A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézete (NKI) heti rendszerességgel összeállít egy válogatást az adott hét IT-biztonságot érintő híreiből. A sajtószemle mellett tájékoztatást és riasztásokat is küld, ha úgy ítéli, hogy azok olyan súlyú fenyegetések, amelyeket érdemes közzétenni az érintetti körben.

A legszerencsésebb (és utólag mindig kiderül, a legköltséghatékonyabb) megelőzni a bajt: azok a szervezetek, ahol az információbiztonsági felelős élő kapcsolatot ápol a rendszer üzemeltetőivel, fejlesztőivel és használóival, megerősödött immunrendszerükkel könnyebben állnak ellen a vírusoknak, zsarolási kísérleteknek és egyéb rosszindulatú kódok mesterkedéseinek.

Az elmúlt időszak érdekességeiből válogatunk most egy csokrot, de akiknek az érdeklődését felkeltettük, a teljes anyagot elérik az NKI oldaláról: https://nki.gov.hu/it-biztonsag/kiadvanyok/sajtoszemle/

2020. január 31-én tartotta első ülését az operatív törzs, talán innentől számíthatjuk a koronavírushoz kapcsolódó tárgyú elektronikus üzenetek felszaporodását is. A küldemények a hagyományos „spam” technikákat alkalmazzák: a segítségünket kérik, lényeges információkat kínálnak, vagy vissza nem térő lehetőségekről értesítenek. Gyakran próbáljuk technikai eszközökkel korlátozni, hogy azok, amelyek potenciális veszélyeket hordozhatnak, ne is kerülhessenek a szemünk elé, de azt azért érdemes megjegyeznünk, hogy az e-mail-forgalom 95%-a kéretlen levéltömeg, amelyet kiszűrünk – egyre szofisztikáltabb megoldásokkal…

„Népszerű online kínai platformok – mint az ország első számú üzenetküldő alkalmazása, a WeChat, valamint a szintén nagy népszerűségnek örvendő YY streaming oldal – már január eleje óta cenzúrázzák a koronavírus-járvánnyal összefüggő kulcsszavakat. Minderre a kanadai Citizen Lab kutatócsoport derített fényt, akik több, kanadai és kínai fiókok között váltott tesztüzenet alapján azt találták, hogy egyre több – januárban 132, egy hónappal később már 516 –kulcsszó eltávolításra került a csoportos beszélgetésekből.”

Amiről nem tudunk: nem fáj… Úgy tűnik, a kínai hatóságok megóvják attól az ország internetezésre hajlamos felhasználóit, hogy feleslegesen aggódjanak… Más kultúra és más szokások: keletre tekintve mást értünk „privacy” alatt, mint tőlünk nyugatabbra… Hogy az IT-biztonságot mennyire érinti ez a hír? Rámutat arra a technológiára, amely lehetőséget kínál a teljes internetforgalom figyelésére és erőforrásokat rendel ahhoz bizonyos célok elérésére, beleértve akár az érintettek befolyásolását is. A bevezetőben utaltunk arra, milyen nehézségekkel kell megküzdenie a levelezőkiszolgálóknak a spamek kiszűrésekor – ezeknek a Chat platformoknak a figyelése és filterezése talán még ennél is nagyobb számítási kapacitást igényel!

„A nagy népszerűségnek örvendő, ingyenes webes biztonsági tanúsítványt nyújtó Let’s Encrypt szerdán bejelentette, hogy egy szoftverhiba miatt vissza kell vonnia több mint 3 millió TLS tanúsítványt. A probléma a Boulder nevű szoftverüket érinti, amelynek feladata a domain tulajdonosának ellenőrzése a tanúsítványok kiállítása előtt. A hiba komoly biztonsági kockázatot jelent, ennek kihasználásával ugyanis a támadók hozzáférhetnek a titkosított webes forgalomhoz. A tanúsítványok visszavonása után – új tanúsítvány igényléséig – az érintett oldalak nem biztonságosként kerülnek megjelölésre a böngészőkben, illetve a weboldalak megjelenésével is problémák adódhatnak.”

Amikor a suszternek lyukas a cipője… Ha egy webes biztonsági tanúsítványokat biztosító vállalat értesít arról, hogy IT-biztonsági incidensben nagyszámú érintettől kell visszavonnia a kibocsátott certifikátokat, egyrészt megrendülhet a bizalmunk az IT security piac egy újabb szereplőjében, másrészt igazat adunk a paranoiára hajlamos tanácsadók sötét jóslatainak… Ilyen lesz a „Szép, új világ”?

„A Microsoft felhívja a figyelmet arra, hogy a kalóz streaming szolgáltatások és torrent weboldalak forgalmának megemelkedését a kiberbűnözők is aktívan kihasználják káros kódok terjesztésére. Erre jó példa egy kriptovalutát bányászó, rosszindulatú program terjesztése, amellyel elsősorban spanyol és dél-amerikai felhasználókat céloznak. E konkrét támadáshoz a kiberbűnözők a John Wick filmsorozat harmadik epizódját használták fel csaliként, olyan fájlneveket használva, mint a »John_Wick_3_Parabellum«, a »contagio-1080p«, illetve »Punales_por_la_espalda_BluRay_1080p«, »La_hija_de_un_ladron«, vagy a »Lo-dejo-cuando-quiera«. Az ilyen támadások elkerüléséhez kerüljük a nem jogtiszta tartalmak letöltését!”

Ez a hír a cikk írásakor érkezett a 19. heti sajtószemlében. Beleillik a sorba: a karantén idején a „home office”-ban nagyobb a kísértés, hogy üres időnket filmnézéssel töltsük ki, és ha már mindent lehúztunk a bakancslistáról, amit aktív időszakunkban – időhiányra hivatkozva – oda felírtunk, ráéhezünk a tiltott gyümölcsökre… Ádám biztosan tudna mesélni róla, hová is fajult ez a dolog: mi inkább gondoljuk át és éljünk a gyanúperrel, hogy az ár/érték arány ilyen mértékű eltorzulása nem rejthet-e magában némi kockázatot?

„Európai és észak-amerikai androidos banki alkalmazásokat igyekszik kompromittálni az EventBot elnevezésű káros program. A Cybereason Nocturnus biztonsági kutatói szerint a jelenleg is fejlesztés alatt álló banki trójai program a megszerzett jogosultságokkal hozzáférhet a pénzügyi alkalmazások által tárolt érzékeny adatokhoz, az SMS üzenetek elfogásával pedig lehetővé teheti a kétfaktoros hitelesítés megkerülését. A szakértők arra is felhívják a figyelmet, hogy szervezeti pénzügyi információk is veszélyben lehetnek.”

Partnereink alkalmazásainak átvizsgálása során gyakran fordulunk a fejlesztőkhöz, hogy segítsenek: milyen módon implementálható a kétfaktoros hitelesítés – legalább a privilegizált felhasználói jogosultsággal rendelkező fiókokhoz legyen hozzárendelhető ez a beállítás. Ha már a beszerzési/fejlesztési fázisban sikerül(t volna) ezt az igényt megfogalmazni, sokkal könnyebb helyzetben vagyunk (lennénk)! De a hír alapján arra a következtetésre kell jutnunk, hogy a kiberbűnözésre költhető K+F források most kicsit gyorsabb ütemben növekszenek, mint a védelmi ipar hasonló célra felhasználható erőforrásai.

„Az NBSZ NKI weboldalán hasznos információkat olvashat a CISA által kiadott ajánlásról, amely a Microsoft Office 365 leglényegesebb IT- biztonsági kockázataira, és azok lehetséges kezelésére hívja fel a figyelmet.”

Érdemes az NKI IT biztonsági tanácsok rovatára is hetente rátekinteni – vagy tartani a szervezetnél valakit, akinek kíváncsisága mellé társul egy másik tulajdonság is: a megszerzett tudás közreadásának hajlandósága. Érdemes ezeket a híreket kicsit átválogatni – ismerve az adott terület ágazati és szervezeti érintettségeit és számba venni az IT-biztonsági érettség szintjét is.

Zárásként szeretném felhívni a Jegyző olvasóinak figyelmét, hogy az olyan biztonsági esemény vagy incidens esetében, amelyek megelőzésének érdekében az NKI korábban „Riasztás”-t küldött és a javasolt védelmi intézkedést mégsem sikerült időben bevezetni, nehezen lesz védhető az az álláspont, amelyet a kivizsgálás során gyakran használnak érvként az érintettek: nem volt előjele, hogy ilyen jellegű események nálunk is bekövetkezhetnek.