JT sąmoningai paslėpė didžiulį įsilaužimo išpuolį, kuris galėjo sukelti pavojų daugybei žmonių
Kasdien pasirodo naujienos apie kibernetinius išpuolius, nukreiptus į bet kokio pavidalo ir dydžio organizacijas, ir tai dažnai lydima kritikos aukai. Paprastai problema yra susijusi su incidento tvarkymu, tačiau taip pat yra atvejų, kai kibernetinio išpuolio aukos yra pasmerktos už tai, kad nesiėmė pakankamai atsargumo priemonių, kad pažeidimas visų pirma nepasikartotų. Vakar Jungtinės Tautos, organizacija, atsakinga už, be kita ko, trapios taikos išsaugojimą mūsų brangioje planetoje, pripažino, kad ją nukreipė įsilaužėliai. Galima sakyti, kad žmonės gali tai kritikuoti ne tik dėl to, kad nesugebėjo užkirsti kelio pažeidimui, bet ir dėl to, kaip ji apie tai pranešė.
Table of Contents
JT patyrė „gerai aprūpintą“ kibernetinį puolimą 2019 m. Vasarą
Prieš imdamiesi JT klaidų, pirmiausia turime pamatyti, kas nutiko. Juk mes kalbame apie didžiulę organizaciją, atsakingą už didžiulį duomenų kiekį. Dalis jo yra tokia jautri, kad patekus į netinkamas rankas gali prarasti žmonių gyvybes. Laimei, jei reikia patikėti JT, įsilaužėliams nepavyko pasiekti jautriausios informacijos.
Remiantis oficialiu pranešimu, išpuolis smogė „pagrindiniams infrastruktūros komponentams“ JT biuruose Vienoje ir Ženevoje. Vienas iš JT ginklų Ženevoje yra vyriausiojo žmogaus teisių komisaro (OHCHR) biuras ir buvo patvirtinta, kad jos serveriai buvo nukreipti į taikinį. Laimei, užpuolikams pavyko patekti į vystymosi aplinką, o tai taip pat gerai, nes OHCHR tikriausiai tvarko neskelbtinus duomenis, kurie tam tikrus režimus gali paskatinti aktyvistų persekiojimui. Negalėdami pamatyti šios informacijos, įsilaužėliai sugebėjo sugadinti kai kuriuos „Active Directory“ vartotojo ID, nors JT greitai pabrėžė, kad slaptažodžiai nebuvo pavogti.
JT pareigūnai pirmenybę teikė ne per daug detalėms apie tai, kas dar buvo sukompromituota. Tačiau jie pabrėžė, kad incidentas buvo „rimtas“, ir jie suponavo, kad JT užpuolė sudėtinga įsilaužėlių grupė, turinti daugybę išteklių. Nors taip gali būti, atakos sėkmė negali būti visiškai priskiriama prie įsilaužėlių įgūdžių. Pagrindinį vaidmenį taip pat vaidino JT aplaidus pleistro valdymas.
Ataka buvo sėkminga dėl atidėto atnaujinimo
Daugelis žmonių nerimauja, nes vakarykštis pranešimas dar kartą įrodo, kad sėkmingai gali būti nulaužtos net didžiulės pasaulinės svarbos organizacijos. Tikrai baisu yra tai, kad šios organizacijos lieka pažeidžiamos kibernetinių išpuolių.
Norėdami suprasti, kas nutiko, turime atsukti laiką atgal į 2019 m. Vasario mėn., Kai saugumo tyrinėtojai nustatė nuotolinio kodo vykdymo trūkumą „Microsoft SharePoint“ - bendradarbiavimo dokumentų ir failų valdymo sistemoje, naudojamoje šimtams tūkstančių organizacijų visame pasaulyje. Dėl trūkumų įsilaužėliai gali apeiti „SharePoint“ autentifikavimą ir vykdyti kodą tiksliniame serveryje. Galimos tokio išpuolio pasekmės buvo didžiulės, todėl pažeidžiamumas buvo klasifikuojamas kaip kritinis, jam buvo suteiktas CVE numeris (CVE-2019-0604), o darbas su pataisu pradėtas nedelsiant. Kovo mėnesį „Microsoft“ išleido atnaujinimą, kuriame buvo nurodytas CVE-2019-0604 daugelyje paveiktų „SharePoint“ versijų, o 2019 m. Balandžio 25 d. Išleido dar vieną pataisą likusioms pažeidžiamoms platformoms.
JT IT politika, matyt, diktuoja, kad saugos atnaujinimai turi būti įdiegti per mėnesį nuo jų išleidimo, tačiau, deja, taisyklių nesilaikoma labai griežtai. 2019 m. Liepą įsilaužėliai išnaudojo CVE-2019-0604 JT platformoje „SharePoint“ ir gavo prieigą prie organizacijos serverių.
Kibernetinio saugumo specialistai investuoja gana daug laiko ir pastangų įtikindami vartotojus ir įmones, kad programinės įrangos programų ir operacinių sistemų atnaujinimas yra nepaprastai svarbus. Mes visi linkę manyti, kad pasaulinės reikšmės organizacijoms dirbantiems IT ekspertams to nereikia priminti, bet, matyt, taip nėra.
Pats laikas mums visiems sužinoti, kad nėra jokios priežasties ignoruoti saugos naujinimus. Taip pat turime pamatyti, kaip JT tvarkė incidentą, ir mokytis iš jo klaidų.
JT sąmoningai laikė ataką slapta
Sunku spėlioti, ar JT vakar ketino atskleisti pažeidimą, ar ne, tačiau faktas yra tas, kad kelios valandos prieš organizacijos pareigūnus stovėjo prieš kameras, agentūra pavadinimu „The New Humanitarian“ (TNH). sulaužė naujienas. Ataskaita buvo gana ilgo tyrimo, pradėto 2019 m. Lapkritį, rezultatas, kai vyresnysis TNH redaktorius Benas Parkeris užklupo JT vidaus ataskaitą nuo praėjusių metų rugpjūčio pabaigos.
Tai atskleidė, kad tuo metu JT IT komanda buvo įkišta į visas skylutes ir tiria, kas nutiko. Tuo metu ekspertai bendravo tarpusavyje ir bandė įvertinti žalą. Anoniminis IT pareigūnas TNH teigė, kad visa tai buvo „didelis nuosmukis“, o iš tikrųjų Beno Parkerio tyrimas atskleidžia, kad užpuolimo metu buvo pakenkta ne mažiau kaip 40 serverių. Serveriai greičiausiai buvo susieti su žmogiškaisiais ištekliais ir sveikatos draudimo sistemomis, o tai reiškia, kad, nepaisydami žmogaus teisių aktyvistų sąrašų, įsilaužėliai sugebėjo prieiti prie JT darbuotojų Ženevoje ir Vienoje esančios asmeninės informacijos.
TNH tyrimas taip pat rodo, kad JT ragino savo darbuotojus pakeisti slaptažodžius, tačiau visiškai neketino pasakyti jiems, kad jų duomenys buvo kibernetinio užpuolimo taikinys. Vieninteliai žmonės, kurie žinojo apie šį įvykį, buvo IT specialistai, atsakingi už netvarkos valymą, ir žmonės, keliantys aukštesnę hierarchiją.
Jei tai būtų normali organizacija, ji būtų turėjusi visokių problemų. Bauda pagal ES GDPR būtų buvusi didžiulė, o faktas, kad nukentėję darbuotojai nebuvo laiku informuoti, būtų buvęs tvirtas pagrindas ieškiniui. Vis dėlto JT nėra normali organizacija. Jis turi diplomatinį imunitetą, o tai reiškia, kad reguliavimo institucijos neturi įstatyminių teisių reikalauti, kad jis būtų atskaitingas, o nukentėjusiems asmenims taip pat nėra pakankamai galimybių.
Vienintelis dalykas, kurį šiuo metu galime padaryti, yra viltis, kad kitos organizacijos, tiek didelės, tiek mažos, išmoktų keletą pamokų.
