Foto: Shutterstock/Dmytro TyshchenkoU javnosti se nedavno pojavila informacija da se na „crnom tržištu“, na takozvanom dark vebu, odnosno skrivenom delu interneta, može pronaći preko 100 snimaka ekrana i šifara zaposlenih u Republičkom geodetskom zavodu (RGZ). Iz zavoda su demantovali ove navode, uz tvrdnju da se radi o manipulaciji i da RGZ ima jedan od najsigurnijih sistema za sajber zaštitu u državi, uz opasku da se na dark vebu ipak prodaje jedan nalog, ali da je njegova vrednost beznačajna.
Prema navodima Foruma Bezbedan Balkan, koji je ovu priču i plasirao, ti snimci ekrana nastali su od 2021. godine do danas.
Ipak, ovo nisu prvi takvi navodi koji se pojavljuju.
Ranije smo imali slučajeve da su na prodaju bili mejl nalozi povezani sa EPS-om, Carinom, fakultetima i slično.
A sam RGZ bio je meta hakerskih napada sredinom prošle godine.
Podsetimo, RGZ je tada objavio da zaključava baze podataka jer je došlo do hakerskog napada na sajt sa podacima o imovini građana i privrede, kako bi se obezbedila njihova zaštita.
Tako je i bilo, baze su bile zaključane određeno vreme, a sam ishod situacije nikada do kraja nije razjašnjen.
Savetnik za informatičku bezbednost i jedan od osnivača Foruma Bezbedan Balkan Ivan Marković za Danas objšanjava na koji način su oni došli do ove informacije.
„Koristeći besplatnu verziju servisa za pretragu crnog tržišta po imenu “SOCRadar”, članovi foruma Bezbedan Balkan, uočili su da se mogu pronaći takozvani “Stealer Logs” paketi, koji sadrže korisničke podatke osoba koje su koristile RGZ servise“, navodi on.
Kako dodaje, s obzirom da su koristili besplatnu verziju, mogli su da vide detalje za samo par slučajeva.
„Ipak, to je bilo dovoljno da utvrdimo da se u ovim paketima nalaze i osetljivi podaci. Nekim od RGZ servisa poput „satelitskisnimci.rgz.gov.rs“ moguće je pristupiti samo ako ste registrovani korisnik, a ovaj servis se nalazi i u “Stealer Logs” paketima“, ukazuje Marković.
On objašnjava kako ti alati funkcionišu.
„“Stealer Logs“ su maliciozni alati, poput trojanskih konja i virusa), koji se instaliraju, obično putem „phishing“ napada ili korišćenjem nelegalnog softvera, na korisničke mašine i onda kradu vitalne podatke poput brojeva kreditnih kartica i šifara za pristup veb sajtovima“, kaže Marković.
Servis “SOCRadar” je uočio ove slučajeve na crnom tržistu po imenu “Russian Market“, objašnjava naš sagovornik i dodaje da pristup ovom crnom tržištu nije moguć bez pretplate.
Marković smatra da nalozi koje su otkrili pripadaju osobama koje se bave poslovima građevinske inspekcije i ozakonjenja nelegalnih objekata.
„Širenje podataka koje ove osobe imaju mogu uveliko da dovedu po povrede privatnosti građana i omoguće targetirane „phishing“ napade. Ono što me više zabrinjava je zapravo zloupotreba ovih korisničkih naloga za dalje prodiranje u sistem RGZ-a, ili samu manipulaciju bazama podataka“, upozorava on.
Marković smatra da postoji mnogo razloga za brigu kada su u pitanju sajber napadi na naše državne institucije.
„Većina institucija je neadekvatno zaštićena i nema stručne kadrove. Tamo gde postoje stručni kadrovi, oni nemaju glas. Pogledajte samo koliko smo slučajeva kompromitacije objavili zadnjih godinu dana na forumu Bezbedan Balkan“, navodi on.
Iz RGZ-a, pak, za Danas naglašavaju da oni imaju jasno definisanu proceduru koja se primenjuje u situacijama poput ove i da je ona već aktivirana kako bi se pravilno razjasnila situaciju.
„RGZ pristupa ovakvim slučajevima sa velikom ozbiljnošću i odgovornošću i primenjuje ustaljene procedure koje uključuju detaljnu forenzičku analizu. Svaka informacija se pažljivo razmatra kako bi se utvrdio njen izvor, proverila tačnost i eliminisale eventualne netačnosti ili preuveličavanja“, ističu oni.
Preliminarni rezultati analize ovog slučaja, prema njihovim rečima, ukazuju da je reč o „klasičnom pokušaju manipulacije od strane onoga ko je ovu informaciju plasirao“.
„Radi se o normalnoj pojavi u IT svetu, ali koja običnim građanima zvuči zabrinjavajuće. Ovakva situacija je uobičajena i dešava se svakodnevno jer se nalozi spoljnih korisnika lako kompromituju i odnose se na javno dostupne servise i aplikacije. Ovakvi nalozi nemaju pristup IT sistemu institucije, osetljivim podacima građana niti se koriste od strane državnih službenika“, objašnjavaju iz RGZ-a.
Međutim, Marković navodi da upravo iz ovih navoda RGZ-a on razume da se oni slažu da su procureli podaci za javno dostupne servise i aplikacije neke osobe, odnosno u ovom slučaju korisnika „satelitskisnimci.rgz.gov.rs“.
Međutim, kada se ode na stranicu „Satelitski snimci„, na portalu RGZ-a, kako ukazuje Marković, nailazimo na sledeću rečenicu:
“Pristup portalu predviđen je za registrovane korisnike koji su angažovani na poslovima građevinske inspekcije i ozakonjenja nelegalno izgrađenih objekata. Registracija korisnika se vrši dostavljanjem popunjenih i elektronski potpisanih formulara na e-mail adresu satelitskisnimciŽrgz.gov.rs (Zahtev za pristup portalu i Izjava o prihvatanju uslova) koje možete preuzeti ako sledite linkove prikazane na dnu stranice.”
Marković ovo vidi kao dokaz da ovo nije potpuno javan servis.
Ipak, iz Zavoda tvrde da je njihov servis dobro zaštićen od sajber napada.
„RGZ ima strogo definisana pravila lozinki, udaljenog pristupa kao i pristupa mreži koji onemogućavaju kompromitaciju infrastrukture RGZ-a. Takođe, konstantnim praćenjem mrežnog saobraćaja i monitoringom logova detektuje se na vreme svaka zlonamerna aktivnost na mreži i ista se neutrališe“, ističu oni.
Iz RGZ-a smatraju da se ovde radi o manipulisati informacijama iz marketinških razloga, a ne zbog stvarne pretnje bezbednosti.
„RGZ ima jedan od najsigurnijih sistema za sajber zaštitu u državi, a podaci građana su maksimalno bezbedni. Pozivamo građane da budu bezbrižni i imaju poverenja u našu posvećenost bezbednosti podataka što je potvrđeno od strane mnogih međunarodnih i domaćih institucija i organizacija“, naglašavaju oni.
Ipak, oni priznaju da se, kako navode, od 2.164.010 naloga koji se nalaze na crnom internet tržištu nalazi i jedan pomenuti nalog.
„Koliko je bezvredan taj nalog govori i činjenica da se 15.000 ovakvih naloga prodaje za 100 evra, što dovoljno govori o ovoj zlonamernoj kampanji protiv RGZ-a“, zaključuju oni.
Međutim, naš sagovornik Ivan Marković smatra da po ovoj rečenici vidi nestručnost onog ko je dao takvu izjavu.
„Ne shvata da imamo sreće što je maliciozna strana slučajno, a ne sa namerom, došla u posed ovih podataka, i ne zna koliko stvarno vrede“, upozorava on.
Da krađa i prodaja podataka na crnom tržištu dark veba nije ništa novo potvruđuju za Danas i iz CERT-a, organizacije kojoj se prijavljuju sajber napadi, a koja zatim deluje u skladu sa svojim zakonskim ovlašćenjima.
Oni navode da krađa i trgovina kredencijalima na dark veb-u predstavlja samo jedan od scenarija ‘’aukcijskih ponuda’’.
„Pravo je pitanje da li su i koliko podaci kojima se trguje zaista validni, ili je možda reč o nekim zastarelim, ili fabrikovanim nalozima koji se nude na prodaju. Dark veb nije uređena platforma i svaki korisnik može ponuditi bilo kakve ‘’podatke’’ na prodaju“, objašnjavaju oni.
Kako navode, nacionalni CERT radi analizu svake prijave koja im stigne.
„Nakon toga CERT obaveštava IKT sistem o postojanju potencijalne izloženosti sajber napadu, na osnovu koje IKT sistem sprovodi dalje korake u vidu internih provera“, kažu oni.
Sajber napadima, kako ukazuju, podjednako mogu biti izložena fizička, ili pravna lica kao i IKT sistemi od posebnog značaja.
„To pre svega zavisi od interesa napadača, koji su uglavnom finansijskog karaktera, ali mogu biti i političkog, uticajnog, nasilničkog ili bilo kog drugog karaktera“, smatraju iz CERT-a.
Jedna od osnovnih metoda zaštite od krađe kredencijala službenih naloga, kako kažu, jeste njihovo korišćenje isključivo u poslovne svrhe.
„Preporuka je da se službeni nalozi ne koriste za logovanje na druge, najčešće komercijalne platforme, ili društvene mreže koje mogu biti kompromitovane“, savetuju iz CERT-a.
Kako su pretnje i rizici po bezbednost naloga elektronske pošte kontinuirano prisutni, CERT je objavio i publikaciju „Kako postupiti ukoliko dođe do kompromitovanja elektronske pošte i kako zaštititi naloge„.
„Svaki građanin ili pravno lice, koje postane žrtva sajber napada, incident može prijaviti Nacionalnom CERT-u putem internet stranice cert.rs, koja je dostupna 24 časa, sedam dana nedeljno. Prijava se podnosi klikom na dugme „Prijavi incident“. U okviru forme za prijavu incidenta potrebno je popuniti obavezna polja i opisati incident koji se dogodio“, navode oni.
Oni objašnjavaju da CERT kontinuirano prati dostupne informacije o pretnjama i da pruža rana upozorenja i informiše relevantna lica o rizicima i incidentima i daje konkretne savete i preporuke u slučaju prijavljenog incidenta.
„Ovakvom razmenom informacija sa ostalim CERT-ovima, ISP-jevima i IKT sistemima od posebnog značaja u skladu sa zakonskom regulativom i međunarodnim standardima, smanjuje se broj uspešno izvedenih napada i verovatnoća da se napad koji se desio jednoj instituciji desi i ostalim institucijama“, navode oni.
Kako dodaju, nekada je važilo pravilo da nije pitanje da li će neko biti napadnut, već kada će biti napadnut.
„Danas, naročito imajući u vidu korišćenje veštačke inteligencije, postavlja se pitanje da li znate da ste pod napadom ili ne. Drugim rečima, ne postoji 100 odsto zaštićen sistem od sajber napada, ali podizanjem nivoa sajber kulture među poslovnim, ali i svim drugim tipovima korisnika interneta, umnogome se može podići i opšti nivo zaštite svih građana Republike Srbije“, upozoravaju iz CERT-a.
Pratite nas na našoj Facebook i Instagram stranici, ali i na Twitter nalogu. Pretplatite se na PDF izdanje lista Danas.
