Security Week 13: безопасность при работе из дома

Security Week 13: безопасность при работе из дома
7ccd1b8791e54fed012a2b11a1d1f352.jpeg
Новостная повестка прошлой недели в сфере информационной безопасности уверенно переместилась из области условных «компьютерных вирусов» к реальным, передающимся воздушно-капельным путем. Сотрудники множества компаний, способные выполнять свою работу удаленно, теперь связаны с коллегами и офисной инфраструктурой чисто номинально. Нельзя сказать, что переход проходит гладко, хотя очень много задач всегда можно выполнять не на рабочем месте, а из любой точки мира с более-менее надежным интернетом.

На прошлой неделе издание Threatpost собрало отзывы специалистов по безопасности о рисках удаленки. Главное: IT-специалисты в условиях массовой работы сотрудников из дома имеют куда меньше контроля над инфраструктурой. Понятие «периметра корпоративной сети», и до этого бывшее достаточно условным из-за массового использования облачных сервисов, стало и вовсе призрачным. В лучшем случае ваши коллеги будут работать с корпоративного ноутбука, с политиками безопасности и защитным ПО, подключаясь по VPN. Но не исключен вариант использования домашнего ПК, смартфона, планшета с подключением по сети Wi-Fi с непонятной защитой.

Естественно, ситуацией пытаются воспользоваться киберпреступники, и осложняется она тем, что в домашних условиях коллеги будут гарантированно отвлекаться — на бытовые хлопоты, на детей, не пошедших в школу, и так далее. Работы при этом становится не меньше, а больше, и шансов не распознать фишинговое сообщение заметно прибавляется.

К этим проблемам добавляются еще и чисто технические вопросы поддержания инфраструктуры. Если в компании внедрены облачные сервисы, переход на удаленную работу будет почти бесшовным. А если по каким-то причинам нужен доступ к локальным сервисам? У всех ли сотрудников есть необходимые права? Обучены ли они доступу к системе? Выдержит ли VPN-сервер большое число одновременных соединений, если он проектировался только под командировочных? Тут не до образовательных инициатив — удержать бы оборудование на плаву.

Характерный пример кибератаки в самый неподходящий момент произошел две недели назад в университете Оттербейна в Огайо, США. Прямо в процессе перевода всех студентов на удаленное обучение организация стала жертвой атаки вымогателя-шифровальщика. Деталей в сообщении не приводится, но можно предположить: в худшем случае трудно будет даже связаться с большим количеством людей, чтобы уведомить их о доступности инфраструктуры. Или еще серьезнее: принудительная замена паролей, которую уже нельзя провести, просто собрав всех в помещении университета.

Эксплуатировать тему коронавируса в спам-рассылках и фишинговых атаках киберпреступники начали еще в феврале: так происходит с любым резонансным событием. Например, вот разбор кампании, распространяющей под видом «рекомендаций для защиты от вируса» банковский троян Emotet . Еще одно исследование с подробностями спам-рассылки опубликовали специалисты IBM.


3b25442d585f60f94f208e87d200bca8.jpeg

Другую тематическую атаку обнаружили эксперты Check Point Research ( новость , исследование ). Рассылка по государственным организациям в Монголии с приложенным RTF-файлом эксплуатировала уязвимость в Microsoft Word и устанавливала на систему бэкдор с широким набором функций. Организаторы атаки, ранее замеченные в подобных рассылках на территории России и Белоруссии, получали полный контроль над компьютерами жертв, устраивали слежку с регулярными снимками экрана и загрузкой файлов на командный сервер.

И это все не считая атак «по площадям», например от имени Всемирной организации здравоохранения, с призывами то скачать какой-нибудь документ, то отправить пожертвование. Сотрудникам ВОЗ пришлось распространить документ , предупреждающий о мошенниках, ставших особенно активными с началом эпидемии. Здесь описан пример рассылки кейлоггера от имени организации.

f71c8b57f40c59ad2c4d1b40bd7ae4e6.png

Где у этой эксплуатации по-настоящему важных тем в криминальных целях находится, так сказать, дно? Наверное, сейчас это атаки на медицинские организации, больницы и госпитали, где от подключенного к Сети и подчас уязвимого оборудования зависят жизни людей. Микко Хиппонен из F-Secure в Твиттере приводил пример атаки не на больницу, но на местную организацию, информирующую население («наш сайт не работает, пишите на почту»).

3ab9527e55a1e93e56cdab1ae2af7db5.png
Вернемся к корпоративной обороне в условиях повальной удаленки. В блоге «Лаборатории Касперского» приводятся другие примеры эксплуатации темы коронавируса. Назойливый спам с фишинговыми ссылками или подготовленными вложениями переключился на тему коронавируса («посмотрите информацию о задержке поставок»). Пошли таргетированные рассылки якобы от госструктур с требованиями каких-то срочных действий. Методы противодействия таким кампаниям в условиях карантина не изменились, просто расширились возможности для атаки, эксплуатирующие как менее защищенную домашнюю инфраструктуру, так и общую нервозность.

Что делать? Прежде всего, сохранять спокойствие и не поддаваться панике. Другой пост в блоге «Лаборатории Касперского» суммирует рекомендации по защите «удаленщиков». Для аудитории «Хабра» они очевидны, но поделиться с менее подкованными коллегами стоит.

  • Используйте VPN.
  • Поменяйте пароль для домашнего роутера, убедитесь, что ваша сеть Wi-Fi защищена.
  • Используйте корпоративные инструменты для совместной работы: часто бывает, что человек привык к какому-то другому сервису для веб-конференций, обмена файлами и так далее. Это еще больше затрудняет IT-отделу контроль над событиями.
  • И наконец, блокируйте компьютер, когда покидаете рабочее место. Не обязательно потому, что в ваш дом проберется корпоративный шпион. А хотя бы для того, чтобы на важный конференц-звонок случайно не ответили дети.
Что еще произошло:

Adobe выпустила внеочередной патч для своих продуктов, закрывающий 29 критических уязвимостей, из них 22 — в Adobe Photoshop. Еще одна важная рекомендация для удаленной работы (и не только для нее) — не забывать устанавливать обновления.

077e77f8922d39e1aa4ac75394f6417b.png

Новые горизонты использования нестандартных символов в доменных именах для фишинга и других недобрых дел. Краткое содержание поста: ɢoogle и google — это разные вещи.

Научное исследование с анализом телеметрии, отправляемой популярными браузерами. Спойлер: Microsoft Edge получает от пользователей больше всего статистики, в том числе уникальные постоянные идентификаторы.

Недавно обнаруженные уязвимости в устройствах NAS компании Zyxel эксплуатирует очередной ботнет.

История в деталях: как исследователи нашли (а Microsoft потом успешно исправила) серьезную ошибку в конфигурации облачного сервиса Azure. Телеметрия с токенами доступа отправлялась на несуществующий домен.
vpn здравый смысл карантин
Alt text

Anonymous объявили войну Илону Маску, ФБР следило за преступниками по всему миру через собственный зашифрованный чат, Apple возместила моральный вред американской студентке за слив ее интимных фото в новом выпуске Security-новостей на нашем Youtube канале.