Цього тижня відбулися серйозні звинувачення в хакерських атаках навколо надзвичайно популярного інструменту віддаленого доступу. TeamViewer Звіти, що почалися в кінці травня, значною мірою вказували на триваючу атаку «людина посередині», яка розкрила особисті облікові записи користувачів TeamViewer.
- Що тут відбувається?
- Безпека облікового запису користувача
- Відповідь
- Надійні пристрої та цілісність даних
- Що приводить нас до...
- Перевірка вашого облікового запису
- Час серйозно ставитися до безпеки TeamViewer
- Оновлення: виявлено шкідливе ПЗ для спільного використання DLL
- Чи були у вас проблеми з TeamViewer? Ви щось втратили? Ви зв'язалися з TeamViewer? Дайте нам знати ваш досвід нижче!
Серед численних звітів про банківські рахунки і рахунки PayPal, які були випорожнені або використані для здійснення несанкціонованих покупок, TeamViewer твердо дотримується думки, стверджуючи, що будь-яка шахрайська або зловмисна діяльність, ймовірно, є помилкою користувача. В умовах хаосу TeamViewer знайшов час для випуску нових функцій, призначених для поліпшення захисту даних користувача, і я впевнений, що іронія не втрачається на тих, хто вважає свої відсутні копійки.
Що саме відбувається в TeamViewer? Чи є простим збігом, що так багато рахунків, мабуть, були порушені одночасно? Чи були у користувачів дані облікового запису скомпрометовані в результаті іншого порушення і тепер знайдіть ті облікові дані, що використовуються проти них? Або щось ще в русі?
«Захист ваших особистих даних лежить в основі всього, що ми робимо», але чи захищають вони себе в першу чергу? Давайте подивимося, що ми знаємо.
Що тут відбувається?
TeamViewer опиняється в гніві серед користувачів. Загородження пов'язане з імовірною вразливістю безпеки, присутньою десь у програмному забезпеченні TeamViewer, яка дозволяє поки невідомим і невідомим зловмисникам отримати доступ до особистих облікових записів користувачів через віддалений сеанс.
Переважна більшість користувачів стверджують, що їхні облікові записи були зламані. Як тільки доступ отримано, хакери переміщаються за списком цілей, намагаючись витратити або перевести гроші. Деякі часто використовувані облікові записи включають в себе:
- PayPal
- eBay
- Амазонка
- Yahoo!
- Walmart
Деякі користувачі повідомляли про втрату тисяч доларів, тоді як інші бачили безліч карток eGift, відправлених у різні точки світу. У покупок, що здійснюються через Інтернет, зазвичай були ненормативні назви відправлень, які відправлялися в різні місця по всьому світу, при цьому значне число користувачів повідомляли про спроби входу з китайських або тайваньських IP-адрес.
Паливо було додано у вогонь, коли TeamViewer випробував перерву в обслуговуванні. Це було викликано атакою типу «відмова в обслуговуванні» (DoS). спрямована на порушення роботи DNS-серверів компаній (Domain Name System), але TeamViewer стверджує, що «немає ніяких доказів», що пов'язують атаку зі скомпрометованими обліковими записами користувачів.
Безпека облікового запису користувача
Було порушено велику кількість облікових записів, хоча, звичайно, немає точних цифр для звіту. Однак, схоже, що більшість порушених користувачів TeamViewer не використовували двофакторну автентифікацію. Тим не менш, нібито зловмисники використовували правильний пароль для входу в обліковий запис і запуску віддаленого сеансу. Хоча вхід у систему викликав би процес 2FA, вхід у віддалений сеанс не буде.
Деякі користувачі активно використовували свою систему, помітили спробу віддаленого входу в систему і змогли скасувати запит. Інші повернулися, щоб знайти завершений віддалений сеанс, тоді як інші все ще розуміли, коли їхні облікові записи електронної пошти були раптово заповнені квитанціями про покупки від eBay, Amazon і PayPal.
Нік Бредлі (Nick Bradley), керівник практики з Групи досліджень погроз IBM, детально розповів про своє відкриття:
"У середині ігрової сесії я втрачаю контроль над мишею, і в правому нижньому кутку екрану з'являється вікно TeamViewer. Як тільки я розумію, що відбувається, я вбиваю додаток. Потім до мене доходить: у мене є інші машини з TeamViewer!
Я біжу вниз, де ще один комп'ютер все ще працює. Низько і ось, вікно TeamViewer з'являється. Перш ніж я зможу його вбити, зловмисник відкриває вікно браузера і намагається перейти на нову веб-сторінку. Як тільки я добираюся до машини, я скасовую управління і закриваю додаток. Я відразу ж заходжу на сайт TeamViewer і змінюю свій пароль, а також включаю двофакторну автентифікацію.
На щастя для мене, це були єдині дві машини, які все ще були включені з встановленим TeamViewer. Також мені пощастило, що я був там, коли це сталося. Якби я не був там, щоб запобігти атаці, хто знає, що було б зроблено. Замість того, щоб обговорювати, як мене мало не зламали, я буду говорити про серйозні наслідки витоку моїх особистих даних ".
Відповідь
Відповідь TeamViewer була рішучою і постійною:
«У TeamViewer немає порушень безпеки»
Це лінія компанії, відображена в численних PR-заявах, випущених за останні кілька днів:
"У середу, 1 червня 2016 р., в TeamViewer стався збій в обслуговуванні. Це було викликано атакою типу «відмова в обслуговуванні» (DoS), спрямованою на інфраструктуру DNS-сервера TeamViewer. TeamViewer негайно відповів, щоб виправити проблему, щоб відновити всі сервіси.
Деякі онлайн-ЗМІ помилково пов'язують інцидент з минулими заявами користувачів про те, що їхні облікові записи були зламані, і теоріями про можливі порушення безпеки в TeamViewer. У нас немає доказів того, що ці питання пов'язані між собою.
Правда полягає в наступному:
- TeamViewer мав проблеми з мережею через DoS-атаки на DNS-сервери і виправляв їх.
- У TeamViewer немає порушень безпеки.
- Незалежно від інциденту TeamViewer постійно працює над забезпеченням максимально можливого рівня даних і захисту користувачів ".
Крім того, TeamViewer перевернув таблиці на своїх користувачів, заявивши, що, оскільки не було порушень з боку компанії, цілком ймовірно, що дані користувача були вкрадені під час одного з недавніх великих витоків даних і використовувалися для входу в облікові записи TeamViewer.
Надійні пристрої та цілісність даних
У розпал вируючих чуток TeamViewer оголосив про запуск своїх програм Trusted Devices і Data Integrity, «двох нових функцій безпеки для подальшого поліпшення захисту даних». Я спробував зв'язатися з TeamViewer, щоб переконатися, що ці функції були попередньо заплановані, або як пряма відповідь на передбачуваний злом, але поки не отримали відповіді.
Довірені пристрої гарантують, що будь-які спроби входу на будь-який даний пристрій в перший раз будуть задоволені проблемою авторизації, перш ніж буде надано доступ, в той час як цілісність даних забезпечить негайне скидання пароля, якщо обліковий запис відображає підозрілу активність.
Що приводить нас до...
Все це призвело до дуже дивного протистояння між користувачами TeamViewer і самою компанією.
TeamViewer занадто добре розуміє, що щось не так:
"Захист ваших особистих даних лежить в основі всього, що ми робимо.
Ми високо цінуємо довіру, яку ви нам надаєте, і поважаємо відповідальність за забезпечення вашої конфіденційності. Ось чому ми завжди відчуваємо гостру необхідність вжити всіх необхідних заходів для захисту ваших даних.
Як ви, напевно, чули, на популярних платформах соціальних мереж та інших провайдерів веб-послуг відбувалися безпрецедентні великомасштабні крадіжки даних. На жаль, облікові дані, викрадені в результаті цих зовнішніх порушень, використовувалися для доступу до облікових записів TeamViewer, а також до інших служб.
Ми вражені поведінкою кіберзлочинців і відчуваємо огиду до їх дій по відношенню до користувачів TeamViewer. Вони скористалися перевагою загального використання одного і того ж облікового запису в декількох службах, щоб завдати шкоди ".
Цілком можливо, що безліч зламаних облікових записів і шахрайських дій могли мати місце на тлі недавнього злому даних MySpace. У поєднанні з іншими великими порушеннями, такими як облікові записи, додані в порушення LinkedIn, і «старе» порушення правил Adobe кілька років тому, безумовно, існує значна кількість облікових даних користувачів, які можуть бути придбані за найвищою ціною.
Але це пояснення не зовсім порізало гірчицю. У той час як величезна кількість користувачів не слід було кращим методам захисту даних, використовуючи 2FA і надійні, випадкові, одноразові паролі., була також величезна кількість тих, хто був - і їх облікові записи були також зламані. Точно так само ряд користувачів дійсно був потенційно скомпрометований через попередні витоки даних і виявив активний віддалений сеанс, але також була велика кількість користувачів, чиї дані були приватними.
Перевірка вашого облікового запису
Якщо ви хочете негайно перевірити доступ до вашого облікового запису або спроба доступу будь-ким, крім вас, перейдіть на веб-сайт TeamViewer Management Console. Після того, як ви увійшли до свого облікового запису, перейдіть в правий верхній кут і натисніть на своє ім'я користувача, а потім натисніть «Змінити профіль». Потім виберіть Активні логіни. Це буде список всіх пристроїв і розташувань, які мали доступ до вашого облікового запису протягом останнього року.
Ви також можете перевірити журнали TeamViewer на наявність будь-яких позапланових дій. Журнали можна знайти тут:
- C: \ Program Files \ TeamViewer \ TeamViewerXX_Logfile.txt
- C: \ Program Files \ TeamViewer \ TeamViewerXX_Logfile_OLD.txt
Зайдіть у свій журнал і прочитайте його. Перевірте наявність нерегулярних адрес IP. Знайдіть у журналі файл «webbrowserpassview.exe», і якщо ви отримали позитивний результат, негайно зміните всі свої паролі.
Ні, я не жартую. Ця програма, по суті, розкриває і експортує всі ваші збережені в даний час паролі браузера в легко читаний текстовий файл. Він також обходить основні паролі, встановлені в Chrome і Firefox. Це не супер хакерський інструмент. Це відкрито доступно, але може бути надзвичайно небезпечно в чужих руках.
Вам також слід зайти на сайт haveibeenpwned.com, щоб перевірити, чи не була зламана якась з ваших облікових записів без вашого відома.
Час серйозно ставитися до безпеки TeamViewer
Якщо у вас є обліковий запис TeamViewer, негайно змініть пароль і увімкніть двофакторну автентифікацію. Якщо ви незадоволені, просто видаліть TeamViewer, поки не закінчиться цей розгром.
Перевірте покупки на eBay, Amazon, PayPal і Apple Store і уважно вивчіть вихідні банківські операції за останній тиждень. Якщо щось відбувається, зверніться безпосередньо до постачальника, поясніть, що сталося, і згадайте TeamViewer. Це повинно допомогти вашим справам повернутися до нормального життя. Обов'язково прочитайте цей список рекомендацій для TeamViewer від Redditor і користувача TeamViewer chubbysumo.
Це складна ситуація для оцінки. Можна зрозуміти точку зору TeamViewer. За їхніми словами, їхні сервери залишаються недоторканими. Вони як і раніше можуть пропонувати свої послуги віддаленого доступу в звичайному режимі. Більшість користувачів все ще можуть отримати доступ до своїх облікових записів і використовувати сервіс як є.
Але це не пояснює величезну кількість, здавалося б, скомпрометованих акаунтів. Це також не пояснює, як користувачі з надійними, безкомпромісними одноразовими паролями зламали свої облікові записи так само, як і користувачі з уже вкраденими обліковими даними. Це також не пояснює, чому деякі користувачі все ще бачать величезну кількість вхідних спроб з китайських і тайванських IP-адрес.
TeamViewer також міг би значно краще впоратися з усією ситуацією. Негайно несправедливо дорікати тим, у кого є очевидні проблеми, пов'язані безпосередньо з їх службою віддаленого робочого столу, враховуючи вагу в числах, що роблять надзвичайно схожу скаргу Але як тільки кулька котилася, і почалися постійні відповіді, TeamViewer обмежив обсяг своїх майбутніх відповідей, підриваючи власну репутацію, знецінюючи невдалий досвід своїх користувачів.
Я не зовсім впевнений, що це може бути помилка користувачів з недостатніми навичками безпеки. Тим не менш, я хотів би побачити деякі більш конкретні докази, що вказують на фактичний злом, певний експлойт або яку-небудь шкідливу програму, яка «дозволила» цьому статися до того, як на TeamViewer буде накладена більш потенційно несправедлива стигма.
Оновлення: виявлено шкідливе ПЗ для спільного використання DLL
TeamViewer звернувся до мене безпосередньо в суботу ввечері (4 червня 2016 року), щоб висловити «беззастережне вибачення» за поточні проблеми, а також за те, що вони «поклали провину» на своїх користувачів. Вони розуміють, як деякі з мов, що використовуються в їх PR-заявах, могли легко засмутити базу користувачів.
Тим не менш, вони категорично стверджують, що в їхньому сервісі немає основної вразливості, а також підкреслюють постійне використання протоколу Secure Remote Password. Крім того, TeamViewer підтвердив, що їхні нові «функції безпеки дійсно були просунуті», щоб надати своїм користувачам додаткову допомогу в той час, коли їх платформа, безумовно, піддається «зловживанням».
За час, що минув після публікації цієї статті в суботу, я також був попереджений про шкідливе ПЗ, що використовує TeamViewer як вектор атаки. Шкідлива програма BackDoor.TeamViewer49 встановлюється через шкідливе оновлення Adobe Flash на вже зламаних комп'ютерах і може стати потенційним бекдором для зловмисників. Для пояснення: це не порушення TeamViewer, а троянець, який використовує спільно використовувану TeamViewer DLL як пастку для встановлення себе в системі.
