IT security update - hírek 2024. június

Jöttem, láttam, töröltem! - avagy milyen veszélyeket rejt egy alkalmazottunk távozása – IT security update: ha kell, ha nem!

Nagyon izgalmas és egyben tanulságos történet végére került pont júniusban: ítéletet hoztak egy 2022. októberi, céges jelszóval való visszaélési ügyben. A konfliktus alfa-omegája egy egyszerű emberi mulasztás volt. Olyan, ami bárhol, bármikor előfordulhat, cég mérettől, iparágtól függetlenül. A visszaélő egy kirúgott férfi, akit annyira megviselt az elbocsátása, hogy bosszút akart állni. Mi is történt valójában? Egyszerű: a távozó munkatárs belépési adatai érvényesek maradtak, így azzal akkor és úgy lépett be az ex cége teszt szervereire a volt munkavállaló, amikor és ahogy csak akart.

A férfi pedig nem aprózta el: globális megsemmisítést tervezett. Célja azt volt, hogy keresztül vigye a teszt szerverek teljes törlését. A keresési előzményeiből derült ki, hogy egy olyan törlő script után kutatott, amelyet némi finomhangolással bejuttathatott volt cége IT infrastruktúrájába, óriási károkat okozva ezzel. Szám szerint 180 szervert törölt, a cég sok hónapos munkáját tette semmissé. Az akciót hétvégére időzítette, amikor tudta, hogy nem fogják leállítani azt, hisz nincs felügyelet, dedikált erőforrás azokon a napokon. A rendőrség végül elkapta a férfit és börtönbüntetésre ítélték.

Az eset jól mutatja, hogy mennyire fontos és elmaradhatatlan feladat egy szervezet kiberbiztonságának fokozása érdekében a hozzáférések kezelése és a megfelelő eljárási rendek alkalmazásának kialakítása. Ha van lehetőségünk, akkor érdemes különböző beléptetési rendszereket vagy akár shadow IT, PAM megoldásokat alkalmazni, hogy elkerüljük az akár súlyos pénzügyi vonzattal is járó, hasonló fejfájásokat... A folyamatos IT security update segíthet minket a cégünkhöz mért legjobb, legaktuálisabb, leggyorsabban implementálható lehetőségek megtalálásában.

A hirdetések megítélésében, ez a támadási forma se segít pozitívan – IT security update nélkül nem jutsz előre

Egy manapság egyre többet alkalmazott támadási formára szeretnénk felhívni a figyelmeteket. Könnyen előfordulhat, hogy ti is találkoztatok vagy fogtok találkozni ezzel, úgyhogy érdemes nyitott és figyelő szemekkel internetezni. A támadás a google hirdetéseit használja ki, jelen példában pedig a meta quest oldalát. A támadási folyamat lényege, hogy a fertőzött oldalt annyira optimalizálják a kereső motorra, hogy az minél feljebb és feljebb kerüljön a keresési eredményekben. Ez annyit jelent, hogy akár, esetlegesen még hirdetésként is megjelenhet, így elérve azt, hogy az első 5 találat közé kerüljön az az oldal, ami megtévesztésig hasonlít az eredetire. Ezt az eljárást SEO poisoning-nek hívjuk, és egyre nagyobb veszélyt jelent (főleg, hogy az előző hónapban tudódott ki sok információ a google search engine működéséről is).

Nem különösebben kell részletezzük, milyen egyszerűen palizza be a felhasználókat egy ilyen fake találat: a meta quest oldalát lemásolva nem szakavatott szem, észre se venne különbséget és bátran rákattintana az oldalon elhelyezett letöltésre. Ez a  letöltés azonban más, nem a megszokott módon zajlik le: egy zip fájl landol a gépünkön, ami pedig egy windows batch fájlt tartalmaz.

Ennek a batch fájlnak a dolga, hogy a command-and-control szerverről letöltse a következő batch fájlt, ami pedig majd a többit tölti le. És itt még nincs vége... időzített feladatokat hoz létre a windows-on, hogy a batch fájlok különböző időben induljanak el, így elkerülve az észrevehetőségüket. Ezen kívül ad revenue-t gyárt a támadók számára, mindezt persze elmaszkolva, hogy észre ne vegyék az áldozatok: képernyőképeket készít és küld a támadóknak, valamint billentyűzet parancsokat ad ki a végfelhasználó tudta nélkül.

Hasonló támadással egy másik káros tevékenységet is végeznek, hogy egy Hijack Loader-t juttassanak el az áldozat részére, ami pedig egy Vidar Stealer fertőzésig vezet.

Mindenkit ösztönöznénk arra, hogy legyen IT security update: nem érdemes beleszaladni a dinamikusan fejlődő kibertérbe avítt, poros tudással...

Amerika betiltja a Kaspersky-t...mi áll a háttérben?

Amerika betiltotta a Kaspersky értékesítését, sőt, még a frissítések kiadását is az ország egész területén. A súlyos döntés meghozatalának a hátterében az áll, hogy adatszivárgástól tartanak, úgy vélik, hogy komoly nemzetbiztonsági kockázatot jelent az orosz víruskereső szoftvereket gyártó Kaspersky.

A szankcionálás szigorú: ez év július 20-án életbe lép az intézkedés, szeptember végétől pedig nem adható ki egyetlen frissítés sem a már meglévő ügyfeleknek.

A Kaspersky tagadja, hogy valaha is részt vett volna információk kiadásában és minden erejével azon lesz, hogy ezt be is tudják bizonyítani. Információk szerint bírósági eljárást is készülnek indítani.

A fókusz most az, hogy: a bejelentéstől számított 30 napig lehet új üzletet kötni, a már meglévő felhasználók pedig szeptember végéig számíthatnak frissítésre.

Microsoft IT Security (update) szemszögből?

Cikkeink többségében sokat olvashattok a Microsoftról, ami globális elterjedése és piaci szerepe miatt megkerülhetetlen, hiszen globális szinten megannyi cég infrastruktúrájának nagyon nagy százaléka, valamilyen Microsoft termék.

A cég egyik hajtómotorja a folyamatos fejlesztés, megújulás, a felhasználói élmény tökéletesítése és az IT infrastruktúrák biztonságos menedzsmentjének támogatása. Mindig próbál újat hozni számunkra. Egyik ilyen, új, IT security update dobása a Recall funkció, ami végül elég megosztó lett a szakértők, felhasználók körében is.

A funkció lényege, hogy minden másodpercben képernyőképet készít a tevékenységünkről, azokat a képeket felhasználva pedig a mesterséges intelligenciával rendelkező gépek, jelen esetben a Copilot+ gépei felhasználják tanulásra.

Sokan ezt egyenesen rémálomnak tartják, főleg, hogy az első bejelentés alatt, a funkció kikapcsolásának lehetőségét még csak meg se említették. Azóta a Microsoft tisztázta a felmerülő adatbiztonsági kérdéseket és változtattak az eredeti terveken.

Jelenlegi állás szerint a Windows Insider keretein belül fogják tesztelni a program működését és a visszajelzésekkel pedig finomhangolják annak működését. A Microsoft külön kiemelte, hogy a program nem fogja a Microsoftnak elküldeni a készített képeket, vagy a tanult információkat, mert azok a hardware-n tárolódnak majd.

Legyetek résen... minden más esetben pedig kattintsatok az alábbi gombra és vegyétek fel velünk a kapcsolatot.

Szerző: Glatz Attila, filter:max IT biztonsági rendszermérnök