A hátborzongató floridai incidens után, amely során egy eddig ismeretlen hacker hozzáférést szerzett az oldsmari víztisztító telep hálózatához, és veszélyes szintre módosította a kémiai anyagokat, majdhogynem megmérgezve a város lakosságát, az FBI - az amerikai vállalatoknak rendszeresen küldött PIN (magánipari értesítés) keretében - riasztást adott ki, felhívva a figyelmet három biztonsági tényezőre az alapján, amiket az üzem hálózatának feltörésénél tapasztaltak.
Az Egyesült Államok Szövetségi Nyomozó Irodája szerint komoly biztonsági veszélyforrást jelentenek a cégek, valamint a szövetségi és kormányzati szervezetek számára a lejárt Windows 7 rendszerek, a gyenge fiókjelszavak és a távoli asztali elérést biztosító TeamViewer használata, ezért a belső hálózatok és a hozzáférés felülvizsgálatára szólította fel az érintetteket.
A TeamViewer volt a belépési pont
Az FBI kifejezetten a TeamViewert nevezi meg a riasztásában, amelyre figyelni kell, miután megerősítették, hogy az alkalmazás volt a támadó belépési pontja az oldsmari víztisztító telep hálózatába. A rossz-szándékú betolakodónak ugyanis két alkalommal is sikerült csatlakoznia ezen keresztül az Oldsmar víztisztító hálózatának számítógépéhez. A második során pedig aktívan átvette a vízügyi operátor egérének irányítását, mozgatta a képernyőn, és megváltoztatta a vízhez adott marólúg mennyiségét a 111-szeresére! Szerencsére a szokatlan aktivitás a vezérlőszoftver felületén gyorsan feltűnt az operátornak, aki leállította a TeamViewert és azonnal visszaállította a vegyület koncentrációját a kívánt szintre.
Az eset hatalmas vitát generált a biztonsági szakemberek között, de abban mindenki egyetértett, hogy felül kell vizsgálni a TeamViewer alkalmazás használatát az Egyesült Államok kritikus infrastruktúrájának erőforrásainak eléréséhez. A legtöbb elismert szakértő ugyanis bírálta azokat a vállalatokat és alkalmazottakat, akik a távmunka során rendszeresen használják ezt a szoftvert, amit nem megfelelőnek és bizonytalannak tartanak az érzékeny erőforrások távoli kezeléséhez.
Noha az FBI PIN-figyelmeztetése nem indított hadjáratot a TeamViewer ellen, de fontosnak tartják, hogy alkalmazását a hírek ismeretében mérlegelniük kell a szövetségi és a magánszektor szervezeteinek.
Az FBI szerint, mivel a TeamViewer lehetővé teszi a távoli hozzáférés révén bizonyos fájlok továbbítását a számítógépekre, ezzel a távoli hozzáférésű trójai programoknál is alattomossabbá válik a támadás, mivel ez a módszer sokkal észrevételenebb a rendszergazdák számára a tipikus RAT-okhoz képest.
Mindazonáltal, az FBI-figyelmeztetés nem kifejezetten arra utasítja a szervezeteket, hogy távolítsák el a TeamViewert vagy bármilyen más típusú asztali megosztó szoftvert, hanem arra figyelmeztet, hogy a TeamViewer és más hasonló szoftverek visszaélésre adhatnak lehetőséget, ha a támadók hozzáférést kapnak az alkalmazói fiók hitelesítő adataihoz, vagy ha a távoli hozzáférésű fiókok (például a Windows RDP hozzáférés) gyenge jelszavakkal vannak ellátva.
Az viszont biztos: a Windows 7 veszélyes, nem szabad használni
A Microsoft az év elején, januárban állította le a Windows 7 terméktámogatását, ettől az időponttól kezdve a rendszerhez már nem készülnek biztonsági frissítések; így az operációs rendszer időzített bombaként ketyeg, további használata egyre nagyobb és nagyobb biztonsági kockázatot jelent. Ám ezzel kapcsolatban hiába ad ki figyelmeztetéseket az FBI, az oldsmari víztisztító telep is Windows 7 rendszereket használt a hálózatán (bár nincs konkrét bizonyíték arra, hogy a támadók a Windows 7 biztonsági réseit használták ki).
A Cyberscoop jelentése azonban rámutatott arra a tényre, hogy az oldsmari üzem, valamint számos más amerikai vízkezelő létesítmény is, nemcsak anyagi forrásban szenved hiányt, hanem szakemberek terén is.
Így hiába figyelmeztet a Windows 7 használatára az FBI - sok vállalat, valamint állami szerv, nem tehet semmit az ellen, hogy komoly pénzügyi befektetést igényel az informatikai infrastruktúra korszerűsítése, amire sok helyen kilátás sincs.
Ezekre az esetekre az FBI egy sor alapvető biztonsági gyakorlatot javasol a fenyegetések enyhítésének céljával:
- többfaktoros hitelesítés
- erős jelszavak
- naprakész vírusirtók, spamszűrők és megfelelően konfigurált, biztonságos tűzfalak
- a hálózati konfigurációk ellenőrzése, az elavult számítógépes rendszerek leválasztása
- a Remote Desktop Protocol (RDP) használatának felülvizsgálata, a nem használt portok lezárása, kétfaktoros jelszavak alkalmazása
- a távoli hozzáférések naplózása
- a felhasználók (ki)képzése az incidensek és a social engineering felismerésére
- a szokatlan tevékenységet tanúsító felhasználók azonosítása és felfüggesztése
- a szoftverfrissítések elvégzése