Технологии безопасности в Windows 10. Биометрия.

01/03/2017

О технологиях безопасности в Windows 10 говорили и писали уже неоднократно. Вместе с тем стоит понимать, что до сих пор все технологии биометрии, применяемые в качестве аутентификации – это не более чем удобство. И причин тому достаточно много. В данной заметке мы поговорим об отпечатке пальца.

Использование отпечатка пальца в качестве признака аутентификации, увы, сегодня не выдерживает ни малейшей критики. Неоднократно демонстрировались атаки на датчики отпечатков пальцев с помощью муляжей. Ведь отличить живой палец от муляжа простым датчикам, встраиваемым сегодня в 99% устройств просто невозможно. Именно поэтому настройка аутентификации в Windows начинается с создания строгого, длинного и устойчивого к взлому пароля. И только потом вы сможете задать PIN-код или аутентифицироваться с помощью отпечатка пальца. Единственное, что хотелось бы рекомендовать – не забудьте, что палец можно поранить, он может быть просто грязным. Потому позаботьтесь о том, чтобы заранее отсканировать все ваши пальцы. Просто на всякий случай.


Сказки о безопасности: Сомнительный перехват

28/02/2017

http://www.pcweek.ru/themes/detail.php?ID=192784

— Иоганн, вам звонят из канцелярии императора.

— Доброе утро! Что произошло?

— У нас срочный вопрос. Газета V опубликовала статью, написанную на основании записи перехваченного телефонного разговора между руководителем департамента экономики и руководителем финансового департамента империи.

— И чем мы сможем помочь?

— Нам необходимо провести экспертизу. Чиновники утверждают, что такого разговора не было. Наши специалисты не смогли доказать подлинность переговоров, но также не смогли доказать и фальсификацию.

— Странно. Привозите запись. Но нам нужен оригинал.

— Да, конечно. Курьер уже выехал к вам.

— Макс, необходимо провести экспертизу записи.

— Хорошо. Как только привезут, мы приступаем.

Прошла неделя.

— Иоганн, увы, мы не можем ни подтвердить, ни опровергнуть подлинность. У нас есть сомнения. Впечатление такое, что голос чиновника подделан. Но для того чтобы это доказать, нам нужна аппаратура и программное обеспечение, с помощью которого синтезирован голос. А так как его нет, доказать невозможно.

— А что внушает вам уверенность, что этого разговора не было?

— Понимаете, этот звонок был на мобильный телефон. Но проблема в том, что в логах мобильного оператора он не зарегистрирован. Безусловно, это может быть просто сбой у мобильного оператора, а может и нет. Доказать, увы, мы ничего не можем.

— Получается, мы не можем сказать ни да, ни нет?

— Именно так.

На совещании у императора Иоганн предложил, чтобы все переговоры правительственных чиновников осуществлялись исключительно по шифрованной связи. Это позволит избежать подобных инцидентов, хотя и потребует больших расходов.

Увы, сегодня подделать ваш голос — не проблема. А вот подтвердить или опровергнуть подлинность уже становится проблемой. Нужно шифровать. Но шифрование аппаратное — дорого, ключи же программного шифрования могут быть похищены. Как быть? Не знаю!


Мошенничество и сбор персональных данных

24/01/2017

Когда говорят о мошенничестве в Интернет, все сразу вспоминают классический фишинг или его разновидности – смишинг, вишинг. Так как не все читатели помнят о том, что это такое, давайте вспомним определения.

Читать далее…


Ransomware. Платить или не платить?

20/01/2017

Итак, произошло несчастье. Вы стали жертвой атаки ransomware. Вирус-вымогатель зашифровал ваши данные и документы, и злоумышленники требуют деньги за разблокирование. Как только ваши данные зашифрованы то перед вами встает проблема выбора: платить или не платить. Но если даже вы оплатите, то каковы гарантии что вы вернете ваши данные? И не станет ли это началом целой череды подобных атак? Ведь вас выгодно атаковать. Вы платите. В данной заметке мы с вами попробуем понять, что же все-таки делать.

Первая проблема

Первая проблема состоит в том, а действительно ли злоумышленники удовлетворятся указанной суммой платежа в биткойнах (чаще всего злоумышленники предпочитают эту валюту). А что если они потребуют денег еще и еще? Или и того хуже. Вы заплатите, а потом выяснится, что у них ключей для расшифровки нет вообще или ваши данные просто невозможно расшифровать? Думаете это маловероятно? А что если вы заплатите и не получите ничего вообще?

Вторая проблема. Сумма выкупа

Сумма выкупа всегда будет зависеть от размера вашей организации, от того сколько компьютеров и данных затронуто. Естественно, что с большей и более богатой организации запросят больше чем с маленькой и бедной. Но скорее всего эта сумма будет не заоблачной, иначе вы точно не будете платить.

Проблема третья. Время.

Чаще всего злоумышленники будут ограничивать вас во времени принятия решения. А значит продумать стратегию поведения нужно заранее. Заранее понять будете ли вы платить вообще. Или определить максимальную сумму выкупа, которую вы готовы заплатить, а также кто будет принимать решение о возможном выкупе.

Проблема четвертая. Влияние атаки на ваш бизнес

После объединения компонента KillDisk с вирусом-вымогателем вопросы встали куда острее. Теперь вы можете получить не только заблокированные данные, но фактически полностью зашифрованный жесткий диск. Если у вас таким вредоносным ПО затронут один компьютер, то это плохо, но ведь возможно, что у вас поражена вся внутренняя сеть.

Проблема пятая. Какова политика вашей организации?

Надеюсь в вашей организации существует план восстановления после аварии? А может стоило бы в перечень возможных аварий добавить и возможное заражение ransomware? Если у вас по какой-то причине до сих пор нет подобной политики, рекомендуется как можно быстрее продумать этот вопрос. Сегодня существует масса шаблонов подобной политики и воспользоваться одним из них проблем не составляет.

Проблема шестая. Качество резервных копий

Никто не задумывался о том, а насколько хороши ваши резервные копии? Как быстро и качественно вы сможете все восстановить? Когда в последний раз вы проверяли качество копий? Существует ли у вас подробная инструкция по восстановлению?

Если у вас качественные копии и ваш персонал обучен восстановлению, то вы можете вздохнуть свободнее. Но с другой стороны, если вы восстанавливаете данные из облака или по сети, то падение канала может привести к полной невозможности восстановления. Может проще все же иметь не только облачную копию, но и набор для восстановления оффлайн?

Когда речь заходит о восстановлении данных, то первый вопрос, который задаю я, звучит приблизительно так. А есть ли у вашей ночной охраны телефоны тех, кого нужно вызвать в случае чрезвычайной ситуации. И второй вопрос. Может это будет звучать глупо, но кто оплатит вызов такси? У охраны есть на это деньги? В каком-то сейфе? И последнее. Просмотрите внимательно инструкцию по восстановлению. Она написана в комиксах? Для уровня наименее подготовленного сотрудника ИТ? Если нет – перепишите! Наиболее подготовленного может просто не быть на месте. Аварии всегда происходят неожиданно!

Проблема седьмая. Очередность восстановления

Самый главный вопрос, возникающий при создании плана восстановления – а какие данные для вас реально важны. А что можно восстановить позднее.

Но этот же вопрос возникает и при организации доступа, то есть чем важнее и критичнее данные, тем сложнее должен быть доступ к ним, а значит менее вероятно их шифрование ransomware.

Проблема восьмая и наиболее важная. Фишинг

Как правило, заражение ransomware начинается с получения фишингового электронного письма. Это своеобразная точка входа для вредоноса. Несмотря на то что обучение пользователей упрощает определение фишинговых писем, стоит признать, что чаще всего, особенно в небольших и средних компаниях обучение отсутствует как таковое.

Поэтому стоит понимать, что пока ransomware выгодно, этот вид вредоносов будет процветать. Мы с вами можем уменьшить вероятность заражения, однако исключит его полностью нельзя.

А на вопрос платить или не платить отвечать вам самим. По мне – не платить. Как решите вы, я не знаю!


Не можешь? Научим! Не хочешь? Заставим!

10/01/2017

Уже давно не вызывает особого интереса появление нового образца ransomware. Ну что может быть принципиально нового? Пути заражения? Так их не так много! Применяемые алгоритмы шифрования? Тоже весьма ограниченное количество!

Ведь на самом деле алгоритм ransomware уже достаточно хорошо изучен и может быть сведен к ряду операций ЗАРАЖЕНИЕ – ШИФРОВАНИЕ – ТРЕБОВАНИЕ ВЫКУПА – ВОЗМОЖНОЕ РАСШИФРОВЫВАНИЕ. Поиск чего-то нового сводится, как правило, к поиску путей заражения и ключей шифрования. Однако создателям ransomware под названием Koolova удалось меня удивить.

koolova

Рисунок 1  Koolova

Данный вредонос-вымогатель является разновидностью печально известного Locky и использует для шифрования комбинацию алгоритмов RSA-2048 и AES-256, то есть алгоритмов ассимметричного и симметричного шифрования. Единственные файлы на вашем компьютере, которые не будут затронуты вредоносом, важные системные файлы и файл ransom, из которого жертва может узнать о шифровании данных алгоритмов, о том, как купить bitcoin, как установить Tor браузер и так далее.

Вместе с тем, будь Koolova стандартным вымогателем, не стоило бы столько времени уделять ему. Основное отличие данного вымогателя от других состоит в том, что он не требует денег в качестве выкупа!

Основной целью Koolova как ни странно, является информирование пользователей об опасностях ransomware. То есть, создатели вредоноса не требуют от жертвы денег, они хотят, чтобы жертва прочла две статьи о вымогателях. Эти статьи — Google Security Blog Stay safe while browsing и BleepingComputer Jigsaw Ransomware Decrypted: Will delete your files until you pay the Ransom

После того, как пользователь сделает это, он получит ключ и сможет расшифровать свои файлы. А затем сможет просто удалить Koolova.

Если же жертва слишком ленива чтобы прочесть обе статьи, Koolova запускает обратный отсчет и в случае если пользователь все же отказывается читать, удаляет зашифрованные файлы, как ransomware Jigsaw.

Однако если же жертва прочтет обе статьи, кнопка расшифровки Decrypt My Files (Decripta i Miei File) становится доступной. При нажатии этой кнопки Koolova подключится к управляющему серверу (C&C) и получит ключ расшифровки.

decryption-key-retrieved

Не правда ли, весьма своеобразный подход к повышению компьютерной грамотности?


Противодействие вирусам-шифровальщикам Часть 2

10/01/2017

Напомню читателям, что в данной статье мы рассматриваем тему вымогательства с применением специальных вирусов, которые часто обозначают термином ransomware. Как было показано в первой части статьи, современные темпы развития вирусов-шифровальщиков представляют серьезную проблему, на которую нельзя не обращать внимания. Столкнувшись с шантажом, жертва оказывается перед выбором — платить либо потерять информацию. Поэтому лучше предупредить угрозу, нежели заниматься устранением последствий. Сегодня мы обсудим, как это сделать, а также рассмотрим способы борьбы с шифровальщиками.

windows_it_ro_1_2017


Девять способов защитить предприятие от программного обеспечения вируса-вымогателя

09/01/2017

https://www.pcweek.ru/security/blog/security/9240.php

В отличие от направленных атак, которые могут оставаться необнаруженными в корпоративной сети в течение многих месяцев и даже лет, влияние вируса-вымогателя проявляется сразу же.
Согласно отчета компании Symantec, количество заражений вирусами-вымогателями в 2016 году увеличилось на 35%. Вместе с тем огромную тревогу вызывает изощрённость данного вида атак. Фактически заражение вирусом-вымогателем может остановить ваш бизнес полностью и нанести непоправимый ущерб, вплоть до полного разорения.
Увы, но стоит признать, что злоумышленнику не нужно иметь много денег или ресурсов, чтобы использовать данный вид вредоносного ПО.
В качестве предварительных мер защиты компания Landesk рекомендует следующие шаги.
1. Обновите критические операционные системы и приложения
Фактически обновление ваших операционных систем и приложений всегда является первой линией обороны против любой атаки, в том числе и атаки вируса-вымогателя. Именно поэтому вы должны следить за регулярными обновлениями вашего программного обеспечения. Причем не только операционной системы, а и таких приложений как Adobe Flash, Java, веб-браузеры, Microsoft Office и прочие.
Естественно, установка обновлений является приоритетной задачей, но в то же время не нарушить работу пользователя или бизнес-процесса.
Очень многие организации боятся, что своевременное всестороннее и непротиворечивое обновлений это слишком сложно в поддержке и более того, что это может повредить работе бизнес-приложений. Однако использование последних средств управления обновлениями делает этот процесс намного проще.
2. Вы должны гарантировать проведение регулярных сканирований и своевременное обновление антивирусного ПО.
Если исправление ваша первая линия обороны, то антивирус вторая. Безусловно, вы не можете гарантировать что ваш антивирус блокирует все атаки, однако он поможет вам снизить вероятность заражения уже идентифицированным вредоносным ПО.
Но чтобы это выполнялось, вы, в свою очередь, должны позаботиться об актуальности ваших антивирусных баз и проведении регулярного сканирования вашей сети ваши антивирусом.
3. Тщательно управляйте использованием привилегированных учетных записей.
Следует признать, что эффективным барьером на пути распространения вредоносного ПО является минимизация полномочий. Живым примером является атака вируса-вымогателя «Petya», требующего для своей работы права локального администратора. Данное ПО просто не может зашифровать ваш жесткий диск, если запущено под правами локального пользователя. Но вместе с тем стоит отметить, что это не панацея. Обновленная версия того же вируса уже не требует прав локального администратора.
4. Управление доступом
Управление доступом может быть эффективным решением для защиты файлов, расположенных на общих дисках. Поэтому некоторые пользователи должны иметь право на создание и изменение файлов, а некоторые только на чтение. В конце концов большинство таких файлов – документы, создаваемые пользователями. А значит и заражение только ПК владельца таких документов позволит им быть зашифрованными, что уменьшит вероятность их блокировки.
5. Определите, создайте и внедрите правила использования программного обеспечения
Прежде всего вы должны понять, какое программное обеспечение применяется на вашем предприятии. Увы, но стоит отметить, что большинство компаний перечня применяемого ПО просто не имеет. После того как вы поймете какое ПО вы применяете, вам стоит понять, а какое ПО нужно каким пользователям и зачем. Затем вам придется продумать какое ПО может создавать изменять или считывать файл, расположенный в определенной папке.
Соответствующие правила вы можете применить или глобально, или к определенным пользователям или группам. Однако прежде чем вы будете применять эти правила, следует понять, что эти правила могут усложнить жизнь ваших пользователей. Потому перед внедрением вам в обязательном порядке нужно провести тестирование правил. Не экономьте на времени тестирования иначе придется расплачиваться возможными авариями в процессе работы.
6. Отключите макросы Microsoft Office
Я уверен, что вы уже так и сделали, ведь отключение макросов Office позволит вам заблокировать множество различных типов вредоносного ПО.
7. Белый список ПО
После реализации правил программного обеспечения вам, безусловно, захочется применить белый список ПО, что позволит забыть о проблемах вредоносного программного обеспечения. Ведь работать будут только известные приложения. Однако стоит понять, что эффективно работать такой белый список будет только на тех компьютерах, на которых установленное ПО решает одни и те же задачи ежедневно.
8. Ограничьте пользователей виртуализированный средой
В большинстве случае вредоносное программное обеспечение вируса-вымогателя заражает ваш ПК путем почтового вложения.
Ограничение пользователей виртуализированной средой позволяет гарантировать что любое вредоносное ПО не причинит ущерба основной рабочей среде пользователя.
9. Часто выполняйте резервное копирование критических данных.
ФБР рекомендует часто проводить резервное копирование критических данных. При правильной организации вы получаете ежедневное резервное копирование, что позволит вам не заботиться при нападении вируса-вымогателя.