Sécurité

  • Que sont les ransomwares?

    Ransomware

    Différents types de logiciels malveillants qui, une fois qu'ils attaquent, verrouillent votre appareil ou chiffrent vos fichiers de manière généralement non réversible, puis demandent un paiement pour donner à leurs victimes la ou les clés pour déverrouiller leurs fichiers.

    Que puis-je faire pour me protéger?

    La plus grande menace pour les contracter est la façon dont vous utilisez vos appareils. Soyez plus prudent avec les pièces jointes aux e-mails, les liens suspects, les applications suspectes et les fenêtres contextuelles. Presque tous les systèmes vous demandent de vérifier s'il faut exécuter ou installer un programme. N'installez pas d'applications non fiables ou provenant de sources non fiables. Si vous le devez vraiment, assurez-vous d'avoir installé une solution antimalware active. Les substances passives peuvent souvent être trop tardives, car elles n'empêchent souvent pas une infection.

    • Gardez toujours les sauvegardes sur un lecteur déconnecté. Ou un lecteur en ligne, mais assurez-vous de ne pas avoir votre mot de passe de stockage cloud disponible sur votre système ou l'attaquant pourrait également crypter ces fichiers. À moins que le fournisseur de cloud n'autorise les sauvegardes contrôlées par version. Utilisez un mot de passe unique mais complexe et solide. Si vous ne savez pas comment en créer un, vous vous en souviendrez facilement, lire.

    • Utilisez un outil anti-programme malveillant actif qui va au-delà des signatures de logiciels malveillants, comme notre partenaire Bitdefender ou les solutions équivalentes de Webroot. En outre, le vaccin antiransomware de Bitdefender est un bon moyen gratuit de protéger le maillon le plus faible - à savoir les machines Windows, en trompant le ransomware pour penser que votre système a déjà été infecté et également quelques autres astuces pour le bloquer du système. Il peut protéger contre les versions futures connues et possibles des familles de rançongiciels cryptographiques CTB-Locker, Locky et TeslaCrypt en exploitant les failles de leurs méthodes de propagation. Vous pouvez le télécharger depuis Bitdefender ici. Pour une installation plus complexe ou professionnelle, organisez une consultation avec nous pour discuter de la façon de protéger l'ensemble de votre infrastructure et tous les appareils à l'aide du moteur antimalware classé n ° 1 de Bitdefender.


    • Si je contracte l'infection par un rançongiciel, recommandez-vous de payer le criminel?
      Si vous pouvez l'éviter, ne payez pas ou vous contribuez à sa diffusion et à ses pratiques. Essayez de voir si vous avez tous les fichiers dont vous avez besoin à partir de vos sauvegardes, de votre fournisseur de stockage en ligne - et dans certains cas, si l'attaquant compromet cela, vous pourrez peut-être récupérer des versions antérieures avant l'attaque. Contactez votre fournisseur de stockage cloud pour plus de détails.

    • Pourquoi les solutions AV sont-elles si médiocres pour bloquer les ransomwares?
      Beaucoup sont en effet bloqués, mais ils ne peuvent bloquer aucun rançongiciel, uniquement les anciennes versions ou ce qui leur est similaire. Une nouvelle marque pourrait donc passer la protection. L'outil de vaccination offre une couche supplémentaire, mais ne peut garantir à 100% - le maillon faible est vous, l'utilisateur. Soyez plus attentif à la façon dont vous utilisez vos appareils, et ne lancez pas, n'installez pas et ne donnez certainement pas de privilèges administratifs lorsque cela vous est demandé ou en cas de doute. Nous sommes là pour vous aider, recherchez des contacts plus compétents dans votre réseau. Ou si vous en manquez, n'hésitez pas à en lire plus dans notre Section de support informatique.

    • Si vous avez un téléphone déverrouillé, ne donnez en aucun cas à une application illégitime tous les privilèges d'administrateur. Si vous voyez un ransomware essayer de vous verrouiller hors de votre téléphone, contactez un contact plus compétent. Si vous ne disposez pas d'un appareil rooté / piraté, il existe des moyens de désinstaller le logiciel malveillant du mode de récupération.

    • Utilisez des mots de passe utilisateur complexes pour protéger les ressources partagées du réseau, ou désactivez-les et trouvez un autre moyen de partager des fichiers sur des réseaux via des applications logicielles qui utilisent un bon chiffrement. Certaines versions de ce type de logiciel malveillant analysent et attachent, et chiffrent également les partages réseau

    • Ne vous inquiétez pas trop des faux ransomwares qui font semblant de verrouiller votre navigateur, ce qui est beaucoup plus facile à éliminer. Ils ne se trouvent qu'à l'intérieur de votre navigateur et peuvent être effacés souvent en réinitialisant simplement votre navigateur, directement - ou avec un utilitaire si vous n'êtes pas déjà un utilisateur de Bitdefender. Dans certains cas, attaques de phishing peut essayer de vous inciter à installer quelque chose qui sera alors la véritable source d'une attaque pour vous. Soyez sceptique vis-à-vis des popups et des messages.

    • Les fournisseurs de services cloud doivent être très conscients car il existe des versions de ces attaques qui pourraient affecter leur base d'utilisateurs cumulée. Faites-nous savoir si vous souhaitez plus d'informations à ce sujet en nous contacter.
  • Sécurité IoT: à quoi s'attendre en tant que fournisseur lors de l'adhésion au monde connecté

    posté par George Yunaev on 2015-07-31 14:30:00

    ... ou des leçons à tirer des récentes erreurs de Fiat Chrysler Automobiles (FCA)

    De nombreux fournisseurs ajoutent désormais une connectivité Internet à leurs produits, ajoutant davantage de fonctionnalités et permettant à l'appareil de leur renvoyer des informations. Malheureusement, pour les fournisseurs qui n'ont jamais développé de produits connectés auparavant, ces ajouts comportent également un plus grand risque d'avoir une vulnérabilité de sécurité à fort impact dans leurs produits. Exemple concret: levulnérabilité récemment découvert dans le service sans fil (Uconnect) d'une Jeep Cherokee, qui affecte plusieurs voitures connectées par Fiat Chrysler Automobiles (FCA) et a entraîné le rappel de véhicules 1.4M. Les chercheurs qui l'ont découvert ont montré comment cette faille de sécurité pouvait permettre aux pirates de prendre le contrôle des freins, du moteur et des équipements électroniques de la voiture.

    Bien que l'industrie informatique ait développé des règles et des attentes concernant les tests de vulnérabilité, la divulgation et les rapports, le cas mentionné ci-dessus est la preuve que les fournisseurs entrant sur ce marché peuvent ne pas en être conscients. Et comme le montre le cas de FCA, ils sont sujets à des erreurs qui peuvent entraîner des vulnérabilités du système et pire encore.

    Donc, en tant que fournisseur qui vient de rejoindre le monde «connecté», voici certaines choses auxquelles vous ne vous attendez peut-être pas, mais que vous devriez certainement faire face à tout ce qui concerne la sécurité de l'Internet des objets (IoT):

    iot_security-jeep_cherokee_hack-resize

    1. Attendez-vous à ce que vos appareils soient étudiés pour détecter les vulnérabilités

    Lisez la suite si vous pensez:

    • «Personne ne prendrait la peine d'étudier notre produit pour détecter les vulnérabilités, car nous sommes trop petits»;
    • «Personne n'oserait étudier notre produit pour détecter les vulnérabilités, car nous sommes trop grands et avons beaucoup d'avocats sur la paie»;
    • «Nous serons toujours informés à l'avance / demander la permission avant qu'une telle étude ait lieu»;
    • «Personne ne prendrait la peine d'étudier notre produit pour détecter les vulnérabilités si nous déclarons clairement que nous ne paierons pas pour les rapports»;

    Dès que votre appareil est mis à la disposition du grand public, attendez-vous à ce qu'il soit étudié par des personnes compétentes qui tentent de trouver des faiblesses. Cela peut inclure des sondes (y compris des sondes matérielles), l'analyse de code, la rétro-ingénierie, le fuzzing et d'autres moyens de trouver des vulnérabilités. Voilà comment fonctionne la recherche sur la sécurité.

    Ne pensez pas que vous êtes trop petit ou pas assez intéressant pour être une cible. Évidemment, cela dépend de la valeur perçue de la faille de sécurité, ce qui signifie qu'une voiture connectée est susceptible d'attirer plus de chercheurs qualifiés qu'une brosse à dents connectée. Cependant, même de petits appareils tels que des ampoules compatibles WiFi ont été piratés, et de tels hacks ont été présentés à DefCon. À ce titre, l'estimation de l'impact d'une vulnérabilité potentielle devrait faire partie de votre plan d'atténuation.

    Vous devez également comprendre la motivation des chercheurs, qui diffère d'un chercheur à l'autre. Certains chercheurs sont motivés par la célébrité, certains sont soucieux de la sécurité et veulent s'assurer qu'un appareil qu'ils et leurs proches utilisent est sûr, et certains gagnent leur vie en faisant des recherches. Mais tous les chercheurs légitimes ont le même objectif: trouver des vulnérabilités, les corriger et contribuer ainsi à rendre un produit plus sûr. Dans le cas de FCA, il est clair que la société ne pensait même pas que leurs voitures seraient étudiées pour les vulnérabilités, et aucun test de pénétration interne n'a été effectué, car même l'analyse de réseau de base trouverait les ports ouverts.

    Il est important de comprendre que ces chercheurs rendent un service au grand public, même si leurs actions peuvent vous gêner, vous le vendeur - après tout, votre produit ne devrait pas avoir de vulnérabilités en premier lieu! Il est donc très important de maintenir une bonne relation saine avec les chercheurs pour le succès de votre produit. Ne vous attendez pas non plus à ce que les chercheurs vous demandent votre approbation - cela se produit rarement, et uniquement lorsque vous entretenez de bonnes relations avec eux.

    Choses à faire:

    • Attendez-vous à ce que votre produit soit testé pour les vulnérabilités immédiatement, et ne laissez personne dire «nous interdirons de tels tests dans notre contrat de licence» pour vous convaincre du contraire;
    • Lors de la conception de votre produit, faites participer les ingénieurs de sécurité le plus tôt possible. De nombreuses vulnérabilités peuvent être éliminées au stade de la conception, en gardant les composants séparés - donc aucun problème avec votre autoradio ne peut affecter vos freins.
    • Effectuez des tests de vulnérabilité sur votre produit. Des vulnérabilités comme le Faille de sécurité BMW et celle trouvée dans la Jeep Cherokee serait évidente pour tout ingénieur en sécurité qui examinerait le produit en laboratoire. Assurez-vous que votre équipe de test dispose de personnes dédiées à la recherche de vulnérabilités, ou embauchez des sociétés tierces pour le faire.
    • Répétez le test de vulnérabilité chaque fois que vous avez une nouvelle version. Très souvent, les nouvelles fonctionnalités ajoutées ajoutent également des vulnérabilités.

    2. Attendez-vous à trouver les vulnérabilités

    Lisez la suite si vous pensez:

    • «Nous n'aurons aucune vulnérabilité, notre équipe AQ ​​a déclaré que notre appareil est sécurisé»;
    • «Nous n'avons pas besoin d'un plan d'atténuation maintenant; nous penserons à quelque chose une fois la vulnérabilité trouvée ';
    • «Si nous devons mettre à jour notre appareil demain, nous ne savons pas comment procéder.»;

    L'expérience passée montre qu'aucun appareil connecté n'est sécurisé. Des vulnérabilités ont été trouvées dans Microsoft Windows (y compris la dernière version 8.1) et Linux systèmes d'exploitation, dans les systèmes d'exploitation mobiles tels que Android et iOS et dans de nombreux appareils connectés - à partir d'ampoules compatibles WiFi aux caméras de surveillance et à domicile et les voitures connectées BMW et Jeep déjà mentionnées. Donc, si votre appareil est connecté à tout type de réseau permettant une interaction avec l'utilisateur, sa chance d'avoir des vulnérabilités est certainement non nulle.

    Même si votre application elle-même est sécurisée, les vulnérabilités peuvent toujours être présentes dans le logiciel sous-jacent que vous utilisez, le serveur Web ou le système d'exploitation lui-même. Bien sûr, pour vos clients, cela ne fait aucune différence - c'est votre produit qui est vulnérable, et ils attendraient une solution de votre part.

    Dans le cas de FCA, il est clair que l'entreprise n'avait aucun plan d'atténuation. Même si les voitures sont connectées à Internet, aucune mise à jour du firmware en direct n'a été possible, et la société n'a même pas les moyens de vérifier à distance quelles voitures sont mises à jour. La lourdeur de la procédure de mise à jour invoquant un rappel complet ne permet pas des mises à jour rapides et transparentes, ce qui signifie que davantage de clients restent à risque.

    Choses à faire:

    • Ayez un plan écrit décrivant ce que vous feriez si une vulnérabilité était détectée et attribuant les responsabilités. Examinez-le plusieurs fois au cours de l'année pour vous assurer qu'il reste à jour.
    • Mettez en œuvre un moyen sécurisé de mettre à jour votre logiciel sur le réseau en cas de besoin. N'oubliez pas que le micrologiciel local peut être compromis.
    • Mettez en place un moyen sécurisé de mettre à jour votre logiciel localement, au cas où l'appareil serait compromis et ne pourrait pas se connecter au réseau.
    • Testez les deux mises à jour avant la production.

    3. Attendez-vous à ce que les informations sur les failles de sécurité découvertes soient publiées

    Lisez la suite si vous pensez:

    • "Si nous rendons difficile de nous signaler une vulnérabilité, les chercheurs abandonneront et l'oublieront".
    • «Nous pouvons dire au chercheur de ne pas publier ces informations et ils vous obligeront».
    • "Nous pouvons bâillonner le chercheur avec nos avocats ou une ordonnance du tribunal, afin que personne d'autre ne le sache, ainsi notre réputation ne sera pas affectée".
    • «Nous pouvons travailler sur le correctif aussi longtemps que nous le souhaitons et ne permettre que les informations à être rendues publiques».

    En règle générale, le chercheur responsable qui découvre la vulnérabilité la révèle au public. Ceci est perçu comme un devoir par de nombreuses sortes de «codes d'honneur». La divulgation sert à deux raisons principales: elle fait pression sur un fournisseur pour résoudre le problème plus rapidement que le processus de sortie de logiciel typique qui prend des mois, et il informe le public sur les problèmes du produit afin que les gens puissent se protéger (et faire pression sur un fournisseur si le problème n'est pas résolu).

    Cependant, les chercheurs comprennent également que la divulgation publique de la vulnérabilité sans donner à un fournisseur la possibilité de résoudre le problème peut être contraire à l'intérêt public. Par conséquent, la plupart des chercheurs en sécurité suivent le processus appelé «divulgation responsable», en informant le fournisseur de la vulnérabilité et en leur accordant un certain temps (généralement 30 à 90 jours) pour la corriger. Une fois ce délai expiré, les informations de vulnérabilité deviennent publiques. Une politique de divulgation typique peut être trouvée sur Le blog de sécurité en ligne de Google, ici.

    De toute évidence, pour informer le vendeur, le chercheur doit être en mesure de contacter le personnel du vendeur qui comprendrait le problème. Dans certains cas, les chercheurs ont eu du mal à atteindre les bonnes personnes dans les entreprises concernées. Ils ont donc abandonné et ont tout de suite procédé à la divulgation publique. Inutile de dire que cette situation ne serait pas dans votre intérêt, veuillez donc faciliter la communication des découvertes par les chercheurs.

    Il est également contraire à votre intérêt en tant que vendeur d'essayer de bâillonner les chercheurs par des moyens légaux ou autres. La communauté est serrée, et le mot circulera, garantissant que c'était la dernière fois que vous avez entendu parler d'une vulnérabilité dans votre produit par un chercheur - et que la prochaine fois vous en apprendrez à leur sujet dans "Morning News" sur votre télévision nationale, ce qui est évidemment moins souhaitable.Dans certains cas, les chercheurs divulguent les problèmes directement au public. Un tel exemple frappant serait la vulnérabilité des écluses de l'hôtel Onity, qui a été rendue publique sur Blackhat sans que Onity en soit averti à l'avance. Le chercheur a expliqué sa décision dans un article bien pensé, et je vous recommande fortement de le lire.

    Dans le cas de FCA, mes tentatives pour trouver la page de rapport de sécurité de l'entreprise ou même les directives ont échoué. Ce n'était certainement pas facile non plus pour les chercheurs, et l'article mentionné que FCA a déclaré

    En aucun cas, la FCA ne tolère ou ne croit qu'il est approprié de divulguer des `` informations pratiques '' susceptibles d'encourager ou d'aider les pirates à obtenir un accès non autorisé et illégal aux systèmes du véhicule,

    ce qui confirme à nouveau qu'ils sont nouveaux dans ce domaine et ne savent pas comment les vulnérabilités de sécurité doivent être traitées.

    Choses à faire:

    • Gardez à l'esprit que la réception de rapports sur les vulnérabilités de votre produit avant la divulgation officielle est un privilège et non un droit. Alors, facilitez la tâche aux chercheurs.
    • Créez une page Web dédiée sur votre site pour signaler les failles de sécurité, facile à trouver via les moteurs de recherche. Soyez précis sur les informations dont vous avez besoin et gardez-les exemptes de conditions juridiques et autres qui pourraient dissuader les gens de vous signaler des problèmes. IBM a un bon exemple d'une telle page .
    • Autorisez les soumissions via un formulaire Web ou par e-mail et publiez votre assez bonne intimité (PGP) clé pour les soumissions par e-mail, car le rapport peut contenir des informations critiques, et le courrier électronique n'est pas considéré comme un support sécurisé.
    • Soyez très prudent avec qui reçoit ces soumissions en interne. Les informations peuvent être critiques, et l'horloge commence à tourner à partir du moment où vous recevez la soumission.
    • Soyez prêt à vous engager immédiatement avec le chercheur, n'attendez pas la dernière minute.
    • Si un chercheur a révélé un bogue sans vous contacter, c'est généralement votre faute en tant que vendeur. Voir le cas Onity ci-dessus - s'ils promettaient clairement sur leur page de rapport qu'ils respecteront et soutiendront les règles de divulgation responsable et qu'ils n'essaieront pas de le couvrir, ils recevraient la divulgation. Par conséquent, vous devriez certainement contacter un chercheur dans un cas comme celui-ci et découvrir ce qui l'a empêché de révéler la vulnérabilité.

    4. Attendez-vous à ce que vos actions soient examinées après examen de la vulnérabilité

    Lisez la suite si vous pensez:

    • «La vulnérabilité de notre produit nous fait mal paraître et permet aux gens de nous poursuivre en justice. Par conséquent, nous devons protéger l'image de l'entreprise à tout prix, les clients viennent ensuite ».
    • «Les clients n'ont pas besoin de détails sur la vulnérabilité, surtout s'ils nous font mal paraître».
    • «Les clients n'ont pas besoin de savoir quels autres changements nous apportons pour sécuriser notre produit, car ils ne se soucient pas si la même vulnérabilité réapparaît (par exemple via Bluetooth)».

    Votre réaction à la vulnérabilité publiée est très importante. Le public vous regarde attentivement, essayant de juger non seulement à quelle vitesse vous corrigez la vulnérabilité, mais aussi à quel point vous êtes digne de confiance. Par exemple, les gens posent souvent des questions comme: «l'auriez-vous réglé du tout si ce n'était pas pour la divulgation publique? «Était-ce un oubli dans un processus autrement solide, ou n'importe qui peut creuser un trou juste en regardant plus loin? "Quel intérêt protégez-vous, le vôtre ou celui de vos consommateurs?"

    Les actions de FCA étaient loin d'être parfaites. Dans l'ensemble, il a donné une forte impression qu'il faisait de son mieux pour garder ces informations privées et empêcher que les informations sur la vulnérabilité ne deviennent publiques même après avoir été corrigées. Le communiqué officiel et le rappel des voitures n'a été annoncé qu'à la dernière minute, après une publicité intense dans les journaux et à la télévision nationale. Même après cela, FCA a montré qu'elle se souciait davantage de la protection de son image d'entreprise que de la sécurité de ses clients en minimisant l'importance et la gravité du problème. Juste un exemple:

    Cette mise à jour offre aux clients un niveau de sécurité supplémentaire en protégeant leur véhicule FCA contre tout accès non autorisé et illégal potentiel, a expliqué un porte-parole de Fiat Chrysler à eWEEK dans un email

    Selon la déclaration de Fiat Chrysler, la protection de votre véhicule contre tout accès non autorisé est considérée commesupplémentaire niveau de sécurité - celui que vous n'obtenez pas par défaut et que vous devez conduire chez un concessionnaire pour obtenir (est-il possible qu'ils commencent bientôt à facturer ce service «supplémentaire»?).

    Choses à faire:

    • Acceptez le fait que si vous êtes aux États-Unis, vous risquez d'être poursuivi de toute façon, et rien de ce que vous dites dans votre déclaration d'entreprise ne l'empêchera.
    • Donnez des détails à vos clients. Vos clients ont le droit de connaître les limites de ce risque, afin qu'ils puissent décider s'ils acceptent ou non ce risque, en fonction des circonstances personnelles. Par exemple, dans le cas de Chrysler, certaines cibles de haut niveau peuvent décider de laisser leur voiture en stationnement jusqu'à ce que la mise à jour soit disponible, tandis que les personnes vivant dans la zone sans couverture cellulaire sont beaucoup moins à risque.
    • Expliquez clairement et de manière réaliste quelle est la menace, quelle est la portée potentielle et comment - le cas échéant - les utilisateurs peuvent atténuer la menace jusqu'à ce que la mise à jour soit corrigée. Par exemple, si la désactivation d'un module de cellule nécessite la suppression d'un fusible et n'affecte pas la voiture d'une autre manière que la perte de connectivité, cela peut être une option viable pour certains clients.
    • Expliquez quel est le plan d'atténuation, à court et à long terme. Une mise à jour est uniquement une atténuation à court terme. Ce qui est également nécessaire est une explication appropriée pour laquelle les freins de la voiture et le moteur peuvent être accessibles via le module de communication, et ce qui a été fait pour couper l'accès ou le limiter.
    • Rendez hommage aux chercheurs qui vous aident à découvrir la vulnérabilité. N'oubliez pas qu'ils ont fait le travail que votre service d'assurance qualité aurait dû faire.
    • Enfin, excusez-moi. Vous avez tout gâché, vous devez donc au moins des excuses aux utilisateurs.
    Point de vue de la sécurité IoT

    http://www.cvedetails.com/product/26434/Microsoft-Windows-8.1.html?vendor_id=26

    http://www.cvedetails.com/vulnerability-list/vendor_id-33/product_id-47/year-2015/Linux-Linux-Kernel.html

    http://www.cvedetails.com/vulnerability-list/vendor_id-49/product_id-15556/year-2015/Apple-Iphone-Os.html

    http://arstechnica.com/security/2014/07/crypto-weakness-in-smart-led-lightbulbs-exposes-wi-fi-passwords/

    http://www.insecam.org/

    http://daeken.com/2012-07-24_Blackhat_paper.html

    "Onity, après 20 ans et 4 à 10 millions de verrous, a tout intérêt à ce que ces informations ne sortent pas, car elles leur donnent une mauvaise apparence et leur coûtent beaucoup d'argent. En tant que tel, il est probable que sans la pression du public - ce que nous avons vu sous la forme d'une couverture médiatique implacable - ils auraient tenté de couvrir cela. ». http://daeken.com/2012-12-06_Responsible_Disclosure_Can_Be_Anything_But.html

    http://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/

    www.ibm.com/security/secure-engineering/report.html

    http://blog.fcanorthamerica.com/2015/07/22/unhacking-the-hacked-jeep/

    http://www.eweek.com/security/fiat-chrysler-auto-recall-highlights-rising-fears-about-iot-hacking.html

    George Yunaev

    George Yunaev est ingénieur logiciel senior chez Bitdefender. Il a rejoint l'unité des licences technologiques OEM de l'entreprise en 2008, après avoir travaillé pendant sept ans chez Kaspersky Lab. En plus de développer des SDK pour diverses solutions OEM, George fournit également à ses partenaires et prospects des informations utiles sur les menaces émergentes et les pièges potentiels des licences technologiques. Sa vaste expérience en génie logiciel de 19 ans couvre également la rétro-ingénierie et l'analyse des logiciels malveillants. Il est basé dans la Silicon Valley, en Californie, et aime voyager et pratiquer des sports actifs comme le parachutisme et le wakeboard.

enfreles