Топ новини

Последен ъпдейт на 16 януари 2021 в 15:55 ч.

Така наречените “бисквитки” (HTTP cookies) са съществена част от Интернет, такъв какъвто го познаваме днес. Те позволяват на уеб страниците да ви „помнят“ като потребител: какво имате в пазарската си количка, какви страници посещавате, какви теми ви интересуват и т.н. Всичко това обаче ги прави ценен източник на лична информация, от който недоброжелатели могат да се възползват.

Какво точно са бисквитките и къде се съхраняват

HTTP бисквитките представляват текстови файлове, съдържащи информация за потребителско име и парола. Те се използват за идентифициране на компютъра ви в мрежата. Маркират се с уникално ID, отнасящо се точно за вас. Изпращат се от сървъра, където е разположен достъпвания от вас сайт, до компютъра ви.  Когато компютър и сървър си обменят бисквитка, сървърът прочита съдържащото се в нея ID и вече ви „познава”.

HTTP бисквитките се създават, когато посетите даден сайт за първи път. Те пазят информация за сесиите ви – времето, прекарано в сайта.

Форматът на бисквитката представлява двойка “поле-стойност”. Уеб сървърът, изпраща кратък поток от идентификационни данни към браузъра ви, които той да запази.  Тук възниква въпросът – къде се пазят тези бисквитки? Отговорът е – локално в браузъра, тъй като е нужно той да помни двойката “поле-стойност”, която ви идентифицира като потребител. По този начин, когато отново посетите същия сайт, браузърът ви ще изпрати запазената бисквитка към уеб сървъра му, който пък ще възстанови данните от предходните ви сесии.

За да си представите по-лесно процеса по генериране и използване на бисквитки, можем да го сравним с използването на гардероб в театър:

1. Предавате палтото си на гардеробиера – това е еквивалентно на момента, в който за първи път се свързвате с уеб сървъра на посещавания сайт. Създава се запис за тази връзка, който може да включва информация за личния ви акаунт, кои категории сте посетили, какво сте пазарували от сайта и др.
2. Получавате номерче, което ви идентифицира като собственик на точно това палто – именно това е бисквитката за дадения уеб сайт, която се съхранява в браузъра. Тя притежава уникално ID за всеки потребител.
3. Ако решите да си вземете палтото, за да излезете по време на антракта, и после пак да го върнете, използвате същото номерче – така е и когато посетите уеб сайт отново – браузърът му предоставя запазената бисквитка (ако не сте я изчистили). Сървърът прочита ID-то в нея и свързва данните за активността ви от предходни посещения в този сайт.

Да позволите или да забраните бисквитките

Безспорно бисквитките улесняват сърфирането в интернет, но от друга страна представляват риск за конфиденциалността на данните и браузър историята ви като потребител.

Бисквитките не могат да заразят компютъра ви с вируси. Недоброжелатели обаче могат да ги “откраднат” и да си осигурят достъп до браузър сесиите, които съдържат информация за вас.

Забраната на всички бисквитки на браузъра може да затрудни навигацията в някои уебсайтове. Все пак можете да зададете настройки, които контролират или ограничават бисквитки на трети страни и проследяване. Така ще защитите поверителността ви, докато пазарувате или сърфирате онлайн.

Бисквитките се настройват по различен начин във всеки баузър, но логиката е сходна – обикновено се намират в менюто Настройки -> Поверителност и сигурност. Напр. в Google Chrome: От менюто навигирайте до Settings -> Privacy and security -> Cookies and other data -> See all cookies and site data.

Как бисквитките помагат на вас и на собствениците на сайтове

Благодарение на бисквитките, уеб сайтовете ви „разпознават“ и ви представят релевантна информация, съобразно предпочитанията ви – напр. спортни новини, вместо политически. Показването на персонализирани реклами става именно заради бисквитките – на база разглежданите до момента от вас продукти, се подбират свързани реклами и материали, които да ви се визуализират.

Онлайн магазините използват бисквитките, за да следят продуктите, които сте разглеждали, и да ви предлагат сходни. Бисквитките са тези, които помагат покупките в количката ви да се запазят, дори ако неволно затворите уеб страницата. Не може да отречете, че всичко това ви улеснява като потребител!

Колко дълго се съхраняват бисквитките

Съществуват два типа бисквитки: сесийни и постоянни (persistent). Сесийните се използват за навигация в сайтовете – например за работата на бутона „назад“. Те се пазят в RAM паметта и след като приключите сесията, се изтриват автоматично. За разлика от тях, постоянните бисквитки се пазят за неопределено време, освен ако изрично не е зададен срок за съхранение. Точно те се използват за автентикирането ви като потребител (следят дали сте логнат и с какво име) и пазят информация за повторните ви посещения.

Под ваш контрол ли е генерирането на бисквитки

First-party бисквитките се създават директно от уеб сървъра на сайта, който използвате в момента. Като цяло са безопасни, стига самият уеб сайт да е безопасен и да не е бил компрометиран.

Бисквитките на трети страни (third-party) изискват по-голямо внимание, защото те се създават от сайтове, различни от този, на който се намирате в момента – те обикновено са свързани с рекламите, които се визуализират на сайта. Посещението на страница с десет появяващи се реклами може да генерира десет различни бисквитки, дори и да не кликате върху рекламите. Този тип бисквитки позволяват на рекламните компании да следят историята от сърфирането ви из цялото интернет пространство, стига да посещавате страници с техни реклами.

Можете да повишите нивото на сигурност на бисквитките

Бисквитките, респективно потребителските данни, които се съхраняват в тях, могат да бъдат една идея по-защитени чрез допълнителни флагове и атрибути.

Пример за такъв е Secure флагът. Бисквитка с този флаг може да бъде транспортирана единствено по криптиран канал, или с други думи не може да бъде предавана по HTTP, а само по HTTPS. По този начин, дори да бъде компрометирана връзката, вероятността бисквитката да бъде “открадната” е по-малка, тъй като комуникацията е криптирана.

Друг флаг, който може да бъде добавен към бисквитката, е HttpOnly. Той указва на браузъра, че точно този тип бисквитка може да бъде предоставена само на сървъра, но не и на локалните API интерфейси, което я прави неподатлива на кражба чрез cross-site scripting (XSS) атака. Все пак такава бисквитка все още може да е предмет на CSRF атаки.

Бисквитките се създават от страна на сървъра чрез HTTP хедъра Set Cookie. Примерен синтаксис е:

 

Expire атрибута оказва до кога ще бъде валидна тази бисквитка, т.е. кога да бъде изтрита от браузъра. Флаговете (HttpOnly, Secure) не приемат стойности, а тяхното наличие оказва, че са приложени.

Предпазването от CSRF атаки се задава с атрибута SameSite, който може да приема три стойности – Strict, Lax или None. Напр. бисквитка със зададен артибут SameSite=Strict браузърът ще изпраща в отговор на заявки, идващи от домейн, съвпадащ с таргет домейна.

През декември 2020 г. ESET разкри нова supply chain атака, насочена към правителствения орган на Виетнам, който издава цифрови сертификати за електронно подписване на официални документи (Vietnam Government Certification Authority – VGCA). Тази атака е компрометирала държавния инструментариум за цифров подпис, инсталирайки по този начин задна врата (backdoor) в системите на всички, които го използват.

Всеки виетнамски гражданин, частна компания или държавна организация, която иска да обменя файлове с виетнамското правителство, трябва да ги подпише с VGCA-съвместим цифров сертификат.

VGCA не само издава тези цифрови сертификати, но също така предоставя готови и лесни за ползване „клиентски приложения“, които да бъдат инсталирани локално и да автоматизират процеса по подписване на документите.

Детайлният доклад на ESET, наречен „Operation SignSight„, гласи, че злонамерени лица са пробили уебсайта на правителствения орган (ca.gov.vn) и са инсталирали малуер в две от клиентските приложения, налични за сваляне. Те са пригодени за 32-битови (gca01-client-v2-x32-8.3.msi) и 64-битови (gca01-client-v2-x64-8.3.msi ) Windows ОС.

„Компрометирането на уебсайта на сертифициращия орган е добра възможност за APT групите, тъй като посетителите вероятно имат високо ниво на доверие в държавната организация, отговорна за цифровите подписи“, споделя Матиу Фау от ESET.

Телеметрията на ESET показва, че в периода 23 юли – 5 август 2020 г. двата файла, отбелязани по-горе, са били заразени с троянски кон наречен PhantomNet, по-известен като Smanager.

Злонамереният софтуер не е сложен, но служи като основа за надграждане с по-мощни плъгини. Например такива, които включват в себе си функционалност за извличане на прокси настройки за заобикаляне на  корпоративните защитни стени и възможност за изтегляне и стартиране на други (злонамерени) приложения.

Според специалистите от ESET, този backdoor е използван за разузнаване на конкретни мишени, с цел осъществяване на последваща по-сложна атака.

В деня, в който ESET публикува своя доклад, VGCA също официално призна за пробив в сигурността и публикува учебен материал за това как потребителите могат да премахнат зловредния софтуер от своите системи.

Жертви на PHANTOMNET са открити и във Филипините

Жертви, заразени с PhantomNet, са засечени и във Филипините, но при тях по-вероятно е използван друг механизъм за инсталация на зловредният софтуер.

ESETне приписва официално атаката на никоя конкретна група, но предишни доклади свързват зловредния софтуер PhatomNet (Smanager) с държавно спонсориран кибершпионаж от страна на Китай.

Инцидентът с VGCA бележи петата голяма supply-chain атака през 2020 година след:

• SolarWinds – Руски хакери компрометираха механизма за актуализация на приложението SolarWinds Orion и заразиха вътрешните мрежи на хиляди компании по цял свят със злонамерен софтуер Sunburst
• Able Desktop – Китайски хакери компрометираха механизма за актуализация на чат приложението , използвано от стотици монголски правителствени агенции
• GoldenSpy – Китайска банка принуждаваше чуждестранни компании, опериращи в Китай, да инсталират инструментариум за данъчен софтуер с налична задна врата (backdoor)
• Wizvera VeraPort – Севернокорейски хакери компрометираха системата Wizvera VeraPort, за да доставят злонамерен софтуер на южнокорейските потребители

С този материал искаме да насочим вниманието ви към потенциалния обхват на една supply chain атака, тъй като тя не е ограничена териториално.

Доста отговорни правителства създават т.нар  bounty-програми, в които етични хакери помагат за подобряване на защитата на държавно ниво – препоръчваме и на българското правителство да го направи.

Топ-новината в областта на киберсигурността е мащабният пробив в мрежата на Министерство на финансите на САЩ. FireEye вече публикува подробности относно инцидента със supply-chain атаката към SolarWinds.

В последните дни попаднахме на друго интересно проучване – на пионера в разследването на инциденти с оперативната памет, Volexity. Компанията  добавя  детайли и индикатори, свързани с компрометирането на сигурността, което засяга и клиентите на софтуерната платформа Orion на SolarWinds.

Още от 2019 до средата на 2020 г. Volexity успява да засече компрометирани сървъри, атаките към които носят почерка на същата група (UNC2452), която FireEye свързва с атаката към SolarWinds. Тъй като по това време подробности относно групата не са били известни, Volexity я наричат Dark Halo.

Общото между действията на Dark Halo и атаката към Orion на SolarWinds

Най-голямото доказателство за връзка, Volexity намира в домейните за C2 комуникация на зловредния софтуер, описани в доклада на FireEye:

• appsync-api.us-west-2.avsvmcloud[.]com
• freescanonline[.]com
• lcomputers[.]com
• webcodez[.]com

В първите подобни инциденти, разследвани от Volexity, са били открити множество инструменти, задни врати (Backdoor) и инжектирани зловредни кодове, които не са били използвани постоянно, а само при нужда – за ексфилтриране на точно определена информация.

Според доклада на Volexity, три големи инцидента се свързват с групата Dark Halo. Ние избрахме да се спрем на втория от тях, тъй като той дава най-ясна представа за една от техниките, използвана при ексфилтрирането.

Какво е Duo

Duo е дъщерна компания на гиганта Cisco, която предоставя лесен начин за интегриране на многофакторна автентикация (MFA) при достъп до приложенията на различни доставчици. В това число О365, ERP системи, VPN и т.н. Сред най-големите клиенти на Duo са US Department of Defense, US Department of Homeland Security, SalesForce, NIST и т.н.

Как се заобикаля Duo MFA

В разследван инцидент, свързан с Dark Halo, Volexity са наблюдавали как групата осъществява достъп до имейл акаунта на потребител, чрез OWA, при положение, че целевата пощенска кутия е била  защитена с MFA. Логовете от Exchange сървъра показват, че нападателите предоставят потребителско име и парола, като не им е изискано допълнително удостоверяване чрез Duo. В същото време, логовете от сървъра за удостоверяване на Duo не показват да са правени опити за влизане във въпросния акаунт. Volexity успява да потвърди, че не е имало прихващане на сесия и/или дъмп на паметта на OWA сървъра, а че нападателите са използвали бисквитка (cookie), свързана с Duo MFA сесията, наречена duo-sid.

Разследването на Volexity установява, че нападателите са имали достъп до секретния ключ за интегриране на Duo (skey) от OWA сървъра. Този ключ им е позволил да генерират предварително изчислена стойност, която да бъде зададена в бисквитката duo-sid. След успешно удостоверяване с парола, сървърът е оценил бисквитката duo-sid, като валидна. Така нападателите, разполагайки с потребителско име и парола са успели да заобиколят напълно MFA.

Важно е да се отбележи, че това не е уязвимост при доставчика на MFA: необходимо е всички пароли, свързани с ключовете за интеграции, като тези с доставчика на MFA, да бъдат променени след подобен инцидент. При това е особено важно паролите да бъдат сменени с такива, които по нищо не наподобяват старите (Пример: Да промените Sofia2020 на Plovdiv2020 не е добро решение!).

Става дума за продължително организирана атака

Друга интересна подробност, e че още през юли 2020 г. Volexity  са идентифицирали подозрителни административни команди и ActiveSync аномалии в Exchange инфраструктурата на клиента, чийто инцидент са разследвали. След обстойно проучване е било потвърдено, че има пробив в мрежата и крайните станции, като атакуващите са използвали команди, свързани с експортирането на мейли и ексфилтрирането им през Outlook (OWA). Много от детайлите описани тогава, се припокриват с доклада на FireEye, включително и такива, свързани с евентуална инфекция на SolarWinds машината на клиента.

За съжаление Volexity не са успели да опишат в детайли компрометирането на  SolarWinds и да предоставят нужните доказателства на разработчика. Съответно не е имало възможност за по-нататъшно разследване и разкриване на проблема със supply-chain атаката по-рано.

През последните дни ви предоставяме различни анализи и гледни точки за това как се е стигнало до хака на американската администрация. Основната ни цел е да насочим вниманието на отговорниците по сигурността (CSO и др.) към различните пробойни и недостатъци и да не подценяват дребните пропуски. Защото хакерите търсят най-слабото ви звено.

Последен ъпдейт на 16 декември 2020 в 13:48 ч.

За тези, които не знаят за какво служи платформата Orion на SolarWinds – това е система за управление на мрежата (NMS – Network Management System).

SolarWinds е един от най-използваните и широкоразпространени брандове NMS в световен мащаб. Използва се в средни и големи частни организации, правителствени агенции, военни и други стратегически формирования с национално значение.

NMS обикновено служи за наблюдение на мрежови устройства и критични сървъри. Ако някога сте виждали мрежова карта, на която устройствата са показани в зелено/жълто/червено, то тя вероятно е създадена от NMS.

Как NMS генерира картата

Понякога това е проста задача – колкото командата за проверка на наличността на дадена система в мрежата (ping).  По-често обаче NMS използва SNMP (протокол за наблюдение и управление на мрежата) или инсталиран върху машината агент, за да научи или промени състоянието на отдалечените устройства. В допълнение към това, тези управляващи мрежата системи могат да променят конфигурацията, да рестартират услуги и т.н. Разбира се, не всички NMS са в състояние или имат права да правят промени или поне – не за всички системи в инфраструктурата.

Защо NMS са отлични цели за атакуващия и защо евентуален хак е труден за откриване

Както споменахме по-горе, NMS имат достъп до повечето (може и до всички) системи в мрежата, така че изходящите IP ACL (правилата за контрол на мрежовия трафик) не са полезен контрол. Netflow (протоколът, следящ за активността в мрежовия трафик) обикновено също не помага, тъй като NMS не само има достъп до всичко, но и говори много – тя се нуждае от разнообразна информация относно мрежата, която управлява, за да е максимално полезна.

Може би добра новина е, че NMS рядко има достъп до всички системи. Лоша новина е, че до най-критичните системи, най-вероятно достъпът е с най-високи привилегии и са позволени, както промяна в конфигурации, така и рестартиране на сървиси, цели машини или достъп до чувствителна информация, касаеща работата на системата. Това, разбира се, не е провал в моделирането на сигурността, защото същността на работа на тези системи предполага подобен тип взаимодействие с машините в мрежата. Нека си припомним, че сигурността включва и наличност (CIA – Confendentiality, Integrtity, Availability). В този ред на мисли, колкото по-критична е системата, толкова по-вероятно е да искате да осигурите нейната наличност. NMS я осигурява, като следи за услуги, които не реагират и ги рестартира автоматично, като част от зададен автоматизиран процес, а в повечето случаи – дори и без администраторът да разбере.

Друга лоша новина е, че дори и само в режим на монитор, NMS все още може да се използва за четене на конфигурации, които често включват достатъчно информация, за да могат хакерите да преминат от една система в друга (lateral movement). По-този начин хакерът може незабелязано да прескача от система към система, деактивирайки средствата им за защита и преодолявайки механизмите за наблюдение.

Сега вече всички се досещате, защо компрометирането на SolarWinds NMS е апетитна хапка и защо хакерите са се насочили точно към тази система:

1. Широкото й разпространение предоставя възможност за достъп до голям брой системи в таргетирани организации, вкл. такива от национално значение
2. Критичността и нивата на достъп на системата на практика осигуряват ключа за цялото „кралство”. Това е все едно да имате потребител „enterprise domain super administrator plus”

Какво трябва да направите ако имате инсталиран SolarWinds NMS

1. Не изпадайте в паника и не го изтегляйте офлайн
2. Следете “изкъсо” препоръките на производителя и приложете всички налични и бъдещи ъпдейти, които се публикуват
3. Помислете и за наблюдение и предупреждение при всеки опит за достъп до администраторския интерфейс
4. Независимо коя NMS използвате, препоръчваме да заключите достъпа до администраторските интерфейси, като използвате списъци за контрол на достъпа

Откриването на аномалии в трафика няма да е лесно, но в следващите няколко дни и седмици ще се появят IOCs (indicators of compromise), които ще подпомогнат системите за наблюдение.

В повечето организации NMS се конфигурира от администраторите, чиято единствена цел е осигуряване на наличност. Работете заедно с екипите по сигурност и моделирайте системите също и от гледна точка на поверителност.

В заключение само ще кажем, че NMS са “необходимото зло”. Без тях конфигурирането, управлението и наблюдението на множество системи би довело до доста по-силен “слънчев вятър” (solar wind), който би „довял“ съпътстващи проблеми. Или иначе казано – не изхвърляйте бебето, заедно с водата за къпане! Обърнете сериозно внимание на моделирането на сигурността в организацията си, за да минимизирате риска и щетите при евентуален инцидент. Ако срещате трудности – допитайте се до специалисти с опит и познания по темата.

Последен ъпдейт на 2 януари 2021 в 18:46 ч.

Правителството на САЩ съобщи за мащабен пробив в мрежата на Министерство на финансите, а вероятно и на други държавни агенции. Все още не е ясен пълния списък със засегнати структури, но се очаква той да нарасне.

Експертите смятат, че няма достатъчно квалифицирани екипи от специалисти, които да идентифицират надлежно всички правителствени и частни системи, които може да са били хакнати. Държавната администрация пък не иска да сподели пълния обхват на инцидента и имената на засегнатите.

Не е ясно какво точно са търсили хакерите, но експертите казват, че това може да включва ядрени тайни, схеми на усъвършенствани оръжия, изследвания, свързани с ваксината COVID-19 и информация от досиетата на ключови държавни и индустриални лидери.

За атаката се счита, че е част от киберкампания срещу американски институции, жертва на която стана и компанията за киберсигурност FireEye. Смята, че зад атаката стои чуждо правителство, като най-много се спряга руско участие.

Пробивът е станал през широкоизползвания софтуер за мониторинг на ИТ инфраструктура Orion на компанията SolarWinds. Веднъж получили отдалечен достъп до него, всичко в засегнатата мрежа  става видимо за хакерите.

Според разследване на Microsoft,  зловреден код е бил вмъкнат в DLL файл, свързан с платформата за управление на инфраструктурата Orion. Той е осигурил на хакерите backdoor, използван за осъществяване на същинската атака.

SolarWinds asks all customers to upgrade immediately to Orion Platform version 2020.2.1 HF 1 to address a security vulnerability. More information is available at https://t.co/scsUhZJCk8

— SolarWinds (@solarwinds) December 14, 2020

За пробивът в американското правителство е станало ясно при разследването, което FireEye е провела в собствената си мрежа. Компанията е установила, че софтуерът на SolarWinds е инжектиран със зловреден код, който се е разпространил с ъпдейт, приложен през март 2020.

На сайта си SolarWinds заявяват, че имат над 300 хил. клиенти по целия свят, включително всичките пет клона на американската армия, Пентагона, Държавния департамент, НАСА, Агенцията за национална сигурност, Министерството на правосъдието и Белия дом. Според него 10-те водещи американски телекомуникационни компании и петте най-добри американски счетоводни фирми също са сред клиентите.

Флорида е първият щат, който призна, че е станал жертва на хака на SolarWinds. Cisco Systems Inc. и Microsoft Corp. също съобщиха, че системите им са били засегнати от злонамерения ъпдейт. Към списъка се присъединиха Министерството на енергетиката (DOE) и Националната администрация за ядрена сигурност (NNSA) на САЩ. Пентагонът е заявил, че към момента не са открити прониквания в мрежата му.

Американските държавни агенции са получили директива за предприемане на незабавни действия, които да намалят щетите от използването на компрометирания софтуер Orion на SolarWinds.

Продължаваме да следим темата, за да ви информираме своевременно за развитието на инцидента.

Ситуацията показва, че 100% сигурност не съществува, но наличието на средства за проследяване на случващото се в мрежата (Cybersecurity Monitoring) ви дава възможност да реагирате навременно и адекватно и да вземете мерки за минимизиране на нанесените щети.

Прочетете още: Network Management System – перфектната цел за атака

Друга интересна гледна точка представяме и тук: Хакерите на SolarWinds заобикалят многофакторното удостоверяване на Duo

Денят на компютърната сигурност (Computers Security Day) се чества от 1988 г. – откакто компютрите станаха ежедневие, а едновременно с това се появиха и вирусите за тях. Важните данни, съхранявани на компютри и сървъри, се превърнаха в ценна мишена за хакерите. И това направи компютърната сигурност значима тема за бизнеса.

Най-добрият начин да отпразнувате този ден във вашата организация е да направите  преглед на компютрите, устройствата и данните в облака и да попълните евентуалните пропуски в защитата, която сте им осигурили. Предлагаме ви примерен списък с най-необходимото:

Различни и трудни за отгатване пароли

Отново и отново… много потребители все още подценяват необходимостта от пароли, трудни за отгатване от другите. Неслучайно 123456 продължава да оглавява класацията на Splashdata за най-слабите пароли. Паролата е една от малкото ключалки, които предпазват данните на устройството, затова тя трябва да е възможно най-трудна за разбиване.

Стандартните препоръки са паролата да е с дължина поне 8 символа (а още по-добре – над 14), да е комбинация от цифри, малки и големи букви и символи. Можете да използвате комбинация от няколко думи (passphrase). Това ще ви помогне да я запомните по-лесно, а освен това е по-дълга от стандартна парола с десетина символа.

Друга основна грешка е да използвате една и съща парола за много профили. Това създава сериозен риск за сигурността. Ако някой знае паролата за един от вашите профили, това означава, че той ще може да влезе и в останалите, за които сте задали същата парола. Използвайте различна парола за достъп до всеки ваш профил.

Мениджъри за пароли

Подходящ избор за хора, които не искат да помнят всичките си пароли или имат твърде много профили, които да достъпват. Те могат да генерират произволни силни пароли за вас, като използват математически алгоритми, и ги запомнят за всеки отделен профил или сайт. Цялата тази информация е криптирана и вие я достъпвате само с една главна (master) парола за отключване на приложението.

Някои от мениджърите на пароли използват облачни услуги за съхранение на криптирано копие, така че потребителят да има достъп до паролите от различните си устройства.

Това е много по-сигурен начин да съхранявате паролите си, отколкото на лепкави бележки или документи в компютъра си или още по-лошо – да използвате една парола навсякъде.

Многофакторна автентикация (MFA, 2FA)

Повечето информационни системи по подразбиране са защитени с парола, но тя може да бъде разбита или открадната. Многофакторната автентикация действа като втори защитен слой, с който се удостоверява допълнително самоличността на този, който достъпва информационните ресурси.

По този начин се намалява риска от кражба на чувствителна информация – дори някой да открадне паролата ви, той няма да може да достъпи вашите данни. Всеки уважаващ себе си доставчик на онлайн услуги (Facebook, Google, Amazon и т.н.) дава възможност да активирате MFA/2FA в профила си, така че го направете.

Използвайте ъпдейтната операционна система

Ако все още имате компютър, който работи с остарелите Windows XP или Vista, трябва да знаете, че това създава огромна уязвимост за сигурността ви. Направете ъпгрейд към актуалната версия на MS Windows / Linux, като е важно и да инсталирате редовно актуализациите на защитата.

Бекъп план и възстановяване на данните

Ако по някаква причина изгубите данните си – дали заради хакерска атака, природно бедствие или амортизация на сървърите – резервното копие на информацията ще ви помогне да се върнете към обичайния ритъм на работа, без да губите време и пари.

Да имате резервно копие на важните си данни не означава просто да сте ги копирали от една папка в друга на същия хард диск/PC. Нужно е да осигурите второ външно устройство или да държите копие в облака. Това ще ви гарантира, че при какъвто и да било проблем, бизнесът ви ще може да възобнови нормалната си дейност максимално бързо.

Защита на отдалечен достъп и VPN

Уязвимостите в RDP (Remote Desktop Protocol) са добре известни на хакерите и често те ги експлоатират, за да се получи достъп до някой компютър или сървър, а оттам и до цялата ви мрежа.

Достъпването на информационни ресурси от разстояние – много актуално днес – трябва да става през VPN. Тази технология дава сигурност и конфиденциалност и предпазва от кражба на информация. Като допълнителна превантивна мярка може да ограничите броя на IP адресите и мрежите, които имат достъп до RDP.

Антивирусен софтуер

Антивирусните програми днес имат много по-разширени функции, отколкото преди две десетилетия. Днес те трябва да могат да засичат широк кръг от заплахи, включително  спам, фишинг, криптовируси (ransomware) и т.н.

Ето защо постоянното обновяване на антивирусното решение е критично важно. Нови видове заплахи се появяват постоянно и е много малко вероятно антивирусният софтуер да ви защити, ако не е обновен до актуалната последна версия на продукта.

Софтуер за защита от източване на данни

Data Loss Prevention (DLP) е препоръчителен, включително по GDPR и независимо дали компанията ви използва модела BYOD (Bring Your Own Device). Това е решение, което намалява риска от изтичане на чувствителни данни. С него може да контролирате както дейността на служителите, така и достъпа, модифицирането и изпращането на служебна информация.

Криптиране на устройствата

Ако лаптопът на служител бъде откраднат (или просто изгубен), с информацията на него може да бъде злоупотребено. Криптирането на устройството решава този проблем. Ако данните на лаптопа ви са криптирани, те не могат да бъдат разчетени от външно лице. За да се случи това е необходима парола, която знаете само вие, като собственик на устройството.

Избягване на публични WiFi мрежи

Безплатният интернет е хубаво нещо, но трябва да си дадете сметка за цената, която всъщност плащате, за да го ползвате. WiFi мрежите в заведения и други публични места може да са компрометирани. Трафикът в тях може да се следи, а това означава, че всяка некриптирана информация, която преминава в мрежата, е видима за този, който „подслушва“ (man in the middle attack).

Ако трябва да се закачите към общественодостъпна мрежа, използвайте VPN. Не отваряйте сайтове без HTTPS, защото информацията, която обменяте с тях, е лесно проследима.

В България има почти 27 хил. отворени WiFi мрежи. Всяка от тях крие риск от кражба на данни, така че използвайте ги отговорно. Или по-скоро не ги използвайте.

Дълго чаканите празнични намаления започват: Клиентите ще купят изгодно подаръци за близките си, търговците ще навъртят оборотите, които чакат цяла година, а хакерите… ще откраднат колкото могат повече и от едните и от другите. След като това ни е пределно ясно, най-логично е да положим нужното внимание и мерки, за да посрещнем Новата година щастливи, а не ощетени и разочаровани.

Колкото повече онлайн покупки, толкова повече възможности за хакерите

Търговците на дребно, които бяха сериозно ударени от пандемията, ще се възползват от празничната еуфория, като изпратят още повече имейли с отстъпки и оферти, отколкото през 2019 г. – те лесно могат да бъдат подправени, за подмамят потребителите. Внимавайте: оферта, която е твърде добра, за да е истина най-вероятно е поредният опит за измама!

Потребителите пазаруват повече онлайн, отколкото преди COVID-19, за да останат в безопасност по домовете си. Това води до увеличаване броя на потенциалните жертви на измами, фишинг атаки и други злонамерени дейности.

Киберпрестъпниците са напълно наясно колко пари биха могли да откраднат от нетърпеливите онлайн купувачи, търсещи ниски цени. Милиардите, похарчени от потребителите по целия свят, са стимул за хакерите, по-силен и по-опасен от всяко друго време през годината.

Фишингът си остава най-популярната кукичка за клиенти

Очаква се и тази година фишингът (измамните и-мейли) да бъде основна заплаха по време на голямото пазаруване – при това все по-убедителен и по-труден за разпознаване от получателите.

Винаги проверявайте внимателно адресите, от които получавате имейли: задръжте курсора на мишката върху адреса (без да кликате) и проверете дали се визуализира името на подател, който познавате и очаквате. Използвайте публично достъпни инструменти за проверка дали даден файл или сайт не е злонамерен (напр. https://www.virustotal.com/gui/). В краен случай, винаги можете да се свържете с търговец чрез уебсайта му, за да проверите дали имейлът, който сте получили от него, е истински. Пазете се също и от телефонни измами и  фалшиви виртуални събития.

Пазарувайте предпазливо

Никой не е безгрешен, особено под еуфорията за предстоящите празници. С колкото повече правила се съобразявате, толкова по-малка ще бъде вероятността нещо да развали празника ви:

• Пазарувайте от проверени магазини
• Проверявайте отзивите на останалите клиенти
• Не изпращайте пари на непознати
• Проверявайте защитата на плащанията, която онлайн магазина прилага
• Използвайте кредитни карти за плащане, защото те са застраховани
• Никога не изпращайте данните от картата си по и-мейл
• Не споделяйте детайли от платежната си карта ако няма да пазарувате
• Уверете се, че сайтовете, от които пазаруване са защитени (HTTPS, SSL)
• Пазете всички документи, свързани с онлайн покупката ви

Е-търговци,  #SellSafe – информирайте се и споделяйте

2020 е годината на онлайн търговията, вероятно тенденцията ще продължи. Затова е логично да отделим специално внимание на уязвимостта на продавачите през дните на голямото предпразнично пазаруване. #SellSafe е кампания, насочена специално към електронните търговци. Тя цели да им помогне да идентифицират по-добре измамите, насочени към техните платформи и да предприемат стъпки за защита на бизнеса и клиентите си срещу кибератаки. Провежда под шапката на 2020 e-Commerce Action, като обединява усилията на правоприлагащите органи от 16 европейски държави и Европейския център за киберпрестъпност на Европол (EC3). Замисълът на кампанията е, както организаторите, така и търговците да споделят послания и информация за инциденти, използвайки #SellSafe, за да достигнат до възможно най-широката аудитория.

В началото на тази кампания редица държави са извършили оперативни действия, довели до ареста на 22 онлайн измамника само през октомври 2020 г.

Как да защитите вашия е-бизнес

Собственици на електронни магазини, проверете дали сте предприели следните мерки:

• Познавайте платформата си: Знайте какви модули включва електронния ви магазин и следете всички те да се актуализират редовно
• Правете регулярни одити на сигурността на сайта или платформата си: Професионална фирма за киберсигурност ще открие уязвимостите и ще ви помогне да ги отстраните
• Познавайте клиентите си: Изградете си механизъм за проверка, който да ви гарантира, че изпращате закупената стока точно на лицето, което е платило за нея
• Осигурете защитен канал за плащане: Активирайте безопасна система за плащане, която задължава клиентите да сертифицират, че те правят поръчката
• Използвайте надежден доставчик: Изберете надежден доставчик или метод за доставяне на стоките, които продавате. Освен, че ще гарантира успешното финализиране на сделката, това ще предотврати и потенциални рекламации

На финала ще повторим: И тази година хакерите ще положат максимални усилия да се възползват от колкото е възможно повече участници в онлайн пазаруването. Методите им няма да са уникални – просто ще разчитат на вашето невнимание или прибързаност. Не им предоставяйте тази възможност – запазете празника за себе си и за своите близки.

Както всеки администратор знае, хаковете са навсякъде около нас и постоянно еволюират. С една-единствена цел – да ни затруднят да ги разпознаем и класифицираме и да оцелеят възможно най-дълго в нашата компютърна екосистема.

Всяка кибератака представлява комплексен низ от стъпки, събития и действия, които трябва да се изпълнят последователно, за да бъде тя успешна. Ако администраторите познават основните фази, през които преминава изпълнението на една кибератака, те ще могат да я разпознаят в някой от етапите на протичането й и да я предотвратят.

Първа фаза:  Разузнаване

Атакуващият има нужда от максимум информация за жертвата си, за да планира правилно атаката. В тази фаза се тестват и изследват механизмите за защита на жертвата. Хакерът обикновено търси уязвимо устройство или уязвима операционна система. Опитва се да научи максимално много за служителите, използвайки социални медии. Понякога дори използва партньори с по-слаба защита, които могат да бъдат компрометирани лесно, като точка за достъп до основната жертва.

Противодействие:

• Не публикувайте твърде много информация в интернет и по възможност редактирайте или отстранете т.нар. банери на сървърите, които използвате. Те указват точната версия, която се използва и по този начин дават на атакуващия предимство в търсенето на уязвими места.
• Обучавайте служителите си да не споделят прекомерно и ненужно в социалните мрежи
• Проверявайте внимателно дали получените съобщения идват наистина от ваши партньори и дали прикачената информация не е измама

Втора фаза: Подготовка за атака (въоръжаване)

След като открият уязвимост в инфраструктурата на набелязаната жертва, атакуващите подготвят приложения, с които да я експлоатират, като се стремят да останат незабелязани. Повечето киберпрестъпници използват инструменти, които вече са известни и са използвани и в миналото. Ако такива обаче липсват, по всяка вероятност атакуващите ще се въоръжат с т.нар. Zero-Day експлойт, срещу който все още няма подготвени дефиниции или кръпки.

Противодействие:

• Създайте във вашата организация политики и процедури за информационна сигурност, за да повишите нивото си на защита или се обърнете към специалисти, които да го направят за вас

Вижте също: Какво е Zero trust security и защо да го въведете в компанията си през 2020 г.

Трета фаза: Доставяне

След като се „въоръжи“, престъпникът трябва да намери механизъм, с който да достави пейлоуда (файлът, който изтегля същинския зловреден код). Това става най-често чрез фишинг имейли, а също и през инфектирани уеб сайтове, фалшиви реклами и др. Атакуващият се нуждае само от една слабост – един служител, който да натисне грешния линк или да отвори неправилният файл.

Противодействие:

• Използвайте технически средства, с които да отсеете масовката от спам и фишинг
• Провеждайте адекватни и регулярни обучения за персонала ви, за да могат те да разпознават фишинг атаки, както и други заплахи
• Използвайте услуги или системи за мониторинг, които биха ви подсказали за нетипично поведение в мрежата или крайните станции.

Прочетете още: Защо фишингът е най-често използваният метод за кибератаки?

Четвърта фаза: Експлоатация

След като пейлоудът е доставен успешно, той трябва да бъде изпълнен незабелязано. Повечето атаки се фокусират върху приложения от трети страни, които работят с по-високи права върху операционната система. В повечето случаи тези приложения не се ъпдейтват често и почти не се тестват за уязвимости, затова стават лесна мишена и входна врата към превземането на системата.

Противодействие:

• Подбирайте внимателно и не се предоверявайте на приложения от трети страни
• Прилагайте навреме и редовно наличните кръпки в операционната система и съпътстващите приложения
• Използвайте защита на крайните станции от доказал се разработчик
• Наблюдавайте действията на потребителите за нетипично поведение или изпълнение на съмнителен код върху системата, а при невъзможност да се справите сами, изнесете тази задача като услуга

Ще ви бъде интересно да разгледате: 15 добри практики за защита на приложенията – за разработчици и клиентите им

Пета фаза: Командване & Контрол

След като експлойта е доставен и изпълнен успешно, той започва да комуникира със сървър на нападателя. В повечето случаи тази комуникация бива криптирана, за да остане трафикът скрит. Целта на атакуващия е да бъдат свалени допълнителен зловреден код и инструменти, които да  проникнат и компрометират мрежата на жертвата.

Противодействие:

• Използвайте добри технологични решения, които бързо и точно да идентифицират злонамерения софтуер в системата
• Наблюдавайте мрежата си за съмнителен трафик и поведение

Шеста фаза: Вътрешно разузнаване

След като си осигури входна точка за достъп до инфраструктурата на организацията-жертва, атакуващият търси начини за движение по-навътре, за да си изгради топология на мрежата и да открие търсената информация. За целта той инфектира и други устройства – сървъри, домейни, крайни станции и дори IoT устройства.

Противодействие:

• Използвайте технологични решения, които да анализират съдържанието на мрежовия ви трафик и да защитават от мрежови атаки
• Използвайте силни пароли. Препоръчително е също да добавите MFA за всички администратори и за достъп до важните активи.

Седма фаза: Присъствие

Заветната цел на всеки атакуващ е да придобие контрол върху системата на жертвата или поне част от нея. След като това се случи, атакуващият прилага техники, с които запазва присъствието си върху машината, така че да може да я достъпи отново във всеки един момент. В повечето случаи се цели това присъствие да бъде запазено дори и ако системата бъде преинсталирана (за справка: UEFI Malware) или се направи опит да бъде почистена чрез антивирусни приложения.

Противодействие:

• Създавайте редовно резервни копия на важната за вас информация
• Ограничете достъпа до хранилищата на данни
• Използвайте надеждно криптиране
• Ако системата не е с голяма критичност – преинсталирайте я. Това е почти най-сигурния начин да елиминирате зловредния код.

Заключение

Компрометирането на една система или организация не е лесна задача, но както специалистите по информационна сигурност обичат да казват „100% сигурност няма“. При всички положения обаче разликата от 1% в защитата ви може да бъде критична и вие винаги трябва да бъдете максимално добре подготвени. Затова бихме ви посъветвали да се ориентирате към адаптирането на стандарт и добри практики за информационна сигурност. По този начин ще сте сигурни че няма да пропуснете важни стъпки и подходи при интегрирането и поддръжката на система за киберсигурност.

Разработката на мобилни и уеб app-ове преживява безпрецедентен растеж от 2010 г. насам. Днес всяка организация използва приложения, които са от ключово значение за функционирането й. Същевременно, техните слабости и уязвимостите на софтуера продължават да бъдат най-често срещания метод за външна атака.

Какво е сигурност на приложенията и защо тя е важна

Application Security е процесът на повишаване сигурността на приложенията чрез тестване, коригиране и подобряване на тяхната защита. Той се извършва предимно през фазата на разработка, но включва също инструменти и методи за защита на приложенията, след като те бъдат внедрени.

В доклад са представени резултатите от тестването на 85 хил. приложения:  Установени са общо 10 млн. проблема със защитата. 83% от всички апликации са имали поне един недостатък в сигурността. Това означава, че много от тестваните софтуери са имали доста повече от един недостатък. 20% от всички разглеждани приложения са имали поне един проблем със сигурността с висока степен на сериозност.

Прочетете още: Android вирус срещу банкови приложения вече краде пароли за социални мрежи и криптовалути

Повече приложения – повече проблеми

Днес приложенията се създават, внедряват и интегрират ежедневно, понякога за часове. Често липсва внимателно прецизиране на изискванията, създаване и тестване на прототипи – директно се доставя завършено решение за крайните потребители. Какви са недостатъците води след себе си този бум:

• Все повече програмисти–аматьори: Все повече самоуки начинаещи програмисти пишат мобилни приложения. Често на тях им липсват знания относно потенциалните проблемите със сигурността. За съжаление, подобни пропуски се откриват и при някои по-опитни екипи за разработка на приложения.
• Неефективна употреба на инструменти: Програмистите често не успяват да тестват сигурността на разработваните от тях приложения по най-оптималния начин, тъй като смятат, че това ще забави процеса по разработване.
• Липса на DevSecOps: Често софтуерът не се разработва по установените най-добри практики за сигурност. Пренебрегва се DevSecOps процеса (подхода“shift-left”), който е жизненоважен за откриването и отстраняването на проблемите със сигурността на възможно най-ранен етап.
• Уязвимости, свързани с open-source източници: Изчислено е, че 96% от корпоративните приложения използват open-source софтуер и библиотеки, които сами по себе си съдържат голям брой уязвимости.
• Непознаване на използваните приложения: Ако горните пропуски са присъщи на разработчиците, то този касае конкретно потребителите. Те трябва да са наясно с наличните приложения и свързаните с тях функционални рискове. Много организации биват хаквани през app, за чието наличие не са подозирали.

Разработчици, положете добрите основи за защита на приложенията

1. Имплементирайте DevSecOps подход. DevSecOps (shift-left) открива пропуски в сигурността на разработваните приложения още от самото начало. Чрез него може да предотвратите потенциалното възникване на проблеми или да ги разрешите възможно най-бързо ако такива се появят. Този метод позволява да засечете слабостите в сигурността по време на всеки етап от развитието на софтуера – от дизайна до пускането му на пазара.
2. Имплементирайте процес за управление на жизнения цикъл на разработвания софтуер от гледна точка на сигурността (Secure Software Development Life Cycle Management Process – SSDLC). SSDLC следи дали във всеки един етап софтуерът: 1) се разработва и поддържа от обучени и запознати с изискванията за сигурност служители, 2) се разработва в сигурна среда, 3) се доставя до клиентите сигурно.
3. Справете се с open-source уязвимостите. Следете постоянно за наличие на грешки и ги елиминирайте посредством прилагане на навременен patch и регулярни ъпдейти.
4. Aвтоматизирайте. Това е жизненоважно. Автоматизирането ще позволи на екипа ви да се съсредоточи върху по-сложните предизвикателства за сигурността.
5. Посещавайте редовни обучения по киберсигурност. Подсигуряването на кода на приложението е ваша отговорност. Затова е важно вие и екипът ви да бъдете обучени от специалисти по киберсигурност – съгласно спецификите на вашата работа и роля.
6. Регулярно обновявайте и прилагайте пачове. Това е един от най-ефективните начини да подсигурите софтуера си. Важна точка от този процес е планирането на самото обновяване – кой, какво и кога да направи. Предварителното дефиниране на подходящата архитектура ще предотврати проблеми, свързани с  евентуална несъвместимост на приложенията с новите версии.
7. Осигурете възможност за събиране на логове. Без тази информация е почти невъзможно да се определи кога се случва пробив. Анализирането на информацията за периода, предхождащ атаката, би имало пряко влияние върху нивото на сигурността и би било от полза при разследването.
8. Криптирайте информацията. Най-базовото криптиране е това, което използва SSL с валиден сертификат. Недопустимо е чувствителна информация като лични данни и пароли да се съхранява некриптирана, тъй като при една man-in-the-middle атака тя би попаднала незащитена в ръцете на недоброжелатели.
9. Провеждайте Pentesting. Pentester-ът ще се опита да хакне приложението с цел да открие уязвимости и потенциални вектори на атака. След това ще помогне за разрешаване на идентифицираните проблеми, за да предпази приложението от истинска атака. Добра практика е човекът, който ще извършва pentesting, да е външен експерт, който не е участвал в създаването на самото приложение.
10. Заложете валидиране на входните данни. Данните, които потребителят ще въвежда в приложението трябва да бъдат синтактично и семантично правилни. Предвидете нужните проверки на въвежданите цифри, символи, знаци и др.
11. Разрешавайте проблемите дългосрочно. Някои видове уязвимости се повтарят във времето (cross-site scripting (XSS), SQL injection, buffer overflow). Вместо да правите частична кръпка на проблема (patch), изкоренете уязвимостта в дългосрочен план: Определете кои са местата във вашето приложение, на които могат да се наблюдават тези уязвимости и елиминирайте причината за наличието им.
12. Управлявайте правилно контейнерите. Уверете се, че вашите контейнерни изображения са подписани  цифрово. Стартирайте автоматично сканиране за уязвимости с отворен код.

Потребители, погрижете се за сигурното използване приложенията

13. Познавайте съдържанието. Идентифицирайтe и разпознавайтe функционалностите на приложенията, които използвате.Не може да защитите от нещо, за което не знаете, че съществува.

14. Оценете риска от гледна точка на атакуващия. Може да си помогнете със следните стъпки:

• Създайте списък на всички активи, които изискват защита
• Идентифицирайте заплахите и определете как те да бъдат изолирани и премахнати
• Идентифицирайте вектори на атака, през които приложението може да бъде компрометирано
• Уверете се, че правилните мерки за сигурност са приложени и могат да засекат и предотвратят потенциални атаки
• Преценете дали има нужда от допълнителни или различни инструменти за защита
• Ако не можете да се справите сами, обърнете се към външен специалист по информационна сигурност

15. Ограничете достъпа до приложението.

• Определете кой потребител от какъв достъп има нужда
• Създайте правила за достъп
• Добра практика е прилагането на принципа на най-необходимия достъп (least privilege access)

В заключение

Application Security е процес, който се провежда, както от разработчици, така и от ползватели и външни специалисти. От планиране, реализиране, проверка за уязвимости и закърпване на дупките до сигурното използване на приложенията и ограничаване на достъпа до тях.

При инцидент, свързан с изтичане на данни, криптирани сървъри или друго, неприятностите са за всички.

Обезпечаването на сигурността става много по-лесно, когато всички участници се стремят към обща цел, а не прехвърлят собствената си отговорност на другите.

Визуализацията (краткият предварителен преглед) на линковете, които си разменяме през чат приложенията, е много удобна функционалност. Тя съдържа картинка и кратък текст, които ни насочват какво е прикаченото съдържание. Оказва се обаче, че това улеснение може да доведе до сериозни нарушения на поверителността и сигурността ви.

Как е възможно една обикновена функция да се превърне в заплаха

За да създаде подходяща визуализация, чат приложението трябва да посети връзката, да отвори файла там и да проучи какво има в него. В резултат на това, изпращането/получаването на линкове в някои чат приложения може да отвори вратички, които недоброжелатели да използват.

Instagram сървърите например изтеглят всеки един директен линк, който се изпраща в съобщение, независимо от големината му. Това означава, че хакерите спокойно могат да инжектират Java script в сървърите на Инстаграм.

Визуализацията на линковете е внедрена в най-популярните приложения за чат на iOS и Android. Кликайки върху нея може да се окаже, че давате достъп до IP адреси, излагате връзки, споделени в криптираните от край до край чатове или  изтегляте значителен обем ненужна информация.

Как чат приложенията генерират визуализация на линковете

Използват се следните различни подходи:

1. Не се генерира визуализация

Най-добрият вариант е да се откажете от прегледа на линкове. Оставете линкът, така както ви е изпратен, така че приложението да не го отваря, без да сте го посетили. Малко от приложенията обаче предлагат тази опция: Signal, Threema, TikTok, WeChat.

2. Подателят генерира визуализацията на линка

При изпратен линк, приложението изтегля данните, генерира кратък преглед на страницата и го изпраща, прикачен към линка. Получателят има възможност бързо да погледне за какво става дума, без да е нужно да посещава линка – това го защитава от злонамерени съобщения. Така работят iMessage, Signal, Viber, WhatsApp.

3. Получателят генерира визуализацията на линка

В този случай приложението автоматично отваря всеки получен линк, за да създаде кратък преглед. Това се случва без дори да кликате върху линка – достатъчно е само да отворите чата.
Защо това е най-лошият вариант и не се използва от популярните приложения? Подобно на уеб браузърите, чат приложенията посещават адреса (линка) и зареждат съдържанието чрез GET заявка. В нея включват IP адреса на телефона, за да знае сървърът къде да изпрати данните обратно. Това би било от полза за вас ако планирате да отворите линка. Но ако някой иска да узнае къде се намирате?

4. Сървър генерира визуализацията

Това означава, че когато изпратите линк, той отива във външен сървър, който генерира визуализацията и я изпраща обратно на получателя и/или подателя. На пръв поглед този вариант изглежда по-приемлив от предходния. Но не и когато изпращате лични данни, а сървърът им направи копие, за да генерира визуализация.

Тук възниква и въпросът: Запазва ли сървърът тези данни? Ако отговорът е ДА, то за колко време и какво друго прави той с тях?

Приложенията, които работят по този начин са Discord, Facebook Messenger, Google Hangouts, Instagram, LINE, LinkedIn, Slack, Twitter, Zoom

Какви са рисковете и последиците за поверителността

1. Създаване на неразрешени копия на лична информация

Споделените в чатовете линкове към документи могат да съдържат лична информация, предназначена само за получателите. Това могат да бъдат сметки, договори, медицински досиета или друга поверителна информация. Приложенията, които разчитат на сървъри за генериране на визуализации на линкове, могат да нарушават поверителността на своите потребители, като изпращат линковете, споделени в личен чат на своите сървъри. Въпреки че приложението се доверява на тези сървъри, не е сигурно какво точно изтеглят те. В държавите от ЕС действа Общ регламент за защита на личните данни (GDPR), който налага ограничения относно събирането, обработката и съхранението на лични данни.

2. Изтегляне на голямо количество информация

Повечето чат приложения, които разчитат на сървъри за генериране на визуализации на линковете, слагат ограничение на изтегляните данни. Причината за това е, че изтеглянето на твърде голям обем данни може да запълни капацитета на сървъра и да причини прекъсвания на услугите. Има приложения обаче – Facebook Messenger и Instagram – чиито сървъри могат да изтеглят дори много големи файлове (gigabytes).

3. Сриване на приложения и източване на батерията

Този проблем възниква при чат-приложенията, които не ползват сървъри за генериране на визуализация на линкове и когато приложението не е ограничило данните, които да се изтеглят. Негативният резултат ще е за вас: изтощена батерия и изразходвани данни. Това също може да доведе до непредвидено изчерпване на системни ресурси.

4. Разкриване на IP адреси

За да отвори връзка, телефонът ви трябва да комуникира със сървъра, към който сочи линка. Това означава, че сървърът ще знае IP адреса на вашия телефон, което може да разкрие приблизителното ви местоположение. Обикновено това не би представлявало голям проблем, ако можете да избегнете отварянето на връзки, които смятате за злонамерени. Но може ли да сте сигурни в това?

5. Изтичане на криптирани връзки

Някои приложения за чат криптират съобщенията от край до край. Това означава, че само подателят и получателят да ги прочетат. В такъв случай опцията за отваряне на визуализация от сървър трябва да е невъзможна. Но при някои приложения това не е така, например LINE.

6. Изпълнение на потенциално злонамерен код върху сървърите за визуализация на линкове

Понастоящем повечето уебсайтове съдържат код на Javascript, за да ги бъдат по-интерактивни. Такива са и рекламите, които ни облъчват.  Когато генерирате визуализации на линкове е добре да избягвате изпълнението на какъвто и да е код от тези уебсайтове. Никога не трябва да се доверявате напълно на линкове, които получавате в чата, още повече – от непознат.

Чат приложенията не изчерпват списъка

Чат приложенията не са единствените, които генерират визуализация на линкове. Много приложения за електронната поща, бизнес приложения, приложения за запознанства, игри с вграден чат и др. могат да генерират визуализации на линкове по начин, който да окаже негативно влияние върху сигурността и поверителността ви.

Повече информация по темата може да прочетете в това проучване.