Най-интересното

Ubiquiti, водещ производител на безжично мрежово оборудване и IoT устройства, е обвинен в прикриване на сериозно нарушение на сигурността.

През януари 2021 г. компанията информира, че е установила неоторизиран достъп до системите си в облака, но потребителите й не са засегнати от това. Все пак клиентите бяха помолени да променят паролите си и да активират двуфакторно удостоверяване (2FA).

Няколко месеца по-късно експертът по сигурността Брайън Кребс съобщава в блога си, че инцидентът е далеч по-сериозен, дори „катастрофален“.

Твърди се, че нападателите са получили пълен администраторски достъп до AWS (Amazon Web Services) сървърите на компанията, включително до идентификационните данни за достъп на потребителите. Това потенциално компрометира всяка мрежа с Ubiquiti оборудване, настроено да бъде контролирано чрез облачната услуга на компанията.

Ubiquiti все така твърди, че дори да става дума за по-сериозен инцидент, клиентска информация не е засегната, и отново приканва към смяна на паролите за достъп и към активиране на 2FA.

Опит за директно инжектиране на зловреден код в сорса на PHP е бил засечен и неутрализиран навреме от разработчици.

Тактиката е интересна: хакерите са се опитали да прокарат промени в сорса в официалното Git репо на PHP – git.php.net под формата на мними корекции на тайпота. Те са били пушнати в хранилището php-src така, че да изглеждат подписани от  двамата основни създатели и разработчици на PHP – Попов и Лердорф.

Целта: зловредните кодове са използвани за backdoor – задна вратичка в приложенията, написани на езика, която позволява отдалечен достъп.

PHP е един от основните езици, които все още се използват масово в интернет. На него е написана WordPress – най-големият онлайн CMS, използван в около 30% от сайтовете онлайн. Езикът е с отворен код, което означава, че всеки може да допринесе за неговото развитие. Подобно на WordPress, той има голяма потребителска база, което означава, че успешното му компрометиране би засегнало широк кръг системи (supply chain атака).

Инцидентът е дал повод на екипа по поддръжката на PHP да го премести за постоянно в GitHub, за да повиши сигурността на проекта.

Разработчиците, които досега са имали достъп до хранилищата, трябва да се присъединят към групата PHP на GitHub.

Наскоро Nvidia лимитира възможностите на новите видео карти от серията RTX 3000 да копаят криптовалути.

Още щом компанията обяви, че налага „hash rate” ограничение, което не може да бъде премахнато, беше ясно, че е въпрос на време това да се случи.

Майнинг Youtuber Brandon Coin е намерил начин да заобиколи лимитирането на производителността на RTX 3060, като е използвал собствените драйвери на Nvidia (версия 470.05).

Така картата може да достигне 40-45 MH/s, което е почти двойно над ограничението, наложено от наличните драйвери на Nvidia.

Майнърите предпочитат RTX 3000

Това са най-търсените и най-трудни за намиране видео карти в момента на пазара. Факт е, че RTX 3000  серията отбеляза голям скок в изчислителна мощност, сравнено с предишните две генерации.

Nividia имат специални видео карти, създадени за копаене на криптовалута (https://www.nvidia.com/en-us/cmp/). Те обаче не са толкова популярни, защото не могат да бъдат използвани за нищо друго, напр. рендъринг, гейминг, и т.н. А и производителността им е лимитирана.

Освен това, доста от копачите на криптовалути препродават вече използваните видео карти на доста ниски цени. Това насища пазара с евтин продукт, с който всеки може да се снабди и да използва сравнително успешно ако няма намерение да го товари много.

Всички ние, обикновените потребители, можем само да изчакаме и да видим какъв ще е ходът на Nvidia по отношение на RTX 3070 и 3080 и дали ще предложат още един „непробиваем“ софтуер.

Съветът на Европейския съюз обяви, че официално е приел нова стратегия за киберсигурност, която да обхване текущото десетилетие (до 2030 г.).

Документът предлага обща рамка за това как да се защитава бизнеса, организациите и гражданите на ЕС от кибератаки и да се насърчават сигурни информационни системи. Също така очертава планове как международното киберпространство да стане „отворено, свободно и сигурно“.

Ключови моменти в новата стратегия са:

• Засилване на способността да се правят автономни избори в областта на киберсигурността
• Финализиране и прилагане на мерките на ЕС за 5G инструменти и за гарантиране на сигурността на 5G мрежите
• Създаване на мрежа от оперативни центрове за сигурност в целия ЕС за подобряване на откриването и предвиждането на заплахи
• Ускоряване приемането на ключови стандарти за интернет сигурност
• Развитие на силно криптиране, като средство за защита на основните права и цифрова сигурност

На 16 март 2021 г. DDoS атака блокира сървърите на над 15 медицински лаборатории в България.

Информацията стана известна, след като пациентите, в продължение на часове, останаха без достъп до профилите си.

Лабораторните резултати представляват чувствителни лични данни, поставени под специален режим на закрила според правилата на Общия регламент за защита на личните данни (GDPR).

Дали нападателите са получили достъп до чувствителна информация на лабораториите – не знаем.

Това, което знаем е, че който и да е бизнес може да предотврати спирането на работния си процес и да си спести значителни главоболия, ако приложи минимални превантивни мерки.

За целта е нужно:

• Администраторите да се уверят, че поверената им организация следва добрите практики в киберсигурността. Ако установят, че това не е така, то те следва да обяснят на разбираем език на собствениците на бизнеса, какви мерки е нужно да бъдат предприети.
• Собствениците на бизнес, от своя страна, трябва да разглеждат киберсигурността като инвестиция, а не като разход, и да се вслушват в препоръките на служителите, които сами са наели, за да защитават бизнеса им от онлайн заплахи.

Разбира се, и двете страни могат да се допитат до външни специалисти по киберсигурност, при нужда.

Какви вреди може да причини една DDoS атака

DDoS (Distributed Danial-of-service) е насочена към един от трите основни стълбове на киберсигурността – наличността. Нападателите, които и да са те и каквато и да е целта им, изпращат голям брой заявки от различни източници (Distributed DoS) към вашия сайт или сървър, докато той „откаже“ и изпадне в невъзможност да предоставя на потребителите стандартните си услуги.

В последно време обаче все по-често се наблюдава тенденцията хакерите да изнудват жертвите на DDoS и да изискват откуп (ransome), за да спрат атаката. Някои организации се съгласяват, тъй като ефектът от самата атака е разрушителен – услугата може да остане неналична с часове и дни, което може да бъде пагубно за един бизнес.

DDoS се прилага на различни нива:

• Може да запуши цялата ви мрежова честотна лента (bandwith) и по този начин да спре достъпа на всичките ви потребители до ресурса, който им предоставяте (волюметрична DDoS атака – Volumetric bandwidth attack)
• Да атакува конкретно ваше устройство – уеб сървър, защитна стена, рутер или друг актив от инфраструктурата ви (атака за изчерпване на ресурса – Resource exhaustion attack)
• Да е насочена към протоколите от L7 на OSI модела – HTTP, DNS, FTP и т.н. (атака на ниво приложен слой – Application-layer attack)

Прочетете още: ФБР предупреждава за опустошителни DDoS атаки, използващи уязвимости в мрежови протоколи

Препоръки към администраторите

Полезно по темата: Cloudflare започва да изпраща нотификации за DDoS атаки

• Защитната стена на изхода на мрежата ви би могла да филтрира определен размер на DDoS атака. Това би ограничило т.нар. “attack surface”, а именно публично достъпните услуги и протоколи, които са видими в интернет. Един такъв протокол е ICMP (пинг), който често се използва при DDoS атаки.
• Наличието на WAF (Web Application Firewall) също би спряло определени DDoS атаки, от L7 например.
• За ограничаването на едни от най-големите DDoS атаки препоръчваме използването на CDN (content delivery network). Техният мрежови капацитет е в рамките на 59 Tbps и може да се противопостави на атакуващите, които често разполагат с пъти по-голяма честотна лента (bandwith) от вас.

Последен ъпдейт на 24 март 2021 в 09:00 ч.

В началото на март 2021 Microsoft пусна ъпдейт за Exchange Server, който коригира четири zero-day уязвимости.

Оттогава обаче специалисти по сигурността наблюдават още по-засилена (дори автоматизирана) кампания по тяхното експлоатиране, която може да бъде използвана за последващо внедряването на рансъмуер и кражба на данни. Ако до момента не сте приложили ъпдейта, потенциално сте застрашени.

Имайте предвид, че актуализацията ще коригира само уязвимостите на Exchange Server. Но ако вече сте компрометирани, ще трябва да премахнете задната врата (backdoor), която хакерите поставят, за да получат администраторски достъп до системата ви.

Microsoft изрично разясни, че тези експлойти нямат нищо общо със SolarWinds. Все пак, хакерската атака се разглежда като втората голяма криза в киберсигурността, идваща само месеци след като руски хакери поразиха девет федерални агенции на САЩ и стотици компании по целия свят.

Смята се, че зад атаката стои група, финансирана от китайското правителство, наречена Hafnium.

Европейският банков орган (ЕБО) е сред най-скорошните жертви, които заявиха, че достъпът до лични данни чрез имейли, съхранявани на неговия Microsoft Exchange Server, може да е бил нарушен.

Досега са станали известни поне 60 хил. жертви в световен мащаб. Само в САЩ хакерите са проникнали в поне 30 хил. организации, използващи Exchange за обработка на имейли вкл. полицейски управления, болници, местни държавни структури, банки, телекомуникационни доставчици и др.

Препоръки:

1. Инсталирайте незабавно наличния ъпдейт, ако не сте го направили до момента
2. Когато не е възможно се инсталирате критичните актуализации на Microsoft Exchange, блокирайтет достъпа на недоверени връзки до порт 443; същевременно конфигурирайте вашия Exchange Server така, че достъпът до него да става само дистанционно, чрез VPN
3. Следете внимателно за злонамерена дейност, ако се съмнявате, че може да сте засегнати
4. Ако вече сте засегнати, може да използвате инструмента на Microsoft за смекчаване на негативните последици
5. Изключете Exchange Server и го възстановете отново
6. Обърнете се към специалист по киберсигурност за помощ, ако се затруднявате
7. Преминете към облачната услуга, която не е засегната от уязвимостите

Последен ъпдейт на 23 февруари 2021 в 20:39 ч.

IOS операционната система на Apple се счита за сигурна, но през последните години хакерите успешно откриха редица недостатъци, които осигуряват входни точки в iPhone и iPad.

Много от тях са т.нар. атаки zero-click (без взаимодействие от страна на потребителя) – достатъчно е да кликнете върху връзка или да изтеглите файл, свързан със злонамерен софтуер, за да се зарази устройството ви.

iMessage буквално е създаден за активност без взаимодействие – не е нужно да докосвате нищо, за да получите текст или снимка от контакт. Пълният набор от функции (интеграции с други приложения, функционалност за плащане и др.), които създават удобство за потребителите са и благодатна почва за хакери.

В края на 2020 г. съобщихме за хакерска кампания, успешно насочена към десетки журналисти от Al Jazeera:  Zero-click бъг в iMessage помогна за инсталирането на шпионски софтуер на NSO Group Pegasus. Беше установено, че устройствата на всички жертви са работили с iOS 13, а Apple обяви, че уязвимостите са закърпени в iOS 14.

Изследователи от екипа на Google за откриване на уязвимости в Project Zero описват три подобрения в сигурността на iMessage за крайните потребители, които издигат защитата им на по-високо ниво:

Първото подобрение (наречено BlastDoor) е sandbox – карантинна зона, в която iMessage може да проверява входящата комуникация за потенциално злонамерени атрибути, преди да ги пусне в основната среда на iOS.

Вторият нов механизъм следи за атаки, които манипулират споделен кеш на системни библиотеки. Кешът променя на случаен принцип адресите в системата, за да направи по-труден злонамерения достъп. iOS обаче променя адреса на споделения кеш само след рестартиране, което дава възможност на нападателите със zero-click да открият местоположението му. Новата защита е настроена да открива злонамерена дейност и да задейства опресняване, без потребителят да се налага да рестартира своя iPhone.

Третото подобрение затруднява brute force атаките. Тази защита ограничава опитите за намиране на споделения кеш, както и по-сложни атаки – напр. опити за изпращане на множество злонамерени текстове, които обикновено са невидими за потребителя.

Направените подобрения в iOS 14 значително ще намалят успешните атаки срещу iMessage без взаимодействие. Все пак изследователите предупреждават, че е въпрос на време нападателите да намерят нови уязвимости. Затова е важно постоянно да следите наличните актуализация и да ги прилагате, защото те запушват новооткрити пробойни в сигурността.

Всичко, което споделите за себе си в сайта на дадена компания се запазва, с цел да бъде използвано за целенасочена реклама: пол, име, дата на раждане, имейл адрес, IP адресът ви и тези на всички свързани устройства (лаптопи, телефони и др.). Към това се добавя и информация спрямо вашето поведение – хобита, тегло, домашни любимци и т.н. Компаниите съхраняват банковата ви информация, връзките към акаунтите ви в социалните мрежи и данните, които споделяте в тях.

Кои компаниите знаят най-много за вас и какво точно

Социалните медии събират повече данни от всички други онлайн. Според проучване на Clario на първо място в списъка с компаниите за събиране на данни е Facebook. Социалната мрежа разчита на вашите данни, за да ви препоръча приятели, да информира, че имате рожден ден, да ви предложи групи, към които да се присъедините и най-важното – да ви показва реклами. От всички данни, които бизнесът може законно да получи за вас, Facebook събира 70,59%.

Следва Instagram (58,82% от всички налични данни) – хобита, височина, тегло, сексуална ориентация. Подобно на собственика си (Facebook), използва тази информация за реклама и за препоръчване на акаунти, които да следвате.

Приложението за запознанства Tinder събира 55,88% от наличните данни, за да ви помогне да се срещнете с вашия перфектен партньор: възраст, ръст, сексуална ориентация, интереси, притежавате ли домашен любимец. Освен това съхранява банковите ви данни (за продажба на премиум опцията – Tinder Plus).  Приложението проследява как използвате профилите си в останалите социални мрежи, когато свързвате акаунтите си. Също така съхранява всички съобщения, които изпращате, което означава, че всички ваши чатове могат да бъдат използвани за таргетиране на реклами.

Търговецът на дребно Amazon събира най-малко данни – едва 23,53%. Освен най-необходимото за осъществяване на продажба и доставка (име, имейл, пощенски адрес и банкови данни), платформата  проследява как използвате сайта. Следи продуктите, които разглеждате, направените покупки и оставените рецензии, и ги използва, за да ви рекламира нови продукти.

Сайтът за музика, Spotify събира 35,29% от вашите данни, споделени онлайн, като влиза в профилите ви в социалните медии, за да разбере вашите интереси и хобита. Ако някога сте били на концерт и сте споделили снимка от него в Instagram, скоро Spotify ще включи изпълнителя в предложенията си към вас. Плейлистите, които платформата насочва към вас, са базирани на проследяване на музиката, която слушате.

По същия начин Netflix (26,47%) проследява вида на предаванията, които гледате, за да може да ви препоръча подобни заглавия. Целта е да ви осигури по-добро потребителско изживяване, за да си гарантира, че ще се връщате отново и отново.

Прочетете още: 13 начина да изчистите излишната информация за вас в интернет

Как да се предпазите от злонамерено събиране на лична информация

Описаните до тук са примери за събиране на данни, за които вие сте се съгласили. В повечето случаи те се използват за може съответната платформа да задоволи вашия вкус.

Не забравяйте обаче, че събирането на ваши данни може да има и друга, по-тъмна страна – кражба на лична информация от различни злонамерени лица, т.нар. хакери. При това, те се целят много по-високо: вместо навици за пазаруване или пощенски адрес, те се интересуват от данните от кредитните ви карти.

За да се предпазите е нужно да спазвате стриктна „хигиена“ в интернет:

1. Използвайте силни пароли

Най-добрата парола (поне 14 символа ) е тази, която можете да запомните, но която ще бъде трудна за отгатване от други хора или злонамерени програми, които изпробват произволни комбинация. Кратко изречение е по-добро от една дума с вмъкнати цифри и символи. Можете да използвате приложение за управление на пароли (Password Manager), за генериране и съхранение на  вашите пароли. Мениджърът на пароли също може да ви помогне да генерирате уникални пароли за всеки от вашите онлайн акаунти. За допълнителна сигурност сменяйте паролите си няколко пъти годишно.

2. Използвайте двуфакторна автентикация (2FA, MFA)

Двуфакторната автентикация изисква да потвърдите самоличността си, след като сте влезли с потребителско си име и парола. Ще бъдете помолени да потвърдите самоличността си, като въведете код, изпратен чрез съобщение на телефона или по имейл. Двуфакторното удостоверяване може да ви отнеме няколко допълнителни секунди, за да влезете във вашите акаунти, но ще намали вероятността и други хора да могат да влязат в тях.

3. Избягвайте използването на незащитени Wi-Fi мрежи

Ако все пак ви се наложи да използвате обществена мрежа, избягвайте да споделяте поверителна информация, напр. финансова. У дома използвайте VPN, за да сърфирате – така данните, които изпращате и получавате, ще са шифровани, което значително затруднява прихващането им.

4. Използвайте антивирусен софтуер

Наличието на добра антивирусна защита свежда до минимум риска от заразяване на компютъра ви и причиняване на повече проблеми. Защитете инсталацията и настройките с допълнителна парола.

Интересно по темата: Защо не ви трябва повече от един антивирус на един компютър?

5. Винаги използвайте актуални версии на приложенията и операционните системи

Актуализациите често включват корекции на пробойни в сигурността, които може да са налични в използваните от вас програми или устройства.

Хакери могат да злоупотребяват с функцията за синхронизиране на Google Chrome, за да изпращат команди до заразени браузъри и да крадат данни от заразени системи, заобикаляйки традиционните защитни стени и други мрежови защити.

Синхронизирането на Chrome е функция на уеб браузъра, която съхранява копия на потребителски отметки, история на сърфиране, пароли и настройки на браузъра. Използва се за синхронизиране на данните между различните ви устройства, така че те винаги да имат достъп до актуалните данни, където и да отидете.

Хърватският изследовател Боян Здраня е открил, по време на разследване на инцидент, че злонамерено разширение на Chrome злоупотребява с функцията за синхронизиране: При комуникация със сървър за отдалечено управление (C&C) се използва за извличане на данни от заразени браузъри.

В случая, разследван от Здраня, нападателите са получили достъп до компютъра на жертвата и тъй като данните, които са искали да откраднат, са били в облачен акаунт, те са изтеглили разширение за Chrome на компютъра и са го заредили чрез режима за разработчици на браузъра.

Именно разширението, което се представя като добавка за сигурност от разработчика на Forcepoint, съдържа злонамерен код, който злоупотребява с функцията за синхронизиране на Chrome и позволява на нападателите да контролират заразения браузър.

Злонамерената добавка помага на нападателите да създадат текстово-базирано поле за съхраняване на ключове с маркери, което впоследствие да бъде синхронизирано с облачните сървъри на Google. След това е достатъчно да се влезе със същия акаунт от Google в друг браузър Chrome и с инфраструктурата на Google с злоупотребено.

В ключовото поле може да са съхраняват данни, събрани от зловредното разширение за заразения браузър (потребителски имена, пароли, криптографски ключове и др.) или команди, които нападателят иска разширението да изпълни на заразената работна станция.

По този начин разширението може да се използва като канал за ексфилтрация от вътрешни корпоративни мрежи до копие на браузъра Chrome на атакуващия или като начин за контрол на заразения браузър отдалечено, заобикаляйки корпоративните защитни стени.

Тъй като откраднатото съдържание или последващите команди се изпращат чрез инфраструктурата на Chrome, нито една от тези операции няма да бъде проверена или блокирана в повечето корпоративни мрежи, където на браузъра Chrome обикновено е разрешено да работи и да предава данни безпрепятствено.

Внимание!

Ако планирате да блокирате достъпа до client4.google.com имайте предвид, че това е много важен уебсайт за Chrome, който се използва и за проверка дали Chrome е свързан с интернет (наред с други функции).

Вместо това, можете да използвате корпоративните функции на Chrome и поддръжката на груповите политики, за да блокирате и контролирате какви разширения могат да бъдат инсталирани в браузъра.

За 18-та поредна година светът отбелязва международния Ден за безопасен интернет.

Мотото и тази година е „Заедно за по-добър интернет“.

Отбелязваме годишнината, като ви припомняме най-популярните ни съветници за това как да противодействате на топ киберзаплахите в интернет пространството:

# Как уебсайт може да се използва като средство за атака

# Как да разпознаем фишинг атака

# Топ 5 на най-честите атаки към WEB приложения

# Четири лесни начина да се предпазите от спам

# freedomonline.bg подкаст. 26.09.2017 г. Ботмрежи и DDoS

# Пет начина да предпазите дигиталната си самоличност през 2019 г.

# Десет грешки при защитата на данните, които фирмите не трябва да допускат

# Пет начина да предпазите бизнеса си от вътрешни заплахи

# Как да разпознаеш бот

# 3 причини да правите бекъп на данните във фирмата си

# 4 стъпки за предотвратяване на изтичане на информация

# 8 важни стъпки, които да предприемете при Ransomware атака: Ръководство за бързо възстановяване след инцидент

# Как работи EternalBlue

# Пет начина да намалите рисковете от cryptojacking атаки

# Network Management System – перфектната цел за атака