Wpisy z bloga

Subskrybuj Kanał Wpisy z bloga
Bezpieczne IT i nowoczesne technologie w praktyce.
Zaktualizowano: 10 hours 22 min temu

Backup Assist, promocja Cloud Add-on i Cloud Standalone

śr., 08/04/2020 - 08:43

Jak wszyscy wiemy, praca zdalna powoduje zwiększone ryzyko naruszenia bezpieczeństwa naszych prywatnych urządzeń jak również systemów bezpieczeństwa informatycznego naszych firm i organizacji. Niebezpieczeństwem tym między innymi zagrożone są nasze kopie zapasowe, czy to z powodu niedostępności wymiany nośników, na których są tworzone, zwiększonej aktywności hakerów, czy ataków ransomware.

Z myślą o tym firma Cortex – producent Backup Assist, rozwiązania do tworzenia kopii zapasowych systemów Windows, zadecydowała, że wszyscy jej obecni klienci, posiadający oprogramowanie Backup Assist w wersji 10 oraz wszyscy nowi klienci, do końca maja mogą nabyć z 50% zniżką dodatek Cloud Offsite Add-on lub Cloud Offsite Add-on Standalone. Dzięki temu uzyskają możliwość tworzenia w pełni zautomatyzowanych kopii zapasowych swoich danych poza siedzibą swojej organizacji.

Dodatek Cloud Offsite Add-on zapewnia:

  • Biznesową technologię tworzenia kopii zapasowych plików i aplikacji w chmurze
  • Szyfrowanie, deduplikację i kompresję danych AES-256
  • Do 71% oszczędności miejsca na typowych zestawach danych, przy 100% prywatności i bezpieczeństwie
  • Pełną kontrolę nad swoimi danymi
  • Funkcjonalność Grandfather-Father-Son umożliwi Ci roczne, miesięczne, tygodniowe i codzienne punkty przywracania
  • Tworzenie kopii zapasowych i przetrzymywanie ich w Amazon S3, Microsoft Azure lub prywatnej chmurze

Wszystkich zainteresowanych zapraszamy do kontaktu z biurem Sun Capital.

Kategorie: Kategoria

Kopie zapasowe i przygotowania do ograniczeń związanych z COVID-19

wt., 07/04/2020 - 15:01

Puste biuro może stanowić wyjątkowe ryzyko dla naszej infrastruktury IT. Oto kilka sposobów na przygotowanie się do zamknięcia biura i zwiększenia bezpieczeństwa IT. Twórca tego raportu – Linus Chang jest pracownikiem Backup Assist – rozwiązania do tworzenia kopii zapasowych systemów Windows. Omawia on wyzwania i problemy, które widzi w związku z utrzymaniem infrastruktury IT podczas pandemii wirusa, a także dzieli się z nami swoimi zaleceniami i rozwiązaniami.

Problemy wynikające z blokady Wyjątkowe okoliczności związane z pandemią koronawirusa stanowią wyzwanie dla cyber-odporności naszych firm czy instytucji. Problem 1: kto wymieni dyski z kopiami zapasowymi.

W wielu firmach, w których wykonuje się kopię zapasową, jest ona zapisywana np. na dysku USB, kasetach RDX lub taśmach, co w przypadku, gdy w biurze nie będzie nikogo, kto wymieniłby nośniki, na których kopia zapasowa jest zapisywana?

Jeśli wszyscy pracują z domu musimy pamiętać, że samo urządzenie do tworzenia kopii zapasowych pozostanie podłączone, a kopie zapasowe będą ciągle nadpisywane.

Jeśli zależy nam na utrzymywaniu kopii zapasowej poza siedzibą i / lub offline, musimy dokonać pewnych zmian (omówionych później), aby nasza strategia backupu miała szansę bytu i co najważniejsze spełniała swoje założenia.

Problem 2: gdy nie ma kota, myszy harcują!

Należy pamiętać, że w czasie ograniczeń w przemieszczaniu się i globalnego home office
zdecydowanie mniej osób korzysta z naszej infrastruktury na miejscu, możliwe jest więc, że pewne niepożądane działania zostaną wykryte po upływie dłuższego okresu czasu.

Oto niektóre z możliwych zdarzeń, które stanowią realne zagrożenie, gdy w pobliżu nie ma nikogo, kto mógłby śledzić wydarzenia na bieżąco.

Zagrożenie 1: do naszej sieci ma miejsce włamanie, czego następstwem jest zaszyfrowanie danych (atak ransomware).

Zagrożenie 2: Złodzieje włamują się do pomieszczeń naszej firmy, kradnąc sprzęt.

Zagrożenie 3: nieuczciwi pracownicy dokonują sabotażu (np. kasując wrażliwe dane)

Do tego należy dodać inne zagrożenia, jak pożar, czy zalanie…

Zdaniem autora pierwsze zagrożenie stanowi największe ryzyko w przypadku blokady COVID-19. W miarę jak coraz więcej osób zaczyna konfigurować „homeoffice”, coraz więcej firm będzie polegać na narzędziach zdalnego dostępu różnych firm. Wszelkie błędne konfiguracje zapór ogniowych lub problemy, takie jak słabe hasła, mogą potencjalnie ułatwić włamanie do naszej sieci.
Podobnie jak w przypadku każdego udanego ataku hakerskiego, wszelkie kopie zapasowe, które są online (to znaczy są podłączone lub dostępne z dowolnego komputera w sieci) są podatne na usunięcie.

Problem 3: wolniejsze wykrywanie zdarzeń ransomware

Zwykle wykrycie ataku ransomware jest… łatwe. Personel wchodzi do pracy, próbując zalogować się do swoich komputerów wszędzie widzi informację o zaszyfrowaniu danych. Jednak w obecnej sytuacji wiele firm nie pracuje lub pracuje w mniejszym zakresie niż zazwyczaj, jest ograniczona liczba operacji, więc nie ma nikogo, kto mógłby znaleźć infekcję. W sytuacjach związanych z pracą w domu ransomware może wyłączyć zdalny dostęp, tym samym nasza świadomość, o tym, co dzieje się w firmie jest poważnie ograniczona.

Twoje cele i wymagania dotyczące cyber-odporności

Nadrzędnym celem w zakresie odporności cybernetycznej jest odzyskanie systemu w przypadku niepożądanego zdarzenia. Następnie możemy podzielić ten ogólny cel na mniejsze:

Cel 1: Zabezpieczenie w postaci kopii zapasowej, niezbędnej do odzyskania utraconych danych i upewnienie się, że kopia zapasowa jest zabezpieczona przed hakerami, złodziejami i niesolidnymi pracownikami.
Cel 2: Utrata jak najmniejszej ilości danych.
Cel 3: Odzyskanie utraconych danych w możliwie najkrótszym czasie.

Osiągnięcie tych celów w ramach ograniczeń związanych z blokadą COVID-19 jest możliwe przy odrobinie chęci i przygotowania.

Zalecenia i rozwiązania

Poniżej zalecenia Linusa dotyczące najlepszych sposobów na zachowanie funkcjonalności infrastruktury informatycznej w czasie zamknięcia biura COVID-19. Autor zaleca ich zastosowanie lub dostosowanie ich do własnych scenariuszy.

Zalecenie 1: upewnijmy się, że nasz „bazowy punkt przywracania” (baseline recovery point) znajduje się poza siedzibą i dodatkowo offline. Oraz, że data powstania (baseline recovery point) jest możliwie zbliżona z datą zamknięcia biura.
W przypadku większości firm ta kopia zapasowa powinna być pełną kopią zapasową systemu, która jest odłączona od komputera, przełączona w tryb offline i umieszczona poza siedzibą.

Dlaczego dobrze jest mieć bazowa kopia zapasową?

Ważne jest, aby przenieść tę kopię zapasową w tryb offline, ponieważ jeśli biuro jest bez nadzoru od tygodni, jest to dobra okazja dla hakerów do przeniknięcia do sieci i zniszczenia lub uszkodzenia kopii zapasowych. Pamiętaj, że haker nie może sabotować dysku twardego lub kasety RDX, która stoi na półce!

Zabranie kopii zapasowej poza firmę i przechowywanie jej w bezpiecznym miejscu może ograniczyć kradzież lub grabież.

Obraz systemu jest zazwyczaj najszybszym sposobem na pełne przywrócenie systemu.

Jak wykonać kopię baseline recovery point

Autor artykułu zaleca, aby ta kopia zapasowa była dodatkową kopią zapasową systemu, z którego obecnie korzystamy. Wystarczy skonfigurować kolejne zadanie ochrony systemu w programie BackupAssist i uruchomić ręczne tworzenie kopii zapasowej.

Oznacza to, że w razie opisanych powyżej przypadków możemy wrócić do punktu początkowego – kiedy to nasza organizacja rozpoczynała pracę zdalną.

Zalecenie 2: wykonaj automatyczne kopie zapasowe plików do chmury – aby zminimalizować potencjalną utratę danych.

Dlaczego kopie zapasowe w chmurze?

1. Kopie zapasowe w chmurze automatycznie znajdują się poza siedzibą twojej firmy
2. Ich wykonywanie minimalizuje potencjalna utratę danych
3. Nikt nie musi tego robić

W przeciwieństwie do innych sposobów tworzenia lokalnej automatycznej kopii zapasowej (na przykład do NAS lub DAS), istnieje wyższy poziom zabezpieczenia w przypadku próby włamania. Wiele ataków ransomware skanuje i wyszukuje urządzenia NAS. Kopie zapasowe przechowywane w chmurze są pod tym względem bezpieczniejsze (choć nie są całkowicie odporne na hakerów, jeśli hakerowi uda się ukraść dane uwierzytelniające do konta w chmurze. W tym momencie ważne staje się 2FA (uwierzytelnianie dwuetapowe) dla konta w chmurze).

Jak skonfigurować kopie zapasowe w chmurze?

Istnieje kilka różnych opcji – różnią się one w zależności od tego, czy chcemy wykonać kopię zapasową wszystkich plików, czy tylko tych najnowszych – które zmieniły się od momentu wykonania przywrócenia punktu początkowego (baseline recovery point). To z kolei zależy od tego, jak dużo mamy danych.

Poniżej przedstawiono różne opcje:

Opcja 1: wykonaj kopię zapasową wszystkich wybranych plików i aplikacji (niezależnie od ich wieku)

Jeśli korzystasz BackupAssist masz możliwość utworzenia kopii zapasowej w Amazon AWS S3 lub Microsoft Azure. Konfiguracja zadania wymaga tylko wskazania plików i folderów, których kopię zapasową chcesz utworzyć. Uwaga – wymaga to dodatku BackupAssist Cloud Offsite.

Jeśli wolisz skorzystać z innych opcji przechowywania w chmurze, możesz wykonać kopię zapasową pliku lokalnie, a następnie użyć aplikacji do synchronizacji plików, aby zsynchronizować je poza siedzibą:

Po pierwsze, stwórz nowy katalog, w którym możesz przechowywać kopię typu mirror swoich plików. Następnie skonfiguruj zadanie ochrony plików w programie BackupAssist, aby wykonać kopię zapasową wybranych plików i aplikacji w tym katalogu.

Po drugie, zainstaluj wybraną aplikację do synchronizacji w chmurze, aby zsynchronizować ten katalog z chmurą. Typowe opcje obejmują aplikację OneDrive, Dysk Google, Dropbox i narzędzia do synchronizacji OwnCloud.

Na koniec, jeśli chcesz mieć trzecią kopię swoich plików, użyj BackupAssist 365, aby pobrać kopię plików w chmurze z powrotem do lokalnego miejsca docelowego. BackupAssist 365 obsługuje obecnie pobieranie plików z OneDrive, OneDrive dla Firm i SharePoint.

Opcja 2: wykonaj kopię zapasową tylko najnowszych plików za pomocą robocopy.

Można tworzyć kopie zapasowe ostatnio zmienionych plików na dysku lokalnym za pomocą Robocopy. Następnie wykonać kopię zapasową tej kopii w chmurze. Ten dwustopniowy proces radykalnie zmniejsza ilość kopii zapasowej danych – oszczędzając czas i koszty przechowywania.

Może to być świetna opcja, jeśli mamy duży zestaw danych i potrzebujemy SZYBKICH kopii zapasowych w chmurze. W końcu przesyłanie 1 GB danych jest znacznie szybsze niż 500 GB. Najpierw musimy wykonać lokalną kopię zapasową tych plików, a następnie wykonać kopię zapasową lokalnej kopii zapasowej w chmurze.

Ta opcja używa narzędzia „robocopy” w celu kopiowania ostatnio zmienionych plików do lokalnego katalogu kopii zapasowej.

Skrypt robocopy – ten skrypt będzie działał dla większości przypadków (pisownia oryginalna):

robocopy E:\Work D:\LocalBackup /e /sec /maxage:20200311 /r:3

In this example –
E:\Work is our source directory
D:\LocalBackup is your local backup directory
/s says to copy subdirectories
/maxage:20200311 says back up everything since 11th March 2020. Modify this to your needs.
/r:3 means retry a file up to 3 times, and otherwise skip it. You need this parameter to avoid robocopy trying to retry a million times.

Następnie możemy skonfigurować BackupAssist Cloud, w taki sposób aby utworzyć kopię zapasową lokalnego katalogu kopii zapasowej w chmurze.
Instrukcje, jak to zrobić, znajdują się w dokumentacji Cloud Backup. Zalecamy również uruchomienie skryptu robocopy jako skryptu poprzedzającego tworzenie kopii zapasowej. Instrukcje dodawania skryptu do BackupAssist znajdują się w dokumentacji skryptów.

Jeśli nie korzystamy z BackupAssist, możemy stworzyć skrypty i skorzystać z narzędzia do synchronizacji w chmurze (jak wspomniano powyżej). Następnie możemy użyć BackupAssist 365, aby ponownie pobrać te pliki do innej lokalizacji.

Zalecenie 3 – aktywuj powiadomienia SMS w CryptoSafeGuard

Trzecie zalecenie, które przedstawiono, to aktywacja funkcji SMS w CryptoSafeGuard. CryptoSafeGuard automatycznie skanuje kopię zapasową zestawu danych w poszukiwaniu dowodów uszkodzenia plików przez oprogramowanie ransomware. Funkcja SMS jest bardzo przydatna, ponieważ oznacza, że otrzymamy powiadomienie, jeśli CryptoSafeGuard znajdzie podejrzaną aktywność.

Uwaga: Będzie to wymagało subskrypcji BackupCare.

Zalecenie 4 – wyłącz komputery i urządzenia, które nie muszą być włączone

Pamiętajmy, że każde urządzenie w sieci jest potencjalnym punktem wejścia dla osób niepowołanych. Jedynym sposobem na ograniczenie możliwości ataku jest zmniejszenie śladu w sieci.

Dlatego wyłączmy wszystko, co nie musi być dostępne podczas blokady. W szczególności chodzi o:

– izolowanie routerów i switch’ów – przełączanie ich w tryb offline

– komputery, które nie będą dostępne zdalnie lub nie będą potrzebne do obsługi zdalnego dostępu

– urządzenia takie jak drukarki

– dostęp Wi-Fi dla gości

Źródło:https://www.backupassist.com/blog/backups-and-covid-19-lockdown
Kategorie: Kategoria

Sophos XG Firewall – możliwe zatrzymanie usługi antywirusa spowodowane niewłaściwą aktualizacją sygnatur

pon., 06/04/2020 - 18:43

Opierając się na opublikowanym przez Sophos artykule informujemy, że producent otrzymał zgłoszenia od użytkowników Sophos Firewall OS, dotyczące problemu związanego z zatrzymaniem usługi antywirusa, spowodowanego błędną aktualizacją sygnatur.

Problem ten dotyczy wyłącznie urządzeń SFOS, które zostały niedawno uruchomione ponownie lub w których zostały wprowadzone zmiany w konfiguracji, powodujące automatyczne zrestartowanie usługi AV, celem ich zatwierdzenia.

Zaobserwowany problem może powodować trudności w dostarczaniu wiadomości elektronicznych oraz zrywanie połączeń do stron internetowych.

Jak zidentyfikować czy zostałeś dotknięty tym problemem

Urządzenia, których dotknął ten problem, rejestrują następujące komunikaty w /log/avd.log:

  • /bin/avd: error while loading shared libraries: libssp.so.0: cannot open shared object file: No such file or directory

Usługa antywirusa zostanie na nich zatrzymana, a aktualizacja sygnatur dla antywirusów (Avira i Sophos) zostanie pokazana jako błędna. Użytkownicy mogą potwierdzić ten stan w interfejsie administracyjnym SFOS, w sekcji „Pattern Updates” oraz przy użyciu powłoki (Advanced Shell):

  • service -S | grep antivirus

antivirus STOPPED

 Co należy zrobić

Aktualizacja sygnatur AV zawierająca poprawkę zostanie automatycznie zaaplikowana na wszystkich urządzeniach SFOS.

Jeśli jesteś w gronie użytkowników, których urządzenia zostały dotknięte tym problemem, zastosuj się do poniższej instrukcji.

Dla użytkowników korzystających z urządzeń SFOS v18 EAP2 lub nowszych:
  1. Z poziomu powłoki (Advanced Shell):
    • /scripts/av_version_change.sh savi
    • /scripts/av_version_change.sh avira
  2. Następnie uruchom aktualizację sygnatur z poziomu graficznej konsoli administracyjnej.
Użytkowników korzystających z urządzeń SFOS v17.5.x, producent prosi o utworzenie zgłoszenia supportowego i przekazanie w nim następujących informacji:
  1. Włącz Dostęp dla supportu (Support Access Tunneloraz przekaż Access ID.
  2. Przekaż zgodę na dodanie przez support Sophos kluczy RSA/SSH umożliwiających aplikację poprawki.

Jeśli zostałeś dotknięty tym problemem i nie wiesz co zrobić dalej – napisz do nas.

 

Źródło (artykuł podlega stałej aktualizacji): https://community.sophos.com/kb/en-us/135351

Kategorie: Kategoria

BackupAssist Cyber Security Team. Przewodnik po zabezpieczeniu biznesu przed ransomware na 2020 rok, cz. 2

czw., 02/04/2020 - 13:43

Do wszystkich grzechów zaniechań, które z takich, czy innych powodów są popełniane można dodać na pocieszenie, że zagrożenie typu Zero Day, jest głównym powodem dla którego problem ransomware nigdy nie zostanie w pełni wyeliminowany. Niestety marna to pociecha… Zagrożenie to dotyczy nawet najbezpieczniejszych systemów, ponieważ ich podatność na włamanie nie jest jeszcze znana ich producentom i tym samym użytkownikom. System może być w 100% zaktualizowany oraz załatany a mimo tego, ktoś znalazł możliwość jego zainfekowania.

Co ransomware może Ci zaserwować, gdy dostanie się na Twój komputer

Ta część artykułu ma na celu objaśnienie, co robi oprogramowanie ransomware po jego zainstalowaniu na naszym systemie. Autorzy z BackupAssist podpowiadają na co zwrócić naszą uwagę, co robić, a czego lepiej nie, gdy już znajdziemy się w takiej sytuacji.

Ransomware starter #1: instalacja backdorów
Przykładowo w BIOS lub UEFI komputera, dzięki czemu może „wrócić do życia”, nawet jeśli dysk twardy zostanie wyczyszczony, a system operacyjny ponownie zainstalowany.

Ransomware starter # 2: rozprzestrzenianie
Ransomware może rozprzestrzenić się w dowolnym miejscu, do którego można uzyskać dostęp z pulpitu. Często w środowisku sieciowym ransomware rozprzestrzenia się na inne komputery będące w naszej sieci, dotyka to również wszelkich udziałów sieciowych z którymi jesteśmy połączeni, a następnie wykorzystując luki w zabezpieczeniach oprogramowania szyfruje je.

Szyfrowanie i blokowanie danych
Teraz zaczyna się najgorsze. Głównym celem Ransomware jest wyszukiwanie plików i szyfrowanie ich jeden po drugim. Niestety dla nas procesory komputerowe i dyski pamięci są obecnie tak szybkie, że szyfrowanie może nastąpić szybko. Linus Chang, ekspert ds. Szyfrowania, mówi, że na zwykłych komputerach „dane mogą być szyfrowane z szybkością powyżej 300 GB na godzinę. Większość danych może zostać zablokowana w ciągu zaledwie kilku godzin.”

Po zaszyfrowaniu ważnych plików ransomware wyświetli powiadomienie. To powiadomienie może być otwartym plikiem tekstowym lub w przypadku nowego oprogramowania ransomware, krzykliwą, trudną do przeoczenia grafiką przeglądarki.

2 przykłady powiadomień ransomware

Powiadomienie o ransomware ma na celu zmuszenie cię do podjęcia szybkiej decyzji, jeśli opóźnisz się z zapłatą nigdy nie odzyskasz swoich danych… Czy zapłacenie okupu rozwiązuje problem?

To złożone pytanie, które ma zarówno bezpośrednie, jak i globalne implikacje.

Większość płatności ransomware skutkuje otrzymaniem klucza odszyfrowującego, ale w około 5% nawet po dokonaniu płatności dane zostają zaszyfrowane.
Nawet jeśli Twoje dane są odszyfrowane, twoja sieć może nadal być zagrożona przez backdoory i złośliwe oprogramowanie. Może to prowadzić ponownego ataku…

Kłopot polega na tym, że nawet jeśli zapłacisz, nie musi to oznaczać końca wymuszeń. Możesz zostać ponownie zaatakowany.

Na poziomie globalnym wiele organów ścigania odradza płacenie okupu, ponieważ jest zachęta dla cyberprzestępców. Jednak w przypadku organizacji, które nie przygotowały i nie wdrożyły odpowiedniej ochrony przed oprogramowaniem ransomware, taki punkt widzenia nie ma zastosowania.

Jak uniknąć zapłaty okupu?

Są tylko dwa sposoby uniknięcia zapłacenia okupu:

Zaakceptuj, że utraciłeś swoje dane, lub odzyskaj je za pomocą kopii zapasowej.

Jeśli przygotowałeś się wcześniej wdrażając solidną ochronę przed ransomware z odpowiednią kopią zapasową, odzyskanie danych i ich przywrócenie nie powinno być problemem.

ZAPOBIEGANIE – Jak przeżyć atak ransomware Pierwsze siedem kroków polega przede wszystkim na zapobieganiu rozprzestrzeniania ransomware. Im więcej z tych kroków podejmiesz, tym lepiej. 1) Użyj oprogramowania antywirusowego i filtrowania wiadomości e-mail

Zainstaluj oprogramowanie antywirusowe na wszystkich komputerach. Oprogramowanie powinno być regularnie aktualizowane, powinno skanować pliki, które są otwierane i wysyłane.

DZIAŁANIE: sprawdź, czy program antywirusowy na wszystkich serwerach i komputerach jest aktualizowany poprawnie.
Skonfiguruj filtrowanie wiadomości e-mail na serwerze pocztowym. Filtry poczty e-mail sprawdzają spam, wiadomości e-mail z podejrzanych źródeł, w tym również ransomware, kontrolują też wiadomości e-mail zawierające załączniki.

2) Łatki i aktualizacje urządzeń

Wszystkie systemy operacyjne dla serwerów i komputerów stacjonarnych powinny być aktualizowane. Te łatki często zawierają ulepszenia bezpieczeństwa oparte na nowych zagrożeniach i exploitach.

DZIAŁANIE: Wprowadź proces sprawdzania i wdrażania aktualizacji zabezpieczeń. Wszelkie luki należy załatać w ciągu 48 godzin.

3) Popraw i zaktualizuj oprogramowanie

Większość aplikacji działa w oparciu o dostęp do Internetu, co czyni je otwartymi na działanie ransomware.

DZIAŁANIE: Przeprowadź inspekcję wszystkich aplikacji, aby upewnić się, że są one bezpiecznie skonfigurowane i załatane. Sprawdź aplikacje, które nie są już obsługiwane, ponieważ mogą wymagać aktualizacji. W szczególności aplikacje takie jak Flash, przeglądarki internetowe, Microsoft Office, Java i przeglądarki plików PDF.

DZIAŁANIE: Skonfiguruj przeglądarki internetowe, aby blokowały Flash i Javę jeśli te funkcje nie są potrzebne, przejrzyj wszystkie makra Microsoft Office, które uzyskują dostęp do Internetu.

4) Zabezpiecz wszystkie punkty zdalnego dostępu

Narzędzia zdalne, takie jak RDP (remote desktop protocol), umożliwiają zdalny dostęp do komputerów w celu zdalnej pracy i obsługi systemu. RDP jest częstym celem ransomware i musi być bezpiecznie skonfigurowany.

DZIAŁANIE: Rozważ zastosowanie uwierzytelniania wieloetapowego w przypadku działań związanych z dostępem zdalnym (RDP i VPN). Można to również zaimplementować w przypadku dostępu do ważnych obszarów w sieci.

5 Nie używaj prostych lub domyślnych danych logowania

DZIAŁANIE: Sprawdź wymagania dotyczące hasła użytkownika i upewnij się, że wszystkie hasła RDP są silne.

DZIAŁANIE: Sprawdź, czy uprawnienia administracyjne zostały nadane tylko potrzebnym użytkownikom i procesom oraz czy są one używane tylko do zadań, które wymagają tych uprawnień.

6 Uważaj na podłączone urządzenia

Zarządzaj wymiennymi dyskami USB. Ogranicz dostęp do dysków wymiennych i urządzeń używanych do tworzenia kopii zapasowych.

DZIAŁANIE: Sprawdź, jak często dane są przenoszone lub udostępniane w Twojej firmie lub organizacji za pomocą dysków, sprawdź czy można użyć bezpieczniejszej opcji – takiej jak Dropbox lub Dysk Google.

7 Promuj świadomość użytkowników

Mimo że będziesz mieć zainstalowane oprogramowanie antywirusowe i filtrujące wiadomości e-mail, żadne oprogramowanie nie będzie niezawodne. Oznacza to, że świadomość użytkowników jest równie ważna zwłaszcza w przypadku obsługi wiadomości e-mail.

DZIAŁANIE: Opracuj podejrzaną listę kontrolną e-mail i przekaż ją wszystkim pracownikom

Ta lista kontrolna e-mail może zawierać:

Czy treść e-maila wydaje się niejasna?
Czy adres e-mail wygląda poprawnie dla tego, od kogo ma pochodzić?
Czy w głównej części wiadomości e-mail występują błędy pisowni?
Czy istnieje poczucie pilności?
Czy rozpoznajesz rozszerzenie pliku załącznika?
W razie wątpliwości należy poinformować o tym wsparcie IT. Jeśli masz taką możliwość, zadzwoń do nadawcy, aby zweryfikować wiadomość e-mail.

USUWANIE – Jak pozbierać się po ataku ransomware Ostatnie trzy kroki dotyczą naprawy i/lub przywracania systemów i danych bez konieczności płacenia okupu. 8) Utwórz kopię zapasową wszystkich ważnych danych

Upewnij się, że masz pełne, regularne kopie zapasowe wszystkich serwerów, komputerów stacjonarnych i urządzeń, na których utratę nie możesz sobie pozwolić.

Odzyskiwanie danych z kopii zapasowych jest jedynym bezpiecznym sposobem przywrócenia danych po ataku ransomware.

Oznacza to, że powinieneś zidentyfikować, które systemy i dane mają krytyczne znaczenie dla Twojej firmy i należy je przywrócić lub odzyskać w przypadku ataku. Powinieneś także upewnić się, że masz odpowiedni system kopii zapasowych dla swojej organizacji. Omówimy to bardziej szczegółowo w dalszej części tego artykułu.

DZIAŁANIE: Aby sprawdzić, czy strategia tworzenia kopii zapasowych jest odpowiednia, wykonaj odzyskiwanie testowe dla swoich systemów. Potwierdzi to, czy plan tworzenia kopii zapasowych i odzyskiwania działa zgodnie z przeznaczeniem.

9) Regularnie monitoruj i testuj swoje kopie zapasowe, wykonując odzyskiwanie

Bardzo ważne jest, aby wykonać testowe odzyskiwanie z kopii zapasowej. Musimy mieć pewność, że jest kopie są kompletne i działają poprawnie.

Błędem wielu osób jest jednorazowe skonfigurowanie systemu kopii zapasowych i pozostawienie go na wiele miesięcy lub lat bez testowania odzyskiwania. Problem polega na tym, że rzeczy mogą się zmieniać z czasem:

Administratorzy mogą dodawać dodatkowe dyski twarde lub Network Attached Storage (NAS), ale często nie pamiętają aby dodać nowe urządzenia do kopii zapasowej

Nośniki kopii zapasowych – takie jak dyski twarde – mogą z czasem ulec zużyciu i przestać działać

Hakerzy mogą wyłączyć lub sabotować kopie zapasowe przed atakiem ransomware, aby uniemożliwić ich odzyskanie.

Monitorowanie i testowanie systemu tworzenia kopii zapasowych umożliwia wykrycie tych i innych problemów z wyprzedzeniem.

10) Przygotuj plan reakcji

Utwórz dokument dla Planu Reagowania Ransomware, wyjaśni on, co należy robić w przypadku ataku.

Pamiętaj o przetestowaniu planu na żywym organizmie, dzięki temu ustalisz niedociągnięcia i wrażliwe obszary, które mogą wymagać dodatkowego zaangażowania.

 

To koniec drugiej części raportu, kolejne już niebawem. Jeśli chcecie już dziś zapoznać się z całością, to odsyłamy do źródła i życzymy udanej lektury.

Źródło: https://www.backupassist.com/blog/ransomware-protection-guide
Kategorie: Kategoria

Wyzwania cyberbezpieczeństwa w roku 2020 według SOPHOS – część IV: Ochrona chmury – małe zaniedbania prowadzą do dużych niebezpieczeństw

pon., 30/03/2020 - 13:13

Obecny okres sprzyja pracy zdalnej oraz owocuje w większą niż zazwyczaj ilość wolnego czasu po pracy, ze względu na przymusowe zamknięcie niemal wszystkich placówek rozrywkowych i sklepów innych niż spożywcze.

Zapraszam w takim razie na kolejną część raportu SOPHOS, opisującego wyzwania stojące przed administratorami IT w roku 2020. W dzisiejszym odcinku zajmiemy się kwestiami bezpieczeństwa chmury i danych w niej przechowywanych. 

Poprzednie części można znaleźć tutaj, tutaj i tutaj.

W ostatniej dekadzie chmura stała się bardzo popularną platformą do przechowywania i przetwarzania dużych ilości danych. Niestety, wraz z rozwojem tej technologii firmy odkryły, że przekazanie wszystkich ich najcenniejszych informacji do zwirtualizowanego magazynu danych może doprowadzić lub już doprowadziło do nieumyślnego, często niekontrolowanego naruszenia tych danych, na gigantyczną i niespotykaną wcześniej skalę.

Misją firmy Sophos od zawsze była ochrona użytkowników przed atakami intruzów nastawionych miedzy innymi na zyski finansowe lub szpiegostwo. Ochrona danych przechowywanych w chmurze wymaga jednak zupełnie innego zestawu narzędzi, ponieważ model zagrożenia różni się znacznie od zagrożeń, które mogą dotknąć  stacje robocze lub serwery.
To, co sprawia, że chmura jest świetną platformą do obliczeń i operacji biznesowych, stwarza również pole do potencjalnych naruszeń bezpieczeństwa. Tempo zmian zachodzących w platformach przetwarzania w chmurze jest coraz szybsze, przez co zapanowanie nad wszystkimi ustawieniami i poprawną konfiguracją takiej chmury staje się coraz trudniejsze.

Największym problemem jest chmura sama w sobie

Elastyczność to kluczowa zaleta w chmurowym przetwarzaniu danych. Przy bardzo małym wysiłku, właściwie przy pomocy kilku kliknięć można włączać i wyłączać zasoby – w zależności od aktualnego obciążenia i potrzeb. Ułatwia to firmom zwiększenie mocy obliczeniowej w celu dostosowania do potrzeb klientów.
Jeśli chodzi o zabezpieczanie chmury, cała ta elastyczność i łatwość, z jaką administrator centrum danych może udostępnić lub zmienić konfigurację całej infrastruktury, może obrócić się później przeciw niemu – jeden fałszywy krok może doprowadzić do przypadkowego otwarcia przez administratora całej bazy danych klientów na świat.

Ponadto, tempo zmian zachodzących w platformach przetwarzania w chmurze może samoistnie przyczyniać się do problemów, których administratorzy mogą nawet nie być świadomi. Gotowe narzędzia do zdalnego zarządzania i administracji, czasem nawet te dostarczane przez samych operatorów chmury, mogą zawierać luki w zabezpieczeniach, które mogą skutkować wyciekiem danych.

Pamiętajmy też o sytuacjach związanych pośrednio z bezpieczeństwem chmury, ale powiązanych dość ściśle z bezpieczeństwem na stacjach końcowych, szczególnie tych z uprawnieniami administracyjnymi. Jeśli komputer administratora zostanie zainfekowany złośliwym oprogramowaniem kradnącym dane uwierzytelniające, jest możliwe, że poświadczenia administracyjne lub dane uwierzytelniające do konta w chmurze zostaną skradzione i wykorzystane do przeprowadzenia kolejnych ataków – tym razem przy użyciu  chmurowego konta  administracyjnego.

Przyczyną większości naruszeń bezpieczeństwa jest zła konfiguracja

Naukowcy Sophos Labs uważają, że przyczyną znaczącej większości naruszeń bezpieczeństwa i wycieków danych z chmury jest jej zła konfiguracja. Najczęściej błędy w konfiguracji nie wynikają ze złej woli administratora. Platformy chmurowe są skomplikowane same w sobie i bardzo często trudno jest zrozumieć i wyobrazić sobie negatywne konsekwencje wprowadzenia konkretnego ustawienia, na przykład w bardzo popularnej usłudze Amazon Simple Storage Service (S3). Dodatkowo, bardzo często jedno ustawienie wpływa na cały szereg innych kontenerów danych i administrator może nie mieć świadomości, że jedna opcja zmieniona w konkretnym kontenerze danych może spowodować upublicznienie danych na innych kontenerach – również przez niego zarządzanych.

Duże wycieki danych, spowodowane złą konfiguracją chmury stają się coraz częstsze i niestety – będą coraz częstsze. Naruszenia integralności danych dotykają firmy z różnych sektorów gospodarki, od Netflixa po firmę Ford. W obu tych przypadkach naruszenie danych polegało na udostępnieniu dużej ilości wewnętrznych danych firmy, zwanych jeziorami danych, na zewnątrz, przez co dostęp do tych danych miała dowolna osoba spoza organizacji. Pod koniec 2019 roku badacze bezpieczeństwa odkryli znajdujące się na serwerach Amazona duże ilości danych, należące do dostawcy rozwiązań do archiwizacji. Dane te należały do klientów tej firmy i w założeniu nie powinny ujrzeć światła dziennego. Stało się jednak zupełnie inaczej – kompletne kopie zapasowe kont utworzonych w usłudze One Drive były widoczne w sieci. Konta, do których dostęp mógł mieć każdy, zawierały poufne dane firmowe, wrażliwe dane z działów HR oraz inne dokumenty dotyczące pracowników. Na domiar złego, znajdowały się one na serwerach Amazona od 2014 roku. Do dnia dzisiejszego nie udało się ustalić, czy dostęp do tych danych miał ktoś poza osobami rzeczywiście do tego upoważnionymi.

Mając wgląd i świadomość konsekwencji pozornie nieszkodliwych zmian w konfiguracji usługi chmurowej, a także mając możliwość monitorowania samej chmury pod kątem złośliwych lub podejrzanych działań lepiej zabezpieczamy się przed utratą, czy narażeniem na wypłynięcie wrażliwych danych do informacji publicznej.

Brak widoczności wykonywanych działań dodatkowo zaciemnia obraz sytuacji

Niestety, wielu użytkowników platform przetwarzania danych w chmurze nie ma możliwości dokładnego monitorowania tego, co robią ich maszyny w serwerowni znajdującej się nawet kilkaset kilometrów dalej. Przestępcy bardzo dobrze o tym wiedzą i właśnie z tego powodu atakują platformy chmurowe – mogą działać w instancjach chmurowych przez dłuższy czas, zanim właściciele tych instancji zorientują się, że coś w ogóle jest nie tak.

Jednym z najbardziej jaskrawych przykładów zagrożenia opisanego powyżej jest użycie Magecart, złośliwego kodu JavaScript, którego napastnicy używali w ciągu ostatniego roku bardzo intensywnie do infekowania stron przenoszących użytkowników do koszyków sprzedawców internetowych za pomocą kodu uwierzytelniającego lub karty płatniczej. Mechanizm ataku wyglądał zazwyczaj następująco:  osoby rozprzestrzeniające kod Magecart wykorzystywały błędne konfiguracje w instancjach przetwarzania w chmurze w celu zmodyfikowania kodu JavaScript odpowiadającego za obsługę koszyka na zakupy, a następnie przesyłali ten zmodyfikowany kod z powrotem do instancji przetwarzania w chmurze. W ten sposób atak był uwierzytelniony, ponieważ wszystko zdawało się pochodzić od zaufanego właściciela sklepu internetowego.

Atak z użyciem kodu Magecart dotyczył bardzo wielu znanych firm, między innymi Ticketmaster, Pacific Airways, czy British Airways. Co istotne, firmy zorientowały się, że złośliwy kod znajduje się na stronach płatności za ich usługi dopiero w momencie, gdy zaczęli zgłaszać się do nich klienci, którzy użyli swoich kart kredytowych i danych bankowych i zaobserwowali nieautoryzowane transakcje.

Hipotetyczny przykład naruszenia bezpieczeństwa danych w chmurze

Bezpieczeństwo instancji w chmurze może zostać naruszone na wiele sposobów i z wielu różnych powodów.

Niektórzy przestępcy próbują rozprzestrzeniać złośliwe koparki kryptowalut na duże platformy chmurowe, pomimo malejącego zwrotu z inwestycji, jakie zapewniają takie programy –  zasoby wymagane do kryptomingu nie należą do przestępcy:

W naszym hipotetycznym scenariuszu duża firma zatrudniająca kilkunastu programistów używa popularnej platformy zarządzania kodem źródłowym do przechowywania oprogramowania. Firma tworzy tylko jedno hasło do konta zarządzania całym kodem i udostępnia je wszystkim programistom.

Jeden z programistów używa komputera w domu, aby mógł pracować nad projektem biznesowym, ale nie zdaje sobie sprawy, że jego dziecko próbowało pobrać na ten sam komputer bezpłatną grę. Gra zawierała złośliwe oprogramowanie, a komputer jest od teraz zainfekowany oprogramowaniem kradnącym dane uwierzytelniające. Złośliwe oprogramowanie regularnie zbiera wszelkiego typu dane, wpisywane z klawiatury komputera, wysyłając je z do serwera przestępcy. Ten, obsługując i sprawdzając regularnie informacje od bota rozpoznaje w pewnym momencie dane do platformy zarządzania kodem źródłowym, a następnie loguje się jako administrator tego rozwiązania.

Korzystając z uprawnień administracyjnych i wykorzystując wykradzione dane uwierzytelniające, cyberprzestępca atakuje i infekuje kolejne komputery w sieci lokalnej, a wykorzystując otwarte API chmury – wysyła i instaluje oprogramowanie do kopania kryptowalut na komputerach współpracowników i obciąża bardzo mocno ich komputery, robiąc to przez kilka, maksymalnie kilkanaście dni.

Aby dopełnić obrazu nieszczęścia, pracownicy odkrywają problem pod koniec miesiąca, w momencie gdy platforma przetwarzania w chmurze informuje, że korzystają ze znacznie większej ilości zasobów niż dotychczas i muszą zapłacić za chmurę znacznie więcej niż do tej pory. Przestępca, orientując, się, że komputery są już spalone, inwestuje zarobione do tej pory pieniądze w zakup infrastruktury, bardziej wydajne kopanie i poszukiwanie nowych ofiar. W ten sposób cykl się zamyka i trwa nieprzerwanie.

Bezpieczeństwo chmury, operacji w niej wykonywanych i danych w niej umieszczonych staje się coraz ważniejsze – należy dbać o prawidłową konfigurację ustawień rozwiązań chmurowych tak samo, jak o bezpieczeństwo stacji roboczych na końcu sieci. Jak widać, nie zawsze domyślne ustawienia dostawcy chmury zapewniają wystarczające bezpieczeństwo, a chmura będzie coraz popularniejszym sposobem na przechowywanie danych, szczególnie teraz, w dobie pracy zdalnej.

Wychodząc naprzeciw oczekiwaniom użytkowników chmurowych SOPHOS ma w ofercie nowy produkt – Sophos Cloud Optics – narzędzie umożliwiające skanowanie ruchu wewnątrz chmury, stosowanie wybranych schematów administracyjnych i reagowanie na zagrożenia pojawiające się w chmurze. Po więcej szczegółów zapraszamy pod adresem: https://sophos.com.pl lub na naszą stronę internetową https://suncapital.pl

źródło: opracowanie własne oraz Sophos Threat Report 2020: https://www.sophos.com/en-us/medialibrary/PDFs/technical-papers/sophoslabs-uncut-2020-threat-report.pdf

Kategorie: Kategoria

GFI Software udostępnia VPN Kerio Control za darmo przez 90 dni

czw., 26/03/2020 - 14:10

Producent oprogramowania Kerio, firma GFI Software postanowiła wesprzeć sektor małych i średnich przedsiębiorstw udostępniając za darmo na okres 90 dni swoje rozwiązanie firewall i VPN, czyli Kerio Control.

Nie ma szybszego sposobu na umożliwienie pracownikom wykonywania ich obowiązków zdalnie niż ustanowienie połączenia VPN, dzięki któremu mają oni dostęp do zasobów firmowych. Wie o tym producent oprogramowania, GFI Software, który zdecydował się wesprzeć małe i średnie biznesy w czasie pandemii koronawirusa poprzez darmowe udostępnienie użytkownikom zapory sieciowej umożliwiającej nawiązywanie połączeń VPN, czyli Kerio Control

Rozwiązanie w swojej podstawowej funkcjonalności udostępniane jest przez 90 dni, natomiast dodatkowe moduły takie jak Kerio Web Filter oraz Kerio Anti-Virus będą dostępne przez 30 dni.

Po upływie 30 dni, użytkownicy, którzy będą chcieli nadal korzystać z modułów Web Filter i Anti-Virus będą mogli wykupić pełną licencję Kerio Control ze 20% zniżką jeśli zakup zostanie zrealizowany do 30 czerwca 2020 roku. Promocja nie obejmuje sprzętu Kerio Control.

Ponadto we wtorek 7 kwietnia 2020 roku o godz. 11:00 producent zaprasza na webinarium pt. „Zapewnij swoim pracownikom zdalnym łączność i ochronę”. Zachęcamy do REJESTRACJI.

Kategorie: Kategoria

Darmowy dostęp do Sophos Home Premium dla obecnych klientów producenta na czas pandemii

wt., 24/03/2020 - 15:43

Wychodząc naprzeciw oczekiwaniom użytkowników, na czas trwania pandemii nowego koronawirusa, producent SOPHOS postanowił bezpłatnie udostępnić program Sophos Home Premium WSZYSTKIM swoim klientom, niezależnie od wielkości i niezależnie od tego, jakiego produktu tej marki używają.

W związku z trwającą pandemią wiele przedsiębiorstw zostało zmuszonych realizować scenariusze pracy z domu pracy zdalnej, podczas której pracownicy używają własnych komputerów domowych do realizowania zadań powierzonych przez pracodawców niejednokrotnie związanych z przetwarzaniem danych wrażliwych. Z tego właśnie powodu SOPHOS zdecydował się udostępnić swoim klientom program Sophos Home Premium, którego funkcjonalności można sprawdzić tutaj.

W celu uzyskania dostępu do programu, prosimy o kontakt z Sun Capital.

Kategorie: Kategoria

Marcowe webinaria SOPHOS PL dotyczące ochrony infrastruktury IT w dobie koronawirusa

pon., 23/03/2020 - 13:29

Wraz z producentem SOPHOS zapraszamy na dwa webinaria w języku polskim, które dotyczyć będą zabezpieczenia firmowych infrastruktur IT w obecnej, trudnej sytuacji związanej z epidemią koronawirusa.

Pierwsze webinarium, które odbędzie się w czwartek 26 marca 2020 r. o godz. 10:00, skupi się na temacie ochrony przed mailami phishingowymi związanymi z koronawirusem (np. takimi jak ten) i atakami typu zero-day. Dowiesz się:

  • Jak zapobiegać atakom phishingowym poprzez edukację użytkowników?
  • Jak działają oszustwa typu phishing i co może stać się z danymi w najgorszym przypadku?
  • W jaki inny sposób cyberzagrożenia mogą dostać się do systemu oraz metody zapobiegania utracie danych dzięki ochronie urządzeń końcowych nowej generacji SOPHOS;
  • Jak zapewnić „zdrowe cyberbezpieczeństwo” organizacji dzięki zsynchronizowanym rozwiązaniom, które wymieniają informacje między sobą w czasie rzeczywistym?

REJESTRACJA 26.03.2020 r.

Drugie webinarium odbędzie się w poniedziałek 30 marca 2020 r. o godz. 10:00 i odpowie na bardzo ważne w zaistniałej sytuacji pytanie: jak zapewnić pracownikom zdalnym bezpieczną pracę w domu, jednocześnie chroniąc firmowe dane i zachowując zgodność z regulacjami RODO? Podczas tej sesji eksperci SOPHOS przedstawią najlepsze praktyki w zakresie bezpiecznej pracy zdalnej, w tym porady dla zespołów IT. 

REJESTRACJA 30.03.2020 r.

Zachęcamy do udziału!

Kategorie: Kategoria

IceWarp udostępnia użytkownikom darmowe połączenia wideo i narzędzia do pracy grupowej

czw., 19/03/2020 - 11:48

W związku z trwającą epidemią wirusa COVID-19 producent serwera pocztowego IceWarp postanowił wspomóc swoich klientów i nieodpłatnie na okres 3 miesięcy (do 18 czerwca br.) udostępnić wszystkim użytkownikom funkcjonalności takie jak połączenia wideo oraz narzędzia do pracy grupowej szczególnie potrzebne w okresie, gdy większość firm przełączona została na tryb pracy zdalnej.

DARMOWE wideokonferencje dla wszystkich

Aby użytkownicy IceWarp mogli zostać w domu i bezpiecznie pracować, producent zdecydował się na udostępnienie za darmowo wersji beta połączeń wideo, które zostaną wkrótce oficjalnie upublicznione wraz z najnowszą wersją serwera. Uwaga! Do wideokonferencji możesz zaprosić osoby nie posiadające licencji lub kont IceWarp za pośrednictwem kilku kliknięć na stronie: https://www.icewarptech.pl/conferencing

Priorytetowe wsparcie techniczne ZA DARMO

Uruchomiono również system zgłaszania nagłych przypadków przez formularz kontaktowy na stronie producenta: https://www.icewarptech.pl/support/limited-emergency-support/

Uwaga! Producent prosi o nienadużywanie tej formy zgłaszania problemów technicznych, formularz przeznaczony jest do zgłaszania nagłych przypadków lub awarii o charakterze krytycznym.

Moduły do pracy grupowej ZA DARMO

Dodatkowo producent udostępnił wszystkim klientom posiadającym licencje on-premise (nawet te z wygasłym wsparciem) moduły takie jak: wiadomości błyskawiczne, TeamChat oraz WebDocuments. Użytkownikom IceWarp Cloud Lite automatycznie zostanie włączony TeamChat. Klienci on-premise będą musieli dokonać ponownej aktywacji swoich licencji w celu uruchomienia dodatkowych modułów.

Informacje techniczne związane z aktywowaniem modułów znajdziesz tutaj:https://support.icewarp.com/hc/en-us/articles/360006805277-Bring-your-team-online-technical-how-to

Wszystkie powyższe udogodnienia zostają wprowadzone do 18 czerwca 2020 r.

Jeśli masz jakieś pytania związane z wprowadzonymi zmianami, prosimy o kontakt z Sun Capital.

Kategorie: Kategoria

Webinar SOPHOS PL: Ochrona sieci światowej klasy dzięki XG Firewall w wersji 18

śr., 11/03/2020 - 10:55

Już w najbliższy czwartek 12 marca 2020 r. o godzinie 10:00 wraz z producentem SOPHOS zapraszamy na webinarium w języku polskim, podczas którego Inżynier Sophos, Damian Przygodzki, przedstawi nowe funkcjonalności rozwiązania do ochrony sieci XG Firewall w najświeższej odsłonie, czyli w wersji 18. Więcej szczegółów znajdziesz poniżej.

Weź udział w nadchodzącym webinarium, aby dowiedzieć się w jaki sposób Sophos XG Firewall v18 pomaga organizacjom w walce z takimi wyzwaniami, jak:

  • widoczność ruchu sieciowego – problemy wynikające z szyfrowania ruchu i błędów detekcji aplikacji bazujących na sygnaturach;
  • ataki ransomware – nieustannie ewoluujące zagrożenia i metody cyberataków 
  • zarządzanie ruchem i aplikacjami w sieciach rozproszonych;
  • przepustowość jako kluczowy parametr przy korzystaniu z krytycznych aplikacji komunikacyjnych i SaaS.

Zachęcamy do REJESTRACJI (link)  na webinarium 12 marca 2020 r. o godz. 10:00.

Kategorie: Kategoria

Sophos – ważna informacja dla użytkowników Enterprise Console (SEC)

pon., 09/03/2020 - 15:37
Producent oprogramowania zabezpieczającego, firma Sophos, poinformowała, iż w związku z opublikowanymi przez Microsoft w lutym i marcu aktualizacjami bezpieczeństwa dla systemów Windows, mogą wystąpić problemy z uruchomieniem konsoli zarządzającej Sophos Enterprise Console. Problem ten dotyczy wyłącznie aplikacji do zarządzania – oprogramowanie na stacjach końcowych oraz dostarczane do nich aktualizacje pomimo zaobserwowanego błędu, będą działać poprawnie. Błędy mogą pojawić się także u osób korzystających z nowych wersji SEC – 5.5.1 i 5.5.2. Producent zaleca aktualizację Enterprise Console do najnowszej wersji 5.5.2 wydanej 5 marca 2020r. lub instalację specjalnie przygotowanej na tę okazję łatki. Dodatkowe informacje na ten temat mogą Państwo znaleźć w artykule bazy wiedzy producenta.
Kategorie: Kategoria

Intercept X Advanced z nową ochroną przed skryptowym malware

pon., 09/03/2020 - 14:50

Producent oprogramowania SOPHOS poinformował, że InterceptX został wyposażony w interfejs skanowania antymalware (AMSI) udostępniany przez Microsoft dla twórców aplikacji. 

Windows Antimalware Scan Interface (AMSI) to wszechstronny standard interfejsu, który umożliwia integrację aplikacji i usług z dowolnym produktem antymalware obecnym na komputerze. AMSI zapewnia lepszą ochronę przed złośliwym oprogramowaniem dla użytkowników końcowych oraz ich danych. Interfejs ten jest obsługiwany przez Microsoft w systemach Windows 10 oraz w systemach Windows Server 2016 i nowszych.

AMSI obsługuje strukturę wywoływania pozwalającą na skanowanie plików i pamięci oraz skanowanie strumieniowe, sprawdzanie reputacji źródła adresu URL / adresu IP. Dodatkowo interfejs ten wykorzystuje pojęcie sesji, dzięki czemu można korelować różne żądania skanowania. Dla przykładu: różne fragmenty złośliwego kodu mogą być powiązane ze sobą w celu podjęcia bardziej wnikliwej analizy, którą znacznie trudniej byłoby przeprowadzić, patrząc na te fragmenty osobno.

Komponenty Windows, które integrują się z AMSI:

– Kontrola Konta użytkownika (UAC) – reakcja na podwyższenie przywilejów na plikach EXE, COM, MSI, instalacja komponentów ActiveX;
– PowerShell – skrypty, wykonanie interaktywne, dynamiczna ewaluacja kodu;
– Host Skryptów Windows – wscript.exe i cscript.exe;
– JavaScript oraz VBScript;
– Makra Office VBA.

Interfejs AMSI i jego funkcjonalności jest dostępny dla produktów: Intercept X Advanced, Intercept X Advanced with EDR oraz Central Endpoint Protection. Funkcjonalność ta jest również planowana dla produktu Intercept X for Server w drugim kwartale bieżącego roku.

Kategorie: Kategoria

Ważna aktualizacja oprogramowania dla urządzeń RED 50!

pt., 06/03/2020 - 13:05

Producent urządzeń RED 50, firma SOPHOS, udostępniła ważną aktualizację oprogramowania, która naprawia błąd, który mógł uniemożliwiać uruchomienie urządzeń lub mógł sprawiać, że urządzenia te przestawały działać. 

Wszystkie urządzenia RED 50 są podatne na powyższy błąd, w związku z czym producent zaleca niezwłoczną aktualizację oprogramowania urządzenia.

Procedura dla użytkowników UTM SG: wyszukaj i zainstaluj aktualizację oprogramowania o nazwie UTM 9.7 Maintenance Release 2 (9.702). Aktualizacja ta zawiera w sobie poprawki oprogramowania dla urządzeń RED 50. Po instalacji aktualizacji konieczne będzie ponowne uruchomienie urządzenia.

Procedura dla użytkowników XG:

Uaktualnienie dla urządzeń RED znajduje się w aktualizacji sygnatur o numerze 2.0.019. Instalacja sygnatur spowoduje ponowne uruchomienie wszystkich podłączonych do XG urządzeń RED.

 

Dodatkowe informacje o aktualizacji dostępne są w Bazie Wiedzy pod adresem: https://community.sophos.com/kb/en-us/135240

W przypadku jakichkolwiek pytań lub problemów zachęcamy do kontaktu pod adresem https://pomoc.suncapital.pl

Kategorie: Kategoria

Webinarium GFI: Jak skutecznie wybrać rozwiązanie do archiwizacji poczty e-mail?

śr., 04/03/2020 - 10:30

 

Wraz z producentem oprogramowania i sprzętu z zakresu bezpieczeństwa i komunikacji IT, firmą GFI Software, zachęcamy do udziału w kolejnym z cyklu webinarium dotyczącym archiwizacji poczty elektronicznej, podczas którego dowiesz się jak skutecznie wybrać rozwiązanie służące do archiwizacji wiadomości e-mail.

Na przykładzie rozwiązania GFI Archiver dowiesz się:

  • Jak zaimportować pliki z innych narzędzi?
  • Jak ograniczyć korzystanie z plików PST?
  • Jak jest realizowane połączenie z serwerami pocztowymi i wiele więcej.

Webinarium w języku angielskim odbędzie się w środę 18 marca 2020 r. o godz. 11:00. REJESTRACJA

Serdecznie zapraszamy!

Kategorie: Kategoria

Wyzwania cyberbezpieczeństwa w roku 2020 według SOPHOS – część III: Nie ma czasu tego wszystkiego analizować, czyli konsekwencje ignorowania „szumu” w sieci

wt., 25/02/2020 - 14:30

Zapraszam na kolejną część raportu SOPHOS, opisującego wyzwania stojące przed administratorami IT w roku 2020. W dzisiejszym odcinku zajmiemy się usługami wypuszczanymi na zewnątrz sieci, dziurawym protokołem RDP oraz powracającym jak bumerang zagadnieniem Wannacry.

Poprzednie części możńa znależć tutaj i tutaj.

W ciągu 30 lat, które upłynęły od komercjalizacji Internetu, poziom „hałasu”, który wylewa się na brzegach naszych sieci stale rośnie, zarówno pod względem objętości, jak i zaciekłości. Łagodnym skanom portów towarzyszą sondy sieciowe, które są coraz częściej powiązane z wrogim ruchem generowanym przez robaki.
Całe to „internetowe promieniowanie tła”, analogiczne do kosmicznego promieniowania tła, odpowiada za rosnącą liczbę naruszeń bezpieczeństwa wpływając na szeroki zakres usług i urządzeń internetowych.

Protokół RDP na celowniku

Negatywne wykorzystywanie protokołu Remote Desktop Protocol (RDP) – zarówno jego usługi hostowanej, jak i aplikacji klienckiej, wzrosło znacząco w 2019 r. w następstwie głośnych ataków na protokół RDP ze strony podmiotów atakujących wykorzystujących kampanie ransomware takie jak SamSam.  Wielu atakujących próbuje ponadto użyć usług RDP wykorzystując ataki typu brute force, używając list typowych haseł dostępnych w sieci.

Podstawowe ataki to tylko część problemu. Sophos zaobserwował, że niektórzy napastnicy starannie wybierają swoje cele, przeprowadzają rozpoznanie przeciwko określonym pracownikom i atakują tych pracowników atakami typu spear phishing, aby uzyskać przydatne poświadczenia, które mogą następnie wykorzystać, aby włamać się do organizacji docelowych.

W sytuacji gdy atakujący uzyskają dostęp do pojedynczego komputera, mogą użyć narzędzi takich jak Mimikatz, w celu wykrycia poświadczeń o podwyższonych uprawnieniach przekazywanych przez sieć. Posiadając poświadczenia użytkownika posiadającego uprawnienia administratora domeny zauważyć można, że osoby atakujące wykorzystują te dane do rozprzestrzeniania złośliwego oprogramowania w dużych częściach sieci internetowej, korzystając z narzędzi do zarządzania oprogramowaniem, które są nieodłączną częścią serwerów kontrolera domeny w dużych sieciach.
Ataki przy użyciu tej metodologii były rdzeniem jednych z największych i najbardziej bolesnych incydentów związanych z oprogramowaniem ransomware, które były badane w ubiegłym roku, dlatego rady dla administratorów sieci, którzy zarządzają sieciami korporacyjnymi aby unikać udostępniania połączeń RDP na punktach końcowych sieci nadal pozostają aktualne.

Usługi wystawione „na świat” zagrożone zautomatyzowanymi atakami

RDP nie jest jedyną usługą, której poszukują napastnicy. Coraz częściej przychodzi nam stawiać czoła zautomatyzowanym atakom skierowanym we wszelkiego typu usługi dostępne publicznie. W ubiegłym roku zaobserwować można było  szeroki zakres usług internetowych, które stają się coraz bardziej zagrożone, w sytuacji gdy atakujący próbują wykorzystać luki w zabezpieczeniach i w konsekwencji próbują brutalnie włamać się do serwerów baz danych, routerów domowych i modemów  kablowych, czy do sieci spiętych z urządzeniami pamięci masowej (NAS), atakom nie oparły się również systemy VoIP i cały szereg innych urządzeń „Internetu rzeczy”.
Jeden z najczęstszych ataków, jaki obecnie obserwujemy, pochodzi z sieci, które w przeszłości były hostami dla botnetów takich jak Mirai. Ataki te zwiększają się zarówno pod względem wielkości, jak i pod względem wyrafinowania, ponieważ atakujący stale dokonują drobnych udoskonaleń samych skryptów, które atakują serwery baz danych.
Szczególnie narażone są maszyny hostujące starsze wersje oprogramowania Microsoft SQL Server w domyślnej konfiguracji – znajdują się one niemal pod ciągłym atakiem. Sam mechanizm polega na użyciu złożonego, przeplatanego zestawu poleceń bazy danych, które po pomyślnym zakończeniu powodują, że serwer bazy danych zaraża się całą gamą różnych rodzajów złośliwego oprogramowania.

Dlaczego Wannacry może nigdy nie zniknąć, a Ciebie powinno to obchodzić?

Wannacry pojawił się w sieci 12 maja 2017 r. zalewając Internet i infekując komputery firm, szpitali i uniwersytetów w ataku, którego szybkość i skala  była do tej pory niespotykana. Ransomware, o którego powstanie różne źródła (w tym rządowe agencje wywiadowcze), oskarżają rząd Korei Północnej siało spustoszenie, dopóki kilku badaczy bezpieczeństwa nie odkryło pięty achillesowej w złośliwym oprogramowaniu: tak zwany kill switch (mechanizm lub czynnik przerywający działanie programuzostał przypadkowo uruchomiony, gdy jeden z badaczy, Marcus Hutchins, zarejestrował nazwę domeny internetowej, która funkcjonowała w pliku binarnym Wannacry.

Postępy  w zarażaniu Wannacry skokowo zatrzymały się, sam atak zachęcił administratorów systemów operacyjnych na całym świecie do zainstalowania poprawki bezpieczeństwa wydanej przez Microsoft, (która notabene została opublikowana kilka miesięcy wcześniej). Jak na ironię, wielu administratorów celowo powstrzymało się od instalowania aktualizacji systemu Windows z powodu obawy o zakłócenia do których rzekomo miała ta aktualizacja doprowadzić. Ta wymuszona i niczym nie poparta ostrożność pozwoliła na zainfekowanie niezabezpieczonych systemów, a w konsekwencji na dalsze rozprzestrzenianie się infekcji. Ale to nie koniec.

Kill switch wcale nie zakończył żywota Wanncry. Wręcz przeciwnie. W rzeczywistości, w ciągu zaledwie kilku dni od pierwszego ataku, nieznane osoby dokonały przypadkowych modyfikacji oryginalnej wersji Wannacry które skutecznie ominęły wrażliwą domenę. Ale to nie wszystko. Zmodyfikowane pliki binarne Wannacry zawierały błąd: skrypt, który powodował największe szkody w pierwszej kolejności – sam został uszkodzony. Oprogramowanie nie mogło już szyfrować wszystkich plików. Ale nadal mogło przenosić się na komputery, które nie zostały jeszcze załatane.

Wannacry jest w obiegu do dziś. Badacze SophosLabs raportują, że codziennie otrzymują ogromną liczbę zgłoszeń o próbach infekcji. Na dzień dzisiejszy laboratoria bezpieczeństwa otrzymują więcej alertów o Wannacry niż miało to miało to miejsce w przypadku jakiejkolwiek wcześniejszej rodziny szkodliwego oprogramowania.

Ciągłe raportowanie wykryć Wannacry zwraca uwagę na fakt, że miliony maszyn pozostają nieodporne na błąd, który został załatany ponad dwa lata temu. W tym czasie pojawiło się mnóstwo o wiele bardziej niebezpiecznych ataków. Jeśli maszyny zainfekowane Wannacry nadal są niewyleczone, są również podatne na te nowsze ataki a tym samym stanowią jeszcze większe zagrożenie.
Popularność i szybkość rozprzestrzeniania się Wannacry jest przestrogą i przypomnieniem tego, że aktualizowanie każdego punktu końcowego i komputera w sieci tak szybko, jak to możliwe, jest kluczowe, aby maszyny nie padły ofiarą epidemii ransomware.

źródło: opracowanie własne oraz Sophos Threat Report 2020: https://www.sophos.com/en-us/medialibrary/PDFs/technical-papers/sophoslabs-uncut-2020-threat-report.pdf

 

Kategorie: Kategoria

Sophos wprowadza nową wersję XG Firewall – Xstream

wt., 25/02/2020 - 14:17

Producent oprogramowania i sprzętu z zakresu ochrony infrastruktury IT, firma Sophos, zaprezentował niedawno nową wersję zapory sieciowej z serii XG, czyli XG Firewall Xstream. Poniżej zamieszczamy komunikat prasowy wydany w związku z tą premierą.

Badania przeprowadzone przez SophosLabs wskazują, że nawet 23% złośliwego oprogramowania wykorzystuje protokół TLS (Transport Layer Security) do szyfrowania komunikacji przesyłanej do centrów zarządzania Command&Control. Szyfrowanie stosuje także 44% przestępców kradnących dane, którzy ukrywają w ten sposób swoją działalność. Aby umożliwić firmom eliminowanie ryzyka ataków i deszyfrowanie ruchu sieciowego, Sophos wprowadził nową architekturę Xstream do zapór z rodziny XG Firewall. Zapewnia ona m.in. większą wydajność aplikacji oraz rozszerzoną analizę zagrożeń bazującą na sztucznej inteligencji.

Cyberprzestępcy wykorzystują protokół TLS m.in. do ukrywania swoich działań. Zwiększone ryzyko ataku wykorzystującego zaszyfrowany ruch sieciowy często jest jednak pomijane przez zespoły ds. bezpieczeństwa. Aż 82% administratorów uważa, że kontrola protokołu TLS jest konieczna, jednak tylko 3,5% firm odszyfrowuje ruch sieciowy w celu jego prawidłowego sprawdzenia. Powodem jest m.in. spowolnienie działania sieci i aplikacji.

Jak pokazują badania SophosLabs, cyberprzestępcy stosują szyfrowanie, aby ominąć używane przez firmy rozwiązania ochronne i uniknąć wykrycia. Niestety, większość firewalli nie ma skalowalnych funkcji obsługujących szyfrowanie w wykorzystaniem protokołu TLS i nie jest w stanie kontrolować tego typu ruchu bez przerwania pracy aplikacji lub pogorszenia wydajności sieci. Dzięki nowej architekturze Xstream oraz pełnej obsłudze najnowszej wersji protokołu TLS 1.3, XG Firewall eliminuje opóźnienia oraz problemy z kompatybilnością. Zapewnia przy tym lepszy wgląd w zaszyfrowany ruch przechodzący przez sieć. Nasze wewnętrzne testy wykazały dwukrotnie większą wydajność nowego silnika TLS XG w porównaniu z poprzednimi wersjami firewalla. Rozwiązanie Xstream jest też kompatybilne z platformą chmurową Sophos Central, dostępną w modelu SaaS. Umożliwia ona zarządzanie polityką bezpieczeństwa, aktualizacjami, reagowaniem na zagrożenia, logami, raportami czy analityką – wskazuje Mariusz Rzepka, Senior Manager Eastern Europe w firmie Sophos.

Nowe funkcje XG Firewall obejmują:

Kontrolę protokołu TLS 1.3 zwiększającą prawdopodobieństwo wykrywania złośliwego oprogramowania: nowy silnik TLS podwaja wydajność operacji deszyfrowania w porównaniu z poprzednimi wersjami XG Firewall.

Zoptymalizowaną wydajność krytycznych aplikacji: nowe elementy pakietu FastPath przyspieszają działanie aplikacji SD-WAN i ruchu sieciowego, w tym Voice over IP, SaaS i innych.

Dopasowane skanowanie ruchu: ulepszony silnik Deep Packet Inspection (DPI) dynamicznie ocenia strumienie ruchu i w odpowiedni sposób dopasowuje poziomy zaawansowania skanowania zagrożeń, zwiększając wydajność tego procesu nawet o 33% w większości środowisk sieciowych.

Analizę zagrożeń z SophosLabs: administratorzy sieci zyskują dostęp do modułu analizy zagrożeń wspomaganej przez sztuczną inteligencję SophosLabs. Umożliwia to zrozumienie stale zmieniającego się krajobrazu zagrożeń i dopasowanie zabezpieczeń do aktualnych potrzeb.

Kompleksowe zarządzanie i raportowanie w chmurze w Sophos Central: scentralizowane funkcje platformy Sophos Central zapewniają całościowe zarządzanie zaporami sieciowymi i elastyczne raportowanie w chmurze bez dodatkowych opłat.

Integrację z usługą Sophos Managed Threat Response (MTR): użytkownicy XG Firewall, którzy korzystają także z usługi Sophos MTR Advanced, będą dysponowali większymi możliwościami zapobiegania, wykrywania i reagowania na zagrożenia.

Sophos XG Firewall jest dostępny w chmurze na platformie Sophos Central, wraz z całą gamą rozwiązań Sophos nowej generacji. Unikalne podejście Synchronized Security umożliwia koordynację wymiany informacji w czasie rzeczywistym pomiędzy różnych rozwiązaniami Sophos, dzięki czemu wzrasta skuteczność i szybkość reagowania na zagrożenia.

Więcej informacji o sposobach wykorzystywania protokołu TLS przez cyberprzestępców w filmie Sophos: https://vimeo.com/392040023

Kategorie: Kategoria

Symulator ataków phishingowych: Sophos Phish Threat

czw., 13/02/2020 - 14:52

Rozwijanie kultury świadomości dotyczącej bezpieczeństwa informatycznego w firmie, to coraz częściej obierany kierunek we współczesnym biznesie. Osoby zarządzające firmami zaczęły zdawać sobie sprawę, że posiadanie nawet najlepszych i najdroższych rozwiązań zabezpieczających ich organizacje może być niewystarczające, ponieważ od zawsze najsłabszym ogniwem w tym łańcuchu jest i pewnie pozostanie człowiek. Dlatego też w przedsiębiorstwach coraz częściej powoływane są osoby lub zespoły, których zadaniem jest tworzenie mechanizmów uświadamiających, a przez to zmieniających nawyki dotyczące bezpieczeństwa w trakcie wykonywania przez pracowników codziennych obowiązków w miejscu pracy.
Jednym z takich obowiązków lub też czynności, bez których nie wyobrażamy sobie funkcjonowania żadnej organizacji we współczesnym świecie jest obsługa poczty email. W ciągu jednego dnia pracy organizacje odbierają i wysyłają olbrzymie ilości wiadomości email. Jest to proces, który idealnie nadaje się do wykorzystania, w celu dystrybucji złośliwego oprogramowania lub wyłudzenia danych. Według CERT Polska:

„W 2018 r. trzy najczęściej występujące typy incydentów to phishing, dystrybucja złośliwego oprogramowania i spam.”

Jednym ze sposobów na sprawdzenie świadomości pracowników oraz przetestowanie zabezpieczeń wykorzystywanych w organizacji jest Phish Threat. Jego producentem jest firma Sophos – jeden z wiodących dostawców rozwiązań cybersecurity na świecie.

Czym jest Sophos Phish Threat?

Phish Threat jest niczym innym jak symulatorem ataku, który możemy przeprowadzić w kilku bardzo prostych krokach (o czym później), wystarczy tylko wybrać odpowiedni szablon, wysłać go mailem do wybranej grupy osób i sprawdzić raporty, dzięki którym zyskamy wiedzę, którzy pracownicy lub grupy pracowników są podatni na tego typu zagrożenia i w konsekwencji jaka jest świadomość całej organizacji.

Co nam daje Phish Threat?

Phish Threat umożliwia nam wybranie interesującej nas kampanii lub całej jej serii, w zależności od naszych preferencji. Do wyboru posiadamy 4 rodzaje kampanii, których odpowiednio przygotowane szablony są w pełni edytowalne, co pozwala na 100% spersonalizowanie wiadomości aby skutecznie oszukać odbiorcę i sprowokować go do kliknięcia w podejrzany link lub do otwarcia podejrzanego załącznika. Jest to bardzo przydatne ze względu na możliwość dopasowania ataku do wewnętrznych polityk bezpieczeństwa, procedur, czy zaleceń.

Wraz z wyborem symulacji ataku Phish Threat oferuje nam dowolność w spersonalizowaniu zaplanowanego ataku. Między innymi mamy możliwość edycji dostępnych szablonów, a ich ilość i pomysłowość robi wrażenie. Możemy przygotowywać różne kampanie, które swoim zasięgiem obejmą całą firmę lub przygotowanym stricte dla konkretnych odbiorców np. księgowości, działów zakupów, czy obsługi klienta.

Po wyborze kampanii oraz odpowiadającym jej szablonom, mamy możliwość podpięcia szkolenia, które „w nagrodę”, za otwarcie podejrzanego załącznika lub podanie danych do logowania, zafunduje sobie nierozważny odbiorca wiadomości. Phish Threat już na etapie tworzenia mailingu sugeruje, w zależności od rodzaju kampanii, jakie szkolenie byłoby najodpowiedniejsze. Oczywiście mamy możliwość rezygnacji ze szkolenia w ogóle.

Wiedza, to kluczowa sprawa!

Po przygotowaniu i rozesłaniu kampanii przychodzi najciekawszy moment, a mianowicie sprawdzenie wyników. Nie byłoby to możliwe, bez zaawansowanego systemu raportowania, który w Phish Threat, w przejrzysty sposób dostarczy nam wielu ciekawych informacji o poszczególnych użytkownikach jak i całych grupach a w konsekwencji o całej organizacji.

Wyzwanie!

Podsumowując jeśli szukacie wydajnego narzędzia do przetestowania swojej firmy pod względem podatności jej pracowników na wszelkiego rodzaju ataki phishingowe i nie tylko, lub jeśli uważacie, że Wasi pracownicy są odporni na tego typu prowokacje, to zachęcamy Was do przetestowania Sophos Phish Threat. Wystarczy do nas zadzwonić lub napisać.

Kategorie: Kategoria

Wyzwania cyberbezpieczeństwa w roku 2020 według SOPHOS – część II: Urządzenia mobilne w akcji

czw., 13/02/2020 - 09:35

Zapraszam na kolejną część raportu SOPHOS, opisującego wyzwania stojące przed administratorami IT w roku 2020. W dzisiejszym artykule zajmiemy się urządzeniami mobilnymi i faktem, że są one nieodłącznym elementem naszego życia, a niejednokrotnie bagatelizujemy ich znaczenie i ochronę informacji, które w nich przechowujemy.

Pierwszą część raportu, opisującą ransomware można znaleźć TUTAJ

Brzydkie zagrywki przynoszą efekty

W ubiegłym roku zaobserwowaliśmy zwiększającą się różnorodność ataków mobilnych wykorzystywanych przez przestępców mających na celu atakowanie właścicieli smartfonów. Kieszonkowe komputery, które wielu z nas nosi, zawierają mnóstwo osobistych i poufnych informacji, które ujawniają wiele o naszym codziennym życiu. Wbrew pozorom, napastnicy wcale nie muszą kraść tych informacji, aby czerpać korzyści z ataku. Coraz częściej polegamy na tych urządzeniach, aby zabezpieczyć nasze prywatne konta, wykorzystując uwierzytelnianie dwuskładnikowe poprzez wiadomości SMS lub przy użyciu aplikacji uwierzytelniających na samych telefonach komórkowych. Wiele ataków „SIMjacking”, które miały miejsce w ubiegłym roku, ujawniło, że atakujący biorą sobie na cel słabe ogniwo między klientami a dostawcami telefonów komórkowych, które może być łatwo skompromitowane za pomocą inżynierii społecznej, co  w konsekwencji doprowadziło do kilku głośnych kradzieży zarówno kryptowaluty, jak i środków finansowych od zamożnych osób.

 Złośliwe oprogramowanie pozostaje największym problemem, przede wszystkim (choć nie wyłącznie) na platformach Android i iOS. Aby temu zaradzić, właściciele dużych sklepów z oprogramowaniem, Apple i Google, skanują aplikacje w poszukiwaniu cech wskazujących na to, że mogą one zawierać kod, o którym wiadomo, że jest wykorzystywany w złośliwy sposób. Jeśli skanowanie zarejestruje podejrzane zachowania aplikacji, to jest ona automatycznie oznaczana jako niebezpieczna. Niestety mechanizm ten nie jest idealny – niektórzy twórcy oprogramowania opracowali genialne metody ukrywania prawdziwych intencji swoich aplikacji przed kontrolą Google (lub badaczy bezpieczeństwa).

Pomyślmy, co się stanie, jeśli programista tak napisze swoją aplikację, aby uniknąć kontroli systemów Google i nadal będzie oszukiwać użytkowników, stosując nieuczciwe metody? W połączeniu z bardzo rozdrobnionym ekosystemem Androida, w którym wielu producentów urządzeń rzadko oferuje aktualizacje systemu operacyjnego, urządzenia mobilne pozostają łatwym celem ataków.

Pieniądze z reklam zasilają oszustów

Reklama pomaga twórcom aplikacji utrzymać się na rynku, a jednocześnie zapewnia użytkownikowi w rewanżu przydatne aplikacje. W samych reklamach nie ma nic złego, pod warunkiem, że celem aplikacji nie jest maksymalizacja przychodów z reklam – kosztem praktycznie wszystkiego innego.

Aby osiągnąć wspomniany wyżej cel, programiści aplikacji mobilnych oszukują klientów i systemy naliczania wynagrodzeń za reklamy. Niektórzy twórcy publikują w sklepie aplikacje zawierające w większości pracę innej osoby, a sama aplikacja jest połączona z bibliotekami reklamowymi, które nie są częścią oryginalnej aplikacji właściwego autora. Ponieważ aplikacje tego typu nie zawierają jawnie złośliwego kodu, automatyzacja zastosowana do skanowania aplikacji po ich pierwszym przesłaniu do Sklepu Play zgłasza, że ​​są one łagodne i umożliwia ich dopuszczenie do pobrania przez konsumentów.

Inni programiści tworzą oryginalne aplikacje, które oprócz podanych funkcji, wykorzystują specjalnie opracowane instrukcje, które automatycznie generują „pseudokliknięcia” treści reklamowych, aby przekonać reklamodawców, że użytkownicy aplikacji byli tak niesamowicie zachwyceni reklamami wyświetlanymi w aplikacji, że klikali w nie bez opamiętania. Gdy użytkownik faktycznie kliknie reklamę, sieć reklamowa płaci premię twórcy, którego aplikacja przedstawiła użytkownikowi reklamę. Fałszywe kliknięcia gwarantują, że partner reklamowy otrzyma premię za reklamy za każdym razem, gdy użytkownik fizycznie kliknie w baner z reklamą. Niektóre z tych zwodniczych aplikacji zgłaszają sfałszowany ciąg User-Agent reklamodawcom, dzięki czemu całe zachowanie wygląda tak, jakby sztucznie wygenerowane kliknięcia, z jednej aplikacji na systemie Android na jednym urządzeniu, faktycznie powstały w kilkudziesięciu różnych aplikacjach na różnych urządzeniach.
Oszustwo to odbija się nie tylko na reklamodawcach, ale również i na samych użytkownikach, ponieważ zauważają oni, że aplikacje, które biorą udział w tego typu oszustwach reklamowych, zużywają ogromne ilości danych, nawet gdy telefon jest w trybie uśpienia. W konsekwencji doprowadza to do skrócenia żywotności baterii, generuje wyższe opłaty za wykorzystanie danych mobilnych i obniżoną wydajność urządzenia.

Fleeceware – nowa metoda wyłudzania środków przez aplikacje 

W ubiegłym roku laboratoria Sophos odkryły grupę aplikacji, które wykorzystują nowatorski model biznesowy, który nazwany został fleeceware. Aplikacje tego typu istnieją wyłącznie po to, by klienci tracili bardzo duże pieniądze. Same aplikacje nie spełniają nijak definicji złośliwej aplikacji, ani nie wykazują żadnej złośliwej aktywności, nie są również uważane za potencjalnie niechciane aplikacje, czy też takie, które miałyby cokolwiek uszkodzić. Twórcy aplikacji fleeceware korzystają z modelu biznesowego zakupów w aplikacji dostępnego w ekosystemie Sklepu Play na Androida. Użytkownicy mogą pobierać aplikacje i korzystać z nich bezpłatnie przez krótki okres próbny, ale muszą za to podać informację o wybranej przez siebie formie płatności dla programisty na samym początku okresu próbnego. Jeśli użytkownik nie anuluje okresu próbnego przed jego wygaśnięciem, programista obciąża użytkowników regularnie bardzo wysoką kwotą za użytkowanie aplikacji z funkcjami tak prostymi, jak darmowe filtry fotograficzne czy skanery kodów kreskowych. Wielu użytkowników błędnie  zakłada, że odinstalowanie aplikacji kończy okres próbny, ale programiści są o krok przed nimi – wymagają przejścia procesu anulowania subskrypcji. Jeśli po wygaśnięciu okresu próbnego, użytkownik nie odinstalował aplikacji, ale poinformował programistę, że nie chce dalej z niej korzystać, programista pobiera specjalną opłatę za rezygnację z korzystania z aplikacji. I koło się zamyka.

 Pseudobankowe aplikacje unikają kontroli w Sklepie Play

Aplikacje zaprojektowane w celu kradzieży danych uwierzytelniających nasze konta bankowe od dawna niepokoją użytkowników Androida.
Aplikacje dostępne za pośrednictwem Sklepu Google pojawiły się jako te związane z finansami, jednakże dopiero w drugim etapie ujawniają one swoją prawdziwą naturę. Ponieważ złośliwy kod nie jest obecny w pliku .apk, dopóki użytkownik nie pobierze i nie zainstaluje aplikacji na swoim urządzeniu, usługom skanowania bezpieczeństwa Google bardzo trudno jest wykryć i zapobiec tym zagrożeniom. Twórcy aplikacji do wyłudzania danych bankowych zaczęli również nadużywać różnych uprawnień aplikacji na Androida, takich jak pozwolenie na dostęp (które ma pomóc użytkownikom niepełnosprawnym). Złośliwe aplikacje używają tego uprawnienia, aby przyznać sobie prawa do monitorowania działań użytkownika, takich jak naciśnięcia klawiszy na klawiaturach wirtualnych, gdy użytkownicy logują się do zaufanych aplikacji bankowych.

Ukryte aplikacje adware typu hiddad

Hiddad to rodzina szkodliwego oprogramowania, której głównym celem jest zarabianie poprzez agresywną reklamę. Oprogramowanie to przynosi autorowi zyski tak długo, jak długo pozostaje niewykryte i nieusunięte przez użytkownika. W związku z powyższym takie aplikacje ukrywają się w celu uniknięcia prób odinstalowania.
Złośliwe oprogramowanie  typu hiddad ukrywa ikonę aplikacji w zasobniku aplikacji i programie uruchamiającym (launcherze) co więcej często tworzony jest skrót do aplikacji, który nie umożliwia jej usunięcia. Złośliwe oprogramowanie hiddad może również nadawać sobie nieszkodliwe nazwy i systemowe ikony w ustawieniach telefonu. Złośliwe oprogramowanie tego typu zwykle przyjmuje formę legalnej aplikacji, takiej jak czytnik kodów QR czy aplikacja do edycji obrazów. Autorzy bardzo często udostępniają go w sklepach z aplikacjami, aby szybko zainfekować dużą liczbę urządzeń, a tym samym znacząco zwiększyć przychody reklamodawcy. Niektóre aplikacje tego typu wielokrotnie proszą użytkowników o wysoką ocenę aplikacji  lub instalują dodatkowe aplikacje, aby szybko zwiększyć popularność i liczbę instalacji. Tylko we wrześniu 2019 r. W Sklepie Play odkryto co najmniej 57 aplikacji typu hiddad, których łączna liczba instalacji wynosi około 15 milionów. Laboratoria Sophos odkrywają nowy zestaw takich aplikacji regularnie co kilka tygodni. Wielu z tych aplikacji udało się uzyskać ponad milion pobrań w ciągu kilku tygodni od pojawienia się w Internecie.
Aplikacje typu hiddad będą na pewno jednymi z najchętniej wykorzystywanych przez cyberprzestępców w 2020 roku.

źródło: opracowanie własne oraz Sophos Threat Report 2020: https://www.sophos.com/en-us/medialibrary/PDFs/technical-papers/sophoslabs-uncut-2020-threat-report.pdf

Kategorie: Kategoria

MailStore w wersji 12.1 – poprawa wydajności i zakończenie wsparcia wybranych systemów

wt., 11/02/2020 - 13:05

Producent oprogramowania MailStore opublikował najnowszą wersję oprogramowania, oznaczoną numerem 12.1 która wnosi kilka zmian:

1) Poprawa wydajności archiwizacji skrzynek pocztowych – producent deklaruje, że dzięki ulepszeniom w sposobie obsługi magazynów archiwów w MailStore Sterver i MailStore SPE, wydajność archiwizacji skrzynek pocztowych zwiększyła się nawet o 20% w porównaniu z wcześniejszymi wersjami.

 2) Zakończenie wsparcia dla Windows Vista, Windows Server 2008 i Windows Server SBS 2008 - po długiej fazie przejściowej, MailStore Server kończy wsparcie dla przestarzałych już systemów operacyjnych firmy Microsoft. Nie będzie już możliwe uruchomienie MailStore Server w systemach Windows Vista, Windows Server 2008 oraz Windows Small Business Server 2008. Klienci korzystający z tych systemów operacyjnych nie będą mogli używać oprogramowania MailStore od wersji 12.1.

We własnym interesie zalecamy użytkownikom zaktualizowanie używanego systemu operacyjnego do wersji objętej aktualizacjami i wsparciem producenta.

3) Oprogramowanie MailStore jest teraz w stanie eksportować zarchiwizowane wiadomości e-mail bez potrzeby odtwarzania oryginalnej struktury folderów archiwum. W niektórych scenariuszach ułatwi to obsługę i przetwarzanie eksportowanych wiadomości e-mail oraz umożliwi to użytkownikom uniknięcie ograniczeń maksymalnej głębokości podfolderów dopuszczalnej w miejscu eksportu.

4) Pomoc podczas procesu konfiguracji oraz opcja eksportu szczegółowych informacji o czynnościach wykonywanych przez użytkowników:

- Podczas procedury konfigurowania archiwizacji wiadomości e-mail dla Microsoft Exchange kreator instalacji zapewnia bezpośredni link do pomocy online dla wszystkich obsługiwanych wersji Exchange i Microsoft Office 365.

- Ważną funkcją zgodności oprogramowania jest dziennik kontroli, w którym zdarzenia na serwerze są rejestrowane w celu późniejszego ewentualnego audytu. Począwszy od wersji 12.1 administrator MailStore może dodatkowo wyeksportować szczegółowe informacje należące do każdego zarejestrowanego zdarzenia zawartego w dzienniku kontroli MailStore, aby dane te można było później szczegółowo przeanalizować.

5) Archiwa należące do użytkowników, którzy opuścili firmę, są teraz wyświetlane osobno na stronie „Uprawnienia” w sekcji „Użytkownicy i archiwa”.  Dzięki temu administratorzy mogą szybko zidentyfikować archiwa, do których użytkownicy nie są już przypisani.

6) Nowe ikony MailStore znacznie lepiej komponują się z obecnym wyglądem Outlooka, tworząc bardziej harmonijny, nowoczesny wygląd:

Szczegółowe informacje o programie oraz wersję próbną można pobrać ze strony: https://mailstore.suncapital.pl

 

źródło: https://www.mailstore.com/en/blog/2020/02/05/mailstore-v12-1-faster-easier-use/

 

Kategorie: Kategoria

Sophos XG Firewall w wersji 18 – lista wspieranych modeli

wt., 11/02/2020 - 10:45

SOPHOS ogłosił listę urządzeń, które będą umożliwiały aktualizację oprogramowania XG do wersji 18.

Szczegóły znajdują się na grafice poniżej:

Wszystkie obecne i poprzednie modele z serii XG i SG z co najmniej 4 GB pamięci RAM można zaktualizować do wersji 18, drugim warunkiem koniecznym jest ważna subskrypcja.

Każdy model, który nie będzie umożliwiał aktualizacji do wersji 18 będzie wspierany w wersji 17.5. 

Dowolny model obsługiwany tylko do wersji 18, np. starsze wersje XG / SG, będzie nadal otrzymywać wsparcie zgodnie z polityką producenta.

Kategorie: Kategoria

Strony

Dane kontaktowe

Sun Capital Sp. z o.o. 
ul. Ołtaszyńska 92c/6
53-034 Wrocław

tel. +48 071 707-03-76
tel. +48 071 360-81-00

suncapital[at]suncapital.pl

https://www.suncapital.pl

Subskrybuj nowości

Newsletter obsługiwany przez sendingo