Razumijevanje veb ljuski u sajber bezbjednosti
Šta je veb ljuska?
Veb ljuska je skripta ili datoteka na strani servera koja može omogućiti udaljeni pristup veb serveru nakon što se postavi na lokaciju dostupnu putem veba. U diskusijama o sajber bezbjednosti, ovaj termin se obično povezuje sa kompromitovanim veb sajtovima, izloženim aplikacijama i pristupom nakon upada, a ne sa redovnom administracijom veb sajta. Javne agencije poput CISA opisuju veb ljuske kao uobičajenu prijetnju na kompromitovanim veb serverima jer mogu napadaču pružiti trajan način interakcije sa pogođenim okruženjem.
Za šta se koriste veb ljuske?
Svrha veb ljuske u velikoj mjeri zavisi od autorizacije. U zlonamjernim incidentima, veb ljuske se mogu koristiti za održavanje pristupa, istraživanje servera, kretanje dublje u mrežu, krađu podataka ili podršku kasnijim fazama napada. Microsoft je izvijestio da veb ljuske mogu omogućiti napadačima da izvršavaju komande na serverima i koriste te sisteme kao početnu tačku za krađu akreditiva, lateralno kretanje, dodatne zlonamjerne programe ili direktno upravljanje. Za branioce, ista tema se proučava isključivo radi razumijevanja ponašanja napadača, poboljšanja detekcije i uklanjanja neovlašćenog pristupa sa pogođenih sistema.
Ko ih obično koristi ili proučava?
Veb ljuske se obično povezuju sa akterima prijetnji, sajber-kriminalnim grupama i kampanjama upada koje ciljaju ranjive sisteme okrenute internetu. Takođe ih proučavaju timovi za odgovor na incidente, analitičari zlonamjernih programa, istraživači obavještajnih podataka o prijetnjama i ovlašćeni testeri penetracije koji rade u jasno definisanim zakonskim okvirima. Razlika nije samo u nazivu, već u tome da li je aktivnost ovlašćena, dokumentovana i ograničena na sisteme gdje tester ima eksplicitnu dozvolu.
Da li su veb ljuske ilegalne?
Veb ljuska nije automatski zločin kao koncept ili tema istraživanja, ali njeno postavljanje, pristupanje ili korišćenje na sistemu bez dozvole može biti ilegalno. Mnoge jurisdikcije tretiraju neovlašćeni pristup računaru kao krivično djelo. Na primjer, američki Zakon o računarskim prevarama i zloupotrebama fokusira se na pristup 'bez autorizacije' ili prekoračenje ovlašćenog pristupa, dok britanski Zakon o zloupotrebi računara pokriva prekršaje za neovlašćeni pristup računarskom materijalu. Zakoni se razlikuju od zemlje do zemlje, pa organizacije moraju dobiti pravni savjet prije sprovođenja bilo kakvog bezbjednosnog testiranja.
Zašto su važne za vlasnike veb sajtova
Vlasnici veb sajtova treba da tretiraju neočekivanu veb ljusku kao ozbiljan bezbjednosni incident. Mala, skrivena skripta može predstavljati mnogo veću kompromitaciju, posebno ako pogođena veb aplikacija ima pristup korisničkim podacima, administrativnim nalozima, skladištu datoteka ili unutrašnjim sistemima. MITRE ATT&CK prati veb ljuske pod tehnikom softverske komponente servera T1505.003, što odražava kako se mogu koristiti za perzistentnost na kompromitovanim serverima.
Vodič za odgovornu bezbjednost
Odgovoran sadržaj o veb ljuskama treba da ostane edukativan, defanzivan i ne-instruktivan. Sigurno izvještavanje može objasniti šta su veb ljuske, zašto su rizične, kako organizacije razmišljaju o odgovoru na incidente i zašto je autorizacija važna. Treba izbjegavati objavljivanje funkcionalnog koda, koraka za postavljanje, metoda izbjegavanja ili uputstava koja bi mogla pomoći nekome da dobije neovlašćen pristup. Najsigurniji okvir je jasan: znanje o veb ljuskama pripada legitimnom istraživanju bezbjednosti, defanzivnom nadzoru, odgovoru na incidente i propisno ovlašćenom testiranju.