Wyobraźmy sobie dobrze zaprojektowaną sieć firmy czy urzędu taką, gdzie serwery dostępne publicznie, obsługujące WWW czy pocztę, są celowo odizolowane od usług dostępnych wewnątrz organizacji (tzw. intranetu). Mówimy, że taka odizolowana grupa komputerów stanowi strefę zdemilitaryzowaną. Korzyść takiego rozwiązania jest bezsporna – w wypadku kompromitacji eksponowanych w Internecie usług atakujący, by dostać się do usług wewnętrznych musi pokonać jeszcze strzeżoną (np. przez firewalla, IDS’a) granicę pomiędzy takimi usługami a wspomnianą strefą. Podejście godne pochwały i wydaje się, że pozbawione wad. Gdy jednak dodamy do tego taką ludzką cechę jak dążenie do zbyt dużego ułatwiania sobie pracy, okaże się, że i takie się znajdą.
W naszej praktyce audytorsko-pentesterskiej zdarzało nam się spotkać strefę zdemilitaryzowaną pozbawioną znacznej części środków ochrony, w jaką wyposażone były inne zasoby w organizacji. Weźmy na przykład witrynę webową, która to zgodnie ze sztuką powinna znaleźć się w takiej strefie. Nierzadko można spotkać się z poglądem, że wizytówka w sieci może być chociażby rzadziej łatana, słabiej monitorowana lub zaniedbywana przy testach penetracyjnych. No bo po co, skoro serwer WWW nie przechowuje żadnych poufnych danych, jak osobowe bądź finansowe, a w wypadku podmiany treści (tzw. defacing) przywrócimy ją szybko z kopii zapasowej. Po wszystkim zaś zaktualizujemy oprogramowanie serwera i po sprawie.
Niestety okazuje się, że kompromitacja internetowego serwera WWW niesie ze sobą nie mniej poważne zagrożenie, mimo że całkiem innego rodzaju i mniej oczywiste. W obecnych czasach intruzi nastawieni są bardzo pragmatycznie – od umieszczania manifestów czy własnych logo na przejętych serwisach wolą zarabianie pieniędzy. Skala zarobku jest tym większa, im bardziej znany bądź zaufany serwis.
Jak zarobić? Najprościej w treści skompromitowanej strony umieścić skrypt do kopania kryptowalut. Generowanie takich całkowicie wirtualnych (bo bez żadnego pokrycia rzeczowego) pieniędzy polega z grubsza na zamianie energii elektrycznej, mniej lub bardziej wyspecjalizowanego komputera (zwanego koparką), na jednostki kryptowaluty. Jeśli wstrzykniemy na znaną stronę odpowiednie skrypty, to komputery osób, które tę stronę odwiedzą, staną się koparkami. Wydajność “górnicza” przeglądarki internetowej jest mniej niż mała – ale od czego efekt skali. Serwisami, które dały się poznać ze złej strony bycia przymusowymi kopalniami dla odwiedzających były np. myfitness.pl, ladnydom.pl i gazeta.pl – należące do grupy Gazeta.pl, jak też np. muratordom.pl czy strona Gminy Kołbaskowo (pełna lista na stronie https://zaufanatrzeciastrona.pl/post/uwazajcie-bo-znane-strony-www-kopia-kryptowaluty-na-waszych-komputerach/).
Wstrzyknięcie skryptów kopiących na stronę firmy czy urzędu to jednak stosunkowo łagodny scenariusz dla ofiary. Docieramy wreszcie do sprawy zapowiedzianej w tytule, której nazwa zapożyczona jest z zoologii – metody wodopoju. Drapieżnik przyczaja się tam, gdzie spodziewa się skupiska potencjalnych ofiar – w okolicy łagodnego brzegu zbiornika wodnego. Atakujący, który chce zaatakować banki, włamie się na stronę często odwiedzanego przez bankierów serwisu i tam umieści swoje skrypty, które zostaną wykonane przez ich przeglądarki.
Czy skrypt uruchamiany przez odwiedzaną przez nas stronę może wyrządzić nam szkodę inną, niż wyżej wspomniana kradzież mocy obliczeniowej? Niestety tak, a sprawę przesądzą tu aktualność przeglądarki, jej dodatki oraz liczba nieujawnionych do wiadomości publicznej podatności (tzw. 0-day) powyższych komponentów. Polskie banki faktycznie zostały zaatakowane w październiku 2016 r., a wodopojem była strona Komisji Nadzoru Finansowego. Umieszczone w niej skrypty analizowały i atakowały niezałatane przeglądarki internetowe bankierów, zupełnie nie spodziewających się z tej – nomen omen – strony ataku. Za atakiem najprawdopodobniej stała grupa Lazarus, należąca do północnokoreańskiego RGB (piszemy o tym też tutaj: https://imns.pl/akademia/hacking-socjalistyczny/). Straty finansowe nie zostały podane do wiadomości publicznej.
Czy do atakowania użytkowników przez ich przeglądarki potrzeba zaawansowanej wiedzy? Niestety aktualnie już nie. W obszarze cyberbezpieczeństwa istnieje trend, by otwarcie dzielić się oprogramowaniem do testów podatności. Efektem ubocznym tego zjawiska jest, iż takie oprogramowanie służy zarówno do zamawianych, jak i tzw. “niezamawianych testów bezpieczeństwa”. Przykładem jest platforma BeEF – Browser Exploitation Framework, która jest niczym innym, jak zestawem skryptów do łamania bezpieczeństwa internetowych przeglądarek. Po uruchomieniu pobierają one kolejne rozkazy do wykonania ze zdalnego centrum kontroli. Zidentyfikowano dziesiątki stron, będących wodopojami z zainstalowanym oprogramowaniem BeEF, w tym wiele witryn organów rządowych różnych państw.
Trudno wyobrazić sobie większą utratę zaufania do organizacji (pomijając tu jednak wpadki Facebooka, jak np. ta z Cambridge Analytica), niż wynikającą z dopuszczenia przez nią do atakowania odwiedzających jej witrynę potencjalnych klientów. Czy na pewno więc bezpieczeństwo naszej wizytówki w sieci nie zasługuje na więcej uwagi?
