Upozorenje od nacionalnog CERT-a i BIA-e
#1
Naime, odrzavam dosta servera, sto raznih cloud infrastruktura, sto fizickih namenskih servera po raznim datacentrima kod raznih provajdera i desavalo se u nekoliko navrata da smo dobili neke preporuke sto se tice sigurnosti. 

Ono sto bih izdvojio je da smo jednom prilikom tesitrali neki softver na serveru kod Hetznera u Nemackoj gde je port za ElasticSearch bio otvoren prema internetu citavih sat vremena, gde nam je posle izvesnog vremena stigao mail od Nemacke BIA (tacno ime agencije sam zaboravio) i njihovog CERT-a gde nas obavestavaju da su primetili otvoren port koji se moze zloupotrebiti i bla bla i da to treba da zapusimo sto pre. I ako to nije radio sam provajder usluga, u ovom slucaju Hetzner nego bas drzavna agencija dosta sam se obradovao kada sam video da neko brine o infrastrukturi malih biznisa i mislio kako se to kod nas nikada nece desiti.

Izmedju raznih servera koje sam za ove godine podesavao, bila mi je cast da radim nekolicinu .gov.rs sajtova i danas mi stize mail od mCloud-a gde hostujemo tako jedan malecni sajt, sa sadrzinom: 

Quote:Poštovani, 

Dobili smo obaveštenje od Nacionalnog CERT-a i BIA-e da se na Vašem serveru nalaze ranjivosti koje je potrebno ispraviti, prosleđujem njihovo obaveštenje u prilogu.

U sustini, ne znam da li smem da objavljujem javno ceo report ali kaze da je na serveru javno otvoren SSH port i ako je port na drugom broju i ako je login moguci samo preko SSH kljuca sa firewallom koji blokira bruteforce. 

Dakle nema nikakvog problema, samo preporuka da stavimo SSH port iza nekog VPN-a, sredjeno za 15 minuta. 

Jako mi je drago sto mi je stiglo ovo obavestenje i sto sam prvi put svedok da neki CERT u Srbiji zaista i radi i ako ih ima 15 koliko kaze Ratel.

Da li neko ima informaciju da li postoji neki od CERT-ova koji obavestava male korisnike, odnosno manja preduzeca o mogucim cyber napadim na infrastrukturu u okviru granica Republike Srbije? I ako ne, da li je zakonski moguce pokrenuti CERT koji bi imao osvrt na ne-drzavnu infrastrukturu koju bi masovno skenirao IP opsege iz Srbije?
Reply
#2
Zdravo Nele,

Hvala za info, i dobra ideja.
Ja nisam informisan o tom pravnom delu ali tehnicki je veoma lako izvodljivo.
Ja sam takodje veoma zainteresovan za crowdsourced CERT koji bi pokrenula ekipa sa foruma.
Imao sam prilike da popricam vise puta sa clanovima jednog privatnog CERT-a sa ove liste i nisam stekao utisak da se nesto konkretno preduzima ali sam dobio i feedback da se ni ne prijavljuje toliko koliko bi trebalo.

Pozdrav.
Reply
#3
U svetu obično ovakva obaveštenja stižu od raznih cyber istraživača ili kompanija koje prijavljujuči rupe često na ovaj način pokušavaju da prodaju svoje usluge. Takođe isto se dešava i od strane hakera da štonpre detektuju ranjivu bazu ili port  i uradu dostupne podatke.
Akcija od strane CERTa ili neke vladine službe obično ide po prijavi a retko kad da oni rade scan interneta.
Ukolilo bi kod nas i postojalo ovakvo telo za obaveštavanje, pogotovo privatno to je malo zakonski škakljivo jer nije lako dokazati nameru i da nije u pitanju hakerski napad već samo upozorenje.
Ali da, salžem se sa vama, bilo bi super ds tako nešto postoji i naravno da služi svrsi...
Reply
#4
Svakako podržavam ideju (@Petar) crowdsourced CERT-a (i u ovom smislu - skeniranja portova, jer ovaj forum već radi dobar deo posla monitoringa i obaveštavanja građana), i verujem da možemo lako i brzo da to sprovedemo u delo. Problem je što skeniranje portova nije potpuno pravno regulisano i posledice zavise najviše od toga kako se tumači namera (kao što je i objasnio @iznogud).

Shodan.io je imao isti problem u početku, ali zbog ukazanog poverenja zajednice i državnog sektora u USA, uspeli su da izguraju svoj servis. Naravno i dalje mogu da budu meta privatnih tužbi, ili tužbi ISP-ova usled "intruzivnih" opterećenja mreže širom sveta, ali će takve tužbe na kraju biti odbačene (i niko ih neće optuživati za pokušaje napada).
Možda se sećate i slučaja gde je Microsoft skenirao portove svojih korisnika kroz intenet browser prilikom svake posete, na kraju su sve optužbe odbačene sa razlogom da je ovo legitiman način provere i zaštite posetioca servisa.

Da, odgovorim i konkretno na pitanje od @nelebadnjak, kod nas nema organizacija koje rade masovno skeniranje i obaveštavanje korisnika (ili institucija). U nekim drugim zemljama ovo postoji. Ovo što si ti dobio je verovatno došlo po prijavi, ili je nekome baš bilo dosadno i prelistavao je Shodan (molim te pogledaj sekciju https://bezbedanbalkan.net/forum-7.html gde smo objavili više takvih primera).
Zakonski je izvodljivo, i nakon ove poruke siguran sam da će neka od kompanija bliskih državnom aparatu da iskoristi priliku i započne tako nešto. A ako se to ne desi, možemo mi, ali nam treba jako dobar pravni tim, i hosting kompanija i ISP, koji će da dozvole da ovo radimo sa njihovih resursa.

I još nešto, uzeći u obzir da si dobio upozorenje za neku prilično banalnu stvar, a i dalje stoje neki drugi kompromitovani .gov.rs sajtovi, to samo govori o neozbiljnosti trenutnog nacionalnog CERT-a i drugih odgovornih institucija. Ja bih voleo da je drugačije, i stalno nudim pomoć, ali na žalost to je istina i trenutno stanje (zadnjih 10 godina i više). Kada smo pokrenuli forum dobio sam slično upozorenje da je forum "bušan" od verovatno istih osoba, ali kada sam to video, samo sam se još više razočarao jer nisu čitali detalje već samo verzije.

@Petar je spomenuo i da je dobio komentare da se propusti ne prijavljuju dovoljno. I ja sam dobio slične komentare. Ali dve stvari bih dodao ovde, prvo to da smo mi pokrenuli forum jer je većina naših prijava ignorisana, i drugo građani nemaju svest o važnosti informatičke bezbednosti a tek onda o tome kako i gde da prijave nešto (a za to su direktno krivi opet CERT-ovi i slične institucije zbog svoje neaktivnosti). Dakle nije problem u manjku prijava.

Uglavnom, ako neko vidi kako možemo da preduzmemo sledeći korak, moguće i uz pomoć držvanog sektora i CERT-ova, može da računa na moju punu podršku. Bezbednost građana je naša dužnost.
“If you think you are too small to make a difference, try sleeping with a mosquito.” - Dalai Lama XIV
Reply
#5
"The United Kingdom’s National Cyber Security Centre (NCSC) is scanning all Internet-exposed devices hosted in the United Kingdom for vulnerabilities. These activities cover any internet-accessible system that is hosted within the UK and vulnerabilities that are common or particularly important due to their high impact. The NCSC uses the data we have collected to create an overview of the UK’s exposure to vulnerabilities following their disclosure, and track their remediation over time.”

Kompletan clanak: https://securityaffairs.co/wordpress/138...ernet.html
Reply


Forum Jump:


Users browsing this thread: 1 Guest(s)