Таргетирани атаки

Последен ъпдейт на 28 юни 2018 в 13:27 ч.

Уязвимост в неправителствената организация Let’s Encrypt и идеалната ѝ цел да осигури безплатни TLS сертификати на сайтове със споделен хостинг може да изиграе обратна роля – и вместо да помогне, да се превърне в проблем за сигурността на милиони интернет потребители. Причината: уязвимост, която при определени условия може да позволи издаването на сертификати за домейни върху споделен хостинг, от лица които нямат контрол върху тези домейни.

Какво е Let’s Encrypt и ACME?

Накратко – Let’s Encrypt започва като инициатива на ISRG (Internet Research Group). За да реализират инициативата, ISRG създават ACME (Automatic Certificate Management Environment) – протокол, който определя автоматизацията на процедурите между издателите на сертификати и уеб сървърите на потребителите им. Той използва три от т.нар. „10 благословени метода“ за потвърждаване на самоличността на притежател на домейн.

Методите са създадени заедно с група доброволно включили се производители и издатели на сертификати и са описани в документа „Baseline Requirements“ (секция 3.2.2.4).

За един от използваните – sni-tls-01– е открит начин да се експлоатира, в случай, че се използва от домейн, свързан със споделен хостинг.

Проблемът с ACME и споделения хостинг

Преди дни беше открита огромна уязвимост, която засяга всички, които използват Let’s Encrypt на споделен хостинг. Тя е осъществима чрез методите за потвърждение на самоличност на ACME и начинът, по който споделения хостинг работи. Cloud услуги като CloudFront и Heroku бяха също разкрити като уязвими, но чрез бърза реакция вече не позволяват експлоатирането на точно тази уязвимост.

Дупката в сигурността позволява на атакуващ да издава сертификати за външни домейни чрез споделен хостинг и в последствие да ги използва за предоставяне на вредно съдържание.

Какво значи това за нас?

За момента е спряно издаването на сертификати чрез tls-sni-01 и следващата му версия – tls-sni-02, както се споменава в официалното изявление на Let’s Encrypt. Всички cloud-based доставчици на хостинг също трябва да предприемат стъпки за „запушването“ на този пробив във сигурността, след като водещите такива откликнаха.

По-добри ли са платените сертификати?

Допускането на толкова сериозен пробив във сигурността може да накара някои хора да си кажат „за толкова пари – толкова“. Нужно е, обаче, да погледнем към сигурността на платените услуги – наистина ли е по-добра. Отдолу можете да видите изброени няколко инцидента, които ще ви дадат достатъчно ясна представа:

• Chrome забрани китайските издатели на сертификати WoSign и StartCom, след като беше разкрито, че им липсват основни практики за сигурност
• Chrome планира да елиминира изцяло „доверието“ си към Symantec сертификати, тъй като те не отразяват съвременните нужди за сигурност на бизнеса
• Холандската агенция DigiNotar стана източник на над 500 измамни сертификати, които послужиха за масирана атака срещу ирански сайтове и профили.

Tехнически подробности за уязвимостта можете да прочетете в подробното обяснение на самия ѝ откривател.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 13:28 ч.

Последно обновена на 12.01.2018, 11:50

Светът се сблъска с две от най-мащабните (и като обхват, и като ниво на опасност) уязвимости в историята си – Meltdown и Spectre. Пропуските в дизайните на процесите на Intel, AMD, Qualccomm и още десетки производители позволяват кражбата на чувствителна информация без знанието на потребителите – и без те дори да разберат. И докато технологичните подробности далеч не са за пренебрегване – то ето какво може да направите, за да се предпазите от ефектите на двете уязвимости – както и устройствата, които са засегнати от тях.

Историята, накратко

Meltdown и Spectre бяха „разкрити“ в тема сайт за споделяне на съдържание – reddit.com. Темата, наречена „Intel bug incoming” твърдеше, че процесорите на Intel, произведени през последните 10 години, са засегнати от критична уязвимост.

На преден план излиза това, че чрез експлоатация на една от функциите за ускоряване на работата на процесора, даден процес може да достъпи информация, която не би трябвало да бъде достъпна за него. Това се дължи на факта, че има пролука между пространството на паметта, където се изпълнява потребителски софтуер (user-mode address) и това, в което се съхраняват пароли, сертификати, криптографични ключове и др. (kernel-mode address). По този начин, зловреден код може целенасочено да достъпи до информация, запазена само за специфични процеси с право на достъп до нея.

Двата основни вектора за атака получиха имената Spectre и Meltdown.

Положението към момента

Засега са ясни следните неща:

• Всички видове процесори са засегнати донякъде. От ARM процесора на телефона ви, до IBM процесорите в суперкомпютрите
• Добавянето на допълнителен слой сигурност може да доведе до забавянето на производителността на процесорите с между 5% и 30%
• Най-засегнати от уязвимостите са продуктите на Intel, което ще направи и забавянето им по-осезаемо след патчване

До момента, при откриването на уязвимост или бъг в процесор, производителя му я поправя чрез т.нар. „микрокод“. Поради една или няколко все още неясни причини, „запушването“ на Meltdown и Spectre не може да се случи по този начин. Това накара производителите на процесори, заедно с тези на операционни системи, да работят по отстраняването на опасността на софтуерно ниво.

Засегнати производители

Ето част от засегнатите производители – и мерките, които те са предприели за решаването на проблема.

ПРОИЗВОДИТЕЛ	ОФИЦИАЛНА ПОЗИЦИЯ
A10 Networks	SPECTRE/MELTDOWN – CVE-2017-5715/5753/5754
Amazon (AWS)	AWS-2018-013: Processor Speculative Execution Research Disclosure
AMD	An Update on AMD Processor Security
Android (Google)	Android Security Bulletin—January 2018
Apple	HT208331: About the security content of macOS High Sierra 10.13.2, Security Update 2017-002 Sierra, and Security Update 2017-005 El Capitan HT208394: About speculative execution vulnerabilities in ARM-based and Intel CPUs HT208403: About the security content of Safari 11.0.2
Arista Networks	Security Advisory 0031: Arista Products vulnerability report
ARM	Vulnerability of Speculative Processors to Cache Timing Side-Channel Mechanism ARM Trusted Firmware Security Advisory TFV 6
Aruba Networks	ARUBA-PSA-2018-001: Unauthorized Memory Disclosure through CPU Side-Channel Attacks („Meltdown“ and „Spectre“)
ASUS	ASUS Motherboards Microcode Update for Speculative Execution and Indirect Branch Prediction Side Channel Analysis Method
Avaya	ASA-2018-001: linux-firmware security update (RHSA-2018-0007) ASA-2018-002: linux-firmware security update (RHSA-2018-0013) ASA-2018-004: linux-firmware security update (RHSA-2018-0012) ASA-2018-005: linux-firmware security update (RHSA-2018-0008) ASA-2018-006: linux-firmware security update (RHSA-2018-0014) ASA-2018-011: VMware ESXi, Workstation and Fusion updates address side-channel analysis due to speculative execution. (VMSA-2018-0002)
Azure (Microsoft)	Securing Azure customers from CPU vulnerability Microsoft Cloud Protections Against Speculative Execution Side-Channel Vulnerabilities
CentOS	CESA-2018:0007 Important CentOS 7 kernel Security Update CESA-2018:0008 Important CentOS 6 kernel Security Update CESA-2018:0012 Important CentOS 7 microcode_ctl Security Update CESA-2018:0013 Important CentOS 6 microcode_ctl Security Update CESA-2018:0014 Important CentOS 7 linux-firmware Security Update
Chromium	Actions Required to Mitigate Speculative Side-Channel Attack Techniques
Cisco	cisco-sa-20180104-cpusidechannel – CPU Side-Channel Information Disclosure Vulnerabilities Alert ID 56354: CPU Side-Channel Information Disclosure Vulnerabilities
Citrix	CTX231399: Citrix Security Updates for CVE-2017-5715, CVE-2017-5753, CVE-2017-5754
CoreOS	Container Linux patched to address Meltdown vulnerability
Cumulus Networks	Meltdown and Spectre: Modern CPU Vulnerabilities
Debian	Debian Security Advisory DSA-4078-1 linux – security update
Dell	SLN308587 – Microprocessor Side-Channel Attacks (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754): Impact on Dell products SLN308588 – Microprocessor Side-Channel Attacks (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754): Impact on Dell EMC products (Dell Enterprise Servers, Storage and Networking)
Digital Ocean	A Message About Intel Security Findings /a>
Dragonfly BSD	Intel Meltdown bug mitigation in master More Meltdown fixes
Duo Security	ArticlesIs Duo affected by the recent Spectre or Meltdown vulnerabilities?
Extreme Networks	Meltdown and Spectre (VN 2017-001 & VN 2017-002) VN 2018-001 (CVE-2017-5715, CVE-2017-5753 – Spectre) VN 2018-002 (CVE-2017-5754 – Meltdown)
F5 Networks	K91229003: Side-channel processor vulnerabilities CVE-2017-5715, CVE-2017-5753, and CVE-2017-5754
Fedora	Protect your Fedora system against Meltdown
Fortinet	Fortinet Advisory on New Spectre and Meltdown Vulnerabilities
FreeBSD	FreeBSD News Flash
Google	Google Project Zero: Reading Privileged Memory with a Side-Channel Google’s Mitigations Against CPU Speculative Execution Attack Methods
HPE	Side Channel Analysis Method allows information disclosure in Microprocessors (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754) HPESBHF03805 – Certain HPE products using Microprocessors from Intel, AMD, and ARM, with Speculative Execution, Elevation of Privilege and Information Disclosure.
Huawei	Security Notice – Statement on the Media Disclosure of the Security Vulnerabilities in the Intel CPU Architecture Design
IBM	Potential CPU Security Issue Potential Impact on Processors in the POWER Family
Intel	INTEL-SA-00088 Speculative Execution and Indirect Branch Prediction Side Channel Analysis Method INTEL-OSS-10002: Speculative Execution Branch Prediction Side Channel and Branch Prediction Analysis Method
Juniper	JSA10842: 2018-01 Out of Cycle Security Bulletin: Meltdown & Spectre: CPU Speculative Execution and Indirect Branch Prediction Side Channel Analysis Method
KEMP Technologies	Meltdown and Spectre (CVE-2017-5754 & CVE-2017-5753)
Lenovo	Lenovo Security Advisory LEN-18282: Reading Privileged Memory with a Side Channel
Linode	CPU Vulnerabilities: Meltdown & Spectre
Linux Mint	Security notice: Meltdown and Spectre
Liquid Web	Here Is What You Need to Know About Meltdown and Spectre
LLVM	D41723: Introduce the „retpoline“ x86 mitigation technique for variant #2 of the speculative execution vulnerabilities D41760: Introduce __builtin_load_no_speculate D41761: Introduce llvm.nospeculateload intrinsic
Microsoft	Security Advisory 180002: Guidance to mitigate speculative execution side-channel vulnerabilities Windows Client guidance for IT Pros to protect against speculative execution side-channel vulnerabilities Windows Server guidance to protect against speculative execution side-channel vulnerabilities SQL Server Guidance to protect against speculative execution side-channel vulnerabilities Surface Guidance to protect against speculative execution side-channel vulnerabilities Important information regarding the Windows security updates released on January 3, 2018 and anti-virus software
Mitel	Mitel Product Security Advisory 18-0001: Side-Channel Analysis Vulnerabilities
Mozilla	Mozilla Foundation Security Advisory 2018-01: Speculative execution side-channel attack („Spectre“)
NetApp	NTAP-20180104-0001: Processor Speculated Execution Vulnerabilities in NetApp Products
Netgear	PSV-2018-0005: Security Advisory for Speculative Code Execution (Spectre and Meltdown) on Some ReadyNAS and ReadyDATA Storage Systems
nVidia	Security Notice 4609: Speculative Side Channels Security Bulletin 4611: NVIDIA GPU Display Driver Security Updates for Speculative Side Channels Security Bulletin 4613: NVIDIA Shield TV Security Updates for Speculative Side Channels Security Bulletin 4614: NVIDIA Shield Tablet Security Updates for Speculative Side Channels Security Bulletin 4616: Security Bulletin: NVIDIA Tegra Jetson TX1 L4T and Jetson TK1 L4T Security Updates for Speculative Side Channels
Okta	Security Bulletin: Meltdown and Spectre vulnerabilities
Open Telekom	Open Telekom Cloud Security Advisory about Processor Speculation Leaks (Meltdown/Spectre)
OpenBSD	Meltdown
OpenSUSE	[Security-Announce] Meltdown and Spectre Attacks
OVH	Information about Meltdown and Spectre vulnerability fixes Find your patch for Meltdown and Spectre
Palo Alto Networks	Information about Meltdown and Spectre findings (PAN-SA-2018-0001
Pulse Secure	KB43597 – Impact of CVE-2017-5753 (Bounds Check bypass, AKA Spectre), CVE-2017-5715 (Branch Target Injection, AKA Spectre) and CVE-2017-5754 (Meltdown) on Pulse Secure Products
QEMU	QEMU and the Spectre and Meltdown attacks
QNAP	NAS-201801-08: Security Advisory for Speculative Execution Vulnerabilities in Processors
Qubes OS	Announcement regarding XSA-254 (Meltdown and Spectre attacks)
Raspberry Pi	Why Raspberry Pi isn’t vulnerable to Spectre or Meltdown
Red Hat	Kernel Side-Channel Attacks – CVE-2017-5754 CVE-2017-5753 CVE-2017-5715 RHSA-2018:0008 – Security Advisory RHSA-2018:0012 – Security Advisory RHSA-2018:0013 – Security Advisory RHSA-2018:0014 – Security Advisory
RISC-V Foundation	Building a More Secure World with the RISC-V ISA
Riverbed Technology	Jan 05, 2018: Update on Meltdown and Spectre
SonicWall	Meltdown and Spectre Vulnerabilities: A SonicWall Alert
Sophos	128053: Advisory: Kernel memory issue affecting multiple OS (aka F**CKWIT, KAISER, KPTI, Meltdown & Spectre)
SuperMicro	Security Vulnerabilities Regarding Side Channel Speculative Execution and Indirect Branch Prediction Information Disclosure (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754)
SUSE	SUSE Linux security updates CVE-2017-5715 SUSE Linux security updates CVE-2017-5753 SUSE Linux security updates CVE-2017-5754
Synology	Synology-SA-18:01 Meltdown and Spectre Attacks
Ubuntu	Ubuntu Updates for the Meltdown / Spectre Vulnerabilities
VMware	NEW VMSA VMSA-2018-0002 VMware ESXi, Workstation and Fusion updates address side-channel analysis due to speculative execution
Vultr	Intel CPU Vulnerability Alert
Xen	Advisory XSA-254: Information leak via side effects of speculative execution

Как да се защитите?

Засега най-добрия ви вариант за навременна реакция е да следите новините от производителите, чиито процесори използвате, и потребителската общност, както и да се осведомите за бъдещи обновления за операционната ви система.

Информация за системни администрартори

Meltdown и Spectre са толкова комплексни като уязвимости, че е трудно решението им да бъде обобщено в един абзац или няколко реда. Въпреки това, имаме няколко полезни съвета и други материали:

1. Опознайте уязвимостите, за да разберете как да се пазите от тях. Например, тук както и ето тук. Блогът на Raspberry Pi има опростено обяснение на техническите специфики около уязвимостите – можете да го намерите тук
2. Можете да намерите много по-подробна информация за всеки производител на хардуер и софтуер относно уязвимостите в това github repository
3. Таблица с информация за това дали антивирусния ви софтуер предотвратява обновленията на операционната система и дали и как можете да го поправите можете да видите в Google Drive
4. Скриптове, които ви позволяват да проверите дали сте засегнати от уязвимостите можете да намерите за Linux и Windows 
5. Обновявайте софтуера на всички ваши устройства и следете за подозрителна активност

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 13:29 ч.

Най-лошият сценарий за един бизнес, е не просто атака, не е дори и особено мощна атака, а успешна атака. Подготовката на план, предотвратяващ потенциален пробив и изтичане на данни е огромна отговорност – но в случай, че пробив в сигурността все пак се случи е нужно максимално адекватна реакция (а според изискванията на GDPR – е дори и задължителна такава).

Естествено, най-доброто време да се приготвите как да реагирате при източване на данни е преди изобщо то да се е случило. Нека разгледаме най-важните насоки на действие:

Не го дръжте в тайна

Инвестициите в информационна сигурност не спират да растат – поредното проучване, което го доказвам е GISS – Global Information Security Survey. Въпреки тази позитивна тенденция, все още под 4% от проучените организации заявяват, че са напълно готови да контролират щетите, причинени от изтичане на данни. Около 35% от проучените фирми отговарят, че политиката им за защита на данните или обхваща единствено специфичен казус, или изобщо не съществува.

В допълнение, 17% от фирмите не биха докладвали изтичане на данни на всички потребители. А 10% не биха известили дори потребителите, които са засегнати (грубо нарушение на GDPR – според изискванията на регламента, всички засегнати потребители трябва да бъдат уведомени за пробив в сигурността до 72 часа след разкриването му).

Създайте план

Погледнете на него като на списък с действия, който бихте оставили на детегледачка, в случай, че нещо сериозно се обърка с децата ви. Трябва да е точен и изчерпателен и да отговаря на въпроси от типа на:

• Какъв е обхватът на атаката?
• Как да продължи работата на засегнатите услуги?
• По какъв начин инфекцията може да се изолира?
• Как най-бързо и ефективно да уведомим всички засегнати?

Както и всичко друго приложимо за бизнеса ви и обстоятелствата, които го обграждат.

Този план трябва да се обновява, за да обхваща всички нови процеси и назначения, както отсъствия на служители. В най-добрия случай трябва да е на достатъчно сигурно място, че да не попада в грешните ръце, но да бъде достатъчно лесно достъпен.

Пригответе си подходящо съобщение за засегнатите страни

Човек, който се намира по средата на създалия се пожар трудно би могъл да реагира достатъчно добре. От друга страна, пък, въображаеми разговори под душа трудно могат да ви подготвят за мащаба на един такъв пробив. Използвайте помощта на добре запознато юридическо лице, за да подготвите шаблонен отговор по отношение на изтичане на данни. Можете да създадете уеб страница, която е достатъчно лесно достъпна, че да бъде разпращана. В процеса на разрешаване на проблема, можете да я обновявате с най-новата налична информация.

Защитете клиентите си допълнително

Въпреки че това не е една от стъпките, които задължително трябва да се случат след изтичане на данни, то тя би ви помогнала да си върнете доверието. Подсигурете навременното предоставяне на допълнителна сигурност и рекламирането ѝ може да ви върне част от клиентското доверие.

Тествайте, тествайте, тествайте!

Редовно тествайте плановете си и всички описани процеси чрез симулирани атаки и не пропускайте нито една от стъпките! Използването на реални сценарии за тренировъчната атака може да ви даде по-реалистична преценка относно протичането на плана. Точно тези тестове ще ви покажат какво (а често и как) трябва да се промени в действията, които смятате да предприемете.

Последно, никога не трябва да приемате, че просто защото бизнесът ви не е привидно важен, то вие няма да станете нечия цел. Ако имате каквато и да е информация, която може да се монетизира (продаде), то вие вече сте под заплаха. Добрата подготовка може да превърне пълното бедствие в предизвикателство.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 13:49 ч.

Последен ъпдейт на 28 юни 2018 в 13:50 ч.

IT отделите ще трябва да добавят „военизирани виртуални машини“ към списъка със заплахи за киберсигурността в облака. Това обяви Microsoft в доклада Security Intelligence Report Volume 22.

Докладът оценява заплахите за информационната сигурност на компаниите в първата четвъртина на 2017 г. Microsoft констатира, че престъпниците следват пътя на бизнеса и го атакуват там, където той оперира. Все по-често това са облачни услуги, предоставени от трети страни.

Военизиран облак

„Киберпрестъпниците успяват успешно да компрометират облачната инфраструктура като установят контрол върху една или повече виртуални машини“, твърди докладът.

Microsoft нарича тази заплаха „военизиран облак“ и я дефинира по следния начин:

„Киберпрестъпниците използват компрометираните виртуални машини за да осъществяват престъпна дейност, която включва удари срещу други виртуални машини под формата на brute-force атаки, спам кампании с цел имейл фишинг и сканиране на уязвими портове с цел организиране и провеждани на нови атаки.“

That moment when your Kali VM gets so weaponized from #OSCP that AVs are trying everything to prevent it from loading.

— Grant Boudreau (@gzboudreau) November 5, 2015

По време на първата четвъртина на 2017 г. услугата Azure на Microsoft е регистрирала редица изходящи опити за подобна дейност. Най-често срещаните форми са били опити за установяване на връзка със злонамерени IP адреси (51%) и RDP (Remote Desktop Protocol) brute-force атаки. Сред другите активности на злонамерените хакери били спам атаки (19%), сканиране на портове (3.7%) и опити за преодоляване на SSH (Security Shell) защити.

Прочете повече: Brute-force атака удари потребители на Office 365

Когато една виртуална машина е компрометирана, тя опитва да установи контакт с командния център на киберпрестъпниците. Огромна част от опитите за установяване на комуникация с такива центрове, били към китайски IP адреси (89%), следвани от САЩ (4.2%).

Входящите атаки срещу Azure идвали главно от Китай (35.1%), САЩ (32.5%) и Южна Корея (3.1%).

Заплаха за бизнеса и потребителите

Експертите по информационна сигурност на Microsoft предупреждават, че хакерите вече не се задоволяват само с ransomware атаки срещу крайни потребители, а все повече насочват вниманието си срещу лични и бизнес акаунти в облака.

„Наблюдаваме ръст от 300% в атаките срещу потребителски акаунти в облака за първата четвъртина на 2017 г. спрямо същия период на 2016 г.“, съобщава Microsoft в блога Microsoft Secure Blog.

В същото време броят на опитите за влизане в облачни акаунти от злонамерени IP адреси се е увеличил с 44%. Според американския IT гигант това доказва нуждата от прилагането на сигурни пароли както от потребителите, така и от бизнеса.

Microsoft призовава IT отделите да въведат политики за условен достъп, базирани върху анализ на риска за сигурността. Такива политики следва да ограничават достъпа до непознати устройства и IP адреси, намалявайки риска от слаби или компрометирани пароли.

В заключителната си част докладът констатира, че ransomware атаките продължават да бъдат сериозен проблем, въпреки че анализът на заплахите е бил компилиран преди масираните ransomware атаки на криптовирусите WannaCry и Petya. Тогава бяха засегнати повече от 200 хиляди устройства в над 150 държави по света.

Как да се защитим в облака?        

• Активирайте двуфакторна верификация за всички облачни акаунти, които използвате
• Създайте сигурни пароли, които включват цифри, символи и думи, изписани с малки и главни думи
• Създайте и поддържайте копия на най-важната информация в различни облачни услуги
• Използвайте антивирусна програма и я актуализирайте често
• Уверете се, че услугата за автоматична актуализация на Windows е активирана както на домашния, така на и работния компютър

Прочетете повече: Колко безопасни са публичните облаци за съхранение на бизнес информация?

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 13:50 ч.

Съвсем наскоро Световната федерация по кеч стана жертва на пробив в сигурността, вследствие на който изтекоха лични данни на 3 милиона клиенти. Хакерите успешно са пробили системата, хоствана от облачна услуга на Amazon. Според Forbes  данните съдържат адресите, етническата принадлежност, залозите и печалбите, както и други лични данни на жертвите. Случилото се е смущаващо, но и чудесен пример за последиците от подобни престъпления.

Ето кои са шестте най-големи пробива в сигурността на облака досега.

1. Microsoft

През 2010 г., вследствие на неправилно конфигуриране на услугата Business Productivity Online Suite, инцидентно се дава достъп на неупълномощени потребители на облачната услуга до контактите на други потребители. Компанията потвърждава за нерегламентирания достъп, но уверява, че проблемът е бил разрешен в рамките на два часа. Тъй като са засегнати сравнително малък брой хора, инцидентът се счита за незначителен. Случилото се е не само първият сериозен пробив в сигурността на облачните услуги, но и предвестник на онези, които ще последват.

2. Dropbox

Никой не е подозирал за истинските размери на чудовищния пробив в Dropbox, когато се е случил през 2012 г. Едва 4 години по-късно, през 2016 г., става ясно, че хакерите успяват да се сдобият с данни за достъп на 68 милиона профила . Пробивът е толкова мащабен, че файловете с данни на потребители са с обща големина цели 5 Gb! Откраднатите имейли и пароли за достъп се търгуват от хакерите в dark web срещу биткойни, когато цената им е била около 1,100 щатски долара. Вследствие на пробива Dropbox предприема масово нулиране на потребителски пароли, за да предпази клиентите си от злоупотреба с лични данни.

@darkpawH and @PyroTek3 on hacking the cloud to a huge and packed room at @defcon pic.twitter.com/zXK292dl8v

— MrShannon (@MrShannonFritz) July 27, 2017

3. Национален електорален институт на Мексико

През април 2016 г. Националният електорален институт на Мексико става жертва на атака, която разкрива регистрациите на 93 милиона избиратели. Личните данни се оказват публични вследствие на лошо конфигурирана база данни. Този пробив разкрива редица други нарушения, като например това, че институцията е съхранявала чувствителни данни на необезопасен облачен сървър на Amazon извън пределите на Мексико. На това му се казва „как да не съхраняваме лични данни, ако сме държавна институция“.

4. LinkedIn

Понякога късметът наистина може да ни изиграе лоша шега. Точно това се случва с LinkedIn, когато през 2012 г. киберпрестъпници успяват да откраднат 6 милиона потребителски пароли и да ги публикуват в руски форум. Само 4 години по-късно, през май 2016 г., втора атака води до компрометиране на данни за достъп на над 167 милиона LinkedIn профила, които хакерите пускат за продажба на черния пазар. Инцидентът става причина LinkedIn да предприемат спешни мерки по сигурността и освен смяна на компрометираните пароли, въвеждат двустепенно удостоверяване (two-factor authentication) – опция, която позволява допълнително въвеждане на ПИН код, получен чрез SMS при всяко логване в сайта.

5. Apple iCloud

Няма да сгрешим, ако наречем пробива в Apple iCloud най-скандалния по рода си, защото този път не става дума за някакви си милиони обикновени потребители, а за известни личности. Личните снимки на Дженифър Лорънс и други публични личности, съхранявани в облака, стават достъпни за хакерите. Първоначално се смята, че причината е масово хакване на телефони, но впоследствие се оказва, че е била компрометирана услугата iCloud, използвана от звездите за съхранение на личните им архиви. В отговор на атаката Apple подканва потребителите да сменят паролите си с по-сигурни, както и да активират известия в случай, че се установи съмнителна активност в профилите им.

6. Yahoo

Съвременните уеб гиганти базират услугите си почти изцяло върху облачна инфраструктура. Това включва и Интернет мастодонтът Yahoo, който сам се оказва жертва на киберпробив. На компанията са й нужни близо 3 години, за да се справи с пораженията от атаката, случила се през 2013 г., и едва в края на 2016-а, разкрива детайли за мащаба й. Компрометирани са близо 1 милиард потребителски профила, което включва електронните адреси, имената, рождените дати и тайните отговори на въпросите за възстановяване на парола. Това се счита за най-мащабният киберпробив в историята, което си е сериозен рекорд, особено предвид че месеци преди това, от същата компания изтичат данните на други 500 милиона профила.

В бизнес средите няма съмнение,  че облачните услуги имат както предимства, така и недостатъци. Но изводите от тези мащабни атаки са, че облакът може да разкрие целия си потенциал само, ако сигурността му се развива паралелно с все по-голямата му популярност.

Прочетете повече: Колко безопасни са публичните облаци за съхранение на бизнес информация?

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 13:51 ч.

В последно време се убедихме, че потребителят действително е най-слабото звено в системата на информационна сигурност на една компания. Без значение дали става дума за откуп, фишинг или кражба на лични данни, изглежда, че винаги има намесен служител, който волно или неволно отваря вратите за киберпрестъпниците.

Служителят е най-слабото звено

Хакерите разчитат все повече на обикновените потребители в една система, за да получат нерегламентиран достъп до нея. Скорошно проучване показа, че всяка втора фирма на запад е била жертва на ransomware през последните 12 месеца, а повечето компании са претърпели един или друг киберпробив в системата си. България не е изключение от тази статистика. Да си припомним случая с фалшивия имейл от НАП, съдържащ архивен файл с троянски кон Nemucod, който подканваше потребителите да се запознаят с промени в регламента за подаване на приходни декларации. Разархивиране на прикачения файл на офисен компютър води до задействане на вируса, който от своя страна започва да тегли и инсталира други зловредни кодове, потенциално компрометирайки цялата система.

В повечето случаи в България и в чужбина, грешка от страна на служителя води до създаване и експлоатиране на уязвимости. Но именно фактът, че това се дължи на човешко действие прави тези вид заплахи толкова трудни за преодоляване.

 

Almost half of IT security incidents are caused by company employeeshttps://t.co/LpvclZBqho via @TechRepublic#training #security pic.twitter.com/vwVPeZT2u6

— Pensar (@Pensar_IT) July 18, 2017

Какви действия да предприемем, за да предпазим бизнеса си от човешка грешка?

Най-доброто решение за опазване на корпоративната инфраструктура от човешка грешка е превенцията, а отговорността за взимането на предпазни мерки е в ръководството на компанията.

Първата стъпка е въвеждането на корпоративни политики, които да са част от официалните правила на работа. Текстът трябва да е практичен, лесен за осмисляне и да съдържа най-често срещани случаи. Това ще увеличи шанса за спазване на правилата.

Втората, далеч по-важна стъпка, е инвестицията в трейнинги за информационна сигурност.

„Инвестирайте в трейнинги по информационна сигурност. Статистиката показва, че компаниите, чиито служители са преминали подобно обучение, са 75% по-малко уязвими спрямо останалите“, твърди Марк Брунели от американската фирма за криптирани облачни услуги Carbonite.

Експертът добавя, че това е най-ефективната „първа линия на защита“ срещу потенциална атака.

Третият подход, който препоръчват експертите е показването на съвети за поддържане на информационна хигиена по време на работа, например през push нотификации в Интранет или с имейл-напомняне към всички служители. Колкото по-често се показват тези съвети, толкова по-вероятно е те да бъдат следвани.

Ето пример за 5 простички правила, които всеки служител може да следва:

• Не отговаряйте на подозрителни имейли
• Няма случай, в който някой да има основание да ви поиска информация за потребителско име или парола! Не я давайте!
• Не кликвайте върху подозрителни линкове и банери!
• Ъпдейтвайте софтуера регулярно, включително и антивирусната си програма
• Замислете се дали има основание да предоставяте лична информация, когато ви бъде поискана

Не на последно място по-напредналите мениджъри могат да поискат инсталирането на специални софтуери за превенция на загуба на информация  (Data Loss Prevention [DLP]), които показват предупреждения в рискови случаи като изпращането на вътрешни документи към външни имейл адреси или използването на опасни програми и сайтове по време на работа.

Интегрирането на един или повече от тези подходи в работния процес ще намали значително риска от компрометиране на ключови бизнес процеси.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 4 декември 2018 в 18:00 ч.

Хакери са откраднали 1.5 терабайта информация от сървърите на американската телевизионна компания HBO, съобщава Wired. Сред компрометираните продукции са неизлъчвани досега епизоди от сериалите Ballers, Insecure, Room 104 и Barry, както и сценария на следващия епизод на култовия сериал Игра на тронове.

Игра на кодове

Ударът е оповестен по имейл до технологични журналисти в САЩ в неделя сутринта от група анонимни хакери. В съобщението се съдържа линк към сайт, на който са качени откраднатите епизоди и сценария на сезон 7, епизод 4 на Игра на тронове.

HBO потвърди атаката във вътрешно съобщение до служители на компанията, но отказва да коментира публично, заради провеждащото се разследване.

„Станахме жертва на кибератака, насочена срещу компанията ни, която доведе до загуба на собственост, включително и на програми“, признава изпълнителният директор на HBO Ричърд Плеплър.

„За жалост проблемът, с който се сблъскваме сега, е част от реалността на света, в който живеем“, допълва Плеплър.

Exclusive: HBO hacked: Upcoming episodes, @GameOfThrones data leaked online in cyber breach https://t.co/FaWjpnHeIR pic.twitter.com/7bfqptuqxv

— James Hibberd (@JamesHibberd) July 31, 2017

Цел: Холивуд

Не е ясно как точно е осъществена атаката, но засега няма данни хакерите да са поискали откуп. Според запознати със случая посегателството над HBO е различно от други подобни атаки в Холивуд, които са станали възможни поради слаба киберзащита, разчитаща на външни програми.

Хакерите твърдят, че са успели да пробият защитата на HBO и да получат достъп до „огромната мрежа на телевизията“. Техният говорител, г-н Смит (подобно на програмата-злодей от „Матрицата“), обещава да разпространи още откраднати продукции и заплашва да направи публични личните данни на стотици служители на телевизионната компания.

„Хакерите обичат да преувеличават нещата“, коментира журналистът Браян Барет от Wired.

Според Барет тази атака няма да навреди твърде много на HBO предвид огромната популярност, с която се ползват филмите и сериалите им.

„Това, което може да нанесе истинска вреда, е финансовата и репутационна стойност, която се съдържа във вътрешната комуникация, до която са получили достъп хакерите“, предупреждава американският журналист.

Как да не станем жертва на хак?

Историята с откраднатата от HBO информация напомня на т.нар. фишинг атака (опит за кражба на лични данни с фалшифициран имейл, съдържащ зловредни линкове или прикачени файлове), която удари български банки през 2015 и 2016 г. Експертите съветват да:

• Гледате, но не кликате. Задръжте мишката върху всеки линк, за да проверите накъде води.
• Анализирате ситуацията. Подвеждащ имейл може да бъде изпратен и от реален адрес. Нещо струва ли ви се подозрително?
• Опитате с фалшива парола. Ако въведете фалшива парола – и все пак страницата, към която води имейла ви позволи да продължите, значи най-вероятно става въпрос за фишинг сайт.
• Внимавате с прикачените файлове. Ако отворите познат прикачен документ (.doc или .pdf), който поиска от вас да разрешите допълнителна функция, най-вероятно става въпрос за файл, който ще се опита да ви зарази със зловреден код.

Повече информация за това как да се предпазите от различни видове злонамерени имейли, вижте тук.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

 

Последен ъпдейт на 28 юни 2018 в 13:51 ч.

Вече всички си дават сметка, че живеем в ерата на ransomware вирусите. Тези зловредните кодове блокират достъпа ни до информация на заразеното устройство, докато не се плати откуп. WannaCry и NoPetya (линк към статията за Petya) ни показаха, че дори и организации, които считаме за непробиваеми, като банки, болници и фармацевтични компании, са почти, ако не и също толкова уязвими на пробив в киберсигурността, колкото и обикновените потребители.

We confirm our company’s computer network was compromised today as part of global hack. Other organizations have also been affected (1 of 2)

— Merck (@Merck) June 27, 2017

Какво е Ransomware и как работи?

През май и юни тази година българска компания за информационна сигурност докладва за заплахите от криптовирусите WannaCry и Petya.

Специалистите обясняват, че вирусът WannaCry засяга само компютри с операционна система Windows, използвайки конкретна уязвимост в нея. Веднъж попаднал на твърдия диск, Ransomware вирусът криптира информацията на компютъра и я „заключва“, докато не бъде платена сумата от 300 щатски долара или еквивалента им в Bitcoin. Западни експерти твърдят, че уязвимостта е била открита от американската агенция за национална сигурност (АНС), която разработва инструменти за нерегламентиран достъп до системата под кодовото название EternalBlue. Хакери от групата Shadow Brokers успяват да откраднат инструментите от американското правителство и дори правят някои от тях безплатни за свои съмишленици.

Според Европол мащабът на заразата с вируса WannaCry е бил главозамайващ. Засегнати са 200 хиляди компютъра в над 150 държави, покосявайки бизнеси, институции и лични устройства. Самият вирус е от типа „червей“. Веднъж засегнал един компютър, червеят се размножава масово на всички останали компютри в мрежата, към която принадлежи първоизточникът. За разлика от повечето зловредни вируси, които засягат един компютър и са резултат на човешко действие като кликване върху линк или отваряне и задействане на файл, червеят не се закача за конкретна програма, разпространява се сам и е много по-заразен. Експертите от Sophos наричат червеите от семейството на Ransomware вирусите „най-страшният сред страшните“.

Как да се предпазим?

• Бъдете внимателни когато получите имейл от неизвестен източник: обръщайте внимание на подателите на имейли. Ако подателят е непознат, подходете консервативно към линкове и файловете в имейла. Най-добре не отговаряйте на имейла и се обърнете към техническо лице за съвет.
• Не отваряйте подозрителни линкове и не стартирайте съмнителни файлове: Често хакерите имитират познати за вас адреси и ви примамват да кликнете върху линкове в тялото на имейла или да свалите и отворите прикачени файлове. Ако тези файлове са с познати за вас имена, но непознати удължения (абревиатурата, която следва точката: .exe, .pdf, .doc), рискът това да е вирус, е голям. Използвайте здравия си разум и не се подавайте на любопитството си.
• Ъпдейтвайте често операционната си система: уверете се, че автоматичната система за ъпдейти на Windows е активирана. Операционната система ще ви информира, че е готова да бъде актуализирана и ще ви предупреди, ако услугата е изключена. Изгубените 10-15 минути в ъпдейт на Windows ще ви спестят часове главоболия.
• Инсталирайте и ъпдейтвайте често антивирусната си програма: уверете се, че имате инсталирана актуализирана антивирусна програма от наложените на пазара компании
• Сканирайте компютъра си и компютрите в локалната мрежа: ако имате и най-малкото съмнение, че може да сте заразен, стартирайте ръчен скан на компютъра си през интерфейса на антивирусната програма.
• Създайте копие на информацията си и я складирайте на външно устройство или в облака: обикновено копиране на най-важната ви информация върху флаш-диск или в облачни услуги като Google Drive и pCloud, е сигурен начин за взимане на превантивни мерки.

Прочетете повече: Как да се защитите от WannaCrypt?

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

 

Последен ъпдейт на 28 юни 2018 в 13:52 ч.

Колко от компаниите, в които сте работили са имали план за действие при кризисни ситуации? Колко от компаниите дори разбират какво означава кризисна ситуация? Пробив в системата е един от най-често срещаните кризисни сценарии, а финансовите и репутационни последствия могат да са катастрофални.

Според скорошно проучване на института Ponemon в Америка сред 419 компании в 16 страни финансовите загуби от пробиви в системата възлизат на 3.94 милиона долара средно. Всяка втора компания съобщава за материални щети вследствие на подобен инцидент, а  последствията за репутацията на организацията са още по-големи: 62%.

Пробивът в Агенция „Пътна инфраструктура“

За съжаление България не е изключена от статистика. През януари, т.г., bTV докладва за пробив в системата, която дава информация за трафика в страната. Личните данни на хората, давали сигнали за проблеми на пътя през приложението LIMA не били защитени, а според тогавашния министър на регионалното развитие Лиляна Павлова, пробивът бил резултат от хакерска атака. В следствие на киберинцидента над 130 души са станали жертва на кражба на лични данни.

Повечето хора възприемат причините за подобни атаки за сложни. Системни уязвимости, лошо написани приложения и 0-day exploits действително водят до пробойни, но най-честите причини за пробив в системата са далеч по-елементарни:

• Слаби пароли или твърде честото използване на еднакви пароли
• Липса на многофакторна автентикация
• Грешни настройки и настройки по подразбиране
• Неактуализирани операционни системи, протоколи, приложения и технологии

Запълването на тези пропуски е първата и най-важна стъпка за предотвратяване на пробив в системата, но ако организацията ви държи да повиши нивото на информационна сигурност, трябва да разширите обхвата.

Какви мерки да вземем срещу пробив в системата?

1. Създайте специализирано звено, което да събира, анализира и оценявана потенциалните заплахи за информационната ви сигурност. Уверете се, че в екипа има както компетентни технически лица, така и ключови мениджъри
2. Вземете превантивни мерки за оценка на потенциалните уязвимости, като провеждате тестове за проникване в собствената си система.
3. Използвайте софтуер за генериране и съхранение на данни за достъп
   Облачни услуги като LastPass и локални приложения като KeePass са криптирани хранилища за пароли с няколко нива на защита. Те могат както да съхраняват, така и да генерират пароли за достъп.
4. Проучете и научете възможно най–много за използваните от вас софтуери, хардуери и технологии. Запознайте се и приложете добрите практики за конфигурация, тестване и експлоатиране. Това би могло да реши и други проблеми.
5. Внедрете механизми за известяване при налични актуализации и изгответе политика за прилагането им.

Някои от тези стъпки ще ви се сторят сложни за имплементиране, но дори едно действие е по-добро от нищо. Започнете с най-лесното за вашата организация и се опитайте да надграждате постепенно.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.