Най-интересното

Като професионалист в киберсигурността, смятам че критичния анализ на новите технологии, особено тези със значителни последици за потребителската поверителност и сигурност, е важен и най-вече нужен подход за подобряване на цялостната киберсигурност, както и добра насока за разработчиците на тези нововъведения. Наскоро Microsoft представи функция за Windows 11, наречена Copilot+ Recall. Тази функция, описана от главния изпълнителен директор на Microsoft Сатя Надела като „фотографска памет на вашия PC живот,“ непрекъснато прави скрийншотове на екрана и ги събира в база данни, в която лесно може да се търси информация. Въпреки че това звучи доста иновативно и удобно, тази новост предизвика значителни опасения сред потребителите и експертите по киберсигурността. В тази статия ще разгледам практическите аспекти на Copilot+ Recall, неговото възприемане и дълбоките проблеми със сигурността и поверителността, които носи със себе си.

На хартия, Copilot+ Recall изглежда като благодат за производителността. За мениджъри и професионалисти, които жонглират с множество задачи, възможността да търсят през всичко, което са „видели“ на своя компютър, може да ускори работните процеси и да гарантира, че никоя идея няма да бъде загубена. Инструмента използва Azure AI за обработка на скрийншотове локално на устройството, превръщайки ги в индексиран текст с помощта на оптично разпознаване на символи (OCR). Идеята е, че потребителите могат бързо да си припомнят всеки документ, уеб страница или имейл, с които са взаимодействали, без значение колко назад във времето това се е случило.

Личното вече не е толкова лично

Въпреки потенциалните си предимства, въвеждането на Copilot+ Recall беше посрещнато с преобладаваща отрицателна обратна връзка. Тази реакция, макар и изненадваща за Microsoft, е съвсем предвидима за тези извън „балона“ на технологичния гигант. Основният проблем е в основната промяна, която тази функция налага върху възприятието за личното използване на компютъра.

За повечето потребители техният компютър е лично пространство. Те го използват за игри, сърфиране в интернет, гледане на видеоклипове и понякога за дейности, които предпочитат да останат лични. Идеята да има „фотографска памет“ на всичко, което правят на своя компютър, което потенциално може да бъде достъпно за други, е обезпокоителна. Потенциалът на функцията да изложи чувствителна информация на неупълномощени потребители е значителен проблем за сигурността.

Тази негативна реакцията към Copilot+ Recall подчертава и един друг по-широк проблем в Microsoft: ефекта на ехото. Това явление се появява, когато вътрешната култура и процесите на вземане на решения в компанията стават изолирано, водейки до разрив между възприятието на компанията за нейните продукти и реалността, която срещат във възприемането на промяна на съществуващи или въвеждането на нови продукти или функционалности. Според мен, в този случай Microsoft изглежда „малко“ е надценил привлекателността на Copilot+ Recall и е подценил опасенията за сигурността, които ще възникнат. Тук ще добавя и една малко конспиративна теория която също ми се струва доста възможна, а именно възможността по-лесно да се следят потебителите от агенции като NSA, ЦРУ или там която трибуквена шпионска агенция си изберете.

Тъмната страна на монетата

Въвеждането на Copilot+ Recall има дълбоки последствия за киберсигурността, които не мога да игнорирам и препоръчвам вие също да не ги подминавате с лека ръка, дори и да не сте експерти по киберсигурност. Въпреки обещанието на инструмента за локална обработка на данни, използвайки Azure AI върху локалната машина, това нововъведение си остава уязвимо на различни видове заплахи за сигурността и прави така че вашето лично пространство се превръща в доста не-лично. Един от най-значителните проблеми е, че въпреки че данните се обработват локално и се криптират в покой, веднъж след като потребителят влезе в системата, данните се декриптират и на практика стават достъпни за всички имащи достъп до машината. За съжаление Microsoft не са предприели никакви допълнителни мерки за да подсигурят критичността на данните, освен да ги криптират като всеки един друг файл върху системата с BitLocker.

Един елементарен пример би бил модифициран InfoStealer троянец, който е таргетиран да извлече данни от базата на Recall. Крадците на лична информация и сега се огромен проблем и с този ход Microsoft ни връщат с поне десетилетиe назад обезсмисляйки всички мерки, които до тук сме прилагали за да смекчим този проблем. Също така това директно противоречи на твърденията, че хакерите и зловредният софтуер не могат да достъпят данните. Криптирането защитава данните в покой, ако някой физически открадне устройството. но какво би станало при заразяване съв зловреден софтуер или успешна отдалечена атака? След като устройството е в употреба, данните на практика са декриптирани и сравнително лесно достъпни.

Друго противоречие с което се сблъскваме в твърденията на Microsoft, е че друг потребителски акаунт на същото устройство не може да достъпи базата данни на Recall. Функцията прави скрийншотове на всеки няколко секунди, обработва ги чрез OCR и съхранява получения текст в SQLite база данни в потребителската папка. Тази база данни съдържа запис на всичко, което потребителят е видял на своя компютър в чист текст. Тези файлове се съхраняват в папката AppData под нова директория, наречена CoreAIPlatform и на практика е сравнително лесно достъпна.

Към допълнение към горното, данните са достъпни за всеки в контекста на логнат потребител дори и без администраторски права, което още веднъж оспорва твърдението, че тя е сигурна.

Нищо не остава скрито

Сигурно вече си мислите, че вероятно Microsoft са предвидили опция в която Recall изключва автоматично събирането на чувствителна информация като финансови данни. За съжаление НЕ. Всичко, което е видимо на екрана, се улавя и съхранява, независимо от неговата чувствителност. Това представлява още един незащитен слой на чуствителна информация и значителен риск за поверителността, отново поради факта че лична и конфиденциална информация може лесно да бъде достъпни.

Самата база данни е компактна и се компресира се добре. Данни за няколко дни могат да заемат около 90 KB, което прави лесно извличането им дори през не толкова бърза комуникационна връзка. Търсенето върху устройството е много бързо, предоставяйки почти мигновени резултати, което, макар и удобно, също улеснява злонамерените актьори да ексфилтрират данните.

В един от постовете си в Twitter, Кевин Баумон тества успешно автоматизирано извличането на неговата Recall база данни, създавайки инструмент за търсене в нея. Това демонстрира леснотата, с която чувствителни данни могат да бъдат компрометирани. Такива възможности позволяват на нападателите да извлекат подробна информация от компютъра на потребителя, включително чувствителни корпоративни данни, лична информация и частни комуникации.

Практическите рискове, представени от Copilot+ Recall, са значителни и широкообхватни. Един от най-тревожните сценарии е потенциалът за масово изтичания на данни. Recall може да позволи на нападателите да автоматизират извличането на данни от компютъра на служители в различни бизнеси, събирайки подробна информация за потребителите и клиентите, без засегнатите компании да са наясно, кога и как това се е случило, като това може да доведе тежки последствия за отделни лица и организации. На практика корпоративният шпионаж става по-лесен от когато и да е било и компании, използващи устройства с Windows и включен Recall, могат неволно да изложат чувствителна корпоративна информация. Това представлява значителен риск за бизнес конфиденциалността и конкурентното предимство, тъй като кибершпиони могат да получат достъп до чуствителна информация, търговски тайни и стратегически планове.

Допълнително, функции като Recall могат да противоречат на регулации като GDPR, които изискват стриктен контрол върху обработката и съхранението на лични данни. Организациите трябва внимателно да обмислят правните последици от използването на такава технология. Неспазването може да доведе до тежки глоби и увреждане на репутацията им.

Дела трябват

За да адресира тези проблеми, Microsoft трябва да предприеме незабавни и решителни действия.

На първо място, според мен тази функция не трябва да бъде пускана или поне на първо време да остане опционална а не активирана по-подразбиране както се очаква когато бъде публично активирана. Цялата архитектура на инструмента трябва да бъде преработена, за да осигурят надеждни мерки за сигурност и поверителност, включвайки внедряване на по-строги контроли за достъп, подобряване на механизмите за криптиране и предоставяне на ясни потребителски контроли за управление на събирането и съхранението на данни.

Прозрачността е от решаващо значение. Microsoft трябва да бъде открит относно начина, по който работи Recall и потенциалните рискове, свързани с него. Ясната комуникация с потребителите е от съществено значение за изграждане на доверие и осигуряване на информирано вземане на решения. Потребителите трябва да разбират последиците от използването на Recall и да имат възможност да се откажат, ако имат опасения.

Освен това, Microsoft трябва да гарантира, че Recall отговаря на всички релевантни регулации за защита на данните. Това може да включва работа с регулаторни органи за разрешаване на проблеми със съответствието. И гарантиране, че функцията не нарушава законите за конфиденциалност.

Като професионалист в сигурността, виждам въвеждането на Copilot+ Recall като значителна грешка за Microsoft. Въпреки че функцията има потенциални предимства, липсата на подходящи мерки за сигурност и преобладаващите опасения за конфиденцалонстта не могат да бъдат игнорирани. Microsoft трябва да действа бързо, за да адресира тези проблеми, гарантирайки, че доверието на потребителите в техните продукти не е непоправимо увредено. Уроците, научени от тази ситуация, трябва да служат като напомняне на всички технологични компании за важността на приоритизирането на киберсигурността и конфиденциалността в разработването на продукти.

Все повече компании се обръщат към големите езикови модели (LLM) за извличане на информация от неструктурирани данни, но експертите предупреждават за възможни уязвимости, които могат да доведат до дезинформация и изтичане на данни. Без подходящи мерки за сигурност, тези усъвършенствани AI системи също могат да бъдат експлоатирани, което представлява сериозни рискове като отравяне на данни и разпространение на дезинформация.

Тази седмица Synopsys разкри критична уязвимост в компонента EmbedAI, разработен от AI доставчика SamurAI. Проблемът се състои в уязвимост от тип cross-site request forgery (CSRF), която може да позволи на нападателите да инжектират злонамерени данни в частни инстанции на LLM. Изследователят от Synopsys Мохамед Алшехри който идентифицира уязвимостта, отбелязва, че тя произтича от недостатъчната сигурна CORS политика и липса на добро и сигурно управление на сесиите. Такива слабости могат да застрашат частни AI модели или чатбот имплементации, подчертавайки необходимостта от по-силни мерки за сигурност.

Алшехри подчертава, че комбинирането на съществуващи AI разработки с компоненти с отворен код могат да създадат иновативни уеб базирани решения и бързо да влязат в продуктивна среда, но също така изискват задълбочено тестване, за да се гарантира, че мерките за сигурност са на нивото на тези в традиционните уеб приложения.

Интеграцията на AI в бизнес процесите се ускорява, като данни на US Census Bureau показват, че 4% от американските компании са внедрили AI. С по-високи нива на приемственост са сектори като информационните технологии (14%) и професионалните услуги (9%). Въпреки че това вероятно носи значителни ползи на компаниите използващите новите технологии, тези бързи темпове на внедряване крият и огромни рискове.

Моделите не са причина за уязвимостите

Дан МакИнърни, водещ изследовател по киберсигурност в Protect AI, посочи, че уязвимостите често се намират в софтуерните компоненти и инструменти около LLM, а не в самите модели. Той отбеляза, че „има много уязвимости в сървърите, които се използват за хостване на LLM,“ което прави тези инструменти още по-вероятни мишени за атаки.

Проблеми в киберсигурността на AI не са хипотетични и са вече факт. През март Oligo Security съобщи за активни атаки срещу фреймуърка Ray, широко използван за създаване на AI приложения. Въпреки поправките на редица уязвимости, нападателите все пак са успели да намерят начини за експлоатиране на публичните сървъри на Ray, засягайки сектори като образование, криптовалути и биофармация.

Какви са препоръчителните мерки

За да се предотвратят подобни заплахи и успешни пробиви, експертите препоръчват няколко ключови стратегии.

Тайлър Йънг, CISO в BigID, съветва компаниите да сегментират данните и да ограничат достъпа въз основа на привилегии за достъп, предотвратявайки прекомерно излагане и гарантирайки, че само релевантни данни са достъпни за специфични LLM инстанции и функции.

Редовните проверки на сигурността, подобни на тестовете black-box и white-box, използвани в традиционното разработване на софтуер, също са от съществено значение.

Задълбочено преглеждане на кода, особено като се има предвид зависимостта от отворени компоненти с ограничен надзор също трябва да бъде задължително при разработване и внедряване на AI решения.

Безспорна е ползата на съвременните големи генеративни модели. И докато компаниите продължават да използват тези инструменти, те също така трябва да останат бдителни към рисковете които поемат. Имплементиране на строги мерки за сигурност, редовното обновяване на софтуерните компоненти и осигуряването на подходяща сегментация на данните могат да намалят рисковете от отравяне на данни, дезинформация и изтичане на данни.

Вчера Dell предупредиха за data breach, който засяга приблизително 49 млн. техни клиенти.

Но явно това предупреждение е в следствие на обявата за продан в Breach Forum, която е била пусната още на 28 април от киберпрестъпник под псевдоним „Menelik“:

В Locked Shields 2024 участваха 4000 експерти от повече от 40 държави. Те се обучаваха да защитават инфраструктурата на фиктивна държава в симулирана среда.

България, Румъния и Молдова сформираха Blue Team 05 (BT05, отбор съставен от специалисти от публични и частни организации, както и от експерти от военния сектор на съответните държави.

1. Латвия, заедно със структури на НАТО
2. Финландия – Полша
3. Естония –  Франция

Google Threat Analysis Group (TAG), съвместно с Mandiant, публикуваха доклада относно експлоатацията на 0-day уязвимости през 2023, който е озаглавен “We’re All in this Together: A Year in Review of Zero-Days Exploited In-the-Wild in 2023”.

Според данните, броят на 0-day уязвимостите през 2023 г. e 97, което е 50% ръст спрямо 2022г, но пък малко по-малко от стойността за 2021 – 106.

Уязвимостите са разделени в две категории – първата засягаща Enterprise сегмента, а втората крайните потребители:

Интересни са изводите относно кой експлоатира, използва и разработва 0day уязвимости:

В категорията Espionage попадат спонсорираните от правителства организации, основно хакерски подразделения на военните и шпионските агенции на съответната държава.

В категорията Commecial Surveillance Vendors (CSVs), попадат компании като NSO group, чийто “продукти”, примерно Pegasus, са обект на много критики.

Интересно е какво седи за Uknown и дали Google просто искат да премълчат, че част от 0day уязвимостите са били експлоатирани/разработени от организации принадлежащи на държави в така наречените Five Eyes и EU. (Справка: NSA TAO и Shadow Brokers)

Също така интересна теза от доклада е, че софтуера като цяло става по-труден за хакване, съответно много по-малко хора работят в този бранш.

SQL инжекция (CVE-2023-34362) в приложението за трансфер на файлове MOVEit Transfer на Progress Software е станала причина за компрометирането на редица държавни и частни организации от цял свят. За нея се заговори по-рано през юни, а реалните мащаби на експлоатираната от хакерската група Cl0p уязвимост започнаха да стават ясни по-рано тази седмица.

Сред известните до момента жертви са:

• Британската енергийна компания Shell
• Transport for London (TfL), която оперира транспортната инфраструктура на британската столица
• Еквивалентите на Транспортните администрации на щатите Орегон и Луизиана в САЩ (само в Орегон потенциалните жертви са 3.5 млн. шофьори, чийто лични данни са били достъпвани неоторизирано – това накара местните власти да препоръчат на жителите на щата да замразят банковите си сметки заради възможност за неоторизирано теглене на кредити от тяхно име)
• Агенции към Министерството на енергетиката на САЩ (една от които отговаря за съхранението на ядрени отпадъци)

Пълен списък най-вероятно никога няма да видим, но според  Cl0p, цитирани от различни медии, жертвите са „стотици“. Ако изключим транспортните администрации на Орегон и Луизиана, всички останали известни жертви твърдят, че компрометираните данни са ограничени и щетите от пробива не могат да имат значими последици.

Как работи атаката

MOVEit Transfer е приложение за трансфер на файлове, достъпно както инсталирано на собствена инфраструктура, така и под формата на cloud инстанция.

Cl0p са експлоатирали SQL инжекция, засягаща с която хакерите могат да получат достъп до базата на уязвимата инсталация на приложението. Уязвими са всички версии преди 2023.0.2 на MOVEit. Ако ги използвате, препоръчваме да следвате препоръките за отстраняването на уязвимостта на Progress Software тук.

Атаките използващи тези уязвимости са истински „zero-day“ и може би са започнали още на 27 май 2023 г., дори преди да е публикувана налична кръпка или уязвимостта да е обществено разкрита.

Какъв е извода

Независимо от мащаба на щетите от атаката на Cl0p, тя е пореден пример за това, че уязвимостите са около нас и дебнат всеки един аспект от дейността ни.

Затова, основните заключения, които може да извлечем от този урок са:

• Никога не пренебрегвайте киберсигурността си. Планирайте как да реагирате по време и след успешна кибератака (план за защита, план за възстановяване на дейността ви след пробив)
• Действайте проактивно. Правете редовни проверки за уязвимости, актуализирайте приложенията на работните станции на служителите си, както и тези, с които работи целия ви бизнес
• Обучавайте персонала персонала си относно потенциалните заплахи и как да реагира на тях

П.П. Буквално седмици след оповестяване на уязвимостта в MOVEit File Transfer, Progress Software съобщи за още една такава: CVE-2023-35708 от 15 юни,  която позволява неоторизиран достъп до средата, в която работи приложението. С други думи, ако имате on premise инсталация и на същия сървър, на който е тя, има и други приложения – атакуващите може да се сдобият с достъп и до тях, което да увеличи потенциалните вреди от атаката. Затова, препоръката ни е да обърнете специално внимание на тази уязвимост и да следвате стъпките, описани от Progress Software, за да я елиминирате колкото се може по-бързо.

През последните няколко години чуваме за реални случаи на скрити камери във ваканционни жилища под наем. Това твърдят и 11% от участниците в проучване от 2019 г. на фирма за услуги в областта на недвижимите имоти.

Политиката на Airbnb по въпроса е недвусмислена: Камерите за сигурност и устройствата за наблюдение на шума са разрешени, „стига да са ясно разкрити в описанието на обявата и да не нарушават поверителността на други лица“.

Тъй като става въпрос за вашия личен живот, ето какво можете да направите:

• Проверете внимателно обявата: Споменава ли се в нея наличието на камери.
• Проверете физически стаята: Има ли стикери, уведомяващи за видеонаблюдение. После потърсете в часовници, детектори за дим, високоговорители или други устройства, насочени към легла или душове.
• Използвайте фенерче: Лещите на камерата са направени от стъкло и ще отразят светлината.
• Изключете осветлението и огледайте за сигналните червени или зелени светодиоди на камерите за нощно виждане.
• Следете за това приложение, което използва Time-of-Flight сеонзра на (ToF) на телефона, за да открие скрити камери, скрити в ежедневни предмети.
• Позвънете на приятел, докато се разхождате из имота. Скритата камера може да попречи на сигнала на телефона ви, ако използва радиочестоти (RF) за свързване към скрита мрежа.

Не изпадайте в параноя, просто имайте едно на ум, когато се намирате в обект под наем.

Министърът на електронното управление обяви в LinkedIn профила си, че страната ни се присъединява към държавите (общо 30 към момента), които използват услугата HIBP.

Платформата HaveIBeenPwned (дело на експерта по киберсигурност Troy Hunt) e полезен инструмент, с който да откриете дали информация за ваш акаунт е била компрометирана или включена в масив с изтекли данни (data leak).

Ако установите, че ваш имейл адрес е бил хакнат (pwned), незабавно сменете както паролата за този акаунт, така и за всички други акаунти, за достъп до които използвате същата парола.

През последните 4 години HIBP предоставя допълнителен достъп до информация за нарушение на данните на правителствени агенции, отговорни за защитата на своите граждани.

Това е крачка в правилната посока – повишаване на киберсигурността на държавата!

Умните джаджи (IoT) правят живота ти по-лесен и намаляват времето ти пред екрана на смартфона. Изследвания обаче показват, че те са податливи на манипулация, което дори може да ти причини физически дискомфорт и стрес.

Ето няколко начина да те хакнат

• През Bluetooth: той за това е направен, за свързване с други устройства, които не винаги са добронамерени
• Когато софтуерът на устройството е лошо програмиран или удостоверяването/криптирането е слабо
• През приложения – лошо написани или злонамерени
• През бекенд сървърите на облачните доставчици

Какво от това

Това, че умните джаджи са синхронизирани с различни други приложения. И това автоматично означава, че хакнатото IoT устройство отваря широк достъп на злонамерените лица и те могат да:

• Откраднат или манипулират данните ти
• Продадат на трети лица информацията ти
• Проследяват местоположението ти
• Получат достъп до дома ти

Препоръки за предпазване

Можеш да сведеш до минимум рисковете, описани по-горе, като спазваш някои добри практики:

За всички устройства:

• Включи двуфакторна автентификация (2FA)
• Заключи екрана на устройството
• Изисквай потвърждение за сдвояване (pairing)

За смартфона:

• Сваляй приложения само от официалните магазини (PlayStore, Apple Store), защото контролът на сигурността им е завишен
• Редовно ъпдейтвай софтуера на смартфона
• Не прави jailbreaking/rooting
• Разрешавай достъп само на наистина необходими приложения
• Инсталирай AV софтуер

За умната къща :

• Не синхронизирай преносими устройства с входната си врата
• Направи отделна Wi-Fi мрежа за гости
• Периодично инсталирай най-актуалния фърмуер на всички устройства
• Задължително смени фабричните пароли, които са по подразбиране

Microsoft стартира 2022 година с необичайно голям за месец януари ъпдейт: отстранени са 96 нови уязвимости в Microsoft Window, Microsoft Edge (Chromium-based), Exchange Server, Microsoft Office, SharePoint Server, .NET Framework, Microsoft Dynamics, Open-Source Software, Windows Hyper-V, Windows Defender и Windows Remote Desktop Protocol (RDP).

Препоръчително е да приложите ъпдейтите възможно най-скоро.

Девет от уязвимостите са класифицирани като Critical:

• CVE-2022-21907 (HTTP Protocol Stack Remote Code Execution Vulnerability), засягаща HTTP Protocol Stack (http.sys). Уязвимостта предполага, че може да бъде ескалирана в заплаха тип worm malware (червей).

За момента няма PoC (Proof of Concept) и не са засечени реални атаки (in-the-wild), но е желателно да се приоритизира прилагането на пачовете, особено върху сървъри с публично достъпни Web услуги (IIS и други web сървъри).

Клиентите (Windows Desktop) също са потенциално уязвими.

За по-детайлна информация препоръчваме този ресурс.

• CVE-2022-21846(Microsoft Exchange Server Remote Code Execution Vulnerability)

С последните няколко ъпдейта са отстранени три RCE уязвимости, но тази е класифицирана с най-голяма тежест. Засега е ясно, че  може да бъде експлоатирана само от съседна мрежа (частна мрежа), т.е. не би трябвало да е възможно да бъде осъществена атака от интернет.

• CVE-2022-21840(Microsoft Office Remote Code Execution Vulnerability): RCE в Office пакета с критична важност, понеже експлоатацията би мога да бъде осъществена без съдействието (кликане) и знанието (warning) на потребителя, използващ софтуера.
• CVE-2022-21857(Active Directory Domain Services Elevation of Privilege Vulnerability): позволява ескалиране на права (privilege escalation) в AD инфраструктура. Обикновено такива уязвимости се категоризират като Important, но този е Critical.
• Няколко сериозни CVE-та относно code execution в RDP клиента/протокола: изискването за успешна експлоатация е клиентът да се свърже със злонамерен RDP сървър. Повече инфо – https://www.cyberark.com/resources/threat-research-blog/attacking-rdp-from-inside

Извън контекста на сигурността, Microsoft наскоро пусна out of band patch, относно RDP проблеми в сървърните дистрибуции. За инструкции как да инсталирате тази актуализация за вашата операционна система, вижте KB, изброени по-долу:

• Windows Server 2022: KB5010197
• Windows Server 2019: KB5010196
• Windows Server 2016: KB5010195
• Windows Server 2012 R2: KB5010215

Още ъпдейти от вендори

• Adobe: Пет пача отстраняват 41 уязвимости (CVE) в Acrobat and Reader, Illustrator, Adobe Bridge, InCopy и InDesign. Препоръчително е да се обнови Acrobat and Readerдо най-актуална версия. Повече информация: https://helpx.adobe.com/security.html
• Apple: iOS/iPad OS Fixing HomeKit Vulnerability / Private Relay issues:
  https://support.apple.com/en-us/HT201222
  https://www.macrumors.com/2022/01/12/apple-icloud-private-relay-ios-15-2/