TeamViewer er en legitim og snill applikasjon. Den er veldig praktisk for administrasjon, support mot klienter og fjernaksess for eksterne konsulenter. Men du verden så skummelt i dagens trusselbilde
Dagens trusselbilde og TeamViewer
Kriminelle klarer i dag å komme inn i datasystemene deres, via software sårbarheter (inkludert zero days), via manglende MFA, eller via kanaler som f.eks TeamViewer. Assume Breach er uten tvil en av de aller viktigste menneskelige egenskapene vi alle MÅ ha i dag. De kommer inn, på en eller annen måte, og derfor må man bygge lagvis sikkerhet basert på det utgangspunktet. TeamViewer er et av mange verktøy kriminelle benytter i sitt skadelige arbeid, et verktøy de ikke burde ha muligheten til å benytte, og som vi mennesker kan gjøre noe med.
Teknisk gjeld. Bakdør.
TeamViewer har vært med mange organisasjoner i “alle” år, og er veldig godt likt fordi det fungerer veldig bra.
En ting er å ha det på klienter, mens en helt annen ting er å ha det på servere.
En ting er å ha det kjørende som en permanent “service”, slik at det alltid er tilgjengelig, for da har man en permanent bakdør inn til server fra internett som går under radaren på sikkerhetslag. En annen ting er å “spinne” opp TeamViewer ved behov, som er mindre risikabelt da man kan si at det er “Just in time”, og på en måte mer kontrollert. Uansett burde ingen av disse tingene være tillatt på servere da TeamViewer i flere angrep har blitt benyttet som et viktig hjelpemiddel for at de kriminelle skal kunne utføre sine handlinger.
VG testen og Least Privilege på servere
Kjør VG testen. Kan du surfe på VG fra serverne dine kan man mest sannsynlig også kjøre TeamViewer på dem. Adressér dette med å hviteliste (Least Privilege) hva serverne kan gjøre mot internett, og da burde ikke TeamViewer være på den listen. På den måten fjerner man muligheten for å kjøre TeamViewer og andre tilsvarende teknologier for fjernaksess.
Leave a Reply