Топ новини

  • ФБР предупреждава за опустошителни DDoS атаки, използващи уязвимости в мрежови протоколи

    Освен с пандемията от COVID-19, 2020 може да остане в историята като годината с най-висок отчетен брой DDoS атаки. Една от причините: нова техника за амплификация (буквално: раздуване) на обема на DDoS атаките и респективно: пораженията, които могат да нанесат те. Методът е улеснен от уязвимости в мрежови протоколи.

    Малко статистика

    По данни на NETSCOUT (компания, която предоставя статистика за DDoS активността в реално време), DDoS атаките растат със заплашителни темпове от началото на 2020 г. През април компанията публикува пост със заглавие „Най-черният месец в цифри„. Тогава бяха отчетени около 864 хил. атаки за периода 11 март – 11 април, най-високата бройка, засичана някога. За сравнение, предходния пик беше през ноември 2019 г. – около 751 хил. атаки.

    Месец по-късно, за периода 11 април – 11 май са отчетени още повече – 929 хил. атаки.  А причината не е само в COVID-19.

    Как се „раздува“ DDoS?

    Методът е прост. Към даден уязвим сървър се изпращат заявки. Нападателите обаче подправят (spoof) източника на всяка заявка – така отговорът за грешка от страна на сървъра ще се върне не към реалния източник на заявката, а към потенциалната жертва.

    Резултатът: претоварване на мрежата/устройствата на жертвата.

    Причините:

    • размерът на отговора е в пъти по-голям от самите заявки. За пример: да позвъните в ресторант, да поръчате от всичко и да кажете: обадете се на съседа, за да продиктувате поръчката. Съседът ви може да слуша дълго обяснението на ресторанта, което ще блокира телефона му.
    • обемът на фалшивите заявки може да е огромен. Представете си ботмрежа от хиляди компютри, изпращаща заявки към даден сървър.

    Колко опустошителни всъщност са тези атаки може да прочетете тук.

    Кои са засегнатите протоколи

    Нападателите могат да се възползват от  широк набор протоколи за такъв тип атака – например DNS, SSDP и NTP. Но в този случай атаките са по-интересни и използват протоколи като: Apple Remote Desktop’s (ARD), Apple Remote Management Service (ARMS), Web Service Dynamic Discovery (WS-DD) и Constrained Application Protocol (CoAP). Обикновено организациите пренебрегват заплахите от тези протоколи и точно затова те са толкова опасни.

    Протоколът CoAP позволява свързването на IoT устройства и комуникацията помежду им. Функционира с методи, подобни на GET и PUT  при HTTP. За разлика от HTTP обаче, CoAP е UDP базиран, което го прави податлив на атаки с подмяна на IP адреси и амплификация на пакети.

    Атакуващият изпраща малък UDP пакет до IoT устройството, което в зависимост от зададените параметри в заявката, изпраща като отговор пакет с по-големи размери. В контекста на DDoS атаките, таргетиращи този протокол, съотношението между големината на заявката и отговора, се нарича коефициент на увеличение. При извършване на DDoS атака чрез амплификация и отразяване (amplification and reflection) средният коефициент на увеличение за CoAP е 34.

    Другият често експлоатиран протокол е WS-DD, той се използва за локализиране на IoT устройства в локалната мрежа. За разлика от CoAP, той е и UDP И TCP базиран, но атаките работят по подобен начин, възползвайки се от уязвимостите в UDP протокола, като изпращат пакет с подправен IP адрес.  Според сигнала на ФБР, нападателите експлоатиращи този протокол, достигат атаки с размери по-големи от 350 гигабита в секунда.

    Конкретно срещу Apple

    Зачестиха и злоупотребите с ARD. Това е приложение за отдалечен достъп при Apple компютрите, което се използва от университети и предприятия за управление на голям брой Apple продукти. Когато ARD е активиран, услугата ARMS, извършваща комуникацията, слуша на порт 3283 (UDP) за входящи команди от отдалечени устройства на Apple. Миналия октомври атакуващите, експлоатирали ARMS при извършване на DDoS усилващи атаки, са успяли да достигнат коефициент на усилване „35.5:1“.

    ФБР също така споменава за уязвимост в Jenkins – платформа с отворен код, използвана за автоматизиране на задачи. Тази уязвимост също може да бъде използвана за DDoS атаки, въпреки че все още не е известна злоупотреба с нея. И все пак, рискът съществува, като в този случай трафика на атаката може да се увеличи до 100 пъти.

    Какво да направите, за да се защитите

    Обикновено стратегията за защита при тези видове атаки би изисквала деактивиране на  протоколите, с които се злоупотребява. Деактивирането на ARMS, WS-DD и CoAP би довело до загуба на функционалността, производителността и цялостната свързаност на бизнеса. Малко вероятно е производителите на устройства да деактивират тези функции, защото това би повлияло на качеството на предлаганите услуги за потребителя.

    Вместо това ФБР насърчава организациите да обединят усилия с местния интернет доставчик за извършване на контрол на мрежовия трафик, създаване на процедура за реакция в случай на отказ на услуга, промяна на потребителските имена и пароли, зададени по подразбиране за всички мрежови устройства, и добавяне на други допълнителни мерки за сигурност. Специалистите по сигурността също така трябва да конфигурират защитните стени на мрежата, за да блокират неоторизирани IP адреси и да деактивират пренасочването на портовете.

    Сигналът на ФБР идва след няколко мащабни DDoS атаки от тази година. Amazon Web Services съобщи, че е ударен от DDoS атака с 2.3 терабита в секунда (293 млн. пакета в секунда) през февруари, най-голямата DDoS атака регистрирана някога. През юни Akamai блокира DDoS атака, генерираща 809 млн. пакета в секунда срещу голяма европейска банка, и друга атака с 1.44 терабита за секунда (достигаща 385 млн. пакети в секунда) срещу уеб хостинг доставчик. Cloudflare също се бори с атака през юни, която достигна максималния брой от 754 млн. пакета в секунда.

    По материала работиха: Кристиян Цанков и Стелиана Козарева 

  • Как уебсайт може да се използва като средство за атака

    Забравени лендинг страници (landing pages), които редица компании използват, могат да бъдат използвани като средство за атака. Как? Като се „отвлекат“ DNS записите им. Но да започнем отначало.

    Какво е landing страница? Обикновено, става въпрос за сайтове, създадени с определена еднократна цел: например, за маркетингови кампании и промоции, игри и т.н. След като сайтът изпълни предназначението си – например, след като кампанията или играта приключи, обикновено бива премахнат или забравен. Именно те са най-честите жертви на този вид атака според Зак Едуардс (Zach Edwards), американски специалист по киберсигурност, който пръв повдигна въпроса в Twitter.

    Как работи атаката

    За да се улесни използването на такъв тип уеб сайтове с кратък живот, доставчиците на хостинг услуги предлагат автоматични DNS записи. Например – temp-1234.hostco.example.  Така клиентът има възможност да създаде CNAME запис за своят истински домейн и да насочи потребителите си към временният сайт:

    julyoffer.example.com: alias (CNAME record) -> temp-1234.hostco.example (cache for 5 mins)

    След като микросайтът вече не ви е необходим, вие спирате да плащате абонамента си за него. Облачната компания го рециклира и го предоставя на друг потребител. Но, както се оказва, без непременно да е изтрила надлежно и по правилен начин всички DNS записи от него. Точно такива микросайтове търсят хакерите.

    Произволно търсене?

    За сравнение, ако някога сте ползвали нов предплатен телефонен номер, без съмнение се е случвало да получавате досадни обаждания от непознати. При това, не от приятели на предишния абонат, а от измамници, които имат номера „отнякъде“.

    За разлика от телефонните номера обаче, където самите цифри са по-скоро произволни, поддомейните са тясно свързани с вашата марка – тя обичайно се съдържа в името им и приканва посетителите да й се доверят.

    В случаите, проследявани от Едуардс, изглежда, че мошениците са използвали  закрити поддомейни, съдържащи легитимни DNS записи, за да генерират надеждни URL адреси за кампании, разпространяващи измами и зловреден софтуер.

    Атаките са известни като „отвличане на DNS записи“ (DNS hijacks) – хакерите всъщност не превземат самия сайт или уеб сървър, а просто променят „указателите в интернет“, които насочват към него.

    Всичко тръгва от DNS протокола

    Както вероятно знаете, DNS (Domain Name System) е глобалната база данни, която автоматично превръща име на домейн, към който браузърът се е обърнал, от удобното за потребителя google.com например, в съответния компютърен IP номер (в случая 64.233.191.255), необходим за изпращане и получаване на мрежови пакети в интернет.

    Резултатът от преобразуването се запазва в кешa на DNS-сървъра, така че той да може да продължи да го използва за известно време, без да се налага да търси отново всяко изображение или скрипт, нужни при преглед на съответната уеб страница. Периодът, за който информацията в DNS кеша се счита за актуална, се нарича „време-на-живот“ или TTL (Time-To-Live).

    Повечето доставчици на cloud услуги поддържат своите DNS кеш TTL доста кратки, колкото да помогнат на услугите им да се адаптират по-бързо към промени в натоварването на мрежата.

    Изглежда обаче, че за хакерите това кратко време е достатъчно, за да „отвлекат“ сайта ви, чрез подмяна на DNS записи и пренасочване на потребителите ви, където пожелаят.

    Атаката е трудна за откриване: На практика нищо на вашия сървър не се променя и нито една защитна система, която ползвате, засича признаци на неоторизиран достъп. Просто посетителите изведнъж спират да пристигат на вашия сайт и започват да виждат нечие друго съдържание, а именно – това на хакерите.

    Какво да направите?

    • Ако сте доставчик на хостинг услуги, помислете дали създаването на временни облачни имена да има уникален префикс или суфикс или да не позволявате те да се прехвърлят към друг потребител с месеци или дори години, ако е възможно.
    • Проверявайте вашите DNS записи за излишни такива, които биха могли да бъдат „отвлечени“. Деактивирайте всички микросайтове, веднага щом приключите с тяхното използване.
    • Разберете какви DNS предпазни мерки предлага вашият хостинг доставчик. Също така помислете за включване на опция, наречена „Премахване на DNS запис“.
  • Атаката срещу Garmin: ransomware, 10 млн. USD откуп и други слухове

    Около 72 часа по-късно и след безброй слухове, извънредната ситуация в Garmin изглежда овладяна, а услугите на компанията отново функционират нормално. А въпросите около случилото се тепърва започват.

    В този текст няма да коментираме слухове или спекулации – защото такива не липсват – а по-скоро ще извлечем част от уроците от случилото се с Garmin. Съвсем накратко, какво знаем:

    • 23 юли, около обед източно-американско време. Атаката срещу Garmin започва. Редица услуги на компанията, сред които Garmin Connect, garmin.com и колцентровете на компанията спират принудително работа
    • Малко след началото на проблемите, Garmin публикува официално съобщение в Twitter акаунта си, но не цитира причината за спирането на услугите си
    • Редица публикации в онлайн медии твърдят, че атаката срещу компанията е дело на Evil Corp, които са успели да заразят Garmin с криптовирус, заключили са ключови за компанията файлове и системи и са поискали 10 млн. USD откуп за възстановяването им. За източници се посочват служители на компанията, вътрешни мемота от ИТ екипите ѝ, включително и скрийншоти, за които се твърди, че са от засегнатите машини
    • Официалната позиция на компанията е, че не са източени лични данни на клиенти
    • Възстановяването на услугите на компанията отне няколко дни,

    Какви са част от научените уроци:

    1. Няма твърде голяма или малка компания, която да не е интересна за киберпрестъпниците
    2. Криптовирусите далеч не са преминали пика си – дори обратното. Само за предпоследната седмица на юли са засечени няколко атаки срещу мащабни организации като Garmin. Още през април ИНТЕРПОЛ предупреди за ръст в ransomware атаките. А новите тактики за разпространение не спират. Например, създаването на специална виртуална машина, с цел маскиране на заразата.
    3. Бекъпът е задължителен. И не само, защото според Trend Micro 33% от засегнатите организации никога не получават файловете си обратно – а защото не се знае дали това възстановяване няма да е твърде късно

     

     

  • Хакът срещу Twitter: осъществен е достъп до лична кореспонденция на жертвите

    В средата на юли редица профили на известни личности в Twitter осъмнаха с фалшиви съобщения, предлагащи да удвоят парите на последователите си в биткойни. Общо 130 профила станаха жертва на хакерите, а сред тях са имена като Бил Гейтс, Джеф Безос, Илън Мъск, Джо Байдън, Apple и други.

    В продължаващото разследване, обаче, излизат интересни факти – като например, че са достъпени и личните съобщения на 36 от жертвите на хака. Една от тях е холандски депутат, чието име остава неназовано. От Twitter твърдят, че няма други компрометирани бивши или настоящи представители на държавни администрации (като визира именно Обама и Байдън).

    Знае се също така, че хакерите са успели да свалят копия на целите профили на 8 от жертвите чрез функцията Your Twitter Data.

    Първоначално съмненията бяха за използване на корумпиран служител, който е предоставил достъп на хакерите до вътрешен инструмент на компанията. Впоследствие стана ясно, че не е имало вътрешно съдействие, а хакерите са успели да пробият защитата на административен инструмент на Twitter по неизвестни до момента начини.

    Това накара част от анализаторите по киберсигурност да определят пробива като „безпрецедентен“ по мащаба си.

    „Интервю“, разказващо историята на хакерите, пробили Twitter, прочетете в The New York Time тук.

  • SIGRed: уязвимост в Windows Server се спотайва 17 години?

    SIGRed (CVE-2020-1350). Толкова ли е опасна колкото си мислим и какви са щетите, които може да нанесе?

    И преди сме чували за уязвимости с подобен “wormable” характер. Благодарение на тях може да се разпространява зловреден код, без да се изискват никакви действия от потребителя. Именно това е причината рискът от тях да е огромен. Примери за подобно поведение са EternalBlue, използвана за атаката от криптовируса WannaCry и BlueKeep в протокола за отдалечен десктоп (RDP) на Windows.

    Но SIGRed е малко по-различна. На 16 юли 2020 г. Агенцията за кибер- и инфраструктурна сигурност на САЩ (CISA) обяви извънредна директива, в която се определя уязвимостта CVE-2020-1350 за сериозен риск за всички Windows сървъри. А от държавната администрация на страната бе изискано в рамките на 24 часа да елиминират проблема и да пачнат своите системи.

    Какво точно представлява тази уязвимост SIGRed?

    SIGRed или CVE-2020-1350 е уязвимост в Windows сървъри, които имат стартирана DNS сървър услуга.

    Открита е от Check Point и е оценена с перфектните 10 CVSS точки. Причината за тази оценка: разпространява се на принципа на червеите и трудно може да бъде овладяна, ако не се вземат мерки навреме. На практика, тя би могла да позволи на атакуващите да добият администраторски права и да внедрят зловреден код.

    Добрата новина за повечето потребители, е че уязвимостта засяга само Windows Server, тъй като пропускът се намира в Windows DNS сървър кода, а не в клиентския. Лошата новина е, че засяга всички Windows сървърни дистрибуции, произведени от Microsoft в последните 17 години. Така, ако мрежата, към която е свързан потребителят, разчита на Windows DNS сървър, то крайният потребител е изложен на риск само защото е част от тази мрежа.

    За да разберем какво прави SIGRed, трябва да имаме поне основна представа за DNS. Най-просто казано DNS е телефонния указател на Интернет – глобална база данни с информация за имената на домейни и IP адреси.  Ако потребител иска да достъпи www.freedomonline.bg, DNS се грижи да предостави съответстващия IP адрес. По-подробно обяснение как работи DNS услугата вижте тук, но засега е достатъчно да знаем, че:

    • DNS използва TCP/UDP на порт 53
    • Размера на едно DNS съобщение (заявка или отговор) може да бъде максимално 512 байта (по UDP) или 65,535 байта (по TCP).
    • DNS е йерархичен. Това означава, че когато сървърът не знае отговора на заявка, която получава, заявката се препраща към DNS сървър над него в йерархията.

    Участниците в DNS комуникацията заемат различни роли, като основните са клиент и  сървър. Клиентите изпращат заявки, а сървърите изпращат обратно отговорите. Интересното е, че уязвимостта се намира в тази част на кода, която чака за отговор.

    И сега ще си помислите, че след като чака за отговор, би трябвало грешката в кода да е от клиентската страна, тъй като сървърът изпраща отговорите, а не ги чака. Но, както казахме по-рано, структурата на DNS сървърите е йерархична. Тоест, ако сървърът не знае домейна, който търсим, той пита по-висшестоящите от него, за да получи тази информация. В този случай, рекурсивният DNS сървър заема ролята на клиент и точно тогава се проявява тази уязвимост.

    Как точно работи?

    Ще се опитаме да обясним принципа на работа на SIGRed на достъпен език, но по-подробни технически детайли може да бъдат прочетени в проучването на Check Point.

    Формата, в който тече DNS трафика (RFC 1035), датира още от 80-те години на миналия век, когато не е имало толкова ресурси, колкото днес. Затова се е целяло служебните съобщения да бъдат в максимално компресиран формат с минимален размер. Идеята при DNS се базирала на предположението, че всички заявки и отговори биха се побрали в 512 байта (без 12 байта за служебна информация).

    Ако се налагало обмен на по-дълги съобщения, те били предавани по такъв начин, че първите два байта да обозначат дължината на очакваните данни, последвани от самите данни. Най-голямото число, което може да се запише в 2 байта (16 бита) е 216 -1, което е 0xFFFF в 16-тична бройна система или 65 535 в 10-тична. Именно това е максималният размер за DNS отговор. Това е едното важно нещо, което трябва да имаме предвид за по-нататък.

    Вторият съществен момент са различните видове DNS отговори, още наричани RR (Resource Records), които се записват като TYPE с помощта на 16 битови числа. Пример за RR е “A record” – този запис съхранява IPv4 адреса със съответстващия му домейн. Друг вид запис отговаря за SIG заявката. Както вече споменахме DNS е проектиран преди доста години, когато сигурността на данните в Интернет не е била с такъв приоритет, за разлика от днес.

    Чак след години е създаден DNSSEC –  е разширение на стандартния протокол, специално предназначено за защита на DNS трафика. Идеята на DNSSEC е да гарантира легитимността на DNS съобщенията. Повече за принципа на DNSSEC тук.

    Тази допълнителна защита става посредством SIG заявки – записът в нея доказва, че DNS отговорите не са подменени и идват от доверен източник. По-късно RFC 3755 налага използването на RRSIG вместо SIG. RRSIG записите имат сходен формат с тези на SIG, но следват различни правила за форматиране на данните в тях. И както става обикновено след замяната на нещо старо с ново – оригиналният код, който отговарял за SIG заявките продължава да съществува някъде там, неизползван и податлив на уязвимости.

    Уязвимостта съществува поради начина, по който Windows DNS сървърът анализира входящите заявки, както и как се обработват препратени заявки. По-конкретно, изпращането на DNS отговор със SIG запис над 64KB може да доведе до контролиран heap-based buffer overflow. По този начин може да се “срине” сървъра или в най-лошия случай да се изпълни отдaлечено злонамерен код (RCE).

    Как по точно става това?

    Първо трябва да знаем, че:

    • Най-голямото количество данни, което е възможно да се появи в отговор на DNS, е 65 535 байта.
    • Следователно максималният обем памет, която ще е необходима за съхраняването на тези данни при прочитането им, е 65 535 байта.
    • Това означава че unsigned short int (16 -битово число) е с достатъчно голяма дължина да изчисли дадената заявка

    За съжаление, SIG записите включват поле NAME, което може да бъде предадено в компресирана форма, като се използва алгоритъмът на рудиментарното компресиране на DNS. Тоест NAME низ, който може да е до 255 байта на големина, след компресирането може да заеме само два байта в DNS отговора.

    SIG записите включват и поле данни за цифровия подпис, което може да бъде с произволна дължина, така че е лесно да се конструира отговор, в който общото количество данни да е точно на границата от 65 535 байта. Кодът използва 16-битова целочислена стойност, когато изчислява колко памет ще му е необходима след декомпресията.

    В такъв случай имаме 65 535 байта сурови данни от отговора плюс (да речем) още 40 байта, които са допълнително внедрени от хакера използвайки хитро изработено компресирано поле NAME. Програмата ще изчисли 65 535 + 40, но понеже това ще прескочи лимита на integer типа и ще изчисли и задели само 39 байта памет за SIG записа, след това ще опита да прехвърли 65,535 + 40 байта в буфера на паметта, като по този начин ще  доведе до heap-based buffer overflow.

    Как да оправим този проблем?

    Като се има предвид, че Microsoft нарича това „wormable vulnerability“, е препоръчително администраторите да  приложат съответните пачове в максимално кратък период.

    В случай, че ъпдейт не е възможен от Microsoft са предоставили workaround с промяна на регистър.

    По материала работиха: Кристиян Цанков и Стелиана Козарева 

  • Защо фишингът е най-често използваният метод за кибератаки?

    Дори и без официална статистика, можем да твърдим едно: фишингът е може би най-популярният метод за кибератаки в света. А покрай епидемията с COVID-19, той доби още по-голямо разпространение, заради работата от вкъщи и по-трудното налагане на контрол на служителите извън офисите им.

    Статистиката е плашеща. Но е факт.

    Фишингът в числа

    • 65% от хакерските групи използват spear phishing като вектор за първоначална инфекция, а 96% от фишинг атаките се извършват с цел събиране на информация за потенциалните жертви (Symantec)
    • 48% от злонамерените файлове, които са прикачени към фишинг имейлите, са .pdf, .doc, .txt – най-често срещаните файлове при работа (Symantec).
    • 64% от организациите по света са претърпели фишинг атака през 2018 г. (Check Point Research)
    • 94% от малуера през 2018 г. е бил разпространен чрез имейли (Verizon)
    • 29% от малуера се разпространява посредством използване на откраднати потребителски имена и пароли. 33% от използваните за пробив акаунти са били разпространени в социалните медии (Verizon)
    • фишинг атаките са се увеличили с 600% от началото на 2020 г., след разпространението на COVID-19 (ID Agent; KnowBe4 – KnowBe4 е всъщност организацията която прави това изследване
    • Google блокират над 18 млн. злонамерени имейли с тема COVID-19 всеки ден (Google Search Paper)

    Причината за тази популярност

    Истината е, че фишинг атаките стават все по-добри, целенасочени и трудни за разпознаване. Атакуващите не ги интересува кои сме ние и за какво се борим. За тях крайната цел почти винаги са личните ни данни или парите, които евентуално могат да изкарат чрез някой криптовирус.

    Ако се оставим да бъдем уязвими, това единствено означава, че предоставяме на киберпрестъпниците уязвимост, от която да се възползват. А ние се превръщаме в т.нар. low hanging fruit или казано на български: в лесна мишена.

    Как може да се предпазим от фишинг атака?

    Начините са два и те се допълват взаимно:

    • Използване на технически средства, с които да отсеете масовката от спам и фишинг
    • Провеждане на адекватни и регулярни обучения за персонала ви, за да може служителите ви да разпознават и да не се хващат на тези фишинг атаки, които по някакъв начин успеят да преминат през филтрите ви. Това включва и редовно информиране. Следете новостите – стараем се да ги покриваме регулярно. Така ще имате актуална информация за стратегиите и тактиките, които използват киберпрестъпниците, за да заблудят потребителите.

    Образовайте се непрекъснато, за да знаете какво целят, как изглеждат и как да разпознавате дори и най-изпипаните фишинг атаки. Защото изследване на Kroll доказва, че 90% от пробивите в киберзащитата на бизнеса се дължат на човешки грешки.

    А образованието на потребителите определено куца. Един пример (валиден не само за България): Според проучване на Proofpoint, между 34% и 53% от потребителите в различните възрастови групи, не могат правилно да отговорят на въпроса какво е фишинг. А между 45% и 62% не знаят какво е ransomware. Може би най-странното в случая е, че колкото по-млада е аудиторията, толкова по-малко запозната е тя.

    Помислете и за имплементирането на двуфакторна автентикация. Така, дори и да станете жертва на фишинг атака и акаунтът на някой от екипа ви да бъде компрометиран, ще имате допълнително ниво на защита – задължителната еднократна парола.

    С две думи: три пъти мислете, един път кликайте. Каквото и да се твърди в имейла, който изглежда като истински.

  • Ловци на митове: за Linux няма вируси, ама друг път

    Отдавна се е наложило мнението, че всекидневното използване на Linux за работа или забавление изисква значителни познания и умения – не само по отношение на архитектурата на операционната система, но и при боравенето с командния ред. В наши дни обаче, съвременните Linux дистрибуции (напр. Ubuntu/Fedora/Mint/Solus и мн. др.) предоставят лесен и интуитивен графичен интерфейс . Чрез него вече можем  успешно да изпълним почти всички ежедневни  задачи така, както го правим с Windows OS.

    Затова е разбираемо, че се забелязва повишен интерес и ръст в използването на Linux като операционна система и от крайни потребители. Тенденцията се засилва и от наблюдаваната метаморфоза на гейминг индустрията, която все повече предпочита Linux.

    В тази обстановка, на преден план излиза въпросът: „Нужен ли ни е антивирусен софтуер при използването на Linux OS?” Не е новина, че в интернет пространството е често срещано твърдението: „Използваш ли Linux – нямаш нужда от допълнителна защита“. По-долу ще разберем защо това твърдение вече не е актуално.

    Колкото повече потребители има една платформа, толкова по-привлекателна е тя за хакерите

    В голямата част от случаите в основата на разработването на зловреден код стои една главна цел: финансовата изгода. Нека се върнем на работните станции (PC) и да си зададем отново въпроса защо зловреден код се пише предимно за  Windows платформата (и все по-често за macOS), а не е толкова за Linux?

    Отговорът очевидно е свързан с популярността и броя потребители, използващи технологията. За злонамерените лица, Windows OS (и macOS) е като “море пълно с риби”. Атаките са насочени предимно натам и изглежда, все едно че са „спестени“ на Linux потребителите. Причината: атака, насочена към по-голяма аудитория, има по-голям шанс за успех и съответно –  за повече „приходи“ (без значение дали става дума за искане на откуп за декриптиране на криптирани файлове, извличане на банкова информация за кредитни/дебитни карти, откуп за връщането на открадната лична информация и т.н.).

    Това е и причината Linux да изглежда сякаш минава между капките. Но не съвсем.

    Повечето сървъри работят с Linux

    На първо място, Linux основно се използва за сървъри – както корпоративни (без оглед на размер и сфера на дейност ), така и в data-центровете. Всъщност, голяма част от днешната световна мрежа, включително услугите на гиганти като Google, Facebook и Twitter, са  възможни благодарение на Linux-сървъри. Нуждаят ли се тези сървъри от защита? Да, разбира се.

    Само за справка. Linux държи зашеметяващите 98% пазарен дял от публичните интернет сървъри по данни на W3Cook.

    С Linux най-вероятно работи смартфонът, домашният ви рутер и не само

    Освен споменатите сървъри и смартфони, на различни варианти на Linux разчитат и множество други устройства – например, домашният ви рутер. Една статистика: по данни на Statista само 2% от компютрите по света работят под Linux (срещу над 77% за Windows и около 10% за macOS).

    С Android (базиран на Linux) работят над 76% от смартфоните по света (според StatCounter), както и над 98% от сет-топ-боксовете (устройствата, благодарение на които гледаме телевизия).

    С Linux работят и почти 100% от телевизорите по света. А сигурно и толкова от рутерите.

    С две думи: макар и да изглежда незначителна като дял при работните станции, Linux задвижва много други устройства, което я прави особено интересна за киберпрестъпниците, макар и не толкова очевадно. Почти.

    Съществува ли зловреден код, таргетиран към крайните потребители на Linux?

    Ако  потърсите в Google, вероятно много резултати ще са със съдържание, подобно на следващите:

    „Изпълнението на зловреден код върху Linux е невъзможно, защото за разлика от Windows, Linux по дизайн е създаден да бъде сигурен“.

    „Дори да се стигне до изпълнението на зловреден код върху Linux, потребителят първо трябва да даде своето съгласие за изпълнение на програмата, така че това не се брои“.

    „Дори да е дадено съгласие за изпълнение на програмата, то трябва да се направи в контекста на root потребителя, съответно отново не се брои“.

    „Дори програмата да бъде изпълнена в контекста на root потребителя, кой се интересува? Така или иначе, зловреден код за Linux не съществува”.

    Вярно е, че различните дистрибуции на Linux имат вградени механизми за сигурност, като SELinux и AppArmor. Те значително намаляват вероятността за компрометиране на системата. Също така, всяка една дистрибуция в Linux поддържа свое хранилище (repository) с проверен и сигурен софтуер, което прави свалянето и инсталирането на програми доста по-сигурно. За сравнение, Windows потребителите най-често търсят в Google нужната програма. Това увеличава риска потребителят да попадне на зловреден сайт и да свали подменен/заразен файл, замаскиран като легитимна програма.

    Но е вярно също, че в днешно време приликите между Linux и Windows са все повече, когато става дума за функционалност. В резултат на това, все по-често се срещат зловредни кодове за работните станции, работещи под Linux, които може сериозно да ви навредят .

    Няколко примера за Linux зловредни кодове

    Нека вземем например заплахата, известена под името EvilGnome (чиято цел е популярната графична среда GNOME).  Кодът е проектиран да прави екранни снимки на работния плот, да краде файлове, да записва аудио от микрофона на потребителя, както и да изтегля и изпълнява други зловредни програми.

    Той се маскира като легитимно разширение на GNOME (extension) – програма, която позволява на потребителите на Linux да разширяват функционалността на своята графична среда. EvilGnome си осигурява  постоянен достъп до компрометираната система, използвайки crontab – еквивалент на планировчика на задачи в Windows. Така позициониран, той изпраща откраднати потребителски данни до отдалечен сървър, контролиран от нападателя.

    Друг пример са действията на Winnti Group – организация, известна с набезите си срещу банкови и финансови институции – разработва и Linux варианти на зловредните си кодове. Xagent на Sednit също има Linux модификация. И много други.

    Зловредният код не е единственото, от което да се пазят Linux-потребителите

    За съжаление, заплахите в интернет пространството не се изчерпват със зловредни кодове. Потребителите, използващи Linux, не следва да се считат за имунизирани срещу традиционните рискове, свързани със социално инженерство, phishing и софтуерни уязвимости.

    Добра идея е да следват поведение на отговорни потребители и да си осигурят колкото е възможно повече нива на сигурност – антивирусен софтуер, антиспам филтри, многофакторна автентикация (MFA) и добра “хигиена” при сърфиране в интернет.

    Вместо заключение

    Съществуват зловредни кодове за Linux, които крият не по-малка опасност от тези, проектирани за Windows. Потребители, които подценяват опасността и следват максимата “Това няма да се случи на мен” са „на почит“ сред авторите на зловредни кодове.

    Антивирусният софтуер сериозно ще намали шанса от заразяване на вашата система и ще ви предпази от недоброжелатели. Моето лично мнение е, че ако се чувствате в безопасност, само защото смятате, че шансът да се заразите е нисък, то тогава нападателите вече са ви надхитрили.

  • 1 причина да започнете да използвате криптиране още днес

    Договори с клиенти. Оферти. Планове и стратегии. Лични данни за клиенти. Собствените ви снимки. Това са само част от данните, за които сме сигурни, че съхранявате на вашия служебен или личен компютър, смартфон, в облака или на USB флашка. Ако е така, продължете да четете.

    Предполагаме, че вече сте защитили достъпа до устройствата си с парола, биометрично влизане или дори комбинация от двете (ако не сте, направете го сега). Дотук добре, но какво се случва ако загубите устройството си или то бъде откраднато?

    Именно в такава ситуация идва на помощ криптирането. Основната му функция: да предотврати възможността информацията от загубено или откраднато устройство да попадне в чужди ръце. Криптирането защитава не само информацията ви, но и комуникацията ви, уеб трафика ви и паролите за достъп. Някой ще каже: нямам нужда, аз нямам какво да крия. Помислете отново: сигурни ли сте, че искате да рискувате най-съкровените ви моменти да станат публично достояние?

    Ако отговорът е не, вижте по-долу кои са най-добрите практики за защита на чувствителните ви данни и лична комуникация:

    Криптирайте диска си

    Повечето компютри все още имат лесно сменяеми твърди дискове или SSD. Затова криптирането на сториджа ви е чудесна допълнителна защита. Ако го направите, дори компютърът да бъде загубен или откраднат, никой няма да може да достъпи всичките ви данни, софтуера и използваната операционна система.

    Що се отнася до смартфоните и таблетите, еквивалентната функционалност е криптиране на вградената и преносима памет (SD карта), коeто, при съвременните модели, обикновено е активирано по подразбиране. Съществуват множество онлайн ръководства, с чиято помощ да направите проверка, а също и да криптирате устройствата за смартфони и таблети с Android или iOS.

    Криптирайте файловете си в облака

    Повечето от нас използват хранилище в облака за по-лесен достъп до информация отвсякъде и по всяко време. Но и тук съществува риск за сигурността – в резултат на човешка грешка (например, слаба парола или неподходяща конфигурация) или на целенасочена атака срещу доставчика на услугата ви.

    Затова е добре да криптирате файловете си, преди да ги качите в облака. Спрямо нуждите ви и предлаганите функции за криптиране, може да избирате между различни продукти. Използвайте минимум тези, които предлагат AES криптиране.

    Криптирайте уеб трафика си

    Един от най-лесните начини да започнете с това е да настроите виртуална частна мрежа (VPN), която работи като криптирана фуния за интернет трафик. Ако работите от близкото кафене и искате да споделите чувствителни данни с клиент, например, VPN ще ви осигури криптирана мрежа, която не може да бъде прихваната. Освен това, ще имате сигурен достъп до данни, съхранявани в домашната ви мрежа, където и да се намирате.

    Друг начин да осигурите поверителност на данните си е да използвате TOR (The Onion Router). TOR обединява данните ви в криптирани пакети, преди да се свърже с мрежата. Основната му функция е, че скрива вашите дигитални отпечатъци, като така ви позволява да сърфирате в интернет анонимно.

    Важно е също да обърнете внимание дали уебсайтовете, които достъпвате, използват HTTPS протокол  (това означава, че комуникацията между вас, като посетител, и уеб сървъра е криптирана). Сериозните уебсайтове вече използват HTTPS по подразбиране.

    Криптирайте съобщенията си

    Повечето популярни чат-платформи предлагат криптиране от край до край, но не навсякъде то е настроено по подразбиране. Ако искате да имате криптиран чат във Facebook Messenger, трябва да кликнете върху профилната снимка на събеседника и да изберете „Таен разговор“. WhatsApp и Telegram имат функция за Secret Chat, включена по подразбиране, която ви позволява да зададете самоунищожаване на съобщенията и файловете, които изпращате.

    Криптирайте съобщенията си

    Криптирайте паролите си

    Мениджърите на пароли са популярен избор за хора, които не искат (или не могат) да запомнят всичките си пароли. Той функционира като банков сейф, но вместо бетон и сложни ключалки, използва математически променливи.

    Повечето от облачните услуги поддържат криптирано копие от „сейфа“ ви на сървърите си, а освен това позволяват на потребителите да използват многофакторна автентификация (MFA). Това е много по-сигурен начин да съхранявате паролите си, отколкото на лепкави бележки или документи в компютъра си или още по-лошо – да използвате една парола навсякъде.

    В обобщение

    Криптирането е най-лесният начин за защита на данните ни. В съвременния цифров свят, то трябва да се превърне в полезен навик за всички нас. Възползвайте се сами от свободно разпространените инструменти или се обърнете за помощ към утвърдените специалисти по киберсигурност.

    А за най-търпеливите да стигнат дотук, ето и причината: тайните ви ще си останат тайни, дори и да загубите лаптоп, телефон или USB флашка или мейлът ви бъде хакнат.

     

  • Как да разпознаеш бот?

    Социалните медии се превръщат все по-бързо в средство за манипулация и разпространение на фалшива информация. Основен инструмент за това са ботовете – хора или машини, маскирани като потребители на Facebook, Twitter, Reddit и т.н. Борбата на платформите и фирмите за киберсигурност е да ограничат влиянието на фалшивите профили, като създадат ефективни алгоритми за разпознаването им.

    Тенденцията на разпространение се увеличава с размах

    Застрашителният мащаб на разпространение на фалшива информация в социалните медии принуждава вземането на радикални мерки. Сред тях са минимизиране на бот-трафика и ограничаване на подвеждащата информация.

    През 2019 г. Facebook е закрила над 5 млрд. фалшиви акаунта. През април 2020 г. на YouTube се наложи да премахне от платформата си конспиративни видеа, които твърдят, че така актуалният коронавирус може да се разпространява чрез новата 5G мрежа.

    Технологията еволюира

    Развитието на изкуствения интелект подпомогна, очаквано, и еволюцията на разпространение на фалшива информация. Сигурно сте чували за deepfake? Накратко, това е манипулирана чрез machine learning форма на медия – видео, аудио или дори само снимка (терминът всъщност идва от „deep learning“ – методът на машинно самообучение на изкуствен интелект с помощта на изкуствени невронни мрежи).

    Манипулациите варират от  фабрикувани изказвания до участие на известни личности във филми за възрастни. Последната новост при deepfake манипулацията може дори да бъде направена на живо – например това видео, в което копие на Марк Цукърбърг твърди, че Facebook има контрол над откраднатите лични данни на милиарди хора.

    Обезпокояващото е, че технологията напредва, става  все по-достъпна, а качеството на deepfake съдържанието – все по-добро и трудно различимо от автентичното. Повече информация за deepfake може да прочетете в този пост The Guardian.

    Как да разпознаем дезинформацията?

    Обикновено, фалшивите новини са добре прикрити. Най-често, те се публикуват от профили в социални мрежи, максимално близки до такива на реални хора. Ние ги наричаме ботове. Най-лесният начин да разпознаете фалшива информация е, като хванете първоизточника ѝ – бота.

    Има множество признаци, по които да разберем дали един профил е създаден с цел манипулация. Ето кои са те:

    • Профилната снимка липсва или пък е съмнително „лъскава“ (често хората зад ботовете използват снимки на реално съществуващи и привлекателни личности, качили своите снимки онлайн).
    • Споделената лична информация обикновено е противоречива
    • Честотата, с която се споделя и публикува информация е твърде голяма – замислете се, колко хора имат свободно време да пускат 50-60 поста на ден. Въпреки че всеки от нас има поне един такъв реален приятел, вероятността при подобен обем да не става дума за истински човек е голяма.
    • В историята на профила се виждат постове на различни езици.
    • Профилът съществува отскоро – едва ли ще срещнете бот, просъществувал повече от няколко месеца. Причината: обикновено профилът бива разкрит и трябва да бъде сменен.
    • Граматиката и структурата на езика е объркана и личи използването на автоматичен преводач.
    • Броят и видът на контактите също може да бъде показателен за това дали даден профил е истински или не.

    За компаниите, обявили война на подобни „вредители“ и фалшивите новини и съдържание, които те разпространяват, има не един и два инструмента за разпознаване на фалшиви профили. Тук ще споделим малко повече за BotSight на NortonLifeLock Research Group.

    Как изкуственият интелект засича ботове?

    BotSight използва в своята бета-версия вече тестваният Machine Learning модел, който може да засича ботове в Twitter с точност между 96.7% и 100%.

    Прави се преглед на над 10 различни фактора при всеки акаунт, като например дали е верифициран, скорост на събиране на последователи, описание на акаунта и т.н.

    Инструментът на Norton показва малка икона с процент, указващ дали акаунтът е бот или човек. Софтуерът все още е прототип и е възможно някои акаунти да бъдат маркирани неправилно. Ето как изглежда изчислението за Тwitter:

    Над 20% фалшиви постове

    Досега потребителите на BotSight са анализирали успешно над 100 хил. Twitter акаунта, като отчетеният резултат има възможност да се визуализира директно на екрана. Установено е, че около 5% от всички туитове принадлежат на ботове.

    Въпреки че този процент намалява с времето, той зависи и от езика, от темата и от моментът, в което тя се обсъжда и може да достигне 20% при известни теми и хаштагове, като например #COVID19.

    Съществуват и други онлайн инструменти, които може да бъдат използвани за засичане на ботове:

    • Botometer – създаден от университета в Индиана, САЩ, който измерва вероятността един Twitter акаунт дали е бот или не.
    • Bot Manager, платено приложение, което прилага Intent-Based Deep Behavior Analysis (IDBA), за да различава отделните потребителски профили в социалните медии. Това е бизнес решение, което помага за засичането и идентифицирането на големи групи от социални бот-мрежи, които разпространяват дезинформация.

    Употреба с положителни цели

    Ботовете могат да се използват и с добро. Платформата Reddit се възползва от съвременните технологии, за да направи автоматизирани инструменти като “Remind Me”. Това е бот, който има потребителски акаунт и всеки в социалната мрежа може да го използва.

    При зададени конкретни команди той може да напомня за определени постове след конкретно зададено време. Потребителите дори са направили собствен subreddit, в който е позволено само ботове да качват нови постове. Може да го откриете на r/SubredditSimulator. Отличителното при този subreddit е, че наблюдава поведението на други ботове  без да разпространява дезинформация.

    Във връзка с многобройните фалшиви и подвеждащи новини, свързани с COVID-19, създателите на платеното приложение Newsguard  обявиха, че до 1 юли 2020 г. тяхната услуга ще стане безплатна за всички потребители на новия Microsoft Edge.

    В заключение можем да обобщим, че доста хора се доверяват на информацията в социалните мрежи и рядко правят задълбочена проверка. От друга страна, самите социални мрежи все по-често че възползват или създават сами технологични решения, целящи да ограничат разпространението на фалшиви новини, подвеждаща информация и несъществуващи профили. Реално, здравословна информационна среда може да бъде постигната чрез единни усилия на потребители и платформи, насочени в положителна посока.

  • 3 теми, които да обсъдим с децата си за социалните мрежи

    Децата днес не познават света без интернет и социалните мрежи.  С всичките си недостатъци, тези технологии дават възможност да комуникираме с близки и приятели лесно и от всяко устройство. Когато говорим за децата обаче, комуникацията през социални мрежи крие много морални казуси: Кога трябва да позволим достъпа, трябва ли да пускаме снимки на децата си онлайн и т.н.

    Самите социални мрежи се опитват да се позиционират като сигурни канали за комуникация, в които родителите имат контрол над децата си. Но дори и това е спорно.

    Затова, на Деня на детето ще споделим какво можем да направим, за да предпазим децата си онлайн. Ето най-важните, според нас, въпроси, на които да обърнете внимание:

    Трябва ли да споделя това?

    Стара мантра е, че това, което става в интернет, остава в интернет. Нещо, което повечето възрастни сме склонни да забравяме. Когато става въпрос за децата ни обаче е редно да им обясним, че трябва да премислят всеки път, преди да пуснат нещо лично в социалните мрежи.

    Всеки пост би се отразил на тяхното бъдеще, накланяйки везната в една или в друга посока. Все по-често училищата проучват кандидатите в интернет. Някой и друг недомислен публичен пост тук-там може да затвори вратите към по-добро образование. И това е само едната страна на монетата.

    Постовете трябва да бъдат премисляни и с оглед на това, как ще се отразят на роднините и приятелите на децата ни. Децата трябва да осъзнаят силата на думите и образите и тяхното отражение в живота след това. Освен всичко друго, социалните мрежи ни вкарват в затворен кръг на самомнение и самооценка. Те могат да повлияят на начина, по който възприемаме себе си. Например, ако децата ни имат желание да изглеждат красиви във всеки пост, значи се съмняват в собственото си значение.

    Прочетете и: Как да си върнете контрола на личните данни от Facebook

    Познавам ли този човек?

    „Не говори с непознати“ е може би едно от най-повтаряните изречения, които всяко дете чува,  докато расте. Фраза, идваща от  родители, учители, детски шоу програми и прочее.

    Опасността в социалните мрежи идва от подценяването на онлайн общуването. Децата често пъти си казват „Онлайн няма от какво да ме е страх“, но всъщност не е така.

    Непознатите в социалните мрежи могат да се окажат далеч по-опасни. Като родители сме длъжни да илюстрираме този факт възможно най-честно. Например, можем да разкажем, че организации като Интерпол, и не само, редовно припомнят, че най-голям източник на сайтовете за детска порнография са социалните мрежи, особено Facebook.

    Друг голям пример е примамването от непознат в педофилски мрежи. Действие, което на пръв поглед може да започне съвсем невинно – просто с разговор. Това, че не виждаме кой седи от другата страна на екрана, а разчитаме само на аватара му, крие рискове.

    Погледнах ли си настройките за поверителност?

    Кога беше последният път, в който проверихте настройките си за поверителност? Обикновено, както общите условия за ползване, така и защитата на профила са пренебрегвани. Не ги пропускайте и научете децата си да не го правят.

    Дайте добър пример и разкажете колко е важно личните неща да останат наистина лични, профилите им да бъдат защитени и с минимално количество публична информация и да споделят само с реални приятели.

    Неслучайно социалните мрежи непрекъснато актуализират настройките си за поверителност и сигурност – както заради правителствен, така и заради обществен натиск и регулации. Това обаче не ни спасява от главната цел на социални медии: да събират данни за нас и да печелят от тях като показват свързани реклами или препродават информацията на трети лица.

    Затова е важно не просто да създадем в децата си правила за отговорни действия онлайн. Трябва да разкажем и покажем за различните инструменти, с които могат да си гарантират, че онлайн частта от живота им е защитена.

    Няма такова нещо като „онлайн“ и „офлайн“ – отдавна киберпространството е част от животите ни и като такова, трябва да го третираме с особено внимание. Не оставяте жилището си отключено през деня, докато ви няма, нали?

Back to top button
Close