Отдавна се е наложило мнението, че всекидневното използване на Linux за работа или забавление изисква значителни познания и умения – не само по отношение на архитектурата на операционната система, но и при боравенето с командния ред. В наши дни обаче, съвременните Linux дистрибуции (напр. Ubuntu/Fedora/Mint/Solus и мн. др.) предоставят лесен и интуитивен графичен интерфейс . Чрез него вече можем  успешно да изпълним почти всички ежедневни  задачи така, както го правим с Windows OS.

Затова е разбираемо, че се забелязва повишен интерес и ръст в използването на Linux като операционна система и от крайни потребители. Тенденцията се засилва и от наблюдаваната метаморфоза на гейминг индустрията, която все повече предпочита Linux.

В тази обстановка, на преден план излиза въпросът: „Нужен ли ни е антивирусен софтуер при използването на Linux OS?” Не е новина, че в интернет пространството е често срещано твърдението: „Използваш ли Linux – нямаш нужда от допълнителна защита“. По-долу ще разберем защо това твърдение вече не е актуално.

Колкото повече потребители има една платформа, толкова по-привлекателна е тя за хакерите

В голямата част от случаите в основата на разработването на зловреден код стои една главна цел: финансовата изгода. Нека се върнем на работните станции (PC) и да си зададем отново въпроса защо зловреден код се пише предимно за  Windows платформата (и все по-често за macOS), а не е толкова за Linux?

Отговорът очевидно е свързан с популярността и броя потребители, използващи технологията. За злонамерените лица, Windows OS (и macOS) е като “море пълно с риби”. Атаките са насочени предимно натам и изглежда, все едно че са „спестени“ на Linux потребителите. Причината: атака, насочена към по-голяма аудитория, има по-голям шанс за успех и съответно –  за повече „приходи“ (без значение дали става дума за искане на откуп за декриптиране на криптирани файлове, извличане на банкова информация за кредитни/дебитни карти, откуп за връщането на открадната лична информация и т.н.).

Това е и причината Linux да изглежда сякаш минава между капките. Но не съвсем.

Повечето сървъри работят с Linux

На първо място, Linux основно се използва за сървъри – както корпоративни (без оглед на размер и сфера на дейност ), така и в data-центровете. Всъщност, голяма част от днешната световна мрежа, включително услугите на гиганти като Google, Facebook и Twitter, са  възможни благодарение на Linux-сървъри. Нуждаят ли се тези сървъри от защита? Да, разбира се.

Само за справка. Linux държи зашеметяващите 98% пазарен дял от публичните интернет сървъри по данни на W3Cook.

С Linux най-вероятно работи смартфонът, домашният ви рутер и не само

Освен споменатите сървъри и смартфони, на различни варианти на Linux разчитат и множество други устройства – например, домашният ви рутер. Една статистика: по данни на Statista само 2% от компютрите по света работят под Linux (срещу над 77% за Windows и около 10% за macOS).

С Android (базиран на Linux) работят над 76% от смартфоните по света (според StatCounter), както и над 98% от сет-топ-боксовете (устройствата, благодарение на които гледаме телевизия).

С Linux работят и почти 100% от телевизорите по света. А сигурно и толкова от рутерите.

С две думи: макар и да изглежда незначителна като дял при работните станции, Linux задвижва много други устройства, което я прави особено интересна за киберпрестъпниците, макар и не толкова очевадно. Почти.

Съществува ли зловреден код, таргетиран към крайните потребители на Linux?

Ако  потърсите в Google, вероятно много резултати ще са със съдържание, подобно на следващите:

„Изпълнението на зловреден код върху Linux е невъзможно, защото за разлика от Windows, Linux по дизайн е създаден да бъде сигурен“.

„Дори да се стигне до изпълнението на зловреден код върху Linux, потребителят първо трябва да даде своето съгласие за изпълнение на програмата, така че това не се брои“.

„Дори да е дадено съгласие за изпълнение на програмата, то трябва да се направи в контекста на root потребителя, съответно отново не се брои“.

„Дори програмата да бъде изпълнена в контекста на root потребителя, кой се интересува? Така или иначе, зловреден код за Linux не съществува”.

Вярно е, че различните дистрибуции на Linux имат вградени механизми за сигурност, като SELinux и AppArmor. Те значително намаляват вероятността за компрометиране на системата. Също така, всяка една дистрибуция в Linux поддържа свое хранилище (repository) с проверен и сигурен софтуер, което прави свалянето и инсталирането на програми доста по-сигурно. За сравнение, Windows потребителите най-често търсят в Google нужната програма. Това увеличава риска потребителят да попадне на зловреден сайт и да свали подменен/заразен файл, замаскиран като легитимна програма.

Но е вярно също, че в днешно време приликите между Linux и Windows са все повече, когато става дума за функционалност. В резултат на това, все по-често се срещат зловредни кодове за работните станции, работещи под Linux, които може сериозно да ви навредят .

Няколко примера за Linux зловредни кодове

Нека вземем например заплахата, известена под името EvilGnome (чиято цел е популярната графична среда GNOME).  Кодът е проектиран да прави екранни снимки на работния плот, да краде файлове, да записва аудио от микрофона на потребителя, както и да изтегля и изпълнява други зловредни програми.

Той се маскира като легитимно разширение на GNOME (extension) – програма, която позволява на потребителите на Linux да разширяват функционалността на своята графична среда. EvilGnome си осигурява  постоянен достъп до компрометираната система, използвайки crontab – еквивалент на планировчика на задачи в Windows. Така позициониран, той изпраща откраднати потребителски данни до отдалечен сървър, контролиран от нападателя.

Друг пример са действията на Winnti Group – организация, известна с набезите си срещу банкови и финансови институции – разработва и Linux варианти на зловредните си кодове. Xagent на Sednit също има Linux модификация. И много други.

Зловредният код не е единственото, от което да се пазят Linux-потребителите

За съжаление, заплахите в интернет пространството не се изчерпват със зловредни кодове. Потребителите, използващи Linux, не следва да се считат за имунизирани срещу традиционните рискове, свързани със социално инженерство, phishing и софтуерни уязвимости.

Добра идея е да следват поведение на отговорни потребители и да си осигурят колкото е възможно повече нива на сигурност – антивирусен софтуер, антиспам филтри, многофакторна автентикация (MFA) и добра “хигиена” при сърфиране в интернет.

Вместо заключение

Съществуват зловредни кодове за Linux, които крият не по-малка опасност от тези, проектирани за Windows. Потребители, които подценяват опасността и следват максимата “Това няма да се случи на мен” са „на почит“ сред авторите на зловредни кодове.

Антивирусният софтуер сериозно ще намали шанса от заразяване на вашата система и ще ви предпази от недоброжелатели. Моето лично мнение е, че ако се чувствате в безопасност, само защото смятате, че шансът да се заразите е нисък, то тогава нападателите вече са ви надхитрили.

Договори с клиенти. Оферти. Планове и стратегии. Лични данни за клиенти. Собствените ви снимки. Това са само част от данните, за които сме сигурни, че съхранявате на вашия служебен или личен компютър, смартфон, в облака или на USB флашка. Ако е така, продължете да четете.

Предполагаме, че вече сте защитили достъпа до устройствата си с парола, биометрично влизане или дори комбинация от двете (ако не сте, направете го сега). Дотук добре, но какво се случва ако загубите устройството си или то бъде откраднато?

Именно в такава ситуация идва на помощ криптирането. Основната му функция: да предотврати възможността информацията от загубено или откраднато устройство да попадне в чужди ръце. Криптирането защитава не само информацията ви, но и комуникацията ви, уеб трафика ви и паролите за достъп. Някой ще каже: нямам нужда, аз нямам какво да крия. Помислете отново: сигурни ли сте, че искате да рискувате най-съкровените ви моменти да станат публично достояние?

Ако отговорът е не, вижте по-долу кои са най-добрите практики за защита на чувствителните ви данни и лична комуникация:

Криптирайте диска си

Повечето компютри все още имат лесно сменяеми твърди дискове или SSD. Затова криптирането на сториджа ви е чудесна допълнителна защита. Ако го направите, дори компютърът да бъде загубен или откраднат, никой няма да може да достъпи всичките ви данни, софтуера и използваната операционна система.

Що се отнася до смартфоните и таблетите, еквивалентната функционалност е криптиране на вградената и преносима памет (SD карта), коeто, при съвременните модели, обикновено е активирано по подразбиране. Съществуват множество онлайн ръководства, с чиято помощ да направите проверка, а също и да криптирате устройствата за смартфони и таблети с Android или iOS.

Криптирайте файловете си в облака

Повечето от нас използват хранилище в облака за по-лесен достъп до информация отвсякъде и по всяко време. Но и тук съществува риск за сигурността – в резултат на човешка грешка (например, слаба парола или неподходяща конфигурация) или на целенасочена атака срещу доставчика на услугата ви.

Затова е добре да криптирате файловете си, преди да ги качите в облака. Спрямо нуждите ви и предлаганите функции за криптиране, може да избирате между различни продукти. Използвайте минимум тези, които предлагат AES криптиране.

Криптирайте уеб трафика си

Един от най-лесните начини да започнете с това е да настроите виртуална частна мрежа (VPN), която работи като криптирана фуния за интернет трафик. Ако работите от близкото кафене и искате да споделите чувствителни данни с клиент, например, VPN ще ви осигури криптирана мрежа, която не може да бъде прихваната. Освен това, ще имате сигурен достъп до данни, съхранявани в домашната ви мрежа, където и да се намирате.

Друг начин да осигурите поверителност на данните си е да използвате TOR (The Onion Router). TOR обединява данните ви в криптирани пакети, преди да се свърже с мрежата. Основната му функция е, че скрива вашите дигитални отпечатъци, като така ви позволява да сърфирате в интернет анонимно.

Важно е също да обърнете внимание дали уебсайтовете, които достъпвате, използват HTTPS протокол  (това означава, че комуникацията между вас, като посетител, и уеб сървъра е криптирана). Сериозните уебсайтове вече използват HTTPS по подразбиране.

Криптирайте съобщенията си

Повечето популярни чат-платформи предлагат криптиране от край до край, но не навсякъде то е настроено по подразбиране. Ако искате да имате криптиран чат във Facebook Messenger, трябва да кликнете върху профилната снимка на събеседника и да изберете „Таен разговор“. WhatsApp и Telegram имат функция за Secret Chat, включена по подразбиране, която ви позволява да зададете самоунищожаване на съобщенията и файловете, които изпращате.

Криптирайте паролите си

Мениджърите на пароли са популярен избор за хора, които не искат (или не могат) да запомнят всичките си пароли. Той функционира като банков сейф, но вместо бетон и сложни ключалки, използва математически променливи.

Повечето от облачните услуги поддържат криптирано копие от „сейфа“ ви на сървърите си, а освен това позволяват на потребителите да използват многофакторна автентификация (MFA). Това е много по-сигурен начин да съхранявате паролите си, отколкото на лепкави бележки или документи в компютъра си или още по-лошо – да използвате една парола навсякъде.

В обобщение

Криптирането е най-лесният начин за защита на данните ни. В съвременния цифров свят, то трябва да се превърне в полезен навик за всички нас. Възползвайте се сами от свободно разпространените инструменти или се обърнете за помощ към утвърдените специалисти по киберсигурност.

А за най-търпеливите да стигнат дотук, ето и причината: тайните ви ще си останат тайни, дори и да загубите лаптоп, телефон или USB флашка или мейлът ви бъде хакнат.

 

Социалните медии се превръщат все по-бързо в средство за манипулация и разпространение на фалшива информация. Основен инструмент за това са ботовете – хора или машини, маскирани като потребители на Facebook, Twitter, Reddit и т.н. Борбата на платформите и фирмите за киберсигурност е да ограничат влиянието на фалшивите профили, като създадат ефективни алгоритми за разпознаването им.

Тенденцията на разпространение се увеличава с размах

Застрашителният мащаб на разпространение на фалшива информация в социалните медии принуждава вземането на радикални мерки. Сред тях са минимизиране на бот-трафика и ограничаване на подвеждащата информация.

През 2019 г. Facebook е закрила над 5 млрд. фалшиви акаунта. През април 2020 г. на YouTube се наложи да премахне от платформата си конспиративни видеа, които твърдят, че така актуалният коронавирус може да се разпространява чрез новата 5G мрежа.

Технологията еволюира

Развитието на изкуствения интелект подпомогна, очаквано, и еволюцията на разпространение на фалшива информация. Сигурно сте чували за deepfake? Накратко, това е манипулирана чрез machine learning форма на медия – видео, аудио или дори само снимка (терминът всъщност идва от „deep learning“ – методът на машинно самообучение на изкуствен интелект с помощта на изкуствени невронни мрежи).

Манипулациите варират от  фабрикувани изказвания до участие на известни личности във филми за възрастни. Последната новост при deepfake манипулацията може дори да бъде направена на живо – например това видео, в което копие на Марк Цукърбърг твърди, че Facebook има контрол над откраднатите лични данни на милиарди хора.

Обезпокояващото е, че технологията напредва, става  все по-достъпна, а качеството на deepfake съдържанието – все по-добро и трудно различимо от автентичното. Повече информация за deepfake може да прочетете в този пост The Guardian.

Как да разпознаем дезинформацията?

Обикновено, фалшивите новини са добре прикрити. Най-често, те се публикуват от профили в социални мрежи, максимално близки до такива на реални хора. Ние ги наричаме ботове. Най-лесният начин да разпознаете фалшива информация е, като хванете първоизточника ѝ – бота.

Има множество признаци, по които да разберем дали един профил е създаден с цел манипулация. Ето кои са те:

• Профилната снимка липсва или пък е съмнително „лъскава“ (често хората зад ботовете използват снимки на реално съществуващи и привлекателни личности, качили своите снимки онлайн).
• Споделената лична информация обикновено е противоречива
• Честотата, с която се споделя и публикува информация е твърде голяма – замислете се, колко хора имат свободно време да пускат 50-60 поста на ден. Въпреки че всеки от нас има поне един такъв реален приятел, вероятността при подобен обем да не става дума за истински човек е голяма.
• В историята на профила се виждат постове на различни езици.
• Профилът съществува отскоро – едва ли ще срещнете бот, просъществувал повече от няколко месеца. Причината: обикновено профилът бива разкрит и трябва да бъде сменен.
• Граматиката и структурата на езика е объркана и личи използването на автоматичен преводач.
• Броят и видът на контактите също може да бъде показателен за това дали даден профил е истински или не.

За компаниите, обявили война на подобни „вредители“ и фалшивите новини и съдържание, които те разпространяват, има не един и два инструмента за разпознаване на фалшиви профили. Тук ще споделим малко повече за BotSight на NortonLifeLock Research Group.

Как изкуственият интелект засича ботове?

BotSight използва в своята бета-версия вече тестваният Machine Learning модел, който може да засича ботове в Twitter с точност между 96.7% и 100%.

Прави се преглед на над 10 различни фактора при всеки акаунт, като например дали е верифициран, скорост на събиране на последователи, описание на акаунта и т.н.

Инструментът на Norton показва малка икона с процент, указващ дали акаунтът е бот или човек. Софтуерът все още е прототип и е възможно някои акаунти да бъдат маркирани неправилно. Ето как изглежда изчислението за Тwitter:

Над 20% фалшиви постове

Досега потребителите на BotSight са анализирали успешно над 100 хил. Twitter акаунта, като отчетеният резултат има възможност да се визуализира директно на екрана. Установено е, че около 5% от всички туитове принадлежат на ботове.

Въпреки че този процент намалява с времето, той зависи и от езика, от темата и от моментът, в което тя се обсъжда и може да достигне 20% при известни теми и хаштагове, като например #COVID19.

Съществуват и други онлайн инструменти, които може да бъдат използвани за засичане на ботове:

• Botometer – създаден от университета в Индиана, САЩ, който измерва вероятността един Twitter акаунт дали е бот или не.
• Bot Manager, платено приложение, което прилага Intent-Based Deep Behavior Analysis (IDBA), за да различава отделните потребителски профили в социалните медии. Това е бизнес решение, което помага за засичането и идентифицирането на големи групи от социални бот-мрежи, които разпространяват дезинформация.

Употреба с положителни цели

Ботовете могат да се използват и с добро. Платформата Reddit се възползва от съвременните технологии, за да направи автоматизирани инструменти като “Remind Me”. Това е бот, който има потребителски акаунт и всеки в социалната мрежа може да го използва.

При зададени конкретни команди той може да напомня за определени постове след конкретно зададено време. Потребителите дори са направили собствен subreddit, в който е позволено само ботове да качват нови постове. Може да го откриете на r/SubredditSimulator. Отличителното при този subreddit е, че наблюдава поведението на други ботове  без да разпространява дезинформация.

Във връзка с многобройните фалшиви и подвеждащи новини, свързани с COVID-19, създателите на платеното приложение Newsguard  обявиха, че до 1 юли 2020 г. тяхната услуга ще стане безплатна за всички потребители на новия Microsoft Edge.

В заключение можем да обобщим, че доста хора се доверяват на информацията в социалните мрежи и рядко правят задълбочена проверка. От друга страна, самите социални мрежи все по-често че възползват или създават сами технологични решения, целящи да ограничат разпространението на фалшиви новини, подвеждаща информация и несъществуващи профили. Реално, здравословна информационна среда може да бъде постигната чрез единни усилия на потребители и платформи, насочени в положителна посока.

Децата днес не познават света без интернет и социалните мрежи.  С всичките си недостатъци, тези технологии дават възможност да комуникираме с близки и приятели лесно и от всяко устройство. Когато говорим за децата обаче, комуникацията през социални мрежи крие много морални казуси: Кога трябва да позволим достъпа, трябва ли да пускаме снимки на децата си онлайн и т.н.

Самите социални мрежи се опитват да се позиционират като сигурни канали за комуникация, в които родителите имат контрол над децата си. Но дори и това е спорно.

Затова, на Деня на детето ще споделим какво можем да направим, за да предпазим децата си онлайн. Ето най-важните, според нас, въпроси, на които да обърнете внимание:

Трябва ли да споделя това?

Стара мантра е, че това, което става в интернет, остава в интернет. Нещо, което повечето възрастни сме склонни да забравяме. Когато става въпрос за децата ни обаче е редно да им обясним, че трябва да премислят всеки път, преди да пуснат нещо лично в социалните мрежи.

Всеки пост би се отразил на тяхното бъдеще, накланяйки везната в една или в друга посока. Все по-често училищата проучват кандидатите в интернет. Някой и друг недомислен публичен пост тук-там може да затвори вратите към по-добро образование. И това е само едната страна на монетата.

Постовете трябва да бъдат премисляни и с оглед на това, как ще се отразят на роднините и приятелите на децата ни. Децата трябва да осъзнаят силата на думите и образите и тяхното отражение в живота след това. Освен всичко друго, социалните мрежи ни вкарват в затворен кръг на самомнение и самооценка. Те могат да повлияят на начина, по който възприемаме себе си. Например, ако децата ни имат желание да изглеждат красиви във всеки пост, значи се съмняват в собственото си значение.

Прочетете и: Как да си върнете контрола на личните данни от Facebook

Познавам ли този човек?

„Не говори с непознати“ е може би едно от най-повтаряните изречения, които всяко дете чува,  докато расте. Фраза, идваща от  родители, учители, детски шоу програми и прочее.

Опасността в социалните мрежи идва от подценяването на онлайн общуването. Децата често пъти си казват „Онлайн няма от какво да ме е страх“, но всъщност не е така.

Непознатите в социалните мрежи могат да се окажат далеч по-опасни. Като родители сме длъжни да илюстрираме този факт възможно най-честно. Например, можем да разкажем, че организации като Интерпол, и не само, редовно припомнят, че най-голям източник на сайтовете за детска порнография са социалните мрежи, особено Facebook.

Друг голям пример е примамването от непознат в педофилски мрежи. Действие, което на пръв поглед може да започне съвсем невинно – просто с разговор. Това, че не виждаме кой седи от другата страна на екрана, а разчитаме само на аватара му, крие рискове.

Погледнах ли си настройките за поверителност?

Кога беше последният път, в който проверихте настройките си за поверителност? Обикновено, както общите условия за ползване, така и защитата на профила са пренебрегвани. Не ги пропускайте и научете децата си да не го правят.

Дайте добър пример и разкажете колко е важно личните неща да останат наистина лични, профилите им да бъдат защитени и с минимално количество публична информация и да споделят само с реални приятели.

Неслучайно социалните мрежи непрекъснато актуализират настройките си за поверителност и сигурност – както заради правителствен, така и заради обществен натиск и регулации. Това обаче не ни спасява от главната цел на социални медии: да събират данни за нас и да печелят от тях като показват свързани реклами или препродават информацията на трети лица.

Затова е важно не просто да създадем в децата си правила за отговорни действия онлайн. Трябва да разкажем и покажем за различните инструменти, с които могат да си гарантират, че онлайн частта от живота им е защитена.

Няма такова нещо като „онлайн“ и „офлайн“ – отдавна киберпространството е част от животите ни и като такова, трябва да го третираме с особено внимание. Не оставяте жилището си отключено през деня, докато ви няма, нали?

Група от израелски студенти доказа нова уязвимост, която може да доведе до пълен интернет апокалипсис. Тя засяга DNS – един от протоколите, считани за гръбнака на съвременните мрежи.

Подходът за атака е наречен NXNSAttack: Recursive DNS Inefficiencies and Vulnerabilities и е насочен към рекурсивни и авторитетни DNS сървъри. Резултатът е DDoS с коефициенти на увеличение над 1600 пъти.

Засегнати са както ISC BIND (CVE-2020-8616), така и някои от най-големите публични DNS услуги:

Public DNS recursive resolver (IP)	Max # of delegations = F/2	Victim cost Cpkt/v	PAF
CloudFlare (1.1.1.1)	24	96	48x
Comodo Secure (8.26.56.26)	140	870	435x
DNS.Watch (84.200.69.80)	135	972	486x
Dyn (216.146.35.35)	50	408	204x
FreeDNS (37.235.1.174)	50	100	50x
Google (8.8.8.8)	15	60	30x
Hurricane (74.82.42.42)	50	98	49x
Level3 (209.244.0.3)	135	546	273x
Norton ConnectSafe (199.85.126.10)	140	1138	569x
OpenDNS (208.67.222.222)	50	64	32x
Quad9 (9.9.9.9)	100	830	415x
SafeDNS (195.46.39.39)	135	548	274x
Ultra (156.154.71.1)	100	810	405x
Verisign (64.6.64.6)	50	404	202x

В зависимост от фактора на увеличение (PAF), жертвата, подложена на NXNSAttack, би получила многократно повече пакети от изпратените от нападателите. Цифрите са наистина впечатляващи, като се има предвид, че досега известни методи за такъв тип DNS увеличителни и отразителни атаки са с доста по-ниски стойности.

Основните съставки на новата атака са:

• лекотата, с която може да се притежава или контролира авторитетен DNS сървър;
• използването на несъществуващи имена на домейни;
• допълнителна резервираност в DNS структурата, за да се постигне отказоустойчивост и бързо време за реакция.

Важно е да отбележим, че някои от възможните средства за защита, като например различни ограничители (rate limits), са нож с две остриета, което позволява на атакуващия да доведе до отказ от услугата за легитимни потребители.

Зловещи ефекти

От февруари насам откривателите на NXNSAttack са започнали работа със съответните разработчици на DNS софтуер, CDN и DNS доставчици, за да им помогнат да отстранят тази заплаха и да смекчат ефекта от евентуални атаки след публикуване на своето проучване.

Дори и след месеци усилена колаборация и пачване, най-вероятно са останали кътчета от интернет, които са все още уязвими и могат да бъдат експлоатирани. Това би довело до инциденти, подобни на тези причинени от Mirai botnet, макар и с далеч по-малък на брой зомбирани устройства.

Уязвимостта се корени в това, как DNS рекурсивни сървъри обслужват Name Server насочващи отговори (NS referral response), без да имат IP лепнат (glue) запис.

Как работи атаката

Графично представяне на самата атака:

И разменените съобщения:

За да разберем как работи NXNSAttack, трябва да вземем под внимание йерархичната структура на DNS в интернет. Когато браузър се обърне към домейн като google.com, той пита DNS сървър, за да открие IP адреса на този домейн, число като 64.233.191.255.

Обикновено на тези заявки се отговаря от DNS рекурсивни (резолюционни) сървъри, контролирани от доставчици на интернет и DNS услуги. Но ако тези рекурсивни DNS сървъри не разполагат с точния IP адрес под ръка, те пренасочват заявката към „авторитетен“ сървър, свързан с конкретни домейни, за отговор.

NXNSAttack злоупотребява с доверената комуникации между тези различни слоеве на DNS йерархията. Атаката има за „реквизит“ не само достъп до колекция от персонални компютри и/или други IoT устройства (ботнет), но и създаване на DNS сървъри за домейн, който бихме нарекли „attacker.com“. (Изследователите твърдят, че всеки може да си купи домейн и да си настрои DNS сървър само за няколко долара).

След това нападателят изпраща поредица заявки от ботовете за домейна, който контролира. Или по-точно – вълна от заявки за фалшиви поддомейни като 123.attacker.com, 456.attacker.com и т.н., използвайки низове от произволни числа, за да променя постоянно заявките за поддомейни.

Опитите за посещения на тези недействителни домейни ще задействат обръщения към рекурсивният DNS сървър (примерно този на интернет доставчика), който от своя страна ще изпрати заявката към авторитетен сървър – в случая, DNS сървърът под контрола на атакуващия. Вместо само да предостави IP адрес, този авторитетен сървър ще съобщи на рекурсивният (resolver) DNS сървър, че не знае местоположението на исканите поддомейни, като ще го насочи да поиска друг авторитетен DNS сървър, прехвърляйки заявката към домейна на жертва по избор на нападателя.

Откривателите на тази уязвимост са установили, че насочването на заявки за един несъществуващ поддомейн (123.attacker.com) към стотици несъществуващи поддомейни, принадлежащи на жертвата (asd.victim.com, 4321.victim.com и тн…), би могло да позволи на хакер да претовари не само DNS сървърите на интернет доставчиците, като ги подмами да изпратят повече заявки, отколкото сървърите биха могли да обработят (потенциално да спрат и всичките им услуги, както се случи при атаката на Mirai срещу Dyn), но също да „свалят“ авторитетните DNS сървъри на жертвата, следователно целия домейн victim.com ще остане offline за света.

Жертвата вероятно ще открие, че един злонамерен DNS сървър стои зад атаката и ще спре да отговаря на искания от attacker.com. Но Шафир от университета в Тел Авив изтъква, че нападателите могат да използват няколко домейна, за да променят атаката и да затруднят защитата. „Можете да имате десетки подобни домейни и да ги сменяте на всеки няколко минути“, казва Шафир – „Много е лесно.“

Повече от един вариант

В друг вариант на NXNSAttack, хакер може дори да насочи своите действия към несъществуващи домейни от най-високо ниво (TLD) като „.fake“, за да атакува така наречените root сървъри, които отговарят за домейни от най-високо ниво – .com и .gov.

Въпреки че тези сървъри обикновено са проектирани да разполагат с много голяма честотна лента, изследователите казват, че биха могли да използват много фалшиви домейни, използвайки фалшиви поддомейни от първата версия на тяхната атака, потенциално увеличавайки всяка заявка повече от хиляда пъти. Резултатът е можело да бъде катастрофален за целият интернет:

„Когато се опитате да атакувате един от root сървърите, атаката става много по-разрушителна“, казва Шафир. „Не успяхме да покажем (докажем), че root сървъри могат да бъдат изцяло претоварени, защото са много мощни, но атаката има огромен фактор на усилване (PAF), а това са най-важните активи на световната мрежа. Части от интернет изобщо няма да работят в този най-лош случай.“

Ако всичко до тук ви се струва познато (deja vu), не сте сгрешили – подобна уязвимост, която би могла да доведе до сравними атаки и резултати, е била тайно отстранена през 2008 година. Препоръчвам да изгледате видеото от статията HACKER HISTORY: HOW DAN KAMINSKY ALMOST BROKE THE INTERNET

„От моя гледна точка съм просто в екстаз, че подобно сътрудничество, което получих през 2008 г., все още се случва през 2020 г.“, казва Камински. „Интернет не е нещо, което би оцеляло, ако не се правеха цялостни подобрения, всеки път когато някой подпали нещо.“

В заключение – интернет е много „крехка“ екосистема, като градивните и компоненти (DNS, BGP и други) са били проектирани колкото да работят. За великите умове, създали интернет, не е било възможно да предвидят мащабите и значението на своите творения, следователно не са обърнали достатъчно внимание на въпроса – „Какво ще стане, ако …. ?“

Втора значима нова тактика в разпространението и прикриването на криптовируси (ransomware) от началото на 2020 г. налагат създателите на RagnarLocker. Те използват Oracle VirtualBox със заредена виртуална машина Windows XP, за да скрият своето присъствие от наличния антивирусен софтуер.

С инсталирането на Oracle VirtualBox, авторите на зловредния код стартират виртуална машина на инфектираните компютри. Така криптовирусът се изпълнява в „защитена, контролирана среда“, която [highlight color=“gray“] е извън обсега на антивирусния софтуер, работещ върху физическата (хост) машина [/highlight].

Прочетете още: Нов вид криптовируси: крадат и изнудват

Този интересен подход бе забелязан и подробно описан от британската фирма за киберсигурност Sophos и показва креативността и големите усилия, на които са способни хакерските групи, за да останат незабелязани, докато инфектират своята жертва.

Какво е RagnarLocker?

Идеята зад прикриване на присъствието е от критично значение за RagnarLocker. Те не са просто типичната хакерска групировка, която криптира всеки и каквото им попадне. Те внимателно подбират своите жертви, като избягват крайни потребители и се целят единствено в корпоративни и държавни организации.

Според Sophos, основните техники за подбор на жертвите от страна на RagnarLocker са се състояли в компрометиране на отворен RDP порт на ниво работна станция и компрометиране на инструменти, използвани от MSP (Managed Service Providers). По този начин хакерите си осигуряват достъп до вътрешните мрежи и ресурси на засегнатата компания.

Веднъж придобила достъп до вътрешната мрежа, групировката пуска конкретна версия на своя криптовирус. [highlight color=“gray“] Тя варира и е специфична за всяка една жертва. [/highlight]След заразата, RagnarLocker изискват огромна сума за декриптирането на информацията в размер на десетки или стотици хиляди американски долари.

Тъй като всяка една от тези внимателно планирани атаки представлява шанс за спечелване на огромна суми пари, RagnarLocker основно залагат на оставането им под прикритие в засегнатите мрежи. Това е и причината за създаването на този хитър „фокус“, чрез който да избегнат засичането от антивирусен софтуер.

Магията с виртуалната машина

Т.нар. „фокус“ всъщност е много прост, но, същевременно, хитър подход.

Вместо да стартират криптовируса директно на компютъра-жертва, от RagnarLocker свалят и инсталират Oracle VirtualBox, широкоразпространен софтуер за виртуализация.

Те конфигурират виртуалната машина, като ѝ задават пълен достъп до всички локални и споделени папки и локации и по този начин ѝ осигуряват права за манипулиране на файлове, които се съхраняват извън нейния локален диск.

Следващата стъпка се състои в стартиране на виртуалната машина, като за целта се стартира орязана версия на Windows XP SP3, наречена MicroXP v0.82.

Последната фаза на атаката е да се зареди криптовируса във виртуалната машина и да се изпълни. Тъй като кодът работи в самата виртуална машина, антивирусният софтуер няма да открие злонамерения процес.

От гледна точка на антивирусния софтуер, файловете намиращи се на локалната файлова система, както и тези на споделените папки, изведнъж ще бъдат подменени с техните криптирани версии, а всички модификации на тези файлове ще идват от легитимен процес – а именно програмата VirtualBox.

За повече информация препоръчваме да прочетете детайлния репорт на Sophos, който освен криптовируса RagnarLocker, разглежда и техниката с виртуалната машина.

Над 60% от кражбите на вътрешна информация е дело на служители, които планират да напуснат работа. Това показва проучване на Securonix, озаглавено „Insider Threat Report”. То обхваща „стотици инциденти, за да изведе шаблони за засичане на потенциални инциденти с киберсигурността.“

Един от основните изводи в проучването е, че планиращите напускане служители променят своето поведение на работното си място доста преди самото напускане, Обикновено това става между 2 до 8 седмици по-рано. Част от тази промяна е подготовката за неоторизираното изнасяне на вътрешна информация – или insider attack (атака от вътрешен човек, буквално преведено).

Защо се краде информация?

Както подсказва името, този тип атаки са дело на хора с права и привилегии в дадената организация, имащи достъп до огромно количество информация. А данните могат да бъдат използвани по много начини:

• Да бъдат продадени на трети лица с цел финансова облага
• За пробив в сигурността на компанията
• За изнудване
• За професионална облага

Според Securonix, изтичането на информация от организациите продължава да бъде най-разпространения вид кибератака. Според нас – може би това е така, защото е доста улеснено, както за служителите, така и от страна на работодателите, които отказват да вземат мерки срещу подобни действия.

Очевадни инструменти

Най-често използваните инструменти при подобни действия са и най-често използваните в ежедневието на огромна част от интернет потребителите: разпращане на данни от служебни в лични имейли, ъплоудване в cloud услуги като Dropbox, Google Drive и др., чрез копиране на USB флашки.

Един от примерите в доклада: служител на голяма компания копира конфиденциална информация за клиентите на текущия си работодател, за да я продаде на друга компания.

Според Securonix, източването на вътрешна информация се среща най-често в секторите фармация, финанси и IT. Техните проблеми произтичат главно от невъзможността коректно да бъде определена коя информация е конфиденциална и коя чувствителна при назначаването на привилегии за достъп на служители.

Препоръките на Securonix са все повече да се използват алгоритми, които изучават поведението на служителите, като при наличие на аномалии те да бъдат адресирани и разгледани в детайли. Това би могло да включва дори и измерване на обема трансферирани данни от потребителя ежемесечно, наблюдавайки за извършени нередности.

Според тях традиционните методи за следене на изтичане на информация като Data Loss Prevention (DLP)  и Privilege Access Management (PAM) не са достатъчни, тъй като те не биха могли да засекат злонамерено поведение във все по-търсените облачни услуги днес.  Но са едно добро начало.

Последен ъпдейт на 20 май 2020 в 09:42 ч.

Първо Intel, а в последствие и Microsoft, потвърди уязвимост в Windows 10, която позволява кражбата на информация от заключен или дори поставен в режим Sleep/Hibernate лаптоп. Събрахме за вас най-важните аспекти на уязвимостта, която за сега е BWAIN  и няма официално издадено CVE –  Thunderspy:

• Засегнати са всички устройства, които разполагат с Thunderbolt порт, произведени от Intel след 2011 г. Устройствата произведени от 2019 насам са с добавена Kernel DMA защита, което ги прави частично уязвими.
• Уязвимостта позволява директен достъп до оперативната памет (RAM) и съхраняваните в нея данни, включително криптиращи ключове и пароли;
• Понеже RAM е енерго-зависима, пълното изключване на машината (shutdown) неутрализира този вектор за атака;
• Времето за атака е относително кратко – около 5 мин;
• За да се възползват от нея, хакерите имат нужда от физически достъп до машината и инвестиция в инструменти на стойност няколкостотин USD;
• Експлоатирането на Thunderspy не оставя следи – т.е. остава неоткриваемо за жертвите.

Откривателя ѝ Björn Ruytenberg е направил видео демонстрация Proof-of-concept (PoC):

Във видеото той демонтира долния капак на лаптоп и прикачва сонда към чипа отговарящ за Thunderbolt интерфейса. По този начин той презаписва фабричният firmware и инжектира своят зловреден код, което му дават пълен достъп.  Целият процес отнема броени минути.
Уязвимостта се корени в това, че Windows не проверява интегритета (цялостта) на firmware софтуера след първоначалното му зареждане и стартиране.

„Дори и да следвате най-добрите практики за сигурност, като заключвате компютъра си, когато заминавате за кратко“, казва той, „или ако вашият системен администратор е настроил устройството със Secure Boot, силни пароли за BIOS и акаунт за операционна система, и е активирал пълно криптиране на диска , всичко нужно на нападателя е пет минути насаме с компютъра, отвертка и някои лесно преносими инструменти.“

Целенасочена атака

Трябва ли да се притеснявате?
Краткият отговор е: Не.
Дългият: Рискът съществува, но подобен тип атаки изискват значителен ресурс и подготовка.
Експлоатирането на тази уязвимост най – вероятно ще е в арсенала за т.нар. таргетирани атаки (APT) – т.е. насочени срещу определена цел (компания или правителство), а не в масова заплаха, каквато са например криптовирусите.

История на уязвимостите

Това не е първият проблем, свързан със сигурността на технологията Thunderbolt на Intel, която разчита на директен достъп до паметта на компютъра, за да предложи по-бърза скорост за пренос на данни.

През 2019 г. изследователи по сигурността разкриха уязвимост на Thunderbolt, наречена „Thunderclap“, която позволява компрометиране устройства през USB-C или DisplayPort интерфейси.

Междувременно от Intel заявиха, че работят по отстраняване на проблема. „Като част от обещанието е, че  Intel ще продължи да подобрява сигурността на технологията Thunderbolt и ние благодарим на изследователите от университета в Айндховен, че ни докладваха за този пропуск.“

Последен ъпдейт на 4 май 2020 в 12:08 ч.

Microsoft

С редовния Patch Tuesday за Април 2020 Microsoft поправят 113 (CVEs) уязвимости в Microsoft Windows, Microsoft Edge (EdgeHTML-based and Chromium-based), ChakraCore, Internet Explorer, Office and Office Services and Web Apps, Windows Defender, Visual Studio, Microsoft Dynamics, Microsoft Apps for Android, and Microsoft Apps for Mac.

17 от тези CVE са категоризирани като критични (Critical), а останалите 96 от тях са важни (Important). Три от уязвимостите за Windows вече се експлоатират „in the wild“, т.е. активно се извършват атаки чрез тях и опасността е реална! Администраторите трябва да приоритизират прилагането на обновленията.

По–интересните уязвимости, които са „закърпени“ с този ъпдейт, включват:

CVE-2020-1020 | Adobe Font Manager Library Remote Code Execution Vulnerability
Засегнати са всички Windows операционни системи, като за по–старите (Windows 7-8.х и Windows Server 2008 – 2012) сериозността е  Critical, а за по–новите (Windows 10 и Windows server 2016-2019) – е с ниво  Important. Операционните системи, които са извън поддръжка (Windows 7 и Server 2008.X) ще получат обновленията само ако имат активиран ESU лиценз.

Ако сте приложили заобиколните решения (workarounds) за справяне с тази уязвимост, след прилагане на обновлението може да върнете настройките към първоначалното им състояние.

CVE-2020-0993 | Windows DNS Denial of Service Vulnerability
Засегнати са всички Windows версии, но понеже тази уязвимост не позволява отдалечено изпълнение на код (RCE), е категоризирана с Important. Трябва да се отбележи, че засегнатият сервиз е DNS service, а не DNS Server, т.е. уязвими са не само DNS сървърите, но и клиентите. Все още не е известно да има PoC и не са засечени активни атаки, но успешната експлоатация на тази уязвимост би довела до огромни поражения.

CVE-2020-0981 | Windows Token Security Feature Bypass Vulnerability
Рядко се случва така, че прескачането на механизъм за сигурност директно да води до бягство от sandbox, но точно това позволява тази грешка.

Уязвимостта е резултат от неправилно управление на свързани тоукъни в Windows. Нападателите биха могли да злоупотребят с това, за да позволят на приложение с определено ниво на интегритет да изпълни код на различно, вероятно по-високо ниво. Резултатът е бягство от sandbox средата. Това засяга само Windows 10 версия 1903 и по-нови, тъй като кодът, позволяващ тази уязвимост е сравнително отскоро.

В този ъпдейт също са отстранени бъгове, свързани с win32k, както и 16 уязвимости, свързани с разкриване на чувствителни данни (information disclosure). Един от тях е в Microsoft Dynamics Business Central, като интересното при него е, че позволява директното разкриване на иначе замаскирана информация в полета… например пароли!

Вижте пълен списък на обновленията и информация за тях.

VMware

Уязвимост CVE-2020-3952 във vCenter Server отбелязва „перфектните“ 10 CVSS точки! Този проблем със сигурността засяга VMware Directory Service (vmdir) само при надстроени (upgraded) инсталации и се дължи на неправилно внедрени контроли за достъп.

Поради критичния характер на тази уязвимост и рисковете за сигурността, силно се препоръчва да приложите обновленията за vCenter Server възможно най-скоро.

Adobe

Обновленията за Април включват подобрения в Adobe ColdFusion, After Effects, and Digital Editions. Уязвимостите могат да се нарекат „скучни“, понеже всички CVEs, свързани с тях, са категоризирани с Important и няма информация за активната им експлоатация. Актуализацията за ColdFusion трябва да бъде приоритетна за внедряване, тъй като включва отсраняване на  локална ескалация на привилегиите (LPE),  грешка за разкриване на информация (information disclosure) и отказ от услуга (DoS).

Oracle

Гигантите от Oracle Corp. „смачкват“ 405 буболечки (bugs) с пуснатите през този месец обновления.Те разкриха, че 286 от тези уязвимости могат да бъдат експлоатирани отдалечено и засягат близо две дузини продуктови линии.

Впечатление правят множество критични недостатъци, оценени с 9,8 CVSS, в 13 ключови продукта на Oracle, включително Financial Services Applications, Oracle MySQL, Retail Applications и Oracle Support Tools.

Актуализациите отстраняват и недостатъци със средна тежест за Oracle Java платформата, стандартно издание (Java SE), използвана за разработване и внедряване на Java приложения. Петнадесет грешки с CVSS рейтинг 8,5 могат да бъдат експлоатирани отдалечено (по мрежата) от неоторизиран нападател, тоест не се изискват потребителски идентификационни данни.

В заключение, екипът на freedomonline.bg може да посъветва – прилагайте обновления навреме и редовно. Ъпдейтите не са като виното и не стават по–добри с отлежаването! Напротив!