Топ новини

  • Повишен риск за търговията през предстоящите празници. Какви са заплахите за търговците?

    Голямото празнично пазаруване крие много рискове както за клиентите, така и за самите търговци. От принудително спиране на бизнеса ви заради блокиране на компютрите ви до глоби заради източване на данни за клиентите ви – това са само част от щетите, които може да претърпите най-често заради подценяване на информационната си сигурност.

    Офлайн или онлайн – ето няколко прости стъпки, които да предприемете, за да намалите риска от загуби за бизнеса си в един от най-активните търговски периоди на годината.

    Какви са рисковете?

    • Източване на данните за клиентите ви. Особено, ако сте онлайн магазин, използвате остаряла версия, неподдържана или лошо написана на платформа за електронна търговия като WooCommerce, OpenCart, Magento и т.н. Може да доведе до глоби по GDPR и репутационни щети.
    • Експлоатация на магазина ви за скимиране (кражба) на кредитни и дебитни карти или зловредна реклама. Звучи далечно, но всъщност е доста често срещано явление. Може да доведе до блокиране на системата ви за електронни разплащания, спиране на рекламните ви акаунти – и де факто – на целия ви бизнес.
    • Фалшифициране на бизнес комуникация. Представете си, че изпращате фактура на ваш клиент. В процеса на изпращане някой подменя IBAN-а на сметката ви и клиентът ви плаща, но на някой друг. Man in the middle или манипулиране на служебна кореспонденция е често срещано явление и в нашата практика.
    • Блокиране на бизнеса ви след атака с криптовирус. Дори и да имате 1компютър, с който работите на каса, ако той бъде криптиран – това означава спиране на работата ви поне за 1 ден.
    • Източване на чувствителна информация като оферти, договори и др. Ако служебните ви системи не са изградени по сигурен начин, може да позволят неоторизиран достъп до администраторски акаунти – което от своя страна да даде на атакуващия права да прави каквото пожелае. Особено, ако служителите ви ползвате слаби пароли или не сте въвели дву-факторна автентикация. API (интерфейс за програмиране на приложения).

    Какво да предприемете вие?

    За да не действате смело и безотговорно, ето няколко прости стъпки, които да следвате, за да намалите до минимум риска от нежелано прекъсване на работата ви в следващите няколко месеца. Голямата част от тях не изискват специални разходи – а са въпрос на решение от ваша страна:

    • Проверете всички дигитални активи – компютри, сайтове, сървъри и т.н. за актуалност и ъпдейтнете софтуера, с който работите
    • Ъпдейтнете всички пароли и въведете дву-факторна автентникация
    • Надградете защитата си с технически средства. Никога не е твърде рано да създадете многопластова система за защита на организацията ви – антивирус, защитна стена, XDR – това са само част от решенията, които в комбинация помежду си могат да са в основата на ефективна защита срещу случайна или дори таргетирана атака срещу бизнеса ви
    • Редовно обучение на персонала – практиката показва, че най-слабото звено е човешкия фактор. Обучавайте регулярно екипите си на базови правила за работа с информационни технологии
    • Планиране на реакция при настъпване на инцидент или събитие. Планът за реакция при инцидент ви гарантира, че дори и най-лошото да се случи, ще ограничите щетите като възстановите работата си максимално бързо. Изискайте не backup, а recovery план от доставчика си на киберсигурност – ако имате такъв. Ако нямате, потърсете сега

    Основното правило, което е хубаво да следвате е: действайте навреме, за да имате максимално безпроблемен коледен търговски сезон. Инвестирайте в решения за киберсигурност, преди да стане инцидент. След него може да е твърде сложно, а дори и невъзможно бизнесът ви бъде възстановен в нормално състояние за адекватно време.

  • 5 признака, че сте хакнати и как да правите след това

    Истински добрите хакери целят да останат скрити, за да могат да се възползват от жертвите си максимално дълго. Но следите от злонамерената им дейност остават и може да си спестите много пари, време и нерви, ако сте малко по-внимателни. Ето петте най-често срещани признака, че може да сте станали жертва на онлайн измама:

    1. Странни плащания от сметките ви (или дори заявени кредити)
      Ако личните ви данни бъдат компрометирани, могат да бъдат използвани за нежелани трансакции от профилите ви в системи за разплащания или банкиране. Или дори да кандидатстват от ваше име за кредити, които в последствие да усвоят.
    2. Поръчали сте продукт онлайн, който така и не пристига
      Онази страхотна оферта от онзи сайт, който чу за пръв път така и не пристига. Може да сте се хванали на въдицата на мним електронен магазин, от който да сте поръчали, след което хакерите да се възползват от данните за кредитната ви карта (тя вече е тяхна).
    1. Чат романсът ви приключи внезапно.
      Щетите от ужилени от измамници онлайн Казанови се оценяват на почти 1 млрд. USD годишно. И това число обхваща само онлайн тези жертви, за които знаем.
    1. Нямате достъп до профилите си в онлайн услуги
      Ако измамник получи достъп до профилите ви, ще опита да смени паролите и да получи контрол над тях. Това може да доведе до разкриване на лична информация и злоупотреби с банкоите ви карти, ако нейните данни са запаметени във вашия профил.
    2. Инвестиции в крипто валути.
      Жертвите се примамват с нищожни суми за инвестиране в крипто валути и с обещания за огромна възвръщаемост. В същото време профилът на жертвата показва обещаната „печалба“, но реална възможност за получаването й липсва.

    А какво да правите, когато станете жертва на измама? Първата стъпка е да се свържете с вашата банка – тя може да ви помогне като спре трансфера на средства към измамниците. Втората е да начуите урока си и да предприемете стъпки, за да ограничите риска в бъдеще:

    • Използвайте силни и уникални пароли, подкрепени с 2-факторна автентникация
    • Ъпдейтвайте операционните системи и приложенията, с които работите и се забавлявате на устройствата си
    • Не споделяйте и не запазвайте лична и финансова информация току-така
  • Войната „изненада“ много ИТ администратори, спешно подобряват киберзащитата

    Разузнавателните агенции от месеци предупреждават, че нападението на Русия срещу Украйна ще бъде придружено от кибератаки, включително такива срещу критична държавна инфраструктура. Подобно на прекъсванията на електроснабдяването в Киев през 2015 г., за което беше обвинена Русия.

    През януари в Украйна се появи рансъмуерът WhisperGate, насочен към структури на  държавната администрация. Преди дни компанията за киберсигурност ESET докладва за нов зловреден софтуер, Hermetic Wiper, изтриващ безвъзвратно данните на афектираните системи (помислете дали имате надежден бекъп!).

    Съвсем наскоро и Агенцията за киберсигурност и инфраструктурна сигурност на САЩ призова американските компании да укрепят своята защита.

    Войната е „идеалният“ бизнес

    Логично, войната в Украйна доведе до покачване стойността на акциите на много компании в сектор Киберсигурност. Инвеститорите в световен мащаб залагат на това, че търсенето на специфични продукти и услуги за киберзащита  нараства и ще нараства с ожесточаването на конфликта.

    Като добавим масираните DDoS атаки спрямо важни сайтове на украинското правителство, банки  и медии, разбираемо е защо акциите на Cloudflare, Crowdstrike, Palo Alto, Mandiant и др. се покачиха с 10-12 %.

    Причина за поскъпването обаче е не само моментната ситуация, която е поредния исторически урок, който света получава. През 2017 г., зловреден софтуер с прякор „NotPetya“, предназначен да атакува критичните информационни системи в Украйна, успя да причини щети за повече от 10 млрд. USD по целия свят, след като буквално излезе извън контрола на неговите създатели. Засегнати бяха системите на други правителства, големи компании като Maersk и стотици хиляди малки бизнеси (като вашия!).

    Да припомним

    Киберпрестъпността е генерирала 3 трлн. USD през 2015 г., а към 2025 г. очакванията са тези обороти да достигнат 10-11 трлн. USD (според вас, от кого са взети тези пари?). Не е учудващо, че киберпрестъпността се е превърнала  в един от основните източници на приходи за групировки и режими. Постъпления в криптовалути все още лесно могат да се прехвърлят, изпират и узаконяват, поради слабите регулаторни рамки в редица държави.

    Ситуацията в България

    Министерство на електронното управление обяви, че са предприети действия, съвместно с отдел „Киберпрестъпност“ към ГДБОП в МВР, за филтриране или преустановяване на трафика от над 45 хил. IP-адреса, от които са извършвани опити за зловредна намеса в електронни системи или мрежи на страната. Това е стъпка в правилната посока на национално ниво,  но все още няма ясно послание към бизнеса и гражданите как да подготвят собствената си защита.

    В нашата страна продължава да битува заблудата, че родните бизнеси са икономически неатрактивни за киберпрестъпниците, които са заети с далеч „по-важна“ работа. Това изобщо не е така: на практика не съществува регион или бизнес, който да не е интересен за киберпрестъпността.

    Отпуснете бюджетите за ИТ

    Не чакайте да пострадате, за да подсигурите дейността на дружествата си. Позволете на ИТ екипа си да се мобилизира и да подобри киберсигурността. Много компании в България за първи път откриват тази необходимост, просто защото някой западен партньор го изисква от тяхното дружество.

    Родния бизнес час по-скоро трябва да започне да се допитва до професионалисти, които да го посъветват какво и как да предприеме, вместо да харчи пари за решения от типа „one size fits all”, преди да се е уверил, че те са подходящи за него.

    Нашият Security Operations Center (SOC) oперира успешно от шест години в България и извършва наблюдение на инфраструктурата на нашите клиенти. Силно препоръчвам на компаниите да започнат да  използват подобни услуги, което ще им спести пари и проблеми.

    Абсолютно съм съгласен с Шломо Крамер, съосновател на Checkpoint, който твърди, че предприемането на мерки в последната минута е по-скоро резултат от липса на информираност, а не се дължи на липса на възможности. Възползвайте се от наличните възможности навреме и живейте и развивайте бизнеса си спокойно!

  • 8 добри практики за предотвратяване на рансъмуер атака

    През последните няколко години станахме свидетели на значителен брой инциденти с рансъмуер. От лятото на 2021 г. ще запомним атаките срещу американски петролопровод с национално значение и международна софтуерна компания, които засегнаха доставчици на услуги (MSP) и техните клиенти надолу по веригата.

    Да припомним:

    Рансъмуер е злонамерен софтуер, предназначен да криптира файлове върху вашите устройства, така че те да станат неизползваеми за системата ви. Традиционно, атакуващите искат паричен откуп в замяна на декриптиране. С течение на времето хакерите подобриха своите тактики, с което заплахите станаха още по-разрушителни. Злонамерените участници все по-често ексфилтрират данните ви и след това заплашват да ги продадат или пуснат безплатно в мрежата ако откупът не бъде платен.

    Когато откраднатото включва чувствителна или лична информация или данни за достъп до засегнатите системи, дейността и репутацията на компанията ви може сериозно да пострадат.

    Препоръки за предотвратяване на рансъмуер атаки

    Каквато и да е организацията ви, съществува риск да станете жертва на инцидент с рансъмуер. Затова и отговорността за защитата на чувствителни и лични данни, съхранявани в системите ви, е ваша – като управляващ бизнеса или като отговарящ за киберсибурността.

    Ето какво е добре да направите:

    1. Поддържайте офлайн криптирани архиви на данни и редовно ги тествайте.

    Архивирането трябва да се извършва редовно. Важно е да поддържате офлайн копия, тъй като много варианти на рансъмуер се опитват да намерят и изтрият или криптират достъпни архиви.

    1. Създайте, поддържайте и упражнявайте основен план за реакция при киберинциденти, план за устойчивост и свързан с тях комуникационен план:
    • Планът за реакция при киберинциденти трябва да включва процедури за реакция и уведомяване в случай на рансъмуер атака
    • Планът за устойчивост трябва да предвижда начин на работа, ако загубите достъп или контрол над критични функции
    1. Обърнете особено внимание на уязвимости и неправилни конфигурации на всичките си критични системи. По този начин ще намалите възможността даден актив да бъде атакуван успешно:
    • Прилагайте най-добрите практики за използване на протокол за отдалечен достъп (RDP). Атакуващите често получават първоначален достъп до мрежата чрез открити и лошо защитени отдалечени услуги, които дават възможност за разпространение на рансъмуер.
    • Одитирайте мрежата за всички критични системи, използващи RDP; затваряйте неизползвани RDP портове; налагайте блокиране на акаунт след определен брой опити; прилагайте многофакторно удостоверяване (MFA); регистрирайте опитите за влизане в RDP
    • Провеждайте редовно сканиране на уязвимости, за да ги идентифицирате и отстраните, особено тези на устройства с интернет. Възползвайки се от услуги на външни експертни екипи, за да намалите експозицията си и вероятността да станете жертва на рансъмуер.
    • Актуализирайте своевременно софтуера, включително операционните системи, приложенията и фърмуера. Приоритизирайте своевременното закърпване на критични уязвимости и уязвимости на сървъри в интернет, както и софтуерна обработка на интернет данни, като уеб браузъри, приставки за браузъри и четци на документи. Ако бързото закърпване не е осъществимо, приложете съветите, предоставени от доставчика на съответния софтуер, за по-сигурна работа.
    • Уверете се, че устройствата ви са правилно конфигурирани и функциите за защита са активирани. Например, деактивирайте портовете и протоколите, които не се използват за бизнес цели.
    • Деактивирайте или блокирайте протокола за входящи и изходящи сървърни съобщения (SMB) и премахнете или забранете остарелите му версии.
    1. Намалете риска фишинг имейлите да достигнат до крайните потребители
    1. Практикувайте добра киберхигиена
    • Осигурете си актуален антивирусен софтуер
    • Приложете списък с разрешени приложения и забранете всички останали
    • Ограничете използването на привилегировани акаунти чрез политики за използване, контрол и управление
    • Използвайте MFA за всички услуги, доколкото е възможно, особено за уеб поща, виртуални частни мрежи (VPN) и акаунти, които имат достъп до критични системи
    1. Следете каква лична и чувствителна информация се съхранява във вашите системи и кой има достъп до нея
    • Ограничете данните, като съхранявате само информация, необходима за бизнес операциите ви. Уверете се, че данните се унищожават правилно, когато вече не са необходими.
    • Идентифицирайте компютрите и сървърите, на които се съхранява чувствителна лична информация. Не съхранявайте чувствителни или лични данни в системи или лаптопи, свързани с интернет, освен ако това не е от съществено значение за бизнес операциите ви. Ако лаптопите ви съдържат чувствителни данни, ги шифровайте и обучете служителите си на правилата за физическа сигурност на устройствата.
    1. Шифровайте чувствителната информация в покой и при транспортиране
    • Внедрете защитни стени от ново поколение за елиминиране на злонамерен или ненужен мрежов трафик
    • Обмислете прилагането на сегментиране на мрежата за допълнителна защита на системи, съхраняващи чувствителна или лична информация
    1. Уверете се, че вашите планове за реакция при киберинциденти и комуникационни планове включват процедури за реакция и уведомяване за инциденти при нарушаване на данни

    В случай че все пак станете жертва на рансъмуер:

    • Определете кои системи са засегнати и незабавно ги изолирайте. Ако повече от една система е засегната, веднага изолирайте цялата мрежа на ниво суич. Ако това не е възможно, намерете кабела на мрежата (например Ethernet) и изключете засегнатите устройства или ги премахнете от Wi-Fi, за да ограничите инфекцията.
    • Само в краен случай, ако засегнатите устройства не могат да бъдат премахнати от мрежата или мрежата не може да бъде временно спряна, изключете засегнатите устройства, за да избегнете по-нататъшно разпространение на заразата

    Забележка: Тази стъпка трябва да се извършва само ако е необходимо, тъй като може да доведе до загуба на артефакти на инфекцията и потенциални доказателства, съхранявани в  паметта

    • Ангажирайте вашите вътрешни и външни екипи и заинтересованите страни, като ги информирате как могат да ви помогнат да се възстановите от инцидента
    • Сериозно обмислете да поискате помощ от реномиран доставчик на услуги по киберсигурност и реакция при инциденти
    • Ако лична информация, съхранявана от името на други фирми, бъде открадната, уведомете тези фирми за нарушението
    • Ако инцидента включва лична идентифицираща информация, уведомете засегнатите лица, за да могат те да предприемат стъпки за намаляване на вероятността с тяхната информация да се злоупотреби

    Още по темата прочетете ТУК.

  • Изградете комплексна защита срещу съвременните заплахи

    В последните няколко месеца станахме свидетели на безпрецедентно мащабни кибератаки по цял свят. Рансъмуер успешно порази  американски бензинов тръбопровод, Fujifilm, JBS – случаите потвърждават колко е важно да мислите за киберзащитата като процес, а не като единичен акт. Както и не само да реагирате бързо, но и да разполагате с необходимия план и ресурси за възстановяване след киберинцидент.

    За да бъдете в „крак с модата“, защита ви трябва да бъде многослойна

    Прецизно таргетираните атаки, които използват различни инструменти за експлоатиране на  слабости в различните слоеве на защита, вече са тенденция. Най-добрият начин да намалите вероятността за успешен пробив е да използвате многопластов подход. И дори някои слоеве на сигурността да ви изглеждат тривиални или очевидни, всички те са еднакво важни.

    Както и в много други аспекти от живота, безсмислено е да предприемате по-сложни действия, преди да сте положили подходяща основа. Да вземем за пример система за пречистване на вода – първият етап е отстраняването на големите и видими частици. При киберсигурността може просто да започнете с мрежова защитна стена, блокираща очевидно злонамерения трафик. Друга основна стъпка е наличието на антивирусно решение по крайните точки, което да работи със система за ранно откриване и известяване за потенциални заплахи. И вече сте намалили шанса една атака да бъде успешна.

    Анализирайте мрежовия си трафик

    В повечето случаи, за да тълкувате правилно събраните данни се нуждаете от допълнителен анализ. Точно както при водата – невъзможно е да разберете дали е годна за битови цели без подходящи изследвания.

    За да изградите работещ модел на киберзащита трябва да започнете от събирането и анализа на мрежовите данни за дълъг период от време, за да се определи откъде идва злонамерен трафик. По-конкретно, необходимо е внедряване на мрежови системи за откриване и реагиране (NDR). Така мрежовият трафик ще бъде записан и обработен, като по този начин ИТ екипът ви ще има нужния минимум за първоначален анализ на мрежовите данни.

    Сигурност за хибридни работни модели

    През последната година на голяма част от бизнеса се наложи да се преструктурира и да работи отдалечено. Тенденциите сочат, че част от компаниите въвеждат хибриден работен модел за постоянно, което значи, че работата от разстояние ще продължи дори и след пандемията, като темата за сигурен отдалечен достъп ще бъде актуална и занапред.

    Необходимо е ИТ екипите да изградят работещ модел за служителите, които са извън мрежата, като осигурят и генерираният от тях трафик да бъде записван и анализиран.

    Използването на системи, поддържащи NDR дава търсената видимост и контрол над потребителската активност. Това е особено важно, когато не всички потребители са свързани постоянно към мрежата. След като тази връзка се възобнови, наличието на данни (логове) е от решаващо значение за идентифициране на потенциално заразени устройства.

    Освен да подсигурите инфраструктурата си за работа от разстояние е много важно да имате и инструмент, с който да контролирате, записвате и проследявате действията на служителите си –  не само на тези със стандартни профили, а и на тези с привилегировани  права (Priviledged Access Management).

    Служителите – най-уязвимото звено

    Доста от пробивите успяват благодарение на съдействие, оказано отвътре – от служителите – често пъти неволно, но и не толкова рядко – волно. Използвайки различни подходи – социално инженерство, фишинг и др. – атакуващите отварят широко корпоративната врата към най-скъпия ви актив – данните.

    Защитата на периметъра и тази на крайните точки е фундаментална, но не по-малко важно е да помислите как да защитите данните, с които се борави на ежедневна база. Имено тук идва ролята на Data Loss Prevention (DLP) софтуерите. Решенията за предотвратяване на загубата на данни и оптимизация на работни процеси са  подходящи за всякакъв размер и тип бизнес. Инструменти от този род предотвратяват изтичането на конфиденциална/чувствителна информация и осигуряват видимост върху работните процеси.  Разбирате какво реално се случва в компанията, като елиминирате опасни навици при работа с данните ви и изчиствате неефективни процеси.

    В заключение:

    Прилагането на комплексен подход за киберсигурност е единственият ефективен начин за предпазване от атаки: Дори те да не могат да бъдат спрени, щетите, които причиняват, ще бъдат  намалени драстично.

  • Protective DNS – неразделна част от съвременната киберсигурност

    Protective DNS (PDNS) е услуга, която анализира DNS заявки и предприема действия за ограничаване на заплахите, като използва съществуващия DNS протокол и неговата архитектура. Тя предотвратява достъпа до злонамерен софтуер, рансъмуер, фишинг сайтове, вируси, злонамерени сайтове и шпионски софтуер, и по този начин прави мрежата по-сигурна.

    Как работи PDNS

    PDNS използва функционалността Response Policy Zone (RPZ). Тя представлява DNS resolver, който връща отговор на DNS заявки на базата на зададени политики. DNS resolver-а проверява както домейна, така и отговарящият му IP адрес срещу динамична база от данни –  в която се съдържат списъци на зловредни сайтове, налични от различни публично достъпни и частни източници. DNS resolver-a може да блокира или прерутира достъпа до такива сайтове на базата на зададеното действие в политиката. Когато PDNS получи злонамерена или подозрителна DNS заявка, той може да отговори по няколко начина:

    • Да ограничи достъпа до заявения домейн, като върне NXDOMAIN отговор – това означава, че няма IP адрес за заявения домейн
    • Да пренасочи заявката към алтернативна страница с информация, че първоначално заявеният домейн е блокиран
    • Да използва т.нар. „sinkhole“ похват за конкретния домейн, като по този начин ще предотврати или забави изпълнението на последваща кибератака (криптиране на машината или свързването й към CnC сървър). Този подход позволява на специалистите по киберсигурност да разследват инциденти, докато заплахата е все още активна в инфраструктурата.

    В помощ на киберсигурността

    Основната характеристика на PDNS е възможността категоризира домейни въз основа на threat intelligence. Агенцията по киберсигурност и сигурност на инфраструктурата (CISA) и Националната агенция за сигурност (NSA) на САЩ класифицираха категориите домейни, използвани от PDNS, в следните групи :

    • Фишинг: Сайтове, за които се знае, че хостват приложения, които злонамерено събират лична или корпоративна информация, включително идентификационни данни. Фишинг домейните могат да включват на пръв поглед сходни или близки като абревиатура имена на легитимни домейни (например go0com). PDNS може да предпази потребителите от случайно/непредизвикано свързване към потенциално злонамерена страница.
    • Разпространение на малуер и свързване към CnC: Сайтове, за които е известно, че обслужват злонамерено съдържание или се използват за командване и управление на зловреден софтуер върху машините на жертвите. Те могат да хостват злонамерени JavaScript® файлове или да събират лична информация за профилиране. PDNS може да блокира и предупреждава за опити за злонамерена връзка.
    • Алгоритми за генериране на домейни (DGA): Това са сайтове с динамично генерирани имена на домейни, които зловредният софтуер използва, за да заобиколи статичното блокиране от страна на наличните мерки за сигурност. Някои видове злонамерен софтуер, включително ботнет мрежите, зависят изцяло от комуникацията с инфраструктурата за командване и управление (CnC). Злонамерените лица използват алгоритми за генериране на домейни (DGA), за да заобиколят статичното блокиране – на ниво домейн или IP – чрез динамично генериране на имена на домейни. PDNS предлага защита от зловреден софтуер, използващ DGA, като анализира текстовите атрибути на всеки домейн и маркира тези, които са свързани с известни DGA атрибути.
    • Филтриране на определено съдържание: Сайтове, чието съдържание е в разрез с политиките ви за достъп: PDNS може да ограничи достъпа до определени категории като хазарт, онлайн игри, социални мрежи и др.

    Как PDNS помага

    • Блокира нови домейни в реално време, от момента на тяхното регистриране/създаване
    • Ограничава броя на потенциалните домейни, които могат да ви атакуват
    • Има възможност да ограничи/спре цялата зловредна изходяща DNS комуникация в случай на инфекция със зловреден код
    • Осигурява видимост, в реално време и в исторически план, на целия изходящ DNS трафик, което позволява да анализирате настъпили инциденти

    Услугата е подходяща за всички

    Можете да използвате услугата, какъвто и потребител да сте – работещи в офиса, отдалечено или у дома. За първите два типа, настройката и конфигурирането на позволените политики и категории се извършва от ИТ администратора. За работещите отдалечено е желателно свързването към PDNS да става чрез имплементирането на DoH – това дава възможност да се възползват от защитните механизми, независимо от къде се свързват с Интернет. Домашните потребители сами ще решат дали да се възползват от филтрирането на определени категории и сайтове или ще разчитат само на защитата от зловредни сайтове.

    В заключение

    Използването на PDNS ви осигурява още едно ниво на сигурност, като същевременно ви предоставя контрол и видимост върху целият DNS трафик. DNS е един от основните инструменти, използвани от злонамерените лица за комуникация, ексфилтрация на данни и т.н. Затова наличието и използването на DNS защита става неразделна част от съвременната киберсигурност. Допълнителна информация ще откриете ТУК и в следващата таблица:

    Източник : https://media.defense.gov/2021/Mar/03/2002593055/-1/-1/0/CSI_PROTECTIVE%20DNS_UOO117652-21.PDF
    Източник : https://media.defense.gov/2021/Mar/03/2002593055/-1/-1/0/CSI_PROTECTIVE%20DNS_UOO117652-21.PDF
  • Zero-day заплахи: какво е добре да знаете за тях

    Zero-day или 0-day (oh day) – “нулев ден” на български – е клас уязвимости (vulnerability) или методи за атака (exploit). Използването на този термин стартира през 90-те години на миналият век в warez BBS средите.

    Малко история

    Определението Х-day, където Х е брой дни – 30, 60 и т.н., се е използвало за да се отбележи колко време е необходимо, за да се изготви пиратска версия (крак) за даден софтуер, след първоначалното му публикуване. Най-търсен и елитен е бил пиратският софтуер, маркиран със 0-day етикет, понеже официално не е бил публикуван никъде и най-вероятно за набавянето му е била хакната компанията, която го разработва.

    0-day днес – какво се е променило

    В наши дни терминът има съвсем друго значение – характеризира клас уязвимости (слабост/недостатък/пропуск), открити от независими субекти (изследователи в областта на информационната сигурност) преди собственика/разработчика на съответния софтуер/хардуер.

    Интерпретацията на “0” може да бъде доста разновидна, но двете най-точни определения са:

    • 0 дни за подготовка от страна на защитаващата страна, за да се предпази от атаките на недоброжелатели
    • 0 дни, за да се изготви fix/patch от страна на производителя/разработчика на засегнатият софтуер/хардуер

    И в двата случая можем да преведем 0-day като „никакво време”.

    0-day уязвимости и 0-day атаки

    0-day може да бъде както уязвимост, така и експлойт/вектор за атака. Когато става дума за 0-day уязвимост, то тя може да бъде теоретична или много трудна за експлоатиране, да има определени условия/изисквания, за да бъде успешна атака и т.н.

    0-day атаки/експлойти, от друга страна, са много „по-страшни“ и изискват спешни действия за справяне с тях. Не забравяйте, че някой вече е намерил съответната уязвимост, разучил я е и успешно осъществява атаки „in the wild“ (в реални условия срещу реални жертви).

    Още малко теория

    Може да срещнете, макар и доста рядко, терминът Forever-day vulnerability. Това означава, че откритият 0-day няма да бъде поправен от разработчика/вендора. Причините може да са, че продуктът вече не се поддържа (End-of-Life) или разработчикът няма интерес да поправи пропуските.

    В такава ситуация имате две възможности:

    • Да потърсите алтернативен продукт (софтуер/хардуер), който не ви излага на риск
    • Да приложите заобиколен начин (workaround) за смекчаване/отстраняване на уязвимостта

    Времевата линия при откриването на 0-day

    Времевата линия при откриването на 0-day

    Дефинирането и точното описание на 0-day уязвимост или експлойт е доста трудно. Повече детайли можете да откриете в блог поста Like Nailing Jelly to the Wall: Difficulties in Defining “Zero-Day Exploit”.

    Кой, как и защо търси 0-day уязвимости

    Пропуски, слабости и бъгове в софтуерни и хардуерни продукти се намират постоянно и по най-различни начини, канали и поводи.

    В зависимост от целта обаче, можем да разделим субектите, занимаващи се със 0-day уязвимости и/или експлойти, в следните категории:

    • Добронамерени изследователи (security researchers)

    Независими или работещи за дадена компания, тези професионалисти търсят 0-day уязвимости за да ги докладват на производителите/вендорите.

    Процесът по докладване се нарича “responsible disclosure” или “coordinated disclosure”. Случва се изследователите да не могат да осъществят контакт, да не срещнат съдействие или дори да бъдат заплашени със съд от страна на производителя.

    При такива обстоятелства, изследователите извършват Full Disclosre, т.е. правят своето откритие публично достояние и то без да спестяват детайли. Неписано правило е, че ако 90 дни след Responsible Disclosure, вендорът не е взел мерки и не е публикувал patch, адресиращ уязвимостта, то изследователят има право да сподели своето откритие, без това да се счита за неморално.

    Случва се също изследовател да постъпи неетично и да публикува откритията си, дори преди да е направил опит да предупреди производителя. Това обикновено има негативни последствия за имиджа на изследователя, тъй като поставя потребителите и клиентите на въпросния производител в риск.

    • Самите производители

    Една част от 0-day уязвимостите биват откривани от разработчика на съответния продукт/услуга и биват отстранявани без да е необходимо да бъдат публично оповестявани.

    Когато съществуват съмнения, че тези уязвимости са били експлоатирани „in the wild“, вендорите би трябвало да следват добрите практики и да направят Full Disclosure. Такъв пример е 0-day атаките срещу Sophos XG NGFW през пролетта на 2020 г.

    • Криминални организации и злонамерени хакери

    Те имат същите професионални умения като добронамерените изследователи, но често, финансово мотивирани, се “крият в сенките” и опитват да се възползват максимално от своите открития.

    • Шпионски, военни и спонсорирани от държавата организации (Advanced Persistent Threats – APT)

    Някои от вас ще си помислят, че се шегувам и ще кажат: “Този е гледал твърде много филми за агент 007 и прекарва твърде много време в разнищването на конспирации!”.

    Тези, които имат задълбочен опит в сферата на киберсигурността ще потвърдят, че именно тези организации са най-големият “производител” на 0-day експлойти!

    Няма как да сте забравили за NotPetya и WannaCry! А помните ли, че EternalBlue експлойтите, използвани в тези червеи (worms), са всъщност 0-days изтекли от NSA (No Such Agency?!).

    Ще освежа паметта ви с The “Shadow Brokers” Story и със скорошните атаки, експлоатиращи 0-days в Exchange сървъри.

    На най-недоверчивите препоръчвам The Perfect Weapon, Zero Days, Countdown to Zero Day: Stuxnet and the Launch of the World’s First Digital Weapon, DARKNET DIARIES EP 29: STUXNET

    Zero-day по света

    Наскоро FireEye публикува изследване, включващо географското разпределение на 0-day уязвимости/атаки през последните няколко години:

    b1dc6d685552940dba99706b8942f2a9.png
    b1dc6d685552940dba99706b8942f2a9.png

    Game Theory: Why System Security Is Like Poker, Not Chess предлага една по-различна перспектива по темата.

    Бизнесът със 0-days

    Като оставим настрана шпионските игри, 0-days са чист бизнес, който цели генериране на финансова печалба или имидж. Ето кои са едни от най-големите играчи:

    • Zerodium: Компания, която търгува със 0-day уязвимости и създава експлойти. Цената на някои 0-days е внушителна (2,5 млн. USD). Компанията често е обект на критика, поради липсата на прозрачност относно клиентите ѝ.
    • ZeroDayInitiative (ZDI): Платформа, финансирана от Trend Micro. Напълно прозрачна относно процеса и възнагражденията (макар и доста по-малки от тези на Zerodium), предлагани в замяна на 0-day уязвимости и експлойти. ZDI са организатор на Pwn2Own състезанието, за което сме писали няколко пъти. Горещо препоръчвам DARKNET DIARIES EP 82: MASTER OF PWN
    • NSO Group и Cellbrite: Kомпании, фокусирани върху предлагането на продукти и услуги, използващи 0-day експлойти. Често са обект на критика, защото търгуват с държави, управлявани чрез диктатура. NSO Group стана най-известна след разкритията на канадската CitizenLab: HIDE AND SEEK Tracking NSO Group’s Pegasus Spyware to Operations in 45 Countries
    • Google Project Zero: Мисията им е да направят откриването и експлоатацията на 0-day уязвимости от недоброжелатели по-трудни, съответно да подобрят значително безопасността и сигурността на Интернет за всички. Публикуват и поддържат таблицата 0-day “In the Wild”. Наскоро откриха 11 0-day уязвимости, използвани в изключително сложна атака срещу Windows, Android и iOS потребители (за сравнение – Stuxnet използва 4).
    • MSRC – Microsoft Security Response Center и TALOS са подорганизации съответно на Microsoft и Cisco. Те също се занимават с откриването и отстраняването на уязвимости, независимо от производителя.

    Как да се предпазите

    Макар да няма “универсална” защита и стратегия срещу 0-day експлойти, спазването на добра работна хигиена е задължителна:

    • Следете новините, за да сте информирани за новооткритите 0-day уязвимост или експлойти
    • Поддържайте системите актуални (up-to-date)
    • Минимизирайте повърхността за атака (attack surface)
    • Следвайте всички добри практики в сферата на киберсигурността
  • Проверете дали телефонният ви номер е сред изтеклите от Facebook

    Номерата на мобилните телефони и друга лична информация (име, пол, местоположение, статус на връзката, професия, дата на раждане, имейл адреси) на приблизително 533 млн. потребители на Facebook от целия свят в т.ч. 432 хил. от България, са налични безплатно в популярен хакерски форум. Ако сте сред потърпевшите, бъдете бдителни: изтеклата информация може да се използва за провеждане на атаки срещу вас: фишинг, smishing (фишинг на мобилен текст), атаки с размяна на SIM (SIM swap), кражба на кодове за двуфакторно удостоверяване, изпратени чрез SMS и др.

    Можете да проверите дали данните ви са сред изтеклите ТУК.

    Откраднатите данни циркулират сред хакерската общност още от юни 2020 г., като първоначално се прехвърляха между членовете й срещу заплащане. Тактиката не е непозната: информация, която първоначално се предлага на висока цена, постепенно става все по-достъпна, докато накрая се предоставя публично и безплатно, като начин за печелене на репутация в хакерската общност.

     

    Изтекли данни, споделени безплатно в Hacker Forum Източник: BleepingComputer
    Изтекли данни, споделени безплатно в Hacker Forum
    Източник: BleepingComputer

    Смята се, че хакерите са използвали през 2019 г. вече закърпена уязвимост във функцията на Facebook „Добавяне на приятел“ („Add Friend“), която им е позволила да получат достъп до телефонните номера на членовете на социалната мрежа.

    Препоръка:

    Всички потребители на Facebook трябва да бъдат предпазливи ако получат имейли или съобщения, изискващи допълнителна информация или съдържащи линк, върху който ви приканват да кликнете.

  • Криптовирус атакува Microsoft Exchange с експлойти на ProxyLogon

    След като стана известно, че хакери са използвали zero-day уязвимости, за да компрометират Microsoft Exchange сървъри, ежедневно научаваме за нови експлоатации.

    Предупрежденията на изследователите по киберсигурност, че хакът ще отвори вратата за атаки с криптовируси, се сбъдна: Засечен е нов рансъмуер, наречен „DearCry“, който атакува Microsoft Exchange с експлойти на ProxyLogon.

    Атаката се разпространява

    До момента киберспециалистите са открили жертви на криптовируса в САЩ, Люксембург, Индонезия, Ирландия, Индия и Германия.

    Детекторите на доставчиците на антивирусен софтуер са засекли множество разновидности на DearCry:

    • Ransomware/Win.DoejoCrypt [AhnLab]
    • Win32/Filecoder.DearCry.A [ESET]
    • Trojan-Ransom.DearCry.B [GDATA]
    • Ransom-DearCry [McAfee]
    • Ransom:Win32/DoejoCrypt.A [Microsoft]
    • DearCry [Rising]
    • Ransom/W32.DearCry [TACHYON]
    • Win32.DEARCRY [TrendMicro]
    • Ransomware.Dearcry [Webroot]

    Как DearCry криптира компютрите

    Проба от рансъмуера, анализирана от BleepingComputer, включва следния PDB път: C:\Users\john\Documents\Visual Studio 2008\Projects\EncryptFile -svcV2\Release\EncryptFile.exe.pdb

    Когато бъде стартиран, DearCry създава Windows услуга с име „msupdate“, която започва да криптира файлове със следните разширения:

    .TIF .TIFF .PDF .XLS .XLSX .XLTM .PS .PPS .PPT .PPTX .DOC .DOCX .LOG .MSG .RTF .TEX .TXT .CAD .WPS .EML .INI .CSS .HTM .HTML .XHTML .JS .JSP .PHP .KEYCHAIN .PEM .SQL .APK .APP .BAT .CGI .ASPX .CER .CFM .C .CPP .GO .CONFIG .PL .PY .DWG .XML .JPG .BMP .PNG .EXE .DLL .CAD .AVI .H.CSV .DAT .ISO .PST .PGD .7Z .RAR .ZIP .ZIPX .TAR .PDB .BIN .DB .MDB .MDF .BAK .LOG .EDB .STM .DBF .ORA .GPG .EDB .MFS

    Криптираните файлове получават допълнително разширение .CRYPT:

    Файлове, криптирани от DearCry
    Файлове, криптирани от DearCry

    Рансъмуерът използва AES-256 за криптиране на файловете и публичен ключ RSA-2048 за криптиране на AES. Също така добавя „DEARCRY!“ низ в началото на всеки заключен файл:

    Криптиран файл, маркиран от DearCry
    Криптиран файл, маркиран от DearCry

    След като приключи с криптирането на компютъра, рансъмуерът създава бележка за откуп с име „readme.txt“ на работния плот на Windows:

    Бележка за откуп от DearCry
    Бележка за откуп от DearCry

    Пачнахте ли Microsoft Exchange сървърите си

    Фирмата за киберсигурност Palo Alto Networks съобщава, че десетки хиляди Microsoft Exchange сървъри са ъпдейтнати в рамките на няколко дни. Съществуват обаче около 80 хил. по-стари сървъра, които не могат директно да приложат последните актуализации на защитата.

    Прочетете още: Над 61% от всички Microsoft Exchange Server не са пачнати срещу активно експлоатирана уязвимост

    Организациите, които използват Exchange, трябва да имат едно на ум, че може да са били компрометирани, преди да закърпят системите си. Все пак знаем, че хакерите са експлоатирали zero-day уязвимостите „in the wild“ в продължение на поне два месеца преди Microsoft да пусне корекциите на 2 март 2021 г.

    Препоръки

    Приложете корекциите незабавно и създайте офлайн резервни копия на своите Exchange сървъри. Не само за да защитите пощенските си кутии от кражба, но и за да предотвратите тяхното криптиране.

    Не неглижирайте и възможността в инфраструктурата ви вече да „живее“ недоброжелател – разгледайте и приложете стъпките, които Microsoft препоръчва за смекчаване на последиците:

  • Google разкрива усъвършенствана хакерска операция, насочена към Windows и Android устройства

    Изследователите по киберсигурност от екипа Project Zero на Google, специализирани в откриването на 0-day уязвимости, публикуваха доклад от шест части, в който подробно описват сложна хакерска операция, засечена в началото на 2020 г.

    Тя е насочена към собствениците на Android и Windows устройства. Атаките са извършени чрез два експлойт сървъра (единият, предназначен за Windows потребители, а другият – за Android), изпълняващи различни последователни експлойт събития (exploit chains) чрез т.нар. “Watering hole” метод за атака.

    И двата експлойт сървъра са използвали уязвимости в Google Chrome, за да осигурят нерегламентиран достъп до устройствата на жертвите. Веднъж получили входна точка посредством браузъра, хакерите инсталират експлойт на ниво ОС, за да получат по-голям контрол върху устройството на жертвата.

    Последователните експлойт събития включват комбинация от уязвимости, както от тип 0-day, така и n-day. 0-day се отнася за уязвимости, неизвестни за вендора към момента на експлоатиране, а n-day – за такива, които са били закърпени, но все още се наблюдава активното им експлоатиране.

    Какво съдържат експлойт сървърите

    • Четири „renderer“ грешки в Google Chrome, една от които все още не е била позната (0-day) на Google, когато е била открита от екипа на Project Zero
    • Два експлойта, които са специализирани в това, да избягват засичането им в облачно базирани среди (sandboxing) и които ескплоатират три 0-day уязвимости в Windows
    • Пакет за ескалиране на привилегиите (privilege escalation kit), съставен от публично известни n-day експлойти за по-стари версии на Android OS.

    0-day уязвимостите са закърпени през пролетта на 2020г

    • CVE-2020-6418 – Chrome Vulnerability in TurboFan (закърпен през Февруари 2020)
    • CVE-2020-0938 – Font Vulnerability on Windows (закърпен през Април 2020)
    • CVE-2020-1020 – Font Vulnerability on Windows (закърпен през Април 2020)
    • CVE-2020-1027 – Windows CSRSS Vulnerability (закърпен през Април 2020)

    Въпреки че на споменатите по-горе експлойт сървъри не са открити 0-day за Android, специалистите от Project Zero предполагат, че хакерите най-вероятно са имали достъп именно до такъв тип експлойт. Просто той не е бил хостнат на тези сървъри по времето на провеждане на изследването.

    Google: Последователните експлойт събития са сложни и добре разработени

    Google разкрива, че става дума за добре проектиран, сложен код, с разнообразие от нови методи за експлоатация, усъвършенствани и изчислени следексплоатационни техники и голям обем от антианализиращи и описващи защити.

    Не се предоставят други подробности за нападателите или профила на таргетираните жертви.

    В блога на Project Zero са налични още доклади по темата

    Публикувани са и други доклади, свързани с „infinity bug“ в Google Chrome, който е използван при атаките, последователните експлойт събития, съответно при Chrome, Android, Windows, както и следексплоатационни техники, използвани отново при Android устройствата.

    Предоставените доклади ще осигурят възможност на други вендори в областта на информационната сигурност да идентифицират подобни атаки срещу своите клиенти и да проследят и други сходни действия, извършени от същите злонамерени лица.

    Препоръки

    Разгледаната атака е поредното доказателство, че хакерите продължават да усъвършенстват и подобряват своите тактики, техники и процедури (TTPs).

    Екипът на FreedomOnline.bg препоръчва винаги да използвате последната налична версия както на ниво ОС/фърмуер, така и на инсталираните програми/апликации. По този начин ще се предпазите от експлоатиране на вече известни уязвимости (n-day).

    Внимавайте също така какво инсталирате на вашето устройство и какъв достъп разрешавате. За разлика от n-day, където един пач (patch) би елиминирал уязвимостта, при 0-day това само по себе си не е достатъчно, а са необходими мерки от типа на многопластова защита (defence-in-depth) и защитни механизми, които биха идентифицирали подозрително и нехарактерно поведение на устройствата.

Back to top button