Защита на лични данни

Последен ъпдейт на 28 юни 2018 в 13:15 ч.

„Интернет на нещата“ (IoT, Internet of Things) е феномен, който за много хора означава да се възползват от предимствата на свързани с интернет устройства, които могат да контролират отдалечено. Целта: да улесним живота си и дори да спестим разходи – като например контролираме отвсякъде кога и на каква температура да работи климатикът, например.

Дали обаче тази технология е безопасна? Има само един начин да разберем – като проверим или като някой провери вместо нас. В случая, този някой са анализаторите на ESET, които са тествали възможностите за защита на 20 различни устройства, свързани в един „умен дом“ – а производителите са марки като Amazon, d-Link, Nokia, Sonos, TP-Link и други.

Пълните резултати от експеримента можете да видите тук. А обобщението може да прочетете по-долу.

Личното ви пространство става все по-малко лично

Нуждата на IoT устройствата да ви следят и да събират информация за поведението ви не е най-големия проблем на умните домове. Както показват резултатите от проучването, основният проблем се крие в уязвимостите, открити в по-голямата част от тестваните устройства. С други думи – нямате пълна гаранция, че информацията ви отива само там, където я изпращате.

Последното е особено важно в случаите, в които сте се възползвали от предимствата на на IoT не за дома, а за офиса си.

Трудно, но не и невъзможно

Предвид казаното по-горе, мога ли да вярвам на умния си дом или офис? Да, разбира се.

А мога ли да имам сигурен умен дом или офис? Да, разбира се. Изграждането на защитена система от IoT устройства е напълно постижима задача, стига да знаете какво правите – или да работите с някой, който знае какво прави. В противен случай, рискувате да създадете база данни с вашите навици, предпочитания и лични (бизнес) данни, която  да е защитена точно толкова, колкото може да бъде непромокаем един гевгир.

Никое приложение или устройство не може да ви гарантира пълна сигурност, независимо какво казва производителят. Но начинът, по който инсталирате, конфигурирате и работите с тези устройства може да намали риска от работата с тях и да ви позволи да се възползвате от предимствата им.

Интелигентен дом с интелигентни избори

Ако сте готови да внесете лека футуристична нотка в ежедневието си и искате интернет да е и на вашите неща, то трябва да знаете как да избирате:

• Проверете за потенциални и минали уязвимости с просто търсене онлайн. Най-добре е да го направите на английски като следвате следните шаблони:

[име на устройството] security vulnerability

[име на устройството] privacy breach

[име на устройството] data leak

• Проверете дали и колко често производителят обновява фърмуера (вградения софтуер) на устройството, което сте избрали. Можете да проверите на сайта на производителя, да следите бюлетини или да използвате търсачка.
• Четете – да, курсорът на мишката ви се отплесва към „Accept Terms & Conditions” в момента, в който видите правен текст, но това няма да направи устройството ви по-сигурно.
• Не прекалявайте с данните, които споделяте с устройствата си или услугите, които използвате чрез тях. Отнасяйте се с тях като с човек, който обслужва нуждите ви, а не стар познат.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 13:16 ч.

Проучване на Accenture и института Ponemon ни показа, че финансовите услуги са били (и остават) основна цел на кибер-атаките през миналата година. Средните отчетени щети за фирма от сектора според проучването са на стройност 18 милиона USD. Това е над 62% ръст в стойността спрямо данните от подобни проучвания от 2013 г. Проучването е проведено за общо 15 сектора на промишлеността в седем различни държави.

Атаките срещу услуги, които използвате, са атаки срещу вас

Най-силно засегнати са финансовите услуги в САЩ, което не е изненада, тъй като те представляват огромен дял от индустрията. Интересното, е че заразяването с вируси представлява най-малкият дял от щетите, докладвани в проучването. От другата страна стоят водещите вредители – denial of service (DoS) атаки, които спират принудително достъпа до различни услуги и фишинг атаки, които целят да експлоатират човешкия фактор в системата като се възползват от доверчивостта на потребителите (нас).

Най-сериозните пробиви в сигурността през изминалата година не просто доведоха до загуби на приходи – те доведоха до загуби на потребителски данни. Милиони записи лична информация бяха източени, а щетите от това не могат да бъдат лесно преценени. От страна на бизнеса, най-големи щети се причиняват от атаки, които спират достъпа до услуги (DDoS и DoS).

Ситуацията все още не се подобрява

Атаките към бизнеса продължават да стават по-мащабни, по-сложни и по-унищожителни. Миналата година станахме свидетели на феномени като WannaCry, Petya и NotPetya, които причиниха щети за стотици милиони долари на компании от цял свят. Няма как да измерим дали мерките за сигурност се подобряват, но атаките видимо стават все по-опасни.

Лъч светлина за гражданите на ЕС е въвеждането на новия регламент за съхранение на лични данни (GDPR). Тя задължава всички компании, които имат потребители от ЕС да въведат защитни способи като криптиране на съхраняваните данните. Това не е крайна гаранция за сигурността ви, но и няма как да имате такава. Със сигурност е стъпка напред в предотвратяването на източване на данни и предпоставка да се наслаждавате на удобството на дигиталните услуги по-спокойно.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

 

Последен ъпдейт на 28 юни 2018 в 13:19 ч.

Можете ли да си представите живота без безжичен интернет? Не? И ние. Без значение дали сте вкъщи или на работа, на кафе или на разходка в парка, най-вероятно някъде близо до вас се намира WiFi рутер. Ако рутерът, през който ползвате интернет, не е защитен правилно, може да си навлечете доста неприятности – част от които са да бъдете подслушвани, да ви бъдат откраднати пароли за достъп и т.н.

Самите рутери разполагат с вградени системи за защита. От вас (независимо дали сте системен администратор или просто домашен потребител) се очаква просто да ги включите и конфигурирате. След това остава забавлението от един по-сигурен интернет. Ето какво да направите:

1. Не можете да имате доверие на фабричните настройки

Вероятно от момента, в който сте получили рутера си – било то от магазина или от интернет доставчика, вие не сте променяли настройките му. Знаете ли, че липсата на сигурни настройки е една от най-големите уязвимости на домашните мрежи?

Запомнете: Фабричните пароли не са уникални и само за вас и вашето устройство.

Всяко устройство излиза от производство с фабрично настроени имена и пароли за достъп. Те са познати на всички, които могат да търсят в Google – включително съседа, който иска да си поиграе с мрежата ви. Ако не искате тя да крещи „Добре дошли!“ на всички желаещи да се упражняват върху нея, е важно да смените тези пароли със сложни и дълги фрази. Освен това е препоръчително и да използвате по-стабилен метод за сигурност като WPA2-PSK AES (задава се от менюто за парола на безжичната връзка).

Друг проблем на фабричните настройки са отворените портове – крайната точка на онлайн комуникацията от ваша страна, на която рутерът ви очаква връзка. Повечето от тях са за специфични услуги, като FTP (порт 21), SSH (22), Telnet (23), HTTP (80), HTTPS (443) или SMB (139, 445). Проверете настройките си и забранете всички портове, които не използвате. Ако не сте сигурни как да го направите, потърсете в наръчника за употреба на вашето устройство или онлайн.

2. Непознатите свързани устройства могат да бъдат забранени

Всички рутери позволяват да видите колко и какви устройства са свързани с тях. Когато видите непознати такива, може би някой вече се е сетил да се възползва от несигурните ви настройки.

За ваш късмет, всички рутери ви позволяват да разрешите или забраните само определени устройства, най-често използвайки техния MAC адрес. Ако мрежата ви е малка (например – вкъщи), можете ръчно да ограничавате достъпа само до вашите устройства.

3. Обновленията ви досаждат, но и държат опасностите на разстояние

Вероятно ежедневно някое приложение ви „мрънка“, че има нова версия. Същото е и с фирмения софтуер на рутерите (firmware). И в двата случая не трябва да отказвате или отлагате инсталацията – тя може да ви спести много главоболия. Инсталирайте новите версии на софтуера за рутера си и всички устройства в мрежата, за да сте сигурни, че производствени грешки не ви поставят в опасност.

Добра причина за това са скорошни атаки като KRACK (Key Reinstallation AttacCK). Този вектор за атака се възползва не толкова от самите уязвимости на рутера ви, колкото от начина, по който устройствата в мрежата комуникират с него.

4. Допълнителни настройки ви дават още начини да се защитите

Разделите „Advanced” или „More” в менюто вероятно крият различни ценни функции като защита срещу различни типове DoS (Denial of Service) атаки. Прегледайте внимателно какви възможности ви дават и потърсете всички допълнителни защитни функции на рутера си в потребителското ръководство или онлайн.

Няма да ви отнеме нищо повече от един-два клика, за да ги конфигурирате, а те могат да ви спестят часове изгубен труд и недостъпни услуги.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 13:26 ч.

Смартфоните и таблетите вече промениха начина по който комуникираме и работим – както направиха компютрите преди 20-ина години. И – както си му е реда – дойде време да се замислим за няколко основни неща:

1. Какво споделяме с телефона си (каква информация за нас самите разполага устройството в джоба ни)?
2. Как е защитена тя и можем ли да направим нещо, за да я защитим по-добре (и какво)?
3. Кое е по-сигурното устройство? Телефонът/таблетът или компютърът ми?
4. (има и още въпроси, но те сa предмет на други текстове)

Ето и отговорите:

1. Телефонът ви знае на практика всичко за вас – може би ви познава по-добре отколкото вие познавате себе си
2. Информацията е защитена нелошо още на ниво операционна система, което обаче не изключва допълнителни мерки за сигурност (например – антивирусно приложение, система за родителски контрол или контрол на служителите – MDM) и т.н.
3. Продължете да четете надолу :)

Отговорът на въпроса коя е по-сигурната среда – мобилната или тази на компютъра е просторен и заслужава повече внимание. Ще започнем с това, че много хора (грешно) смятат, че мобилните устройства не разполагат със средствата да бъдат защитени като един лаптоп, например. И ще продължим с:

1. Прекомерното разнообразие

Разнообразието от устройства и разновидности на операционни системи е (почти) прекалено голямо, за да може един вирус да обхване всички устройства. Въпреки, че Android владее 88% от пазара (по данни на statista.com), модификациите на операционната система с отворен код са толкова много, че е трудно да се напише вирус за всички едновременно. Не точно така стои ситуацията с Windows при компютрите . Единствено фундаментална уязвимост като наскоро откритите Spectre & Meltdown може да обхване значима част от мобилните устройства.

Разликите в хардуера също обуславят ограничения в типовете вируси, достъпни за смартфони (например, без хардуерна клавиатура е по-трудно да се напише кийлогър за мобилни телефони).

2. Официалните магазини за приложения

Наличието на централизирани магазини за софтуер за най-големите операционни системи (Android и iOS) е стъпка към ограничаването в разпространението на зловредни кодове за мобилни телефони. Контролът (автоматизиран при Android и от хора при iOS) е още една стъпка в правилната посока.

Благодарение на тези усилия, шансът да се заразите с вирус намалява драстично – но системата е далеч от перфектна или неуязвима.

3. Кажи „да“

Мобилните операционни системи имат още две сериозни предимства в сравнение с Windows, Например:

• те работят в sandbox среда (иначе казано не могат да достъпват информация от други приложения)
• за достъп до определени функции се изисква изрично съгласие на потребителя (друг е въпросът доколко потребителите внимават какви позволения дават на приложенията, които инсталират).

4. Мобилните мрежи са по-безопасни от WiFi

И причината за това е много проста – (на теория) никой, освен мобилния ви оператор, не може да наблюдава трафика в 3G / 4G мрежата. При използването на чувствителни данни онлайн е винаги по-безопасно да използвате нея, отколкото WiFi – дори и защитен с парола такъв.

Казаното дотук не означава, че няма начин един телефон да бъде заразен и компроментиран – или, че за мобилни устройства 100% от приложенията са безопасни. По-скоро статистически е по-малко вероятно (все още) това да се случи заради по-високото ниво на вградена в устройствата защита.

Тепърва предстои на мобилните устройства да се докажат като достатъчно сигурни, тъй като те продължават да се налагат като все по-важен инструмент в ежедневието ни. От нас се иска единствено да се отнасяме достатъчно внимателно с информацията, която споделяме с тях – и приложенията, които инсталираме.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 13:26 ч.

Правото за опазване на лични данни в онлайн пространството е (или трябва да бъде) основно човешко право. В наши дни, определението за „лична информация“ онлайн може да варира много, но в повечето случаи става въпрос за данните от потребителските интеракции. Докато броят на по-внимателните, които не оставят следи след себе си се увеличава, за по-голямата част от потребителите това е непосилно. Те оставят парченца информация навсякъде, предоставяйки на всеки кибер-престъпник една прекрасна игрална площадка.

Факт, е че не друго, а потребителските данни движат една от следващите големи „революции“ – изкуствения интелект. Въпросът тук е колко от тези системи ще работят и ще се съобразяват с „правото да бъдеш забравен“? Колко от компаниите, които изграждат такива системи, ще се отнесат отговорно към данните, които обработват?

Защото много от нас са наясно с това, че данните им се събират от различни услуги като социални мрежи. Но има още много, много услуги, които събират и използват личните ни данни, без дори да се замисляме за това.

Безплатен ли е безплатният софтуер?

В днешно време потребителите все повече очакват софтуерът да им бъде предоставян на много ниски цени или дори безплатно. Това подтиква много производители да направят безплатни версии на продуктите си, от които да изкарват пари по други начини – например като използват потребителските данни. В крайна сметка, когато нещо е напълно безплатно, а изглежда сякаш не трябва да бъде, най-вероятно продуктът сте вие.

Do you accept the Terms and Conditions?

Не само този тип софтуер използва такава стратегия за печалба. Повечето производители на безплатен софтуер въвеждат дълги и сложни условия за ползване и политики за данни, в които се крие отговорът на това дали и как продават данните ви на трети страни.

Нужно е да разберете как компанията, чийто софтуер ползвате, печели пари. Например, мобилните игри често има изискване да закупите достъп до по-висока версия на продукта или да платите, за да спрете да виждате реклами. Ако не е очевидно какъв е метода за монетизация на компанията, то най-вероятно тя печели именно от продаването на вашите данни.

Какво правихте днес?

Докато от софтуерна страна можете да издадете онлайн навиците си, с навлизането на свързаните устройства (или IoT) това събиране на информация може да се пренесе към офлайн живота ви. Представете си, че докато се прибирате, телефонът ви следи местоположението ви, за да изчисли най-бързия път. Освен това се сещате да пуснете дистанционно „интелигентния“ си термостат, за да се приберете на топло.

Завършете веригата както искате, но това трябва да ви дава представа, че събирането на такива данни и подреждането им от системи за изкуствен интелект може да предвиди или директно издаде всеки малък елемент на ежедневието ви. Свързаните устройства трябва да се използват с повече добре информирани решения от потребителите си, за да се предотврати ненужно шпиониране.

Добрите новини

През май 2018 ще влезе в действие нов регламент за защита на личните данни в Европейския съюз – GDPR (General Data Protection Regulation). Тя цели да даде на потребителите решението за това как и дали личните им данни се съхраняват, разпространяват и използват. Това значи, че всички сайтове и услуги, чиято потребителска база съдържа граждани на държави от ЕС ще трябва да се съобразяват с изискванията му.

Подобна регулация е особено важна в наши дни, тъй като събирането на данни по всички обсъдени тук начини значи, че е възможно изграждането на сложен потребителски профил, който може да съдържа много чувствителни данни за вас, интересите ви, навиците ви. От своя страна, съществуването на такъв профил дава особено примамлива възможност на хакери да получат всичката информация за вас на едно място.

Нека се надяваме, че 2018 г. ще ни донесе повече права за защита на данните ни. Въпреки че събирането им става все по-лесно и достъпно за всички, не трябва да му позволяваме да излиза извън контрол.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 13:27 ч.

Органите на реда на САЩ са заловили 28-годишен мъж от Охайо на име Филип Дурачински. Според обвиненията той е използвал зловреден код, за да шпионира потребители, използващи Apple Mac компютри. Вирусът е именуван „Fruitfly” и е използван, за да наблюдава всички типове активност на потребителската машина, включително и уебкамерата.

Какво може да свърши един кибер престъпник за 13 години?

Дурачински, който ще бъден съден за редица обвинения, е създал и графичен интерфейс, който му е позволявал да вижда екраните на няколко заразени компютри едновременно. Смята се, че обвиняемият е използвал разработката си за да краде лична информация като пароли и „потенциално смущаваща комуникация“ между 2003 и 2017 г. Престъпникът е поддържал актуални записи с всичката открадната информация на заразените.

За негови жертви към момента се смятат хиляди лични и работни компютри, включително училища, бизнеси и дори едно полицейско управление. Смята се и, че Fruitfly е достигнал до обществени и правителствени компютри. Въпреки че осфактновната целева група са хората, използващи компютри на Apple, разследващите са намерили и варианти, които атакуват компютърни системи с Windows.

С какво това го различава от други подобни атаки?

Тринадесет години, на фона на скоростта на развитие на антивирусния софтуер, са прекалено много време един вирус да остане незабелязан. Fruitfly е атакувал машини с различно ниво на защита от незащитени потребители до хора с правителствено ниво на сигурност. Точно как атакуващият е постигнал това, не е ясно към момента.

Но нали за Mac няма вируси?

Тъй като злонамерен код за операционната система macOS X е по-рядко срещано явление, някои хора си мислят, че тя е вълшебно защитена от всички атаки. Факт е, че Windows е система, която е експлоатирана много по-често, но това се дължи най-вече на по-мащабното ѝ разпространение (по данни на netmarketshare.com към края на годината пазарният дял на macOS е малко над 8% спрямо близо 89% на Windows).

Затова, разумен избор е да не игнорирате заплахите за системата и да се предпазите с антивирусен софтуер. Това значително ще намали риска от подобна масирана атака, която може да ви коства много повече от адекватната защита.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 13:27 ч.

Уязвимост в неправителствената организация Let’s Encrypt и идеалната ѝ цел да осигури безплатни TLS сертификати на сайтове със споделен хостинг може да изиграе обратна роля – и вместо да помогне, да се превърне в проблем за сигурността на милиони интернет потребители. Причината: уязвимост, която при определени условия може да позволи издаването на сертификати за домейни върху споделен хостинг, от лица които нямат контрол върху тези домейни.

Какво е Let’s Encrypt и ACME?

Накратко – Let’s Encrypt започва като инициатива на ISRG (Internet Research Group). За да реализират инициативата, ISRG създават ACME (Automatic Certificate Management Environment) – протокол, който определя автоматизацията на процедурите между издателите на сертификати и уеб сървърите на потребителите им. Той използва три от т.нар. „10 благословени метода“ за потвърждаване на самоличността на притежател на домейн.

Методите са създадени заедно с група доброволно включили се производители и издатели на сертификати и са описани в документа „Baseline Requirements“ (секция 3.2.2.4).

За един от използваните – sni-tls-01– е открит начин да се експлоатира, в случай, че се използва от домейн, свързан със споделен хостинг.

Проблемът с ACME и споделения хостинг

Преди дни беше открита огромна уязвимост, която засяга всички, които използват Let’s Encrypt на споделен хостинг. Тя е осъществима чрез методите за потвърждение на самоличност на ACME и начинът, по който споделения хостинг работи. Cloud услуги като CloudFront и Heroku бяха също разкрити като уязвими, но чрез бърза реакция вече не позволяват експлоатирането на точно тази уязвимост.

Дупката в сигурността позволява на атакуващ да издава сертификати за външни домейни чрез споделен хостинг и в последствие да ги използва за предоставяне на вредно съдържание.

Какво значи това за нас?

За момента е спряно издаването на сертификати чрез tls-sni-01 и следващата му версия – tls-sni-02, както се споменава в официалното изявление на Let’s Encrypt. Всички cloud-based доставчици на хостинг също трябва да предприемат стъпки за „запушването“ на този пробив във сигурността, след като водещите такива откликнаха.

По-добри ли са платените сертификати?

Допускането на толкова сериозен пробив във сигурността може да накара някои хора да си кажат „за толкова пари – толкова“. Нужно е, обаче, да погледнем към сигурността на платените услуги – наистина ли е по-добра. Отдолу можете да видите изброени няколко инцидента, които ще ви дадат достатъчно ясна представа:

• Chrome забрани китайските издатели на сертификати WoSign и StartCom, след като беше разкрито, че им липсват основни практики за сигурност
• Chrome планира да елиминира изцяло „доверието“ си към Symantec сертификати, тъй като те не отразяват съвременните нужди за сигурност на бизнеса
• Холандската агенция DigiNotar стана източник на над 500 измамни сертификати, които послужиха за масирана атака срещу ирански сайтове и профили.

Tехнически подробности за уязвимостта можете да прочетете в подробното обяснение на самия ѝ откривател.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 13:28 ч.

Последно обновена на 12.01.2018, 11:50

Светът се сблъска с две от най-мащабните (и като обхват, и като ниво на опасност) уязвимости в историята си – Meltdown и Spectre. Пропуските в дизайните на процесите на Intel, AMD, Qualccomm и още десетки производители позволяват кражбата на чувствителна информация без знанието на потребителите – и без те дори да разберат. И докато технологичните подробности далеч не са за пренебрегване – то ето какво може да направите, за да се предпазите от ефектите на двете уязвимости – както и устройствата, които са засегнати от тях.

Историята, накратко

Meltdown и Spectre бяха „разкрити“ в тема сайт за споделяне на съдържание – reddit.com. Темата, наречена „Intel bug incoming” твърдеше, че процесорите на Intel, произведени през последните 10 години, са засегнати от критична уязвимост.

На преден план излиза това, че чрез експлоатация на една от функциите за ускоряване на работата на процесора, даден процес може да достъпи информация, която не би трябвало да бъде достъпна за него. Това се дължи на факта, че има пролука между пространството на паметта, където се изпълнява потребителски софтуер (user-mode address) и това, в което се съхраняват пароли, сертификати, криптографични ключове и др. (kernel-mode address). По този начин, зловреден код може целенасочено да достъпи до информация, запазена само за специфични процеси с право на достъп до нея.

Двата основни вектора за атака получиха имената Spectre и Meltdown.

Положението към момента

Засега са ясни следните неща:

• Всички видове процесори са засегнати донякъде. От ARM процесора на телефона ви, до IBM процесорите в суперкомпютрите
• Добавянето на допълнителен слой сигурност може да доведе до забавянето на производителността на процесорите с между 5% и 30%
• Най-засегнати от уязвимостите са продуктите на Intel, което ще направи и забавянето им по-осезаемо след патчване

До момента, при откриването на уязвимост или бъг в процесор, производителя му я поправя чрез т.нар. „микрокод“. Поради една или няколко все още неясни причини, „запушването“ на Meltdown и Spectre не може да се случи по този начин. Това накара производителите на процесори, заедно с тези на операционни системи, да работят по отстраняването на опасността на софтуерно ниво.

Засегнати производители

Ето част от засегнатите производители – и мерките, които те са предприели за решаването на проблема.

ПРОИЗВОДИТЕЛ	ОФИЦИАЛНА ПОЗИЦИЯ
A10 Networks	SPECTRE/MELTDOWN – CVE-2017-5715/5753/5754
Amazon (AWS)	AWS-2018-013: Processor Speculative Execution Research Disclosure
AMD	An Update on AMD Processor Security
Android (Google)	Android Security Bulletin—January 2018
Apple	HT208331: About the security content of macOS High Sierra 10.13.2, Security Update 2017-002 Sierra, and Security Update 2017-005 El Capitan HT208394: About speculative execution vulnerabilities in ARM-based and Intel CPUs HT208403: About the security content of Safari 11.0.2
Arista Networks	Security Advisory 0031: Arista Products vulnerability report
ARM	Vulnerability of Speculative Processors to Cache Timing Side-Channel Mechanism ARM Trusted Firmware Security Advisory TFV 6
Aruba Networks	ARUBA-PSA-2018-001: Unauthorized Memory Disclosure through CPU Side-Channel Attacks („Meltdown“ and „Spectre“)
ASUS	ASUS Motherboards Microcode Update for Speculative Execution and Indirect Branch Prediction Side Channel Analysis Method
Avaya	ASA-2018-001: linux-firmware security update (RHSA-2018-0007) ASA-2018-002: linux-firmware security update (RHSA-2018-0013) ASA-2018-004: linux-firmware security update (RHSA-2018-0012) ASA-2018-005: linux-firmware security update (RHSA-2018-0008) ASA-2018-006: linux-firmware security update (RHSA-2018-0014) ASA-2018-011: VMware ESXi, Workstation and Fusion updates address side-channel analysis due to speculative execution. (VMSA-2018-0002)
Azure (Microsoft)	Securing Azure customers from CPU vulnerability Microsoft Cloud Protections Against Speculative Execution Side-Channel Vulnerabilities
CentOS	CESA-2018:0007 Important CentOS 7 kernel Security Update CESA-2018:0008 Important CentOS 6 kernel Security Update CESA-2018:0012 Important CentOS 7 microcode_ctl Security Update CESA-2018:0013 Important CentOS 6 microcode_ctl Security Update CESA-2018:0014 Important CentOS 7 linux-firmware Security Update
Chromium	Actions Required to Mitigate Speculative Side-Channel Attack Techniques
Cisco	cisco-sa-20180104-cpusidechannel – CPU Side-Channel Information Disclosure Vulnerabilities Alert ID 56354: CPU Side-Channel Information Disclosure Vulnerabilities
Citrix	CTX231399: Citrix Security Updates for CVE-2017-5715, CVE-2017-5753, CVE-2017-5754
CoreOS	Container Linux patched to address Meltdown vulnerability
Cumulus Networks	Meltdown and Spectre: Modern CPU Vulnerabilities
Debian	Debian Security Advisory DSA-4078-1 linux – security update
Dell	SLN308587 – Microprocessor Side-Channel Attacks (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754): Impact on Dell products SLN308588 – Microprocessor Side-Channel Attacks (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754): Impact on Dell EMC products (Dell Enterprise Servers, Storage and Networking)
Digital Ocean	A Message About Intel Security Findings /a>
Dragonfly BSD	Intel Meltdown bug mitigation in master More Meltdown fixes
Duo Security	ArticlesIs Duo affected by the recent Spectre or Meltdown vulnerabilities?
Extreme Networks	Meltdown and Spectre (VN 2017-001 & VN 2017-002) VN 2018-001 (CVE-2017-5715, CVE-2017-5753 – Spectre) VN 2018-002 (CVE-2017-5754 – Meltdown)
F5 Networks	K91229003: Side-channel processor vulnerabilities CVE-2017-5715, CVE-2017-5753, and CVE-2017-5754
Fedora	Protect your Fedora system against Meltdown
Fortinet	Fortinet Advisory on New Spectre and Meltdown Vulnerabilities
FreeBSD	FreeBSD News Flash
Google	Google Project Zero: Reading Privileged Memory with a Side-Channel Google’s Mitigations Against CPU Speculative Execution Attack Methods
HPE	Side Channel Analysis Method allows information disclosure in Microprocessors (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754) HPESBHF03805 – Certain HPE products using Microprocessors from Intel, AMD, and ARM, with Speculative Execution, Elevation of Privilege and Information Disclosure.
Huawei	Security Notice – Statement on the Media Disclosure of the Security Vulnerabilities in the Intel CPU Architecture Design
IBM	Potential CPU Security Issue Potential Impact on Processors in the POWER Family
Intel	INTEL-SA-00088 Speculative Execution and Indirect Branch Prediction Side Channel Analysis Method INTEL-OSS-10002: Speculative Execution Branch Prediction Side Channel and Branch Prediction Analysis Method
Juniper	JSA10842: 2018-01 Out of Cycle Security Bulletin: Meltdown & Spectre: CPU Speculative Execution and Indirect Branch Prediction Side Channel Analysis Method
KEMP Technologies	Meltdown and Spectre (CVE-2017-5754 & CVE-2017-5753)
Lenovo	Lenovo Security Advisory LEN-18282: Reading Privileged Memory with a Side Channel
Linode	CPU Vulnerabilities: Meltdown & Spectre
Linux Mint	Security notice: Meltdown and Spectre
Liquid Web	Here Is What You Need to Know About Meltdown and Spectre
LLVM	D41723: Introduce the „retpoline“ x86 mitigation technique for variant #2 of the speculative execution vulnerabilities D41760: Introduce __builtin_load_no_speculate D41761: Introduce llvm.nospeculateload intrinsic
Microsoft	Security Advisory 180002: Guidance to mitigate speculative execution side-channel vulnerabilities Windows Client guidance for IT Pros to protect against speculative execution side-channel vulnerabilities Windows Server guidance to protect against speculative execution side-channel vulnerabilities SQL Server Guidance to protect against speculative execution side-channel vulnerabilities Surface Guidance to protect against speculative execution side-channel vulnerabilities Important information regarding the Windows security updates released on January 3, 2018 and anti-virus software
Mitel	Mitel Product Security Advisory 18-0001: Side-Channel Analysis Vulnerabilities
Mozilla	Mozilla Foundation Security Advisory 2018-01: Speculative execution side-channel attack („Spectre“)
NetApp	NTAP-20180104-0001: Processor Speculated Execution Vulnerabilities in NetApp Products
Netgear	PSV-2018-0005: Security Advisory for Speculative Code Execution (Spectre and Meltdown) on Some ReadyNAS and ReadyDATA Storage Systems
nVidia	Security Notice 4609: Speculative Side Channels Security Bulletin 4611: NVIDIA GPU Display Driver Security Updates for Speculative Side Channels Security Bulletin 4613: NVIDIA Shield TV Security Updates for Speculative Side Channels Security Bulletin 4614: NVIDIA Shield Tablet Security Updates for Speculative Side Channels Security Bulletin 4616: Security Bulletin: NVIDIA Tegra Jetson TX1 L4T and Jetson TK1 L4T Security Updates for Speculative Side Channels
Okta	Security Bulletin: Meltdown and Spectre vulnerabilities
Open Telekom	Open Telekom Cloud Security Advisory about Processor Speculation Leaks (Meltdown/Spectre)
OpenBSD	Meltdown
OpenSUSE	[Security-Announce] Meltdown and Spectre Attacks
OVH	Information about Meltdown and Spectre vulnerability fixes Find your patch for Meltdown and Spectre
Palo Alto Networks	Information about Meltdown and Spectre findings (PAN-SA-2018-0001
Pulse Secure	KB43597 – Impact of CVE-2017-5753 (Bounds Check bypass, AKA Spectre), CVE-2017-5715 (Branch Target Injection, AKA Spectre) and CVE-2017-5754 (Meltdown) on Pulse Secure Products
QEMU	QEMU and the Spectre and Meltdown attacks
QNAP	NAS-201801-08: Security Advisory for Speculative Execution Vulnerabilities in Processors
Qubes OS	Announcement regarding XSA-254 (Meltdown and Spectre attacks)
Raspberry Pi	Why Raspberry Pi isn’t vulnerable to Spectre or Meltdown
Red Hat	Kernel Side-Channel Attacks – CVE-2017-5754 CVE-2017-5753 CVE-2017-5715 RHSA-2018:0008 – Security Advisory RHSA-2018:0012 – Security Advisory RHSA-2018:0013 – Security Advisory RHSA-2018:0014 – Security Advisory
RISC-V Foundation	Building a More Secure World with the RISC-V ISA
Riverbed Technology	Jan 05, 2018: Update on Meltdown and Spectre
SonicWall	Meltdown and Spectre Vulnerabilities: A SonicWall Alert
Sophos	128053: Advisory: Kernel memory issue affecting multiple OS (aka F**CKWIT, KAISER, KPTI, Meltdown & Spectre)
SuperMicro	Security Vulnerabilities Regarding Side Channel Speculative Execution and Indirect Branch Prediction Information Disclosure (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754)
SUSE	SUSE Linux security updates CVE-2017-5715 SUSE Linux security updates CVE-2017-5753 SUSE Linux security updates CVE-2017-5754
Synology	Synology-SA-18:01 Meltdown and Spectre Attacks
Ubuntu	Ubuntu Updates for the Meltdown / Spectre Vulnerabilities
VMware	NEW VMSA VMSA-2018-0002 VMware ESXi, Workstation and Fusion updates address side-channel analysis due to speculative execution
Vultr	Intel CPU Vulnerability Alert
Xen	Advisory XSA-254: Information leak via side effects of speculative execution

Как да се защитите?

Засега най-добрия ви вариант за навременна реакция е да следите новините от производителите, чиито процесори използвате, и потребителската общност, както и да се осведомите за бъдещи обновления за операционната ви система.

Информация за системни администрартори

Meltdown и Spectre са толкова комплексни като уязвимости, че е трудно решението им да бъде обобщено в един абзац или няколко реда. Въпреки това, имаме няколко полезни съвета и други материали:

1. Опознайте уязвимостите, за да разберете как да се пазите от тях. Например, тук както и ето тук. Блогът на Raspberry Pi има опростено обяснение на техническите специфики около уязвимостите – можете да го намерите тук
2. Можете да намерите много по-подробна информация за всеки производител на хардуер и софтуер относно уязвимостите в това github repository
3. Таблица с информация за това дали антивирусния ви софтуер предотвратява обновленията на операционната система и дали и как можете да го поправите можете да видите в Google Drive
4. Скриптове, които ви позволяват да проверите дали сте засегнати от уязвимостите можете да намерите за Linux и Windows 
5. Обновявайте софтуера на всички ваши устройства и следете за подозрителна активност

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 13:29 ч.

Началото на 2018-та година ни донесе един от най-мащабните проблеми за сигурността на личните ни данни до момента. Както вероятно вече знаете, става въпрос за феномените Meltdown и Spectre. Заплахата започна като „бъг в Intel процесорите“, произведени през последните 10 години. В последствие се разрасна в заплаха за всички производители на процесори и доведе до пренаписване на определени системни компоненти от всяка от най-популярните операционни системи за мобилни устройства, компютри и сървъри.

Но проблемът е далеч от решен.

Факт е, че грешки се допускат и уязвимости се откриват постоянно – както в софтуера, така и в хардуера. Принципно и двете са поправими с патчване на въпросния софтуер или фърмуеъра на засегнатата хардуерна част. Различното тук е, че тези две засягат самата хардуерна структура на процесора – нещо поправимо единствено чрез заменянето му с незасегнат такъв.

Докъде стигна решението на проблема

Това, което светът получи като решение е  допълнителен слой защита, който не прави атакуването на уязвимостите напълно невъзможно, но сериозно го затруднява. Всяка популярна операционна система и кореспондиращото ѝ устройство са или вече обновени, или им предстои да бъдат възможно най-скоро. За жалост, има и уловка – допълнителната сигурност ви носи и леко забавяне на работата на машината. Много от нас с радост биха платили тази цена за сигурността си, но не всички се сещат, че в определени случаи няма какво да им се даде в замяна.

Докъде не стигна

Точно такъв е случаят на част от засегнатите процесори – тези с ARM архитектура. Те са навсякъде – от мобилния ви телефон, през смарт-телевизора, до „умния“ чайник на съседката. По-голямата част от свързаните устройства, принадлежащи към т.нар. „Internet of Things” (Интернет на нещата), притежават ARM чипове, които остават уязвими. Въпреки че от ARM съобщават, че работят по подсигуряването на близо милиард нови чипове, то самия мащаб на приложението на хардуера им е толкова голям, че дори и такова мащабно подновяване може да се окаже недостатъчно.

По-специфичното в ситуацията с този производител е, че заради големия наплив от свързани устройства, голяма част от тях биват закупени, въведени в експлоатация и (доста често) забравени от клиента. Също толкова голяма част, обаче, биват забравени и от производителя, което значи, че уязвимостите при тях може и да не бъдат „закърпени“ от нито едната от двете страни.

И какво като телевизорът ми ме наблюдава?

Тук вече вероятно се питате – „Колко пък чувствителна информация може да издаде телевизорът ми за мен?“. Отговорът е прост – повече от достатъчно. Не забравяйте, че като започнем от паролата на безжичната ви връзка и минем през всяко едно малко парченце информация, което споделяте с устройствата си, възможностите за експлоатация не са никак малко. Това, че в голяма част от случаите, самата комуникация между устройствата не е криптирана, също допринася за проблема.

В оставащите няколко години от живота на всяко засегнато и забравено устройство, хората около вас (а защо не и вие) ще са обградени от уязвими чипове. Поправянето им на хардуерно ниво е непосилно, а на софтуерно – нереално. Единственото, което можете да направите е да се информирате добре какво купувате. Можете да следите и как протича реакцията на производителите към Spectre и Meltdown. Съобразявайте се и с това колко и какво споделяте с „интелигентните“ устройства около вас.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 13:29 ч.

Най-лошият сценарий за един бизнес, е не просто атака, не е дори и особено мощна атака, а успешна атака. Подготовката на план, предотвратяващ потенциален пробив и изтичане на данни е огромна отговорност – но в случай, че пробив в сигурността все пак се случи е нужно максимално адекватна реакция (а според изискванията на GDPR – е дори и задължителна такава).

Естествено, най-доброто време да се приготвите как да реагирате при източване на данни е преди изобщо то да се е случило. Нека разгледаме най-важните насоки на действие:

Не го дръжте в тайна

Инвестициите в информационна сигурност не спират да растат – поредното проучване, което го доказвам е GISS – Global Information Security Survey. Въпреки тази позитивна тенденция, все още под 4% от проучените организации заявяват, че са напълно готови да контролират щетите, причинени от изтичане на данни. Около 35% от проучените фирми отговарят, че политиката им за защита на данните или обхваща единствено специфичен казус, или изобщо не съществува.

В допълнение, 17% от фирмите не биха докладвали изтичане на данни на всички потребители. А 10% не биха известили дори потребителите, които са засегнати (грубо нарушение на GDPR – според изискванията на регламента, всички засегнати потребители трябва да бъдат уведомени за пробив в сигурността до 72 часа след разкриването му).

Създайте план

Погледнете на него като на списък с действия, който бихте оставили на детегледачка, в случай, че нещо сериозно се обърка с децата ви. Трябва да е точен и изчерпателен и да отговаря на въпроси от типа на:

• Какъв е обхватът на атаката?
• Как да продължи работата на засегнатите услуги?
• По какъв начин инфекцията може да се изолира?
• Как най-бързо и ефективно да уведомим всички засегнати?

Както и всичко друго приложимо за бизнеса ви и обстоятелствата, които го обграждат.

Този план трябва да се обновява, за да обхваща всички нови процеси и назначения, както отсъствия на служители. В най-добрия случай трябва да е на достатъчно сигурно място, че да не попада в грешните ръце, но да бъде достатъчно лесно достъпен.

Пригответе си подходящо съобщение за засегнатите страни

Човек, който се намира по средата на създалия се пожар трудно би могъл да реагира достатъчно добре. От друга страна, пък, въображаеми разговори под душа трудно могат да ви подготвят за мащаба на един такъв пробив. Използвайте помощта на добре запознато юридическо лице, за да подготвите шаблонен отговор по отношение на изтичане на данни. Можете да създадете уеб страница, която е достатъчно лесно достъпна, че да бъде разпращана. В процеса на разрешаване на проблема, можете да я обновявате с най-новата налична информация.

Защитете клиентите си допълнително

Въпреки че това не е една от стъпките, които задължително трябва да се случат след изтичане на данни, то тя би ви помогнала да си върнете доверието. Подсигурете навременното предоставяне на допълнителна сигурност и рекламирането ѝ може да ви върне част от клиентското доверие.

Тествайте, тествайте, тествайте!

Редовно тествайте плановете си и всички описани процеси чрез симулирани атаки и не пропускайте нито една от стъпките! Използването на реални сценарии за тренировъчната атака може да ви даде по-реалистична преценка относно протичането на плана. Точно тези тестове ще ви покажат какво (а често и как) трябва да се промени в действията, които смятате да предприемете.

Последно, никога не трябва да приемате, че просто защото бизнесът ви не е привидно важен, то вие няма да станете нечия цел. Ако имате каквато и да е информация, която може да се монетизира (продаде), то вие вече сте под заплаха. Добрата подготовка може да превърне пълното бедствие в предизвикателство.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.