Minggu Keamanan 13: Keamanan Rumah

Agenda berita minggu lalu di bidang keamanan informasi dengan percaya diri pindah dari dunia “virus komputer” bersyarat menjadi nyata, ditransmisikan oleh tetesan udara. Karyawan dari banyak perusahaan yang dapat melakukan pekerjaannya dari jarak jauh sekarang terhubung dengan rekan kerja dan infrastruktur kantor dengan cara yang murni nominal. Ini bukan untuk mengatakan bahwa transisi berjalan dengan lancar, meskipun banyak tugas selalu dapat dilakukan bukan di tempat kerja, tetapi dari mana saja di dunia dengan Internet yang lebih atau kurang dapat diandalkan.

Pekan lalu, Threatpost dikumpulkanulasan para profesional keamanan tentang risiko udalenka Hal utama: Spesialis TI dalam kondisi kerja massal karyawan dari rumah memiliki jauh lebih sedikit kendali atas infrastruktur. Konsep "perimeter jaringan perusahaan", dan sebelum itu agak bersyarat karena penggunaan besar-besaran layanan cloud, telah menjadi sepenuhnya ilusi. Dalam kasus terbaik, kolega Anda akan bekerja dari laptop perusahaan, dengan kebijakan keamanan dan perangkat lunak keamanan, yang terhubung melalui VPN. Tetapi pilihan untuk menggunakan PC rumahan, smartphone, tablet dengan koneksi jaringan Wi-Fi dengan perlindungan yang tidak dapat dipahami tidak dikesampingkan.

Biasanya, penjahat dunia maya mencoba mengambil keuntungan dari situasi ini, dan ini diperumit oleh kenyataan bahwa di rumah, kolega akan dijamin terganggu - oleh pekerjaan rumah tangga, oleh anak-anak yang tidak bersekolah, dan sebagainya. Dalam hal ini, pekerjaan menjadi tidak kurang, tetapi lebih banyak, dan peluang untuk tidak mengenali pesan phising secara nyata meningkat.

Untuk masalah ini ditambahkan masalah teknis murni pemeliharaan infrastruktur. Jika perusahaan telah menerapkan layanan cloud, transisi ke pekerjaan jarak jauh akan hampir mulus. Dan jika karena alasan tertentu Anda memerlukan akses ke layanan lokal? Apakah semua karyawan memiliki hak yang diperlukan? Apakah mereka terlatih dalam akses ke sistem? Akankah server VPN menahan sejumlah besar koneksi simultan jika itu dirancang hanya untuk perjalanan? Tidak tergantung pada inisiatif pendidikan - untuk menjaga peralatan tetap terapung.

Contoh tipikal serangan cyber pada saat yang paling tidak tepat terjadidua minggu lalu di University of Otterbane di Ohio, AS. Tepat dalam proses mentransfer semua siswa untuk pembelajaran jarak jauh, organisasi adalah korban serangan oleh ransomware-ransomware. Rincian dalam pesan tidak diberikan, tetapi dapat diasumsikan: dalam kasus terburuk, bahkan akan sulit untuk menghubungi sejumlah besar orang untuk memberi tahu mereka tentang ketersediaan infrastruktur. Atau bahkan lebih serius: penggantian kata sandi yang dipaksakan, yang tidak lagi dapat dilakukan, hanya dengan mengumpulkan semua orang di lingkungan universitas.

Penjahat dunia maya mulai mengeksploitasi tema coronavirus dalam pengiriman spam dan serangan phishing pada bulan Februari: ini terjadi pada setiap peristiwa yang beresonansi. Misalnya, berikut ini adalah analisis kampanye yang mendistribusikan Trojan Emotet banking dengan kedok "rekomendasi untuk perlindungan terhadap virus". Studi lain dengan detail email spam diterbitkan oleh IBM.

Serangan tematik lain ditemukan oleh para ahli Check Point Research ( berita , penelitian ). Sebuah buletin milik pemerintah di Mongolia dengan file RTF terlampir mengeksploitasi kerentanan dalam Microsoft Word dan memasang pintu belakang dengan berbagai fungsi pada sistem. Penyelenggara serangan, yang sebelumnya terlihat dalam surat serupa di Rusia dan Belarus, menerima kendali penuh atas komputer para korban, mengatur pengawasan dengan screenshot biasa dan mengunggah file ke server perintah.

Dan semua ini terlepas dari serangan "ke daerah", misalnya, atas nama Organisasi Kesehatan Dunia, dengan panggilan untuk mengunduh dokumen atau mengirim sumbangan. Staf WHO harus mendistribusikan dokumenperingatan scammers yang telah menjadi sangat aktif sejak wabah. Berikut adalah contoh pengiriman keylogger atas nama organisasi.

Di manakah eksploitasi topik yang benar-benar penting untuk tujuan kriminal ini, dengan kata lain, menjadi dasar? Mungkin, ini adalah serangan terhadap organisasi medis, rumah sakit dan rumah sakit, di mana kehidupan orang tergantung pada peralatan yang terhubung ke jaringan dan kadang-kadang peralatan yang rentan. Mikko Hipponen dari F-Secure di Twitter memberikan contoh serangan bukan pada rumah sakit, tetapi pada organisasi lokal yang menginformasikan populasi ("situs kami sedang down, menulis surat").

Mari kita kembali ke pertahanan perusahaan dalam kondisi total udalenka. Blog Kaspersky Lab menyediakan contoh-contoh lain dari mengeksploitasi tema coronavirus. Spam intrusi dengan tautan phishing atau lampiran yang disiapkan, beralih ke tema coronavirus (“lihat informasi tentang keterlambatan pengiriman”). Mereka mengirim surat yang ditargetkan dari agen pemerintah dengan persyaratan tindakan segera. Metode untuk menangkal kampanye semacam itu di bawah karantina tidak berubah, kemungkinan serangan telah meluas, mengeksploitasi infrastruktur rumah yang kurang aman dan kegelisahan umum.

Apa yang harus dilakukan? Pertama-tama, tetap tenang dan tidak menyerah pada panik. Posting blog Kaspersky Lab lainnya merangkum rekomendasiuntuk perlindungan "pekerja jarak jauh". Untuk audiens Habr, mereka jelas, tetapi ada baiknya berbagi dengan rekan-rekan yang kurang cerdas.

• Gunakan VPN.
• Ubah kata sandi untuk router rumah Anda, pastikan jaringan Wi-Fi Anda aman.
• Gunakan alat kolaborasi perusahaan: sering kali seseorang menggunakan layanan lain untuk konferensi web, berbagi file, dan sebagainya. Ini membuatnya semakin sulit bagi departemen TI untuk mengontrol acara.
• Terakhir, kunci komputer Anda ketika Anda meninggalkan tempat kerja. Belum tentu karena mata-mata perusahaan akan masuk ke rumah Anda. Dan setidaknya agar anak-anak tidak secara tidak sengaja menjawab panggilan konferensi penting.

Apa lagi yang terjadi :

Adobe merilis tambalan luar biasa untuk produk-produknya, mencakup 29 kerentanan kritis, 22 di antaranya di Adobe Photoshop. Rekomendasi penting lain untuk pekerjaan jarak jauh (dan tidak hanya untuk itu) adalah ingat untuk menginstal pembaruan.

Cakrawala baru untuk penggunaan karakter non-standar dalam nama domain untuk phishing dan tindakan jahat lainnya. Ringkasan pos: ɢoogle dan Google adalah dua hal yang berbeda.

Sebuah studi ilmiah dengan analisis telemetri yang dikirim oleh browser populer. Spoiler: Microsoft Edge menerima statistik terbanyak dari pengguna, termasuk pengidentifikasi persisten unik.

Kerentanan yang baru ditemukan di perangkat NAS Zyxel mengeksploitasi botnet lain.

Ceritanya terperinci: bagaimana para peneliti menemukan (dan Microsoft kemudian berhasil memperbaiki) kesalahan serius dalam konfigurasi layanan cloud Azure. Telemetri dengan token akses dikirim ke domain yang tidak ada.