Sudionici videokonferencije s naočalama u opasnosti su da slučajno izlože osjetljive informacije putem refleksije svojih naočala [Image by Gerd Altmann from Pixabay] Zaposlenici su često upozoravaju na rizike izlaganja osjetljivih podataka povezane s phishing porukama, krađom vjerodajnica i korištenjem slabih zaporki. Međutim, osjetljivi podaci o vama, poslu koji obavljate ili o vašoj organizaciji mogu procuriti odnosno biti razotkriveni a da toga niste ni svjesni, piše portal CSO online. Takvi skriveni rizici često su zanemareni prilikom edukacije o kibernetičkoj sigurnosti pa zaposlenici nisu svjesni kako neki “nevini” postupci mogu predstavljati rizik za sigurnost podataka koji bi se, ako budu izloženi, mogli izravno ili neizravno iskoristiti za ostvarivanje neopravdane dobiti na račun radnika i poduzeća. U ovom tekstu ćemo ukazati na osam neobičnih, neočekivanih i relativno čudnih načina na koje zaposlenici mogu slučajno izložiti podatke, zajedno sa savjetima za rješavanje i ublažavanje rizika povezanih s njima. Refleksije naočala otkrivaju podatke sa zaslona u videokonferencijskim pozivima Platforme za videokonferencije kao što su Zoom i Microsoft Teams postale su bitan dio daljinskog/hibridnog rada. Međutim, nova znanstvena istraživanja otkrila su da bi sudionici videokonferencije s naočalama mogli biti u opasnosti da slučajno izlože informacije putem refleksije svojih naočala. U istraživanju pod naslovom “Private Eye: On the Limits of Textual Screen Peeking via Eyeglass Reflections in Video Conferencing” grupa istraživača sa Sveučilišta Cornell predstavila je metodu rekonstrukcije teksta na ekranu izloženog preko naočala sudionika i drugih reflektirajućih objekata tijekom video konferencija. Koristeći matematičko modeliranje i eksperimente s ljudima uživo istražili su u kojoj mjeri web kamere propuštaju prepoznatljive tekstualne i grafičke informacije koje svjetlucaju iz naočala. “Naši modeli i eksperimentalni rezultati u kontroliranim laboratorijskim postavkama pokazuju da je s web kamerom od 720 piksela moguće s više od 75 posto točnosti rekonstruirati i prepoznati tekstove na ekranu koji imaju visinu od samo 10 milimetara”, napisali su istraživači. “Primijenili smo ovaj model na tekstualni sadržaj na internetskim stranicama s različitim karakteristikama kako bismo pronašli pragove na kojima tekst postaje prepoznatljiv.” Studija s 20 sudionika otkrila je da su današnje 720p web kamere dovoljne da druga strana rekonstruira tekstualni sadržaj na web stranicama s velikim fontom, dok će evolucija prema 4K kamerama dodatno pomaknuti prag mogućnosti rekonstrukcije teksta objavljenog na internetskim stranicama na još manje fontove. Takve mogućnosti u rukama zlonamjernog aktera mogle bi potencijalno ugroziti sigurnost nekih povjerljivih i osjetljivih podataka. U istražvanju se navodi kako bi se takvi rizici mogli ublažiti, uključujući prototip softvera koji bi se koristio za zamućivanje područja naočala prilikom video streamova. “Za moguću dugoročnu zaštitu zagovaramo individualno testiranje refleksije kako bismo procijenili prijetnje u različitim uvjetima i opravdali važnost primjene načela najmanje privilegije kod scenarija osjetljivih na privatnost”, dodali su istraživači. Ažuriranja karijere na LinkedInu – okidač za SMS phishing napade Na internetskim stranicama za profesionalno umrežavanje LinkedIn uobičajeno je da ljudi objavljuju postove nakon što dobiju novu ulogu u poslovnoj karijeri, da ažuriraju svoje profile odnosno podatke o radnom iskustvu i mjestu rada. Ovaj naizgled bezazlen čin može stvoriti uvjete za takozvane phishing napade “new hire SMS”, pri kojima napadači pretražuju LinkedIn tražeći nove oglase za posao, telefonske brojeve novih zaposlenika na internetskim stranicama za posredovanje podacima i šalju SMS phishing poruke pretvarajući se da su viši izvršni direktor tvrtke, pokušavajući tako prevariti nove zaposlenike tijekom prvih tjedana na novoj poziciji. Stručnjakinja za društveni inženjering i izvršna direktorica SocialProof Security Rachel Tobac objašnjava kako ove poruke obično govore o darovnim karticama ili lažnom prijenosu novca, ali pritom traže podatke za prijavu ili druge osjetljive podatke. “Nedavno sam primijetila porast phishing napada vezanih uz nova zapošljavanja putem SMS-a”, napisala je Tobac na Twitteru, dodajući da je to postalo toliko uobičajeno da je većina organizacija s kojima radi prestala objavljivati informacije o novim zaposlenicima na LinkedInu i preporučuju novim zaposlenicima odnosno osobama koje prelaze na nove pozicije da ograniče postove o svojim novim ulogama. To su dobre mjere za ublažavanje rizika od SMS phishing prijevara usmjerenih na nove zaposlenike, smatra Tobac. No, dodaje kako bi sigurnosni timovi trebali educirati nove zaposlenike o takvim napadima, objasniti im kako izgleda pravilna komunikacija s tvrtkom i koje će se metode koristiti. Također je preporučila da se zaposlenicima omogući DeleteMe kako bi uklonili svoje podatke za kontakt sa stranica za posredovanje podataka. Objave fotografija na društvenim mrežama Korisnici možda ne povezuju objavljivanje slika na društvenim mrežama i aplikacijama za razmjenu poruka kao rizik za osjetljive korporativne informacije, ali Dmitry Bestuzhev, najugledniji istraživač prijetnji u BlackBerryju, upozorava kako je slučajno otkrivanje podataka putem društvenih aplikacija kao što su Instagram, Facebook ili WhatsApp vrlo stvarna prijetnja. “Ljudi vole fotografirati, ali ponekad zaborave na okruženje. Stoga je uobičajeno na slikama pronaći osjetljive dokumente ostavljene na stolu, dijagrame na zidu, lozinke na ljepljivim papirićima, ključeve za autentifikaciju i otvorene zaslone s aplikacijama na radnoj površini. Sve te informacije su povjerljive i mogu se zloupotrijebiti.” Zaposlenici zaboravljaju da je na otključanom ekranu jednostavno uočiti koji preglednik koriste, na koje su antivirusne proizvode povezani i niz drugih podataka, dodaje Bestuzhev. “Sve su to vrijedne informacije za napadače i lako se mogu otkriti na fotografijama na Instagramu, Facebooku i WhatsAppu.” Keiron Holyome iz BlackBerryja naglašava važnost sigurnosne edukacije i svijesti o ovom problemu. “Tvrtke ne mogu spriječiti zaposlenike da snimaju i dijele fotografije, ali mogu istaknuti potencijalne rizike i potaknuti zaposlenike da zastanu i razmisle o onome što objavljuju”, kaže. Pogreške prilikom unosa podataka U razgovoru za CSO Tom Van de Wiele iz WithSecurea kaže da je njegov tim obradio neke neuobičajene slučajeve u kojima je pogrešno upisivanje IP adrese ili URL-a u skriptu za unos podataka dovelo do grešaka u bazi podataka. “Pogreške rezultiraju mješovitom bazom podataka koju je potrebno očistiti ili vratiti prije nego što započne proces sigurnosnog kopiranja. U suprotnom bi organizacija mogla imati PII [osobne podatke] koji krši GDPR”, dodaje. “Tvrtke se redovito suočavaju s incidentima miješanja podataka i ponekad su takvi incidenti nepopravljivi ako se niz takvih grešaka dogodio predaleko u prošlosti.” Van de Wiele stoga savjetuje sigurnosnim timovima da iskoriste mogućnosti autentifikacije TLS-a (Transport Layer Security) gdje je to moguće. “To će smanjiti rizik od pogrešnog identiteta poslužitelja i baza podataka, ali imajte na umu da se rizik ne može u potpunosti eliminirati. Stoga djelujte i pripremite se tako da osigurate da u sklopu strategije zaštite postoje zapisnici o prijavama i aktivnostima radi lakšeg otkrivanja i praćenja. To uključuje uspješne kao i neuspješne događaje”, dodaje. Van de Wiele također zagovara provođenje strogih pravila, procesa i sigurnosnih kontrola te jačanje svijesti o tome kako i kada koristiti proizvodna/pretprodukcijska/scenska/testna okruženja. “To će rezultirati s manje incidenata u kojima dolazi do miješanja podataka, manjim brojem pogreška pri radu sa stvarnim podacima i osigurat će da se svako ažuriranje ili promjena u slučaju sigurnosnog problema može temeljito testirati u predprodukcijskom okruženju.” Nazivanje poslužitelja tako da se mogu jasno razlikovati jedni od drugih, nasuprot korištenju kratica kao imena, još je jedan koristan savjet, kao i sigurnosno testiranje procesa u operativnom stanju, kaže on. “Ulažite u otkrivanje i praćenje kao jednu od kompenzacijskih kontrola i testirajte kako biste bili sigurni da je otkrivanje incidenata učinkovito.” Dnevnici transparentnosti certifikata otkrivaju mnoštvo osjetljivih podataka Zapisi transparentnosti certifikata (CT) omogućuju korisnicima navigaciju webom s višim stupnjem povjerenja i omogućuju administratorima i stručnjacima za sigurnost da otkriju anomalije certifikata i brzo provjere lance povjerenja. Međutim, zbog prirode ovih zapisa, svi detalji u certifikatu su javni i zauvijek pohranjeni, kaže Art Sturdevant, potpredsjednik tehničkih operacija u Censysu. “Brza revizija podataka Censysovih certifikata pokazuje korisnička imena, e-poštu, IP adrese, interne projekte, poslovne odnose, organizacijske strukture i još mnogo toga. Napadači mogu upotrijebiti ove informacije za praćenje tvrtke, sastavljanje popisa aktualnih korisničkih imena ili adresa e-pošte, slanje ciljane phishing e-pošte i, u nekim slučajevima, napade na sustave koji imati slabije sigurnosne kontrole kako bi se preuzela kontrola nad njima ili ukrali podaci.” Budući da su podaci u CT zapisniku zauvijek, najbolje je obučiti programere, IT administratore i ostale da koriste generički račun e-pošte za registraciju certifikata, dodaje Sturdevant. “Administratori bi također trebali obučiti korisnike o tome što ulazi u CT zapisnik kako bi im pomogli u izbjegavanju slučajnog otkrivanja informacija.” “Nedužni” USB hardver kao stražnja vrata za napadače Zaposlenici često koriste vlastite uređaje poput svjetiljki ili ventilatora koje priključuju na korporativno računalo preko USB-a. Amir Landau, voditelj sigurnosnig tima u tvrtki CyberArk, upozorava da se ovi naizgled bezopasni uređaji mogu biti iskorišteni kao “stražnja vrata” za ulaz u računalo i korporativnu računalnu mrežu. Takvi hardverski napadi obično imaju tri glavna smjera napada. Prvi je hardver koji dolazi s unaprijed instaliranim zlonamjernim softverom, poznatim kao BadUSB. BadUSB-ovi se mogu vrlo jednostavno kupiti na AliExpressu ili ljudi mogu napraviti vlastite s otvorenim izvorima, kao što je USB Rubber Ducky. Sljede infekcije crvima – koje se nazivaju i replikacija putem prijenosnih medija – gdje su USB uređaji zaraženi crvima, kao što su USBferry i Raspberry Robin. Treći su kompromitirani hardverski lanci opskrbe. “U slučaju napada na opskrbni lanac, loš softver ili čipovi instalirani su unutar legitimnog hardvera, kao u slučaju zlonamjernih mikročipova umetnutih u matične ploče koji su završili na poslužiteljima koje su koristili Amazon i Apple 2018. godine.” Otkrivanje ovakvih napada na krajnjoj točki je teško, ali antivirusna zaštita i detekcija priključenih uređaja na krajnjoj točki mogu u nekim slučajevima biti učinkovita zaštita, uz praćenje aktivnosti perifernih uređaja i primjenu politike integriteta koda, kaže Landau. “Rješenja za upravljanje povlaštenim pristupom (PAM) također su važna zbog svoje sposobnosti blokiranja priključivanja neovlaštenih uređaja putem USB-a i sprečavanja aktiviranja neovlaštenog koda.” Odbačeni uredski pisači nude lozinke za Wi-Fi Kada stari uredski pisač prestane raditi ili ga zamijeni noviji model, zaposlenicima ga često jednostavno odbace zbog recikliranja. Ako se to učini bez prethodnog brisanja podataka kao što su zaporke za Wi-Fi, to može dovesti organizaciju do rizika izloženosti podacima. Van de Wiele je to vidio iz prve ruke. “Kriminalci su izvukli lozinke i upotrijebili ih za prijavu na mrežu organizacije kako bi ukrali podatke koji otkrivaju identitet”, kaže. Savjetuje šifriranje podataka bez obzira jesu li uređaji fiksni ili prijenosni te primjenu procesa za provjeru autentičnosti kako bi se zaštitili ključevi za dešifriranje na krajnjim uređajima. “Provjerite jesu li prijenosni mediji pod kontrolom, da su podaci uvijek šifrirani i da je oporavak moguć kroz formalni proces s potrebnim kontrolama.” E-poruke poslane na osobne račune Avishai Avivi, CISO u SafeBreachu, prepričava incident u kojem je nezlonamjerna e-pošta koju je poslao zaposlenik u svrhu obuke zamalo dovela do otkrivanja podataka o brojevima socijalnog osiguranja klijenata. “U sklopu obuke novih suradnika trenerski tim je uzeo pravu proračunsku tablicu koja je sadržavala brojeve socijalnog osiguranja kupaca i jednostavno sakrila stupce s brojevima socijalnog osiguranja. Zatim su ovu modificiranu proračunsku tablicu dali polaznicima. Zaposlenik je želio nastaviti obuku kod kuće i jednostavno je e-poštom poslao proračunsku tablicu na svoj osobni račun e-pošte,” kaže za CSO. Srećom, tvrtka je imala reaktivnu kontrolu zaštite od curenja podataka (DLP) koja je nadgledala sve e-poruke zaposlenika, koja je otkrila postojanje brojeva socijalnog osiguranja u privitku, blokirala je e-poštu i upozorila sigurnosni operativni centar. Međutim, situacija služi kao podsjetnik da osjetljive informacije mogu biti razotkrivene čak i najbezazlenijim dobronamjernim radnjama. “Umjesto da se oslanjamo na reaktivne kontrole, trebali smo imati bolje preventivne kontrole klasifikacije podataka koje bi ukazivale na korištenje stvarnih podataka iz proizvodnog okruženja prilikom obuke, kontrolu koja bi spriječila zaposlenika čak i da pokuša poslati privitak e-poštom na osobni račun e-pošte”, kaže Avivi.