iOS

  • Ъпгрейднете вашия Mac, iPhone и iPad сега

    Последен ъпдейт на 28 юни 2018 в 13:14 ч.

    Ако използвате macOS или iOS, време е за ъпгрейд на операционната ви система, за да запушите 4 сериозни уязвимости в сигурността на устройството си.

    От какво ще се предпазите:

    1. Две от критичните уязвимости са CVE-2018-4200 и CVE-2018-4204. Те засягат WebKit, енджинът на уеб браузъра на Apple Safari (версиите му и за macOS, и за iOS. Те позволяват изпълнението на произволен код при посещение за заразени уебсайтове от страна на уязвими потребители.
    2. CVE-2018-4187 е бъг в софтуера за парсване на уеб адреси от страна на QR четеца на операционната система. Благодарение на нея, може лесно да се създаде QR код, който да показва невинно изглеждащо име на хост в известието показано от устройството, докато връзката сочи към злонамерен сайт
    3. CVE-2018-4206 – засяга Crash Reporter, приложението, което изпраща Unix краш логове на инженерите на Apple с цел откриване на потенциални бъгове, довели до забиване на устройствата. Грешката в него дава на приложението завишени права.

    Ъпдейти за tvOS, watchOS и iTunes не са налични, но предвид предишния ни опит в подобни ситуации, можем да заключим, че може да ги очакваме скоро, тъй като WebKit е наличен и в тях.

    Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

  • Кое е по-сигурното устройство? Телефон срещу компютър

    Последен ъпдейт на 28 юни 2018 в 13:26 ч.

    Смартфоните и таблетите вече промениха начина по който комуникираме и работим – както направиха компютрите преди 20-ина години. И – както си му е реда – дойде време да се замислим за няколко основни неща:

    1. Какво споделяме с телефона си (каква информация за нас самите разполага устройството в джоба ни)?
    2. Как е защитена тя и можем ли да направим нещо, за да я защитим по-добре (и какво)?
    3. Кое е по-сигурното устройство? Телефонът/таблетът или компютърът ми?
    4. (има и още въпроси, но те сa предмет на други текстове)

    Ето и отговорите:

    1. Телефонът ви знае на практика всичко за вас – може би ви познава по-добре отколкото вие познавате себе си
    2. Информацията е защитена нелошо още на ниво операционна система, което обаче не изключва допълнителни мерки за сигурност (например – антивирусно приложение, система за родителски контрол или контрол на служителите – MDM) и т.н.
    3. Продължете да четете надолу :)

    Отговорът на въпроса коя е по-сигурната среда – мобилната или тази на компютъра е просторен и заслужава повече внимание. Ще започнем с това, че много хора (грешно) смятат, че мобилните устройства не разполагат със средствата да бъдат защитени като един лаптоп, например. И ще продължим с:

    1. Прекомерното разнообразие

    Разнообразието от устройства и разновидности на операционни системи е (почти) прекалено голямо, за да може един вирус да обхване всички устройства. Въпреки, че Android владее 88% от пазара (по данни на statista.com), модификациите на операционната система с отворен код са толкова много, че е трудно да се напише вирус за всички едновременно. Не точно така стои ситуацията с Windows при компютрите . Единствено фундаментална уязвимост като наскоро откритите Spectre & Meltdown може да обхване значима част от мобилните устройства.

    Разликите в хардуера също обуславят ограничения в типовете вируси, достъпни за смартфони (например, без хардуерна клавиатура е по-трудно да се напише кийлогър за мобилни телефони).

    2. Официалните магазини за приложения

    Наличието на централизирани магазини за софтуер за най-големите операционни системи (Android и iOS) е стъпка към ограничаването в разпространението на зловредни кодове за мобилни телефони. Контролът (автоматизиран при Android и от хора при iOS) е още една стъпка в правилната посока.

    Благодарение на тези усилия, шансът да се заразите с вирус намалява драстично – но системата е далеч от перфектна или неуязвима.

    3. Кажи „да“

    Мобилните операционни системи имат още две сериозни предимства в сравнение с Windows, Например:

    • те работят в sandbox среда (иначе казано не могат да достъпват информация от други приложения)
    • за достъп до определени функции се изисква изрично съгласие на потребителя (друг е въпросът доколко потребителите внимават какви позволения дават на приложенията, които инсталират).

    4. Мобилните мрежи са по-безопасни от WiFi

    И причината за това е много проста – (на теория) никой, освен мобилния ви оператор, не може да наблюдава трафика в 3G / 4G мрежата. При използването на чувствителни данни онлайн е винаги по-безопасно да използвате нея, отколкото WiFi – дори и защитен с парола такъв.

    Казаното дотук не означава, че няма начин един телефон да бъде заразен и компроментиран – или, че за мобилни устройства 100% от приложенията са безопасни. По-скоро статистически е по-малко вероятно (все още) това да се случи заради по-високото ниво на вградена в устройствата защита.

    Тепърва предстои на мобилните устройства да се докажат като достатъчно сигурни, тъй като те продължават да се налагат като все по-важен инструмент в ежедневието ни. От нас се иска единствено да се отнасяме достатъчно внимателно с информацията, която споделяме с тях – и приложенията, които инсталираме.

    Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

  • KRACK: застрашена ли е WiFi мрежата ви

    Последен ъпдейт на 28 юни 2018 в 13:31 ч.

    Последен ъпдейт: 03 октомври 2017 г. 

    Рисковете от подслушване, подмяна и инжектиране на трафик при използване на слабо защитени  или отворени мрежи са често обсъждана тема, но какво ще кажете за рискове в защитените мрежи?

    Wi-Fi Protected Access II (WPA2) е стандарт на повече от 10 години, който е задължителен за всички  WiFi обозначени устройства. До скоро се смяташе, че WPA2 е изключително сигурен и непробиваем. Преди дни двама белгийски изследователи публикуваха своите открития за слабости в имплементацията на протокола, които могат да бъдат използвани в серия от атаки известни  с името – „KRACK“ (Key Reinstallation AttaCK). Важно е да споменем, че тези слабости са документирани и преди, но рисковете за експлоатацията им са били теоретични… до сега.

    Какви са опасностите при успешна атака?

    На практика престъпници могат да използват тази иновативна техника за да се сдобият с информацията, която при нормални обстоятелства трябва да е достатъчно добре защитена (криптирана). Могат да бъдат откраднати финансови данни, пароли, чат съобщения, електронни писма, мултимедия и т.н…. В зависимост от настройките на мрежата, е възможно инжектиране и/или изменяне на информация, тоест сервиране на ransomware или друг тип malware в услугите и сайтовете, които посещавате.

    Какво всъщност представлява KRACK?

    Слабостта се крие в преинсталацията на ключовете за криптиране при злоупотреба на съобщенията за договаряне. От време на време, докато се договаря криптирането на безжичната връзка, клиента и точката за достъп (Access Point или само AP) трябва да съгласуват ключове.
    За да се постигне това съгласуване се ползва протокол, който има четири стъпки – “four-way handshake”:

    1. AP-то до клиента – хайде да се разберем за сесиен ключ. Ето малко еднократна и произволна стойност за изчисляването му;
    2. Клиента до AP-то – добре, ето и от мен малко еднократна и произволна стойност за изчислението на ключа;В този момент, двете страни включват в изчислението и паролата за достъп до WiFi мрежата (така нареченият Pre-Shared Key или PSK). Така се изчислява сесийният ключ и се избягва прекият обмен на паролата, като се гарантира уникален ключ за всяка сесия.
    3. AP-то до клиента – потвърждавам, че сме се договорили за достатъчно данни за конструиране на сесиен ключ;
    4. Клиента към AP-то – да, така е. Потвърждавам!

    Въпреки, че математически погледнато четирите стъпки описани до тук са напълно достатъчни за генериране на сигурен ключ, процесът може да бъде реализиран несигурно, което прави KRACK атаката възможна:

    • Злосторникът стартира AP, което е двойник на истинското и клонира MAC адреса му, но оперира на различен радио канал. Така „лошото“ AP отклонява съобщение №4 и то не достига крайната си цел.
    • Докато трае това „неразбирателство“, клиентът вече може да е започнал комуникацията с точката за достъп (AP), понеже и двете страни имат сесийният ключ, макар и да не са довършили докрай “four-way handshake” протокола.

    Това означава, че клиентът вече генерира криптографски материал, наричан keystream, с който ще защити предаваната информация. За да е сигурно, че keystream поредицата никога не се повтаря, клиентът добавя nonce (число което не се повтаря) към сесийният ключ. Това число се инкрементира за всеки фрейм, което гарантира, че keystream-a различен всеки път.

    Има няколко вида KRACK атаки, но при всички тях се разчита на преизползване на keystream данни, което води до криптиране на различна информация с един ключ. Респективно, Ако знаете един набор от данни, можете да разберете другия – това е най-добрият случай. Някои случаи са по-лоши от това, защото могат да доведат до пълно компрометиране на връзката.

    Вижте още: презентацията на официалните откриватели на атаката.

    Обратно към атаката:

    • В даден момент, легитимното AP ще изпрати копие на съобщение №3, вероятно няколко пъти… докато „лошото“ AP не реши да пропусне съобщението до клиента.
    • Тук идва и „кофти“ реализацията, която обезсмисля заложената математическа гениалност – клиента най – накрая финализира договарянето, като рестартира keystream-a и „реинсталира“ сесийният ключ (от тук идва и името на похвата). Стойноста на числото, което никога не трябва да се повтаря (nonce), също е върната към това което е била след съобщение №2.

    На практика keystream последователността започва да се повтаря, което е голямо НЕ СЕ ПРАВИ ТАКА в криптографията.

    „…всяко WiFi устройство е уязвимо към някоя от атаките. Oсобено опустошителен ефект има срещу Android 6.0 – принуждава клиента да използва предсказуем ключ за криптиране – само `0`“

    Ако се знае съдържанието на първоначалният фрейм, може да се възстанови keystream-a използван за криптирането му > ако keystream-a е известен, може да се използва за декриптиране на последващите фреймове.
    Атаката е успешна дори, ако нападателят успее да прихване дори няколко фрейма от дадена сесия.

    Колко сме уязвими и как да се предпазим?
    Въпреки, че всичко до сега звучеше доста заплашително и лесно за изпълнение, пък и доста медиен шум се вдигна, има няколко фактора които смекчават обстоятелствата:

    • Атаката изисква нападателя да се намира физически в обхвата на WiFi мрежата. Иначе казано, ако видите подозрителна персона с качулка да удря по клавиатурата до домът или офисът Ви, имате сериозен проблем и той не е в WiFi настройките;
    • Атаката е изключително сложна за изпълнение и лесна за неутрализиране – трябва просто да приложите последните актуализации върху точките за достъп или върху клиентите. Microsoft пуснаха ъпдейт адресиращ уязвимостта в началото на месеца. И Apple iOS устройствата, и macOS са уязвими! Тук може да намерите подробен списък със засегнатите операционните системи и производители, както дали вече имат ъпдейти с фиксове. Apple публикуваха патч за уязвимостта.
    • Остават си препоръките за използване на сигурни протоколи (тези които завършват на „S“ обикновено са такива ;), както активиране на VPN при свързване с непознати и отворени мрежи.

    Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

  • Шестте най-известни киберпробива в облака

    Последен ъпдейт на 28 юни 2018 в 13:50 ч.

    Съвсем наскоро Световната федерация по кеч стана жертва на пробив в сигурността, вследствие на който изтекоха лични данни на 3 милиона клиенти. Хакерите успешно са пробили системата, хоствана от облачна услуга на Amazon. Според Forbes  данните съдържат адресите, етническата принадлежност, залозите и печалбите, както и други лични данни на жертвите. Случилото се е смущаващо, но и чудесен пример за последиците от подобни престъпления.

    Ето кои са шестте най-големи пробива в сигурността на облака досега.

    1. Microsoft

    През 2010 г., вследствие на неправилно конфигуриране на услугата Business Productivity Online Suite, инцидентно се дава достъп на неупълномощени потребители на облачната услуга до контактите на други потребители. Компанията потвърждава за нерегламентирания достъп, но уверява, че проблемът е бил разрешен в рамките на два часа. Тъй като са засегнати сравнително малък брой хора, инцидентът се счита за незначителен. Случилото се е не само първият сериозен пробив в сигурността на облачните услуги, но и предвестник на онези, които ще последват.

    2. Dropbox

    Никой не е подозирал за истинските размери на чудовищния пробив в Dropbox, когато се е случил през 2012 г. Едва 4 години по-късно, през 2016 г., става ясно, че хакерите успяват да се сдобият с данни за достъп на 68 милиона профила . Пробивът е толкова мащабен, че файловете с данни на потребители са с обща големина цели 5 Gb! Откраднатите имейли и пароли за достъп се търгуват от хакерите в dark web срещу биткойни, когато цената им е била около 1,100 щатски долара. Вследствие на пробива Dropbox предприема масово нулиране на потребителски пароли, за да предпази клиентите си от злоупотреба с лични данни.

    3. Национален електорален институт на Мексико

    През април 2016 г. Националният електорален институт на Мексико става жертва на атака, която разкрива регистрациите на 93 милиона избиратели. Личните данни се оказват публични вследствие на лошо конфигурирана база данни. Този пробив разкрива редица други нарушения, като например това, че институцията е съхранявала чувствителни данни на необезопасен облачен сървър на Amazon извън пределите на Мексико. На това му се казва „как да не съхраняваме лични данни, ако сме държавна институция“.

    4. LinkedIn

    Понякога късметът наистина може да ни изиграе лоша шега. Точно това се случва с LinkedIn, когато през 2012 г. киберпрестъпници успяват да откраднат 6 милиона потребителски пароли и да ги публикуват в руски форум. Само 4 години по-късно, през май 2016 г., втора атака води до компрометиране на данни за достъп на над 167 милиона LinkedIn профила, които хакерите пускат за продажба на черния пазар. Инцидентът става причина LinkedIn да предприемат спешни мерки по сигурността и освен смяна на компрометираните пароли, въвеждат двустепенно удостоверяване (two-factor authentication) – опция, която позволява допълнително въвеждане на ПИН код, получен чрез SMS при всяко логване в сайта.

    5. Apple iCloud

    Няма да сгрешим, ако наречем пробива в Apple iCloud най-скандалния по рода си, защото този път не става дума за някакви си милиони обикновени потребители, а за известни личности. Личните снимки на Дженифър Лорънс и други публични личности, съхранявани в облака, стават достъпни за хакерите. Първоначално се смята, че причината е масово хакване на телефони, но впоследствие се оказва, че е била компрометирана услугата iCloud, използвана от звездите за съхранение на личните им архиви. В отговор на атаката Apple подканва потребителите да сменят паролите си с по-сигурни, както и да активират известия в случай, че се установи съмнителна активност в профилите им.

    6. Yahoo

    Съвременните уеб гиганти базират услугите си почти изцяло върху облачна инфраструктура. Това включва и Интернет мастодонтът Yahoo, който сам се оказва жертва на киберпробив. На компанията са й нужни близо 3 години, за да се справи с пораженията от атаката, случила се през 2013 г., и едва в края на 2016-а, разкрива детайли за мащаба й. Компрометирани са близо 1 милиард потребителски профила, което включва електронните адреси, имената, рождените дати и тайните отговори на въпросите за възстановяване на парола. Това се счита за най-мащабният киберпробив в историята, което си е сериозен рекорд, особено предвид че месеци преди това, от същата компания изтичат данните на други 500 милиона профила.

    В бизнес средите няма съмнение,  че облачните услуги имат както предимства, така и недостатъци. Но изводите от тези мащабни атаки са, че облакът може да разкрие целия си потенциал само, ако сигурността му се развива паралелно с все по-голямата му популярност.

    Прочетете повече: Колко безопасни са публичните облаци за съхранение на бизнес информация?

    Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

  • Нов вирус: „Невидимият човек“ краде банкова информация от устройства с Android

    Последен ъпдейт на 28 юни 2018 в 13:51 ч.

    Киберпрестъпниците често са привлечени от масово използвани системи, тъй като им осигуряват достъп до голям брой потребители. В този случай дори малък процент успешни атаки носят голяма печалба. Наскоро Google обявиха, че през 2017 г. Android ще е активен на повече от 2 милиарда устройства. Apple ги догонват, тъй като по последно обявени данни от 2016 г. са преминали прага от 1 милиард активни iOS устройства.

    Ако имате устройство с Android, вече може да станете цел на нова атака – злонамерен код (malware), способен да чете въведени банкови данни. Троянецът се маскира като фалшив Flash ъпдейт и е програмиран да краде номера на кредитни карти и данни за достъп до онлайн банкиране. Не е нужно да споменаваме, че веднъж сдобили се с тези данни, киберпрестъпниците лесно източват средства от сметката ви.

    SophosLabs разпознава зловредния код като Andr/Banker-GUA и успешно блокира достъпа му до клиентските устройства. Известен още като „Invisible Man“ („Невидимият човек“), злонамереният софтуер е вариант на Svpeng.

    Как работи „Невидимият човек“?

    При инсталирането си вирусът прави проверка какъв език е зададен на телефона и ако е руски, се деактивира. В случай че е друг, се опитва да получи достъп до т.нар. accessibility services – функции на телефона, които помагат на потребители с увреждания да въвеждат данни върху екрана чрез директно изписване на символи. Веднъж придобил достъп до тези функции, „Невидимият човек“ може да „пише“ по екрана върху всички отворени приложения и да се инсталира като основно SMS приложение.

    Вирусът създава невидими прозорци, които копират въведената от потребителя информация. Когато отворите приложението за онлайн банкиране и въведете номера на кредитната си карта в легитимното приложение, върху празните полета има прозрачен екран, създаден от вируса. По този начин при въвеждането на данните, вие предоставяте тази информация и на злонамерената програма. Така номерата на кредитните карти и паролите за достъп до онлайн банкирането отиват директно при престъпниците, без да имате никакъв шанс да заподозрете, че сте станали жертва на кражба на данни.

    Как да се предпазим от атаката?

    1. Бъдете бдителни, когато Flash Player поиска да се актуализира

    Поради доброто замаскиране на атаката трябва да сте наблюдателни за малки сигнали от телефона си. Първата червена лампичка светва, когато получите съобщение за нужда от актуализация на Flash Player, който настойчиво иска да се инсталира на устройството ви. Flash има печална слава на популярен вектор на атака на огромен брой злонамерен софтуер, а многобройните му проблеми със сигурността водят до чести известия за нуждата от актуализация. Това води до порочен кръг от непрестанни актуализации, от които се възползват много вируси с цел да се маскират като поредния ъпдейт на Flash.

    Ако все пак ви се налага да инсталирате Flash Player на устройството си, следвайте официалните инструкции на Adobe, а не се подвеждайте от упорито изскачащи прозорци, които ви подканят да го направите автоматично.

    2. Не давайте достъп на приложения, които искат разрешение за ползване на услуги за достъпност

    Втората червена лампичка трябва да ви светне, когато на телефона ви се появи съобщение от приложение, което иска разрешение за достъп до accessibility services („услуги за достъпност“). Ако нямате физически увреждания, няма причина да давате такива права на което и да е приложение на мобилното си устройство.

    3. Инсталирайте антивирусна програма на мобилните си устройства

    Тъй като Android далеч не е защитен от вирусни атаки, е препоръчително да инсталирате антивирусна програма, като безплатния Sophos Mobile Security for Android. Това ще ви защити от редица заплахи, включително и от „Невидимият човек“.

    4. Поддържайте дигитална хигиена

    Въздържайте се от инсталирате на непотребни приложения. Така ще си спестите много неприятности. Правете регулярна „чистка“ на устройствата си и оставете само онези приложения, които реално използвате.

    Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Back to top button