Prije otprilike mjesec dana, korisnici TeamViewer-a počeli su se žaliti na forumima, Twitteru i društvenim mrežama da su njihovi računi hakovani. Prošle sedmice su se poruke pojavile čak i na Habréu. U početku se činilo da to nije ništa ozbiljno. Bilo je izolovanih slučajeva. Ali tok pritužbi je rastao. U relevantnim odjeljcima Reddita i po hashtag-u u Twitter sada ima na stotine žrtava. Vremenom je postalo jasno da to nije slučajno, da je tu nešto ozbiljnije. Vjerovatno je došlo do masovnog curenja lozinki korisnika koji koriste iste lozinke na različitim servisima.
Među žrtvama nisu bili samo obični ljudi, već i stručnjaci za sigurnost. Jedan od njih je bio Nick Bradley, viši službenik za sigurnost u Grupi za istraživanje prijetnji u IBM-u. Izvijestio je da mu je račun hakovan u petak, 3. juna. I Nick je direktno gledao kako mu je kompjuter zaplijenjen pred očima.
„Oko 18:30 bio sam usred utakmice“, kaže Nick. - Iznenada sam izgubio kontrolu nad mišem i u donjem desnom uglu ekrana pojavila se poruka TeamViewer-a. Čim sam shvatio šta se dešava, odmah sam ubio aplikaciju. Onda mi je sinulo: imam druge mašine sa instaliranim TeamViewer-om!"
“Trčao sam niz stepenice gdje je još jedan kompjuter bio uključen i radio. Iz daljine sam vidio da se prozor TeamViewer-a već pojavio tamo. Prije nego što sam ga uspio ukloniti, napadač je pokrenuo pretraživač i otvorio novu web stranicu. Čim sam došao do tastature, odmah sam otkazao daljinski upravljač, odmah otišao na web stranicu TeamViewer, promijenio lozinku i aktivirao dvofaktorsku autentifikaciju."
Snimak ekrana stranice koju je napadač otvorio
“Srećom, bio sam u blizini kompjutera kada se napad dogodio. Inače, njegove je posljedice teško zamisliti “, piše stručnjak za sigurnost. Počeo je da istražuje kako se to moglo dogoditi. TeamViewer nije koristio jako dugo i skoro je zaboravio da je instaliran na sistemu, pa je logično pretpostaviti da je procurila lozinka sa nekog drugog hakovanog servisa, na primjer LinkedIn-a.
Međutim, Nick je nastavio da istražuje i pronašao stotine postova na forumima o TeamViewer hakovima.
Po njegovom mišljenju, postupci napadača su slični činjenici da je brzo proučio koji su mu računari na raspolaganju. Otišao bi na stranicu da pogleda IP adresu žrtve i odredi vremensku zonu, vjerovatno s planom da se vrati kasnije u prikladnije vrijeme.
TeamViewer je dizajniran za daljinsko upravljanje računarom. Preuzevši tuđi nalog, zapravo dobijate gotov rootkit instaliran na računar žrtve. Mnoge žrtve se žale da je novac nestao sa njihovih bankovnih i Paypal računa.
TeamViewer vjeruje da je curenje lozinke povezano s nizom mega-hakova na glavnim društvenim mrežama. Prije mjesec dana, oko 642 miliona lozinki za Myspace, LinkedIn i druge stranice postalo je javno. Vjerovatno napadači koriste ove informacije za kreiranje zasebnih ciljnih baza podataka sa lozinkama za korisnike Mail.ru, Yandex, a sada i TeamViewer-a.
TeamViewer negira hakovanje korporativne infrastrukture i objašnjava činjenicu da su serveri bili nedostupni u noći između 1. i 2. juna zbog problema sa DNS-om i mogućeg DDoS napada. Kompanija preporučuje da žrtve ne koriste iste lozinke na različitim sajtovima i aplikacijama, kao i da omoguće dvofaktornu autentifikaciju. Ovome možete dodati da biste trebali ažurirati program na najnoviju verziju i periodično mijenjati lozinke. Poželjno je generirati jedinstvene lozinke, na primjer, pomoću upravitelja lozinki.
Osim toga, TeamViewer je uveo dvije nove sigurnosne funkcije kao odgovor na masovno hakovanje naloga. Prvi od njih je Trusted Devices, koji uvodi dodatnu proceduru za dozvolu upravljanja nalogom sa novog uređaja (za potvrdu potrebno je pratiti link koji se šalje e-poštom). Drugi je "Integritet podataka", automatsko praćenje neovlašćenog pristupa nalogu, uključujući i uzimanje u obzir IP adresa sa kojih se uspostavlja veza. Ako se pronađu znaci hakovanja, nalog je podložan prinudnoj promeni lozinke.
Čini se da je odgovor TeamViewer-a logičan i prikladan odgovor na masovno curenje korisničke lozinke (djelomično, vlastitom greškom korisnika). Ipak, i dalje postoje sumnje da su napadači pronašli ranjivost u samom softveru TeamViewer, koja omogućava grubo forsiranje lozinki, pa čak i zaobilaženje dvofaktorske autentifikacije. Barem na forumima postoje poruke žrtava koje tvrde da su koristile dvofaktorsku autentifikaciju.
Korisnici su bili oduševljeni ovim programom. Neki od njih su čak preleteli čitave stranice pohvalnih komentara.
Tako jedan od njih smatra da je ovaj program pravi spas za ljude koji imaju roditelje, a žive daleko. Tako korisnik sa entuzijazmom opisuje prekrasan uslužni program.
Kaže da mu roditelji žive u Vladivostoku, a sam se preselio u Sankt Peterburg. Roditelji su imali problem sa tehnikom, a zahvaljujući ovom programu, on je brzo mogao da reši problem svojih roditelja.
Posebnosti:
- Ovo proširenje pomaže da se brzo dijagnostikuje računar iz daljine.
- Drago mi je da je program potpuno besplatan za nekomercijalnu upotrebu.
- Često dolazi do prekida veze zbog činjenice da provajder štedi internet saobraćaj.
Značajna prednost ovakvog programa je što možete raditi direktno sa svog telefona i provajder vam neće prekinuti vezu. Možete se povezati i na kućni ili radni računar.
Recenzije o komercijalnom TimWyveru
Još jedna recenzija snimljena je od jedne djevojke. Kaže da joj je program postao spas, i to uprkos činjenici da se ne razumije u softver. Djevojka kaže da u jednom danu treba otvoriti i zatvoriti samo nekoliko programa. Ona sama radi kao menadžerica u radnji. Naravno, razumije sve te programe, ali kada se promijenio kadar, trebalo je pratiti šta se dešava. A program Timviver je upravo pomogao da se kontrolišu svi računari zaposlenih u radnji.
- Morala je osigurati da radnici ispravno otvaraju i zatvaraju poseban softver.
- Za ovaj program je slučajno saznala od prijatelja i odmah ga instalirala na svoj računar, kao i na radnim računarima.
- I djevojka je prilično zadovoljna svojim radom, jer je sigurna da će moji zaposlenici sve uraditi kako treba.
Drugi korisnik kaže da koristi uslužni program više od 5 godina. Čemu služi ovaj uslužni program? Postoje slučajevi kada se određene postavke računara ne mogu izvršiti pomoću šablona. A upravo TeamViewer dolazi u pomoć.
Ovaj korisnik ima Windows 7, komšija ima 8, a baka generalno treba da postavi program za računovodstvo. šta da radim? Naravno, bolje je na odgovarajućim računarima, da sami konfigurišete potrebne parametre, a ne da ih objašnjavate satima. Ako je iznenada došlo do neke greške, onda je to gotovo katastrofa. To zbunjuje one koji se boje kompjutera. Ali da biste otklonili takav problem, možete objasniti sagovorniku s druge strane monitora šta treba preuzeti i na kojoj stranici. Veoma je jednostavan za upotrebu. Samo ukucate teamweaver u pretragu i odmah vam se ispušta službena web stranica s koje možete bezbedno preuzeti uslužni program.
Program ima mnogo podešavanja, ali za normalan rad potrebno je samo pritisnuti dugme na daljinskom upravljaču i to je to.
- U daljinskom upravljanju, ekran udaljenog računara je vidljiv. Nakon završetka sesije, pojavljuje se podsjetnik da je TeamViewer sponzor.
- Miš i tastatura dobro reaguju na radnje povezanih računara, bilo da se radi o vlasniku uređaja ili drugom povezanom gostu.
- Sve radnje koje je osoba izvršila na ovom računaru vidljive su na ekranu dodatnog daljinskog upravljača. Licenca košta oko 30.000 rubalja, ali ako odaberete predmet za komercijalne svrhe, onda će se isplatiti u određenom vremenskom periodu.
Iznos potrebne otkupnine ovisi o važnosti podataka i može varirati od 0,5 do 25 bitcoina.
Korisnici interneta su napadnuti novim ransomwareom pod nazivom Surprise. Jednom u sistemu, malver počinje da šifruje datoteke na računaru. Ekstenzija .surprise se dodaje šifrovanim dokumentima. Općenito, funkcionalnost ransomwarea ne razlikuje se od mogućnosti drugih predstavnika ove vrste softvera. Međutim, način na koji se distribuira je vrlo zanimljiv. U tu svrhu napadači koriste TeamViewer, alat za pristup udaljenoj radnoj površini.
Po prvi put se za ransomware saznalo iz poruke korisnika foruma Bleeping Computer. Kako je dalja diskusija na temu pokazala, sve žrtve malvera su imale instaliran TeamViewer verzije 10.0.47484. Imajte na umu da iznos potrebne otkupnine zavisi od stepena važnosti podataka i može varirati od 0,5 do 25 bitcoina. Uslovi plaćanja se dogovaraju pojedinačno.
Prema Davidu Balabanu, stručnjaku za PrivacyPC, koji je analizirao evidenciju prometa TeamViewer-a, napadači su daljinski pokrenuli proces iznenađenja.exe na računarima žrtava. Prema Balabanovim riječima, kriminalci su mogli iskoristiti akreditive koji su ukradeni kao rezultat kompromitiranja TeamViewer kompjuterskih sistema. Međutim, sama kompanija je negirala mogućnost neovlaštenog ulaska.
Prema vlasniku Bleeping Computer Lorensu Abramsu, malver Surprise je modificirana verzija ransomwarea otvorenog koda EDA2 koji je razvio turski istraživač Utku Sen. Imajte na umu da postoji nekoliko ransomware baziranih na ovom softveru. Senov drugi razvoj, ransomware Hidden Tear, takođe je popularan među sajber kriminalcima. Već postoje 24 ransomware bazirana na njemu.
TeamViewer komentar:
Posljednjih dana pojavili su se izvještaji o infekcijama ransomware-om povezanim sa softverom TeamViewer. Oštro osuđujemo svaku kriminalnu aktivnost, ali želimo da istaknemo dva aspekta:
1. Do sada nijedna od infekcija nije bila povezana sa ranjivosti u softveru TeamViewer.
2. Postoji niz mjera koje mogu pomoći u sprečavanju potencijalnih kršenja.
Detaljno smo istražili slučajeve na koje smo došli i zaključili da sigurnosni problemi iza njih ne mogu biti povezani sa softverom TeamViewer. Za sada nemamo dokaza da napadači iskorištavaju bilo koju potencijalnu ranjivost u TeamVieweru. Štaviše, napad čovjeka u sredini se zapravo može isključiti jer TeamViewer koristi end-to-end enkripciju. Također nemamo razloga vjerovati da su napadi kriptoanalize grubom silom bili uzrok ovih infekcija. Činjenica je da TeamViewer eksponencijalno povećava kašnjenje između pokušaja povezivanja, tako da bi samo 24 pokušaja trajalo čitavih 17 sati. Vrijeme kašnjenja se briše tek nakon unosa ispravne lozinke. TeamViewer ima mehanizam koji štiti klijente od napada ne samo sa jednog određenog računara, već i sa više računara (tzv. “botnet napadi”) koji pokušavaju da pristupe određenom TeamViewer-ID-u.
Pored toga, želimo da navedemo da nijedan od ovih slučajeva ne ukazuje na defekte u arhitekturi ili sigurnosnim mehanizmima softvera TeamViewer.
Razlog za sve slučajeve infekcije koje smo proučavali leži, prije svega, u nemarnoj upotrebi softvera. Ovo posebno uključuje upotrebu istih lozinki za različite korisničke naloge na sistemima različitih proizvođača.
U protekloj sedmici, mnogi korisnici TeamViewera bili su pogođeni napadima nepoznatih hakera. Istovremeno, serveri kompanije i službena web stranica su nekoliko sati bili van mreže, što je kasnije objašnjeno DoS napadom na DNS servere. TeamViewer je sada najavio dvije nove funkcije za poboljšanje sigurnosti aplikacije i njenih korisnika.
U noći sa 1. na 2. jun 2016. godine, korisnici TeamViewer-a bili su nepoznati napadači. Stotine ljudi pisalo je na Redditu i na društvenim mrežama o istoj stvari: neko je koristio njihov TeamViewer i ukrao novac. Istovremeno, mnoge žrtve su izjavile da su koristile jake lozinke i dvofaktorsku autentifikaciju, ali ih ni to nije spasilo od hakovanja.
Ulje na vatru oduševljenja korisnika dolila je činjenica da se web stranica TeamViewer neočekivano isključila. Mnogi su odmah pretpostavili da je kompanija hakovana, a hakeri su uspjeli doći do korisničkih akreditiva. No, predstavnici TeamViewer-a su ubrzo iznijeli ove teorije i rekli da ih niko nije razbio, TeamViewer ne sadrži nikakve ranjivosti, a offline je uzrokovan „DoS napadom na kompanijske DNS servere“.
Programeri su također sugerirali da su masovni hakovi rezultat "nepažnje u zaštiti korisničkog računa". U stvari, kompanija je okrivila korisnike da su oni sami krivi za hakiranje, ističući da se "posebno radi o korištenju istih lozinki za različite korisničke naloge za različite usluge". Također, predstavnici kompanije su istakli da "niko nije siguran od slučajnog preuzimanja i instaliranja zlonamjernog softvera".
Neke od žrtava izjava kompanije nije uvjerila, jer se sve ovo ne uklapa u činjenicu da su neke od žrtava koristile dvofaktorsku autentifikaciju, jake lozinke i nisu bile zaražene malverom.
Sada pristalice ideje "oni šute o činjenici hakovanja" imaju novu hranu za razmišljanje. 3. juna 2016. TeamViewer je uveo dva nova sigurnosna poboljšanja odjednom.
Prva karakteristika: Trusted Devices će vam omogućiti kontrolu pristupa za nove uređaje. Kada se korisnik prvi put prijavi na nalog sa novog uređaja, prije početka rada morat će pratiti link iz pisma koje će biti poslato na email adresu vlasnika naloga.
Druga funkcija: Data Integrity će pratiti sve aktivnosti povezane s korisničkim računom. Ako sistem primijeti nešto sumnjivo, na primjer, neko pokuša da se prijavi na nalog sa neobične lokacije ili sa nepoznate IP adrese, resetovaće lozinku. Vlasnik naloga će primiti e-poštu s daljnjim uputama i izvještajem o incidentu.
Svi TeamViewer serveri smešteni su u modernim data centrima koji su usklađeni sa standardom ISO 27001, koriste redundantne veze i redundantna napajanja. Planirano je formiranje zaštite podataka RAID nizova, preslikavanja i pravljenja rezervnih kopija podataka, korišćenjem visoko dostupnog serverskog skladišta, ruter sistema sa mehanizmima oporavka od katastrofe i procedura kontinuiranog održavanja. Osim toga, svi serveri sa povjerljivim podacima nalaze se u Njemačkoj ili Austriji.
Data centri koriste najsavremenije sigurnosne kontrole, uključujući kontrolu ličnog pristupa, video nadzor, detektore pokreta, praćenje situacije 24/7, a sigurnosno osoblje omogućava pristup data centru samo ovlaštenim osobama kako bi se osigurao najviši stepen opreme i sigurnost podataka. Pristup je omogućen preko jedne tačke ulaska u data centar i tek nakon temeljne validacije.
Digitalni potpis softvera
Radi poboljšanja sigurnosti, sav naš softver je digitalno potpisan od strane VeriSign-a. Ovo osigurava da se proizvođač softvera uvijek može pouzdano identificirati. Ako je softver promijenjen, digitalni potpis se automatski poništava.
TeamViewer sesije
KREIRANJE SESIJA I VRSTE VEZE
Prilikom kreiranja sesije, TeamViewer određuje optimalni tip veze. Nakon rukovanja putem naših glavnih servera, 70% vremena se uspostavlja direktna veza putem UDP ili TCP (čak i iza standardnih gateway-a, NAT-ova i zaštitnih zidova). Ostatak konekcija se obrađuje preko naše mreže sa redundantnim ruterima putem TCP ili https tunela.
Ne morate otvarati dodatne portove da biste radili sa TeamViewerom.
ŠIFIRANJE I VERIFIKACIJA OVLAŠĆENJA
Osiguravanje toka podataka TeamViewer-a zasniva se na RSA razmjeni javnog/privatnog ključa i šifriranju sesije pomoću AES-a (256 bita). Ova tehnologija se koristi za https/SSL i smatra se potpuno sigurnom prema modernim standardima.
Pošto privatni ključ nikada ne napušta klijentski računar, ova procedura osigurava da međusobno povezani računari, uključujući TeamViewer servere za rutiranje, ne mogu dešifrovati tok podataka. Čak i zaposleni u TeamVieweru koji djeluju kao operateri servera za rutiranje ne mogu čitati šifrirani promet.
Svi podaci sa kontrolne konzole se prenose na standardni način za sigurne internet veze: preko sigurnog kanala koristeći TSL (Transport Security Layer) enkripciju. Autorizacija lozinke i enkripcija se dešavaju pomoću protokola za provjeru autentičnosti lozinke (SRP), poboljšanog protokola ključa za provjeru lozinke (PAKE). Napadač ili „posrednik“ ne može dobiti dovoljno informacija da izvrši napad grubom silom kako bi dobio lozinku. Ovo je jasan primjer kako se visoka sigurnost može postići čak i sa slabom lozinkom. Međutim, kako bi se osigurao visok nivo sigurnosti, TeamViewer i dalje preporučuje korištenje najažurnijih metoda generiranja lozinki.
Svaki TeamViewer klijent već koristi javni ključ glavnog klastera i tako može šifrirati poruke u glavnom klasteru i provjeriti poruke koje je potpisao. PKI (infrastruktura javnog ključa) efikasno sprečava aktivni upad u vezu (MITM). Uprkos šifrovanju, lozinka se nikada ne šalje direktno, već samo koristeći proceduru izazov-odgovor i pohranjuje se samo na lokalnom računaru. Tokom autentifikacije, korištenje protokola za provjeru autentičnosti lozinke (SRP) sprječava direktan prijenos lozinke. Dakle, samo verifikator lozinke je pohranjen na lokalnom računaru.
Provjera TeamViewer ID-ova
Identifikatori se automatski generišu u TeamVieweru na osnovu karakteristika softvera i hardvera. TeamViewer serveri provjeravaju valjanost ID-a prije svakog povezivanja.
Zaštita od napada grubom silom
Potencijalni kupci zainteresirani za sigurnost TeamViewer-a redovno pitaju o šifriranju. Najstrašniji je rizik da treća strana ometa vezu ili presretne TeamViewer pristupne podatke. Međutim, u praksi su prilično primitivni napadi često najopasniji.
U oblasti računarske bezbednosti, brute-force napadi su metoda pokušaja i grešaka koja vam omogućava da pogodite lozinku koja štiti resurs. Kako računarska snaga standardnih računara raste, vrijeme potrebno za grubo forsiranje dugih lozinki stalno se smanjuje.
Kao odbranu od takvih napada, TeamViewer koristi eksponencijalno povećanje kašnjenja između pokušaja povezivanja. Dakle, 24 pokušaja sada traju 17 sati. Kašnjenje se briše tek nakon unosa ispravne lozinke.
Zaštitni mehanizam TeamViewer-a štiti klijente od napada sa jednog računara ili od više napada (tzv. botnet napadi) u cilju presretanja pristupnih podataka za određeni TeamViewer ID.
TeamViewer portovi
TCP/UDP port 5938
TeamViewer koristi port 5938 za TCP i UDP veze, glavni port preko kojeg TeamViewer najbolje radi. U najmanju ruku, vaš zaštitni zid ga ne bi trebao blokirati.
TCP port 443
Ako TeamViewer ne može da se poveže preko porta 5938, pokušaće da se poveže preko TCP porta 443.
Međutim, naše mobilne aplikacije koje rade na Android, iOS, Windows Mobile i BlackBerry ne koriste port 443.
Bilješka. Port 443 također koriste prilagođeni moduli koji se kreiraju u upravljačkoj konzoli. Ako implementirate prilagođeni dodatak, na primjer putem grupnih politika, morate otvoriti port 443 na računarima na kojima je dodatak raspoređen. Port 443 se također koristi za nekoliko drugih operacija, uključujući provjeru ažuriranja TeamViewer-a.
TCP port 80
Ako TeamViewer ne može da se poveže preko portova 5938 ili 443, pokušaće da se poveže preko TCP porta 80. Brzina na ovom portu je manja i veza je manje pouzdana nego na portovima 5938 ili 443, jer ovaj port koristi dodatne servisne podatke, i pored toga, ne uspostavlja se automatski ponovo kada je veza privremeno prekinuta. Stoga se port 80 koristi samo kao posljednje sredstvo.
Mobilne aplikacije koje rade na Androidu, Windows Mobile i BlackBerryju ne koriste port 80. Međutim, naše iOS aplikacije mogu koristiti port 80 ako je potrebno.
Android, Windows Mobile i BlackBerry
Mobilne aplikacije koje rade na Android, Windows Mobile i BlackBerry mogu se povezati samo na port 5938. Ako se aplikacija TeamViewer na vašem mobilnom uređaju ne uspije povezati s porukom "Provjerite svoju internetsku vezu", to je vjerovatno zbog blokiranja ovog porta od strane vašeg mobilni operater ili vaš WiFi firewall/ruter.
Odredišne IP adrese
Softver TeamViewer uspostavlja veze sa našim glavnim serverima koji se nalaze širom sveta. Ovi serveri koriste nekoliko različitih raspona IP adresa koji se često mijenjaju. Stoga vam ne možemo dati listu IP adresa naših servera. Međutim, sve naše IP adrese imaju PTR zapise postavljene na * .teamviewer.com. Možete koristiti ove informacije da ograničite broj IP adresa putem zaštitnog zida ili proxy servera.
