Информационна сигурност

Последен ъпдейт на 13 октомври 2018 в 08:31 ч.

Позната уязвимост в рутерите MikroTik позволява пълен достъп до устройството, показват резултатите от анализ на компанията за инфромационна сигурност Tenable.

Уязвимостта, известна като CVE-2018-14847, е докладвана още през пролетта на 2018 г. и пачната. Но сега анализаторът на Tenable Research Джейкъб Бейнс e открил нов начин тя да бъде експлоатирана. Новият метод позволява да се прескочи автентикацията и така да се получат администраторски права върху устройството. От своя страна това дава възможност да се инжектира незабелязано малуер, твърди още Бейнс, който е публикувал доказателства за ефективността на атаката.

Уязвимостта засяга Winbox – графичен интерфейс за управление на RouterOS, операционната система на рутерите MikroTik. „Първоначалният проблем с Winbox, идентифициран като CVE-2018-14847, затова призоваваме потребителите да инсталират най0новите версии на RouterOS. Като превантивна мярка е добре и да сменят паролата си за рутера и да проверят за неоторизирани влизания в устройството“, посочват от MikroTik.

Tenable е открила и други уязвимости, но тази се посочва като най-сериозната, именно защото дава възможност за отдалечен достъп с пълни права върху рутерите. „Анализ с Shodan (търсачка за свързани към интернет устройства) показва, че по света има стотици хиляди устройства на MikroTik. Най-голяма е концентрацията им в страни като Бразилия, Индонезия, Китай, Русия и Индия. Към 3 октомври само около 35-40 хил. устройства имат обновена и пачната операционна система“, коментират от Tenable.

[box type=“success“ align=“alignleft“ class=““ width=““]

Съвети за потребителите и бизнеса

• Обновете RouterOS до най-новата версия. Списък на новите версии има тук;
• Сменете паролата си за рутера;
• Не изключвайте вградената в RouterOS защитна стена;

[/box]

Социалната мрежа Facebook e най-големият източник на компрометирани лични данни през първата половина на 2018 г. Това показват резултатите от последното проучване на Breach Level Index.

През първото полугодие на годината са компрометирани над 4.5 млрд. записа на лични данни, показва изследването, което се провежда от компанията за киберсигурност Gemalto. Почти половината от тях (2.2 млрд. записа) се дължат на функция във Facebook. Тя позволява да се идентифицира потребител чрез неговия телефонен номер или имейл.
[tie_index]Уязвими от години[/tie_index]

Уязвими от години

Парадоксалното е, че функцията съществува от години. Тя ви позволява да въведете в търсачката на Facebook телефонния номер на конкретен човек и така да откриете профила му, без да знаете нищо друго за него.

Едва през април 2018 г. Facebook обяви, че с тази функция се злоупотребява от много време. „Предвид мащабите на активността, която наблюдаваме, ние смятаме, че повечето потребители на Facebook са били застрашени от кражба на лични данни“, съобщиха тогава от компанията.

След като Facebook обяви публично за опасността от изтичане на данни, функцията беше деактивирана. Дотогава тя можеше да бъде изключена ръчно от настройките на профила, но няма информация каква част от потребителите са се сетили да го направят. „Бих предположил, че ако функцията е била включена, данните ви в някакъв момент са попаднали в някого“, заяви Марк Закърбърг, основател и главен изпълнителен директор на Facebook.
[tie_index]Един от много пробиви[/tie_index]

Един от много пробиви

Социалната мрежа разполага с 2.2 млрд. потребители, което слага този инцидент на върха в класацията на Breach Level Index. Освен него тази година Facebook беше забъркана и в още поне два скандала с изтичане на лични данни.

Единият се завъртя около компанията за анализ на данни Cambridge Analytica. Самата Facebook призна, че Cambridge Analytica е използвала социалната мрежа, за да събере данни за 87 млн. нейни потребители.

Другият избухна в края на септември и не попада в разглеждания от проучването период. Тогава Facebook обяви, че данните на 50 млн. потребители са били достъпени заради уязвимост във функцията View as.
[tie_index]Пробивите намаляват, компрометираните данни се увеличават[/tie_index]

Пробивите намаляват, компрометираните данни се увеличават

На световно ниво през първото полугодие на 2018 г. са разкрити общо 945 пробива на лични данни, което е с 18% по-малко спрямо същия период на предходната година. Като обем на засегнати потребителски профили обаче бройката се увеличава със 133% до 4.5 млрд. и основната причина за това е именно събирането на данни през търсачката на Facebook.

Общо 56% от всички пробиви на данни са причинени от външно лице, а около една трета се дължат на случайна загуба – например изгубен лаптоп или незащитена база данни.
[tie_index]Най-големите пробиви на данни според Breach Level Index[/tie_index]
[box type=“warning“ align=“alignleft“ class=““ width=““]

Най-големите пробиви на данни според Breach Level Index*

Какво и защо причинява изтичането на огромни количества лични данни? Breach Level Index дава за пример четирите най-големи пробива за полугодието.

1. Facebook

Засегнати потребители: 2.2 млрд.

Социалната мрежа откри, че външни лица използват функцията за откриване на потребители чрез телефонни номера, за да събират лични данни. Класирането е направено не само на база броя на засегнатите потребители, но и на сериозността на пробива.

2. Aadhaar

Засегнати потребители: 1.2 млрд.

Индийската система за раздаване на идентификационни номера беше хакната, а авторите на атаката започнаха да продават достъп до нея. Оказа се, че всеки може да си плати, за да получи име, адрес, телефонен номер и снимка на някой от 1.2 млрд. жители на Индия.

3. Exactis

Засегнати потребители: 340 млн.

В края на юни експертът по информационна сигурност Вини Троя съобщи, че е открил незащитена база данни на Exactis – компания, която събира данни и ги продава за маркетингови цели.

4. Under Armour

Засегнати потребители: 150 млн.

В края на март производителя на спортни стоки съобщи, че някой е получил неоторизиран достъп до MyFitnessPal. Това е платформа, с която потребителите могат да следят храненето и спортната си активност.

*Данните са за първото полугодие на 2018 г.[/box]

Последен ъпдейт на 13 октомври 2018 в 08:32 ч.

CEO scam е вид кибератака, при която някой се представя за мениджър на организация и нарежда парични преводи. Тя е комбинация от социално инженерство и известна техническа подготовка. Измамниците си набелязват организация и започват да проучват функциите на служителите в отделните звена.

Най-често тази информация се събира от медии или социални мрежи. От Linkedin например може да се разбере кой е изпълнителен директор и кой изпълнява функцията на финансов мениджър. Крайната цел е да се установи кои са хората, които се занимават с управлението на финансите в организацията.

След като знаят кой взема решенията, авторите на атаката могат да се представят за него и да наредят на служителя, който се грижи за разплащанията, да направи паричен превод до контролирана от тях сметка. Обикновено това става с имейл, чието съдържание в опростен вид звучи приблизително така: „Здравей, трябва да преведем спешно тези пари на наш партньор. Ето я банковата му сметка“.

[tie_index]Загуби за над $3 млрд.[/tie_index]

Загуби за над $3 млрд.

CEO scam е част от т.нар. измами със служебен имейл (Business Email Compromise), които в световен мащаб са генерирали 3.6 млрд. долара загуби между 2014 и 2018 г. по данни на ФБР. От тях 672 млн. долара са отчетени извън САЩ.

Когато служителят получи писмо от шефа си, той рядко се съмнява в легитимността му. Това обяснява защо измамите със служебен имейл са толкова ефективни. Измамниците могат лесно да приспят бдителността на служителя и да го накарат да им прехвърли пари.

В много случаи служителят го прави без въобще да се усъмни. Той е убеден, че прави поредния паричен превод до партньор на организацията.

[tie_index]Как работи атаката[/tie_index]

Как работи атаката

Има два основни начина, по които може да се осъществи CEO scam. Единият e чрез най-обикновено фалшифициране на имейл. В този случай хакерът изпраща имейл от адрес, който много прилича на адреса на мениджъра. За това не е необходима почти никаква техническа подготовка: има дори безплатни инструменти в интернет, които ви помагат да изпращате фалшиви имейли.

Другият начин е да се компрометира имейл акаунтът на определен мениджър и от него да се изпращат заповеди за парични преводи. Това позволява освен всичко друго да се проследи и комуникацията на мениджъра, да се опознаят стила и маниера му на общуване.

[box type=“success“ align=“alignleft“ class=““ width=““]
[tie_index]Как да предпазите бизнеса си[/tie_index]

Как да предпазите бизнеса си

Провеждайте обучения на служителите си. Когато един служител познава механизма на атаката, той е по-малко склонен да стане нейна жертва.

Създайте ясна процедура за одобрение на парични преводи. Това включва вербално одобрение (например по телефон) на трансакции от страна на мениджъра. Когато трансакцията минава през няколко нива на одобрение, вероятността да се стигне до загуба намалява значително;

Използвайте антивирусен софтуер с вградени спам и фишинг филтри;

Използвайте софтуер за двуфакторна автентикация;

[/box]

Последен ъпдейт на 4 октомври 2018 в 17:11 ч.

Пристанището на Сан Диего е поредната организация, пострадала от рансъмуер атака. За нея беше съобщено най-напред на 25 септември, но последствията от нея все още не са напълно ясни. Известно е, че атаката не е спряла напълно работата на пристанището. Засегнати са някои от информационните системи, свързани с администрацията му.

„Тъй като някои от информационните системи на пристанището са компрометирани, служителите изключиха и други системи като превантивна мярка… Можем да потвърдим, че беше поискан откуп в биткойн, но не можем да посочим конкретната сума“, коментира Ранда Кониглио, главен изпълнителен директор на пристанището. Тя допълва, че е мобилизиран екип, който да минимизира щетите от атаката. Откуп не е плащан.

Въпреки че атаката не е блокирала дейността на пристанището, тя все пак е оказала влияние върху системата за паркиране, заявките за достъп до публична информация и някои бизнес услуги.

[tie_index]Все повече атаки[/tie_index]

Все повече атаки

Случаят е поредният пример за това как рансъмуерът може да бъде заплаха дори за големи организации, които управляват критично важна инфраструктура. По-малко от седмица преди инцидента в сан Диего пристанището в барселона също съобщи, че е пострадало от кибератака, без обаче да уточнява от какво естество е тя. Два дни след първоначалното съобщение в официалния профил в Twitter на пристанището беше публикувана информация, че атаката не е попречила на ежедневните операции.

[UPDATE]#PortofBarcelona has responded actively to the attack received, operating normally and without altering its seaside and land operations.

The Information Systems Department continues working to recover the functionalities, only internal, which have been affected.

— Port of Barcelona (@portofbarcelona) September 22, 2018

Управата на американския град Атланта нямаше този късмет. През март 2018 г. градът пострада от масирана атака с рансъмуер, наречен SamSam, който засегна някои от електронните системи, с които гражданите си плащат сметки и задължения към общината. Организаторите на атаката поискаха откуп от 51 хил. долара (сумата варира, тъй като откупът беше поискан в биткойн). От последвали публикациите в медиите стана ясно, че Атланта е отделила почти 2.7 млн. долара от бюджета си, за да покрие щетите от рансъмуера.

SamSam беше причина и за блокиране на работата на Колорадския департамент по транспорта през февруари 2018 г. Около 2000 служители на ведомството не можеха да използват компютрите си. Достъпът им до интернет беше спрян, за да се предотврати разпространение на заразата. Служителите трябваше да разчитат на лични лаптопи и смартфони, както и безплатни облачни услуги за споделяне на файлове.

[tie_index]Парализа на ключова информационна инфраструктура[/tie_index]

Парализа на ключова информационна инфраструктура

Всички тези случаи показват, че рансъмуерът вече не се използва само за събиране на откупи от порядъка на 400 долара от индивидуални потребители, каквато беше практиката преди 2 години. Атаките с рансъмуер стават все по-мащабни и таргетират определени организации, която управляват ключова за обществото и бизнеса инфраструктура. Това може да е държавна администрация, пристанище, електроцентрала и т.н. Целта на организаторите на атаката е да парализират тази инфраструктура, за да увеличат шансовете си да получат откуп.
[tie_index]Какво могат да направят организациите[/tie_index]

Какво могат да направят организациите

Атака с рансъмуер може да се осъществи по различни начини. Най-тривиалният е чрез имейл кампания, насочена срещу служители на организацията. Случаят с Атланта показа, че зловреденият код може да бъде „доставен“ до компютрите и чрез отдалечен достъп (Remote Desktop Protocol).

[box type=“success“ align=“alignleft“ class=““ width=““]
[tie_index]Съвети за бизнеса:[/tie_index]

Съвети за бизнеса:

• Обучавайте служителите си да разпознават рансъмуер;
• Не отваряйте имейли от непроверен източник;
• Използвайте антивирусен софтуер с вградена защита от рансъмуер;
• Използвайте трудни за познаване пароли и двуфакторна автентикация за отдалечен достъп до компютри и сървъри в офиса;

[/box]

Последен ъпдейт на 6 декември 2018 в 09:34 ч.

В началото на 2016 г. стотици хиляди потребители по цял свят получиха на служебните си имейли писмо със заглавие “Фактура” и прикачен към него документ за Word. Всеки опит да се отвори документа приключваше по един и същ начин: съдържанието на файла беше неразбираемо, а потребителят получаваше предупреждение да активира зареждането на макроси в Word, за да види какво има в документа.

Това обаче не беше нищо повече от социално инженерство. Потребителите, които последваха инструкциите, се заразиха с Locky – един от най-опасните криптовируси в световен мащаб.

Locky е пословичен пример за опасностите, които могат да се крият в един най – обикновен на пръв поглед Word документ или таблица за Excel. Това са файлове,с които всички бизнеси работят и които се разпращат масово по имейл. Хакерите използват този факт, за да разпращат зловредни файлове. В тях те скриват макро скриптове: код, написан на Visual Basic for Applications (програмен език). който при отварянето на документа сваля малуер на устройството на потребителя.

Макро вируси, макропроблеми

Макро скриптовете бяха гигантски проблем, затова от години зареждането им по подразбиране е забранено в Microsoft Office. Това намали честотата на атаки със зловредни .DOC и .XLS файлове. Въпреки това те все още представляват опасност и случаят с Locky го доказва.

Някои експерти по информационна сигурност определят макро вирусите като отживелица от 90-те години на миналия век. Но през 2016 г. американският държавен център за борба с киберзаплахите US-CERT излезе с предупреждение за ръст в случаите на макро вируси, засягащи организации и индивидуални потребители.

[box type=“success“ align=“alignleft“ class=““ width=““]

Как да предпазите бизнеса си:

• Обучавайте служителите си да не отварят прикачени файлове от имейли с неизвестен произход;
• Позволявайте използването на макро скриптове само за документи, които сте получили от доверен източник;
• Използвайте и обновявайте редовно антивирусния си софтуер;

[/box]

Двуфакторната автентикация е процес, при който достъпът до информационен ресурс минава през две нива на сигурност вместо едно.

Традиционната защита на една информационна система е едностепенна. Тя разчита на парола или PIN код, за да ограничи достъпа до нея. Това означава, че ако някой знае паролата, той може да проникне в системата.

Двуфакторната автентикация добавя допълнителен слой защита. При нея е необходимо освен въвеждане на парола да се въведе и допълнителен код за сигурност. Този код се генерира на момента и може да бъде използван само веднъж. Така рискът някой друг да злоупотреби с паролата за достъп намалява значително.

Големи онлайн компании като Google, Facebook, Linkedin използват двуфакторна автентикация, за да защитят профилите на потребителите си. Банките използват двуфакторна автентикация, за да оторизират парични преводи на клиентите си при електронно банкиране.

Най-популярният метод за двуфакторна защитa е с мобилен телефон. При него потребителят въвежда паролата си за достъп и веднага след това получава код за сигурност на мобилния си телефон. Той трябва да въведе този код, ако иска да приключи процедурата по влизане.

Друг метод на двуфакторна защита е с физическо устройство: обикновено наречено токен. То генерира на момента код за сигурност, с който се получава достъп.

Двуфакторната автентикация е добър начин да защитите информаиционните ресурси в една организация. Тя се превръща в предпочитано средство за защита заради все по-голямото използване на облачни услуги. Друг фактор, който предопределя засиленото търсене, е използваният от все повече компании модел BYOD (Bring Your Own Device). При него служителите работят на свои собствени устройства, които носят навсякъде със себе си.

Защо да използвате двуфакторна автентикация във вашата фирма

1.Намалява риска от пробив в информационните системи на компанията 

Ако информационната система е защитена само с парола, всичко, което е необходимо, за да бъде пробита, е някой да знае паролата. Двуфакторната защита намалява тази опасност, защото освен паролата трябва да се въведе и втори код, който се знае само от собственика на мобилния телефон/токен.

2.Предотвратява кражбата на дигитална идентичност

Двуфакторната автентикация защитава дигиталната идентичност на лсужителите. Тя ограничава и възможността за неоторизиран достъп до профили, от които служителят извършва разплащания.

3.Може да се използва и без интернет свързаност

Някои решения за двуфакторна автентикация могат да се използват без интернет достъп. Тази функация се оказва много полезна, ако по някаква причина нямате достъп до Wi-Fi или мобилна мрежа.

Последен ъпдейт на 15 октомври 2018 в 15:32 ч.

Макар и твърде рано (буквално часове) след оповестяването на най-големия хак в историята на Facebook, започнаха да се появяват теории за причинните, довели до най-големия хак в историята на социалната мрежа. Личните данни на над 50 млн. потребителя са били компроментирани поради уязвимост, започнала през юли 2017 г.

Официалната информация на компанията гласи, че разследването все още тече – но е ясно, че функцията View as (Покажи като) е позволява генерирането на Access Token (буквално – ключове за достъп) до чужди профили. Според блога за сигурност Naked Security кражбата на един Access Token означава, че един потребител може да се сдобие с достъп до профила на свой приятел, след което да използва този достъп и със същата механика да достъпва профилите на приятелите на приятелите си – и т.н.

Прочетете още: Минимум 50 млн. потребители засегнати от уязвимост във Facebook

Комбинация от бъгове

Технически атаката най-вероятно е станала възможна заради комбинация от няколко уязвимости.

Едната се крие във функция на Facebook, която ви позволява да честитите рождения ден на ваш приятел, като публикувате нещо не стената му. В режим View As тази функция не би трябвало да е активна. Оказва се обаче, че е било възможно да публикувате видео, докато сте в режим View As.

Втората уязвимост е, че при публикуването на видео в режим View As, платформата е генерирала Access Token, който е имал привилегиите на мобилното приложение на Facebook.

Третата уязвимост е, че генерираният токен е имал привилегии не за вашия профил, а за профила на човека, за когото се представяте в режим View As.

Механиката на кражбата

Тези три уязвимости са направили възможен следния сценарий.

1. Да кажем, че искате да видите как изглежда профила ви през очите на вашия приятел Борис.
2. Докато сте в режим View As, уязвимостта позволява да публикувате на собствената си стена публикация: въпреки, че това не би трябвало да е възможно.
3. Ако решите да го направите, Facebook създава Access Token. Той обаче не е за вашия профил, а за профила за Борис.
4. Токенът е скрит в HTML кода на страницата и може да бъде взет от там.
5. Така на практика се сдобивате с ключ към профила на Борис.

Щетите са отвъд Facebook

Часове след като уязвимостта беше обявена публично, стана ясно, че тя вероятно ще се отрази и на други онлайн услуги като Spotify и Airbnb. Става дума за услуги, които използват функцията Facebook Login – възможността да се регистрирате в онлайн услуги, използвайки данните си за достъп от Facebook.

Прочетете още: Кражбата на Facebook акаунти се простира много извън Facebook

В някои мобилни приложения използването на Facebook дори е неизбежно – например, Tinder.

Специалисти по кибер сигурност предупреждават и за вълни от фишинг атаки, които ще последват след новината за кражбата на онлайн идентичност.

 

 

Последен ъпдейт на 26 септември 2018 в 14:29 ч.

Фишингът е една от най-масовите и ефективни киберзаплахи за бизнеса. Въпреки че е позната от години, тя продължава да се радва на огромна ефективност – толкова огромна, че имейлът продължава да е най-предпочитаното средство за разпространение на зловредни кодове. Ето защо:

• Според проучване на Wombat Security, средно 76% от бизнесите стават жертва на поне фишинг атака годишно;
• данните на Verizon Data Breach Investigations Report, показват, че 30% от фишинг съобщенията са отваряни от получателите им, а 12% от тези потребители кликат на линковете в писмата – или отварят прикачените към тях файлове;
• според SANS Institute, 95% от атаките срещу корпоративни институции се дължат на успешни таргетирани фишинг атаки;
• средно 1.5 млн. нови фишинг сайта се създават всеки месец, показват данните на Webroot Threat Report

[tie_index]1. Кой е жертва на фишинга?[/tie_index]

Кой е жертва на фишинга?

Причината за продължаващия огромен успех на фишинг атаките е фактът, че те са насочени към едно от най-слабите звена в информационната сигурност на фирмата: нейните служители. И са актуални за бизнес от всеки размер – колкото и малък или голям да е той.

[tie_index]2. Как протича атаката?[/tie_index]

Как протича атаката?

Обикновено фишниг атаката протича по следния начин: служителят получава имейл, който на пръв поглед изглежда от легитимен източник. Имейлът приканва служителя да отвори зловреден сайт и да въведе данните си за достъп до интернет банкиране или облачна услуга. По този начин те биват откраднати и могат да бъдат използвани за злоупотреба, финансови измами, кражба на лични данни, пробиви в критичната ИТ инфраструктура на фирмата и т.н.

Фишингът е най-голямата заплаха за малките и средни предприятия според проучване на изследователската компания Ponemon Institute. Данните показват, че 48% от атаките срещу малки и средни предприятия са направени чрез фишинг и социално инженерство. Това е повече от XSS атаките, пробивите с SQL инжекции и атаките от вътрешен човек, взети заедно.

Защо фишингът постига толкова голяма ефективност? Най-просто казано защото много малко част от служителите успяват да го разпознаят. През май 2015 г. Intel Security публикува резултатите от проучване, според които едва 3% от 19-те хил. анкетирани потребители могат да различат фишинг от легитимен имейл.

“Фишингът е електронна форма на кражба на идентичност. Това е метод за получаване на лични данни като пароли и номера на банкови карти чрез изпращането на фалшиви имейл съобщения, които изглеждат като изпратени от реални организации: например банки”, посочва Гари Дейвис от Intel Security.

[tie_index]3. Как да се предпазим: Съвети за бизнеса и индивидуалните потребители[/tie_index]

[box type=“info“ align=“alignleft“ class=““ width=“100%“]

Как да се предпазим: Съвети за бизнеса и индивидуалните потребители

• Обновявайте редовно антивирусния си софтуер.
• Научете служителите да разпознават фишинг атаки. Спазването на няколко прости правила –  например слагането на курсора на мишката върху линк, за да се види към какъв адрес води – може да е достатъчно, за да се предотврати пробив в сигурността.
• Никога не предоставяйте лични данни(пароли, ЕГН, номер на лична карта и т.н.), които са ви поискани по имейл. Това включва имейли, които съдържат линк към логин портал.
• Активирайте двустепенна автентикация там, където е възможно. Тя е допълнителен слой на защита, който ви предпазва дори и да станете жертва на фишинг кампания.

[/box]