July 14th, 2017

Вирусы пишут талантливые люди

Вирусы пишут талантливые люди

Я всегда интуитивно склонялся к тому, что вирусы пишут не только глубоко обиженные на судьбу люди, но и талантливые, амбициозные, профессиональные и действительно увлеченные своей идеей люди.

С возрастом я все больше в этом убеждаюсь. Эпидемия вируса Petya - этому лишний раз подтверждение.

уважуха

В голове невольно складываются кубики — что сделали правильно или неправильно, как только узнали об атаке?

Как выразился Игорь Шаститко — «что действительно должны были сделать»? Какие сервисы защиты уже были на всех уровнях ИТ-инфраструктуры?

Рекомендации от Игоря Шаститко кратки и просты (для специалистов):

Уровень

Технологии

Данных ACL / шифрование
Приложений антивирус (который поддерживается на Windows +Linux), Applocker / Device Guard
Хостов Последняя версия ОС, аутентификация, управление обновлениями, FW, защита от вторжения (IDS),  Device Guard
LAN Сегментирование и изоляция (VLAN), шифрование (IPSec), защита от вторжения (NIDS)
Периметр FW, контроль доступа, App FW, NAP
Физическая безопасность Охрана, ограничение доступа, аппаратный контроль и аудит доступа, отслеживание устройств, камеры наблюдения
Люди, политики, процедуры Документирование, тренинги, предупреждения и уведомления, наказания…

Если углубиться, то этот посыл может выглядеть так:

Необходимые технологии для закрытия от вирусных атак типа Petya nonPetya

Уровень Технологии
Данных ·         ACL

·         Шифрование

·         Классификация данных с RMS

·         ACL есть?

·         Шифрование есть?

·         RMS нет?

Active Directory («Активный каталог», AD) — служба каталогов корпорации Microsoft ·         Актуальная база Users, Comps, Servers, Groups в AD: OU для серверов приложений (сегментированных между собой по типам приложений и требуемого сетевого доступа)

·         OU для Users&Admins по структуре и местоположению

·         Microsoft PAM

·         разделяемый доступ администраторов к OU

·         Обычно что-то есть в AD, но не задокументировано.

·         Microsoft PAM,

·         LAPS — нет:  уникальные административные пароли на каждой рабочей станции/сервере – утилита Local Administrator Password Solution (LAPS).

·         Административные учетные записи, не обладающие полнотой прав на уровне всей сети (Securing-privileged-access).

·         Жесткая идентификация пользователя и на каком компьютере произведен вход в полях AD:

1.       Расширить схему AD и добавить поле для MAC-адреса компьютера;

2.       Внести в тестовый логон-script, чтобы для каждого пользователя, кто входит в сеть, напротив имени учетной записи в поле description вписывалось FDQN компьютера, с которого произведен вход;

3.       В том же скрипте вписывать в поле description в имени компьютера имя учетной записи пользователя, который вошел на этот компьютер и в новое поле по п.1 вписывать MAC-адреса компьютера

Приложений ·         антивирусы (обновление сигнатур),

·         «бронирование» приложений и сервисов с помощью механизмов обнаружения вторжения

·         подписка на Defender ATP или

·         Microsoft ATA

·         Applocker

·         Device Guard

Хостов ·         ОС (политики с рекомендованными настройками безопасности от Microsoft Security Compliance Manager или

·         отключить SMB v1 как класс и прочие ненужные устаревшие сервисы

·         через AD GPO запретить User открывать разделяемые ресурсы),

·         аутентификация,

·         управление обновлениями,

·         FW,

·         защита от вторжения (IDS — подписка на Defender Advanced Thread Protection),

·         VBS,

·         Device Guard

·         VBS и Device Guard для защиты от кражи идентити.

1.       Но – VBS есть только в Windows 10 не во всех редакциях и

2.       есть рекомендации по защите хостов от Pass-the-hash/pass-the-ticket атак для Windows 7,

3.       использование рекомендованных шаблонов безопасности (для Windows 10 без VBS/DG) — отключение кеширования идентити при входе.

·         Уникальные административные пароли на каждой рабочей станции/сервере – утилита Local Administrator Password Solution (LAPS).

·         Административные учетные записи, не обладающие полнотой прав на уровне всей сети (Securing-privileged-access).

LAN ·         Сегментирование и изоляция (VLAN)

·         шифрование (IPSec)

·         защита от вторжения (NIDS)

·         сегментирование и изоляция (VLAN)

·         заменить все Cisco по проекту = заменить сетевые устройства, которые не поддерживают 802.1x во всей сети

·         Создать сегменты для серверов приложений (сегментированных между собой по типам приложений и требуемого сетевого доступа)

·         RADIUS

·         Включить 802.1x на сетевом уровне

Периметр ·         FW,

·         контроль доступа,

·         App FW,

·         NAP

·         сервис фильтрации почтовых сообщений (в Microsoft Exchange) – удаление всех файлов, кроме разрешенных типов,

·         антивирусная система для электронной почты.

·         аренда аналогичных облачных сервисов Exchange Online Protection, «знания» которого не зависят от «расторопности» администраторов (время внедрения – 30 мин + обновление доменного имени)

Физическая безопасность ·         Охрана,

·         ограничение доступа,

·         аппаратный контроль и аудит доступа,

·         отслеживание устройств,

·         камеры наблюдения

соответствие инвентарному кол-ву компьютеров
Люди, политики, процедуры ·         Документирование,

·         тренинги (обучение не открывать файлы),

·         предупреждения и уведомления (о возможных атаках),

·         наказания:

1.       вплоть до увольнения и судебных исков против запустивших вирус

2.       персональная ответственность админов и сетевиков за каждый следующий поломанный по сети компьютер из-за того, что его учетная запись «гуляет» по всей сети

Предупреждали пользователей, пугали наказанием — сработало.

Админы могут проигнорировать смену паролей — нужно проверить даже, если доверяешь

Что было сделано правильно в первые часы атаки:

Первичный сценарий заражения

Предпринятые меры

Сценарий – проникновение через почтовые сообщения в виде вложения к письму заблокировали почтовые вложения

+ неоднократные рассылки с категорическим запретом открытия подозрительных вложений

Сценарий –  через систему обновлений MEDoc, так называемую атаку «software supply chain attacks», когда взламывается поставщик ПО погасили сервера M.E.Doc до выяснения

Вторичный сценарий заражения

Предпринятые меры

Активация. Сценарий –  команда через Интернет зараженным ПК закрыли доступ всех пользователей в сеть Интернет
Механизм, использующий уязвимость SMBv1 (EternalBlue/EternalRomance) на находящихся в одной подсети с зараженным ПК компьютерах исторически созданное сегментирование сети

+ всех заставили выключить ПК и распустили домой

Механизм pass-the-hash/pass-the-ticket, используя имеющиеся на зараженном ПК сеансы пользователей/администраторов локальных и доменных всех заставили выключить ПК и распустили домой

Ссылки:

Securing Privileged Access — http://aka.ms/privsec

Defense-in-Depth https://msdn.microsoft.com/ru-ru/library/cc767969.aspx

Рекомендованные шаблоны безопасности (и для Windows без VBS/DG) – http://aka.ms/pth

Local Administrator Password Solution (LAPS) — http://aka.ms/laps

Учетные записи, не обладающие полнотой прав на уровне всей сети — https://docs.microsoft.com/en-us/windows-server/identity/securing-privileged-access/securing-privileged-access-reference-material

Практическое видео от Игоря Шаститко с примером реальной лабораторной по заражению домена Petya.C с правильно настроенными политиками безопасности согласно требованиям Defense-in-Depth для защиты от современных типов угроз (типа того же Pass-the-Hash/Pass-tht-Ticket, которые использовал Petya.C) – при явном заражении одного ПК – влияние вируса на остальную лабу – нулевое.

Ну, вот где-то так.



Teamviewer. Ransomware. Пресс-релиз 23.03.2016



Пресс-релиз 23.03.2016

Информационное сообщение о распространении программы-вымогателя посредством TeamViewer

В последние дни появились сообщения о случаях заражения программами-вымогателями (т. н. «ransomware») в связи с использованием ПО TeamViewer. Мы строго осуждаем любую преступную деятельность, но хотели бы подчеркнуть два аспекта:

(1) До настоящего момента ни один из случаев заражения не связан с уязвимостью в ПО TeamViewer.
(2) Существует ряд мер, которые помогают предотвратить потенциальные нарушения.

(1): Мы тщательно исследовали случаи, которые стали нам известны, и пришли к выводу, что стоящие за ними проблемы безопасности не могут быть связаны с ПО TeamViewer. До сих пор у нас нет доказательств того, что злоумышленники используют какие-либо потенциальные уязвимости в TeamViewer. Более того, атаку с применением технологии «незаконный посредник» (man-in-the-middle) фактически можно исключить, поскольку в TeamViewer используется сквозное шифрование. У нас также нет оснований полагать, что причиной упомянутых заражений стала атака с использованием переборного криптоанализа (brute-force). Дело в том, что TeamViewer экспоненциально увеличивает задержку между попытками подключения, поэтому всего на 24 попытки ушло бы целых 17 часов. Время задержки обнуляется только после ввода правильного пароля. В TeamViewer предусмотрен механизм, защищающий клиентов от атак не только с одного конкретного компьютера, но и с множества компьютеров (так называемые «атаки бот-сетей»), пытающихся получить доступ к конкретному TeamViewer-ID.

Кроме того, мы хотели бы заявить, что ни один из этих случаев не свидетельствует о дефектах в архитектуре или механизмах обеспечения безопасности ПО TeamViewer.

Причина всех изученных нами случаев заражения кроется, прежде всего, в небрежном использовании ПО. Сюда, в частности, относится использование одинаковых паролей для разных учетных записей пользователей в системах различных поставщиков.

Большинство поставщиков, среди которых и TeamViewer, надежно защищают данные пользователей с помощью соответствующих мер безопасности. Однако есть поставщики, которые защищают пользовательские данные недостаточно или не защищают их вовсе. Эти поставщики становятся легкой мишенью для хакеров и воров данных, которые затем продают свою «добычу» на соответствующих ресурсах или же злонамеренно публикуют учетные данные пользователей на общедоступных сайтах.

Поскольку TeamViewer — очень популярное ПО, многие киберпреступники пытаются выполнить вход в систему под учетными данными взломанных аккаунтов (добытых из вышеуказанных источников), чтобы узнать, существует ли аккаунт TeamViewer с такими же учетными данными. Если такой аккаунт находится, велика вероятность, что вредоносное ПО, включая и программы-вымогатели, будет установлено на все связанные с ним устройства. Тем не менее, пользователи могут обезопасить себя от подобных проблем.

(2) Компания TeamViewer осуждает любые преступные приемы и уловки и настоятельно рекомендует пользователям защищать себя с помощью адекватных контрмер:


  • Во-первых, источники загрузки: мы советуем пользователям загружать ПО TeamViewer только из официальных источников.

  • Во-вторых, пользователи должны защищать любые аккаунты — будь то в системах TeamViewer или любых других поставщиков — с помощью уникальных и максимально надежных паролей.

  • В-третьих, TeamViewer настоятельно рекомендует пользователям защищать свои аккаунты с помощью технологии двухфакторной аутентификации. См.: http://www.teamviewer.com/en/help/402-How-do-I-activate-deactivate-two-factor-authentication-for-my-TeamViewer-account.aspx

  • • Наконец, пользователи должны убедиться, что их устройство не заражено вирусами, программами-шпионами и другими видами вредоносного ПО, которые хакеры используют для получения конфиденциальной информации.

Команда поддержки TeamViewer всегда рада помочь с решением любых технических сложностей или ответить на вопросы: support@teamviewer.com.

TeamViewer рекомендует пользователям, которые стали жертвой преступных действий, сообщить о случившемся в местное отделение полиции. Это особенно важно, поскольку компания TeamViewer юридически связана очень строгими нормами и правилами в области защиты данных и имеет право предоставлять конфиденциальную информацию только уполномоченным лицам или органам.

© TeamViewer GmbH, 2016. Все права защищены.



Teamviewer. Пять правил от TeamViewer в честь Всемирного дня пароля


344537.jpg

Пресс-релиз 04.05.2016

Пять правил от TeamViewer в честь Всемирного дня пароля

Надежные пароли и двухфакторная аутентификация — самые эффективные способы защиты учетных записей пользователей

Гёппинген, Германия, 4 мая 2016 г. - TeamViewer®, ведущий поставщик программного обеспечения для удаленного управления устройствами и интерактивной совместной работы, отмечает Всемирный день пароля (5 мая 2016 г.) и делится простыми и эффективными советами по защите учетных данных. Помимо создания надежных паролей, TeamViewer настоятельно рекомендует пользователям применять двухфакторную аутентификацию в качестве дополнительного уровня защиты от несанкционированного доступа.

Далее приводится пять простых правил создания паролей. Если говорить менее формально, TeamViewer просит соблюдать следующее забавное, но очень эффективное правило: пароли как белье: меняйте их регулярно и не показывайте на публике!


  • 1. Создавайте разные пароли для разных учетных записей. Если вы используете одни и те же учетные данные для входа в разные учетные записи, то несанкционированный доступ даже в одну из них ставит под угрозу все остальные.

  • 2. Не сообщайте никому свои пароли. Пароль — это секретное слово или фраза по определению, поэтому хорошо подумайте, прежде чем передавать его кому-либо.

  • 3. Регулярно меняйте пароли. Даже если вы используете надежный пароль, меняйте его регулярно. Вы можете не сразу заметить несанкционированный доступ к своей учетной записи, поэтому регулярно меняйте пароли, а лучше создайте график их изменения, чтобы не забывать об этом!

  • 4. Не используйте в паролях информацию, связанную с вашей личностью. Множество надежных паролей трудно запомнить. Чтобы упростить запоминание паролей, многие пользователи используют в них значимые для себя имена и даты. Однако преступники могут использовать вашу публично доступную информацию и учетные записи в социальных сетях для получения этих данных и разгадывания паролей.

  • 5. Используйте двухфакторную аутентификацию. Хотя создание надежных паролей — лучший первый шаг к безопасности, добавить дополнительный слой защиты в виде двухфакторной аутентификации никогда не помешает. В этом случае пароль дополняется еще одним условием. Часто это код безопасности, высылаемый на мобильное устройство пользователя, и без этого кода выполнить вход в учетную запись невозможно. Дополнительная информация о настройке двухфакторной аутентификации для учетных записей пользователей TeamViewer приведена по ссылке:
    https://www.teamviewer.com/ru/help/402-How-do-I-activate-deactivate-two-factor-authentication-for-my-TeamViewer-account.aspx

Безопасность и конфиденциальность пользователей — главная задача Андреаса Хейссела (Andreas Heißel), специалиста по безопасности TeamViewer. Он поясняет: «Многим пользователям сложно запомнить большое количество разных паролей. Я всегда рекомендую использовать хранилища паролей, которые сегодня предлагаются в самых различных вариантах. Это обеспечит необходимую безопасность и позволит не сбрасывать забытые пароли при каждом входе в аккаунт».

В своем посте Хейссел дает ряд полезных советов для пользователей: https://blog.teamviewer.com/best-password-security/

Более подробную информацию о внедренных TeamViewer мерах безопасности см. по ссылке: https://www.teamviewer.com/docs/ru/TeamViewer-Security-Statement-ru.pdf

О Всемирном дне пароля

Согласно календарю национальных праздников, «день пароля» впервые предложил отмечать в 2005 году исследователь в сфере безопасности Марк Бурнетт (Mark Burnett) в своей книге «Perfect Passwords» («Идеальные пароли»). Предполагается, что в этот день пользователи должны менять свои самые важные пароли. Вдохновленная этой идеей, служба безопасности Intel поддержала эту инициативу и в мае 2013 года объявила первый четверг мая Всемирным днем пароля. Главной задачей Всемирного дня пароля является повышение осведомленности пользователей о важности защиты паролей. Более подробную информацию см. по ссылке: https://passwordday.org/



TeamViewer объявляет о выпуске решения ITbrain Backup для надежной защиты конечных точек

344537.jpg

Пресс-релиз 11.08.2016

TeamViewer объявляет о выпуске решения ITbrain Backup для надежной защиты конечных точек

Новые функции предназначены для поставщиков управляемых услуг, а также малых и средних компаний, которым необходимо обеспечить безопасность данных конечных точек.

Тампа, штат Флорида, 11 августа 2016 г. — Сегодня компанияTeamViewer®, ведущий поставщик программного обеспечения для удаленного управления устройствами и интерактивной совместной работы, объявила о доступности решения ITbrain Backup для простой и надежной защиты данных конечных точек. С помощью ITbrain Backup пользователи могут безопасно выполнять резервное копирование данных, а в случае аварии — удаленно восстанавливать их.

ITbrain Backup удовлетворяет потребности поставщиков управляемых услуг, малых и средних компаний в регулярном автоматическом резервном копировании данных с неограниченного количества конечных точек, гарантируя их защиту. ITbrain Backup позволяет восстанавливать данные из центров обработки данных, расположенных в Германии, США и Азии, через единый веб-интерфейс.

«Сегодня поставщикам управляемых услуг, а также малым и средним компаниям необходимы инструменты, способные удовлетворить их уникальные потребности без значительных инвестиций в дополнительные ресурсы. Благодаря ITbrain Backup ИТ-отделы таких организаций могут обеспечить безопасность данных с помощью простого в использовании и легко масштабируемого решения, — сказал Корнелиус Бруннер (Kornelius Brunner), директор по инновациям и старший вице-президент TeamViewer по управлению продуктами. — Помимо доступности данных в любой момент времени, мы предлагаем строгие стандарты безопасности, поэтому клиенты могут быть уверены в том, что их данные надежно защищены как при хранении, так и при передаче».

Поскольку решение ITbrain Backup полностью интегрируется с инфраструктурой TeamViewer, его можно развернуть путем удаленной активации и легко использовать для географически распределенных конечных точек. После развертывания ITbrain Backup пользователи могут выбирать политики резервного копирования в зависимости от своих потребностей. Им также доступны автоматическая дедупликация, оповещения о неудачных попытках создания резервных копий и функции масштабирования в одном интуитивно понятном интерфейсе.

Более подробная информация о продукте ITbrain Backup доступна на сайте по адресу www.itbrain.com/services/backup/.




Новая iOS, новый iPad, новый iMac Pro — всё самое интересное из презентации Apple WWDC 2017

Новая iOS, новый iPad, новый iMac Pro — всё самое интересное из презентации Apple WWDC 2017

Больше всего от Apple ждут очередной iPhone, но компании есть что показать и помимо него. И она обычно делает это на конференции для разработчиков WWDC. Не важно, программист вы или нет, вам будет интересно узнать про обновление мобильной ОС — iOS 11, второе поколение iPad Pro, «умную» колонку Apple...

Posted by Gennady Boginya on 14 июл 2017, 20:33

from Facebook

Microsoft. Announcing Windows Server Insider Preview Build 16237




July 13, 2017 3:08 pm

Announcing Windows Server Insider Preview Build 16237


https://blogs.windows.com/windowsexperience/2017/07/13/announcing-windows-server-insider-preview-build-16237/#.WWjJUHI8XqY.facebook#lpfEAsv0ewy2Z0Pe.97

How to Download

The latest Windows Server build and matching symbols are available for download here. Matching Windows Server container images will be available via the Docker Hub. For more information about Windows Server containers and Insider builds, please visit http://aka.ms/containers/insiders.

The following keys are available for unlimited activations of Windows Server. These keys may be used throughout the pre-release cycle.


  • Server Datacenter Core: B69WH-PRNHK-BXVK3-P9XF7-XD84W

  • Server Standard Core: V6N4W-86M3X-J77X3-JF6XW-D9PRV

SPECIAL NOTE: If you signed up for Windows Insiders for Business using an AAD account, there is a temporary issue with access to the Windows Server Download page using AAD accounts. If you registered using an MSA account at the Windows Insider program, your MSA account may be used to access the page and to download builds until this is resolved.



Microsoft. Windows Server Insider Preview

microsoft-gray.png
Windows Insider Preview Downloads

Windows Server Insider Preview


Follow these steps to download Windows Server Insider Preview builds:


Navigate to

Additional Windows Insider Preview downloads


Изобретательные ню фотографии обычных женщин от немецкого фотографа Гюнтера Кнопа

Изобретательные ню фотографии обычных женщин от немецкого фотографа Гюнтера Кнопа

В чёрно-белых фотографиях Гюнтера Кнопа обнажённое женское тело становится абстрактной композицией.

Posted by Gennady Boginya on 14 июл 2017, 20:53

from Facebook