Semana 13 de Segurança: Segurança em Casa

A agenda de notícias da semana passada no campo da segurança da informação passou do domínio dos "vírus de computador" condicionais para o real, transmitidos por gotículas no ar. Os funcionários de muitas empresas capazes de executar seu trabalho remotamente agora estão conectados aos colegas e à infraestrutura do escritório de maneira puramente nominal. Isso não quer dizer que a transição ocorra sem problemas, embora muitas tarefas sempre possam ser realizadas não no local de trabalho, mas em qualquer lugar do mundo com uma Internet mais ou menos confiável.

Na semana passada, o Threatpost coletouanálises de profissionais de segurança sobre os riscos de udalenka. O principal: especialistas em TI em condições de trabalho em massa de funcionários de casa têm muito menos controle sobre a infraestrutura. O conceito de "perímetro da rede corporativa", e antes disso, era bastante condicional devido ao uso massivo de serviços em nuvem, tornou-se completamente ilusório. Na melhor das hipóteses, seus colegas trabalharão em um laptop corporativo, com políticas de segurança e software de segurança, conectados via VPN. Mas a opção de usar um PC, smartphone, tablet com conexão de rede Wi-Fi com proteção incompreensível não está descartada.

Naturalmente, os cibercriminosos estão tentando tirar proveito da situação, e é complicado pelo fato de que em casa os colegas terão a certeza de se distraírem - pelas tarefas domésticas, pelas crianças que não vão à escola e assim por diante. Nesse caso, o trabalho se torna não menos, mas mais, e as chances de não reconhecer uma mensagem de phishing aumentam visivelmente.

A esses problemas são adicionados problemas puramente técnicos de manutenção da infraestrutura. Se a empresa implementou serviços em nuvem, a transição para o trabalho remoto será quase perfeita. E se, por algum motivo, você precisar acessar serviços locais? Todos os funcionários têm os direitos necessários? Eles são treinados no acesso ao sistema? Um servidor VPN suportará um grande número de conexões simultâneas se ele foi projetado apenas para viagens? Não cabe às iniciativas educacionais - manter o equipamento à tona.

Um exemplo típico de ataque cibernético no momento mais inoportuno ocorreuhá duas semanas na Universidade de Otterbane, em Ohio, EUA. No processo de transferência de todos os alunos para o ensino a distância, a organização foi vítima de um ataque de um ransomware-ransomware. Os detalhes da mensagem não são fornecidos, mas pode-se supor: na pior das hipóteses, será difícil até entrar em contato com um grande número de pessoas para notificá-las sobre a disponibilidade da infraestrutura. Ou ainda mais sério: a substituição forçada de senhas, que não pode mais ser realizada, simplesmente coletando todos nas dependências da universidade.

Os cibercriminosos começaram a explorar o tema do coronavírus em emails de spam e ataques de phishing em fevereiro: isso acontece com qualquer evento ressonante. Por exemplo, aqui está uma análise de uma campanha que distribui o Trojan bancário Emotet sob o pretexto de "recomendações para proteção contra o vírus". Outro estudo com detalhes de email de spam foi publicado pela IBM.

Outro ataque temático foi descoberto por especialistas da Check Point Research ( notícias , pesquisas ). Um boletim de propriedade do governo na Mongólia com um arquivo RTF anexado explorou a vulnerabilidade no Microsoft Word e instalou um backdoor com uma ampla gama de funções no sistema. Os organizadores do ataque, anteriormente vistos em correspondências semelhantes na Rússia e na Bielorrússia, receberam controle total sobre os computadores das vítimas, organizaram vigilância com capturas de tela regulares e upload de arquivos para o servidor de comando.

E tudo isso, além dos ataques "sobre a área", por exemplo, em nome da Organização Mundial da Saúde, com chamadas para baixar um documento ou enviar uma doação. O pessoal da OMS teve que distribuir o documentoaviso de golpistas que se tornaram especialmente ativos desde o surto. Aqui está um exemplo de envio de um keylogger em nome de uma organização.

Onde esta exploração de tópicos verdadeiramente importantes para fins criminais tem, por assim dizer, o fundo? Provavelmente, são ataques a organizações médicas, hospitais e hospitais, onde a vida das pessoas depende do equipamento conectado à rede e, às vezes, do equipamento vulnerável. Mikko Hipponen, da F-Secure no Twitter, deu um exemplo de ataque não a um hospital, mas a uma organização local que informava a população (“nosso site está fora do ar, escreva pelo correio”).

Vamos voltar à defesa corporativa nas condições de um total udalenka. O blog da Kaspersky Lab fornece outros exemplos de exploração do tema do coronavírus. Spam intrusivo com links de phishing ou anexos preparados mudou para o tema do coronavírus ("consulte as informações sobre atrasos na entrega"). Eles enviaram correspondências direcionadas, supostamente de agências governamentais, com os requisitos de alguma ação urgente. Os métodos para combater essas campanhas em quarentena não mudaram, as possibilidades de ataque se expandiram, explorando uma infraestrutura doméstica menos segura e um nervosismo geral.

O que fazer? Primeiro de tudo, mantenha a calma e não ceda ao pânico. Outra postagem do blog da Kaspersky Lab resume as recomendaçõespara a proteção de "trabalhadores remotos". Para o público da Habr, eles são óbvios, mas vale a pena compartilhar com colegas menos experientes.

• Use uma VPN.
• Altere a senha do seu roteador doméstico, verifique se a sua rede Wi-Fi está segura.
• Use as ferramentas de colaboração corporativa: muitas vezes acontece que uma pessoa está acostumada com outro serviço para conferência na web, compartilhamento de arquivos e assim por diante. Isso torna ainda mais difícil para o departamento de TI controlar eventos.
• Por fim, bloqueie o computador ao sair do local de trabalho. Não necessariamente porque um espião corporativo entra em sua casa. E pelo menos para que as crianças não atendam acidentalmente uma importante teleconferência.

O que mais aconteceu : a

Adobe lançou um patch extraordinário para seus produtos, cobrindo 29 vulnerabilidades críticas, 22 delas no Adobe Photoshop. Outra recomendação importante para o trabalho remoto (e não apenas para isso) é lembrar de instalar as atualizações.

Novos horizontes para o uso de caracteres não padrão em nomes de domínio para phishing e outras ações más. Resumo da postagem: ɢoogle e google são duas coisas diferentes.

Um estudo científico com a análise de telemetria enviada por navegadores populares. Spoiler: o Microsoft Edge recebe a maioria das estatísticas dos usuários, incluindo identificadores persistentes exclusivos.

As vulnerabilidades descobertas recentemente nos dispositivos NAS da Zyxel exploram outra botnet.

A história é detalhada: como os pesquisadores encontraram (e a Microsoft corrigiu com êxito) um erro grave na configuração do serviço de nuvem do Azure. A telemetria com tokens de acesso foi enviada para um domínio inexistente.