Category Archives: Uncategorized

Άσκηση Κυβερνοάμυνας «ΠΑΝΟΠΤΗΣ 2017»

Η ετήσια εθνική άσκηση κυβερνοάμυνας «Πανόπτης» διεξάγεται κάθε χρόνο από το 2010, σε ελεγχόμενο περιβάλλον, υπό τον συντονισμό της Διεύθυνσης Κυβερνοάμυνας (ΔΙΚΥΒ) του Γενικού Επιτελείου Εθνικής Άμυνας (ΓΕΕΘΑ). Η φετινή άσκηση, πραγματοποιήθηκε από τις 29 Μαΐου έως τις 2 Ιουνίου και σε αυτή συμμετείχαν περισσότερα από διακόσια (200) άτομα (εκπρόσωποι των Ενόπλων Δυνάμεων, των Σωμάτων Ασφαλείας, στελέχη φορέων που διαχειρίζονται κρίσιμες υποδομές, ιδιώτες ερευνητές και μέλη της ακαδημαϊκής και ερευνητικής κοινότητας).

Η άσκηση αποτελούταν από τα ακόλουθα εκπαιδευτικά αντικείμενα (επεισόδια), για την προετοιμασία των οποίων χρειάστηκαν τουλάχιστον έξι (6) μήνες σχεδιασμού:

  1. Εγκληματολογική ανάλυση συστήματος Windows (Windows Forensics)
  2. Εντοπισμός και εκμετάλλευση ευπαθειών διαδικτυακής εφαρμογής (Web Challenge)
  3. Εγκληματολογική ανάλυση συστήματος Linux (Linux Forensics)
  4. Εγκληματολογική ανάλυση συστήματος android (Mobile Forensics)
  5. Κατάληψη σημαίας “Capture The Flag” (CTF)
  6. Εγκληματολογική ανάλυση δικτύου (Network Forensics)

Μια άσκηση κυβερνοάμυνας είναι αντίστοιχης βαρύτητας και σημασίας με τις στρατιωτικές ασκήσεις για την ασφάλεια μιας χώρας. Αντικειμενικός σκοπός τέτοιων ασκήσεων είναι, να εξεταστούν οι διαδικασίες και οι δυνατότητες οργανισμών και κρίσιμων υποδομών, στην αντιμετώπιση των κυβερνοεπιθέσεων και να εκπαιδευτούν οι συμμετέχοντες σε πραγματικές συνθήκες.

Στην κυβερνοάσκηση «Πανόπτης 2017» συμμετείχε η ομάδα InfoSec του Πανεπιστημίου Μακεδονίας, η οποία επιχειρησιακά εξασκήθηκε στο επεισόδιο CTF. Το εν λόγω επεισόδιο αποτελούνταν από επιμέρους δραστηριότητες, με το πέρας των οποίων εντοπίζονταν αλφαριθμητικές ακολουθίες (flags) στις οποίες αντιστοιχούσαν πόντοι, ανάλογοι με το βαθμό δυσκολίας τους. Ενδεικτικές δραστηριότητες του φετινού CTF αποτελούσαν:

  • ηλεκτρονική εγκληματολογία (digital forensics),
  • ανίχνευση κρυμμένης πληροφορίας (στεγανογραφία, κωδικοποίηση),
  • ανταλλαγή πληροφοριών,
  • εξέταση δικτυακής κίνησης (network forensics), κ.ά.

WannaCry: Η πρόσφατη κυβερνο-επίθεση με ransomware

Ο τελευταίος απολογισμός της παγκόσμιας κυβερνοεπίθεσης με το επικίνδυνο κακόβουλο λογισμικό WannaCry δείχνει ότι έχουν μολυνθεί πάνω από 200.000 συστήματα σε τουλάχιστον 150 χώρες σε όλο τον κόσμο. Σύμφωνα με το «Ευρωπαϊκό Κέντρο για το Έγκλημα στον Κυβερνοχώρο» (European Cybercrime Centre – EC3) της Europol, πρόκειται για μια πρωτοφανούς κλίμακας επίθεση, της οποίας η διακρίβωση και ο εντοπισμός των δραστών (attribution) θα απαιτήσει περίπλοκες μεθόδους εξέτασης ψηφιακών αποτυπωμάτων.
Το πρώτο κρούσμα της επίθεσης καταγράφηκε στο Λονδίνο την Παρασκευή 12 Μαΐου 2017. Μεταξύ των στόχων συγκαταλέγονται 16 νοσοκομεία της Μ. Βρετανίας, η εταιρεία τηλεπικοινωνιών Telefonica στην Ισπανία, η εταιρεία Gas Natural και η ηλεκτρική εταιρεία Iberdrola.
Σύμφωνα με την SANS, το WannaCry συγκαταλέγεται στις ψηφιακές απειλές τύπου Ransomware, ενώ για την επίτευξη της περαιτέρω εξάπλωσης του περιλαμβάνει και ένα πακέτο κακόβουλου κώδικα τύπου Worm. Για τη δημιουργία του WannaCry, αναφέρθηκε ότι οι δράστες εκμεταλλεύθηκαν ένα κομμάτι κώδικα του εργαλείου Eternal Blue που φέρεται να χρησιμοποιούσε η Αμερικάνικη μυστική υπηρεσία NSA για την απομακρυσμένη παρείσφρηση σε συστήματα και το οποίο αποκαλύφθηκε τον περασμένο μήνα (Απρίλιο) από την ψηφιακή συμμορία “Shadow Brokers”.


Δράση
Η αρχική επίθεση του κακόβουλου λογισμικού WannaCry, εικάζεται ότι ξεκίνησε, μετά την επιτυχημένη ολοκλήρωση μιας πολύ καλά οργανωμένης επίθεσης, τύπου “Phishing email” (παραπλανητικό μήνυμα ηλεκτρονικού ταχυδρομείου), στο πληροφοριακό σύστημα του Εθνικού Συστήματος Υγείας της Βρετανίας. Αν ο ισχυρισμός αυτός είναι αληθής, μπορεί να ειπωθεί ότι το WannaCry ανήκει στην κατηγορία κακόβουλου λογισμικού Trojan Horse.
Οι μέχρι σήμερα πληροφορίες καταδεικνύουν ότι τα βασικά τμήματα του κακόβουλου κώδικα του Wannacry είναι τα εξής:
  1. το πρώτο τμήμα επιτυγχάνει την εξάπλωση-διάδοσή του σε τοπικό δίκτυο. Για το σκοπό αυτό, εκμεταλλεύεται μια ευπάθεια του πρωτοκόλλου “Server Message Block” (SMB) των Windows, γνωστή ως EternalBlue. Το συγκεκριμένο πρωτόκολλο επιτρέπει τη διαχείριση απομακρυσμένων αρχείων, σαν να επρόκειτο για τοπικά. Αυτός είναι και ο λόγος της ταχύτατης εξάπλωσης του συγκεκριμένου κακόβουλου λογισμικού, αφού μετά τη διάδοσή του σε ένα καινούριο μηχάνημα, εκτελείται αυτόματα, χωρίς να απαιτείται δηλαδή ενέργεια από κάποιον χρήστη. Με βάση αυτό το χαρακτηριστικό, μπορεί να ειπωθεί ότι ανήκει στην κατηγορία των Net Worms.
  2. το δεύτερο τμήμα αναλαμβάνει την κρυπτογράφηση των αρχείων δεδομένων (ήχου, εικόνας, βίντεο, αρχεία Office) του συστήματος-στόχου και στη συνέχεια ζητά από τον χρήστη την πληρωμή λύτρων (σε νόμισμα bitcoin), ώστε να αποκρυπτογραφηθούν κατόπιν τα αρχεία. Με βάση την συμπεριφορά αυτή, το WannaCry μπορεί να ταξινομηθεί στην κατηγορία των Ransomware.
  3. το τρίτο τμήμα κώδικα λειτουργεί ως δικλίδα ασφαλείας για την εξάπλωσή του. Συγκεκριμένα, ελέγχει την ύπαρξη μιας ιστοσελίδας με συγκεκριμένο όνομα (domain name). Όσο δεν έχει καταχωρηθεί το domain αυτής της ιστοσελίδας, τόσο το λογισμικό συνεχίζει την εξάπλωσή του. Στην αντίθετη περίπτωση, σταματά να εξαπλώνεται. Υπάρχουν βέβαια αναφορές, για εκδόσεις του WannaCry, οι οποίες ανταποκρίνονται σε διαφορετικά ονόματα ιστοσελίδων, ακόμα και για εκδόσεις οι οποίες έχουν απενεργοποιημένο αυτό το κομμάτι του λογισμικού. Με βάση την συμπεριφορά αυτή, το συγκεκριμένο κακόβουλο δείγμα μπορεί να ταυτοποιηθεί και ως Logic Bomb. Στην κυριολεξία θα μπορούσαμε να πούμε ότι αποτελεί Reverse Logic Bomb, δεδομένου ότι η ικανοποίηση της συνθήκης σταματά τη λειτουργία του (και δεν εκκινεί κάποια λειτουργικότητα, ως συνήθως).
Σημαντικά στοιχεία
Το βασικότερο σημείο το οποίο χρήζει αναφοράς, είναι το γεγονός ότι το WannaCry δεν εκμεταλλεύτηκε κάποια άγνωστη ευπάθεια (zero day exploit), αλλά μια ήδη γνωστή. Το λυπηρό είναι ότι, ενώ από τον Μάρτιο η Microsoft είχε προβεί στην αντιμετώπιση της ευπάθειας αυτής, εκδίδοντας την αναβάθμιση ασφάλειας MS17-010, τα γεγονότα δείχνουν ότι δεν έγινε η εγκατάστασή της σε όλα τα συστήματα. Επίσης, σημαντικό είναι και το γεγονός ότι η λύση της Microsoft αντιμετωπίζει μόνο τον τρόπο με τον οποίο διαδίδεται και αυτοματοποιημένα εκτελείται το κακόβουλο λογισμικό. Αν για κάποιο λόγο εκκινήσει με ενέργεια του χρήστη, όπως η αρχική εκκίνηση μέσω email που περιγράφηκε προηγουμένως, τότε ο μηχανισμός κρυπτογράφησης θα ολοκληρώσει κανονικά την λειτουργία του.
Το τρίτο, άξιο αναφοράς σημείο, είναι ότι άπαξ και ολοκληρωθεί η διαδικασία της κρυπτογράφησης, είναι πολύ δύσκολη, αν όχι αδύνατη, η αντιστροφή της. Αρκεί να αναφερθεί ότι τα Windows 7, μπορούν να χρησιμοποιήσουν τον αλγόριθμο AES με δυνατότητα κλειδιού μήκους 16384-bit. Ως εκ τούτου, η αποκρυπτογράφηση ακόμα και με ισχυρές τεχνικές (π.χ. Brute force) έχει ανάξιες λόγου πιθανότητες επιτυχίας. Παρόλα αυτά, διάφοροι φορείς ασφαλείας αναφέρουν ότι εργάζονται και προς αυτήν την κατεύθυνση. Επίσης, βασικό χαρακτηριστικό της επίθεσης είναι ότι, όσο μεγαλύτερο ήταν το δίκτυο στο πληροφοριακό σύστημα του στόχου, τόσο μεγαλύτερη ήταν και η ζημιά που προκλήθηκε. Αυτό το γεγονός βέβαια, οφείλεται στην κατασκευή του συγκεκριμένου λογισμικού, η οποία και του προσδίδει έντονα επιθετική συμπεριφορά.


Στόχος της κυβερνοεπίθεσης
Όπως σημείωσε ο Λοράν Εσλόλ, διευθυντής στρατηγικής ασφάλειας στην εταιρεία Symantec, δεδομένου ότι το εύρος της επίθεσης είναι πολύ μεγάλο, μπορούμε να διερωτόμαστε εάν ο στόχος του ήταν το κυβερνοχάος ή η αποκόμιση μεγάλων χρηματικών ποσών από την καταβολή λύτρων.


Το αίτιο της μεγάλης έκτασης
Ο βαθύτερος λόγος στον οποίο οφείλεται η γρήγορη εξάπλωση και η μεγάλη έκταση της επίθεσης, είναι το γεγονός ότι, πολλοί χρήστες, εταιρείες, νοσοκομεία, δημόσιοι και ιδιωτικοί φορείς, δεν πραγματοποιούν συχνά τις απαραίτητες ενημερώσεις στο σύστημα.


Μέτρα και Αντίμετρα
Όπως σε κάθε περίπτωση, έτσι και σε αυτήν, η προστασία από το WannaCry, χωρίζεται σε τρεις κατηγορίες· στα μέτρα πρόληψης, στα αντίμετρα καταστολής και στα αντίμετρα ανάνηψης.


Μέτρα Πρόληψης
  1. Όσο το δυνατόν ταχύτερη εγκατάσταση ενημερώσεων, είτε του λειτουργικού συστήματος, είτε των εφαρμογών.
  2. Ενημέρωση των τελικών χρηστών ώστε να μην ανοίγουν παραπλανητικά ή διαφημιστικά μηνύματα και κυρίως να μην εκτελούν αρχεία που δεν γνωρίζουν ή δεν εμπιστεύονται την προέλευσή τους.
  3. Εγκατάσταση και χρησιμοποίηση προγράμματος προστασίας, σε πραγματικό χρόνο,
    από κακόβουλο λογισμικό (antivirus).
  4. Δημιουργία αντιγράφων ασφαλείας σε τακτική βάση (back up). Τα αντίγραφα θα πρέπει, είτε να τηρούνται σε αφαιρούμενο αποθηκευτικό μέσο, είτε απομακρυσμένα (π.χ. cloud storage).
Αντίμετρα Καταστολής
  1. Στην περίπτωση που βρεθεί κάποιο σύστημα τοπικού δικτύου μολυσμένο, άμεση απενεργοποίηση της θήρας 445 (αυτήν χρησιμοποιεί το πρωτόκολλο SMB), μέσω του τείχους προστασίας, για όλο το δίκτυο. Με την κίνηση αυτή μπορεί να αποτραπεί η διάδοση του WannaCry στα υπόλοιπα συστήματα του δικτύου, μέχρι να καταστεί δυνατή η εφαρμογή πιο εξειδικευμένων και ολοκληρωμένων λύσεων.
  2. Εγκατάσταση της σχετικής ενημέρωσης ασφαλείας της Microsoft σε όλα τα συστήματα του δικτύου. Να τονισθεί ότι, για την συγκεκριμένη περίπτωση, δημιουργήθηκε ενημέρωση για όλες τις εκδόσεις των Windows, ακόμη και γι’ αυτές οι οποίες πλέον δεν υποστηρίζονται.
Αντίμετρα Ανάνηψης
Την παρούσα χρονική στιγμή, δεν υπάρχουν συγκεκριμένα αντίμετρα, για την ανάνηψη από την επίθεση του WannaCry. Η ανάνηψη ουσιαστικά θα πρέπει να επαναφέρει το μολυσμένο σύστημα στην προ της μολύνσεως κατάσταση. Δύο γεγονότα δεν συνηγορούν προς αυτήν την κατεύθυνση. Το πρώτο, όπως αναφέρθηκε και προηγουμένως, είναι η δυσκολία στην αποκρυπτογράφηση των αρχείων. Το δεύτερο, είναι η ελλιπής μέχρις στιγμής ανάλυση του WannaCry για τις ακριβείς μεταβολές (πέραν της κρυπτογράφησης) που επιφέρει σε ένα σύστημα.


Καταβολή Λύτρων
Το ερώτημα για την καταβολή ή όχι των λύτρων, απασχολούσε ανέκαθεν τους εμπλεκόμενους, σε όλες τις μορφές του εκβιασμού, είτε στον πραγματικό, είτε στον ψηφιακό κόσμο. Η επίσημη άποψη των διωκτικών αρχών, αλλά και των φορέων κυβερνοασφάλειας, είναι σε κάθε περίπτωση η μη καταβολή των λύτρων. Την άποψη αυτή την υποστηρίζουν χρησιμοποιώντας τρία επιχειρήματα. Το πρώτο από αυτά, έγκειται στο γεγονός ότι η καταβολή των λύτρων, επιβραβεύει ουσιαστικά την παρανομία και δίνει κίνητρο στους δράστες να την επαναλάβουν, διαιωνίζοντας την κατάσταση. Το δεύτερο είναι πως δεν υπάρχει καμία εγγύηση ότι οι δράστες θα προβούν στην αποκρυπτογράφηση των αρχείων. Το τρίτο επιχείρημα είναι ότι δεν υπάρχει καμία εγγύηση πως, σε μεταγενέστερη χρονική στιγμή, οι ίδιοι δράστες δεν θα προβούν σε καινούρια κρυπτογράφηση. Στην αντίπερα όχθη βρίσκονται τα ίδια τα θύματα, που μόνο τα ίδια γνωρίζουν την κατάσταση στην οποία βρίσκονται. Έτσι αν κρυπτογραφήθηκαν πολύτιμα αρχεία, τα οποία είναι δύσκολο-αδύνατο να δημιουργηθούν από την αρχή, είναι βραχυπρόθεσμα αναγκαία και δεν πάρθηκαν αντίγραφα ασφαλείας, είναι πολύ πιθανό το θύμα να υποκύψει στον εκβιασμό, παρά τις όποιες συστάσεις.


Αθανάσιος Δημητριάδης, Ιωάννης Γαϊτάνης

SACMAT 2017 in Indianapolis (June 19-23, 2017)

The ACM Symposium on Access Control Models and Technologies (SACMAT) is the premier forum for the presentation of research results and experience reports on leading edge issues of access control, including models, systems, applications, and theory. The aims of the symposium are to share novel access control solutions that fulfil the needs of heterogeneous applications and environments, and to identify new directions for future research and development. SACMAT provides researchers and practitioners with a unique opportunity to share their perspectives with others interested in the various aspects of access control.

More Info: http://www.sacmat.org/

Ruhr-Sec 2017 (May 04-05, 2017)

RuhrSec is the non-profit security conference at the Ruhr University Bochum. As one of the organizers of the famous lecture called HackPra, we are hosting a high-quality and low-priced security conference in the heart of Bochum near the river Ruhr. We provide awesome academic and industry talks from smart international speakers, the typical Ruhr University feeling and the highly recommended HackPra social event.

CALL FOR PRESENTATIONS

In RuhrSec’s second edition we have a call for presentations (CFP). We are looking for outstanding IT security topics. Please submit your proposal to the RuhrSec programme committee until the 15th of January 2017. We have an ongoing acceptance process, your chance is higher if you submit as early as possible. Your talk must have a length of 45 minutes including Q&A and it has to be in English.

Each speaker gets a free two-day conference ticket, an invitation to the speakers dinner on Wednesday, and a travel reimbursement up to a limit of EUR 800 (economy).

More Info: https://www.ruhrsec.de/2017/

MACIS 2017 in Vienna (November 15-17, 2017)

International Conference on Mathematical Aspects of Computer and Information Sciences (MACIS) 2017 will be held in Vienna, Austria at the University of Applied Sciences Technikum Wien, on November 15-17, 2017. This is the 7th conference in the MACIS series.

MACIS is a series of biennial conferences focusing on research in mathematical and computational aspects of computing and information science. It is broadly concerned with algorithms, their complexity and their embedding in larger logical systems. At the algorithmic level, there is the rich interplay along the Numerical/Algebraic/Geometric/Topological axes. At the logical level, there are issues of data organization, interpretation and associated tools. These issues often arise in scientific and engineering computation where we need experimental and case studies to validate or enrich the theory. MACIS is interested in outstanding and emerging problems in all these areas.

The MACIS Conference 2017 is organized by SBA Research.

More Info: https://macis2017.sba-research.org/