersec-om i digitalnom forenzikom ili postoji neka druga pozadina (za koju ne znamo). Što se tiče PURS isto je jasno, nije sistem PURS hakovan, nego pojedinačni korisnici.

Overall:
Sajber bezbjednost je bila vrlo niska ovde, čemu svjedoče dva incidenta, jer ne bi se desili da su postojale neke kontrole, prakse i primjene politika (ne znam ni da li su postojali dokumenti i politike).

[Vesna.Simikić]

Pozdrav. Uočila sam prisutnost konfuzije oko naloga u IZIS-u i principa funkcionisanja, pa smatram da mogu dati adekvatno pojašnjenje.
Naime, IZIS posjeduje dvije platforme: razvojnu (testauth.izisrs.org) i produkcijsku (auth.izisrs.org). Funkcioniše na nekoliko modula koji su grupisani u zavisnosti od nivoa primjene (primarni nivo zdravstvene zaštite, sekundarni nivo zdravstvene zaštite, adminsitracija i obračun FZO RS).
Za svaku zdravstvenu ustanovu superaministrator iz FZO RS kreira nalog delegiranom administratoru (na nivou doma zdravlja, bolnice, kliničkog centra) koji potom kreira naloge za svakog radnika svoje ustanove ponaosob. Ne postoji mogućnost kreiranja duplih (identičnih) naloga, čak i za radnike različitih zdravstvenih ustanova, jer sistem sam prepoznaje to kao grešku i sugeriše ispravku. Princip kreiranja korisničkih naloga definisan je Uredbom o delegiranoj administraciji IZIS-a (Službeni Glasnik Republike Srpske 65/18) u kojoj je naglašeno da se korisničko ime kreira tako što se dodaju velika prva slova imena i prezimena i dan i mjesec rođenja. U slučaju poklapanja, dodaje se sledeće slovo u imenu (otuda ponavljanja naloga koji su izazvali konfuziju: AS1306, AMS1306 i sl.). Što se tiče šifre u praksi je sugerisano da ista mora sadržati minimalno 8 karaktera od kojih najmanje jedan mora biti: jedno malo slovo, jedno veliko slovo, jedan specijalni znak i jedan broj. Time je zadovoljen minimalan kriterijum kompleksnosti. Svaki kreiran nalog posjeduje odgovarajuće role za pristup medicinskim podacima. Svakoj zdravstvenoj ustanovi omogućen je pristup samo medicinskim podacima svojih pacijenata. Pristup medicinskim podacima pacijenata iz drugih zdravstvenih ustanova nije bio omogućen.
Smatram da je korisno skrenuti pažnju na problem koji je Branko djelimično pomenuo, a to je nedostatak svijesti o sajber sigurnosti na nivou kako ustanova tako samih korisnika sistema. Nepostojanje funkcionalne i dobro kontrolisane lokalne mreže je najveći problem sa kojim se suočava većina zdravstvenih ustanova u Republici Srpskoj. Vladimir je dobro pomenuo primjer nesegregiranih wifi-jeva domova zdravlja (a ja bih dodala ,,i drugih zdravstvenih ustanova"). Složićete se da je lako sprovesti pravila dobre IT prakse, kao i bezbjedonosnih standarda ako imate ljudstvo (sa IT znanjem) i infrastrukturu na kojoj to možete primijeniti. Ako sajber sigurnost nije implementirana na lokalnom nivou ustanove koja koristi sistem, bezbjednost jedne aplikacije poput IZIS-a može biti kompromitovana na veliki broj načina.

[kernel_priest]

Pozdrav. Uočila sam prisutnost konfuzije oko naloga u IZIS-u i principa funkcionisanja, pa smatram da mogu dati adekvatno pojašnjenje.
Naime, IZIS posjeduje dvije platforme: razvojnu (testauth.izisrs.org) i produkcijsku (auth.izisrs.org). Funkcioniše na nekoliko modula koji su grupisani u zavisnosti od nivoa primjene (primarni nivo zdravstvene zaštite, sekundarni nivo zdravstvene zaštite, adminsitracija i obračun FZO RS).
Za svaku zdravstvenu ustanovu superaministrator iz FZO RS kreira nalog delegiranom administratoru (na nivou doma zdravlja, bolnice, kliničkog centra) koji potom kreira naloge za svakog radnika svoje ustanove ponaosob. Ne postoji mogućnost kreiranja duplih (identičnih) naloga, čak i za radnike različitih zdravstvenih ustanova, jer sistem sam prepoznaje to kao grešku i sugeriše ispravku. Princip kreiranja korisničkih naloga definisan je Uredbom o delegiranoj administraciji IZIS-a (Službeni Glasnik Republike Srpske 65/18) u kojoj je naglašeno da se korisničko ime kreira tako što se dodaju velika prva slova imena i prezimena i dan i mjesec rođenja. U slučaju poklapanja, dodaje se sledeće slovo u imenu (otuda ponavljanja naloga koji su izazvali konfuziju: AS1306, AMS1306 i sl.). Što se tiče šifre u praksi je sugerisano da ista mora sadržati minimalno 8 karaktera od kojih najmanje jedan mora biti: jedno malo slovo, jedno veliko slovo, jedan specijalni znak i jedan broj. Time je zadovoljen minimalan kriterijum kompleksnosti. Svaki kreiran nalog posjeduje odgovarajuće role za pristup medicinskim podacima. Svakoj zdravstvenoj ustanovi omogućen je pristup samo medicinskim podacima svojih pacijenata. Pristup medicinskim podacima pacijenata iz drugih zdravstvenih ustanova nije bio omogućen.
Smatram da je korisno skrenuti pažnju na problem koji je Branko djelimično pomenuo, a to je nedostatak svijesti o sajber sigurnosti na nivou kako ustanova tako samih korisnika sistema. Nepostojanje funkcionalne i dobro kontrolisane lokalne mreže je najveći problem sa kojim se suočava većina zdravstvenih ustanova u Republici Srpskoj. Vladimir je dobro pomenuo primjer nesegregiranih wifi-jeva domova zdravlja (a ja bih dodala ,,i drugih zdravstvenih ustanova"). Složićete se da je lako sprovesti pravila dobre IT prakse, kao i bezbjedonosnih standarda ako imate ljudstvo (sa IT znanjem) i infrastrukturu na kojoj to možete primijeniti. Ako sajber sigurnost nije implementirana na lokalnom nivou ustanove koja koristi sistem, bezbjednost jedne aplikacije poput IZIS-a može biti kompromitovana na veliki broj načina.

Sifre i useri su isti. Mozete li mi to objasniti?
I nije postojao MFA?

Hvala na informacijama

[Vesna.Simikić]

Pozdrav. Uočila sam prisutnost konfuzije oko naloga u IZIS-u i principa funkcionisanja, pa smatram da mogu dati adekvatno pojašnjenje.
Naime, IZIS posjeduje dvije platforme: razvojnu (testauth.izisrs.org) i produkcijsku (auth.izisrs.org). Funkcioniše na nekoliko modula koji su grupisani u zavisnosti od nivoa primjene (primarni nivo zdravstvene zaštite, sekundarni nivo zdravstvene zaštite, adminsitracija i obračun FZO RS).
Za svaku zdravstvenu ustanovu superaministrator iz FZO RS kreira nalog delegiranom administratoru (na nivou doma zdravlja, bolnice, kliničkog centra) koji potom kreira naloge za svakog radnika svoje ustanove ponaosob. Ne postoji mogućnost kreiranja duplih (identičnih) naloga, čak i za radnike različitih zdravstvenih ustanova, jer sistem sam prepoznaje to kao grešku i sugeriše ispravku. Princip kreiranja korisničkih naloga definisan je Uredbom o delegiranoj administraciji IZIS-a (Službeni Glasnik Republike Srpske 65/18) u kojoj je naglašeno da se korisničko ime kreira tako što se dodaju velika prva slova imena i prezimena i dan i mjesec rođenja. U slučaju poklapanja, dodaje se sledeće slovo u imenu (otuda ponavljanja naloga koji su izazvali konfuziju: AS1306, AMS1306 i sl.). Što se tiče šifre u praksi je sugerisano da ista mora sadržati minimalno 8 karaktera od kojih najmanje jedan mora biti: jedno malo slovo, jedno veliko slovo, jedan specijalni znak i jedan broj. Time je zadovoljen minimalan kriterijum kompleksnosti. Svaki kreiran nalog posjeduje odgovarajuće role za pristup medicinskim podacima. Svakoj zdravstvenoj ustanovi omogućen je pristup samo medicinskim podacima svojih pacijenata. Pristup medicinskim podacima pacijenata iz drugih zdravstvenih ustanova nije bio omogućen.
Smatram da je korisno skrenuti pažnju na problem koji je Branko djelimično pomenuo, a to je nedostatak svijesti o sajber sigurnosti na nivou kako ustanova tako samih korisnika sistema. Nepostojanje funkcionalne i dobro kontrolisane lokalne mreže je najveći problem sa kojim se suočava većina zdravstvenih ustanova u Republici Srpskoj. Vladimir je dobro pomenuo primjer nesegregiranih wifi-jeva domova zdravlja (a ja bih dodala ,,i drugih zdravstvenih ustanova"). Složićete se da je lako sprovesti pravila dobre IT prakse, kao i bezbjedonosnih standarda ako imate ljudstvo (sa IT znanjem) i infrastrukturu na kojoj to možete primijeniti. Ako sajber sigurnost nije implementirana na lokalnom nivou ustanove koja koristi sistem, bezbjednost jedne aplikacije poput IZIS-a može biti kompromitovana na veliki broj načina.

Sifre i useri su isti. Mozete li mi to objasniti?
I nije postojao MFA?

Hvala na informacijama

Pozdrav, Vlado. Hvala na pitanjima. Nisu šifre i korisnički nalozi isti. Naprotiv. Korisnički nalozi se kreiraju po definisanom šablonu (inicijali + dan i mjesec rođenja). Šifra može biti bilo koji niz karaktera pod uslovom da ispunjava sugerisanu težinu (minimalno 8 karaktera uz obavezno jedno malo slovo, jedno veliko, jedan specijalni znak i jednu cifru).
Vezano za sigurnost oko logovanja na sistem mogu samo reći da je predviđena upotreba smart kartica (Pravilnik o izgledu i sadržaju identifikacione elektronske kartice zdravstvenih radnika (SG RS 99/19)) sa digitalnim sertifikatom za dokazivanje identiteta. Pitanje je da li je to pravilo ispoštovano kod svih ustanova.

[kernel_priest]

Postovanje, znam za kartice. napadaci mogu preuzeti kolacic i pristupiti web aplikaciji i zaobici takav vid sigurnosti.

Da li je osigurano da sifre koje se koriste ne ponavljaju u username?
Da li je omoguceno da sifre se ne ponavljaju prilikom ponovnog unosa(promjene sifre), izmjene i slicno?

[Vesna.Simikić]

Postovanje, znam za kartice. napadaci mogu preuzeti kolacic i pristupiti web aplikaciji i zaobici takav vid sigurnosti.

Da li je osigurano da sifre koje se koriste ne ponavljaju u username?
Da li je omoguceno da sifre se ne ponavljaju prilikom ponovnog unosa(promjene sifre), izmjene i slicno?

Na žalost, Vlado, i pored iskrenog i velikog poštovanja Vašeg rada, na ova pitanja ne mogu odgovoriti javno.

[kernel_priest]

"Na žalost, Vlado, i pored iskrenog i velikog poštovanja Vašeg rada, na ova pitanja ne mogu odgovoriti javno."

Hvala!

Cijenim i postujem - svi imamo neki NDA (non-disclosure agreement)




Prije 2 god IZISRS . ORG je bio masina koja je prijavljena da skenira internet.
Jos uvijek se vodi u bazi CriminalIP - 81.93.64.34
Na toj IP adresi postoji jos sajtova:

lutrijars[.]com
infomap-rs[.]net
deltapak-teslic[.]com

i ima jos.