Sicherheitswoche 13: Sicherheit zu Hause

Die Nachrichtenagenda der letzten Woche im Bereich der Informationssicherheit hat sich sicher vom Bereich der bedingten „Computerviren“ zu den realen verschoben, die von Tröpfchen aus der Luft übertragen werden. Mitarbeiter vieler Unternehmen, die ihre Arbeit aus der Ferne ausführen können, sind jetzt rein nominal mit Kollegen und der Büroinfrastruktur verbunden. Dies bedeutet nicht, dass der Übergang reibungslos verläuft, obwohl viele Aufgaben immer nicht am Arbeitsplatz, sondern von überall auf der Welt mit einem mehr oder weniger zuverlässigen Internet ausgeführt werden können.

Letzte Woche hat Threatpost gesammeltBewertungen von Sicherheitsexperten über die Risiken von Udalenka. Hauptsache: IT-Spezialisten für Massenarbeitsbedingungen von Mitarbeitern von zu Hause aus haben viel weniger Kontrolle über die Infrastruktur. Das Konzept des "Perimeters des Unternehmensnetzwerks", das zuvor aufgrund der massiven Nutzung von Cloud-Diensten eher bedingt war, ist völlig illusorisch geworden. Im besten Fall arbeiten Ihre Kollegen von einem Unternehmens-Laptop mit Sicherheitsrichtlinien und Sicherheitssoftware aus und stellen eine Verbindung über VPN her. Die Verwendung eines Heim-PCs, Smartphones, Tablets mit Wi-Fi-Netzwerkverbindung mit unverständlichem Schutz ist jedoch nicht ausgeschlossen.

Natürlich versuchen Cyberkriminelle, die Situation auszunutzen, und es wird durch die Tatsache erschwert, dass Kollegen zu Hause garantiert abgelenkt werden - durch Hausarbeiten, durch Kinder, die nicht zur Schule gehen, und so weiter. In diesem Fall wird die Arbeit nicht weniger, sondern mehr, und die Wahrscheinlichkeit, eine Phishing-Nachricht nicht zu erkennen, steigt spürbar.

Zu diesen Problemen kommen rein technische Probleme bei der Wartung der Infrastruktur hinzu. Wenn das Unternehmen Cloud-Services implementiert hat, erfolgt der Übergang zur Remote-Arbeit nahezu nahtlos. Und wenn Sie aus irgendeinem Grund Zugang zu lokalen Diensten benötigen? Haben alle Mitarbeiter die notwendigen Rechte? Sind sie im Zugang zum System geschult? Wird ein VPN-Server einer großen Anzahl gleichzeitiger Verbindungen standhalten, wenn er nur für Reisen konzipiert wurde? Es liegt nicht an Bildungsinitiativen - die Ausrüstung über Wasser zu halten.

Ein typisches Beispiel für einen Cyberangriff im ungünstigsten Moment warvor zwei Wochen an der University of Otterbane in Ohio, USA. Gerade als alle Schüler auf Fernunterricht umgestellt wurden, wurde die Organisation Opfer eines Angriffs einer Ransomware-Ransomware. Details in der Nachricht werden nicht angegeben, aber es kann angenommen werden: Im schlimmsten Fall wird es schwierig sein, eine große Anzahl von Personen zu kontaktieren, um sie über die Verfügbarkeit der Infrastruktur zu informieren. Oder noch ernster: das erzwungene Ersetzen von Passwörtern, das nicht mehr durchgeführt werden kann, indem einfach alle Personen auf dem Universitätsgelände gesammelt werden.

Cyberkriminelle haben im Februar damit begonnen, das Thema Coronavirus in Spam-Mailings und Phishing-Angriffen auszunutzen: Dies geschieht bei jedem Resonanzereignis. Hier ist zum Beispiel eine Analyse einer Kampagne, die den Emotet-Banking-Trojaner unter dem Deckmantel von "Empfehlungen zum Schutz vor dem Virus" verbreitet.. Eine weitere Studie mit Spam - E - Mail - Details wurde veröffentlicht von IBM.

Ein weiterer thematischer Angriff wurde von Experten von Check Point Research ( Nachrichten , Forschung ) entdeckt. Ein staatseigener Newsletter in der Mongolei mit einer angehängten RTF-Datei nutzte die Sicherheitsanfälligkeit in Microsoft Word aus und installierte eine Hintertür mit einer Vielzahl von Funktionen auf dem System. Die Organisatoren des Angriffs, die zuvor in ähnlichen Mailings in Russland und Weißrussland zu sehen waren, erhielten die volle Kontrolle über die Computer der Opfer, organisierten die Überwachung mit regelmäßigen Screenshots und luden Dateien auf den Befehlsserver hoch.

Und das alles abgesehen von den Angriffen "über das Gebiet", zum Beispiel im Auftrag der Weltgesundheitsorganisation, mit Aufrufen, entweder ein Dokument herunterzuladen oder eine Spende zu senden. Die Mitarbeiter der WHO mussten das Dokument verteilenWarnung vor Betrügern, die seit dem Ausbruch besonders aktiv geworden sind. Hier ist ein Beispiel für das Senden eines Keyloggers im Auftrag einer Organisation.

Wo hat diese Ausbeutung wirklich wichtiger Themen für kriminelle Zwecke sozusagen den Grund? Wahrscheinlich handelt es sich dabei um Angriffe auf medizinische Organisationen, Krankenhäuser und Krankenhäuser, bei denen das Leben der Menschen von den mit dem Netzwerk verbundenen Geräten und manchmal von anfälligen Geräten abhängt. Mikko Hipponen von F-Secure auf Twitter gab ein Beispiel für einen Angriff nicht auf ein Krankenhaus, sondern auf eine lokale Organisation, die die Bevölkerung informierte („Unsere Website ist nicht erreichbar, schreiben Sie an E-Mail“).

Kehren wir unter den Bedingungen einer totalen Udalenka zur Unternehmensverteidigung zurück. Der Kaspersky Lab-Blog bietet weitere Beispiele für die Nutzung des Coronavirus-Themas. Aufdringlicher Spam mit Phishing-Links oder vorbereiteten Anhängen wurde auf das Thema Coronavirus umgestellt (siehe Informationen zu Verzögerungen bei der Zustellung). Sie schickten gezielte Mailings, angeblich von Regierungsbehörden, mit den Anforderungen dringender Maßnahmen. Die Methoden, solchen Kampagnen unter Quarantäne entgegenzuwirken, haben sich nicht geändert, die Angriffsmöglichkeiten haben sich erweitert und nutzen sowohl die weniger sichere Heiminfrastruktur als auch die allgemeine Nervosität.

Was zu tun ist? Bleiben Sie zunächst ruhig und geben Sie sich nicht der Panik hin. Ein weiterer Blog-Beitrag von Kaspersky Lab fasst die Empfehlungen zusammenzum Schutz von "Fernarbeitern". Für das Habr-Publikum sind sie offensichtlich, aber es lohnt sich, sie mit weniger versierten Kollegen zu teilen.

• Verwenden Sie ein VPN.
• Ändern Sie das Kennwort für Ihren Heimrouter und stellen Sie sicher, dass Ihr Wi-Fi-Netzwerk sicher ist.
• Verwenden Sie Tools für die Unternehmenszusammenarbeit: Es kommt häufig vor, dass eine Person an einen anderen Dienst für Webkonferenzen, Dateifreigaben usw. gewöhnt ist. Dies macht es für die IT-Abteilung noch schwieriger, Ereignisse zu steuern.
• Sperren Sie schließlich Ihren Computer, wenn Sie Ihren Arbeitsplatz verlassen. Nicht unbedingt, weil ein Unternehmensspion zu Ihnen nach Hause kommt. Und zumindest, damit Kinder nicht versehentlich eine wichtige Telefonkonferenz beantworten.

Was noch passiert ist :

Adobe hat einen außergewöhnlichen Patch für seine Produkte veröffentlicht, der 29 kritische Sicherheitslücken abdeckt, davon 22 in Adobe Photoshop. Eine weitere wichtige Empfehlung für Remote-Arbeiten (und nicht nur dafür) ist die Installation von Updates.

Neue Horizonte für die Verwendung von nicht standardmäßigen Zeichen in Domainnamen für Phishing und andere böse Taten. Zusammenfassung des Beitrags: Google und Google sind zwei verschiedene Dinge.

Eine wissenschaftliche Studie mit der Analyse der Telemetrie, die von gängigen Browsern gesendet wird. Spoiler: Microsoft Edge erhält die meisten Statistiken von Benutzern, einschließlich eindeutiger persistenter Kennungen.

Kürzlich entdeckte Sicherheitslücken in den NAS-Geräten von Zyxel nutzen ein anderes Botnetz aus.

Die Geschichte ist im Detail: Wie die Forscher einen schwerwiegenden Fehler in der Konfiguration des Azure-Clouddienstes fanden (und Microsoft später erfolgreich behebte). Telemetrie mit Zugriffstoken wurde an eine nicht vorhandene Domäne gesendet.