În urmă cu aproximativ o lună, utilizatorii TeamViewer au început să se plângă pe forumuri, Twitter și rețelele sociale despre piratarea conturilor lor. Săptămâna trecută au apărut mesaje chiar și pe Habré. La început părea că nu era nimic grav în asta. Au fost cazuri izolate. Dar fluxul de reclamații a crescut. În secțiunile relevante din Reddit și prin hashtag-ul în Stare de nervozitate acum sute de victime. De-a lungul timpului, a devenit clar că aceasta nu a fost o coincidență, era ceva mai grav. Probabil, a existat o scurgere masivă de parole ale utilizatorilor care folosesc aceleași parole pe servicii diferite.
Printre victime nu s-au numărat doar locuitori de rând, ci și specialiști în securitate. Unul dintre ei a fost Nick Bradley, unul dintre angajații de frunte ai departamentului de securitate a informațiilor al Threat Research Group de la IBM. El a raportat că i-a fost spart contul vineri, 3 iunie. Mai mult, Nick a observat direct cum computerul a fost confiscat chiar în fața ochilor lui.
„Pe la 18:30 eram în mijlocul jocului”, spune Nick. - Brusc, am pierdut controlul mouse-ului și a apărut un mesaj TeamViewer în colțul din dreapta jos al ecranului. De îndată ce mi-am dat seama ce se întâmplă, am oprit imediat aplicația. Apoi mi-am dat seama: am alte mașini cu TeamViewer instalat!”
„Am alergat în jos pe scări unde un alt computer era în funcțiune. De la distanță, am văzut că fereastra programului TeamViewer a apărut deja acolo. Înainte să-l pot elimina, atacatorul a lansat browserul și a deschis o nouă pagină web. Imediat ce am ajuns la tastatură, am anulat imediat telecomanda, am intrat imediat pe site-ul TeamViewer, am schimbat parola și am activat autentificarea cu doi factori.
Captură de ecran a paginii deschise de atacator
„Din fericire, eram lângă computer când a avut loc atacul. Altfel, consecințele sale sunt greu de imaginat”, scrie un specialist în securitate. A început să investigheze cum s-ar fi putut întâmpla asta. Nu a folosit TeamViewer de foarte mult timp și aproape a uitat că a fost instalat pe sistem, așa că este logic să presupunem că parola a fost scursă de la un alt serviciu piratat, cum ar fi LinkedIn.
Cu toate acestea, Nick a continuat să investigheze și a găsit sute de postări pe forum despre hack-urile TeamViewer.
În opinia sa, acțiunile atacatorului sunt asemănătoare cu faptul că a studiat rapid ce computere avea la dispoziție. A deschis pagina pentru a se uita la adresa IP a victimei și a determina fusul orar, probabil cu un plan de a reveni mai târziu la o oră mai potrivită.
Programul TeamViewer este conceput pentru controlul de la distanță al unui computer. După ce ați intrat în posesia contului altcuiva, aveți de fapt instalat un rootkit gata făcut pe computerul victimei. Multe victime se plâng că banii au dispărut din conturile lor bancare și din conturile Paypal.
Reprezentanții TeamViewer consideră că scurgerea de parole este legată de o serie de „megahack-uri” ale rețelelor sociale mari. În urmă cu o lună, aproximativ 642 de milioane de parole pentru Myspace, LinkedIn și alte site-uri au fost expuse publicului. Este posibil ca atacatorii să folosească aceste informații pentru a crea baze de date țintă separate cu parole pentru utilizatorii Mail.ru, Yandex și acum TeamViewer.
TeamViewer neagă piratarea infrastructurii corporative și explică faptul că serverele au fost indisponibile în noaptea de 1-2 iunie din cauza unor probleme cu DNS și a unui posibil atac DDoS. Compania recomandă victimelor să nu folosească aceleași parole pe site-uri și aplicații diferite și, de asemenea, să activeze autentificarea cu doi factori. La aceasta putem adăuga că programul trebuie actualizat la cea mai recentă versiune, iar parolele ar trebui schimbate periodic. Este de dorit să generați parole unice, de exemplu, folosind un manager de parole.
În plus, ca răspuns la piratarea masivă a contului, TeamViewer a introdus două noi funcții de securitate. Primul dintre ele este Dispozitivele de încredere, care introduce o procedură suplimentară pentru a permite gestionarea contului de pe un dispozitiv nou (pentru a confirma, trebuie să urmați linkul care este trimis prin e-mail). Al doilea este Data Integrity, monitorizarea automată a accesului neautorizat la un cont, inclusiv luarea în considerare a adreselor IP de la care se realizează conexiunea. Dacă se găsesc semne de hacking, contul este supus unei schimbări forțate a parolei.
Răspunsul TeamViewer pare să fie un răspuns logic și adecvat la scurgerea masivă a parolelor utilizatorilor (parțial din vina utilizatorilor înșiși). Cu toate acestea, există încă suspiciuni că atacatorii au găsit o vulnerabilitate în software-ul TeamViewer în sine, ceea ce face posibilă forța brută a parolelor și chiar ocolirea autentificării cu doi factori. Cel puțin, există postări pe forumuri de la victime care afirmă că au folosit autentificarea cu doi factori.
Utilizatorii au salutat cu entuziasm acest program. Unii dintre ei au „scăpat” chiar și pagini întregi de comentarii laudative.
Așa că unul dintre ei crede că acest program este o adevărată salvare pentru oamenii care au părinți și locuiesc departe. Deci, utilizatorul descrie cu entuziasm o utilitate minunată.
El spune că părinții lui locuiesc în Vladivostok, în timp ce el însuși s-a mutat la Sankt Petersburg. Părinții au avut o problemă cu tehnologia și, datorită acestui program, a reușit să rezolve rapid problema părinților săi.
Particularitati:
- Această extensie ajută la diagnosticarea rapidă a unui computer de la distanță.
- Mulțumit de faptul că programul este absolut gratuit pentru uz non-comercial.
- Există deconectări frecvente care apar din cauza faptului că furnizorul salvează traficul pe Internet.
Un avantaj semnificativ al unui astfel de program este că puteți lucra direct de pe telefon și furnizorul nu vă va întrerupe conexiunea. De asemenea, vă puteți conecta la computerul de acasă sau de la serviciu.
Recenzii despre TimWeaver comercial
O altă recenzie a fost înregistrată de la o fată. Ea spune că programul a devenit salvarea ei, în ciuda faptului că nu înțelege software-ul. Fata spune că trebuie să deschidă și să închidă doar câteva programe pe zi. Ea lucrează ca manager de magazin. Desigur, el înțelege toate aceste programe, dar la schimbarea componenței personalului a fost necesar să se controleze ce se întâmplă. Și programul Timweaver a ajutat doar să controleze toate computerele angajaților magazinului.
- Ea trebuia să se asigure că muncitorii deschideau și închideau corect software-ul special.
- Ea a aflat accidental despre acest program de la prieteni și l-a instalat imediat pe computerul ei, precum și pe computerele de serviciu.
- Și fata este destul de mulțumită de muncă, deoarece este sigură că angajații mei vor face totul corect.
Un alt utilizator spune că folosește utilitarul de mai bine de 5 ani. Pentru ce este acest utilitar? Există cazuri în care anumite setări ale computerului nu pot fi făcute conform șablonului. Și TeamViewer vine în ajutor.
Acest utilizator are Windows 7, vecinul are 8, iar bunica trebuie în general să configureze un program de contabilitate. Ce sa fac? Desigur, este mai bine pe computerele adecvate, astfel încât să puteți configura singuri parametrii necesari și să nu îi explicați ore întregi. Dacă brusc a apărut un fel de eroare, atunci acesta este aproape un dezastru. Acest lucru îi pune în stupoare pe cei cărora le este frică de computere. Dar pentru a remedia o astfel de problemă, puteți explica interlocutorului de pe cealaltă parte a monitorului ce trebuie să descărcați și pe ce site. Este foarte comod de utilizat. Doar introduceți teamweaver în căutare și veți fi imediat abandonat de pe site-ul oficial, de pe care puteți descărca în siguranță utilitarul.
Programul are multe setări, dar pentru funcționare normală, trebuie doar să apăsați butonul telecomenzii și gata.
- În telecomandă, puteți vedea ecranul computerului de la distanță. După încheierea sesiunii, apare un memento că TeamViewer este un sponsor.
- Mouse-ul și tastatura răspund bine la acțiunile computerelor conectate, fie că este vorba de proprietarul dispozitivului sau de un alt oaspete conectat.
- Toate acțiunile pe care o persoană le-a efectuat pe acest computer sunt vizibile pe un ecran suplimentar de control de la distanță. Licența costă aproximativ 30.000 de ruble, dar dacă alegeți articolul pe care îl utilizați în scopuri comerciale, atunci acesta va plăti într-o anumită perioadă de timp.
Valoarea răscumpărării necesare depinde de gradul de importanță al datelor și poate varia de la 0,5 la 25 de bitcoini.
Utilizatorii de internet sunt atacați de un nou ransomware numit Surprise. Odată ajuns în sistem, malware-ul începe să cripteze fișierele conținute pe computer. Extensia .surprise este adăugată documentelor criptate. În general, funcționalitatea ransomware-ului nu diferă de capacitățile altor reprezentanți ai acestui tip de software. Cu toate acestea, metoda de distribuție a acestuia este foarte interesantă. În acest scop, atacatorii folosesc TeamViewer, un instrument de acces la desktop la distanță.
Pentru prima dată, ransomware-ul a devenit cunoscut dintr-un mesaj de la un utilizator de forum Bleeping Computer. După cum a arătat o discuție ulterioară a subiectului, toate victimele programelor malware aveau instalată versiunea TeamViewer 10.0.47484. Rețineți că valoarea răscumpărării necesare depinde de gradul de importanță al datelor și poate varia de la 0,5 la 25 bitcoin. Condițiile de plată sunt discutate individual.
Potrivit expertului PrivacyPC David Balaban, care a analizat jurnalele de trafic TeamViewer, atacatorii au lansat de la distanță procesul surprise.exe pe computerele victimelor. Potrivit lui Balaban, infractorii ar putea folosi acreditările furate ca urmare a spargerii sistemelor informatice TeamViewer. Cu toate acestea, compania însăși a negat posibilitatea intrării neautorizate.
Potrivit Lawrence Abrams, proprietarul site-ului web Bleeping Computer, malware-ul Surprise este o versiune modificată a ransomware-ului open source EDA2 dezvoltat de cercetătorul turc Utku Sen. Rețineți că există mai multe ransomware bazate pe acest software. De asemenea, populară printre atacatori este o altă dezvoltare a Sen - ransomware Hidden Tear. Există deja 24 de criptografi la baza sa.
Comentariu de la TeamViewer:
În ultimele zile, au existat rapoarte de infecții cu ransomware în legătură cu utilizarea software-ului TeamViewer. Condamnăm ferm orice activitate criminală, dar dorim să subliniem două aspecte:
1. Până acum, niciuna dintre infecții nu a fost legată de o vulnerabilitate în software-ul TeamViewer.
2. Există o serie de măsuri care ajută la prevenirea potențialelor încălcări.
Am investigat cu atenție cazurile care ne-au devenit cunoscute și am ajuns la concluzia că problemele de securitate subiacente nu pot fi legate de software-ul TeamViewer. Până acum, nu avem nicio dovadă că atacatorii exploatează eventuale vulnerabilități în TeamViewer. Mai mult, un atac de tip „man-in-the-middle” poate fi de fapt eliminat deoarece TeamViewer folosește criptare end-to-end. De asemenea, nu avem niciun motiv să credem că un atac de criptoanaliza în forță brută a fost cauza infecțiilor menționate. Faptul este că TeamViewer crește exponențial întârzierea dintre încercările de conectare, așa că doar 24 de încercări ar dura până la 17 ore. Timpul de întârziere este resetat numai după introducerea parolei corecte. TeamViewer oferă un mecanism care protejează clienții de atacurile nu numai de la un anumit computer, ci și de la mai multe computere (așa-numitele „atacuri botnet”) care încearcă să acceseze un anumit TeamViewer-ID.
În plus, dorim să precizăm că niciunul dintre aceste cazuri nu indică defecte ale arhitecturii sau mecanismelor de securitate ale software-ului TeamViewer.
Motivul tuturor cazurilor de infecție pe care le-am studiat constă, în primul rând, în utilizarea neglijentă a software-ului. Aceasta include, în special, utilizarea acelorași parole pentru diferite conturi de utilizator pe sisteme de la diferiți furnizori.
În ultima săptămână, mulți utilizatori TeamViewer au fost loviți de hackeri necunoscuți. În același timp, serverele companiei și site-ul oficial au fost offline pentru câteva ore, ceea ce a fost explicat ulterior printr-un atac DoS asupra serverelor DNS. Acum, TeamViewer a anunțat două funcții noi simultan, concepute pentru a îmbunătăți securitatea aplicației și a utilizatorilor acesteia.
În noaptea de 1-2 iunie 2016, utilizatorii TeamViewer au fost atacați de atacatori necunoscuți. Sute de oameni au postat pe Reddit și pe rețelele sociale despre același lucru: cineva și-a folosit TeamViewer-ul și a furat bani. În același timp, multe victime au raportat că au folosit parole puternice și autentificare cu doi factori, dar nici măcar acest lucru nu le-a salvat de la piratare.
Alimentarea focului de neliniște a utilizatorilor a fost adăugată de faptul că site-ul Web TeamViewer a fost brusc offline. Mulți au presupus imediat că compania a fost piratată, iar hackerii au reușit să ajungă la acreditările utilizatorului. Dar reprezentanții TeamViewer în curând aceste teorii și au declarat că nimeni nu le-a rupt, TeamViewer nu conține nicio vulnerabilitate, iar offline a fost cauzat de un „atac DoS asupra serverelor DNS ale companiei”.
Dezvoltatorii au mai sugerat că hack-urile masive sunt rezultatul „o atitudine neglijentă față de protejarea contului de utilizator”. De fapt, compania le-a reproșat utilizatorilor că ei înșiși sunt vinovați pentru piratare, indicând că este vorba „în special de utilizarea acelorași parole pentru conturi de utilizator diferite pentru servicii diferite”. De asemenea, reprezentanții companiei au remarcat că „nimeni nu este imun de descărcarea accidentală și instalarea de malware”.
Unele dintre victime nu au fost convinse de declarația companiei, deoarece toate acestea sunt slab în concordanță cu faptul că unele victime au folosit autentificare în doi factori, parole puternice și nu au fost infectate cu malware.
Acum, susținătorii ideii „ei tăcesc faptul de a hacking” au de gândit. Pe 3 iunie 2016, TeamViewer a introdus două noi funcții de securitate simultan.
Prima caracteristică: Dispozitivele de încredere vă vor permite să gestionați accesul pentru dispozitive noi. Când un utilizator se conectează pentru prima dată la cont pe un dispozitiv nou, înainte de a putea începe să lucreze, va trebui să urmeze linkul din e-mailul care va fi trimis la adresa de e-mail a proprietarului contului.
A doua funcție: Integritatea datelor („Integritatea datelor”) va monitoriza toată activitatea asociată contului de utilizator. Dacă sistemul observă ceva suspect, de exemplu, cineva încearcă să se conecteze la cont dintr-o locație neobișnuită sau de la o adresă IP necunoscută, va reseta parola. Proprietarul contului va primi un e-mail cu instrucțiuni suplimentare și un raport al incidentului.
Toate serverele TeamViewer sunt găzduite în centre de date de ultimă generație, conforme cu ISO 27001, cu conexiuni redundante și surse de alimentare redundante. Presupune formarea protecției datelor RAID, oglindirea și copierea de rezervă a datelor, utilizarea unui server de stocare foarte disponibil, sisteme de routere cu mecanisme de recuperare în caz de dezastru, precum și proceduri de întreținere continuă. În plus, toate serverele de date sensibile sunt situate în Germania sau Austria.
Centrele de date folosesc controale de securitate de ultimă generație, inclusiv controlul accesului personal, supravegherea video, detectarea mișcării, monitorizarea situației 24/7, iar personalul de securitate restricționează accesul la centrul de date persoanelor autorizate pentru a asigura cel mai înalt grad de echipament. și securitatea datelor. Accesul este asigurat printr-un singur punct de intrare în centrul de date și numai după o verificare atentă.
Semnătură digitală software
Pentru un plus de securitate, tot software-ul nostru este semnat digital de VeriSign. Acest lucru asigură că producătorul software-ului poate fi întotdeauna identificat în mod fiabil. Dacă software-ul a fost modificat, semnătura digitală va deveni automat invalidă.
sesiuni TeamViewer
CREAREA SESIUNII SI TIPURI DE CONEXIUNE
La crearea unei sesiuni, TeamViewer determină tipul optim de conexiune. După acordarea de mână prin serverele noastre principale, se stabilește o conexiune directă prin UDP sau TCP în 70% din cazuri (chiar și în spatele gateway-urilor standard, NAT-urilor și firewall-urilor). Restul conexiunilor sunt gestionate prin rețeaua noastră cu routere redundante prin tunel TCP sau https.
Nu trebuie să deschideți porturi suplimentare pentru a lucra cu TeamViewer.
CRIPTARE ȘI AUTENTIFICARE
Securitatea fluxului de date TeamViewer se bazează pe schimbul de chei publice/private RSA și pe criptarea sesiunii cu AES (256 de biți). Această tehnologie este utilizată pentru https/SSL și este considerată complet sigură de standardele actuale.
Deoarece cheia privată nu părăsește niciodată computerul client, această procedură asigură că computerele interconectate, inclusiv serverele de rutare TeamViewer, nu pot decripta fluxul de date. Chiar și angajații TeamViewer care acționează ca operatori de rutare a serverului nu pot citi traficul criptat.
Toate datele consolei de management sunt transmise în modul standard pentru conexiunile securizate la Internet: pe un canal securizat folosind criptarea TSL (Transport Security Layer). Autorizarea și criptarea parolei au loc utilizând Protocolul de autentificare a parolei (SRP), un protocol îmbunătățit cu o cheie de autentificare a parolei (PAKE). Un atacator sau „intermediar” nu poate obține suficiente informații pentru a efectua un atac cu forță brută pentru a obține o parolă. Acesta este un exemplu bun al modului în care securitatea ridicată poate fi atinsă chiar și cu o parolă slabă. Cu toate acestea, TeamViewer recomandă în continuare utilizarea celor mai recente metode de generare a parolelor pentru a asigura un nivel ridicat de securitate.
Fiecare client TeamViewer folosește deja cheia publică a clusterului principal și astfel poate cripta mesajele către clusterul principal și poate verifica mesajele semnate de acesta. PKI (Public Key Infrastructure) previne eficient interferența activă cu conexiunea (MITM). În ciuda faptului că este criptată, parola nu este niciodată trimisă direct, ci doar printr-o procedură de provocare-răspuns și este stocată doar pe computerul local. În timpul autentificării, utilizarea Protocolului de autentificare a parolei (SRP) împiedică transmiterea directă a parolei. Astfel, doar verificatorul de parole este stocat pe computerul local.
Verificarea ID-urilor TeamViewer
ID-urile sunt generate automat în TeamViewer pe baza caracteristicilor software și hardware. Serverele TeamViewer verifică validitatea ID-ului înainte de fiecare conexiune.
Protecție împotriva atacurilor de forță brută
Clienții potențiali interesați de securitatea TeamViewer întreabă în mod regulat despre criptare. Cel mai înfricoșător este riscul ca o terță parte să interfereze cu conexiunea sau să intercepteze datele de acces TeamViewer. Cu toate acestea, în practică, atacurile destul de primitive sunt adesea cele mai periculoase.
În domeniul securității computerelor, un atac cu forță brută este o metodă de încercare și eroare care vă permite să ghiciți o parolă care protejează o resursă. Pe măsură ce puterea de calcul a computerelor standard crește, timpul necesar pentru parole lungi cu forță brută scade constant.
Pentru a se proteja împotriva unor astfel de atacuri, TeamViewer folosește o creștere exponențială a întârzierii dintre încercările de conectare. Deci 24 de încercări durează acum 17 ore. Întârzierea este resetată numai după introducerea parolei corecte.
Mecanismul de securitate TeamViewer protejează clienții atât de la un singur computer, cât și de la mai multe (așa-numitele atacuri botnet) pentru a intercepta datele de acces la un anumit ID TeamViewer.
Porturi TeamViewer
Portul TCP/UDP 5938
TeamViewer folosește portul 5938 pentru conexiunile TCP și UDP, care este portul principal prin care TeamViewer funcționează cel mai bine. Firewall-ul tău cel puțin nu ar trebui să-l blocheze.
Portul TCP 443
Dacă TeamViewer nu se poate conecta pe portul 5938, va încerca să se conecteze pe portul TCP 443.
Cu toate acestea, aplicațiile noastre mobile care rulează pe Android, iOS, Windows Mobile și BlackBerry nu folosesc portul 443.
Notă. Portul 443 este folosit și de modulele personalizate care sunt create în consola de management. Dacă implementați un modul personalizat, cum ar fi prin Politica de grup, trebuie să deschideți portul 443 pe computerele pe care implementați modulul. Portul 443 este folosit și pentru alte câteva operațiuni, inclusiv verificarea actualizărilor TeamViewer.
Portul TCP 80
Dacă TeamViewer nu se poate conecta pe porturile 5938 sau 443, va încerca să se conecteze utilizând portul TCP 80. Viteza pe acest port este mai mică și conexiunea este mai puțin fiabilă decât pe porturile 5938 sau 443, deoarece acest port folosește supraîncărcare suplimentară și, în plus , nu prevede reconectarea automată atunci când conexiunea este deconectată temporar. Prin urmare, portul 80 este utilizat numai în cazuri extreme.
Aplicațiile mobile care rulează pe Android, Windows Mobile și BlackBerry nu folosesc portul 80. Cu toate acestea, aplicațiile noastre iOS pot folosi portul 80 dacă este necesar.
Android, Windows Mobile și BlackBerry
Aplicațiile mobile care rulează pe Android, Windows Mobile și BlackBerry se pot conecta doar prin portul 5938. Dacă aplicația TeamViewer de pe dispozitivul tău mobil nu se conectează cu mesajul „Verifică-ți conexiunea la Internet”, acest lucru se datorează probabil blocării acestui port de către operatorul tău mobil. sau firewall-ul/routerul WiFi.
Adresele IP de destinație
Software-ul TeamViewer stabilește conexiuni la serverele noastre principale situate în întreaga lume. Aceste servere folosesc mai multe intervale diferite de adrese IP care se schimbă destul de des. Prin urmare, nu vă putem oferi o listă cu adresele IP ale serverelor noastre. Cu toate acestea, toate adresele noastre IP au înregistrări PTR setate la *.teamviewer.com. Puteți utiliza aceste informații pentru a limita numărul de adrese IP printr-un firewall sau un server proxy.
