Най-интересното

Последен ъпдейт на 4 май 2020 в 11:58 ч.

Критична уязвимост в популярният проект с отворен код OpenWrt позволява отдалечено изпълнение на код (RCE). Linux-базираната операционна система е широко използвана за рутери, защитни стени и други мрежови устройства.

CVE-2020-7982 уязвимостта се корени в мениджъра за обработка на пакети OPKG и именно в това, как той  проверява интегритета на свалените файлове използвайки контролни суми, базирани на хеш алгоритъма SHA-256, вградени в подписания индекс на хранилището. За нея вече има и proof-of-concept.

Как работи уязвимостта

Когато бъде изпълнена командата  за инсталация „opkg install’ върху уязвимото устройство, това ще доведе до възможността на отдалечен нападател да се постави в ролята на човек в средата (man-in-the-middle). По този начин може да инжектира и  да изпълни производен код като се възползва от уязвимостта, като крайният резултат е  инсталиране на зловреден пакет или софтуерен пач, без той да бъде проверен и удостоверен за автентичност.

Ако уязвимостта бъде експлоатирана успешно, нападателят ще си осигури пълен контрол върху мрежовото устройство с OpenWrt, което автоматично означава, че ще има пълен контрол и върху мрежовия трафик, преминаващ през него.

3-годишната уязвимост е била открита по-рано тази година от Guido Vranken, служител в софтуерната компания ForAllSecure, който след откриването ѝ се е обърнал към разработчиците на OpenWrt.

В публикувания пост  от Vranken той обяснява, че когато контролна сума съдържа водещи празни знаци („any leading spaces“), OPKG мениджъра в уязвимите версии на OpenWrt пропуска проверката за интегритета на свалените пакети и директно подхожда към тяхното инсталиране.

“Базирайки се на факта, че OPKG в OpenWrt се изпълнява под контекста на root потребителя и по този начин има права за писане върху цялата файлова система, произволен код може да се инжектира в смисъла на подменени .ipk пакети със зловредно съдържание”, споделят от OpenWrt.

Отдалеченото експлоатиране на тази уязвимост е възможно поради факта, че в Linux ОС механизъма за инсталация на пакети , които са свалени през несигурна HTTP връзка, се основава на подписването на тези файлове чрез цифров подпис (digital signature).

Освен това, за да използват уязвимостта, нападателите също трябва да изпратят злонамерен пакет с размер, равен на посочения в списъка с пакети размери на downloads.openwrt.org.

Засегнати версии

Според екипа на OpenWrt са засегнати версии 18.06.0 до 18.06.6 и 19.07.0, както и LEDE 17.01.0 до 17.01.7.

„Като решение на проблема, OpenWRT премахна празните разстояния в SHA256 сумите  от списъка с пакети, малко след като съобщих за грешката“, споделя Vranken.

„Това обаче не е адекватно дългосрочно решение, тъй като атакуващият може просто да предостави по-стар списък с пакети, подписан от разработчиците на OpenWRT,“ добавя той.

За да отстранят тази уязвимост, засегнатите потребители се съветват да ъпдейтнат фърмуера на своето устройство до най-новите версии на OpenWrt 18.06.7 и 19.07.1, които бяха пуснати миналия месец.

Последен ъпдейт на 4 май 2020 в 11:58 ч.

Накратко:

• IoT остават уязвими на атаки най-вече заради неглижиране от страна на собствениците си и заради краткия период на поддръжка от производителите си
• Заради това, ботмрежи с „умни“ устройства са в основата на едни от най-големите DDoS атаки в света
• Един от водещите зловредни кодове, инфектиращи IoT устройства – Mirai – се завръща с ново име – Mukashi и променен подход на действие
• Как да защитите IoT устройствата, които използвате: започнете със смяна на фабричните им потребителско име и парола

По материала работиха: Валентин Манев, Георги Павлов

Поне три ботнет оператора сформират нови “зомби” мрежи с уязвими IoT устройства. Те използват разновидност на небезизвестния Mirai, но този път под името Mukashi. Престъпниците са експлоатирали нови уязвимости във въпросните устройства цели 6 месеца преди вендорите да успеят да закърпят своите пропуски.

Рекордни DDoS атаки

Нека припомним какво знаем за Mirai botnet. Това е зловреден код, който придобива контрол върху уязвими “IoT” устройства (DVR, web камери и SOHO рутери). Целта е тези устройства да бъдат използвани в големи Distributed Denial of Service (DDoS) атаки.

Mirai придоби известност още с появата си на радара. Дебютът беше с най-масивната до този момент DDoS атака към блога на Krebs on Security. Впоследствие, в апогея му през 2016 г., ботмрежата успява успешно да парализира едни от най-големите интернет доставчици на услуги като OVH web hosting и Dyn DNS. Първите съобщиха, че атаките към тях  са били с обем над 1Tbps (терабита в секунда), генерирани от над 600 000 устройства). Повече за тази атака може да прочетете тук.

В оригиналния си вариант Mirai има един от най-елегантните принципи на работа:

1. Престъпниците сканират интернет за IoT устройства с отворени портове на услуги за мениджмънт (telnet, ssh – 23/TCP, 22/TCP).
2. След това зловредният код се опитва да се сдобие с административен достъп като използва списък от 64 потребителски имена и пароли, използвани по подразбиране или вградени от производителя. Ако не са сменени, Mirai получава достъпа до засегнатите устройства.
3. В зависимост от производителя и модела на устройството, зловредният код инсталира специфични модули, които превръщат това устройство в “зомби” под пълният контрол на престъпниците.
4. Всяко ново „зомбирано“ устройство повтаря стъпките от 1 до 3.

Най-новият наследник

Най-новият наследник на Mirai е Mukashi. Той има сходен принцип на действие, но се възползва от уязвимост (CVE-2020-9054) в 27 устройства, произведени от Zyxel, който има над 100 милиона работещи устройства по света.

На 24 февруари 2020 г. тайванският производител публикува ъпдейт за уязвимостта CVE-2020-9054. В последствие се оказа, че той не отстранява проблема при много остарели (End of Life) устройства, които вече не се поддържат от компанията. Съветът на Zyxel е тези устройства да не се свързват към интернет.

Друг производител на експлоатирани от Mukashi IoT устройства е LILIN. DVR и CCTV устройствата, произведени от компанията, имат стартирани NTP и FTP услуги с “hardcoded” потребител и парола: root/icatch99 и report/8Jg0SR8K50). Познато, нали?

Какво прави този вид ботмрежи специални?

Характерно за семейството на този вид зловредни кодове е сравнително лесното изпълнение и големият брой устройства, които инфектира. Не по-малко важен е и фактът, че оригиналният код за вируса е бил качен в публичното интернет пространство, където много не толкова напреднали хакери  могат да го изтеглят и мутират в различни разновидности, създавайки щамове като Mukashi botnet.

Борбата срещу botnet мрежите продължава

Microsoft обявиха, че на 10 март успешно са терминирали инфраструктурата на една от най-големите SPAM botnet мрежи – Necurs, инфектирала общо над 9 млн. компютъра в глобален мащаб.

Операцията е извършена успешно с помощта на международна полиция и 35 частни компании. Според статистиката, публикувана от изследователите, Индия, Индонезия, Турция, Виетнам, Мексико, Тайланд, Иран, Филипините и Бразилия са държавите с най-голям брой инфектирани машини от зловредния код.

В рамките на 58 дни, колкото е продължило разследването, Microsoft споделят, че са наблюдавали как машини, инфектирани с Necurs, изпращат общо над 3.8 милиона спам имейла на над 40.6 милиона потенциални жертви.

Какво можем да направим, за да се защитим?

 

• Не използвайте креденшълите по подразбиране. Винаги променяйте паролите и имената на акаунтите по подразбиране на всичките си устройства (като телефони, рутери, смарт телевизори), за да ограничите възможността да станете част от проблема т.е. да станете част от ботмрежа.
• Използвайте уникални и сложни (дълги и съдържащи различни по вид символи) пароли. По-голямата част от така наречените “хаквания” се дължат на човешка грешка, поради недоглеждане или поради слаби пароли.
• Прилагайте ъпдейтите за вашите устройствата. Много от нас често забравят, че това е една от най-важните мерки, които може да предприемем срещу това да бъдем компрометирани. А поддръжката е една от ахилесовите пети на IoT устройствата – обикновено производителите им не ги поддържат твърде дълго и спират да запушват уязвимости за по-стари устройства.
• Ограничете достъпа до устройствата си. Не е нужно целият свят да има достъп до вашия smart климатик или телевизор, нали?

Последен ъпдейт на 4 май 2020 в 11:58 ч.

Често срещаме въпроса „разумно ли е да имам повече от един антивирус на компютъра/смартфона/таблета си?“. В този текст ще ви дадем нашето мнение по въпроса, защо наличието на повече от едно решение за защита от вируси на едно устройство може да е по-скоро вредно и ненужно, отколкото полезно.

Има три основни причини, поради които едновременното използване на няколко антивирусни решения не е добра идея:

1. Всяко приложение ще използва системните ви ресурси – и ще намалява производителността на устройството ви. Инсталирането на повече от едно антивирусно решение най-вероятно няма да увеличи драматично нивото на защитата ви, но ще се отрази на производителността на компютъра ви. Това означава, че рискувате да не можете да вършите нормално работата си или дори да имате допълнителни проблеми.Сблъсъкът на антивирусни програми може да накара компютъра да се държи нередно и да работи по-бавно – това е така, защото тези приложения се борят за едни и същи системни ресурси, които иначе биха отишли за програмите, с които работите или се забавлявате.
2. Отделните антивирусни приложения ще се опитат да се неутрализират взаимно. Повечето софтуери за защита в реално време са написани, без да се отчита възможността за наличието на друга антивирусна програма на системата. Така има голяма вероятност да се стигне до ситуации, в които единият антивирусен продукт смята поведението на другите стартирани антивирусни програми за действителна заплаха или дори да ги засече като зловреден код.Това е така, защото съвременните решения за защита на работни станции и сървъри все по-малко разчитат на предварително зададени характеристики и сигнатури за разпознаване на вируси (signatures). Повечето от тях разчитат на анализиране на поведенческите модели и аномалии, създадени от зловредните кодове. За да предпази ефективно системата от заразяване, антивирусната програма трябва да “бръкне” надълбоко в операционната система и дори отвъд нея (например, още на ниво UEFI).

   Тази дълбока интеграция със системата няма как да не “събуди подозрението” на останалите стартирани антивирусни решения, чиято работа е да предотвратят именно такова, иначе подозрително поведение.

3. Различните приложения ще извършват излишни операции при спирането на вируси. Представете си следната ситуация: Имате две антивирусни приложения на компютъра си. Първото засича потенциално опасно приложение и го поставя под карантина. Второто не знае за това действие, вижда, но не може да направи нищо с файла, защото той вече е поставен под карантина от първото приложение. Резултатът: ще имат един файл под карантина от приложение 1 и много известия за потенциална заплаха на компютъра ви, която не може да бъде отстранена, от приложение 2. Ако не искате непрекъснато да получавате неверни предупредителни съобщения, наличието на повече от един антивирусен софтуер ще бъде проблем за вас.Ето и още един подобен пример. Приемаме, че двете приложения, които ползвате, имат активирано сканиране в реално време. Ако изтеглите потенциално опасен и заразен файл, ще се получи конфликт в действията им – едното приложение може да е настроено директно да трие такива файлове, а другото – да ги поставя под карантина.И така, докато първото директно трие файловете, второто ще се опитва да постави карантина на вече несъществуващи файлове. И отново ще видите множество съобщения за грешки. А най-лошият сценарий е нито един от антивирусните продукти да не е в състояние успешно да премахне и неутрализира заплахата.

Антивирусните решения използват голяма част от вашата оперативна памет за извършване на системни сканирания и други свързани операции. Ако имате две от тях едновременно, производителността на вашият компютър може да бъде значително намалена или напълно заличена и без никаква полза, тъй като двата софтуера  извършват излишни операции.

Windows Defender е изключение

Когато операционната система на Windows види друг антивирусен продукт, който иска да защити машината, тя автоматично изключва вграденият Windows Defender.

Някои приложения за сигурност могат да включват функция за защитна стена, за да блокират посегателства онлайн, но ако антивирусния софтуер не предлага тази защита, трябва да се използва защитната стена Microsoft.

И още нещо от нас. Този материал не е съвет да доверите цялата си киберсигурност само на едно средство за защита! Напротив, изградете многопластова система за защита, в която антивирусът е само основата. Добавете технологии като защитна стена, защита от източване на данни (DLP) и други, с които да надградите защитата на работните си станции. Колкото повече механизми за отбрана имате, толкова по-добре !

А, ако все пак решите да имате две или повече антивирусни решения, то спазвайте следните условия при конфигурирането и настройването им:

• Не трябва да си пречат;
• Не трябва да дублират своите функции;
• Не трябва да прекалявате, в противен случай рискувате да станете жертва на собствената си хитрост

Последен ъпдейт на 4 май 2020 в 11:58 ч.

След SMBGhost, Microsoft призна за нови критични 0-day уязвимости за всички поддържани Windows операционни системи. За тях все още няма пачове, но по-долу в текста може да намерите заобиколни методи за временно разрешаване на проблема.
И двата нови 0-day бъга са оценени със сериозност „Critical“. Те засягат Windows 10, 8.1 и Server 2008, 2012, 2016, и 2019 editions, както и Windows 7, за който Microsoft прекрати поддръжката на 14 януари 2020 г. Тези уязвимости позволяват Remote Code Execution (отдалечено изпълнение на зловреден код). За щастие публичен Proof of Concept все още не е достъпен и атаките използващи тази слабости са строго таргетирани и ограничени.

Как работят уязвимостите? И двете уязвимости се коренят в Windows Adobe Type Manager Library, което всъщност е библиотека за обработка на шрифтове. Те се използва не само от външни приложения, но и от самия Windows Explorer за да покаже съдържанието (превю) на файловете в ‘Preview Pane’ или ‘Details Pane’ още преди потребителя да ги е отворил.

Как се случва атаката? Без да изпадаме в технически подробности, ето как би била изглеждала атаката:

1. Престъпникът (хакерът) подлъгва жертвата да отвори или просто да прегледа (Windows Preview pane) файл;
2. Adobe Type Manager Library неправилно ще се опита да интерпретира специално изготвения „multi-master font – Adobe Type 1 PostScript format“;
3. При успешна атака компютърът ще е изцяло подвластен на недоброжелателя.

   

За щастие, според Microsoft, при Windows 10 недоброжелателят всъщност ще е затворен в AppContainer sandbox и ще има ограничени права на действие.

Все още обаче не е известно дали тези уязвимости могат да бъдат атакувани директно отдалечено – например чрез специално изготвен сайт, който да превземе уеб браузера на жертвата.

Microsoft знаят за проблема и работят върху ъпдейт, който ще поправи пропуските. Това се очаква да стане със следващия Patch Tuesday през идния месец април. Лошата новина е, че за уязвимостите все още няма пачове! За да ги елиминирате, приложете следните заобиколни методи – един от които е просто да спрете превюто на файловете в Windows Explorer.

Прочетете тук как да се предпазите от тези 0-day уязвимости.
В корпоративни мрежи препоръчваме на ИТ администраторите да приложат GPO, което да предпази крайните станции, докато Microsoft пуснат ъпдейти касаещи тези уязвимости.

Това са поредните главоболия на софтуерния гигант, който намира под особено голямо напрежение в от началото на март. Освен вече пачнатият SMBGhost, Micorosft се принуди да удължи с 6 месеца поддръжката и издаването на ъпдейти касаещи сигурността за Windows 10 (build 1709), който се предполагаше, че трябва да е End of Life на 14 април 2020 г. Причината – пандемият от COVID-19.

В рубриката Новините накратко подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

Последен ъпдейт на 4 май 2020 в 11:58 ч.

Ако имате нужда от помощ с отговора на въпроса как да направите така, че коронавирусът да не понижи критично “имунитета” на дружеството и друг вирус от друг вид да порази тежко бизнеса ви – следвайте съветника по-долу

Сигурна работа от вкъщи – как да го направим? Последните няколко дни този въпрос нашумя, особено след обявяването на пандемия от COVID-19 и препоръката колкото се може повече хора да работят от вкъщи.

Ето няколко предизвикателства, с които се сблъскваме ние в такива ситуации.

1. Направете така, че колегите ви да имат необходимия достъпи до информация и вътрешни ресурси, без да компрометирате сигурността си
2. Изберете решение, с което да знаете и контролирате какво реално правят колегите ви (DLP, EDR)
3. Контролирайте използването на „алтернативни“ IT решения и канали за комуникация и обмен на информация
4. Забранете използването на личен компютър/телефон за работа (или още по-зле – обществен, например в интернет кафе)
5. Защитете достъпа до вътрешна информация и услуги през незащитена връзка (в повечето случаи отворен WiFi, примерно в кафето до вас)
6. Следете и прилагайте ъпдейти
7. Осигурете лесен канал за комуникация с вас и за докладване на инциденти

Пълният и детайлен съветник вижте в блога на CENTIO #Cybersecurity тук.

Последен ъпдейт на 4 май 2020 в 11:58 ч.

Грешка в конфигурацията на база данни на Virgin Media доведе до позволяването на публичен достъп до лични данни на 900 хил. души – или 15% от клиентите на фиксирани услуги на компанията. Базата е била използвана за маркетингови цели.

Откраднатата информация не съдържа пароли или финансова информация, но в нея е имало имена, домашни и имейл адреси и телефонни номера. Данните на компанията показват, че информацията е достъпена от външен неоторизиран потребител, без да има яснота как и дали е злоупотребено с нея.

Прочетете повече по темата тук

В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

Последен ъпдейт на 4 май 2020 в 11:59 ч.

Над 99.9% от хакнатите Microsoft бизнес акаунти са били БЕЗ активирана многофакторна автентикация.
Към момента, само 11% от бизнес акаунтите на потребителите на компанията използват допълнителната мярка за защита. Многофакторната автентикация надгражда потребителското име и паролата ви с еднократно средство за потвърждаване на идентичността ви. Например: получаване на еднократен код при всеки опит за логин през специално приложение или чрез SMS.

Статистиката на Microsoft полазва още:

• Средно 0.5% от бизнес акаунтите на потребителите на компанията се хакват всеки месец (това означава около 1.2 млн. акаунта месечно)
• Около 40% от хакнатите акаунти – или 480 хил. акаунта – са компрометирани, защото паролите им са били лесни за отгатване
• Приблизително още толкова акаунти се хакват, защото данните за логин на притежателите им са били отгатнати след публикуването им при източване от други сайтове. Иначе казано: потребител има акаунт в услугата Х, за който ползва определено потребителско име и парола. Услугата Х е пробита и данните за потребителя са източени и публикувани онлайн. Хакерите се сдобиват с данните и пробват да се логнат със същото потребителско име и парола в услугите на Microsoft. И успяват, защото потребителят използва едно и също име и парола навсякъде.

Изводът от презентацията на Microsoft: използвайте сигурни пароли, различни за всеки отделен сайт или услуга. Въведете многофакторна автентикация като допълнително средство за защита.

Прочетете повече по темата тук

В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

Последен ъпдейт на 4 май 2020 в 11:59 ч.

Безплатен ли е безплатния Wi-Fi? По-скоро не – или поне това показва разкритие на анализатора Jeremiah Fowler. Той е намерил публична база данни с над 146 млн. записа за потребители, използвали услугите на компания, предоставяща безплатни Wi-Fi хотспотове в различни публични обекти във Великобритания – ресторанти, магазини и др.

За да използват безплатния Wi-Fi, потребителите е трябвало да въведат свои лични данни – имена, мейли и т.н. Именно на база данни с тази информация се е натъкнал Fowler. Тя е била оставена публично достъпна в интернет. Достъпът до базата данни е бил спрян, след като анализаторът съобщава за пропуска.

Въпросът за потребителите обаче остава: склонни ли сте да споделите личните си данни, за да спестите някой и друг мегабайт от мобилния си план за интернет? Защото, макар и наглед безобидна, тази информация за вас може да бъде използвана. Най-малкото, ще се знае кои заведения или хотели посещавате, в кои магазини пазарувате – и на база това, може да бъдете профилирани.

Прочетете повече по темата тук

 

В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

Последен ъпдейт на 4 май 2020 в 11:59 ч.

През февруари 2020 г., зараждащата тогава се паника от коронавируса бе използвана за разпространение на фишинг атака с мнима информация и съвети за защита от заболяването. Сега, когато Европа и светът са на път да бъдат парализирани от опасенията за глобална епидемия, киберпрестъпниците отново експлоатират страха на хората.

Този път хакерите разпространяват зловреден код под формата на прикачен файл в имейл, претендиращ, че е изпратен от италианските здравни власти. Четящият писмото е призоваван да отвори файла, за който се твърди, че съдържа информация от критична важност заради открити огнища на зараза с коронавируса в района, в който живее получателят на фишинга.

Съветът ни към вас: не се доверявайте на подобни писма и не отваряйте съмнителни прикачени файлове. Не споделяйте никъде потребителските си имена и пароли.

Прочетете повече по темата тук

 

В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

Последен ъпдейт на 4 май 2020 в 11:59 ч.

Британското Министерство на вътрешните работи (UK Home Office) е нарушило GDPR над 100 пъти заради проверки на кандидатури за гражданство, получени от жители на ЕС.

Сред нарушенията са: загубени лични карти и паспорти, неоторизирано споделяне на лични данни на граждани с трети лица, погрешно изпращани мейли до неправилни получатели и др.

Личните данни са подавани от британското МВР във връзка с програма за кандидатстване за гражданство от страна на жителите на ЕС и Швейцария, които искат да останат да живеят на острова след 30 юни 2021 г.  – EU Settlement Scheme (EUSS). Кандидатите по програмата са били над 1.3 млн. души.

Първото нарушение представлява съобщение, изпратено до 240 души, които са били в копие (т.е. имейлите им не са били скрити – и са станали достояние на всички участници в кореспонденцията).

Прочетете повече по темата тук

 

В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации.