Любители соцсетей — находка для хакеров

Подумайте дважды, прежде чем публиковать в социальных сетях селфи в офисе своей компании или групповые снимки вместе с коллегами по работе. Хакеры рыщут по интернету в поисках фото, видео и другой информации, чтобы с ее помощью лучше спланировать атаку на вашу фирму. Об этом предупреждает Стефани Каррутерс (Stephanie Carruthers), известная в киберсообществе под псевдонимом Snow. Вместе с другими коллегами по «хакерскому цеху» она входит в команду X-Force Red подразделения IBM Security, специализирующегося на вопросах информационной безопасности. По заказу других компаний они ищут пробелы в киберзащите организаций до того, как их обнаружат и используют настоящие злоумышленники.

Каррутерс собирает в интернете данные, выложенные сотрудниками компаний в открытый доступ, звонит персоналу по телефону и с помощью приемов социальной инженерии выуживает у них различные сведения, в том числе и те, что позволяют проникнуть в офис организации.

Социальные сети и опубликованные в них фотографии — настоящая «золотая жила» для получения такой информации. Чего только не рассмотришь на заднем фоне снимков, сделанных в компаниях — от пропусков сотрудников в офис до незаблокированных экранов ноутбуков и приклеенных листочков-напоминалок с записанными на них паролями к Wi-Fi.

В статье для онлайн-журнала Fast Company, Каррутерс рассказала, как на первый взгляд безобидные публикации в соцсетях делают компанию уязвимее и облегчают работу хакерам.

Не секрет, что самое слабое звено в системе кибербезопасности организаций — это сотрудники. За технической или программной уязвимостью нередко стоит человеческий фактор. Особенно это касается молодых специалистов и новичков, проходящих в компании стажировку или недавно занявших должность. По словам Каррутерс, в 75 процентах случаев нужную ей информацию она получает именно от таких сотрудников.

Любители соцсетей - находка для хакеров

Молодые люди, приходящие сегодня в компании, выросли на соцсетях и привыкли выкладывать в интернет буквально все. А уж стажировка или новая работа — такая замечательная новость, чтобы ею поделиться. Ситуацию усугубляет то, что компании нередко проводят тренинги по кибербезопасности с новым персоналом лишь недели, а то и месяцы спустя после приема на работу. Вот вам и готовый рецепт уязвимости.

Зная это слабое место и несколько расхожих хэштегов, таких как #firstday, #newjob или #intern + [#companyname] (#первыйденьнаработе, #новаяработа, #стажировка + [#названиекомпании]), Каррутерс всего за несколько часов может найти в соцсетях массу полезной для хакера информации.

Многие не задумываются, что публикуя собственные и коллективные фотографии на рабочем месте, во время перерыва и какого-то корпоративного мероприятия, они раскрывают о себе больше информации, чем планировали. На фото могут случайно попасть различные детали, например, постеры и офисные доски с записями, которые хакер может использовать в своих интересах. Например, заметив на снимке постер с объявлением о скором проведении командного турнира по софтболу, киберзлоумышленник может отправить сотруднику электронное письмо со ссылкой якобы на расписание игр. Скорее всего, сотрудник не заподозрит ничего плохого и кликнет по линку… на самом деле вредоносному.

Также Каррутерс множество раз находила в соцсетях снимки, на которых крупном планом видны бейджи сотрудников, служащие пропуском в офис. Такие фото чаще всего публикуют новички и стажеры, когда выкладывают свои селфи в первый рабочий день. Зная, как выглядит бейдж, нетрудно изготовить дубликат и с его помощью проникнуть в офис.

Любители соцсетей - находка для хакеров

«Всего за несколько минут я могу скопировать бейдж изготовить дубликат, заменив на нем фото сотрудника на свое. Да, электронную систему таким пропуском не обмануть, но вы не представляете, как просто пристроиться за кем-то в хвост на проходной и зайти в компанию, просто помахав бейджем в воздухе перед охранником. Главное при этом уверенно улыбаться», — рассказала Стефани Каррутерс о своем опыте.

Но настоящая находка для хакеров — это сотрудник-видеоблогер, решивший опубликовать ролик на тему «день в офисе». По записи можно узнать и планировку здания, и места, где действует пропускная система. По схемам на офисных досках, которые случайно окажутся в кадре, можно изучить и планы компании. В общем, попадись такой ролик злоумышленнику — и считай, он сам побывал в офисе.

Кроме того, по изображениям на экранах офисных компьютеров можно понять, какой антивирус и другое программное обеспечение используются в компании. Зная это, хакер может изготовить персонализированное вредоносное ПО, замаскированное под обновление для одного из офисных приложений.

Киберпреступники также могут воспользоваться информацией об имеющихся в компании проблемах. Выяснить, чем недовольны сотрудники, позволяют такие онлайн ресурсы, как Glassdoor, сайты поиска работы и, конечно, обсуждения в соцсетях.

Любители соцсетей - находка для хакеров

Каррутерс с помощью таких сведений однажды устроила успешную фишинговую рассылку. В одной из компаний, киберзащиту которой тестировала команда X-Force Red, многие работники жаловались онлайн на нехватку парковочных мест. Каррутерс написала электронное письмо, в котором компания якобы разъясняла новую политику паркинга и предупреждала, что автомобили, оставленные не на своих местах, будут эвакуироваться. Метод социальной инженерии сработал на ура: взволнованные новостью о выделении мест для стоянки и напуганные тем, что машину может забрать эвакуатор, многие сотрудники открывали вредоносное вложение к письму, выполненное в виде схемы парковки.

«В следующий раз, прежде чем делиться чем-то в соцсетях, подумайте, не пригодится ли эта информация хакерам», — посоветовала в заключении Стефани Каррутерс.

«Умный» дом с точки зрения уязвимости: разбираемся с векторами и механиками атак

Пока визионеры разного масштаба, авторы сценариев антиутопических фильмов и хайтек-сериалов и прочие выдумщики и алармисты рисуют разной степени убедительности картины о восстании «умных» устройств или применении смарт-дома как орудия убийства или терроризма, специалисты по кибербезопасности и хакеры выходят на новую линию соприкосновения. И речь идёт о реальных и уже (относительно) массово применяемых устройствах, реальных уязвимостях в них и реальных, испытанных способах использовать эти уязвимости в недобрых целях. Вот зачем и как.

Пару лет назад в Мичиганском университете провели исследование модельного «умного» дома, ходе которого было установлено и подключено к интернету 18 разных устройств: кровать, светильники, замки, телевизор, кофеварка, зубная щётка и прочее. Одной из главных целей исследования было выявление основных уязвимостей интеллектуальных систем управления домом. В частности, тестировали продукцию компании с говорящим названием SmartThings.
После проведения множества разнородных атак на устройства этого «умного» дома, специалисты зафиксировали два основных типа уязвимости: избыточные разрешения и небезопасные сообщения.

По части избыточных разрешений или прав выяснились довольно странные и недопустимые вещи: около половины установленных приложений обладают доступом к гораздо большему количеству данных и возможностей, чем это необходимо. Кроме того, при взаимодействии с физическими устройствами приложения обменивались сообщениями, в которых содержались конфиденциальные сведения.

Так, приложение для контроля уровня заряда автоматического замка получало ещё и PIN-код для его разблокировки. Программное обеспечение некоторых «умных» устройств генерировало сообщения, похожие на реальные сигналы от физических устройств. Такой подход давал злоумышленникам возможность передавать в сеть недостоверную информацию. В результате пользователь, например, мог быть уверен, что дверь заблокирована, а она на самом деле открыта.Такой подход давал злоумышленникам возможность передавать в сеть недостоверную информацию. В результате пользователь, например, мог быть уверен, что дверь заблокирована, а она на самом деле открыта.

Помимо избыточных разрешений и небезопасных сообщений, вскрылась ещё одна существенная проблема — передача конфиденциальной информации на серверы компаний, занимающихся технической поддержкой этих устройств. То есть гаджеты «следили» за своими хозяевами, ежеминутно отправляя информацию об их взаимодействиях с устройствами на сервер. Благодаря этой информации можно восстановить точный распорядок дня жильцов — когда они проснулись, почистили зубы, сколько и какие телевизионные каналы смотрели. За два месяца исследований того «умного» дома в цифровом эфире не было ни одной минуты тишины. Кстати, больше всего «фонила» передачей данных акустическая колонка Amazon Echo, что довольно символично.

Не обошлось и без классики в сфере информационной безопасности — бэкдоров. Часто разработчики оставляют для себя «чёрный ход», который позволяет получить полный доступ или контроль над устройством. Производители оправдываются необходимостью предоставлять техническую поддержку пользователям, однако такие создание таких намеренно созданных уязвимостей противоречат практикам защиты информации и являются самой настоящей уязвимостью. То, что практически все производители ПО этим грешат, подтверждается следующим фактом – на конференции Hope X эксперт по ИТ безопасности Джонатан Здзярски (Jonathan Zdziarski) сообщил о присутствии бэкдора в операционной системе iOS, существование которого признала и сама Apple, но назвала его «диагностическим инструментом».

Очевидно, что многие, если не все, производители и компонентов «умного» дома оставляют для себя «чёрный ход». Следовательно, это потенциальная дыра в безопасности всего «умного» дома, к любым устройствам которого злоумышленник имеет потенциальную возможность подключиться.

Как видим, уязвимостей на аппаратном уровне или на уровне программного обеспечения хватает. Теперь давайте рассмотрим, как страдают от рук хакеров его отдельные его компоненты.

Атаки на «умные» замки

Тот факт, что закрытую дверь можно открыть не только ключом, а, например, с помощью кода или Bluetooth-сигнала с телефона, уже не вызывает у нас удивления, и многие уже пользуются такой возможностью.

Но так ли безопасны и способны противостоять вскрытию «умные» замки, как обещают их производители? Что произойдёт, когда за испытание их непроходимости возьмутся хакеры-профессионалы? А вот что: несколько лет назад на хакерской конференции DEF CON 24 исследователи Энтони Роуз (Anthony Rose) и Бен Рэмси (Ben Ramsey) из Merculite Security рассказали, как в рамках эксперимента проводили атаки на шестнадцать моделей смарт-замков. Результат оказался довольно неутешительным: только четыре смогли устоять перед взломом.

Замки одних вендоров передавали пароли доступа открыто, в незашифрованном виде. Так что злоумышленники могли легко их перехватить, используя Bluetooth-сниффер. Несколько замков попались на методе повторного воспроизведения: дверью можно было манипулировать при помощи заранее записанных сигналов соответствующих команд.

В свете распространения всевозможных голосовых помощников всё более актуальным становится и взлом умного замка через голосовые команды. Несколько лет назад выяснилось, к примеру, что если хозяйский гаджет лежит достаточно близко к закрытой двери, то достаточно громко произнеся через дверь «Привет, Сири, открой дверь», и вас могут впустить.

Распространённым сценарием взлома большинства «умных» замков является следующий: при получении посторонним лицом физического доступа к замку нажатием кнопок на нём можно произвести авторизацию любых гаджетов.

Другой интересный эксперимент исследователей из Pen Test Partners был посвящён проверке защищённости замков марки Tapplock. Как выяснилось, их можно разблокировать и без отпечатка пальца владельца. Дело в том, что коды разблокировки генерируются на основании MAC-адреса устройства в сети BLE. А поскольку адрес преобразуется с использованием устаревшего алгоритма MD5, то он легко может быть выяснен. Поскольку Bluetooth-замки имеют свойство разглашать свои MAC-адреса по BLE, то злоумышленник способен узнать адрес, «хакнуть» его с использованием уязвимости MD5 и получить хеш для разблокировки замка.

«Умный» дом с точки зрения уязвимости: разбираемся с векторами и механиками атак

Замок Tapplock, открывающийся с помощью отпечатка пальца
Источник: Tapplock

Но на этом уязвимости Tapplock не заканчиваются. Выяснилось, что API-сервер компании разглашает конфиденциальные данные пользователей. Любой посторонний человек может узнать не только о местонахождении замка, но и разблокировать его. Сделать это довольно просто: нужно завести аккаунт на Tapplock, взять ID аккаунта жертвы, пройти аутентификацию и захватить управление устройством. При этом на уровне back-end производитель не использует HTTPS. И даже не потребуется никакого взлома или необходимости брутфорсить, потому что номера ID присваиваются аккаунтам по элементарной нарастающей схеме. И ягодка на торте — API не ограничивает количество обращений, поэтому можно бесконечно скачивать пользовательские данные с серверов. И эта проблема всё ещё не устранена.

Атаки на видеокамеры

Общественные пространства современных мегаполисов обвешаны камерами, как новогодняя ёлка игрушками в приличной семье. Причём всевидящее око не просто получает живую картинку, но и разбирается в том, что на ней. Даже у нас в стране на ЧМ-2018 система распознавания лиц безошибочно отлавливала фанатов, которым был запрещён доступ на стадион.

Пока таким образом наша жизнь лишается какой-либо приватности, остаётся дожидаться, когда злоумышленники подберут ключи к «глазам» видеонаблюдения. И банальный вуайеризм будет не единственной и не главной мотивация хакеров для взлома видеокамер. Часто их ломают с целью создания ботнетов, используемых при проведении DDoS-атак. По размерам такие сети часто не уступают, а то и превосходят ботнеты из «обычных» компьютеров.

Причин уязвимости у видеокамер несколько:

  • слишком простой или морально устаревший механизм защиты;
  • стандартные пароли, часто находящиеся в открытом доступе в интернете;
  • при подключении к камерам через «облако» клиентские приложения шлют данные в незашифрованном виде;
  • неизменяемый мастер-пароль от производителя.

Часто камеры атакуют методом man-in-the-middle, встраиваясь между клиентом и сервером. Таким способом можно не только читать и изменять сообщения, но и подменять видеопоток. Особенно в тех системах, где не поддерживается протокол HTTPS.

Так, например, линейка камер одного очень известного производителя имела прошивку, которая позволяет изменять настройки камеры с помощью обычных http-запросов без авторизации. У другого вендора прошивка IP-камер позволяла, также без авторизации, подключиться к камере и получать изображение в реальном времени.

Не стоит забывать и про широко известные уязвимости. Например CNVD-2017-02776, проникнув через которую в камеру, далее посредством EternalBlue можно получить доступ к компьютеру пользователя. Эксплоит EternalBlue, использующий уязвимости в протоколе SMB, знаком многим: именно он использовался для распространения шифровальщика WannaCry в 2017 году и в ходе атак зловреда Petya. А ещё EternalBlue был включен в состав Metasploit, его использовали разработчики криптовалютного майнера Adylkuzz, червя EternalRocks, шифровальщика Uiwix, трояна Nitol (он же Backdoor.Nitol), зловреда Gh0st RAT и т.п.

Атаки на розетки и лампочки

Бывает, что беда приходит оттуда, откуда её не ждёшь. Казалось бы, мелочь, лампочки и розетки, какая может быть выгода для злоумышленников? В качестве шутки отключить системный блок пока вы не нажали кнопку Save в любимой компьютерной игре? Или выключить свет в комнате, где находитесь вы вместе с «умным» ватерклозетом?

Однако одно то, что лампочки и розетки находятся в одной локальной сети с другими устройствами, даёт хакерам шанс поживиться довольно секретной информацией. Допустим, ваш дом освещают «умные» лампочки Philips Hue. Это достаточно распространённая модель. Однако в мосте Hue Bridge, через который лампочки общаются друг с другом, существовала брешь. И были случаи, когда через эту уязвимость злоумышленники могли дистанционно перехватить контроль над работой ламп.

Напомним, что Philips Hue имеют доступ в домашнюю сеть, где «гуляют» пакеты с различной конфиденциальной информацией. Но как её выудить наружу, если остальные компоненты нашей сети надёжно защищены?

«Умный» дом с точки зрения уязвимости: разбираемся с векторами и механиками атак
ZigBee-контролируемые светодиодные лампы Philips Hue
Источник Sho Hashimoto / Wikimedia

Хакеры сделали это так. Они заставили лампочку мерцать с частотой свыше 60 Гц. Человек этого не замечает, а вот прибор снаружи здания способен распознать последовательности мерцаний. Конечно, таким способом много не «намерцаешь», но для передачи каких-нибудь паролей или айдишников вполне достаточно. В итоге, секретная информация была скопирована.

Помимо этого, в Philips не позаботились об усилении защиты при общении лампочек друг с другом в локальной сети, ограничившись только применением шифрованного беспроводного протокола. Из-за этого злоумышленники могли запустить в локальную сеть поддельное обновление софта, которое «разольётся» потом по всем лампам. Таким образом червь получит возможность подключать лампы к DDoS-атакам.

Атакам подвержены и «умные» розетки. Например, в модели SP-1101W компании Edimax для защиты страницы с настройками применялся только логин и пароль, причём производитель никак не предлагал поменять данные по умолчанию. Это наводит на подозрения, что одни и те же пароли использовались на подавляющем большинстве устройств этой компании (или используются по сей день). Добавьте к этому ещё и отсутствие шифрования при обмене данными между сервером производителя и клиентским приложением. Это может привести к тому, что злоумышленник сможет прочитать любые сообщения или даже перехватить управление устройством для, например, подключения к DDoS-атакам.

Атаки на смарт-ТВ

 

«Умный» дом с точки зрения уязвимости: разбираемся с векторами и механиками атак

Ещё одна угроза сохранности наших персональных данных кроется в «умных» телевизорах. Они теперь стоят почти в каждом доме. Причём софт телевизора куда сложнее, чем у камер или замков. Следовательно, хакерам есть где разгуляться.

Допустим, на смарт-ТВ есть веб-камера, микрофон, а также веб-браузер, куда же без него? Как в таком случае могут навредить злоумышленники? Они могут воспользоваться банальным фишингом: встроенные в ТВ браузеры обычно слабо защищены, и можно подсунуть пользователю поддельные страницы, собирая пароли, информацию о банковских картах и прочие конфиденциальные данные.

Другой, в буквальном смысле, дыркой в безопасности является старый добрый USB. Качнули видео или приложение на компе, воткнули потом флешку в телевизор – вот вам и зараза.

Кому может понадобиться знать, какие передачи пользователь смотрит и какие сайты посещает? Много кому, на самом деле. Аналитикам крупных корпораций, консалтинговых и рекламных компаний, например. И эта информация стоит приличных денег, поэтому даже производители не брезгуют встраивать в свою продукцию приложения для сбора вашей статистики.

Угроза тут заключается в том, что данные пользователя могут уйти «налево» и попасть к злоумышленникам. Например, квартирный вор узнает, что с 9 утра до 18 вечера дома никого нет, так как у владельцев телевизора есть устойчивая привычка включать его, находясь дома. Соответственно, нужно отключить в настройках сбор лишней информации и прочее журналирование действий.

А такие закладки, как вы понимаете, это дополнительные бреши для проникновения. Известна история с телевизорами Samsung: пользователи жаловались на то, что встроенная система распознавания голоса позволяет следить за всеми их разговорами. Производитель даже указал в пользовательском соглашении, что слова, сказанные в присутствии телевизора, могут быть переданы третьей стороне.

Выводы и рекомендации по защите

Как можно видеть, при создании системы «умного» дома стоит быть предельно внимательным к компонентам и их уязвимостям. Все устройства, подключенные к системе, так или иначе подвержены риску взлома. Инсталляторам и администраторам, а также продвинутым пользователям таких систем можно посоветовать следующее:

  • внимательно изучите все возможности устройства: что оно делает, какие разрешения имеет, какую информацию получает и отправляет — отключите всё ненужное;
  • регулярно обновляйте прошивку и встроенное ПО;
  • используйте сложные пароли; везде, где можно, включайте двухфакторную аутентификацию;
  • для управления «умными» гаджетами и системами используйте только те решения, что предлагают сами вендоры — это не гарантирует отсутствия брешей, но хотя бы снижает вероятность их появления;
  • закрывайте все неиспользуемые сетевые порты, а открытые защищайте стандартными методами авторизации через стандартные настройки операционной системы; вход через пользовательский интерфейс, в том числе с веб-доступом, должен быть защищён с помощью SSL;
  • «умное» устройство должно быть защищено от физического доступа посторонних.

Пользователям менее опытным рекомендации такие:

  • не доверяйте чужим людям устройства, с помощью которых вы управляете «умным домом» — если потеряли смартфон или планшет, смените все логины-пароли-ID и прочие вещи, которые могут быть извлечены посредством утерянного гаджета;
  • фишинг не дремлет: как и в случае с электронной почтой и мессенджерами, поменьше доверяйте сообщениям от незнакомцев и непонятным ссылкам.

Источник: https://habr.com/ru/company/trendmicro/blog/445538/

99492d80948ac34e8e887

Важность защиты сайтов

Доброго времени суток, друзья. Сегодня хотел бы немного поговорить о важности защиты сайтов.

Очень часто, разработчики, у которых вы заказываете создание сайта, пренебрегают основами безопасности сайта, они не ставят даже банальную защиту сайта, перед тем, как отдать сайт заказчику. Это случается по разным причинам, например: разработчик не имеет нужных знаний в области ИБ или клиенту жалко отдать лишние деньги за защиту.

Давайте разберём стандартную ситуацию:

Вы заказчик, решили сделать сайт например на WordPress, допустим вы захотели сайт-визитку с блогом. Разработчик вам не предложил защиту сайта или же предложил, но вы решили сэкономить и решили «и так сойдёт, кому я нужен», в результате, после запуска вашего сайта, боты, которые постоянно сканируют сеть, через несколько часов или дней, видят ваш сайт в сети и они видят, что он работает на WordPress, начинают сканировать его, перебирать доступ к админке. Что с вашим сайтом, могут сделать, и какие последствия для вас могут быть? Например, если получат доступ к админке, с сайтом могут сделать всё, что угодно, скопировать его, залить вредоносное ПО, использовать для DDOS атак в будущем. Допустим, у вас сайт-визитка, вы сайт продвигаете с помощью SEO, ваш сайт уже закрепился в Поисковых системах, а тут бах, вы видите, что вы сильно просели в результатах выдачи, потом оказывается, что у вас на сайте, вообще появились какие-то левые ссылки. Потом окажется, что ваш сайт, был взломан, из-за какой-то уязвимости и были прописаны левые ссылки в ваши статьи, что и повлияло на падание результатов выдачи в ПС. Также, если получат доступ к вашей Базе данных, злоумышленники могут продать данные пользователей, если они есть в вашей БД, или копию вашего сайта, могут продать кому-то. Я не стану перечислять всё, что можно сделать с вашим сайтом, т. к. таких вариантов очень много.

Несколько лет назад, была Joomla 1.5, в ней было множество sql injection, которые позволяли получить доступ к базе данных. Наверное, в то время, это была самая уязвимая CMS.

Сейчас, большинство сайтов в мире, сделано на WordPress, в котором хватает своих уязвимостей, а их ещё дополняют очень часто и много уязвимостей из различных плагинов, что упрощает злоумышленникам работу.

Моя статистика по самым уязвимым CMS:

1. WordPress;

2. Data Life Engine;

3. Joomla;

4. Drupal;

Что можно сделать, чтобы защититься? Не жалейте деньги на защиту ваших сайтов, в противном случае, вы можете потерять намного больше, чем на защиту.

Вот некоторые советы, как уменьшить вероятность взлома вашего сайта:

1. Используйте сложные пароли, к админке, фтп, БД и т. д.

2. Регулярно обновляйте вашу CMS систему и расширения к ней.

3. Старайтесь использовать минимум плагинов.

4. Регулярно делайте аудит безопасности вашего сайта.

5. Правильные права на директории.

6. Не храните данные в открытом доступе.

Если вы или разработчик, думает что спрятал стандартный путь к админке и всё, сайт уже защищён, то это не так, т. к. если злоумышленник не сможет попасть в админку, то он найдёт уязвимость в коде, которая позволит ему получить доступ.

Спасибо за внимание, надеюсь, информация будет полезна вам, а мы в следующих статьях, научим вас, как защищать свои сайты.

До встречи в других статьях. Оставайтесь вместе с нами и мы научим вас, как сохранить свою информацию.

Следите за своей информацией и берегите её!