Get best of the week

Semaine de la sécurité 13: Sécurité à la maison

L’agenda de la semaine dernière dans le domaine de la sécurité de l’information est passé du domaine des «virus informatiques» conditionnels au réel, transmis par des gouttelettes aéroportées. Les employés de nombreuses entreprises qui peuvent effectuer leur travail à distance sont désormais connectés aux collègues et à l'infrastructure de bureau de manière purement nominale. Cela ne veut pas dire que la transition se déroule sans heurts, bien que de nombreuses tâches puissent toujours être effectuées non pas sur le lieu de travail, mais de n'importe où dans le monde avec un Internet plus ou moins fiable.

La semaine dernière, Threatpost a collectéavis de professionnels de la sécurité sur les risques liés à udalenka L'essentiel: les informaticiens dans les conditions de travail de masse des employés à domicile ont beaucoup moins de contrôle sur l'infrastructure. Le concept de «périmètre du réseau d'entreprise», et auparavant plutôt conditionnel en raison de l'utilisation massive des services cloud, est devenu complètement illusoire. Dans le meilleur des cas, vos collègues travailleront à partir d'un ordinateur portable d'entreprise, avec des politiques de sécurité et un logiciel de sécurité, se connectant via VPN. Mais l'option d'utiliser un ordinateur personnel, un smartphone, une tablette avec une connexion réseau Wi-Fi avec une protection incompréhensible n'est pas exclue.

Naturellement, les cybercriminels tentent de profiter de la situation, et cela est compliqué par le fait qu'à la maison, les collègues seront assurés d'être distraits - par les tâches ménagères, par les enfants qui ne vont pas à l'école, etc. Dans ce cas, le travail devient non moins, mais plus, et les chances de ne pas reconnaître un message de phishing sont sensiblement augmentées.

A ces problèmes s'ajoutent des problèmes purement techniques de maintenance de l'infrastructure. Si l'entreprise a mis en place des services cloud, la transition vers le travail à distance sera presque transparente. Et si pour une raison quelconque vous avez besoin d'accéder aux services locaux? Tous les employés ont-ils les droits nécessaires? Sont-ils formés à l'accès au système? Un serveur VPN supportera-t-il un grand nombre de connexions simultanées s'il a été conçu uniquement pour les voyages? Ce n'est pas aux initiatives éducatives - de maintenir l'équipement à flot.

Un exemple typique d'une cyberattaque au moment le plus inopportun s'est produitil y a deux semaines à l'Université d'Otterbane dans l'Ohio, aux États-Unis. En plein transfert de tous les étudiants vers l'enseignement à distance, l'organisation a été victime d'une attaque par un ransomware-ransomware. Les détails du message ne sont pas fournis, mais on peut supposer: dans le pire des cas, il sera même difficile de contacter un grand nombre de personnes pour les informer de la disponibilité des infrastructures. Ou encore plus grave: le remplacement forcé des mots de passe, qui ne peut plus être effectué, simplement en collectant tout le monde dans les locaux de l'université.

Les cybercriminels ont commencé à exploiter le thème du coronavirus dans les courriers indésirables et les attaques de phishing en février: c'est le cas de tout événement résonnant. Par exemple, voici une analyse d'une campagne qui distribue le cheval de Troie bancaire Emotet sous le couvert de «recommandations de protection contre le virus». IBM a publié une autre étude contenant des informations sur les spams .


Une autre attaque thématique a été découverte par des experts de Check Point Research ( actualités , recherche ). Un bulletin d'information du gouvernement en Mongolie avec un fichier RTF attaché a exploité la vulnérabilité dans Microsoft Word et installé une porte dérobée avec un large éventail de fonctions sur le système. Les organisateurs de l'attaque, précédemment vus dans des envois similaires en Russie et en Biélorussie, ont reçu le contrôle total sur les ordinateurs des victimes, organisé une surveillance avec des captures d'écran régulières et téléchargé des fichiers sur le serveur de commande.

Et tout cela en dehors des attaques «sur la zone», par exemple, au nom de l'Organisation mondiale de la santé, avec des appels pour télécharger un document ou envoyer un don. Le personnel de l'OMS a dû distribuer le documentavertissement des escrocs qui sont devenus particulièrement actifs depuis l'épidémie. Voici un exemple d'envoi d'un enregistreur de frappe au nom d'une organisation.



Où cette exploitation de sujets vraiment importants à des fins criminelles a-t-elle pour ainsi dire le fond? Il s'agit probablement d'attaques contre des organisations médicales, des hôpitaux et des hôpitaux, où la vie des gens dépend des équipements connectés au réseau et parfois des équipements vulnérables. Mikko Hipponen de F-Secure sur Twitter a donné un exemple d'attaque non pas contre un hôpital, mais contre une organisation locale informant la population («notre site est en panne, écrivez à la poste»).


Revenons à la défense des entreprises dans les conditions d'une udalenka totale. Le blog de Kaspersky Lab fournit d' autres exemples d'exploitation du thème des coronavirus. Spam intrusif avec liens de phishing ou pièces jointes préparées basculé sur le thème du coronavirus («voir les informations sur les retards de livraison»). Ils ont envoyé des mailings ciblés censément des agences gouvernementales avec les exigences d'une action urgente. Les méthodes de lutte contre de telles campagnes en quarantaine n'ont pas changé, les possibilités d'attaque se sont élargies, exploitant à la fois une infrastructure domestique moins sûre et la nervosité générale.

Que faire? Tout d'abord, restez calme et ne cédez pas à la panique. Un autre article de blog de Kaspersky Lab résume les recommandationspour la protection des "travailleurs à distance". Pour le public Habr, ils sont évidents, mais cela vaut la peine d'être partagé avec des collègues moins avertis.

  • Utilisez un VPN.
  • Modifiez le mot de passe de votre routeur domestique, assurez-vous que votre rĂ©seau Wi-Fi est sĂ©curisĂ©.
  • Utilisez des outils de collaboration d'entreprise: il arrive souvent qu'une personne soit habituĂ©e Ă  un autre service pour la confĂ©rence Web, le partage de fichiers, etc. Cela rend encore plus difficile pour le service informatique de contrĂ´ler les Ă©vĂ©nements.
  • Enfin, verrouillez votre ordinateur lorsque vous quittez votre lieu de travail. Pas nĂ©cessairement parce qu'un espion d'entreprise pĂ©nètrera chez vous. Et au moins pour que les enfants ne rĂ©pondent pas accidentellement Ă  une confĂ©rence tĂ©lĂ©phonique importante.

Quoi d'autre s'est produit :

Adobe a publié un correctif extraordinaire pour ses produits couvrant 29 vulnérabilités critiques, dont 22 dans Adobe Photoshop. Une autre recommandation importante pour le travail à distance (et pas seulement pour cela) est de ne pas oublier d'installer les mises à jour.



De nouveaux horizons pour l' utilisation de caractères non standard dans les noms de domaine pour le phishing et autres actes malveillants. Résumé de l'article: ɢoogle et google sont deux choses différentes.

Une étude scientifique avec l'analyse de la télémétrie envoyée par les navigateurs populaires. Spoiler: Microsoft Edge reçoit le plus de statistiques des utilisateurs, y compris des identifiants persistants uniques.

Des vulnérabilités récemment découvertes dans les périphériques NAS de Zyxel exploitent un autre botnet.

L'histoire est en détail: comment les chercheurs ont trouvé (et Microsoft a ensuite corrigé avec succès) une grave erreur dans la configuration du service cloud Azure. La télémétrie avec des jetons d'accès a été envoyée à un domaine inexistant.

More articles:


All Articles