A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézete (NKI) heti rendszerességgel összeállít egy válogatást az adott hét IT-biztonságot érintő híreiből. A sajtószemle mellett tájékoztatást és riasztásokat is küld, ha úgy ítéli, hogy azok olyan súlyú fenyegetések, amelyeket érdemes közzétenni az érintetti körben. A legszerencsésebb (és utólag mindig kiderül, a legköltséghatékonyabb) megelőzni a bajt: azok a szervezetek, ahol az információbiztonsági felelős élő kapcsolatot ápol a rendszer üzemeltetőivel, fejlesztőivel és használóival, megerősödött immunrendszerükkel könnyebben állnak ellen a vírusoknak, zsarolási kísérleteknek és egyéb rosszindulatú kódok mesterkedéseinek.
Az elmúlt időszak - már 2021 első három hetének - érdekességeiből válogatunk most egy csokrot, de akiknek az érdeklődését felkeltettük, a teljes anyagot is elérik az NKI oldaláról:
https://nki.gov.hu/it-biztonsag/kiadvanyok/sajtoszemle/
Időrendben visszafelé haladva először 2021 harmadik heti sajtószemléjéből szemezgetünk:
"ENISA útmutató: felhőszolgáltatások biztosítása egészségügy számára - (enisa.europa.eu) - Az Európai Uniós Kiberbiztonsági Ügynökség (ENISA) "Cloud Security for Healthcare Services" című jelentésében bemutatja a felhőszolgáltatásokat érintő főbb kiberfenyegetéseket, és javaslatokat fogalmaz meg a felhőtechnológiák biztonságos integrálásához az egészségügyi szektor számára. Az egészségügyi szolgáltatások digitalizálása nem új igény, azonban a pandémiás időszak e téren is sürgetőleg hat. A betegadatok különösen érzékeny jellege azonban megkívánja a biztonsági aspektusok fokozott figyelembevételét."
Korábban már megosztottam a véleményemet azokról, akik egészségügyi intézményeket támadnak - bármilyen okból tegyék is azt! A problémát az ENISA is érzékelhette és megelőző védelmi intézkedésként az érintettek tudatosításában látja a megoldást: jelentést készített a felhőszolgáltatásokat érintő főbb kiberfenyegetésekről. A honi egészségügyi intézmények kiberbiztonságának fejlesztése már nem csak egyedi feladat: az ÁEEK korábban elindított projektjei, melyeket utódszervezete az OKFI örökölt, azt mutatják, hogy a kormányzat is érzékeli: ezen a területen van helye a segítségnek. Ehhez kínál támpontokat és javaslatokat ennek a részterületnek az összefoglalója. (https://www.enisa.europa.eu/publications/cloud-security-for-healthcare-services/ )
"Kémkedésre módot adó hibákat fedeztek fel videóchat appokban, a Signal is érintett (bleepingcomputer.com) - Aggasztó biztonsági hibákat fedeztek fel több népszerű videóchat alkalmazásban - úgy mint a Signal, a Facebook Messenger, a Google Duo, a JioChat és a Mocha -, amelyek lehetővé tették, hogy harmadik fél lehallgassa a hívott fél környezetét. A hibák abból eredtek, hogy audió- és videóadatok azelőtt kerülhettek továbbításra, hogy arra a felhasználó - a hívás fogadásával - engedélyt adna. Szerencsére az érintett sérülékenységek már javításra kerültek, ám a hibákat felfedező Natalie Silvanovich arra hívja fel a figyelmet, hogy ez a problémakör további kutatást igényel, ugyanis ő maga például a csoportos hívásokat egyáltalán nem vizsgálta."
A múlt héten a WhatsApp dicstelen végét - a saját telefonomról töröltem, nem a cég szűnt meg! - jelentettem be: amíg van lehetőségem választani, olyan alkalmazásokat telepítek az eszközeimre, amelyek lehetőséget kínálnak a választásra. Sokan érezhettek hozzám hasonlóan, mert az alternatív platformok üzemeltetőit - köztük a SIGNAL-ét - meglepte az a hatalmas érdeklődés, amelyet a platformváltók igényei generáltak: egy időre nem is voltak képesek kiszolgálni a megnövekedett regisztrációs igényeket. És máris jön a fekete leves: a bleepingcomputer újságírói arról adnak hírt, hogy a SIGNAL - és számos más platform - aggasztó biztonsági hibákat tartalmaz... És ez még csak a nyúl üregének a bejárata: a hibákat felfedező Natalie Silvanovich arra hívja fel a figyelmet, hogy a csoportos hívások még nem is kerültek vizsgálatának tárgya alá.
"DNS over HTTPS ajánlás az NSA-től - (securityweek.com) - Az Amerikai Nemzetbiztonsági Ügynökség (NSA) útmutatást tett közzé szervezetek számára a titkosított tartománynévrendszer (DNS over HTTPS - DoH) vállalati környezetbe történő bevezetésével kapcsolatban. A DNS (Domain Name System) rendszer az ember számára könnyen értelmezhető tartományneveket (domainnév) fordítja le IP-címekre, amelyeket a különböző hálózati eszközök már képesek kezelni. Sajnos a rendszer mára népszerű támadási felületté vált, főképp mivel a kérések és válaszok egyszerű szöveges formában (plaintext) kerülnek továbbításra."
Az internet a hatvanas évek szellemiségében fogant elvek szerint szerveződött: békés hippiket feltételezve felhasználóiban. De a világ túllépett ezeken az elveken és ez nyomot hagyott mindenen: az internet kék virágai is elhervadtak, ma már sötét és fenyegető elemeit is egyre gyakrabban tapasztaljuk. Az NSA a hálózat működésének egyik alapvető elemének biztonságát célzó útmutatást tett közzé: a titkosított tartománynévrendszer - DNS over HTTPS (DoH) - vállalati környezetbe történő bevezetésével kapcsolatban. A probléma Európában sem ismeretlen: az ENISA is publikált hasonló témában ajánlásokat. (Egy gyors keresés és egy cikk - 2010-es anyag - a DNSSEC-ről: https://www.enisa.europa.eu/publications/gpgdnssec )
"Vállalati dolgozókat célzó csaló hívásokra figyelmeztet az FBI - (blee-pingcomputer.com) - Egy éven belül második alkalommal ad ki figyelmeztetést az FBI ún. vishing támadásokról. A vishing kifejezés (voice phishing, azaz hangalapú adathalászat) olyan csaló telefonhívásokra utal, amelyek során a támadó magát egy megbízható szervezet képviselőjének kiadva próbálja meg manipulálni a hívott felet, jellemzően azért, hogy az áldozattól érzékeny adatokat szerezzen meg, például jelszavakat vagy bankkártyaadatokat. Az FBI most egy világszerte zajló támadássorozatra figyelmeztet, kiemelve, hogy a támadók a korábbiaktól eltérően már nem elsősorban a magasabb pozícióban lévő - ezért a szervezeti rendszerekhez feltételezhetően magasabb hozzáférési szinttel rendelkező - felhasználókat célozzák, hanem bármely munkatársa célponttá válhat."
Építhető tökéletesen biztonságos rendszer: ha egyetlen felhasználója sincs, hekker legyen a talpán, aki a közelébe jut. Sajnos az IT-biztonsági szakembereket nem ilyen jellegű rendszerek építésé-
- 31/32 -
re kérik fel - ezáltal azonnal megnyílik a kapu, amelyet őrizni, védeni és ellenőrizni kell. Mit is hallhattunk a Nemzeti Kiberbiztonsági Kutatóintézet vezetőjétől - dr. Krasznay Csabától - egy nemrég közreadott interjúban? A titok addig titok, amíg egy ember ismeri azt. A védekezés technológiai eszközei egyre kifinomultabbak - ahogy a támadóké is fejlődnek -, de az emberi tényező és az őket érő fenyegetések nem veszik fel ezt a tempót: hagyományos telefonhívásokkal még mindig érhetőek el eredmények. Hiába: a segítőkészség és az együttérzés még nem veszett ki belőlünk és ezeket a tulajdonságokat internetes bűncselekmények előkészítésében is felhasználják. Voice Vishing - vishing - a hangalapú adathalászat a kifejezés, amellyel ezt a technikát néven nevezték, az IT biztonsági rovatban is erről értekeznek az intézet munkatársai. Javaslom, hogy a könnyített változatot osszuk meg szervezetünknél azokkal a kollégákkal, akik kitettsége nagyobb és az általuk őrzött információk védelmére is hangsúlyt kívánunk fektetni!
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás
