Най-интересното

  • Отбор от английската Висша лига е бил прилъган да да плати 1 млн. GBP на измамници

    Кой може да стане жертва на кибератака? Краткият отговор: всички. Поредният пример за това е един най-добрите футболни клубове в Англия, който е бил прилъган да преведе 1 млн. GBP на измамници.

    Името на отбора не е известно, но методът на атака е описан подробно в доклад на Националния център за киберсигурност на Обединеното кралство с името „Кибер заплахата за спортните организации“ (The Cyber Threat to Sports Organisations).

    Използвано е компрометиране на бизнес кореспонденция (BEC). Този вид измама дори не изисква злоупотребяващият да е програмист. Нужно е само да се прихване имейл паролата на някой, който е от значение за дадена организацията, да се прочете цялата му кореспонденция и да се изведат закономерностите в нея. И когато се стигне до извършване на плащане… да се подменят ключови детайли, така че парите да „кривнат“ към желаната сметка.

    В случая измамниците са се възползвали от спецификата на трансферните преговори в английската Висша лига – най-богатото и най-гледано футболно първенство в света. Сумите за купуване на играчи са огромни, трансферните прозорци са кратки, а преговорите – сложни. Една от опциите за потвърждение на трансфер е запазването на лот – нещо като капаро за даден играч. Обикновено сроковете за плащане на такова капаро са кратки, което е и лостът, използван от хакерите.

    Изглежда, те са прихванали подобно предварително плащане и са изпратили привидно легитимен мейл, в който заявяват промяна на банковата сметка, на която да бъдат преведени парите. Видимо от доклада, това е било прието радушно от превеждащия капарото клуб – а измамата е разкрита от банката на отбора. Тя е заподозряла транзакцията и е провела разследване, с което е предотвратила измамата.

    Как да избегнете BEC:

    • Използвайте двуфакторна автентикация
    • Активирайте функции в използваните от вас услуги, които да ви предупреждават при възникване на аномалии
    • Прилагайте двуфакторна автентикация на промени в съществени услуги, сметки или плащания, които компанията ви използва
    • Разглеждайте критично всеки имейл, който изисква плащане
    • Ако искате да сверите данни на друга компания, предоставени в имейл, особено когато става въпрос за пари, никога не разчитайте на данните за контакт, предоставени в имейла
    • Редовно обучавайте персонала си как да разпознава измами в интернет
  • Windows Power Toys: Направете Windows 10 по ваш вкус с безплатно open source приложение

    Ако искате да направите Windows наистина изцяло по ваш вкус, отговорът не е само в системните настройки. Решението е пакет с приложения, създаден от Microsoft, и наличен за сваляне, безплатно от GitHub. Ето част от екстрите, с които ще разполагате, след като се запознаете с този текст:

    • Как да подреждате автоматизирано различни отворени прозорци според типа им
    • Как да преглеждате текстови файлове, без да се налага да ги отваряте
    • Как да промените клавишните комбинации по подразбиране в операционната система
    • Как да преименувате повече от един файл едновременно

    Fancy Zones

    Fancy Zones е инструмент, който позволява да подреждаме различните отворени прозорци на определени места, които ние дефинираме.

    По принцип, в Windows можете да преместите един прозорец на няколко места на екрана: отгоре, отдолу, вляво или вдясно използвайки клавишната комбинация Windows Key + Arrow Keys.

    С Fancy Zones можем да зададем различна зона на екрана използвайки вече готовите темплейти.

    Или да начертаем конкретни зони с Custom Layout Creator

    Инструментът също така предоставя възможност да събираме определени зони, да запълним свободното място между тях или да променяме големината и разположението им на екрана.

    Може да преместим прозорец във вече обозначена зона, като използваме комбинацията Left Shift + Left Mouse Button. При използването ѝ, зоните се показват на екрана и тази, върху която искаме да се сложи прозореца, се обозначава с червен цвят по подразбиране.

    Shortcut Guide

    Shortcut Guide ни позволява да видим различните клавишни комбинации които използват Windows бутона. За целта, единствено задържаме Windows Key за една секунда, след което се появява менюто, показващо ни всички клавишни комбинации.

    Power Rename

    Power Rename ни позволява да редактираме имената на голям брой файлове наведнъж. Имаме възможност да задаваме много различни аргументи при използване на самият инструмент, като например ^example, който ще маркира всеки файл който започва с example и ще ни позволи да го редактираме.

    Като цяло инструментът е изключително сложен, но Microsoft са ни предоставили много подробни инструкции в Github хранилището на Power Rename, както и малко демо под формата на видео, което показва какво представлява инструмента.

    Preview Pane 

    Preview Pane е технология, която ни показва предварителен преглед на маркирани от нас файлове. Ако, например, не желаем да отваряме 20 различни текстови документа или снимки един по един, с Preview Pane можем директно да ги разгледаме още във File Explorer.

    Може да намерите source кода на проекта в Github хранилището, ако се интересувате как точно е направено.

    Image Resizer

    Image Resizer работи подобно на Power Rename с идеята, че позволява да редактираме много файлове наведнъж. Конкретно, в Image Resizer имаме възможността да редактираме измеренията на избрани от нас снимки. Това, което прави инструмента изключително полезен, са и допълнителните опции, с които идва. Например, да създаваме вече предефинирани размери, които можем да запазим за по-късно или дори да увеличим, или намалим размера на снимките с даден процент.

    Keyboard Manager

    Keyboard Manager или KBM ни позволява да променяме функцията на клавишните ни комбинации или дори да предефинираме отделни клавиши. Например, можем да променим командата за копиране на файлове Ctrl + C на Ctrl + D. Или, когато напишем латинско Z да излиза З на кирилица. За жалост, поне засега, инструментът няма възможността да презаписва комбинация от клавиши върху един бутон, например ако искаме да преместим Ctrl + C -> C или Ctrl + V -> V

    Способностите на KBM първоначално може да изглеждат сравнително прости, но те ни позволяват да персонализираме клавиатурата си и дори начина, по който работим с нея.

    Освен това поддържа и допълнителни макро бутони като тези при Razer клавиатурите. Може да намерите официалния FaQ за инструмента в Github.

    Power Toy Run

    Последното приложение в този пакет е Power Toys Run. Може да го отворим чрез клавишна комбинация Alt + Space. Той представлява търсачка, с която може да търсим различни документи, приложения, или дори да го използваме като калкулатор за много по-бързи калкулации като събиране, умножение и т.н.

    Други възможности на инструмента са например:

    • С клавишната комбнация Ctrl + Shift + Enter можем да отворим приложение като администратор.
    • С Ctrl + Shift + E можем да отворим директорията, в която се намира приложението
    • Ctrl + C ни позволява да копираме директорията директно от Power Toy Run.

    Инструментът е най-новият в пакета и има малки проблеми, за които може да прочетете отново в Github.

    В заключение

    Пакетът с инструменти, които Microsoft ни предоставят безплатно, е много полезен и смятам, че всеки може да намери нещо за себе си в него.

    Лично за мен Shortcut Guide, File Explorer Preview и Power Toys Run са модулите които могат най-много могат да ни улесняат работата с Windows. Може да намерите всички инструменти, заедно с тяхната документация, в официалната страница на Microsoft в Github.

  • Особености на хакерския лов за Microsoft 365 акаунти

    Достъпът към Microsoft 365  от цял свят е удобство не само за организацията и служителите ви, но и за хората с интерес да ѝ навредят. Всичко, което им трябва е да стигнат до валидна log-in информация. Не всеки си дава сметка, че отдавна не е нужно да прочетат мислите му, за да стигнат до така желаната парола. Ето някои от най-разпространените начини, използвани от киберпрестъпниците за това:

    Колега иска да ви изпрати съобщение в Microsoft Teams

    В забързаното си ежедневие получавате стотици известия. Едно от тях е имейл, с реална снимка на ваш колега и покана да се включите в Teams чат. Всичко, което трябва да направите е да се логнете в платформата от една 100% легитимно изглеждаща страница.

    За жалост няма да стигнете до чат стая с колегата ви, но информацията от логин формата е вече в грешни ръце.

    Съобщението ви НЕ беше изпратено успешно

    Друг пример за срещани в практиката измами е небезизвестното съобщение за провалено изпращане или т.нар failure of delivery notice. В случая атакуващите ще предоставят причина като “неуспешна автентикация в домейн средата ви” и ще поискат действие от ваша страна. Отново се стига до фалшива логин форма, която с малко повече проучване може да е точна реплика на тази, която ползвате.

    Кутията ви е пълна, а Х съобщения чакат да бъдат изпратени

    С такова предупреждение ще ви посрещне следващата широко разпространена измама. Тя цели да всее известно количество паника у получаващия известието, за да не обръща прекалено много внимание на детайлите. Както очаквате, ще има бутон “Кликнете тук да разрешите проблема” и фалшива форма за потребителската ви информация.

    Паролата ви изтича и няма да имате достъп до профила си

    Измамното приканване за смяна на парола е вечна класика при phishing атаките. Това се дължи на факта, че всяка компания, която приема сигурността си сериозно, изисква от потребителите си периодична смяна. Още по-атрактивно го прави и възможността за непредвидена смяна в случай на “теч на данни” за който лесно може да ви излъжат.

    Да се “закачите на кукичката” не е  чак толкова лесно, но имайте предвид следното

    Потребителската ви информация не е ключ само към собствената ви информация, но и към всички бизнес ресурси към които имате достъп (и дори някои, към които нямате). Затова внимавайте за следните неща:

    • Въведете задължителна дву-факторна автентикация. Над 99% от успешните хакове срещу бизнес потребители на услугите на Microsoft се дължат на липсата ѝ
    • Проверявайте внимателно URL адреса на всяка страница, която изисква потребителската ви информация. Научете или попитайте за правилните URL адреси и бъдете скептични към всичко останало
    • Използвайте антивирусен софтуер или firewall, който може да следи и елиминира опити за phishing
    • Не игнорирайте вградените предупреждения за сигурност на браузъра си, те са там, за да ви пазят. Често ще ги получавате на измамни страници, тъй предупрежденията са точно за тях. Отделно, страниците често са създадени набързо и за единична употреба и не спазват някои от изискванията на браузъра ви.

    Вече е Microsoft 365 [NP1]

  • REvil ъпдейтна бизнесмодела си: вече предлага крадена информация на търг

    Неведнъж сме разказвали на групата REvil / Sodinokibi – едни от добилите популярност в началото на 2020 г. криптовируси, които източват данните на жертвите си преди да ги криптират. 

    Всяко ново появяване на това ransomware семейство е запомнящо се, защото добавя нов щрих към измамата: 

    • Първоначално групата стана известна с това, че подсигурява печалбата си от две страни – или плащате за декриптиране на данните си или за да не попаднат те в ръцете на конкуренцията. При всички случаи REvil печели. 
    • По-късно през годината „семейството“се сдоби със собствена платформа. На нея, под формата на каталог, се публикува откраднатата информация от жертвите, които не са платили откупите си. Така пазарният дял е гарантиран. 
    • В началото на юни 2020 г. REvil добави черешката на тортата – функция за анонимно наддаване за откраднатата информация. А първите аукциони са вече факт. 

    Сред жертвите, чиито данни са били продадени на търг, са дистрибутор на храни, адвокатска кантора и дружество за интелектуална собственост, всички в САЩ.  

    Спечелилите наддаването плащат, разбира се, с криптовалутаПри това, изглежда, че страните се ползват с взаимно доверие, тъй като не би било възможно да се поиска възстановяване на сумата в случай на недоставяне на заплатената информация. 

    Продължаване да следим развитието на REvil и ни се иска този бизнес нюх да бъде вложен в положителна кауза. 

    Прочетете повече по темата тук

     

    В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

  • Как RIPlace елиминира конвенционалните защити от криптовируси

    Нова техника за разпространение на криптовируси елиминира защитата на повечето съвременни антивирусни решения само с няколко реда код. Става въпрос за RIPlace, която е поредното нововъведение в ransomware.

    Техниката е разкрита от изследователите по киберсигурност Daniel Prizmant, Guy Meoded, Freddy Ouzan и Hanan Natan от Nyotron още в през 2018 г. След като уведомили всички засегнати разработчици на приложения, операционни системи и антивирусен софтуер, включително и Microsoft, обаче, анализаторите получили лаконичен отговор. Нещо от сорта на: щом дотогава никой криптовирус не е използвал тази техника, уязвимостта се класифицира като „незначима“.

    Наскоро обаче дебютира Thanos – първият криптовирус, който използва RIPlace.

    В кореспонденция между Nyotron и BleepingComputer, Nyotron  са тествали RIPlace срещу голям брой разработчици на антивирусен софтуер, включително Microsoft, Symantec, Sophos, McAfee, Carbon Black, Kaspersky, Crowdstrike, PANW Traps, Trend Micro, Cylance, SentinelOne, и Malwarebytes. Единствено Kaspersky и Carbon Black са направили нужните промени в техния антивирусен софтуер, за да елиминират изпълнението на тази техника.

    Преодоляване на ransomware защитата от RIPlace

    Според Nyotron, криптовирусите използват 3 различни техники, за да криптират информацията на жертвата и по този начин да подменят легитимната информация с криптирана такава. Обикновено, най-често използвани са методи #1 и #2:

    1. Записване на криптираните данни от паметта в оригиналния файл.
    2. Записване на криптираните данни от паметта в нов файл и след това изтриване на стария (легитимния) файл.
    3. Записване на криптираните данни от паметта в нов файл и след това с помощта на т.нар. “Rename call” се заменя оригиналния файл.

    За да бъде успешно предотвратена една атака от ransomware, всичките три опции трябва да бъдат защитени от филтриращият драйвер на антивирусния софтуер.

    От Nyotron откриха, че изпълнението на вариант 3 за подмяна на файлове и извършването му по специален начин, позволява да се заобиколи защитната функция, както е показано по-долу:

    Различни методи за запазване на криптираните файлове

     

    RIPlace работи, използвайки функцията „DefineDosDevice“, за да създаде DOS устройство, като например \\.\RIPlace, което след това сочи (links) към криптирания файл. Впоследствие DOS устройството се подава като целеви път за Rename функцията. Тъй като име на DOS устройство не се очаква, това води до връщане на грешка за това изпълнение. Така драйверът MiniFilter (който е част модула за защита от ransomware) вижда грешка и не блокира нищо, но въпреки това Rename преминава успешно.

    В крайна сметка, от гледна точка на разработчиците на криптовируси, са необходими промени на няколко реда код, за да се заобиколят наличните защитни модули.

    Въпреки че промените са доста прости, може да са нужни малко повече усилия в сравнение с използването на нормалните методи, но това ще трябва да бъде допълнително тествано, за да се знае със сигурност.

    RIPlace срещу Controlled Folder Access в Windows 10

    Controlled Folder Access (CFA) осигурява защита на ценна информация от злонамерени приложения и заплахи, като например криптовируси. Всички приложения (всеки изпълним файл, включително .exe, .scr, .dll, word файлове и други) се оценяват от Microsoft Defender Antivirus, който след това определя дали приложението е злонамерено или безопасно. Ако приложението е класифицирано като злонамерено или подозрително, няма да бъде позволено то да прави промени по който и да е файл, намиращ се в защитена папка, дефинирана в CFA.

    От Nyotron създадоха видео, в което се демонстрира заобикалянето на CFA използвайки RIPlace. За повече информация може да посетите сайта на Nyotron, където има създадена специална страница за RIPlace.

    BleepingCmputer, използвайки RIPlace, също заобиколиха CFA, като за доказателство (Proof-of-concept) са публикували подробни снимки на атаката.

    От кореспонденцията между BleepingCmputer и Microsoft става ясно, че тази техника не се смята за уязвимост от технологичния гигант: „CFA се базира на многослойна защита (defence-in-depth) и за да бъде успешна тази атака са необходими привилегировани права на конкретната машина. Следователно тази техника не отговаря на нашите критерии за обслужване на сигурността.“

    Как да се защитите

    И докато според Microsoft възможността, някой да компрометира вашата машина и да ескалира своите привилегии, не е често (и лесно) действие, за съжаление в реалния свят нещата стоят по коренно различен начин. Един от най-често използваните похвати на злонамерените лица, след като си осигурят достъп до инфраструктурата, е именно да повишат своите привилегии, а в някои случаи дори не е нужно да го правят. Защо ли? Защото например не се използва концепцията за Least privilege и съответно на компрометираната машина всички потребители са с admin права.

    Антивирусният софтуер сам по себе си не може и не бива да бъде приеман като all-in-one решение, а по скоро като една част от него. Другите „части“ на това решение са: следване на добри практики в сферата на информационната сигурност, в това число използване на защитна стена на изхода на мрежата, ограничаване на публично достъпните услуги (уязвими протоколи като RDP и SMB не бива да бъдат публично достъпни!), сегментиране на мрежата, правилно разпределяне на правилата на потребителите и др.

  • ФБР очаква повече хакерските атаки срещу мобилни банкови приложения

    Американското Федерално бюро за разследване (ФБР) очаква ръст в атаките срещу банкови приложения. Прогнозата е, че основен инструмент при осъществяването им ще бъдат банкови троянци (зловредни приложения, които създава фалшива версия на страницата за вход на банката и я наслагват отгоре на легитимното приложение) и фалшиви банкови приложения (които директно се представят за реалните приложения на големите финансови институции).

    И в двата случая потребителят е примамен да въведе идентификационните си данни за вход и… акаунтът му е компрометиран.

    Причините са логични

    Хората все повече използват приложения за мобилно банкиране – тенденция, която беше подсилена от принудителното оставане у дома в условията на пандемия.

    Вследствие на продължаващите призиви за социално дистанциране, американците стават все по-склонни да използват мобилното банкиране като алтернатива на физическото посещение на банкови офиси, разкрива доклада.

    Тенденцията е проследена в САЩ, но, според нас, е валидна в световен мащаб.

    Как да се предпазят потребителите?

    • Да изтеглят приложенията за мобилно банкиране от официалната страница на банковата институция
    • Да използват двуфакторна автентикация
    • Да използват „силни“ пароли
    • Да се свържат незабавно с банката ако приложението за мобилно банкиране им се стори съмнително

    Над 75% от американците са използвали мобилно банкиране под някаква форма през 2019 г., а от началото на 2020 г. е регистриран ръст от 50% ръст спрямо същия период през миналата година.

  • Над 20 млн. Android потребители са прилъгани с фалшиви приложения

    Google се изправя пред все по-сериозен проблем с гарантирането на сигурността на потребителите на Andoird и по-специално: премахването на зловредни приложения от Google Play.

    По данни на анализаторите от Upstream броят на засечените зловредни приложения се е удвоил за първото тримесечие на 2020 г. спрямо същия период на миналата година и в момента има поне 98 хил, за които е известно, че са опасни. А измамните трансакции през тях са скочили с 55%.

    Поредната порция лоши новини по темата дойде от други анализатори – White Ops Threat, публикуван на 9 юни. Те разкриха схема от 38 измамни приложения за обработване на снимки, които се използват за генериране на автоматизирани посещения на конкретни уебсайтове без никакви кликвания от страна на потребителя.

    Фалшив трафик, истински пари

    С подобни техники се генерира фалшив трафик към сайтове и фалшиви кликове върху реклами, с които в последствие рекламодателят плаща, а авторът на приложението получава процент от заплатеното. Т.е. схемата е: фалшиви кликове -> фалшив трафик -> истински приходи от иначе легитимна услуга, каквато е рекламата.

    В случая, тези 38 приложения са били свалени от над 20 млн. души. Разбира се, те вече са премахнати, но измамниците не са притеснени от това. Защото подобно противодействие е очаквано.

    Схемата им се състои в това те да публикуват непрекъснато нови приложения (средно на всеки 11 дни). Въпреки сравнително краткия си престой в магазина, обичайният брой инсталации за всяко подобно приложение е над 500 хил.

    Предполага се, че с подобна активност измамниците целят да определят точно какви критерии използва Play Store като основание за премахване на по-ранните им приложения.

    Какво да правите

    Препоръките са обичайните: Изтрийте вече инсталираните подозрителни приложения. Преди това, внимавайте какво изтегляте. Проверете отзивите. Ако видите оплаквания относно обема на рекламите, НЕ инсталирайте това приложение.

  • Над 300 хил. клиентски акаунта са хакнати след атака срещу Nintendo

    Над 300 хил. клиентски акаунта на Nintendo са били компрометирани след атака срещу геймиг компанията. От тях е източена информация като имена, имейли, рождени дни и държава, от която идват засегнатите потребители.

    Първоначално обявеният брой беше 160 хил. акаунта, които се увеличиха почти двойно в процеса на течащото вътрешно разследване. Засегнати са под 1% от клиентите на компанията, става ясно от официалното ѝ съобщение.

    Новината за пробива идва след публикациите през 2020 г., според които потребители на Nintendo са се оплакали, че забелязват странно поведение на акаунтите си и покупки, които не са правили.

    Съветът и на Nintendo, и от нас, е да въведете дву-факторна автентикация където това е възможно (т.е. не само, ако използвате услугите на гейминг компанията, а за мейлите, социалните си медии и др.)

    Прочетете повече по темата тук

     

    В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

  • Уроците на COVID-19: 7 грешки, които допускаме за домашната си мрежа

    Масовата работа извън офиса покрай пандемията с COVID-19 ни научи на много ценни уроци. Един от тях: домашната мрежа е точно толкова важна и трябва да е поне толкова сигурна, колкото тази в офиса.

    Отдалечената работа не е феномен от днес – просто покрай пандемията тя стана по-масова. Заплахата от вируса направи така, че бюрото в офиса се смени с това вкъщи, училищата на децата ни са изместени в онлайн класни стаи и комуникацията с близките ни минава през интернет. И, ако защитата на корпоративната мрежа не е наша лична отговорност, то вкъщи ние трябва да се погрижим и за сигурността си. Това може да е само полезно, защото същата домашна мрежа обикновено използваме за гледане на филми, сърфиране в интернет и т.н. Все неща, за които сигурността е важна.

    В този текст ще съберем най-често срещаните грешки, които видяхме по време на пандемията и начините, по които може лесно да бъдат отстранени.

    Грешките

    1. Конфигуриране на безжична мрежа без парола. Разбира се, това е най-лесният и удобен начин за конфигурирането на една безжична мрежа. Това обаче означава две неща: спад в производителността на цялата мрежа (мрежата без парола почти сигурно означава, че в нея ще има много неканени гости) и широко отворени врати за злонамерени лица, които могат да инфектират вътрешната мрежа. Винаги слагайте парола на мрежата си (и то не каква и да е – виж грешка 3).
    2. Прикриване на името на безжичната мрежа (SSID), която отново е без парола. Мит, който се разпространява в интернет. Като скрием името на нашата мрежа (SSID), то тя става „невидима“ и по този начин няма нужда да я подсигуряваме с парола, защото така или иначе само ние ще имаме достъп до нея. Истината обаче е, че това изобщо не е така. Дори да скрием SSID, рутерът продължава да изпраща сигнали и те могат да бъдат прихванати, без това да изисква специализирани познания или инструменти. Като скрием SSID не повишаваме сигурността, а създаваме само един лек визуален ефект. Винаги слагайте парола на мрежата си (и то не каква и да е  – виж следващата грешка).
    3. Използване на слаба парола за безжичната мрежа. Първо, нека дефинираме какво е слаба парола. Това е парола, която съдържа малко на брой символи и по този начин тя е уязвима на brute-force атака (състои се в съставяне на списък от всякакви символи с всякакви дължини и опит за логване в мрежата с някоя от различните комбинации).  Друг вид слаби пароли са често срещани комбинации: admin, password, root и т.н. Тези пароли отново са уязвими на brute-force атака, но базирана на т.нар. dictionary attack (това са списъци, които съдържат едни от най-често използваните фрази за пароли). За слаба парола може да се приеме и например серийния номер на рутера, въпреки че в повечето случаи той е със сравнително голяма дължина и съдържа цифри и букви. Уязвимостта се крие именно в това, че ако нападателят разбере модела на рутера (а това изобщо не е трудна задача), той ще може да генерира списък от пароли, в който да са описани всички възможни комбинации от цифри и съответно техните дължини, които са характерни за серийните номера на този вид рутери. Така значително се намалява времето за разбиване на паролата. Освен гореописаните примери, като слаба парола може да дефинираме и всяка една парола, която поради една или друга причина се свързва с нас или ни идентифицира. Например, името на нашият домашен любимец, номер на улица, ЕГН и т.н. Добрите практики показват, че една сигурна парола трябва да е от минимум 14 символа и да е съставена от специалмни символи, цифри, главни и малки букви.
    4. Използване на слаби/остарели криптиращи протоколи за безжичната мрежа. Избягвайте използването на WEP и WPA, защото имат познати уязвимости и при правилното им експлоатиране може да се стигне до компрометиране на вътрешната мрежа. Използването на WPA2 в комбинация с криптиращия алгоритъм WPS е още една функционалност, която отваря дупка в сигурността на домашния ни рутер. Независимо че се използва WPA2 + AES, ако WPS е пуснат, чрез него е възможно компрометирането на рутера. Затова, след като се уверите, че използвате съвременни криптиращи протоколи и алгоритми за безжичната мрежа, задължително изключете WPS!
    5. Използване на фабричното потребителско име и парола за достъп до рутера. Никога не оставяйте фабричните настройки на рутера непроменени. Винаги конфигурирайте ваша сигурна парола за достъп до рутера, като по този начин ще предотвратите неоторизиран достъп до него.
    6. Неактуализиране на фърмуера на устройството. В повечето случаи, както потребителското име и паролата, така и версията на фърмуера, не се обновяват и остават такива, с каквито е дошло устройството. Плюсовете за използването на последната актуална версия на фърмуера се състоят в подобряване на производителността на устройството и отстраняване на някои бъгове, както и в закърпване на софтуерни уязвимости, които биха поставили вашето устройство в риск. Винаги прилагайте последния възможен фърмуер за вашият рутер!
    7. Използване на Port Forwarding за достъп на вътрешна услуга от Интернет. Всеки домашен потребител би искал да може да управлява своя принтер, NAS устройство, домашен компютър (най-често чрез RDP), IoT устройство и дори самия рутер от всяка точка на света. Да, това осигурява голяма свобода и удобство, но на каква цена? Публикуването на услуга в Интернет означава, че тя ще бъде видима не само за нас, но и за други лица, за които нямаме гаранция, че ще имат добри намерения. Дори и да сме приложили описаните по-горе стъпки, отварянето на порт и съответно услуга би позволило на злонамерените лица да атакуват и съответно да експлоатират тези услуги, като по този начин си осигурят достъп до вътрешната мрежа и нашите ресурси в нея. Затова, препоръчително е използването на VPN, който ще осигури сигурна и криптирана връзка до вътрешната мрежа, която не може да бъде пресечена от трети лица. Като краен вариант, при невъзможност за конфигурирането на VPN, може да се приеме ограничаването на достъпа до тази услуга само до конкретен публичен IP адрес.

    Дотук разгледахме едни от най-често срещаните грешки при конфигурирането на домашната мрежа и това как да ги елиминираме.

    В следващите редове ще опишем и нашите препоръки за превръщането на домашната ни мрежа в работна.

     

    Нашите препоръки

    1. Сегментиране на мрежата. Създайте и сегментирайте домашната си мрежа още на ниво VLANs, така че тя да бъде в отделен VLAN от мрежата, която ще използвате за корпоративни цели. Така ще имате две отделни мрежи, като те не трябва да имат достъп една до друга. По този начин дори вашата локална мрежа да бъде заразена, тази зараза няма да се принесе към корпоративната мрежа (и обратно).
    2. Включете защитните механизми във вашият рутер. Почти всички рутери имат т.нар „базов“ stateless firewall. В средния клас рутери има дори SPI firewall, както и други защитни механизми

    Ако вашият рутер няма тези функционалности (или искате да ги надградите) може да инсталирате друга операционна система, която да ги „отключи“. Най-широко разпространени на пазара са OpenWRT и ddWRT. Те могат да превърнат един най-обикновен рутер за 20 лв. в устройство, което има SPI firewall, VPN, VLANs и т.н. Внимание! Инсталирането на друга операционна система на вашия рутер може да го повреди/счупи и затова трябва да бъдете много внимателни! Препоръчваме да се запознаете детайлно с процеса преди да предприемате подобни действия.

    1. Използване на CloudFlare DNS for Families – Това е нова услуга, предоставена от облачния гигант. Тя се състои в използването на техни DNS сървъри, които филтрират малуер и съдържание за възрастни, напълно безплатно. По този начин добавяте още един слой към вашата сигурност още на ниво DNS. За целта, в настройките на рутера конфигурирайте една от следните опции:
    • За блокиране на зловредни кодове:
    • Основен DNS : 1.1.1.2
    • Втори DNS : 1.0.0.2
    • За блокиране на малуер и филтриране на съдържание за възрастни:
    • Основен DNS : 1.1.13
    • Втори DNS : 1.0.0.3
    1. Ако имате подръка Raspberry Pi, тогава може да се възползвате от още един безплатен продукт на CloudflareCloudflare Gateway. С помощта на Raspberry Pi, Pi-hole и DNSCrypt, вие ще можете да включите защитни механизми като например, но и не само DoH (DNS over HTTPS) за конкретно устройство, браузър и дори за цялата локална мрежа. Така ще може да се защитите от най-различни мрежови атаки като фишиниг, малуер, криптовируси и т.н.

    Въпреки че изпълняваме служебните си задължения от вкъщи, сигурността на домашната ни мрежа е наша отговорност. Ако подходим с лека ръка към нея, това може да има пагубни последствия не само за устройствата вътре в нея, но и за корпоративната мрежа и ресурси.

    Елиминирайки грешките, описани по-горе, значително се намалява шанса локалната ни мрежа да бъде компрометирана. Ако следваме и препоръките, тогава ще постигнем едно доста добро ниво на мрежова сигурност. Имайте на предвид, че освен последната точка за Cloudflare Gateway, (където се изисква да имате наличен Raspberry Pi) всичко друго изписано до тук изисква само и единствено време и желание от ваша страна. А какво по-хубаво от това да надградите домашния си рутер с всички тези защитни механизми и функционалности на цената от 0 лв.?

  • Един jailbreak за всички iPhone

    Хакерската групировка, наречена Unc0ver, публикува нещо като мана за собствениците на iPhone: jailbreak за почти всички версии на iOS от 11 до 13.5 (изключения са единствено версии 12.3 до 12.3.2 и 12.4.2 до 12.4.5).

    Хакерите твърдят, че са използвали zero-day уязвимост в iOS, но не разкриват по-сериозни технически детайли. Според публикация на Vice Motherboard, става дума за пропуск в кода на iOS ядрото.

    От Apple вече са се заели да премахнат откритата уязвимост, като ъпдейт се очаква най-рано в следващите 2-3 седмици. Въпреки това  Pwn20wnd уверява, че потребителите могат да се върнат на по-стара версия на iOS, което отново ще им позволи да „отключат“ операционната система. Тук изниква въпроса, защо обаче потребителите изобщо да го правят и дали jailbreak-a все още е на мода.

    Ограничавайки крайните потребители и без възможност за пълен административен достъп в iOS, от Apple целят да гарантират максимална безопасност и стабилност на работа, но в замяна на невъзможност за инсталация на „външен и неодобрен“ софтуер.

    Точно на този психологически похват залагат и от Unc0ver – „Можете да промените каквото пожелаете и да накарате устройството да работи по ваша преценка, отключете истинската сила на вашето i устройство“, гласи посланието при сваляне на инструмента от сайта на групата.

    Неоправдан риск

    Всъщност дори това твърдение да е вярно, ако се погледне от друга гледна точка, отключването на системата е изключителен риск за сигурността на потребителя.

    Чрез заобикаляне на заложените ограничения, потребителят рискува да станете жертва на различен вид зловреден софтуер, който по принцип не би трябвало да е реална заплаха. Факт е, че Apple се стремят към пълен контрол върху цялата екосистема. Тоест приложенията, които работят  върху нея, не могат да бъдат инсталирани извън официалния одобрен канал (App Store) от производителя, а това не се нрави на някои потребители.

    Причината: използването на такива неодобрени програми може да изиграе лоша шега на любопитния потребител. Интересът и предизвикателството за всеки ентусиаст да пробва собственоръчно новия инструмент се оказаха обаче огромни – малко след като беше публикуван, сайтът на Unc0ver беше временно недостъпен от огромния брой заявки.

    Като завършек на интересния случай, член на екипа на Unc0ver – Pwn20wnd е убеден, че „В бъдеще ще се публикуват все повече инструменти за jailbreak и дори след излизането на iOS 14. Ако все пак Apple успеят да закърпят текущата уязвимост, аз ще направя нови програми използващи подобен zero-day подход.“

    Голям дял = голям интерес

    По последни данни на Statcounter.com, делът на мобилните устройства, работещи под всички версии на iOS, е около 29 %. Добрите резултати на Apple имат и своите последствия – привличат вниманието на „хакери“ и „кракери“, които да доказват своите умения върху продуктите на компанията.

    Следователно, уравнението и максимата: много потребители = голям интерес от страна на хакери и евентуално – недоброжелатели, се потвърждава.

Back to top button
Close