Малък и среден бизнес

Последен ъпдейт на 21 юни 2018 в 16:36 ч.

Нова кампания на небезизвестния вирус MuddyWater, която използва стартиране на PowerShell script в MS-Word документ, бе разкрита от анализаторите на Trend Micro.

Вирусът бе засечен за първи път през 2017 г. и бе насочен срещу правителството на Саудитска Арабия. По-късно нова серия от атаки бяха извършени към други страни като Турция и Пакистан, а през март тази година – и към Таджикистан.

Новото и различно при тази вълна на кампанията е, че атаката не използва VisualBasic Script и PowerShell компонентни файлове, а директно инжектира скрипта, нужен за атаката в самия Word документ.

Как протича заразата

Първата стъпка от атаката обикновено цели да заблуди жертвата. Тя получава мейл с обещания за награда или промоция и бива подмамена да изпълни макрокода в документа, прикачен към лъжливото писмо.

След послушното стартиране на кода, той използва фукнцията Document_Open(), за да стартира автоматично зловредната си част. Задълбочен анализ на малуера показва, че PowerShell скрипта, който декодира съдържанието на зловредния документ, води до изпълненито на втори скрипт.

Изпълнението на втория PowerShell скрипт използва различни зловредни компоненти, намиращи се в %Application Data%\Microsoft\CLR\*, които от своя страна стартират финалния payload – PRB-Backdoor (няма общо с Прокуратурата на Република България :) ). PRB-Backdoor е инструмент, който комуникира с команден център, изпращайки или получавайки специфични команди, чрез които извършва своята зловредна активност.

За улеснения на читателите, прилагаме така наречения IOC (Indicator of Compromise), които може да бъде използван за засичане на атаката.

SHA -1 – 240b7d2825183226af634d3801713b0e0f409eb3e1e48e1d36c96d2b03d8836b

Съвет от специалистите – как да се предпазим

Най-добрият начин за предпазване от този тип атаки е да не се доверявате и да не отваряте съдържанието на съмнителни документи или мейли, които ви обещават промоции, награди или други финансови облаги.

Разбира се, не можем да минем и без да ви посъветваме да използвате лицензиран антивирусен софтуер, за да имате шанс пред атакуващите, в случай че все пак отворите документа.

 

Последен ъпдейт на 28 юни 2018 в 13:17 ч.

Критични уязвимости в 17 модела рутери на Netgear откри изследователят Мартин Рахманов от Trustwave. Притесняващото при тях е, че позволяват на атакуващите да получат достъп до мрежата с минимално усилие. Става въпрос за атака от тип „remote authentication bypass”, която засяга всички рутери с позволена отдалечена конфигурация. Експлоатирането на уязвимостта е тривиално – всичко, което трябва да направите, за да добиете достъп е да добавите “&genie=1” към URL заявка.

Вече са пуснати патчове за уязвимостта от Netgear, но всички, които не са обновили фърмуеъра си все още подлежат на атаки. Затова, обновете фърмуеъра си, преди да продължите да четете тази статия.

Всичко се дължи на един несигурен скрипт

Уязвимият скрипт е част от потребителския back-end и се казва genie_restoring.cgi. Експлоатацията му може да позволи различни видове атаки като DNS подмяна (пренасочване към злонамерени сайтове), както и достъп до файловата система на рутера (кражба на пароли и подмяна на настройки).

Още една уязвимост е открита при шест от моделите. При установяване на връзка чрез WPS, в периода за свързване всеки атакуващ може да изпълнява команди с root привилегии.

Засегнати модели и версия на фирмения софтуер

Тук можете да видите уязвимите модели рутери и последната уязвима версия на фирмения им софтуер. Ако използвате рутер, който е в таблицата и използва тази или предишна версия на фърмуеъра, назабавно го обновете!

Модел	Последна уязвима версия
D6220	1.0.0.26
D6400	1.0.0.60
D8500	1.0.3.29
R6250	1.0.4.12
R6400	1.01.24
R6400v2	1.0.2.30
R6700	1.0.1.22
R6900	1.0.1.22
R6900P	1.0.0.56
R7000	1.0.9.4
R7000P	1.0.0.56
R7100LG	1.0.0.32
R7300DST	1.0.0.54
R7900	1.0.1.18
R8000	1.0.3.44
R8300	1.0.2.100_1.0.82
R8500	1.0.2.100_1.0.82

*по данни на Netgear – публикацията можете да видите тук.

Съвети за системни администратори

Винаги е добре да използвате последните версии на фирмен софтуер. В случая на Netgear, можете да намерите нужните ви файлове на страницата за сваляния.

Проверете настройките си и изключете всички функции, които не се използват. Тук разглеждаме уязвимост, която може да се експлоатира само при разрешено отдалечено конфигуриране. Един отбелязан checkbox може да е всичко, което ви дели от критични опасности.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 13:19 ч.

Можете ли да си представите живота без безжичен интернет? Не? И ние. Без значение дали сте вкъщи или на работа, на кафе или на разходка в парка, най-вероятно някъде близо до вас се намира WiFi рутер. Ако рутерът, през който ползвате интернет, не е защитен правилно, може да си навлечете доста неприятности – част от които са да бъдете подслушвани, да ви бъдат откраднати пароли за достъп и т.н.

Самите рутери разполагат с вградени системи за защита. От вас (независимо дали сте системен администратор или просто домашен потребител) се очаква просто да ги включите и конфигурирате. След това остава забавлението от един по-сигурен интернет. Ето какво да направите:

1. Не можете да имате доверие на фабричните настройки

Вероятно от момента, в който сте получили рутера си – било то от магазина или от интернет доставчика, вие не сте променяли настройките му. Знаете ли, че липсата на сигурни настройки е една от най-големите уязвимости на домашните мрежи?

Запомнете: Фабричните пароли не са уникални и само за вас и вашето устройство.

Всяко устройство излиза от производство с фабрично настроени имена и пароли за достъп. Те са познати на всички, които могат да търсят в Google – включително съседа, който иска да си поиграе с мрежата ви. Ако не искате тя да крещи „Добре дошли!“ на всички желаещи да се упражняват върху нея, е важно да смените тези пароли със сложни и дълги фрази. Освен това е препоръчително и да използвате по-стабилен метод за сигурност като WPA2-PSK AES (задава се от менюто за парола на безжичната връзка).

Друг проблем на фабричните настройки са отворените портове – крайната точка на онлайн комуникацията от ваша страна, на която рутерът ви очаква връзка. Повечето от тях са за специфични услуги, като FTP (порт 21), SSH (22), Telnet (23), HTTP (80), HTTPS (443) или SMB (139, 445). Проверете настройките си и забранете всички портове, които не използвате. Ако не сте сигурни как да го направите, потърсете в наръчника за употреба на вашето устройство или онлайн.

2. Непознатите свързани устройства могат да бъдат забранени

Всички рутери позволяват да видите колко и какви устройства са свързани с тях. Когато видите непознати такива, може би някой вече се е сетил да се възползва от несигурните ви настройки.

За ваш късмет, всички рутери ви позволяват да разрешите или забраните само определени устройства, най-често използвайки техния MAC адрес. Ако мрежата ви е малка (например – вкъщи), можете ръчно да ограничавате достъпа само до вашите устройства.

3. Обновленията ви досаждат, но и държат опасностите на разстояние

Вероятно ежедневно някое приложение ви „мрънка“, че има нова версия. Същото е и с фирмения софтуер на рутерите (firmware). И в двата случая не трябва да отказвате или отлагате инсталацията – тя може да ви спести много главоболия. Инсталирайте новите версии на софтуера за рутера си и всички устройства в мрежата, за да сте сигурни, че производствени грешки не ви поставят в опасност.

Добра причина за това са скорошни атаки като KRACK (Key Reinstallation AttacCK). Този вектор за атака се възползва не толкова от самите уязвимости на рутера ви, колкото от начина, по който устройствата в мрежата комуникират с него.

4. Допълнителни настройки ви дават още начини да се защитите

Разделите „Advanced” или „More” в менюто вероятно крият различни ценни функции като защита срещу различни типове DoS (Denial of Service) атаки. Прегледайте внимателно какви възможности ви дават и потърсете всички допълнителни защитни функции на рутера си в потребителското ръководство или онлайн.

Няма да ви отнеме нищо повече от един-два клика, за да ги конфигурирате, а те могат да ви спестят часове изгубен труд и недостъпни услуги.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 13:28 ч.

Последно обновена на 12.01.2018, 11:50

Светът се сблъска с две от най-мащабните (и като обхват, и като ниво на опасност) уязвимости в историята си – Meltdown и Spectre. Пропуските в дизайните на процесите на Intel, AMD, Qualccomm и още десетки производители позволяват кражбата на чувствителна информация без знанието на потребителите – и без те дори да разберат. И докато технологичните подробности далеч не са за пренебрегване – то ето какво може да направите, за да се предпазите от ефектите на двете уязвимости – както и устройствата, които са засегнати от тях.

Историята, накратко

Meltdown и Spectre бяха „разкрити“ в тема сайт за споделяне на съдържание – reddit.com. Темата, наречена „Intel bug incoming” твърдеше, че процесорите на Intel, произведени през последните 10 години, са засегнати от критична уязвимост.

На преден план излиза това, че чрез експлоатация на една от функциите за ускоряване на работата на процесора, даден процес може да достъпи информация, която не би трябвало да бъде достъпна за него. Това се дължи на факта, че има пролука между пространството на паметта, където се изпълнява потребителски софтуер (user-mode address) и това, в което се съхраняват пароли, сертификати, криптографични ключове и др. (kernel-mode address). По този начин, зловреден код може целенасочено да достъпи до информация, запазена само за специфични процеси с право на достъп до нея.

Двата основни вектора за атака получиха имената Spectre и Meltdown.

Положението към момента

Засега са ясни следните неща:

• Всички видове процесори са засегнати донякъде. От ARM процесора на телефона ви, до IBM процесорите в суперкомпютрите
• Добавянето на допълнителен слой сигурност може да доведе до забавянето на производителността на процесорите с между 5% и 30%
• Най-засегнати от уязвимостите са продуктите на Intel, което ще направи и забавянето им по-осезаемо след патчване

До момента, при откриването на уязвимост или бъг в процесор, производителя му я поправя чрез т.нар. „микрокод“. Поради една или няколко все още неясни причини, „запушването“ на Meltdown и Spectre не може да се случи по този начин. Това накара производителите на процесори, заедно с тези на операционни системи, да работят по отстраняването на опасността на софтуерно ниво.

Засегнати производители

Ето част от засегнатите производители – и мерките, които те са предприели за решаването на проблема.

ПРОИЗВОДИТЕЛ	ОФИЦИАЛНА ПОЗИЦИЯ
A10 Networks	SPECTRE/MELTDOWN – CVE-2017-5715/5753/5754
Amazon (AWS)	AWS-2018-013: Processor Speculative Execution Research Disclosure
AMD	An Update on AMD Processor Security
Android (Google)	Android Security Bulletin—January 2018
Apple	HT208331: About the security content of macOS High Sierra 10.13.2, Security Update 2017-002 Sierra, and Security Update 2017-005 El Capitan HT208394: About speculative execution vulnerabilities in ARM-based and Intel CPUs HT208403: About the security content of Safari 11.0.2
Arista Networks	Security Advisory 0031: Arista Products vulnerability report
ARM	Vulnerability of Speculative Processors to Cache Timing Side-Channel Mechanism ARM Trusted Firmware Security Advisory TFV 6
Aruba Networks	ARUBA-PSA-2018-001: Unauthorized Memory Disclosure through CPU Side-Channel Attacks („Meltdown“ and „Spectre“)
ASUS	ASUS Motherboards Microcode Update for Speculative Execution and Indirect Branch Prediction Side Channel Analysis Method
Avaya	ASA-2018-001: linux-firmware security update (RHSA-2018-0007) ASA-2018-002: linux-firmware security update (RHSA-2018-0013) ASA-2018-004: linux-firmware security update (RHSA-2018-0012) ASA-2018-005: linux-firmware security update (RHSA-2018-0008) ASA-2018-006: linux-firmware security update (RHSA-2018-0014) ASA-2018-011: VMware ESXi, Workstation and Fusion updates address side-channel analysis due to speculative execution. (VMSA-2018-0002)
Azure (Microsoft)	Securing Azure customers from CPU vulnerability Microsoft Cloud Protections Against Speculative Execution Side-Channel Vulnerabilities
CentOS	CESA-2018:0007 Important CentOS 7 kernel Security Update CESA-2018:0008 Important CentOS 6 kernel Security Update CESA-2018:0012 Important CentOS 7 microcode_ctl Security Update CESA-2018:0013 Important CentOS 6 microcode_ctl Security Update CESA-2018:0014 Important CentOS 7 linux-firmware Security Update
Chromium	Actions Required to Mitigate Speculative Side-Channel Attack Techniques
Cisco	cisco-sa-20180104-cpusidechannel – CPU Side-Channel Information Disclosure Vulnerabilities Alert ID 56354: CPU Side-Channel Information Disclosure Vulnerabilities
Citrix	CTX231399: Citrix Security Updates for CVE-2017-5715, CVE-2017-5753, CVE-2017-5754
CoreOS	Container Linux patched to address Meltdown vulnerability
Cumulus Networks	Meltdown and Spectre: Modern CPU Vulnerabilities
Debian	Debian Security Advisory DSA-4078-1 linux – security update
Dell	SLN308587 – Microprocessor Side-Channel Attacks (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754): Impact on Dell products SLN308588 – Microprocessor Side-Channel Attacks (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754): Impact on Dell EMC products (Dell Enterprise Servers, Storage and Networking)
Digital Ocean	A Message About Intel Security Findings /a>
Dragonfly BSD	Intel Meltdown bug mitigation in master More Meltdown fixes
Duo Security	ArticlesIs Duo affected by the recent Spectre or Meltdown vulnerabilities?
Extreme Networks	Meltdown and Spectre (VN 2017-001 & VN 2017-002) VN 2018-001 (CVE-2017-5715, CVE-2017-5753 – Spectre) VN 2018-002 (CVE-2017-5754 – Meltdown)
F5 Networks	K91229003: Side-channel processor vulnerabilities CVE-2017-5715, CVE-2017-5753, and CVE-2017-5754
Fedora	Protect your Fedora system against Meltdown
Fortinet	Fortinet Advisory on New Spectre and Meltdown Vulnerabilities
FreeBSD	FreeBSD News Flash
Google	Google Project Zero: Reading Privileged Memory with a Side-Channel Google’s Mitigations Against CPU Speculative Execution Attack Methods
HPE	Side Channel Analysis Method allows information disclosure in Microprocessors (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754) HPESBHF03805 – Certain HPE products using Microprocessors from Intel, AMD, and ARM, with Speculative Execution, Elevation of Privilege and Information Disclosure.
Huawei	Security Notice – Statement on the Media Disclosure of the Security Vulnerabilities in the Intel CPU Architecture Design
IBM	Potential CPU Security Issue Potential Impact on Processors in the POWER Family
Intel	INTEL-SA-00088 Speculative Execution and Indirect Branch Prediction Side Channel Analysis Method INTEL-OSS-10002: Speculative Execution Branch Prediction Side Channel and Branch Prediction Analysis Method
Juniper	JSA10842: 2018-01 Out of Cycle Security Bulletin: Meltdown & Spectre: CPU Speculative Execution and Indirect Branch Prediction Side Channel Analysis Method
KEMP Technologies	Meltdown and Spectre (CVE-2017-5754 & CVE-2017-5753)
Lenovo	Lenovo Security Advisory LEN-18282: Reading Privileged Memory with a Side Channel
Linode	CPU Vulnerabilities: Meltdown & Spectre
Linux Mint	Security notice: Meltdown and Spectre
Liquid Web	Here Is What You Need to Know About Meltdown and Spectre
LLVM	D41723: Introduce the „retpoline“ x86 mitigation technique for variant #2 of the speculative execution vulnerabilities D41760: Introduce __builtin_load_no_speculate D41761: Introduce llvm.nospeculateload intrinsic
Microsoft	Security Advisory 180002: Guidance to mitigate speculative execution side-channel vulnerabilities Windows Client guidance for IT Pros to protect against speculative execution side-channel vulnerabilities Windows Server guidance to protect against speculative execution side-channel vulnerabilities SQL Server Guidance to protect against speculative execution side-channel vulnerabilities Surface Guidance to protect against speculative execution side-channel vulnerabilities Important information regarding the Windows security updates released on January 3, 2018 and anti-virus software
Mitel	Mitel Product Security Advisory 18-0001: Side-Channel Analysis Vulnerabilities
Mozilla	Mozilla Foundation Security Advisory 2018-01: Speculative execution side-channel attack („Spectre“)
NetApp	NTAP-20180104-0001: Processor Speculated Execution Vulnerabilities in NetApp Products
Netgear	PSV-2018-0005: Security Advisory for Speculative Code Execution (Spectre and Meltdown) on Some ReadyNAS and ReadyDATA Storage Systems
nVidia	Security Notice 4609: Speculative Side Channels Security Bulletin 4611: NVIDIA GPU Display Driver Security Updates for Speculative Side Channels Security Bulletin 4613: NVIDIA Shield TV Security Updates for Speculative Side Channels Security Bulletin 4614: NVIDIA Shield Tablet Security Updates for Speculative Side Channels Security Bulletin 4616: Security Bulletin: NVIDIA Tegra Jetson TX1 L4T and Jetson TK1 L4T Security Updates for Speculative Side Channels
Okta	Security Bulletin: Meltdown and Spectre vulnerabilities
Open Telekom	Open Telekom Cloud Security Advisory about Processor Speculation Leaks (Meltdown/Spectre)
OpenBSD	Meltdown
OpenSUSE	[Security-Announce] Meltdown and Spectre Attacks
OVH	Information about Meltdown and Spectre vulnerability fixes Find your patch for Meltdown and Spectre
Palo Alto Networks	Information about Meltdown and Spectre findings (PAN-SA-2018-0001
Pulse Secure	KB43597 – Impact of CVE-2017-5753 (Bounds Check bypass, AKA Spectre), CVE-2017-5715 (Branch Target Injection, AKA Spectre) and CVE-2017-5754 (Meltdown) on Pulse Secure Products
QEMU	QEMU and the Spectre and Meltdown attacks
QNAP	NAS-201801-08: Security Advisory for Speculative Execution Vulnerabilities in Processors
Qubes OS	Announcement regarding XSA-254 (Meltdown and Spectre attacks)
Raspberry Pi	Why Raspberry Pi isn’t vulnerable to Spectre or Meltdown
Red Hat	Kernel Side-Channel Attacks – CVE-2017-5754 CVE-2017-5753 CVE-2017-5715 RHSA-2018:0008 – Security Advisory RHSA-2018:0012 – Security Advisory RHSA-2018:0013 – Security Advisory RHSA-2018:0014 – Security Advisory
RISC-V Foundation	Building a More Secure World with the RISC-V ISA
Riverbed Technology	Jan 05, 2018: Update on Meltdown and Spectre
SonicWall	Meltdown and Spectre Vulnerabilities: A SonicWall Alert
Sophos	128053: Advisory: Kernel memory issue affecting multiple OS (aka F**CKWIT, KAISER, KPTI, Meltdown & Spectre)
SuperMicro	Security Vulnerabilities Regarding Side Channel Speculative Execution and Indirect Branch Prediction Information Disclosure (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754)
SUSE	SUSE Linux security updates CVE-2017-5715 SUSE Linux security updates CVE-2017-5753 SUSE Linux security updates CVE-2017-5754
Synology	Synology-SA-18:01 Meltdown and Spectre Attacks
Ubuntu	Ubuntu Updates for the Meltdown / Spectre Vulnerabilities
VMware	NEW VMSA VMSA-2018-0002 VMware ESXi, Workstation and Fusion updates address side-channel analysis due to speculative execution
Vultr	Intel CPU Vulnerability Alert
Xen	Advisory XSA-254: Information leak via side effects of speculative execution

Как да се защитите?

Засега най-добрия ви вариант за навременна реакция е да следите новините от производителите, чиито процесори използвате, и потребителската общност, както и да се осведомите за бъдещи обновления за операционната ви система.

Информация за системни администрартори

Meltdown и Spectre са толкова комплексни като уязвимости, че е трудно решението им да бъде обобщено в един абзац или няколко реда. Въпреки това, имаме няколко полезни съвета и други материали:

1. Опознайте уязвимостите, за да разберете как да се пазите от тях. Например, тук както и ето тук. Блогът на Raspberry Pi има опростено обяснение на техническите специфики около уязвимостите – можете да го намерите тук
2. Можете да намерите много по-подробна информация за всеки производител на хардуер и софтуер относно уязвимостите в това github repository
3. Таблица с информация за това дали антивирусния ви софтуер предотвратява обновленията на операционната система и дали и как можете да го поправите можете да видите в Google Drive
4. Скриптове, които ви позволяват да проверите дали сте засегнати от уязвимостите можете да намерите за Linux и Windows 
5. Обновявайте софтуера на всички ваши устройства и следете за подозрителна активност

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 13:48 ч.

Въвеждането на General Data Protection Regulation (GDPR) и нарастващият брой информационни пробиви са основните причини малкият и среден бизнес да внедрява технологии за защита на данни. За съжаление ограничените ресурси и наситеният пазар на решения за криптиране на информация прави избора на такава технология сравнително труден.

Ако бизнеса ви се затруднява в избора на криптиращ софтуер, опитайте да си дадете отговор на следните въпроси:

Кои компютри представляват най-голям риск?

Дали това са компютрите, които не мърдат от бюрото на служителите ви, или лаптопите, които пътуват с тях в командировки? Въпреки, че шансът една машина да бъде открадната извън офиса е значително по-голям, вашият бизнес може да е много по-застрашен от умишлена злоупотреба на работното място, отколкото от случаен инцидент на улицата. Отговорът на този въпрос е важна отправна точка, защото идентифицира устройствата, които се нуждаят от защита.

Отговаря ли криптиращата система на нуждите на вашия IT отдел за пълен дистанционен контрол върху криптирането на крайни устройства?

Всички сериозни продукти за криптиране предоставят възможността за дистанционно управление на криптирането, но не и без усложнения. Повечето подобни услуги се нуждаят от отворена приходяща връзка към демилитаризирана зона (DMZ) на вашия сървър или VPN връзка. Всички криптиращи системи разчитат на това администраторът да има добри IT умения, а за да функционират изправно, могат да изискват от потребителя да активира връзката. Това от своя страна повишава риска от вътрешен саботаж или злоупотреба в случай на изгубено устройство.

Прочетете повече: 4 стъпки за предотвратяване на изтичане на информация

Добрата криптираща услуга предоставя възможност за дистанционно управление на криптирането:

• Без да създава допълнителни рискове за сигурността
• Без да се нуждае от задълбочена техническа експертиза
• Без да оскъпява целия процес

Защо това е важно?

Възможност за бърза промяна в политиките за сигурност, мигновена подмяна на криптиращите ключове и дистанционно управление на криптирането на крайни устройства: всичко това ви прави по-защитени.

Допускат се изключения, само когато са нужни, и само ако могат лесно и бързо да се премахнат. Ако не прилагате подобна политика, ще ви се наложи да оставите ключа „под изтривалката“ за всеки случай, а това ще отвори дупки в сигурността, които не искате да имате.

Прочетете повече: 5 стъпки за предотвратяване на пробив в системата

Има ли опция за дистанционно заключване и изтриване на криптиращите ключове от крайните устройства?

Този въпрос е от изключителна важност когато работен компютър с изцяло криптиран твърд диск попадне в неправилните ръце, докато е в спящ режим или с включена операционна система. Подобна ситуация се превръща в истински кошмар, когато машината идва с парола за pre-boot, изписана върху стикер или скрита в чантата на лаптопа. Ако не е налична функция за дистанционно заключване и изтриване, системата се оказва или незащитена, или защитена само с паролата за влизане в операционната система. И в двата случая криптирането може да бъде заобиколено.

Осигурява ли криптиращото решение защита от външни носители без да се налага да са в списък с позволени устройства?

Видовете преносими твърди дискове, които служителите използват в ежедневието си, са толкова много, че е почти невъзможно за един системен администратор да верифицира всички, камо ли пък да установява политики за read, write to или access за всяко едно от тях.

Много по-лесно е да се въведе политика на ниво файлове. Този подход идентифицира конкретни файловете за криптиране и осигурява защитата им при движение между устройства, мрежи и носители.

С други думи:

• Ако включите лична флашка, програмата няма да ви принуди да криптирате личната си информация

Но:

• Ако прехвърлите данни от работния компютър на USB носител, те ще останат криптирани
• Ако нямате криптиращ ключ на флашката, данните ще останат недостъпни и съответно защитени

Излишно е да споменаваме, че това избягва изцяло процеса на whitelist на отделни устройства.

Прочетете повече: Рискът от външни устройства: флашката-саботьор

Мерките за информационна сигурност не са нови. Внедряването на едно или друго решение зависи от неговата гъвкавост и лекота.

Последният въпрос, на който трябва да си отговорите е следният:

Колко ще е лесно да се внедри и използва услугата?

Ако конфигурирането на криптиращото решение налага използването на допълнителни инструменти и отнема часове, или не дай си Боже, дни, тогава може би не си заслужава. Потърсете решение, което е лесно за внедряване, не изисква задълбочена техническа експертиза и щади както човешките, така и финансовите ресурси на компанията. Ако софтуерът е лесен за използване от потребителите и същото важи за системните администратори, тогава IT-тата няма да се затормозяват излишно с изгубени данни и прочие проблеми, вследствие на служителска грешка.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 13:50 ч.

Нуждата от съхранение на нарастващите обеми поверителна търговска информация или нейното архивиране поставя много изисквания към информационния носител. Част от компаниите избират да се справят сами, осигурявайки собствен облак от данни, до който служителите имат достъп, когато им е необходим.

Други компании се ориентират към използването на публично достъпни облачни услуги, използвайки вече изградена и добре поддържана структура и възползвайки се от значителните им предимства – приемливо съотношение качество/цена, достъпност и наличност на информацията 24/7 от всяка точка на света, лесна навигация, различни права при редактиране и споделяне на файловете.

За компаниите най-трудно за преодоляване е предизвикателството как да доверят най-ценната си информация за съхранение в облак, чието физическо местоположение е на хиляди километри от офиса им. Усещането, че информацията им се съхранява извън компанията все още е основен възпиращ фактор. Това обаче не пречи на главоломния растеж на броя компании, които предлагат облачни услуги като Google Drive, Dropbox, OneDrive, Box.net, pCloud и десетки други.

Real people don’t need encryption? I’ll just go decrypt all the data I’m storing in the cloud then. Clearly, hackers are no threat.

— C. John Archer (@CJohnArcher) August 1, 2017

Облакът в бизнеса: да или не?

Когато избираме облачна услуга, най-важна е сигурността, която тя може да осигури за търговската ни информация. Истината обаче е, че повечето пробиви и информационни течове са вследствие не на компрометирана сигурност на сървърите, а на лош контрол на достъпа от страна на самите потребители.

Безсмислено е да имате сигурен облак, ако потребителите използват слаби пароли за достъп, оставят профилите си отворени, инсталират приложения за достъп до много устройства, като таблети, лаптопи и смартфони, които лесно могат да изгубят или да попаднат в чужди ръце.

Това налага задължителното прилагане на допълнителни мерки за сигурност при боравенето с облачни услуги. Входът в услугата следва да е защитен не само със сигурна парола, но и с двуфакторно упълномощаване, изискващо допълнително въвеждане на временен код при всяко влизане.

Криптиране на информацията

Ако съхранявате наистина важни данни, то не ги оставяйте в некриптиран вид. Може да криптирате файловете, които качвате в публичен облак с приложения като Boxcryptor и nCrypted, или да използвате облачна услуга, която предлага задължително криптиране на файловете, преди да бъдат съхранени, каквито са SpiderOak, Carbonite. В случай че хакери се сдобият с достъп до данните ви, ще им е доста трудно да ги декриптират, което намалява евентуалните поражения върху данните.

Разбира се, това не означава, че услуги на доказани гиганти като Oracle, IBM и Google са ненадеждни. Oracle например предлага опцията да си закупите пространство на физически сървър някъде в Америка и то да бъде вашият облачен носител, заедно с всички възможни защити, които можете да си представите. Проблемът с този вид облачни услуги е по-скоро финансов, отколкото въпрос на сигурност.

„And in this corner we have , firewalls, policies, encryption, antivirus software etc …. and in this corner we have Dave#gdpr #AI #cloud pic.twitter.com/MUvBrcAvqW

— GDPR Coalition (@GDPR_Coalition) August 14, 2017

Вътрешна vs. облачна сигурност

Независимо дали използвате собствен сървър за съхранение на данните си в офиса или облачна услуга, трябва да прилагате стриктна фирмена дигитална политика по отношение на достъпа на отделните служители до фирмените данни.

Повечето течове са резултат от нерегламентиран достъп на вътрешен човек, който поради незнание или воден от користни подбуди може да компрометира компанията ви. За да избегнете това, инсталирайте на персоналните компютри на всички служители приложения, които прихващат опити за достъп на служители без нужните права или опити поверителна информация да бъде изпратена извън компанията чрез неупълномощен канал.

Сигурен ли е облакът?

Споделянето на файлове през облака и съхраняването им там е сигурно, стига да се спазват серия от правила за информационна сигурност, с които служителите следва да са наясно, преди да им бъде даден достъп до фирмената информация. Небрежното отношения към сигурността, неприлагането на нови мерки, липсата на активно следене за пробиви, както и пропускането на редовно създаване на резервни версии (back-up) са по-честите причини за нерегламентиран достъп, отколкото предполагаемите слабости на самите облачни услуги.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 13:51 ч.

В последно време се убедихме, че потребителят действително е най-слабото звено в системата на информационна сигурност на една компания. Без значение дали става дума за откуп, фишинг или кражба на лични данни, изглежда, че винаги има намесен служител, който волно или неволно отваря вратите за киберпрестъпниците.

Служителят е най-слабото звено

Хакерите разчитат все повече на обикновените потребители в една система, за да получат нерегламентиран достъп до нея. Скорошно проучване показа, че всяка втора фирма на запад е била жертва на ransomware през последните 12 месеца, а повечето компании са претърпели един или друг киберпробив в системата си. България не е изключение от тази статистика. Да си припомним случая с фалшивия имейл от НАП, съдържащ архивен файл с троянски кон Nemucod, който подканваше потребителите да се запознаят с промени в регламента за подаване на приходни декларации. Разархивиране на прикачения файл на офисен компютър води до задействане на вируса, който от своя страна започва да тегли и инсталира други зловредни кодове, потенциално компрометирайки цялата система.

В повечето случаи в България и в чужбина, грешка от страна на служителя води до създаване и експлоатиране на уязвимости. Но именно фактът, че това се дължи на човешко действие прави тези вид заплахи толкова трудни за преодоляване.

 

Almost half of IT security incidents are caused by company employeeshttps://t.co/LpvclZBqho via @TechRepublic#training #security pic.twitter.com/vwVPeZT2u6

— Pensar (@Pensar_IT) July 18, 2017

Какви действия да предприемем, за да предпазим бизнеса си от човешка грешка?

Най-доброто решение за опазване на корпоративната инфраструктура от човешка грешка е превенцията, а отговорността за взимането на предпазни мерки е в ръководството на компанията.

Първата стъпка е въвеждането на корпоративни политики, които да са част от официалните правила на работа. Текстът трябва да е практичен, лесен за осмисляне и да съдържа най-често срещани случаи. Това ще увеличи шанса за спазване на правилата.

Втората, далеч по-важна стъпка, е инвестицията в трейнинги за информационна сигурност.

„Инвестирайте в трейнинги по информационна сигурност. Статистиката показва, че компаниите, чиито служители са преминали подобно обучение, са 75% по-малко уязвими спрямо останалите“, твърди Марк Брунели от американската фирма за криптирани облачни услуги Carbonite.

Експертът добавя, че това е най-ефективната „първа линия на защита“ срещу потенциална атака.

Третият подход, който препоръчват експертите е показването на съвети за поддържане на информационна хигиена по време на работа, например през push нотификации в Интранет или с имейл-напомняне към всички служители. Колкото по-често се показват тези съвети, толкова по-вероятно е те да бъдат следвани.

Ето пример за 5 простички правила, които всеки служител може да следва:

• Не отговаряйте на подозрителни имейли
• Няма случай, в който някой да има основание да ви поиска информация за потребителско име или парола! Не я давайте!
• Не кликвайте върху подозрителни линкове и банери!
• Ъпдейтвайте софтуера регулярно, включително и антивирусната си програма
• Замислете се дали има основание да предоставяте лична информация, когато ви бъде поискана

Не на последно място по-напредналите мениджъри могат да поискат инсталирането на специални софтуери за превенция на загуба на информация  (Data Loss Prevention [DLP]), които показват предупреждения в рискови случаи като изпращането на вътрешни документи към външни имейл адреси или използването на опасни програми и сайтове по време на работа.

Интегрирането на един или повече от тези подходи в работния процес ще намали значително риска от компрометиране на ключови бизнес процеси.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 13:51 ч.

Всеки един от нас е използвал запаметяващо устройство – родители ни са ползвали флопи дискети, като деца сме си разменяли дискове с музика и игри, а от доста време вече, царицата на запаметяващите устройства е, по нардоному казано, „флашката“. Освен USB флаш паметта, както всъщност се нарича това устройство, мнозина от нас са се сблъсквали с външни твърди дискове, SD карти и прочее подобни физически хранилища на дигитална информация.

Това, за което рядко се замисляме, е че флашката е един от най-големите източници на компютърни зарази. В света има хиляди заразени устройства, които само при включването в USB порт, пренасят зловреден вирус върху твърдия диск на компютъра. Много от тези злонамерени кодове се активират без да има нужда от действие от страна на потребителя. Достатъчно е само да вкарате непознато заразено устройство в отвод на компютъра си.

Подхвърлената флашка

Някои организации и бизнеси в света дори прилагат интересен експеримент със служители си. Ръководството подхвърля флашка на бюрото на служители с фалшив вирус и следи кой ще го използва. Когато вирусът „зарази“ нечий компютър, потребителят получава съобщение с правилата за информационна сигурност на компанията като поучително предупреждение.

Миналата година подобен тест бе проведен от Google в университети в САЩ. Близо 300 флаш-памет устройства били подхвърлени в различни точки на щатските университетите Мичиган (University of Michigan) и Илинойс (University of Illinois). Резултатите показали, че между 45% и 98% от тези устройства били отнесени за ползване вкъщи или включени към компютри в локалната университетска мрежа. Първото включване се случило едва 6 минути след като била подхвърлена флашката, а средното време за включване в компютър било по-малко от 7 часа. Организаторите на експеримента твърдят, че студентите далеч не били компютърно неграмотни, а мотивацията им да се разровят в паметта била да разберат на кого принадлежи, за да я върнат (68%) или от чисто любопитство (18%). Отново 68%  не взели никакви предпазни мерки, а от петнайсетината студенти, които все пак решили да проверят за вирус, десет съзнателно стартирали ръчно сканиране с антивирусна програма.

Българска следа

През май тази година подобен инцидент имаше и в България, когато ГДБОБ арестува 23-ма души, сред които и хакери, за престъпен достъп до системата на Агенция „Митници“ с цел източване на ДДС.

Престъпната група закупила вирус от 22-годишен български хакер, който по-късно бил инсталиран от служител на работните компютри на агенцията с помощта на заразено с вируса флаш-памет устройство.

„Нека си припомним някои от най-грандиозните кибератаки“, предупреждава Slate още преди години, „Ще си дадем сметка, че в повечето случаи в центъра на конспирацията винаги стои една флашка“.

Подобно на историята с Агенция „Митници“, Slate припомня за случаите на заразяване на иранската ядрена програма с червеите Stuxnet и френския военноморски флот с Conficker и отбелязва, че това са само два от най-известните случаи на заразяване чрез флаш-памет устройство.

За да не стане вашата организация поредната жертва на виртуален саботаж, специалистите препоръчват да:

• Не ползвате непознати устройства.
• Настроите антивирусната си програма да проверява външни устройства автоматично при всяко включване към компютъра.
• Енкриптирате важното съдържание на твърдия си диск.
• Ъпдайтвате често операционната си система и антивирусния софтуер.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 13:51 ч.

Вече всички си дават сметка, че живеем в ерата на ransomware вирусите. Тези зловредните кодове блокират достъпа ни до информация на заразеното устройство, докато не се плати откуп. WannaCry и NoPetya (линк към статията за Petya) ни показаха, че дори и организации, които считаме за непробиваеми, като банки, болници и фармацевтични компании, са почти, ако не и също толкова уязвими на пробив в киберсигурността, колкото и обикновените потребители.

We confirm our company’s computer network was compromised today as part of global hack. Other organizations have also been affected (1 of 2)

— Merck (@Merck) June 27, 2017

Какво е Ransomware и как работи?

През май и юни тази година българска компания за информационна сигурност докладва за заплахите от криптовирусите WannaCry и Petya.

Специалистите обясняват, че вирусът WannaCry засяга само компютри с операционна система Windows, използвайки конкретна уязвимост в нея. Веднъж попаднал на твърдия диск, Ransomware вирусът криптира информацията на компютъра и я „заключва“, докато не бъде платена сумата от 300 щатски долара или еквивалента им в Bitcoin. Западни експерти твърдят, че уязвимостта е била открита от американската агенция за национална сигурност (АНС), която разработва инструменти за нерегламентиран достъп до системата под кодовото название EternalBlue. Хакери от групата Shadow Brokers успяват да откраднат инструментите от американското правителство и дори правят някои от тях безплатни за свои съмишленици.

Според Европол мащабът на заразата с вируса WannaCry е бил главозамайващ. Засегнати са 200 хиляди компютъра в над 150 държави, покосявайки бизнеси, институции и лични устройства. Самият вирус е от типа „червей“. Веднъж засегнал един компютър, червеят се размножава масово на всички останали компютри в мрежата, към която принадлежи първоизточникът. За разлика от повечето зловредни вируси, които засягат един компютър и са резултат на човешко действие като кликване върху линк или отваряне и задействане на файл, червеят не се закача за конкретна програма, разпространява се сам и е много по-заразен. Експертите от Sophos наричат червеите от семейството на Ransomware вирусите „най-страшният сред страшните“.

Как да се предпазим?

• Бъдете внимателни когато получите имейл от неизвестен източник: обръщайте внимание на подателите на имейли. Ако подателят е непознат, подходете консервативно към линкове и файловете в имейла. Най-добре не отговаряйте на имейла и се обърнете към техническо лице за съвет.
• Не отваряйте подозрителни линкове и не стартирайте съмнителни файлове: Често хакерите имитират познати за вас адреси и ви примамват да кликнете върху линкове в тялото на имейла или да свалите и отворите прикачени файлове. Ако тези файлове са с познати за вас имена, но непознати удължения (абревиатурата, която следва точката: .exe, .pdf, .doc), рискът това да е вирус, е голям. Използвайте здравия си разум и не се подавайте на любопитството си.
• Ъпдейтвайте често операционната си система: уверете се, че автоматичната система за ъпдейти на Windows е активирана. Операционната система ще ви информира, че е готова да бъде актуализирана и ще ви предупреди, ако услугата е изключена. Изгубените 10-15 минути в ъпдейт на Windows ще ви спестят часове главоболия.
• Инсталирайте и ъпдейтвайте често антивирусната си програма: уверете се, че имате инсталирана актуализирана антивирусна програма от наложените на пазара компании
• Сканирайте компютъра си и компютрите в локалната мрежа: ако имате и най-малкото съмнение, че може да сте заразен, стартирайте ръчен скан на компютъра си през интерфейса на антивирусната програма.
• Създайте копие на информацията си и я складирайте на външно устройство или в облака: обикновено копиране на най-важната ви информация върху флаш-диск или в облачни услуги като Google Drive и pCloud, е сигурен начин за взимане на превантивни мерки.

Прочетете повече: Как да се защитите от WannaCrypt?

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

 

Последен ъпдейт на 28 юни 2018 в 13:52 ч.

Събитията, които действително могат да сплотят една компания не са много. Падането на сървъра безспорно е едно от тях.

Запознайте се с петте най-ефективни начина да се предпазите от подобен инцидент.

1. Поддържайте сървъра

Навлизането на облачните услуги сред бизнес сегмента успя да намали ефекта от сървърните крашове, но със сигурност не успя да елиминира подобни случаи. И дори част от инфраструктурата да е в облака, в повечето случаи, бизнесът продължава да ползва физически сървъри. Да не говорим, че болшинството български компании изобщо не се възползва от облачни услуги. Ето защо поддръжката и профилактиката на сървърите е толкова важна.

via GIPHY

2. Ъпдейтвайте често операционната система

Колкото и явно да ни се струва това, последните кибератаки с WannaCry и Petya ни доказаха, че дори и сериозни организации често забравят за тази на вид елементарна стъпка. WannaCry се оказа фатално ефективен защото се възползва от уязвимост в неъпдейтнати версии на Windows 7, но и от сървъри с Windows Server 2003. Затова е важно да се убедим, че компютрите и сървърите ни работят с активно поддържани от Microsoft операционни системи (никакви Windows XP и Server 2003).

Друг проблем е, че много от IT специалистите не искат и да чуват повече за сървърите веднъж настроили ги да работят правилно. Някои от тях достигат до абсолютно недопустими екстреми като изключват тотално процеса на автоматични ъпдейти на Windows. Да, тестването на пачове във виртуална машина (VM) отнема време, и да, Microsoft неведнъж е пускал бъгави пачове, но това не означава, че трябва съзнателно да държим операционните си системи неъпдейтнати, защото те непременно ще ни създадат главоболия един ден.

Най-новите версии на Windows дават повече контрол над това как и кога да се ъпдейтват операционните системи. Вижте тази статия за Windows Server 2016, за да се убедите сами.

3. Почиствайте сървъра

„Чакай, нали държа сървъра в затворено помещение?“

Браво, страхотно начало!

Още по-добро начало са сървърните поставки, рафтове и кабинети и подходящата микросреда. Но дори и в компанията, в която работите да има всичко това, сървърите неминуемо ще се пълнят с прах, а това води до намалена производителност и надеждност. Както всички знаем, съвременните процесори и видео карти автоматично намаляват производителността си, ако не получават адекватно охлаждане. За щастие висококачествените сървъри обикновено имат мощни перки за вентилация около критичните компоненти. Хайде, обаче, да се замислим какво друго прави една перка? Всмуква прах.

Ползвайте спрей с компресиран въздух, за да почистите внимателно сървърите, както отвън, така и отвътре. Внимавайте като впръсквате в перките. Разглобете и почистете отделно всеки един от филтрите, ако сървърната поставка има такива. Работете прецизно и търпеливо.

4. Качете сървъра на VM

Back-up сървър? Скъпо и неефективно. Виртуален сървър? Много по-добра идея.

Живеем във времена, в които можем да качим почти всеки сървър на VM, а това означава, че няма причина да не поддържаме копия на всичките си сървъри във виртуален вариант.

Освен, че е лесно, виртуалният сървър е далеч по-практичен от крепенето на още една купчина желязо в мазето на паркинга. Консолидацията на няколко стари сървъра в един виртуален сървър пък почти винаги ще доведе до повишена ефективност и пестене на време.

Ясно е, че не всички сървъри могат да бъдат виртуализирани заради лицензи, хардуерни пречки и други подобни, но това не е извинение да не качим тези, които могат да бъдат виртуализирани на VM.

За списък с това, което не трябва да виртуализираме, вижте тази статия.

5. Проверете за хардуерни проблеми

Дефектните компоненти са най-сигурният начин да пратим един сървър в гроба. Хардуерните грешки се проявяват най-често след POST (Power-on Self-test) процеса при стартирането на операционната система.. Проверете системните логове за хардуерни проблеми. Може да се окаже, че един обикновен ъпдейт на драйвърите решава проблема, а може и да се окаже, че нещо в сървъра е изгоряло.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.