NSA: Το πρόγραμμα EternalBlue | Αμυντικά και Στρατιωτικά Θέματα

0
Want create site? Find Free WordPress Themes and plugins.

Το πρόγραμμα EternalBlue εκμεταλλεύεται ένα κενό ασφαλείας του λειτουργικού συστήματος Microsoft Windows για μη εξουσιοδοτημένη απομακρυσμένη πρόσβαση και διέρρευσε με ένα τρόπο που το έκανε να γραφτεί στην ιστορία το 2017. Ήταν ένα πρόγραμμα από το ψηφιακό οπλοστάσιο της  aμερικανικής υπηρεσίας NSA (National Security Agency, Υπηρεσία Εθνικής Ασφαλείας) και εδώ θα το γνωρίσουμε λίγο καλύτερα.

Πηγή: TheLibertarianRepublic.com

Όπως παρουσιάζουμε συχνά σε άρθρα μας της κατηγορίας «Πολεμικά Παίγνια» όλα τα προγράμματα έχουν κενά ασφαλείας. Ωστόσο, δεν είναι όλα το ίδιο. Σε κάποια οι επιπτώσεις είναι τεράστιες (για παράδειγμα μη εξουσιοδοτημένη απομακρυσμένη πρόσβαση με δικαιώματα διαχειριστή συστήματος) ενώ σε άλλες είναι μικρές (όπως κάτι που θα «κρασάρει», δηλαδή θα σταματήσει τη λειτουργία ενός λογισμικού). Το EternalBlue ανήκει ξεκάθαρα στη πρώτη κατηγορία και θα δούμε εν συντομία το λόγο.

Πηγή: WillGenovese.com

Σύμφωνα με τις διαθέσιμες πληροφορίες που έχουμε σήμερα, ερευνητές ασφαλείας της NSA είχαν ανακαλύψει ότι στο υποσύστημα SMBv1 (Server Message Block version 1, Εξυπηρετητής Τμημάτων Δεδομένων έκδοση 1) είχε ένα κενό ασφαλείας που τους επέτρεπε να στέλνουν δεδομένα μέσω δικτύου που θα γραφτούν πέραν του χώρου μνήμης που είχε ορίσει ο προγραμματιστής. Αυτό ονομάζεται στο χώρο της ασφάλειας «buffer overflow» (υπερχείλιση μνήμης). Έπειτα από πολλές τεχνικές δυσκολίες για την εκμετάλλευση αυτού του κενού ασφαλείας κατάφεραν να γράψουν το πρόγραμμα EternalBlue.

Πηγή: Blog.trendmicro.com

Το ενδιαφέρον εδώ είναι ότι το SMB είναι ένα υποσύστημα απαραίτητο για τη λειτουργία του Microsoft Windows. Είναι υπεύθυνο για λειτουργίες όπως διαμοιρασμό εκτυπωτών, διαμοιρασμό αρχείων, κτλ. και η πρώτη του έκδοση, αυτή με το κενό ασφαλείας που βλέπουμε εδώ, ξεκίνησε το 1983. Το 2006 η Microsoft κυκλοφόρησε τη δεύτερη έκδοση μαζί με το λειτουργικό σύστημα Microsoft Vista αλλά αρκετοί συνέχισαν (και συνεχίζουν μέχρι και σήμερα) να χρησιμοποιούν τη πρώτη έκδοση παρά τις συστάσεις της Microsoft για κατάργηση της ή αναβάθμιση στη τελευταία έκδοση των Windows. Όσον αφορά το άγνωστο εκτός της NSA κενό ασφαλείας στο SMBv1, αφορούσε τις ακόλουθες εκδόσεις λειτουργικών συστημάτων.

  • Windows Vista SP2
  • Windows Server 2008 SP2 and R2 SP1
  • Windows Server 2008 R2 SP1
  • Windows 7 SP1
  • Windows 8.1
  • Windows Server 2012 Gold
  • Windows Server 2012 R2
  • Windows RT 8.1
  • Windows 10 Gold
  • Windows 10 1511
  • Windows 10 1607
  • Windows Server 2016
  • Και όλες τις παλαιότερες εκδόσεις όπως Windows XP, κτλ.

Πηγή: Heise.de

Ακόμα πιο ενδιαφέρον ήταν ότι το υποσύστημα SMBv1 δεν έδινε απλώς μη εξουσιοδοτημένη απομακρυσμένη πρόσβαση με το πρόγραμμα εκμετάλλευσης EternalBlue, αλλά καθότι ένα σύστημα βαθιά στο λειτουργικό σύστημα, λειτουργούσε με δικαιώματα διαχειριστή συστήματος. Μέχρι και σήμερα είναι άγνωστο για πόσο καιρό είχε στη κατοχή της αυτό το εργαλείο η NSA και που είχε πάρει πρόσβαση χρησιμοποιώντας το. Θεωρητικά, θα μπορούσε να έχει πρόσβαση σε οποιοδήποτε υπολογιστή με λειτουργικό σύστημα Windows μπορεί να στείλει πακέτα δεδομένων για SMBv1 μέσω δικτύου. Με απλά λόγια, εκατομμύρια, αν όχι δισεκατομμύρια συστήματα. Παρακάτω βλέπετε σε πραγματικό χρόνο και βήμα προς βήμα τη χρήση του EternalBlue, το μύνημα «Eternalblue Succeeded» (Το Eternalblue πέτυχε) δηλώνει ότι η επίθεση ολοκληρώθηκε με επιτυχία και υπάρχει πλήρης πρόσβαση.

Πηγή: bzdww.com

Αξίζει όμως να αναφέρουμε ότι οι υπηρεσίες αυτές είναι πολύ προσεκτικές και στοχευμένες με τη χρήση τέτοιων εργαλείων για ένα κυρίως λόγο. Εάν αποκαλυφθεί το κενό που εκμεταλλεύοντε τότε θα χάσουν ένα εργαλείο (το EternalBlue) που υπολογίζεται ότι κοστίζει εκατομμύρια δολάρια για έρευνα και ανάπτυξη καθώς ούτε αυτά τα κενά ασφαλείας είναι συνηθισμένα, ούτε είναι πάντα δυνατή η εκμετάλλευση τους λόγω των πολλαπλών μέτρων ασφαλείας που έχουν λειτουργικά συστήματα όπως το Microsoft Windows. Κάποια από αυτά τα εργαλεία απαιτούν χρόνια έρευνας και ανάπτυξης και έτσι οι υπηρεσίες δε τα «πετάνε» για ένα στόχο στον οποίο θα μπορούσαν να πάρουν πρόσβαση, για παράδειγμα, μαντεύοντας το κωδικό πρόσβασης.

Πηγή: Register.co.uk

Τι οδήγησε όμως στη διαρροή του EternalBlue εφόσον ήταν ένα τέτοιο ψηφιακό «υπερόπλο»; Όπως γνωρίζουμε σήμερα από την εταιρία ασφαλείας Symantec, το Μάρτιο του 2016 είχαν εντοπίσει ένα πρόγραμμα που είχε χρησιμοποιήσει η κυβέρνηση της Κίνας για να πάρει πρόσβαση σε ένα πελάτη τους. Το πρόγραμμα εκμεταλλεύονταν το ίδιο ακριβώς κενό ασφαλείας και ήταν παρόμοιο με το EternalBlue. Μέχρι σήμερα είναι άγνωστο εάν η Κίνα είχε υποκλέψει τις πληροφορίες για αυτό το κενό ασφαλείας από την NSA ή το είχαν ανακαλύψει μόνοι τους, αλλά εγείρει αρκετά ερωτηματικά. Ας προχωρήσουμε ακριβώς ένα έτος αργότερα.

Πηγή: IntrusionTruth.wordpress.com

Στις 14 Μαρτίου του 2017 η εταιρία Microsoft ανακοινώνει την αναβάθμιση υπ’αριθμόν MS17-010 που είχε χαρακτηριστεί ως κρίσιμη. Ανάμεσα στις άλλες βελτιώσεις και διορθώσεις, η αναβάθμιση αυτή κλείνει και το κενό ασφαλείας που εκμεταλλεύονταν το EternalBlue με επίσημο αριθμό κενού ασφαλείας CVE-2017-0144. Το ενδιαφέρον είναι ότι το κενό το ανέφερε στην εταιρία Microsoft η ίδια η NSA! Με δεδομένη τη σπουδαιότητα ενός τέτοιου εργαλείου για μία υπηρεσία που ειδικεύεται στις ηλεκτρονικές υποκλοπές, δύο είναι τα πιθανά σενάρια. Είτε η NSA γνώριζε ότι είχε διαρρεύσει το εργαλείο και θεώρησε μεγαλύτερο ρίσκο να έχει αυτό το όπλο ο «εχθρός», είτε γνώριζε ότι έχουν ανακαλύψει και άλλοι το ίδιο κενό ασφαλείας και το χρησιμοποιούν κατά Αμερικανικών στόχων.

Πηγή: Docs.microsoft.com

Οι περισσότεροι ειδικοί ασφαλείας παγκοσμίως εντόπισαν σχεδόν αμέσως τη διόρθωση του κενού ασφαλείας στην αναβάθμιση, αλλά κανένας δε κατάφερε να γράψει ένα πρόγραμμα εκμετάλλευσης του αρκετά γρήγορα. Γιατί αρκετά γρήγορα; Γιατί ένα μήνα αργότερα, στις 14 Απριλίου του 2017 μία ομάδα από χάκερ που εικάζεται ότι είναι βιτρίνα για τη κυβέρνηση της Ρωσίας, οι «Shadow Brokers», διέρρευσαν πολλά εργαλεία της NSA που είχαν υποκλέψει από εργαζόμενο του τμήματος TAO (Tailored Access Operations, Επιχειρήσεις Βελτιωμένης Πρόσβασης) της NSA. Αυτή την υπόθεση θα την αναλύσουμε σε ανεξάρτητο άρθρο. Ανάμεσα στα διάφορα εργαλεία ήταν και το EternalBlue.

Πηγή: TheHackerNews.com

Παρότι μιλάμε για δύο μήνες μετά την αναβάθμιση MS17-010 εκατομμύρια χρήστες δεν είχαν αναβαθμίσει τα συστήματα τους. Τρεις μήνες αργότερα, το Μάιο του 2017 η Βόρεια Κορέα εξαπέλυσε τον ιό τύπου ransomeware (δηλαδή κρυπτογραφεί όλα τα αρχεία και ζητάει λύτρα για να τα αποκρυπτογραφήσει) WannaCry. Αν και τα ransomeware δεν ήταν κάτι καινούργιο, το WannaCry είχε μία νέα τεχνική μόλυνσης. Αντί να περιμένει τους χρήστες να κάνουν κάποια ενέργεια, χρησιμοποίησε το εργαλείο EternalBlue από τη διαρροή των «Shadow Brokers» και έτσι όποιος είχε εκτεθειμένο στο διαδίκτυο υπολογιστή δίχως την αναβάθμισης μολύνονταν. Μέσα σε λιγότερο από δύο εβδομάδες παραπάνω από 200 χιλιάδες υπολογιστές είχαν πέσει θύματα του WannaCry της Βόρειας Κορέας, σταματώντας αεροδρόμια, νοσοκομεία, και διάφορες άλλες κρίσιμες υποδομές. Βλέπετε το μήνυμα λύτρων που εμφάνιζε το WannaCry μετά τη κρυπτογράφηση των αρχείων εδώ.

Πηγή: SecPod.com

Μέχρι και σήμερα το EternalBlue χρησιμοποιείται για μη εξουσιοδοτημένη απομακρυσμένη πρόσβαση και πλέον υπάρχουν δεκάδες παραλλαγές του διαθέσιμες σε οποιονδήποτε στο διαδίκτυο. Η ιστορία του EternalBlue αποτελεί ένα μεγάλο μάθημα της γνωστής ατάκας του Θείου Μπεν της Marvel «Με τη μεγάλη δύναμη έρχεται και η μεγάλη ευθύνη».

Πηγή: ZeroHedge.com

Το EternalBlue ήταν το όνειρο κάθε ειδικού υποκλοπών ηλεκτρονικών πληροφοριών/σημάτων. Απλά δήλωνες τη διεύθυνση IP του στόχου και σε ελάχιστα δευτερόλεπτα είχες πλήρη απομακρυσμένη πρόσβαση ως διαχειριστής συστήματος με αξεπέραστο επίπεδο αξιοπιστίας και σχεδόν αδύνατο να το εντοπιστεί. Αλλά, ένα τόσο ισχυρό εργαλείο μπορεί να φέρει και καταστροφικά αποτελέσματα και η Βόρεια Κορέα το απέδειξε έμπρακτα με ζημιές πολλών δισεκατομμυρίων δολαρίων σε όλο το δυτικό κόσμο.

Source link

Did you find apk for android? You can find new Free Android Games and apps.