Как организовать безопасный удаленный доступ для любого числа сотрудников?

- КиТ :: Будь в СЕТИ!

В нынешней ситуации бизнес должен принимать во внимание, что киберпреступники готовы использовать слабые места и пробелы в безопасности, которые возникают из-за стремительного перехода сотрудников компании на новый формат работы. Неподготовленные пользователи и незащищенные системы могут быстро стать проводниками вредоносных программ. Время имеет существенное значение, а потому безопасность должна быть неотъемлемым элементом любой стратегии удаленной работы.

ак подготовить ИБ-департаменты компании к форс-мажорам? Какие решения помогут удаленно работать сотрудникам вне офиса? Можно ли гарантированно обезопасить предприятие от потери данных? Читайте электронную книгу о правилах обеспечения непрерывности бизнеса и смотрите вебинар о том, как организовать удаленную работу сотрудников. Посмотреть вебинар × Как защитить данные в ЦОДах от новых типов атак?

Компании повышают гибкость ключевых рабочих процессов с помощью гибридных инфраструктур. Колокация и облака хорошо влияют на оперативность бизнеса, но защищать ИТ-среды при таком подходе стало куда сложнее. Стратегия четырех из пяти предприятий в этом направлении - провальна, а простои из-за действий киберпреступников в двухлетний период оборачиваются средним ущербом в $67,2 млн.

Можно ли интегрировать ИБ-решения во все части гибридной инфраструктуры? Как автоматизировать защиту и сделать ее более интеллектуальной? Какова доля вредоносного ПО в зашифрованном трафике и что с этим могут сделать межсетевые экраны NGFW? Зарегистрируйтесь, чтобы бесплатно скачать электронную книгу о методах защиты распределенных гибридных ЦОДов прямо сейчас. --> × Безопасная сеть SD-WAN: информация для руководителей сетевых подразделений

По прогнозу IDC мировые доходы от инфраструктуры и услуг SD-WAN будут расти ежегодно более чем на 40% и достигнут $4,5 млрд к 2022 г. Но многие руководители сетевых подразделений до сих пор не вполне ясно представляют практическую пользу от этого подхода. Тем временем, без замены устаревшей инфраструктуры WAN в географически распределенных филиалах цифровизация просто невозможна.

Какова на самом деле совокупная стоимость владения SD-WAN? Почему нужно выбирать решения с автоматическим развертыванием? Есть ли на рынке действительно безопасные сетевые решения? Зарегистрируйтесь, чтобы прямо сейчас скачать электронную книгу «Безопасная сеть SD-WAN: информация для руководителей сетевых подразделений». × Как спроектировать действительно безопасную сетевую архитектуру?

Во всех секторах мировой экономики внедрение цифровых инноваций считается обязательным условием развития бизнеса. Но это вносит множество изменений в сетевые среды организаций. Из-за этого концепция защищаемого сетевого периметра постепенно устаревает. Поставщикам облачных услуг нужно разработать многоуровневую стратегию эшелонированной защиты.

Можно ли развиваться без оглядки на расширяющийся арсенал киберпреступников? Несет ли компаниям угрозу повышенная сложность их экосистем? Как научиться соответствовать ужесточающимся требованиям регуляторов? Зарегистрируйтесь, чтобы прямо сейчас, чтобы узнать, как мировые лидеры защищают свои данные на пути к цифровому будущему. Найден способ подменять содержимое в PDF-документе с цифровой подписью 7133 Безопасность 11.08.2020, Вт, 10:01, Мск , Текст: Роман Георгиев

Хотя цифровая подпись должна защищать PDF от любых изменений, существуют возможности обойти защиту. Средства просмотра PDF-документов интерпретируют некоторые изменения как малозначительные и безопасные, притом, что злоумышленники могут подменить содержание отдельных частей или даже всего документа. Как это сделать, продемонстрировали эксперты Рурского университета в Бохуме.

Несущественные изменения

Исследователи при Рурском университете в Бохуме (Германия) описали новый тип атак под общим названием Shadow attacks, позволяющих подменять содержимое защищенных PDF-файлов без нарушения целостности их цифровой подписи.

Суть атаки состоит в том, что злоумышленник может создать PDF с двумя разными типами содержимого. Один тип — ожидаемые данные со стороны тех, кто будет производить подписание PDF-документа. Второй — скрытые данные, отображаемые после того, как PDF-файл получает цифровую подпись. В результате подписант и получатель PDF могут видеть разную информацию, хотя средства просмотра не наблюдают никаких нарушений.

Исследователи отметили, что из 28 приложений для просмотра PDF 15, включая пакеты Adobe, Foxit и LibreOffice, в той или иной степени оказались уязвимы перед такими атаками. Уязвимости получили индексы CVE-2020-9592 и CVE-2020-9596. Adobe, Foxit и The Document Foundation уже выпустили обновления, но другие разработчики пока не реагируют.

Три атаки

Эксперты описали три атаки, одна из которых позволяет скрывать часть контента от подписанта, но выводить его получателю. В частности, злоумышленники могут скрыть какой-либо текст под картинкой, закрывающей всю страницу; после получения подписанного документа достаточно небольших манипуляций, чтобы средства просмотра перестали отображать эту картинку. Злоумышленники могут использовать инкрементное обновление документа для удаления некоторых элементов, и во многих случаях средства просмотра не будут рассматривать эти изменения как нечто существенное.

Эксперты продемонстрировали возможность подменять содержимое в защищенных PDF

«Если же средство просмотра не принимает изменения в структурных объектах PDF (Page, Pages, Contents), возможен второй вариант атаки, при котором оказывается прямое воздействие на перекрывающий объект посредством манипуляции таблицы Xref — каталога, в котором перечислены объекты внутри основного раздела и их местонахождение.

«Самый простой способ — создать инкрементное обновление, которое изменяет лишь содержание таблицы Xref; перекрывающему объекту присваивается значение free, — пишут исследователи. — Во многих случаях, однако, просмотрщики (включая официальный пакет Adobe) будут рассматривать это изменение как рискованное, поэтому выводится предупреждение. Поэтому мы применяем другой подход: при инкрементном обновлении мы используем тот же объект с тем же идентификатором, но меняем его тип. Например, вместо перекрывающего изображения (Image) обозначается тип XML/Metadata. Кроме того, мы изменяем таблицу Xref с указателем на объект метаданных, но сохраняем идентификатор перекрывающего объекта. При открытии модифицированного документа перекрывающий объект скрывается, поскольку метаданные не могут отображаться. При этом добавление метаданных к подписанному PDF-документу через инкрементное обновление считается безвредным, так что подпись не нарушается».

Аналогичным образом реализуемы и две другие атаки, одна из которых позволяет подменять данные, а другая — и подменять, и прятать их. В обоих случаях изменения в PDF можно произвести таким образом, чтобы средства просмотра считали их безвредными, хотя в действительности выводимые получателю данные могут радикально отличаться от тех, которые видел подписант.

Например, подмена шрифтов считается безвредной, но позволяет подменять некоторые символы. Кроме того, есть возможность модифицировать интерактивные формы в PDF так, что при получении подписи выводится одно значение, а при открытии потенциальной жертвой в том же документе отображаются другие данные.

И скажем, что так и было

Для этого злоумышленник может использовать функцию текстовых полей в PDF, позволяющих перекрывать основное содержание поля дополнительным — которое исчезает, как только выделен текст основного поля.

«Реальное значение формы содержится в ключе объекте /V, — отмечают исследователи. — Контент перекрывающего элемента определяется объектом /BBox. Этот объект похож на всплывающие подсказки в HTML-формах; например, пользователю выводится некое имя, указывающее на то, что в данное поле необходимо ввести свой логин. Однако, в отличие от HTML, в PDF нет визуальной разницы между подсказкой и реальным значением»,

Еще один вариант атаки предполагает, что в модифицированном, «теневом» документе задается некий шрифт плюс внедряется его описание. Шрифт используется для отображения определенной части контента. После подписания документа злоумышленники добавляют новое описание шрифта — поверх старого. А поскольку задание нового шрифта не считается источником угрозы, подобные манипуляции игнорируются средствами просмотра.

Наиболее опасной является третья атака (Hide-and-Replace — скрыть и подменить), которая позволяет заменить фактически весь контент в PDF-документе.

Точнее, речь идет о PDF с двойным содержанием — одно выводится подписанту, другое — получателю, при этом разное содержание хранится в объектах с одним и тем же идентификатором, так что посредством небольшого изменения таблицы Xref и раздела Trailer, с которого программы просмотра начинают обработку PDF-документа, можно добиться того, что воспринимаемое содержание документа радикально изменится при сохранении целостности цифровой подписи.

Однако, как отметили исследователи, неиспользуемые (невидимые подписанту) объекты могут быть удалены в процессе назначения цифровой подписи; вдобавок антивирусы могут среагировать на неиспользуемые объекты и вывести предупреждение. В этом случае атака не получится.

«Сама возможность подменять содержимое в документе с цифровой подписью — это, казалось бы, нонсенс, однако, как видим, существуют способы обходить защиту, — отмечает Алексей Водясов, эксперт по информационной безопасности компании SEC Consult Services. — Возможности атакующих ограничены, но подмена даже одного какого-то показателя в важном документе может иметь катастрофические последствия, так что возможность даже “незначительных” изменений в подписанном документе необходимо исключить».

ПодпискаБудь в СЕТИ! Новости социальных сетей - всегда актуальное
 
Группы: ВК | OK | Tg