2015/11/23

PlugX-т өртсөн системийг цэвэрлэх нь

PlugX –ийн тухай 
PlugX (Korplug/Sogu/Gulpix/Thoper/Destroy RAT) нь хэд хэдэн АРТ халдлагад ашиглагдсан Remote Access Trojan (RAT) төрлийн хөнөөлт програм юм. Уг програмыг Хятадаас гаралтай гэж үздэг бөгөөд ихэвчлэн Азийн орнууд руу чиглэсэн халдлагад ашиглагддаг. 2012 оноос дэлхий нийтэд анхлан танигдсан, түүнээс хойш хэд хэдэн хувилбарууд бүртгэгдээд байна.
Судлаачдын үзэж буйгаар уг програм нь маш өндөр түвшинд хөгжүүлсэн програм хангамжийн төсөл юм. PlugX-ийн тохиргоо болон аюулгүй байдлын шинжээчдээс хамгаалах, антивирусын програмаас далдлах технологиуд нь цаг ямагт шинэчлэгдэж байдаг “хэцүүхэн эд” –ийн нэг.

PlugX –ийн халдлагууд Монголд 
Манай улсын хувьд уг хөнөөлт програмын халдлагад хэд хэдэн удаа өртсөн талаарх мэдээлэл
гадны сайтууд, судлаачдын өгүүлэлд дурдагджээ. 2013 онд “Хааны эрэлд” олон улсын цэргийн хээрийн сургуулилттай холбоотой файлыг ашигласан Батлан хамгаалах яам руу чиглэсэн халдлагын талаар мэдээлэл гарч байсан бол 2014 онд Хүүхдийн хавдрын оношилгоо, эмчилгээний төвтэй холбоотой халдлагын талаар дурджээ. Үүнээс гадна хувийн компаниуд уг програмыг ашигласан халдлагад өртсөн байх магадлал өндөртэй.
Энэхүү нийтлэлээр манай компанийн мэргэжилтнүүд өөрсдийн шинжилгээн дээр тулгуурлан
бэлтгэсэн PlugX –ийн ерөнхий ажиллагаа, халдлагад өртсөн системийг хэрхэн цэвэрлэх талаарх мэдээлэл, зөвлөгөөг хүргэж байна.

PlugX хэрхэн ажилладаг вэ? 
PlugX компьютерт суусны дараагаар тухайн сүлжээнд байгаа Windows Domain Controller, эсвэл LDAP серверийг хайж олох, системийн administrative priviledge бүхий хэрэглэгчийн мэдээллийг олж авах замаар бусад системүүдэд халдварладаг. Мэдээж энэ бүх үйлдлийг командын төвийн (Command & Control server) удирдлагаар хийнэ.
Хийх үйлдлэл нь тухайн хувилбар ямар ямар plug-in ашигладагаас шалтгаална. PlugX нь бие даасан plug-in-үүд ашигладаг бөгөөд үндсэн disk, process, service, regedit, netstat, telnet, sql, keylog гэх мэт нийт 13 plug-in-тай [1]. Эдгээр нь гараас оруулж буй бүх товчлуурын мэдээллийг бичиж авах гэх мэт тус тусын үйлдлийг гүйцэтгэдэг.

Password log
Ажиллах явцдаа гараас оруулсан бүх товчлуурыг бичих, тэр дундаа бүх төрлийн системүүд рүү хандсан хэрэглэгчийн нэр, нууц үгүүдийг бүртгэх, чатын түүхийг бичих гэх мэт үйлдлүүдийг хийж, эдгээр мэдээллүүдийг командын төв рүүгээ илгээнэ.
Ажиллагааны талаарх дэлгэрэнгүй шинжилгээг [2] –оос уншиж болно.

Халдлагад өртсөн эсэхээ шалгах 
PlugX-ийн хувилбар тухайн компьютер дээр ажиллахгүй, ямар нэг байдлаар зогссон үед
антивирусын програмууд файлыг нь танидаггүй. Харин ажиллах явцад зарим нэг антивирус Korplug trojan санах ой дээрээс илэрлээ гэж мэдээллэх боловч үндсэн файлуудыг нь олж устгаж чадахгүй. Учир нь үндсэн файл нь системийг асах үед ажиллаад хортой кодоо системийн сервисүүдэд хавсаргасны дараа зогсчихдог. Тэхээр антивирустээ найдах хэрэггүй гэсэн үг.

Харин гар аргаар буюу хамгаалалтын системүүд, SysInternals –ийн програмууд, мөн зарим нэг file manager програмын тусламжтайгаар илрүүлж болно.
  1. Танай байгууллага хэрвээ IPS, IDS гэх мэт хамгаалалтын төхөөрөмжүүдтэй бол манай сүлжээний ийм IP-наас PlugX (ихэвчлэн Korplug гэж нэрлэгдсэн байдаг) –ийн командын төвтэй холбогдох оролдлого хийлээ гэсэн алертын дагуу халдлагад өртсөн компьютерийг олж болно.  
  2. Хамгаалалтын төхөөрөмж байхгүй ч танай сүлжээнээс PlugX –ийн командын төвүүдийн тоонд багтсан ямар нэг домэйн (Монголд ихэвчлэн *.baatarhuu.com, mongolbaatar.net гэх мэт монгол нэртэй домэйн ашиглагддаг) рүү чиглэсэн траффик илэрсэн бол халдлагад өртжээ гэж үзнэ. 
  3. Халдлагад өртсөн ямар нэг систем олсон, сэжиглэж байгаа бол тухайн систем дээр ажиллаж байгаа процессуудыг шалгана. Хэрвээ дотроо msiexec.exe дэд процесс агуулсан ямар нэг процесс (ихэвчлэн svchost.exe) байвал тус процессын Properties –ийг шалгах хэрэгтэй. Хэрвээ <Non-existent parent process> гэж байвал та хайж байгаа зүйлээ олсон гэсэн үг.
    Process tree

    Та тухайн систем дээр ямар нэг програм суулгаж байгаа биш л бол msiexec.exe систем дээр ажиллаж байх шалтгаан бараг л үгүй.  
  4. Сэжигтэй сервис байгаа эсэхийг шалгана. Сэжигтэй процессыг ажиллуулахын тулд систем дээр ямар нэг сервис зайлшгүй үүсгэсэн байх ёстой. Мэдээж сэжиг авахуулахгүйн тулд сервистээ тун гэмгүй байж мэдэхээр нэр өгсөн байдаг.
    Service

    Манай жишээнд CyberLink корпорацийн CyberLink нэртэй сервис үүсчээ. Эндээс бид хайж байгаа зүйлийнхээ хаана оршин байгааг олж авлаа. Сервисийг амархан олдохоос сэргийлж Nvidia, Symantec, McAfee, Adobe гэх мэт хүн бүрийн танил компаниудын нэр, файлыг ашигласан сервис үүсгэх магадлал өндөр.

Эдгээр шинж тэмдгүүд илэрвэл та, эсвэл танай байгууллага халдлагад өртжээ гэж үзэж болно.

Системийг цэвэрлэх 
Халдлагад өртсөн системийг цэвэрлэхдээ дараах алхмуудыг хэрэгжүүлнэ:
  1. Хортой код агуулан ажиллаж буй процессуудыг (svchost.exe, msiexec.exe бүгдийг нь) зогсооно. Ингэхгүй бол файлуудаа дахин үүсгэчихдэг.  
  2. Өмнөх шалгалтаар илрүүлсэн сервисийг устгана. Хэрвээ шууд устгах боломжгүй бол Register дээрх бичилтийг устгаж болно. Мөн нэг биш хэд хэдэн сервис үүсгэсэн байх магадлалтайг анхаарах хэрэгтэй.  
  3. Үндсэн файлуудыг устгана. Сервисийг илрүүлэхдээ үндсэн файлын замыг тодорхойлж чадсан. Ихэвчлэн C:\program files (x86)\common files\microsoft shared, services, system зэрэг хавтсуудад сервист шаардагдах файлуудыг байршуулсан байдаг. Эдгээр хавтаснуудаа шалгаж байхад гэмгүй.
    Files

    Нэг *.exe файл, нэг *.dll, нэг буюу хэд хэдэн *.lib, *.helper, *.url өргөтгөлтэй файлууд байвал таны хайсан зүйл гарцаагүй мөн юм. Энэхүү шинжээр сервисээ юу ч гэж нэрлэсэн бай олох боломжтой. Эдгээр файлуудыг та юугаар ч шалгасан вирус гэж танихгүй.  
  4. Дээр дурдсан байрлалаас гадна бүх хэрэглэгчийн профилыг агуулдаг стандарт хавтсанд (C:\Users\All users\, C:\Documents and Settings\All Users\ гэх мэт) RasTls, DRM, WinSxs, RasSFX гэх мэт нэртэй нуугдмал хавтсуудыг байршуулдаг. Эдгээрийг file manager програм л ашиглахгүй бол хичнээн нуугдсан файлыг харуулах тохиргоо хийсэн ч Windows Explorer дээр харагдахгүй өнгөрөх магадлалтай. Эдгээр файлуудыг ч мөн устгах ёстой.
    Hidden directory
  5. Мөн updata гэсэн хавтас үүсгэж түүнд цуглуулсан мэдээллүүдээ хадгалах нь бий. Тэндээс та магадгүй мартчихаад байсан нууц үгээ олж магадгүй юм :)
  6. Нэмэлт байдлаар халдлагад өртсөн системийн санах ойн хуулбарыг аваад Volatility гэх санах ойн шинжилгээ хийх зориулалттай програмын PlugX –т зориулсан plug-in-ийг ашиглан тохиргоог нь харж болно. Гэхдээ энэ алхмыг хөнөөлт програм ажиллаж байх үед хийх ёстойг анхаарна уу! Үр дүн нь дараах байдалтай харагдана.
    PlugX config

    Тохиргоонд үндсэн файлуудыг агуулж буй хавтас, сервисийн нэр, хортой код хавсаргасан процесс, командын төв гэх мэт мэдүүллүүд агуулагддаг. Эндээс та командын төвийн domain хаягийг олж болно.

Зөвлөмж 
Халдлагад өртсөн бүх системийг цэвэрлэж дуусаад дараах арга хэмжээнүүдийг яаралтай авч хэрэгжүүлэх нь зүйтэй юм. Үүнд: 
  1. Хэрэглэгчдийн нууц үгийг даруй солих хэрэгтэй. Системийн хэрэглэгчдээс гадна халдлагад өртсөн системүүд ажилладаг хүмүүсийг хувийн нууц үгсээ солихыг ч анхааруулахад гэмгүй. 
  2. Танай сүлжээнд Windows domain (Active Directory) ашиглагддаг бол administrative эрхтэй бүх хэрэглэгчийн нууц үгийг нэн даруй солино. 
  3. Цахим  шуудангаар ирсэн сэжигтэй захидлын хавсралт файлыг нээхгүй байх, сэжигтэй вэб сайт руу хандахгүй байх дадлыг бий болгох, танин мэдүүлэх сургалт, зөвлөгөөг тогтмол өгч байх. 
  4. Нууц үгсийг тогтмол хугацаанд сольдог бодлого баримтлах 
  5. Үүнээс гадна систем хэвийн бус ажиллах, гацах, байн байн рестарт хийгдээд байвал дээрх шалгалтуудыг тухайн систем дээр хийж байх хэрэгтэй.

Ашигласан материал:

PlugX C&C server IP and domains: 
  • *.teever.mn
  • *.goodmongol.com
  • *.baatarhuu.com 
  • *.mongolbaatar.net
  • *.mol-government.com
  • *.molnews.net
  • *.heritageblog.org
  • *.firefox-sync.com
  • catologipdate.com
  • google.lookipv6.com 
  • 45.32.64.183
  • 104.207.152.11 
  • 98.126.24.12
  • 173.208.206.172




2015/10/07

Харуул занги 2015

Манай компани “Харуул занги – 2015” тэмцээний төгсгөлийн шатны даалгавруудыг боловсруулж, тэмцээний зохион байгуулалтанд хамтран ажиллаа. Төгсгөлийн шатны даалгавруудын ерөнхий зохиол нь "Game of Thrones" байсан бөгөөд даалгавруудын нэрс, багуудын онооны самбар зэргийн зохиомжийг зохиолтой уялдуулсан байлаа.

Тэмцээний төгсгөлийн шатанд багууд хэрхэн оролцсон талаарх дэлгэрэнгүй мэдээлэлтэй танилцана уу.
Тэмцээний явц
  1. Хамгийн түрүүнд даалгавар хийсэн баг
    • Төгсгөлийн шат  эхэлснээс 1 цагийн дараа “B33 баг "Night_Watchers" нэртэй forensics ангиллын 250 онооны даалгаврыг хамгийн түрүүнд хийж гүйцэтгэжээ.
  2. Хамгийн богино хугацаанд шийдэгдсэн даалгавар
    • "The Red Woman" нэртэй forensics ангиллын 100 онооны даалгаврыг “Алангир” баг даалгавар нээгдсэнээс 10 минутын дараа гүйцэтгэсэн байна.
  3. Хамгийн олон баг шийдсэн даалгавар
    • Төгсгөлийн шатанд нийт 10 даалгавар тавигдсанаас “Arya” нэртэй 150 оноотой даалгаврыг хамгийн олон буюу оролцсон 10 багаас 8 нь амжилттай хийж гүйцэтгэв.
  4. Хамгийн цөөн баг шийдсэн даалгавар
    • Төгсгөлийн шатны даалгавруудаас “You Know Nothing” нэртэй reversing ангиллын 200 оноотой даалгаврыг 10 багаас цор ганц баг болох “G_C” баг гүйцэтгэсэн байна.
  5. Огт шийдэгдээгүй даалгавар
    • Тэмцээнд оролцогчдын даалгавар хийсэн байдлыг харгалзан үзэж 10 даалгавраас 9-ийг нь нээсэн бөгөөд нээгдсэн даалгавруудаас “The Wall”, “Harpy” гэсэн вэб ангиллын хоёр даалгаврыг хийж гүйцэтгэсэн баг гарсангүй.
  6. Хамгийн олон даалгаврыг түрүүлж хийсэн баг
    • Тэмцээнд оролцогчдоос “Алангир” баг хамгийн олон буюу 4 даалгаврыг бусад багуудаас түрүүлж шийдэж тус бүрт нь нэмэлт 3 оноо авсан байна.
  7. Хамгийн сүүлд эхний оноогоо авсан баг
    • Team1 баг хамгийн сүүлд буюу тэмцээн эхэлснээс 2 цаг 15 минутын дараа эхний оноогоо “Hodor” даалгаврыг гүйцэтгэснээр авчээ.
  8. Хамгийн олон даалгавар шийдсэн баг
    • Тэмцээнд түрүүлсэн “Алангир” баг хамгийн олон буюу 6 даалгаврыг хийж гүйцэтгэсэн.
  9. Хамгийн удаан хугацаанд шийдэгдсэн даалгавар
    • Hodor” нэртэй crypto ангиллын даалгавар нээгдсэнээс хойш 1 цаг 38 минутын дараа шийдэгдсэн байна.
  10. Тэмцээний туршид багуудад даалгавар гүйцэтгэхэд санаа өгөх зорилгоор нийт 21 удаа тусламж өгчээ.

Онооны самбар
Алангир багийн гүйцэтгэл
0xff багийн гүйцэтгэл
overflow багийн гүйцэтгэл
G_C багийн гүйцэтгэл
kerber0s багийн гүйцэтгэл
ymoment багийн гүйцэтгэл
B33 багийн гүйцэтгэл
Hunting Party багийн гүйцэтгэл
konoha багийн гүйцэтгэл
team1 багийн гүйцэтгэл



2015/07/28

Galileo RCS буюу Алсаас удирдах систем

2015.07.06-нд тагнуулын програм хангамж үйлдвэрлэгч Италийн Hacking Team компани цахим халдлагад өртөж 400GB гаруй байгууллагын маш нууц мэдээллээ алдсан билээ.
Уг алдагдсан мэдээлэлд ажилчдын цахим шуудан, үндсэн бүтээгдэхүүн болох Galileo RCS (Remote Control System) -ийн эх код, RCS системийн үйлчилгээнд буюу цахим халдлагад ашиглаж байсан zero-day exploit-ууд, хөнөөлт програм, байгууллагын санхүү төлбөр тооцооны мэдээлэл, хэрэглэгчдийн мэдээлэл гэх мэт маш олон нууц мэдээллүүд байв.

Galileo RCS сурталчилгаа

Hacking Team-ээс улс орнуудын засгийн газруудад нийлүүлж үйлчилгээ үзүүлж байсан Galileo RCS гэх энэ систем чухам ямар систем болох, түүн дээрх боломжууд, хэрхэн ажилладаг болон цаашид алдагдсан мэдээллээс улбаалан бидэнд ямар эрсдэл бий болж болох талаар тодорхой ойлголт авах үүднээс бид нийтэд ил болоод байгаа Galileo RCS системийг туршилтын орчинд ажиллуулж сонирхлоо.

Galileo RCS системийн зохион байгуулалт
Galileo RCS-ийн гарын авлагаас

  • Agent: Target буюу бай болж байгаа этгээдийн систем дээр суух хөнөөлт програм. Энэ програм нь тухайн систем дээрээс бүхий л шаардлагатай мэдээллийг хулгайлж anonymizer-руу илгээнэ.
  • Anonymizer: Зорилго нь RCS Collector серверийг нуух, олж авсан мэдээллийг collector эсвэл дараагийн anonymizer-руу дамжуулах.
  • Collector: Anonymizer-аас дамжин ирсэн мэдээллийг хүлээн авч цааш main node-руу дамжуулах.
  • Main node: Galileo-ийн үндсэн сервер ба уг серверийг ашиглан хөнөөлт програм боловсруулах, бусад дэд системүүдийг хянах удирдан тохируулах, collector-т цугласан мэдээллийг боловсруулан agent-үүдэд бэлдэж хадгалах.
  • RCS ConsoleMain node-ийг удирдах график дүрслэл бүхий удирдлагын програм.
  • Network injector: MiTM буюу дундын халдлагын үед ашиглах дэд систем.




Бэлтгэл ажил
Galileo RCS-ийн туршилтын орчинд зориулан доорх виртуал машинуудыг бэлдэв.
  1. Main node - Windows 7
  2. Collector - Windows 7
  3. Anonymizer - CentOS 6
  4. Target Desktop - Windows 7
  5. Target Server - Linux Kali



Galileo RCS суулгах
Main node суулгахад лиценз файл болон давхар нууцлал бүхий USB dongle шаарддаг байна. Бидний хувьд алдагдсан мэдээлэл дээрх тодорхой бус нэг хэрэглэгчийн лицензийг сонгон авч Galileo RCS 9.2.0 эх кодыг ашиглан USB dongle-ийг бяцхан засвар буюу patch хийж Galileo RCS 9.6.0-г амжилттай суулгав.

Main node суулгасан байдал


Үүний дараа бусад дэд хэсэг болох Collector, Anonymizer-ийг тус тус амжилттай суулгав.
Collector болон Anonymizer амжилттай холбогдсон байдал


Ингээд бэлэн болсон Galileo RCS системийг ашиглан цааш туршилтын ажиллагааг явуулах гэсэн боловч бидний сонгон авсан лиценз нь туршилтийн хувилбар байсан нь асуудал болж лицензийг дахин засварлаж сая нэг Galileo RCS-ийг ашиглахад бэлэн болгов.
Лицензийг засварлан RMI-аас бусад бүх боломжуудыг хязгааргүй байдлаар нээв.



Eagle Eye ажиллагаа
Бид Galileo RCS-ийг ашиглан хийх туршилтаа Eagle Eye хэмээн үзэх дуртай нэгэн киноны нэрээр нэрлэв.
/Хэрэв та Eagle Eye киног үзэж амжаагүй бол цаг гарган үзэх хэрэгтэй шүү!/
Galileo-ийн хувьд олон жил хөгжүүлэн ирсэн систем болоод ч тэрүү бүх зүйл нь маш энгийн ямар ч хүн хялбархан ашиглах боломжтой хийгджээ.
Eagle Eye ажиллагааны хавтас нээсэн байдал

Eagle Eye ажиллагааг бүртгэсний дараагаар бидэнд тагнах үйл ажиллагааны гол зорилго болох target буюу бай хэрэгтэй болов. Иймд бид туршилтын орчинд тагнах байг Super Baldan гэж нэрийдэж, түүнийг томоохон компанид маш чухал систем хариуцан ажилладаг систем админ хэмээн төсөөлж, мөн түүнийг ширээний компьютер, сервер болон гар утастай гэж тус тус бүртгэлд оруулав.
Eagle Eye ажиллагааны бай систем админ Super Baldan-г бүртгэсэн байдал
Super Baldan-гийн ашиглаж байгаа төхөөрөмжүүдийг бүртгэсэн байдал



Халдлага зохион байгуулах
Халдлага, энэ бол Galileo RCS-ийн хамгийн сонирхолтой хэсэг юм. Учир нь бид бай болсон Super Baldan-гийн бүхий л төхөөрөмжүүд дээр тухайн системийн онцлогт таарсан цахим зэвсэг буюу хөнөөлт програмыг бэлдэж мөн тэдгээрийг хэрхэн Super Baldan-гийн системүүд дээр суулгахыг боловсруулсан юм.
Хөнөөлт програм боловсруулах тохиргоо.

Galileo agent буюу хөнөөлт програмын боломжууд

  • Calls (Phone, Skype, MSN): Гар утас болон Skype, MSN дээрх орсон гарсан дуудлагын бүртгэл хулгайлах. 
  • Messages (Mail, SMS, Chat): Mail, SMS, Chat-аар илгээсэн мэдээлэл хулгайлах
  • Files and Photos: Тухайн төхөөрөмж дээрх файл болон зураг хулгайлах
  • Screenshots: Тухайн төхөөрөмжийн дэлгэцийн агшинг тодорхой давтамжтайгаар авах 
  • Position: Хэрэв тухайн төхөөрөмж GPS буюу байршил тогтоох системтэй бол байршлын мэдээллийг авах
  • Contacts & Calendar: Дугаарын бүртгэл болон хуанлийн тэмдэглэлийг хулгайлах
  • Visited Websites: Интернэт хөтчийн орсон бүхий л вэб хаяг
  • Keylog, Mouse&Password: Гарын хөтөч, курсорын байршил болон зааж байсан элементийн зураг болон нууц үг хулгайлах
  • Camera: вэб камер болон утасны камер ашиглан нууцаар дүрс буулгах
  • Online Synchronization: Хулгайлсан мэдээллийг дамжуулах горим
  • Дээрхээс гадна Galileo-д өөр бусад боломжууд байдаг нь тодорхой болоод байгаа. Үүнд төхөөрөмжүүдийн микрофон ашиглан яриа чагнах, бичих,... гэх мэт 

Хөнөөлт програм илгээх арга замыг /дайралтыг/ тохируулах.
Galileo-ийн халдлага хийх боломжууд
  • Silent installer: Ерөнхийдөө тохиргоонд заагдсан функц бүхий хөнөөлт програмыг үндсэн Galileo-ийн зохион байгуулалтад тохируулан хязгаарлагдмал байдлаар үүсгэнэ. 
  • Melted application: Хөнөөлт програмыг энгийн програм дээр нэгтгэж дайвар байдлаар систем дээр суулгах.
  • Offline installation: USB, SD card болон CD ашиглан систем дээр хөнөөлт програм суулгах.
  • Persistent installation: Доод түвшинд суух хөнөөлт програм. Дискийг формат хийх болон сольсон ч ажиллах боломжтой! 
  • U3 installation: U3 USB ашиглан автомаатаар хөнөөлт програм суулгах.
  • Exploit: Тодорхойгүй, туршилтын үед энэ хэсэг хоосон байсан болно.
  • Network injection: Сүлжээний орчинд MiTM байдлаар хөнөөлт програм дамжуулах


Eagle Eye халдлагын үр дүн
Бид Galileo дээр үүсгэсэн хөнөөлт програмыг Super Baldan-гийн компьютер болон сервер дээр шууд ажиллуулан туршив. Хэсэг хугацааны дараа Super Baldan Server дээрээс анхны баримтууд илгээгдэж эхлэв. Харин Super Baldan Desktop-оос ямар ч хариу өгсөнгүй. Учир шалтгааныг тодруулбал Galileo дээр үүсгэсэн windows-ийн хөнөөлт програм нь виртуал орчинд байгаа эсэхээ шалгаад хэрэв виртуал орчинд ажиллаж байгаа бол цааш гүйцэд ажиллахгүй зогсдог байна.
Анхны дохио өгч мэдээлэл хүлээн авсан байдал.
Super Baldan-гийн серверээс ирсэн мэдээлэл
Super Baldan-гийн серверийн нэвтрэх эрх болон цахим шуудангийн
нэвтрэх эрхийг олж авсан байдал 
Хэрэв Super Baldan-гаас байршил болон ярианы мэдээлэл ирсэн бол
энэ хэсэг харагдах байв.
Дээрх туршилтаар Galileo RCS-ийн боломжуудаас цөөн хэсгийг нь харуулсан болно.


Galileo системээс үүдэн гарах эрсдлүүд
Туршилтын үр дүнгээс харахад Galileo RCS нь өндөр түвшинд боловсруулагдсан тагнуулын програм хангамж болох нь харагдаж байна. Энэхүү систем нийтэд ил болсноор уг системийг технологийн мэдлэгтэй дурын этгээд шууд ашиглан цахим гэмт хэрэг үйлдэх эрсдэл бий болоод байна!!!

2015/02/09

Sony-гийн гашуун түүхээс суралцах нь

Өнгөрсөн 2014 оны сүүлээр Sony группийн нэг хэсэг болох Sony Picture Entertainment томоохон цахим дайралтад өртөж хэдэн арван терабайт мэдээллээ алдсан билээ. Уг халдлагыг GOP буюу Guardians of Peace гэх бүлэглэл үйлджээ.

GOP бүлгийн 2014/11/24-нд Sony Picture Entertainment-ийн ажилчдын компьютерын wallpaper буюу дэлгэцийн зургаар дамжуулан илгээсэн сануулга.
эх сурвалж: computerworld.com

2015/02/04-нд Sony -н зүгээс гаргасан мэдээлэлд энэ удаагийн цахим халдлагад Sony Picture Entertainment ойролцоогоор 15 сая ам долларын зардал гаргасан болохыг баталсан. Тэдгээр зардал нь зөвхөн халдлагын дараах шинжилгээ хийлгэх, халдлагад өртсөн сервер болоод ажилчдын компьютерийг засах ажилд зарцуулагдаж байгаа бололтой. Гэвч дээрх халдлагаас үүсэх хохирол улирлын эцэст 35 сая ам долларт хүрэх магадлалтай гэжээ. Энэхүү халдлага нь Sony группийн хувьд анхны тохиолдол бишээ.
Өмнө нь Sony групп George Hotz /хакер/ болон fail0ver /хакерын бүлэг/-ийн  гишүүдийг  худалдан авсан PlayStation-ээ hack хийснийх нь төлөө шүүхэд зарга  мэдүүлж технологи сонирхогчид болоод хакеруудын эгдүүцлийг төрүүлснээр Anonymous бүлэглэл #OpSony буюу Operation Sony гэх  ажиллагааг  зохион байгуулсан юм.
Энэ ажиллагааны зорилго нь Sony-ийн  PSN буюу PlayStation Network-руу ямар ч аргаар хамаагүй халдах байв. Уг халдлагын улмаас PlayStation Network 77 сая хэрэглэгчдийнхээ мэдээлэл, хэдэн арван мянган төлбөрийн картын мэдээллийг алдаж, PSN-ийг хэд хоног хаахаас өөр аргагүй байдалд хүрсэн.

Anonymous бүлэг #OpSony дайралтыг хийсний дараа PSN үйлчилгээгээ түр зогсоон шалгалт явуулж байх үед.
эх сурвалж: engadget.com

Тухайн үед Sony групп PSN -руу хийгдсэн уг халдлагаас болж гарах нийт зардлыг 170 сая доллар гэж тооцсон байдаг.


Тэгвэл GOP болон Anonymous-ийн үйлдсэн халдлагаар Sony групп юу юу алдсаныг ерөнхийд нь тоочвол:
  • Хэрэглэгчдийн мэдээллийн сан /PSN/
  • Хэрэглэгчдийн төлбөрийн картын мэдээлэл /PSN/
  • Сүлжээ ажиллахгүй байсан хоног бүрийн алдагдал /PSN/
  • Нээлтээ хийгээгүй, театрын дэлгэцээс буугаагүй байсан кинонууд /SPE/
  • Хийхээр төлөвлөж байсан киноны зохиолууд /SPE/
  • Бүх ажилтан болон жүжигчдийн мэдээлэл /SPE/
  • Байгууллагын санхүү, цалин хөлсний мэдээлэл /SPE/
  • Хувь, хувьсгалын цахим шуудангууд /SPE/
  • Гэрээ, баримт бичиг /SPE/
  • Бусад /Бизнесийн төлөвлөгөө,.../
Эдгээрийн заримыг үнэндээ мөнгөөр үнэлэх боломжгүй юм.
Дээрх жагсаалт та бидэнд цахим халдлагаар юу алдаж болох, ямар хохирол хүлээж болохыг харуулсан болов уу гэж найдаж байна. Нэмж хэлэхэд ийм төрлийн  халдлагаас үүсэх хор хохирлыг хагас жилээс нааш бүрэн тодорхойлох боломжгүй байдаг.


Тэгвэл бидэнд Sony-ийн энэ гашуун түүхээс суралцах зүйлс юу байна вэ?
  • Технологи сонирхогчид болоод хакер залуусын хэлж ярьж байгаа бүхнийг анхааралтай сонсож, боломжтой бол тэднийг дэмжиж, тэдэнтэй хамтарч асуудлаас гарах нь зүйтэй.
    Хэрвээ та тэдний хэлж яриад байгаа зүйлсийг үл ойшоон ач холбогдол өгөхгүй бол хэтдээ таны бизнест том гарз болохыг үгүйсгэх аргагүй юм.
  • Байгууллагынхаа мэдээллийн аюулгүй байдал дээр өнөөдрөөс эхлэн бага ч  болтугай анхаарал хандуулж, хөрөнгө хүч гаргах талаар бодож эхлэх хэрэгтэй. Хэрэв өөрсдийн хүчээр энэ  асуудал дээр ажиллахад бэлэн биш бол мэргэжлийн байгууллагад хандах нь зүйтэй.
  • Халагдаж байгаа ажилтан болоод сэтгэл ханамжгүй ажиллаж байгаа ажилтан бүрээ анхаарч бай! Боломжтой бол тэдний сэтгэл санааг тогтворгүй байдалд хүргэх хэрэггүй.
    Мэдээллийн аюулгүй байдал хамгийн  ихээр алдагддаг шалтгааны нэг нь компаний дотроос хийгддэг халдлага болохыг анхаар.
    Тэдэнд энэ талын мэдлэг мэдээллийг тогтмол олгож зөв ойлголттой  байлгахыг хичээ. Зарим шинжээчид Sony -ийн уг  халдлагад халагдсан ажилчдаас оролцсон байх өндөр магадлалтай гэж үзэж байгаа.
  • Ажилтан бүрийн хандах эрхийг нарийн тодорхойлж хянаж байх шаардлагатай.  Sony-ийн хувьд энэ тал дээр хангалтгүй байсан нь илүү их мэдээлэл алдах  шалтгааны нэг болсон болов уу.
Эдгээр зүйлсэд анхаарал хандуулж, тодорхой арга хэмжээ авч чадвал, байгууллагадаа учирч болох эрсдэлийг тодорхой хувиар бууруулж байгаа гэдэгтээ итгэлтэй байж болох юм.

2015/02/03

Оршил

Сүх далайтал үхэр амар... Монгол улсын мэдээллийн аюулгүй байдлыг ерөнхийд нь дээрх үгээр илэрхийлж болох мэт. Хаа хаанаа ийм биш ч бүхлээр нь харвал ийм байсаар байна. "Миний мэдээллийг хүн олж аваад яах юм бэ?", "Юун сүртэй юм бэ?", "Надад нуугаад байх юм байхгүй!", "Миний найз миний нууц үгийг мэдэж байхад ямар асуудал байгаа юм бэ?" гэх мэт амар амгалан ойлголт дийлэнх олонхид маань оршин тогтносоор. 
Бидний хувьд өөрсдийн мэдээллийн үнэ цэнэ болон аюулгүй байдлыг ухаарч амжаагүй байтал хэн нэгэн бидний мэдээллээс хумсалсаар, магадгүй шуудайлсаар л байна. Цөмийн зэвсэглэлээс гадна цахим зэвсэглэл, цахим армитай болох, түүнийгээ батлан хамгаалах үйлсэд, бусад улсын цахим орон зайг эзлэхэд ашиглах явдал том гүрнүүдийн хувьд толгой өвтгөдөг, том мөнгө төсөвлөдөг зүйлсийн нэг нь болжээ.

эх сурвалж: google.com

Саяхны жишээ татвал, дөнгөж хэдхэн хоногийн өмнө буюу 2015/02/02-нд Обамагийн захиргаа 2016 онд холбооны засгийн газрын цахим аюулгүй байдалд зарцуулах төсвийг $14 тэрбумаар батлуулах хүсэлт гаргаад байгаа билээ.

2010 - 2015 он хүртэл зарцуулсан болоод зарцуулж байгаа төсөв. 
эх сурвалж: huffingtonpost.com


Харин Монгол улсын хувьд мэдээллийн аюулгүй байдал алдагдсанаар ямар эрсдэлтэй нүүр тулж болох, ямар сөрөг үр дагавар гарах, тэдгээр эрсдлээс хэрхэн урьдчилан сэргийлж болох талаарх мэдлэг, бодит мэдээлэл үнэхээр хомс байна. 
Гадагшаа мэдээлэл алдаж байгаа эсэхээ ч мэдэхгүй, хэн нэгэн хийж буй үйлдэл, бичиж буй үг, үсэг бүрийг нь бүртгэж байгааг ч мэдэхгүй, ажрахгүй суугаа хувь хүн, төрийн түшээд манай улсад дэндүү олон. Эх захгүй албан ёсны лицензгүй, хулгайн програм хэрэглэдэг, бусдын оюуны өмчийг ашигласныхаа төлөө мөнгө төлөх ёстой гэсэн ухамсар хүн бүрт төлөвшөөгүй байгаа манай орны хувьд эрсдэл маш их бий. Ядаж антивирусын програм худалдаад авах сонирхол, зайлшгүй хэрэгцээ бараг гарахгүй. 
Үнэндээ ямар орчин нөхцөл, ямар аюул занал эргэн тойронд нь байгааг мэдэхгүй хүнд тэд бүгд үнэндээ хэрэггүй ачаа, ойлгомжгүй зардал шүү дээ. Буруутгах аргагүй. Бид өөрсдийгөө цахим халдлага, цахим гэмт хэрэг гээч зүйл огт байдаггүй дангааршсан арал дээр байгаа мэтээр төсөөлдөг ч бодит байдал дээр бусадтай хамт нэгэн завин дээр хөвж явна. Үүнийг батлах маш олон баримт бий. 
Ойрын жишээ гэвэл ОХУ-ын Касперский компаниас гаргасан 2014 оны тайланд компьютерийн вируст хамгийн их өртдөг улсуудын жагсаалтанд манай улс Вьетнам улсын дараа хоёр дугаарт буюу хамгийн өндөр эрсдэлтэй улсуудын тоонд оржээ.

Аюулгүй байдлын 2014 оны тайлан, Касперский компани.
эх сурвалж: kaspersky.com

Монголчууд сүүлийн 5, 6 жилийн өмнөөс л мэдээллийн аюулгүй байдлын асуудалд анхаарал хандуулах болж харилцаа, холбооны салбарын компаниуд, төрийн зарим нэг байгууллагууд, банкууд, томоохон их дээд сургуулиуд энэ чиглэлээр идэвхтэй үйл ажиллагаа явуулах болсон. Үйл ажиллагаа нь ерөнхийдөө өөрийн болон үйлчилгээ авдаг байгууллагуудынхаа мэдээллийн аюулгүй байдлыг хангахад чиглэдэг. 
Зөвхөн эдгээр байгууллага ч гэлтгүй мэдээллийн технологийн салбарт үйл ажиллагаа эрхэлдэг хүн бүр л бага ч болов анхаарал хандуулдаг байх. Даанч анхаарлаа хандуулъя, хүч хөрөнгө зарцуулъя, мэдээллийн аюулгүй байдлаа сайжруулъя гэж санасан хэн бүхэнд нэг том асуудал тулгардаг нь мэргэшсэн боловсон хүчний асуудал.
​Мэдээллийн аюулгүй байдлын чиглэлээр мэргэшсэн мэргэжилтэн Монголд тун цөөхөн. Бие даан судалдаг залуус олширч байгаа ч зарим нэг нь мэдэж авсан багахан зүйлээ буруу зүйлд ашиглах, бусдын эд зүйлсэд халдан агсамнах үзэгдэл мэр сэр ажиглагдах болсон. Мэдээллийн аюулгүй байдлын мэргэжилтэн бэлтгэхээр зарим их дээд сургууль ажиллаж байгаа ч хангалттай мэргэжилтэн бэлтгэгдэж амжаагүй л байна.

Төрийн болон хувийн хэвшлийн байгууллагуудын өмнө тулгамдаад байгаа эдгээр асуудлуудыг шийдэх ямар арга замууд байна вэ? 
Байгууллагын мэдээллийн аюулгүй байдлыг сайжруулахад удирдлагын шийдвэр, дэмжлэг чухал үүрэг гүйцэтгэдэг. Шийдвэр гаргаад, дэмжээд бүх зүйлс шийдэгдчихгүй нь лавтай. Сайн мэргэжилтнийг богино хугацаанд бэлтгэх хэцүү, гадны хамгаалалтын шилдэг технологи, системүүдийг худалдаж авахад үүсэх санхүүгийн бэрхшээл гээд нэрлэвэл олон зүйл бий. Энэ бүгдийг шийдэж чадсан ч дотоод аюул занал буюу ажилтнуудаа мэдлэгжүүлэх гэж бүр ч том асуудал үлдэнэ. Гэхдээ бүх асуудлыг өөрийн хүчээр шийдэх гэж цаг, хүн хүч, хөрөнгө мөнгө хэт их зарах шаардлага байхгүй. Чаддаг, мэддэг хүмүүст нь энэ бүх ажлыг даатгах боломж бас бий.

Бид таны болон танай байгууллагын мэдээллийн аюулгүй байдалд учирч болох эрсдлүүдийг үнэлж, эмзэг сул талыг нь тодорхойлж, бодит аюул заналаас урьдчилан сэргийлэх арга зам, шийдлүүдийг боловсруулж өгөх, цаашлаад та бүхний мэдээллийн аюулгүй байдлын хэрэгцээг хангах бүтээгдэхүүн, үйлчилгээг үзүүлэхээр ажиллаж байна. 
Манай хамт олон мэдээллийн аюулгүй байдлын чиглэлээр тэр дундаа вэб, сүлжээний төхөөрөмж, програм хангамжийн туршин шалгалт, халдлагын дараах шинжилгээ, хортой програмын шинжилгээ зэргээр 5-аас дээш жил дагнан ажилласан туршлагатай залуусаас бүрдсэн. Та бүхэн тун удахгүй өөрт тулгараад буй асуудлаа шийдвэрлүүлэх найдвартай шадар туслахтай болох нь ээ.