Kako sam slučajno otkrio propust u mrežnoj bezbednosti i zaštitio internet u Srbiji (i šire) kupovinom WPAD.rs domena!

Ovo je priča o tome kako sam slučajno, sa nekoliko klikova i malo koda, uspeo da zatvorim vrata potencijalnim hakerskim napadima i učinim internet sigurnijim mestom – sve to kroz kupovinu naizgled bezopasnog domena WPAD.rs. 🎉

Kako je sve počelo?

Dok sam istraživao i učio o sajber bezbednosti, pažnju mi je privukla jedna ranjivost – WPAD protokol (Web Proxy Auto-Discovery). WPAD je zamišljen kao alat koji omogućava uređajima da automatski otkriju proxy servere, što olakšava preusmeravanje internet saobraćaja. Međutim, problem nastaje kada ovaj protokol nije u sigurnim rukama. WPAD ranjivost može da otvori vrata hakerima da manipuliraju i nadgledaju vaš saobraćaj.

Trenutak otkrića

Iz radoznalosti, odlučio sam da proverim da li je wpad.rs domen slobodan – i na moje iznenađenje, bio je dostupan! Shvatio sam da bi ovaj domen mogao da postane veoma opasan alat u rukama hakera. U svega nekoliko koraka, kupio sam domen, uredno platio naknadu, i postao vlasnik wpad.rs. Naizgled mala kupovina, ali ogromna zaštita za korisnike.

Kako funkcioniše WPAD napad?

Zamislite sledeće: svaki put kada vaš računar ili telefon pokušava da se poveže na internet, on automatski traži “uputstva” – kao neku vrstu mape. U normalnim okolnostima, računar dobija tačna uputstva koja ga vode direktno na internet. Ali, kada WPAD domen završi u pogrešnim rukama, haker može vašem uređaju podmetnuti lažnu mapu koja ga preusmerava kroz hakerski server. To znači da bi haker mogao da vidi sve što radite na internetu i da prati vaše aktivnosti u realnom vremenu. 🕵️‍♂️

Ko je sve bio u opasnosti?

• Obični korisnici: Svaki put kada se povežete na internet, bilo da unosite lozinku ili šaljete privatne informacije, haker može presresti te podatke, baš kao da vam „gleda preko ramena.“

• Firme i kompanije: Zamislite da neko prati interne mejlove, poslovne planove i finansijske transakcije u kompaniji. Gubitak ovih podataka može naneti ozbiljnu štetu firmi i njenim klijentima.

• Državne institucije: Hakeri mogu špijunirati ili čak menjati osetljive podatke građana i ugroziti bezbednost države. U najgorem scenariju, haker bi mogao da se “ugradi” u komunikaciju i pristupi poverljivim informacijama.

Šta sam uradio da osiguram WPAD.rs?

Nakon što sam postao vlasnik, odmah sam kreirao specijalni wpad.dat fajl sa jednostavnom funkcijom koja kaže:

function FindProxyForURL(url, host) {

    return "DIRECT";

}

Ova funkcija daje instrukciju svim uređajima koji posećuju wpad.rs da se povezuju direktno na internet, bez preusmeravanja saobraćaja kroz bilo koji proxy server. Na taj način sam osigurao da niko ne može zloupotrebiti ovaj domen za preusmeravanje internet saobraćaja ili praćenje aktivnosti korisnika.

Koliko je ozbiljna pretnja?

U oktobru, mesecu sajber bezbednosti, želeo sam da doprinesem većoj sigurnosti interneta. WPAD napad nije samo lokalna pretnja. Svi uređaji koji se povezuju na mreže sa DNS imenom koje koristi .rs domen mogu biti ugroženi, bez obzira na to gde se nalaze. Ovo znači da hakeri ili druge zlonamerne organizacije mogu tiho pratiti ili čak manipulisati saobraćajem velikog broja korisnika u Srbiji i šire.

Da li znate koliko je WPAD.rs domen ranije menjao vlasnike? Prvi put je registrovan 2018. godine, i prema mojim informacijama, postoje 26 istorijskih zapisa sa 16 značajnih promena u podacima o vlasništvu domena. Moguće je da su korisnici u Srbiji već bili izloženi nekim od WPAD napada u prošlosti.

Kako možemo sprečiti ovakve napade u budućnosti?

1. Etika vlasništva: Domen mora biti u rukama odgovornog pojedinca ili organizacije sa visokim etičkim standardima.

2. Kontrola nadležnih institucija: Nadležne institucije kao što su RNIDS ili Uprava za visokotehnološki kriminal (u okviru MUP Republike Srbije), mogu zabraniti registraciju ovakvih domena ili ga preuzeti pod svoju kontrolu.

Ustupanje domena nadležnim institucijama

Kao vlasnik wpad.rs, svestan sam njegove važnosti za mrežnu bezbednost. Ako RNIDS, Uprava za visokotehnološki kriminal ili bilo koja druga nadležna služba smatraju da je preuzimanje kontrole nad ovim domenom neophodno za veću sigurnost građana Srbije, spreman sam da ga sa zadovoljstvom ustupim.

Moja želja je da internet bude bezbedno mesto za sve korisnike, a ustupanjem ovog domena nadležnim institucijama možemo zajedno doprineti većoj sigurnosti mreža i smanjenju mogućnosti za zloupotrebu WPAD protokola.

I naravno, “Mene ako se sete na Dan Bezbednosti, sete se, ako se ne sete - nikom ništa, to je bila moja dužnost da radim.”

Za više informacija o WPAD napadima i kako smo osigurali bezbednost, posetite ovaj link 🌍 ili jednostavno koristite google search o WPAD napadima

---

Šta je WPAD napad?

Zamisli sledeću situaciju: koristiš računar kod kuće, na poslu, ili na nekom javnom mestu, kao što je kafić. Da bi tvoj računar znao kako da se poveže na internet, on traži instrukcije – kao neku vrstu mape. U normalnim uslovima, računar dobije ispravnu mapu koja mu kaže kako da stigne do interneta i preko kojih servera da prođe. Ali, u slučaju WPAD napada, haker daje tvom računaru lažnu mapu. Ta lažna mapa preusmerava sav tvoj internet saobraćaj kroz hakerov server. To znači da sve što radiš na internetu može biti pod nadzorom hakera!

Ko može biti ugrožen?

• Obični korisnici: Zamisli da sediš kod kuće i surfuješ internetom. Haker može da presretne tvoje lozinke kada ih unosiš, npr. dok se prijavljuješ na društvene mreže ili email. Takođe, može da vidi sve tvoje poruke i podatke koje šalješ ili primaš. Ako koristiš javni Wi-Fi (kao u kafiću), još si ranjiviji jer haker može lako preusmeriti saobraćaj kroz svoju opremu, baš kao da te posmatra kroz prozor dok koristiš računar.
• Državne institucije: Zamislimo da radiš u državnoj instituciji i upravljaš važnim podacima građana. Haker može preusmeriti internet saobraćaj tvoje institucije i tiho špijunirati osetljive podatke. Na primer, haker može pratiti informacije o ličnim podacima građana, što bi moglo dovesti do krađe identiteta. U ekstremnijim slučajevima, mogao bi pokušati da izmeni tvoje podatke na državnim serverima ako uspe da provali dublje u sistem, a da niko ne primeti.
• Firme i kompanije: Zamislimo da tvoja firma koristi internet za svakodnevne operacije, uključujući finansije, interne emailove, i komunikaciju sa klijentima. Ako haker preuzme WPAD kontrolu, može presretati interne podatke, lozinke zaposlenih, poslovne planove, i čak ugrožavati finansijske transakcije. Mogao bi čak i da „upadne“ u sisteme firme i promeni važne podatke ili uzrokuje štetu koja bi zaustavila poslovanje firme.

Koliku štetu haker može napraviti?

• Krađa identiteta: Ako haker presretne tvoje lozinke i lične podatke, može ih koristiti da se predstavi kao ti. To znači da može preuzeti tvoje naloge na društvenim mrežama, emailovima, pa čak i onlajn prodavnicama gde si sačuvao karticu za plaćanje.
• Kupovina u tvoje ime: Ako haker dobije pristup tvojim podacima, mogao bi iskoristiti tvoje naloge na sajtovima za kupovinu i naručiti stvari u tvoje ime. Takođe bi mogao dobiti pristup tvojim brojevima kartica, što je vrlo opasno.
• Pristup poslovnim tajnama: Ako haker napadne firmu, može pristupiti osetljivim poslovnim podacima, poput ugovora, planova, i finansija. Mogao bi čak i da onesposobi sisteme kompanije, što bi firmu koštalo novca i reputacije.

Vlasništvo nad domenom WPAD.rs u ovom ciklusu hakovanja

Vlasništvo nad domenom WPAD.rs igra ključnu ulogu u ovakvim napadima. Zamisli WPAD domen kao kapiju kroz koju računar traži instrukcije kako da se poveže na internet. Ako neko zlonamerni preuzme kontrolu nad WPAD.rs domenom, može postaviti maliciozne fajlove koji će zavarati uređaje u Srbiji i poslati ih kroz hakerski server. To znači da hiljade uređaja koji se povezuju na mrežu mogu biti preusmereni i hakovani bez da korisnici uopšte znaju.

Kao vlasnik WPAD.rs, ja kontrolišem šta računarima u Srbiji WPAD domen govori – da li im daje ispravne informacije ili zlonamerne. Zato je važno da WPAD.rs bude pod kontrolom pouzdanog i odgovornog entiteta kako ne bi postao alat za masovni napad.

Da li je ovo pojedinačni ili masovni napad?

WPAD napad može biti masovnih razmera. Ako haker preuzme kontrolu nad WPAD.rs domenom, može da utiče na hiljade ili čak stotine hiljada uređaja koji se povezuju na mrežu u Srbiji.

Ovo je napad velikih razmera, i može biti ocenjen na skali od 1-100 kao 90-100, jer utiče na celokupnu mrežnu infrastrukturu zemlje, a ne samo na pojedinačne korisnike.

Ovaj napad je opasan zato što se dešava „tiho“. Korisnici često ne znaju da su hakovani dok već nije prekasno – podaci su ukradeni, promenjeni, ili zloupotrebljeni.

WPAD napad nije samo mala pretnja, već napad koji može da ugrozi obične korisnike, firme, pa čak i državne institucije. Kontrola nad WPAD domenom je od vitalne važnosti, jer to znači kontrolu nad putanjom kojom se kreće sav internet saobraćaj. Ako zlonamerni haker preuzme kontrolu nad WPAD.rs, može tiho posmatrati, manipulisati, pa čak i potpuno kompromitovati mreže u Srbiji.

• SentinelOne objašnjava kako napadači mogu zloupotrebiti WPAD protokol da preusmere internet saobraćaj putem lažnog proxy servera, čime ugrožavaju korisničke podatke. Ovaj napad može trajati mesecima ili čak godinama ako ostane neprimećen. Izvor
• Praetorian detaljno objašnjava da napadi pomoću WPAD-a omogućavaju presretanje saobraćaja i krađu autentifikacionih podataka. Napad može biti globalnih razmera, posebno ako napadači uspeju da registruju odgovarajući WPAD domen, poput wpad.rs. Izvor
• CISA (Cybersecurity and Infrastructure Security Agency) daje pregled kako napadači koriste ranjivosti u WPAD protokolu za “man-in-the-middle” (MitM) napade, što može rezultirati presretanjem komunikacija u firmama, državnim institucijama, i čak kućnim mrežama. Izvor