Παρακολουθούμε με ιδιαίτερο ενδιαφέρον τις τελευταίες ημέρες το θέμα που έχει προκύψει με τους κυβερνοεκβιασμούς εναντίον Ελληνικών Τραπεζών, όπου κυβερνοεγκληματίες ζητούν χρηματικά ποσά για να σταματήσουν επιθέσεις DDOS εναντίον των συστημάτων Ebanking.
Όπως είναι σε θέση να γνωρίζει το SecNews από το ρεπορτάζ, η προθεσμια που έχει δώσει η κυβερνοσυμμορία στις Τράπεζες για καταβολή των χρηματικών ποσών εκπνέει την Τεταρτή προς Πέμπτη, στις 12 τα μεσάνυχτα.
Οι Armada Collective, ομάδα άμεσα συνδεδεμένη με τους DD4BC (ή κατα πολλούς η ιδια ομάδα με αλλαγμένο όνομα) δημιούργησαν εξαιρετικά μεγάλη ανησυχία στο σύνολο των Ελληνικών υπηρεσιών ασφάλειας.
Ο Υποστράτηγος Τόσκας (αναπληρωτής Υπουργός Προστασίας του Πολίτη) με τον Ιωάννη Ρουμπάτη (Διοικητή της ΕΥΠ) σε απόλυτη συνεργασία με τον Υποστράτηγο Μ. Σφακιανάκη Διοικητή της Δίωξης Ηλεκτρονικού Εγκλήματος συνεργάζονται από την πρώτη στιγμή για την υπόθεση ενημερώνοντας μάλιστα απευθείας τον Πρωθυπουργό Αλέξη Τσίπρα.
Όπως μάλιστα προκύπτει από το επιβεβαιωμένο ρεπορτάζ, πηγές αναφέρουν ότι είναι η πρώτη φορά στα ελληνικά χρονικά όπου οι υπηρεσίες δούλεψαν στην εντέλεια, με πλήρη συνεργασία μεταξύ τους ώστε να επιτευχθεί ο κοινός στόχος της αντιμετώπισης των εισβολέων. Κάτι τέτοιο ίσως δεν έχει ξανασυμβεί στην Ελλάδα, η κοινή δηλαδή επιτελική δράση & διαχείριση ενός κρίσιμου συμβάντος και μάλιστα στον τομέα του cyber!!! Πολλές φορές οι διάφορες υπηρεσίες ασφάλειας στο παρελθόν, προσπαθούσαν να διαχειριστούν από μόνες τους τις όποιες πληροφορίες ελάμβαναν χωρίς να ενημερώνουν αντίστοιχες “όμορες” υπηρεσίες,ώστε να λάβουν αυτές τα εύσημα. Φαίνεται όμως ότι αυτές οι πρακτικές, ανήκουν πλέον στο παρελθόν, γεγονός που επιβεβαιώθηκε από το παρόν περιστατικό!
Πέρα όμως από τις δράσεις που πραγματοποιούνται επιτυχώς σε υπηρεσιακό επίπεδο για την αντιμετώπιση της κυβερνοεπίθεσης εντύπωση προκαλούν τα μέτρα (ή για να είμαστε πιο ακριβείς η έλλειψη μέτρων) που είχαν (ή δεν είχαν) λάβει οι εμπλεκόμενες τράπεζες για την διασφάλιση τους από επιθέσεις DDoS. Σε αυτό το σημείο αξίζει να αναφερθεί ότι η στοχοποίηση των εγκληματιών αφορούσε 3 τράπεζες, από τις πλέον καταξιωμένες στο χώρο και με μεγάλο αριθμό πελατών στα συστήματα e-banking τους. Οφείλουμε να αποσαφηνίσουμε ότι η επίθεση αφορούσε άρνηση υπηρεσίες DDOS και σε καμία περίπτωση υποκλοπή δεδομένων πελατών, κάτι που πλέον έχει επιβεβαιωθεί και απο τις αρχές!
Ίσως όμως η επίθεση που πραγματοποιήθηκε να μπορούσε να αποφευχθεί με τους πλέον απλούς τεχνικούς τρόπους. Και εξηγούμαστε:
Οι επιθέσεις DDOS αποτελούν τις πλέον διαδεδομένες επιθέσεις, που μάλιστα δεν απαιτούν υψηλή κατάρτιση των επιτιθέμενων γιαυτό και συνήθως πραγματοποιούνται από τους λεγόμενους scriptkids, για εντυπωσιασμό. Αυτή την στιγμή υπάρχουν στην μαύρη αγορά (dark market) υπηρεσίες DDOS προς ενοικίαση με τιμές που ξεκινούν από 40-100€ την ημέρα (ποσό ιδιαίτερα χαμηλό). Είναι λοιπόν υπηρεσίες DDoS as a Service όπου ο καθένας μπορεί να μισθώσει botnets γι’αυτο το σκοπό.
Από τις πλέον γνωστές ομάδες, χαμηλής τεχνογνωσίας αλλά που χρησιμοποιούν τις επιθέσεις DDOS για ίδιο όφελος είναι οι Lizard Squad και οι DD4BC (η ομάδα που χτύπησε τις Ελληνικές Τράπεζες). Οι ομάδες αυτές αποτελούνται συνήθως από έφηβους που μισθώνουν έτοιμα εργαλεία, ενώ στις ομάδες είναι και κάποιοι high level hackers (μετρημένοι στα δάκτυλα του ενός χεριού) που δίνουν την σχετική κατεύθυνση αναφορικά με το είδος της επίθεσης.
Το SecNews προτείνει 3 απλά βήματα που πρέπει να ακολουθήσουν οι στοχευόμενες Τράπεζες για να ενεργοποιήσουν ισχυρά μέτρα άμυνας έναντι των εν λόγω επιθέσεων (ίσως ακόμα και τώρα):
- Χρήση Cloud based υπηρεσιών DNS (managed DNS Service). Σε περίπτωση που οι DNS υπηρεσίες βρίσκονται σε παρόχους που δεν διαθέτουν το απαραίτητο bandwidth, εφόσον πληγούν οι DNS τα υποσυστήματα των Τραπεζών δεν θα είναι ορατά στους πελάτες. Η χρήση Managed DNS Service με υποστήριξη Global Traffic Redirector, DNS Failover, DNSSEC και υποστήριξη IP Anycast routing εξασφαλίζει την 100% σταθερότητα στην παροχή DNS υπηρεσιών.
- Ύπαρξη DDOS Mitigation Plan. Η χρήση DDOS Mitigation υπηρεσιών που απαιτούν αλλαγή των DNS records για όσο διάστημα διαρκεί η επίθεση ή μόνιμα ώστε να γίνεται blackhole η κακόβουλη κίνηση,είναι από τις πλέον ενδεδειγμένες λύσεις ως πρώτη γραμμή άμυνας έναντι επιθέσεων DDOS. Πάροχοι όπως η INCAPSULA, η Cloudflare και η F5 είναι οι πλέον ενδεδειγμένες λύσεις για να ανταποκριθούν σε επιθέσεις DDOS. Στην Ελλάδα δεν υπάρχουν DDOS mitigation providers μιας και το συνολικό bandwidth της χώρας είναι πεπερασμένο και δεν μπορεί να αντιμετωπίσει ισχυρές επιθέσεις DDOS μεγέθους 600 ή 800 Gbit/second. Οι επιθέσεις έναντι των ελληνικών τραπεζών ήταν αυτής της κατηγορίας, γιαυτο και δημιουργήθηκαν προβλήματα στους UPLINK ISP των Τραπεζών (Providers).
- Διασπορά των Web υπηρεσιών σε πολλαπλά σημεία ώστε να επιτυγχάνεται global reach με χρήση cloud providers. Αυτό πέρα από την διαχείριση της web κίνησης επιτυγχάνει ολική ανακατεύθυνση σε άλλο σημείο σε περίπτωση που η επίθεση συνεχιστεί για αρκετές ημέρες.
Αξίζει να σημειώσουμε ότι και οι 3 τράπεζες που επλήγησαν σύμφωνα με διαδικτυακή έρευνα του SecNews, δεν ακολουθούσαν το παραπάνω τρίπτυχο. Δεν είχαν ενεργοποιημένες υπηρεσίες DDOS mitigation σε παρόχους του εξωτερικού (διέθεταν μόνο Web application firewall που δεν μπορεί να διαχειριστεί τόσο όγκο διαδικτυακής κίνησης), δεν είχαν cloud based global dns υπηρεσίες (χρησιμοποιούσαν DNS είτε στην υποδομή τους είτε του παρόχου) ενώ δεν είναι γνωστό να διέθεταν διασπορά web υπηρεσιών σε πολλαπλά σημεία globally (με χρήση cloud providers). Συνεπώς οι 3 γραμμές άμυνας έναντι επιθέσεων DDoS δεν υπήρχαν καν, αποτελώντας ευάλωτο στόχο του κάθε κυβερνοεγκληματία (και χαμηλού ή μέτριου γνωστικού επιπέδου)!
Αξίζει να σημειώσουμε ότι μέγαλος αριθμός ιστοσελίδων (ειδησεογραφικών, αθλητικών, eshops κλπ) στην Ελλάδα διαθέτουν εδώ και αρκετά χρόνια ενεργοποιημένα DDoS mitigation services και θεωρούμε αδιανόητο από τεχνικής απόψεως να μην διαθέτουν ενεργοποιημένες αντίστοιχες υπηρεσίες σελίδες Τραπεζών!!!
Πιθανόν τα ανωτέρω να ήταν θέμα μη πρόβλεψης, ή θέμα έλλειψης budget που δεν είχαν επιλεγεί. Αυτό είναι κάτι που θα το κρίνουν οι Διοικήσεις των Τραπεζών που επλήγησαν. Όμως ίσως να μην είναι αποκλειστικά ευθύνη των Τραπεζών αλλά ύπαρξης συγκεκριμένων regulations.
Πιθανόν (κάτι που δεν γνωρίζουμε) να είναι απαιτητό από την Τράπεζα της Ελλάδος,όπως συμβάινει σε άλλες χώρες,, χρηματοπιστωτικά ιδρύματα που δραστηριοποιούνται στην Ελλάδα να ακολουθούν κάποιους συγκεκριμένους κανόνες στο IT infrastructure (πχ τα συστήματα να βρίσκονται στον Ελλαδικό χώρο, ή οι DNS κλπ).
Εκτιμούμε ότι θα πρέπει η Τράπεζα της Ελλάδος να επανασχεδιάσει αυτούς τους κανονισμούς και να πραγματοποιήσει μια βαθύτερη μελέτη αναφορικά με τα συγκεκριμένα regulations. Οι διαδικτυακές υποδομές πλέον αλλάζουν με γοργό ρυθμό και σε ενα παγκοσμιοποιήμενο περιβάλλον, όπου και οι κίνδυνοι κυβερνοεγκληματιών είναι παγκοσμιοποιημένοι, οφείλουμε να ακολουθούμε τις τελευταίες τεχνολογικές εξελίξεις και να σχεδιάζουμε την ασφάλεια με το βλέμμα στις διεθνείς απειλές. Το να διατηρούμε απαρχαιωμένους ή μη ενημερωμένους κανονισμούς πιθανόν να δημιουργήσει αντίστοιχα ή σοβαρότερα προβλήματα στο μέλλον.
