Prije otprilike mjesec dana, korisnici TeamViewera počeli su se žaliti na forumima, Twitteru i društvenim mrežama zbog hakiranja njihovih računa. Poruke prošlog tjedna pojavile su se čak i na Habréu. Isprva se činilo da u tome nema ništa ozbiljno. Bilo je izoliranih slučajeva. Ali tok pritužbi je rastao. U relevantnim odjeljcima Reddita i uz hashtag u Cvrkut sada stotine žrtava. S vremenom je postalo jasno da to nije slučajnost, postoji nešto ozbiljnije. Vjerojatno je došlo do masovnog curenja lozinki korisnika koji koriste iste lozinke na različitim uslugama.
Među žrtvama nisu bili samo obični stanovnici, već i stručnjaci za sigurnost. Jedan od njih bio je Nick Bradley, jedan od vodećih zaposlenika odjela za informacijsku sigurnost Grupe za istraživanje prijetnji u IBM-u. Prijavio je da je njegov račun hakiran u petak, 3. lipnja. Štoviše, Nick je izravno promatrao kako mu je računalo zaplijenjeno pred očima.
“Oko 18:30 bio sam usred igre”, kaže Nick. - Odjednom sam izgubio kontrolu nad mišem i u donjem desnom kutu zaslona pojavila se poruka TeamViewera. Čim sam shvatio što se događa, odmah sam ubio aplikaciju. Onda mi je sinulo: imam druge strojeve s instaliranim TeamViewerom!”
“Trčao sam niz stepenice gdje je još jedno računalo bilo gore i radilo. Iz daljine sam vidio da se tamo već pojavio prozor programa TeamViewer. Prije nego što sam ga uspio ukloniti, napadač je pokrenuo preglednik i otvorio novu web stranicu. Čim sam došao do tipkovnice, odmah sam otkazao daljinski upravljač, odmah otišao na web stranicu TeamViewer, promijenio lozinku i aktivirao dvofaktorsku autentifikaciju.
Snimka zaslona stranice koju je otvorio napadač
“Srećom, bio sam u blizini računala kada se napad dogodio. Inače je teško zamisliti njegove posljedice”, piše stručnjak za sigurnost. Počeo je istraživati kako se to moglo dogoditi. TeamViewer nije koristio jako dugo i gotovo je zaboravio da je instaliran na sustavu, pa je logično pretpostaviti da je lozinka procurila s nekog drugog hakiranog servisa, poput LinkedIna.
Međutim, Nick je nastavio istraživati i pronašao stotine postova na forumu o TeamViewer hakovima.
Po njegovom mišljenju, napadačevi postupci slični su tome što je brzo proučio koja su mu računala na raspolaganju. Otvorio je stranicu kako bi pogledao IP adresu žrtve i odredio vremensku zonu, vjerojatno s planom da se vrati kasnije u prikladnije vrijeme.
Program TeamViewer je dizajniran za daljinsko upravljanje računalom. Nakon što ste preuzeli tuđi račun, zapravo dobivate gotov rootkit instaliran na računalu žrtve. Mnoge žrtve se žale da je novac nestao s njihovih bankovnih računa i Paypal računa.
Predstavnici TeamViewera smatraju da je curenje lozinki povezano s nizom "megahakova" velikih društvenih mreža. Prije mjesec dana javnosti je bilo izloženo oko 642 milijuna lozinki za Myspace, LinkedIn i druge stranice. Vjerojatno je da napadači koriste ove informacije za stvaranje zasebnih ciljnih baza podataka s lozinkama za korisnike Mail.ru, Yandex, a sada i TeamViewer.
TeamViewer poriče hakiranje korporativne infrastrukture, te objašnjava činjenicu da su poslužitelji u noći s 1. na 2. lipnja bili nedostupni zbog problema s DNS-om i mogućeg DDoS napada. Tvrtka preporučuje da žrtve ne koriste iste lozinke na različitim stranicama i aplikacijama, te da također omoguće dvofaktornu autentifikaciju. Ovome možemo dodati da program treba ažurirati na najnoviju verziju i periodično mijenjati lozinke. Poželjno je generirati jedinstvene lozinke, na primjer, pomoću upravitelja lozinki.
Osim toga, kao odgovor na masovno hakiranje računa, TeamViewer je uveo dvije nove sigurnosne značajke. Prvi od njih je Trusted Devices, koji uvodi dodatnu proceduru za dopuštanje upravljanja računom s novog uređaja (za potvrdu potrebno je slijediti poveznicu koja se šalje e-poštom). Drugi je Data Integrity, automatsko praćenje neovlaštenog pristupa računu, uključujući i uzimanje u obzir IP adresa s kojih se uspostavlja veza. Ako se pronađu znakovi hakiranja, račun je podložan prisilnoj promjeni lozinke.
Čini se da je odgovor TeamViewera logičan i adekvatan odgovor na masovno curenje korisničkih lozinki (djelomično zbog krivnje samih korisnika). Ipak, i dalje postoje sumnje da su napadači pronašli ranjivost u samom softveru TeamViewer, što omogućuje brute force lozinke, pa čak i zaobići dvofaktorsku autentifikaciju. U najmanju ruku, na forumima postoje objave žrtava koje navode da su koristile autentifikaciju s dva faktora.
Korisnici su oduševljeno pozdravili ovaj program. Neki od njih "otrčali su" čak i cijele stranice pohvalnih komentara.
Tako jedan od njih smatra da je ovaj program pravi spas za ljude koji imaju roditelje i žive daleko. Dakle, korisnik s entuzijazmom opisuje prekrasan uslužni program.
Roditelji mu, kaže, žive u Vladivostoku, dok se on sam preselio u Sankt Peterburg. Roditelji su imali problem s tehnologijom, a zahvaljujući ovom programu uspio je brzo riješiti problem svojih roditelja.
Osobitosti:
- Ovo proširenje pomaže u brzoj dijagnostici računala s udaljenosti.
- Zadovoljan činjenicom da je program potpuno besplatan za nekomercijalnu upotrebu.
- Često dolazi do prekida veze zbog činjenice da davatelj štedi internetski promet.
Značajna prednost takvog programa je što možete raditi izravno s telefona i davatelj vam neće prekinuti vezu. Također se možete povezati s kućnim ili radnim računalom.
Recenzije o komercijalnom TimWeaveru
Snimljena je još jedna recenzija jedne djevojke. Program joj je, kaže, postao spas, unatoč tome što se ne razumije u softver. Djevojka kaže da dnevno treba otvoriti i zatvoriti samo nekoliko programa. Radi kao voditeljica trgovine. Naravno, razumije sve te programe, ali pri promjeni sastava osoblja bilo je potrebno kontrolirati što se događa. A program Timweaver upravo je pomogao kontrolirati sva računala zaposlenika trgovine.
- Morala je paziti da su radnici ispravno otvorili i zatvorili poseban softver.
- Za ovaj program je slučajno saznala od prijatelja i odmah ga instalirala na svoje računalo, kao i na radna računala.
- I djevojka je prilično zadovoljna radom, jer je sigurna da će moji zaposlenici sve napraviti kako treba.
Drugi korisnik kaže da uslužni program koristi više od 5 godina. Čemu služi ovaj uslužni program? Postoje slučajevi kada se određene postavke računala ne mogu izvršiti prema predlošku. I TeamViewer dolazi u pomoć.
Ovaj korisnik ima Windows 7, susjed ima 8, a baka općenito treba postaviti program za računovodstvo. Što uraditi? Naravno, bolje je na odgovarajućim računalima kako biste sami mogli konfigurirati potrebne parametre, a ne objašnjavati ih satima. Ako je iznenada došlo do neke greške, onda je ovo gotovo katastrofa. To one koji se boje računala stavlja u stupor. Ali da biste riješili takav problem, možete objasniti sugovorniku s druge strane monitora što trebate preuzeti i na kojoj stranici. Vrlo je prikladan za korištenje. Samo upišite teamweaver u pretragu i odmah ćete biti odbačeni sa službene stranice s koje možete sigurno preuzeti uslužni program.
Program ima mnogo postavki, ali za normalan rad potrebno je samo pritisnuti tipku na daljinskom upravljaču i to je to.
- U daljinskom upravljaču možete vidjeti zaslon udaljenog računala. Nakon što sesija završi, pojavljuje se podsjetnik da je TeamViewer sponzor.
- Miš i tipkovnica dobro reagiraju na radnje povezanih računala, bilo da se radi o vlasniku uređaja ili drugom povezanom gostu.
- Sve radnje koje je osoba izvršila na ovom računalu vidljive su na dodatnom zaslonu daljinskog upravljača. Licenca košta oko 30.000 rubalja, ali ako odaberete stavku za korištenje u komercijalne svrhe, tada će se isplatiti u određenom vremenskom razdoblju.
Iznos potrebne otkupnine ovisi o stupnju važnosti podataka i može varirati od 0,5 do 25 bitcoina.
Korisnici interneta su napadnuti novim ransomwareom pod nazivom Surprise. Jednom u sustavu, zlonamjerni softver počinje šifrirati datoteke koje se nalaze na računalu. Šifriranim dokumentima dodaje se ekstenzija .surprise. Općenito, funkcionalnost ransomwarea ne razlikuje se od mogućnosti drugih predstavnika ove vrste softvera. Međutim, način njegove distribucije vrlo je zanimljiv. U tu svrhu napadači koriste TeamViewer, alat za pristup udaljenoj radnoj površini.
Po prvi put, ransomware je postao poznat iz poruke korisnika foruma Bleeping Computer. Kako je daljnja rasprava o temi pokazala, sve žrtve zlonamjernog softvera imale su instaliran TeamViewer verzija 10.0.47484. Napominjemo da iznos potrebne otkupnine ovisi o stupnju važnosti podataka i može varirati od 0,5 do 25 bitcoina. Uvjeti plaćanja se dogovaraju pojedinačno.
Prema riječima stručnjaka za PrivacyPC Davida Balabana, koji je analizirao dnevnike prometa TeamViewera, napadači su daljinski pokrenuli proces iznenađenja.exe na računalima žrtava. Prema Balabanovim riječima, kriminalci bi mogli koristiti vjerodajnice ukradene kao rezultat hakiranja računalnih sustava TeamViewer. No, sama tvrtka je demantirala mogućnost neovlaštenog ulaska.
Prema Lawrenceu Abramsu, vlasniku web stranice Bleeping Computer, malware Surprise modificirana je verzija ransomwarea otvorenog koda EDA2 koji je razvio turski istraživač Utku Sen. Imajte na umu da postoji nekoliko ransomwarea koji se temelje na ovom softveru. Među napadačima je također popularan još jedan razvoj Sen - ransomware Hidden Tear. U njegovoj bazi već postoje 24 kriptografa.
Komentar iz TeamViewera:
Posljednjih dana pojavila su se izvješća o infekcijama ransomwareom u vezi s korištenjem softvera TeamViewer. Oštro osuđujemo svaku kriminalnu aktivnost, ali želimo naglasiti dva aspekta:
1. Do sada nijedna od infekcija nije bila povezana s ranjivosti u softveru TeamViewer.
2. Postoji niz mjera koje pomažu u sprječavanju potencijalnih kršenja.
Pažljivo smo istražili slučajeve koji su nam postali poznati i došli do zaključka da temeljni sigurnosni problemi ne mogu biti povezani sa softverom TeamViewer. Zasad nemamo dokaza da napadači iskorištavaju bilo koju potencijalnu ranjivost u TeamVieweru. Štoviše, napad čovjeka u sredini zapravo se može eliminirati jer TeamViewer koristi end-to-end enkripciju. Također nemamo razloga vjerovati da je napad kriptoanalize grubom silom bio uzrok spomenutih infekcija. Činjenica je da TeamViewer eksponencijalno povećava odgodu između pokušaja povezivanja, pa bi samo 24 pokušaja trajalo čak 17 sati. Vrijeme odgode se resetira tek nakon unosa ispravne lozinke. TeamViewer pruža mehanizam koji štiti klijente od napada ne samo s jednog određenog računala, već i s više računala (tzv. “botnet napadi”) koji pokušavaju pristupiti određenom TeamViewer-ID-u.
Osim toga, željeli bismo navesti da nijedan od ovih slučajeva ne ukazuje na nedostatke u arhitekturi ili sigurnosnim mehanizmima softvera TeamViewer.
Razlog za sve slučajeve zaraze koje smo proučavali leži, prije svega, u nemarnoj uporabi softvera. To uključuje, posebice, korištenje istih lozinki za različite korisničke račune na sustavima različitih dobavljača.
U prošlom tjednu mnoge su korisnike TeamViewera pogodili nepoznati hakeri. Istodobno su poslužitelji tvrtke i službena stranica nekoliko sati bili izvan mreže, što je kasnije objašnjeno DoS napadom na DNS poslužitelje. Sada je TeamViewer najavio dvije nove značajke odjednom, osmišljene za poboljšanje sigurnosti aplikacije i njenih korisnika.
U noći s 1. na 2. lipnja 2016. korisnike TeamViewera napali su nepoznati napadači. Stotine ljudi objavile su na Redditu i društvenim mrežama istu stvar: netko je koristio njihov TeamViewer i ukrao novac. Istodobno, mnoge su žrtve izvijestile da su koristile jake lozinke i dvofaktorsku autentifikaciju, no ni to ih nije spasilo od hakiranja.
Vatru nemira korisnika dodala je činjenica da je web stranica TeamViewer odjednom prestala s internetom. Mnogi su odmah pretpostavili da je tvrtka hakirana, a hakeri su uspjeli doći do korisničkih vjerodajnica. No, predstavnici TeamViewera ubrzo su te teorije, te su izjavili da ih nitko nije razbio, TeamViewer ne sadrži nikakve ranjivosti, a offline je uzrokovan "DoS napadom na DNS poslužitelje tvrtke".
Programeri su također sugerirali da su masovni hakovi rezultat "nemarnog stava prema zaštiti korisničkog računa". Zapravo, tvrtka je predbacila korisnicima da su oni sami krivi za hakiranje, ukazujući da je to “posebno korištenje istih lozinki za različite korisničke račune za različite usluge”. Također, predstavnici tvrtke istaknuli su da "nitko nije imun od slučajnog preuzimanja i instaliranja zlonamjernog softvera".
Neke od žrtava izjava tvrtke nije uvjerila jer je sve to loše u skladu s činjenicom da su neke žrtve koristile dvofaktorsku autentifikaciju, jake lozinke i nisu bile zaražene zlonamjernim softverom.
Sada pristaše ideje "oni prešućuju činjenicu hakiranja" imaju novu hranu za razmišljanje. 3. lipnja 2016. TeamViewer je uveo dvije nove sigurnosne značajke odjednom.
Prva značajka: Pouzdani uređaji omogućit će vam upravljanje pristupom za nove uređaje. Kada se korisnik prvi put prijavi na račun na novom uređaju, prije nego što počne s radom, morat će slijediti vezu iz e-pošte koja će biti poslana na e-mail vlasnika računa.
Druga funkcija: Integritet podataka (“Integritet podataka”) pratit će sve aktivnosti povezane s korisničkim računom. Ako sustav primijeti nešto sumnjivo, na primjer, netko se pokuša prijaviti na račun s neobične lokacije ili s nepoznate IP adrese, poništit će lozinku. Vlasnik računa će primiti e-poštu s daljnjim uputama i izvješćem o incidentu.
Svi TeamViewer poslužitelji smješteni su u najsuvremenijim podatkovnim centrima usklađenim s ISO 27001, s redundantnim vezama i redundantnim izvorima napajanja. Pretpostavlja formiranje RAID zaštite podataka, zrcaljenje podataka i backup, korištenje visoko dostupne poslužiteljske pohrane, usmjerivača s mehanizmima za oporavak od katastrofe, kao i kontinuirano održavanje postupaka. Osim toga, svi poslužitelji osjetljivih podataka nalaze se u Njemačkoj ili Austriji.
Podatkovni centri koriste najsuvremenije sigurnosne kontrole, uključujući osobnu kontrolu pristupa, videonadzor, detekciju pokreta, praćenje situacije 24/7, a sigurnosno osoblje ograničava pristup podatkovnom centru ovlaštenim pojedincima kako bi osiguralo najviši stupanj opreme. i sigurnost podataka. Pristup je omogućen preko jedne točke ulaska u podatkovni centar i tek nakon pomne provjere.
Softverski digitalni potpis
Za dodatnu sigurnost, sav naš softver je digitalno potpisan od strane VeriSigna. To osigurava da se proizvođač softvera uvijek može pouzdano identificirati. Ako je softver izmijenjen, digitalni potpis tada će automatski postati nevažeći.
TeamViewer sesije
STVARANJE SESIJA I VRSTE VEZE
Prilikom kreiranja sesije, TeamViewer određuje optimalnu vrstu veze. Nakon rukovanja putem naših glavnih poslužitelja, izravna veza putem UDP-a ili TCP-a uspostavlja se u 70% slučajeva (čak i iza standardnih pristupnika, NAT-ova i vatrozida). Ostatak veza se odvija preko naše mreže s redundantnim usmjerivačima putem TCP ili https tuneliranja.
Ne morate otvarati dodatne portove da biste radili s TeamViewerom.
KRIPIRANJE I AUTENTIKACIJA
Sigurnost protoka podataka TeamViewer temelji se na RSA razmjeni javnog/privatnog ključa i šifriranju sesije s AES-om (256 bita). Ova tehnologija se koristi za https/SSL i smatra se potpuno sigurnom prema današnjim standardima.
Budući da privatni ključ nikada ne napušta klijentsko računalo, ovaj postupak osigurava da međusobno povezana računala, uključujući poslužitelje za usmjeravanje TeamViewer, ne mogu dešifrirati tok podataka. Čak i zaposlenici TeamViewera koji djeluju kao operateri poslužitelja za usmjeravanje ne mogu čitati šifrirani promet.
Svi podaci upravljačke konzole prenose se na standardni način za sigurne internetske veze: preko sigurnog kanala pomoću TSL (Transport Security Layer) enkripcije. Autorizacija i šifriranje lozinke odvijaju se pomoću Protokola za provjeru autentičnosti lozinke (SRP), poboljšanog protokola s ključem za provjeru autentičnosti lozinke (PAKE). Napadač ili "posrednik" ne može dobiti dovoljno informacija da izvrši napad grubom silom kako bi dobio lozinku. Ovo je dobar primjer kako se visoka sigurnost može postići čak i sa slabom lozinkom. Međutim, TeamViewer i dalje preporučuje korištenje najažurnijih metoda generiranja lozinki kako bi se osigurala visoka razina sigurnosti.
Svaki TeamViewer klijent već koristi javni ključ glavnog klastera i tako može šifrirati poruke glavnom klasteru i provjeravati poruke koje je on potpisao. PKI (infrastruktura javnog ključa) učinkovito sprječava aktivne smetnje u vezi (MITM). Unatoč tome što je šifrirana, lozinka se nikada ne šalje izravno, već samo kroz proceduru izazov-odgovor i pohranjuje se samo na lokalnom računalu. Tijekom provjere autentičnosti, korištenje protokola za provjeru autentičnosti lozinke (SRP) sprječava izravno prosljeđivanje lozinke. Stoga se na lokalnom računalu pohranjuje samo provjera lozinke.
Provjera TeamViewer ID-ova
ID-ovi se automatski generiraju u TeamVieweru na temelju karakteristika softvera i hardvera. TeamViewer poslužitelji provjeravaju valjanost ID-a prije svake veze.
Zaštita od napada grubom silom
Potencijalni kupci zainteresirani za TeamViewer sigurnost redovito pitaju o enkripciji. Najstrašniji je rizik da treća strana može ometati vezu ili presresti TeamViewer pristupne podatke. Međutim, u praksi su prilično primitivni napadi često najopasniji.
U području računalne sigurnosti, brute-force napad je metoda pokušaja i pogreške koja vam omogućuje da pogodite lozinku koja štiti resurs. Kako računalna snaga standardnih računala raste, vrijeme potrebno za grubo forsiranje dugih lozinki stalno se smanjuje.
Kako bi se zaštitio od takvih napada, TeamViewer koristi eksponencijalno povećanje kašnjenja između pokušaja povezivanja. Dakle, 24 pokušaja sada traju 17 sati. Odgoda se resetira tek nakon unosa ispravne lozinke.
Sigurnosni mehanizam TeamViewer štiti klijente od napada s jednog i više računala (tzv. botnet napadi) kako bi se presreli pristupni podaci određenom TeamViewer ID-u.
TeamViewer portovi
TCP/UDP port 5938
TeamViewer koristi port 5938 za TCP i UDP veze, što je glavni port preko kojeg TeamViewer najbolje radi. Vaš vatrozid ga barem ne bi trebao blokirati.
TCP port 443
Ako se TeamViewer ne može povezati na port 5938, pokušat će se povezati na TCP port 443.
Međutim, naše mobilne aplikacije koje rade na Androidu, iOS-u, Windows Mobileu i BlackBerryju ne koriste port 443.
Bilješka. Port 443 također koriste prilagođeni moduli koji se kreiraju u upravljačkoj konzoli. Ako implementirate prilagođeni modul, kao što je putem grupnih pravila, morate otvoriti port 443 na računalima na kojima implementirate modul. Port 443 također se koristi za nekoliko drugih operacija, uključujući provjeru ažuriranja TeamViewera.
TCP port 80
Ako se TeamViewer ne može spojiti na portove 5938 ili 443, pokušat će se povezati pomoću TCP porta 80. Brzina na ovom portu je sporija, a veza je manje pouzdana nego na portovima 5938 ili 443, jer ovaj port koristi dodatne troškove, a osim toga , ne omogućuje automatsko ponovno povezivanje kada je veza privremeno prekinuta. Stoga se port 80 koristi samo u ekstremnim slučajevima.
Mobilne aplikacije koje rade na Androidu, Windows Mobileu i BlackBerryju ne koriste priključak 80. Međutim, naše iOS aplikacije mogu koristiti port 80 ako je potrebno.
Android, Windows Mobile i BlackBerry
Mobilne aplikacije koje rade na Androidu, Windows Mobile i BlackBerry mogu se povezati samo preko porta 5938. Ako se aplikacija TeamViewer na vašem mobilnom uređaju ne poveže s porukom "Provjerite svoju internetsku vezu", to je vjerojatno zbog blokiranja ovog porta od strane vašeg mobilnog operatera ili vaš firewall/WiFi usmjerivač.
IP adrese odredišta
Softver TeamViewer uspostavlja veze s našim glavnim poslužiteljima koji se nalaze diljem svijeta. Ovi poslužitelji koriste nekoliko različitih raspona IP adresa koji se često mijenjaju. Stoga vam ne možemo dati popis IP adresa naših poslužitelja. Međutim, sve naše IP adrese imaju PTR zapise postavljene na *.teamviewer.com. Ove informacije možete koristiti za ograničavanje broja IP adresa putem vatrozida ili proxy poslužitelja.
