covid-19

Масовата работа извън офиса покрай пандемията с COVID-19 ни научи на много ценни уроци. Един от тях: домашната мрежа е точно толкова важна и трябва да е поне толкова сигурна, колкото тази в офиса.

Отдалечената работа не е феномен от днес – просто покрай пандемията тя стана по-масова. Заплахата от вируса направи така, че бюрото в офиса се смени с това вкъщи, училищата на децата ни са изместени в онлайн класни стаи и комуникацията с близките ни минава през интернет. И, ако защитата на корпоративната мрежа не е наша лична отговорност, то вкъщи ние трябва да се погрижим и за сигурността си. Това може да е само полезно, защото същата домашна мрежа обикновено използваме за гледане на филми, сърфиране в интернет и т.н. Все неща, за които сигурността е важна.

В този текст ще съберем най-често срещаните грешки, които видяхме по време на пандемията и начините, по които може лесно да бъдат отстранени.

Грешките

1. Конфигуриране на безжична мрежа без парола. Разбира се, това е най-лесният и удобен начин за конфигурирането на една безжична мрежа. Това обаче означава две неща: спад в производителността на цялата мрежа (мрежата без парола почти сигурно означава, че в нея ще има много неканени гости) и широко отворени врати за злонамерени лица, които могат да инфектират вътрешната мрежа. Винаги слагайте парола на мрежата си (и то не каква и да е – виж грешка 3).
2. Прикриване на името на безжичната мрежа (SSID), която отново е без парола. Мит, който се разпространява в интернет. Като скрием името на нашата мрежа (SSID), то тя става „невидима“ и по този начин няма нужда да я подсигуряваме с парола, защото така или иначе само ние ще имаме достъп до нея. Истината обаче е, че това изобщо не е така. Дори да скрием SSID, рутерът продължава да изпраща сигнали и те могат да бъдат прихванати, без това да изисква специализирани познания или инструменти. Като скрием SSID не повишаваме сигурността, а създаваме само един лек визуален ефект. Винаги слагайте парола на мрежата си (и то не каква и да е  – виж следващата грешка).
3. Използване на слаба парола за безжичната мрежа. Първо, нека дефинираме какво е слаба парола. Това е парола, която съдържа малко на брой символи и по този начин тя е уязвима на brute-force атака (състои се в съставяне на списък от всякакви символи с всякакви дължини и опит за логване в мрежата с някоя от различните комбинации).  Друг вид слаби пароли са често срещани комбинации: admin, password, root и т.н. Тези пароли отново са уязвими на brute-force атака, но базирана на т.нар. dictionary attack (това са списъци, които съдържат едни от най-често използваните фрази за пароли). За слаба парола може да се приеме и например серийния номер на рутера, въпреки че в повечето случаи той е със сравнително голяма дължина и съдържа цифри и букви. Уязвимостта се крие именно в това, че ако нападателят разбере модела на рутера (а това изобщо не е трудна задача), той ще може да генерира списък от пароли, в който да са описани всички възможни комбинации от цифри и съответно техните дължини, които са характерни за серийните номера на този вид рутери. Така значително се намалява времето за разбиване на паролата. Освен гореописаните примери, като слаба парола може да дефинираме и всяка една парола, която поради една или друга причина се свързва с нас или ни идентифицира. Например, името на нашият домашен любимец, номер на улица, ЕГН и т.н. Добрите практики показват, че една сигурна парола трябва да е от минимум 14 символа и да е съставена от специалмни символи, цифри, главни и малки букви.
4. Използване на слаби/остарели криптиращи протоколи за безжичната мрежа. Избягвайте използването на WEP и WPA, защото имат познати уязвимости и при правилното им експлоатиране може да се стигне до компрометиране на вътрешната мрежа. Използването на WPA2 в комбинация с криптиращия алгоритъм WPS е още една функционалност, която отваря дупка в сигурността на домашния ни рутер. Независимо че се използва WPA2 + AES, ако WPS е пуснат, чрез него е възможно компрометирането на рутера. Затова, след като се уверите, че използвате съвременни криптиращи протоколи и алгоритми за безжичната мрежа, задължително изключете WPS!
5. Използване на фабричното потребителско име и парола за достъп до рутера. Никога не оставяйте фабричните настройки на рутера непроменени. Винаги конфигурирайте ваша сигурна парола за достъп до рутера, като по този начин ще предотвратите неоторизиран достъп до него.
6. Неактуализиране на фърмуера на устройството. В повечето случаи, както потребителското име и паролата, така и версията на фърмуера, не се обновяват и остават такива, с каквито е дошло устройството. Плюсовете за използването на последната актуална версия на фърмуера се състоят в подобряване на производителността на устройството и отстраняване на някои бъгове, както и в закърпване на софтуерни уязвимости, които биха поставили вашето устройство в риск. Винаги прилагайте последния възможен фърмуер за вашият рутер!
7. Използване на Port Forwarding за достъп на вътрешна услуга от Интернет. Всеки домашен потребител би искал да може да управлява своя принтер, NAS устройство, домашен компютър (най-често чрез RDP), IoT устройство и дори самия рутер от всяка точка на света. Да, това осигурява голяма свобода и удобство, но на каква цена? Публикуването на услуга в Интернет означава, че тя ще бъде видима не само за нас, но и за други лица, за които нямаме гаранция, че ще имат добри намерения. Дори и да сме приложили описаните по-горе стъпки, отварянето на порт и съответно услуга би позволило на злонамерените лица да атакуват и съответно да експлоатират тези услуги, като по този начин си осигурят достъп до вътрешната мрежа и нашите ресурси в нея. Затова, препоръчително е използването на VPN, който ще осигури сигурна и криптирана връзка до вътрешната мрежа, която не може да бъде пресечена от трети лица. Като краен вариант, при невъзможност за конфигурирането на VPN, може да се приеме ограничаването на достъпа до тази услуга само до конкретен публичен IP адрес.

Дотук разгледахме едни от най-често срещаните грешки при конфигурирането на домашната мрежа и това как да ги елиминираме.

В следващите редове ще опишем и нашите препоръки за превръщането на домашната ни мрежа в работна.

 

Нашите препоръки

1. Сегментиране на мрежата. Създайте и сегментирайте домашната си мрежа още на ниво VLANs, така че тя да бъде в отделен VLAN от мрежата, която ще използвате за корпоративни цели. Така ще имате две отделни мрежи, като те не трябва да имат достъп една до друга. По този начин дори вашата локална мрежа да бъде заразена, тази зараза няма да се принесе към корпоративната мрежа (и обратно).
2. Включете защитните механизми във вашият рутер. Почти всички рутери имат т.нар „базов“ stateless firewall. В средния клас рутери има дори SPI firewall, както и други защитни механизми

Ако вашият рутер няма тези функционалности (или искате да ги надградите) може да инсталирате друга операционна система, която да ги „отключи“. Най-широко разпространени на пазара са OpenWRT и ddWRT. Те могат да превърнат един най-обикновен рутер за 20 лв. в устройство, което има SPI firewall, VPN, VLANs и т.н. Внимание! Инсталирането на друга операционна система на вашия рутер може да го повреди/счупи и затова трябва да бъдете много внимателни! Препоръчваме да се запознаете детайлно с процеса преди да предприемате подобни действия.

3. Използване на CloudFlare DNS for Families – Това е нова услуга, предоставена от облачния гигант. Тя се състои в използването на техни DNS сървъри, които филтрират малуер и съдържание за възрастни, напълно безплатно. По този начин добавяте още един слой към вашата сигурност още на ниво DNS. За целта, в настройките на рутера конфигурирайте една от следните опции:

• За блокиране на зловредни кодове:
• Основен DNS : 1.1.1.2
• Втори DNS : 1.0.0.2
• За блокиране на малуер и филтриране на съдържание за възрастни:
• Основен DNS : 1.1.13
• Втори DNS : 1.0.0.3

4. Ако имате подръка Raspberry Pi, тогава може да се възползвате от още един безплатен продукт на Cloudflare – Cloudflare Gateway. С помощта на Raspberry Pi, Pi-hole и DNSCrypt, вие ще можете да включите защитни механизми като например, но и не само DoH (DNS over HTTPS) за конкретно устройство, браузър и дори за цялата локална мрежа. Така ще може да се защитите от най-различни мрежови атаки като фишиниг, малуер, криптовируси и т.н.

Въпреки че изпълняваме служебните си задължения от вкъщи, сигурността на домашната ни мрежа е наша отговорност. Ако подходим с лека ръка към нея, това може да има пагубни последствия не само за устройствата вътре в нея, но и за корпоративната мрежа и ресурси.

Елиминирайки грешките, описани по-горе, значително се намалява шанса локалната ни мрежа да бъде компрометирана. Ако следваме и препоръките, тогава ще постигнем едно доста добро ниво на мрежова сигурност. Имайте на предвид, че освен последната точка за Cloudflare Gateway, (където се изисква да имате наличен Raspberry Pi) всичко друго изписано до тук изисква само и единствено време и желание от ваша страна. А какво по-хубаво от това да надградите домашния си рутер с всички тези защитни механизми и функционалности на цената от 0 лв.?

Работа от личен, вместо от служебен компютър. Съхраняване на служебна информация на незащитени машини и платформи. Използване на слаби пароли за неоторизирани услуги. Споделяне на конфиденциална информация през имейл, вместо чрез оторизираните източници.

Това са само част от практиките, с които служителите заобикалят процедурите за киберсигурност на организациите си, докато работят от вкъщи. И рискуват бизнеса на работодателите си.

Над 52% от участниците в проучването The State of Data Loss Report 2020 на Tessian признават, че не се свенят да заобикалят изискванията, поставени от IT мениджмънта, докато принудително работят от вкъщи заради пандемията от COVID-19.

В не малка част от случаите служителите не пренебрегват правилата нарочно. Правят го, за да спазят поставените срокове за задачите си, докато са притиснати от различни разсейващи фактори: грижата за децата и домакинството, липсата на място, предназначено само за работа и др. И вярват, че поемането на излишни рискове ще им се размине, защото IT екипите им не ги наблюдават непрекъснато.

Пак около половината анкетирани твърдят, че са принудени да заобикалят правилата заради тромави или сложни процедури (IT мениджъри, замислете се дали и при вас изискванията не са твърде сложни за спазване).

Каквато и да причината за подобни практики, обаче, резултатът е един и същ: съществуването на организацията ви е изложено на допълнителен риск. Особено в ситуация, в която киберпрестъпниците се опитват всячески да се възползват от подобни грешки и заобикаляне правилата при работа от вкъщи. „Достатъчно е да има един изпратен мейл с конфиденциална информация до неправилен получател, един източен файл от услуга в облака,  за да си навлечете загуба на бизнес, проверки и глоби от регулатори и др.,“ коментират авторите на прочуването.

Вижте какви са рисковете, пред които е изправен бизнеса ви при отдалечена работа на служителите ви и как да ограничите рисковете.

Последен ъпдейт на 4 май 2020 в 12:09 ч.

Накратко:

• Киберпрестъпниците експлоатират COVID-19 и се възползват от нашата уязвимост за собствена изгода
• Новини, оферти и призиви за дарения във връзка с коронавируса е добре да се разглеждат критично, независимо от източника им
• COVID-19 измества най-популярните досега имена и се превръща в главен герой на спам и фишинг кампании
• И телефонните измамници експлоатират „модерния“ коронавирус, за да ви объркат и да постигнат престъпните си цели

Неотдавна COVID-19 влезе с взлом в живота ни и го превзе – буквално. Днес, освен, че се притесняваме за личното си здраве и това на нашите близки, се налага да преживяваме още редица неудобства, свързани с нетипични промени в елементарното ни ежедневие.

В ситуация на глобална пандемия, в която всеки един от нас е потърпевш, е нормално да очакваме хората да покажат най-доброто си „аз“, увлечени от идеята за взаимопомощ. Уви, без изненада наблюдаваме, как злонамерени „предприемачи“ са впрегнали усилия и, както и досега, се опитват да извлекат ползи от вашата уязвимост.

Неведнъж сме насочвали вниманието ви към потенциални заплахи за киберсигурността ви. Този път ще обобщим възможните пробойни, но в светлината на COVID-19:

Фалшиви мейли и анонси за коронавирус

Фалшиви новини, призиви за дарения, примамливи оферти за необходими,  но дефицитни продукти, са сред най-популярните опити на киберпрестъпниците да се доберат до лесна печалба. Как да ги разпознаете и да противодействате, прочетете тук.

Безспорно е, че онлайн комуникацията завзема ежедневието ни, а в момента дори и най-големите й противници започват да отстъпват, за да запазят здравето си. Това обаче в никакъв случай не означава, че щом сте прочели нещо в социалните мрежи, то то е истина.

Подлагате под съмнение твърденията на хора, които познавате лично, нали? Защо тогава да приемате за чиста монета новина, споделена в профила на напълно непознат? Разбираемо е да не ви се иска да повярвате, но в онлайн пространството действат индивиди, групи, и дори платени рекламни кампании на издания, които целят дезинформация – бъдете бдителни!

Спам

Анализаторите от Vade Secure отчетоха, че имената на PayPal, Facebook, Microsoft, Netflix и WhatsApp са били най-често използваните при фишинг и спам кампании през последното тримесечие на 2019 г. (повече тук). Три месеца по-късно промяната в лидерството изглежда съвсем реална. В края на м. март 2020 г. компанията SANS (SysAdmin, Audit, Networking and Security), която е разработила една от известните архитектури, използвани за създаване на система за киберсигурност, съобщи, че през последните няколко седмици престъпниците използват COVID-19 за всичко – от продажба на фалшиви лекарства до фишинг. Всеки ден се регистрират няколко хиляди домейна с ключови думи, свързани с COVID-19.

Да мислим рационално: Всяка държава в света е впрегнала максимални усилия за справяне с пандемията. Отговорни екипи, назначени да информират обществеността за последните събития, свързани с COVID-19, работят денонощно. Дали при този натоварен график те биха имали време да ви изпратят личен и-мейл по темата? Едва ли! Затова, бъдете критични, не се поддавайте на паника и любопитство и си припомнете общите ни препоръки за предпазване от спам тук.

Телефонни измами

И тази престъпна „ниша“ не остана назад от общата тенденция. Бързаме да ви припомним една наша публикация отпреди 2 години – прочетете я внимателно, защото днес ситуацията е същата. Единственият нов щрих е, разбира се, COVID-19 – най-актуалната тема, която бързо и ефективно би създала страх и объркване у жертвата.

Нашите препоръки:

• Не предоставяйте какъвто и да е достъп до системата си;
• Не споделяйте лична информация;
• Подлагайте под съмнение всякакви примамливи оферти.

В крайна сметка, ако проблемът с  COVID-19 можеше да бъде разрешен онлайн или по телефона, то той отдавна да е добре забравен.

До тук изброихме всякакви видове потенциално опасна за вас комуникация и поведение. Вярваме, че в тежко време е добре да се представи и положителна алтернатива, затова ще споделим някои от местата, от които ние се информираме:

• http://www.mh.government.bg/bg/informaciya-za-grazhdani/informaciya-otnosno-noviya-koronavirus-2019-ncov/
• https://coronavirus.bg/
• https://www.consilium.europa.eu/bg/policies/covid-19-coronavirus-outbreak/
• https://ec.europa.eu/info/live-work-travel-eu/health/coronavirus-response_bg
• https://www.reddit.com/r/Coronavirus/
• https://outbreak.cc/
• https://coronavirus.jhu.edu/

Живеем в динамично и несигурно време, но също така разполагаме с достъп до ресурси за противодействие на повечето случващи се злонамерени атаки в киберпространството. И докато , за съжаление, не можете да контролирате самостоятелно COVID-19, то киберсигурността на системата и бизнеса ви е предимно във ваши ръце. Помнете, че личната ви неприкосновеност и здравословната информационна среда са най-вече във ваш собствен интерес.

Последен ъпдейт на 8 април 2020 в 10:11 ч.

Черешката на сладоледа. Така можем да определим поредната фишинг кампания, използваща пандемията от коронавирус.

В мним имейл, разпратен от името на болница, получателят е уведомен, че е… заразен с COVID-19. И, разбира се, е приканен да свали прикачения към писмото файл EmergencyContact.xlsm, в който се твърди, че има списък с контакти, с които да се свърже, за да получи адекватно лечение.

Прочетете повече по темата тук

 

В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

Хакерите не спират да се възползват от COVID-19 пандемията. След спам съобщенията, идват и други опити за измама, които използват името на вируса.

Два сайта – antivirus-covid19[.]site и corona-antivirus[.]com – са били използвани за промотирането на антивирусно решение, което защитава от… коронавирус. Слоганът на единия от тях е бил доста директен: “Download our AI Corona Antivirus for the best possible protection against the Corona COVID-19 virus. Our scientists from Harvard University have been working on a special AI development to combat the virus using a mobile phone app.” (Свалете нашия Corona Antivirus с изкуствен интелект, за да получите най-добрата възможна защита от вируса COVID-19 Учените от Университета Харвард разработват специален изкуствен интелект, с който да се борят с вируса с мобилно приложение.).

Всъщност, при инсталирането на приложението, потребителят се сдобива с „бонус“ – компютърът му е заразен с BlackNET RAT и е присъединен към ботмрежа. Т.е. устройството може да бъде използвано за различни видове атаки и други зловредни действия като:

• DDoS атаки
• Изпълняване на скриптове
• На компютъра да бъдат качвани файлове и да бъдат снимани скрийншоти от устройството
• Да се копират данни за използването на клавиатурата (keystroke logger)
• Да се крадат Bitcoin портфейли
• Да се крадат бисквитки и пароли от браузъри

Прочетете повече по темата тук

 

В рубриката Новините накратко подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

Последен ъпдейт на 8 април 2020 в 10:13 ч.

Google и Microsoft обявиха, че отлагат планираните ъпдейти на браузърите си заради пандемията от коронавирус.

Освен браузъра Chrome, Google отлага новата версия и на операционната си система със същото име. Текущата стабилна версия на браузъра – Chrome 80 ще продължи да получава ъпдейти, свързани със сигурността на приложението, а Chrome 81 и 82 въобще няма да видят бял свят. Лидерът в онлайн търсенето ще публикува директно версия 83 на браузъра си.

Microsoft също обяви, че Edge 81 няма да бъде обявен за stable release в обозримо бъдеще. Edge е базиран на енджина Chromium, с който работят и други браузъри като Google Chrome и Opera.

Прочетете повече по темата тук

 

В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

Последен ъпдейт на 4 май 2020 в 11:58 ч.

Ако имате нужда от помощ с отговора на въпроса как да направите така, че коронавирусът да не понижи критично “имунитета” на дружеството и друг вирус от друг вид да порази тежко бизнеса ви – следвайте съветника по-долу

Сигурна работа от вкъщи – как да го направим? Последните няколко дни този въпрос нашумя, особено след обявяването на пандемия от COVID-19 и препоръката колкото се може повече хора да работят от вкъщи.

Ето няколко предизвикателства, с които се сблъскваме ние в такива ситуации.

1. Направете така, че колегите ви да имат необходимия достъпи до информация и вътрешни ресурси, без да компрометирате сигурността си
2. Изберете решение, с което да знаете и контролирате какво реално правят колегите ви (DLP, EDR)
3. Контролирайте използването на „алтернативни“ IT решения и канали за комуникация и обмен на информация
4. Забранете използването на личен компютър/телефон за работа (или още по-зле – обществен, например в интернет кафе)
5. Защитете достъпа до вътрешна информация и услуги през незащитена връзка (в повечето случаи отворен WiFi, примерно в кафето до вас)
6. Следете и прилагайте ъпдейти
7. Осигурете лесен канал за комуникация с вас и за докладване на инциденти

Пълният и детайлен съветник вижте в блога на CENTIO #Cybersecurity тук.