Диана Стефанова, Vice President Global Sites Strategy във VMware сподели, че в проучването са се включили 14 държави от различни точки на света, което го прави изключително всеобхватно. Сами те резултати пък, могат да се определят като много интересни.

“Благодарение на COVID се наложи да преминем към ускорена дигитална трансформация. Това наложи нови предизвикателства пред екипите, които отговарят за сигурността. 80% от анкетираните смятат, че са станали обект на кибер атаки заради повечето служители, работещи от вкъщи,” коментира Стефанова.

71% от анкетираните са претърпели пробив в последните 12 месеца, като 4 от 5 атаки се считат за съществени. 69% от анкетираните пък са с между 251 и 500 служители. Отчитат нарастване на атаките с около 60%-70%. Колкото до компании с над 5000 служители, то при тях атаките са нараснали с цели 95%. Това е значително и силно показателно.

Диана Стефанова даде за пример и случилото се с Colonial Pipeline, които бяха принудени да платят откуп на хакерите, за да могат да възстановят своята работа. Също така и T-Mobile, в който случай хакерите успяват да влязат в системите, да разменят номера и сим карти на потребители и т.н. Според нея, в такива случаи компаниите трябва да реагират реактивно. При станалото с T-Mobile, знаем какви неприятности могат да бъдат достигнати от объркани номера, например. С СМС-и верифицираме множество услуги и това потенциално може да доведе до изтичане на огромен обем потребителски и банкови данни, както и др. Реално, в телефона се крие значителна част от живота ни. Момента, в който хакерите имат достъп до нашите номера и симулират, че сме ние, то това е сериозен проблем.

79% от анкетираните, спрямо репорта, споделят, че атаките са станали по-предизвикателни и справянето с тях става по-трудно.

Сред водещите причини, проучването определя с 14% остарели процеси и технологии в организациите.

“Налага се тотално преосмисляне на подхода за сигурност,” казва Стефанова. “Дизайн на системите с фокус върху облачни среди и в тази връзка 43% планират да вградят повече сигурност в своята инфраструктура, както и да намалят технологичните решения, които използват за крайните устройства на служителите. Това е изключително важно”.

Вътрешните политики за сигурност са основно нещо, върху което компаниите трябва да наблегнат, смятат 41% от анкетираните. Има нужда и от обновяване на технологиите пък казват 42%.

98% от специалистите вече планират да използват осигуряване на защита в облака. “Има много security решения, но са много комплицирани и трябва партньор, който да изгради цялостно решение и цялостен подход. С cloud технологиите се намалява рискът към компаниите”.

Диана Стефанова даде думата и на Венцислав Почекански, който е лидер на екипа Carbon Black към VMware, изцяло фокусиран към сигурността. Това е нов екип за България, изграден в последната година и е основно звено към VMware.

“Все повече от служителите са мобилни и работят от най-различни точки. Това е проблем. Използват се множество крайни устройства за достъп до данните. Организациите поддържат традиционните си приложения, но разработват и нови. Налични са както нови data центрове, така и нови облачни технологии, а също е от значение и употребата на изключително сложни мрежи, които да осигурят връзка между клиенти, ползватели и т.н.,” споделя Почекански.

“Изправени сме пред прекалено много точки за защита – приложения, крайни устройства, мрежи, потребителите, данните им, облачните ресурси и прочие. В киберсигурността са включени много екипи, които са фокусирани изцяло във нея. ИТ екипи, мрежови екипи и други. Те използват най-различни инструменти, а данните които се събират, се корелират много трудно. Ние се грижим за най-различни инструменти”.

Според него, има липса на контекст в оперирането на тези системи за защита. Целта е не да се защитят индивидуални компоненти, а цялостната система. Почекански каза още, че системите трябва да виждат всички компоненти на защитата и да разбират взаимовръзките върху тях.

За анализ на една сложна кибер атака, са необходими няколко стотин дни.

“Нашата визия във VMware, е за система за защита, която е вградена в инфраструктурата, вместо множество инструменти за които трябва да се грижим, обновяване, поддържаме и т.н.,” сподели той.

Модератор на срещата бе Бойчо Попов, главен редактор на Investor.bg, както и водещ в Bloomberg TV, който предостави възможността за изказване на Юрий Генов, изпълнителен директор и ръководител направление “ИТ и операции” към Банка ДСК.

“Работата на глобални компании и публикуването на такива изследвания дават добър поглед за това как се развива пазарът. Бяхме много внимателни по време на пандемията и се фокусирахме върху тези аспекти от работата на служителите. Винаги е добре някой с авторитет да потвърди това, което се вижда на нашия пазар,” сподели Генов.

Вихрен Славчев, изпълнителен директор на Mnemonica пък, коментира от своя страна, че въпреки резултата от проучването, че 4 от 5 атаки са съществени, то за пострадалия не стоят така нещата.

“За пострадалия, всяка една атака е съществена. Дори в момента да не забележим какво се случва, то последствията идват по-късно,” коментира Славчев.

На дискусията присъства и Георги Шарков, който ръководи Европейския софтуерен институт – Център Източна Европа и Лабораторията по киберсигурност в София Тех Парк.

“И фишинг и рансъмуер атаките се увеличават заради пандемията, но и заради виртуализацията на образование, покупки, комуникация и на живота ни, въобще. Промени се инфраструктурата и средата, в която се комуникира. Появиха се нови сигнали за атаки и уязвимости и по канали, по които никой не си е представял, че ще се случат в България,” сподели той.

На въпрос от модератора дали има разлики между България и света, то Шарков допълни, че за 2020 г. спрямо 2019 г. Се забелязва 20% увеличение на атаките.

“За 2019 г. има под 1000 получени сигнали. За 2021 г. са 3000. Опасността от тези сигнали се удвоява на всяка година и минават в категория “Висок приоритет”.

Шарков отбеляза също, че 10% от фишинг атаките са успешни. Това демонстрира ниското ниво на кибер култура на гражданите. Фишингът се случва основно към таргетирани фирми.

“Хубаво е банките да съдействат за такъв тип измами с прихващане на кореспонденция, фалшиви фактури и т.н. Забелязали сме, че измамите идват повече от северноафрикански държави, но и от други традиционни. Щетите обикновено са от 50 000 евро до един милион. Тенденцията расте. Има и скрити заплахи по веригите за доставки и third-party доставчици на софтуер. Минаването към облак е полезно, но и може да крие много опасности”.

Бойчо Попов зададе въпроса как повлия remote режима към директорите по информационна сигурност. Тук с отговор се включи Юрий Генов, който сподели, че в този период на пандемия, работата се е променила, но нашето общество се е научило на много нови неща относно това, как да се спазва дисциплина и всички са въвели по-добри мерки за сигурност.

“Както нарастват заплахите, така нараства и културата на поведение на гражданите на България. Работейки в тази среда, хората се научиха и да се пазят от фишинг атаки. Младите хора разбраха как да се пазят от посегателство върху личния им живот. Сигурността е за изключително голям периметър от информация, която се движи от нашето общество. Облака повишава сигурността, но моделът – интензивна обмяна на информация, води до нови рискове, които могат да се намалят чрез съвременните технологии и подход. Напредъкът в технологично отношение и поведението на всеки потребител е изключително голям”.

Той призна също, че има и изключения, разбира се. Сигурността започва от поведението на хората, което се развива и подкрепя от технологиите.

“Трябва да се възпитават навици и поведение. Всяка една организация направи доста усилия, подкрепени от квалифицирани партньори и в интерес на истината, в България се направи доста за общата сигурност и аз съм впечатлен от това, което колегите постигнаха в определени области,” коментира Юрий Генов.

Вихрен Славчев направи интересен акцент на новите технологии като AI, ML и Deep Learning. Техните приложения са много големи и една от причините за широкото им навлизане е, че те могат да бъдат приложени и от добрата, и от лошата страна.

“Знаем как дроновете спасяват живот, правят доставки и т.н., но и могат да поразяват военни цели с изключителна мощ. По отношение на киберсигурността, ние сме във война. Тя се води между машини и машини. Позиционираме софтуери, алгоритми и центрове, 95% управлявани от AI. От другата страна са тези, които атакуват. Те отдавна не пишат фишинг имейли на ръка. Използват AI, който изучава и анализира вашето поведение, така че да пусне атаката много успешно. Дори в подготвена организация, наблюдаваме фишинг имейли, които са невероятно изпипани и направени с проучване от месеци наред. Въпреки годините опит зад гърба си на много специалисти, то от 10 фишинг имейла, успяват да разпознаят 6, 7,” коментира Славчев и отбеляза, че в даден момент, хората ще станат зрители на тази война и като такива, ще загубят контрола.

Запитан кой ще спечели войната, то Славчев отбеляза, че исторически погледнато, то атакуващите винаги са с една стъпка напред. Докато те имат най-модерното оръдие, за да са успешни в атаката, то от другата страна – защитата – трябва да се подходи с изключително много изучаване на всички модели на атака. Необходимо е сериозно изследване и могат да бъдат похарчени милиони за защитата, но слабото звено – човешкият фактор, да отвори вратата и да пусне врага.

Георги Шарков продължи военната аналогия, като заяви, че в световната история няма непревзети крепости. Защитникът винаги е в неблагоприятната ситуация.

“Крепост, която не е проектирана да е защитена, то няма как да бъде. Трябва да се замислим как да проектираме. Нападателите нямат етични, морални и нормативни ограничения в използването на средства. Те са с предимство. AI сам по себе си трябва да бъде защитен! Cyber security на AI е много важен аспект. Във връзка с войната и това дали ще има печеливш? От ядрена Трета световна вона няма да има нито един печеливш. В Киберпространството е по същия начин. Изкуственият интелект е единственото оръдие, което може да помогне срещу вражеския AI,” сподели Шарков.

На въпрос на DevStyleR, кои са трите стъпки, които една компания трябва да предприеме след атака, то Венцислав Почекански отбеляза, че получи ли се искането за откуп, то явно пробивът е вече налице. Ако компаниите мислят в перспектива, трябва да се погрижат за максималната защита на уязвимостите и традиционните, остарели приложения, които се използват. Те често са обект на атака и това се прави чрез постоянен мониторинг. Трябва да се използват и актуални системи за защита, базирани на наблюдение какво се случва в самата система – behaviour-based. Също е необходимо да се осигури защита на вътрешните системи. Но когато се стигне до кибер атака и искане на откуп, то там технологично решение вече няма”.

Вихрен Славчев акцентира и на друго любопитно – трябва ли да се плаща откупа? Ако компанията може да се възстанови сравнително бързо, то тогава няма нужда. Но атакуващите често унищожават и бекъпа, което вече е голям проблем. Той отбеляза също, че се водят разговори за инкриминирането на плащането на откуп.

“Ако това се случи, то няма да има избор – или не можеш да си възстановиш бизнеса, или плащаш и ставаш престъпник. Това ще е много интересно ако се случи”.

Като стъпки за защита, той отбеляза най-напред, доверяване на професионалист, защото “дърпане на кабела и изрязване на услуги” не е добре. Също така, трябва да се изолира периметъра – това е от голямо значение. Като трета стъпка пък – да е наличен кризистен план. Ако всичко се прави на момента, то тогава става много сложно.

Юрий Генов се съгласи, че всяка компания трябва да има предварително подготвен план и в България има налични системи за взаимодействие с национални органи. Той е на мнението, че трябва да се спазва законодателството и да се работи с оторизирани лица. Има добре подготвени организации, които могат да помогнат и плащането на откуп трябва да е невероятно крайна мярка за спасяването на бизнес.

Секторите, в които се очакват законодателните промени, включват телекомуникациите, електричеството, финансите, железопътните линии, държавните услуги и здравеопазването, наред с други. По-конкретно ще се изисква проучване на проблемите, произтичащи от използването на чуждестранно оборудване или услуги, включително съхранение на данни в облак и връзки към сървъри, намиращи се в чужбина.

В доклад на Nikkei се съобщава, че правителството ще наблюдава компаниите за спазване на изискванията и ще получи правомощието да предотврати използването на чуждестранно оборудване от компаниите, ако открие потенциално големи проблеми.

Преди три години японските правителствени агенции се съгласиха да спрат да набавят оборудване, което би могло да създаде риск за националната сигурност, като това на Huawei и ZTE. С последния мандат японското правителство иска да разшири затягането и към частния сектор.

Това се случва седмица след големия проблем в САЩ с хакването на Colonial Pipeline, които доставят почти половината от годивото за източните щати. Това се отрази и на пазара, а както знаем, компанията бе принудена да блокира цялата си мрежа. В крайна сметка стана ясно, че от Colonial са платили откуп от 5 млн. долара за дешифрирането на своята информация.

Освен Япония, други държави също налагат подобни ограничения върху свързаните с технологиите обществени поръчки. В САЩ местните и чуждестранните опериращи компании, е необходимо да получат лицензирано одобрение, за да закупят технология, изградена от Huawei и ZTE.

В Канада Huawei също бе блокирана от участие в изграждането на 5G мрежа, а междувременно на британските мобилни мрежи е казано, че не могат да купуват 5G оборудване след края на тази година и трябва да премахнат технологията на китайската мрежова компания от своите 5G мрежи до края на 2027 г.

“Дори когато Telegram не е инсталиран или не се използва, системата позволява на хакерите да изпращат злонамерени команди и операции дистанционно чрез приложението за съобщения,” казват изследователи от фирмата за киберсигурност, които са установили не по-малко от 130 атаки през последните три месеца които се възползват от нов многофункционален троянец за отдалечен достъп (RAT – Remote Access Trojan), наречен „ToxicEye“.

Не за първи път Telegram се използва за зловредни действия. През септември 2019 г. бе установено, че крадец на информация извлича данни за криптовалутни портфейли от заразени компютри, използвайки Telegram като канал за ексфилтрация.

Стратегията се отплаща по редица начини. Като начало, Telegram не само не е блокиран от корпоративни антивирусни системи, но и приложението позволява на хакерите да останат анонимни, тъй като процесът на регистрация изисква само мобилен номер, като по този начин им дава достъп до заразени устройства от почти всяко място по света.

Настоящата кампания, забелязана от Check Point, не е по-различна. Разпространен чрез фишинг имейли, вградени със злонамерен изпълним файл на Windows, ToxicEye използва Telegram за комуникация със command-and-control сървъра (C2) и качва на данни към него. Злонамереният софтуер също така предлага редица експлойти, които му позволяват да открадне данни, да прехвърля и изтрива файлове, да прекратява процеси, да деплойва кейлогър, да достига до микрофона и камерата на компютъра, за да записва аудио и видео и дори да криптира файлове с цел последващ откуп.

По-конкретно атаката започва със създаването на бот на Telegram от нападателя, който след това се вгражда в конфигурационния файл на RAT, преди да се компилира в изпълним файл. След това .EXE файлът се инжектира в документ на Word (“solution.doc”), който при отваряне изтегля и стартира Telegram RAT (“C:\ Users\ToxicEye\rat.exe”).

„Открихме нарастваща тенденция, при която авторите на зловреден софтуер използват платформата Telegram като готова command-and-control система за разпространение на зловреден софтуер в организации“, каза мениджърът на Check Point R&D Group Идан Шараби. „Вярваме, че нападателите се възползват от факта, че Telegram се използва и се разрешава в почти всички организации, прилагайки този ход за извършване на кибер атаки, който може да заобиколи ограниченията за сигурност.“

Хакерите са малка група и са придобили административен достъп до Verkada през последните два дни. Тази информация става ясна от Reuters, а според Тили Котман, един от членовете на международния хакерски колектив, който е нарушил системата, хакът е трябвало да покаже колко често срещани са камерите за сигурност на компанията и колко лесно могат да бъдат хакнати. А като допълнение, освен че групава е могла да следи случващото се на живо, то е имала достъп до пълния видеоархив на всички клиенти на Verkada.

В изявление пред Bloomberg представител на Verkada коментира: „Деактивирали сме всички вътрешни администраторски акаунти, за да предотвратим неоторизиран достъп. Нашият екип за вътрешна сигурност и фирма за външна сигурност разследват мащаба и обхвата на този потенциален проблем.”

Изглежда, че хакът е сравнително лесен. Групата е успяла да придобие “Super Admin” достъп до системата на Verkada, използвайки потребителско име и парола, намерени публично в интернет. Оттам те са се сдобили с достъп до мрежата на цялата компания, включително и достъпът до камерите, така че да наблюдават какво се случва в помещенията на клиентите на компанията, сред които много болници, училища, затвори и т.н.

По принцип Verkada винаги е обещавала “Silicon Valley software-first approach” за доставяне на модерна защита на организациите. Уви, лесният начин по който е направен хакът доста ще наруши реномето им и ще постави въпрос за това, дали обещаваните “cutting edge” решения и технологии от компаниите наистина са такива.

Последното неприятно откритие на екипа е колекция от сайтове, които са целели да проникнат в iOS устройствата на потребителите, посещаващи ги през продукти на Apple. За да бъдете засегнати е било достатъчно само да посетите сайта – тогава злонамереният сървър атакува устройството ви и при успех, инсталира добавка за мониторинг на активността ви. Това означава, че са откраднати пароли, криптирани съобщения, местоположение, контакти и всякаква друга чувствителна информация, която може да послужи за чужди цели. Подходът е известен като “watering-hole attack” – избират се внимателно поредица от сайтове, закача се за тях злонамерен софтуер, а жертвите сами идват, заразяват се и попадат в “дупката”, без видима индикация, че нещо се инсталира на устройството им.

https://t.co/wCRNF1ycq2 thanks to @_clem1, @5aelo for their joint work on this. This has been a huge effort to pull apart and document almost every byte of a multi-year in-the-wild exploitation campaign, which used 14 different iOS exploits.

— Ian Beer (@i41nbeer) August 30, 2019

Списъкът със засегнатите сайтове не е публичен, но екипът определя сайтовете като “уебсайтове с хиляди посетители седмично”. В атаката са попаднали почти всички версии от iOS 10 до iOS 12. Атаката се оценява като най-голямата някога известна атака срещу потребители на iPhone, продължила най-малко две години. След кражбата данните са били отправени към команден и контролен сървър. Всички, които са обновили своя iPhone от февруари 2019 г. насам в момента са защитени, тъй като уязвимостта е била закрепена тогава.

Според Google Project Zero става въпрос за група, която полага регулярни усилия да хаква потребители на iPhone в определени общности през период от (поне) две години,  което включва 5 т.нар. „експлоатационни вериги“ с 14 уязвимости и поне една активна, която не е публично достояние т.е. тип “0 day exploits”.

Подробен анализ на техническите грешки, допуснати в кода и довели да уязвимостта, можете да откриете в блога. 

В този списък вече участва Националната агенция по приходи на България, където според платформата Firefox Monitor изтекли телефонни номера, имейли, физически адреси, имена и данъчни декларации. 

Повече за най-големите технологични нарушения ще намерите тук. 

Атаките, разкрити в публикации в блога на Microsoft, показват продължаващото разпространение на широка онлайн кампания, насочена към разрушаване на реални и потенциални политически опоненти на руския президент Владимир Путин. Компанията заяви, че е открила, че хакерите са насочили повече от 100 имейл акаунта в мозъчни тръстове и неправителствени организации, които работят по въпроси като сигурността на изборите, ядрената политика и външните отношения.

Microsoft не се обърна към страната, от която идват атаките, но обвиняваше група хакери, наричани понякога Fancy Bear. Онлайн компаниите за сигурност идентифицират Fancy Bear като руска група и се смята, че са свързани с руското разузнаване.

Fancy Bear е участвал в хакването на 2016 г. на Националния комитет на Демократическата партия в САЩ, според изследователите на партията и сигурността. Миналата година американските власти повдигнаха обвинения срещу 12 руски разузнавачи, свързани с хакерите на партийния щаб и президентската кампания на Клинтън.

Източник: New York Times

Пачът, достъпен само за 35 долара, позволява на неоторизирани лица, базирани навсякъде по света, да генерират данни от Aadhaar.

Това има значителни последици за националната сигурност в момент, когато Индийското правителство се е опитало да превърне Aadhaar в номенклатурен златен стандарт за идентификация на гражданите, дори за използването на мобилен телефон за достъп до банкова сметка.

Фирмите често използват пачове за незначителни актуализации на съществуващи програми, но могат да бъдат използвани и за вреди чрез въвеждане на уязвимост – както в този случай.

HuffPost India притежава този пач и е анализиран от трима международно признати експерти и двама индийски анализатори (единият от които е потърсил анонимност, докато работи в държавно финансиран университет), за да установи, че:

• Пачът позволява на потребителя да заобиколи критични функции за сигурност, като например биометрично удостоверяване на операторите за записване, за да генерира неразрешени номера на Aadhaar.
• Пачът забранява вградената функция за сигурност на GPS (използвана за идентифициране на физическото разположение на всеки център за записване), което означава, че всеки дали от Пекин, Карачи или Кабул – може да използва софтуера за записване на потребители.
• Намалява чувствителността на системата за разпознаване на ириса на записващия софтуер, което улеснява фалшификацията на софтуера с снимка на регистриран оператор, вместо да се изисква операторът да присъства лично.

Експертите, консултирани от HuffPost India, заявиха, че уязвимостта е присъща на технологичния избор, направен в началото на програмата Aadhaar, което означава, че определянето й и други бъдещи заплахи ще наложат промяна на основната структура.

Източник: HuffPost India