Folyamatosan érkeznek jelentések egy folyamatban lévő vírus terjesztési kampányról. Ebben egy korábbi levelezésüket felhasználva olyan leveleket kapnak, melyben egy fertőzött fájlt tartalmazó hivatkozás található. A feladó a hivatkozás kattintására és a letöltött dokumentum megnyitására szólít fel.
A levélben egy jelszót is küldenek, mely a dokumentum megnyitásához szükséges – ez a vírusírtó megkerülésére használt titkosítás miatt kell nekik.
A magyarázat a dologra, hogy korábban egy önökkel kommunikációt folytató szervezet levelezését törték fel és innen jutottak az Önökkel folytatott levelezés szövegéhez. Ezt a levélfolyamokat használják fel most fertőző kódok terjesztésére, így próbálva megtéveszteni a felhasználókat.
Előfordul olyan levél is, amikor egy kolléga – vagy saját magunk – nevében érkezik az email. Ezt egy feladó hamisítási technika, hiszen igazából nem a kolléga küldi a levelet.
Mindkét esetben megbizonyosodhatunk róla, ha
Nagyon fontos, hogy ha valaki ilyen levelet kap,akkor NE kattintson a levélben található hivatkozásra, ne nyissa meg a mellékletet, és ne is válaszoljon rá.
Kérem levelemet valamennyi felhasználónak továbbítsák azzal, hogy gondosan olvassa el MOST! Továbbá, ha valaki mégis rákattintott volna az ilyen levélben található linkre, akkor az azonnal jelentsék részünkre telefonon, de előtte a számítógépet soron kívül kapcsolják le. Ezt akár bekapcsoló gomb nyomva tartásával is ki lehet kényszeríteni az eszköznél, ha nem akar leállni.
Az eszközt csak a teljes körű vírus ellenőrzés, és tisztára jelentést követően szabad újra munkába állítani.
Szívesen segítünk a már meglevő probléma elhárításában is, de a megelőzéssel mindig elkerülhetőek komoly veszteségek. Hisszük, hogy tudunk segíteni.
Az orosz-ukrán háború olyan új helyzetet teremtett a kibertérben (Interneten), amire eddig még nem volt példa.
Elsősorban az ukránok #ITArmy felhívására beinduló, laza szerkezetű kiberhadsereg civilekből álló, szabályrendszerek és kontroll nélkül működő, büntető szabadcsapatokká szerveződtek.
Ezek a csapatok az ukrán kormányzat által kijelölt célpontok ellen végeznek változó sikerű támadás sorozatokat.
A csatákban kiemelkedő jelentőségű azoknak a jól szervezett hacker csapatoknak a megjelenése, amelyek eddig is végeztek hasonló tevékenységeket, azonban jóval visszafogotabban és ritkábban.
Az #Anonymous hacker team mellett – akik nehezen meghatározható embertömeget jelentek pont azért, mert sok szabadúszó igyekszik a nevük mögé bújni – olyan nagyágyúk rombolják porig az célpontok infrastrukrúráját és adatbázisait, mint az #ATW (AgainstTheWest), #BlueHornet, #AnonGh0st, #BlackRabbit, stb.
„Áldásos” tevékenységük nyomán az orosz minisztériumok és katonai célpontok mellett egyetemeket, kutató laborokat (pl atomenergetikai), kritikus infrastruktúrákat (pl vízműrendszer, áramellátás, távhő szolgáltatás) törtek fel, katonai és politikai szerepet vállaló emberek tízezreinek tették elérhetővé minden adatát. Emellett pedig kisebb-nagyobb cégek weboldalait és üzemeltetéshez kapcsolódó szervereit (gyártás, pénzügy, marketing, stb.) törik fel, adatokat szivárogtatnak ki és semmisítenek meg.
Erre persze az orosz oldalról sem maradnak el a válaszcsapások, csupán sokkal kisebb hangú a hősködés. A #LAPSUSS és a #Stormous ransomware (zsarolóvírus) csoport nemcsak az ukrán kormányzati rendszereket támadja, de az Oroszországot elhagyó nagyvállalatok rendszereit is súlyos támadások érik. Így járt pl. az nVidia és a Samsung is, akiknek emiatt nagyon komoly következményekkel kell szembenézniük az üzletmenetben.
Természetesen a támadások a kisebb vállalkozások és magánemberek felé is erősödtek. Megjelentek új zsarolóvírusok már magyar célpontoknál is, hatalmas károkat okozva a kisvállalkozások pénzügyi rendszereiben. De a napokban súlyos támadás ért ipari automatizálási rendszereket (pl. OrangeSCADA.ru) és okosotthon vezérléseket is.
Ezek a támadások elsősorban a távoli munkavégzésre berendezkedett cégeknek jelenhetnek komoly problémát, de bármelyik cég, aki informatikai adatbázisokkal dolgozik komoly kockázatokkal számolhat. Sajnos elég közel a forgatókönyv is, hogy – mint az megtörtént 2021-ben a Microsoft Azure-ral – komoly felhőszolgáltatók eshetnek áldozatul a kibertérben folyó háborúnak. Ez azért nagyon durva forgatókönyv, mert egy támadással lehet cégek millióit ellehetetleníteni, tönkre tenni. És mivel ez nagy célpont, nagy dicsőség lenne, óriási erőforrásokat hajlandóak rá áldozni a támadók.
Gondoljunk csak bele, ha a saját cégünknél minden adat nyilvánosságra kerülne, vagy megsemmisülne, mi lenne ennek a következménye!
Mit tudunk tenni?
Meg kell erősíteni az informatikai rendszereinket egyrészt az infrastruktúra tekintetében, másrészt pedig a szolgáltatás és adatbiztonság tekintetében is.
Modernebb és hatékonyabb határvédelmi rendszereket kell kiépíteni.
Le kell cserélni a sima vírusírtókat profi kártékony kód elleni védelmi rendszerre.
Erősíteni, szigorítani kell a hozzáférés kontrollt.
Saját szerverek esetén olyan központi naplózást kell bevezetni, ami támogatja az incidensek megelőzést, felismerését, és kivizsgálását.
Olyan minőségű mentést kell összeállítani, ami egy totális fertőzés esetén is érintetlen marad.
Támogatni kell a biztonságos és egyedi jelszavak használatát és központi jelszó-manager bevezetésével.
Képzési programot kell indítani a felhasználóknak, hogy ne lehessen őket megtéveszteni, és ezzel bajt okozni.
+1: időközönként fel kell méretni a rendszereink biztonságát, a hiányosságok kockázatait, és ennek tudatában fejleszteni a rendszert.
Hogyan tudjuk ezeket meglépni?
Aki szakembernek érzi magát, bátran vágjon bele a lépések végrehajtásába, esetleg kérjen segítséget vagy iránymutatást.
Keressünk egy profi csapatot, aki ezt rutinszerűen elvégezni – garantálva a céges erőforrások hatékony elköltését, és jelentős biztonsági-szint emelkedést.
Hisszük, hogy tudunk segíteni. Akár csak tanácsokért fordulsz hozzánk, akár a felmérést vagy a megvalósítást bízod ránk.
Adatvédelmi és infomációbiztonsági incidens felderítése
2021. október 4-én magyar idő szerint 18 óra előtt pár perccel a Facebook minden szolgáltatása – köztük az Instagram, Messenger és Whatsup – elérhetetlenné vált.
A vizsgálat első szakaszában a kollégák helytelenül arra a következtetésre jutottak, hogy a hálózati forgalom elosztásáért felelős BGP protokoll lesz a hiba oka. Ez természetesen észszerű magyarázatnak tűnt a jelenségek ismeretében, így egy előzetes gyorsjelentés napvilágot is látott a sajtóban. Ez azonban hiba volt részünkről, amiért természetesen vállaljuk a felelősséget.
A valódi okok megértéséhez egy véletlen vezetett el minket: a helyreállítás során ugyanis eltéréseket találtunk a kiemelt felhasználók listájában. Ez a lista tartalmazza azokat a kiemelt felhasználói hozzáféréseket, amik a FACEBOOK core rendszerek használnak a hitelességi fa legfelső szintű tanúsítványaként.
Itt akadtunk rá a kiváltó okra, ami egy Oklahoma City beli IP címhez tartozott. Az access log alapján a következő parancsokat tudtuk azonosítani:
A naplófájl itt megszakad, azonban ez már elégséges információkkal szolgált, mi történhetett pontosan: Chuck Norris eltávolította a FACEBOOK alkalmazást a telefonjáról.
Most ennyi, hamarosan jelentkezünk a technikai részletekkel.
Egy új átverésben a Facebook nevében hívják fel a céges profilok adminjainak figyelmét egy állítólagos hibára. Azzal fenyegetőzik a szöveg, hogy felfüggesztik a címzett profilt, mert megsértette az ÁSZF-et.
Lassan megtanulnak magyarul a csalók, de az ékezetes betűkészletük még gagyi.
Azonban ez egy ordas nagy kamu. Pontosabban adathalász támadás.
A link mögött egy hamisított FB bejelentkező oldal van, ahol várják az értő olvasást mellőzők felhasználó nevét és jelszavát. Aki itt megadja, az elbúcsúzhat a fiókjától egy időre – és valószínűleg komoly pénzügyi zsarolás fog következni.
A webcímet itt könnyű azonosítani, azonban mobilról ez nem látszik.
Aki ilyet kapott, jelentse a FB-nak a csalást, és semmiképpen ne kattintson a linkre, mert rosszul védett számítógép esetén még vírusfertőzést is kaphat az oldaltól!
Gondosan olvassuk mindig el a szöveget, és legyünk mindig gyanakvóak.
Ha már megtörtént a baj, kérjük szakember segítségét!
A dupla leszúrt Rittberger esete a Facebook felhasználóvédelmi megoldásaival
Miután kiderítettem a csalást, jelentettem a FB-nak, és megírtam róla a gyors anyagot, hogy vállalkozótársaink ne fussanak bele egy maflásba, gondoltam rádobok egy kis pénzt, hogy olyan is lássa, aki nem követ/ismer.
Azonban ez a FB annyira védi a felhasználóit a csalástól, hogy a benne szereplő képek miatt nem engedte a hirdetést megjelenni. Így aztán az a zseniális dolog történt, hogy a csalók oldala működhet zavartalanul, én meg örülhetek, hogy legalább a profilomat nem tiltották le.
Bár kértem rá felülvizsgálatot, az eredmény borítékolható.
Hogy a bánatba hívjam fel az emberek figyelmét, és mutassam be hitelesen a csalást, ha nem tehetem ki képben, amivel találkozni fog!?
Na ezt hívom én a vélemény- és szólásszabadság korlátozásának.
Mutassam azt is, mi lett a csalás bejelentésével? Íme:
Non plusz ultra: szerettem volna legalább az általam is ismert mintegy 50 cégnek felhívni a figyelmét a csalásra, de a FB volt szíves letiltani a Messenger üzeneteket is számukra. Bravó!
Szerintem elmondhatjuk, hogy ha mi magunk nem vagyunk elég felkészültek, a FB biztosan nem fog minket megvédeni a csalóktól – ugyanis alkalmatlan rá.
Az Amerikai Kiberbiztonsági és Infrastruktúra Ügynökség (CISA) riasztást adott ki, amelyben figyelmeztetnek egy folyamatban lévő adatlopási kampányra. Valószínűleg kínai hackerek ismeretlen szoftverhibát kihasználva sikeresen támadnak MS Exchange szervereket.
A felfedezett támadások jellemzője, hogy aktív Antivírus védelmi megoldások használata mellett is sikeresen fertőznek saját üzemeltetésű (on-premises) Exchange Server 2010, 2013, 2016 és 2019 szervereket.
A nulladik napi (Zero-day, 0-day) sérülékenység a felhős rendszereket állítólag nem érinti – de ezt szokás szerint csak hónapokkal később szokták beismerni ☹
A legfertőzötteb terület természetesen az USA, de számottevő fertőzés van már Európában – elsősorban Németországban – is. Ez valószínűleg óráról–órára változik. A fertőzött szerverek jelentős részére telepítenek web shell-t, amivel aztán tetszőleges parancsokat tudnak végre hajtatni az áldozatokkal.
A CISA nyomatékosan felszólítja a szervezeteket a frissítések azonnali telepítésére, amivel elejét lehet venni az informatikai katasztrófának.
Ha Önöket is érintheti a probléma, és segítségre van szükség a rendszer biztonságossá tételéhez, vagy az on-line munkavégzést szeretnék a lehető legbiztonságosabbá tenni, a Biztonság Akadémia üzemeltetési szakértői készek segíteni benne.
A járványügyi vészhelyzet olyan megoldásokat kényszerített ki a cégekből és munkavállalóikból, ami pár hónapja még nehezen elképzelhető lett volna. A tárgyalási szokásaink egyik napról a másikra változtak meg az „igyunk egy kávét” illetve a „8:30-ra mindenki a meetingroom-ba” megoldásokról a „leszűröm a tésztát és veszem a fülest” meghívásokra.
A változások egyértelmű nyertesei azok a cégek, akik képesek sokszereplős videó-konferencia hívásokat szolgáltatni. Ezen megoldások közül is volt egy, ami óriásit robban a piacon – 3 hónap alatt a napi felhasználók száma ~10 millióról 300 millióra duzzadt. Ennek az óriási népszerűségnek az okai egyrészt ingyenességében (akár 100 résztvevőig) keresendőek, de leginkább a könnyű kezelhetősége az, ami tömegeket vonzott be.
Amint azt sokan megtapasztalhatták, a nagy üzleti versenytársak, mint a Cisco webex, Microsoft Teams, Skype for Business, Jitsi, stb. vagy bonyolultabbak, vagy valmi részeként elérhetőek csak, így drágábbak is, méretileg és erőforrás igény alapján is nagyok, és sok tapasztalatból a használatuk során gyakori a szenvedés. A piac pedig nem arra vágyott leginkább, hogy új eszközöket kelljen venni, és azt napokig az üzemeltetőknek telepítgetni egy gyors megbeszélés miatt. A cél most az volt, hogy egy véletlenszerűen előkapott laptopon vagy mobilon is jól elfusson, sok szereplővel, hosszabb előkészületek nélkül. Erre pedig a Zoom tökéletesen alkalmas.
A könnyű kezelhetőségnek azonban ára is van: könnyen lehet a találkozókat megzavarni az ú.n. bombázás technikával; nem elég erős titkosítást alkalmaztak a kommunikációban; megjelentek fertőzött, nem hivatalos telepítő-készletek; stb.. Ezen kívül pedig elkövettek még egy komoly hibát.
Adatvédelmi szabályzat
A Zoom adatkezelési szabályzata jogot ad arra, hogy a felhasználók adataival a saját belátásuk szerint bármit meg tudjanak tenni. Ez bizony komoly adatvédelmi öngól, még ha feltételezzük is azt, hogy ezt a szolgáltatás-fejlesztéshez, illetve marketinghez, és nem rosszhiszeműen használják fel. Azonban a Zoom adatvédelmi és biztonsági politikája szinte semmiben sem különbözött a nagy konkurensek 1-2 évvel ezelőtti szabályzataitól.
Akkor miért támadják mégis ilyen hevesen? A válasz egyszerű, már-már triviális. Üzleti érdekből. Hiszen a nagy riválisok nem akarnak engedni egy újonnan jövő konkurenciát megerősödni, hiszen az durván belenyúlhat a piacukba.
Miért? Mert tudják, hogy az új belépő mindent visz.
Mégis, mi a Zoom legnagyobb hibája?
Azt hiszem, erre a kérdésre minden IT biztonsággal foglalkozó tudja a választ, de olyan triviális, hogy az már fáj. Természetesen:a felhasználó képzetlensége.
A legtöbb támadást úgy követhették el a Zoom ellen, hogy a felhasználó képzetlenségét használták ki. Az emberek számos esetben maguk segítették a hackereket vagy a trollokat a konferenciák megzavarásához azzal, hogy nem tartották be az alapvető biztonsági szabályokat, ők maguk tették közzé a meeting ID-t, vagy estek csapdájába egy u.n. adathalász támadásnak – és léptek be hamis csoportokba.
Hogy? Mit? De nekem nem mondta senki …
Természetesen a programnak is változtatnia kell, hogy nehezítse a felhasználók képzetlenségének, hiszékenységének kihasználását. Ez úgy gondolom a fejlesztőkön nem múlott – viharsebességgel javítják a bejelentett hibákat. Eredményeképpen 2020. április 27-én hétfőn megkezdődött a program 5.0 főverziójának a kiadása. Azóta már frissítve 5.0.1-re.
A frissítés a legtöbb problémát kezelte, és olyan biztonság-politikát vezetett be (közzétéve március 29-én), amely következtében az adatvédelmi minősítése 5.0 lett, és így a legjobbak közé emelte a szoftvert.
9+1 egyszerű lépés a biztonságos használathoz
Használjon jelszóval védett értekezletet.Ezt megteheti felhasználó, csoport, vagy fiók szinten is. Ha megköveteli a találkozóhoz a jelszó megadását, csak annak ismeretében tudnak belépni a konferenciára – mint ha csak bezárnák az iroda ajtaját.
Azonosítsa a felhasználókat.Ehhez meg kell követelnie a csatlakozótól, hogy lépjen be a Zoom fiókjába. Mivel a Zoom-ot regisztráció nélkül is lehet használni, ez megnehezíti az azonosítást. Ezért követelje meg ezt a csoport gazda.
Ne engedje, hogy a házigazda előtt be lehessen lépni a konferenciába.Amíg Ön nem lép be a meghirdetett találkozóra, ez ne lehessen másoknak sem. A szigorítást a csoport számára a Fiókbeállítósok (Personal / Settings) alatt találja.
Zárolja a találkozót.Ha már mindenki megérkezett, lehetősége van az találkozó zárolására. Ehhez a Résztvevők kezelése (Manage Participants) menüben a kattintson a „More” elemre, majd válassza a „Lock” lehetőséget.
Kapcsolja ki a csatlakozott résztvevők képernyő megosztását.A Biztonság menüpontban megadható, hogy képernyő megosztást csak az értekezlet összehívója kapcsolhat. Ha erre egyébként sincs szükség, ne hagyja, hogy megzavarják az előadását.
Használjon egyedileg létrehozott azonosítót.Ha lehetséges ne használja a személyes találkozó azonosítót, mert ha az kiszivárog (pl fénykép Facebook-on), mások is megpróbálhatnak belépni a tárgyalásaira. Minden esemény előtt generáljon új azonosítót, így biztosan nem tudnak felkészülni a megzavarására.
Használjon várakozó szobát.A „waiting room” funkció remek lehetőség megszűrni a csatlakozni kívánó résztvevőket, mielőtt a tárgyalásba léphetnének. Ezzel például sorba is állíthatjuk a tárgyalópartnereket, ha szoros a program, és nem akarunk elvesztegetett időt.
A fájlmegosztásokkal bánjon óvatosan.Mivel itt ellenőrizetlen tartalmak is megjelenhetnek, inkább használjon erre specializálódott alkalmazásokat, amik maguk intézik a partner azonosítását és a tartalom ellenőrzését. Jó megoldás a OneDrive, Google Drive, Box, stb. – de ügyeljen a GDPR betartására.
A rendbontót távolítsa el az értekezletről.Ezt a „Participants” lapon a „More”-ra kattintva találja meg (Remove). A „Settings – Meetings – Basic” menüben beállítható az is, hogy egy már egyszer eltávolított résztvevő jelentkezhet-e újra a találkozóra.
Maradj otthon! Maradj Friss!
+ 1.Ellenőrizze gyakran a frissítéseket.Nincs tökéletes program, és nincs tökéletes biztonság. A fejlesztők hozzáadhatnak új megoldásokat, változtathatnak az alapértelmezett beállításokon, letilthatnak már nem biztonságos funkciókat. Az asztali alkalmazásokban a jobb felső ikonra kattintva megnyílik a menü, ahol a „Check for updates” ellenőrzi, kiadtak-e újabb verziót az alkalmazásból.
TIPP! – Próbálja ki most rögtön!
Summa summarum
A Zoom jó kis alkalmazás. Sokkal használhatóbb, mint a Skype, Teams, Jitsi Meet, stb. Nagyon ötletes megoldás benne a virtuális háttér, amitől egy rakás száradó ruha, vagy egy tömött könyvespolc előtt is nyugodtan tárgyalhatunk, háttérben a sarki fénnyel, vagy egy idilli tengerparttal.
Smart casual a’la Home Office beach edition
Könnyen és gyorsan beállítható, és remek minőségben lehet vele dolgozni.
A verziófrissítés óta óriási javulást mutat a biztonsága, így már nyugodt szívvel javaslom használatra azoknak, akiknek nem szükséges ipari kémkedés ellen védett virtuális tárgyaló -arra viszont a többi jól ismert platform sem való.
Persze számukra is van megoldás, így ők feltétlenül keressenek 🙂
ZOOM integrációs lehetőségek
Azért pedig, hogy még csak véletlenül se legyen senkinek problémája egy konferenciahívás alatt – legyen szó bármely szoftverről -, próbáljuk ki jó előre az alkalmazást, amit használni akarunk (vagy vagyunk kénytelenek), és mindenképpen nyissuk meg a Beállítások menüjét, ahol a Biztonsági lehetőségeket állítsuk be minél szigorúbbra!
Mindenkinek hatékony és problémáktól mentes tárgyalásokat kívánok!
Hogy? Mit? De nekem nem mondta senki …
