Proxyware sau ce sa (nu) faci cand ai prea multa “teava de net”

In ultimii ani au aparut multe modele de business bazate de ideea de “sharing” care s-au dovedit a fi de succes si foarte profitabile pentru cei care le-au adoptat. La baza este ideea ca ai mai mult dintr-un anume lucru si decat sa stea degeaba, mai bine iti aduce niste bani (o sursa de venit pasiv). De exemplu, ideea de home sharing. Daca ai o camera in plus, o poti inscrie pe o platforma precum Airbnb. Sau poate o casa de vacanta pe care tu o folosesti doar de 2 ori pe ani. Pe langa locuinte, lumea mai share-uieste si masini, barci, locuri de parcare, telefoane mobile si chiar “teava de net” 😊. Oricum, noi consumam numai o parte din banda de Internet, de ce sa nu facem si noi un mic profit de pe urma celeilalte? Laptopul oricum sta pornit mai tot timpul si nu e ca si cum ramanem fara gigabiti de Internet. Plus ca poate nici nu e laptopul nostru, e al firmei si la fel si netul, ssshhh.

Ce este proxyware-ul?

Proxyware-ul este un program instalat pe un calculator sau pe telefonul mobil care face accesibila conexiunea la Internet a dispozitivului unei alte entitati. In functie de cat timp ruleaza programul si de cata banda ii este permis acestuia sa foloseasca, utilizatorul acumuleaza un anumit numar de puncte care pot fi tranformate in bani. In esenta, utilizatorul instaleaza un software prin care isi vinde banda de Internet nefolosita si prin care devine un nod intr-o retea operata de vendorul software-ului. Honeygain, Nanowire, Peer2Profit si PacketStream sau doar cateva exemple de platforme care ofera servicii de proxyware.

Ce poate merge rau?

Desi un astfel de serviciu poate fi 100% curat, hackerii incep sa manifeste un interes crescut pentru astfel de platformele de proxyware si le pot folosi in scopuri mai putin legale, inclusiv pentru a raspandi malware.

Trebuie inteles faptul ca Internetul va vedea traficul ca avand sursa adresa IP publica a utilizatorului care foloseste proxyware sau a organizatiei. Atacatorii pot abuza de acest lucru si pot scana sisteme din Internet, site-uri web, pot lansa atacuri de tip DDoS sau pot lansa campanii de spam sau phishing, daca de exemplu server-ul de email foloseste acelasi IP. Consecintele pot fi severe: adresa IP a organizatiei poate fi trecuta pe listele de “block” din Internet, poate fi marcata ca fiind sursa de distributie a malware-ului, utilizatorii nu vor mai putea trimite email-uri pentru ca adresa IP si domeniul sunt vazute ca surse de spam si altele.

Un alt risc este ca utilizatorul, desi crede ca instaleaza doar softul de proxyware, poate sa instaleze si malware. Pe langa platformele legitime exista o sumedenie de site-uri de file sharing care includ pe langa proxyware si continut bonus. Ce fel de continut bonus? De exemplu, un troian care instaleaza un program de minare de crypto monede (care consuma cu pofta electricitate si resursele dispozitivului) si un tool de “call home” prin care troianul se conecteaza la serverul de command-and-control din Internet al hackerilor.

Este destul de limpede ce se poate intampla cu reteaua organizatiei daca pe un dispozitiv conectat la aceasta foloseste un astfel de proxyware: exfiltrare de date, escaladare de privilegii, ransomware si lista poate continua. Este clar acum ca proxyware-ul este un “goodie bag” de pericole pentru orice business si eventualul profit obtinut de pe urma lui nu merita riscurile la care ne supunem. O analiza foarte buna a modului in care proxyware-ul este folosit abuziv de actorii malitiosi a fost facuta de Cisco Talos si se poate citi aici.

Masuri de protectie

Cea mai buna metoda de a combate exploatarea proxyware-ului de catre hackeri este instalarea unei solutii puternice de antivirus/antimalware sau endpoint protection pe fiecare calculator care are acces la Internet. Astfel, nu doar ca organizatia este protejata de orice efect rau intentionat al proxyware-ului, dar daca acesta “impacheteaza” si malware, protectia este in continuare oferita.

Un alt mod prin care organizatiile se pot proteja este printr-o politica de securitate care sa prevada in mod explicit ca utilizatorii sa nu instaleze proxyware sau alte software-uri neautorizate pe calculatoarele lor, indiferent daca acestea se afla conectate on-premises la reteaua companiei sau remote printr-o conexiune de tip VPN. Best practice-ul este ca utilizatorii sa nu aiba dreptul de a instala programe pe sistemele pe care le utilizeaza si sa foloseasca un cont fara drepturi de administrator.

Mihai Dumitrascu, Sr Systems Engineer