Предупрежденията на изследователите по киберсигурност, че хакът ще отвори вратата за атаки с криптовируси, се сбъдна: Засечен е нов рансъмуер, наречен „DearCry“, който атакува Microsoft Exchange с експлойти на ProxyLogon.
Атаката се разпространява
Microsoft observed a new family of human operated ransomware attack customers – detected as Ransom:Win32/DoejoCrypt.A. Human operated ransomware attacks are utilizing the Microsoft Exchange vulnerabilities to exploit customers. #DearCry@MsftSecIntel
Проба от рансъмуера, анализирана от BleepingComputer, включва следния PDB път: C:\Users\john\Documents\Visual Studio 2008\Projects\EncryptFile -svcV2\Release\EncryptFile.exe.pdb
Когато бъде стартиран, DearCry създава Windows услуга с име „msupdate“, която започва да криптира файлове със следните разширения:
Криптираните файлове получават допълнително разширение .CRYPT:
Файлове, криптирани от DearCry
Рансъмуерът използва AES-256 за криптиране на файловете и публичен ключ RSA-2048 за криптиране на AES. Също така добавя „DEARCRY!“ низ в началото на всеки заключен файл:
Криптиран файл, маркиран от DearCry
След като приключи с криптирането на компютъра, рансъмуерът създава бележка за откуп с име „readme.txt“ на работния плот на Windows:
Бележка за откуп от DearCry
Пачнахте ли Microsoft Exchange сървърите си
Фирмата за киберсигурност Palo Alto Networks съобщава, че десетки хиляди Microsoft Exchange сървъри са ъпдейтнати в рамките на няколко дни. Съществуват обаче около 80 хил. по-стари сървъра, които не могат директно да приложат последните актуализации на защитата.
Организациите, които използват Exchange, трябва да имат едно на ум, че може да са били компрометирани, преди да закърпят системите си. Все пак знаем, че хакерите са експлоатирали zero-day уязвимостите „in the wild“ в продължение на поне два месеца преди Microsoft да пусне корекциите на 2 март 2021 г.
Препоръки
Приложете корекциите незабавно и създайте офлайн резервни копия на своите Exchange сървъри. Не само за да защитите пощенските си кутии от кражба, но и за да предотвратите тяхното криптиране.
Microsoft has released a new, one-click mitigation tool, the Microsoft Exchange On-Premises Mitigation Tool, to help customers who do not have dedicated security or IT teams to apply security updates for Microsoft Exchange Server. Learn more: https://t.co/IfChAqpcEHpic.twitter.com/xD94M8Czg5
— Microsoft Security Intelligence (@MsftSecIntel) March 15, 2021
Изследователите по киберсигурност от екипа Project Zero на Google, специализирани в откриването на 0-day уязвимости, публикуваха доклад от шест части, в който подробно описват сложна хакерска операция, засечена в началото на 2020 г.
Тя е насочена към собствениците на Android и Windows устройства. Атаките са извършени чрез два експлойт сървъра (единият, предназначен за Windows потребители, а другият – за Android), изпълняващи различни последователни експлойт събития (exploit chains) чрез т.нар. “Watering hole” метод за атака.
И двата експлойт сървъра са използвали уязвимости в Google Chrome, за да осигурят нерегламентиран достъп до устройствата на жертвите. Веднъж получили входна точка посредством браузъра, хакерите инсталират експлойт на ниво ОС, за да получат по-голям контрол върху устройството на жертвата.
Последователните експлойт събития включват комбинация от уязвимости, както от тип 0-day, така и n-day. 0-day се отнася за уязвимости, неизвестни за вендора към момента на експлоатиране, а n-day – за такива, които са били закърпени, но все още се наблюдава активното им експлоатиране.
Какво съдържат експлойт сървърите
Четири „renderer“ грешки в Google Chrome, една от които все още не е била позната (0-day) на Google, когато е била открита от екипа на Project Zero
Два експлойта, които са специализирани в това, да избягват засичането им в облачно базирани среди (sandboxing) и които ескплоатират три 0-day уязвимости в Windows
Пакет за ескалиране на привилегиите (privilege escalation kit), съставен от публично известни n-day експлойти за по-стари версии на Android OS.
0-day уязвимостите са закърпени през пролетта на 2020г
CVE-2020-6418 – Chrome Vulnerability in TurboFan (закърпен през Февруари 2020)
CVE-2020-0938 – Font Vulnerability on Windows (закърпен през Април 2020)
CVE-2020-1020 – Font Vulnerability on Windows (закърпен през Април 2020)
CVE-2020-1027 – Windows CSRSS Vulnerability (закърпен през Април 2020)
Въпреки че на споменатите по-горе експлойт сървъри не са открити 0-day за Android, специалистите от Project Zero предполагат, че хакерите най-вероятно са имали достъп именно до такъв тип експлойт. Просто той не е бил хостнат на тези сървъри по времето на провеждане на изследването.
Google: Последователните експлойт събития са сложни и добре разработени
Google разкрива, че става дума за добре проектиран, сложен код, с разнообразие от нови методи за експлоатация, усъвършенствани и изчислени следексплоатационни техники и голям обем от антианализиращи и описващи защити.
Не се предоставят други подробности за нападателите или профила на таргетираните жертви.
В блога на Project Zero са налични още доклади по темата
Предоставените доклади ще осигурят възможност на други вендори в областта на информационната сигурност да идентифицират подобни атаки срещу своите клиенти и да проследят и други сходни действия, извършени от същите злонамерени лица.
Препоръки
Разгледаната атака е поредното доказателство, че хакерите продължават да усъвършенстват и подобряват своите тактики, техники и процедури (TTPs).
Екипът на FreedomOnline.bg препоръчва винаги да използвате последната налична версия както на ниво ОС/фърмуер, така и на инсталираните програми/апликации. По този начин ще се предпазите от експлоатиране на вече известни уязвимости (n-day).
Внимавайте също така какво инсталирате на вашето устройство и какъв достъп разрешавате. За разлика от n-day, където един пач (patch) би елиминирал уязвимостта, при 0-day това само по себе си не е достатъчно, а са необходими мерки от типа на многопластова защита (defence-in-depth) и защитни механизми, които биха идентифицирали подозрително и нехарактерно поведение на устройствата.
Zero Trust е рамка за информационна сигурност, изградена около концепцията „никога не се доверявайте, винаги проверявайте“ и „предполагайте, че имате пробив“. А не просто един продукт или платформа, които да закупите.
Откъде един администратор да започне с имплементирането
Някои доставчици на решения за киберсигурност се състезават да ви внушат, че те всъщност ви предлагат Zero Trust и че всичко, което е нужно да направите е просто да закупите техния продукт/платформа. Това не е така – те може да прилагат Zero Trust, но моделът не се изчерпва с едно единствено решение.
Ако сте решили да изградите Zero Trust архитектура във вашата организация, ще е добре да се подготвите за пътешествие. Ще ви помогнем с един подходящ пример – екосистемата Zero Trust eXtended (ZTX). Тя има следните минимални изисквания:
Оценка на зрелостта на програмата за киберсигурност във вашата организация (хора, умения, технологии, възможности и др.): Начин на работа на служителите, начин на протичане на бизнес процесите, картографиране на съществуващите технологични възможности и идентифициране на пропуските
Обобщаване на резултатите от оценката на зрелостта в рамката на ZTX: Това ще ви помогне да разберете в кои области организацията ви е силна, кои липсват и кои трябва да подобрите.
Избор на инструменти и технологии за справяне с пропуските в областта на киберсигурността и интегриране на внедряването на Zero Trust в съществуващи проекти на бизнеса, ИТ и сигурността.
Zero Trust се адаптира лесно
Защитата на периметъра и други стратегии за киберсигурност, които може да сте използвали до момента, трудно биха се адаптирали към евентуална промяна. Те са проектирани около монолитни точкови решения, които не се интегрират помежду си.
Zero Trust обаче е проектиран така, че да подлежи на непрекъснат преглед и оптимизация и да се адаптира лесно към бизнес промените.
ZTX екосистемата включва едновременно технологични и нетехнологични области. Задължително е да попитате избрания от вас доставчик как възможностите на неговото решение за киберсигурност се вписват в тази екосистема. Ако не получите ясен отговор, това ще е сигурен знак, че Zero Trust моделът не е правилно приложен.
Доставчиците на решения за киберсигурност трябва да разберат, че Zero Trust е пътуване, различно за всяка организация. В противен случай те обричат клиентите си на неуспех.
COVID-19 значително промени начина ни на работа и принуди много организации да ускорят своята дигитална трансформация и изработване на стратегии за сигурност.
Обърнете специално внимание дали и как избраните от вас решения за киберсигурност се вписват в различните стълбове на екосистемата ZTX и най-важното – в цялостната Zero Trust стратегия на вашата организация.
Всяко ново решение, с което сте избрали да подсилите сигурността си, трябва да ви приближава до постигането на цялостен Zero Trust модел в организацията ви. Същевременно то трябва да подобрява опита на служителите ви, а не да бъде още един инструмент за защита, който пречи на правенето на бизнес.
Няма да ви изненадаме, като кажем, че киберпрестъпниците използват всяка актуална обществена тема, за да измамят колкото се може повече хора и да получат финансова изгода.
Коя е най-горещата информация, която целият свят следи в момента? Разпространението и прилагането на ваксините срещу COVID-19, разбира се. И, очаквано, предприемчиви измамници вече ни атакуват с фалшиви оферти и измамни имейли.
Ето какво са засекли киберспециалистите напоследък:
Измамни оферти за ваксини
В първия пример, който ви показваме, киберпрестъпникът се представя за служител на истинска британска фармацевтична компания, Whitman Laboratories. За допълнителна достоверност, съобщението е изпратено чрез криптирана електронна поща, вместо обичайните Gmail или Hotmail.
Останалата част от имейла обаче носи всички отличителни белези на измамата – оскъдни подробности, подканване за изпращане на отговор, граматически и стилистични грешки. А и да не забравим най-важното: Преговорите за продажба на ваксини срещу COVID-19 се извършват директно между производителите и правителствата, затова подобни оферти нямат място във вашата пощенска кутия:
Измамни бизнес предложения
Други измамници пък са се насочили към логистичното обезпечаване на ваксините – продават лабораторни замразяващи устройства, от които някои ваксини наистина се нуждаят. Съобщението отново е изпратено от името на съществуващ производител, който притежава реални сертификати и наистина произвежда фризери в различни размери.
И тук ясно се виждат класическите елементи на измамата: неправилно изписано име на компанията, безличен поздрав, граматически грешки, липсва подпис. Освен това предлаганият продукт е тясно нишов – подобни фризери рядко се срещат дори в специализирани кабинети т.е. не се предлагат за масова продажба.
Фиктивни плащания във връзка с COVID-19
Друга често срещана измамна тактика е изпращането на съобщения за предстоящо разпределяне на плащания, от името на здравен орган, който участва пряко в борбата с пандемията, напр. Световната здравна организация (СЗО).
Отново се разчита на частично достоверна информация. След като разгледате имейла внимателно обаче, признаците, че става дума за измама, са повече от очевидни. Ако сте един от партньорите на СЗО или друг подобен орган, то вие сте наясно с неговата мисия и не се нуждаете от напомняне. Освен това, вече всеки гражданин е запознат с разработените ваксини, кои от тях са тествани и кои – вече одобрени.
Изобилие от конспиративни теории
В интернет пространството циркулират множество имейли, които твърдят, че разкриват „истината“ за пандемията. Обикновено те съдържат линк към новина или видеоклип, подкрепящи теорията. Единствената цел е информацията да ви шокира и да ви убеди да кликнете върху връзката.
Какво „лечение“ да приложите
Представихме ви само някои от примерите за измами на тема COVID-19, на които може да се натъкнете. Бъдете сигурни, че предприемчивите мошеници ще положат усилията да измислят още много други измамни схеми, докато разпространението на ваксините продължава.
Един от най-лесните начини да запазите безопасността си е да използвате надеждно решение за сигурност, което включва филтър на нежелана поща.
Следващите препоръки също ще ви помогнат да се предпазите от измама:
Избягвайте да кликате върху връзки или да изтегляте файлове, които сте получили по имейл от източник, когото не познавате и не можете да проверите
Ако сте получили имейл, за който се твърди, че идва от легитимна организация, проверете официалния уебсайт и се свържете, използвайки официалната информация за контакт, за да установите достоверността на изпращача
Внимавайте за измамни бизнес предложения, които изглеждат твърде добри, за да са истина, или за предложения от непроверени изпращачи
Използвайте доказано многопластово решение за сигурност, което включва защита срещу спам, фишинг и други заплахи
Все по-често попадате на новини за големи изтичания или кражба на данни и то не само в специализираните сайтове за киберсигурност, а и във вечерните новини по телевизията. Жертвите обикновено са големи корпорации или държавни институции – дали само при тях има висок риск от пробив или в новините попадат само случаите, при които има големи финансови загуби?
Всъщност, никой бизнес не е твърде малък за хакерите. Затова е важно да направите преглед на мерките за сигурност на данните във вашата фирма и да се уверите, че не сте допуснали някоя от най-популярните грешки:
Грешка 1: Не сте наясно със слабостите в защитата на данните ви
Оценете пълния потенциален размер на вредата, която нарушението на сигурността на данните може да причини на вашата компания. Проверете дали прилагате подходяща защита на всички ваши данни и дали защитавате всички възможни канали за атака.
Само ако признаете за съществуването на проблем, ще можете да преминете към решение. Сигурността на данните е непрекъснат процес, тъй като постоянно се появяват нови и все по-сложни за откриване заплахи, а извършителите намират нови начини за достъп до вашите ценни данни.
Затова помислете, какви защитни средства използвате във вашата компания. Трябва да имате антивирусни софтуери и защитни стени, но те отдавна не са достатъчни за една цялостна и адекватна защита.
Грешка 2: Подхождате грешно при организиране на превенцията
Повечето малки и средни фирми организират сигурността на данните си, все едно, че привеждат дейността си в съответствие с изискванията на нов закон или разпоредба: Изготвят списък със задължителни изисквания, на които се стараят да отговорят с възможно най-малко ресурси и усилия. Този подход със сигурност ще остави пролуки в сигурността ви, които атакуващите ще намерят и ще използват.
Когато говорим за киберсигурност е задължително да вземете предвид съществуващите „модерни“ заплахи: Идентифицирайте ценните си данни, очертайте потенциалните заплахи и възможни начини за атака и оценете доколко вашата компания е уязвима към конкретен сценарий. Използвайте тази обширна оценка на риска, за да допълните вашите мерки за съответствие и да отстраните всички пропуски в сигурността на данните.
Грешка 3: Не обучавате персонала си
Служителите ви са вашият най-голям актив, но те може да се окажат най-слабото звено в защитата на данните ви. Един клик върху злонамерен линк от страна на служител във вашата мрежа може да застраши целия ви бизнес. Ето защо трябва да въведете програми за повишаване на осведомеността, така че персоналът ви да осъзнае своята роля и да се запознае с най-добрите практики в сферата на киберсигурността.
Информирайте персонала си относно новостите в прилаганите от организацията ви стандарти и политиките за сигурност. Само когато обучавате персонала си правилно и периодично, ще имате силна система за сигурност на данните.
Грешка 4: Не правите регулярни архиви
Създаването на резервни копия на вашите системи е абсолютно задължително, за да сте подготвени за спирането на хардуер, кражба или злонамерена киберактивност. Те ще ви помогнат да се възстановите при евентуален инцидент. Особено, предвид бурните темпове на нарастване на броя на успешните криптоатаки по целия свят.
Съществуват различни видове резервиране на данни, така че трябва да изберете това, което работи най-ефективно за вашия бизнес. Освен това винаги е добра идея да съхранявате копие от данните си на безопасно място офлайн. Нещо повече, налични са приложения за резервиране, които напълно или частично автоматизират процеса, така че това да не ви коства усилия.
Създайте стратегия, относно това какво ще бъде резервирано, честотата която ви устройва и планове за възстановяване след атака. Тествайте плановете си за възстановяване регулярно, за да сте сигурни, че те ще ви върнат в бизнеса бързо и безпроблемно.
Грешка 5: Не инвестирате достатъчно в сигурността на вашите данни
По-лошо: Това е сред първите пера, които съкращавате, когато трябва да ограничите бюджета на компанията си. Резултатът: Изтичане на данни, увреждане на репутацията на бизнеса ви, съдебни дела, плащане на глоби, загуба на клиенти и т.н.
Планирайте бюджета си за сигурност след като изчерпателно сте отчели всички рискове, пред които е изправена вашата компания. Изчислете колко ще трябва да похарчите за сигурност на данните и колко повече ще загубите, ако оставите това перо недофинансирано. Ефективното планиране ще ви помогне да създадете надеждна ИТ сигурност за вашия малък или среден бизнес, и не е задължително цената за това да е висока. Ако нямате нужните знания и умения, можете да се обърнете към външен експерт – често това дори е по-изгодно.
Грешка 6: Подценявате вътрешните заплахи
Не пренебрегвайте възможността в екипа ви да има злонамерени лица. По-малките фирми често фокусират всички усилия върху защитата на т. нар. периметър, и пропускат да предотвратят кражби и злоупотреба с ценни фирмени данни от страна на вътрешни за компанията хора.
Подходящите предпазни мерки за откриване и реагиране на вътрешни заплахи включват политика за ограничаване на достъпите до ниво Least Privilege, регистриране на активността на потребителите и поне минимални периодични проверки на поведението в мрежата.
Грешка 7: Системите ви използват остарял софтуер
Малкият бизнес трябва да бъде гъвкав при надграждане на съществуващите и въвеждане на нови решения. Служителите ви може да са свикнали със софтуера, който използват, но нарушаването на рутината не може да се сравни с последиците дори от най-малко поразяващата кибератака.
Производителите на софтуер се стараят за закърпват уязвимости и да отговарят на новите изисквания за киберсигурност със всяка нова версия на решението си, която пускат на пазара. Затова прилагането на актуализации е от критично значение за сигурността на данните ви.
Грешка 8: Давате излишни привилегии на потребителите в мрежата ви
Предоставянето на предварително определен набор от привилегии на един потребител е чудесен начин да се установи обхвата на достъп, който потребителят трябва да има. Този подход е полезен за защита на вашите данни и предотвратява по-сериозни поражения ако един акаунт е компрометиран.
Най-правилният подход е да се предоставят минимални привилегии на нови потребители, по подразбиране, и в последствие да увеличава обхватът на достъпа им, само когато това е абсолютно необходимо.
Грешка 9: Не боравите правилно с паролите за достъп
Когато създавате вашата стратегия за сигурност на данните, трябва да подсигурите достъпа до тях по правилен начин. Използвайте пароли, винаги когато е възможно и ги съхранявайте внимателно. Не използвайте слаби пароли или пароли по подразбиране.
Не е добра идея няколко служителя да споделят един акаунт. Забранете споделянето на пароли между служителите ви и ги научете колко важно е правилното използване и съхранение на паролите.
Грешка 10: Не деактивирате своевременно акаунтите на напуснали служители
Често в по-малките фирми няма изчерпателна процедура за действие при напускане на персонал. След като служител бъде освободен, акаунтът му в системите понякога остава активен и дори се предава на друг, без да бъдат променени привилегиите или сменена паролата. Злонамерен бивш служител би могъл да злоупотреби с подобна небрежност.
Не твърдим, че добрата киберсигурност струва малко. Настояваме обаче, че не трябва да правите компромиси с нея. Обзалагаме се, че колкото повече от изброените тук грешки успеете да елиминирате, толкова по-добре ще оптимизирате бюджета, нужен за осигуряване на защита на ценната ви фирмена информация.
През последните години социалните мрежи се развиха до мощни машини за извличане на данни, които разполагат с информация за абсолютно всичко свързано с нас – от приятели и семейство до навици за гласуване.
Когато кандидатствате за нова работа, работодателите ще оценят вашата активност онлайн, за да установят дали сте търсения кандидат. Неподходящ туит (tweet) или снимка във Facebook могат да съсипят вашата кариера. Стара присъда, открита в Google, може да направи по-трудно наемането ви на работа, а твърдения за престъпно поведение, разпространявани онлайн (независимо дали са верни или не), могат да ви причинят доста главоболия.
При това дигиталната информация за вас не се ограничава само до това, което вие сами публикувате онлайн – различни компании „пасивно“ събират на информация за вас.
За да поемете контрола върху вашата поверителност и публична информация, на първо място трябва да ограничите онлайн публикациите: Съществува твърдение, че щом нещо е онлайн, то е безсмъртно. Щом като сте решили да „разчистите“ публичния си профил, ето няколко съвета откъде да започнете:
Съвет #1 : ПРОВЕРЕТЕ КАКВО ЗНАЕ GOOGLE ЗА ВАС
Потърсете в Google, за да узнаете точно какво може бързо да се разбере за вас, без използването на специализирани инструменти, социално инженерство или киберразузнаване (reconnaissance). Направете списък за всички уебсайтове и техните домейни, които може да имат информация, свързана с вас, и я оценете. Добавете връзките към акаунти в социалните мрежи, видеоклипове в YouTube и всичко друго, което ви направи впечатление.
Съвет #2 : ВЪЗПОЛЗВАЙТЕ СЕ ОТ ПРАВОТО СИ ИНФОРМАЦИЯТА ЗА ВАС ДА БЪДЕ ЗАЛИЧЕНА
Като гражданин на Европейския съюз, благодарение на действащия Общ регламент относно защитата на данните (GDPR), можете да поискате премахване на информация за вас от търсачката на Google. За целта трябва да попълните този формуляр.
Законодателството дава възможност на Google да ви откаже – по технически причини, дублирани URL адреси, класифициране на информация като „обществен интерес“, финансови измами, служебни злоупотреби и т.н. Но това не означава, че не трябва да опитате.
За да поискате заличаване на ваша информация от други продукти на Google (Blogger, Google Ads или търсачката за изображения), използвайте този формуляр.
Съвет #3 : ПРОВЕРЕТЕ В HAVE I BEEN PWNED
Платформата HaveIBeenPwned (дело на експерта по киберсигурност Troy Hunt) e полезен инструмент, с който да откриете дали информация за ваш акаунт е била компрометирана или включена в масив с изтекли данни (data leak). Ако установите, че ваш имейл адрес е бил хакнат (pwned), незабавно сменете както паролата за този акаунт, така и за всички други акаунти, за достъп до които използвате същата парола.
Съвет #4 : НАСТРОЙТЕ ПОВЕРИТЕЛНОСТТА И СИГУРНОСТТА НА ВАШИЯ GOOGLE ACCOUNT
Посетете https://www.google.com/account/about/: Наличните настройки могат да подобрят вашата поверителност, да намалят събирането на данни или да ви премахнат изцяло от екосистемата на Google.
откажете резултати от търсене и друга активност в Google да бъде пазена във вашият Google Account
изключите историята за вашите местоположения
забраните на Google да пази история, свързана с търсенето и гледането на видеоматериали в YouTube, вашите контакти, информация за устройството ви, гласова и аудио активност, включително записи, събрани от взаимодействие с Google Assistant и др.
разрешите на Google да използва вашата информация, за да ви предлага профилирани реклами
Проверката за сигурност на Google ще ви покаже кои устройства и приложения имат достъп до вашия акаунт – сами преценете дали това да остане така.
Можете да използвате услугата за изтриване (Delete me) на Google за премахване на избрани продукти от тяхната екосистема или на акаунта ви изцяло.
Съвет #5 : ИЗПОЛЗВАЙТЕ (ПЛАТЕНА) УСЛУГА
Съществуват редица компании, които могат да ви помогнат (срещу заплащане) да предпазите информацията си от т.нар. „брокери“ на данни.
Такъв пример е DeleteMe – платена абонаментна услуга, която премахва данни, включително имена, текущи и минали адреси, дати на раждане и псевдоними от ваше име. Тя ще направи така, че вашата лична информация да не се появява в резултатите на различните интернет търсачки и платформи, съдържащи отворени бази данни за търсене на хора.
Услуги като unroll.me могат да изброят всичко, за което сте се абонирали, улеснявайки работата по отписване от бюлетини, новини и др. Тази услуга обаче не е достъпна в ЕС поради действието на GDPR.
Съвет #6 : ЗАКЛЮЧЕТЕ ДОСТЪПА ДО ВАШИТЕ АКАУНТИ В СОЦИАЛНИТЕ МРЕЖИ ИЛИ ГИ ИЗТРИЙТЕ НАПЪЛНО
Във Facebook имате възможност да:
изтеглите цялата информация, която Facebook има за вас (в раздел Настройки)
заключите акаунта си
ограничите само вашите приятели да виждат както новите, така и старите ви публикации (в раздел Поверителност)
забраните имейла и телефонния ви номер да излизат като резултати от търсения
премахнете Facebook профила си от резултати на външни за социалната мрежа търсачки
изключите събирането на данни за вашето местоположение (в раздел Местоположение)
Twitter позволява:
Да получите личният си архив, който съдържа цялата информация, свързана с вас (в раздел Настройки и поверителност)
От менюто за настройки да изберете да заключите изцяло акаунта си и да направите туитовете частни и видими само за одобрени потребители; можете да изключите туитове, съдържащи местоположение, да разрешите или не търсенето на имейл и телефонен номер, които да свържат други хора с вашия профил и да позволите или забраните на други да ви отбелязват на снимки
В раздел Безопасност можете да забраните вашите туитове да се появяват при търсене от страна на потребители, които сте блокирали в платформата за микро-блогове.
Instagram (собственост на Facebook) има редица настройки за поверителност, чрез които можете, за да поддържате приемливо ниво на конфиденциалност. Чрез Настройки –> Поверителност на акаунта -> Частен акаунт, съдържанието ви ще е достъпно само за предварително одобрени от вас потребители.
Като крайна мярка, можете да изтриете всичките си основни акаунти в социалните мрежи.
За да направите това във Facebook, трябва да отидете в Settings –> General -> Manage your account, за да го деактивирате. Вашите настройки, снимки и друго съдържание се запазват, без да бъдат видими – след време може да решите да се завърнете отново в мрежата.
За да изтриете окончателно Facebook акаунта си: Настройки -> Вашата информация във Facebook -> Изтриване на акаунта и информацията, последвано от Изтриване на моя акаунт. Ако имате проблеми с намирането на тази настройка, напишете „изтриване на Facebook“ в помощния център. Процедурата може да отнеме до 90 дни, след 14-дневен гратисен период, в който може да промените решението си.
Снимка 3 : Налични настройки във FB профил
За да деактивирате Twitter акаунт, трябва да кликнете върху Настройки и поверителност от падащото меню под иконата на вашия профил, след това в раздела Акаунт –> Деактивиране.
Съвет #7 : ИЗТРИЙТЕ / ДЕАКТИВИРАЙТЕ СТАРИ (НЕИЗПОЛЗВАНИ) АКАУНТИ
Имате ли профил в MySpace или друга стара социална мрежа? Имате ли стари, неизползвани акаунти, регистрирани единствено, за да получите последните актуални отстъпки и промоции?
Всеки ваш акаунт съдържа лична информация: име, физически адрес, телефонен номер, данни от кредитна карта. При евентуален пробив на съответния сайт/платформа/приложение, вашите данни също ще „изтекат“.
Колкото повече регистрирани акаунти имате, толкова по-голям е шансът някой от тях да бъде компрометиран и вашите лични данни да попаднат в грешните ръце. Затова, побързайте да се отървете от излишните.
Съвет #8 : ПРЕМАХНЕТЕ ВАШИ СТАРИ ПУБЛИКАЦИИ ОТ СОЦИАЛНИ МРЕЖИ И БЛОГОВЕ
Наистина ли е необходимо да запазите публикацията за това, което сте закусили една сутрин през 2013 г. или отзива си за вече несъществуващ магазин на дребно близо до вас? По-скоро не. Отделете време и усилия за прочистване на старите публикации – резултатът си заслужава, а и това ще ви научи да споделяте по-избирателно в бъдеще.
Ако не разполагате с нужните привилегии за изтриване, свържете се директно с организацията-администратор на форума/блога: Включете линк към съдържанието, което искате да изтриете и опишете мотивите си. Положителният отговор не е гарантиран, но си струва да опитате.
Deseat.me предоставя автоматизиран начин да заявите изтриване на акаунт и премахване на абонамент от онлайн услуги. Ще трябва само временно да позволите на услугата изпраща имейли от ваше име.
Account Killer пък ви дава система, която оценява и описва сложността на процесите за изтриване на акаунти, предоставяни от онлайн услуги.
СЪВЕТ #9 : ИЗПОЛЗВАЙТЕ ПСЕВДОНИМИ И МАСКИ
Ако не можете директно да премахнете акаунт, изтрийте колкото се може повече съдържание от него или заменете личните данни с произволни.
За активните акаунти (Facebook, Twitter), анонимността и псевдонимите могат да помогнат за отделянето на дигиталната ви самоличност от физическата.
Използвайте профилни снимки, които не показват лицето ви и не съдържат нищо, пряко свързано с вас.
СЪВЕТ #10 : ИЗПОЛЗВАЙТЕ ВТОРИ ИМЕЙЛ АДРЕС
Използвайте отделни имейл акаунти за различните онлайн услуги. За еднократни покупки предоставяйте второстепенен адрес, който бързо ще се запълни с промоционални материали, но ще запази основния ви имейл далеч от маркетинговите бази данни.
СЪВЕТ #11 : ИЗПОЛЗВАЙТЕ VPN
Повечето VPN услуги маскират вашия публичен IP адрес и създават тунел между вас и интернет. Това гарантира, че данните и комуникационните пакети, изпратени между вашия браузър и сървъра, са криптирани, което може да попречи на трети страни да подслушват (събират) вашата информация или да проследяват онлайн активността ви.
По-добре е да се регистрирате за платена услуга – никой VPN не е наистина „безплатен“ предвид разходите за създаване и поддържане на инфраструктурата, необходима за маршрутизиране на трафика. Т.е. ако използвате безплатен VPN, най-вероятно вашите данни ще бъдат използвани или продавани на трети страни в замяна на услугата или иначе казано, ако нещо е безплатно, то вие сте продуктът.
СЪВЕТ #12 : ЗАПОЗНАЙТЕ СЕ С TOR, НО ВНИМАВАЙТЕ
Tor (onion router network) се използва от върли фенове на анонимността и поверителността в Интернет, активисти и хора, които търсят средство за заобикаляне на цензурните бариери.
Имайте предвид, че Tor се използва и за злонамерени цели. Затова доста сайтове на държавни и финансови институции няма да ви допуснат ако използвате тази мрежа.
СЪВЕТ #13 : ПРЕКОНФИГУРИРАЙТЕ DNS ПРОТОКОЛА
DNS протоколът служи за преобразуване на домейн към IP адрес. Когато напишете в браузъра си https://freedomonline.bg, DNS сървърът, който използвате ще ви отговори, че той се намира на адрес 104.21.20.81 и 172.67.191.252 и ще запази съответствието (както в телефонен указател).
Вашият интернет доставчик или някой друг по веригата обаче може да събира и препродава информацията за посещенията ви онлайн. Можете да противодействате на тази порочна практика, като смените DNS настройките на вашият рутер вкъщи или в офиса: В полето DNS Settings премахнете конфигурирания от локалния доставчик DNS и използвайте някой публичен DNS доставчик, за който се очаква, че няма да злоупотребява с вашата информация, напр. QUAD9, Cloudflare и OpenDNS.
Заключение:
В началото на 2021 г. все повече се говори за поверителност. Не защото някой е загрижен за личната ви информация, а защото все повече живеем и споделяме в дигиталния свят. COVID-19 ускори още повече този процес: Вече работим, учим, пазаруваме, срещаме се с познати и приятели онлайн.
Следвайки описаните по-горе съвети можете да изградите едно добро ниво на хигиена относно вашата поверителност и да запазите личната си информация доколкото е възможно… лична.
Не трябва да пренебрегвате политиката за поверителност при избор на чат приложение
Свързаните с Facebook платформи за кратки съобщения събират най-много информация за вас
След скандалa със споделянето на данни от страна WhatsApp, много потребители се насочиха към Signal и Telegram
End-to-end криптирането и синхронизацията между устройствата са решени по различен начин при Signal и Telegram
Информацията ви в iMessage е защитена
Viber е сигурна платформа за провеждане на разговори, но приложението споделя информация за вашите навици с партньори
В случай, че до момента не сте се замисляли, добре е да имате едно на ум, когато комуникирате през платформите за чат. Всичко, което споделяте с приятели – информация за вашето здраве, проблеми, политически възгледи и т.н. – се записва и може да се използва за различни цели. Ето защо е важно да сте наясно със защитите и политиките на чат платформата, която използвате. Ще ви помогнем, като разгледаме поверителността на най-популярните приложения за кратки съобщения:
Много от хората, научили за скандала с Whatsapp, спряха да използват платформата, но продължават да чатят през Facebook приложение – Facebook Messenger. Когато става дума за събиране, свързване и използване на вашата информация обаче, това със сигурност не е по-добрата алтернатива, дори обратното:
Информацията, която събират за вас WhatsApp и Facebook Messenger
WhatsApp vs Signal
Най-богатият човек в света Илон Мъск, призова своите последователи да се прехвърлят към Signal. Същото направи и Edward Snowden, като написа в своя Twitter акаунт, че той използва Signal всеки ден.
Големият интерес на милионите нови потребители, в рамките на един ден, претовариха сървърите на Signal.
Общото между WhatsApp и Signal е, че и двете платформи използват криптиране от край до край. Основната разлика е, че Signal е приложение с отворен код (оpensource) – това означава, че всеки може да има достъп до кода на приложението и да го изследва за уязвимости, съответно – да се възползва от тях
Има и други разлики, които имат отношение към вашата поверителност: WhatsApp криптира информацията, която изпращате, но не и архивите на чата ви в облака т.е. историята на чатовете ви остава незащитена. От съображения за сигурност, Signal пък не предлага синхронизиране на историята в облака. WhatsApp споделя вашата информация със собственика си Facebook. Signal от друга страна не е обвързан с големи технологични компании – единственият приход на приложението е от дарения от потребители.
WhatsApp vs Telegram
Ситуацията с Telegram е съвсем различна. Иронията е в това, че потребителите заменят „несигурния“ WhatsApp с Telegram, без да са запознати, че по подразбиранеTelegram не предлага криптиране от край до край (end–to–end). Има опция „secret chat“, която позволява да изпратите съобщение на друг, като използвате протокола за криптиране от край до край между двете устройства, но тази функция не може да се приложи за групов чат.
Signal vs Telegram
За потребителите, фокусирани върху поверителността си, голямата разлика е, че всичко в Signal винаги е шифровано от край до край, докато Telegram предлага end-to-end криптиране като незадължителна функция. Signal пази историята само и единствено на вашето устройство по подразбиране, докато Telegram използва сървъри за съхранение, което позволява синхронизиране между различни ваши устройства. Signal е изцяло оpen source проект – кодът и на клиента и на сървъра може да се намери в GitHub. Кодът на клиента на Telegram също е видим, но не и този на сървърите.
Сравнение между Signal, iMessage, Telegram и WhatApp
iMessage
За феновете на Apple, изборът може и да е по-лесен: iMessage събира само вашия имейл, телефонен номер и име на устройството. Чат/видео и чат/видео конференция използват Apple IMessage protocol, който криптира информацията и тя остава защитена.
Да не забравяме Viber
Това е една от най-разпространените чат платформи в България. Но колко от вас са обърнали внимание с какво се съгласяват при използването й:
Viber споделя доста голяма част от вашата информация и навици с трети страни (партньори):
Линкове, които отваряте и къде ви насочват те
Вашето местоположение
Интернет данни, които не е задължително да идват от Viber. Те също се използват за анализиране, за да ви се предложат по-добри и персонализирани реклами
Вашата информация, която Viber споделя обаче, няма общо с написаното в чата. Съобщенията, идващи от вашето устройство, са криптирани. Те могат да бъдат прочетени чак когато достигнат приемащото устройство.
По отношение на настройките за поверителност на приложението (Privacy Settings), бихте могли сами да зададете някои ограничения:
Вашия статус да бъде видим (Online/Offline)
Изпращача да вижда дали сте прочели неговото съобщение
Потребители, които не са във вашия списък с абонати да могат да видят профилната ви снимка
Peer-to-peer разговори, в които вашето IP става видимо за човека срещу вас
Hidden chat (наличен и при Telegram) – той може да бъде заключен с допълнителен PIN код и съобщенията в него да останат „скрити“ дори ако загубите телефона си
Разбира се, всички разгледани приложения се променят с течение на времето и добавят нови функции. Струва си да направите собствено проучване и да се запознаете с тях по-обстойно, и да изберете тази платформа, която най-добре отговаря на вашите нужди.
PayPal е една от най-големите компании за онлайн разплащания в световен мащаб – използват я Microsoft, Google Play, PlayStation Store и мн. др.
Платформата има приблизително 361 млн. активни потребители, които правят средно по 40 транзакции годишно. Този мащаб предоставя голям шанс на хакерите да „спечелят“ пари, без вие, като потребител, да заподозрете.
Най-често срещаните измами
Голяма популярност през последните години набраха фалшивите уебсайтове, които пресъздават страницата на PayPal. Атаката се осъществява чрез фишинг имейл, който съдържа линк към подправената страница.
Когато кликнете върху линка, ви пренасочват към страница, в която да въведете своите разплащателни данни. Не само това, но ви искат и доста лична информация (име, адрес, ЕГН и др.), която впоследствие може да бъде използвана за по-мащабни атаки срещу вас.
Как да се защитите
PayPal има славата на една от най-безопасните платформи за извършване на финансови транзакции. Затова киберпрестъпниците проявяват голямо въображение, за да ви подмамят. Често използват тактики и заучени фрази като: “Днес е вашият щастлив ден и спечелихте от лотарията!”. Ако искате да получите „наградата“, трябва да заплатите малка такса за самата транзакция.
Първата лампичка, която трябва да ви светне е, че ако не сте участвали в такава лотария, единственият човек, който би спечелил нещо е хакерът.
За да не се хванете на кукичката на подобен тип атаки, винаги трябва да сте бдителни, да внимавате какви действия предприемате и задължително да приложите основни мерки за сигурност:
Използвайте силна парола
Паролата за PayPal трябва да е различна от паролите ви за достъп до други приложения и не трябва да я съхранявате в четим вид (plain text). Добра практика е използването на мениджър за управление на паролите (Password Manager) .
PayPal дава две възможности на потребителите си: Автентикация чрез OTP (One-time pin), който се генерира при всяко влизане или свързване на PayPal акаунта ви с third-party 2FA апликация.
Никога не използвайте PayPal приложението през незащитени или публични мрежи
През тях хакерите следят мрежовата активност и могат да прихванат или да променят вашият трафик (данни).
Така наречените “бисквитки” (HTTP cookies) са съществена част от Интернет, такъв какъвто го познаваме днес. Те позволяват на уеб страниците да ви „помнят“ като потребител: какво имате в пазарската си количка, какви страници посещавате, какви теми ви интересуват и т.н. Всичко това обаче ги прави ценен източник на лична информация, от който недоброжелатели могат да се възползват.
Какво точно са бисквитките и къде се съхраняват
HTTP бисквитките представляват текстови файлове, съдържащи информация за потребителско име и парола. Те се използват за идентифициране на компютъра ви в мрежата. Маркират се с уникално ID, отнасящо се точно за вас. Изпращат се от сървъра, където е разположен достъпвания от вас сайт, до компютъра ви. Когато компютър и сървър си обменят бисквитка, сървърът прочита съдържащото се в нея ID и вече ви „познава”.
HTTP бисквитките се създават, когато посетите даден сайт за първи път. Те пазят информация за сесиите ви – времето, прекарано в сайта.
Форматът на бисквитката представлява двойка “поле-стойност”. Уеб сървърът, изпраща кратък поток от идентификационни данни към браузъра ви, които той да запази. Тук възниква въпросът – къде се пазят тези бисквитки? Отговорът е – локално в браузъра, тъй като е нужно той да помни двойката “поле-стойност”, която ви идентифицира като потребител. По този начин, когато отново посетите същия сайт, браузърът ви ще изпрати запазената бисквитка към уеб сървъра му, който пък ще възстанови данните от предходните ви сесии.
За да си представите по-лесно процеса по генериране и използване на бисквитки, можем да го сравним с използването на гардероб в театър:
Предавате палтото си на гардеробиера – това е еквивалентно на момента, в който за първи път се свързвате с уеб сървъра на посещавания сайт. Създава се запис за тази връзка, който може да включва информация за личния ви акаунт, кои категории сте посетили, какво сте пазарували от сайта и др.
Получавате номерче, което ви идентифицира като собственик на точно това палто – именно това е бисквитката за дадения уеб сайт, която се съхранява в браузъра. Тя притежава уникално ID за всеки потребител.
Ако решите да си вземете палтото, за да излезете по време на антракта, и после пак да го върнете, използвате същото номерче – така е и когато посетите уеб сайт отново – браузърът му предоставя запазената бисквитка (ако не сте я изчистили). Сървърът прочита ID-то в нея и свързва данните за активността ви от предходни посещения в този сайт.
Да позволите или да забраните бисквитките
Безспорно бисквитките улесняват сърфирането в интернет, но от друга страна представляват риск за конфиденциалността на данните и браузър историята ви като потребител.
Бисквитките не могат да заразят компютъра ви с вируси. Недоброжелатели обаче могат да ги “откраднат” и да си осигурят достъп до браузър сесиите, които съдържат информация за вас.
Забраната на всички бисквитки на браузъра може да затрудни навигацията в някои уебсайтове. Все пак можете да зададете настройки, които контролират или ограничават бисквитки на трети страни и проследяване. Така ще защитите поверителността ви, докато пазарувате или сърфирате онлайн.
Бисквитките се настройват по различен начин във всеки баузър, но логиката е сходна – обикновено се намират в менюто Настройки -> Поверителност и сигурност. Напр. в Google Chrome: От менюто навигирайте до Settings -> Privacy and security -> Cookies and other data -> See all cookies and site data.
Как бисквитките помагат на вас и на собствениците на сайтове
Благодарение на бисквитките, уеб сайтовете ви „разпознават“ и ви представят релевантна информация, съобразно предпочитанията ви – напр. спортни новини, вместо политически. Показването на персонализирани реклами става именно заради бисквитките – на база разглежданите до момента от вас продукти, се подбират свързани реклами и материали, които да ви се визуализират.
Онлайн магазините използват бисквитките, за да следят продуктите, които сте разглеждали, и да ви предлагат сходни. Бисквитките са тези, които помагат покупките в количката ви да се запазят, дори ако неволно затворите уеб страницата. Не може да отречете, че всичко това ви улеснява като потребител!
Колко дълго се съхраняват бисквитките
Съществуват два типа бисквитки: сесийни и постоянни (persistent). Сесийните се използват за навигация в сайтовете – например за работата на бутона „назад“. Те се пазят в RAM паметта и след като приключите сесията, се изтриват автоматично. За разлика от тях, постоянните бисквитки се пазят за неопределено време, освен ако изрично не е зададен срок за съхранение. Точно те се използват за автентикирането ви като потребител (следят дали сте логнат и с какво име) и пазят информация за повторните ви посещения.
Под ваш контрол ли е генерирането на бисквитки
First-party бисквитките се създават директно от уеб сървъра на сайта, който използвате в момента. Като цяло са безопасни, стига самият уеб сайт да е безопасен и да не е бил компрометиран.
Бисквитките на трети страни (third-party) изискват по-голямо внимание, защото те се създават от сайтове, различни от този, на който се намирате в момента – те обикновено са свързани с рекламите, които се визуализират на сайта. Посещението на страница с десет появяващи се реклами може да генерира десет различни бисквитки, дори и да не кликате върху рекламите. Този тип бисквитки позволяват на рекламните компании да следят историята от сърфирането ви из цялото интернет пространство, стига да посещавате страници с техни реклами.
Можете да повишите нивото на сигурност на бисквитките
Бисквитките, респективно потребителските данни, които се съхраняват в тях, могат да бъдат една идея по-защитени чрез допълнителни флагове и атрибути.
Пример за такъв е Secure флагът. Бисквитка с този флаг може да бъде транспортирана единствено по криптиран канал, или с други думи не може да бъде предавана по HTTP, а само по HTTPS. По този начин, дори да бъде компрометирана връзката, вероятността бисквитката да бъде “открадната” е по-малка, тъй като комуникацията е криптирана.
Друг флаг, който може да бъде добавен към бисквитката, е HttpOnly. Той указва на браузъра, че точно този тип бисквитка може да бъде предоставена само на сървъра, но не и на локалните API интерфейси, което я прави неподатлива на кражба чрез cross-site scripting (XSS) атака. Все пак такава бисквитка все още може да е предмет на CSRF атаки.
Бисквитките се създават от страна на сървъра чрез HTTP хедъра Set Cookie. Примерен синтаксис е:
Expire атрибута оказва до кога ще бъде валидна тази бисквитка, т.е. кога да бъде изтрита от браузъра. Флаговете (HttpOnly, Secure) не приемат стойности, а тяхното наличие оказва, че са приложени.
Бисквитка без HttpOnly флаг
Предпазването от CSRF атаки се задава с атрибута SameSite, който може да приема три стойности – Strict, Lax или None. Напр. бисквитка със зададен артибут SameSite=Strict браузърът ще изпраща в отговор на заявки, идващи от домейн, съвпадащ с таргет домейна.
Бисквитка с флаг HttpOnly и атрибут SameSite=Strict
През декември 2020 г. ESET разкри нова supply chain атака, насочена към правителствения орган на Виетнам, който издава цифрови сертификати за електронно подписване на официални документи (Vietnam Government Certification Authority – VGCA). Тази атака е компрометирала държавния инструментариум за цифров подпис, инсталирайки по този начин задна врата (backdoor) в системите на всички, които го използват.
Всеки виетнамски гражданин, частна компания или държавна организация, която иска да обменя файлове с виетнамското правителство, трябва да ги подпише с VGCA-съвместим цифров сертификат.
VGCA не само издава тези цифрови сертификати, но също така предоставя готови и лесни за ползване „клиентски приложения“, които да бъдат инсталирани локално и да автоматизират процеса по подписване на документите.
Детайлният доклад на ESET, наречен „Operation SignSight„, гласи, че злонамерени лица са пробили уебсайта на правителствения орган (ca.gov.vn) и са инсталирали малуер в две от клиентските приложения, налични за сваляне. Те са пригодени за 32-битови (gca01-client-v2-x32-8.3.msi) и 64-битови (gca01-client-v2-x64-8.3.msi ) Windows ОС.
„Компрометирането на уебсайта на сертифициращия орган е добра възможност за APT групите, тъй като посетителите вероятно имат високо ниво на доверие в държавната организация, отговорна за цифровите подписи“, споделя Матиу Фау от ESET.
Screenshot от компрометирания сайт ca.gov.vn
Телеметрията на ESET показва, че в периода 23 юли – 5 август 2020 г. двата файла, отбелязани по-горе, са били заразени с троянски кон наречен PhantomNet, по-известен като Smanager.
Злонамереният софтуер не е сложен, но служи като основа за надграждане с по-мощни плъгини. Например такива, които включват в себе си функционалност за извличане на прокси настройки за заобикаляне на корпоративните защитни стени и възможност за изтегляне и стартиране на други (злонамерени) приложения.
Опростена схема на supply chain атака
Според специалистите от ESET, този backdoor е използван за разузнаване на конкретни мишени, с цел осъществяване на последваща по-сложна атака.
В деня, в който ESET публикува своя доклад, VGCA също официално призна за пробив в сигурността и публикува учебен материал за това как потребителите могат да премахнат зловредния софтуер от своите системи.
Жертви на PHANTOMNET са открити и във Филипините
Жертви, заразени с PhantomNet, са засечени и във Филипините, но при тях по-вероятно е използван друг механизъм за инсталация на зловредният софтуер.
ESETне приписва официално атаката на никоя конкретна група, но предишни доклади свързват зловредния софтуер PhatomNet (Smanager) с държавно спонсориран кибершпионаж от страна на Китай.
Инцидентът с VGCA бележи петата голяма supply-chain атака през 2020 година след:
SolarWinds – Руски хакери компрометираха механизма за актуализация на приложението SolarWinds Orion и заразиха вътрешните мрежи на хиляди компании по цял свят със злонамерен софтуер Sunburst
Able Desktop – Китайски хакери компрометираха механизма за актуализация на чат приложението , използвано от стотици монголски правителствени агенции
GoldenSpy – Китайска банка принуждаваше чуждестранни компании, опериращи в Китай, да инсталират инструментариум за данъчен софтуер с налична задна врата (backdoor)
Wizvera VeraPort – Севернокорейски хакери компрометираха системата Wizvera VeraPort, за да доставят злонамерен софтуер на южнокорейските потребители
С този материал искаме да насочим вниманието ви към потенциалния обхват на една supply chain атака, тъй като тя не е ограничена териториално.
Доста отговорни правителства създават т.нар bounty-програми, в които етични хакери помагат за подобряване на защитата на държавно ниво – препоръчваме и на българското правителство да го направи.
