Η ικανότητα των χάκερ να εκμεταλλευτεί σχεδόν κάθε ευπάθεια δημιουργεί μία από τις μεγαλύτερες προκλήσεις για την επιβολή του νόμου - και στις μικρές επιχειρήσεις. Το Ομοσπονδιακό Γραφείο Ερευνών εξέδωσε πρόσφατα μια προειδοποίηση στις επιχειρήσεις και σε άλλους για μια άλλη απειλή. Οι χάκερ έχουν αρχίσει να εκμεταλλεύονται το πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας (Remote Desktop Protocol - RDP) για την εκτέλεση κακόβουλων δραστηριοτήτων με μεγαλύτερη συχνότητα.
Σύμφωνα με το FBI, η χρήση του πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας ως φορέα επίθεσης έχει αυξηθεί από τα μέσα μέχρι τα τέλη του 2016. Η άνοδος των επιθέσεων του ΠΑΑ οφείλεται εν μέρει στις σκοτεινές αγορές που πωλούν πρόσβαση στο πρωτόκολλο Remote Desktop Protocol. Αυτοί οι κακοί φορείς έχουν βρει τρόπους για να εντοπίσουν και να εκμεταλλευτούν τις ευάλωτες συνεδρίες του ΠΑΑ μέσω του Διαδικτύου.
$config[code] not foundΓια τις μικρές επιχειρήσεις που χρησιμοποιούν το RDP για να ελέγχουν εξ αποστάσεως τους υπολογιστές του σπιτιού ή του γραφείου τους, απαιτείται περισσότερη επαγρύπνηση, συμπεριλαμβανομένης της εφαρμογής ισχυρών κωδικών πρόσβασης και της τακτικής αλλαγής τους.
Στην ανακοίνωσή του, το FBI προειδοποιεί: "Οι επιθέσεις που χρησιμοποιούν το πρωτόκολλο RDP δεν απαιτούν είσοδο χρήστη, καθιστώντας δύσκολη την ανίχνευση εισβολών".
Τι είναι το πρωτόκολλο Remote Desktop Protocol;
Σχεδιασμένο για απομακρυσμένη πρόσβαση και διαχείριση, το RDP είναι μια μέθοδος Microsoft για την απλούστευση της μεταφοράς δεδομένων εφαρμογών μεταξύ χρηστών-πελατών, συσκευών, εικονικών επιτραπέζιων υπολογιστών και διακομιστή τερματικού πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας.
Με απλά λόγια, το RDP σάς επιτρέπει να ελέγχετε τον υπολογιστή σας εξ αποστάσεως για να διαχειριστείτε τους πόρους σας και να αποκτήσετε πρόσβαση σε δεδομένα. Αυτή η λειτουργία είναι σημαντική για τις μικρές επιχειρήσεις που δεν χρησιμοποιούν το cloud computing και εξαρτώνται από τους υπολογιστές ή τους διακομιστές που είναι εγκατεστημένοι στις εγκαταστάσεις τους.
Δεν είναι η πρώτη φορά που το RDP παρουσίασε προβλήματα ασφαλείας. Στο παρελθόν, οι πρώιμες εκδόσεις είχαν τρωτά σημεία που τους καθιστούσαν ευάλωτους σε μια επίθεση στον άνθρωπο-στο-μεσαίο δίνοντας στους επιτιθέμενους μη εξουσιοδοτημένη πρόσβαση.
Μεταξύ του 2002 και του 2017 η Microsoft εξέδωσε ενημερώσεις, οι οποίες καθορίζουν 24 σημαντικές ευπάθειες που σχετίζονται με το πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας. Η νέα έκδοση είναι πιο ασφαλής, αλλά η ανακοίνωση του FBI επισημαίνει ότι οι χάκερ εξακολουθούν να το χρησιμοποιούν ως φορέα για επιθέσεις.
Πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας Hacking: Τα ευπάθειες
Το FBI έχει εντοπίσει πολλά τρωτά σημεία - αλλά όλα ξεκινούν με αδύναμους κωδικούς πρόσβασης.
Ο οργανισμός λέει ότι εάν χρησιμοποιείτε λέξεις λεξικού και δεν συμπεριλαμβάνετε συνδυασμό κεφαλαίων και πεζών γραμμάτων, αριθμών και ειδικών χαρακτήρων, ο κωδικός πρόσβασής σας είναι ευάλωτος στις επιθέσεις βίαιης βίας και λεξικού.
Το παρωχημένο πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας που χρησιμοποιεί το πρωτόκολλο Provider Support Provider Security Support (CredSSP) παρέχει επίσης ευπάθειες. Το CredSSP είναι μια εφαρμογή που μεταβιβάζει τα διαπιστευτήρια του χρήστη από τον πελάτη στο διακομιστή προορισμού για απομακρυσμένο έλεγχο ταυτότητας. Ένα ξεπερασμένο ΣΑΑ καθιστά δυνατή την ενδεχόμενη εκτόξευση προσώπων.
Άλλα τρωτά σημεία περιλαμβάνουν την απεριόριστη πρόσβαση στην προεπιλεγμένη θύρα πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (TCP 3389) και επιτρέποντας απεριόριστες προσπάθειες σύνδεσης.
Πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας Hacking: Απειλές
Αυτά είναι μερικά παραδείγματα των απειλών που απαριθμούνται από το FBI:
Crysis Ransomware: Το ransomware CrySIS στοχεύει πρωτίστως στις επιχειρήσεις των ΗΠΑ μέσω ανοιχτών θυρών RDP, χρησιμοποιώντας επιθέσεις βίαιης δύναμης και λεξικού για να αποκτήσουν μη εξουσιοδοτημένη απομακρυσμένη πρόσβαση. Στη συνέχεια, η CrySiS ρίχνει το ransomware της στη συσκευή και την εκτελεί. Οι φορείς απειλής απαιτούν πληρωμή στο Bitcoin με αντάλλαγμα ένα κλειδί αποκρυπτογράφησης.
CryptON Ransomware: Το ransomware της CryptON χρησιμοποιεί επιθέσεις βίαιης δύναμης για να αποκτήσει πρόσβαση σε συνεδρίες RDP και στη συνέχεια επιτρέπει σε έναν απειλή για να εκτελέσει χειροκίνητα κακόβουλα προγράμματα στο κατεστραμμένο μηχάνημα. Οι φορείς Cyber ζητούν τυπικά Bitcoin σε αντάλλαγμα για κατευθύνσεις αποκρυπτογράφησης.
Samsam Ransomware: Το Samsam ransomware χρησιμοποιεί ένα ευρύ φάσμα εκμεταλλεύσεων, συμπεριλαμβανομένων εκείνων που επιτίθενται σε μηχανές με δυνατότητα RDP, για να επιτελέσουν επιθέσεις βίαιης δύναμης. Τον Ιούλιο του 2018, οι φορείς απειλής της Samsam χρησιμοποίησαν μια επίθεση βίαιης βίας για τα διαπιστευτήρια σύνδεσης RDP για να διεισδύσουν σε μια εταιρεία υγειονομικής περίθαλψης. Το ransomware ήταν σε θέση να κρυπτογραφήσει χιλιάδες μηχανές πριν από την ανίχνευση.
Dark Web Exchange: Οι απειλητικοί ηθοποιοί αγοράζουν και πωλούν κλοπές πιστοποιήσεις σύνδεσης RDP στο Dark Web. Η αξία των διαπιστευτηρίων καθορίζεται από τη θέση του συμβιβασμένου μηχανήματος, από το λογισμικό που χρησιμοποιείται στη σύνοδο και από τυχόν πρόσθετα χαρακτηριστικά που αυξάνουν τη χρηστικότητα των κλεμμένων πόρων.
Πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας Hacking: Πώς μπορείτε να προστατεύσετε τον εαυτό σας;
Είναι σημαντικό να θυμάστε κάθε φορά που προσπαθείτε να αποκτήσετε πρόσβαση σε κάτι από μακριά, υπάρχει κίνδυνος. Και επειδή το πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας ελέγχει πλήρως ένα σύστημα, θα πρέπει να ρυθμίσετε, να παρακολουθήσετε και να διαχειριστείτε ποιος έχει προσεκτικά πρόσβαση.
Εφαρμόζοντας τις ακόλουθες βέλτιστες πρακτικές, το FBI και το Υπουργείο Εσωτερικής Ασφάλειας των Η.Π.Α. λένε ότι έχετε περισσότερες πιθανότητες κατά των επιθέσεων που βασίζονται στο ΠΑΑ.
- Ενεργοποιήστε ισχυρούς κωδικούς πρόσβασης και πολιτικές κλειδώματος λογαριασμού για να υπερασπιστείτε τις επιθέσεις βίαιης βίας.
- Χρησιμοποιήστε έλεγχο ταυτότητας δύο παραγόντων.
- Εφαρμόστε τακτικά ενημερώσεις συστήματος και λογισμικού.
- Έχετε μια αξιόπιστη στρατηγική δημιουργίας αντιγράφων ασφαλείας με ένα ισχυρό σύστημα ανάκτησης.
- Ενεργοποιήστε την καταγραφή και διασφαλίστε τους μηχανισμούς καταγραφής για να καταγράψετε τα αρχεία καταγραφής πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας. Κρατήστε τα κούτσουρα για τουλάχιστον 90 ημέρες. Ταυτόχρονα, ελέγξτε τις συνδέσεις για να βεβαιωθείτε ότι μόνο εκείνοι με πρόσβαση τους χρησιμοποιούν.
Μπορείτε να ρίξετε μια ματιά στις υπόλοιπες συστάσεις εδώ.
Οι επικεφαλίδες των παραβιάσεων δεδομένων είναι τακτικά στις ειδήσεις και συμβαίνει σε μεγάλους οργανισμούς με φαινομενικά απεριόριστους πόρους. Ενώ μπορεί να φαίνεται αδύνατο να προστατεύσετε τη μικρή επιχείρησή σας από όλες τις απειλές στον κυβερνοχώρο εκεί έξω, μπορείτε να ελαχιστοποιήσετε τον κίνδυνο και την ευθύνη σας εάν έχετε τα κατάλληλα πρωτόκολλα με αυστηρή διακυβέρνηση για όλα τα μέρη.
Εικόνα: FBI