Híreink

Híreink

IT Biztonsági hírek – átverések, sérülékenységek, ransomware támadások

Aktuális válogatásunkból tájékozódhat, mennyire sokrétű fenyegetéseknek van kitéve minden vállalati hálózat és adatvagyon. A hamisításhoz használható videómanupilációtól az elterjedt hardver és szoftver rendszerek biztonsági sérülékenységein át egészen a zsarolóvírusok legújabb generációjáig mindenből került a terítékre az utóbbi pár hónapban. A 4iG IT biztonsági csapata és menedzselt szolgáltatásai (így a hálózati Határvédelem csomagja) is jelentősen csökkenti a kockázatokat a hasonló fenyegetések esetében.

FAKE news

A technika fejlődése és a hatalmas erőforrások könnyű, olcsó hozzáférhetősége lehetővé teszi egy nem teljesen új, de mostanára egyre kifinomultabb csalás, illetve álhír terjesztési módszer alkalmazását. A „FAKE” egy olyan módszer, amivel egy valós fénykép vagy videó módosítható úgy, hogy arról szinte csak a kifejezetten fake-ek felismerésére fejlesztett alkalmazás tudja megállapítani annak valódiságát. Miről is van szó? Főleg olyan személyekről készülnek ilyen felvételek, akikről elég nagy adatállomány áll rendelkezésre, mondjuk videó. A videó módosításához egy alkalmazás az eredeti felvételt a módosító személy arcmozgása alapján a videón szereplő személy arcmozgására illeszti, tehát például az Amerikai Egyesült Államok Elnöke úgy beszél ahogy azt mi szeretnénk. De ez még semmi. Megfelelően nagy adatmennyiség rendelkezésre állása esetén a hangot is képes módosítani. A technika persze nem erre lett kifejlesztve, hanem a filmipar részére. Nem nehéz elképzelni, hogy milyen visszaélésekre adhat okot az ilyen technika rossz kezekben.

Újabb CISCO sérülékenységek

Nem indult jól az első negyedév a CISCO számára. A GovCert a legutóbbi 2018.12.19-ei „Magas” súlyossági besorolású Cisco Adaptive Security Appliance (ASA) szoftver sérülékenysége után idén már harmadszor került fel a listára. Elsőként rögtön január elején, akkor a Cisco AsyncOS Software for Cisco Email Security Appliance szoftver kritikus és magas besorolású sérülékenysége vált ismertté. Ezt kihasználva egy nem hitelesített támadó DoS támadást idézhet elő a CPU 100 %-ra terhelésével, melyet akár folyamatosan fent is tarthat. Január végén a routerek sérülékenységéről számoltak be (Cisco Small Business RV320 és RV325 Dual Gigabit WAN VPN Routerek 1.4.2.15-1.4.2.19.), melyben tetszőleges kód futtatása és jogosultság kiterjesztés, ezen kívül érzékeny adatok megszerzése válik elérhetővé.) Februárban ismét sérülékenység látott napvilágot, melyben a Cisco Network Assurance Engine (NAE) volt érintett. A NAE jelszókezelő rendszerébe alapértelmezett adminisztrátori jelszóval bejelentkezve a CLI-n (Command Line Interface) keresztül a támadás során a támadó érzékeny adatokhoz férhet hozzá, valamint DoS támadást hajthat rajta végre.

Mindhárom esetben a gyártó rövid időn belül gondoskodott a biztonsági hibák megszűntetéséről, frissítések kiadásáról.

Hibát fedeztek fel az Ubiquiti hálózati eszközben

Újabb hálózati eszköz sérülékenységét jelentették be, ezúttal az Ubiquiti esett áldozatul, mely következtében sikeres támadások zajlanak az ilyen eszközökkel rendelkező szervezetek ellen. A sérülékenységről a gyártó már tavaly nyár óta tud és dolgozik a firmware javításán, addig átmeneti megoldásként az eszközök adott portjának (10001-es UDP) internet felőli tiltását. Az érintett eszközök számát közel félmillióra becsülik.

Továbbra is hasít a Dharma ransomware

A Dharma-val először 2016 év végén találkoztak a biztonsági szakemberek. Semmi extra, de mégis más, mint a nagytöbbség a ransomware-ek világában. A vírus ugyanis nem a megszokott módon terjed e-mailben vagy weboldalon keresztül, hanem távoli asztali kapcsolattal (RDP). A módszer lényege, hogy már korábban megszerzett hitelesítő adatokat használ fel és így jut be a számítógépekbe, szerverekbe. Innentől kezdve megkezdni áldásosnak nem mondható tevékenységét és nagyerőkkel nekilát a féltett adataink titkosításának. Természetesen a különböző variánsok mutatnak némi eltérést, de innentől kezdve a forgatókönyv ugyanaz. A titkosított fájlokat egyedi kiterjesztéssel látja el, majd szorgos munkáját befejezve jelentkezik a felhasználónál és jelzi, hogy mit kell tenni az adatok visszaállításához. A bűnözők, hogy megnyugtassanak minket felajánlanak egy egyszeri vissza nem térő alkalmat arra, hogy egy maximum 1 MB méretű fájlt teljesen ingyen dekódolnak. Amennyiben ez meg is történik, továbbra sem garancia, hogy a fizetés után lesznek olyan kedvesek és valóban visszaállítják az adatainkat.

Az egyetlen megoldás: Tegyünk ellene, hogy áldozattá váljunk! Építsük fel az információbiztonsági irányítási rendszerünket és lássuk el megfelelő védelemmel az infrastruktúránkat. Legyen naprakész vírusvédelmünk, legyünk tisztában a sérülékenységeinkkel, megfelelő szilárdságú tűzfalat és tűzfalszabályokat alkalmazzunk, legyen megfelelő mentésünk és legyen folyamatos a kollégák biztonságtudatossági viselkedése, képezzük őket!

PDF olvasó alkalmazások sérülékenysége

Több PDF olvasóban is olyan sérülékenységet találtak melyek segítségével a dokumentumok anélkül módosíthatók, hogy az aláírásuk érvényüket veszítenék. A németországi Ruhr-Universität Bochum hallgatói összesen 22 PDF olvasónál fedezték fel a sérülékenységet, érintett többek között az Adobe Reader, a Foxit Reader, és a LibreOffice is, az online szolgáltatások között pedig a DocuSign, az eTR Validation Service, a DSS Demonstration WebApp, az Evotrust, valamint a VEP.si. Az érintett gyártók többsége megtette a szükséges intézkedést és frissítést adott ki.

Büntetés a CIA-től, adó-visszatérítés a NAV-tól

Továbbra is megtesznek mindent a bűnözők azért, hogy valahogy megtévesszék, átverjék az embereket. Most a CIA (Central Intelligence Agency) nevében küldenek megtévesztő zsaroló e-mailt valamint adókedvezménnyel kecsegtetnek a NAV (Nemzeti Adó- és Vámhivatal) nevében.

Az előbbinél angol nyelvű e-mail érkezik, melyben félelmet próbálnak kelteni azzal, hogy tiltott tartalmú – jellemzően pornográf - oldalt látogattunk meg, ismerik a személyes adatainkat és ismerőseinket. Az e-mail tartalmaz egy Bitcoin tárca azonosítót. Az, hogy mi összefüggés van aközött, hogy fizetni kell és ismerik az ismerőseinket, már alapból gyanúra adhat okot, hiszen logikusan gondolkodva nincs értelme sem a vélt büntetett tartalomról, sem a büntetésről tájékoztatni az ismerőseinket, tehát zsarolással próbálnak pénzt kicsikarni, ami nem a CIA jellemzője. A sikeressége ennek a csalásnak abban rejlik, hogy olyan emberi reakciót váltanak ki az áldozatból, aminek következtében az üzenet mélyebb értelmezését és a logikai hibák észrevételét eltompítja a félelem.

A NAV-os átverés már logikailag kicsit kifinomultabb, ugyanis ennél adó-visszatérítésről tájékoztatnak bennünket. Amiről könnyen felismerhető az átverés, hogy a megfogalmazás szövege nem kellő körültekintéssel lett megfogalmazva, felismerhetők benne a nyelvezeti hibák. Másik árulkodó jel, hogy a weboldal, ahova át szeretne minket irányítani nem a NAV hivatalos honlapjára, de még csak nem is hasonlóra mutat. Ennek ellenére a felület amire átküld, szépen kivitelezett, kellő gondossággal megszerkesztett a hivatalos oldalhoz hasonló kinézetű.

LockerGoga

Idén januárban újabb malware ütötte fel a fejét. A LockerGoga nevű zsarolóvírus eddigi áldozatai között szerepelnek a francia Altran, a norvég Norsk Hydro valamint az amerikai Hexion, és Momentiv vállalatok. A vírus a leghatékonyabb módon terjed, gyanús e-mailekben. Az informatikai rendszerek blokkolásán túl e-mail fiókokat is tönkretett. A víruselemzéssel foglalkozó szakértők szerint a sikeressége ellenére a vírus nem rendelkezik a hálózaton való tovább terjedéshez szükséges beépített mechanizmussal, valószínű az Active Directory-n keresztül terjedt el.

A legfrissebb információk alapján a néhány variáns esetében megelőzhető a fájlok titkosítása, ugyanis enkriptálás előtt átnézi a merevlemezt, hogy listát készítsen a titkosítandó fájlokról. Ha közben olyan kiterjetszésű fájl-ra bukkan a legutóbb megnyitott elemeket (Recent Items) tartalmazó könyvtárban, aminek .lnk a kiterjesztése és érvénytelen hivatkozást tartalmaz, megszakítja a műveletet.

A későbbi variánsoknál már inkább a károkozást tartják valószínűnek, mert a futásakor automatikusan kijelentkezteti a felhasználót, így az a zsaroló üzenet elolvasását sem tudja megtenni.

Klincsok János
4iG IT biztonsági szakértő

Tovább a Havidíjas menedzselt szolgáltatások weboldalra.
SAP tanácsadó céget vett a 4iG

SAP tanácsadó céget vett a 4iG

Új leányvállalattal és üzletággal bővül a 4iG Nyrt. Az informatikai társaság a Budapesti Értéktőzsdén (BÉT) jelentett be…

Bővül a FINTECH hazai szereplőinek együttműködése

Bővül a FINTECH hazai szereplőinek együttműködése

A 4iG-t az Elektronikus Fizetési Szolgáltatók Szövetségének tagjává választották…

Megújult a Zabbix, a 4iG IT Távfelügyelet szolgáltatási platformja

Megújult a Zabbix, a 4iG IT Távfelügyelet szolgáltatási platformja

Megjelent a Zabbix nyílt forráskódú monitoring rendszerének 4.2-es verziója, amely több hibajavítást illetve új funkciókat tartoga…