MFA

Клиенти на един от най-популярните мениджъри за пароли, LastPass, съобщават, че техните мастър пароли може да са били компрометирани. Те са получили предупреждения по имейл, че някой се е опитал да влезе в акаунтите им. Уведомленията гласят, че неправомерните опити са блокирани, тъй като са направени от непознати места по целия свят.

Някои клиенти съобщават за повторни съобщения за нерегламентирано влизане, дори след като са променили главните си пароли.

Someone tried my @LastPass master password earlier yesterday and then someone just tried it again a few hours ago after I changed it. What the hell is going on?

— Valcrist (@Valcristerra) December 28, 2021

Става дума за credential stuffing, твърди компанията. И добавя, че няма индикации за успешен достъп до акаунти на потребители или друг вид  компрометиране на услугата от неупълномощено лице.

Препоръка:

Активирайте многофакторна автентификация (MFA) за достъп во вашия LastPass акаунт, за да го защитите, дори ако главната му парола е била компрометирана.

 

Последен ъпдейт на 11 май 2021 в 04:29 ч.

Руската външна разузнавателна служба SVR, известна още сред изследователите по киберсигурност като APT29, Cozy Bear и The Dukes, продължава да атакува правителства, организации и доставчици на енергия по целия свят. Хакерската група се възползва от нови техники, включително експлоатация на zero-day уязвимости, като тези на Microsoft Exchange.

Предупреждението идва едновременно от Агенцията за сигурност на инфраструктурата за киберсигурност (CISA), Федералното бюро за разследвания (ФБР) и Националната агенция за сигурност (NSA) на САЩ, както и от Националния център за киберсигурност на Обединеното кралство. Службите приписват на SVR атаката SolarWinds и няколко кампании, насочени към разработчиците на ваксини срещу Covid-19.

Сред експлоатираните уязвимости (всички те имат налични пачове) се включват:

• CVE-2018-13379 FortiGate
• CVE-2019-1653 Cisco router
• CVE-2019-2725 Oracle WebLogic Server
• CVE-2019-9670 Zimbra
• CVE-2019-11510 Pulse Secure
• CVE-2019-19781 Citrix
• CVE-2019-7609 Kibana
• CVE-2020-4006 VMWare
• CVE-2020-5902 F5 Big-IP
• CVE-2020-14882 Oracle WebLogic
• CVE-2021-21972 VMWare vSphere

Нападателите се насочват също и към пощенски сървъри, чрез които придобиват администраторски права и по-нататъшна мрежова информация и достъп.

Препоръки:

• Проверете дали сте приложили всички налични корекции и ако това не е така, направете го незабавно
• Използвайте многофакторно удостоверяване, за да защитите мрежата си от атака в случай на компрометирани пароли

Докато много от вас, днешните родители, са израснали по време, в което Интернет и световната мрежа са били едва в началото си, за днешните деца виртуалният свят е почти неотделим от реалния. Това, разбира се, ви изправя пред поредица от предизвикателства, като това създаването на правилни навици за киберсигурност у потомството ви да не е прекалено скучна и досадна задача.

Ще отбележим Световния ден на паролата, който се провежда в първия четвъртък на май, като ви представим няколко начина, по които да превърнете усвояването на онлайн хигиена на работа в игра за вашите деца.

Паролите са забавни, нали?

Можете да започнете, като научите децата си как да използват фрази при създаване на пароли и дори да измислите игра за това.

Паролата може да е съставена от шега, която само семейството ви знае. Или пък от детайли от любим филм, например „MasterYodaIs0.66MetresTall!“. А защо не комбинация от любима книга и храна: „HarryPotterAnd5DinoNuggies!“. Тези примери включват всички характеристики на силната парола – дължина, комбинация от главни и малки букви, специални знаци и цифри. Много важно е да кажете на децата си, че паролите винаги трябва да се пазят в тайна и те никога не трябва да ги споделят..

Как да ги запомниш всички?

Вече сте научили децата си как да създадат уникална и силна парола. Но не забравяйте, че оттук нататък те ще имат много на брой онлайн акаунти.

Едно добро решение е мениджъра на пароли – специално проектиран да съхранява всички идентификационни данни за вход в криптиран сейф и да генерира сложни пароли. Всичко, което децата ще трябва да запомнят, е тази уникална главна парола, която сте измислили заедно.

Многофакторно удостоверяване за супершпиони

Многофакторното удостоверяване (MFA, 2FA) е задължителен допълнителен слой сигурност, който трябва да представите на децата ви. Можете да обясните, че това е специален инструмент, който изпраща уникален шпионски код: само този, който разполага с него, получава достъп до строго секретна информация.

По-добре е да изберете приложение за удостоверяване или хардуерно решение. Те са по-безопасни от автоматичните текстови съобщения, които могат лесно да бъдат прихванати.

В заключение

Важно е създаването на правилни навици за киберсигурност при децата е да започне в ранна възраст. Включването на разбираеми и забавни елементи може да се окаже полезно и вълнуващо упражнение, което ще научи децата ви как да останат в безопасност онлайн.

Номерата на мобилните телефони и друга лична информация (име, пол, местоположение, статус на връзката, професия, дата на раждане, имейл адреси) на приблизително 533 млн. потребители на Facebook от целия свят в т.ч. 432 хил. от България, са налични безплатно в популярен хакерски форум. Ако сте сред потърпевшите, бъдете бдителни: изтеклата информация може да се използва за провеждане на атаки срещу вас: фишинг, smishing (фишинг на мобилен текст), атаки с размяна на SIM (SIM swap), кражба на кодове за двуфакторно удостоверяване, изпратени чрез SMS и др.

Можете да проверите дали данните ви са сред изтеклите ТУК.

Откраднатите данни циркулират сред хакерската общност още от юни 2020 г., като първоначално се прехвърляха между членовете й срещу заплащане. Тактиката не е непозната: информация, която първоначално се предлага на висока цена, постепенно става все по-достъпна, докато накрая се предоставя публично и безплатно, като начин за печелене на репутация в хакерската общност.

 

Смята се, че хакерите са използвали през 2019 г. вече закърпена уязвимост във функцията на Facebook „Добавяне на приятел“ („Add Friend“), която им е позволила да получат достъп до телефонните номера на членовете на социалната мрежа.

Препоръка:

Всички потребители на Facebook трябва да бъдат предпазливи ако получат имейли или съобщения, изискващи допълнителна информация или съдържащи линк, върху който ви приканват да кликнете.

PayPal е една от най-големите компании за онлайн разплащания в световен мащаб – използват я Microsoft, Google Play, PlayStation Store и мн. др.

Платформата има приблизително 361 млн. активни потребители, които правят средно по 40 транзакции годишно. Този мащаб предоставя голям шанс на хакерите да „спечелят“ пари, без вие, като потребител, да заподозрете.

Най-често срещаните измами

Голяма популярност през последните години набраха фалшивите уебсайтове, които пресъздават страницата на PayPal. Атаката се осъществява чрез фишинг имейл, който съдържа линк към подправената страница.

Когато кликнете върху линка, ви пренасочват към страница, в която да въведете своите разплащателни данни. Не само това, но ви искат и доста лична информация (име, адрес, ЕГН и др.), която впоследствие може да бъде използвана за по-мащабни атаки срещу вас.

Как да се защитите

PayPal има славата на една от най-безопасните платформи за извършване на финансови транзакции. Затова киберпрестъпниците проявяват голямо въображение, за да ви подмамят. Често използват тактики и заучени фрази като: “Днес е вашият щастлив ден и спечелихте от лотарията!”. Ако искате да получите „наградата“, трябва да заплатите малка такса за самата транзакция.

Първата лампичка, която трябва да ви светне е, че ако не сте участвали в такава лотария, единственият човек, който би спечелил нещо е хакерът.

За да не се хванете на кукичката на подобен тип атаки, винаги трябва да сте бдителни, да внимавате какви действия предприемате и задължително да приложите основни мерки за сигурност:

1. Използвайте силна парола

Паролата за PayPal трябва да е различна от паролите ви за достъп до други приложения и не трябва да я съхранявате в четим вид (plain text). Добра практика е използването на мениджър за управление на паролите (Password Manager) .

2. Активирайте двуфакторното удостоверяване

PayPal дава две възможности на потребителите си: Автентикация чрез OTP (One-time pin), който се генерира при всяко влизане или свързване на PayPal акаунта ви с third-party 2FA апликация.

3. Никога не използвайте PayPal приложението през незащитени или публични мрежи

През тях хакерите следят мрежовата активност и могат да прихванат или да променят вашият трафик (данни).

Топ-новината в областта на киберсигурността е мащабният пробив в мрежата на Министерство на финансите на САЩ. FireEye вече публикува подробности относно инцидента със supply-chain атаката към SolarWinds.

В последните дни попаднахме на друго интересно проучване – на пионера в разследването на инциденти с оперативната памет, Volexity. Компанията  добавя  детайли и индикатори, свързани с компрометирането на сигурността, което засяга и клиентите на софтуерната платформа Orion на SolarWinds.

Още от 2019 до средата на 2020 г. Volexity успява да засече компрометирани сървъри, атаките към които носят почерка на същата група (UNC2452), която FireEye свързва с атаката към SolarWinds. Тъй като по това време подробности относно групата не са били известни, Volexity я наричат Dark Halo.

Общото между действията на Dark Halo и атаката към Orion на SolarWinds

Най-голямото доказателство за връзка, Volexity намира в домейните за C2 комуникация на зловредния софтуер, описани в доклада на FireEye:

• appsync-api.us-west-2.avsvmcloud[.]com
• freescanonline[.]com
• lcomputers[.]com
• webcodez[.]com

В първите подобни инциденти, разследвани от Volexity, са били открити множество инструменти, задни врати (Backdoor) и инжектирани зловредни кодове, които не са били използвани постоянно, а само при нужда – за ексфилтриране на точно определена информация.

Според доклада на Volexity, три големи инцидента се свързват с групата Dark Halo. Ние избрахме да се спрем на втория от тях, тъй като той дава най-ясна представа за една от техниките, използвана при ексфилтрирането.

Какво е Duo

Duo е дъщерна компания на гиганта Cisco, която предоставя лесен начин за интегриране на многофакторна автентикация (MFA) при достъп до приложенията на различни доставчици. В това число О365, ERP системи, VPN и т.н. Сред най-големите клиенти на Duo са US Department of Defense, US Department of Homeland Security, SalesForce, NIST и т.н.

Как се заобикаля Duo MFA

В разследван инцидент, свързан с Dark Halo, Volexity са наблюдавали как групата осъществява достъп до имейл акаунта на потребител, чрез OWA, при положение, че целевата пощенска кутия е била  защитена с MFA. Логовете от Exchange сървъра показват, че нападателите предоставят потребителско име и парола, като не им е изискано допълнително удостоверяване чрез Duo. В същото време, логовете от сървъра за удостоверяване на Duo не показват да са правени опити за влизане във въпросния акаунт. Volexity успява да потвърди, че не е имало прихващане на сесия и/или дъмп на паметта на OWA сървъра, а че нападателите са използвали бисквитка (cookie), свързана с Duo MFA сесията, наречена duo-sid.

Разследването на Volexity установява, че нападателите са имали достъп до секретния ключ за интегриране на Duo (skey) от OWA сървъра. Този ключ им е позволил да генерират предварително изчислена стойност, която да бъде зададена в бисквитката duo-sid. След успешно удостоверяване с парола, сървърът е оценил бисквитката duo-sid, като валидна. Така нападателите, разполагайки с потребителско име и парола са успели да заобиколят напълно MFA.

Важно е да се отбележи, че това не е уязвимост при доставчика на MFA: необходимо е всички пароли, свързани с ключовете за интеграции, като тези с доставчика на MFA, да бъдат променени след подобен инцидент. При това е особено важно паролите да бъдат сменени с такива, които по нищо не наподобяват старите (Пример: Да промените Sofia2020 на Plovdiv2020 не е добро решение!).

Става дума за продължително организирана атака

Друга интересна подробност, e че още през юли 2020 г. Volexity  са идентифицирали подозрителни административни команди и ActiveSync аномалии в Exchange инфраструктурата на клиента, чийто инцидент са разследвали. След обстойно проучване е било потвърдено, че има пробив в мрежата и крайните станции, като атакуващите са използвали команди, свързани с експортирането на мейли и ексфилтрирането им през Outlook (OWA). Много от детайлите описани тогава, се припокриват с доклада на FireEye, включително и такива, свързани с евентуална инфекция на SolarWinds машината на клиента.

За съжаление Volexity не са успели да опишат в детайли компрометирането на  SolarWinds и да предоставят нужните доказателства на разработчика. Съответно не е имало възможност за по-нататъшно разследване и разкриване на проблема със supply-chain атаката по-рано.

През последните дни ви предоставяме различни анализи и гледни точки за това как се е стигнало до хака на американската администрация. Основната ни цел е да насочим вниманието на отговорниците по сигурността (CSO и др.) към различните пробойни и недостатъци и да не подценяват дребните пропуски. Защото хакерите търсят най-слабото ви звено.

Денят на компютърната сигурност (Computers Security Day) се чества от 1988 г. – откакто компютрите станаха ежедневие, а едновременно с това се появиха и вирусите за тях. Важните данни, съхранявани на компютри и сървъри, се превърнаха в ценна мишена за хакерите. И това направи компютърната сигурност значима тема за бизнеса.

Най-добрият начин да отпразнувате този ден във вашата организация е да направите  преглед на компютрите, устройствата и данните в облака и да попълните евентуалните пропуски в защитата, която сте им осигурили. Предлагаме ви примерен списък с най-необходимото:

Различни и трудни за отгатване пароли

Отново и отново… много потребители все още подценяват необходимостта от пароли, трудни за отгатване от другите. Неслучайно 123456 продължава да оглавява класацията на Splashdata за най-слабите пароли. Паролата е една от малкото ключалки, които предпазват данните на устройството, затова тя трябва да е възможно най-трудна за разбиване.

Стандартните препоръки са паролата да е с дължина поне 8 символа (а още по-добре – над 14), да е комбинация от цифри, малки и големи букви и символи. Можете да използвате комбинация от няколко думи (passphrase). Това ще ви помогне да я запомните по-лесно, а освен това е по-дълга от стандартна парола с десетина символа.

Друга основна грешка е да използвате една и съща парола за много профили. Това създава сериозен риск за сигурността. Ако някой знае паролата за един от вашите профили, това означава, че той ще може да влезе и в останалите, за които сте задали същата парола. Използвайте различна парола за достъп до всеки ваш профил.

Мениджъри за пароли

Подходящ избор за хора, които не искат да помнят всичките си пароли или имат твърде много профили, които да достъпват. Те могат да генерират произволни силни пароли за вас, като използват математически алгоритми, и ги запомнят за всеки отделен профил или сайт. Цялата тази информация е криптирана и вие я достъпвате само с една главна (master) парола за отключване на приложението.

Някои от мениджърите на пароли използват облачни услуги за съхранение на криптирано копие, така че потребителят да има достъп до паролите от различните си устройства.

Това е много по-сигурен начин да съхранявате паролите си, отколкото на лепкави бележки или документи в компютъра си или още по-лошо – да използвате една парола навсякъде.

Многофакторна автентикация (MFA, 2FA)

Повечето информационни системи по подразбиране са защитени с парола, но тя може да бъде разбита или открадната. Многофакторната автентикация действа като втори защитен слой, с който се удостоверява допълнително самоличността на този, който достъпва информационните ресурси.

По този начин се намалява риска от кражба на чувствителна информация – дори някой да открадне паролата ви, той няма да може да достъпи вашите данни. Всеки уважаващ себе си доставчик на онлайн услуги (Facebook, Google, Amazon и т.н.) дава възможност да активирате MFA/2FA в профила си, така че го направете.

Използвайте ъпдейтната операционна система

Ако все още имате компютър, който работи с остарелите Windows XP или Vista, трябва да знаете, че това създава огромна уязвимост за сигурността ви. Направете ъпгрейд към актуалната версия на MS Windows / Linux, като е важно и да инсталирате редовно актуализациите на защитата.

Бекъп план и възстановяване на данните

Ако по някаква причина изгубите данните си – дали заради хакерска атака, природно бедствие или амортизация на сървърите – резервното копие на информацията ще ви помогне да се върнете към обичайния ритъм на работа, без да губите време и пари.

Да имате резервно копие на важните си данни не означава просто да сте ги копирали от една папка в друга на същия хард диск/PC. Нужно е да осигурите второ външно устройство или да държите копие в облака. Това ще ви гарантира, че при какъвто и да било проблем, бизнесът ви ще може да възобнови нормалната си дейност максимално бързо.

Защита на отдалечен достъп и VPN

Уязвимостите в RDP (Remote Desktop Protocol) са добре известни на хакерите и често те ги експлоатират, за да се получи достъп до някой компютър или сървър, а оттам и до цялата ви мрежа.

Достъпването на информационни ресурси от разстояние – много актуално днес – трябва да става през VPN. Тази технология дава сигурност и конфиденциалност и предпазва от кражба на информация. Като допълнителна превантивна мярка може да ограничите броя на IP адресите и мрежите, които имат достъп до RDP.

Антивирусен софтуер

Антивирусните програми днес имат много по-разширени функции, отколкото преди две десетилетия. Днес те трябва да могат да засичат широк кръг от заплахи, включително  спам, фишинг, криптовируси (ransomware) и т.н.

Ето защо постоянното обновяване на антивирусното решение е критично важно. Нови видове заплахи се появяват постоянно и е много малко вероятно антивирусният софтуер да ви защити, ако не е обновен до актуалната последна версия на продукта.

Софтуер за защита от източване на данни

Data Loss Prevention (DLP) е препоръчителен, включително по GDPR и независимо дали компанията ви използва модела BYOD (Bring Your Own Device). Това е решение, което намалява риска от изтичане на чувствителни данни. С него може да контролирате както дейността на служителите, така и достъпа, модифицирането и изпращането на служебна информация.

Криптиране на устройствата

Ако лаптопът на служител бъде откраднат (или просто изгубен), с информацията на него може да бъде злоупотребено. Криптирането на устройството решава този проблем. Ако данните на лаптопа ви са криптирани, те не могат да бъдат разчетени от външно лице. За да се случи това е необходима парола, която знаете само вие, като собственик на устройството.

Избягване на публични WiFi мрежи

Безплатният интернет е хубаво нещо, но трябва да си дадете сметка за цената, която всъщност плащате, за да го ползвате. WiFi мрежите в заведения и други публични места може да са компрометирани. Трафикът в тях може да се следи, а това означава, че всяка некриптирана информация, която преминава в мрежата, е видима за този, който „подслушва“ (man in the middle attack).

Ако трябва да се закачите към общественодостъпна мрежа, използвайте VPN. Не отваряйте сайтове без HTTPS, защото информацията, която обменяте с тях, е лесно проследима.

В България има почти 27 хил. отворени WiFi мрежи. Всяка от тях крие риск от кражба на данни, така че използвайте ги отговорно. Или по-скоро не ги използвайте.

Изследователи от vpnMentor са открили свободно достъпна Elasticsearch инстанция, съдържаща близо 380 млн. записа с потребителски имена и пароли. Около 350 хил. от тези креденшъли са използвани в credential stuffing атака срещу потребители на музикалната стрийминг платформа Spotify.

Spotify са били уведомени за откритието през юли 2020 г. След като е потвърдила легитимността на данните, компанията е ресетнала незабавно паролите на всички засегнати потребители.

Инцидентът не произхожда от Spotify.  Данните най-вероятно са получени незаконно или потенциално са изтекли от други източници, а впоследствие са използвани в автоматизирано превземане на акутни (ATO) на Spotify.

АТО чрез credential stuffing е било възможно, защото Spotifty са нямали имплементирана bot management защита и MFA механизъм за автентикация на потребителите.

Препоръки

Потребителите могат да се защитят от подобни атаки чрез използването на силни, уникални пароли за всяка отделна услуга и прилагането на многофакторно удостоверяване, когато това е възможно.

В началото на ноември 2020 г. стана известно, че рансъмуерът Ragnar Locker е хакнал италианската компания за алкохолни напитки Campari Group. Производителят на Aperol, Campari, Cincano и много други съобщи, че не е напълно изключено да са откраднати някои лични и бизнес данни.

Престъпната група зад Ragnar Locker отговори на изявлението, като пусна във Facebook рекламна кампания, гласяща: „Това е нелепо и изглежда като голяма дебела лъжа“. Хакерите разкриват, че откраднатото от Campari Group е всъщност 2 TB чувствителни данни, а поисканият откуп е 15 млн. USD в биткойн.

Самата кампания е проведена през компрометиран Facebook акаунт. Достигнала е до над 7 хил. потребители на Facebook и е генерирала 770 кликания. Титулярът на хакнатия акаунт е споделил, че единствено за него не е приложил многофакторна автентикация (MFA).

Случилото се показва, че някои групи криптовируси са станали особено агресивни в последно време, притискайки жертвите си да платят.

От Facebook разследват дали става дума за изолиран инцидент или измамниците провеждат кампании и през други хакнати акаунти в социалната мрежа.

Препоръка:

За да предпазите собствените си лични данни, използвайте многофакторна автентикация навсякъде, където това е възможно.

Многофакторната автентикация (MFA) е процес, при който достъпът до информационен ресурс минава през две или повече нива на сигурност вместо едно.

Традиционната защита на една информационна система е едностепенна. Тя разчита на парола или PIN код, за да ограничи достъпа до нея. Това означава, че ако някой знае паролата, той може да проникне в системата.

MFA добавя допълнителен слой защита. При нея е необходимо освен въвеждане на парола да се въведе и допълнителен код за сигурност. Този код се генерира на момента и може да бъде използван само веднъж. Така рискът някой друг да злоупотреби с паролата ви за достъп намалява значително.

Статистиката на Microsoft потвърждава ползите

Потребителите, които са активирали MFA, са блокирали около 99,9% от автоматизираните атаки срещу техните акаунти в Microsoft.

Най-популярни са MFA технологиите, базирани на телефон – еднократните кодове се изпращат чрез SMS или гласови повиквания. При този вид комуникация обаче се използва некриптирана връзка.

Затова Microsoft съветва потребителите да използват многофакторна автентикация, базирана на приложения и ключове за сигурност (security keys). В този случай допълнителният код се генерира от софтуер или хардуер.

Проблемът не е в сигурността на MFA, а в тази на телефонните мрежи

Когато зададете да получавате еднократните кодове за защита на вашия телефон, може да бъдете изложени на риск:

• SMS и гласовите повиквания могат да бъдат прихванати от хакери чрез софтуерно дефинирани радиостанции, FEMTO клетки или SS7 атаки
• Самите кодове за сигурност могат да бъдат хакнати чрез отворен код и фишинг инструменти
• Служители на телефонната компания, която ви обслужва, могат да бъдат подмамени да прехвърлят вашия телефонен номер към SIM картата на хакера (атаката се нарича „размяна на SIM“). Така киберпрестъпниците ще получават еднократните кодове за сигурност от ваше име

Препоръки:

• Задължително използвайте MFA за защита на своите акаунти
• По възможност използвайте MFA технологии базирани на приложения и ключове за сигурност (Microsoft Authenticator, Google Authenticator и др.)
• В никакъв случай не деактивирайте наличните SMS или гласово базирани MFA за своите акаунти – SMS MFA е много по-добър от липсата на MFA!