Sajber Bezbednost

Kako su hakovani i preuzeti Panamski Papiri

 

Na različitim stranama možemo da pročitamo kako su hakovani i preuzeti Panamski Papiri ili #PanamaPapers. Odgovornost je svakako na firmi Mossack Fonseca iz Paname, a ovde će biti reči o njihovim bezbednosnim propustima na mreži i u programu.

Podaci koji su preuzeti sa servera advokatske firme Mossack Fonseca iz Paname otkrili su tajne i finansijske strukture svetskih bogataša kako bi prikrili svoje imovinsko stanje širom sveta.

Naše kolege koje se bave etičkim hakovanjem i bezbednošću na Internetu  došli su do podatka o propustima do kojih je dovela ova afera.
Analize do kojih se došlo pokazuju da je vebsajt firme Mossack Fonseca imao propust u pluginu (dodatku) koji se koristi na platformi WordPress pod nazivom Revolution Slider.

Naime, poznati plugin Revolution Slider se u tom trenutku nalazio u zastareloj verziji koje nije bila ažurirana na najnoviju verziju.

Pogledajmo kada je poslednji put bilo ažuriranje plugina Revolution Slider.
Postavlja se pitanje da li programeri baš toliko nisu znali da je skoro svaka verzija između 2.1.7 pa sve do 3.0.95 bila podložna sajber napadima.
Ovde vidimo kada je poslednji put ažuriran plug-in Revolution Slider. Odnosno da je ostao na verziji 2.1.7.

Čini se da je firma Mossack Fonseca sada prebacila sajt iza Firewall (Zaštitnog zida) što bi trebalo da sačuva sajt od daljih napada i ranjivosti podataka. Ove promene su nastale pre par dana kao što se može videti na tabelama.
Gledajući istoriju njihove IP adrese na NETCraftu dolazimo do podataka da je njihova IP bila na istoj mreži gde i njihov mail server, a iz priloženog se vidi da ništa nisu menjali godinama.

Prema saznanjima Web robot servisa „Shodan“, jedna od IP adresa 200.46.144.0 na mreži je koristila mail server „Exchange 2010“  koji ukazuje na to, da je ovaj mrežni blok, ili njihova kompanijska mreža ili da ima neki niz IT tehnike koji pripada kompaniji.

Takođe ćemo prikazati da se radi o VPN (Virutal Private Network) serveru za dalji pristup.

Ovde možete da vidite IP adrese koje se koriste za elektornsku poštu u firmi Mossack Fonseca ispod koje su svi na istom mrežnom bloku.

Dakle da sumiramo stvari.
– Utvređeno je da je propust napravljen na Revolution Slider pluginu.
– Njihov Web server nije bio iza FireWall odnosno iza Zaštitnog zida.
– Njihov Web server je na istoj mreži kao i njihov MAIL server s bazom u Panami.
– Postavili su osetljive podatke o svojim klijentima sa svog portala, koji uključuju pristupne podatke portalu, kao i mail serveru klijenata.

Teorija o tome šta se dogodilo u povredi sajber prostora Mossack Fonseca.

Dakle, radna verzija „exploita“ (sigurnosne rupe u sistemu ili programu) u vezi sa Revolution Slider je objavljenja još 15 oktobra 2014 godine, u nameri da se svi korisnici pozabave ovim problemom na vreme.
Panamski vebsajt mossfon.com koji je bio širom “otvoren” za igranje hakera dobija drugu dimenziju s obzriom na to da je potpuna trivijalnost dovela do obaranja sajta i preuzimanja podataka.
Hakeri često koriste robote da bi napali URL (adrese) sajta kao što su ovi.
http://mossfon.com/wp-content/plugins/revslider/release_log.txt

Jednom kada se utvrdi da je sajt ranjiv, kao što je prikazano u linku iznad, URL robot ga jednostavno koristi kao prijavu na bazu podataka, tako da na kraju dana haker ima gotov rezultat cele baze.
Takođe, moguće je da je napadač otkrio, možda i slučajno, da su ustvari svi podaci firme, odnosno i sajta firme, bili na istoj mreži i da su imali isti pristupni nalog.
Koristili su WordPress web server kao pristupnu tačku kompanijske imovine i pomoću njega su preuzeli sve podatke koji su bili na serveru.

Tehnički detalji ranjivosti plugina Revolution Slidera

Ovo je kratak tehnički pregled i mala analiza plugina Revolutuion Slidera koja je iskorišćena kao eksploit (exploit).
Revolution Slider iz verzije 3.0.95 ili starije verzije ovog plugina su ranjive po pitanju uplouda fajlova sa udaljenih servera.
Plugin ima jednu radnju pod nazivom „upload_plugin“ koja može biti pozvana od strane neautorizovanog korisnika (hakera) i na taj način dopušta svima upload (prebacivanje) fajla ili datoteke koja sadrži PHP izvorni kod u temp (privremeni) direktorijumu u Revolution Slider pluginu.

Primer koda koji je ispisan na sledećoj slici prikazuje specifičan problem u RevSlideru.
Primetićete da je isporučilac programer dopustio neprivilegovanom korisniku (eventulanom hakeru) da napravi AJAX (ili dinamički pregledač HTTP) da pozove funkciju koja bi trebalo da bude upotrebljena samo od strane privilegovanog korisnika i koja dozvoljava kreiranje fajla koju je haker uplodovao.

Nakon ovog malog istraživanja nadležni u firmi su obavešteni o ranjivosti ovog plugina.
Niko do sada nije odgovorio iz te firme, a plugin je i dalje na istoj verziji.
Dakle, ako želite bezbedan sajt, pogotovu ako vam je rađen u WordPress-u, morate konstanto ažurirati plugine (dodatke) teme ili ostale skripte kako biste izbegli ovakve situacije.
Inače, sve promene nastale na vašim pluginima, uključujući i sigurnosne promene, možete pratiti u vašem fajlu pod nazivom CHANGELOG.

Zaključak

Ispostavilo se na kraju, da jedan plugin, koji nije bio updejtovan, može dovesti do pada svetskih lidera i istorijski najvećeg odliva privatnih podataka novinarima.

U ovom slučaju vlasnici sajta nisu uradili potrebna ažuriranja i samim tim ugrozili prava svojih korisnika.

  • Poslednje vesti koje su dobijene da je jedan od vlasnika firme potvrdio da je u pitanju napad spolja, odnosno klasičan hakerski napad i da niko nije preuzeo podatke unutar firme.

Ukoliko vam se svideo članak slobodno ga podelite!

 

 

Dodaj komentar