Siemens Patches Several Flaws in Teleprotection Devices
2.12.2017 securityweek ICS
Siemens has patched several vulnerabilities, including authentication bypass and denial-of-service (DoS) flaws, in its SWT 3000 teleprotection devices.
The SWT 3000 teleprotection devices are designed for quickly identifying and isolating faults in high-voltage power grids. This Siemens product is used in the energy sector worldwide.
According to advisories published by both Siemens and ICS-CERT, medium severity vulnerabilities have been found in the EN100 Ethernet module used by SWT 3000 devices running IEC 61850 and TPOP firmware.
The flaws can be exploited to bypass authentication to the web interface and perform administrative operations (CVE-2016-7112, CVE-2016-7114), and cause devices to enter a DoS condition by sending specially crafted packets (CVE-2016-7113).Siemens teleprotection device vulnerabilities
Flaws related to the product’s web server can be leveraged by a network attacker to obtain sensitive device information (CVE-2016-4784), and data from the device’s memory (CVE-2016-4785).
The security holes have been addressed in IEC 61850 firmware with the release of version 4.29.01. The TPOP firmware is affected by only three of the flaws. These have been fixed with the release of version 01.01.00.
As it’s apparent from the CVE identifiers, these vulnerabilities were actually discovered last year. They were reported to Siemens via ICS-CERT by researchers at HackerDom and Kaspersky Lab.
Siemens and ICS-CERT disclosed CVE-2016-4784 and CVE-2016-4785 in May 2016, when they warned that the flaws had affected SIPROTEC 4 and SIPROTEC Compact devices. An advisory published in September 2016 warned that the same products were also affected by CVE-2016-7112, CVE-2016-7114 and CVE-2016-7113.
In July 2017, Siemens informed customers that all five vulnerabilities also impacted Reyrolle devices, which provide a wide range of integrated protection, control, measurement, and automation functions for electrical substations.
Bitdefender Valued at $600 Million After Vitruvian Partners Investment
2.12.2017 securityweek IT
Home and enterprise security solutions provider Bitdefender has been valued at over $600 million after growth capital investment firm Vitruvian Partners acquired a stake of roughly 30 percent in the company from existing shareholder Axxess Capital.
Through the acquisition, Vitruvian has become the second-largest shareholder after co-founders Florin and Mariuca Talpes. A group of private investors holds a minority stake in Bitdefender.
Bitdefender valued at $600 million
“This transaction demonstrates the rapid growth and scale of our business as we are now valued at over $600 million,” said Florin Talpes, who also serves as the company’s CEO. “Vitruvian's extensive experience investing in high growth technology companies endorses our strategy for international growth and in particular the significant investment we are making in building our Enterprise Solutions offering and our presence in the United States.”
“We continue to operate with a sound financial footing - this enables us to further expand and broaden our product portfolio and so ensure we stay ahead of cyber criminals to protect better our customers,” he added.
A Bitdefender spokesperson told SecurityWeek that the deal was a secondary transaction between shareholders, so funds will not go into Bitdefender itself.
Axxess Capital sold its shares after an 8-year run. Deutsche Bank AG, London Branch acted as the financial advisor for the transaction, which is subject to regulatory approvals.
Bitdefender’s main office is in Romania and its enterprise solutions headquarters is located in the United States, in Santa Clara, California. The cybersecurity firm employs more than 1,300 people, and its products are said to be used by over 500 million users in 150 countries.
Vitruvian is an independent European private equity firm that specializes in investing in companies undergoing growth and change. The company provides operational support and assistance with acquisitions and other strategic initiatives.
Chrome to Block Apps from Injecting into Its Processes
2.12.2017 securityweek Safety
Google’s Chrome web browser will soon prevent third-party software from injecting code into its processes.
The search giant announced that the change is planned for Chrome 68 for Windows, which is currently on track to be released in July 2018. Before the switch, however, Chrome 66 will start warning users when other software is injecting code into one of its processes.
Around two thirds of Chrome users on Windows have other applications that interact with the browser, such as accessibility or antivirus software. While some of the software needed to inject code in Chrome to ensure proper functionality, this could lead to unexpected crashes.
“Users with software that injects code into Windows Chrome are 15% more likely to experience crashes,” Chris Hamilton of the Chrome Stability Team explains.
Hamilton also points out that Chrome extensions and Native Messaging provide new, modern alternatives to running code inside of Chrome processes.
This is why Chrome 68 will start blocking third-party software from injecting code into Chrome on Windows. Before that, however, Chrome 66 will start displaying a warning after a crash, informing users on other software injecting code into the browser.
The browser will also guide users into how to update or remove the third-party software responsible for the crash.
In July 2018, Chrome 68 will start blocking code injections only if the blocking won’t prevent the browser from starting. If it will, Chrome will restart and allow the injection, while also warning the users on the matter and providing guidance into removing the troubling software.
Starting in January 2019, when Chrome 72 is set to be released in the stable channel, the browser will always block code injection.
“While most software that injects code into Chrome will be affected by these changes, there are some exceptions. Microsoft-signed code, accessibility software, and IME software will not be affected,” Hamilton says.
System76 to Disable Intel ME on Laptops Due to Security Flaws
2.12.2017 securityweek Vulnerebility
Following the discovery of several potentially serious vulnerabilities in Intel’s Management Engine (ME), computer seller System76 announced its intention to disable the feature on its laptops with a future firmware update.
In the past months, Intel and third party security researchers discovered a significant number of flaws in ME and Active Management Technology (AMT), which allow users to remotely manage devices. The security holes can be exploited to execute arbitrary code without being detected by the user or the operating system, bypass security features, and crash systems.
Intel has released patches for these vulnerabilities and vendors such as Acer, Dell, Fujitsu, HPE, Lenovo, and Panasonic informed customers that they are also working on firmware updates that address the weaknesses.
System76, which provides Linux-powered laptops, desktops and servers, has decided to address the risks introduced by Intel ME by disabling the feature altogether.
The company has been working on a system that will allow it to automatically deliver firmware updates to computers in the same way software updates are currently being delivered through the operating system. The new update mechanism has been tested and it’s nearly ready for deployment on laptops.
System76 plans on delivering a firmware update that disables ME on laptops using 6th, 7th and 8th generation CPUs from Intel. This includes Bonobo, Gazelle, Kudu, Lemur, Oryx and Serval laptops.
Users will be informed of an update via email and prompted to install it – updates will not be conducted without user interaction. The automatic updates will work on laptops running Ubuntu 16.04 LTS, Ubuntu 17.04, Ubuntu 17.10, or version 17.10 of Pop!_OS, System76’s own Linux distribution.
ME will continue to be present on System76 desktop computers, but users will be provided firmware updates that patch the vulnerabilities disclosed by Intel.
“There is a significant amount of testing and validation necessary before delivering the updated firmware and disabled ME,” explained System76 CEO Carl Richell. “Disabling the ME will reduce future vulnerabilities and using our new firmware delivery infrastructure means future updates can roll out extremely fast and with a higher percentage of adoption (over listing affected models with links to firmware that most people don’t install).”
The company pointed out that disabling ME on laptops may no longer be possible at some point if Intel makes changes to the feature. “We implore Intel to retain the ability for device manufactures and consumers to disable the ME,” Richell said.
Industrial Cybersecurity Startup SCADAfence Secures $10 Million
2.12.2017 securityweek ICS
Israeli industrial cybersecurity startup SCADAfence has secured $10 million in funding through a recently announced Series A round.
The Tel Aviv-based company explains that it helps industrial network operators bridge the cybersecurity gap that comes when connecting operational technology (OT) and IT networks to ensure operational continuity and the security of valuable assets.
SCADAfence’s solutions provide visibility of day-to-day operations, detection of malicious cyber-attacks as well as non-malicious operational threats, and risk management tools.
According to the company, the funding will help support expansion of its R&D center in Tel-Aviv and global business development teams to meet growing demand across North America, Asia and Europe.
SCADAFence's customers include Global Fortune 500 companies in the automotive, pharmaceutical, chemical and energy industries.
Investors in the Series A round include JVP, NexStar Partners, 31Ventures Global Innovation Fund, GB-VI Growth Fund Investment Limited Partnership managed by Global Brain, iAngels and DS Strategic Partners.
SCADAFence is one of several security startups targeting the industrial space that have recently raised funding. Others include Dragos, Indegy, Bayshore Networks, CyberX, Claroty, and Nozomi Networks.Veteran industrial software firm PAS raised $40 million in April 2017. Darktrace, which has an offering targeted to the industrial sector, recently raised $75 million at a valuation of $825 million. All of these companies have participated in SecurityWeek’s ICS Cyber Security Conference series.
Four Arrested for ATM Skimming, Payment Card Fraud
2.12.2017 securityweek Crime
Law enforcement agencies in Europe this week announced the dismantling of a criminal network responsible for stealing payment card data and performing illegal transactions.
Called “Neptune,” the operation involved the arrest of four key members of the network on November 30, 2017. All four are Bulgarian citizens.
The group’s illegal activities included placing cameras and magnetic strip readers (skimmers) on ATMs in central areas of European cities, as well as producing counterfeit credit cards using the stolen data captured by the skimmers. The individuals used the fake cards to subsequently cash out money from ATMs in non-European countries, such as Belize, Indonesia and Jamaica.
As part of the operation, law enforcement agencies in Italy, Bulgaria, and the Czech Republic, supported by Europol, identified dozens of ATMs that have been tampered with by the cybercriminals.
The operation also resulted in the seizure of more than 1,000 counterfeit credit cards and in the collecting of evidence of many fraudulent international transactions worth more than EUR 50,000. The investigation started in late 2015.
“Since most of the illegal transactions with counterfeit cards took place overseas, the cooperation through dedicated investigative networks set up by Europol has been instrumental,” Europol noted in an announcement.
In September, Europol warned that cybercriminals are increasingly focused on accessing ATM machines through the banks' networks, while having squads of money mules standing by, ready to pick up the stolen cash.
At a cyberconference in Bucharest in early November, Kaspersky Lab security researchers presented the numerous methods cybercriminals use to compromise ATMs and also warned on how easy such machines can be ensnared into botnets.
Earlier this week, Europol announced the results of the European Money Mule Action ‘EMMA3’, a global law enforcement action week against money mulling (20 to 24 November). A joint effort of law enforcement from 26 countries, the operation resulted in 159 arrested, 409 suspects interviewed, and 766 money mules and 59 money mule organizers identified.
Last year, 178 individuals were arrested across Europe for acting as money mules, helping criminals move stolen money out of the country of theft to criminal bank accounts abroad.
New .NET-Based Ransomware Uses Open Source Code
2.12.2017 securityweek Ransomware
Two newly discovered .NET-based ransomware families are using open source repositories to encrypt users’ files, Zscaler security researchers say.
Dubbed Vortex and BUGWARE, the two ransomware families have been seen in live attacks carried out via spam emails containing malicious URLs. Both of the new malware families are compiled in Microsoft Intermediate Language (MSIL) and have been packed with the 'Confuser' packer.
The Vortex ransomware is written in Polish and makes use of the AES-256 cipher to encrypt image, video, audio, document, and other potentially important data files on the victim’s machine, Zscaler notes in an analysis report shared with SecurityWeek.
The same as other ransomware variants out there, the malware drops a ransom note once it has completed the encryption process, informing the victim on how they can restore their data and how to send the ransom money.
The malware allows users to decrypt two of their files for free and demands a $100 ransom, which supposedly increases to $200 in four days. Victims are encouraged to contact the attackers using the Hc9@2.pl or Hc9@goat.si email addresses.
After installation, the malware attempts to achieve persistence through creating a registry entry, as well as a registry key called “AESxWin.” The malware was also observed deleting shadow copies to prevent users from restoring their data without paying.
While analyzing the malware’s command and control (C&C) communication, the security researchers observed it sending system information and requesting a password API used for the encryption and decryption key.
Vortex is entirely based on AESxWin, a freeware encryption and decryption utility hosted on GitHub and created by Egyptian developer Eslam Hamouda. Thus, files can be decrypted using AESxWin, as long as the password used for encryption is known, Zscaler suggests.
BUGWARE, on the other hand, is based on the open source Hidden Tear code, which has been abused to create various ransomware families before.
The new threat also uses an invalid certificate pretending to be for GAS INFORMATICA LTDA and asks victims to pay the equivalent of a thousand Brazilian reals in Monero.
The malware creates a list of paths to encrypt and stores it in a file called Criptografia.pathstoencrypt. It also searches for all fixed, network, and removable drives and adds those paths to the list.
BUGWARE was observed generating the encryption key and using the AES 256-bit algorithm to encrypt users’ files, as well as renaming the encrypted files. The AES key is encrypted too, using a RSA public key, and the base64 encoded key is saved in the registry.
To achieve persistence, the malware creates a run key that ensures it is executed each time the user logs into the computer. If removable drives are detected, the threat drops a copy of itself on them, with the name “fatura-vencida.pdf.scr.”
The ransomware changes the victim’s desktop background using image files downloaded from “i[.]imgur.com/NpKQ3KZ.jpg."
Senators Propose New Breach Notification Law
2.12.2017 securityweek BigBrothers
Senators Propose New Data Protection Bill Following Equifax and Uber Breaches
Following the Equifax breach and the hidden Uber breach, three U.S. senators have introduced the Data Security and Breach Notification Act. Its purpose is to ensure better protection of personal information, and to provide a nationwide standard breach notification requirement. It is effectively a re-introduction of the 2015 bill of the same name.
The bill is sponsored by three Democrats: Sen. Bill Nelson of Florida, Sen. Richard Blumenthal of Connecticut, and Sen. Tammy Baldwin of Wisconsin. Statements from Nelson and Baldwin show clearly that the recent Uber and Equifax breaches are the specific catalysts.
"The recent data breaches, from Uber to Equifax, will have profound, long-lasting impacts on the integrity of many Americans' identities and finances, and it is simply unacceptable that millions of them may still not know that they are at risk, nor understand what they can and should do to help limit the potential damage," said Senator Baldwin.
"We need a strong federal law in place to hold companies truly accountable for failing to safeguard data or inform consumers when that information has been stolen by hackers," said Nelson. "Congress can either take action now to pass this long overdue bill or continue to kowtow to special interests who stand in the way of this commonsense proposal. When it comes to doing what's best for consumers, the choice is clear."
There are three noteworthy aspects to this bill: 30 days to disclose following a breach; up to five years in prison for failure to do so; and the FTC with NIST to draw up recommendations on the technology or methodologies necessary to avoid such sanctions.
Under this bill, customers affected by a breach must be informed within 30 days if they are at risk. "There shall be a presumption that no reasonable risk of identity theft, fraud, or other unlawful conduct exists following a breach of security if," says the bill, the data is adequately indecipherable, for example (although not specified), by encryption.
The FTC/NIST 'standards' requirement is in the bill to define how and with what technology personal data can be made indecipherable -- and is likely to dismay security officers with yet another standard that must be observed. The potential for regulatory confusion can be seen in a comparison between this data 'privacy' requirement and that of Europe's General Data Protection Regulation (GDPR).
Staying with the example of Uber and Equifax, both companies would be liable under both laws if they were already in force. The basic requirement under GDPR is notification within 72 hours to the regulator (Article 33), or without undue delay to customers (Article 34) if they are at risk from the breach. It is 30 days under the U.S. law.
Since many survey have repeatedly demonstrated that not all U.S. companies understand GDPR, or even know that they will be liable, it is possible that some will wrongly assume they have an additional four weeks before being required to disclose. Just as disconcerting would be for EU customers to learn of their danger before their American counterparts.
"It's surprising that U.S. still lacks a single federal regulation covering mandatory breach disclosures," Matt Lock, director of sales engineers at Varonis told SecurityWeek. "The proposed 30-day notification rule is a step in the right direction, but a far cry from the GDPR's 72-hour rule. If the U.S. legislation passed, it's not difficult to imagine a situation in which EU consumers would learn of a breach hitting a U.S. company long before U.S. consumers are notified."
Lock believes that best timescale would be something between the two. "U.S. lawmakers want to show their support of constituents and their distaste for companies that try to fly under the radar in the wake of a major breach," he said. "But they are also trying to be more realistic. Anyone who has spent time on an incident response team knows how chaotic the first 72-hours can be. Perhaps 30 days is a bit too lenient, but the GDPR 72-hour window may result in businesses scrambling and disclosing incomplete or inaccurate information."
There is one major difference between the U.S. bill and GDPR: GDPR has huge financial sanctions but no prison time, while Nelson's bill has no specified financial sanction, but up to five years in prison. "With this new legislation bill, companies providing services to both the US and EU citizens will have two major breach notification requirements that come with significant impact," Comments Thycotic's chief security scientist Joseph Carson. "From huge financial sanctions in the EU that could be as much as 4% of annual turnover globally, and -- if customers are not notified in 30 days -- a prison term in the U.S. These two major legal requirements could change the way companies approach and prioritize cybersecurity and risk meaning they could no longer ignore the need for better security."
Apple sice opravil chybu s přihlášením do systému bez hesla, ale okamžitě vytvořil novou
2.12.2017 Živě.cz Apple
Operační systém macOS, který běží v počítačích od Applu, se potýká s vážnými chybami. Platí to i o nejnovější verzi High Sierra. Na konci listopadu byla u operačního systému macOS High Sierra od Applu zjištěna chyba, která umožňovala administrátorské přihlášení i bez hesla.Chyba se týká sdílení souborů po síti a uživatelé ji mohou zaznamenat právě po rychlé bezpečnostní aktualizaci s označením „Security Update 2017-001 for macOS High Sierra 10.13.1“.V rámci domácí i podnikové sítě se tak uživatelé mohou setkat s tím, že se jim nepodaří dostat do sdílených složek v jiných počítačích na síti.Oprava je sice zcela jednoduchá, ale nikoli zrovna uživatelsky přívětivá.
Na konci listopadu byla u operačního systému macOS High Sierra od Applu zjištěna chyba, která umožňovala administrátorské přihlášení i bez hesla. Apple sice chybu rychle během jediného dne opravil, bohužel ale vytvořil novou.
Chyba se týká sdílení souborů po síti a uživatelé ji mohou zaznamenat právě po rychlé bezpečnostní aktualizaci s označením „Security Update 2017-001 for macOS High Sierra 10.13.1“. V rámci domácí i podnikové sítě se tak uživatelé mohou setkat s tím, že se jim nepodaří dostat do sdílených složek v jiných počítačích na síti.
Oprava je sice zcela jednoduchá, ale nikoli zrovna uživatelsky přívětivá. Jak Apple popisuje v návodu, je nutné otevřít aplikaci Terminál, napsat sudo /usr/libexec/configureLocalKDC poté dát Enter a zadat administrátorské heslo. Jak je vidět, rychlé záplaty znamenají i to, že se může přehlédnout něco dalšího, co má důležitou návaznost.
DDoS útok na Bitfinex, 31 milionů ukradených Tetherů a růst ceny Bitcoinu
2.12.2017 Lupa.cz Počítačový útok
Začátkem týdne se na twitterovém účtu největší světové bitcoinové burzy současnosti objevila zpráva o probíhajícím DDoS útoku.
Zdánlivě nevinný tweet z neděle večer rozproudil novou vlnu otázek kolem již tak kontroverzní tchajwanské bitcoinové burzy Bitfinex. DDoS útok začal během plánované pravidelné technické odstávky a přetrvával během celého pondělí, což pocítila řada uživatelů na vlastní kůži.
Burza k incidentu, jak je v poslední době jejím nedobrým zvykem, neposkytla žádné detailní informace. Útok samotný je sice (pravděpodobně) externí událostí, kterou burza nemohla nijak ovlivnit, představuje ale zároveň další článek v řetězci kontroverzních událostí, které jsou od loňského roku s burzou spojeny.
Bitfinex je pověstný dlouhou historií netransparentních operací a po celou svoji historii se důsledně vyhýbá poskytování informací o osobách, které jsou odpovědné za jeho provoz.
Manipulace s cenou?
Jaký je možný smysl útoku? DDoS útoky nikoho přímo neokrádají o peníze ani nezpůsobují úniky citlivých dat. Útoky na dostupnost služby (Distributed Denial of Service) mívají nejčastěji, podobně jako například blokáda komunikace ve fyzickém světě, nějaký aktivistický účel.
Ve světě kryptoměn, kde vznešené ideály často ustupují finančním zájmům úzké skupiny, plní ale ještě jiný účel: jsou nástrojem manipulace s cenou. Pokud obchodníkům zabráníte v přístupu na trh, objem obchodů výrazně klesne, tento umělý pokles se přímo promítne do umělého poklesu ceny a vy můžete například na jiné burze levně nakoupit či bezpečně uzavřít své shorty.
Svědkem podobného DDoS útoku směrovaného právě na Bitfinex jsme byli letos v červnu. V hlavní fázi aktuálního útoku ze začátku tohoto týdne klesla cena Bitcoinu z přibližně 9800 na 9300 amerických dolarů, brzy se ale opět vyšvihla k hranici 11 400 dolarů (než přišla středeční korekce ceny).
BTC burzy ve středu nestíhaly simultánní nápor uživatelů, kteří při nečekaném pohybu kurzu zadávali prodejní příkazy
Kdo za DDoS útoky stojí, lze vypátrat jen těžko, přesto je zarážející, že společnost, která má profit z transakčních poplatků přes milion dolarů denně, nevěnuje větší péči ochranně před podobným typem události. Obzvláště když připustíme, že má burza za sebou historii dvou bitcoinových krádeží v relativně krátkém časovém odstupu.
Kontroverzní Tether
Společnost nejprve přišla o 1500 bitcoinů (v tehdejší hodnotě asi 400 tisíc dolarů) v roce 2015 a jen o rok později se stala obětí krádeže 120 000 bitcoinů (96 000 000 dolarů při tehdejších cenách). Bitfinex tehdy rozdělil ztráty mezi všechny zákazníky, a to včetně těch, kteří v dané době na burze žádný bitcoin nedrželi. Z každého účtu burza odečetla 36 %, které zůstaly v podobě pohledávky – tzv. BFX tokenu s teoretickou hodnotou 1 BFX = 1 USD.
Bitfinex má ve světě kryptoměnových burz výjimečné postavení, a tak podobný útok rozhodně dává smysl. Za prvé se již dříve po odhalení falešných objemů na čínských bitcoinových burzách ukázalo, že jde pravděpodobně o největší subjekt co do bitcoinových obchodů na světě (viz data CoinMarketCap), za druhé dceřiná společnost Bitfinexu stojí za kontroverzním tokenem Tether a právě machinacím s Tetherem část komunity přisuzuje další významný vliv na manipulaci s cenou bitcoinu.
Cena jednoho Tetheru je víceméně fixní (vázána na americký dolar) a jeho účelem je pomáhat burzám, které Tether používají, obcházet přísný rámec ze strany amerických regulátorů (SEC, IRS, FED), který by na ně jinak dopadal skrze bankovní AML a KYC legislativu.
Skutečný problém, nebo kouřová clona?
Právě Tether byl v hledáčku bitcoinového světa celý uplynulý týden, a to zejména v souvislosti krádeží 30 950 010 tokenů z online peněženky společnosti Tether Limited. Události si všiml dokonce mainstreamový newyorský deník The New York Times.
Co je to Tether
Tether, neboli USDT (ačkoli v plánu je též euro a japonský jen) je digitální token běžící na bitcoinovém blockchainu prostřednictvím vrstvy Omni Layer Protocol (dříve Mastercoin). Každá jednotka USDT by měla být teoreticky podložena americkým dolarem, který je držen v rezervách společnosti Tether Limited a vykoupitelná prostřednictvím platformy Tether. USDT lze převádět, ukládat a utrácet podobně jako jiné kryptoměny, a to prostřednictvím všech peněženek, které podporují Omni Layer (například Ambisafe, Holy Transaction či Omni Wallet). Tether má v plánu postupně rozšířit svůj token také na platformu Ethereum, kde bude figurovat jako ERC20 token. S Tetherem se kromě Bitfinexu, odkud se většina tetherů dostává do oběhu, můžete setkat zejména na burzách Poloniex, Bittrex či Kraken.
Samotná krádež, kterou se podařilo vyřešit tzv. rollbackem transakční historie a zablokováním určitých adres, vyvolala řadu otázek. Jednak k jejímu zdárnému uskutečnění bylo zapotřebí získat přístup ke třem ze čtyř podpisových klíčů, které se měly nacházet na čtyřech různých místech odpojených od internetu, a existuje tak teorie, že šlo o „inside job“.
Druhým aspektem bylo samotné řešení problému. To sice není u centralizovaného projektu tak kontroverzní jako například nejistý komunitní konsensus při loňském hardforku Etherea, přesto však vyvolává různé pochybnosti. Pokud je možné u kryptoměny s kapitalizací 675 milionů dolarů v tichosti provést hardfork a zneplatnit tak libovolnou sérii adres a proběhlých operací, kdo vlastně kontroluje Omni ledger a za jakých okolností má právo takovéto operace provádět?
Podle jakého klíče byly konkrétní adresy trvale zablokovány a koho může potkat podobný osud? Takováto úroveň centralizace je totiž skvělým předpokladem pro manipulaci s celou dnes již celkem zajímavě kapitalizovanou sítí. Záznamy mohou být podobnými zásahy celkem snadno měněny a váš kapitál uložený v Tetheru tak zůstává poněkud nejistým dočasným záznamem v centralizované databázi soukromé společnosti.
To je hodně velký rozdíl oproti veřejnému blockchainu a tradičním decentralizovaným kryptoměnám (viz náš článek Jak porozumět blockchainu v deseti minutách aneb Jak funguje technicky a k čemu je). Pokud nebudeme hned myslet na nejhorší, může například tým Tetheru pod tlakem justičních autorit trvale zablokovat libovolné adresy s libovolnými Tether fondy.
Proč roste Bitcoin
Faktem také zůstává, že komunikace Tether Ltd. s veřejností není zrovna nejlepší a hlavní softwarové změny, záplaty chyb a dokonce i významnější forky protokolu jsou prováděny celkem netransparentně a s minimálním informováním. Zarážející jsou také některé komunikační praktiky, jako používání softwaru pro změnu hlasu při poskytování vyjádření pro veřejnost.
Do třetice je zde ještě jedna záležitost. Letos na jaře začal být na Twitteru velmi populární tajemný uživatel jménem Bitfinex'ed. Ten pravidelně přináší nejrůznější nepřímé důkazy, které nasvědčují tomu, že průběžně do oběhu uvolňovaná likvidita Tetheru ve skutečnosti vůbec nemusí být krytá skutečnými dolary na bankovních účtech společnosti, ale že jde o peníze tisknuté takříkajíc ze vzduchu.
Jedním z těchto důkazů mělo být i extrémně rychlé splacení závazků vůči uživatelům po loňském hacknutí burzy, při kterém zmizelo 120 000 bitcoinů. Závazky měly být podle všeho kryté právě ze vzduchu natištěným Tetherem. Na druhé straně je ale nutno dodat, že při obratu 1–1,5 milionu dolarů denně a prudkém nárůstu nových uživatelů počátkem letošního roku není předčasné splacení závazků až zase tak moc překvapivé.
Kdyby šlo do tuhého, půjde Tether vůbec vybrat a směnit zpátky na dolary? V podmínkách společnosti nalezneme mimo jiné toto:
Tether token nepředstavuje peníze ani jiný finanční instrument. Také není určen jako uchovatel hodnoty. Neexistuje žádné smluvní právo nebo jiný právní nárok proti nám umožnující vynutit si výměnu vašich Tetherů za peníze. Nezaručujeme žádné právo na vykoupení nebo výměnu Tetherů a neexistuje žádná záruka proti ztrátám při nákupu, obchodování, prodeji nebo jejich zpětném odkupu.
Takováto právní formulace může mít sice za účel se pouze vyhnout dosahu regulátorů, uživatelům Tetheru ale na klidu rozhodně nepřidává.
TIP: Tone Vays: 99 % kryptoměn nemá šanci přežít. Za hard forky je snaha o kontrolu peněz
Tak trochu konspirační teorie, kterou Bitfinex'ed razí, tvrdí, že nekrytý kvantitativně uvolňovaný Tether je přímou příčinou současného růstu ceny bitcoinu. Kampaň proti Tetheru se začala v posledních měsících stupňovat a komunita uživatelů kryptoměn se začala oprávněně ptát, jak to tedy s transparentností Tetheru ve skutečnosti je. Tether na toto konto slíbil celou věc znovu vyjasnit. Namísto toho přišel výše zmiňovaný hack a pozornost se přesunula právě k němu. Je tedy možné, že celá událost byla jen kouřová clona, která má odvrátit pozornost od skutečného problému?
Pravdou je, že již v září 2017 Bitfinex a Tether publikovali dokument, který měl rozehnat některé hlavní pochyby o tom, jak je Tether podložen. Podle nezávislého právníka Lewise Cohena je ale dokument formulován tak, že z něj podloženost Tetheru skutečnými dolary nelze ani potvrdit, ani vyvrátit.
Další souvislosti
Z toho mála, co o Bitfinexu víme, můžeme říci, že byl založen na Britských panenských ostrovech a je řízen Janem Ludovikem van der Velde (v roli ředitele) a Philem Potterem v roli CSO. Snaha držet navenek obě společnosti zdánlivě maximálně oddělené, ale přitom zároveň jako seismograf reagující na momentální potíže druhé firmy, budí pochopitelně oprávněná podezření.
Oba pány můžeme nalézt také na seznamu takzvaných Dokumentů z ráje, které představují databázi 13,4 milionu důvěrných finančních dokumentů, jež byly zveřejněny 5. listopadu 2017 a odhalují seznamy více než 120 000 jedinců (včetně Čechů) a společností a jejich masivní daňové úniky.
Nás by však měl zajímat nejvíce právě Potter, protože právě on zároveň představuje ředitele společnosti Tether. Potter má relativně kontroverzní historii. V 90. letech pracoval pro Morgan Stanley, ale byl propuštěn pro používání „agresivních technik“ vydělávání peněz. V Dokumentech z ráje je zmiňován mimo jiné v souvislosti se společností Appleby a projektem Tether, který tato společnost zakládá na Britských panenských ostrovech koncem roku 2014.
Místo, kde je společnost vedena, a její spolumajitel nejsou jedinými indiciemi úzké provázanosti mezi Bitfinexem a Tetherem. Většina Tetherů se totiž dostává do oběhu právě přes Bitfinex. Na druhé straně to samotné, ani pohyb se v šedé zóně americké a evropské legislativy, ještě není důvodem k vážným obavám.
Poněkud zarážející souvislostí, která by nahrávala teorii uživatele Bitfinex'ed, je, s jakou podivuhodnou lehkostí se burza vypořádala s odstřižením od svých účtů s milionovými klientskými deposity po zásahu regulátorů letos na jaře. Zde sehrál Tether, ať již podložený dolary z účtů Tether Ltd., či vytištěný takříkajíc „ze vzduchu“, zcela zásadní roli.
Tajná těžba kryptoměn v prohlížečích: Zavření okna s infikovaným webem už nepomůže
2.12.2017 Živě.cz Viry
Tajná těžba kryptoměn v prohlížečích: Zavření okna s infikovaným webem už nepomůže
Bezpečnostní experti odhalili nový způsob, jak záškodníci mohou zapojit do těžby kryptoměn návštěvníky webů prostřednictvím internetových prohlížečů. Útočníci tentokrát vytvořili sofistikovaný skript, který dokáže generovat kryptoměnu i po zavření záškodnického webu. Bližší informace o hrozbě zveřejnil Bleeping Computer.
Coinhive stále populární
Těžba virtuální měny v internetových prohlížečích se těší velké popularitě mezi různými skupinami útočníků. Díky známému open-source skriptu Coinhive může zisk generovat prakticky jakýkoliv web. Není přitom potřeba žádná interakce s uživatelem.
Výrazným problémem je však délka samotné těžby, která je přímo úměrná délce procházení webu. Pokud totiž uživatel stráví na webu se skrytou těžbou 60 sekund, tak je zřejmé, že jeho počítač bude generovat zisk pouze v průběhu jedné minuty. Není proto překvapením, že útočníci začali hledat způsob, jak délku těžby prodloužit na maximum.
Sekundární okno se schová za hodinami
Výzkumníci ze společnosti Malwarebytes upozornili na nový, v principu triviální trik, díky kterému bude těžba kryptoměny pokračovat i po opuštění záškodnického webu. Ten je založen na speciálním kódu v JavaScriptu, který vytvoří vyskakovací pop-up okno v definované velikosti. Jeho součástí je i vzorec určený pro dynamický výpočet pozice tohoto okna na obrazovkách uživatelů.
Výsledkem skriptu je miniaturní okno, které se na mnoha počítačích zobrazí skryté za panelem úloh systému Windows. Uvnitř ukrytého okna se nakonec spustí samotná těžba.
Je tam! Nenápadně schované dole za hodinami. Okno prohlížeče se skriptem na těžbu kryptoměn. K odhalení stačí trochu zvětšit hlavní panel.
Běžný uživatel si nemusí všimnout nic podezřelého. Okno je skutečně dobře schované a mechanismus navíc dokáže oklamat většinu nástrojů pro blokování reklam. Navíc útočníci nastavili maximální zátěž procesoru na nižší hodnoty, aby plně vytížený počítač nebudil podezření.
Pozor v sedmičkách i Windows 10
Tento trik v současnosti funguje v nejnovější verzi internetového prohlížeče Google Chrome v prostředí operačních systémů Windows 7 a Windows 10. Skript byl odhalen na pochybných internetových stránkách pro dospělé.
Schéma útoku dokáže prozradit ikona aktivního internetového prohlížeče v hlavním panelu. V případě, že nemáte otevřenou žádnou webovou stránku, tak by neměla být v hlavním panelu zobrazena ani zvýrazněna ikona prohlížeče. Pokud tam je, zřejmě je na pozadí skryté okno.
V rámci preventivních opatření by měl být v počítači nainstalován a řádně aktualizovaný antivirový software. Většina z bezpečnostních produktů už totiž dokáže zachytit i skripty pro těžbu virtuálních jmen.
V neposlední řadě existují různá rozšíření internetových prohlížečů, která dokáží zablokovat nežádoucí skripty. Nejznámějším je asi No Script, nebo relativně nový projekt NoCoin zaměřený právě na blokování těžebních skriptů.
Russian Cybercriminal Gets Another Prison Sentence
1.12.2017 securityweek CyberCrime
Roman Valeryevich Seleznev, the son of a Russian lawmaker, has been handed another prison sentence in the United States for his role in a massive cybercrime ring.
The 33-year-old, known online as Track2, Bulba and Ncux, was previously sentenced by a U.S. court to 27 years in prison for 38 counts of wire fraud, hacking, identity theft, and payment card fraud.
After pleading guilty to racketeering and conspiracy to commit bank fraud charges on September 7, he received another 14-year prison sentence for the first charge in Nevada and another 14 years for the second charge in Georgia. The sentences will run concurrently to each other and to the previous 27-year sentence.
Seleznev has also been ordered to pay nearly $51 million in the Nevada case and over $2.1 million in the Georgia case.
According to authorities, Seleznev admitted being part of Carder.su, an Internet-based organization that specialized in identity theft and credit card fraud. The Russian national created a website, which he advertised on Carder.su, to allow fraudsters to easily purchase stolen payment card data for roughly $20 per account number.
Authorities estimate that activities conducted by members of Carder.su resulted in victims losing a total of $50,893,166.35, the exact amount that Seleznev has been ordered to pay.
In the Georgia case, Seleznev admitted being a “casher” (i.e. an individual who withdraws cash using stolen bank account information) in a scheme targeting an Atlanta-based firm that processed credit and debit card transactions for financial institutions. Hackers breached the company’s systems and obtained more than 45 million payment cards, which they used to withdraw over $9.4 million from 2,100 ATMs in 280 cities worldwide. The money was withdrawn in less than 12 hours.
Law enforcement conducted a massive operation targeting Carder.su users and operators. A total of 55 individuals have been charged and 33 of them have already been convicted; the rest are either pending trial or are on the run.
Reading the NTT 2017 Global Threat Intelligence Center (GTIC) Quarterly Threat Intelligence Report
1.12.2017 securityaffairs Analysis
NTT Security, a company of the tech giant NTT Group focused on cyber security, has released its 2017 Global Threat Intelligence Center (GTIC) Quarterly Threat Intelligence Report.
The research includes data collected over the last three months from global
NTT Security managed security service (MSS) platforms and a variety of open-source intelligence tools and honeypots.
The report is very interesting and full of precious information, it is organized in the following sections:
Global Threat Visibility.
China’s Cybersecurity Position is More Complicated Than You Realize.
The Face of the Insider Threat
Let’s analyze in detail each session:
Global Threat Visibility
NTT Security Global Threat Intelligence Center observed significant increase (+24% from Q2 ‘17) in the number of security events during Q3 ’17, Finance was a privileged target of threat actors, experts observed a notable increment of detection of malicious activities in Q3 ’17 (+25%).
The experts observed a worrisome increase in the number of phishing campaigns and malware infections, up more than 40 percent since Q2 ‘17.
“Attack techniques have shifted from formal reconnaissance and exploitation to an increased dependency on botnet infrastructure, phishing campaigns, malicious attachments and links.” states the report.
Interesting the data related to the attack sources, China leads the Top Ten char, followed by China, the novelty is represented by India that made a huge jump from outside the number three.
China’s Cybersecurity Position is More Complicated Than You Realize
Attacks from China moved up from the number three spot in Q2 ’17 to number two in Q3 ’17.
The presence of China doesn’t surprise any more, but it is interesting to highlight that during Q3 ’17, finance and manufacturing were the most heavily targeted industries from Chinese attackers, with 40 percent and 31 percent, respectively.
NTT Security confirms that for the past five years IP addresses in China have ranked within the top three of all source countries (consider also that IP addresses within the United States have always been the number one source of attacks).
“It is important to note that the term “Chinese sources” does not imply attribution, necessarily, to any entity associated with China. Threat actors often route through several nodes, making it difficult to determine the true source of malicious activity” continues the report.
The Face of the Insider Threat
The report highlights the danger of insider threats, 30 percent of them will put an organization at risk, in most cases organizations totally ignore the risks.
The report distinguishes “Accidental Threat Facts” such as Accidental disclosure (e.g., unsecured databases, default internet-facing username and password logins), Improper or accidental disposal of physical records (e.g.,disposal of paper without shredding.), Accidental damage (e.g., accidental misconfiguration or command which results in loss of data or connectivity) from “Malicious Insider Threat.”
According to the experts, Insider threats cost organizations more than $30 million.
“In 2016, large organizations with more than 75,000 employees spent an average of $7.8 million to address and resolve a single insider threat incident, while small organizations of between 1,000 and 5,000 employees and contractors spent an average of $2 million per incident.” states the report.
Below a summary of other key findings in the Q3 Global Threat Intelligence Center Quarterly Threat Intelligence Report include:
A notable increase in the number of security events during Q3 ’17 – up 24 percent from Q2 ’17
The finance industry had the most detections for malicious activity in Q3 ’17 – representing 25% of all cybersecurity attacks
Rounding out the top five targeted industries were: manufacturing at 21%, business services at 16%, health care at 13% and technology at 12%
Phishing campaigns and malware infections both increased by more than 40% over Q2 ’17
Attacks from China moved up from the number three spot in Q2 ’17 to number two in Q3 ’17
As an attack source, India also made a huge jump from outside the top 10 up to number three, most likely due to outside actors leveraging vulnerable and/or compromised infrastructure.
The NTT Security Q3 Threat Report can be downloaded for free at www.nttsecurity.com/en-us/gtic-2017-q3-threat-intelligence-report.
Cryptocurrency Miners hidden in websites now run even after users close the browser
1.12.2017 securityaffairs Security
Some websites use a simple trick to keep their cryptocurrency miners scripts running in the background even when the user has closed the browser window.
Website administrators and crooks are looking with an increasing interest at JavaScript-based cryptocurrency miners due to rapid increase in cryptocurrency prices.
These scripts exploit the CPU power of their visitor’s PC to mine Bitcoin or other cryptocurrencies. Some websites use a simple technique to keep their cryptocurrency mining JavaScript under the radar and secretly running in the background even when the users close his web browser.
In many cases the scripts are used as an alternative monetization model to banner ads. Recently, the Pirate Bay was spotted using the Coinhive browser-based cryptocurrency miner service.
The scripts can mine cryptocurrencies as long as the visitors are on their site, they lost access to the computer processor and associated resources when the Window is closed.
Experts from security firm Malwarebytes have discovered that some websites use a simple trick to keep their cryptocurrency mining scripts running in the background even when the user has closed the browser window.
The technique leverages a hidden pop-under browser window that is opened by the mining window and that fits behind the taskbar and hides behind the clock on Microsoft’s Windows computer.
This hidden window is used to run the crypto-miner code consumes CPU cycles and power from visitor’s computer until he will not spot the window and close it.
“The trick is that although the visible browser windows are closed, there is a hidden one that remains opened. This is due to a pop-under which is sized to fit right under the taskbar and hides behind the clock.” reads the blog post published by MalwareBytes.
“The hidden window’s coordinates will vary based on each user’s screen resolution, but follow this rule:
Horizontal position = ( current screen x resolution ) – 100
Vertical position = ( current screen y resolution ) – 40
If your Windows theme allows for taskbar transparency, you can catch a glimpse of the rogue window. Otherwise, to expose it you can simply resize the taskbar and it will magically pop it back up:”
The technique is simple as efficient, it is difficult to identify and able to bypass most ad-blockers. Experts observed that the cryptocurrency miners run from a crypto-mining engine hosted by Amazon Web Servers.
“This type of pop-under is designed to bypass adblockers and is a lot harder to identify because of how cleverly it hides itself. Closing the browser using the “X” is no longer sufficient.” continues the post.
“The more technical users will want to run Task Manager to ensure there is no remnant running browser processes and terminate them. Alternatively, the taskbar will still show the browser’s icon with slight highlighting, indicating that it is still running.”
To remain under the radar, the code of cryptocurrency miners runs in the hidden browser maintains CPU usage threshold to a medium level.
These scripts work on the latest version of Google’s Chrome web browser running on the most recent versions of Microsoft’s Windows 7 and Windows 10.
Users can spot miner windows by looking for any browser windows in the taskbar or running the Task Manager on their computer to ensure there is no running browser processes that are consuming CPU resources.
Some antivirus software block cryptocurrency miners, an alternative is represented by web browser extensions, like No Coin, that automatically block in-browser cryptocurrency miners.
Unfortunately, No Coin still not support Microsoft Edge, Apple Safari, and Internet Explorer.
US Judge Orders Coinbase to hand over details of 14,355 US citizens to the IRS
1.12.2017 securityaffairs Crime
A federal judge in the California court has ruled that cryptocurrency exchange portal Coinbase must hand over details of over 14,000 users to the US IRS.
In November 2016, the US Internal Revenue Service (IRS) has filed a motion asking the US Federal Court of Northern California to force the US-based cryptocurrency exchange portal to hand over the personal details of all US users that have conducted Bitcoin trades between January 1, 2013, and December 31, 2015.
The motion is part of a tax evasion investigation launched by the US authorities and aimed to track people that currently maintains funds in Bitcoin or that were paid using the cryptocurrency to avoid paying US taxes.
Now a federal judge in the California Northern district court has ruled that US-based cryptocurrency exchange portal Coinbase must hand over details of over 14,000 users to the US Internal Revenue Service (IRS). Coinbase must provide personal and financial details of its US users, including names, birth dates, addresses, Bitcoin wallet ID, tax ID numbers.
According to the IRS, during the period under investigation, only about 900 US citizens paid taxes for Bitcoin-related operations, even if Coinbase was serving millions of users, most of them from US.
In a first time judge rejected the IRS filing because the huge audience and its potential impact, but the US agency filed a new motion earlier November and judged decided that Coinbase would have to hand over the personal details of all US Coinbase users that have at least one account used in Bitcoin transactions greater than $20,000 worth of Bitcoin between January 1, 2013, and December 31, 2015.
According to Coinbase, it was now forced to hand over data belonging to 14,355 users, a small fraction of the nearly 500,000 users covered by the first motion.
“The government initially sought private financial records of approximately 500,000 account holders. In response to Coinbase’s continuing fight, the IRS significantly reduced the scope of the summons to approximately 14,000 customers. Although this 97% reduction in impacted customers is a big win for our customers, the IRS still took Coinbase to court to obtain a sweeping set of customer records. Today we argued, even as narrowed, the summons is still unjustified and invasive to our customers.” reads a blog post published by the company.
The list of 14,355 US users will not include citizens for which Coinbase filed 1099-K tax forms and users who only bought Bitcoin storing it in their accounts and never used it.
The message is clear, US authorities will try to persecute any tax-evasion activities that leverage crypto currencies to avoid controls.