Google byl špehováním ze strany NSA šokován, stěhuje se pryč z Ruska

16.12.2014 Incidenty
Google podle Erica Schmidta od té doby, co se na internetu objevily informace o špehování firem ze strany NSA, tvrdě pracuje na ochraně dat svých uživatelů. Zároveň přesouvá inženýry z Ruska pryč.

Ředitel společnosti Googlu Eric Schmidt tvrdí, že špehování NSA a dalších vládních agentur poškodilo pověst amerických technologických firem „na několika úrovních“ - například Evropané v současné době nevěří tomu, že americké technologické společnosti jsou schopné uchránit jejich soukromá data. Schmidt to uvedl při svém pátečním projevu v libertariánském think tanku Cato Institute.

Schmidt uvedl, že zjištění, podle kterého britská špionážní služba měla napíchnuta přímo datová centra Googlu, pro něj bylo naprosto šokující. I když si totiž inženýři Googlu dokázali představit, že trafik lze odposlouchávat pomocí poměrně složitých metod, „fakt, že to dělali takto napřímo...byl pro nás opravdu šokující,“ uvedl Schmidt.

Google se proto rozhodl investovat spoustu peněz do ochrany svých systémů a mimo jiné začalal používat 2048bitové šifrování svého trafiku. „Interní systémy jsme poměrně masivním způsobem zašifrovali,“ řekl Schmidt. „Podle názorů expertů nelze toto šifrování prolomit během jednoho lidského života jakýmkoli způsobem. Uvidíme, zda je to opravdu pravda.“

Schmidt publiku řekl, že nejbezpečnějším místem pro ukládání důležitých dat jsou samozřejmě služby Googlu.

„Nikde jinde to tak bezpečné není,“ řekl Schmidt a upozornil na funkci v prohlížeči Chrome, která umožňuje uživatelům pohybovat se volně na internetu bez nutnosti bát se o jejich soukromí. Chris Soghoian z Amerického sdružení pro občanská práva však poukázal na to, že inkognito režim prohlížeče Chrome uživatele před vládami různých států světa neochrání. Schmidt k tomu podotkl, Google musí data o uživatelích řadu let uchovávat ze zákona a je povinen je vydávat na soudní příkaz.

Současným předseda správní rady Googlu dále uvedl, že jak Google, tak Apple, pracují „velmi, velmi tvrdě“ na zabezpečení svých mobilních operačních systémů.

Někteří analytici následně poukázali na to, že samotný Google o svých uživatelích shromažďuje velké množství dat. Jak však uvedl Schmidt, tato data jsou nezbytná ke zlepšení služeb Googlu a jeho společnost v minulosti již několikrát „odpískala“ nové služby kvůli obavám z ochrany soukromí uživatelů.

Nezávisle na pátečních vyjádřeních Schmidta Google dnes uvedl v tiskovém prohlášení, že přesouvá své inženýry z Ruska. Není zatím jasné, kolika lidí se tento krok dotkne. Podle expertů je důvodem schválení zákona v červenci tohoto roku, který nařizuje internetovým společnostem ukládat osobní data o ruských občanech přímo v této zemi.


Praktické rady z oblasti bezpečnosti: Audit firemních firewallů

15.12.2014 Bezpečnot
Síťový tým narazil na důkaz o útoku DDoS. Akční plán: Najít zdroj problému v síti a potom zkontrolovat všechny firemní firewally, aby už k žádným podobným incidentům nedocházelo.

Komplexní audit našich firewallů se v mém seznamu priorit přesunul na přední místo. Tato naléhavost vyplývá z nedávného incidentu, který naštěstí nebyl tak zlý, jak by ve skutečnosti mohl být.

Po celém světě provozujeme více než 60 firewallů. Používáme centralizovanou platformu pro správu pravidel a výchozí konfiguraci, ale stále je nutné tato zařízení kontrolovat, aby se zjistily případné nesrovnalosti. Měli jsme audit naplánovaný na konec letošního roku, ale nyní to měníme na mnohem dřívější termín.

Minulý týden se náš tým při odstraňování problémů s výkonem sítě na naší jedné velké pobočce rozhodl, že bude monitorovat přenosy, které z ní odcházejí. Špatnou zprávou bylo, že protokoly firewallu a směrovače ukázaly obrovské množství transportu dat určených pro jednoho hostitele ve Vietnamu.

Přenosy pocházely ze stovek externě adresovatelných IP adres v naší interní síti. To bylo velmi podezřelé, protože pro chráněnou síť používáme pouze interní privátní IP adresy.

Hledání zdroje

Svolal jsem náš krizový akční tým, protože to vypadalo jako distribuovaný útok odepření služby (DDoS – Distributed Denial of Service). Samozřejmě že jsme ihned upravili pravidla firewallů, abychom zablokovali přístup k cílové IP adrese.

Dále jsme zapnuli pravidla antispoofingu pro rozhraní dotčeného firewallu, aby se zablokovaly přenosy pocházející z veřejných IP adres v naší interní síti. Následně jsme spustili anti-DDoS profily, které nám umožňují řídit „datovou záplavu“ a nastavit maximální počet současných relací. Poslední dvě jmenované konfigurace mimochodem už měly být zapnuté, ale o tom později.

Vypátrali jsme postižené zařízení prostřednictvím zjištění portu přepínače, ke kterému bylo připojené. Ukázalo se, že jde o server podnikové třídy, který měl inženýr z oddělení výzkumu a vývoje připojený k ethernetovému portu na svém stole, což je zcela nepřípustné.
Zaujal vás tento článek? Přehled nejzajímavějších zpráv získáte odebíráním našeho newsletteru »

Na tento server jsme následně použili přístup správce kvůli instalaci forenzního vyšetřovacího nástroje EnCase. To, co jsme našli, bylo v souladu s chováním malwaru, který předtím navazoval spojení k serveru ve Vietnamu z více falešných IP adres.

Vypnuli jsme tedy malwarovou službu a nechtěné přenosy ustaly. Po tomto úkonu jsme zahájili důkladné forenzní zkoumání – odposlechem síťových přenosů pocházejících z infikovaného serveru jsme zjistili, že k žádnému úniku dat ani k neoprávněnému přístupu naštěstí nedošlo. Takové kompromitace jsem se skutečně bál.

Kontrolou celopodnikového inventáře jsme odhalili stejný malware i na některých dalších strojích a našli jsme ho dokonce i v našem ústředí. Naštěstí nebyl žádný z nich kompromitován tak zásadně jako onen první server.

Prevence budoucích incidentů

Škodám se tedy podařilo předejít a já jsem si vytvořil nový seznam úkolů. Zaprvé je zcela zřejmé, že musíme zkontrolovat naše firewally, abychom ověřili, zda je základní konfigurace jako například antispoofing či anti-DDoS funkční.

Chci se však také podívat na to, proč nás nástroj SIEM nevaroval, že server komunikuje se známým malwarovým hostitelem. Z incidentu rovněž jasně plyne, že musíme řešit i některé nesrovnalosti v oblasti dodržování pravidel ochrany koncových bodů, protože infikované servery neobsahovaly nejnovější signatury.

A konečně jsme v poslední době také zprovoznili některé pokročilé funkce detekce malwaru, které mají kontrolovat všechny stažené spustitelné soubory a spustit je v izolovaném prostředí kvůli zjištění, zda jsou ve své podstatě škodlivé. Rád bych stanovil, proč právě tato technologie v našem případě selhala.

Mojí nejvyšší prioritou však je audit firewallů. Jsem si jistý, že kromě několika základních konfigurací rozhraní existují v základně pravidel firewallů také mezery.

Tento příspěvek do Zápisníku manažera pro bezpečnost napsal skutečný manažer bezpečnosti, který zde vystupuje jako Mathias Thurman. Jeho pravé jméno ani jméno zaměstnavatele z pochopitelných důvodů neuvádíme.


Jak budou vypadat sofistikované kyberútoky budoucnosti?

15.12.2014 Hrozby
Seznam hlavní metod, které využívají tzv. APT ataky (Advanced Persistant Threat, pokročilé setrvávající hrozby), uveřejnil Kaspersky Lab.

Analýza vychází z podrobného rozboru více než 60 hrozeb po celém světě jako třeba RedOctober, Flame, NetTraveler, Miniduke, Epic Turla či Maska (Careto).

Nastupující hrozby z oblasti APT podle analytiků firmy Kaspersky :

Štěpení větších APT skupin – Rostoucí počet menších skupin povede k většímu množství napadených společností. Větší organizace budou čelit vyššímu počtu útoků od řady útočníků.

Útoky ve stylu APT v kybernetickém kriminálním světě – Dny, kdy se kyberkriminální gangy soustředily jen na krádež peněz od koncových uživatelů, jsou pryč. Zločinci nyní útočí přímo na banky. A k těmto komplexním útokům využívají techniky APT.

Cílení na top manažery v hotelových sítích – Hotely jsou ideálním místem k napadení vysoce postavených jednotlivců po celém světě. Jedním z nedávných příkladů podobného útoku byl Darkhotel.

Vyspělé techniky utajení – APT skupiny se budou stále více snažit zakrýt svou činnost a využijí daleko sofistikovanější metody k tomu, aby je nikdo neobjevil.

Nové metody sbírání dat – Útočníci budou v roce 2015 pravděpodobně využívat ve větší míře cloudové služby k neautorizovanému odebírání dat z počítačů, s cílem svou činnost utajit a ztížit odhalení.

Využití falešných stop – Skupiny APT dle předpovědí nastraží falešné stopy, které budou poukazovat při případném odhalení na jiné autory a skupiny.


GMail vtípek používá rozvrátit webové stránky sledování spam
12.12.2014 Incidenty
Včera, když si naše logy tady na SANS Internet Storm Center jsem narazil na tyto:

Přihlášení se nezdařilo pro s.ervic.d.157.6@gmail.com
Přihlášení se nezdařilo pro se.rv.icd.15.76@gmail.com
Přihlášení se nezdařilo pro ramo.s.odalys.33.3@gmail.com
Přihlášení se nezdařilo pro sho.ppin.g48service @ gmail.com

Důvod, proč to zachytil můj pohled je, že Vzpomínám si četl, že GMail ignoruje období v e-mailových adres. Například, když jsem zaregistrovat alexs12345@gmail.com, ale pak začne odesílání e-mailu na alexs1.2.3.4.5@gmail.com, že dorazí ve svém novém e-mailové schránky přes další funkční období.

Mnoho blog a fórum platformy mají funkce pro zákaz od e-mailovou adresu. Spammeři mohou využít období v Gmailu adresách rozvrátit tyto zakazovat kontroly po registraci znovu, aniž by museli vyrobit skutečně novou e-mailovou adresu. Do své systémy a / nebo internetové stránky umožňují registraci více účtů tímto způsobem?

Tam, kde to bude ještě zajímavější je, že tyto protokoly ukazují návštěvníků, kteří se snažili přihlásit pomocí těchto e-mailových adres, aniž by dokonce pokoušel se nejprve zaregistrovat. Žádný z výše uvedených protokolů pocházejí z jedné IP adresy, když první dva se pocházejí z jedné řady IP. Je to kvůli špatně naprogramované bot, nebo je to svědčí o něčem jiném?

Dejte nám vědět, co si myslíte, že v komentářích!


Odd nový ssh skenování, případně pro D-Link zařízení
12.12.2014 POčítačový útok
Všiml jsem si to ve svých vlastních logů přes noc, a také měl několik čtenářů (oba s názvem Peter) Zpráva z nějakého zvláštního nové ssh skenování přes noc. Skenování zahrnuje mnoho míst, které by mohly botnet, pokoušet se ssh se jako 3 uživatelů, D-Link, admin a ftpuser. Vzhledem k první z těchto uživatelských jmen, mám podezření, že jsou cílení nesprávně nakonfigurovány D-Link routery nebo jiné zařízení, které mají nějaký výchozí heslo. Systém, který mám doma nebyla spuštěna Kippo, takže jsem se nedostal hesla, které byly hádat, a nebyl schopen vidět, co by mohli dělat, pokud se jim podaří ssh-ing. Pokud někdo tam má víc informace o tom, co přesně se cílení, dejte nám prosím vědět e-mailem, přes kontaktní stránku nebo komentovat tento příspěvek. Pokusím se překonfigurovat pár Kippo honeypots aby zjistil, jestli můžu zachytit padouchy tam a tento post později může aktualizovat.


Dva VMWare aktualizace zabezpečení vCloud Automation Center a AirWatch
12.12.2014 Zranitelnosti
Máme dvě bezpečnostní aktualizace od společnosti VMware tento týden:

VMWare ID CVE Produkt Podrobnosti
VMSA-2014-0013 CVE-2014-8373 VMware vCloud Automation Center Remote privilegium eskalace zranitelnost. Ověření vzdálení uživatelé mohou získat oprávnění správce. Zmírněno vypnutím "Connect (by) pomocí VMRC"
VMSA-2014-0014 CVE-2014-8372 AirWatch Přímý předmět reference zranitelnost umožňuje uživatelům vidět navzájem informace.

VMSA-2014-0013 (CVE: http://www.vmware.com/security/advisories/VMSA-2014-0013.html


Malware podepsal s Platí SONY certifikátu (Update: To byl vtip!)
12.12.2014 Viry
Aktualizace: Ukázalo se, že malware vzorek, který Kaspersky hlásil na to není aktuální malware od skutečného incidentu. Ale příběh není úplně "neškodný" a certifikátu by měly i nadále považovat za ohrožena. Výzkumník našel certifikát jako součást dat SONY, která byla široce distribuuje útočníky. Název souboru pro certifikát byl také heslo pro soukromý klíč. Výzkumník pak vytvořil podepsanou kopii existujícího vzorku malware stáhne z Malwr, a nahrál jej VirusTotal upozornit bezpečnostních agentur. Kaspersky analyzovat vzorek, a publikoval výsledky, aniž by si uvědomil, že to není "v divočině" vzorku. [1] certifikát byl přidán do příslušné seznamy CRL.

--- Originální příběh ---

My jsme opravdu tady zmínil probíhající SONY kompromis. V části, protože tam je velmi málo solidní informace veřejnosti (a nechceme jen spekulovat), a také, aniž by dobrou představu o tom, co se stalo, to je těžké mluvit o poučení.

Nicméně, jeden aspekt he útoku může mít širší důsledky. Securelist hlásí, že spatřili malware, který je podepsán platným certifikátem SONY. Je velmi pravděpodobné, že tajný klíč k vytvoření podpisu byla část kořisti z nedávné kompromisu. S malware, který je podepsaný velké korporace bude dělat to mnohem pravděpodobnější, že uživatelé k instalaci škodlivého softwaru. To také znovu zdůrazňuje hloubku, ve které SONY bylo (nebo je) ohrožena. [2]

Snahou je v plném proudu o odnětí osvědčení. Ale seznamy odvolaných certifikátů jsou notoricky nespolehlivé a pomalé aktualizovat tak to může chvíli trvat, než odvolání množit.

Ukradené certifikát sériové číslo: 01 e2 b4 f7 59 81 64 37 1c 9f ca 0b e7 6D 2d ce
Miniatura: 8d F4 6b 5F da c2 eb 3b 47 57 98 66 f9 c1 99 ff 2b 13 42 7a

[2] https://twitter.com/afreak/status/542539515500298240
[1] http://securelist.com/blog/security-policies/68073/destover-malware-now-digitally-signed-by-sony-certificates/


Malware spálené s platnou SONY certifikátem
10.12.2014 Viry
My jsme opravdu tady zmínil probíhající SONY kompromis. V části, protože tam je velmi málo solidní informace veřejnosti (a nechceme jen spekulovat), a také, aniž by dobrou představu o tom, co se stalo, to je těžké mluvit o poučení.

Nicméně, jeden aspekt he útoku může mít širší důsledky. Securelist hlásí, že spatřili malware, který je podepsán platným certifikátem SONY. Je velmi pravděpodobné, že tajný klíč k vytvoření podpisu byla část kořisti z nedávné kompromisu. S malware, který je podepsaný velké korporace bude dělat to mnohem pravděpodobnější, že uživatelé k instalaci škodlivého softwaru. To také znovu zdůrazňuje hloubku, ve které SONY bylo (nebo je) ohrožena.

Snahou je v plném proudu o odnětí osvědčení. Ale seznamy odvolaných certifikátů jsou notoricky nespolehlivé a pomalé aktualizovat tak to může chvíli trvat, než odvolání množit.

Ukradené certifikát sériové číslo: 01 e2 b4 f7 59 81 64 37 1c 9f ca 0b e7 6D 2d ce
Miniatura: 8d F4 6b 5F da c2 eb 3b 47 57 98 66 f9 c1 99 ff 2b 13 42 7a

[1] http://securelist.com/blog/security-policies/68073/destover-malware-now-digitally-signed-by-sony-certificates/


POODLE útok teď cílení TLS
9.12.2014 POčítačový útok
Je tu nový SSL / TLS problém se dnes oznámila, a je pravděpodobné, že vliv na některé z nejpopulárnějších internetových stránek na světě, která vlastní velké části k popularitě F5 rozložení zátěže a ke skutečnosti, že tato zařízení mají vliv. Existují i další známá zařízení mohla být ovlivněna, a je možné, že stejný chyba je přítomen v některých SSL / TLS komíny. Dozvíme se více v následujících dnech. Chcete-li přestat číst tady, tyto kroky: 1.. Zkontrolujte, zda vaše webové stránky pomocí testu SSL Labs . 2. Pokud je zranitelný, použijte opravu poskytované vaším dodavatelem. Jako problém jít, tohle by mělo být snadné opravit. Dnešní oznámení je vlastně o pudla útoku ( zveřejněné před dvěma měsíci , v říjnu), repurposed k útoku TLS. Pokud si vzpomínáte, SSL 3 nevyžaduje její padding být v konkrétní podobě (s výjimkou posledního byte, délka), otevírá se k útokům ze strany aktivních síťových útočníků. Nicméně, i když TLS je velmi přísný o tom, jak je jeho čalounění formátován, se ukazuje, že některé implementace TLS zapomenout zkontrolovat strukturu odsazení po dešifrování. Tyto implementace jsou citlivé na pudla útoku dokonce s TLS. Dopad tohoto problému je podobná jako u pudla, se útok je něco snazší provést, není třeba downgrade moderní klienty až do SSL 3 první, TLS 1.2 bude dělat v pořádku. Hlavním cílem jsou prohlížeče, protože útočník vložení škodlivého JavaScript zahájit útok. Úspěšný útok bude používat asi 256 žádostí o odhalit jeden cookie znak, nebo pouze 4096 žádostí o 16 znaků cookie. To je útok velmi praktické. Podle našich nejnovějších SSL Pulse skenování (které nebylo dosud nezveřejněné), asi 10% serverů jsou citlivé na pudla útoku proti TLS. Autor: Ivan Ristić, ředitel inženýrství na Qualys


The "Penquin" Turla
Turla / Snake / Uroburos Malware pro Linux

9.12.2014 Viry
V poslední době, zajímavý nebezpečný vzorek byl nahrán na služby multi-skeneru. To okamžitě spustí našeho zájmu, protože se zdá, že představuje dosud neznámou kus větší puzzle. Že skládačka je "Turla", jeden z nejsložitějších APTS na světě.

Psali jsme již o Turla APT s příspěvky o jejich činnosti Epic Turla a Agent.btz inspirace . Zatím každý vzorek Turla jsme se setkali byl určen pro rodiny Microsoft Windows, 32 a 64 bitové operační systémy. Nově objevený Vzorek Turla je neobvyklý v tom, že je to první Turla vzorek zaměřená na operační systém Linux , které jsme objevili.

Penquin_1

Tato nově objevená součást Turla podporuje Linux pro širší systémové podpory na oběti místech. Útok nástroj nás zavede dále do souboru vedle rootkit Snake a součástí první spojené s tímto hercem před pár lety. Domníváme se, že tato složka se ucházel o let na místě oběti, ale nemají konkrétní údaje na podporu tohoto tvrzení ještě ne.

Modul Linux Turla je C / C ++ spustitelný staticky propojeny proti více knihoven, což výrazně zvyšuje velikost souboru. To byl zbaven informací symbol, s větší pravděpodobností určena ke zvýšení analýzy úsilí, než snížit velikost souboru. Jeho funkce zahrnují skryté síťové komunikace, vzdálené spuštění libovolného příkazu a vzdálenou správu. Hodně z jeho kódu je založen na veřejných zdrojů.

Md5 Velikost Verdikt Name
0994d9deb50352e76b0322f48ee576c6 627,2kilobajt N / A (poškozený soubor)
14ecd5e6fc8e501037b54ca263896a11 637,6kilobajt HEUR: Backdoor.Linux.Turla.gen
Obecná spustitelné vlastnosti:

ELF 32-bit LSB spustitelný, Intel 80386, verze 1 (SYSV), staticky propojeny, pro GNU / Linux 2.2.5, svlékl

Staticky spojené knihovny:

glibc2.3.2 - knihovna GNU C
openssl v0.9.6 - starší knihovna OpenSSL
Síť capture knihovna tcpdump je - Libpcap
Napevno C & C, známý Turla aktivita: [.] news-bbc.podzone org
doména má následující PDNS IP: 80.248.65.183

80.248.65.183
aut-num: AS30982
announcement: 80.248.65.0/24
as-name: CAFENET
descr: CAFE Informatique et telecommunications
admin-c: YN2-AFRINIC
tech-c: AN39-AFRINIC
org: ORG-CIet1-AFRINIC
mnt-by: AFRINIC-HM-MNT
mnt-lower: CAFENET-NOC
source: AFRINIC # Filtered

Poznámka: C & C domény je v současné době sinkholed společností Kaspersky Lab.

Popis funkce

Vzorek je stealth zadní vrátka na základě zdrojů cd00r .

Tento Turla cd00r bázi malware udržuje stealth bez nutnosti zvýšených oprávnění při spuštění libovolné dálkové příkazy. To nemůže být objeven pomocí netstat, běžně používaný nástroj pro správu. Používá techniky, které nevyžadují root přístup, který umožňuje, aby to bylo více volně pohybovat na více obětí hostitelů. I když běžný uživatel s omezenými právy to spustí, může pokračovat zachytit příchozích paketů a spustit příchozí příkazy v systému.

Uvedení do provozu a spuštění

Chcete-li zahájit plnění, proces vyžaduje dva parametry: ID (číselnou hodnotu použít jako součást "magického paketu pro ověřování") a existující název síťového rozhraní. Parametry lze zadat dvěma způsoby: ze standardního vstupu, nebo z kapátko spuštění vzorku. To není parametr příkazového řádku, je to skutečný výzvu, aby uživatel útočníka poskytnout vstupní parametry. Poté, co ID a název rozhraní jsou zadány a proces zahájen proces Backdoor v PID je vrácena. Zde je screenshot z tohoto jednoduchého rozhraní:

Penquin_2

I když neexistuje žádný počáteční síť callback, část kódu udržuje hardcoded c2 řetězec "news-bbc.podzone [.] Org". Tento plně kvalifikovaný název domény byl poprvé zřízen v roce 2010, což naznačuje, že tato binární je poměrně nedávnou v řetězci Turla kampaní. Také, když jsme se viděli další soubor ke stažení aktivitu z tohoto serveru pomocí tohoto nástroje, je pravděpodobné, že se účastnila jako souborový server svého druhu.

Magické balíčky pro vzdálené spuštění příkazového

Modul staticky spojuje pcap knihovny, a používá tento kód, aby si raw socket, aplikuje filtr na něj, a zachycuje pakety, kontrola pro specifické podmínky (* původní cd00r poprvé použil tuto metodu na základě portů a SYN paketů) , Tato podmínka je zde vyjádřena (je založena na hodnotu ID vstupu při spuštění útočníkem):

ID = 123 = filtru (tcp [8: 4] a 0xe007ffff = 0xe003bebe) nebo (udp [12: 4] a 0xe007ffff = 0xe003bebe) ID = 321 = filtru (tcp [8: 4] a 0xe007ffff = 0x1bebe) nebo (udp [12: 4] a 0xe007ffff = 0x1bebe)
Jednoduše řečeno, zkontroluje číslem ACK v záhlaví TCP, nebo druhého bytu z paketu těla UDP.

Je-li takový paket a kontrola podmínkou je úspěšné, provedení skočí do paketu obsahu užitečného zatížení, a to vytváří běžné zásuvky. Backdoor zpracovává tento socket jako soubor s operací čtení / zápis. Není to typický recv / send použité v tomto kódu. Používá tuto novou zdířka pro připojení na zdrojovou adresu z "magických pakety". Pak se hlásí jeho vlastní PID a IP na vzdálenou adresu, a spustí smyčka pro příjem vzdálených příkazů. Pokud příkaz přijde, je proveden pomocí "/ bin / sh -c" scénář.

Další analýza funkčnosti vzorku bude zde aktualizovány.

Závěry

Přestože Linux variant od rámec Turla bylo známo, že existuje, jsme neviděli žádné v přírodě dosud.

Zdá se, že bylo dát dohromady z veřejných zdrojů s nějakou přidanou funkcí z útočníků Tento specifický modul. Některé z škodlivého kódu se zdá být neaktivní, snad zbytky ze starších verzí implantátu. Asi nejzajímavější částí je zde neobvyklé velení a řízení mechanismus založený na TCP / UDP pakety, stejně jako C & C hostname, která se vejde dříve známý Turla aktivitu.

Objev tohoto modulu Turla se zvýší o jednu velkou otázku: jak existuje mnoho dalších neznámých Turla varianty?

Aktualizace: Vzhledem k tomu, vydání tohoto BLOGPOST, jsme objevili další Linux Turla modul, který zřejmě představuje jiný malware generaci než dosud známých vzorků:

turla_linux_2

Nový vzorek byl zjištěné heuristickou analýzou naším výrobkem kvůli podobnosti s již dříve objevených vzorků.

Md5 Velikost Verdikt Name
19fbd8cbfb12482e8020a887d6427315 801561 bajtů HEUR: Backdoor.Linux.Turla.gen


Bulletin zabezpečení společnosti Kaspersky 2014. Celkové statistiky pro rok 2014
9.12.2014 Zdroj Kaspersky Analýza

Stáhnout PDF

Všechny statistiky použité v této zprávě byly získány pomocí Kaspersky Security Network (KSN) distribuované antivirový sítě založené na práci různých složek společnosti Kaspersky Lab ochranu proti malwaru. Data byla sbírána od KSN uživatelů, kteří souhlasili se přenést. Miliony Společnost Kaspersky Lab výrobky uživatelů ze 213 zemí a oblastí po celém světě podílet se na globální výměny informací o nebezpečné činnosti.

Údaje uvedené se vztahuje na období od listopadu 2013 do října 2014.

Rok v číslech

Podle údajů KSN, produkty Kaspersky Lab zjištěn a neutralizuje celkem 6167233068 hrozeb v průběhu sledovaného období.
Celkem 3.693.936 pokusů infikovat počítače založené na systému Mac OS X- byly blokovány produkty společnosti Kaspersky Lab.
Lab řešení Kaspersky zablokovány 1363549 útoky na zařízení se systémem Android.
Lab řešení Kaspersky odrazil 1432660467 útoky odpálené z on-line zdrojů umístěných po celém světě.
Chcete-li provádět své útoky, zločinci používají 9.766.119 unikátních hostitelů.
44% webových útoků neutralizována produkty společnosti Kaspersky Lab byly provedeny pomocí škodlivého webové zdroje se nacházejí v USA a Německu.
38% uživatelů počítačů se podrobí alespoň jedné webové útoku během roku.
Celkem 1.910.520 pokusů k jeho zahájení bankovní malware na uživatelských počítačích byly neutralizovány v roce 2014.
Kaspersky Lab web antivirus zjištěn 123054503 jedinečné škodlivé objekty: skripty, exploity, spustitelné soubory, atd
Antivirová řešení společnosti Kaspersky Lab zjištěn celkem 1.849.949 unikátních škodlivých a potenciálně nežádoucích objektů.
Mobilní hrozby

V průběhu účetního období zjištěna Kaspersky Lab následující:

4643582 škodlivé instalační balíčky
295.539 nových škodlivých mobilních programy
12100 Mobilní bankovnictví trojské koně
Celkově od začátku listopadu 2013 do konce října 2014 Kaspersky Lab zažehnána 1.363.549 unikátních útoky. Za stejné období v letech 2012-2013 to bylo 335.000 unikátních útoky. Tam bylo čtyřikrát více útoků na zařízení se systémem Android v porovnání s předchozími 12 měsíců.

19% uživatelů Android narazila na mobilní hrozbu alespoň jednou v průběhu roku - téměř jeden z pěti uživatelů.

53% Android útoků použitých mobilních trojské koně, jejichž cílem je ukrást peníze uživatele (SMS trojské koně a bankovní trojské koně).

Geografie mobilních hrozeb

Útoky od škodlivého mobilního softwaru bylo zaznamenáno ve více než 200 zemích světa.

Procentní podíl z celkového počtu napadených uživatelů

Procentní podíl z celkového počtu napadených uživatelů

TOP 10 zemí podle počtu napadených uživatelů

Země % Z napadených uživatelů *
1 Rusko 45.7%
2 Indie 6,8%
3 Kazachstán 4,1%
4 Německo 4.0%
5 Ukrajina 3.0%
6 Vietnam 2,7%
7 Írán 2.3%
8 Spojené království 2.2%
9 Malajsie 1,8%
10 Brazílie 1,6%
* Procento napadených uživatelů v zemi z celkového počtu napadených uživatelů

Rusko udržuje své vedoucí postavení, pokud jde o počet uživatelů napadených.

Počet zaznamenaných útoků značně závisí na počtu uživatelů v zemi. K vyhodnocení nebezpečí infekce prostřednictvím mobilního malwaru v různých zemích, jsme napočítali procento škodlivých aplikací, z celkového počtu aplikací, které uživatelé se pokusil nainstalovat. Tato metoda produkoval velmi odlišné výsledky, než ty, které je uvedeno výše.

TOP 10 zemí podle rizika infekce

Země * % Škodlivých aplikací
1 Vietnam 2.34%
2 Polsko 1.88%
3 Řecko 1.70%
4 Kazachstán 1,62%
5 Uzbekistán 1.29%
6 Srbsko 1.23%
7 Arménie 1,21%
8 Česká republika 1,02%
9 Maroko 0.97%
10 Malajsie 0.93%
* Země, kde je počet stažených aplikací bylo méně než 100.000 byly z těchto výsledků vyloučeny

Vietnam vede toto hodnocení: 2.34% ze všech aplikací, které uživatelé se snažil stahovat byly škodlivé.

Rusko, které utrpěl zdaleka nejvíce útoků, bylo jen 22. z hlediska rizika infekce 0,69%.

Ve Španělsku je riziko infekce 0,54%, 0,18% v Německu a ve Velké Británii 0,16%, 0,09% v Itálii a v USA 0,07%. Situace je nejlepší ze všech v Japonsku, kde se pouze 0,01% ze všech aplikací, které uživatelé se pokusil nainstalovat dokázal být nebezpečný.

TOP 20 mobilních hrozby roku 2014

Název % Útoků
1 Trojan-SMS.AndroidOS.Stealer.a 18.0%
2 RiskTool.AndroidOS.MimobSMS.a 7,1%
3 DangerousObject.Multi.Generic 6,9%
4 RiskTool.AndroidOS.SMSreg.gc 6,7%
5 Trojan-SMS.AndroidOS.OpFake.bo 6,4%
6 AdWare.AndroidOS.Viser.a 5,9%
7 Trojan-SMS.AndroidOS.FakeInst.a 5,4%
8 Trojan-SMS.AndroidOS.OpFake.a 5,1%
9 Trojan-SMS.AndroidOS.FakeInst.fb 4.6%
10 Trojan-SMS.AndroidOS.Erop.a 4.0%
11 AdWare.AndroidOS.Ganlet.a 3,8%
12 Trojan-SMS.AndroidOS.Agent.u 3.4%
13 Trojan-SMS.AndroidOS.FakeInst.ff 3.0%
14 RiskTool.AndroidOS.Mobogen.a 3.0%
15 RiskTool.AndroidOS.CallPay.a 2,9%
16 Trojan-SMS.AndroidOS.Agent.ao 2.5%
17 Exploit.AndroidOS.Lotoor.be 2.5%
18 Trojan-SMS.AndroidOS.FakeInst.ei 2.4%
19 Backdoor.AndroidOS.Fobus.a 1,9%
20 Trojan-Banker.AndroidOS.Faketoken.a 1,7%
10 z 20 programů v tomto hodnocení jsou SMS trojské koně z těchto čeledí: zloděj, OpFake, FakeInst, zmocněnec a Erop.

Trojan-SMS.AndroidOS.Stealer.a patřily mezi nejrozšířenější rodiny po celý rok, a skončil na horní části ročního žebříčku se značným náskokem.

Tato SMS Trojan šíří velmi aktivně. Po květnu 2014 počet zloděj útoků odpovídal celkový počet útoků zahrnujících všechny ostatní SMS trojské koně.

Počet uživatelů napadených s Trojan-SMS.AndroidOS.Stealer.a a všechny ostatní SMS trojské koně (listopad 2013 - říjen 2014)

Počet uživatelů napadených s Trojan-SMS.AndroidOS.Stealer.a a všechny ostatní SMS trojské koně (listopad 2013 - říjen 2014)

Snížení útoků SMS trojské koně

Stejně jako dříve, SMS Trojané jsou největším složka v toku mobilní malware; v našich číslech mají 23,9% z celkového počtu.

Distribuce mobilních hrozeb podle typu (Kaspersky Lab kolekce)

Distribuce mobilních hrozeb podle typu (Kaspersky Lab kolekce)

Nicméně, jak výše uvedeném grafu ukazuje, v druhé polovině roku 2014 bylo méně útoky SMS trojské koně. V důsledku toho za rok jejich hodnota snížena o 12,3%.

Pojďme se podívat na trochu podrobněji na změnu rozdělení SMS trojské koně, které jsou nejvíce oblíbený u zločinci (jiné než Stealer.a).

Počet uživatelů napadených populárních SMS trojské koně (listopad 2013 - říjen 2014)

Počet uživatelů napadených populárních SMS trojské koně (listopad 2013 - říjen 2014)

May viděl prudký pokles počtu SMS trojské koně zjištěny v Rusku, kde jsou rozšířená zejména útoky s využitím SMS trojské koně. Pokles byl způsoben změnou způsobu placené zprávy pracují v Rusku. V květnu 2014 mobilní operátoři v Rusku byli nuceni použít Advice of Charge (AOC) mechanismu. Teď, když mobilní zařízení odešle zprávu na placené číslo musí provozovatel informovat vlastníka zařízení nákladů na služby a získat potvrzení o platbě.

V důsledku toho, SMS trojské koně jsou méně ziskové a jejich trestní povahy je jasně vystavena. Nyní jediný způsob, jak dosáhnout zisku, je použít trojské koně, které lze odeslat SMS na číslo pojistné sazby a pak zachytit žádost provozovatele a vrátí potvrzení jménem uživatele.

Jako výsledek partnery z různých semi-právní programů, které dříve distribuované aplikace s funkčností SMS Trojan, opustil obchod. Jejich provozní model byl založen na špatně vysvětlil podmínky pro poskytování placených služeb, nebo předplatné a poplatků za služby, které byly prostě není uveden.

Můžeme předpokládat, že ruští tvůrci SMS trojské koně, kteří se ocitli bez práce bude muset hledat nové projekty. Někteří z nich by mohl přejít do útoku uživatelů v jiných zemích, a někteří pracovat na vážnější malware, jako je bankovnictví programy. Doufejme, že se alespoň někteří z nich obrátí zády na podsvětí a dát své schopnosti zákonné použití.

Změny v distribučních modelů jsou jasně viditelné s jednou populárních SMS trojské koně, jako je OpFake.bo, FakeInst.a a OpFake.a. Oni používali k vidění v 10-20,000 útocích měsíc; Nyní jsou čísla 1-2,000.

Mobilní bankovnictví trojské koně

Během dotčeného období jsme zjištěn 12.100 mobilní bankovnictví trojské koně - devětkrát tolik, jak, než v roce 2013.

Počet mobilních bankovních trojských koní ve sbírce Kaspersky Lab (listopad 2013 - říjen 2014)

Počet mobilních bankovních trojských koní ve sbírce Kaspersky Lab (listopad 2013 - říjen 2014)

45032 Uživatelé byli napadeni s mobilním bankovnictví trojské koně alespoň jednou v průběhu roku.

A počet zemí v rámci útoku roste: Nejméně jeden útok za použití mobilního bankovnictví Trojan byl zaznamenán v 90 různých zemích po celém světě.

Geografie mobilního bankovnictví hrozeb (počet napadených uživatelů v období listopad 2013 - říjen 2014)

Geografie mobilního bankovnictví hrozeb (počet napadených uživatelů v období listopad 2013 - říjen 2014)

TOP 10 zemí pro bankovnictví Trojan útoky

Země Počet napadených uživatelů % Ze všech útoků *
1 Rusko 39561 87,85%
2 Kazachstán 1195 2,65%
3 Ukrajina 902 2,00%
4 Spojené státy americké 831 1,85%
5 Bělorus 567 1,26%
6 Německo 203 0,45%
7 Litva 201 0,45%
8 Azeraijan 194 0,43%
9 Bulharsko 178 0,40%
10 Uzbekistán 125 0,28%
* Perentage napadených uživatelů v jednotlivých zemích z celkového počtu všech napadených uživatelů

Rusko udržel své místo jako vůdce v tomto hodnocení.

Hrozby určené pro Mac OS X

V roce 2014 bezpečnostních produktů společnosti Kaspersky Lab, které mají chránit počítače Mac OS X na bázi zablokoval 3693936 pokusů infekce.

Odborníci společnosti Kaspersky Lab zjištěn 1499 nových škodlivých programů pro Mac OS X, 200 vzorků více než v předchozím roce.

Každý druhý uživatel produktů společnosti Kaspersky Lab byl vystaven nebezpečného útoku.

V průběhu roku průměrný uživatel Mac setkal 9 hrozby.

TOP 20 hrozby určené pro Mac OS X

Název % Útoků *
1 AdWare.OSX.Geonei.b 9,04%
2 Trojan.Script.Generic 5,85%
3 Trojan.OSX.Vsrch.a 4.42%
4 Trojan.Script.Iframer 3,77%
5 AdWare.OSX.Geonei.d 3,43%
6 DangerousObject.Multi.Generic 2,40%
7 AdWare.OSX.Vsrch.a 2.18%
8 Trojan.Win32.Generic 2,09%
9 AdWare.OSX.FkCodec.b 1,35%
10 Trojan.OSX.Yontoo.i 1.29%
11 Trojan-PSW.Win32.LdPinch.ex 0,84%
12 AdWare.Win32.Yotoon.heur 0,82%
13 Trojan.OSX.Yontoo.j 0.80%
14 Exploit.Script.Generic 0,76%
15 AdWare.OSX.Bnodlero.a 0,58%
16 AdWare.JS.Agent.an 0,57%
17 Trojan.OSX.Yontoo.h 0,52%
18 Exploit.PDF.Generic 0.51%
19 AdWare.Win32.MegaSearch.am 0,50%
20 Trojan.Win32.AutoRun.gen 0,43%
* Procento uživatelů napadeny škodlivým programem všech napadených uživatelů

Téměř polovina našich TOP 20 programů, včetně jednoho v první řadě, obsadili programy adware. Je pravidlem, že tyto škodlivé programy dorazí na počítačích uživatelů vedle legitimních programů, pokud jsou staženy ze softwarového obchodu, spíše než z oficiálních stránek developera. Tyto legitimní programy se může stát nosičem pro adware modulu: Po instalaci na počítači uživatele, může přidat reklamní odkazy na záložky v prohlížeči, změnit výchozí vyhledávač, přidejte kontextová reklama, atd

Je zajímavé, 8. místo je obsazené Trojan.Win32.Generic, která ovlivňuje operační systém Windows. Je to pravděpodobně proto, že tento konkrétní Trojan může proniknout do virtuálních strojů, které běží pod Windows.

V roce 2014 odborníci odhalily několik zajímavých škodlivých programů pro Mac OS X, které by měly být uvedeny odděleně.

Backdoor.OSX.Callme - backdoor, který poskytuje podvodník vzdálený přístup k systému a zároveň ukradne seznamy kontaktů, zdá se, že najít nové oběti. Je distribuován v těle speciálně navrženého dokumentu MS Word: při spuštění nainstaluje backdoor přes chybu v systému.
Backdoor.OSX.Laoshu - škodlivý program, který umožňuje screenshoty každou minutu. Tento backdoor je podepsán důvěryhodným certifikátem developera, který znamená, že tvůrci programu chystali umístit v AppStore.
Backdoor.OSX.Ventir - multi-modul Trojan špionážní se skrytým funkcí dálkového ovládání. Obsahuje úhozy odposlechu ovladače logkext, pro který zdrojový kód je veřejně k dispozici.
Trojan.OSX.IOSinfector - slouží k instalaci mobilní verze Trojan-Spy.IPhoneOS.Mekir (OSX / krize).
Trojan-Ransom.OSX.FileCoder - první soubor kodér pro OS X. Jedná se podmíněně funkční prototyp vyrábí autora, který z jakéhokoliv důvodu, se rozhodl opustit vývoj malwaru.
Trojan-Spy.OSX.CoinStealer - první škodlivý program navržen tak, aby krást bitcoins pro OS X. To napodobuje různé Bitcoin utilit postavené z otevřeným zdrojovým kódem, zatímco se nainstaluje škodlivý rozšíření prohlížeče a / nebo opravenou verzi Bitcoin-QT.
Trojan-Downloader.OSX.WireLurker - neobvyklý kousek malware navržen tak, aby krást data obětí. Útočí nejen počítače Mac založené, ale zařízení iOS založené připojené k nim. K dispozici je také založené na systému Windows verze tohoto škodlivého programu. Je distribuován pomocí známého čínského obchodu, který prodává aplikace pro OS X a iOS.
Geografie hrozeb

Geografie útoků na uživatele Mac OS X v roce 2014 (na základě počtu všech napadených uživatelů)

Geografie útoků na uživatele Mac OS X v roce 2014 (na základě počtu všech napadených uživatelů)

TOP 10 zemí pod útokem

Země Počet napadených uživatelů % Ze všech útoků *
1 Spojené státy americké 98077 39,14%
2 Německo 31466 12.56%
3 Japonsko 13808 5.51%
4 Spojené království 13763 5.49%
5 Rusko 12207 4,87%
6 Francie 9239 3,69%
7 Švýcarsko 6548 2.61%
8 Kanada 5841 2.33%
9 Brazílie 5558 2.22%
10 Itálie 5334 2,13%
* Procento uživatelů zaútočila na zemi

USA (39,14%), vrcholy tohoto hodnocení, snad kvůli popularitě počítačů Apple v zemi. Německo (12,56%) přišel druhý následuje Japonsko (5,51%).

Zranitelné aplikace používané podvodníky

Graf zranitelných aplikací je uvedeno níže je založen na informacích o hrdinských blokovaných našich výrobků. Tyto využije byl hackery používány v internetových útoků a při ohrožení lokálních aplikací, včetně těch, které instalovány na mobilních zařízeních.

Distribuce využije používají podvodníci, podle typu aplikace napadl, 2014

Distribuce využije používají podvodníci, podle typu aplikace napadl, 2014

V roce 2014, podvodníci nejčastěji využívány Oracle Java zranitelnost. Nicméně popularita Java zranitelností postupně snižoval v průběhu celého roku, a jeho celkový podíl na méně než polovinu loňské postava - 45% oproti 90,5% před 12 měsíci. To by mohlo být kvůli uzavření starých zranitelností a nedostatek informací o nových.

Druhé místo obsadil v kategorii Prohlížeče (42%), jejíž součástí je využije pro aplikaci Internet Explorer, Google Chrome, Mozilla Firefox, atd Podle čtvrtletních ratingů, pro většinu z 2014 to byl vedoucí kategorie, ale ne zcela předstihnout Velký počet Java využívá v pozdní 2013 a brzy 2014.

Adobe Reader využije byli na třetím místě (5%). Tyto chyby jsou využívány v drive-by útoky prostřednictvím internetu, a PDF využije součástí mnoha využívají balení.

V průběhu roku jsme viděli pokles počtu útoků využívajících využít balíčky. Tam může být několik důvodů pro to, včetně zatčení některých svých vývojářů. Navíc, mnoho využití balíčky přestali útočit počítačů chráněných produktů společnosti Kaspersky Lab (zneužít balení zkontrolujte oběti počítač a zastavit útok, pokud řešení Kaspersky Lab je nainstalován na to). Navzdory tomu, využívání zranitelností zůstává jedním z hlavních způsobů, jak dodat škodlivého softwaru v počítači uživatele.

On-line hrozeb (Web-based útoky)

Statistiky v této části byly odvozeny z webové antivirových komponent, které chrání uživatele Windows, kdy škodlivý kód se pokusí stáhnout z škodlivého / infikované webové stránky. Nebezpečné webové stránky jsou záměrně vytvořeny zločinci; infikované místa zahrnují ty, které se obsahu umístěného uživateli (jako fór), jakož i legitimní prostředky, které byly hacknutý

V roce 2014, tam bylo 1432660467 útocích vedených z on-line zdrojů #KLReport
Tweet
V roce 2014, tam bylo 1432660467 útocích vedených z on-line zdrojů umístěných po celém světě. To znamená, že produkty společnosti Kaspersky Lab chráněny uživatelům v průměru 3.925.097 krát denně v průběhu jejich internetové relace.

Hlavní metodou útok - prostřednictvím využití balení - dává útočníkům téměř zaručenou možnost infikovat uživatele počítače, pokud není chráněna bezpečnostním řešení a pokud to má instalován alespoň jeden populární a zranitelný (není aktualizován) aplikace.

On-line hrozby v bankovním sektoru

V průběhu účetního období, Lab řešení Kaspersky zablokovány 1910520 útoky pokusu o spuštění malware dokáže krást peníze z on-line bankovních účtů.

Počet počítačů napadl finanční malware, 11 2013, 10 2014

Počet počítačů napadl finanční malware, 11 2013, 10 2014

Nápadně, počet útoků významně rostl v květnu a červnu 2014. To by mohlo být být způsobeno zvýšením on-line bankovní činnosti na začátku prázdnin, jakož i hlavní sportovní události roku - World šatních 2014 v Brazílii - kde zločinci použité finanční malware krást údaje o platbách turistů.

Celkem 16.552.498 oznámení o nebezpečné činnosti programy, jejichž cílem je ukrást peníze prostřednictvím on-line přístupu k bankovním účtům byly registrovány bezpečnostní řešení společnosti Kaspersky Lab v roce 2014.

Geografie útoků

Geografie bankovních malware útoků v roce 2014

Geografie bankovních malware útoků v roce 2014

V TOP 20 zemí podle počtu napadených uživatelů:

Země Počet napadených uživatelů
1 Brazílie 299830
2 Rusko 251917
3 Německo 155773
4 Indie 98344
5 Spojené státy americké 92224
6 Itálie 88756
7 Spojené království 54618
8 Vietnam 50040
9 Rakousko 44445
10 Alžírsko 33640
V TOP 10 bankovní malware rodiny

Níže uvedená tabulka ukazuje programy nejčastěji používané v roce 2014 k útoku na uživatele online bankovnictví, na základě počtu hlášených pokusů infekce:

Název Počet napadených uživatelů
1 Trojan-Spy.Win32.Zbot 742794
2 Trojan-Banker.Win32.ChePro 192229
3 Trojan-Banker.Win32.Lohmys 121439
4 Trojan-Banker.Win32.Shiotob 95236
5 Trojan-Banker.Win32.Agent 83243
6 Trojan-Banker.AndroidOS.Faketoken 50334
7 Trojan-Banker.Win32.Banker 41665
8 Trojan-Banker.Win32.Banbra 40836
9 Trojan-Spy.Win32.SpyEyes 36065
10 Trojan-Banker.HTML.Agent 19770
Zeus (Trojan-Spy.Win32.Zbot) zůstal nejrozšířenější bankovní Trojan. To drželo svou vedoucí pozici v čtvrtletních hodnocení, takže jeho 1. místo v TOP 10 pro 2014 není překvapení. Druhý přišel Trojan-Banker.Win32.ChePro, následované Trojan-Banker.Win32.Lohmys. Obě rodiny mají stejnou funkcionalitu a šíří prostřednictvím nevyžádané pošty se téma vztahující se k on-line bankovnictví (například faktura z on-line bankovnictví). E-mail obsahuje dokument aplikace Word s přiloženém obrázku: Kliknutím na obrázek se spustí provádění škodlivého kódu.

Trojan-Banker.Win32.Shiotob byl na 4. místě. Tento škodlivý program je nejčastěji šíří prostřednictvím nevyžádané pošty a je určen ke sledování provozu s cílem zachytit údaje o platbách.

Většina z Top 10 škodlivými programy pracují vstřikováním náhodné HTML kód na webové stránky zobrazené v prohlížeči a zastavovat žádné platební údaje zadané uživatelem v původních nebo vložených webových formulářů.

I když tři čtvrtiny útoků na peníze uživatelů byly provedeny pomocí bankovního malwaru to nejsou jedinými finančními hrozby.

Distribuce útoků na uživatele peněz podle typu malware, 2014

Distribuce útoků na uživatele peněz podle typu malware, 2014

Bitcoin krádež peněženka byla druhou nejoblíbenější bankovnictví hrozbou (14%). Ještě další hrozbě na šifrovací měně Bitcoin důlní software (10%), který využívá výpočetní prostředky pro generování bitcoins.

V TOP 20 škodlivé objekty detekovány on-line

V roce 2014, Kaspersky Lab web antivirus zjištěn 123054503 jedinečné škodlivé objekty: skripty, exploity, spustitelné soubory, atd

Identifikovali jsme, že 20 škodlivých programů nejvíce aktivně zapojeni do on-line útoky zahájila proti počítačů v roce 2014. Těchto 20 představovaly 95,8% všech on-line útoků.

Jméno * % Ze všech útoků **
1 Škodlivý URL 73,70%
2 Trojan.Script.Generic 9.10%
3 AdWare.Script.Generic 4,75%
4 Trojan.Script.Iframer 2.12%
5 Trojan-Downloader.Script.Generic 2.10%
6 AdWare.Win32.BetterSurf.b 0,60%
7 AdWare.Win32.Agent.fflm 0.41%
8 AdWare.Win32.Agent.aiyc 0,38%
9 AdWare.Win32.Agent.allm 0,34%
10 Adware.Win32.Amonetize.heur 0,32%
11 Trojan.Win32.Generic 0,27%
12 AdWare.Win32.MegaSearch.am 0,26%
13 Trojan.Win32.AntiFW.b 0,24%
14 AdWare.JS.Agent.an 0.23%
15 AdWare.Win32.Agent.ahbx 0.19%
16 AdWare.Win32.Yotoon.heur 0.19%
17 AdWare.JS.Agent.ao 0,18%
18 Trojan-Downloader.Win32.Generic 0,16%
19 Trojan-Clicker.JS.Agent.im 0,14%
20 AdWare.Win32.OutBrowse.g 0.11%
* Tyto statistiky představují detekce rozsudky z webové antivirového modulu. Informace byly poskytnuty uživateli produktů společnosti Kaspersky Lab, kteří souhlasili, aby se podělili o své lokální data
** Procento všech webových útoků zaznamenaných na počítačích unikátních uživatelů

Vzhledem k tomu často bývá, TOP 20 se z velké části skládá z objektů používaných v drive-by útoky, stejně jako adware programů. 73.7% všech rozsudků identifikovat odkazy z těchto černých listinách.

Nápadně, v roce 2014 došlo k nárůstu počtu reklamních programů v TOP 20, do 5-12 ve srovnání s předchozím rokem a představuje 8,2% všech škodlivých objektů zjištěných on-line (7,01 procentního bodu). Růst ve výši reklamních programů, spolu s jejich agresivní režimy distribuci a jejich úsilí, aby čelila detekci anti-virus, se stal trend od roku 2014.

V roce 2014, #Kaspersky Lab web antivirus zjištěn 123054503 jedinečné škodlivé objekty #KLReport
Tweet
Trojan-Clicker.JS.Agent.im Verdikt je také napojen na reklamu a všechny druhy "potenciálně nechtěných" aktivit. To je, jak skripty umístěné na Amazon Cloudfront přesměrovat uživatele na detekci stránek s reklamním obsahem. Odkazy na tyto skripty jsou vloženy adware a různé rozšíření pro prohlížeče, a to především na vyhledávacích stránkách uživatelů. Skripty mohou přesměrovat uživatele na nebezpečné stránky, které obsahují doporučení k aktualizaci Adobe Flash a Java - populární způsob šíření malwaru.

V TOP 10 zemí, kde jsou on-line zdrojů nasazené s malwarem

Následující statistiky jsou založeny na fyzické umístění on-line zdrojů, které byly použity při útocích a blokovaných našimi antivirové komponenty (webové stránky, které obsahují přesměrování na exploity, stránek, které obsahují využije a další malware, velitelských botnet centra, atd.) Jednoznačná hostitel by mohl být zdrojem jednoho nebo více webových útoků.

Aby bylo možné určit zeměpisný původ webových útoků, doménová jména jsou přizpůsobeny proti svým skutečným domény IP adresy, a pak zeměpisná poloha konkrétní IP adresy (GeoIP) je založen.

V roce 2014, Lab řešení Kaspersky zablokovány 1432660467 webové útoky #KLReport
Tweet
V roce 2014, Lab řešení Kaspersky zablokovány 1432660467 útoky odpálené z internetových zdrojů nacházejících se v různých zemích po celém světě. Chcete-li provádět své útoky, podvodníci používají 9.766.119 unikátních hostitele, 838.154 počítačů nebo 8% méně než v roce 2013.

87% oznámení o útoku blokovaných antivirové komponenty byly získány z on-line zdrojů nacházejících se ve 10 zemích světa. To je 5 procentních bodů více než v předchozím roce.

Distribuce on-line zdrojů očkuje škodlivými programy v roce 2014

Distribuce on-line zdrojů očkuje škodlivými programy v roce 2014

V roce 2014, TOP 10 rating zemí, kde se on-line zdrojů očkuje malwarem zůstal téměř beze změny oproti předchozímu roku. Nicméně čtyři země změnila místa: Německo a Rusko vyměnil, s Němci lezení na 2. a Rusku klesl na čtvrté místo. Ukrajina předjel Británii pohybovat až do 5..

44% všech internetových útoků přišel ze zdrojů nacházejících se v USA a Německu.

Země, kde se uživatelé čelí největší riziko infekce on-line

Aby bylo možné posoudit země, ve kterých uživatelé nejčastěji čelí kybernetické hrozby, jsme vypočítali, jak často se uživatelé Kaspersky setkal detekce verdikty na svých strojích v každé zemi. Výsledné údaje charakterizuje riziko infekce, že počítače jsou vystaveny v různých zemích po celém světě, poskytující indikátor agresivitě prostředí směrem počítače v různých částech světa.

V TOP 20 zemí, kde se uživatelé potýkají s největší riziko infekce on-line

Země * % Unikátních uživatelů **
1 Rusko 53,81%
2 Kazachstán 53,04%
3 Ázerbajdžán 49,64%
4 Vietnam 49,13%
5 Arménie 48,66%
6 Ukrajina 46,70%
7 Mongolsko 45,18%
8 Bělorusko 43,81%
9 Moldova 42,41%
10 Kyrgyzstán 40,06%
11 Německo 39,56%
12 Alžírsko 39,05%
13 Katar 38,77%
14 Tádžikistán 38,49%
15 Georgia 37,67%
16 Saúdská Arábie 36,01%
17 Rakousko 35,58%
18 Litva 35,44%
19 Srí Lanka 35,42%
20 Turecko 35,40%
Tyto statistiky jsou založeny na zjišťování rozsudky vrácené web antivirový modul, obdržel od uživatelů produktů společnosti Kaspersky Lab, kteří souhlasili, aby jejich statistických údajů.

* Vyloučili jsme ty země, v nichž počet uživatelů produktů společnosti Kaspersky Lab je relativně malý (méně než 10000)
** unikátních uživatelů, jejichž počítače byly terčem internetových útoků, jako podíl z celkového počtu unikátních uživatelů produktů společnosti Kaspersky Lab v ČR

V roce 2014 došlo ke změně na lídra TOP 20: hodnocení byla završena Rusku, kde 53,81% uživatelů čelí nebezpečí on-line infekce.

Loňský vůdce, Ázerbájdžán, klesl na 3. místo (49,64%).

Uzbekistán, Malajsie, Řecko a Itálie vypadl z TOP 20. Mezi nově příchozími byli Mongolsko, Katar, Saúdská Arábie, Turecko a Litva.

Všechny země mohou být rozděleny do tří skupin, které exprimují různé úrovně rizika infekce.

Skupina na vysoké riziko (více než 41%)
V roce 2014, do této skupiny patří devět zemí z TOP 20, ve srovnání s 15 zemí v roce 2013.

Riziková skupina (21-40%)
Tato skupina zahrnuje 111 zemí; Mezi nimi jsou Kyrgyzstan (40,1%), Německo (39,6%), Katar (38.8%), Tádžikistán (38,5%), Gruzie (37,7), Saúdská Arábie (36%), Turecko (35. 4%), Francie (34,9 %), Indie (o 34,8%), Španělsko (34,4%), USA (33,8%), Kanada (33,4%), Austrálie (32,5%), Brazílie (32,1%), Polsko (31,7%), Itálie (31,5%) Izrael (30.2%), Čína (30,1%), Velké Británii (30%), Egypt (27,8%), Mexiko (27,5%), Filipíny (27,2%), Chorvatsko (26,2%), Pákistán (26.1%) , Rumunsko (25,7%), Japonsko (21 2%), Argentina (21 1%).

Skupina s nízkým rizikem (0-20,9%)
Mezi 39 zeměmi s nejbezpečnějších on-line prostředí, surfování patří Švédsko (19,5%), Dánsko (19,2%), Uruguay (19,5%), a řadu afrických zemí.

ksb_stat_2014_13

V roce 2014, 38,3% počítačů byli napadeni alespoň jednou, zatímco jejich majitelé byli online.

V průměru, je riziko nákazy při surfování na internetu se snížil o 3,3 procentního bodu více než v roce. To může být způsobeno několika faktory:

Za prvé, vývojáři prohlížečů a vyhledávačů si uvědomil, že je nutné zajistit svým uživatelům a začal přispívat k boji proti nebezpečné stránky
Za druhé, mnozí využívají balení začaly zkontrolovat, zda je výrobek společnosti Kaspersky Lab je nainstalován na počítači uživatele. Pokud je, že využije ani se snaží zaútočit na počítač.
Za třetí, uživatelé používat více a více mobilních zařízení a tablety surfovat na internetu.
Kromě toho se počet útoků využívajících využít Pack mírně snížil: zatčení vývojáři těchto balíčků nebyla marná. Existují však žádné důvody očekávat nějakou drastickou změnu v situaci využije: jsou stále hlavním technika využívána k doručování malware, včetně cílených útoků. Internet je stále hlavním zdrojem malwaru pro uživatele ve většině zemí.

Místní hrozby

Místní statistiky infekce pro uživatele počítačů je velmi důležitým ukazatelem. Tato data ukazují na hrozby, které pronikly operační systém Windows přes něco jiného než Internet, e-mail, nebo síťových portů s.

Tato část obsahuje analýzu statistických údajů získaných na základě antivirové skenování souborů na pevném disku v okamžiku, kdy jsou vytvořeny nebo přístupnou a výsledky skenování různých vyměnitelných datových úložišť.

V TOP 20 škodlivé objekty detekované na uživatelských počítačích

V roce 2014, antivirová řešení společnosti Kaspersky Lab zjištěn 1.849.949 unikátních škodlivých a potenciálně nežádoucí objekty.

Název % Unikátních napadených uživatelů *
1 DangerousObject.Multi.Generic 26,04%
2 Trojan.Win32.Generic 25,32%
3 AdWare.Win32.Agent.ahbx 12.78%
4 Trojan.Win32.AutoRun.gen 8.24%
5 Adware.Win32.Amonetize.heur 7,25%
6 Virus.Win32.Sality.gen 6.69%
7 Worm.VBS.Dinihou.r 5,77%
8 AdWare.MSIL.Kranet.heur 5.46%
9 AdWare.Win32.Yotoon.heur 4.67%
10 Worm.Win32.Debris.a 4,05%
11 AdWare.Win32.BetterSurf.b 3,97%
12 Trojan.Win32.Starter.lgb 3,69%
13 Exploit.Java.Generic 3.66%
14 Trojan.Script.Generic 3,52%
15 Virus.Win32.Nimnul.a 2.80%
16 Trojan-Dropper.Win32.Agent.jkcd 2.78%
17 Worm.Script.Generic 2.61%
18 AdWare.Win32.Agent.aljt 2.53%
19 AdWare.Win32.Kranet.heur 2.52%
20 Trojan.WinLNK.Runner.ea 2.49%
Tyto statistiky jsou sestavovány z detekci malware verdiktů vytvořených skenerem moduly on-access a on-demand na počítačích těchto uživatelů se systémem produkty společnosti Kaspersky Lab, které souhlasily s tím, aby předložily své statistické údaje.

* Podíl jednotlivých uživatelů, na jejichž počítačích detekován antivirový modul tyto objekty jako podíl z celkového počtu jednotlivých uživatelů produktů společnosti Kaspersky Lab, na jehož počítače byl zjištěn škodlivý program

DangerousObject.Multi.Generic verdikt, který se používá pro malware detekovaný pomocí cloudových technologií, je na 1. místě (26,04%). Cloud technologie funguje, když se antivirové databáze dosud obsahovat buď podpisu nebo heuristiku odhalit škodlivý program, ale Cloud Antivirus databáze společnosti již obsahuje informace o objektu. Ve skutečnosti, je to, jak je detekována nejnovější malware.

Notoricky známý červ Net-Worm.Win32.Kido vypadl z TOP 20. V Obecně podíl virů stále klesá: například v loňském roce Virus.Win32.Sality.gen ovlivněn 13,4% uživatelů, zatímco v roce 2014 - pouze 6,69 %.

Jak toto hodnocení a hodnocení webových zjištěných ukazují, že reklamní programy jsou stále častější. V roce 2014 se počet uživatelů, kteří se setkali adware zdvojnásobil z předchozího roku a dosáhl 25.406.107. Současně reklamní programy jsou stále oba více rušivé a nebezpečnější. Někteří z nich "překročení hranice" do kategorie potenciálně nežádoucích programů a jsou přiřazeny k "tvrdší" verdikt. Například, Trojan-Dropper.Win32.Agent.jkcd (16. místo), kromě zobrazování reklam a mění výsledky vyhledávání, si můžete stáhnout malware v počítači.

Země, kde se uživatelé čelí nejvyšší riziko lokální infekce

Pro každou zemi jsme spočítali počet souborů antivirových odhalení uživatelé, kterým čelí v průběhu roku. Údaje zahrnují detekci škodlivých programů se nachází na počítačích uživatelů nebo na vyměnitelné médium připojené k počítači, jako jsou flash disky, fotoaparát a paměťové karty, telefon nebo externí pevné disky.

V TOP 20 zemí podle úrovně infekce

Země * % **
1 Vietnam 69,58%
2 Mongolsko 64,24%
3 Nepál 61,03%
4 Bangladéš 60,54%
5 Jemen 59,51%
6 Alžírsko 58,84%
7 Irák 57,62%
8 Laos 56,32%
9 Indie 56,05%
10 Kambodža 55,98%
11 Afghánistán 55,69%
12 Egypt 54,54%
13 Saúdská Arábie 54,37%
14 Kazachstán 54,27%
15 Pákistán 54.00%
16 Sýrie 53,91%
17 Soudan 53,88%
18 Srí Lanka 53,77%
19 Myanma 53,34%
20 Turecko 52,94%
Tyto statistiky jsou založeny na zjišťování rozsudky vrácených antivirovým modulem, obdržel od uživatelů produktů společnosti Kaspersky Lab, kteří souhlasili, aby jejich statistických údajů.

* Při výpočtu jsme vyřadili zemích, kde existují méně než 10.000 uživatelů Kaspersky Lab
** Podíl unikátních uživatelů v zemi s počítači, které blokované místní hrozby jako podíl z celkového počtu unikátních uživatelů produktů společnosti Kaspersky Lab

Mezi TOP 4 země pro riziko lokální infekce zůstal téměř beze změny oproti předchozímu roku: Vietnam byl v 1. poloze; Mongolsko a Bangladéš změnil místa - Bangladéš přesunula dolů z druhý-čtvrtý poloze, zatímco Mongolsko vylezl z čtvrté-druhý místě.

Džibuti, Maledivy, Mauretánie, Indonésie, Rwanda a Angola opustil TOP 20. nováčky byly Jemen, Saúdská Arábie, Kazachstánu, Sýrie, Myanmar a Turecko.

V rámci TOP 20 zemí byl alespoň jeden škodlivý objekt nacházející se v průměru 58,7% počítačů, pevných disků a výměnných médií, které patří k uživatelům KSN. Číslo 2013 byla 60,1%.

Země, lze rozdělit do čtyř rizikových skupin pro místní hrozby.

Maximální riziko (více než 60%): čtyři země, včetně Vietnamu (69,6%), Mongolska (64,2%), Nepál (61,0%) a Bangladéši (60,5%).
Vysoké riziko (41-60%): 83 zemí včetně Indie (o 56,0%), Kazachstánu (54.3%), Turecku (52,9%), Ruska (52,0%), Čína (49,7%), Brazílie (46,5%), Bělorusko ( 45.3%), Mexiko (41.6%), Filipíny (48.4%).
Střední místní míra infekce (21-40,99%): 70 zemí, včetně Španělska (40,9%), Francie (40,3%), v Polsku (39,5%), Litvě (39,1%), v Řecku (37,8%), v Portugalsku (37,7%), Korea (37,4%), Argentina (37,2%), Itálie (36,6%), Rakousko (36,5%), Austrálie (35.3%), Kanada (o 34,8%), Rumunsko (34. 5%), USA (34,4%) , Velká Británie (33,8%), Švýcarsko (30,8%), Hong Kong (30,4%), v Irsku (29,7%), Uruguay (27,8%), Nizozemí (26,4%), Norsko (25,1%), Singapur (23,5% ), Japonsko (o 22,9%), Švédsku (23%), Dánsku (21,3%)
Nízká míra lokální infekce ( 0- 20,99%): 3 země, včetně Finsku (20%), Kuba (o 19,1%) a Seychel (19%).
ksb_stat_2014_14

Mezi 10 nejbezpečnějších zemí byly:

Země % *
1 Seychely 19.03%
2 Kuba 19.08%
3 Finsko 20.03%
4 Dánsko 21,34%
5 Japonsko 22,89%
6 Švédsko 22,98%
7 Česká republika 23.13%
8 Singapore 23.54%
9 Martinik 25,04%
10 Norsko 25.13%
* Podíl unikátních uživatelů v zemi s počítači, které blokované místní hrozby jako podíl z celkového počtu unikátních uživatelů produktů společnosti Kaspersky Lab

V roce 2014, tři nové země se objevily v tomto TOP 10 - Martinik, Singapuru a ve Švédsku. Slovensko, Slovinsko a Malta vypadl z hodnocení.

V roce 2014, v průměru 23% uživatelů počítačů byli napadeni v 10 nejbezpečnějších zemí alespoň jednou #KLReport
Tweet
V průměru 23% uživatelů počítačů byli napadeni v 10 nejbezpečnějších zemí nejméně jednou za rok. To je o 4,2 procentního bodu více než v loňském roce.


Pudl Strikes (kousne?) Opět
9.12.2014 Incidenty
Stejně jako Adam Langley ve svém blogu [1] uvádí, může být pudl zranitelnost nalezený v některých implementacích TLS, a to nejen v SSLv3.

Problémem je otázka implementace, ne tak moc problém s normou jako v původní instance SSLv3. Pudl zranitelnost byla způsobena SSLv3 jeho užívání nespecifikované a nechráněného použití vycpávky. V TLS, čalounění je určen, a TLS by nemělo být náchylné k útoku. Nicméně se ukazuje, že některé implementace nebude ověřit, zda byl použit správný výplň. Nesprávný padding by bez povšimnutí (stejně jako v SSLv3) a mohla by vést k problému pudla.

Na druhou stranu: My ještě neviděli rozšířené (nějaké?), Využívání pudla zranitelnosti. Tak se zaměřují na to, co Microsoft má nabídnout první dnes, pak se podívejte, pokud máte stále nějaké vynikající "pudlíci" ve vaší síti. F5 load-balancers zřejmě trpí nový problém.

Kromě toho, Heise.de poznamenává, že Kaspersky Internet Security produkt, který implementuje proxy na chráněné hostitele, stále podporuje SSLv3 a může způsobit připojení bude snížen na SSLv3, i když prohlížeč uživatele již podporuje SSLv3.

[1] https://www.imperialviolet.org


Hackeři vyhrožují zaměstnancům Sony a jejich rodinám

9.12.2014 Incidenty
Kybernetický útok proti společnosti Sony Pictures vstoupil do nové fáze, když zaměstnanci této firmy obdrželi v pátek od hackerů zprávy s výhružkami jim a jejich rodinám.

Ve zprávě odeslané hacekery, o níž informoval portál Variety stojí, že „v nebezpečí jsou samotní zaměstnanci i jejich rodiny“.

Počítačové sítě Sony byly napadeny na konci listopadu a hackeři při útoku ukradli velké množství dat včetně doposud nevydaných filmů, jež se následně objevily na internetu. I když útoky podobného rozsahu byly provedeny v uplynulých letech i v jiných částech světa, výhružky zaměstnancům jsou značně neobvyklé.

Zpráva, kterou poslali hackeři z hnutí s názvem Strážci míru, je napsána nepříliš dobrou angličtinou. „Odstranění Sony Pictures z povrchu zemského je pro naši skupinu, která patří do větší mezinárodní organizace, snadným úkolem. A to, co jsme provedli doposud, je jen malou součástí našeho dalšího plánu,“ píšou hackeři. Následně se útočníci v textu obracejí k zaměstnancům Sony.

„V mnoha částech světa se stanou věci, které byste si dříve neuměli představit. […] Pošlete své jméno na níže uvedenou e-mailovou adresu a vyjádřete tak svůj nesouhlas s falešností této společnosti. Pokud tak neučiníte, nejen vy, ale i vaše rodiny budou v nebezpečí,“ stojí dále ve zprávě, jejíž autenticitu nebylo zatím možné potvrdit. Mluvčí Sony se zatím k výhružkám nevyjádřil. E-mailová adresa, která měla být na „šéfa Strážců míru“ je však neaktivní - zaslaný e-mail se z ní vrátí s chybovou zprávou.

Jak ráno uvedl portál BBC, během noci na pondělí byl napaden kybernetickým útokem PlayStation Store, který je tak v současné době nedostupný. Společnost Sony Entertainment Network v tweetu uvedla, že si je problému vědoma a pracuje na obnově sítě.

„Děkujeme za trpělivost při prošetřování celé věci,“ stojí v Tweetu Sony. Útok na PlayStation store přichází jen několik dnů poté, co herní konzole Sony oslavila své dvacáté narozeniny.

K útoku se přihlásili hackeři ze skupiny „Lizard Squad“, kteří stojí podle všeho také za útokem typu DDoS, jenž byl minulý týden podniknut proti herní síti Xboxu od Microsoftu. Ta byla v důsledku útoku nedostupná po dobu více než jednoho dne. Podle vyjádření Lizard Squad z minulého týdne byl útok na síť Microsoftu pouze „malou ochutnávkou“ toho, co má přijít před Vánocemi.

Není zatím jasné, zda a jak souvisí útok Lizard Squad s útokem Strážců míru. Kybernetické útoky proti Sony v této chvíli vyšetřuje FBI spolu s nezávislou bezpečnostní agenturou FireEye.


Jak odhalit podvodné činnosti v cloudu bez invaze do soukromí uživatelů
Publikováno dne 27. listopadu 2014. Zabezpečení
Skupina výzkumníků našli chytrý způsob, jak k poskytovatelům cloudu odhalit podvodné činnosti, aniž by ve skutečnosti snímání do druhu činnosti uživatel provede jejich oblacích, ale s použitím fakturační údaje o ochraně osobních údajů příjemný. Skvělá věc, o oblaku je, že firmy a Uživatelé mohou používat tolik výpočetní výkon nebo skladování podle potřeby v určitém okamžiku a platit jen za to, co bylo použito, ale podvodné, nezákonné nebo nežádoucí činnosti, jako je například použití cloud infrastrukturu, aby zahájily DDoS útoky nebo cryptocurrency těžby může zničit zážitek pro ty, , kteří využívají cloud pro soukromé i firemní účely, výše uvedené nežádoucí aktivity mohou plynule nasávat příliš velkou šířku pásma a snížit životnost hardwaru problém pro poskytovatele cloudu, je následující: jak odhalit podvodné nebo nežádoucí činnost na jejich infrastruktury, aniž by provádění sítě inspekci paketů, tedy invazi soukromí platební uživatele? "A způsob, jak toho dosáhnout, by bylo využití datových agregátů, které nedávají mnoho detailů, jako je využití procesoru a počet odchozích paketů v uzavřeném intervalu, na provést první klasifikaci, "vědci vysvětlil to v dokumentu . "V případě, že se podezření na podvodné jednání, pak další postup do hloubky může být použit. Tento způsob umožňuje uživatelům, kteří provozují pravidelné pracovní zátěž, aby jejich soukromí a zároveň odhalovat podezřelé aktivity." Vzorky údajů byly odebrány z OpenStack clusteru, představovat pravidelná pracovní zátěž a ty podvodné. Při testování různých algoritmů klasifikace, vědci pokusili klasifikovat 5 typů úloh:. Pravidelnou zátěž (Hadoop vytížení CPU nebo vysoce náročné zaměstnání), vnitřní DDoS útok, cryptocurrency těžby surovin a fyzického selhání sítě všech složek OpenStack, Ceilometer - Telemetrie Služba, která poskytuje veškeré využití metriky poskytovatelům cloudu potřebu zavést vyúčtování, se - se ukázala být velmi užitečné. Při použití pět sekunda datových agregáty několika běžných metrik (CPU, disků a sítě), při různých činnostech, a porovnání různých vzorů se jim podařilo zjistit - s relativně vysokou přesností a v relativně krátkém čase - jaký typ zákazníků aktivity se zabývají bez zjištění podrobných informací o tom, co vlastně dělají. Jejich soukromí je tedy zachována, a nezákonné nebo nežádoucí činnosti mohou být provedeny, aby přestal. Tento systém má své výhody a nedostatky, ale vědci považují za dobrý první krok na podvodné detekční činnost potrubí, protože stále více systémů detekce narušení hloubkové pak mohou být použity, a bude mít méně dat ke zpracování. Také, získané údaje mohou být znovu použity vyúčtovat zákazníkovi.


Podvodníci používají falešné výpisy produktu ukrást z Walmart
6.12.2014 Hacking
Dne 13. listopadu americký maloobchodník Walmart oznámil, že se oficiálně začne odpovídající cenu za položky, které jsou rovněž prodávány za nižší cenu, v on-line prodejců. Méně než týden později, cena odpovídající politika byla pozměněna vyloučit tržiště dodavatele, třetí strany prodejců, aukční weby nebo stránky, které vyžadují členství. Co se vlastně stalo? No, pár dní po oznámení, webové stránky Sears, další velký US prodejce, byl zasažen závada, která z Wii U a 3DS svazky uvedené na prodej za cenu třikrát až čtyřikrát nižší, než je obvyklé. Některé bystrý jedinci zneužit to pro získání stejnou cenu pro položky v několika obchodních řetězců, cihla-a-malty (včetně Walmart), a chlubil o tom on-line. Vzhledem k tomu, závada byla opravena poměrně rychle, někteří podvodníci našel nový způsob, jak vytáhnout stejný trik:. založili falešné on-line záznamy s nízkými cenami za zařízení na Amazonu, vzal screenshot, potom odstraněn výpisy Armed se vytiskl výpis, se vydali k pokusu o ukládání zaměstnanců a vedoucích pracovníků podvod Walmart. Někteří to podařilo, jiní ne, ale pokusy o podvod se rychle uvedla společnost, která reaguje s výše uvedenou změnou cen odpovídající politiky. "V budoucnu, pokud chcete získat cenu utkání na Walmart, bude to mít být na prodaných položek Amazon, a ne jen položky prodávané na Amazonu, "konzumní Laura Northrup vysvětlil .


Pokyny ENISA na šifrovací řešení
6.12.2014 Zabezpečení
ENISA zveřejnila dvě zprávy. " algoritmy, velikost klíče a parametry "je referenční dokument poskytuje soubor pokynů k rozhodovací pravomocí, zejména specialistů navrhování a provádění kryptografických řešení pro ochranu osobních údajů. " Studie o kryptografických protokolů "poskytuje implementaci pohled, zahrnující pokyny týkající se protokolů nutné k ochraně obchodních online komunikace, které obsahují osobní údaje, algoritmy, velikost klíče a parametry Tato zpráva obsahuje řadu návrhů snadno k použití, se zaměřením na komerční on-line služby, které sbírají, ukládat a zpracovávat osobní údaje občanů EU. Poskytuje aktualizovanou zprávu o 2013 kryptografické pokyny týkající se bezpečnostních opatření nutných k ochraně osobních údajů v on-line systémech. Ve srovnání s vydání 2013, je zpráva byla rozšířena o část o hardwarových a softwarových postranních kanálů, generování náhodných čísel, a Klíčovým řízení životního cyklu, zatímco části na protokoly, pro rok 2014 se prodlužuje a je studium stand-alone na kryptografických protokolů. Zpráva vysvětluje dva aspekty kryptografických mechanismů:

Zda daný primitivní nebo program lze považovat za použití dnes, pokud je již nasazena
Ať už primitivní nebo program je vhodný pro nasazení v nových nebo budoucích systémů.
Dlouhodobé problémy uchovávání dat jsou analyzovány spolu s řadou obecných otázek souvisejících s nasazením kryptografických primitiv a systémů. Všechny mechanismy popisované v této zprávě jsou standardizovány do určité míry, a buď byly nasazeny, nebo jsou plánovány být nasazen, v reálných systémech.
Studie o kryptografických protokolů

Druhá zpráva se zaměřuje na aktuální stav v kryptografických protokolů a podporuje další výzkum. Rychlý přehled je uveden na protokolech, které se používají v poměrně omezených aplikačních oblastech, jako jsou bezdrátové, mobilní komunikace a bankovnictví (Bluetooth, WPA / WEP, UMTS / LTE, ZigBee, EMV) a specifické prostředí se zaměřením na Cloud computing. Hlavní důraz zprávy je o pokynech, výzkumných pracovníků a organizací v oblasti, mezi něž patří:

Kryptografické a bezpečnostní protokoly musí být navržen kryptografické odborníky protokolu spíše než vytváření sítí a odborníků protokolu k dnešnímu dni. Kromě toho vědci potřebují zjednodušit analýzu a umožnit automatizované nástroje vytvořit silné výpočetní záruky.
Je nutná větší pozornost automatizované ověřování, takže implementace protokolu můžete setkat s ohledem na bezpečnostní cíle, a posoudí, jak automatizované nástroje mohou zaručit správné provádění protokolu designu.
Malé nevýznamné změny v protokolech může mít za následek neplatnost záruky důkazy.
Budoucí protokoly by měly být navrženy za použití pevné a dobře zavedené inženýrské principy, snadnost formální bezpečnostní analýzy, a ve spojení s rozvojem formálních důkazů bezpečnosti, které jsou určeny na dešifrování jejich voliče primitiv.
Budoucí protokoly by neměl být složitější, než musí být.
Více práce musí být provedena na ověření API pro aplikační protokoly.


Nová verze Docker řeší kritické chyby, aktualizujte ihned
6.12.2014 Zranitelnosti
Pokud používáte přístavní dělník, open source platformu pro stavebnictví, dopravy a provoz distribuovaných aplikací na téměř libovolné platformě, nezapomeňte aktualizovat na nejnovější verzi (v1.3.2), protože všechny předchozí sport kritickou chybu, která může být zneužita by útočníkovi získat zvýšená oprávnění spustit škodlivý kód na dálku. aktualizace byla vydána v pondělí - pro všechny podporované platformy - a je možné vyzvednout tady . "Motor Docker, až do verze 1.3.1, byla citlivá na extrahování souborů svévolným drah na hostitele při "přístavní dělník pull" a "přístavní dělník zatížení" operace. To bylo způsobeno tím, symbolický odkaz a pevný odkaz traversals přítomných při těžbě obrazu přístavní dělník je, "společnost za software vysvětlil problém ve zpravodaji zabezpečení . "Docker 1.3. 2 nápravy této chyby zabezpečení. Další kontroly byly přidány do pkg / Archiv a extrakce obrazu se nyní provádí v chrootu. No náprava je k dispozici pro starší verze Docker a uživatelé se doporučuje provést upgrade, "naléhali, nejnovější verze také řeší kritická chyba, která by mohla vést k eskalaci kontejneru, a obsahuje několik dalších změn, které zlepší použitelnost. Objev eskalaci práv zranitelnost (CVE-2014-6407) byl přičítán Florian Weimer z bezpečnostního týmu Red Hat a nezávislý výzkumník Tonis Tiigi.


Sony Pictures pirát, vydíral
6.12.2014 Incidenty
Zdá se, že Sony Pictures byl hacknut. Porušení nebylo dosud potvrzeno společností, jehož jediným komentář tak daleko, je, že jsou "vyšetřování IT věci." Ale podle uživatele, Reddit, který tvrdí, že pracoval pro Sony a stále má přátelé tam, každý počítač v Sony Pictures sítě byla účinně provedena nepoužitelný, a je sportovní následující obrázek:

Podle interního zdroje, který mluvil na The Next Web , mají všichni zaměstnanci společnosti Sony dostal pokyn, aby jít domů na den a pracovat tam, ale ne pro připojení firemní sítě společnosti, nebo je jejich pracovní e-mail. Oni také byli instruováni, aby obrátit z jejich počítače a vypnout Wi-Fi připojení na internet na svých mobilních zařízeních, zatímco IT oddělení vyšetřuje porušení. Zpráva identifikuje skupinu hackerů s názvem #GOP jako pachatele porušení. Zdá se, že se jim podařilo ohrozit jeden server a přístup zbytek sítě. V URL zahrnuty v obraze poukazují na ZIP soubor, který obsahuje údajně ukradené soubory, které obsahují finanční informace, soukromé klíče pro servery a další . skupina hrozí, že další soubory budou k úniku, pokud nebudou splněny jejich žádosti, ale my ne vědět, jaké jsou tyto požadavky jsou. Poznamenal termín přicházeli a odcházeli, ale tam je ještě žádné další informace nebo úniku. "útok velmi veřejný výkupné je poměrně neobvyklé," Eric Cowperthwaite, viceprezident pokročilé bezpečnosti a strategie na Core Security poznamenal. "Sony má více času a motivaci než průměrný společnosti s cílem zlepšit jejich bezpečnost. Předpokládal bych, že po posledních událostech zabezpečení v Sony, všechny divize Sony značně zlepšila bezpečnost. Je-li tomu tak, pak ten, kdo je zodpovědný za tento útok je docela schopný sami. Jako vždy, já bych to vnímat jako varování, že všichni ostatní musí věnovat pozornost. Pokud nemají lepší zabezpečení, než Sony Pictures (což bych se vsadit, je pravděpodobné), pak je třeba investovat čas a úsilí na zlepšování jejich schopností bezpečnosti a zralost. " "Fakta, jak jsme v současné době vím, jim naznačují, že jediný bod selhání - osamělý systém, který byl porušen, podle prohlášení k dnešnímu dni - vedlo ke katastrofálnímu porušení," říká Kevin O ' . Brien, Mmember o založení týmu Conjur "Vzít široce, to kopíruje stejný vzorek porušení, které jsme viděli přes 2013 a 2014:. Výsledky slabé řízení přístupu v systémové selhání" "Máme jen dohad tak daleko, ale to by nebylo příliš překvapivé, se dozvěděli, že tam byl vnitřní vektor hrozba v mixu zde, stejně. Podívejme se, co se stalo v Kodexu prostorů jako potenciální příklad stejné struktuře porušení: nespokojený (bývalý) zaměstnanec vedlo ke ztrátě pověření, eskalace oprávnění útoku a případné katastrofické přístup k datům, ". Dodal "organizací, jako Sony bude ( doufejme) mají robustní provedení auditu, které mají k dispozici, která je umístěna vně zařízení, která jsou zde ohrožena; co má tendenci stát, je, že útočníci budou pracovat na vymazání jejich stopy. Z tohoto pohledu, další otázka je, zda jsou tyto soudní složky jsou vystaveny jako součást stejném povrchu hrozeb, které vedly k původnímu porušení. Starší systémy inklinují míchat tyto dva proudy (data a systémy pod útokem, a obranné systémy, které jejich ochranu); množství času a úsilí nutné na Sony jménem se bude opírat (částečně) o tom, zda mají moderní infrastrukturu, která je odolná vůči tomuto druhu útoku.


Proč byste měli chránit vaše bezdrátové připojení
6.12.2014 Zabezpečení
Je to vánoční nákupní sezóna znovu, a spotřebitelé se připojí k spěch koupit zařízení a příslušenství pro blízké. Budou nabrat telefony a tablety, plus pouzdra, kryty a tašky k ochraně před poškrábáním a nárazy. Ale zatímco oni chrání svá zařízení z fyzické újmy, většina zůstane jejich telefonu Wi-Fi připojení - a jejich soukromých dat - otevřená expozice .

Pouzdra zařízení a kryty jsou velmi populární. Většina lidí nebude vlastnit telefon nebo tablet pro dlouho bez balení nějakou ochranu kolem něj. Amazon.com je "Pouzdra a kufry" stránka obsahuje neuvěřitelných 13 milionů položek. A do konce roku 2014, mobilní telefony aftermarket doplňky Předpokládá se vytvářet 51000000000dolary na celkových příjmech, s ochrannými případech nejvyšší prodejní položky na 13 miliard dolarů. Ale zatímco lidé dělají dobrou práci chránit svá zařízení z fyzické újmy, které seš opouštět méně zřejmý, ale ještě důležitější oblast dokořán. Nezajištěné, neověřené veřejné Wi-Fi hotspoty otevřené spotřebitelům na vykořisťování ze strany zlodějů dat, který lze nastavit až falešných hotspotů špehovat na datový provoz. Podle nedávného průzkumu F-Secure Dva ze tří lidí, připojení k veřejné přístupové body alespoň Wi-Fi jednou za měsíc. Ale podle Sean Sullivan, poradce bezpečnosti na F-Secure, většina nikdy dbát na ochranu jejich spojení z snoops, i když aplikace VPN, které nabízejí soukromí na bezplatné Wi-Fi připojení na internet jsou snadno dostupné. "Mnoho lidí nemají žádné výčitky svědomí veřejnou WI Fi pro připojení, zatímco ven a asi, a většina z nich je zcela bez ochrany, "říká Sullivan. "Pokud si nejste chránit připojení zařízení, co děláte při připojení k veřejnému přístupovému bodu je jako křik v přeplněné místnosti. Takže zatímco lidé tráví hodně na fyzické ochrany, zařízení, oni jsou výdaje na straně, která je opravdu důležité nulu. Jejich údaje, jejich soukromí. " Ale není nastavení falešný hotspot obtížné a příliš nákladné dělat? Vůbec ne. V rámci 250 dolarů (méně než iPad Mini) podvodník může koupit nebo slepit zařízení, které bude napodobovat legitimní Wi-Fi hotspot. Ty pak mohou špehovat přenosu dat spotřebitelů a sběru uživatelských jmen, hesel a dalších osobních údajů. Takže zatímco kožené galanterii kryt může chránit tento tablet, pokud ji zahodit, to nebude dělat nic pro své osobní údaje, pokud jste surfování otrávenou hotspot. "náklady na krytí iPad tablet 39 dolarů. U dobře pod to, že můžete získat roční hodnotě ochrany připojení, aby se ujistil vaše soukromá data zůstanou v soukromí, když se připojujete na cestách, "říká Sullivan. "Pokud se dostane váš přístroj poškrábání nebo naražený, škoda je kosmetický. A v dnešní době, pokud je prasklá obrazovka, tam jsou i opravy služby, které budou řídit vám v malém autě a opravit to pro vás. Ale pokud jsou ukradl hesla nebo jiný soukromý info, je to mnohem těžší znovu zabezpečení online účtů a opravit škody na vašem osobním pověst. "


Sony / Destover: Mystery North Korean Herec destruktivní a Past síťovou aktivitu
6.12.2014 APT

APT FBI MALWARE SHAMOON SONY WIPER
Tento týden, poprvé, FBI vydala Flash varování o jeho destruktivní činnost stěrače, který se používá při útoku na Sony Pictures Entertainment. Vzorky tohoto Destover malwaru obsahoval konfigurační soubory vytvořené v systémech využívajících korejské jazykové balíčky.

Od útoku, další informace o malware se vynořil v té či oné podobě, ale některé detaily, jako jsou ty, které se týkají předchozí činnosti z hlavních podezřelých, je ještě třeba přezkoumat.

Takže, zatímco Sony Pictures tiše dokončí své nákladné sanace úsilí a připravuje k vydání "Rozhovor", pojďme diskutovat o některé funkce malwaru, upřeně podobnosti s jinými událostmi stěračů, a někteří z podezřelého skupiny předchozí činnosti.

Mystery_1

První věc, kterou si uvědomit, je, že destruktivní činnost zaměřuje sítí velkých organizací je jasně stává samozřejmostí. Předchozí hlavní malware stěrač je diskutována zde . Pro tyto většina souvisejících událostí došlo na Blízkém východě a na Korejském poloostrově. Dále poznamenal, samostatnou východní Evropy BE2 ICS prostředí v souvislosti s stírací akci, na které se vztahuje podrobněji zde . A to je těžké ignorovat kompletní údaje o zákaznících otřete o Code prostory ve Velké Británii cybercriminal drží je jako rukojmí, jak je uvedeno zde .

Malware zapojený do útoku Sony Entertainment se jmenuje Trojan Destover a je schopen utírání disků a MBR.

Destover Wiper funkce

Mezi nejzajímavější aspekty destruktivní funkčnosti malware se vztahují k výběru a skladování / dodání ovladačů, které jsou nyní opakovaně použity v těchto druzích sabotáže útoků.

V Destover kapátka instalaci a spuštění ovladače EldoS RawDisk obejít bezpečnostní oprávnění NTFS a přepsat data na disku a sám MBR. K dispozici jsou důsledky pro obnovu dat v této. V případě DarkSeoul škodlivého softwaru , přepisování dat může být vytvořena za použití postupu podobného k obnovení této Shamoon "zničených" údajů. Destover obnovu dat je pravděpodobné, že bude stejný.

Řetěz zprostředkujících prvků vedoucích k destruktivní užitečného zatížení takto více fází (které byly již dříve popsány jinde), s možností nastavené spouštění v několika režimech, stejně jako Shamoon :

Vzorek je provozována na 32-bit OS poprvé.
Vzorek je provozována na 32-bit OS jako osoba samostatně výdělečně nainstalovány služby, s jedním z několika cest kódu.
Vzorek je provozován na 64-bit OS jako osoba samostatně výdělečně instalované služby.
Na prvním spuštění, vytvoří "Zálohování a obnovení řízení" službu brmgmtsvc Windows, přidává vlastní spustitelný a nastaví spuštění " -i "spínače. To také kapky několik kopií sebe sama a začne každý z nich s jiným přepínačem: -m, -d, a -W .

-m (MBR přepsání) :
To se pokusí spojit se třemi IP adresy. I když je to neúspěšné, poprava proces probíhá,
se stáhne svůj zdroj, který obsahuje komprimovaný řidiče EldoS RawDisk, a zapíše jej do dočasného adresáře jako "usbdrv3.sys".
Poté nainstaluje ovladač jako usbdrv3 služby "USB 3.0 Host Controller ".
Poté se spustí službu řidiče a zavře svých služeb rukojeti.
To pak vytváří filehandle řidiči s write píše, že rukojeť s 64k řetězce "0xAAAAAAAA". ← na vědomí, že otázka na dlouhé licenčního klíče (# 99E2428 ...), je popsána v našem Shamoon stěrač - část II . BLOGPOST se pak vytvoří nová témata, z nichž každý se pokusí připojit k jakékoliv možné fyzické písmeno jednotky a přepsat stejně ,

-d (přepisovacího) :
To se pokusí o připojení se stejnými třemi IP adresy. Opět platí, že poprava proces probíhá bez ohledu na komunikaci.
To dostane logické jednotky a prochází rekurzivně přes ně, identifikovat všechny datové soubory. Pokud není EXE nebo DLL, proces přepíše obsah souboru s "0x0df0adba 'v 20k kus. Tento přepsat je dokončena z uživatelského režimu, aniž by řidiči EldoS.
Poté se pokusí smazat soubor dat pomocí Win32 API "DeleteFileW". Jak to recurses do všech adresářů systému, pokusí odstranit EXE a DLL soubory.

-w (web server) :
Tento pokusí spojit se stejnými třemi IP adresy. Opět platí, že poprava proces probíhá bez ohledu na komunikaci.
Zastavuje Windows Terminal Services z cmd řádku: "cmd.exe / c net stop TermService / y"
Pak najde zdrojů # 85, rozbalí a zapíše obsah ven do " C: \ WINDOWS \ iissvr.exe ".
Přináší novou iissvr.exe proces a východy.
iissvr je to, co se zdá být - webový server, který udržuje kódovaný JPG, HTML a WAV souborů. To naslouchá na portu 80 a slouží tyto soubory. Plné grafické a rolování zelený varování lze nalézt dále v článku. Dekódovaná jpg zde:

Mystery_2

Konečně, po dvě hodiny spánku, původní služba restartuje počítač s voláním ExitWindowsEx (EWX_REBOOT | EWX_FORCE, 0). To nutí k výjezdu, ale zpožďuje odstávky sám, zatímco vytvoření stavu systému souborů dojde.

Podobnosti Across stěrače

Stejně jako Shamoon, řidiči Destover stěrač, jsou běžně dostupné soubory ovladače EldoS RawDisk.

Stejně jako Shamoon, ovladače Destover stěračů udržovány v sekci zdrojů kapátka.

Stejně jako Shamoon, akce DarkSeoul stěrač hotelu vágní, kódované pseudo-politické zprávy používané přepsat data na disku a hlavní spouštěcí záznam (MBR).

Stejně jako DarkSeoul, spustitelné Destover stěrač byly sestaveny někde mezi 48 hodin před útokem a skutečným dnem útoku. Je vysoce nepravděpodobné, že by útočníci kopí phishingu svou cestu do velkého počtu uživatelů, a vysoce pravděpodobné, že získali neomezený přístup k celé síti před útokem.

Složky Shamoon byly shrnuty v podobně těsném časovém před jejich nasazením. CompiledOn časová razítka všechny spadají do pěti dnů od detonace svých spustitelných souborů. Téměř všechny byly sestaveny na 10.08.2012 (0:17:23 až 2:46:22) a nastavte odpálit na VIII 15, 2012. To je těsný okno tiše nasadit tyto binární soubory s ohledem na skutečnost, že desítky tisíc strojů bylo zničeno s tímto užitečným zatížením.

Ve všech třech případech: Shamoon, DarkSeoul a Destover, skupiny prohlašovat ocenění za jejich destruktivní dopad v rámci celé velké sítě neměl žádnou historii ani skutečnou identitu jejich vlastní. Všichni se pokusil zmizet po jejich činu, nedělal jasné prohlášení, ale přece dělal bizarní a kruhový objezd obvinění z trestné činnosti, a okamžitě podnítil jejich destruktivní akty po politicky nabité případě, že by byla navržena jak mít been v jádru věci.

Obrázky z DarkSeoul "Whois" a skupin Destover "GOP" hotelu "hacknutý" tvrzení, doprovázen "varování" a hrozby, pokud jde o odcizených dat. Oba vyhrožoval, že to byl jen začátek a že skupina bude zpátky. Zdá se, že původní kosterní umělecká díla byla také zahrnuta do obou.

Whois týmu grafika a varování:

Mystery_3

GOP týmu grafika a varování:

Mystery_4

Rozdíly mezi útoky Destover a DarkSeoul stěrač patří Destover je nedostatek * nix skriptů vymazat oddíly přes Linux.

Výše uvedený seznam podobností není, samozřejmě, dokazují, že posádka za Shamoon je stejný jako posádka za jak DarkSeoul i Destover. Ale je třeba poznamenat, že reakční události a provozní a Toolset charakteristiky těchto skupin všechny nesou výrazné podobnosti. A to je zvláštní, že tyto neobvyklé a soustředěné činy rozsáhlými počítačovými ničení jsou prováděny s jasně rozpoznatelnými podobností.

Network činnost

Související maják cíle byly publikovány jako:

88.53.215.64
217.96.33.164
203.131.222.102
Nicméně, přímo související vzorky provést zpětná volání řadu dalších IP adres také. Kaspersky Security Network (KSN) údaje představuje naprostý nedostatek malware se podává z některého z těchto adres v minulosti:

58.185.154.99
200.87.126.116
208.105.226.235
212.31.102.100
Spojení se objeví svévolné a bezvýznamný na provedení škodlivého obalu. Některé z nich jsou v současné době aktivní. Všechny tyto IP adresy se zdají být zvláštně vybrána.

Některé z těchto adres je známo, že provedl RDP Prověřování v nedávné minulosti. Na konci roku 2012, 217.96.33.164 byl známý RDP hovado nutit síťového skeneru. Server je umístěn na IP adresu v Polsku, vedeného u tohoto poskytovatele od roku 1996.

Na začátku roku 2014, 88.53.215.64 hostila v Itálii a sloužil jako "Hide My Ass", prémie a volný proxy server na portu 443. Malware pokusy o připojení k tomuto serveru, na portech 8000 a 8080, a v současné době žádné prostředky jsou k dispozici.

200.87.126.116 také dříve působil jako volný Socks Proxy v letech 2011 a 2012. Často jsou tyto druhy zdrojů, byly zneužity spammery a blackhat SEO podvodníky.

Předchozí Backdoors

V DarkSeoul kampaně, které byly spojeny s několika rodin trojské koně a zadní vrátka, všechny použité v průběhu několika let. Některé odkazy jsou mnohem silnější než ostatní:

Utajování Troy
DarkSeoul
HttpDr0pper
HttpTroy
TDrop
Destover MD5s

Trojské koně:

MD5 Velikost CompiledOn Název Kaspersky
d1c27ee7ce18675974edf42d4eea25c6 262 KB 2014.11.22 00:06:54 Trojan.Win32.Destover.a
2618dd3e5c59ca851f03df12c0cab3b8 430KB 2014.11.22 00:05:02 Trojan.Win32.Destover.d
760c35a80d758f032d02cf4db12d3e55 244KB 2014.11.22 04:11:08 Trojan.Win32.Destover.c
b80aa583591eaf758fd95ab4ea7afe39 304KB 2014.11.24 04:12:55 Trojan.Win32.Destover.b
e1864a55d5ccb76af4bf7a0ae16279ba 112KB 2014.11.13 02:05:35 Backdoor.Win32.DestoverServ.a
a3fa8c7eb4f061ab8b9f7829c6741593 111KB 05.03.2014 07:10:22 Trojan.Win32.Destover.f
2c545b89acdb9877da5cbb96653b1491 53kb 2014.07.14 13:38:18 Trojan.Win32.Destover.e
Eldos Ovladače:

6aeac618e29980b69721158044c2e544 (32-bit), podepsané EldoS Corporation 86e212b7fc20fc406c692400294073ff (64-bit), podepsané EldoS Corporation

Certifikát ( 6aeac618e29980b69721158044c2e544 32-bit a 86e212b7fc20fc406c692400294073ff 64-bit):
Data:
Version: 3 (0x2)
Serial Number:
01:00:00:00:00:01:10:0c:98:3a:31
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=BE, O=GlobalSign nv-sa, OU=ObjectSign CA, CN=GlobalSign ObjectSign CA
Validity
Not Before: Jan 10 15:20:07 2007 GMT
Not After : Jan 10 15:20:07 2010 GMT
Subject: C=VG, O=EldoS Corporation, CN=EldoS Corporation/emailAddress=info@eldos.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (1024 bit)
Modulus:
00:d7:60:2f:bf:3c:85:1b:f3:a1:19:8c:4d:0e:49:
c5:a5:f5:16:15:b6:ea:91:e2:c2:92:7b:d6:e5:2a:
1e:68:8c:7b:28:eb:07:dc:b0:3a:dd:11:ee:84:a9:
8b:6f:04:b0:ae:c2:2d:bc:b7:56:41:61:e1:ae:01:
0d:0e:83:47:00:3a:ca:b5:12:fb:e5:b6:55:ac:e0:
94:00:5b:e0:61:70:24:ba:d9:ef:4a:e2:af:8f:21:
93:9e:8b:83:17:2a:e4:3d:74:e6:07:c8:4a:69:ed:
60:9b:89:6e:5b:85:50:49:52:f9:fa:91:63:9f:61:
a7:ea:e2:3e:d7:1b:07:22:a1
Exponent: 65537 (0x10001)
X509v3 extensions:
Netscape Cert Type:
Object Signing
X509v3 Key Usage: critical
Digital Signature, Non Repudiation, Key Encipherment, Data Encipherment
X509v3 Authority Key Identifier:
keyid:D2:5B:F3:4B:26:4B:A5:B0:E7:5D:FD:56:7F:F6:F1:2E:38:4E:53:A0
X509v3 CRL Distribution Points:
Full Name:
URI:http://crl.globalsign.net/ObjectSign.crl
Signature Algorithm: sha1WithRSAEncryption
44:0d:5b:2c:f4:c3:c0:91:c0:9f:4d:91:f0:25:5c:79:72:ff:
82:7a:a8:97:fb:08:2b:c2:eb:ae:4b:78:b6:a8:0f:5b:3a:1d:
12:c9:07:81:d0:16:e0:94:1e:69:3c:43:c1:d8:85:b1:4c:1a:
21:84:1c:c8:ed:0a:7e:e4:55:b7:f8:ae:69:a8:b0:8c:10:da:
6e:57:f4:a3:62:5b:2b:4f:06:25:a9:35:f0:63:cc:3f:e0:f6:
4c:ee:1d:d8:9f:d8:ae:d3:fe:de:3b:0b:c5:f3:19:1c:2a:37:
ad:0d:5c:87:5e:da:8f:31:02:d3:78:5d:f1:30:28:78:c3:86:
f7:b2:f6:6c:2d:d8:45:8a:8b:16:eb:bb:d0:6e:5b:98:68:8e:
9b:cc:7e:77:9d:0d:b3:5f:01:d8:57:26:6d:cf:85:2a:46:52:
0f:79:93:85:f7:19:14:01:73:d5:03:e7:96:1a:16:cd:24:0b:
67:6d:f9:72:55:b8:b9:e9:be:07:58:b3:01:bd:a1:18:57:bb:
b3:19:e5:88:0e:f5:96:fe:eb:b8:66:a6:c6:2c:62:b5:21:59:
f2:d9:4d:2b:d1:59:20:07:13:78:26:dc:d5:b3:d1:55:47:5e:
2e:cb:cb:cc:04:7c:d5:e2:9d:7c:24:b1:18:70:da:1f:54:5b:
59:88:d1:17


The Art of Nalezení Cyber-koster dinosaurů

6.12.2014 APT

Po vydání naší zprávy o Regin národní stát kybernetické operace , otázky byly vzneseny , zda anti-malware společnosti vědomě zadržena informace - a detekce - na žádost vlád a zákazníků. Podobná otázka byla vznesena Bruce Schneier v roce 2013.

Pojďme si na nejdůležitější otázku z cesty okamžitě. Nikdy jsme byli požádáni zákazníkem nebo vládní entity whitelist nebo zastavit odhalení žádné konkrétní malware vzorek. Nikdy jsme v souladu s takovou žádostí, bez ohledu na zdroj.

To prostě nestane. V některých případech, vyšetřování pokročilé cílené útoky jsou NDAS (dohody o utajení), se zákazníky a jsme povinni zachovávat mlčenlivost, ale že nikdy ovlivňuje přidání detekci a chránit celou naši zákaznickou základnu před hrozbami.

Takže, proč to trvalo dva roky, abychom se vydat zprávu o Regin? Bez správného kontextu, může se zdát, že výzkumní pracovníci stále něco opravdu důležitého ve tmě za nepřiměřeně dlouhou dobu. Nicméně, výzkum v oblasti bezpečnosti - ne nepodobná vyšetřování činné v trestním řízení - vyžaduje pečlivou kontrolu a analýzu a v mnoha případech je důležité se dívat na trestný čin rozvinout v reálném čase na vybudování správné věci.

V našem případě, aniž by neomezenými zdroji a ke skutečnosti, že Sledujeme několik APT herce najednou ( Careto / Mask , EpicTurla , Darkhotel , Miniduke / Cosmicduke , abychom jmenovali alespoň některé), to bude proces, který trvá měsíce i roky, na získat celkový přehled o kybernetické operace.

Sean Sullivan z F-Secure za předpokladu, perfektní popis APT výzkumu, přirovnal ji k práci paleontologů, které najdou některé kosti dinosaura. Každý může mít kost, ale nikdo nemá úplnou kostru.

V případě, že Regin, co jsme se poprvé objevili v roce 2012 byl lehce poškozen kost od neznámého části monstrum žijící v tajemné horské jezero.

sandbon [2]

(Se svolením southampton.ac.uk)

Někdo najít kost ji může zrušit a ponechat na cestách, ale výzkum v oblasti bezpečnosti sbíráme věci. Původní objev šel do naší sbírky věcí uložených ve dvoře. Máme mnoho z těchto zlomenin z neviditelných příšer a možná neškodné tvory. Občas slyšíme o dalších kostních fragmentů byl objeven ostatními, a to nás tlačí, aby se blíže podívat, ale v počátečních fázích, bez dostatečné důkazy, vyvodit závěry, že nemá smysl jít veřejnost o objevech, dokud potvrdit, že monstra jsou skutečné, velké a nebezpečné.

Sunday Express Headline 160.751 Přiblížit

Máme pokračovat v práci v různých kanálech sbírat různé artefakty, které mohou, ale nemusí odpovídající některé z kusů v naší sbírce. Někdy jsme spojit síly s ostatními "paleontology" a sdílet své objevy. Poté, co jsme se shromáždit dostatek kostí z monstra pochopit potenciální velikost, nebezpečí a možná stanoviště, můžeme začít další fáze, která je skutečná aktivní vyšetřování, které by nás mohly vést k tajemné horské jezero.

Komplexní APT výzkumný projekt se skládá z několika fází:

Přidání detekce pro známé moduly
Sběr vzorků
Couvání vzorků
Dešifrování sofistikované šifrování a kompresi schémata
Pochopení boční pohyb
Osnova více etap útok ve správném pořadí
Mapování C & C infrastruktura
Nastavení závrty
Analýza shromážděné dopravní a komunikační protokoly
Procházení další počítače, které chápou stejného protokolu
Užívání dolů a získávání představy o C & C servery
Identifikace obětí, rozesílání oznámení obětem a globální skupiny CERT
Použití soudní analýzu a extrahování protokoly, ukradené soubory, ostatní komponenty
Sběr a analýza dat z KSN, C & C servery, jednotlivé oběti, kteří jsou ochotni s námi spolupracovat, závrty, crawlers, atd.
Psaní komplexní zprávu
Pokud budeme mít štěstí, můžeme najít monstrum in-the-Wild, která je nejlepším zdrojem pro vědecké studie. Ve většině případů, včetně Regin, pozorujeme a učit se od chování živé monstrum. Natáčíme na každém kroku, stejně jako úmysl.

Současně, můžeme vzít dolů a studovat v laboratoři jako zoologů. Nicméně, v mnoha výzkumných šetření, můžeme vidět jen kostru monstrum. Musíme dát všechno dohromady a rekonstruovat, jak monstrum přestěhoval, co to bylo zvyky, jaké druhy to napadli, a jak byly tyto útoky koordinovány. Jednoduše řečeno, to vyžaduje čas a trpělivost.

Kromě toho, když budeme analyzovat vlastnosti určitého tvora, chápeme, že vývoj jde dál a tam jsou jiné druhy, jako je předmět, žít a kopat někde v takovým způsobem, že to není vidět vůbec.

Zatímco některé z těchto vzorků Regin se dostal na našem radaru brzy a my pokračovali najít další vzorky a artefakty v průběhu výzkumu, jsme přesvědčeni o tom, že jsou jiné, které jsou v současné době neznámé a neobjevené. Málo se ví o jejich životě a existenci v minulosti, ale my víme, že byli tam tím, že najde nějaké drobné úlomky v průběhu času. A musíme odkazovat na paleontologii znovu, protože v celkovém hodnocení jsme objevili jen malou část celého šelmy, ale mají dost uvolnit veřejné upozornění.

DINO_Regin

Stejně jako Regin, někdy zjistíme, že jsme byli odhalování kusů malwaru na několik let, než si uvědomil, že to byla součást globální kybernetické špionáže kampaně. Dobrým příkladem je příběh RedOctober . Byli jsme detekci komponent RedOctober dávno předtím, než jsme zjistili, že to byl použit v cílených útoků proti diplomatické, vládní a vědecko-výzkumných organizací.

V Kaspersky Lab, zpracováváme stovky tisíc vzorků každý den. Umění přijít na to, které z nich jsou významné a přesto dále ty, které patří k sobě jako součást velké APT útoku je podobný hledání jehly v kupce sena obrovské a pak přijít na to, které z nich patří do stejné pletení sady. Jsme vděčni za každou jehlu zjistíme, protože to dělá svět trochu bezpečnější.


Automatizace sběru dat Incident s Pythonem
6.12.2014 Incidenty
Jeden z mých nejoblíbenějších modulů Pythonu je Impacket by kluci na klíčové Labs. Mimo jiné to mi umožňuje vytvářet Python skripty, které mohou mluvit do počítačů se systémem Windows přes SMB. Mohu ji použít k mapování síťové jednotky, ukončení procesů na vzdáleném počítači a mnohem více. Během incidentu, který má schopnost dosáhnout do všech strojů ve vašem prostředí seznamu nebo zabít proces je velmi užitečná. Python a Impacket aby to velmi snadné. Podívejte se na to.

Po instalaci Impacket všechny úžasné moduly jsou k dispozici pro použití ve vašich skriptů v Pythonu. Kromě modulů, Impacket také obsahuje několik ukázkové programy. Úžasné nástroje jako psexec.py poskytuje funkcionalitu jako Microsoft PsExec navíc pass-the-hash ve snadno automatizované formátu. Už jste si někdy přáli, abyste mohli spustit wmic příkazy z Linuxu? Nechte použití wmiexec.py spustit příkaz na vzdáleném počítači Windows z Linuxu. Stačí poskytnout nástroje s uživatelským jménem a heslem, cílová IP adresa a wmic příkaz spustit na cílovém počítači. Například, to je to, jak se dostat na seznam uživatelů na vzdálené cíle.

WMIC z mého linux server je super, ale nejlepší na tom je, že to je Python !. Takže místo toho, běží wmiexec.py mohu importovat jako modul a použití v python skriptu. Začnu ve stejném adresáři jako wmiexec a startovací "python". Pak se "import wmiexec" a vytvořit proměnnou držet objekt WMIEXEC. V tomto případě budu vytvořit proměnnou s názvem wmiobj, který odkazuje na objekt WMIEXEC. První argument je příkaz chci spustit. V tomto případě jsem se spustit příkaz WMIC, který bude, že najde cestu spustitelného souboru pro každou kopii procesu s "cmd" někde v názvu procesu. Jediné další argumenty jsou uživatelské jméno, heslo a "share = 'ADMIN $'".

V tomto případě, že jeden z příkazové řádky běží od uživatele dočasného adresáře. To samé některé další vyšetřování! S těmito 3 jednoduchých linií Python kód, který jsme byli schopni automatizovat dotaz jednoho hostitele. Vzhledem k tomu, že je Python, můžeme snadno použít "k vedení" spustit tento na každé stanici v naší síti, zachytit ty výsledky a porovnat je. Najít hostitele s procesy, které nejsou spuštěny na některý z ostatních počítačích! Najít hostitele s unikátními neobvyklými síťových připojení! Poté, jsou-li vhodné podmínky, automatizovat něco izolovat.

Chcete se dozvědět více? Přijďte vyzkoušet SEC573 Python pro penetraci testerů. Dozvíte se Python od epicentra, a naučit se "automatizovat všechny věci". Připojte se mi na Cyber ​​Guardian 2. března nebo v Orlandu 11. dubna .

Podívejte se na kurzy zde:

http://www.sans.org/course/python-for-pen-testers


VMware nové a aktualizované bezpečnostní zprávy
6.12.2014 Zranitelnosti

Dnes VMware vydala následující nové a aktualizované bezpečnostní
pokyny:

1-VMSA-2014 - 0012

Shrnutí

Aktualizace produktu VMware vSphere řešit problém, Cross Site Scripting, problém je ověření certifikátu a bezpečnostní chyby v knihoven třetích stran.

Příslušné zprávy:

VMware vCenter Server Appliance 5.1 Před Aktualizace 3

VMware vCenter Server 5.5 před Aktualizace 2
VMware vCenter Server 5.1 před Aktualizace 3
VMware vCenter Server 5.0 před Aktualizujte 3c

VMware ESXi 5.1 bez záplat ESXi510-201412101-SG

Popis problému
. VMware vCSA cross-site scripting zranitelnost
b. vCenter Server problém ověření certifikátu
c. Aktualizace na ESXi libxml2 balíčku
d. Aktualizace na ESXi Curl balíčku
e. Aktualizace na ESXi Python balíček
f. vCenter a Update Manager, Oracle JRE 1.6 Aktualizace 81

http://www.vmware.com/security/advisories/VMSA-2014-0012.html

2-VMSA-2014-0.002,4

Shrnutí

VMware vSphere aktualizoval třetích stran knihoven.
Příslušné zprávy
vCenter Server Appliance 5.5 před 5.5 Aktualizace 1
vCenter Server Appliance 5.1 před 5.1 Update 3

VMware vCenter Server 5.5 před 5.5 aktualizace 1

VMware Update Manager 5.5 před 5.5 aktualizace 1

VMware ESXi 5.5 bez záplat ESXi550-201403101-SG
VMware ESXi 5.1 bez záplat ESXi510-201404101-SG
VMware ESXi 5.0 bez záplat ESXi500-201405102-SG
VMware ESXi 4.1 bez záplat ESXi410-201404401-SG
VMware ESXi 4.0 bez záplat ESXi400-201404401-SG VMware ESX 4.1 bez náplasti ESX410-201404402-SG VMware ESX 4.0 bez záplat ESX400-201404402-SG

Popis problému:

. DDoS zranitelnost v NTP třetí strany knihoven
b.Update na ESXi glibc balíku
C. vCenter a Update Manager, Oracle JRE 1.7 Aktualizace 45

Další podrobnosti naleznete na: http://www.vmware.com/security/advisories/VMSA-2014-0002.html

3-VMSA-2.014-0008,2
Shrnutí
VMware vSphere aktualizovala třetí strana knihoven
Příslušné zprávy
VMware vCenter Server 5.5 před aktualizaci 2
VMware vCenter Server 5.1 před Aktualizace 3
VMware vCenter Server 5.0 před Aktualizujte 3c

VMware vCenter Update Manager 5.5 před Aktualizujte 2

VMware ESXi 5.5 bez záplat ESXi550-201409101-SG
VMware ESXi 5.1, aniž by oprava ESXi510-201412101-SG Popis problému a. vCenter Server Apache Struts aktualizace b. vCenter Server tc-server 2.9.5 / Apache Tomcat 7.0.52 aktualizace c. Aktualizace na ESXi glibc balíčku d. vCenter a Update Manager, Oracle JRE 1.7 Aktualizace 55

Další informace naleznete na: http://www.vmware.com/security/advisories/VMSA-2014-0008.html


Malwarovou ochranu má Sophos nově i pro servery

4.12.2014 Zabezpečení
Cloud Server Protection, ochranu před malwarem určenou přímo pro servery, představil Sophos. Novinka rozšiřuje integrované řešení řady Cloud, ze kterého se podle výrobce stává komplexní bezpečnostní platforma pro PC, mobilní telefony, tablety i servery.

Doposud mohli administrátoři servery zabezpečit dvěma základními způsoby - použitím desktopového bezpečnostního softwaru nebo komplexními, ale cenově nákladnějšími serverovými bezpečnostními nástroji.

Pravděpodobně z tohoto důvodu vyjádřily dvě třetiny IT specialistů dotázaných portálem Spiceworks vážné, nebo dokonce velmi vážné obavy, které se týkají složitosti pochopení, nastavení a správy serverového bezpečnostního software.
Nové řešení Cloud Server Protection podle výrobce zajišťuje ochranu proti malwaru, prevenci proti narušení u hostitele i webovou bezpečnost. Navíc poskytuje i přesný přehled o aktuálním stavu všech spravovaných serverů prostřednictvím webového rozhraní.

Novinka je prý také jediným bezpečnostním produktem pro servery, který umožňuje nepřetržité sledování serverového prostředí, průběžnou detekci nových aplikací a inteligentní přizpůsobování bezpečnostních politik.

„Pokud přirovnáme kompromitaci desktopu ke krádeži peněženky, je průnik do serveru srovnatelný s vyloupením banky,“ dodává Bill Lucchini, hlavní viceprezident a generální manažer divize Sophos Cloud.


Forenzní analýzy pro IT bezpečnost nabízí veřejnosti Cesnet

4.12.2014 Bezpečnost
Laboratoř FLAB, která nabízí služby v oblasti prevence a testování IT bezpečnosti i forenzní analýzy s využitím znalostí svého bezpečnostního týmu CERTS a jeho výzkumného zázemí, zprovoznil Cesnet.

FLAB je schopná dělat analýzy proběhlých událostí (typicky bezpečnostních incidentů) v kybernetickém světě, ale také penetrační a zátěžové testy k preventivnímu prověření integrity, důvěrnosti a dostupnosti testovaných systémů.

Jako doplňkové služby FLAB nabízí organizaci bezpečnostních školení a seminářů, odborné konzultace, odborné analýzy technologií, obnovu dat a podobně.

FLAB čerpá ze zkušeností provozu řady bezpečnostních systémů v rámci páteřní sítě Cesnet2 a sítí vysokých škol a výzkumných pracovišť. Jde například o „pasti“, do nichž jsou odchytávány útoky hackerů pro další rozbor (tzv. honeypots) a monitorování abnormálních jevů v síti.

Tým specialistů prý také pomáhá při rychlém informování o bezpečnostních incidentech a jejich nápravě.

Služby laboratoře jsou dostupné nejen účastníkům e-infrastruktury Cesnetu, ale ve volné kapacitě i dalším zájemcům.


Eset a Facebook nabízí bezpečnostní službu zdarma

3.12.2014 Bezpečnost
Eset se spojil s Facebookem a nabízejí všem uživatelům Facebooku službu skenování počítače na přítomnost malware.

Když se uživatel Facebooku připojí ke svému účtu, Facebook analyzuje, zda účet nevykazuje podezřelé aktivity jako je rozesílání spamu nebo infikování linků na stránky přátel. Pokud tento sken chování účtu ukáže možnou přítomnost malware, uživateli se zobrazí doporučení provést test s využitím služby Eset Online Scanner for Facebook.

Jde o free službu odvozenou od služby Eset Online Scanner, kterou Eset dosud nabízel pouze na svých stránkách; za pozornost stojí, že z dosavadních víc než 44 milionů skenů byla přítomnost malware detekována ve víc než polovině případů.

Test Eset Online Scanner for Facebook je zdarma a jeho výhodou je, že proběhne - bez přerušení – na úrovni Facebooku, tedy bez ohledu na to, jaký prohlížeč uživatel používá. Po dokončení testu dostane uživatel přes Facebook zprávu a může si výsledky testu prohlédnout a vyhodnotit. Pokud dojde k nálezu malware, odstraňování začne hned po skončení testu. Na konci celé operace dostane uživatel zprávu s výsledkem.


Google zdroje otevřeného střelnici, testovací nástroj pro webové aplikace bezpečnostních skenerů
3.12.2014 Bezpečnost
Google má OPEN SOURCE jiný nástroj zabezpečení:. Je to tzv střelnici, a to je efektivní testovací prostor pro řadu automatizovaných webových bezpečnostních aplikací skenerů "střelnice je Java aplikace postavená na Google App Engine a obsahuje širokou škálu XSS a, v menší míře, dalších webových zranitelných míst, "Claudio Criscione, Security Engineer společnosti Google, je vysvětleno v oznámení. Na rozdíl od jiných testů aplikací, které jsou již k dispozici, ten je zaměřen na automatizované řešení, a nikoli lidské testerů. "Náš testbedu není snažit napodobit skutečné aplikace, ani vykonávat funkce prolézání skeneru: je to soubor unikátních chyb vzorů čerpaných ze zranitelností, které jsme viděli v divočině, zaměřené na ověření schopnosti detekce bezpečnostních nástrojů, "dodal. "Použili jsme střelnici i jako průběžné testování podpory, a jako řidič pro náš vývoj, definování tolik typů chyb je to možné, včetně některých, že nemůžeme zjistit (zatím!)." Nástroj byl vytvořen výzkumníky od společnosti Google a Polytechnic University of Milan, protože potřebovali způsob, jak otestovat inkvizici, webové aplikace, bezpečnostní skenovací nástroj společnost vytvořila pro použití v dílně. Zdrojový kód pro střelnici lze nalézt na GitHub . K dispozici je také veřejný instance otevřené pro použití. "Doufáme, že ostatní zjistí, že je užitečné při hodnocení detekční schopnosti svých vlastních automatizovaných nástrojů, a my samozřejmě uvítáme jakékoliv příspěvky a zpětné vazby od širší výzkum bezpečnostní komunity," Criscione uzavřena. To je Nástroj druhý bezpečnostní testy, které Google má open source v posledních dvou týdnech. Začátkem tohoto měsíce se vydala nogotofail , síť testování bezpečnosti nástroj určený k testování zařízení a aplikace pro otázky ověření certifikátu SSL, HTTPS a TLS knihovny chyb / SSL, SSL a STARTTLS odstraňování problémů, a tak dále.


New non-profit CA si klade za cíl, aby se HTTPS používat univerzální
3.12.2014 Zabezpečení
Abyste se stali všudypřítomný, musí šifrování být snadno nastavit a snadno ovladatelný, a to je důvod, proč Electronic Frontier Foundation (EFF), Mozilla, Cisco, Akamai, IdenTrust, a vědci na univerzitě v Michiganu pracují na vytvoření nového certifikátu autoritu. "S uvedením naplánováno na léto 2015, v Pojďme Šifrování bude CA automaticky vydávat a spravovat bezplatných emisních povolenek pro všechny webové stránky, které je potřebuje. Přepínání webserver z HTTP na HTTPS s touto CA bude tak snadné, jako vydávání jeden příkaz, nebo klepnutím jedno tlačítko, " vysvětlil Peter Eckersley, technologických projektů ředitel pro Evropský rybářský fond. "Největší překážkou zavádění protokolu HTTPS byla složitost, byrokracii a náklady certifikátů, které HTTPS vyžaduje," podotkl s tím, že to je to, co se zastavil mnoho administrátorům z přechodu na HTTPS. Pojďme zašifrovat si klade za cíl, aby se tento proces trvat méně než půl minuty. "Pojďme Šifrovat bude zaměstnávat řadu nových technologií pro správu bezpečné automatizované ověření domén a vydávání osvědčení," říká Eckersley. "Budeme používat protokol, vyvíjíme nazývá ACME mezi webovými servery a CA, který zahrnuje podporu pro nové a silnějších forem ověření domény. Budeme také používat Internet celé datové soubory certifikátů, jako například Evropského rybářského fondu vlastní Observatory Decentralizované SSL, University of Michigan scans.io, a certifikát Transparentnost protokoly společnosti Google, aby se rozhodnutí vyšší zabezpečení o tom, kdy je certifikát bezpečné problém. " CA bude také poskytovat veřejné záznamy o všech osvědčeních bude vydávání a odvolávání. Obnovení certifikátů je automatizován. "Stejně jako podkladové internetových samotných protokolů, pojďme Šifrování je výsledkem společného úsilí ve prospěch celé komunity, které jsou mimo kontrolu jednu organizaci," to bylo vysvětleno, nicméně oficiální dozorce projektu je Internet Security Research Group, Kalifornie veřejně prospěšná společnost, která se spolu se zbytkem spoluzakladatelů projektu, budou aktivně pracovat na vytvoření potřebné architektury v době pro plánované spuštění. EFF se na chvíli teď Pracoval na pomoc uživatelům využít HTTPS. S pomocí Tor projektu The, že vytvořila HTTPS Everywhere rozšíření pro Firefox, Firefox pro Android, Chrome a Opera. přechod na HTTPS podporuje rovněž Google, protože společnost oznámila v srpnu letošního roku, že webové stránky pomocí HTTPS bude mít lepší vyhledávání Google žebříčku.


320 porušení hlášené v období od července do září
3.12.2014 Incidenty
Spotřebitelé zažil celou řadu ochrany osobních údajů a bezpečnostní hrozby ve třetím čtvrtletí roku 2014, jak hackeři úspěšně provedla rozsáhlé útoky proti finančních služeb a maloobchodních společností, jakož i osobní on-line účty spotřebitelů a identit.

Od července do září tohoto roku, bylo 320 porušení hlášeny po celém světě, což je nárůst o téměř 25 procent ve srovnání se stejným obdobím loňského roku, a více než 183 mil zákaznické účty a datové záznamy obsahující osobní nebo finanční údaje byly buď odcizení nebo ztráty, , podle SafeNet Jednotlivci také cítil o ochraně osobních údajů špetku s porušením dochází ve třech hlavních spotřebitelských aktivit: jejich bankovnictví, nákupy a on-line identity. Finanční služby (42%) a maloobchod (31%) dosáhli nejvyššího místa mezi všemi odvětví z hlediska počtu napadených zákaznických účtů a datových záznamů. Následovaly porušení zahrnující technologii a osobní on-line účty (20%), jako je e-mail , hry a další služby cloud-based. Kromě toho, krádeží identity také získala první místo mezi typy narušení dat, což představuje 46% z celkového počtu. "Hlavy spotřebitelů, musí být točí jako se zločinci jsou snadno získání přístupu k jejich kreditní karty, bankovní a osobní informace na každém kroku , "řekl Tsion Gonen, ředitel vývoje v SafeNet. "" Firmy by měly převzít porušení a plán podle toho. Je třeba zavést technologie a programy, které minimalizují dopad porušení na vrcholu tradiční prevence. Jak to znamená, že tyto technologie jsou prostě není používán v plném rozsahu buď spotřebitelé nebo společnosti. "

"Maloobchodní průmysl byl důsledně zasáhla s přestupků. Zločinci chtějí mít přístup k platební kartou a bankovní informace pro finanční zisk nebo získat osobní údaje použít ke krádeži identity. Zákazníci byli velmi tolerantní těchto porušení, protože mají pocit, že Tento přístup může být opraveno někdo jiný, jako banka nahrazující ukradené kreditní karty. Nicméně, tato nová vlna online porušení identity je mnohem závažnější pro jednotlivce. Jakmile byla zobrazena a unikly on-line vaše osobní fotografie nebo soukromé zprávy, není kterým se to. Tyto položky bude navždy v kybernetickém prostoru pro vaše budoucí zaměstnavatele, přátele a rodinu, aby přístup, "pokračoval Gonen. "I když to není překvapující, že sofistikované zločinci jsou i nadále pokoušet těchto porušení, co je překvapivé, je to, že opět jen o 1% porušil záznamy byly zašifrovány. Nyní je čas, aby zákazníci požadovat, aby jejich osobní údaje budou zašifrovány společnosti, "dodal. Podle typu porušení dat

Přístup k účtu: 86393338 záznamy, nebo 48%, a 39 porušovat incidenty údajů nebo 12% všech incidentů
Finanční Přístup: 58453288 záznamy, nebo 33%, a 52 porušovat incidenty údajů nebo 16% všech incidentů
Krádež identity: 30717154 záznamy, nebo 17%, a 147 mimořádných událostí nebo 46% všech incidentů
Rušení: 3.195.285 záznamů nebo 2%, a 46 mimořádných událostí nebo 15% všech incidentů
Existenciální Data: 116.220 záznamů nebo <1%, a 36 porušovat incidenty údajů nebo 11% všech incidentů.
Podle zdroje
Škodlivé Outsiders: představovaly 173835350 datových záznamů ukradených nebo 97% a 172 narušení dat událostí nebo 54%
Náhodné ztrátě: Tvořily 2795235 datových záznamů ztracených nebo 1%, a 77 narušení incidentů údajů nebo 24%
Stát Sponsored: Tvořily 2075584 datových záznamů ukradených nebo 1%, a 24 narušení incidentů údajů nebo 7%
Hacktivists: tvořily 117.105 datových záznamů ukradených nebo <1%, a 8 narušení incidentů údajů nebo 3%
Škodlivé Zasvěcenci: Tvořily 52.011 datových záznamů ukradených nebo <1%, a 38 narušení incidentů údajů či 12%.
Tím, zeměpisu

USA hlášeno více datových narušení než jakákoli jiná země s 199 mimořádných událostí (nebo 62%), následovaná Spojeným královstvím s 33 incidentů (nebo 10%), Kanada s 14 incidentů (nebo 4%), Austrálie s 11 incidentů (nebo 3%), a Izrael s 10 událostí (nebo 3%).
Severní Amerika: 215 mimořádným událostem nebo 66%
Jižní Ameriky: 2 událost nebo 1%
Evropa: 51 incidentů nebo 16%
Střední východ a Afrika: 21 incidentů nebo 7%
Asia-Pacific: 31 incidentů nebo 10%.


Zdrcující optimismus pro informační bezpečnost v roce 2015
3.12.2014 Analýzy
Očekávání pro bezpečnost dat v příštím roce jsou překvapivě optimistické vzhledem drsná realita 2014, což byl nejhorší rok v záznamu o narušení dat, podle nového průzkumu ThreatTrack bezpečnosti. Bezpečnostní Enterprise staffers jsou tak přesvědčeni, že 81% respondentů uvedlo, že by se "osobně zaručit, že data zákazníků jejich společnosti budou v bezpečí v roce 2015."

"Teď je čas, kdy dodavatelé bezpečnostních řešení a analytici se jejich předpovědi o tom, co 2015 přinese, ale my jsme se rozhodli jít přímo k lidem, kteří jsou skutečně v zákopech, které se zabývají nejnovějšími kybernetickými útoky a chrání data, jejich organizace 'na den -až-denní základ, "řekl Julian Waits, Sr., generální ředitel společnosti ThreatTrack bezpečnosti. "To, co jsme zjistili, je, že odborníci na bezpečnost jsou vrcholně přesvědčeni, že jejich schopnost bránit proti narušení dat a pokročilé škodlivého softwaru se zlepší v roce 2015. To optimismus se zdá zakořeněný v jejich rostoucí důvěře ve vedení poskytované jejich CISO a skutečnosti, že očekávají, že investovat do nových kybernetické bezpečnosti řešení, včetně pokročilých technologií detekce hrozeb a ohrožení zpravodajských služeb, "dodal Waits. zjištění průzkumu z průzkumu patří:

Přes 68% všech respondentů se cítí jejich organizace je více pravděpodobné, že bude terčem kybernetického útoku v příštím roce, 94% jsou optimističtí, že schopnost jejich organizace, aby se zabránilo narušení dat zlepší v roce 2015.
Typy hrozeb, které organizace jsou nejvíce znepokojeni v roce 2015 jsou pokročilé přetrvávající ohrožení (APT) (65%), cílené útoky škodlivého softwaru (61%) a kopí phishing útoky (42%). Firmy se obávají hrozby pro mobilní (22%) nejméně.
Respondenti vidět rychlost a priority, jak je důležité, aby posilující kybernetické obrany v roce 2015. Na otázku, co je jejich společnost potřebuje k tomu příští rok zabránit tomu, aby se stal další narušení dat titulek.
95% bezpečnostních staffers věří, vrcholové vedení bude více reagovat na doporučení ohledně bezpečnosti svého týmu v roce 2015, což naznačuje, že CISO jsou stále úspěšnější při řízení zlepšování v podniku kybernetické bezpečnosti.
Na otázku, co časově nejnáročnější část jejich práce bude v roce 2015, top odpověď, bezpečnostní staffers byl "vyšetřování výstrahy zabezpečení identifikovat hrozby, které představují největší riziko pro organizaci." To znamená, že téměř jeden ze čtyř respondentů (22%) očekává, že tráví většinu svého času honí příčinu hlášených incidentů. Dokonce i organizace, které již investovaly do obrany příští generace stále čelí překážku strávit příliš mnoho času a cenné zdroje, které určí, které hrozby představují největší riziko pro jejich data, než jsou schopni zahájit účinnou reakci. "Jednou z největších překážek Cybersecurity je naprostý objem záznamů vytvořených všemi obrany organizace nasazených, neschopnost rozlišovat vysokou prioritu, vysoké incidenty rizik a rozpoznat, kdy záměrný, cílený útok dochází byl přímo spojen s několika porušení vysoce postavených v poslední rok, "dodal Waits. "Detekce sama o sobě nestačí V roce 2015, organizace je třeba se podívat směrem k nové plemeno kybernetické obrany, které jim umožní identifikovat a zabít aktivní kampaně dřív. - Před tím, než jsem porušil citlivých dat. - A stanovit priority nehodách reakce" nezávislý slepý Průzkum 250 sídlem v USA bezpečnostní IT pracovníků, v podnicích s nejméně 2000 zaměstnanců, byla provedena podle názoru záleží jménem ThreatTrack bezpečnost v říjnu 2014.


DDoS útoky nadále klesat ve velikosti a frekvence
3.12.2014 Počítačový útok
Nejnovější up-and-nadcházející země původu, pro DDoS útoky budou Vietnam, Indii a Indonésii v roce 2015, v závislosti na Black Lotus. I když tyto země nemají potřebnou šířku pásma zahájit masivní DDoS útoky, objem ohrožení koncového bodu zařízení, jako jsou mobilní telefony, aby byly hlavními zdroji nových botnetů. Čína na špičce seznamu předních zdrojů DDoS útoků ve 3. čtvrtletí 2014, následované Spojenými státy a Ruskem.

Tým zmírnění Black Lotus očekává, že útočníci budou i nadále uchylovat k non-zesílení útoků, pokud není k dispozici dostatek zranitelné systémy k dispozici pro využití metod odrazem, a oni očekávají nárůst mobilních DDoS útoky a rychle se rozvíjející země zvýšit využití smartphone účastníka, IT manažeři a bezpečnostní týmy se budou muset přizpůsobit strategie na rukojeť cílené, multi-vektorové útoky zmařit výpadků spíše než objemových metod, při přípravě na rostoucí objem paketů, které mohou nasycení své stávající DDoS ochranná opatření. Největší bit Objem DDoS útok pozorovány během sestavy bylo 15,2 Gbps 3. září, výrazný pokles v objemu od začátku roku 2014, vzhledem k NTP a jiné typy zesílení útoků stále obtížnější provést bez dostatečných NTP zranitelnosti. Spíše než používat objemové útoky přemoci servery, organizace by měly mít na pozoru před cyber útočníci zaměřují zásadní porty zmařit legitimní provoz nedosahují pro on-line cílů. 73 procent z 201.721 útoků zaznamenaných v průběhu 3. čtvrtletí 2014 byly považovány za závažné, z nichž téměř polovina byla SYN flood útoky a 15 procent cílené webové servery (HTTP) a název domény služby ( DNS). Průměrný útok v průběhu období, na které bylo 3,2 Gbps, trvalý nárůst v bitovém objemu a 1,0 milionů paketů za sekundu (MPPS), pokračující pokles objemu paketu od posledního čtvrtletí. To naznačuje změnu metod útoku ze strany velkých objemových útoky ze sítě až po složité útoky pomocí více vektorů, s oběma vrstev útoky aplikací a SYN flood útoky smíchány dohromady, což znamená, bezpečnostní odborníci budou muset využít zmírnění inteligentní DDoS spíše než rozpočtování navíc šířku pásma sítě. "DDoS útoky i nadále klesat ve velikosti a četnosti v roce 2014, což je snazší pro řádu jednoho dopravce sítě s nadměrnou kapacitou, ale přesto složité řídit organizací s menší šířkou pásma," řekl Shawn Marck, ČSÚ Black Lotus. "Rozšířený vzdělávání způsobů, jak zmařit NTP způsobila útočníkům se uchýlit na pravý a vyzkoušený směsi SYN flood a aplikací útoky vrstev, které jsou velmi obtížně zmírnit pomocí běžného síťového hardwaru, protože tyto typy se zaměřují na stejný port potřebné sloužit legitimní uživatele.


Jedna miliarda útoky byly blokovány ve třetím čtvrtletí
3.12.2014 Analýzy
Více než miliarda nebezpečné útoky byly detekovány a blokovány během třetího čtvrtletí, podle společnosti Kaspersky Lab. Jedna třetina z webových útoků byly prováděny za použití škodlivé webové zdroje hostí ve Spojených státech. Útoky mobilní malware byly zjištěny ve 205 zemích, ukazuje neadresné hromadné útoky se stávají skutečně globální.

Q3 v číslech:
Více než miliarda nebezpečné útoky byly blokovány na počítačích a mobilních zařízeních uživatelů Kaspersky Lab - 33,1 procent více než v předchozím čtvrtletí.
Dva cyber-špionáže kampaně - krčí Yeti a Epic Turla - postiženy více než 2800 obětí vysoce postavených v nejméně 10 průmyslových odvětví, jako jsou vládní instituce, velvyslanectví, vojenské, výzkumnými organizacemi a IT firem.
Asi 110 milionů unikátních URL, které spustily webové antivirové detekce byly zaznamenány - 31 procent více než ve 2. čtvrtletí.
74500 nové mobilní malware vzorky byly přidány do sbírky společnosti Kaspersky Lab. To je o 14,4 procenta více než ve 2. čtvrtletí.
Více než 7000 Mobilní bankovnictví trojské koně byly zjištěny - 3,4 krát více než v předchozím čtvrtletí.
Bankovní Trojan útoky byly zjištěny v 70 zemích, ve srovnání s 31 zeměmi ve 2. čtvrtletí.
V tomto čtvrtletí byly také změny v top pěti hlavních zdrojů webových útoků. Ve 2. čtvrtletí, prvních pět pozic v žebříčku obsadili Německo, USA, Nizozemí, Ruska a Kanady, resp. Ve 3. čtvrtletí v USA udělal velký skok (11,2 pb), přistání na nejvyšší pozici s 33%. Německo klesl na třetí místo (13,5%) a Nizozemí posunul na druhé místo (18%). Ukrajina dosáhl páté místo (4%), tlačí Kanada z Top 5. Rusku zůstal na čtvrté místo s 9%. "Ve 3. čtvrtletí, antivirové moduly Web byl spuštěn alespoň jednou o téměř jednu třetinu počítačů, zatímco majitelé surfování na webu , Toto číslo klesá o jeden rok: ve 3. čtvrtletí 2013 to bylo 34,1 procenta, v 1. čtvrtletí 2014 klesl na 33,2 procenta a od 2. čtvrtletí "zamrzl" na 29,5 procenta. To je způsobeno řadou faktorů. Za prvé, prohlížeče a vyhledávače začali pomáhat v boji proti škodlivé weby. Za druhé, tam bylo méně útoky zasahující exploit balení po zatčení několika vývojářů. Nicméně, bylo by naivní očekávat, že použití využije, aby šel ostře: využije zůstat malware způsob doručení volby v případě cílených útoků, "řekla Maria Garnaeva, bezpečnostní výzkumník u Global Research a Analysis Team, Kaspersky Lab.


OpenVPN serveru DoS zranitelnosti pevné
3.12.2014 Zranitelnosti
OpenVPN lidé vydala informační zpravodaj zabezpečení včera a aktualizace svého serverového softwaru na zranitelnost, který existoval ve zdrojovém kódu od roku 2005. CVE-2014 - 8104, je zranitelnost, která může vést k serveru OpenVPN zřítilo při poslal příliš krátký ovládání kanálů paketu. Všimněte si, že v jejich slov "certifikáty klienta a TLS Díla bude chránit před to využít, pokud všichni klienti OpenVPN lze věřit, že neměla být ohrožena, a / nebo škodlivé." Když čtu to správně, to znamená, že přidání "TLS-auth <keyfile> (0 | 1). "(Podle potřeby) a konfiguračních souborů na obou serverem a klientem, stejně jako použití klientských certifikátů by měly chránit před tímto útokem Lidi běží OpenVPN server se důrazně doporučuje aktualizovat v2.3.6 co nejdříve. opravy byly také backported na v2.2 a lze je nalézt v git repozitáře, ale mohou také existovat v dřívějším v2.x kódu, jestli je někdo stále běží starý serverový software. Všimněte si, že v3.x kód používaný ve většině klientů OpenVPN Connect (jako například pro Android a iOS), nejsou ohroženy. Moje systémy Ubuntu dostal aktualizaci v noci, takže pokud používáte server OpenVPN na Linuxu doufejme záplaty jsou k dispozici na obvyklých aktualizace balíčku mechanismu nebo brzy bude.


Má vaše Vulnerability Scanner Speak portugalsky?
3.12.2014 Zabezpečení
Rodrigo Montoro a Joaquim Espinhara udělal zajímavý test a tak jako mnoho zajímavých testů, to je vlastně docela zřejmé, ve zpětném pohledu: Dívali se na různých zranitelností skenerů, a zkontrolovat, jak se chovají, pokud webová stránka je kódován v jiném jazyce, než anglické [ 1]. Rychlá odpověď: Jsou skoro nezdaří. Prezentace se dívá na pár open source a komerčních skenery, a hodil na Snortem jako IDS. Ukázalo se, že všechny skenery (a odfrkl) mají problémy, v nichž uznala důkazy zranitelnosti (jako chybové hlášení SQL), v případě, že jazyk se změní na nic jiného než anglicky.

Poučení?

- To není jen věřit svému Vulnerability Scanner. "Čistý účet" ze základního Vulnerability Scanner neznamená, že nemáte žádné slabiny.
- sledovat své chybové hlášky, zatímco skenování probíhá. Můžete najít mnohem více důkazů o problémech, které tak či onak, a to zejména, pokud nejste velmi vstřícní o chybových hlášení.
- nastavení skeneru (a v případě odfrkl: Vaše IDS) správně. Možná upravit konfiguraci serveru, aby bylo jednodušší pro skener najít problémy.
- a ano ... web napsaný v Klingonů je pravděpodobně mnohem obtížnější proniknout, ale také ne, že užitečné (neplatí!)

Na podobném Poznámka: Některé weby používají různé kódy pro různé jazykové verze webu. V tomto případě je velmi důležité testovat všechny jazykové verze, které nemusí být snadné.

[1] http://www.slideshare.net/spookerlabs/lost-in-translation-blackhat-brazil-2014


Dridex Phishing Kampaň využívá škodlivého Word dokumenty
1.12.2014 Phishing
Toto je hostem deník předložil Brad Duncan.

Během posledních několika měsíců, botnet založené kampaně jste odeslali vlny phishingové e-maily související s Dridex. Dnes budeme zkoumat vlnu, která nastala přibližně před 3 týdny. E-maily obsahovaly nebezpečné dokumenty Word, a makra povolena, tyto dokumenty nakažený počítačů se systémem Windows s Dridex malware.

Různí lidé zaslali asi Dridex [1] [2], a některé stránky, jako je Dynamoo blogu [3] a TechHelpList [4], často o těchto a dalších phishingovými kampaní.

Pojďme se blíže podívat na jednu z listopadových phishingových vln.

On 11.11.2014, viděl jsem nejméně 60 e-mailů s duplicitními platbě obdržený v předmětu. To se zdá být botnet založený na kampaň z napadených počítačů na různých místech po celém světě.

Tyto zprávy měly komponentu HTML, a někteří také měl snímek zobrazující podpis.

Po otevření přiložený dokument aplikace Word na hostiteli se systémem Windows, Dridex byl stažen pokud by byla povolena makra. Post-infekce provoz začal krátce po stažení.

Nahoře: infekce provozu, jak je vidět v Wireshark.

Sledování infekce provoz na zabezpečení cibulkou, jsme zjistili, upozornění na Dridex provozu od EmergingThreats podpisu souboru (ET TROJAN Dridex POST Checkin) [5]

Zobrazený nahoře události z Sguil v bezpečnostních cibule.

Soubor hash změnit během této vlny e-mailů, což naznačuje, byly použity alespoň 3 různé dokumenty Word. Během tohoto phishing běhu, Dridex malware přišel z IP adresy v 62.76.185.0/24 bloku. Doplňuje se vzorků bylo zjištěno:

Příklad škodlivého dokumentu aplikace Word z 11.11.2014 phishingový e-mail:

https://malwr.com/analysis/M2M2ZDQxM2M2NzFhNDllZDhjMjQzMjAyYzRkNWZhYTA/

Příklad Dridex malware staženého podle výše uvedeného dokumentu aplikace Word:

https://malwr.com/analysis/YzA3ZDY0ODE2ZjY5NDE3NTlhZjkyNTg3NTIwNDljM2I/

Reference :

[1] http://stopmalvertising.com/malware-reports/analysis-of-dridex-cridex-feodo-bugat.html
[2] http://www.abuse.ch/?p=8332
[3] http: //blog.dynamoo.com/
[4] https://techhelplist.com/index.php/spam-list/
[5] http://doc.emergingthreats.net/2019478


Vypláchnout Crypto Rats - Hledání "Bad Šifrování" na vaší sítě
1.12.2014 Viry
Stačí, když lidé dostat kolem zavádění SSL, musíme odejít SSL! Není týden, jde koupit, že klient je mi zranitelnosti ptát SSL (TLS nebo častěji), nebo hledání problémů v jejich síti.

V nedávném případě, můj klient právě dokončil audit datových center / PCI, a měl jeden z jeho serverů přijít as pomocí SSL 2.0, což samozřejmě se již nepoužívá od roku 1996 - doporučení auditora byla aktualizace k SSL 3.0 (špatný doporučení , čtěte dál o). Když pak byl aktualizován, aby SSL 3.0 a byl znovu zkontrolován, skener samozřejmě našel problémy s * že * příliš - a doporučení ke změně aktualizovat TLS 1.1 nebo 1.2 - SSL 3.0 má svůj vlastní soubor otázek, včetně rozruchu kolem nedávný POODLE zranitelnost.

To ukazuje dvě věci ve skutečnosti:

1 / waaay příliš mnoho hodnocení se skládá z skenování cíl, a vkládání výstup nástroje skenování do závěrečné zprávy.

2 / V tomto případě osoba, psaní zprávy se buď nečetl text byli vkládání, nebo nebyla dostatečně znalý, aby pochopili, že aktualizace od SSL 2 SSL 3, nebylo dostane ke konečnému "dobrého" stavu. Hanba na ně v obou směrech!

Jako vedlejší poznámku, pokud v areálu hotelu (to bylo v interní síti zapamatovat) běžel starý dobrý HTTP, pak skener by to zjistila problém, a osoba za skeneru by se velmi pravděpodobně vynechal to úplně! (OOPS)

Mimochodem, můj klient je * skutečné * otázkou bylo, " jak můžeme kontrolovat naši síť pro zranitelné verze SSL a šifer, ale ne platit velké peníze za nástroj podnikového skenování nebo poradce? "

Moje odpověď byla (ten den) - NMAP samozřejmě!

Chcete-li zkontrolovat slabých nebo silných šifer na serveru nebo podsítě, použijte skript "ssl-enum-šifer"

Nmap pn -p443 isc.sans.edu --script = ssl-ENUM-šifry (Bojan kryté tohle v nějakém detailu v srpnu, v https://isc.sans.edu/diary/18513 )

Spuštění Nmap 6.47 (http://nmap.org) v 2014-11-27 09:42 východního standardního času

Nmap skenování zpráva za isc.sans.edu (66.35.59.249)
hostitel je nahoru (0.097s latence).
rDNS záznam pro 66.35.59.249: isc.sans.org
PORT STATE SERVICE
443 / tcp open https
| SSL-výčtu-kódy:
| SSLv3: Ne Podporované šifry nalezeno
| TLSv1.0:
| šifry:
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA - silný
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA - silný
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - silný
| TLS_RSA_WITH_3DES_EDE_CBC_SHA - silná
| kompresory:
| NULL
| TLSv1.1:
| šifry:
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA - silný
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA - silná
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - silný
| TLS_RSA_WITH_3DES_EDE_CBC_SHA - silná
| kompresory:
| NULL
| TLSv1.2:
| šifry:
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA - silný
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA - silný
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 - silný
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 - silný
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 - silný
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - silný
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 - silná
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 - silná
| TLS_RSA_WITH_3DES_EDE_CBC_SHA - silná
| kompresory:
| NULL
| _ alespoň síla: silný

Nmap provést: 1 IP adresa (1 hostitel nahoru) naskenovány 34,63sekunda

Můžete skenovat speciálně pro SSHv2 zařízení pomocí skriptu "sshv2.nse"

Nmap pn -p443 --open 192.168.122.0/24 --script = SSLv2

Jejda - to sken našel Server Admin kartu (iLO ekvivalent) v domácí síti, že jsem si myslel, že jsem se aktualizují (my špatný)

Nmap skenování zpráva za 192.168.122.246
Hostitel je nahoru (0.029s latence).
PORT STATE SERVICE
443 / tcp open https
| SSLv2:
| SSLv2 podporované
| šifry:
| SSL2_DES_192_EDE3_CBC_WITH_MD5
| SSL2_RC2_CBC_128_CBC_WITH_MD5
| SSL2_RC4_128_WITH_MD5
| SSL2_RC4_64_WITH_MD5
| SSL2_DES_64_CBC_WITH_MD5
| SSL2_RC2_CBC_128_CBC_WITH_MD5
| _ SSL2_RC4_128_EXPORT40_WITH_MD5
MAC Address : 00: E0: 81: CE: 9E: 74 (Tyan Computer)

NMAP má také skripty ssl-heartbleed skript (pokud jste stále zaměřuje na to), a má ssl-pudl skript, ale budete muset stáhnout, že jeden z jejich stránky skript na http://nmap.org/nsedoc / scripts / - to není v základní instalace.

A když už jsme u toho, podívejte se na šifry podporu na jakémkoliv SSH povolen zařízení v síti - budete pravděpodobně překvapeni, co najdete. Například, to je správa rozhraní mé domácí firewall - nejsem nadšený 3DES-CBC a podpora MD5, ale myslím, že je to důvod, proč je tu nový firewall v krabici, jen čeká na volný den, pro mě vyměnit to v myslím.

Nmap pn -p22 192.168.122.1 --script = SSH2-enum-algos.nse

Spuštění Nmap 6.47 (http://nmap.org) v 2014-11-27 17:02 východního standardního času

Nmap zprávu kontroly na 192.168.122.1
Hostitel je nahoru (0.0020s latence).
PORT STATE SERVICE
22 / tcp open ssh
| SSH2 výčtu-algos:
| kex_algorithms: (1)
| RSA-skupina1-SHA1
| server_host_key_algorithms: (1 )
| ssh-rsa
| encryption_algorithms: (4)
| aes128-CBC
| 3DES-CBC
| aes192-CBC
| AES256-CBC
| mac_algorithms: (4)
| HMAC-SHA1
| HMAC-sha1-96
| HMAC-md5
| hmac- md5-96
| compression_algorithms: (1)
| _ žádný
MAC Address: C8: 4C: 75: DA: 31: E3 (Cisco Systems)

Nmap provést: 1 IP adresa (1 hostitel nahoru) naskenovány 47,39sekunda

Nebo, pro skutečné zjevení, skenovat podsítě pro SSHv1 mobilních zařízeních - na vědomí, že tato kontrola (a předchozí), předpokládá, že vaše SSH služba je na portu 22. V "nulovou znalostí" skenování, měli byste samozřejmě snímat širší rozsah portů (všechny z nich v případě, že je čas na to):

Nmap pn -p22 192.168.122.0/24 --script = sshv1.nse

Tato kontrola nenašel nic v mém domě, ale to vždycky * * najde věci na místě klienta!

Co crypto podpora problémy jste zjistili, když jste kontrolován na ně? A jak dlouho si věc, kterou tyto problémy byly tam? Prosím, podělte se o svůj příběh pomocí našeho odkazu komentář!


ReadyNAS OS nabízí 5 úrovní ochrany dat
1.12.2014 Ochrana
NETGEAR vydává novou verzi svého operačního systému ReadyNAS pro své ReadyNAS rodinu desktop a rack-mount zařízení NAS.

ReadyNAS OS 6.2 nabízí řadu vylepšení v oblasti ochrany dat, zálohování, synchronizaci a cloud-based použitelnost. Díky ochraně proti bitrot mediální degradaci, stejně jako malware, jeho pět úrovní obrany nyní nabízíme souborů a ochranu fotografií. Tato nová schopnost je přidán do již existujících bezpečnostních opatření, jako je automatická ochrana RAID proti selhání disku, point-in-time obnovy s exkluzivní technologií snímků , volný real-time antivirový software, a mimo pracoviště replikace do cloudu nebo druhého ReadyNAS. ReadyNAS OS zajišťuje soubory mohou být automaticky zálohovat z zařízení se systémem Windows nebo Mac, a to dělá ReadyNAS první Network Attached Storage zařízení nabídnout lidem možnost vybrat libovolnou složku na NAS jako synchronizační složky do PC. Nabízí Podpora Apple Time Machine zálohování pro počítače Mac a schopnost vytvořit vlastní virtuální cíl pro každého uživatele. Díky nové ReadyNAS OS, sdílení obsahu nebylo nikdy snazší, nebo bezpečnější, protože NETGEAR usměrnil cloud-based zážitek nastavení. NAS nabízí cloud-based nastavení na 100% bez nutnosti stažení klienta. Prostřednictvím NETGEAR ReadyCLOUD, zákazníci nyní mohou těšit stejného jediného jednotného webového rozhraní při přístupu ReadyNAS buď z domova nebo pryč, s plnými možnostmi správy dat z libovolného zařízení připojeného k internetu. Mezi další funkce patří použitelnosti snadnou instalaci jednotky a hot swap, jeden Klik pro sdílení souborů přes odkaz na internetovou stránku, a disk spin-down pro úspory energie. Dropbox podobné schopnosti a Google Drive-styl přístupnost ReadyNAS OS vytváří bezpečné, privátní cloud zážitek, který je lepší, než jakékoli jiné zařízení NAS na trhu - a bez probíhající vstupního poplatku.


Otevřená Whisper Systems pomáhá WhatsApp dosáhnout end-to-end šifrování
1.12.2014 Zabezpečení
Nesmírně populární Whatsapp instant messenger má potenciál stát se ještě atraktivnější volbou pro uživatele, protože firma spolupracuje s otevřenými Whisper Systems realizovat TextSecure protokolu je uvedeno jejich do svých klientů. Zdá se, že oba týmy pracují na zprovoznění sítě pro v posledních šesti měsíců. Zatím šifrování end-to-end poskytuje protokol je k dispozici pouze v posledním klientem WhatsApp Android, a to pouze pro textové zprávy, ale podpora pro šifrované zprávy pro skupinový chat nebo mediálních zpráv je brzy . "WhatsApp běží na neuvěřitelné množství mobilních platforem, tak plné nasazení bude inkrementální proces, jak přidat podporu TextSecure protokolu do každého klienta platformy WhatsApp," Tým Otevřené Whisper Systems sdílené v oznámení . "Máme způsoby, jak jít, dokud nejsou plně podporovány všechny mobilní platformy, ale rychle se pohybující směrem světě, kde všichni uživatelé WhatsApp dostanou end-to-end šifrování ve výchozím nastavení." "Budeme se také povrchové úpravy možnosti ověření klíče u klientů, protože integrace protokolu jsou dokončeny, "dodali. Také to neznamená, že OWS opouští rozvoj svého TextSecure aplikace, která byla v nedávné době audit skupina OD německé výzkumných pracovníků. "Jsme rádi, že to, co začlenit jsme se dozvěděli z této integrace do našich budoucích rozhodnutí designu, a aby tuto zkušenost mít na integrací, které děláme s jinými společnostmi a produktů v budoucnu, "oni poznamenal.


Cisco zdroje otevřeného Big data rámec analytics zabezpečení
1.12.2014 Bezpečnost
"Technicky pokročilé útočníci často zanechávají ponětí, na základě důkazů o jejich činnosti, ale je odhalení obvykle zahrnuje filtrování přes hory protokolů a telemetrii. Použití velkých analytických údajů k tomuto problému se stalo nutností," upozornil Cisco Security Solutions manažer Pablo Salazar před oznámil, že společnost je otevřená získávání jeho OpenSOC Big data rámec pro analýzu bezpečnosti.

"Rámec OpenSOC pomáhá organizacím, aby velkou část dat jejich technické bezpečnostní strategie, neboť poskytuje platformu pro použití detekce anomálií a incidentů forenzní k problému ztráty dat," řekl vysvětlil . OpenSOC integruje prvky Hadoop ekosystému, jako jsou bouře, Franz Kafka a ElasticSearch, a nabízí následující možnosti:. full-paket zachytit indexování, uchovávání, obohacení dat, zpracování stream, dávkové zpracování, real-time vyhledávání, a telemetrie agregace fakt, že všechny tyto údaje jsou poskytovány prostřednictvím centralizovaná platforma umožňuje zabezpečení Analytici odhalit problémy a reagovat rychle. Důraz je kladen na poskytování údajů popraven "rychle" - v reálném čase, ve skutečnosti - a to vše na jednom místě, takže analytici nemusí se podívat na četné zprávy a zdrojů a drahocenný čas procházením nestrukturovaných dat. "Jako open source řešení, OpenSOC otevírá dveře pro každou organizaci vytvořit detekce incidentů nástroje specifické pro jejich potřeby, "Salazar poukázal. "rámec je vysoce rozšiřitelný:. Každá organizace, která může přizpůsobit jejich proces incidentu vyšetřování může být přizpůsobena spolknout a zobrazit jakýkoliv typ telemetrie, zda je pro specializované lékařské zařízení nebo na zakázku postavený pokladních zařízení. Díky využití Hadoop, OpenSOC má také foundational stavební kameny vodorovně měřítko množství dat, shromažďování, ukládání a analýzy založené na potřeby sítě. " Další informace o nástroji, vyzvednout kód, a uvidíte, jak může přispět k tomu, podívejte se na oficiální projekt a jeho strana GitHub .


Kritické faktory při prevenci narušení dat
1.12.2014 Zabezpečení
McAfee vydala novou zprávu, která hodnotí schopnosti organizací "odhalit a odvrátit cílené útoky, odhaluje horní osm nejdůležitější ukazatele útoku, a zkoumá osvědčené postupy pro aktivní reakce na incidenty. A průzkum zadala Intel bezpečnosti a provádí Evalueserve ve spojení s Zpráva naznačuje, že většina společností postrádají důvěru ve svou schopnost odhalit cílené útoky včas.

. Dokonce i společnosti, nejlépe připraveni zvládnout cílené útoky si udělali čas, aby prošetřila vysoké objemy událostí, což přispívá k pocitu naléhavosti a organizační zaměření na tvůrčích přístupů k dřívější odhalení a další účinné zmírnění Klíčová zjištění patří:

74% respondentů uvedlo, že cílené útoky jsou prvořadé pro své organizace.
58% organizací vyšetřoval 10 nebo více útoků v loňském roce.
Pouze 24% společností jsou přesvědčeni, ve své schopnosti detekovat útok během několika minut, a těsně pod půl řekl, že bude trvat dny, týdny, nebo dokonce měsíce před tím, než si všiml podezřelého chování.
78% z těch, které dokáže detekovat útoky v několika minutách měl aktivní, real-time informační bezpečnosti a Event Management (SIEM) systému.
Polovina dotazovaných společností uvedlo, že mají dostatečné nástroje a technologie pro vyšší reakci na incidenty, ale často rozhodující ukazatele nejsou izolovány od množství záznamů generovaných, umístění zatížení IT týmy, které zkoumají data hrozeb.
"Jediné, co získat vedení ruky oproti útočníky, když se tento problém řešit čas potřebný k objevu," řekl Ryan Allphin, Senior Vice President a generální ředitel, řízení bezpečnosti na Intel Security. "Zjednodušit zběsilé práci filtrování oceán výstrah a ukazatelů se v reálném čase a zpravodajství, a můžete rychle získat hlubší pochopení významných událostí, a přijmout opatření k omezení a odrazit útoky rychlejší." S ohledem na význam určení kritických ukazatelů Zpráva odhalila top osm nejčastější útoky činnosti, které úspěšné organizace sledovat odhalit a odvrátit cílených útoků. Z nich pět odráží sledování akce přes uplynulý čas, ukazující, že je důležité kontextové korelace: 1. Vnitřní hostitelé komunikující se známými špatnými destinací nebo do cizí země, kde organizace nemají podnikat. 2. Vnitřní hostitelé komunikující na externí hostitelů pomocí nestandardní porty nebo protokol / Port neshody, jako je odeslání Shelly (SSH), spíše než HTTP na portu 80, výchozí webový port. 3. Veřejně přístupné nebo demilitarizované zóny (DMZ) hostitelé komunikující na interní hostitele. To umožňuje leapfrogging z vnějšku dovnitř a zpět, umožňující datovou průsaků vody a vzdálený přístup k prostředkům. To neutralizuje hodnotu DMZ. 4. Off-hodinová detekce malware. Záznamy, které se vyskytují mimo standardní obchodní provozních hodin (v noci nebo o víkendech), by mohl signalizovat ohrožena hostitele. 5. Síťové skenování podle interních počítačů komunikujících s více počítačů v krátkém časovém horizontu, což by mohly prozradit útočníkovi pohybující se do stran v rámci sítě. Hraniční síť obrany, jako je firewall a IPS, jsou zřídka nakonfigurován tak, aby sledování provozu na vnitřní síti (ale může být). 6. Více upozornění na události z jednoho hostitele nebo duplicitních akcí po celé více strojů ve stejné podsíti než 24 hodin, jako je například opakované selhání ověřování. 7. Poté, co byl vyčištěn, systém je znovu napaden škodlivým softwarem do pěti minut po opakované reinfekcích signalizovat přítomnost rootkitu nebo přetrvávající kompromisu. 8. Uživatelský účet se snaží přihlásit do více zdrojů v rámci z / do různých regionů-znamení, že pověření uživatele odcizených nebo že uživatel je až ke zlému. Několik minut "Všimli jsme si, pracovní stanice dělat podivné požadavky na ověření do řadiče domény ve dvě hodiny ráno. To by mohlo být normální činnost, ale může to být také příznakem něčeho nebezpečného, ​​"řekl Lance Wright, senior manažer informační bezpečnosti a dodržování pravidel v Volusion, Commerce poskytovatel řešení přispívající ke zprávě. "Po tomto incidentu jsme se vytvořit pravidlo, které nás upozorní, pokud některý pracovní stanice má více než pět požadavků na ověření během non-pracovní dobu, které nám pomáhají identifikovat útok předčasně, před tím, než údaje je ohrožena." "v reálném čase, inteligence-aware, Technologie SIEM minimalizovat čas na zjišťování, aby se aktivně zabránit porušování základě kontextualizace ukazatelů při analýze a automatických odpovědí zaměřených na politiky, "řekl Allphin. "Díky moc, aby urychlily jejich schopnost detekovat, reagovat, a učit se z akcí, organizace může výrazně posunout jejich stav zabezpečení od toho lovil, na lovce."


Michaels a Staples porušení provádí stejným útočníky?
1.12.2014 Hacking
Útočníci, že kradli informace k platební kartě od spotřebitelů Texas založené na umění a řemesla obchodního řetězce Michaels a mezinárodních kancelářské potřeby obchodní řetězec Staples je pravděpodobné, že ti samí. Podle informací, které Brian Krebs , malware nalezený v Staples obchodech a nalezený V Michaels komunikoval s tytéž sítě C & C. A i když je možné, že tyto sítě byla pronajata, je to také velmi nepravděpodobné, jak vytvářet od nuly, je jednodušší a levnější. Michaels porušení - vlastně dvě porušení: jedna ve svých prodejnách Aaron Brothers a druhý na Michaels obchodech - se konal mezi 8.5.2013 a 27.února 2014, a předpokládá se, že útočníci se podařilo ovlivnit kolem 3 milionů platebních karet přes oslabeným pokladních systémů. Pověsti o porušení Staples byly v oběhu od konce října a podle informací sdílených bankami, zdá se, že registrační pokladny v řadě Staples obchody byly ohroženy mezi červencem a zářím 2014. Podle zdrojů blízkých vyšetřování, asi 100 Staples obchody byly zasaženy. Staples mluvčí Mark Cautela potvrzeno že jsou vyšetřování, ve spojení s policií, "bezpečnostní údaje incident", která ovlivnila některé ze svých obchodech. "Věříme, že jsme vymýtit malware používané v vniknutí a podnikly kroky k dalšímu posílení bezpečnosti naší sítě," řekl.


One-in-čtyři se stali obětí krádeže identity
1.12.2014 Kriminalita
Krádeže identity zařadil jako top obavy mezi spotřebiteli dotazovaných o jejich digitálního životního stylu, podle Centrify. Průzkum 1000 britských spotřebitelů, ukazuje, že 81% respondentů uvádělo, že se jich týkalo, nebo velmi znepokojen vyhlídky, když se jejich identity ukradl. S informace o kreditní kartě ukradl on-line, je také velmi znepokojující, s 79% což ji řadí na druhé místo mezi největšími znepokojení nad možnosti stát se obětí počítačové kriminality (73%). Překvapivě, kybernetická šikana byla nejméně o, s pouze 40% spotřebitelů nevykazují žádné skutečné znepokojení, zatímco soukromí sociální sítě (59%) a e-mailové spam (68%) získaly mnohem vyšší. Průzkum také ukazuje čísla, která mají vysoký , střední nebo nízká "digitální stopa" na základě množství času tráví on-line v typickém týden, posílání e-mailů, textových zpráv a sdílení nebo sledování digitální obrázky, písničky, hry, videa a aplikace. 62% z těch velmi znepokojen krádeže identity má střední digitální stopu, 46% nízký, a 26% mají vysokou digitální stopu. Stejně tak pouze 26% z těch, s vysokým digitální stopu byli znepokojeni mít informace o kreditní kartě ukradené pryč z on-line nakupování internetové stránky a jejich e-mailové účty jsou nevyžádanou poštou, což ukazuje, že ty, které tráví více času online jsou méně znepokojeni jejichž totožnost byla odcizena. Jeden ze čtyř mají určitě, nebo pravděpodobně stali obětí krádeže identity, z nichž 43% navrhl, že to trvalo více než jeden měsíc na to opravit, a jeden z pěti říká, že to trvalo více než 10 hodin. 47% přiznal, že utrácet vlastní peníze, aby tento problém vyřešit, s 28% za zmínku, že strávili alespoň 60 liber (GBP), zdůrazňuje potřebu zvýšené zabezpečení heslem. Tom Kemp, generální ředitel Centrify, poznámky: "Podle náš průzkum, on-line nákupy byly hlavní důvod, že uživatelé si mysleli, že se stal obětí krádeže identity, což podtrhuje důležitost důvěry ve vlastní on-line bezpečnosti. Spotřebitelé mají velmi malou víru v absolutní bezpečnost svých hesel, protože pouze 15% věří, tato hesla jsou velmi bezpečné, bez ohledu na množství a typu použitých znaků. Být schopen zvládnout naše bezpečnost heslo je rozhodující. " Další výzkum zdůrazňuje:

On-line nákupy byly hlavní důvod, že uživatelé si mysleli, že se stal obětí krádeže identity, což podtrhuje důležitost důvěry ve vlastní on-line bezpečnosti.
Skupiny, které jsou s největší pravděpodobností říci, že byli obětí krádeže identity, jsou ty, které pravděpodobně nejlépe pochopit a zaznamenáte projevy krádeže identity: IT pracovníků, on-line nakupujících, vyšší plat pracovníků, tech-důvtipný, a ty, které s vysokou digitální stopa.
Ti, kdo mají nejmenší důvěru, že jejich hesla jsou naprosto bezpečné, patří ty, které méně online nakupování (12%), ve věku 50 - 64 (11%), a ty, které se středně digitální stopu (11%).
Množství spotřebitelů jsou jen trochu věřit, že jejich hesla pro osobní účty nemůže být prasklé pomocí počítačového programu, ale jen málo, jsou velmi jistý.


Top rizikové oblasti 5 podvod na pracovišti
1.12.2014 Analýza
Limited znalosti a povědomí o tom, co představuje důvěrné informace jsou uvedení UK ohrožených podniků se stanou obětí podvodu, pokud tyto materiály nejsou bezpečně zlikvidovány. Zpráva z Shred, to ukazuje, že pětina živnostníky, malé a střední podniky UK (21%) si myslí, že mají žádné dokumenty, které by mohly způsobit jejich podnikání ublížit, kdyby byl ukraden. Nicméně, všechny podniky mají materiál, který by měl být zacházeno jako s důvěrnými v rámci Spojeného království a evropské legislativy v oblasti ochrany údajů, včetně evidence zaměstnanců, klientů faktury, výplatní pásky a e-maily, které obsahují osobní a profesionální informace, včetně toho zákazníků. Nejlépe rizikové oblasti 5 podvod na pracovišti: Tiskárny a kopírky: Mnoho úřady nevyžadují zaměstnanci používat bezpečnostní kód k dokončení tiskové úlohy, což znamená, že důvěrné informace jsou často v tisku a vlevo na tisk stanicích. S cílem zmírnit toto nebezpečí, podniky by měly nařizovat, aby zaměstnanci zabezpečit své tiskové úlohy pomocí bezpečnostního kódu nebo umožnit zaměstnancům tisku důvěrné informace k použití tiskárny ve své vlastní kancelářské plochy. Non-secure nádoby na tříděný odpad a odpadky koše: Likvidace dat nezabezpečené bin je stejně riskantní jako nechat to v tiskárně nebo na psacím stole. Skartovat-all politika eliminuje dohady z procesu a zajišťuje, že zaměstnanci nemají náhodou nechat důvěrné informace v nejistých místech. Drcený materiál také tendenci být recyklován renomovaných poskytovatelů zničení dat - nezapomeňte se zeptat! chaotický stoly: Messy stoly s volným papírování jsou citlivé na špehování a krádeží dat z lidí, a to jak uvnitř, tak vně organizace, jako jsou čisticí prostředky a další třetina -party dodavatelé. Zvažte provádění jasnou stůl politiku a poskytovat uzamykatelné skladovací jednotky, takže zaměstnanci mohou chránit důvěrné informace. skladování IT zařízení: Elektronické zařízení pro ukládání dat jsou velmi pohodlné, když můžete získat přístup k firemní síti, ale také zvyšuje riziko podvodu. Podniky mohou snížit riziko podvodu tím, že vyžaduje, aby byla skladovací zařízení bude podepsána, a zajistit, že jsou bezpečně zničeny, když se dostanou na konci své životnosti. Mobilní pracoviště: S stále mobilnější pracovní síly, mnoho lidí nyní přistupovat ke všem svým souborů doma nebo na cestách. Zatímco výhodné, to znamená, že důvěrné informace může zůstat v oblastech, které jsou nezabezpečené. Společnosti by měly varovat zaměstnance pouze přijmout nebo vytisknout důvěrné informace mimo pracoviště, kdy nezbytně nutné, a poučí je na správné bezpečných postupech likvidace.


TRUSTe podvedl spotřebitelům prostřednictvím svého důvěrného programu
Publikováno dne 18. listopadu 2014. Incidenty
TRUSTe se dohodla na urovnání Federal Trade Commission obvinění, že je oklamal spotřebitele o jeho recertifikační programu praktiky ochrany osobních údajů společnosti, stejně jako lze odvozovat svůj omyl jako neziskový subjekt. TRUSTe poskytuje těsnění pro podniky, které splňují specifické požadavky na programy ochrany soukromí spotřebitelů, které jej spravuje. TRUSTe těsnění zajistit spotřebitelům, že postupy ochrany soukromí podniky "jsou v souladu s konkrétními normami ochrany osobních údajů, jako jsou dětské online ochranu soukromí Act (Coppa) a US-EU Safe Harbor Framework. "TRUSTe slíbil držet společnosti odpovědné za ochranu soukromí spotřebitelů, ale to padalo krátký této zástavy, "řekla předsedkyně FTC Edith Ramirez. "Samoregulace hraje důležitou roli při ochraně spotřebitele. Ale když se společnosti nepodaří dostát svým slibům spotřebitelům, FTC nebude váhat jednat. " Stížnost FTC tvrdí, že od roku 2006 do ledna 2013 TRUSTe neprovedla každoroční recertifikace společností vlastnících těsnění TRUSTe o ochraně osobních údajů ve více než 1000 výskytu Navzdory poskytování informací na svých internetových stránkách, že společnosti, které mají TRUSTe Certified o zachování důvěrného charakteru přijímat recertifikace každý rok. Kromě toho, stížnost FTC tvrdí, že od té doby TRUSTe se stala nezisková společnost v roce 2008, společnost se nepodařilo požadovat, aby společnost pomocí Truste těsnění aktualizovat odkazy na status neziskové organizace. Před převodem z non-zisk na neziskové, TRUSTe pokud klientům jazykový model popisující TRUSTe jako neziskové pro použití v jejich zásady ochrany osobních údajů. V souladu s podmínkami jeho dohody s FTC , TRUSTe bude zakázáno od nich nesprávná o jeho procesu certifikace, nebo na časové ose, stejně jako bytí vyloučen ze zkreslování jeho statutem, nebo zda účetní jednotka se účastní ve svém programu. Kromě toho, TRUSTe nesmí poskytovat dalším společnostem nebo subjektům, prostředky, aby nesprávná o těchto skutečnostech, například prostřednictvím nesprávných nebo nepřesných jazykový model, osada rovněž požaduje, aby společnost v jeho roli jako Coppa bezpečného přístavu, aby poskytla podrobné informace o jeho COPPA by tudíž činnosti ve své výroční podání FTC, stejně jako vedení podrobné záznamy o svých Coppa bezpečného přístavu činnosti po dobu deseti let. Každá z těchto ustanovení představuje nárůst zpravodajské povinnosti v rámci pravidla Coppa bezpečného přístavu programy. Společnost musí také zaplatit 200.000 dolar jako součást vyrovnání.


Máte datové Porušení plán odezvy?
1.12.2014 Bezpečnost

Ponemon Institute provedla a zveřejnila dokument v září na svém druhém ročníku studie o narušení dat. Některé z údajů shromážděných ukazuje zajímavé výsledky. Na jejich základě průzkumu, 68% respondentů nevěří v jejich společnosti by vědět, jak se vypořádat s negativním veřejným míněním a 67% myslí, že jejich organizace není chápe, co dělat poté, co dojde k porušení dat. [Strana 3] Pokud dojde buď jedna , obvykle dopad na značku, může to vést ke ztrátě zákazníků a třepe důvěry ve společnosti obchodních partnerů.

Také zjistili, že více společností nyní máme plán odezvy na narušení dat 73% v roce 2014 ve srovnání s 61% v loňském roce. Podle tohoto průzkumu, jen ~ 30% plánů reakce jsou účinné a velmi efektivní. [Strana 4] Zpráva navrhnout, aby byly účinné, musí organizace poskytnout školení svým zaměstnancům, aby si byli vědomi svých povinností o tom, jak chránit informace o zákaznících, kdy dojde k porušení dat.

Existuje několik šablona porušení dat plánu volně k dispozici, jak začít odezvy. Pokud máte na svém místě, jak často je to přezkoumáno a vykonávat? Do vašeho absolvovat školení o tom, jak správně chránit citlivá data zákazníků? Studie si můžete stáhnout zde .

[1] http://www.experian.com/assets/data-breach/brochures/2014-ponemon-2nd-annual-preparedness.pdf [strana 3,4]
[2] https://privacyassociation.org/resources / article / security-porušení odezva-plán-toolkit /
[3]
http://www.justice.gov/sites/default/files/opcl/docs/breach-procedures.pdf
[5] http://www.securingthehuman.org


Spam a phishing ve 3. čtvrtletí 2014
28.11.2014 Analýzy

PHISHING SPAM LETTERS SPAM STATISTIKY SPAMMERŮ TECHNIKY TEMATIC SPAM
Spam: rysy čtvrtletí

Vzhled iPhone 6

V září došlo k významné události v IT průmyslu - iPhone 6 smartphone byl představen veřejnosti a dát do prodeje. Není divu, že to byla velká novinka v cybercriminal a spamový komunity, jak dobře a po celé čtvrtletí jsme viděli prudký nárůst spamu o slavné značky. Počet phishingových zpráv prohlašovat, že přijde z populárních služeb Apple také výrazně zvýšil po datu vydání.

Spammeři začali nabízet nový smartphone dlouho před jeho oficiálním vydáním - jako ocenění za účast v dotaznících a speciálních nabídek, jako dárek při nákupu zboží nebo využívání služeb nabízených v spamu; stylový doplněk byla cena v různých loterií a vystupoval v mnoha falešných výhra oznámení. Nakonec iPhone 6 byl nabízen k neuvěřitelně nízké ceny (ve srovnání s oficiální cenou).

Ve srovnání s předchozími modely design iPhone 6 několik pozoruhodných změn - včetně velikostí obrazovky. To způsobilo výbuch spamu z továren vyrábějících všechny druhy doplňků, aktivně nabízet ochranné případů a jako v nové velikosti.

To vše ukazuje, jak jedna událost může vyvolat nárůst v mnoha různých druhů spamu, jak podvodů a reklam. V mnoha případech to byl také silný háček upozornit na dopisy; pouhá zmínka o nový iPhone v záhlaví předmětu výrazně zvýšilo šance na zprávy čteny.

Spam jako způsob, jak krást mailové adresy

Poslední čtvrtletí viděl několik úniků účtu přihlašovacích jmen a hesel od hlavních poštovních systémů. Údaje se objevil na internetu, který ustaraným uživatele a podnítil živé diskuse o důvěrnosti. Ve stejné době, kdy společnosti vlastnící poštovní služby, oznámila, že většina z publikovaných údajů bylo z dlouhodobého opuštěných účtů a málo, že jsou stále aktivní, byl pravděpodobně unesen phishing.

Bereme na vědomí, že údaje ID pro e-mailového účtu, není jen tak nespravedliví přístup k osobní korespondence a jejich adresářích majitelů; to také otevírá další služby poskytované pošty hostitele. Přihlašovacích jmen a hesel pro jiné zdroje by mohly padnout do rukou nežádoucí, zejména těch, u sociálních sítí a internetových obchodů registrovaných na dané poštovní schránky. Poptávka po e-mailových loginů a hesel je podtržen objemem podvodných komunikace jsme zjistili, že byly navrženy speciálně pro tento účel, že. Ve třetím čtvrtletí jsme se setkali phishingu písmen pomocí různých metod, aby kon lidi z jejich dat. Zde je několik příkladů:

Komunikace ve kterém phishing HTML stránek se vloží přímo do dopisu.
Spam jako způsob, jak krást mailové adresy

Komunikace s phishingové odkazy v textu dopisu. Falešný odkaz může být vázána na část textu, nebo je uvedeno v textu dopisu. Často podvodníci místo phishingových stránek na speciálně vytvořených domén třetí úrovně.
Komunikace ve kterém e-mailová adresa a heslo musí být zaslány konkrétní elektronickou adresu.
Spam jako způsob, jak krást mailové adresy

Mezi nejoblíbenější triky používané pro krádež dat jsou varování o překročení velikosti poštovní schránky, aktualizace systému a blokování poštovní schránky. A i když jsou tyto phishingové dopisy často napodobují komunikace z konkrétních poštovních služeb, velká většina z nich jsou jen obecné žádosti potvrdit přihlašovací jména a hesla pro e-mailové adresy. Pravděpodobně je to proto, že conmen posílají falešné výstrahy na celé databáze adres najednou, nikoli prochází unprofitably časově náročného procesu výběru konkrétních poštovní služby.

Spam je nad rámec mailem

Nabízí vést marketingovou kampaň, která bude rozvíjet podnikání a přilákat nové zákazníky, je populární a rozšířený trend ve spamu. Typicky zahrnují hromadné mailshots inzerovat služby. Stále více se však tyto kampaně se stěhují pryč z poštovních služeb a e-mailové adresy a cílení mobilních telefonů a smartphonů.

Spam je nad rámec mailem

Ve třetím čtvrtletí roku 2014 spammery začala nabízet SMS a instant messaging reklamy častěji. Znamená to, že klasický e-mail spam bude trvat na zadním sedadle a předání jeho převahu na SMS spam? Po analýze spojení mezi SMS spamu a e-mail spam jsme dospěli k závěru, že je to nepravděpodobné. Za prvé, stále více a více zemí jsou vědomi problému SMS spamu a přijetí legislativních opatření zakazující tento druh masové reklamy. Za druhé je zde zřejmá souvislost mezi všemi mediálních platforem používaných k distribuci nevyžádané reklamy a klasický e-mailový spam.

Spam je nad rámec mailem

Faktem je, že najít zákazníky pro své nové produkty spammeři nadále používat staré staromódní techniky - pomocí spam pošty. K dispozici je i specifický typ e-mailového sendout ve kterém spammeři nabízejí ke koupi hotových databází elektronických adres a telefonních čísel vytvořených pomocí zvláštní kritéria cílit na konkrétní publikum. K dispozici jsou také phishing mailshots zaměřené na shromažďování osobních údajů uživatelů a organizací s cílem upevnit je do databází určených k prodeji nebo použití v mailshots. Tímto způsobem spamu slouží ke sběru dat pro databáze, které jsou pak nabízeny k prodeji nebo použity k odesílání více spamu. Spammeři nadále používat klasický e-mailový spam prodat telefonních čísel pro použití v SMS spam, a najít kupce pro své služby.

Sociální sítě jsou další mediální platformu, kde je distribuce spam roste. Ty mají publikum v milionech a získávají popularitu po celou dobu. Zároveň stovky tisíc těchto účtů jsou "mrtvé duše" - boty vytvořené speciálně pro rozesílání spamu a krást osobní údaje od reálných uživatelů. V posledním čtvrtletí jsme stále častěji obsah spamu ve zdánlivě právních formálních sdělení ze sociálních sítí. To, co se děje, je, že téměř všechny účty v sociálních sítích jsou spojeny s e-mailovými adresami jejich vlastníků a zpráv distribuovaných v rámci sítě jsou zasílány e-mailem. Obsah těchto zpráv jsou typické spam: "nigerijské" příběhy milionů dolarů k dispozici užitečný kontakt, nabídky finanční pomoci začít podnikat nebo jen poukazuje na různé zboží.

Spam je nad rámec mailem

To naznačuje, že SMS mailshots a zprávy na sociálních sítích nejsou nové typy spamu, ale nové metody, které spammeři vyvinuly dodat reklamy uživatelům. Jedná se v tak či onak, spojený na e-mail spam. Navíc spammeři mohou poslat stejnou zprávu různými kanály, což vytváří dojem zvýšení celkového množství nežádoucích inzerátů odesílá.

Nový vývoj v "nigerijské" spamu

Ve třetím čtvrtletí conmen používá politickou situaci na Ukrajině a mediální bouři kolem viru Ebola jako inspirace pro vlastní "nigerijské stylu" příběhy. Politika je populární téma pro tento typ podvodník, jak lze vidět na velké procento dopisů diskutovat o politických témat či známých osobností veřejného života. Není divu, že se situace na Ukrajině se aktivně využívány v průběhu třetího čtvrtletí. Při vytváření údajné autory těchto zpráv se conmen nebyl jen vymýšlet Ukrajinci v různých profesích; oni také vykouzlil politiků a podnikatelů, které nabízejí peněžní odměny za pomoc při přenášení nebo investovat velké sumy peněz.

Nejnovější vývoj

Dopisy týkající se viru Ebola byly obvykle zaslány ve jménu fyzických osob ze západní Afriky nakažených smrtícím virem. Ale byly neobvyklé varianty, například pozvání na příbuzné konference. Bez ohledu na autora dopisu a přesvědčivé pohádkách, že cílem conmen nemění z roku na rok - ulehčit obětí své peníze.

Škodlivé přílohy e-mailů

Top 10 škodlivých programů zasílané e-mailem, se ve třetím čtvrtletí 2014

Top 10 škodlivých programů zasílané e-mailem,
ve třetím čtvrtletí roku 2014

Ve třetím čtvrtletí roku 2014 byla Trojan.JS.Redirector.adf škodlivý program, nejčastěji jsou distribuovány prostřednictvím e-mailu, podle našeho žebříčku. Zdá se, jako HTML stránky, která při otevření ze strany uživatelů, přesměruje je na infikované stránky. Tam obvykle nabízí načíst Binbot - službu pro automatické obchodování binárních opcí, které jsou v současné době populární na internetu. Malware se šíří prostřednictvím e-mailu v passwordless ZIP archivu.

Další je Trojan-Spy.HTML.Fraud.gen. Tento program byl vrchol seznamu pro několik minulých čtvrtletích, ale nakonec byl tlačil dolů. Trojan-Spy.HTML.Fraud.gen je phishing stránky HTML, na kterém je uživatel vyzván k zadání svých důvěrných dat. Veškeré zadané informace je pak poslán na zločinci. Ve srovnání s posledním čtvrtletím údaj pro tento malware klesla o 0,62 procentního bodu.

Na třetím místě je Trojan.Win32.Yakes.fize, Trojan nakladač typu Dofoil. Jeho příbuzný, Trojan-Downloader.Win32.Dofoil.dx, je na čtvrtém místě. Malware programy tohoto typu stáhnout jiný škodlivý program na počítači uživatele, spusťte jej a používat to, aby ukrást rozmanité informace o uživatelích, zejména hesla.

V pátém a devátém místech jsou dva členové univerzální bot modulu rodiny Andromeda / Gamarue - Backdoor.Win32.Androm.enji a Backdoor.Win32.Androm.euqt. Hlavními rysy těchto škodlivých programů je možnost stahovat, ukládat a spouštět spustitelné soubory, stahování a načítání DLL (bez uložení na disk), stahování pluginy a schopnost aktualizace a mazání sami. Funkčnost bot je obohacen o systém pluginů, které mohou být downloded pomocí zločinci kdykoli je to nutné.

Šestý a sedmý pozice jsou pořízena Trojan.Win32.Bublik.clhs a Trojan.Win32.Bublik.bwbx, resp. Jedná se o modifikace známého Bublík malware- Trojan-nakladač, který stáhne škodlivý soubor na počítači uživatele a spustí jej.

Na osmém místě je mailový červ Email-Worm.Win32.Bagle.gt. Hlavní funkcí všech poštovních červů je shromažďovat e-mailové adresy z infikovaných počítačů. Mailový červ rodiny Bagle mohou také přijímat vzdálené příkazy pro instalaci dalších škodlivých programů.

Naše hodnocení je doplněn Trojan-Banker.Win32.ChePro.ink. Tento downloader je vytvořen v podobě CPL-applet (složka ovládací panel) a stahování trojské koně, jejichž cílem je ukrást důvěrné finanční informace. Většina programů tohoto typu jsou zaměřeny na brazilské a portugalské banky.

Distribuce e-malware rodinou

Pokud jde o nejoblíbenější rodiny škodlivých programů, jejich e-mailové rozdělení je následující:

TOP 10 rodiny škodlivých programů distribuovaných prostřednictvím e-mailu, se ve třetím čtvrtletí 2014

TOP 10 rodiny škodlivých programů distribuovaných prostřednictvím e-mailu,
ve třetím čtvrtletí roku 2014

Okruh hodnocení je rodina Andromeda, což představuje 12,35% všech malware. Na druhém místě je Zeus / Zbot: členové této rodiny jsou určeny pro útoky na servery a počítače uživatelů a také pro sběr dat. I když Zeus / Zbot je schopen provádět různé škodlivé opatření, která se nejčastěji používá ukrást bankovní údaje. To může také nainstalovat CryptoLocker - škodlivý program, který vydírá peníze na dešifrování dat uživatelů.

Bublík, který často načte Zbot, také top 10 nejčastěji používaných malware rodiny.

Země, na něž je zaměřen škodlivými mailshots

Distribuce email antivirových aktivací podle země, ve třetím čtvrtletí 2014

Distribuce email antivirových aktivací podle země,
ve třetím čtvrtletí 2014

Ve třetím čtvrtletí došlo k několika změnám v zemích, na které se zaměřují mailshots škodlivými obsah. Teď vidíme, Německo na první místo s 10.11%. Británie klesne na druhý, ztrácí 1,22 procentního bodu ve srovnání s druhým čtvrtletím. Na třetím místě je USA, dolů 1,77 procentního bodu.

Rusko, které ve druhém čtvrtletí byl na 19. místě s 1,48%, vyšplhala na 6. místo v tomto čtvrtletí (4,25%); podíl škodlivého spamu zaměřené na země zvýšil téměř trojnásobně.

Zvláštnosti škodlivého spamu

Ice Bucket Challenge

V uplynulém čtvrtletí zločinci i nadále používat vysoce akce Profil přitáhnout pozornost k mailshots obsahující malware. Tentokrát kbelíku s ledem Challenge, obrovsky populární letní kampaně, byl jedním z těchto událostí. Cílem této kampaně je zvýšit povědomí o amyotrofická laterální skleróza, a také shromáždit finanční prostředky na výzkum této nemoci. Obrovské množství lidí se zúčastnilo, mnoho z nich slavný: herci, politici, sportovci, podnikatelé a hudebníci nalil ledové vody přes sebe, nahrávání videa procesu a absolvování štafetu na další. Na vrcholu své popularity conmen zapojil, když viděl kampaň jako šanci přilákat pozornost jejich škodlivých komunikaci.

Ice Bucket Challenge

V důsledku toho nic netušící uživatele začal dostávat dopisy s nabídkami se připojit sdružení ALS a změnit svůj život, jako tisíce jiných už udělal. Příjemci byla nabídnuta inspirující videa sledovat, který se nachází v archivu připojené k dopisu. Ale místo zaslíbené videa škodlivý program, jako je Backdoor.Win32.Androm.eu.op ležela v záloze. Tyto programy umožňují zločinci infikovat počítače, které se často stávají součástí botnetů.

"Škodlivé zprávy" z rezervační systémy

Ve třetím čtvrtletí roku 2014 zločinci odeslal sezónní škodlivého spamu vázající se tématy letních prázdnin. Spam provoz představoval falešné zprávy od hotelů, rezervace služeb a letecké společnosti v angličtině a němčině. Tradičně conmen se snaží přesvědčit uživatele, že archiv ZIP obsahuje informace o hotelových rezervací či letenek.

Mimo jiné jsme našli falešné komunikace od American Airlines; spustitelné soubory byly připojeny na dopisy, které obsahovaly malware z rodiny Net-Worm.Win32.Aspxor. Tyto čisté červi mohou posílat spam, stáhnout a spustit další programy, sbírat cenná data z počítače oběti (uložená hesla, pošty a FTP účtů) a také automatické vyhledávání zranitelných míst pro další infekce, aby šíření bot.
Kované dopisy v němčině, údajně odeslané prostřednictvím internetového portálu pro rezervaci ubytování v Německu, obsahoval malware Trojan-Spy.Win32.Ursnif. Tento Trojan krade důvěrná data a je schopen monitorovat síťového provozu, zatížení a běh jiné škodlivé programy a také vypnutí několik aplikací systému.

Malware v ARJ archivech

V září jsme zjištěn významný škodlivý MailOut s neobvyklou přílohou spam dopisy - archiv ve formátu ARJ. Je třeba poznamenat, že tento výběr souboru archivační bylo zřejmě právě z důvodu neobvyklé formátu. Zločinci Předpokládá se uživatelé by si být vědomi možných nebezpečí ZIP a RAR archivů přílohy, ale může být méně podezřelé z neznámé značky. Dále ARJ archivační umožňuje velikost souboru, aby se výrazně snižuje, a jeho zdrojový kód je k dispozici pro všechny ke studiu a modifikaci.

Mezi zločinci poslal několik typů škodlivého dopisu v rámci jedné MailOut. Jednalo se o oznámení o přijetí faxu, výpisu z účtu od konkrétní firmy a osobní komunikace s pozdravem v těle dopisu. Všechna písmena měli přílohu v podobě škodlivého programu z rodiny Trojan-Downloader.Win32.Cabby, který odvádí pozornost oběti s RTF nebo DOC dokumentu a načte se škodlivý program od Zeus / Zbot rodině zároveň. Všechny upevňovací názvy souborů byly vytvořeny za použití stejného formátu. Chcete-li dát na dopisy jedinečný pocit, že počítačoví piráti vystřídalo několik fragmentů textu a antivirové automatický podpis.

Malware v ARJ archivech

Statistika

Podíl nevyžádané pošty v e-mailovém provozu

Podíl nevyžádané pošty v e-mailovém provozu, duben až září, 2014

Podíl nevyžádané pošty v e-mailovém provozu,
duben až září, 2014

Podíl nevyžádané pošty v e-mailovém provozu podle údajů za třetí čtvrtletí roku 2014 byl 66,9%, což je 1,7 procentního bodu méně než v předchozím čtvrtletí. Největší množství spamu byla zaslána v srpnu a nejpozději v září.

Zdrojové Spam země

Země, které jsou zdrojem spamu, ve třetím čtvrtletí 2014

Země, které jsou zdrojem spamu,
ve třetím čtvrtletí 2014

Ve třetím čtvrtletí roku 2014 USA zůstal v zemi, která byla největším zdrojem spamu, zasílání téměř 14% nevyžádané pošty. Na druhém místě bylo Rusko s 6,1%. Dokončení trio vůdců byl Vietnam s téměř stejnou částku, jako Rusko při 6% světového spamu.

Distribuce zdrojů spamu měl několik překvapení. Čína (5,1%), Argentina (4,1%) a Německo (3,5) dostala do první desítky s Brazílií na desátém místě na 2,9%.

Velikost písmen spamu

Velikosti spamu dopisů, ve třetím čtvrtletí 2014

Velikosti spamu dopisů,
ve třetím čtvrtletí 2014

Distribuce spamu podle velikosti téměř nezměnila od druhého čtvrtletí. Vedoucí nadále velmi krátké dopisy až do výše 1 kB, které jsou rychlé a snadno ovladatelná v hromadnou korespondenci. Podíl těchto písmen zvýšil o 4,6 procentních bodů.

Došlo k mírnému snížení podílu písmen v rozmezí velikosti 2 KB - 5 KB - o 4,8 procentního bodu. Tam byl také k mírnému snížení množství spamu v rozmezí 5 až 10 Kb, o 2,5 procentního bodu. Nicméně došlo ke zvýšení o 1,7 procentního bodu v podílu písmen o velikosti 10 až 20 kb.

Phishing

Ve třetím čtvrtletí roku 2014 počítačích uživatelů produktů společnosti Kaspersky Lab zaznamenal 71591006 instance, které spustily systém "phishingu". To je 11,5 milionu více než v posledním čtvrtletí.

Stejně jako ve druhém čtvrtletí, největší jediná skupina uživatelů vystavených phishingových útoků byla v Brazílii - číslo bylo až 3,53 procentního bodu na 26,73%.

Geografie phishingových útoků * třetím čtvrtletí roku 2014

Geografie phishingových útoků *
třetím čtvrtletí roku 2014

* Procento uživatelů, na jehož počítače se systémem "Antiphishing" spuštěna z celkového počtu uživatelů produktů Kaspersky Lab v zemi

Top 10 zemí podle procentu napadených uživatelů:

Země % Uživatelů
1 Brazílie 26,73%
2 Indie 20.08%
3 Austrálie 19,37%
4 Francie 18,08%
5 Spojené arabské emiráty 17.13%
6 Kanada 17.08%
7 Kazachstán 16,09%
8 Čína 16.05%
9 Spojené království 15.58%
10 Portugalsko 15.34%
Tam byl patrný nárůst napadených uživatelů v Číně (+ 4,74%), Austrálie (+ 3,27%), Spojené arabské emiráty (+ 2.83%) a Kanadě (+ 1,31%).

Organizace pod útokem

Statistiky o cílech, phishingových útoků jsou založeny na spouštění heuristické složky systému "phishingu". Heuristické součástí systému "phishingu", se spustí, když uživatel sleduje odkaz na stránku, phishing a nejsou žádné informace o této stránce v databázích Kaspersky Lab. K tomu není důležité, jak se stránka zadána, v důsledku kliknutí na odkaz v phishing dopise, síťové zprávy sociální nebo například jako výsledek působení škodlivého programu. V důsledku spuštění uživatel vidí varování možného ohrožení v prohlížeči.

Stejně jako dříve, "e-mailu a vyhledávacích portálů" kategorie (dříve známý jako "globální internetové portály"), byla skupina organizací nejčastěji předmětem útoky typu phishing. Nicméně podíl v této kategorii klesla výrazně - o 22,15 procentních bodů - a ve třetím čtvrtletí činí 28,54%.

Distribuce organizacemi za útoky typu phishing, třetí čtvrtletí roku 2014

Distribuce organizacemi za útoky typu phishing,
třetí čtvrtletí roku 2014

Ve třetím čtvrtletí roku 2014 v kategorii "Online finance" Viděl bodový nárůst 13,39 procentního podílu na 38,23%. V rámci svých dílčích kategorií bylo zvýšení za druhé čtvrtletí v řadě pro "banky" (+ 6,16%), "Platební systémy" (+ 5,85%) a "on-line obchodů" (+ 3,18%).

Distribuce phishingových útoků na platebních systémů, ve třetím čtvrtletí 2014

Distribuce phishingových útoků na platebních systémů,
ve třetím čtvrtletí 2014

Phishingové útoky na platební systémy jsou mimořádně atraktivní, protože conmen mohou dostat do rukou přímo na peníze svých obětí. Paypal bylo nejčastěji cílené platební systém (32,08%), Visa (31,51%), v těsném závěsu a American Express ve třetí s 24,83%.

Phishingové útoky na uživatele platebních systémů se často provádí zasláním falešné dopisy, zřejmě napsané zástupci finančních institucí. Tyto dopisy obsahují hrozby zablokovat účet nebo zastavit aktivitu účtu a jsou navrženy tak, aby polekat uživatele do vyrážka reakce, která by mohla zahrnovat přenos důvěrných informací k zločinci.

Dopis byl v tomto příkladu poslal z podezřelé adresy, které se neshodovalo PayPal obvyklou poštovní adresu. Tam byl hrozbou pro uživatele, který by měl být účet blokovány, pokud údaje účtu nebyla obnovena, a požadavek, aby na odkaz a zadat osobní údaje na stránce, která otevřela.

V návaznosti na odkaz uživatel vidí stránky napodobující vzhled oficiálního Paypal webové stránky, s formuláři pro vstup osobních údajů. Připojení na tuto stránku však není chráněn, což se projevuje nedostatkem HTTPS v adresním řádku a označené IP adresa nepatří Paypal.

Top 3 zaútočili organizace

Organizace % Phishingových odkazů
1 Google 10.34%
2 Facebook 10.21%
3 Yahoo! 6.36%
První tři cílové organizace i nadále Google, Facebook a Yahoo !, však došlo ke změnám v rámci prvních tří. Čísla pro Google (10,34%) a Facebook (10.21%), mírně vzrostly: tyto organizace šly nahoru místo v kroku. Yahoo !, který byl nesporným lídrem v první polovině roku 2014, klesla až na třetí - údaj pro organizaci se snížil o 24,62% ​​na 6,36%.

Horká témata v phishingu

Apple nebyl mezi prvními třemi, i když se vyšplhal v hodnocení organizací podléhajících phishingových útoků dosáhnout čtvrté místo s číslem 1,39% (+ 0,98%). Na začátku září se společnost se podílela na hlavní skandál, spojený s únikem fotografiemi slavných lidí od jeho iCloud úložiště servcie. Apple zamítl zvěsti o přítomnosti zranitelných míst ve službách vedoucí k uniklé dat; to by mohlo být výsledkem phishing útoku zaměřeného na uživatele produktů Apple (není jasné, zda se jednalo o cílený útok, nebo v případě, hackeři byli prostě štěstí, že tam bylo několik hvězdy mezi jejich oběti).

Kromě toho, nový iPhone 6 a 6 Plus byly vyhlášeny dne 9. září. Významné události v podniku obvykle přilákat další zájem podvodníků, takže není divu, že jsme zaznamenali nárůst počtu falešných sdělení zaslaných ve jménu představitelů služeb, Apple, jako jsou iTunes a iCloud.

Horká témata v phishingu

Conmen použil název firmy upoutat pozornost uživatelů a často používá stejný formát dopis, mění pouze název služby společnosti Apple.

Počet denních phishingových útoků, které imitují stran zdrojů Apple, druhé a třetí čtvrtletí roku 2014

Počet denních phishingových útoků, které imitují stran zdrojů Apple,
ve druhém a třetím čtvrtletí roku 2014

Apple používá šek dvoufázový pro Apple ID na ochranu osobních údajů uživatelů, včetně registrace jednoho nebo několika důvěryhodných zařízení. Dvoustupňová kontrola eliminuje možnost neschválenému přístup nebo změnu uživatele registrované detaily a zabraňuje neoprávněnému nákupy pomocí odcizené registrační údaje. Dne 5. září Apple oznámil, že to bude brzy přijmout dodatečná bezpečnostní opatření, která by informovat uživatele o podezřelé aktivity na svých účtech.

Příklad phishingové stránky požadující ID dat Apple
Příklad phishingové stránky požadující ID dat Apple

Příklad phishingové stránky požadující ID dat Apple

Mimo jiné, mohou uživatelé zvýšit jejich bezpečnost tím, pozorně studovat žádnou stránku, která žádá o důvěrných informací. Pozornost by měla být věnována na přítomnost chráněné připojení a zda doména patří Apple. Je to stojí za zvážení, jaké informace jsou požadovány - conmen často žádat o informace nepříbuzné na to, co je potřeba pro použití Apple ID; často žádat o údaje o platební kartě pod záminkou, že jejich propojení účtu. V těchto případech, pokud uživatelé nezávisle zásobovat podvodníky s obranou finančních informací Apple nemůže chránit před následky.

Příklad stránky phishing imitující požadavek Apple o potvrzení osobních údajů

Příklad stránky phishing imitující požadavek Apple o potvrzení osobních údajů

Závěr

Podíl nevyžádané pošty v e-mailovém provozu za třetí čtvrtletí roku 2014 byl 66,9%, což je 1,7 procentního bodu méně než v posledním čtvrtletí.

Témata spamu ve třetím čtvrtletí výrazně odrazily významných událostí, jako je uvolnění iPhone 6, politického vývoje na Ukrajině, v úniku síťových hesel z hlavních poštovních služeb, kampaň Ice Bucket Challenge a letních prázdnin. Hlavní světové události jsou také aktivně využívány v "nigerijské" spamu.

Tři vedoucí zdrojovými zeměmi spamu zaslané po celém světě jsou USA (14%), Rusko (6,1%) a Vietnam (6%).

Žebříčku škodlivých programů odeslaných e-mailem podle údajů třetím čtvrtletí, jsou v čele Trojan.JS.Redirector.adf (2,8%), který vysílá uživatele na infikované stránky. Mezi rodinami škodlivých programů rodina Andromeda byla lídrem s 12,35% podílem na všech malware. Uživatelé v Německu mají více útoků než ty, které nikde jinde.

Třetí čtvrtletí se spam provoz se skládá z phishingu dopisy, jejichž cílem je ukrást přihlašovací jména a hesla pro e-mailové účty, a vydání nového iPhone viděl vybuchnout podvodných sdělení zjevně odeslané ze služeb Apple iTunes a iCloud.

Aby bylo možné nainstalovat své škodlivé programy na počítačích uživatelů ve třetím čtvrtletí zločinci rozeslal nejen falešné oznámení od hotelu on-line služeb a letecké společnosti, ale také dopisy s dlouhými nevyužité souborů archivátory.

Růst phishingových útoků na organizace zapojené do on-line finančních operací pokračuje (banky, platební systémy, internetové obchody). Došlo k výraznému snížení počtu útoků na organizace z kategorie "E-mail a vyhledávacích portálů," až na 28,54%. Tam byl také patrný pokles podílu útoků zaměřených na Yahoo !, jedné z organizací v této kategorii.


Syrská armáda Electronic útok vede k malvertising
28.11.2014 Incidenty
Řada služeb on-line byly ovlivněny tím, co bylo odkazoval se na více zdrojů jako přesměrování útoku syrské elektronické armády (SEA), vycházející z Gigya CDN. Problém byl popsán následovně: "Gigya vysvětlil, že dnes ráno v 06:45 EST, si všimla," ojedinělé selhání s přístupem k naší službě "Organizace, než našel porušení na svém registrátora domény, s hackery změnou DNS záznamů a ukazoval. je od Gigya je CDN domény, místo toho přesměrování na vlastní server, která rozděluje soubor "socialize.js", a to pop-up vidět každý. " Postižená místa zařazená Verizon, The Telegraph, The Independent, Forbes, Time Out, PC World, The Evening Standard, CNBC, a další.

Výsledný pop-up pouze uvedl: "Vy jste byl hacknutý syrské elektronické armády." Je smutné, že útoky tohoto druhu jsou samozřejmostí, a SEA vybrala dovolenou v minulých letech zintenzivnila svou činnost takže buďte připraveni s plánem reakce a postupy obnovy.


Nový vyspělý špehovací virus se umně skrýval. Vyrobila ho asi vláda
27.11.2014 Viry

Složitost viru Regin ve schématu firmy Symantec ukazuje jeho pětistupňovou strukturu.

Složitost viru Regin ve schématu firmy Symantec ukazuje jeho pětistupňovou strukturu.

Složitost viru Regin ve schématu firmy Symantec ukazuje jeho pětistupňovou strukturu.
Společnost Symantec oznámila objev zcela nového počítačového viru, který od roku 2008 napadal počítače, aby z nich získával tajné údaje. Bezpečnostní analytici jsou softwarem fascinováni pro jeho komplexnost.
Škodlivý prográmek (malware) známý jako Regin byl podle společnosti Symantec systematicky využíván pro špionážní kampaně proti celé řadě mezinárodních cílů nejméně od roku 2008. Malware typu Trojský kůň pronikal do počítačů, kde sbíral dostupná data a vytvořil zadní vrátka. Těmi pak mohl do napadeného počítače proniknout útočník, aby zde prováděl další akce.

Jak Regin funguje
Složitost viru Regin ve schématu firmy Symantec ukazuje jeho pětistupňovou strukturu.
Regin je vícestupňový virus, kde je každý stupeň s výjimkou prvního skrytý a zašifrovaný. Spuštěním první vrstvy se nastartuje řetězec dešifrování a nahrávání každé další fáze v rámci pěti etap. Každý jednotlivý stupeň přitom poskytuje jen velmi málo informací o kompletním balíčku. Přitom jen získáním obsahu všech pět fází je podmíněna analýza, která umožní pochopit celou hrozbu.

Regin je značně složitý virus, jehož struktura se podle analytiků vidí jen zřídka, a ukazuje tak na značnou technickou vyspělost jeho tvůrce. Dokáže se přizpůsobit široké škále možností v závislosti na tom, jaký cíl napadá.

„Regin používá modulární přístup, což mu umožňuje načíst právě ty funkce, které budou na míru napadenému cíli. Tento modulární přístup už jsme viděli u jiného náročného malwaru, jako jsou například Flamer a Weevil, zatímco jeho vícefázová architektura je podobná jako u rodiny virů Duqu/Stuxnet,“ vysvětlují složitost viru výzkumníci ze Symantecu.

K tomu je tento malware vybaven funkcemi, které nabízejí vysoce efektivní hromadnou správu a dozor. Virus Regin tak může být velice účinný při použití v rámci rozsáhlých špionážních operací proti vládním organizacím, provozovatelům infrastruktury, podnikům, výzkumným pracovníkům, ale i soukromým osobám. Je pravděpodobné, že vývoj trval měsíce, ne-li roky. Jeho autoři šli podle Symantecu až do krajnosti, aby zakryli stopy. Jeho schopnosti a velké množství vynaložených finančních prostředků naznačují, že je to jeden z důležitých kyberšpionážních nástrojů používaných některou ze státních agentur. Že vlády využívají ve velkém špehovací programy, není žádná novinka. Patrně i Slovensko nebo Česko utrácejí miliony za šmírovací počítačové viry.

Nejvíce jsou virem Reign postiženy Rusko a Saudská Arábie.
Nejvíce jsou virem Reign postiženy Rusko a Saudská Arábie.
Virus Regin je unikátní i tím, že se řadu let šířil po celém světě nepoznán. Podle výzkumů firmy jsou jím nejvíce zasaženy Rusko, Saudská Arábie, Mexiko a Irsko. Z evropských států má zhruba pětiprocentní podíl ještě Belgie.

Virus byl zaznamenán z téměř 50 procent u soukromých osob a malých podniků, což je logické, protože jich je mnohem více než velkých institucí. Překvapením může být, že 28 procent všech napadených systémů jsou telekomunikační služby, kde patrně docházelo k odchytávání hovorů.


Dvoufaktorovou autentizaci i pro vzdálenou plochu představil Eset

27.11.2014 Zabezpečení
Inovované řešení Eset Secure Authentication (ESA) nově umožňuje zabezpečit dvoufaktorovou autentizací také přístup pomocí vzdálené plochy – MS Remote Desktop.

Podpora technologie Microsoft Remote Desktop na straně ESA znamená, že přístup k počítači pomocí vzdálené plochy je možné nyní zabezpečit pomocí dalšího ověřovacího faktoru. V praxi to znamená, že uživatel pro přístup potřebuje kromě běžného uživatelského jména a hesla také tzv. OTP (jednorázové heslo).

„Vycházíme tím vstříc četným požadavkům na bezpečný způsob ověřování identity pracovníků, kteří přistupují k firemním zdrojům pomocí MS terminálových služeb, říká Miroslav Dvořák, technický ředitel Esetu.

Řešení Eset Secure Authentication je kompatibilní se všemi verzemi Windows Server počínaje verzí 2008 R2 až po aktuálně nejnovější verzi Windows Server 10 Technical Preview. Chrání přitom jak licencované terminálové servery, tak jednotlivá nativní připojení na vzdálenou plochu.

Vedle podpory přístupu pomocí vzdálené plochy přináší nejnovější verze ESA také větší možnosti nasazení a správy. Nově může být nasazeno také v prostředí o vícero doménách (tzv. „multi-domain, multi-forest“ sítích). Umožňuje také administrátorům kategorizaci uživatelů do při instalaci vytvořených bezpečnostních skupin v rámci Active Directory a dohled nad nimi.


Současný stav: Síťová zařízení Tváří v tvář terče
26.11.2014 Bezpečnost

Dlouhá doba uplynula od té doby jsme vydali naši analýzu hrozeb pro domácí síťová zařízení . Od té doby se situace výrazně změnila - bohužel, ne k lepšímu. Již v roce 2011 jsme byli znepokojena zejména bezpečnost SOHO routery, modemy DSL a WIFI body. Dnes hovoříme o celých Internet-of-věcí, která zahrnuje každý stroje, zařízení nebo gadget, který je schopen komunikovat přes internet.

Připomeňme si, jaké nebezpečí pro síťových zařízení jsme si byli vědomi na konci roku 2011:

Otrava DNS, drive-by pharming a SOHO pharming: využívání zranitelností ve webovém rozhraní routeru / modemu změnit jeho nastavení DNS za účelem přesměrování uživatele na nebezpečné webové servery
UPnP a SNMP útoky založené na: využívání zranitelností a problémech při provádění široce používaných protokolů s cílem získat přístup k zařízení
Škodlivé binárky: DDoS založené na Linuxu (Distributed Denial of Service) nástroje, zejména přizpůsobit tak, aby provoz na routery; router botnety, schopné vedení širokou škálu útoků; červi, infikování směrovače a šíří po síti
A teď, pojďme se podívat na rok 2014, a zjistit, které z našich předpovědí přišel pravda ...

Více SOHO Pharming útoky

Pravda . Tam byly četné útoky s využitím nastavení DNS směrovač k získání uživatelé bankovních pověření a přesměrovat uživatele na škodlivé webové stránky. Jen abychom jmenovali alespoň některé z největších incidentů:

Ledna 2014: obrovský SOHO pharming kampaň ovlivňuje celou řadu routerů od různých výrobců celého world.The útočníci využívaných řadu slabých míst pro změnu nastavení DNS více než 300 000 zařízení, které se nacházejí především ve Vietnamu, Indie a Thajska, ale také v několika zemích v Evropě, a to jak Ameriky a Afriky. Výsledkem je, že veškerý provoz zpoza napadených routery byl přesměrován na škodlivých serverů, což umožňuje zločinci se rozhodnout, zda uživatelé by měli uvést do původní verzi webových stránek, které požadované, nebo na phishing / škodlivého jeden.
Únor 2014: další rozsáhlé kampaně pomocí otravy DNS techniku ​​. Tentokrát útok byl vysoce cílené a cíle těchto zločinci se v pravém slova smyslu: útok byl navržen tak, aby ukrást bankovní pověření od uživatelů pěti populárních polských bank. V tomto případě, že počet nakažených routerů bylo asi 100 a většina z nich byla v Polsku a Rusku. Když uživatelé pokusil přihlásit do internetového bankovnictví, byli přesměrováni na modifikované webu, který je požádán, aby poskytl důvěrné informace.
Září 2014: klasická drive-by pharming útok zaměřený domácích routerů v Mexiku a Brazílii. Tento útok začal s nebezpečným e-mail, nevyžádanou poštou k velkému počtu portugalsky mluvících uživatelů, v němž zločinci pokusil nalákat příjemce kliknout na odkaz na škodlivý webové stránky. HTML skript na této webové stránce byl navržen tak, aby vyzkoušet několik kombinací výchozích pověření pro přístup k nastavení routeru a změnit jeho nastavení DNS. Pokud se tento přístup selhal, skript zobrazí pop-up, s dotazem uživatele k zadání pověření směrovače ručně.
Binární malware pro ARM a další platformy

Pravda . Objevili jsme více vzorků malwaru, které ovlivňují MIPS routery, a - co je důležitější - vzorky vyvinuté tak, aby mohly být shromažďovány pro různé platformy (MIPS, ARM, Intel, PPC, hrdina, atd) a spustit na různých druzích Linux-založené zařízení. Pár příkladů:

Aidra - open source DDoS nástroj, určený pro skenování Modem / Router a vytvořit botnet z využitelných zařízení. V současné době existuje několik Aidra binární soubory ve volné přírodě, sestavené pro různé platformy (MIPS, ARM, PPC, SuperH), což znamená, že tento červ byl upraven tak, aby bylo možné se nakazit Internet-of-věcí zařízení.

Obrázek 1 - Aidra - open source nástroj DDoS

Darlloz - Linux červ a bot určený pro MIPS, ARM a Intel architektury, šíření prostřednictvím PHP, CGI zranitelnosti na náhodně generované IP adresy a schopný stáhnout a spustit další kód. Komunikuje s škodlivého operátora otevřením backdoor na TCP portu 58455 a čeká na příkazy. To infikováno více než 30 000 zařízení, především v USA a Číně, a - jak se ukázalo později - byl použit k instalaci krypto měn důlní software (cpuminer), alespoň na zařízeních Intel x86.

Obrázek 2a - Darlloz worm, kód zkompilovaný pro ARM architekturu

2b - Darlloz worm, stejný kód přestřihl, sestaveny pro x86 architekturu

Měsíc Červ - tajemný červ, šíření prostřednictvím vzdáleného obtokem ověřování využívat při realizaci HNAP protokolem routery Linksys E-Series. Tento malware shromažďuje informace o zařízení a komunikuje s jeho C & C (Command and Control) servery s citáty a obrázky z 2009 sci-fi film s názvem "Moon". IP rozsahy, že červ vyšetření, aby jejich využívání, jsou pevně v binární a zahrnuje asi 670 sítí, z nichž většina patří k určitým DSL a kabelového modemu ISP v různých zemích.

Obrázek 3 - Měsíc červ, řetězce ve vztahu k Moon film

Trvalé úpravy firmware

Pravda . Příběh zveřejněné v německém časopise c't odhalil první směrovač malware, který se snažil provést trvalé změny firmware routeru. Malware se skládal z několika Linux shell skriptů, které byly zodpovědné za stažení upravenou verzi firmwaru, přepsání původní obraz a restart routeru. Škodlivý firmware přišel s upraveným init skriptu, kterou byla zahájena čichání nástroj (dsniff) na infikovaném počítači, zachycovat provoz a odesláním všech zachycených dat na server C & C FTP. Tento malware bylo zjištěno, že ovlivňují nejen směrovače, ale i jiné linuxové embedded zařízení, jako je Dreambox DVB přijímačů.

Obrázek 4 - Flasher, skript který nahradil původní firmware

Obrázek 5 - Flasher, skript spuštěn sniffer a nahrávání dat na FTP server

Cross-platform a multi-platformní malware

Pravda . Malware a botnety tradičně spojené s počítačích se systémem Windows pouze nyní začít používat směrovače a další internetové povolených zařízení pro různé nekalým účelům:

Bylo zjištěno, že virus Sality aby do svého procesu replikace obsahovat SOHO routery, pomocí metody otravy DNS přesměrovat uživatele na infikované soubory. V tomto případě, škodlivý software byl použit systém Windows malware podobný DNSChanger Trojan.
Black Energie 2 botnet také dostal upgrade internetu věcí: začala používat další pluginy, které jsou navrženy tak, aby provoz na bázi Linuxu MIPS a ARM zařízení. Tyto moduly jsou schopny vykonávat DDoS útoky, krádeže hesel, skenování portů v síti a čichání provoz. Jsou komunikaci s C & C servery a jsou schopni vykonávat zadané příkazy shellu a stáhnout a spustit další binárky. Nedávno jsme zveřejnili hloubkovou analýzu Black Energie 2 , kde můžete najít mnohem více informací o něm.
Více zranitelnosti v firmware objeven a využívány

Pravda . Několik kritických chyb ohrožujících Internet-of-Věci zařízení byly objeveny a hlášeny prodejců letos. Jen abychom jmenovali alespoň některé:

Rom-0 zranitelnost v ZyXEL routerů, která umožňuje útočníkovi stáhnout konfigurační soubor routeru bez ověření
CVE-2014-2719 zranitelnost v bezdrátové směrovače ASUS, která umožňuje útočníkovi získat pověření routeru
15 zero-day zranitelnosti v 10 různých modelů SOHO router, odhalil na Defcon 22 let SOHOpelessly Broken soutěž
Náš kolega, David Jacoby, našel zajímavé nulové dní v zařízení , které používá doma.
Musíme také pamatovat, že Heartbleed a Shellshock chyby ovlivňují některé linuxové zařízení v síti a internet-of-Věci zařízení stejně.
Ale co je ještě děsivější než růst zjištěných chyb zabezpečení, je skutečnost, že některé dodavatelé Zdá se, že zavést napevno zadní vrátka firmware ve svých produktech, které poskytují zločinci s jednoduchým způsobem-in, a to zejména na zařízení, které již přijímat žádné aktualizace.

Jak můžeme vidět, bezpečnostní situace síťových zařízení nebylo moc zlepšení, protože 2011. Většina našich předpovědí se stalo skutkem: hrozby jsou na vzestupu a útočníci rozšířit svůj zájem nejen na domácí routery a modemy, ale k celku Internet-of-věcí. I když jak vendos a poskytovatelé internetových služeb se pomalu uvědomil hrozbu, a snaží se, aby jejich zařízení bezpečnější, je stále hodně co dělat. Například, jeden z velmi vážných problémů je, že většina starších zařízení se nedostávají aktualizace firmwaru už, takže v případě, že je nějaký nový způsob útoku objevil, mohou uživatelé dělat doslova nic, chránit se proti němu, pokud se rozhodnete pro nákup (často drahé) novější verze zařízení, která je stále podporován. Tento problém není snadné opravit: pro dodavatele, bylo by to opravdu efektivní z hlediska nákladů na podporu každého z přístrojů, které nabízejí po dlouhou dobu; a bez oprav softwaru, není moc co dělat, aby zajištění těchto zařízení ze strany zákazníka. Časy se změnily, a musíme přijít s novým modelem zabezpečení pro internet věcí, protože starý člověk nepracuje správně už ne.


Pokyny pro zabezpečení vašeho domova
26.11.2014 Bezpečnost

Naše domovy dnes vypadají spíše jako malé kanceláře. Máme spoustu různých zařízení připojených k naší síti, vše od zařízení pro ukládání dat a síťových zařízení pro bezdrátové síťové tiskárny. Celá "domácí zábavy" průmysl je stále připojen: to je velmi obtížné koupit TV, DVD nebo Blu-ray přehrávač, který to nemá WIFI ... totéž platí i pro herní průmysl: všechny nové herní konzole vyžadují připojení k Internetu.

Já rád, že jsme se ucházíte novou technologii staré koncepty, a zlepšení funkce. Já osobně ani své staré retro počítačů připojených k internetu - a mluvíme o starých počítačích, jako Commodore 64, Amiga 500 a Atari - protože mám rád skutečnost, že přidávání nových funkcí starým věcem.

A jak víme, s velkou mocí přichází i velká zodpovědnost. Ale to není něco, co prodejci spotřebního zboží skutečně přijímají a přidává další funkce pro jejich "staré" výrobky. Udělal jsem nějaký výzkum, kde jsem se podíval do zařízení, které byly připojeny k mé domácí síti, a výsledek byl velmi děsivé! Za pár minut jsem byl schopen plně kompromisu některé z mých zařízení, a proměnili je v zombie strojů botnetů, obcházet všechny bezpečnostní a přístup k souborům na úložných zařízeních, která jsem neměl oprávnění pro přístup.

Mnoho lidí stále věří, že tyto útoky jsou náročné a vyžadují někoho sedět na stejné síti jako zařízení, například na své soukromé připojení WIFI, ale je to falešný dojem. K dispozici jsou velmi jednoduché a účinné způsoby, jak ohrozit síť připojených zařízení za vaším osobním firewallem na dálku přes internet.

Můj kolega, Marta Janus, také dělal některé velmi zajímavé výzkum , kde se podíval do (ne) bezpečnosti domácích modemy a routery, a oba jsme přišli ke stejnému závěru. Musíme jednat hned! To není problém, futuristický, tento problém existuje nyní. Počítačoví zločinci se využívají tyto nedostatky hned teď a průmysl se nedělá dost o tom.

To není jen technický problém, který lze vyřešit pomocí náplastí. Spotřebitelé jsou obecně velmi špatné pochopení toho, jak by měly být nainstalovány tyto sítě připojené zařízení. Všechny tyto zařízení mají různé využití, a díky tomu také vyžadují různé konfigurace sítě. Jsme velmi líný, a bez řádného návodu k montáži jsme jednoduché připojení zařízení do naší sítě; a když to bude hotové, považujeme instalace dokončena.

To, co se děje, je to, že sdílejí stejné konfigurace sítě mezi všemi zařízeními. Tato výsledky, například v tom, že TV, Blu-ray přehrávač a síťové úložné zařízení ve stejné síti, jako je notebook, který používáte k tomu on-line bankovnictví, domácí finance, on-line nakupování, a možná dokonce i pracovat.

Mezi prodejci také třeba vzít větší zodpovědnost při přepravě spotřebního zboží. Většina lidí nechápe, že životní cyklus podpora těchto zařízení je jen o šest měsíců; poté, co že tam nebudou žádné další aktualizace ani podpora ze strany dodavatele, protože je třeba podporovat další nadcházející produkty.

Od mluvit s přáteli a rodinou, je jasné, že mají problém, si uvědomil, že je to vlastně hrozba! Lidé stále věří, že je to vždy "někdo jiný", který bude nakazit se škodlivým kódem, nebo kdo bude mít své údaje o kreditní kartě nebo identitu ukradené. Prosím, probudit v reálném světě - to se děje právě tady, právě teď! Některé opravdu dobré příklady těchto typů útoků, jsou:

Zákazníci k jedné z největších poskytovatelů internetových služeb ve Švédsku byly zaslány zranitelné routery ISP, což umožňuje útočníkům vzdáleně ohrozit zařízení i když "bůh-jako" účet s velmi slabé heslo; a všechna zařízení měla stejný účet se stejným heslem.
Velké množství peněz bylo ukradeno ze zákazníků pěti populárních polských bank, po útoku, v němž útočníci změnili nastavení stovek ohrožených SOHO routery za účelem přesměrování uživatele na falešné bankovní internetové stránky.
Malware (Psyb0t) cílené home SOHO routery využívající software slabiny, ale slabá hesla v rozhraní pro správu - otočení zařízení do zombie v botnetu.
Malware (BlackEnergy2) provedena další moduly, které jsou určeny pro provoz na Internet-of-věcí zařízení za účelem provedení DDoS (Distributed Denial of Service) útoky, ukrást hesla a očichat síťový provoz.
Malware (Flasher) nahradil firmware na zranitelné SOHO zařízeních s upraveným systémem obraz, který eavesdrops na síťové aktivity uživatelů.
Vzhledem k výzkumných pracovníků je velmi snadno identifikovat slabá místa zabezpečení, a plamen dodavatele o nich, ale to je trochu náročnější přijít s účinnou závěrem. Společně s Marta, jsme sestavili malý seznam jednoduchých tipů a triků, které byste měli platit, pokud máte v síti připojených zařízení. Je to jen obecné tipy, protože najít jedno řešení, které funguje na více zařízeních, je velmi složité; Všechny výrobky vypadat a cítit se liší a mají různé zvyklosti.

Změna výchozího hesla na zařízení; útočníci se budou snažit využít toho!
Pokud je to možné zkusit aktualizovat firmware na nejnovější verzi!
Pokud nechcete používat síťové připojení na zařízení, vypněte jej! Pokud jej použít, nebo jestli je to nutné, aby přístroj fungoval, ujistěte se, že není vzdálený přístup k rozhraní pro správu zařízení od okolního světa.
Naneste silnou segmentaci sítě pro připojená zařízení
Má přístroj vyžadovat přístup k internetu?
Má zařízení, například TV, vyžadují přístup ke stejné síti jako vašich osobních údajů?
Vypněte nepotřebné funkce. Současné zařízení internetu věcí obvykle realizovat celou řadu různých funkcí, z nichž některé jste možná ani být vědomi. Je dobrým zvykem, po koupi každého nového zařízení, dozvědět se o všech jeho funkcích a zakázat ty, které nejsou určeny k použití. Mají všechny funkce zapnuta zvyšuje potenciální útoku.
Přečtěte si fascinující manuál. Každý přístroj je dodáván s manuálem, který dokumentuje její funkce a nastavení konfigurace. Také, tam je obvykle hodně dodatečné dokumentace k dispozici on-line. Chcete-li, aby váš domov v bezpečí, měli byste se vždy seznámit s každé nové zařízení, které se chystáte začlenit do vaší sítě a učinit všechny doporučené kroky, aby zařízení tak bezpečný, jak je to možné.
Obraťte se na tým podpory na dodavatele, pokud máte otázky. Při nákupu spotřebního zboží, budete platit také za podporu. Použijte jej! Budou nabízet poradenství pro konkrétní zařízení!


zjišťování podezřelých zařízení On-The-Fly
26.11.2014 Bezpečnost
Pokud použijete klasické pravidla kalení (udržet úroveň oprav, použijte AV, povolte bránu firewall a používat je s odbornou péčí), moderní operační systémy jsou stále obtížnější ke kompromisu dnes. Extra nástroje jako Emet by také zvýšit laťku. Na druhé straně, sítě jsou stále více a více obydlený s neznámými / osobní zařízení nebo zařízení, která poskytují více zařízení, jako úložiště (NAS), tiskárny (MFP), VoIP, IP kamera, ...

Být snadno ohrožena, se stali velmi dobrý cíl otáčet do sítě. Běží out-of-the-box, stačí zapojit do sítě / napájecí kabely a jsou připraveni jít! Klasický proces řízení zranitelnost bude detekovat takové zařízení, ale stále máte riziko chybět, pokud se dostanete měsíční test! K zachycení nových zařízení na chodu a mít bezprostřední představu o jejich útoku (příklad: je tam backdoor přítomen), jsem pomocí následujícího panelu nástrojů: Arpwatch, Nmap a OSSEC jako dirigent.

Arpwatch je nástroj pro monitorování ARP provoz na síti. To může odhalit nové adresy MAC nebo změny párování (IP / MAC). Nmap je nejvíce známý port scanner a OSSEC je nástroj pro správu log s mnoha funkcemi, jako je vestavěný HIDS.

První dobrou zprávou je, že Arpwatch položky protokolu jsou zpracovávány ve výchozím nastavení OSSEC. To má velký funkci nazvanou "Active-Response", který umožňuje spuštění akce (čti: spouštět skripty) v konkrétních podmínkách. V našem případě, jen jsem vytvořil konfiguraci aktivní reakce na spustit Nmap kontrolu jakéhokoli nového zařízení hlásí Arpwatch:

conifguration úryvek

conifguration úryvek

Výše uvedená konfigurace určuje, že nmap-scan.sh bude provedena s argumentem "SrcIP" (hlášené Arpwatch) na zástupce "001", kdy pravidlo 7201 nebo 7202 bude odpovídat (když je detekován nový hostitel nebo změna MAC adresy ). Nmap-scan.sh scénář je založen na stávajících skripty aktivní reakce a založí skenování Nmap:

Nmap -SC -O -oG - -Na $ {} PWD /../ log / $ {} IP log $ {IP} | grep Porty: >> $ {} PWD /../ log / gnmap.log

Tento příkaz vypíše zajímavé informace grepable formátu do gnmap.log souboru: otevřené porty (pokud existují), který byl detekován jako šetření, jako v následujícím příkladu. Jedna linka na hostiteli budou generovány:

Host: 192.168.254.65 (foo.bar.be) porty: 22 / open / tcp // ssh ///, 80 / open / tcp ///, 3306 / open / tcp /// ...

OSSEC je skvělý nástroj a může dekódovat tím, že ve výchozím nastavení. Stačí nastavit gnmap.log jako nový zdroj události:

A nové záznamy budou generovány:

2014 27.října 17:54:23 (Šiva) 192.168.254.1 -> / var / ossec / logs / gnmap.log
Pravidlo: 581 (úroveň 8) -> ". Informace o hostitele přidal"
Host: 192.168.254.65 (foo.bar .be), otevřené porty: 22 (TCP) 80 (tcp) 3306 (TCP)

Při použití této techniky, budete okamžitě zjistit nové počítače připojené do sítě (nebo-li IP adresa je spárován s novou MAC adresu) a dostanete seznam služby běží na něm, stejně jako detekovaného operačního systému ( v případě, že snímání otisků prstů, je úspěšný). Šťastný lov!


Regin Cyberespionage Platforma Spies v sítích GSM
25.11.2014 Viry
Vědci odhalili složité špionážní platformu připomínající Duqu, které bylo použito nejméně od roku 2008 nejen špehovat a výpis e-mailů a dokumentů z vládních agentur, výzkumných institucí a bank, ale také ten, který se zaměřuje na operátory GSM sítí s cílem zahájit další útoky.

Dnes ráno, že vysvětluje tento aspekt Kaspersky Lab zveřejnila zprávu útoku platformě Regin , která byla zjištěna na počítačích se systémem Windows s 27 oběťmi organizací ve 14 zemích, většina z nich v Asii a na Středním východě. Kromě politických cílů, výzkumníci Kaspersky Lab identifikovat belgický cryptographer Jean Jacques Quisquater jako jednu ze svých konkrétních obětí, spolu s nejmenovaným výzkumnou instituci, která byla také infikované jinými nebezpečnými špionážní malware, včetně masky / Careto, Turla, Itaduke a Farma zvířat.

Počáteční infekce vektory jsou neznámé, ale Kaspersky Lab spekuluje, že v několika málo případech, útočníci použili prohlížeč zero-day exploit.
Počáteční infekce vektory jsou neznámé, ale Kaspersky Lab spekuluje, že v několika málo případech, útočníci použili prohlížeč zero-day exploit, aby sedět v pozici man-in-the-middle a sifon provoz z oběti.

"Pro některé z obětí jsme pozorovali, nástroje a moduly určené pro boční pohyb. Zatím jsme se setkali žádné zneužití. Moduly replikace jsou zkopírovány do vzdálených počítačích pomocí sdílených složek pro správu systému Windows a pak popraven, "napsal vědci. "Je zřejmé, tato technika vyžaduje administrátorská práva uvnitř sítě oběti. V několika případech infikovaných počítačů byly také řadiče domény systému Windows. Cílení na správce systému, prostřednictvím webových využije je jednoduchý způsob, jak dosáhnout okamžitý přístup pro správu celé sítě. "

Útoky APT stylu se vyznačují svou vytrvalost a schopnost tiše krást elektronické dokumenty, které jsou rozloženy na bok na síti a zahájit další útoky na povel. GSM aspekt Regin je obzvláště pozoruhodné a nebezpečné, říkají výzkumníci.

Kaspersky_Lab_geo_regin_eng

"V dnešním světě, jsme se stali příliš závislí na mobilních telefonních sítí, které jsou založeny na starověkých komunikačních protokolů s malou nebo žádnou bezpečnost k dispozici pro koncového uživatele," řekl Costin Raiu, ředitel Global Research a Analysis Team na Kaspersky Lab. "Ačkoli všechny GSM sítě mají mechanismy, které umožňují vložené subjekty, jako je vymáhání práva ke sledování podezřelých osob, ostatní strany unést tuto schopnost a jeho zneužití, aby zahájily různé útoky proti mobilní uživatele."

GSM je zkratka pro Global System for Mobile Communications a je výchozím standardem pro mobilní sítě používané většinou světových telekomunikací. Útočníci byli schopni ukrást pověření z interního řadiče GSM základnové stanice patřící do velké telekomunikačního operátora, který jim umožnil přístup k GSM buněk v této konkrétní síti, řekl Kaspersky Lab. Řídících stanic spravovat hovory, jak se pohybují po mobilní síti, přidělování zdrojů a mobilní datové přenosy.

"To znamená, že by měli přístup k informacím o tom, které hovory jsou zpracována určitou buňku, přesměrovat tyto hovory na jiné buňky, aktivovat sousedních buněk a provádět další útočné činnosti," napsal výzkumníci Kaspersky Lab. "V současné době, útočníci za Regin jsou jediní, je známo, že byli schopni dělat takové operace."

Výzkumníci Kaspersky zveřejnila výňatky z protokolu Base Station Controller se datuje do roku 2008, který obsahoval příkazy, které by umožnily třetí strana manipulovat přesměrování hovoru, aktivovat nebo zastavit buňky v síti GSM a přidat buněk sousedy k síti mimo jiné příkazy. Protokol také obsahoval pověření, které patří do technických účtů.

Backdoors byly také stanoveny příkazem infrastrukturou útočníků; sdělení bylo těžce šifrována a komplexní, je sníženo riziko, že by se dodržovat. Stroje na okraji sítě působit jako most mezi oběťmi uvnitř sítě a příkaz infrastruktury.

"Většina obětí komunikovat s jiným strojem ve své vlastní interní síti pomocí různých protokolů, jak je uvedeno v konfiguračním souboru. Patří mezi HTTP a sítě potrubí systému Windows, "uvádí se ve zprávě Kaspersky. "Účelem tohoto komplexního infrastruktury je dosáhnout dvou cílů: dát útočníkům přístup hluboko do sítě, případně obcházet vzduchové mezery; a omezit co nejvíce provoz na C & C. "

Regin je nasazen v pěti etapách dává útočníkům hluboký přístup k obětovaného síti s každou fázi načítá z následujících částí útoku. Moduly v první fázi jsou pouze spustitelný uložený v počítači oběti, a oni jsou všichni podepsali s falešnými digitálních certifikátů tvrdili, že jsou od společnosti Microsoft a Broadcom. Podrobnosti o každé fázi, stejně jako ukazatele kompromisu byly publikovány od Kaspersky Lab ve své zprávě .


Bojíte se skrytých ataků hackerů? Tady jsou tipy, jak na ně

24.11.2014 APT
Experti tvrdí, že ke zmaření útoků APT (Advanced Persistent Threat, tedy pokročilý, cílený a dlouhodobě přetrvávající útok) jsou nutné čas, školení a spolupráce. Přinášíme osvědčené postupy, které vám pomohou udržet si silnou obranu své firemní infrastruktury před nezvanými hosty.

Úspěch dosavadních ataků APT je údajně tak obrovský, že se odhalování těchto narušení a boj proti nim mohou zdát při jakékoliv vytrvalosti jako beznadějné.

Podle různých novinových zpráv a několika prohlášení expertů se hackeři z Číny prolamují do různých organizací – počínaje významnými vydavateli novin po dodavatele vojenského materiálu či špičkových technologií.

Zůstávají přitom neodhalení dostatečně dlouhou dobu, aby způsobili škody v řádu miliard dolarů, co se týče například oblasti duševního vlastnictví či návrhů důmyslných zbraní.

Odborníci na bezpečnost nazývají útoky APT bezpečnostní výzvou moderní éry. Kybernetické útoky jsou podle nich jedněmi z tichých, smrtících a zákeřně neznámých hrozeb, které nejsou vidět.

Útoky APT přitom už nejsou jen doménou států s obrovskými zdroji a nezaměřují se jen na špionáž či útoky proti armádám nebo jiným vládním subjektům. Existují v sítích podniků působících v IT, energetice, zpravodajství, telekomunikacích, výrobě a dalších sektorech ekonomiky.

Řada bezpečnostních expertů je přesvědčena, že i když zřejmě nikdy nebude možné zcela je eliminovat, útoky APT lze zjistit a minimalizovat jimi způsobované škody.

„Existují řešení, takže se svět v tomto směru nehroutí,“ tvrdí Wade Williamson, bezpečnostní analytik ve společnosti Palo Alto Networks. „Lidé z oblasti zabezpečení často využívají útoky APT jako omluvu pro selhání, ale tak by to být nemělo. Existují technologie, které mohou pomoci.“

Williamson je mezi těmi, kteří také tvrdí, že efektivní detekce a obrana proti útokům APT vyžaduje více než jen nové technologie. Obecně podle něj platí, že „největší potřebná změna se netýká některé z taktik, ale samotné strategie. Bezpečnost se musí vyvinout ve velmi kreativní disciplínu.“

Historicky se bezpečnostní přístup uskutečňoval formou zamítání a blokování 100 % hrozeb. Ani jedno z těchto pravidel ale dnes už není praktické.

Potřebujeme, aby bezpečnostní profesionálové byli zvídaví – aby hledali věci, které nedávají úplně smysl, a ptali se sami sebe, co by to mohlo znamenat a jak by mohli problém prozkoumat podrobněji.

„Vždycky budete potřebovat automatické zabezpečení, které blokuje špatné věci,“ tvrdí Williamson, „ale potřebujeme i kreativní experty hledající angažované darebáky na druhé straně.“
Zaujal vás tento článek? Přehled nejzajímavějších zpráv získáte odebíráním našeho newsletteru »

To všechno znamená, že existuje celá řada postupů, které bezpečnostní experti doporučují dělat organizacím, jež berou bitvu s hrozbami útoků APT vážně. Uvádíme je níže bez stanovení jakéhokoli pořadí.

1. Použití big dat pro analýzy a detekci

Rada, kterou dal výkonný předseda RSA Art Coviello během svého proslovu na loňské konferenci RSA, zní: „Celá podstata boje proti APT opouští režim prevence – big data vám umožní detekci a rychlejší reakci.“

Tuto myšlenku podporují lidé, jako je třeba Aviv Raff, spoluzakladatel a technologický ředitel společnosti Seculert. Podle něj je není prevence na hranici sítě možná, takže se detekce musí „založit na schopnosti rozboru dat, jež je nutné nepřetržitě shromažďovat a analyzovat. A zde vstupuje na scénu analytika spojená s big daty.“

Samozřejmě že to od organizací představuje počáteční investice do analytických nástrojů. „Současná IT oddělení nemají automatizované nástroje potřebné pro včasnou identifikaci infekce,“ tvrdí Brian Foster, technologický ředitel společnosti Damballa, a dodává: „Namísto toho mají obrovská kvanta údajů. Dodavatelé musejí poskytnout přístupy využívající big data pro detekci infekcí.“

Williamson s tím částečně souhlasí a považuje big data za užitečnou technologii při detekci. Podotýká však: „Nejdůležitější pointou je, že samotné útoky bývají rozložené do více kroků a technologií, takže se náš pohled na bezpečnost musí vymanit ze svého omezeného přístupu a být stejně tak komplexní, jako jsou samotné APT.“

2. Sdílení informací se správnými lidmi

Anton Chuvakin vloni na blogu Gartneru napsal, že zločinci sdílejí data, triky a metody mnohem lépe než obránci. „Považuje se za přijatelné tajit své těžce získané znalosti o způsobech používaných ke zjišťování příslovečných pokročilých útočníků, a to i v případě, kdy vaši kolegové v jiných organizacích bojují se stejnou hrozbou. A cyklus utrpení pokračuje!“ tvrdí Chuvakin.

Kompletní článek zahrnující řadu dalších poznatků a zajímavostí si můžete přečíst v Computerworldu 10/2014.


Specialisté ze Symantecu našli starého ale velmi funkčního trojského koně Regin

24.11.2014 Viry
Nového sofistikovaného červa s názvem "Regin" odhalili bezpečnostní experti ze společnosti Symantec. Vir je natolik důmyslný, že se Symantec domnívá, že Regin byl pravděpodobně vyvinul nějakým stát průmyslové špionáži.

Podle odhadů Symantecu byl Regin využíván ke špehování cizích vlád, operátorů, firem i jednotlivců minimálně od roku 2008.

„Regin je na technické úrovni, která se málo vidí,“ uvedl Symantec včera v prohlášení s tím, že červ byl podle všeho vyvinut vládní agenturou nějakého státu. Podle amerických expertů je Regin v současné době využíván v minimálně deseti státech: Rusku, Saudské Arábii, Mexiku, Irsku, Indii, Afghanistánu, Íránu, Belgii, Rakousku a Pákistánu.

Regin je „speciálně upravenou verzí trojského koně s celou řadou schopností, které lze využít u rozmanitých cílů,“ uvedl Symantec s tím, že „červ svým tvůrcům poskytuje silný nástroj ke špehování“. Vývoj Regin trval měsíce, pokud ne roky a jeho autoři údajně odvedli skvělou práci, aby za sebou zahladili stopy.

První verze Regin byla použita ke špehování několika organizací mezi lety 2008 a 2011 a nová verze se podle Symantecu objevila v roce 2012. Téměř v polovině sledovaných případů Regin infikoval sítě jednotlivců a malých firem, jsou však zaznamenány i útoky na velké firmy podnikající v telekomunikačním sektoru s cílem odposlouchávat celou infrastrukturu.
Červ se skládá z pěti oddělených modulů, které jsou až na ten první samostatně zašifrované. Jednotlivé moduly se aktivují postupně jako domino a k analýze a pochopení celého červa je třeba získat všech pět modulů.

Tento způsob fungování se velmi podobá červu Duqu/Stuxnet. Jednotlivé moduly jsou pak upravovány pro konkrétní cíle - experti objevili například speciálně upravené části kódu zaměřené na odposlouchávání zařízení v telefonních ústřednách.

„Regin je velmi pokročilým červem a je využíván k systematickému sběru dat. Vývoj a provozování červa vyžaduje značnou investici času a peněz, což naznačuje, že za tím stojí nějaká země,“ uvedl Symantec. „Regin je navrhnut k dlouhodobému špehování na pečlivě zvolené cíle.“

Symantec podle svých slov věří, že „několik modulů Regin nebylo zatím objeveno a mohou existovat i další varianty tohoto červa“. Experti proto pokračují v analýze a pokud zjistí něco nového, vydají další prohlášení. Jak dodal Symantec, „hledání těchto škodlivých kódů je výzvou pro celý bezpečnostní průmysl.“

Existenci Regin potvrdila i společnost F-Secure, která jej údajně sleduje již několik let.


Chování Američanů ochrany osobních údajů a postoje v post-Snowden éry
23.11.2014 Bezpečnost
Většina Američanů si uvědomuje, a obavy o vládní úsilí sledovat komunikaci a přístup k jejich datům, ale kupodivu, pořád vypadají vládě na ochranu jejich osobních údajů tím, že reguluje využití advertizers "těchto údajů, poslední Pew Research Soukromí průzkumu je znázorněno na obrázku. Většina z nich také nesouhlasí s tím, že on-line služby jsou efektivnější, protože mají přístup k osobním údajům uživatelů. 91 procent pollees (607 dospělých ve věku 18 a starší), se shodují, že spotřebitelé ztratili kontrolu nad tím, jak osobní informace jsou shromažďovány a používány společnostmi, a 88 procent věří, že by bylo velmi obtížné odstranit nepřesné informace o sobě online. Je také zajímavé, že 80 procent uživatelů stránek sociálních sítí jsou znepokojeni inzerenty nebo podniků, přístup k datům, které sdílejí na těchto stránkách, ale stále používat. způsob komunikace, že pollees cítí nejbezpečnější použití jsou pevné telefony (31% cítí "ne moc" nebo "vůbec bezpečné"), následuje mobilní telefony (46%), e-mail (57%), textových zpráv (58%), rychlé zprávy (68%), a konečně, sociální média stránky (81%). "Pokud jde o jejich vlastní roli v řízení osobní údaje, které považujete za citlivé, většina dospělí vyjádřit touhu podniknout další kroky k ochraně svých dat online. Na otázku, zda se cítí, jako by se jejich vlastní úsilí na ochranu soukromí svých osobních informací on-line, jsou dostačující, 61% uvedlo, že má pocit, že "chtěli dělat víc," zatímco 37% uvedlo, že "už udělat dost", "Průzkum ukázal "jen 24% dospělých" souhlasím "nebo" rozhodně souhlasím ". s tvrzením:". Je to pro mě snadné zůstat v anonymitě, když jsem on-line "" Různé typy informací vyvolávají různé úrovně citlivosti mezi Američany, a Výsledky ukazují, že jsou nejvíce obávají o své rodné číslo, údaje o jejich zdraví a léky, které užíváte, obsah jejich telefonních hovorů a e-mailových zpráv budou kompromitována. Na druhém konci spektra je informace o jejich základních nákupní zvyklosti, Média mají rádi, jejich politické a náboženské názory, své přátele.


Výchozí hesel bankomat ještě zneužít podvodníci
23.11.2014 Zabezpečení
, Opět, bankomaty byly "pirát" jednotlivců s využitím platební neschopnosti, tovární-set hesel Tentokrát heslo nebyl hádal, nebo skončil online, aby všichni věděli, protože byla vytištěna v servisní příručce bankomatu, a to - Jednotlivec, který se za pomoci komplice, podařilo hotovost 400.000 dolar za 18 měsíců byl bývalý zaměstnanec společnosti, která provozovala kiosek bankomatů se zaměřili. Tennessee bázi Khaled Abdel Fattah měl zasvěcené znalosti kódu, který, když napsal v nastavit stroje do režimu operátor, což mu i komplice Chris Folad překonfigurovat ATM nadávkoval 20 dolarů účty, když požádal o ty 1dolar dolaru. Oni by to udělat, pak požádat zařízení pro dávkování, například, 20 dolarů, a oni by dostat pryč s $ 400. Poté by se vrátí zpět změny tak, aby krádež půjde bez povšimnutí. A to trvalo 18 měsíců na to, aby se stalo - majitel jednoho z podniků, kde se jedna z těchto kiosků bankomatů zřízených poznamenal, že tam byl problém, když Stroj byl dojdou peníze. To, co nakonec vedl tajné služby dvěma podvodníky byl fakt, že jejich tváře byly zachyceny kamerami a využívali své debetní karty k výběrům. Také se držel poměrně omezený soubor bankomatů, které se nachází v Nashvillu. Podle Wired , oba muži byli obviněni z 30 počty počítačového podvodu a spiknutí. Není to poprvé, kdy ATM loupeže, jako se to stalo. Kolem 2005, servisní manuály bankomatů vyráběných Tranax a Trident skončil on-line, a obsahoval hesel, které dovolily někdo přístup k jejich režimu Operator. Pouliční podvodníci začali využívat k tomu, ale to trvalo více než 18 měsíců, širší veřejnosti vyhledávat za to. To přinutilo dodavatele ATM dotčené, aby byla povinná pro operátorům změnit výchozí heslo při instalaci přístroje. Ale bohužel, existuje mnoho bankomatů se starým systémem stále tam, a stále zranitelné.


Mobile Pwn2Own 2014: Windows Phone je sandbox odolává útoku
23.11.2014 Mobil
Mobile Pwn2Own 2014 hacking soutěže, která se konala na konferenci PacSec aplikované zabezpečení v Tokiu, Japonsko, byla uzavřena ve čtvrtek, a ani jeden z cílených telefonů přežil zcela bez úhony. z cílů jsou k dispozici pro výběr, Amazon Fire telefon, Apple iPhone 5S Samsung Galaxy S5, a Google / LG Nexus byly kompletně "pwned," Nokia Lumia 1520 se systémem Windows Phone částečně, a BlackBerry Z30, Apple iPad Mini a Nexus 7 nebyly zaměřené na všechny. Závodníci byli vyzýváni, aby se na telefony z různých stran - přes mobilní webovém prohlížeči, a to prostřednictvím mobilní aplikace a OS otvorů, přes Bluetooth, Wi-Fi nebo NFC, zpráv služby, nebo v omezeném počtu případů, přes pásmo. Úspěšný využití chyby v druhé provádí s tím 150000dolar cenu, ostatní méně: 100.000 dolar za zasílání zpráv služby, 75.000 dolarů na krátkou vzdálenost a 50.000dolar pro prohlížeče, aplikace nebo operačního systému. byly poskytnuty Není mnoho podrobnosti o úspěšném využije, protože informace jsou první sdíleny s dodavateli a bude sdílet s veřejností, jakmile chyby jsou uzavřeny. To, co víme, je, že Apple iPhone 5S vlastnil prostřednictvím prohlížeče Safari tím, že využívá dvou chyb, Amazon Fire Phone byla porušena přes tři chyby ve svém prohlížeči, Samsung Galaxy S5 byl úspěšně poskytnuta prostřednictvím NFC dvěma různými týmy (jeden spuštěním problém deserializace v určitém kódu, a další, a to zaměřením logické chyby) a Nexus 5 byl nucen se spárovat s jiným telefonem přes Bluetooth. Dva soutěžící, že udělali své útoky na druhém den byli méně úspěšní: Jüri Aedla použít Wi-Fi připojení k cílové Nexus 5, ale nebyl schopen zvýšit své oprávnění jiného, ​​než jejich původní úroveň. A Nico Joly se snažil využít prohlížeč Lumia, ale nepodařilo se získat plnou kontrolu nad systémem jako na pískovišti konala. On dělal, nicméně, podaří extrahovat databáze cookie. Více podrobností o činech lze očekávat v nejbližších týdnech, protože prodejci oprava chyby a soutěžící jsou uvedeny vstoupit do diskutovat o jejich útoky veřejně.


Facebook aktualizace pojmy a zásady, zavádí interaktivních průvodců o ochraně osobních údajů
23.11.2014 Sociální sítě
Facebook pokračuje se svým plánem, aby nastavení ochrany osobních údajů v sociální síti je jednodušší na pochopení, a zavedla ochrany osobních údajů Základy, soukromé Basics je stránka, kde si uživatelé mohou projít řadou interaktivních průvodců, které vysvětlují věci, jako je to, co vidí ostatní o vás, jak zablokovat ostatní uživatelé, co dělat, když váš účet byl hacknutý, a tak dále. Stručně řečeno, je to místo, kde se nejčastěji kladené otázky týkající se užívání Facebooku jsou zodpovězeny způsobem, kterému rozumí všichni. V závislosti na jazyku nastaveném na vás Facebook účet, můžete zobrazit informace ve vašem vlastním jazyce (informace jsou k dispozici ve 36 jazycích). "Jsme také navrhuje aktualizace našich podmínek , politiky v oblasti údajů a souborů cookies , "Erin Egan, Facebook Chief Privacy Officer sdílené v příspěvku. "Jsme aktualizujeme naše politiky, aby vysvětlil, jak získat informace o poloze v závislosti na funkcích, které se rozhodnou použít." byly také přidány další změny, a některé politiky zřejmě zjednodušen. Jste-li uživatel Facebooku, Apeluji na vás prohlédnout změny a nabídnout komentáře - máte-li nějaké. Měli byste vědět, co Facebook dělá s informacemi a jak to skladby, které on-line, takže můžete učinit informované rozhodnutí o použití (nebo přestat používat), sociální sítě, termín je 20. listopadu.


Toshiba a Cisco spolupracovat na nové způsoby, jak využít internetu věcí
23.11.2014 IT
Toshiba a Cisco spolupracují na nové způsoby, jak využít internet všeho, co se může výrazně zlepšit procesy, produktivity a zkušenosti v oblasti výroby, dopravy a městské prostředí. Růst internetu věcí (Internet věcí), na trhu se výrazně zrychlil v minulém roce v celém celé řadě průmyslových odvětví a organizací veřejného sektoru. Internet of Everything zvířat (OIE), spojuje lidi, procesy, data a věci přes internet, soustružení údaje získané z připojených zařízení do využitelných informací, které mohou zlepšit procesy, rozhodování a plánování scénářů pro podniky a lidi. OIE je také vytvoření větší potřeba mlhy na počítači, který uchovává a zpracovává údaje na fyzické umístění blíže k zařízení a provozů - nebo s hranou. - namísto zpracování všech procesů v cloudu Tento globální spolupráce spojuje síťové prostředí Cisco Fog Computing představovat zabezpečení pro celou síť Cisco řešení s technologií pro správu koncových bodů TOSHIBA skupiny. Společné úsilí pomůže monitorovat a spravovat více zařízení, proud výpočetní techniky pro vysokorychlostní zpracování informací získaných od zařízení, a zajistit skladovací technologie hromadit informace získané pomocí M2M technologií. Toshiba se snaží vytvořit novou hodnotu připojit svůj energie, zdravotní péče, skladování výrobků a služeb s využitím cloud computing, velké datové a analytické technologie, aby se dosáhlo svou vizi vytvořit bezpečný a pohodlný společnost, "Human inteligentní Společenství". Toshiba bude uplatňovat technologie s internetu věcí, M2M, a mlhy výpočetní širší škále zařízení a šíří ji do výrobních systémů, provoz / dopravních systémů a inteligentních měst. "Očekává se, náš vztah se společností Toshiba na posílení technologické základy pro Internet všeho, zajištění rychlé, spolehlivé a hodnotné výsledky pro naše společné zákazníky jak ve veřejném i soukromém sektoru, "řekl Wim Elfrink, Cisco EVP průmyslových řešení a šéf globalizace důstojník. "Výkonná kombinace vedoucí informačních technologií Cisco a Toshiba se bude ještě jeden klíčový urychlovač v rychle rostoucím internetu Vše trhu a jeho kritické ekosystém."


Secure Access problémů vzdáleného souboru
23.11.2014 Zabezpečení
Zatímco většina na plný úvazek souborů přístup zaměstnanců na dálku (89%), téměř tři čtvrtiny (73%), stále ještě tak prostřednictvím e-mailu, a méně než čtvrtina (22%) jsou si vědomi systému pro sdílení souborů společnost schválené na svém pracovišti, podle Soonr. Téměř tři ze čtyř zaměstnanců na plný úvazek (74%) uvádí, že je důležité, aby jejich práce, aby bylo možné snadno sdílet soubory s kolegy, partnery a zákazníky. Přesto, dva ze tří zaměstnanců na plný úvazek (67%) se stále potýkají se zajištěním souborů přes týmů a organizací jsou up-to-date, velký skok z 26% v roce 2013. Další top obavy, které mají dopad zaměstnanců patří:

Přístup k souborům kdykoli (48%)
Sdílení velkých souborů (47%)
Uspořádání souborů (44%)
Práce na dokumentech, zatímco mobilní (41%)
Zabezpečení firemních dat (33%).
V vždy, na době, kdy je práce vedené ze silnice přes smartphone, nebo v off-site setkání na tabletu, která chrání citlivé interní a klienta nebo zákazníka informace je rozhodující pro úspěch v podnikání. Přesto podíl zaměstnanců na plný úvazek, kteří se cítí napadena zabezpečení podnikových dat je až o 33%, ve srovnání s 9% v roce 2013. "S plnou 59% respondentů pocit, že to je" důležité "nebo" velmi důležité, "aby budou moci stáhnout nebo upravit pracovní soubory z mobilního zařízení mimo kancelář, řešit tyto obavy je rozhodující, "řekl Ahmet Tuncay , generální ředitel společnosti Soonr. "Poskytovatelé řešení již nemůže spoléhat na jednoduché sync-and-share schopnosti-zaměstnanci potřebují snadný přístup k úplným dokumenty spolu s plnou možností úprav na základě řady podmínek, a to i v režimu offline, aby ke své práci efektivně." Výsledky studie ukazují, různé požadavky na vzdálený přístup k souboru, spolu s oborově specifických problémů s mobilními pracovníky. Přes devět významné průmysly dotázaných, 85% zaměstnanců na plný úvazek mají obchodní potřeby přístup k souborům na dálku. Konstrukce:

Pouze 65% zaměstnanců na plný úvazek v této zprávě průmyslu pracuje v centrále
Více než polovina (55%), pohled kdykoli přístup k souborům a dokumentům jako důležitý
Biotech / Zdravotnictví:
72% zaměstnanců má problémy udržet soubory všech přítomných aktuální
Polovina (50%), dochází k problémům sdílení velkých souborů s členy týmu.
Prodej:
Přes význam pro jejich pracovní role, 62% z prodejních odborníků je obtížné spolupracovat s ostatními mimo jejich společnosti
Téměř dvě z pěti (38%) uvádí, je schopen rychle orientovat se v procesu kupní smlouvy a upravit papírování na dálku by, aby jejich práce jednodušší
Pouze 10% jsou si vědomi své firmy pomocí zmíněných služeb pro sdílení souborů.
IT:
45% IT profesionálů vidět zabezpečení podnikových dat jako výzvu
58% měli potíže se stahováním velkých souborů
52% rozhodně souhlasí s tím, že jsou obavy se soukromí a bezpečnost svých souborů.
Generální ředitelé:
Firemní ředitelé jsou s největší pravděpodobností přednost sdílení souborů; 91% uvádí užívání nějaký druh služby
Důsledky: 40% z nich vynechal důležitou lhůtu kvůli tomu, že není schopen přistupovat k souborům na dálku ze smartphonu nebo tabletu zařízení; 30% hlásí stejný kvůli tomu, že není schopen upravovat soubory na dálku
59% IT profesionálů rozhodně souhlasí s tím, že jsou zájem na zachování soukromí a bezpečnost svých souborů.


Doporučené postupy pro vládní agentury pro zajištění IT infrastruktury
23.11.2014 Zabezpečení
Mnoho vládních agentur, oddělení, subdodavatelé, poskytovatelé služeb, a organizace, které provozují systémy IT jménem vlády musí zajistit ochranu své kritické infrastruktury a zajistit zabezpečení dat a spojitých systémů provoz. Tyto požadavky jsou popsány v různých mezinárodních a národních norem, předpisů a zákony stanovené orgány, na něž se vztahuje osvědčených postupů rámců, jako je například COBIT, NIST800-53, ISO / IEC 27001, ISO / IEC 15408 a ITIL. Požadují, aby vládní agentury bezpečí a ochranu důvěrnosti, integrity a dostupnosti informačních systémů a dat zpracovány, skladovány, nebo přenesená. Pobyt v souladu s těmito předpisy je otázka dobrého jména pro širokou škálu organizací, včetně datových zúčtovací, státní útvary, vojenské subdodavatelé a soukromých prodejců, pokud je jejich výměna údajů přímo s vládními systémy. , V případě nedodržení předpisů může vést k přímé a nepřímé finanční ztráty a vyřazení z provozu v některých odvětvích , aby splnila požadavky na dodržování předpisů a zajištění bezpečnosti IT infrastruktury, by odborníci vládní IT vzít v úvahu následující doporučení: Zavést kontrolu nad uživateli a jejich činnosti. Velká část požadavků na bezpečnost dat spočívá v řízení přístupu, vedení účtu, a rozdělení povinností. Ve skutečnosti, dnes to jsou některé ze základních pilířů jakékoli bezpečnostní politiky, se sídlem v reakci na dramatický nárůst bezpečnostních incidentů nebo jako součást úsilí shody. Aby se zabránilo kritické otázky, jako je interní zneužívání informačních systémů, je důležité sledovat aktivitu uživatelů, zajistit, aby oprávnění jsou udělena uživatelům na základě potřeby vědět, a zavést průběžné sledování změn provedených uživatelských účtů. Gain kompletní viditelnost a odpovědnost zprávu o auditu. V reakci na shodu s regulatorními předpisy, organizace mohou být povinny předkládat zprávy s různou mírou detailů pro libovolnou dobu, prokazující účinného provádění bezpečnostních kontrol a dodržování přijatých politik. Nicméně, protože to je velmi praktické shromažďovat, konsolidovat, a korelují data ručně na konfiguraci, nastavení zabezpečení a činnost v databázích, souborových serverů a virtuálních prostředí ručně, změnou auditu řešení bude informovat o všech změnách napříč všemi IT systémů a poskytujeme komplexní vlastních sestav. monitorovat a hodnotit své životní prostředí. Být vyhovující v mnoha ohledech znamená, být si jistý, že bezpečnostní zásady a postupy fungují správně a pomáhají při snižování rizika. S vaše IT infrastruktura neustále auditu potvrzuje, že máte kompletní přehled napříč všemi vaše IT systémy a dokazuje, že vaše IT prostředí je pod stálou kontrolou. Řídit přístup a úpravy ke sdíleným prostředkům. Pokud jde o data uložená v kritických systémů, jako jsou SQL, soubor servery a SharePoint, je nutné vědět, kdo to, co, kdy, kde a. Zvažte nasazení řešení, které vám poskytne detailní pohled, a to i před a po hodnotách, při jakémkoliv pokusu o přístup, upravit nebo odstranit citlivá data.


Noční můra v Malware ulici
23.11.2014 Viry

spontiroli
Další ransomware byl spatřen v přírodě v poslední době, značkových "CoinVault" . Ten zahrnuje některé zajímavé detaily stojí za zmínku, včetně podivné charakteristikou nabízí volné dešifrování jednoho z rukojmích souborů jako gesto dobré vůle .

CoinVault

Technicky, malware autoři vzali hodně opatření ke zpomalení analýzu vzorku. I když to bylo děláno s .NET společnosti Microsoft, chvíli trvá, než dosáhne jádro jejich škodlivé aplikace. Po otevření první vzorek "IL Spy", zjistíme, že se program spustí pomocí řetězce klíč, který je předán metodě šifrování, což v konečném důsledku získat spustitelný kód.

 

Byte pole je předán jako parametr "EncryptOrDecrypt" způsobem, který ve spojení s klíčem vypíše finále byte pole s tolik potřebnou kódem malware.

Implementace těchto funkcí Visual Studio je stejně snadné jako kopírovat / vložit, a tak jsme provést metody nashromáždils ze zdrojového kódu a nastavit zarážku ověřit, jaká je metoda dešifrování dělá. "77", "90" v desítkové nám říká, že jsme na správné cestě, protože při převodu těchto čísel na šestnáctkové dostaneme "4D", "5A", což je magické číslo pro DOS spustitelné soubory zjištěných ASCII řetězec " MZ ". My vypsat všechny byty do spustitelného souboru v disku pro další analýzu.

Dostaneme soubor s názvem " SHIELD runner " , které slouží jako pomocné aplikace pro "RunPE". Aplikace "RunPE" slouží k spouštět soubory za běhu, což znamená, že paměť proud je vytvořen ze vstupu a popraven přímo bez předchozího uložení souboru na disk. To je užitečné pro malware spisovatele, kteří chtějí, aby se zabránilo zanechání stop za sebou, a jak brzy uvidíte, že to není všechno tento soubor má nabídnout.

I když budeme pokračovat v našem vyšetřování ransomware kódu, je to pozoruhodný řetězec zakotven v SHIELD běžec spustitelný soubor, D: \ Users \ Dennis ... " .

Stejně jako dříve, řetězec klíč a bajtové pole se používají k výrobě další spustitelný soubor. Jak můžete vidět, že útočníci šli do krajnosti, aby se zpomalil analýzu a skrýt škodlivý náklad tak dlouho, jak je to možné .

Nejen, že máme funkci obvyklého "RunPE", ale také pěkný další sadu metod, které vám pomohou malware detekovat analytické nástroje a virtualizovaná prostředí. Kontroluje "Sandboxie", "Wireshark", "Winsock Packet Editor" a dokonce i kontroluje, zda název tohoto stroje je "MALTEST" . Naštěstí žádná z těchto podmínek splněna v mém okolí, takže jsme dobré jít.

Ale počkat .... je toho víc! Detekce virtualizovaném prostředí způsobí provedení se zastavit a škodlivý užitečné zatížení má být skryty.

Pomocí PowerShell, budeme kontrolovat, zda malware může skutečně odhalit naše životní prostředí. Zdá se to může, takže budeme muset provést některé jednoduché úpravy, aby mohl pokračovat v procesu analýzy.

Můžeme opravit snadno od VMware konfigurace VMX souboru, nastavení volby "SMBIOS.reflectHost = TRUE". Znovu Úplné PowerShell kontroly, jsme svědky dobré zprávy, a jsou připraveni jít ještě dál.

Opakování procesu řetězce klíče a byte pole dešifrování a dumping v pravý čas paměť vyplatí a my nakonec skončí s sadu souborů, které budou použity v průběhu infekce.

V CoinVault "Locker" má dvě hlavní podoby Windows: hlavní, kdo nám říká, platit za účelem získání souborů oběti a "frmGetFreeDecrypt", který se používá k dešifrování jeden ze souborů oběti jako způsob, jak dokázat, že můžeme ve skutečnosti obnovit náš drahocenný informace, pokud budeme dodržovat včas.

Nicméně předtím, než na "Locker v analýze budeme muset (alespoň trochu) deobfuscate. Malware spisovatelé zobrazit nějaký smysl pro humor zde: v případě, že analytik prošla tímto větších problémů k dosažení tohoto bodu se zdá, že je vítán, jak navrhuje fráze, "Vaše nejhorší noční můra" . Kromě toho, že jsou dostatečně chce opustit banner signalizaci mlžení nástroj oni používali. V tomto případě se jedná o stále populárnější "konfuzoru", ve znění 1.9.0.0.

Jistě, je to matoucí ... ale můžeme udělat to lépe. Tak jsme se jít od něčeho, co se podobá čínské rukopis Zdrojový kód.

Nyní můžeme vidět, mezi mnoha (mnoha) metod a delegátů uvnitř sestavy někteří příslušným kódem, pokud jde o šifrování souborů. .NET Je "System.Security.Cryptography.RijndaelManaged" namespace se používá (mimo jiné), odhalující symetrické funkce šifrování.

Můžeme dostat i pohled na to, jak se PRNG realizována a některé vnitřní podrobnosti o škodlivé aplikace.

Když jsme se konečně Zobrazí se "Locker" spustitelný soubor, spojení se provádí dynamické domény. V rámci této analýzy, dvě adresy byli přítomni: "cvredirect.no-ip.net" a "cvredirect.ddns.net" . Ty jsou v současné době v režimu offline, a to omezuje funkčnost "Locker", protože při kontrole dopravní analýzy jsme mohli vidět, že hardware ID je poslán do C & C za účelem využití dynamického šifrování souborů heslo. Myslím, že nyní můžeme pochopit, proč je malware kontrola Wireshark v systému. Koneckonců, by se zločinci nechtějí, abyste nahlédnout na to, jak je jejich podnikání dostat udělat.

V tomto bodě, pokud vše dobře dopadlo (pro zločinci), vaše osobní dokumenty a soubory byly zašifrovány a platba je vyžadována méně než 24 hodin, nebo cena se zvedne. Bitcoin adresa používá dynamický příliš, takže sledování finančních prostředků mnohem složitější, než je obvyklé.

MainScreen

Je to vaše nejhorší noční můra? Pokud nemáte aktualizovaný anti-malware apartmá a (pouze v případě, že), zálohu nejdůležitějších souborů, může to být jen.

Kaspersky detekuje rodinu jako "Trojan-Ransom.Win32.Crypmodadv.cj" . Už jsme viděli podobné škodlivé aplikace v minulosti (pokud jde o funkčnost), jako je například "TorrentLocker", a některé PowerShell ransomware, ale množství úsilí investované do této jedné za účelem ochrany kód ukazuje, že zločinci jsou využití již vytvořených knihoven a funkce aby se zabránilo objevování Ameriky.


Nová aplikace Amnesty International umožní zjistit přítomnost spyware v systém

21.11.2014 Viry
Organizace Amnesty International vydala bezplatný program, který umí zjistit, zda nemáte v systému nainstalován špionážní software.

Aplikace s názvem Detekt je podle Amnesty International (AI) určena k fungování vedle běžných antivirových programů. Jak uvádí AI, Detekt je v prvé řadě zaměřen na detekování sofistifikovaných špionážních programů (tzv. spyware) používaných vládami po celém světě, které umí například bez vědomí uživatelů pořizovat obrázky z webkamer či pomocí integrovaných mikrofonů naslouchat jejich konverzacím.

AI vyvíjela Detekt dva roky a podle Tanyi O´Carrollové aplikace umí odhalit špinonážní software, na nějž běžné bezpečnostní programy nestačí. Aplikace, na níž kromě AI pracovali také experti z Electronic Frontier Foundation, Privacy International a Digitale Gesellschaft, je dostupná zcela zdarma. Skupina se navíc závazala k tomu, že bude Detekt pravidělně aktualizovat a rozšiřovat jeho funkce.

První verze programu běží pouze na operačním systému Windows, jelikož lidé, kteří jsou nejčastěji monitorování, podle O´Carrollové používají právě tento operační systém. Spyware používají vládní organizace celé řady zemí, v posledním roce se objevily skandály se špehováním například v Bahrajnu, Sýrii, Etiopii, Vietnamu, Německu či Severní Koreji.

„Je snazší vyjmenovat ty země, které špionážní nástroje nepoužívají, než ty, které ano,“ řekla O´Carrollová s tím, že na trhu se spywarem používaným vládami se ročně protočí pět miliard dolarů. A podle AI je na čase, aby bylo toto obchodování lépe regulováno.

Profesor Alan Woodward z University of Surrey, který často radí různým vládám v bezpečnostních otázkách, však v rozhovoru pro BBC pochyhoval o tom, jak se skupině neziskových organizací podaří Detekt dále vyvíjet.

„Není to jejich hlavní byznys,“ řekl Woodward. „Budou svůj software aktualizovat dostatečně často? Různé varianty spywaru se totiž objevují každý den.“ Woodward také zapochyboval o tom, jak účinný bude Detekt proti režimům, kteří namísto komerčních spywarových aplikací používají svůj vlastní speciální kód.

Jak uvedl německý bezpečnostní odborník Claudio Guarnieri, který na tvorbě programu Detekt pracoval, špionážní software vyvíjí čím dál více firem.

„Lidé si myslí, že použití spywaru vládními agenturami je ojedinělé, a to není pravda,“ řekl Guarnieri. „Spyware bývá používán jako poslední řešení při špehování v případech, kdy se nelze dostat k zašifrovaným datům. Opravdovým problémem je však to, že se nikdo veřejnosti nezeptal, zda je používání spywaru přijatelné.“

Spyware se pravidelně rozšiřuje v e-mailových přílohách nebo infikuje uživatele při přístupu na speciálně upravené stránky.


Chování Američanů soukromí a postoje v post-Snowden éry
21.11.2014 Bezpečnost
Většina Američanů si uvědomuje, a obavy o vládní úsilí sledovat komunikaci a přístup k jejich datům, ale kupodivu, pořád vypadají vládě na ochranu jejich osobních údajů tím, že reguluje využití advertizers "těchto údajů, poslední Pew Research Soukromí průzkumu je znázorněno na obrázku. Většina z nich také nesouhlasí s tím, že on-line služby jsou efektivnější, protože mají přístup k osobním údajům uživatelů. 91 procent pollees (607 dospělých ve věku 18 a starší), se shodují, že spotřebitelé ztratili kontrolu nad tím, jak osobní informace jsou shromažďovány a používány společnostmi, a 88 procent věří, že by bylo velmi obtížné odstranit nepřesné informace o sobě online. Je také zajímavé, že 80 procent uživatelů stránek sociálních sítí jsou znepokojeni inzerenty nebo podniků, přístup k datům, které sdílejí na těchto stránkách, ale stále používat. způsob komunikace, že pollees cítí nejbezpečnější použití jsou pevné telefony (31% cítí "ne moc" nebo "vůbec bezpečné"), následuje mobilní telefony (46%), e-mail (57%), textových zpráv (58%), rychlé zprávy (68%), a konečně, sociální média stránky (81%). "Pokud jde o jejich vlastní roli v řízení osobní údaje, které považujete za citlivé, většina dospělí vyjádřit touhu podniknout další kroky k ochraně svých dat online. Na otázku, zda se cítí, jako by se jejich vlastní úsilí na ochranu soukromí svých osobních informací on-line, jsou dostačující, 61% uvedlo, že má pocit, že "chtěli dělat víc," zatímco 37% uvedlo, že "už udělat dost", "Průzkum ukázal "jen 24% dospělých" souhlasím "nebo" rozhodně souhlasím ". s tvrzením:". Je to pro mě snadné zůstat v anonymitě, když jsem on-line "" Různé typy informací vyvolávají různé úrovně citlivosti mezi Američany, a Výsledky ukazují, že jsou nejvíce obávají o své rodné číslo, údaje o jejich zdraví a léky, které užíváte, obsah jejich telefonních hovorů a e-mailových zpráv budou kompromitována. Na druhém konci spektra je informace o jejich základních nákupní zvyklosti, Média mají rádi, jejich politické a náboženské názory, své přátele.


ISP se odstraní šifrování e-mailů od zákazníků
21.11.2014 Incidenty
Počet ISP v USA a Thajsku byly nedávno spatřen aktivní odstranění šifrování od svých zákazníků Data odeslaná na e-mail servery, Electronic Frontier Foundation varoval v pondělí. Na internetu jsou to dělá tím, že odstraní z odběratelů dat STARTTLS vlajky, který je používán e-mailové servery požádat šifrování, když mluví na jiný server nebo klienta. "Tím, že stripping tento příznak, tyto ISP zabránit e-mailové servery úspěšně šifrování jejich rozhovor, a ve výchozím nastavení servery přistoupí k odesílání e-mailů nezašifrované," vysvětlil EFF technolog Jacob Hoffman-Andrews. "Tento typ STARTTLS odizolování útoku většinou bez povšimnutí, protože to inklinuje být aplikován na rezidenční sítě, kde to je neobvyklé, spustit e-mailový server." Na rozdíl od PGP a S / MIME, STARTTLS neposkytuje end-to-end šifrování, ale jen server-to-server. Nicméně, to má nějaké výhody oproti dřívější:

Chrání metadat (podléhala čáry, do, za, Kopie a Skrytá pole)
Uživatelé si nemusí dělat nic pro to, aby fungovaly
E-mailový server s STARTTLS může poskytnout Forward Secrecy pro e-maily.
Kombinace všech těchto technologií dohromady - a to lze provést - poskytuje větší bezpečnost. Bohužel, jak vidíme dnes děje, STARTTLS vlajka je snadné rozpoznat (to není šifrována) a rušit. "Je důležité, aby poskytovatelé internetových služeb okamžitě zastavit neoprávněné odstranění bezpečnostních opatření svých zákazníků, "říká Hoffman-Andrews. "ISP působí jako důvěryhodné bran do globálního Internetu, a to je porušení této důvěry zachytit nebo upravit klienta provoz, bez ohledu na to, co protokol jsou jejich zákazníci používají. Je to dvojí porušení, kdy taková změna vypne bezpečnostní opatření, jejich zákazníci používají k ochraně samy o sobě. " On také sdílené, že ERF pracuje na zlepšení STARTTLS s STARTTLS Všude , nástroj, který bude vyžadovat šifrování pro servery, které jsou již známy na její podporu.


Microsoft zdroje otevřeného .NET Server stack
21.11.2014 Zranitelnosti
Microsoft open zdrojů full server-side .NET stack a rozšířený .NET pro běh na platformách Linux a Mac OS. Společnost také vydala Visual Studio společenství 2013, novou bezplatnou edici Visual Studio, která poskytuje snadný přístup k Visual Studio základní sady nástrojů. plní svůj slib podporovat rozvoj cross-platformní, Microsoft poskytuje plnou .NET serveru stack v open source včetně ASP.NET, .NET kompilátor, .NET Runtime jádra, rámce a knihoven, které umožňují vývojářům vytvářet s .NET přes Windows, Mac nebo Linux. Díky této implementaci Microsoft bude úzce spolupracovat s open source komunitou, přičemž příspěvky na budoucí zlepšení na .NET a bude fungovat prostřednictvím .NET nadace . "Dnešní open source oznámení znamená, že vývojáři budou mít plně podporován, plně open source, plně multiplatformní .NET zásobník pro vytváření serverů a cloud aplikací - včetně všeho od C # / VB kompilátory, na CLR běhu na základních .NET základní třídy knihovny, na vyšší úrovni .NET Web, dat a rozhraní API rámce, " vysvětlil Scott Guthrie, výkonný viceprezident skupiny Cloud a podnikání ve společnosti Microsoft. "Jsme uvolnění zdroj pod MIT open source licencí a také vydáním explicitní patent slib vyjasnit uživatelům patentových práv na .NET." Microsoft také vydal Visual Studio Společenství 2013, zdarma, plně vybavený edice Visual Studio včetně plné rozšiřitelnost , Zaměření na jakékoli platformě, od zařízení a plochy, na webových a cloudových služeb, Community Edition poskytuje vývojářům snadný přístup k Microsoft Visual Studio sadu nástrojů pro všechny nonenterprise vývoj aplikací. Vývojáři mohou začít s Visual Studio 2013 Společenství zde . Pro ​​další podporu křížové platforma mobilní vývoj s .NET, jako součást svého strategického partnerství, Microsoft a Xamarin oznámil nové zjednodušené prostředí pro instalaci Xamarin z Visual Studio, stejně jako oznámila přidání Visual Studio podporu pro své volné nabídky Xamarin Starter Edition - k dispozici později v rok. Kromě toho, pro webové vývojáře se zájmem o budování cloud-poháněl aplikace, které se zaměřují na mobilní zařízení, Microsoft vydal finální verzi Apache Cordova nástrojů. Vývojáři mohou začít Visual Studio 2015 Preview zde .


Největší problémy kolem připojených zařízení
21.11.2014 Zabezpečení
Jen málo evropských IT oddělení nebo pracoviště, jsou připraveni na invazi nositelné technologie a dalších připojených zařízení.

Podle průzkumu 110 zemí, členů ISACA, kteří jsou podnikatelé a odborníci v oblasti IT, 43% respondentů v Evropě, na Středním východě a v Africe (EMEA) tvrdí, že jejich organizace má plány, jak využít internet věcí, nebo které očekává vytvářet plány v příštích 12 měsících. Nicméně, většina není připravena k nositelné technologie na pracovišti. Více než polovina (57%) tvrdí, že jejich politika BYOD neřeší wearables a dalších 24% dokonce ani nemají politiku BYOD v místě. To je problémem, protože přibližně 8 do 10 respondentů (81%) uvádí, BYOW (přineste si vlastní wearables) je stejně riskantní jako, nebo riskantnější než BYOD. Celkově polovina členů ISACA regionu EMEA věří, že výhody internetu věcí převáží riziko pro fyzické osoby (50%), zatímco téměř třetina věří, že rizika převáží prospěch pro podniky (31%). Navzdory rizikům, téměř třetina (30%) říká, že internet věcí dal jejich podnikání lepší přístup k informacím a čtvrtina (25%), že se zlepšila služby v jejich organizaci. Přibližně čtyři z 10 naděje na prospěch ze zlepšení služby (40%), zvýšení spokojenosti zákazníků (39%) a vyšší účinnost (38%) v důsledku připojených zařízení.
 

I přes výhody připojených zařízení, více než polovina (51%) respondentů se domnívá, největší výzvou, pokud jde o internet věcí se zvyšuje bezpečnostní hrozby, zatímco čtvrtina (26%) se zabývají otázkami ochrany osobních údajů. Dvě třetiny (68%) přiznat, že je velmi znepokojen tím, že klesající úroveň soukromí. Více než čtvrtina respondentů uvedlo, že největší obavy široké veřejnosti o připojených zařízení by mělo být to, že nevědí, jak shromážděné informace o zařízení budou použity (28%), nebo nevědí, kdo má přístup k informacím shromážděným (26%). "Internet věcí je zde k pobytu, a v návaznosti na dovolenou, jsme pravděpodobně vidět nárůst nositelná zařízení na pracovišti, "řekl Ramses Gallego, mezinárodní viceprezident ISACA. "Tato zařízení mohou přinést velkou hodnotu, ale může přinést i velké riziko. ISACA výzkum zjistil, že více než třetina (35%), EMEA členy ISACA věřit Big data má potenciál přidat významnou hodnotu, ale jedna pětina (21%) přiznává, že jejich organizace postrádá funkce pro analýzu a zkušeností se s tím vypořádat.


Google Web "dostřel" k dispozici
21.11.2014 Testování
Google vydala "střelnice" pro posouzení různých webových aplikací skenery, s tím, co vypadá jako skutečný zaměřením na Cross Site Scripting. Kód byl vyvinut ve spolupráci společností Google a Milánu

Cíle jsou:

Adresa DOM XSS
Přesměrování XSS
Odražené XSS
Tag XSS na základě
Unikl XSS
Remote XSS zařazení
DOM XSS
CORS související zranitelnosti
Flash Injection
Smíšený obsah
Reverse Clickjacking
Zdrojový kód je na GitHub na https://github.com/google/firing-range

App Engine Deploy je http://public-firing-range.appspot.com/


Kritická WordPress XSS aktualizace
21.11.2014 Zranitelnosti
Dnes Wordpress 4.0.1 byl propuštěn, který řeší kritické XSS zranitelnost (mimo jiné zranitelnosti). [

XSS zranitelnost zaslouží trochu více pozornosti, protože je až příliš častým problémem, a často podceňován. Za prvé, proč je XSS "kritická"? To neumožňuje přímý přístup k datům, jako je SQL Injection a neumožňuje spuštění kódu na serveru. Nebo ne?

XSS neumožňuje útočníkovi modifikovat HTML na webu. S tím může útočník snadno upravit formulář tagy (myslet na přihlašovací formulář, změna URL Tvrdí, že je to data) nebo útočník mohl použít XMLHttpRequest provádět CSRF aniž by byla omezena stejným politiky původu. Útočník bude vědět, co píšete, a budou moci změnit to, co píšete, tak ve zkratce: Útočník je plně pod kontrolou. To je důvod, proč XSS se děje.

Konkrétní problém zde byl, že Wordpress umožňuje určité omezené HTML tagy v komentářích. To je vždy velmi nebezpečný podnik. Tiskové vývojáři slovo se pokusí zavést nezbytné záruky. Že jen některé tagy jsou povoleny, a dokonce i pro tyto značky, kód zkontrolovat nebezpečných vlastností. Je smutné, že tato kontrola nebyla provedena zcela v pořádku. Nezapomeňte, že prohlížeče bude také analyzovat poněkud chybně HTML pohodě.

Lepším řešením by byly pravděpodobně používat standardní knihovnu místo toho se snaží, aby to sami. HTML čistička je jedna taková knihovna pro PHP. Mnoho developer odrazuje od používání, jak to je docela objemný. Ale je to objemný z důvodu: to se snaží pokrýt co nejvíce půdy. Je to nejen normalizuje HTML a eliminuje chybně HTML, ale také poměrně flexibilní konfigurační soubor. Mnoho "lehké" alternativy, jako je řešení Wordpress přišel s, spoléhat se na regulárních výrazech. Regulární výrazy jsou obvykle není ten správný nástroj analyzovat HTML. Příliš mnoho se může pokazit od nových linek a končí někde kolem multi-byte znaky. Stručně řečeno: Nepoužívejte regulární výrazy analyzovat HTML (nebo XML), zejména pokud jde o bezpečnost.

[1] https://wordpress.org/news/2014/11/wordpress-4-0-1/


"Big Data" Needs výlet do bezpečnostní Chiropracter!
21.11.2014 Bezpečnost
Když jemné lidi na Portswigger aktualizovány krkat Suite minulý měsíc 01.06.07 (listopad 3), byl jsem opravdu rád, že NoSQL injekce v seznamu nových funkcí.

Co je NoSQL jste se zeptat? Je-li ředitel s tebou mluvit o "Big data" nebo váš marketing je s tebou mluvit o "zákazníka metriky", pravděpodobně to, co mají na mysli, je aplikace s back-end databáze, který používá NoSQL místo "skutečné" SQL.

Jsem zakopnutí tohoto požadavku tento měsíc v maloobchodních prostor. Mám klienty, kteří chtějí sledovat návštěvu maloobchodní zákazníka k úložišti (sledování jejich mobil je pomocí obchod bezdrátových přístupových bodů), aby se zjistilo:

pokud zákazníci Navštivte obchod úseky, kde se prodej položky jsou?
nebo, pokud zákazníci navštívit oblasti X, se jim statisticky navštívit oblast y dál?
nebo poté, co navštívil výše uvedené oblasti, kolik zákazníků vlastně něco koupit?
nebo poté, co viděl nákup, kolik "funkce" prodej nákupy jsou čisté nové zákazníky (nebo opakovat zákazníků)
Jinými slovy, s využitím bezdrátového systému pro sledování pohybu zákazníka, pak korelaci zpět k nákupu chování s cílem určit, jak efektivní každá funkce může být prodej.

Takže to, co databáze se lidé používají pro aplikace, jako je tento? Předním místě v závodě NoSQL v těchto dnech patří MongoDB a CouchDB. Obě databáze ještě zajímavěji s velkými objemy dat. Nicméně, zatímco oba dělají obrovské pokroky v oblasti zabezpečení databáze aplikace, jejich aktuální verze oba stále potřebují trochu TLC v bezpečnostním prostoru - a samozřejmě nikdo odstraní staré instance, takže původní, originální problémy jsou stále tam všechno.

Naštěstí obě databáze mají dobrou (a relativně poctivé!) Bezpečnostní dokumentace, a to jak z nich explicitně volat tuto situaci ven.

MongoDB uvádí to pěkně na http://docs.mongodb.org/manual/administration/security-checklist/:

"Ujistěte se, že MongoDB běží v důvěryhodném prostředí sítě a omezit rozhraní, na kterém instance MongoDB pro příchozí spojení. Povolit pouze důvěryhodným klientům přístup k síťové rozhraní a porty, na kterých jsou k dispozici instance MongoDB."

CouchDB má podobné prohlášení na http://guide.couchdb.org/draft/security.html "

"Mělo by být zřejmé, že uvedení výchozí instalaci do volné přírody je dobrodružná"

Takže, kam vidím lidi nasazení těchto databází? Proč na veřejných cloudů , že je místo, kde! Protože to, co lepší místo, aby databázi, která má všechny druhy zákaznických dat, než u svých IPS a dalších bezpečnostních kontrol?

A co se stane poté, co postavit svůj téměř bez databázi a analýzu tohoto souboru údajů se děje? Ve většině případů, marketingové lidé, kteří používají to prostě opustit ji ve spuštěném stavu. Co by mohlo jít na tom špatného? Zvlášť v případě, že nikomu v obou IT nebo skupiny zabezpečení říci, že tato databáze ještě existuje?

Vzhledem k tomu, že máme stovky nových způsobů, jak sbírat data, která jsme nikdy měli přístup k dříve, je to docela zřejmé, že v případě "velkých dat" infrastruktury, jako jsou tyto nejsou součástí našich současných plánů, je pravděpodobnost, že by měla být. Jediné, co chci, je, že lidé dělat hodnocení rizik tha, že by, pokud je tento server se děje v jejich vlastním datovém centru. Zeptejte se na některé otázky, jako jsou:

Jaká data budou na tomto serveru?
Kdo je formální správcem těchto údajů?
Se údaje zahrnuty do regulačního rámce, jako je HIPAA nebo PCI? Musíme hostovat uvnitř určené oblasti nebo VLAN?
Co se stane, pokud tento server je ohrožena? Budeme muset sdělit nikomu?
Kdo vlastní provoz serveru?
Kdo je odpovědný za zabezpečení serveru?
Má serveru mají předem stanovenou životnost? Měla by být odstraněny po nějakém místě?
Je developer, nebo marketingový tým, který se dívá na datovém souboru pochopit své regulační požadavky? Myslíte, že pochopili, že čísla kreditních karet a údaje o pacientech jsou pravděpodobně špatné kandidáty pro off-prem / ležérní léčby, jako je tento (nádechem - NE ŽE DO NOT).
Smartmeter aplikace jsou další "velká data" věc, kterou jsem se setkal v poslední době. Kterým se na to end-to-end - sběr dat ze stovek tisíc embedded zařízení, které mohou nebo nemusí být zajištěná, přes veřejnou síť musí být uložena v databázi insecurable ve veřejném cloudu. Jo, a shromážděná data naráží na minimálně 2 regulačních rámců - PCI a NERC / FERC, případně i právní předpisy o ochraně osobních údajů v závislosti na zemi. Au!

Zpět na nástroje pro hodnocení těchto databází - krkat není vaše jediná volba slouží ke snímání NoSQL databázové servery - ve skutečnosti, krkat se více zabývá web front-end k NoSQL sám. NoSQLMAP (http://www.nosqlmap.net/) je dalším nástrojem, který je vidět spoustu trakce, a samozřejmě standardní "obvyklé podezřelé" Seznam nástrojů mají NoSQL skripty, součásti a pluginy - Nessus má pěknou sadu souladu kontroluje samotné databáze, NMAP má skripty jak pro CouchDB, mongodbb a detekce Hadoop, stejně jako těžba databázových informací specifické. OWASP má dobrou stránku na NoSQL injekce na https://www.owasp.org/index.php/Testing_for_NoSQL_injection, a také vyzkoušet http://opensecurity.in/nosql-exploitation-framework/.

Shodan je také příjemné místo, kde hledat v hodnocení během průzkumné fáze (například, podívejte se na http://www.shodanhq.com/search?q=MongoDB+Server+Information)

Už jste použili jiný nástroj pro posouzení a NoSQL databáze? Nebo jste se - řekněme "zajímavý" rozhovor kolem zabezpečení dat v takové databázi s vaším řízení a marketingové skupiny? Prosím, přidejte do příběhu v našem komentáře formě!


Sophos ochrání servery v cloudu Amazonu

21.11.2014 Zabezpečení
Secure OS, zabezpečení serverů v prostředí služby Amazon Web Services (AWS), představila firma Sophos. Doplňuje tak její řešení UTM Next Generation Firewall, který se již prostřednictvím AWS Marketplace nabízí.

AWS představuje komplexní škálovatelnou cloudovou platformu, na které mohou zákazníci vytvářet a hostovat své aplikace prostřednictvím jednoduchého webového rozhraní nebo přes rozhraní API.

Nový Secure OS kombinuje operační systém CentOS s komplexní předinstalovanou ochranou před malwarem v jediném AMI (Amazon Machine Instance). Možnost využití zabezpečeného serveru nabízí alternativu k budování vlastní infrastruktury pro správu zabezpečení serverů v cloudovém prostředí.

Kromě Secure OS přichází Sophos nově také s možností testování svých řešení pro zabezpečení koncových bodů pomocí administračního nástroje Enterprise Console. To bude dostupné v rámci programů AWS Test Drive, jež umožňují zákazníkům vyzkoušet si produkty s využitím soukromého IT prostředí ve formě sandboxu, který obsahuje předkonfigurovaná serverová řešení.


Zpráva: Cílená digitální výhrůžky organizací občanské společnosti
20.11.2014 Analýza
Organizace občanské společnosti (OOS), že práce na ochranu lidských práv a občanských svobod na celém světě jsou bombardováni stejné trvalé a nebezpeční cílené počítačové špionáže útoky údajně zasáhla průmysl a vládu. Na rozdíl od průmyslu a vlády, nicméně, organizace občanské společnosti mají mnohem méně prostředků k řešení problému a jen zřídka dostávají stejnou pozornost jako první. Tyto útoky na občanské společnosti, vyvolat závažné otázky pro udržitelné prosazování práv a demokracie ve světě. Tyto a další závěry jsou podrobně popsány v hlavní nové zprávy, zveřejněné Citizen Lab, interdisciplinární výzkumná laboratoř se sídlem na University of Toronto Munk School of Global Affairs . Zpráva podílí 10 občanských sdružení, která se zapsal jako studijních předmětů po dobu čtyř let. Studie Citizen Lab snažil získat lepší přehled o často přehlížena prostředí digitální nepříznivý vliv - ať už to vědí, nebo ne -, mnoho z nejdůležitějších institucí, společenských se účastní organizace občanské společnosti sdílené e-maily a přílohy podezřelých z obsahující škodlivý software, síťový provoz, a další údaje s výzkumníky, kteří se zavázali důvěrné, podrobnou analýzu. Vědci také věnována místě, které mají účast organizací občanské společnosti, a rozhovor o jejich vnímání a dopady digitálních útoků na jejich provoz. "Je dobře známo, že počítač špionáž je problém, kterému čelí Fortune 500 společností a vládních agentur. Méně známý a zkoumal, jsou však způsoby, jak tyto stejné typy útoků mají vliv na menším organizacím prosazování lidských práv, svobody slova a přístupu k informacím. Vydali jsme se na tuto mezeru ve znalostech, "vysvětlil profesor Ron Deibert, ředitel Citizen Lab. "Komunity @ zprávě rizik představuje zásadní systematické úsilí k určení typu digitálních útoků tíživé lidských práv a dalších organizací občanské společnosti." Vědci zjistili, že technická propracovanost i těch úspěšných útoků proti občanské společnosti bývá nízká. Místo toho, útočníci dát ještě velké množství času a úsilí do tvorbě legitimní vypadající e-mailové zprávy nebo jiné "návnady", určené k návnadu cíle do otevírání příloh nebo kliknutím na odkazy. Obsah těchto návnad je často odvozena z informací získaných z předchozích porušení jednotlivců v jejich organizaci či partnery v jejich širších komunitách. Pravidelné užívání sociálně inženýrských útoků jako návnada narušuje důvěru mezi těmito komunitami a odrazuje kolem pomocí samotné komunikační technologie, které jsou často považovány za organizace občanské společnosti "největší přínos. Po dobu čtyř let, vědci sledovali, jak útočníci modifikované Jejich škodlivý software a další útok techniky založené na organizace občanské společnosti "volby operačních systémů a dalších platforem, což naznačuje přetrvávající a vyvíjející se povahy cílených digitálních hrozeb. Zpráva také zdůrazňuje nadnárodní rozměr cílených digitálních hrozeb na občanské společnosti. Cílené digitální hrozby poskytnout prostředky pro silný hrozby herce, jako je stát, rozšířit svou působnost i za hranice a do "bezpečných oblastí," sledování exilu novináře, diaspora a skupin pro lidská práva, jako by byli v fyzické blízkosti. Zpráva uvádí, že řešení problému bude vyžadovat mezi několika zúčastněných stran velké úsilí, od nadací, které financují občanskou společnost, do soukromého sektoru, vlád. Investoři jsou v jedinečném postavení na podporu stipendistů při vytváření měřitelné zlepšení jejich organizačního zabezpečení, ale musí nejprve přijmout Kroky ke správnému vyhodnocení digitálních rizika pro sebe i své stipendisty. Firmy, které se hromadí software nebo zajištění bezpečnosti informací mají povinnost podporovat organizace občanské společnosti v ohrožení, a zpráva doporučuje oni zkoumají "pro bono" model pomoci, stejně jako kreativní řešení licencování pro organizace občanské společnosti, aby se zabránilo použití nezabezpečeného, ​​zastaralé software. V neposlední řadě by se vlády, které podporují právo na soukromí a svobodu projevu on-line přijmout opatření ke zvýšení profilu cílených digitálních hrozeb vůči občanské společnosti v jejich domácí politiky a diplomacie, "léčení tom, jak stejné priority jejich obraně soukromého sektoru. "


Nejnovější Microsoft záplaty zásadní pro všechny uživatele systému Windows
20.11.2014 Zranitelnosti
Microsoft uzavřel spoustu nedostatků, včetně 0-day zneužívaný červ týmem, v listopadových Patch úterý. Ale je tu další chyba, že byste měli být starosti a měl by zavést patch pro co nejdříve: ten, který ovlivňuje Secure Channel (Schannel) bezpečnostní balík Microsoft ve všech podporovaných verzích systému Microsoft Windows. Schannel implementuje bezpečnostní protokoly, které umožňují ověření totožnosti a bezpečné soukromé komunikaci mezi klientem a serverem přes web pomocí šifrování. Podle doprovodné bulletinu zabezpečení , tam žádné polehčující faktory nebo řešení pro tuto chybu zabezpečení - dabovaný WinShock někteří. - tak může být používání náplasti by měla být musí "servery a pracovní stanice se systémem ohroženou verzi Schannel jsou nejvíce ohroženy," varoval společnost. "Útočník by se mohl pokusit o zneužití této chyby odesláním speciálně vytvořených paketů na server se systémem Windows," uvedly, a výsledek těžby by mohla být vykonání libovolného kódu na cílovém serveru. Naštěstí, nejsou tam žádné zprávy o bug zneužívána V útocích ve volné přírodě. aktualizace také obsahuje nové dostupné TLS šifrovací apartmá v Schannel. "Tyto nové šifer pracují ve Osnova / režimu čítače (GCM), a dva z nich nabízejí perfektní Forward Secrecy (PFS) pomocí Dhe výměnu klíčů spolu s ověřování RSA," upozornil Microsoft ven. Microsoft neříká, kdo objevil chybu , jen to, že obdržel informace o tom prostřednictvím koordinovaného zveřejnění zranitelnosti. Podle Qualys ČTÚ Wolfgang Kandek, Opravy "jsou výsledkem vnitřního přezkumu kódu společnosti Microsoft, která odhalila řadu otázek korupce paměti v Schannel v obou serverů a klientských rolí. " "Chyby jsou soukromé, neboť bylo zjištěno, Microsoft interně a zatímco Microsoft považuje za technicky náročné kód využívat, je to jen otázka času a zdrojů, a to je rozumné nainstalovat tento bulletin v příštím cyklu aplikace náplasti," mu poradil . "I když žádný důkaz o kódu, který ještě na povrch, díky Microsoft naštěstí je málomluvný o přesné informace o zranitelnosti, to nebude trvat dlouho, dokud člověk dělá, které by mohly být katastrofální pro jakýkoli správce, který není aktualizovány, "poznamenal Gavin Millard, EMEA technický ředitel pro Tenable Network Security. "Je to nesmírně důležité, že všechny verze systému Windows jsou aktualizovány díky schopnosti útočníků spustit kód na serveru vzdáleně, což jim umožňuje získat přednostní přístup k síti a povede k dalšímu využití, jako hostitele infikovat malwarem nebo rootkity a exfiltrace citlivých údajů. " "Je" WinShock "tak hrozné, jak Shellshock a Heartbleed? V současné době, vzhledem k nedostatku detailů a proof of concept kódu, to je těžké říci, ale vzdálené spuštění kódu ovlivňuje všechny verze serveru Windows na společné komponenty, jako je Schannel je tam s nejhorší z nich, "dodal . "Podle obvykle s" Bug Du Jour ", že je důležité, aby upmost je identifikována a opravenou každý systém v prostředí, v případě potřeby, aby se snížilo riziko ztráty dat z cílených útočníků a jejich dopad červy nebo malware které mohou povrch v nadcházejících dnech. " Dalším závažným chybu, která byla oprava je téměř dvě desetiletí starý zranitelnost našel týmem IBM X-Force pro výzkum. "chyba může být použit útočník pro drive-by útoky spolehlivě spustit kód na dálku a převzít kontrolu nad počítači uživatele - dokonce uhýbat Enhanced Protected Mode (EPM), pískoviště, v IE 11, jakož i vysoce ceněné Enhanced Mitigation Experience Toolkit (EMET) anti-využívání nástroje Microsoft nabízí ke stažení zdarma, "říká IBM Robert Freeman.


SAP konečně záplaty kritické, vzdáleně zneužitelné chyby v GRC řešení
20.11.2014 Zranitelnosti
Více než rok a půl poté, co byly oznámeny SAP AG, společnost vydala patch pro řadu kritických bezpečnostních chyb využitelných na jeho řízení, rizik a software Compliance (GRC). "SAP GRC Access Control má více vzdálených zranitelnosti, které mohou umožnit útočníkovi zvýšit privilegia, obejít omezení SOD a spustit libovolné programy. Útočník může také tyto chyby zabezpečení zneužít vzdáleně pomocí RFC protokolu, nebo pokud SOAP-RFC je aktivní, přes http / https, "výzkum německo-založené bezpečnostní SAP Společnost ESNC hlášena zpravodaji zabezpečení vydaného v úterý. objevena ESNC zakladatele Ertunga Arsal a bezpečnost SAP konzultant Mert Suoglu a hlášeny společnosti 1. dubna 2013 se chyby ovlivňují jedinou funkci. Využití vyžaduje autentizaci, ale chyba je skóre závažnosti je však velmi vysoká. "Doporučujeme zákazníkům SAP aplikovat opravy zabezpečení [ SAP Note 2039348 ] a realizovat návod k obsluze dodaných výrobcem, "poradil mu vědci ESNC, a poznamenal, že zákazníci jeho bezpečnosti Suite byly chráněny proti zneužití této chyby zabezpečení od dubna 2013. Také, že využívají pro připojení je dostupné v Penetrační testování modulu tohoto řešení této chyby zabezpečení.


Líbí se vedoucí pracovníci hodnota informační bezpečnosti?
20.11.2014 Bezpečnost
Informační bezpečnost je nízko na seznamu rizik podnikání, v souladu s NTT Com bezpečnosti. Zpráva vychází z průzkumu mezi 800 senior business s rozhodovací pravomocí (ne v IT roli), v Austrálii, Francii, Německu, Hong Kongu, Norsku, Švédsku, Velké Británii a USA, je navržen tak, aby určit míru rizika ve velkých organizacích a hodnoty, které vedoucí pracovníci uvádějí na zabezpečení dat a informací.

Zatímco téměř dvě třetiny (63%) respondentů očekává, že trpí kvůli narušení bezpečnosti v určitém okamžiku, méně než jeden z deseti (9%), viz "špatné zabezpečení dat" jako největší riziko pro jejich podnikání. Respondenti jsou s největší pravděpodobností vidět rizika pocházející z konkurentů při podílu na trhu, nedostatek dovedností zaměstnanců a snižování zisků. Vedoucí pracovníci si také neuvědomují, poškození dlouhodobé - a to jak z hlediska času a peněz - to porušení bezpečnosti může mít na jejich obchod. Více než polovina (59%) souhlasí s tím, že by minimální dlouhodobé škody, i když významná zpráva číslo, které jejich organizace by utrpěl poškození pověsti (60%) a ztrátu důvěry zákazníků (56%), pokud byl odcizen dat. Pokud jde o finanční dopad narušení bezpečnosti, respondenti odhadují, že jejich příjmy klesnou v průměru o 8%. Nicméně, 17% očekává, že bude mít vůbec žádný dopad na příjmy, zatímco čtvrtina (25%) přiznávají, že nevědí, co finanční důsledky bude. "Zde se jedná o tom, zda vedoucí činitelé obchodní rozhodnutí rozpoznat rizika pro jejich organizaci , jakož i pochopit hodnotu dobré zabezpečení dat. Zdá se, že znepokojující úroveň lhostejnosti, "říká Garry Sidaway, Senior Vice President bezpečnostní strategie a aliance, NTT Com bezpečnosti. "Když jsme se ptali respondentů, co si spojujeme s bezpečností termín dat, jen napůl věří, že to je" životně důležité "pro podnikání, méně než polovina vidí to jako" dobré praxe ", a méně než čtvrtina vidí to jako" obchodní Enabler ". Většina bohužel stále spojuje zabezpečení se ochrany osobních údajů a soukromí.

"Zpráva také naznačuje, že stále existuje rozpor mezi náklady na narušení dat a významu organizace místo na IT bezpečnost řídit tyto náklady dolů. S bezpečnostní incidenty dělat titulky denně, a náklady na rostoucí za závažné porušení - až do výše $ 1,8 m (1,4 m euro) v průměru velké organizaci - bezpečnostní incident může mít dalekosáhlé důsledky, z poškození pověsti a ceny akcií společnosti k jeho schopnost přilákat ty nejlepší talenty. " politiky dat v podniku

V průměru utratí 10% IT rozpočtu organizace na bezpečnost dat / informací, i když 16% respondentů neví, částky vynaložené.
Přibližně polovina (49%), zabezpečení ohledem údaje jako "drahé" a 18% vidí jako "rušivý".
Více než polovina (57%) mají formální zabezpečení dat politiku v místě, ale méně než polovina (47%) mají obchodní nebo Plánu obnovy po havárii na místě v případě porušení.
Zabezpečení dat
Méně než polovina (44%) uvádí, že všechny jejich kritických dat je "naprosto bezpečné".
55% respondentů uvádí, že údaje (spotřebitel) zákazník je životně důležité pro úspěch jejich podnikání, ale pouze 38% uvádí, že všechny údaje o zákaznících je "zcela bezpečné".
45% uvádí, že údaje výkonnost podniku je velmi důležité pro jejich podnikání, ale pouze 31% se přiznat, že všechny tyto údaje, je "naprosto bezpečné".
Dopad narušení bezpečnosti dat
Přibližně tři čtvrtiny (72%) tvrdí, že je důležité, jejich organizace je pojištěna pro případ porušení bezpečnosti.
Méně než polovina (48%) tvrdí, že jejich společnost pojištění kryje jak ztráty dat a narušení bezpečnosti.
Čtvrtina neví, co jsou pojištěni v případě porušení bezpečnosti dat.
Osobní znalost a chování
Méně než polovina (41%), které nejsou udržovány v aktuálním bezpečnostním IT tým o datových útoků a potenciálních hrozeb.
28% spolehnout na svůj vlastní úsudek o tom, co je "bezpečné chování" při použití / přístup k datům souvisejících s prací, ale pětina (21%), státní bezpečnosti dat je společnou odpovědností mezi nimi a IT týmu.


Microsoft záplaty Windows, IE, Word, SharePoint a IIS
20.11.2014 Zranitelnosti
Tento měsíc Microsoft se zveřejněním 14 bulletiny s novými verzemi a záplat pro své softwaru, operačních systémů a aplikací. To je jeden z méně bulletin než Microsoft oznámil minulý týden. Nejdůležitější bulletin MS14-064 řeší aktuální 0 dnů - CVE-2014 - 6352 v balírny OLE Windows pro Windows Vista a novější verze operačního systému. Útočníci byli zneužívají zranitelnost získat spuštění kódu zasláním PowerPoint souborů do svých cílů. Microsoft již dříve uznal chybu zabezpečení v bezpečnostní poradenství KB3010060 a nabídl práce kolem pomocí Emet a dočasné náplast v podobě FIXIT. Toto je poslední oprava OLE Packager (Microsoft se oprava stejný software, v říjnu již s MS14-060 ), která by měla řešit všechny známé využít vektorů. Vřele doporučuji a naše top náplast tento týden. MS14-066 je nová verze aplikace Internet Explorer, která se zabývá 17 zranitelností. Nejzávažnější z nich by mohly být použity k získání kontroly nad cílové zařízení. Útok bude mít formu škodlivého webové stránky, která cílené uživatel musí procházet. Existují dva základní scénáře, které útočníci často používají: v první uživatel přejde na místo jejich vlastní vůle, možná jako součást každodenního života , ale útočník získal kontrolu nad stránek v otázce prostřednictvím samostatného zranitelnosti a je schopen zasadit škodlivý obsah na webu. Jako příklad, mít poslední chyby (CVE-2014 do 3704) v obsahu Drupal systém řízení, který vystavena více než 12 milionů stránek na tento typ situace. Pomocí chybu, útočník má plnou kontrolu nad webu a může zasadit škodlivé stránky na jinak nevinné místě. Druhý scénář je, že útočník zřídit nový web a pak přímý provoz na ní pomocí vyhledávání manipulací lokomotiva, tj lokalit purporting mít nejnovější obrázky na nedávné události obecného nebo specifického zájmu, říkají, že soud Oscar Pistorius nebo prohlášení amerického prezidenta na neutrality sítě. MS14-066 je naše druhá žebříčku náplast tento týden. Mimochodem, pokud spustíte aplikaci Internet Explorer 10 nebo 11 se také dostat automatickou aktualizaci Adobe Flash tento měsíc. Žádné velké překvapení zde, protože to dosud stalo, každý měsíc v roce 2014. Uživatelé starších prohlížečích Internet Explorer je třeba stáhnout své vlastní aktualizace, jak spojeny APSB14-24. Naším třetím pořadí bulletin MS14-069 řeší Microsoft Word 2007 a ​​poskytuje opravy pro vzdálené spuštění kódu (RCE) zranitelnosti. Scénář útoku je zde nebezpečný dokument, který útočník připravuje zneužít tuto chybu zabezpečení. Útočníci pak poslat dokument přímo, nebo odkaz na své cíle a využívat sociální inženýrství, jako legitimního znějícími názvy souborů a popisů obsahu, které jsou pravděpodobně úroku z cíle v otázce. Pokud spustíte novější verze Microsoft Office nejste zranitelní, ale uživatelé Office 2007 by měl klást velký důraz na tomto bulletinu. Microsoft patří vysoce příští bulletin MS14-066, která se zabývá řadu zranitelností v šifrování složky Windows s názvem Schannel , který se používá pro připojení na SSL a TLS. Opravy v tomto bulletinu jsou výsledkem vnitřního přezkumu kódu společnosti Microsoft, která odhalila řadu otázek korupce paměti v Schannel v obou serverů a klientských rolí. Chyby jsou soukromé, neboť bylo zjištěno, Microsoft interně a zatímco Microsoft považuje za technicky náročné kód využívat, je to jen otázka času a zdrojů, a to je rozumné nainstalovat tento bulletin v příštím cyklu aplikace náplasti. Zbývající bulletiny řešit řadu různých operačních systémů a platforem a obsahují řadu serverových zranitelností: MS14-073 Microsoft SharePoint a MS14-076 v IIS. Jeden poslední zvědavý zranitelnosti: MS14-078 opravuje chybu (CVE-2014-4077) problém součást systému Windows pro japonský vstup. Zranitelnost se musí používat ve spojení s jiným, aby si vzdálené spuštění kódu. To byl napaden ve volné přírodě. Útočníci odesílat dokumenty Adobe PDF, které obsahují speciální mal formátu slovník, který může vyvolat IME využít. Pokud váš Adobe Reader je na nejnovější aktualizace sady, nebo pokud používáte jiný PDF renderovací program, který není touto chybou ohroženy. Konečně, Microsoft zadržel jeden z kritických zranitelností Windows, jak se ukázalo, některé poslední problémy minute stability. Je to soukromá známou chybu, takže by to nemělo mít zásadní vliv na vaše bezpečnostní situaci, ale my víme, že bude mít alespoň jeden zásadní oprava Windows příští měsíc v prosinci. Autor: Wolfgang Kandek, CTO, Qualys.


Mnozí IT profesionálové obchod kompromitující materiály na svých mobilních telefonech
20.11.2014 Mobil
Zdá se, že Jennifer Lawrence není jediný, kdo s nemorálních fotografií na mobilním zařízení. Podle nového průzkumu od společnosti ESET, 39 procent z předních odborníků v oblasti IT ve Velké Británii se také přiznal, že pokud by byly ztratit svůj telefon, některé z fotografií a informací, které byly uloženy v přístroji je mohla ohrozit. Průzkum, který byl proveden při IPEXPO a studoval postojích 500 IT odborníků, také ukázal, že 46 procent respondentů přiznalo, že pokud by byly ztratit svůj telefon s pracovním informace o něm, a následně bylo hacknutý, mohlo by to ohrozit nebo narušit jejich společnosti. Kromě , k tomu, znepokojující 15 procent respondentů uvedlo, že nejsou přesvědčeni, že fotografie, které najmou na svém telefonu nejsou přenesené do ostatním členům své rodiny komentuje zjištění studie, Mark James, bezpečnostní specialista na ESET, řekl: " poslední novinky kolem celebrit telefonů je hacknutý a jejich obrazy byly ukradeny a zveřejněny on-line by měl sloužit jako varování. Mobilní telefony jsou velmi atraktivním cílem pro zločinci a držet tolik informací. Představte si, že se ve stejné pozici jako Jennifer Lawrence. Mám podezření, že většina lidí se bude cítit naprosto ponížen. Moje rada pro uživatele mobilních telefonů je být velmi opatrní s tím, co obsah, který jste uložili na vašem zařízení. Máte-li něco na telefonu, který, pokud spadl do špatných rukou by vás ohrozit buď osobně, nebo profesionálně, smazat, nebo se ujistit, bezpečnost na zařízení je prioritou, a ne až dodatečně. " Ostatní ohledně zjištění ze studie vyplynulo, že přestože většina respondentů přiznává, ukládání kompromitujícího údaje o svém mobilním telefonu, 22 procent nemají zařízení na vzdálené vymazání jejich zařízení. "vzdáleného vymazání zařízení je opravdu vaše jediná část pojištění ztraceného telefonu, a jsem překvapen, více lidí nemají přijala zařízení. To v podstatě znamená, že pokud ztratíte svůj mobilní telefon můžete přihlásit k počítači a vzdáleně smazat všechna data uložená na zařízení. To znamená, že každý, kdo najde telefon nebude mít přístup k některé z vašich osobních informací. Pokud se rozhodnete pro ukládání dat v telefonu, který má potenciál, aby vás ohrozit, pokud skončil v nesprávných rukou Chtěl bych důrazně doporučujeme nasadit bezpečnostní řešení, která nabízí vzdálené vymazání zařízení, "pokračoval James. Další poznatky ze studie vyplynulo, že i přes obrovské publicity, že hacknutý fotografie Jennifer Lawrence a jiných celebrit obdržel pouze 12 procent respondentů ukázalo, že viděl fotografie a že byly předány kolem jejich kanceláři. S cílem přispět k ochraně dat na mobilních zařízeních, ESET doporučuje následující kroky:

Použijte heslo telefonu za všech okolností
Omezit jak dlouho budete mít e-maily na vašem telefonu - neskladujte věci zbytečně déle než pár dní
Omezit množství informací, budete mít v telefonu
Smazat nepotřebujete žádné fotografie a stáhnout je často do svého počítače, kde si je můžete uložit bezpečně
Dbát na to, kde jsou streaming vaše fotografie
Ujistěte se, že zálohování často a zkontrolujte, zda jsou skutečně zálohovány a pracovní
Zkuste kde je to možné, aby vzdálený zámek a vzdálené vymazání dispozici pro váš mobilní telefon. Zamknutí zařízení, pokud je to ztratil, pak ho otřete v případě potřeby. Vždy mějte na paměti, že je nepravděpodobné, že budete mít svůj telefon zpět poté, co ztratil.


Tipy pro bezpečné prázdnin
20.11.2014 Zabezpečení
. Cyber ​​scrooges využít všechny typy digitálních zařízení, mediálních platforem sociálních a mobilních aplikací využít nepozornosti spotřebitelů v tento sváteční a rušné období roku Chcete-li zůstat chráněni a zajistit šťastné a bezpečné prázdnin, McAfee sdílí těchto bezpečnostních tipů: Do vašeho výzkumu - zda on-line nakupování, darovat charitativním organizacím, nebo sledování své dary, udělat si vlastní průzkum, aby se ujistil společnosti, pro kterou pracujete, je legitimní.

Proveďte on-line vyhledávání firmy kupujete zboží z abyste zjistili, zda je tam nějaké zprávy o nedávných rizik
Přejděte na domovskou stránku společnosti, aby se ujistil, že je skutečný obchod
Místo toho, aby kliknutím na odkaz v e-mailu pro obchodní dohodu, navštivte stránky přímo.
Analyzovat Apps - Před stažením novou aplikaci, zkontrolujte, abyste se ujistili, že přesně víte, co jste uvedení na telefonu.
Pouze ke stažení aplikace z oficiálního App Store a nikoli třetí strana
Vyzve-li app příliš mnoho oprávnění, nestahujte ji. Může být žádosti o přístup k informacím o vašem telefonu, které byste raději, aby soukromé, a jistě více informací, než je třeba
Používejte antivirový software a dozvědět se více o FakeInstallers zde.
Bank opatrně - Lidé utrácejí více peněz v průběhu prázdnin, než je tomu po celý rok. Počítačoví zločinci mohou vyzkoušet a používat tuto skutečnost snadněji podvod spotřebitele.
Pokud vaše banka zavolá s žádostí o informace, zavěsit a zavolat zpět přes oficiální hlavní telefonní číslo. Je důležité, aby se poraďte se svým bankéřem přes oficiální čísla, takže víte, že je legitimní
Při výběru peněz, být si vědom svého okolí. Zkontrolujte, zda jste na bezpečném místě, zadejte své údaje. Pokud něco vypadá špatně, nechat
Zkontrolujte Bankomat uvolněné vodiče nebo strojních součástí, které mohou být manipulováno. To by mohlo naznačovat, hackeři snaží opravit stroj v jejich prospěch.
Zůstaňte informováni - Holiday sezóna nebo ne, kybernetické podvody a krádeže identity se stalo velmi často po celý rok. Nyní, nákupní sezóna začala a nebezpečí je zvýšená, je důležité být neustále vědomi nových kybernetických útoků a hrozeb na trhu.
Postupujte podle nejnovější zprávy příběhy pro nové narušení bezpečnosti, aby zůstali ve střehu a být na vrcholu své hry
Nakupovat pouze za vánoční dárky u obchodníků víte, nebyly ohrožena
Zkontrolujte výpisy z kreditní karty se často, aby se ujistil, že jste nebyly ovlivněny.
Vzdělávejte své zaměstnance - Budete chtít, aby se ujistil, že vaši zaměstnanci vědí, jak se chránit, a jejich zařízeními pomocí citlivých firemních informací - po celou dobu, ale zejména v průběhu tohoto hektické cestování o dovolené a nákupní sezóny, kdy jsou více pravděpodobné, že si zařízení irelevantní, a lidé nechat jejich stráž dolů.
Zajistěte, aby zařízení jsou zajištěny komplexních hesel umožnit přístup k chytré telefony, tablety nebo notebooky
Podělte se o nejčastější podvody, které existují kolem svátků se svými zaměstnanci, aby věděli, co se na pozoru a jak zůstat chráněni.


73% organizací říká BYOD zvyšuje bezpečnostní rizika
20.11.2014 MObil
Výsledky průzkumu Kensington o bezpečnostních rizicích vytvořených politiky BYOD v podniku vyplývá, že 73 procent věří, že BYOD představuje větší bezpečnostní rizika pro jejich organizaci, a přesto 59 procent ještě schválit použití osobních zařízení pro obchodní využití. Průzkum zjistil, že napříč různými B2B vertikálních odvětví - včetně školství, zdravotnictví, finanční služby, maloobchod a výrobu -. CEO, CIO, CSO odborníci a IT jsou významně zabývá jak BYOD má dopad na bezpečnost svých podnikových prostředích K vyřešení těchto problémů řadu fyzikálních Bezpečnostní opatření jsou hybnou silou, s měnícími se přijetí a až 55 procent jich uvádí, že se zvažuje další investice v této oblasti bezpečnosti. fyzických bezpečnostních opatření v použití respondentů patří:

64 procent využití školení a pokyny zaměstnanců
61 procent použití anti-malware a šifrování
55 procent zaměstnali dodržování a politik správy
48 procent řešení pro prevenci ztráty dat a použití autentizace.
"Vzhledem k rychlému nárůstu používání mobilních zařízení a notebooků, organizace potřebují, aby se na pozoru v jejich schopnosti chránit tato zařízení před rizikem krádeže nebo ztráty, která může dát kritický podnikání a osobní údaje ve špatných rukou," říká Judy Barker , Global Product Marketing Manager, Kensington. "S BYOD útoku, toto riziko je ještě kritičtější. Tím, že zaměstná jednoduchý a bezpečný přístroj zajišťovací mechanismy organizace mohou snadno ochránit svá data, jejich značku a pověst s bezprostředností, které je třeba k odvrácení tohoto hrozba. "


Brazilský Trojan Bankéři - nyní na Android Play Store!
20.11.2014 Viry

Trvalo nějaký čas, ale jsou to konečně tady - brazilské zločinci začaly cílit své útoky vůči uživatelům mobilního bankovnictví. Tento týden jsme spatřili první trojského bankéře cílení brazilské uživatelům zařízení se systémem Android. Dva Škodlivé aplikace chtěly projít pro aplikace od místních bank byly hostovány na Google Play.

en_generic_rgb_wo_60

Podle FEBRABAN (místní federace bank), více než 6 milionů Brazilců se pomocí mobilního bankovnictví pravidelně, takže není překvapením, že malware cílení mobilních uživatelů. Ve skutečnosti, Brazílie byl korunován zemi nejvíce napaden bankovní malware v našem Q3 vývoje hrozba zprávy :

Q3_2014_MW_Report_14Tento krok brazilskými padouchy byla předvídatelná a čekal jako přirozený vývoj v místním malwaru scény. V roce 2012 jsme byli svědky útoků pomocí phishingových stránek v mobilním formátu a nyní taška chlap používání názvu "Governo federální" (federální vláda) byl schopen publikovat 2 Škodlivé aplikace v obchodě Play:

 

Obě aplikace používá název dvou velmi populárních veřejných brazilských bank - první aplikace byla zveřejněna dne 31.října st a registrován 80 zařízení . Druhá byla zveřejněna 10.listopadu tis a měl jen 1 instalace .

Chcete-li vytvořit škodlivý app, (líný) špatný člověk se rozhodl použít "App Inventor": bez platforma, která umožňuje komukoliv vytvořit si vlastní mobilní aplikace pro Android, žádné technické znalosti potřebné. Výsledkem je aplikace, velké velikosti a plné zbytečné kód . Ale obě aplikace měla tu funkci, pro načtení loga cílových bank a otevřete snímek -. Stránku phishing naprogramován tak, aby zachytit pověření uživatele Jednoduché, ale efektivní , protože mobilní uživatelé bankovnictví v Brazílii stále používat jeden ověřování, bez žetonů či OTP, kde jsou požadovány pouze číslo účtu a heslo.

 

Tyto phishingové stránky cílené bank konaly na pirát internetových stránkách. Dobrá duše je odstranil a vložil upozornění na návštěvníky s uvedením: "Este é um aplicativo Falso, denuncie este app" , což znamená "To je falešná aplikace, oznamte to prosím" . V důsledku toho, když uživatel stáhne, nainstaluje a otevře falešné bankovní aplikaci, tato zpráva je zobrazena uvnitř, namísto původního phishing stránku:

 

Jsme uváděli obě aplikace na Google, a oni okamžitě odstranil je z Play Store. Zjistíme, jak aplikace jako Trojan-Banker.AndroidOS.Binv.a (MD5s: 00C79B15E024D1B32075E0114475F1E2 a A18AC7C62C5EFD161039DB29BFDAA8EF) a my jsme zcela jisti, že se jedná pouze o první primitivní pokusy o mnoho víc.


Microsoft uvolnil Kritická out-of-band opravy pro Kerberos Bug
19.11.2014 Zranitelnosti

UPDATE-Microsoft v úterý vydala vzácné out-of-band patch pro kritické zranitelnosti v několika verzích systému Windows a Windows Server, včetně systému Windows 8 a 8.1.

Ms14-068 chyba je chyba v implementaci protokolu Kerberos v systému Windows, které by mohlo umožnit útočníkovi zvýšit své oprávnění na počítači od uživatele správce. Chyba je označena jako kritická a Microsoft řekl, že to už je používán v cílených útoků.

"Tato aktualizace zabezpečení řeší soukromě oznámenou chybu zabezpečení v systému Microsoft Windows Kerberos KDC, které by mohlo útočníkovi dovolit zvýšit neprivilegované uživatelský účet domény, oprávnění pro ty z účtu správce domény. Útočník by mohl využít těchto zvýšených oprávnění ke kompromisu libovolného počítače v doméně, včetně řadičů domény. Útočník musí mít platnou doménu pověření pro tuto chybu zabezpečení zneužít, "uvedl Microsoft v poradenství.

"Postižená součást je k dispozici na dálku uživatelům, kteří mají standardní uživatelské účty s pověření domény; to není případ pouze uživatelům s pověření místního účtu. Byla v době zveřejnění tohoto bulletinu společnost Microsoft si byl vědom omezených cílených útoků, které se pokoušejí tuto chybu zabezpečení zneužít. "

Původně, Microsoft plánuje vydat patch pro tuto chybu zabezpečení, MS14-068, 11. listopadu, se zbytkem na měsíc Patch Tuesday opravy . Nicméně, oprava nebyla zahrnuta v tomto vydání. Žádný důvod byl dán k opomenutí, ale v minulosti Microsoft má zpoždění opravy, které ještě nebyly připraveny nebo způsobené problémy v testování. MS14-068 zranitelnost je hodnocena jako kritická a společnost nabádá uživatele k instalaci opravy hned.

"Exploit nalezen in-the-wild cílené na zranitelné kód cestu v řadičích domény se systémem Windows Server 2008R2 a pod. Společnost Microsoft zjistila, že řadiče domény se systémem 2012 a výše jsou náchylné k útoku související, ale bylo by mnohem obtížnější využívat. Řadiče domény se systémem Non-všechny verze systému Windows získáváte "hloubkové ochrany" aktualizace, ale nejsou touto chybou, "uvedl tým Microsoftu Świat v blogu příspěvek .

Tam je další chyba, že Microsoft také plánuje opravit 11. listopadu, že dosud nebyla stanovena. MS14-075 byla odložena a společnost dosud oznamuje datum vydání pro tuto opravu.


Německý špionážní agentura chce koupit a používat 0 celodenní chyby
19.11.2014 Zranitelnosti
Spolková zpravodajská služba (BND) - Německý spolkový Intelligence Service - požádal parlamentní dohled výboru pro velké peníze na nákup zranitelnosti na volném trhu, Sueddeutsche Zeitung hlášeny ( pomocí Google Translate .) v pondělí by to neměl být velmi důležitý kus Zprávy kdyby nebylo skutečnosti, že se snaží získat chyby, aby jejich použití se a ne sdílet informace s vývojáři softwaru a veřejnosti. Podle důvěrné zprávy, viděl reportéry novin, agentura žádá o celkem o 300 milionů € na financování jeho strategické technické iniciativy v příštích 5 letech (28 milionů € 2.015). Program SIT byla založena s cílem, mimo jiné, naleznete bezpečnostní díry v protokolech SSL a HTTPS, které jsou používány bankami a e-commerce weby k zajištění transakcí, ale také sociální sítě a další on-line služby pro zajištění přístupu k účtům uživatelů. BND také chce vytvořit systém včasného varování pro kybernetické útoky a honeypot, stejně jako najmout další IT profesionály, jejichž úkolem bude, aby vládní sítě bezpečný identifikace softwaru zranitelnosti sami. A konečně, chtějí vytvořit systém pro sledování aktivity na sociálních sítích v reálném čase získat přesnější obraz o situaci v zahraničí. Sledování by být omezen na data z non-německé uživatele - informace napsána v německém jazyce a pochází z německého umístění by být zlikvidován pomocí speciálně nastavit filtry. Tyto objevy byly vypracovány kritiku z různých stran, včetně Chaos Computer Club. "Navrhovaná akvizice a prodej zranitelných míst BND by byla právně sporné, a to nejen v několika způsoby, ale je také přímé a úmyslné poškození německé ekonomiky," poznamenal ( via Google Translate ) CCC mluvčí Dirk Engling. Řekl, že BND žízeň po využitelných zranitelnosti je vážný zásah do základních práv. Uživatelé nebudou moci bránit nejen proti špionáže, ale také proti kybernetické podvodníci, které využívají těchto chyb, které vláda bude znát, ale nebude se rozhodli uveřejnit. Poukázal na to, že peníze za těmito chybami přichází od daňových poplatníků, a že je lepší utratit na softwarové audity. Stefan Körner, prezident německé Pirátské strany, poznamenal, že "pokud se jedná o strategii vlády pro naši bezpečnost, měli bychom jim a jejich zpravodajské agentury se obávají více než nebezpečí kybernetického teroru, že vždycky humbuk kolem. "


Osobní informace o 800.000 USPS zaměstnanců ohrožena v rozporu
19.11.2014 Incidenty
US Postal Service se připojil k řadám společnostem v soukromém sektoru a vládních agentur, které byly porušeny, a měli dat ukradených hackery. Podle na prohlášení vydané službou v pondělí, útočníci se podařilo najít cestu do některé ze svých informačních systémů, a mají pravděpodobně ohrožena osobní údaje některých 800.000 současných i bývalým zaměstnancům, jakož i některé údaje pro zákazníky, kteří kontaktovala Postal Service Centrum péče o zákazníky s dotazem telefonicky nebo e-mailem od 01.01.2014, a 16. srpna, 2014, nemusí tento podnikat žádné kroky v důsledku tohoto incidentu, USPS poznamenal, ale bývalý budou poskytnuty služby dohledu nad úvěrovými zdarma po dobu jednoho roku, a bude jim USPS "lidské zdroje centra sdílených služeb, as jejich ohrožení informace zahrnují své jméno, datum narození, rodná čísla, adresy a další informace, včetně začátku a konce data zaměstnanosti, a pohotovostní kontaktní informace. "Postal Service transakční systémy příjmů na poštách, stejně jako o usps.com, kdy zákazníci platit za služby s kreditní a debetní karty nebyly ovlivněny tímto incidentem, "oni poznamenal. "Neexistuje žádný důkaz, že veškeré informace, kreditní kartu z maloobchodní nebo on-line nákupy, jako je Click-N-lodi, o poštovních službách Store, PostalOne !, změny adresy nebo jiných služeb byl ohrožen." V prohlášení, USPS není říci, kdy byl poprvé objeven vniknutí, ale někteří úředníci se podělili s The Washington Post, že to bylo v polovině září. "Komunikace porušení okamžitě by se dal sanačních opatření v ohrožení a mohou mít za následek poštovní služby by museli mít jeho informační systémy v režimu offline znovu, "USPS vysvětlil v sekci FAQ na svých stránkách. narušení mluví se stalo o víkendu, kdy se služba Některé systémy off-line jako součást úsilí o zmírnění narušení počítačové bezpečnosti. "Jsme úzce spolupracuje s FBI, ministerstva spravedlnosti, USPS Úřad generálního inspektora, Poštovní Inspection Service a USA Computer Emergency Readiness Team. Postal Service přinesla i specialisty soukromého sektoru v soudním vyšetřování a datových systémů na podporu při vyšetřování a nápravu, aby zajistily, že se blíží tuto událost v komplexním způsobem, pochopení plné důsledky kybernetické vniknutí a zavedení ochranných opatření, jejichž cílem je posílení našich systémů, "dodali. Identita útočníků je neznámá, ale zřejmě čínské státem podporované hackeři jsou hlavní podezřelí. "V souvislosti s nedávným kompromisu USIS, UPM a nyní údaje zaměstnanců USPS ohrožena, otázkou je, proč by se útočníci se po tomto typu dat?" zeptal se bezpečnostní analytik Tripwire Ken Westin. "Veškeré údaje o státních zaměstnanců může být užitečné pro špionáž. Nemusí to být samotná data, ale je-li spojena s dalšími daty, jako jsou čísla sociálního zabezpečení, existuje velké množství poznatků, které mohou být získány na základě vzorů a přípojek. " "Bohužel, toto porušení je jen poslední v řadě incidentů, které jsou zacíleny na vládu USA, "poznamenal Dan Waddell, ředitel pro vládní záležitosti na (ISC) 2. "Zdá se, že tento konkrétní událost odhalil informace o jednotlivcích, které by mohly vést k cílené kopí-phishing útoky vůči zaměstnancům USPS. Každý z nás si musí být vědomi možných phishingovými nástrahami, ale v tomto konkrétním případě by zaměstnanci USPS být na pozoru jakýkoli podezřelý e-mail, který bude sloužit jako mechanismus extrahovat další informace, jako USPS duševní vlastnictví, informace o kreditní kartě a jiných typů citlivých dat. "


Jak se zločinci podvod spotřebitelé v průběhu prázdnin
19.11.2014 Analýzy
McAfee oznámila svůj každoroční "12 podvody prázdnin" seznam, který obsahuje nejpopulárnějších způsobů, jak zločinci podvod spotřebitele v průběhu prázdnin, jak surfovat jejich digitálních zařízení.

1. vy jste dostali Mail! - jako rekreační prodeje pokračovat v migraci, online, riziko oznámení lodní a phishingu se zvyšuje. Ačkoli malware je celoročně riziko, protože mnoho lidí si svou dovolenou nakupování on-line, spotřebitelé jsou více apt klikněte na oznámení přepravní nebo podvodných e-mailů, protože si myslí, že je legitimní. 2. Klamavá reklama - Každý, kdo hledá krade a zabývá v průběhu prázdnin. Mějte oči otevřené (a vaše peněženka v šachu), když on-line nakupování nejžádanějších produktů této sezóny. Nebezpečné odkazy, falešné soutěže na sociální média, a falešné dárkové karty jsou jen některé ze způsobů, jak podvodníci se snaží ukrást vaše osobní údaje a zničit vaši dovolenou fandit. 3. Zchlazování Charity - 'Tis sezóny pro dávání. Během prázdnin, mnozí spotřebitelé dát zpět tím, že daruje své oblíbené charitě. Je smutné, že není dobrý skutek nezůstane nepotrestán. Dávejte si pozor na falešné charitativních organizací, které vám mohou dosáhnout prostřednictvím e-mailu, nebo sdílené virem prostřednictvím sociálních médií. 4. Kupující pozor - tam jsou jen některé podvody, které si nemůžete pomoct, ale se stanou obětí, bohužel. Point of Sale malwaru, který vede k odhalení informací o kreditní kartě spadá do této kategorie. Ujistěte se, že jste zkontrolovat výpisy z kreditní karty ostražitě a zůstat na vrcholu novinek být vědomi a připravená. 5. iScams - Nová mobilní aplikace pro Android a iOS zařízení jsou přidány každý den. Díky probíhající technologický pokrok, vaše mobilní zařízení může regulovat teplotu ve vašem domě, udržet si připojen k sociální média a přidat pohodě filtry na vaše fotografie z dovolené. Dokonce i ty oficiální, kteří hledají nebo slavnostní aplikace mohou být nebezpečný a přístup k osobní údaje. 6. Jak Carded - Digital pohlednice k šíření dovolenou fandit, jsou zábavné, snadné a co je nejdůležitější, přemýšlivý. I když budete chtít miloval, kdo tě "Zdravím sezóny," poslat hackeři hledají vám popřát "Veselé Malware!" Známá místa e-karty jsou bezpečné, ale mít na pozoru před možnými podvody, které způsobují si můžete stáhnout malware na Vaše zařízení. 7. Holiday Travel Podvody - S cestování na vzestupu špičkách prázdninových časech, on-line podvodníci jsou připraveni využít k tomu, že spotřebitelé se často stávají méně ostražití o jejich bezpečnosti. Falešná on-line cestovní zabývají odkazy jsou bohatý, ale jsou zde i nebezpečí, že existují, jakmile dorazíte do cíle, včetně spyware, který přístup k informacím přes přihlášení do infikovaných počítačů na místě. 8. Bank Robocall podvod - Když Dovolená zvýšení výdajů a spotřebitelé jsou si vědomi zneužití jejich bankovních účtů a kreditních karet, hackeři použít jako příležitost. Ve většině případů, spotřebitelé získají falešný telefonát od jedné z těchto institucí z automatického (nebo ne) "bezpečnostní agent" o tom, že účet uživatele bylo prozrazeno a požadující osobní údaje včetně hesla účtu, provést změny. 9. ATM odpěňovat - Během prázdnin, budete potřebovat peníze a jsou obvykle ve spěchu, aby si to. Pachatelé mohou přístup k informacím z bankomatů instalací skimming zařízení ukrást data z magnetického proužku vaší karty, a to buď pomocí video kamery nebo překrytí klávesnice zachytit PIN. Jednoduché řešení: Podívejte se pozorně na vaší bankomatu na cokoliv podezřelého, a pokrývají klávesnici při zadávání kódu PIN. 10. Rok v přehledu pastí - Mnoho zpravodajství využít prázdnin rozvojem "Rok v recenzi" články. Společnosti by měly varovat své zaměstnance o rizicích kliknutí na tyto typy vazeb z jejich pracovních e-mailů. Odkazy z falešných zdrojů mohla nakazit a ohrozit bezpečnost firemních zařízení. 11. BYO ... Device - (!) a temperamentní S nárůstem počtu cest, aktivita přes rušnou prázdnin, lidé jsou více pravděpodobné, že zapomenout na své chytré telefony na veřejných místech. Zatímco nevhodné pro ně, je to také způsob, jak hackerům přístup citlivé osobní informace a obchodní data jsou-li příslušná bezpečnostní opatření nejsou na místě. 12. Bad USB Blues - Během prázdnin, můžete vidět nárůst dárkové koše od dodavatelů, kteří chtějí pokračovat v podnikání s vaší společnosti v následujícím roce. Jeden z nejoblíbenějších položek v těchto koších zahrnuje značkové USB modemy. Dejte si pozor na umožnit svým zaměstnancům používat tyto, jak nezjistitelný malware je někdy předinstalován na nich.


Pouze 47% IT profesionálů, jsou přesvědčeni v jejich hardwarových konfiguracích
19.11.2014 Analýzy
Respondentů nového průzkumu Tripwire byli požádáni o úrovni důvěry, které mají ve své aplikaci základových bezpečnostních kontrol, včetně hardware a software inventarizace, řízení zranitelnosti, patch management a systému kalení.

Tyto ovládací prvky jsou požadovány nejuznávanějších celosvětových normách pro bezpečnostní a organizací, včetně:
PCI Data Security Standard (PCI DSS)
North American Electric Spolehlivost Corporation Ochrana kritické infrastruktury (NERC CIP)
Národní institut standardů a technologie (NIST)
Sarbanes-Oxley Act (SOX)
Zdravotního pojištění Přenosnost a odpovědnost zákon (HIPAA)
Kontrolní cíle pro informační a související technologie COBIT ()
Mezinárodní organizace pro normalizaci (ISO).
Podle zprávy Spojené státy Computer Emergency Readiness Team (US-CERT), by se dalo předejít, pokud jednoduchých nebo dílčí bezpečnostní kontroly byly zavedeny 96 procent úspěšných narušení dat. Průzkum Tripwire zjistili, že 77 procent všech respondentů se domnívala, "věří, "při provádění těchto základních bezpečnostních kontrol. Nicméně, i přes pokračující nárůst cílených kybernetických útoků, 27 procent IT profesionálů i nadále "není jistý" v bezpečné konfiguraci společných zařízení připojených do sítě. nálezy Klíčové průzkumu patří:
 

Více než 100 milionů záznamů byly obsaženy v maloobchodních narušení dat za posledních 12 měsíců v důsledku malware na místě prodeje zařízení, ale 77 procent z maloobchodní odborníky v oblasti IT jsou "jisti", že všechna zařízení na jejich síti jsou spuštěny pouze autorizovaný software.
Přes varování ICS-CERT, pokud jde o pokračující, zaměřených na sofistikovaný malware kampaň ICS systémů, 89 procent manažerů z oblasti energetiky, jsou "velmi jisti" nebo "docela jistý," ve svém programu pro správu zranitelností.
Pouze 10 procent bezpečnostních profesionálů jsou "velmi jisti" v jejich programu patch management.
Pouze 47 procent IT profesionálů jsou přesvědčeni, v bezpečné konfiguraci směrovače, firewally a modemů připojených do sítě.
Andrew Kellett, hlavní analytik, bezpečnost a řešení infrastruktury, Ovum řekl: "V seznamu narušení bezpečnosti vysoce postavených ve všech odvětvích průmyslu neustále roste, 2014 je na cíl být nejhorší rok, ale za porušení dat. Všechny náznaky ukazují, že množství údajů odcizených je nastaven na předstihnout 2013, který sám byl rozpoznán v rámci bezpečnostního průmyslu jako velmi špatný rok. V tomto kontextu selhání je nemyslitelné, že více než tři čtvrtiny IT profesionály, jsou přesvědčeni, že jejich stávající bezpečnostní zařízení udrží v bezpečí. Značná část těchto organizací se již utrpěl bezpečnostní problémy v letošním roce, a vzhledem k tomu, že průměrná doba potřebná k detekci narušení bezpečnosti i nadále měří v měsících je dobrá šance, že prostě nebyly dosud identifikován problém. " Mezi respondenty 404 IT profesionálů a 302 vedoucích pracovníků z oblasti maloobchodu, energie a organizací finančních služeb v USA a Velké Británii.


8 kritéria, se rozhodnout, který ISO 27001 zásady a postupy, psát
19.11.2014 Analýzy
Pokud jste právě začíná realizovat ISO 27001 ve vaší firmě, budete pravděpodobně v dilematu, kolik dokumentů musíte mít, a zda je nutné určité zásady a postupy, nebo ne. Kritéria pro rozhodování o tom, co dokumentovat Well, Prvním krokem je jednoduchá - je třeba zkontrolovat, zda dokument je vyžadováno podle normy ISO 27001. Za tímto účelem, naleznete v tomto článku: seznam povinných dokladů vyžadovaných podle ISO 27001 (2013 revize) . Je-li povinný dokument, musíte o čem přemýšlet - je třeba napsat, že pokud chcete, aby byly v souladu s touto normou. (Viz také: Sedm kroků k provádění zásady a postupy ). Nicméně, pokud dokument není povinná, můžete zjistit sami si lámal hlavu, zda je nutné to napsat, nebo ne - například, budete potřebovat politiku zálohování? Nebo snad Klasifikace politika? ? Nebo BYOD Policy Zde je několik kritérií, které vám pomohou: . Rizika musíte začít tím, že posouzení rizik, aby zjistili, zda je potřeba pro takové kontroly vůbec (viz také: Základní logika ISO 27001: Jak informační bezpečnosti práce? ). Není-li nebezpečí, pak se určitě nebudete potřebovat doklad pro něj; pokud existuje riziko, to ještě neznamená, že musíte napsat dokument, ale aspoň jste vyřešili dilema, zda je nutná kontrola, nebo ne. Shodu. Někdy můžete mít nařízení nebo smluvní povinnost psát určitý doklad - například nařízení může vyžadovat, abyste mohli napsat Klasifikační politiku, nebo váš klient může vyžadovat, abyste podepsal NDAS se svými zaměstnanci. velikost vaší firmy. Menší firmy mají tendenci mít méně dokumentů, takže v takovém případě by se měli snažit, aby se zabránilo psaní postup pro každou malou proces - například, pokud máte 20 zaměstnanců nepotřebujete 50 dokumentů pro ISMS. Samozřejmě, pokud jste nadnárodní organizace s 10.000 zaměstnanci, psaní politiky, kdy každý bude mít několik souvisejících postupů, a pak pro každý postup pár pracovních instrukcí. - Tento přístup dává smysl . Důležitost důležitější proces nebo činnost je, tím větší je pravděpodobnost, budete chtít napsat politiku nebo postup, jak to popsat - je to proto, že budete chtít, aby se ujistil, každý ví, jak provést tento proces nebo činnost, aby se zabránilo poruchám ve vašem provozu. Počet . osob zapojených Čím více lidí, provést proces nebo činnost, tím větší je pravděpodobnost, budete chtít dokumentovat; Například, pokud máte 100 lidí se účastní, to bude velmi obtížné vysvětlit ústně všem těmto lidem, jak provádět některé procesu - je mnohem jednodušší napsat proceduru, která by vysvětlila vše, co v detailu. Na druhou stranu, pokud máte pět lidí se účastní, můžete pravděpodobně vysvětlit, jak celý proces funguje v jedné schůzi, takže není potřeba písemným postupem. Existuje však jedna výjimka, ale: pokud máte pouze jeden osoba, která pracuje na postupu, možná budete chtít, aby to dokument, protože nikdo jiný neví, jak na to - takže pokud tato osoba není k dispozici, budete moci pokračovat ve své činnosti . , Složitost složitější proces, tím větší je pravděpodobnost, že budete potřebovat písemný doklad pro to (alespoň ve formě kontrolního seznamu) - to je prostě nemožné si pamatovat zpaměti, například 100 kroků, které je potřeba které mají být provedeny v přesném pořadí. Splatnost. Pokud proces nebo činnost je jasně stanoveno, pokud to běží několik let a každý přesně ví, jak ji provést, pokud je jemně vyladěné, pak je pravděpodobně není třeba na dokument to, frekvence. Pokud provedete nějaké činnosti, spíše zřídka, možná budete chtít, aby je zapsat, protože byste mohli zapomenout, jak se dělá. Najít správnou rovnováhu Čím více dokumentů, které jste a podrobnější jsou, tím obtížnější bude udržovat je a aby vaši zaměstnanci dodržovat je. . Na druhou stranu, možná menší počet dokumentů, které jsou také docela krátký, přesně popsat, co musíte udělat, ve většině případů, doporučuji svým klientům, aby se stal příliš ambiciózní - v případě, že není bezpodmínečně nutné vytvořit nějaký nový dokument , nedělejte to; , v případě, že není třeba popisovat nějaký proces velmi podrobně, aby bylo kratší a pamatujte - zbytečné dokumenty vám přinese nic než problémy. Viz zde příklad Postup pro kontrolu dokumentů . Autor: Dejan Kosutic, Expert na 27001Academy, je autor dokumentační nástroj zaměřené na malé a střední firmy: ISO 27001 a ISO 22301 dokumentace Toolkit .


Nové SDK pro Raspberry Pi chrání embedded software
19.11.2014 Zabezpečení
WIBU-Systems se chystá zavést Raspberry Pi verzi svého ochranného platformy CodeMeter software s názvem Compute Module.

CodeMeter SDK pro Raspberry Pi umožní profesionálním vývojářům chránit zabudovaného softwaru na jednom palubní počítač, licence je, a zajistit systém z manipulace. SDK pro Raspberry Pi je předem nakonfigurován pro rychlý start-up a zahrnuje WIBU-Systems "ExProtector šifrovací nástroj, operační systém Linux s upravenou, bezpečné spustitelný a Propojení Format (ELF) loader, předprogramované ochrana CodeMeter hardware (CmDongle), a všechny související dokumentace. CodeMeter zašifruje a podepíše vestavěný software pro Linux s ExProtector. Bezpečný program je pak kontroluje a dešifrovat operačního systému při spuštění Raspberry Pi. Proces probíhá bez povšimnutí na uživatele a zajišťuje, že program nelze kopírovat nebo změněn.


IT hrozba vývoj Q3 2014
18.11.2014 Zdroj: Kaspersky Analýzy
ČTVRTLETNÍ MALWARE ZPRÁVY

PDF verze

Přehled

Cílené útoky a malware kampaně

Po stopách Yetiho

V červenci jsme zveřejnili naši hloubková analýza na cílený útok kampaně, které jsme nazval "přikrčil Yeti". Tato kampaň je také známý jako "Energetická medvěd".

Tato kampaň, která působí od konce roku 2010, dosud zaměřovaly na následující oblasti: industrial / stroje, výrobní, farmaceutické, stavební, vzdělávání a informačních technologií. Zatím tam bylo více než 2800 obětí po celém světě, a my jsme byli schopni identifikovat 101 různých organizací - zejména ve Spojených státech, Španělsku, Japonsku, Německu, Francii, Itálii, Turecku, Irsku, Polsku a Číně.

Po stopách Yetiho

Seznam obětí naznačuje, že útočníci za Crouching Yeti sledují strategických cílů. Přesto, že útočníci také projevili zájem o ne-tak-zřejmých institucí příliš.

Útočníci za Crouching Yeti používají různé typy malware (Vše je navrženo tak, aby infikovat systémy Windows), proniknout do jejich oběti, rozšířit svůj dosah v cílových organizacích a ukrást důvěrné údaje, včetně duševního vlastnictví a dalších strategických informací. Infikované počítače připojit k rozsáhlé síti napadených webových stránek, které obsahují malware moduly, drží informace o obětech a posílat příkazy na infikovaných systémů.

Útočníci používají tři metody nakazit své oběti. Za prvé, oni používají legitimní software instalátor, re-balené obsahovat škodlivý soubor DLL. Takto upravené samorozbalovací archivní soubory mohou být nahrána přímo na ohrožena serveru, nebo by mohly být zaslány přímo někomu v rámci cílové organizace, prostřednictvím e-mailu. Za druhé, používají soubor kopí-phishing dodat škodlivý XDP (XML Data Package), obsahující Flash exploit (CVE-2011 až 0611). Útoky Za třetí, oni používají zalévání děr. Hacked webové stránky používat několik exploity (CVE-2013-2465, CVE-2013-1347 a CVE-2012-1723) přesměrovat návštěvníky na nebezpečné JAR nebo HTML soubory, jejichž hostitelem na jiných místech udržovaných útočníky. Pojem "koupaliště díra" se aplikuje na webové stránky, které bude pravděpodobně navštíví potenciálních obětí. Tyto webové stránky jsou ohroženy předem útočníků - místo se vstřikuje k instalaci škodlivého softwaru na počítačích každého, kdo navštíví ohrožena webu.

Jeden škodlivý program používá útočníky, v HAVEX Trojan, obsahuje speciální moduly pro sběr dat z určitých IT prostředí průmyslové. Prvním z nich je modul OPC skeneru. Tento modul je určen pro sběr extrémně detailní data o OPC serverech v lokální síti. OPC (propojování a vkládání objektů (OLE) for Process Control), servery se obvykle používají tam, kde více Automatizované průmyslové systémy fungují. Tento modul je doprovázen nástrojem síťového skenování. Tento modul prohledává lokální sítě, hledá všechny počítače naslouchá na portech souvisejících s OPC / SCADA (dispečerské řízení a sběr dat) softwaru, a pokusí se připojit k těmto hostitelů s cílem určit, které potenciální OPC / SCADA systém běží. To pak přenáší veškeré údaje, které najde na Command-a-Control (C2) serverů používaných útočníky pro správu kampaně.

Při analýze kódu, jsme hledali stopy, které by mohly poukázat na totožnost útočníků.

Timestamp analýza 154 souborů, odhalil, že většina z těchto vzorků byly sestaveny mezi 06:00 a 16:00 UTC. To by se v Evropě odpovídat žádné zemi. Také jsme se podívali na jazyk používaný útočníky. Malware obsahuje řetězce v anglickém jazyce (viz non-rodilí mluvčí angličtiny). Tam byl také některé stopy ukazující naznačuje možný francouzské a švédské reproduktor. Ale na rozdíl od mnoha jiných vědců, kteří se dívali na Crouching Yeti, jsme nenašli nic, co by nám umožnil uzavřít s jistotou, že útočníci jsou ruského původu. Je tu nedostatek obsahu Azbuka (nebo přepisu) přes 200 škodlivých binární soubory a související provozní obsahu - na rozdíl od toho, co jsme našli, když se dívá na starší cílený útok kampaní, včetně Rudý říjen, MiniDuke, CosmicDuke, hada a TeamSpy.

Epic příběh o kybernetické špionáže

Již více než rok Kaspersky Lab zkoumá sofistikovaný kybernetické špionáže kampaň, kterou nazýváme "Epic Turla". Tato kampaň, která se datuje do roku 2012, se zaměřuje na vládní instituce, ambasády, vojenské, výzkumné a vzdělávací organizací a farmaceutických společností. Většina obětí se nachází na Blízkém východě a v Evropě, i když jsme viděli oběti jinde, včetně Spojených států. Celkem jsme našli několik set IP adresy oběti ve více než 45 zemích světa.

Epic příběh o kybernetické špionáže

Když jsme vydali naše první výzkum v této kampani, to bylo jasné, jak oběti útoku byli nakažení. V našem nejnovějším výzkumu , publikované v srpnu jsme nastínili mechanismy infekce používané Epic Turla a jak zapadají do struktury celkové kampaně.

Útočníci používají inženýrství triky sociální infikovat své oběti -specifically kopí, phishingu a koupaliště díry útoky.

Některé e-maily kopí-phishing zahrnují zero-day exploity. První z nich, který ovlivňuje Adobe Acrobat Reader (CVE-2013-3346), umožňuje útočníkům libovolně spustit kód v počítači oběti. Druhá výsada eskalace zabezpečení v systému Windows XP a Windows Server 2003 (CVE-2013-5065), poskytuje backdoor Epic Turla s administrátorskými právy v počítači oběti. Kromě toho, že útočníci trik své oběti do chodu malware instalátory s příponou SCR - někdy balí pomocí RAR. Když nic netušící oběti otevření infikovaného souboru, backdoor je nainstalován na svém počítači, což útočníkům plnou kontrolu.

Mezi zločinci za Epic Turla také využít koupaliště děr útoky, které rozmístit Java exploit (CVE-2012-1723), Adobe Flash využije a využívá Internet Explorer. Existují i ​​další, které používají sociální inženýrství přimět oběti do chodu falešný 'Flash Player malware instalátory. V závislosti na IP adresu oběti, útočníci slouží Java nebo prohlížeče využije, podepsal falešný software Adobe Flash Player, nebo falešný verze Microsoft Security Essentials. Viděli jsme více než 100 vstřikováním webové stránky. Není překvapením, že výběr webových stránek odráží specifické zájmy útočníky (stejně jako zájmy obětí). Například, mnoho nakažených španělských webových stránek patří do místních samospráv.

Jakmile je počítač napaden, Epic Turla backdoor (známý také jako "WorldCupSec", "TadjMakhal", "Wipbot" a "Tadvig"), ihned připojí k C2 serveru poslat balíček, který obsahuje informace o systému oběti. Na zaslané C2 serveru souhrnné základě informací, útočníci poskytují přednastavené dávkové soubory, které obsahují řadu příkazů být vykonán v infikovaném počítači. Útočníci také nahrát vlastní postranní nástroje jízdy (včetně specifického keylogger a RAR archívů), stejně jako standardní nástroje, jako je například nástroj dotazu DNS od společnosti Microsoft.

Naše analýza ukázala, že Epic Turla backdoor je jen první fáze širší infekčního procesu. Používá se k nasazení propracovanější zadní vrátka známý jako "Cobra / Carbon systému" (s názvem "Pfinet" některými anti-malware výrobků). Po nějaké době, útočníci šli dál, pomocí Epic Turla implantát aktualizovat konfigurační Carbon soubor s jinou sadu serverů C2. Jedinečné znalosti provozovat tyto dvě zadní vrátka naznačuje jasné a přímé spojení mezi nimi: jedna se používá k uchytit a ověřit high-profil obětí. V případě, že oběť ukáže, že v zájmu útočníků, ohrožena je počítač upgradovat na plnou Carbon systému.

Zde je přehled o celé Epic Turla cyber-špionáže kampaně:

Epic příběh o kybernetické špionáže

Přidělení těchto útoků je vždy velmi obtížné. Nicméně, některé aspekty kódu řekni nám něco o útočníky. Je jasné, že nejsou rodilí mluvčí. Oni obyčejně chybně slova a fráze, jako například:

"Password to je špatně!"
"Soubor není neexistuje"
"Soubor je pro úpravy existuje"

Existují i ​​další ukazatele, které náznak na počátku útočníků. Například některé zadní vrátka byly sestaveny na systému s ruským jazykem. Kromě toho, interní název jedné ze zadních vrátek Epic Turla je "Zagruzchik.dll", což znamená "zavaděč" nebo "program zatížení" v ruštině. A konečně, na ovládacím panelu Epic Turla "mateřská loď" nastaví znakovou stránku 1251, který se používá pro azbukou.

NetTraveler dostane k narozeninám člověka

Diskutovali jsme o tom cílený útok kampaň, která nyní byla aktivní po dobu 10 let, na několika příležitostech.

Začátkem letošního roku jsme zaznamenali nárůst počtu útoků na Uyghur a tibetských aktivistů, pomocí aktualizovanou verzi NetTraveler backdoor. Útočníci používají spear phishingu e-maily lákat své oběti: e-maily je možné dokument Microsoft Word, který obsahuje CVE-2012-0158 využít. To kapky hlavní modul ('net.exe') do počítače, což nainstaluje řadu dalších souborů, včetně hlavního C2 modulu. Tento modul je registrován jako služba ("Windowsupdata"), a to prostřednictvím dávkového souboru se systémem Windows s názvem "dot.bat". Formát malwaru konfiguračního souboru byl také aktualizován a je jasné, že útočníci podnikly kroky, aby se pokusila zakrýt konfiguraci (ale šifrování, které používá, je slabé).

Zaměření útočníků se v průběhu času měnit. Pro hodně z jeho existence, hlavní cíle NetTraveler byly diplomatické, vládní a vojenské organizace. Více nedávno, jeho cyber-špionáže aktivity se zaměřují více na organizací zapojených do průzkumu vesmíru, nano-technologie, výrobu energie, jaderné energii, lasery, medicíny a komunikace.

NetTraveler dostane k narozeninám člověka

Zůstává zaměření na Uyghur a tibetských aktivistů klíčovou součástí aktivit útočníků.

Syrský malware domeček z karet

Technologie je dnes nedílnou součástí našich životů, takže není divu vidět cyber-rozměr konfliktů po celém světě. To platí zejména na Středním východě, kde se geopolitické konflikty zesílily v posledních letech. Kaspersky Lab Global Research a Analysis Team analyzovala nedávný nárůst malwaru aktivity v Sýrii .

Lidé za tyto útoky používají inženýrství triky sociální nalákat své oběti do otevírání infikovaných souborů. Oni používají e-mail, Skype zprávy, Facebook příspěvky a videa z YouTube.

Oni používají různé "háčků" - lovení na základě důvěry svých obětí sociálních sítí fórech, jejich zvědavost o novinkách v souvislosti s konfliktem v Sýrii, jejich strach z vlády a jejich nedostatečné technické povědomí.

Příkladem jsou znepokojující video na YouTube ukazující zraněných obětí nedávných bombových útoků, které rovněž vyzývá lidi, aby stáhnout škodlivý program z veřejného sdílení souborů webové stránky. Také jsme zjistili, sadu komprimovaných souborů na populární sociální síť, která, když se extrahuje, odhalil databázi obsahující seznam aktivistů a chtěl jednotlivce v Sýrii. Odkaz ke stažení pro tuto aplikaci databáze byla zařazena v sekci informace o videu zveřejněném dne 9. listopadu 2013. Útočníci také využít falešných bezpečnostních řešení přimět své oběti - včetně falešný antivirový program s názvem "Ammazon Internet Security" a Trojanised verze legitimní monitorovací nástroj, Total Network Monitor. Nejedná se jen šíří falešné bezpečnostní aplikace - také jsme viděli falešné verze instant messaging aplikace WhatsApp a Viber.

Útočníci používají celou řadu známých nástrojů pro vzdálenou správu (potkani), škodlivými programy, které umožňují vzdálený "operátor" ovládat napadeného počítače, jako kdyby měli fyzický přístup k němu. Tyto nástroje jsou široce používány v počítačové kriminality útoky všeho druhu, a dokonce v některých státem podporovaných útoků. Krysy použité v této kampani jsou "ShadowTech", "Xtreme", "NjRAT", "Bitcoment", "Temný Comet" a "Blackshades". Malware se používá ke sledování oběti, shromažďovat informace a v některých případech, aby se pokusila vypnout jejich operace.

Oběti těchto útoků jsou nejen v Sýrii. Útoky byly také vidět v Turecku, Saúdské Arábii, Libanon, Palestina, Spojené arabské emiráty, Izrael, Maroko, Francii a ve Spojených státech.

Byli jsme schopni sledovat C2 servery útočníků na IP adresy v Sýrii, Rusku, Libanonu, Spojených státech a Brazílii. Celkem jsme našli 110 souborů, 20 domén a 47 IP adres spojených s útoky.

Počet útoků vzrostl výrazně za poslední rok. Kromě toho je jasné, že skupiny zapojené do útoků, jsou dobře organizované. Zatím útočníci využili zavedených malware nástrojů, spíše než rozvíjet jejich vlastní (i když používají různé metody mlžení, aby se vyhnula jednoduchou detekci na základě signatur). Domníváme se však, že je pravděpodobné, že počet a propracovanost malware použitý v tomto regionu se pravděpodobně zvýší.

Najdete u nás úplnou zprávu o tomto malware zde .

Malware příběhy

Shylock - libra vašeho těla

Začátkem letošního roku Kaspersky Lab přispěl k alianci vymáhání práva a průmyslovými organizacemi koordinovaný Spojeného království národní trestnou činnost (NOK), k narušení infrastruktury za sebou Shylock Trojan . Toto partnerství ukazuje, jak globální spolupráce na počítačové kriminalitě může přinést pozitivní výsledky.

Shylock bankovnictví Trojan, tak nazvaný protože jeho kód obsahuje výňatky z Shakespearova Kupce benátského , byl poprvé objeven v roce 2011. Stejně jako ostatní známých bankovních trojských koní, jako je Zeus, SpyEye a Carberp, Shylock je man-in-the- prohlížeč útok navržen tak, aby krást bankovnictví přihlašovací údaje z počítačů klientů bank. Trojan používá přednastavenou seznam cílových bank, který se nachází v různých zemích po celém světě.

Trojan vstřikuje falešný zadávání dat pole do webových stránek, když se zatížení na prohlížeče oběti. Oběti jsou typicky nastrčen malware kliknutím na nebezpečné odkazy. Shylock pak usiluje o přístup k finančním prostředkům konat v obchodní nebo osobní bankovní účty, a přenáší je na účty pod kontrolou útočníků.

Zaměření zločinci změnila v průběhu času. Když se poprvé objevil Shylock, byla zaměřena především na oběti ve Velké Británii a v průběhu roku 2012, rozšíří i do dalších zemí v Evropě a ve Spojených státech. Do konce roku 2013 se zločinci byly více zaměřeny na rozvíjejících se trzích, jako je Brazílie, Rusko a Vietnam. Můžete si najít více informací, včetně údajů o šíření malwaru, zde .

Všechny bankovní trojské koně, Shylock v ceně, cílové banky zákazníky, v naději, že využít toho, co je často nejméně chráněné prvkem každé finanční transakce - tedy člověka. To je důvod, proč je důležité, aby bezpečnostní začíná doma - my všichni potřebujeme, aby účinně zabezpečit naše počítače.

Vaše peníze nebo váš soubor (y)!

Počet ransomware programů roste v posledních letech - ne všechny z nich se zaměřila na počítačích se systémem Windows. Někteří, včetně těch zaměřených na zařízení se systémem Android , mají tendenci se jednoduše zablokovat přístup k zařízení a požadovat platbu výkupné, aby se odemknout zařízení.

Ale mnoho ransomware programů jít dále, než to, šifrování dat v počítači oběti. Jedním příkladem z poslední doby je ZeroLocker.

Na rozdíl od většiny ransomware programů, které šifrují předem definovaný seznam typů souborů, ZeroLocker zašifruje téměř všechny soubory v počítači oběti a přidává příponu ".encrypt" pro šifrované soubory. ZeroLocker není šifrovat soubory umístěné v adresářích, které obsahují slova "Windows", "WINDOWS", "Program Files", "ZeroLocker" nebo "zničit", a není šifrovat soubory větší než 20MB velikosti.

ZeroLocker generuje 160-bitového klíče AES šifrování všech souborů. Klíčem prostor je poněkud omezený kvůli tomu, jak klíč je generován, ale je to stále dost velký, aby se obecně brute -forcing neproveditelné. Po šifrování souborů, malware spustí "Cipher.exe" nástroj pro odstranění všech nepoužívaných dat z disku, takže obnovení souborů mnohem obtížnější. Šifrovací klíč, spolu s CRC32 o MAC adresu počítače, a související Bitcoin peněženku, je odeslán na server používaného zločinci. K dispozici je známkou toho, že konfigurace C2 obsahuje některé chyby, které by mohly bránit úspěšnému dešifrování - další důvod, proč se zaplacení výkupného je špatný nápad.

Šifrovací klíč, společně s dalšími informacemi, je odeslána prostřednictvím požadavku GET, spíše než POST. To má za následek 404 chyba na serveru. To by mohlo znamenat, že server není uchovávání informací, což naznačuje, že oběti se pravděpodobně nedostane své soubory zpět, a to i v případě, že zaplatí výkupné.

Několik dalších adresy URL, které malware se snaží získat také za následek 404 chyb. To naznačuje, že operace může být stále v plenkách. V případě, a pokud jsou tyto chyby pevné, můžeme vidět ZeroLocker rozmístěny ve větším měřítku.

Mezi zločinci za ZeroLocker vyžadují počáteční 300 dolarů v hodnotě Bitcoins soubor dešifrovat. V případě, že oběť nemá platit začnou rychle zvyšování poplatků až 500 dolarů a 1000 dolar, jak čas pokračuje.

Vaše peníze nebo váš soubor (y)!

Je tu Bitcoin peněženka pevně v binární, ale malware pokusí načíst novou peněženku adresu ze serveru C2, asi aby bylo těžší sledovat, jak úspěšná operace je a kam peníze jdou. Žádný z peněženky adres Bitcoin jsme se podívali na nějaké transakce spojené s nimi. Vzhledem k tomu, C2 server poskytuje informace o Bitcoin peněženku, je možné, že útočníci jsou schopni používat unikátní peněženku za každou oběť.

Další ransomware program, který jsme nedávno analyzovali je cibule. Tento škodlivý program používá vyzkoušené a prověřené metody používané jinými nedávnými ransomware programů - šifrování dat oběti a náročné platbu výkupné Bitcoin.

Vaše peníze nebo váš soubor (y)!

Nicméně, to také na novou půdu. Za prvé, cibule využívá anonymní síť Tor skrýt své C2 servery. To ztěžuje vystopovat zločinci které stojí za malware. Ostatní malware používá Tor v minulosti, ale to Trojan stojí mimo, protože podporuje plnou interakci s Tor bez jakéhokoli zásahu oběti. Ostatní programy, jako je tato komunikovat se sítí Tor spuštěním (někdy vstřikováním kódu na jiné procesy) legitimní "tor.exe" souboru. Naproti tomu Onion implementuje tuto komunikaci jako součást malware samotného kódu.

Cibule také používá netradiční šifrovací algoritmus, který umožňuje soubor dešifrování nemožné, i když komunikace mezi Trojan a C2 serverem je zachyceno. Tento Trojan nejen využívá asymetrickou šifru, ale také používá šifrovací protokol známý jako ECDH (eliptických křivek RSA). Tím dešifrování nemožné bez hlavního soukromého klíče - který nikdy neopouští řízenou serveru kybernetických zločinců. Další podrobnosti lze nalézt v naší zprávě o cibule Trojan .

Tyto věci spojené, aby Onion Trojan technicky pokrok a velmi nebezpečné.

Operace ransomware spoléhat na jejich oběti splacení. Nedělejte to! Místo toho, aby pravidelné zálohování vašich dat. Tak, pokud jste někdy padnou za oběť na ransomware programu (nebo potíže s hardwarem, který vás zastaví přístupu k vašim souborům), neztratíte žádné z vašich dat.

Proč jeden z výzkumníků našich bezpečnostních naboural svůj vlastní domov

Internet se stává tkané do struktury našeho života - a to doslova, v některých případech, jako připojení je vložen do každodenních předmětů. Tento trend, známý jako "internet věcí", přilákal více a více pozornosti jako hackeři a vědci zkoumat technologie integrované do auta, hotely, domácí poplašné systémy a chladničky a další - hledání zranitelností.

Někdy Internet věcí může zdát vzdálené. Ale je to často blíž, než si myslíme. Moderní dům je dnes pravděpodobně mít hrst zařízení připojených do lokální sítě, které nejsou tradiční počítače, tablety nebo mobilní telefony - zařízení, jako jsou chytré televize, tiskárny, herní konzole, je síťové úložné zařízení, nebo nějaký druh media player / satelitní přijímač.

Jeden z výzkumníků našich bezpečnostních, David Jacoby, zkoumali svůj vlastní domov , aby zjistil, zda bylo skutečně cyber-secure. Podíval se na několika zařízení, včetně úložišti připojeném k síti (NAS) zařízení, Smart TV, směrovače a satelitním přijímačem, aby zjistili, zda byly náchylné k útoku. Výsledky byly pozoruhodné. David nalezeno 14 zranitelných míst v zařízení pro ukládání dat připojené sítě, jeden na Smart TV a několik potenciálně skrytých dálkového ovládání funkcí v routeru.

Nejzávažnější chyby zabezpečení byly nalezeny v úložných zařízení NAS. Několik z nich by mohlo útočníkovi dovolit vzdáleně spouštět příkazy systému s nejvyššími oprávněními správce. Testované zařízení také měli slabá výchozí hesla uložená hesla ve formátu prostého textu a jsou zahrnuty konfigurační soubory se špatnými oprávnění. Výchozí heslo správce pro jednoho ze zařízení obsahoval jen jednu číslici! A další zařízení dokonce sdílel celý konfigurační soubor, který obsahuje zašifrovaná hesla, s kýmkoli v síti!

David byl také schopný nahrát soubor do oblasti paměti pro ukládání, která je nepřístupná běžného uživatele. Pokud útočník nahrál nebezpečný soubor do této oblasti, ohrožena zařízení by se stal zdrojem infekce pro ostatní zařízení se připojují k tomuto NAS - domácí počítače, například - a mohla by dokonce sloužit jako DDoS (Distributed Denial of Service) bot v botnet. Na vrcholu toho, jediný způsob, jak odstranit tento soubor byl pomocí stejné chyby -I pro technický specialista to není jednoduchý úkol.

Když se David se podíval na Smart TV, zjistil, že komunikace mezi TV a serverech TV dodavatele není šifrována - potenciálně otevírá cestu pro Man-in-the-middle útok, který by mohl vyústit v nic netušící spotřebitel převody peněz podvodníkům Při pokusu o nákup obsahu prostřednictvím televizoru. Jako důkaz pojetí cvičení, David byl schopen nahradit jednou z ikon na smart TV grafického rozhraní s obrázkem. Normálně widgety a náhledy jsou stahovány ze serverů na TV na dodavatele, ale od té doby připojení není šifrováno, tato informace může být upraven třetí stranou. On také objevil, že smart TV je schopen spustit kód v Javě, který v kombinaci se schopností zachytit výměnu provozu mezi TV a internetu, může mít za následek využít poháněná nebezpečné útoky.

DSL router, který se používá k dispozici bezdrátový internet pro všechny ostatní domácí zařízení, obsahoval několik nebezpečných vlastností skrytých od svého majitele. Některé z těchto skrytých funkcí by mohla dát útočník vzdálený přístup k jakékoliv zařízení v privátní síti. A co víc, části webového rozhraní routeru s názvem "Kamery", "Telephony Expert Configure", "Access Control", "WAN-Sensing" a "Aktualizovat" jsou "neviditelné" a nemůže být upravena majitelem zařízení. Mohou být přístupné pouze tím, že využívá poměrně obecný chybu zabezpečení, která umožňuje cestovat mezi úseky rozhraní (ty jsou v podstatě webové stránky, z nichž každý má svou vlastní alfanumerickým adresu) hrubou-vynucení čísla na konci adresy. Původně tyto funkce byly implementovány pro pohodlí majitele zařízení: funkce pro vzdálený přístup umožňuje rychlé a snadné pro ISP (Internet Service Provider) odstraňovat a řešit technické problémy na zařízení. Ale to užitečná funkce by se mohl stát bezpečnostní riziko v případě, že kontroly se dostala do nesprávných rukou.

V souladu s naší politikou zodpovědného oznámení Kaspersky Lab neukázalo jména dodavatelů, jejichž produkty byly zkoumány v rámci tohoto výzkumu. Všichni prodejci byli informováni o existenci slabých míst a odborníků Kaspersky Lab úzce s dodavateli, aby jim pomohla nápravě nějaké zranitelnosti objevené.

Je důležité, abychom všichni pochopili potenciální rizika spojená s používáním zařízení v síti - to platí pro jednotlivce i podniky. Musíme také pochopit, že naše informace není bezpečná jen proto, že budeme používat silná hesla nebo spustit software na ochranu proti škodlivým kódem. Existuje mnoho věcí, nad kterými nemáme kontrolu, a do jisté míry jsme v rukou dodavateli softwaru a hardwaru. Například, ne všechna zařízení patří automatické aktualizace šeky - někdy spotřebitelé jsou povinni stáhnout a nainstalovat nový firmware. To není vždy snadný úkol. Ještě horší je, že to není vždy možné aktualizovat zařízení (většina zařízení zkoumány v tomto výzkumu byla přerušena víc než před rokem).

Můžete si najít nějaké rady, jak snížit riziko útoku v tomto shrnutí David Jacoby svém článku .

Web bezpečnosti a narušení bezpečnosti osobních údajů: Shellshock

V září, informační bezpečnosti svět čelil bojovou pohotovost po objevu "bash" zranitelnosti (také známý jako "Shellshock"). Bash, Unix shell napsaný v roce 1989, je výchozí shell na Linux a Mac OS X. vady (CVE-2014 - 6271), umožňuje útočníkovi vzdáleně připojit škodlivý soubor proměnnou, která se spustí, když se příkaz Bash tlumočníka vyvolána. Velký dopad této chyby, spolu s lehkostí, s jakou může být využíván, aby to velmi silný. Někteří porovnal je s "Heartbleed" zranitelnosti. Nicméně, Bash je mnohem jednodušší, než zneužití Heartbleed, a vzhledem k tomu, Heartbleed povoleno pouze útočník ukrást data z paměti zranitelné počítače, Shellshock by mohlo poskytnout plnou kontrolu systému.

To netrvalo dlouho a útočníci, aby se pokusila využít zranitelnosti - jsme diskutovali některé rané příklady brzy poté, co byla objevena. Ve většině případů útočníci vzdáleně napadli webové servery hosting CGI (Common Gateway Interface), skripty, které jsou napsané v bash nebo předávání hodnot skripty shellu. Je však možné, že chyba zabezpečení by mohla mít dopad na infrastrukturu se systémem Windows .

Stejně tak není problém omezen pouze na webové servery. Bash je široce používán v firmware zařízení, které dnes považujeme za samozřejmost v našem každodenním životě. To zahrnuje směrovače, domácí spotřebiče a bezdrátové přístupové body. Některé z těchto zařízení může být obtížné, ne-li nemožné náplasti - jak je uvedeno výše .

Najdete návod, jak aktualizovat zranitelné systémy zde .

Statistika

Všechny statistiky použité v této zprávě byly získány pomocí Kaspersky Security Network (KSN) , distribuované antivirový síť, která pracuje s různými složkami anti-malware ochrany. Data byla sbírána od KSN uživatelů, kteří souhlasili se přenést. Miliony Společnost Kaspersky Lab výrobky uživatelů ze 213 zemí a oblastí po celém světě podílet se na této globální výměny informací o nebezpečné činnosti.

Q3 v číslech

Podle údajů KSN, produkty Kaspersky Lab zjištěn a neutralizuje celkem 1325106041 hrozeb ve třetím čtvrtletí roku 2014.
Lab řešení Kaspersky odrazil 367431148 útoky odpálené z on-line zdrojů umístěných po celém světě
Kaspersky Lab web antivirus zjištěn 26641747 jedinečné škodlivé objekty: skripty, exploity, spustitelné soubory, atd
107215793 unikátní URL byly uznány jako škodlivý podle web antivirové komponenty.
33% webových útoků neutralizována produkty společnosti Kaspersky Lab byly provedeny pomocí škodlivého webových zdrojů nacházejících se ve Spojených státech.
Antivirová řešení společnosti Kaspersky Lab zjištěn celkem 116.710.804 unikátních škodlivých a potenciálně nežádoucích objektů.
Detekovány produkty Mobile Security Kaspersky Lab
461757 instalační balíčky;
74.489 nových škodlivých mobilních programy;
7010 Mobilní bankovnictví trojské koně.
Mobilní hrozby

Ve 3. čtvrtletí 2014 produkty Mobile Security Kaspersky Lab zjištěn 74.489 nových škodlivých mobilních programů, o 14,4% více než ve druhém čtvrtletí.

Zároveň bylo zjištěno méně instalační balíčky.

Počet instalačních balíčků a nových škodlivých mobilních programů zjištěna v 1. až 3. čtvrtletí 2014

Počet instalačních balíčků a nových škodlivých mobilních programů zjištěna v 1. až 3. čtvrtletí 2014

V první polovině roku 2014, bylo o něco více než 11 škodlivé instalační balíčky v průměru spojené s každým škodlivého programu, ale ve 3. čtvrtletí bylo 6,2 milionu.

Použití více instalační balíčky pro jednoho mobilního škodlivého programu je typický pro SMS-Trojan distributorů. Například, útočníci použili až 70000 paketů za jednu verzi Stealer.a. Pokles počtu škodlivých instalačních balíčků je pravděpodobně souvisí s nižší podíl tohoto malwaru v toku nových mobilních škodlivých programů se snížil (viz níže).

Distribuce mobilních hrozeb podle typu

Distribuce mobilních hrozeb podle typu ve 2. a 3. čtvrtletí 2014

Distribuce mobilních hrozeb podle typu ve 2. a 3. čtvrtletí 2014

Hodnocení malware objektů pro mobilní zařízení za třetí čtvrtletí roku 2014 byl v čele RiskTool. To tvrdil 26,5% detekcí, což je nárůst o 8,6 procentního bodu. Jedná se o právní aplikace, které jsou potenciálně nebezpečné pro uživatele - v případě, že jsou použity nedbale, nebo manipulovat s cybercriminal by mohly vést k finančním ztrátám.

Druhý přišel adware, potenciálně nežádoucí reklamní aplikace (19,4%); Jejich podíl se snížil o 7,9 procentního bodu.

SMS-Trojské koně byli na 3. místě: jejich podíl klesl o 7.2pp oproti předchozímu čtvrtletí.

Ve 3. čtvrtletí, zatímco adware a SMS, trojské koně byly méně široce viděli, jsme zaznamenali prudký nárůst v procentech bankovních trojských koní: jejich podíl v toku mobilní malware se zvýšil z 2,2% na 9,2%, což umístil toto kategorie 4. v hodnocení ,

Top 20 škodlivých mobilních programy

Název % Útoků *
1 Trojan-SMS.AndroidOS.Stealer.a 15,63%
2 RiskTool.AndroidOS.SMSreg.gc 14.17%
3 AdWare.AndroidOS.Viser.a 10.76%
4 Trojan-SMS.AndroidOS.FakeInst.fb 7.35%
5 RiskTool.AndroidOS.CallPay.a 4,95%
6 Exploit.AndroidOS.Lotoor.be 3,97%
7 DangerousObject.Multi.Generic 3.94%
8 RiskTool.AndroidOS.MimobSMS.a 3.94%
9 Trojan-SMS.AndroidOS.Agent.ao 2.78%
10 AdWare.AndroidOS.Ganlet.a 2.51%
11 Trojan-SMS.AndroidOS.OpFake.a 2.50%
12 RiskTool.AndroidOS.SMSreg.de 2.36%
13 Trojan-SMS.AndroidOS.FakeInst.ff 2.14%
14 Trojan-SMS.AndroidOS.Podec.a 2,05%
15 Trojan-SMS.AndroidOS.Erop.a 1.53%
16 RiskTool.AndroidOS.NeoSMS.a 1,50%
17 Trojan.AndroidOS.Agent.p 1,47%
18 Trojan-SMS.AndroidOS.OpFake.bo 1.29%
19 RiskTool.AndroidOS.SMSreg.hg 1,19%
20 Trojan-Ransom.AndroidOS.Small.e 1,17%
* Podíl z celkového počtu útoků zaznamenaných na mobilních zařízeních unikátních uživatelů.

TOP 20 se již tak silně dominují SMS trojské koně: ve 2. čtvrtletí 2014 se tyto škodlivé programy obsadil 15 míst v kvalifikaci, když ve 3. čtvrtletí jich bylo jen 8. Trojan-SMS.AndroidOS.Stealer.a trumfl hodnocení s předchozím čtvrtletím se s 25,42% ze všech útoků, ale ve 3. čtvrtletí to představuje pouze 16,63% z útoků.

Zástupci RiskTool obsazený 6 pozic v Top 20, s RiskTool.AndroidOS.SMSreg.gc (14,17%), na druhém místě.

7. přišel DangerousObject.Multi.Generic (3.94%), který ukazuje, jak se nové škodlivé aplikace rozpozná cloud technologie Kaspersky Security Network, které umožňují náš produkt rychle reagovat na nové neznámými hrozbami.

Mobilní bankovnictví trojské koně

Ve třetím čtvrtletí jsme zjistili, 7010 mobilní bankovní trojské koně, 3,4 krát více než v předchozím čtvrtletí.

Počet mobilních bankovních trojských koní zjištěn, Q1-Q3 2014

Počet mobilních bankovních trojských koní zjištěn, Q1-Q3 2014

Počet zemí napadených bankovních trojských koní rovněž zvýšily: ve 2. čtvrtletí byly mobilní bankovnictví Trojan útoky zjištěna v 31 zemích, zatímco ve 3. čtvrtletí bylo 70.

Geografie mobilního bankovnictví hrozeb, Q3 2014 (počet napadených uživatelů)

Geografie mobilního bankovnictví hrozeb, Q3 2014
(počet napadených uživatelů)

Prvních 10 zemí napadeny bankovní trojské koně

Země % Ze všech útoků *
1 Rusko 83,85%
2 Spojené státy americké 7,09%
3 Ukrajina 1,79%
4 Belarus 1,18%
5 Kazachstán 0,92%
6 Korejská republika 0,68%
7 Německo 0.62%
8 Čína 0,50%
9 Spojené království 0,50%
10 Saúdská Arábie 0.35%
* Procento uživatelů zaútočila na zemi

Itálie vypadl z Top 10, zatímco Saudská Arábie se objevila na 10. místě.

Rusko zde udržela tradiční náskok, i když to bylo 7.85pp na předtím. Současně příspěvek ostatních Top 10 členů mírně vzrostl: mobilní zločinci se postupně rozšiřuje oblast jejich činnosti.

Geografie mobilních hrozeb

Ve 3. čtvrtletí 2014 byly zjištěny mobilní nebezpečné útoky alespoň jednou ve 205 zemích.

Geografie infekce mobilního bankovnictví trojské koně, Q3 2014 (procento všech napadených uživatelů)

Geografie infekce mobilního bankovnictví trojské koně, Q3 2014
(procento všech napadených uživatelů)

Top 10 napadených zemí

Země % Útoků *
1 Rusko 44.0%
2 Indie 7,6%
3 Německo 5.6%
4 Írán 3.4%
5 Vietnam 3,1%
6 Kazachstán 3,1%
7 Ukrajina 2,7%
8 Malajsie 1,9%
9 Brazílie 1,7%
10 Spojené státy americké 1,7%
* Procento uživatelů zaútočila na zemi

Rusko zůstalo nejvíce cílené národ s 44% všech útoků. Indie (7,6%), se vrátil na druhé místo. Poprvé v 2014 Íránu (3,4%) a USA (1,7%), vstoupil do Top 10, zatímco v Polsku, Francii, Španělsku a Mexiku byly Q3 outsideři.

Zranitelné aplikace používané podvodníky

Počet ohrožených aplikací níže je založen na informacích o hrdinských blokovaných našich výrobků. Tyto využije byl hackery používány v internetových útoků a při ohrožení lokálních aplikací, včetně těch, které instalovány na mobilních zařízeních.

Distribuce webových využije používají podvodníci, podle typu aplikace napadl, Q3 2014

Distribuce webových využije používají podvodníci, podle typu aplikace napadl, Q3 2014

Ze všech registrovaných pokusí použít zranitelnosti, 47% způsobeno zranitelná místa v prohlížečích. Téměř každý využít balíček obsahuje využít pro Internet Explorer.

Java exploity jsou na druhém místě. Java zranitelnosti jsou používány v drive-by útoky prostřednictvím internetu a nových Java zneužití jsou součástí mnoha využívat balení, i když žádné nové Java chyby zabezpečení byly zveřejněny za téměř rok. Ve 3. čtvrtletí tohoto roku, 28% se snaží využít zranitelnosti cílené Java; v prvním čtvrtletí to bylo 29%.

Další přijdou Adobe Reader využije (12%). Tyto chyby jsou také využívány v drive-by útoky přes internet a PDF využije funkce v mnoha zneužít balení.

On-line hrozeb (Web-based útoky)

Statistiky v této části byly odvozeny z webové antivirových komponent, které chrání uživatele při škodlivý kód se pokusí stáhnout z škodlivého / infikované webové stránky. Nebezpečné webové stránky jsou záměrně vytvořeny uživatelů se zlými úmysly; infikované místa zahrnují ty, které se obsahu umístěného uživateli (jako fór), jakož i legitimní prostředky, které byly napadeným.

On-line hrozby v bankovním sektoru

V průběhu účetního období, Lab řešení Kaspersky zablokovány 696.977 útoky, které se pokoušely spustit malware dokáže krást peníze z on-line bankovních účtů. Toto číslo představuje pokles o 24,9% ve srovnání s 2. čtvrtletím (927.568).

Počet počítačů napadl finanční malware, Q3 2014

Počet počítačů napadl finanční malware, Q3 2014

Počet útoků se postupně klesal po celé čtvrtletí: v červnu bylo 244.490 útoky zablokována, zatímco v září to bylo 218.384 (-11%).

Celkem 2.466.952 oznámení o nebezpečné činnosti programy, jejichž cílem je ukrást peníze prostřednictvím on-line přístupu k bankovním účtům byly registrovány bezpečnostní řešení společnosti Kaspersky Lab ve 3. čtvrtletí 2014.

Geografie útoků

Geografie bankovní malware útoků v 2. čtvrtletí 2014 (podle počtu napadených uživatelů v ČR)

Geografie bankovní malware útoků v 2. čtvrtletí 2014
(podle počtu napadených uživatelů v ČR)

Top 10 zemí podle počtu napadených uživatelů:

Země Počet uživatelů
1 Brazílie 90176
2 Rusko 57729
3 Německo 55225
4 Itálie 32529
5 Indie 24975
6 Spojené státy americké 22340
7 Rakousko 22013
8 Vietnam 13495
9 Spojené království 11095
10 Čína 9060
Brazílie zůstal v zemi, kde jsou uživatelé nejčastěji zaútočil bankovní malware, i když jeho podíl se snížil o třetinu. Rusko zůstal na druhém místě. Itálie klesl na 4. pozici, zatímco Německo se zvýšil na 3. místo: počet napadených uživatelů v této zemi se zvýšil o 1,5 krát.

Top 10 bankovní malware rodiny

Níže uvedená tabulka ukazuje, že programy nejčastěji používá k útoku na uživatele online bankovnictví ve 3. čtvrtletí 2014, na základě počtu hlášených pokusů infekce:

Verdikt Počet oznámení Počet uživatelů
Trojan-Spy.Win32.Zbot 1381762 285559
Trojan-Banker.Win32.ChePro 322928 92415
Trojan-Banker.Win32.Shiotob 123150 24839
Trojan-Banker.Win32.Agent 49563 23943
Trojan-Banker.HTML.PayPal 117692 21138
Trojan-Spy.Win32.SpyEyes 73496 19113
Trojan-Banker.Win32.Lohmys 47188 16619
Trojan-Banker.Win32.Banker 39892 12673
Trojan-Banker.Win32.Banbra 20563 9646
Backdoor.Win32.Sinowal 18921 8189
Zeus (Trojan-Spy.Win32.Zbot) zůstal nejrozšířenější bankovní Trojan, i když počet útoků zahrnujících tento škodlivý program, stejně jako počet napadených uživatelů, téměř půlených ve srovnání s předchozím čtvrtletím.

Ve 3. čtvrtletí, 3. místo obsadil Trojan-Banker.Win32.ShiotobThis škodlivého programu je nejvíce často šíří prostřednictvím nevyžádané pošty a je určen ke sledování provozu s cílem zachytit údaje o platbách. Devět z 10 malware rodin zastoupených v tabulce práci vstřikováním náhodného HTML kód do webové stránky zobrazené v prohlížeči a zastavovat žádné platební údaje zadané uživatelem v původních nebo vložených webových formulářů.

Finanční hrozby nejsou omezeny na malware, který napadá on-line bankovnictví.

Distribuce útoků na uživatele peníze podle typu malware, Q3 2014

Distribuce útoků na uživatele peníze podle typu malware, Q3 2014

Bitcoin krádeže peněženky byla druhou nejčastěji používanou metodou krádeže elektronických peněz, její popularita vzrostla z 8% v předchozím čtvrtletí na 15% ve 3. čtvrtletí. Ještě další hrozbě na šifrovací měně Bitcoin důlní software (11%), který využívá výpočetní prostředky pro generování bitcoins.

Top 20 škodlivé objekty detekovány on-line

Ve třetím čtvrtletí roku 2014, Kaspersky Lab web antivirus zjištěn 26641747 jedinečné škodlivé objekty: skripty, exploity, spustitelné soubory, atd

Identifikovali jsme 20 nejaktivnější škodlivé programy spojené s on-line útoky zahájila proti počítačích uživatelů. Ty 20 představovaly 96,2% všech útoků na internetu.

Top 20 škodlivé objekty detekovány on-line

Jméno * % Ze všech útoků **
1 Škodlivý URL 59,83%
2 AdWare.Script.Generic 14.46%
3 Trojan.Script.Generic 13.13%
4 Trojan.Script.Iframer 1.77%
5 AdWare.Win32.Agent.fflm 1.23%
6 Trojan-Downloader.Script.Generic 1,02%
7 AdWare.Win32.Agent.allm 1,02%
8 AdWare.JS.Agent.ao 0,78%
9 AdWare.JS.Agent.an 0.55%
10 AdWare.Win32.Agent.aiyc 0,32%
11 AdWare.Win32.OutBrowse.g 0,32%
12 Trojan.Win32.Generic 0,30%
13 AdWare.Win32.Amonetize.bcw 0.23%
14 AdWare.Win32.Amonetize.cmg 0,18%
15 AdWare.Win32.Yotoon.heur 0,18%
16 Trojan-Downloader.Win32.Generic 0,15%
17 AdWare.Win32.Amonetize.cmd 0,14%
18 Trojan-Dropper.Win32.Agent.lefs 0,12%
19 AdWare.Win32.Linkun.j 0.11%
20 AdWare.Win32.Amonetize.aik 0,09%
* Tyto statistiky představují detekční výroky web antivirového modulu. Informace byly poskytnuty uživateli produktů společnosti Kaspersky Lab, kteří souhlasili, aby se podělili o své lokální data.
** Procento všech webových útoků zaznamenaných na počítačích unikátních uživatelů.

Vzhledem k tomu často bývá, Top 20 je z velké části skládá z objektů používaných v drive-by útoky, stejně jako adware programů. 59.8% všech rozsudků spadl na odkazy z těchto černých listinách.

Top 10 zemí, kde jsou on-line zdrojů nasazené s malwarem

Následující statistiky jsou založeny na fyzické umístění on-line zdrojů, které byly použity při útocích a blokovaných antivirových složek (webové stránky obsahující přesměruje na činech, stránky obsahující exploitů a další malware, botnet velitelských středisek, atd.) Jednoznačná hostitel se může stát zdrojem jednoho nebo více webových útoků.

Aby bylo možné určit zeměpisný původ webovými útoky v doménových jmen jsou přizpůsobeny proti skutečným domény IP adresy, a pak zeměpisná poloha konkrétní IP adresy (GeoIP) je založen.

Ve 3. čtvrtletí 2014 Lab řešení Kaspersky zablokovány 367431148 útoky odpálené z internetových zdrojů nacházejících se v různých zemích po celém světě. 87% z on-line zdrojů používaných k šíření škodlivých programů se nacházejí v 10 zemích světa. To je o 1,3 procentního bodu méně než v předchozím čtvrtletí.

Distribuce on-line zdrojů očkuje škodlivých programů ve 3. čtvrtletí 2014

Distribuce on-line zdrojů očkuje škodlivých programů ve 3. čtvrtletí 2014

Top 10 hodnocení zemí, kde jsou on-line zdrojů očkuje malwarem viděl velké změny oproti předchozímu čtvrtletí: Kanada (-7 pb) a Irsku (-0,7 pb) vypadl z Top 10. Čína vstoupila do Top 10 s 1,87% a usadil v 7.. Švýcarsko (1,03%) byl 3. čtvrtletí je jiný nováček.

Nejvýznamnější změny se stalo v USA, který se vyšplhal na vrchol ratingu s + 11.2pp houpačce, a Německo (-9 pb), který spadl z první až třetí místo.

Země, kde se uživatelé čelí největší riziko infekce on-line

Aby bylo možné posoudit, ve kterých zemích uživatelé čelí kybernetickým hrozbám nejčastěji, jsme vypočítali, jak často se uživatelé Kaspersky setkal detekce verdikty na svých strojích v každé zemi. Výsledné údaje charakterizuje riziko infekce, že počítače jsou vystaveny v různých zemích po celém světě, poskytuje ukazatel agresivitě prostředí, ve kterém počítače pracují v různých zemích.

Země * % Unikátních uživatelů **
1 Rusko 46,68%
2 Kazachstán 45,92%
3 Ázerbajdžán 43,50%
4 Arménie 41,64%
5 Ukrajina 40,70%
6 Írán 39,91%
7 Vietnam 38,55%
8 Belarus 38,08%
9 Moldova 36,64%
10 Alžírsko 36,05%
11 Tádžikistán 36,05%
12 Kyrgyzstán 33,59%
13 Mongolsko 33,59%
14 Katar 30,84%
15 Uzbekistán 29,22%
16 Georgia 29,17%
17 Turecko 28,91%
18 Spojené arabské emiráty 28,76%
19 Indonésie 28,59%
20 Německo 28,36%
Tyto statistiky jsou založeny na zjišťování rozsudky vrácené web antivirový modul, obdržel od uživatelů produktů společnosti Kaspersky Lab, kteří souhlasili, aby jejich statistických údajů.

* Vyloučili jsme ty země, v nichž počet uživatelů produktů společnosti Kaspersky Lab je relativně malý (méně než 10000).
** unikátních uživatelů, jejichž počítače byly terčem internetových útoků, jako podíl z celkového počtu unikátních uživatelů produktů společnosti Kaspersky Lab v ČR.

Ve třetím čtvrtletí roku 2014 Chorvatsko, Tunisko a Španělsko vypadl z Top 20. nově příchozí z hodnocení byly SAE (28,76%), Indonésie (28,59%) a Německu (28,36%), který obsadil poslední tři pozice v tabulce ,

Mezi země s nejbezpečnějších on-line prostředí, surfování byly Singapore (10,5%), Švédsku (12,4%), Dánsko (13,2%), Japonsko (13,3%), Jižní Afrika (16,0%), ve Finsku (16,1%) a Nizozemí ( 16,6%).

Země, kde se uživatelé čelí největší riziko infekce on-line

V průměru 29,5% počítačů připojených k internetu se podrobí alespoň jedné webové útoku během posledních tří měsíců.

Místní hrozby

Místní statistiky infekce pro uživatele počítačů je velmi důležitým ukazatelem. Tato data poukazuje na nebezpečí, které pronikly počítačový systém, přes něco jiného než Internet, e-mail, nebo síťových portů.

Tato část obsahuje analýzu statistických údajů získaných na základě antivirové skenování souborů na pevném disku v okamžiku, kdy jsou vytvořeny nebo přístupnou a výsledky skenování různých vyměnitelných datových úložišť.

Ve 3. čtvrtletí 2014, antivirová řešení společnosti Kaspersky Lab zjištěn 116710804 jedinečné škodlivé a potenciálně nežádoucí objekty.

Top 20 škodlivé objekty detekované na uživatelských počítačích

Jméno * % Unikátních napadených uživatelů **
1 Trojan.Win32.Generic 18.95%
2 DangerousObject.Multi.Generic 18,39%
3 AdWare.MSIL.Kranet.heur 11.61%
4 AdWare.Win32.Agent.ahbx 5,77%
5 Trojan.Win32.AutoRun.gen 4.81%
6 AdWare.Win32.Kranet.heur 4,68%
7 AdWare.NSIS.Zaitu.heur 4,51%
8 Worm.VBS.Dinihou.r 4,51%
9 Virus.Win32.Sality.gen 4,08%
10 AdWare.Win32.Yotoon.abs 4,03%
11 AdWare.Win32.IBryte.dolh 3.14%
12 AdWare.Win32.Agent.aljt 3.12%
13 AdWare.Win32.Agent.allm 3.11%
14 AdWare.Win32.Yotoon.heur 3.10%
15 Adware.Win32.Amonetize.heur 2.86%
16 AdWare.Win32.Agent.heur 2.80%
17 WebToolbar.JS.Condonit.a 2.59%
18 Worm.Win32.Debris.a 2.56%
19 AdWare.Win32.Kranet.c 2,55%
20 Trojan.Script.Generic 2.51%
* Tyto statistiky jsou sestavovány z detekci malware verdiktů vytvořených skenerem moduly on-access a on-demand na počítačích těchto uživatelů se systémem produkty společnosti Kaspersky Lab, které souhlasily, aby předložily své statistické údaje.
** Podíl jednotlivých uživatelů, na jejichž počítačích antivirus modul detekoval tyto objekty jako podíl z celkového počtu jednotlivých uživatelů produktů společnosti Kaspersky Lab, na jehož počítače byl zjištěn škodlivý program.

Toto pořadí obvykle zahrnuje rozsudky věnována adware programů: ve 3. čtvrtletí obsadili třináct míst v Top 20.

Worms distribuované prostřednictvím vyměnitelných médií byla 8. a 18. v pořadí.

Viry byly zastoupeny pouze jedním výrokem Virus.Win32.Sality.gen který přišel 9. v Top 20.

Q3 2014 došlo k výraznému nárůstu počtu Kaspersky Lab soubor antivirových odhalení adware programů a komponent, které se aktivně podílejí na šíření těchto programů a vyhnout detekci antivirový.

Země, kde se uživatelé čelí nejvyšší riziko lokální infekce

Země * % Unikátních uživatelů **
1 Vietnam 61,89%
2 Bangladéš 55,01%
3 Mongolsko 54,13%
4 Nepál 53.08%
5 Alžírsko 51,71%
6 Kambodža 51,26%
7 Afghánistán 50,59%
8 Laos 50,55%
9 Jemen 50,38%
10 Pákistán 50,35%
11 Egypt 49,65%
12 Indie 49,44%
13 Irák 49,33%
14 Írán 48,85%
15 Etiopie 47,87%
16 Myanmar 46,71%
17 Srí Lanka 46,67%
18 Sýrie 46,24%
19 Katar 46,03%
20 Tunisko 45,36%
Tyto statistiky jsou založeny na zjišťování rozsudky vrácených antivirovým modulem, obdržel od uživatelů produktů společnosti Kaspersky Lab, kteří souhlasili, aby jejich statistických údajů. Údaje zahrnují detekci škodlivých programů se nachází na počítačích uživatelů nebo na vyměnitelné médium připojené k počítači, jako jsou flash disky, fotoaparát a paměťové karty, telefon nebo externí pevné disky.

* Při výpočtu jsme vyřadili zemích, kde existují méně než 10.000 uživatelů Kaspersky Lab.
** Podíl unikátních uživatelů v zemi s počítači, které blokované místní hrozby jako podíl z celkového počtu unikátních uživatelů produktů společnosti Kaspersky Lab.

Top 20 v této kategorii i nadále dominují země v Africe, na Středním východě a jihovýchodní Asii. Vietnam na prvním místě, stejně jako tomu bylo ve 2. čtvrtletí 2014 (61,89%).

Mongolsko (54,13%), přesunula dolů o jeden krok na třetí místo, ustupuje do Bangladéše, které umístila na druhém místě s 55,01% unikátních uživatelů v zemi s počítači, které zablokovali místní hrozby.

Katar (46,03%), byl Q3 je nováčkem. Myanmar (46,71%) a Srí Lanka (46,67%), vstoupila do Top 20, zatímco Saúdská Arábie, Turecko a Džibuti opustil hodnocení.

Ve třetím čtvrtletí roku 2014 místních hrozeb byly zjištěny na 44,4% počítačů v Rusku.

Země, kde se uživatelé čelí nejvyšší riziko lokální infekce

Nejbezpečnějších zemí, pokud jde o místní rizika infekce jsou: Japonsko (15%), Švédsku (16,4%), Dánsko (16,5%), Finsko (18%), a Singapur (19,7%).

V průměru 37,2% počítačů čelí alespoň jednu místní hrozbu během čtvrtletí, což je o 4,4 procentního bodu více než ve 2. čtvrtletí 2014.


IAB vyzývá designérům šifrování Výchozí
18.11.2014 Bezpečnost

Internet Architecture Board, orgán odpovědný za dohled nad strukturu mnoha klíčových norem internetu je, doporučil, že šifrování je výchozí možnost provozu pro protokoly. Doporučení přichází po více než 18 měsících odhaleními o všudypřítomné dozorových činností on-line zpravodajských agentur.

IAB je součástí Internet Engineering Task Force, těla, které stanovuje technické normy pro globální síti. Je zodpovědný za dohled nad architekturu procesu IETF a rada ve svém prohlášení, že je zřejmé, že možnosti útočníků vzrostl dramaticky v posledním desetiletí a půl, takže všudypřítomné Šifrování nutnost.

"IAB nyní domnívá, že je důležité pro projektanty protokolu, vývojáři a provozovateli, aby Šifrování normu pro internetový provoz," prohlášení říká. " Doporučujeme, aby šifrování být rozmístěny po celém zásobníku protokolu, protože tam není jediné místo v zásobníku, kde všechny druhy komunikace mohou být chráněna.

"IAB vyzývá designéry protokolu k návrhu na důvěrné provozu ve výchozím nastavení. Důrazně doporučujeme vývojářům zahrnout šifrování v jejich realizaci, a tak, aby byly zašifrovány ve výchozím nastavení. Podobně vyzývaly operátory sítí a služeb nasadit šifrování, kde ještě není v terénu, a naléhavě žádáme správce zásad brány firewall povolit šifrovaný provoz. "

Prohlášení IAB je přímou reakcí na události z posledních dvou let a zjevení od Edward Snowden masivního dohledu NSA na internetu. Internetové společnosti a dodavatelů technologií reagovali na odhalení NSA zvýšením jejich použití šifrování, zejména pokud jde o spojení mezi datovými centry. Ale Internet sám o sobě nebyl navržen s ohledem na bezpečnost. Spíše, otevřenost a interoperabilita jsou hlavní cíle návrhářů sítě.

IAB se domnívá, že všudypřítomná šifrování může pomoci řešit nedostatky původního návrhu a chrání uživatele před útočníky a dohledu.

"Věříme, že každý z těchto změn pomůže obnovit uživatelé důvěry musí být na internetu. Jsme si vědomi, že to bude nějakou dobu trvat a problémy, ale věříme, že nedávné úspěchy v doručování obsahu sítě, zprávy a nasazení aplikace Internet demonstrovat proveditelnost této migrace. Také jsme si vědomi, že mnoho síťových operací činností dnes, od řízení provozu a detekce narušení prevence nevyžádané pošty a prosazování politiky, předpokládá, přístup k formě prostého textu náklad. Pro mnohé z těchto činností nejsou k dispozici žádné řešení zatím, ale IAB bude pracovat s postiženým na podporu rozvoje nových postupů pro tyto činnosti, které nám umožní přejít na Internetu, kde je provoz důvěrné implicitně, "říká IAB prohlášení.

- See more at: http://threatpost.com/iab-urges-designers-to-make-encryption-the-default/109404#sthash.I0UMR0PV.dpuf


Stuxnet: Bez oběti

17.11.2014 Viry
Totožnost společností, na něž se první známý kybernetické zbraně

By skvěle na11. listopadu 2014 11:30
PUBLIKACE

BOTNETY CYBER ​​ŠPIONÁŽ KYBERNETICKÉ ZBRANĚ STUXNET CÍLENÝCH ÚTOKŮ ZRANITELNÁ MÍSTA A VYUŽÍVÁ
Cyber-sabotážní operace Stuxnet zůstává jedním z nejoblíbenějších diskusních témat bezpečnostních výzkumníků všude. Zvažoval první známý kybernetické zbraně, Stuxnet zaměřena na íránský jaderný program pomocí jemné a dobře navržený mechanismus.

Pro pozadí, viz naše předchozí zprávy o Stuxnet sága:

Den Stuxnet zemřel
Myrtus a Guava: Episode 1
Myrtus a Guava: Episode 2
Myrtus a Guava, Episode 3
Myrtus a Guava, Episode 4
Myrtus a Guava: Episode 5
Myrtus a Guava, Episode MS10-061
Myrtus a Guava: epidemie, trendy, čísla
Zpět na Stuxnet: The Missing Link
Jedním z důvodů, proč se k tomuto tématu Stuxnet je publikace (11.11.2014) z knihy " Countdown to Zero Day "novinářem Kim Zetter.

great_stuxnet_01

Jsme velmi nadšeni knihu, která obsahuje nové a dosud utajované informace o Stuxnet. Některé informace je vlastně založena na rozhovorech vedených Kim Zetter se členy Kaspersky Lab je Global Research a Analysis Team. Pro doplnění knihy vydání, rozhodli jsme se rovněž zveřejní nové technické informace o některých dosud neznámých aspektů útoku Stuxnet.

I přesto, že Stuxnet byl objeven před více než čtyřmi lety, a byl podrobně studován s vydáním mnoha výzkumných prací. Stále je však není známo, jisté to, co objekt byl původně zaměřen červa. Je velmi pravděpodobné, že Stuxnet měla vliv na motory, které pohánějí obohacování uranu odstředivky. Ale tam, kde se tyto odstředivky se nachází - v závodě v Natanzu, nebo snad v Fordó? Nebo nějaké jiné místo?

Příběh nejstarší známé verze červa Stuxnet - "0,5" - je mimo rozsah tohoto příspěvku; budeme soustředit na nejznámějších variant vytvořených v letech 2009 a 2010. (Rozdíly mezi nimi jsou popsány v naší publikaci 2012 - Zpět na Stuxnet: odkaz chybí ) .

V únoru 2011, Symantec zveřejnila novou verzi svého W32.Stuxnet Dossier zprávě . Po analýze více než 3000 soubory červa, Symantec zjistila, že Stuxnet byl distribuován prostřednictvím pěti organizací , z nichž někteří byli napadeni dvakrát - v letech 2009 a 2010.

Screenshot ze zprávy společnosti Symantec

Screenshot ze zprávy společnosti Symantec

Odborníci společnosti Symantec se podařilo extrahovat tyto informace kvůli zvědavý rys červa. Při napadení nového počítače, Stuxnet ukládá informace o názvu infikovaného systému, Windows domény a IP adresu. Tyto informace jsou uloženy v interní deníku červa a je rozšířen o nové údaje, kdy je další obětí nakažený. V důsledku toho, informace o dráze, kterou urazí šnekem se nachází uvnitř Stuxnet vzorků a použity ke stanovení, ze kterého počítač infekce začala šířit.

Příklad informací naleznete v souboru Stuxnet

Příklad informací naleznete v souboru Stuxnet

I když Symantec nezveřejnila jména organizací ve své zprávě, tato informace je zásadní pro správné pochopení toho, jak byla rozdělena červ.

Shromáždili jsme Stuxnet souborů po dobu dvou let. Po analýze více než 2000 těchto souborů, jsme byli schopni identifikovat organizace, které byly prvními oběťmi červa různých variantách v letech 2009 a 2010. Možná, že analýza jejich aktivity může vysvětlit, proč se staly "pacienti nula" (originál, nebo nula, oběti).

"Doména"

Verze Stuxnet 2009 (budeme odkazovat na to, jak Stuxnet.a) byl vytvořen na 22. června 2009. Tato informace je přítomen v těle červa - v podobě hlavního modulu datem kompilace. Jen pár hodin po tom, červ napaden svůj první počítač. Takový krátký časový interval mezi vytvořením souboru a infikování první počítač téměř úplně vylučuje infekci přes USB - z USB klíčenky prostě nemůže splnily od autorů červa k organizaci pod útokem v tak krátkém čase.

Infikovaný počítač měl název "KASPERSKY", a to byl součástí domény "ISIE".

great_stuxnet_04

Když jsme poprvé viděli název počítače, byli jsme velmi překvapilo. Název by mohl znamenat, že počáteční infekce postihlo některé serveru pojmenovaná po naší anti-malware řešení instalované na to. Nicméně, jméno lokální domény, ISIE, nám poskytl s trochou informací, které by mohly pomoci k určení organizace skutečné jméno.

Za předpokladu, že oběť byla umístěna v Íránu, jsme se domníval, že by to mohlo být v íránské společnosti průmyslových inženýrů (ISIE) nebo organizace přidružená s tím, íránské Institutu průmyslového inženýrství ( IIIE ). Ale mohlo to být nějaký jiný ISIE se nachází v nějakém jiném, než Írán místě? Vzhledem k tomu, že náš anti-malware řešení bylo použito v infikovaném počítači, jsme zvažovali možnost, že ISIE mohl být i ruská společnost.

Trvalo nám dlouho, než zjistit, co organizace to opravdu bylo, ale nakonec se nám podařilo identifikovat s vysokou mírou jistoty.

Nazývá se Foolad Technic Engineering Co ( FIECO ). Je to íránská společnost se sídlem v Isfahánu. Společnost vytváří automatizované systémy pro íránské průmyslových objektů (většinou ty, které vyrábí ocel a energie), a má více než 300 zaměstnanců.

Screenshot z webových stránek společnosti

Screenshot z webových stránek společnosti

Společnost se přímo podílí na průmyslových řídicích systémů.

- Provádění lavice měřítku a pilotních projektů, jako jsou údaje o
komunikaci mezi PLC existující v rostlině a vzdáleného místa
přes internet, vymezením domovskou stránku na (sdělení Processor) CP
kartu připojenou k S7 CPU.
- Implementace různé síťové struktury, jako interface, Profibus
DP, Ethernet, MPI, Profibus PA v elektronických a lehkých komunikačních kanálů.
Je zřejmé, že společnost má k dispozici údaje, výkresy a plány pro mnoho íránských největších průmyslových podniků na své síti. Je třeba mít na paměti, že kromě ovlivňujících motorů, Stuxnet součástí funkčnost špionáže a shromažďují informace o STEP, které najdete v infikovaných systémech 7 projektů.

V roce 2010, to samé organizace byla napadena znovu - tentokrát s použitím třetí verze Stuxnet, vytvořený 14. dubna 2010. Dne 26. dubna ve stejném počítači, jako v roce 2009 - "KASPERSKY.ISIE" - byl znovu napaden.

great_stuxnet_06

Tento vytrvalost ze strany tvůrců Stuxnet může znamenat, že se považují Foolad Technic ENGINEERING CO . nejen jako jeden z nejkratších cest k cíli závěrečné červa, ale jako mimořádně zajímavý objekt pro sběr dat o íránské odvětví.

"Doména B"

Ještě jedna organizace byla napadena vícekrát - jednou v roce 2009 a dvakrát v roce 2010. V podstatě, každý ze tří variant Stuxnet byl použit k infekci tohoto cíle. V tomto případě, že útočníci byli ještě přetrvávající než v případě Foolad technické Engineering Co.

Je třeba poznamenat, že právě tato oběť, že pacient byl nulový v roce 2010 globální epidemii . Infekce této organizace v průběhu druhého útoku (březen 2010) vedl k co nejširší distribuci Stuxnet - první v Íránu, a pak po celém světě. Kupodivu, když se tentýž organizace napaden v červnu 2009 av květnu 2010 červ stěží šíří vůbec. Sdílíme své myšlenky o důvodech, které níže.

Vezměte nejrozšířenější variantu - Stuxnet 2010 (aka Stuxnet.b). To byl sestaven na 1. března 2010. První infekce se konal o tři týdny později - 23. března.

great_stuxnet_07

Kromě názvu počítače a název domény, Stuxnet zaznamenala řadu IP zařízení. Skutečnost, že adresa změnila 29. března, m ay naznačují, i když nepřímo, že se jednalo o přenosný počítač, který připojen k lokální síti společnosti jednou za čas.

Ale to, co společnost je to? Doménové jméno - "behpajooh" - nám okamžitě dává odpověď: Behpajooh Co. elektro & Comp. Engineering .

Stejně jako Foolad Technic, se tato společnost se sídlem v Isfahánu, a to také vyvíjí systémů průmyslové automatizace. Je jasné, že se také zabývá SCADA / odborníky zde PLC.

Screenshot z webových stránek společnosti

Screenshot z webových stránek společnosti

Při shromažďování informací o Behpajooh Co jsme objevili ještě jednu zvláštní věc - z roku 2006 článek publikovaný v Dubaj (Spojené arabské emiráty), noviny s názvem Khaleej Times.

great_stuxnet_09

V souladu s článkem, firma Dubaj byl obviněn z pašování bombové komponentů do Íránu. Íránský Příjemce zásilky byl také jmenován - to bylo jisté "Bejpajooh Inc" z Isfahánu.

great_stuxnet_10

Tak proč Stuxnet šíří nejaktivněji v důsledku Behpajooh infekce 03. 2010? Jsme přesvědčeni, že odpověď leží ve druhé organizace v řetězci infekcí, která začala od Behpajooh.

great_stuxnet_11

Jak obrázku výše ukazuje, dne 24.dubna 2010 Stuxnet rozšířil z firemní sítě Behpajooh do jiné sítě, která měla název domény MSCCO. Pátrání po všech možných variant nás vedly k závěru, že s největší pravděpodobností je oběť Mobarakeh Steel Company (MSC), íránský největší výrobce oceli a jeden z největších průmyslových komplexů působících v Íránu, který se nachází nedaleko od Isfahánu, kde Dvě oběti výše uvedené - Behpajooh a Foolad Technic - jsou založeny.

Stuxnet infikování průmyslový komplex, který je zjevně spojený s desítkami dalších podniků v Íránu a používá obrovské množství počítačů ve svých výrobních zařízení, způsobil řetězovou reakci, což má za následek červa šíří tisíce systémů dva nebo tři měsíce. Například analýza protokolů vyplývá, že do července 2010 se toto odvětví infekce dosáhl počítačů v ruských a běloruských firem.

"Doména С"

7. července 2009 Stuxnet 2009 zasáhnout ještě další cíl. S tím, že byl navržen tak, aby začít cestu k jeho konečnému zamýšlené poslání. Oběť Počítač byl pojmenován "applserver" (aplikační server?), Který se nachází v doméně Neda.

great_stuxnet_12

V tomto případě to bylo docela snadné identifikovat organizace obětí. Nade vší pochybnost, to bylo Neda Industrial Group , organizace, která byla uvedena na seznamu sankcí Ministerstvem spravedlnosti USA, a obviněn z nelegálního vývozu zakázaných osob do Íránu, s možnými vojenskými aplikacemi. Kompletní dokumentace této společnosti je k dispozici na íránsko Watch webu .

great_stuxnet_13

Při sledování řetěz šíření Stuxnet, jeden z oborových organizací skupiny vyvolává zvláštní zájem: "Údajně ovládající osobou Nedaye Micron Electronic Company v Teheránu, Írán a Neda zámoří Electronics LLC v Dubaji, Spojené arabské emiráty, poskytuje služby v oblasti průmyslové automatizace pro elektrárny , cement průmyslu a ropy, zemního plynu a petrochemickém odvětví, založená v polovině roku 1980 pod názvem NEDA Computer Products Incorporated jako plně soukromé akciové společnosti " .

Neda byl napaden pouze jednou, v červenci 2009, a Stuxnet nikdy neopustil této organizaci, podle infekce protokolů které máme k dispozici. Nicméně, opustit organizaci, může nebyly jeho cílem je v tomto případě. Jak bylo uvedeno výše, schopnost krást informace o STEP 7 projektů z infikovaných systémů byl předmětem zvláštního zájmu tvůrců Stuxnet.

"Doména D"

Čtvrtá oběť v roce 2009 byl infikován 7. července, ve stejný den, kdy byla Neda ohrožení. Zajímavé je, že infekce začala se serverem, pokud budeme soudit podle názvu počítače - SRV1 v doméně CGJ, stejně jako to udělal v případě Neda.

great_stuxnet_14

Takže, co je CGJ? Strávili jsme nějaký čas česání pomocí vyhledávačů a sociálních sítí, a my jsme přesvědčeni, že je prakticky Control-Gostar Jahedové Company , další Íránská společnost působící v oblasti průmyslové automatizace.

great_stuxnet_15

Control Gostar Jahedové (CGJ) (Private Joint Stock, od 1383), byla založena s cílem lokalizace průmyslových technologií automatizace a využití technické know-how a provedení výkon 30 na plný úvazek zaměstnance v kanceláři v Teheránu a více než 50 workshop personál, dosáhl vysokou kapacitu v poskytování vývojových a technických služeb.
Zaměstnavatelé Hlavním cílem v průběhu let bylo na tyto oblasti:
- Design, zadávání veřejných zakázek, stavebnictví, programování a uvedení řídicích systémů (DCS, PLC, ESD, F & G)
- Design, výroba a instalace nízkého napětí pevné a posuvné panely (využívající produkty kubických Dánsko)
- upgradu hardwaru, softwaru a optimalizaci průmyslových automatizačních systémů
- poradenské služby a základní a podrobný návrh elektrických a přístrojových systémů
- Montáž elektrických a řídící systémy
Na rozdíl od Neda Group, Control-Gostar Jahedové společnost není na seznamu sankcí. To byl pravděpodobně vybrán jako cíl, protože jeho působivé vazby spolupráci s největší íránské podniků v produkce ropy, hutnictví a energetiky zásoby.

Tato organizace byla napadena jen jednou v roce 2009, že infekce nezanechal podnikové sítě u cíle a tvoří nejmenší část všech známých Stuxnet šíření linek.

"Doména E"

Pátý a poslední "Pacient Nula" oběť stojí, když soudil podle počtu původně infikovaných systémů. Na rozdíl od všech výše uvedených případech, útok v tomto případě začal ze tří počítačů najednou, v jednom dni (11.5.2010), ale v různých časech.

Informace ze tří různých souborů Stuxnet

Informace ze tří různých souborů Stuxnet

KALASERVER, ANTIVIRUSPC, NAMADSERVER: soudě podle jména, byly alespoň dva servery zapojené v tomto případě.

Takový model infekce nás nutí prakticky jisti, že e-mail nebyl použit jako primární infekce vektoru . Šance jsou velmi malé, že infekce začala od uživatele, obdržíte e-mail, který obsahuje přílohu s zneužít.

Takže to, co je Kala? K dispozici jsou dva nejvíce pravděpodobný odpovědi na to, a my nevíme, která je ta správná. Oba jsou o společnostech zasažených sankce a přímo související s íránským jaderným programem.

No, jednou z možností by mohlo být Kala Naft . Dokumentace pro tuto společnost je k dispozici na Írán Watch webu .

Nicméně, Kala Electric (aka Kalaye Electric Co .), vypadá jako nejpravděpodobnější oběti. To je ve skutečnosti ideální cíl pro útok, vzhledem k hlavní cíl Stuxnet (který je k tomu, aby obohacování uranu odstředivky nefunkčních), dostupné informace o íránském jaderném programu, a logika šíření červa.

Ze všech ostatních společností, Kala Electric je jmenován jako hlavní výrobce íránských centrifug na obohacování uranu, IR-1.

Společnost nemá internetové stránky, ale existuje celá řada k dispozici informace o své činnosti informace: to je jeden z klíčových staveb v rámci celé íránského jaderného programu.

great_stuxnet_17

Také docela Podrobnější informace jsou k dispozici na ISIS ( Institutu pro vědu a mezinárodní bezpečnost ) místo u www.isisnucleariran.org .

Na íránské revidovaném prohlášení o tomto webu základě původně Kalaye Electric byla soukromá společnost, která koupila organizace pro atomovou energii Íránu (AEOI). Název "Kalaye Electric" znamená "elektrické zboží," což znamená, že Írán ponechala původní název pomoci zakrýt skutečný účel zařízení.
Írán prohlásil, že Kalaye Electric se stal primární IR-1 Vývoj a testování centrifuga místo poté, co taková práce byla přesunuta v roce 1995 jaderný výzkum v Teheránu Center. MAAE oznámila, že v letech 1997 a 2002, Írán sestaven a testován IR-1 odstředivek na Kalaye
Vzhledem k tomu, pohybující se mnoho odstředivka výzkumné a vývojové činnosti Pilot paliva závodem na obohacování uranu (jaderného komplexu PFEP) v Natanzu, Kalaye Electric zůstává důležitým místem odstředivka na výzkum a vývoj.
Satelitní snímky Kala elektrických provozních zařízení jsou rovněž k dispozici; ty jsou považovány za místo, kde se vyvinul a otestoval centrifugy.

Zdroj: http://www.isisnucleariran.org/sites/detail/kalaye/

Zdroj: http://www.isisnucleariran.org/sites/detail/kalaye/

Tak se zdá, docela rozumné, že tato organizace všech ostatních byl vybrán jako první článek v řetězci infekce má zajistit šnek, aby se jeho konečnému cíli. Ve skutečnosti je s podivem, že tato organizace není mezi cíli útoků 2009.

Shrnutí

Stuxnet zůstává jedním z nejzajímavějších kousků malwaru, kdy byla vytvořena. V digitálním světě, dalo by se říci, že je cyber ekvivalent atomové útoky na Nagasaki a Hirošimu od roku 1945.

Pro Stuxnet být efektivní a proniknout do přísně střeženého zařízení, kde Írán se rozvíjí svůj jaderný program, útočníci měli těžké dilema řešit: jak propašovat škodlivý kód na místo bez přímého připojení k internetu? Zaměření některých "prestižních" společností bylo řešení, a to byl pravděpodobně úspěšná.

great_stuxnet_19

great_stuxnet_19

Bohužel, vzhledem k určité chyby nebo konstrukční nedostatky, Stuxnet začala infikovat další organizace a šíří přes internet. Útočníci ztratil kontrolu nad červa, který napadl stovky tisíc počítačů kromě svých stanovených cílů.

Samozřejmě, že je jedním z největších zbývajících otázek - Byli tam nějaký jiný malware, jako Stuxnet, nebo je to jedno-of-a-druhu experiment? Budoucnost říct s jistotou.


Rizika vyplývající z IPv6? Nejsou nikterak malá

17.11.2014 Hrozby
Při přechodu na IPv6 musí síťoví administrátoři zvážit rizika, která jim tento protokol může přinést. Přinášíme šest nejvýznamnějších.

Stále klesající počet IP adres ve verzi 4 (v severní Americe už od dubna dokonce museli přejít na tzv. krizový režim) vede k tomu, že organizace musejí začít brát zavádění IPv6 velmi vážně. Pakety IPv6 začínají běžně putovat sítěmi, síťoví inženýři ale musejí být stále velmi opatrní z důvodu přetrvávajících problémů se zabezpečením.

Přinášíme informace o šesti hlavních bezpečnostních rizicích v oblasti bezpečnosti sítí IPv6, jak je vybrali členové komunity 95 tisíc síťových profesionálů sítě gogoNet.

Nedostatek školení a vzdělávání v oblasti bezpečnosti IPv6.

Největším současným rizikem je nedostatek bezpečnostních znalostí o protokolu IPv6. Podniky musejí investovat čas a peníze do školení pro zabezpečení IPv6 dříve, než budou tuto technologii nasazovat. Nebo se mohou rozhodnout riskovat problémy a vynakládat později více času a peněz na odstraňování nedostatků.

Zabezpečení sítě je účinnější, pokud se s ním počítá již ve fázi plánování namísto řešení až po nasazení. Není to oblast, kterou by bylo možné ošidit.

Podle Scotta Hogga, který napsal knihu o zabezpečení IPv6 a je i technologickým ředitelem společnosti Gtri, by „se všichni bezpečnostní odborníci měli naučit IPv6 už bezprostředně, protože organizace mají ve svých prostředích operační systémy schopné pracovat s IPv6 a ten bývá obvykle povolený.“

Nezvládnutí zabezpečení systémů IPv6 je stejné jako umožnit existenci obrovských zadních vrátek, tvrdí Hogg.

Obcházení bezpečnostních zařízení pomocí nefiltrovaných a tunelovaných přenosů IPv6.

Nedostatek znalostí je větší riziko než samotné bezpečnostní produkty. Koncepčně je to jednoduché, zabezpečovací produkty musí dělat dvě věci -- rozpoznat podezřelé pakety IPv6 a dělat příslušnou kontrolu.
Zaujal vás tento článek? Přehled nejzajímavějších zpráv získáte odebíráním našeho newsletteru »

V praxi je to však téměř nemožné i u samotného protokolu v4, takže prostředí může obsahovat škodlivé nebo neznámé tunelované přenosy.

„Existuje šestnáct různých tunelovacích a přechodových metod, nemluvě o tunelování na vyšší vrstvě s využitím SSH, IPv4-IPSec, SSL/TLS a dokonce DNS,“ tvrdí Joe Klein, expert na kybernetické zabezpečení IPv6 Fora a hlavní kybernetický architekt společnosti Sra International. „Nejprve musíte vědět, co hledáte.“

V současné době používané bezpečnostní produkty, zejména ty, u kterých došlo ke konverzi z protokolu v4 na v6, nemusí být dostatečně vyzrálé, aby odpovídaly hrozbám, vůči kterým mají chránit.

3. Nedostatečná podpora IPv6 u poskytovatelů připojení k internetu a dodavatelů.

Důkladné testování bude zcela zásadní do doby, než se funkčnost a stabilita zabezpečení IPv6 dostane na stejnou úroveň jako u IPv4. Je potřeba navrhnout testovací síť a testovací plán pro testování veškerého vybavení -- zejména pro nové bezpečnostní technologie od dodavatelů.

Každá síť je jedinečná a vyžaduje jedinečný testovací plán, ale na webech lze najít určitou pomoc.

Situaci může dále komplikovat neexistence nativního připojení IPv6 od poskytovatele přístupu k internetu. Tunel připojený k vašemu rozhraní dále zvyšuje složitost zabezpečení a vytváří prostor pro útoky typu MITM (man-in-the-middle, člověk uprostřed) a DoS (denial-of-service, odepření služby).


Nová Avira ochrání mobily i PC

17.11.2014 Software
Novou verzi svého antimalwaru uvedla na náš trh firma Avira. Varianta 2015 mimo jiné rozšiřuje ochranu i pro mobilní zařízení s Androidem i iOS a rozšiřuje i webové zabezpečení.

Nová Avira má jako novinku funkci ABS (Avira Browser Safety), která zajišťuje ochranu uživatelů při procházení Internetu, a také technologii SafeSearch, která blokuje webové hrozby. V rámci procesu stažení nových produktů Avira 2015 budou mít uživatelé také možnost nainstalovat i software pro Dropbox. Díky službě Avira Protection Cloud mají platící uživatelé možnost odhalit škodlivý kód pomocí okamžité analýzy na serverech Avira. Antimalwarový engine xVDF (extended Virus Definition File) zase optimalizuje práci se soubory s virovými definicemi.

Výsledkem je podle výrobce rychlejší spouštění systému, menší velikost souborů s virovými definicemi, nižší objem stahování souborů VDF a nízké nároky produktu na systémové prostředky.

Všechny produkty Avira z řady 2015 lze instalovat na všechny počítače, tablety a mobilní telefony, které uživatel vlastní, a to z jediného místa pomocí multiplatformní aplikace Avira Online Essentials.


Technologie NFC obsahuje závažné bezpečnostní chyby

17.11.2014 Zranitelnosti
Bezpečnostní experti nalezli v mobilní platební technologii Near Field Communication (NFC) několik závažných chyb, díky kterým by útočníci mohli získat data z telefonů nic netušících uživatelů.

Technologie NFC, kterou podporuje řada nových smartphonů, umožňuje lidem platit za zboží a služby pomocí mobilního zařízení pouhým přiložením k platebnímu terminálu (podobně jako třeba při placení bezkontaktní kartou).

Bezpečnostní experti však nyní na soutěži Mobile Pwn2Own, již v Tokiu uspořádala americká společnost Hewlett-Packard, ukázali v NFC závažné chyby, jejichž chybou by se potenciální útočníci mohli jednoduše dostat k datům uloženým na mobilních zařízeních.

Na Mobile Pwn2Own se experti a hackeři z celého světa pokoušeli o prolomení bezpečnostních systémů u různých mobilních telefonů, mezi něž patřily například iPhone 5S, BlackBerry Z30, Amazon Fire Phone či Google Nexus 7.

Účastníci soutěže, kterým se podařilo pomocí nalezených chyb získat přístup k datům na těchto zařízeních, si mezi sebe nakonec rozdělili 425 tisíc dolarů (v přepočtu devět milionů korun). Pravidlo bylo pouze jediné: podniknout do třiceti minut úspěšný útok s využitím dříve neznámé bezpečnostní díry. V první den soutěže se pěti týmům podařilo ovládnout pět různých zařízení. Tři týmy zneužily díru v NFC, díky níž hackeři získali přímý přístup k datům uloženým na telefonech. Další dva útoky byly provedeny skrze mobilní webové prohlížeče. Útočníci dokázali ovládnout Apple iPhone 5S, Samsung Galady 5, LG Nexus 5 i Amazon Fire Phone.

Podrobné informace o zneužitých chybách byly předány tvůrcům příslušných technologií. Následně hackeři data zpřístupní i veřejnosti.


Po webu se šíří nebezpečné maily, vydávají se za vzkaz od pošty

13.11.2014 Spam
Po internetu se začaly znovu šířit podvodné e-maily, které se vydávají za zprávy od České pošty. Mohou do počítače stáhnout škodlivé programy a zneužít citlivá data. Oznámila to ve čtvrtek Česká pošta. Podvodné e-maily jsou psány ve formě "Informace o Vaší zásilce", kde najde klient údaje o nedodání zásilky a odkaz pro stažení informací o zásilce, který již vede na podvodnou webovou stránku. Na obdržení podvodného e-mailu si podle mluvčí pošty Marty Selicharové stěžovalo již přes sto uživatelů.  Zprávy jsou rozesílány z adres support@cs-post.net, tracktrace@cs-post.net, cpost@cs-post.net, post@cs-post.net, zasilka@cs-post.net a pravděpodobně i některých dalších.

„Žádáme naše klienty, aby v žádném případě v podvodném e-mailu na žádné odkazy neklikali, ani na e-maily neodpovídali. Pokud tak klient učiní, je přesměrován na podvodné webové stránky a do počítače se mu může stáhnout škodlivý kód a případně může dojít i k zneužití dat klienta, včetně osobních a přístupových údajů," dodala mluvčí.

Podezřelé zprávy mají uživatelé přeposlat na adresu info@cpost.cz.

Podobné útoky se šířily v několika vlnách letos i v minulém roce. Pošta kvůli nim podala trestní oznámení na neznámého pachatele.


Nebezpečné bezkontaktní karty Visa

12.11.2014 Hrozby
Experti z Newcastle University ve Velké Británii objevili způsob, jak kvůli bezpečnostní chybě u bezkontaktních platebních karet Visa, ukrást cizím lidem během několika sekund až miliony korun.

Bezkontaktní platební karty používají k bezpečným transakcím, při nichž není třeba vkládat kartu do speciální čtečky, kryptoprocesor a technologii RFID. Jako platební kartu lze v dnešní době použít také mobilní zařízení podporující technologii NFC.

V závislosti na zemi však existují různá omezení. Například ve Velké Británii lze pomocí bezkontaktních platebních karet bez nutnosti zadávat PIN kód provést transakce do dvaceti liber (700 Kč), přičemž v České republice bývá limit typicky nastaven na 500 Kč.

Podle nově zveřejněných informací však hackeři mohou díky zneužití chyby v platebním protokolu z cizí bezkontaktní karty na vlastní platební účet převést až 999,999,99 dolarů, tedy v přepočtu přes dvacet milionů korun.

Experti zveřejnili podrobnosti o možném útoku ve středu na konferenci ACM Conference on Computer and Communications Security. Celý útok je založen na podvodném terminálu běžícím na mobilním zařízení, který může být přednastaven na přijetí vysokého finančního obnosu - maximálně již zmíněných 999,999,99 dolarů v jakékoli měně.

„S pouhým jedním mobilním telefonem jsme vytvořili simulaci terminálu, který uměl číst karty umístěné v peněžence jejich vlastníka,“ uvedl hlavní expert z Newcastle University, který na projektu pracoval, Martin Emms. „Všechny bezpečnostní kontroly jsou prováděny na samotné kartě, nikoli na terminálu, takže v průběhu transakce neexistuje nic, co by mohlo vzbudit nějaké podezření.“

„Stačí přednastavit obnos, který chcete převést a následně přejet svým telefonem okolo peněženky cizího člověka a transakce se provede. V našich testech trvalo schválení celé transakce méně než jednu sekundu,“ dodal Emms s poukazem na to, že netestovali, jak budou bezpečnostní systémy Visy reagovat na náhlé platby přicházející v cizí měně a zda budou označeny za podvodné.

I když by systémy Visy podvodné transakce vyšších obnosů pravděpodobně zachytily, podle expertů by zločinci bezpečností opatření nejspíše obešli provedením stovek tisíc podvodných transakcí v menších částkách.

„V našem výzkumu jsme objevili opravdovou díru v platebním protokolu, kterou útočníci jistě uvítají,“ řekl Emms.

Visa Europe v prohlášení pro BBC uvedla, že „zjištění (expertů z univerzity v Newcastlu) byla prověřena“ a výzkum „nebere v potaz několik vstev zabezpečení, které jsou v našem systému integrovány“. Mluvčí společnosti pak dodal, že „tento typ transakce by mimo zkušební prostředí v laboratořích univerzity bylo velmi těžké provést“.

Visa Europe navíc údajně v současné době pracuje na úpravě svého bezpečnostního systému tak, aby více transakcí platebních karet bylo autorizováno online, díky čemuž by popsaný útok v budoucnu bylo ještě těžší provést.


iOS Trojan WireLurker: statistiky a nové informace

11.11.2014 Viry
V poslední době se objevily zprávy o zajímavém útoku, při kterém útočníci infikují iPhone a Mac OSX s poněkud zvláštním malware daboval WireLurker. Můžete si najít důkladnou papír z Palo Alto zde . Za prvé, je důležité si uvědomit, že všichni uživatelé Kaspersky Lab jsou chráněny proti této hrozbě. Tyto škodlivé soubory používané WireLurker jsou označeny našich výrobků s následujícími názvy detekce:

Mac OS X:
Trojan-Downloader.OSX.WireLurker.a
Trojan-Downloader.OSX.WireLurker.b
Trojan.OSX.WireLurker.a
Apple iOS:
Trojan-Spy.IphoneOS.WireLurker.a
Trojan-Spy.IphoneOS.WireLurker.b
Windows:
Trojan.Win32.Wirelurker.a
Naše senzory pozorovány připojení ke škodlivému serveru C & C se sídlem v Hong Kongu v červenci 2014. To pokračovalo v průběhu následujících měsíců, i když objem zůstává nízký.

Zajímavé je, že diskuse o různých on-line fóra o tomto tématu se objevily na počátku tohoto roku, a to zejména v čínštině a korejštině, ale také na některých anglických zdrojů:

Screen Shot 2014-11-06 v 5.38.17 PM

14. července někdo jménem SirBlanton stěžoval na čínské mluvení BBS:

Screen Shot 2014-11-06 v 5.40.05 PM

Překlad:

maiyadi_inf

Diskuse Výše ​​stalo "bbs.maiyadi.com", což je zajímavé, protože jiný subdoména na "maiyadi.com" je používán malware jako C a C (viz níže).

Dokonce dříve, 29. května diskuze v Koreji uvedených abnormální chování Mac OS X infikované touto hrozbou:

Screen Shot 2014-11-06 v 5.42.21 PM

Zajímavé je, že Mac OS X a Apple iOS nejsou jediné platformy, jehož prostřednictvím byly vypěstované tyto útoky. Včera náš přítel Jaime Blasco z Alienvault objevil nebezpečný nástroj, Win32, který zřejmě souvisí.

Modul WireLurker Windows

Název souboru: 万能 视频 播放 器 2.21.exe md5: fb4756b924c5943cdb73f5aec0cb7b14

1

Win32 WireLurker modul

Soubor se zdá být sestavena v března 2014 za předpokladu, že časové razítko se nemění:

2

Full metadata soubor:

Machine Type : Intel 386 or later, and compatibles
Time Stamp : 2014:03:13 03:56:21-04:00
PE Type : PE32
Linker Version : 10.0
Code Size : 721920
Initialized Data Size : 1364480
Uninitialized Data Size : 0
Entry Point : 0xafb86
OS Version : 5.1
Image Version : 0.0
Subsystem Version : 5.1
Subsystem : Windows GUI
File Version Number : 1.0.0.1
Product Version Number : 1.0.0.1
File Flags Mask : 0x003f
File Flags : (none)
File OS : Windows NT 32-bit
Object File Type : Executable application
File Subtype : 0
Language Code : Chinese (Simplified)
Character Set : Unicode
File Description : 绿色IPA安装器
File Version : 1.0.0.1
Internal Name : 绿色IPA安装器.exe
Original Filename : 绿色IPA安装器.exe
Product Name : 绿色IPA安装器
Product Version : 1.0.0.1
Interní název souboru je " 绿色IPA安装器 ", který v překladu do angličtiny, znamená Green NPP instalátor . To má být aplikace instalovat IPA soubory na zařízeních se systémem iOS.

Zajímavé je, že obsahuje debug cesta, která odhaluje informace o sestavení:

E: \ lifei \ libimobiledevice-win32-master_last \ Release \ appinstaller.pdb
Aplikace obsahuje dva IPA (Apple aplikace archivy) uvnitř, jeden s názvem "AVPlayer" a jeden s názvem "Aplikace".
AVPlayer.app se zdá být legimitated iOS aplikace, který je používán útočníky jako návnadu.

(Ikona) obraz aplikace lze vidět níže:

4

Zobrazí se okno "důvěryhodně" aplikace byly autorem populární vývojář jít za rukojeť "teiron@25pp.com".

234

Druhý IPA je mnohem zajímavější. 001Zdá se, že byly vytvořeny března 2014. "Aplikace" komunikuje s dobře známé "comeinbaby com [.]": 002sfbase.dylib část komunikuje s jiným C & C: 003Abych to shrnul, je popsáno aplikace Win32 zde umožňuje instalaci zmíněného iOS nákladu na iPhone oběti. Tvůrce pravděpodobně vyvinul to jen proto, aby se ujistil, uživatelé Windows mohou také nakazit na svých zařízeních se systémem iOS.

KSN detekce
Kaspersky Security Network (KSN) je komplexní distribuované infrastruktury věnuje zpracování kybernetické související datové toky milionů dobrovolných účastníků po celém světě. Poskytuje bezpečnostní inteligenci Kaspersky Lab pro každého partnera nebo zákazníka, který je připojen k Internetu, což zajišťuje nejrychlejší reakční doba, nejnižší míry falešné pozitivity a udržení nejvyšší stupeň ochrany. Podrobný popis KSN lze nalézt zde . Níže Následující graf ukazuje detekcí WireLurker na OSX:6

Více než 60% zjištěných přicházejí z Číny, které lze očekávat.

Závěry
Tento incident je dalším připomenutím, proč používání pirátského softwaru je stále nebezpečné, bez ohledu na to, kterou platformu používáte. Stahování aplikací z neoficiálních zdrojů, jako jsou alternativní tržiště, webové stránky pro sdílení souborů nebo torrentů a jiných sítí P2P sdílení souborů, zvyšuje riziko malware infekce. V systému Mac OS X například, to je jeden z hlavních infekčních vektorů.

Potřeba ochrany proti malwaru na Mac OS X zařízení nelze přeceňovat. Není to jen to, že váš Mac OS X Stroj může nakazit, ale WireLurker nám ukázal, jak se infekce může pohybovat z vašeho počítače Mac na váš iPhone. Dobrou zprávou je: existuje spousta možností, aby si vybral z venku, včetně naší vlastní aplikace Kaspersky Internet Security pro Mac .

Jako první linii obrany, by se uživatelé systému Mac OS X zkontrolujte svůj Ochrana osobních údajů nastavení, ujistěte se, že konfigurace svého systému je optimální. Doporučujeme nastavení Gatekeeper, takže pouze aplikace stažené z Mac App Store a určená vývojářům mohou být instalovány. Více informací o Gatekeeper naleznete zde .

Ujistěte se, že se také podívat na vlastní návod pro Mac zabezpečení: 10 jednoduchých tipů pro zvýšení zabezpečení vašeho počítače Mac

To by také mělo být budíčkem pro uživatele Apple a tak si myslí, že o bezpečnost. Stejně jako Mac OS X malware rychle se vyvinul z bytí jen mýtus se stává smutnou realitou, jsme svědky iOS terčem stále častěji v poslední době - se nikdo prozatím schopny zajistit ochranu pro tuto platformu. Anti-malware prodejci stále nesmí vyvíjet ochranu pro uživatele iPhone.

Ve světle nedávných událostí, bude tato změna strategie v budoucnosti?

Indikátory kompromisu:

C & Cs:
[.] app.maiyadi com
[.] com comeinbaby
61.147.80.73
124.248.245.78

MD5s:
3fa4e5fec53dfc9fc88ced651aa858c6
5b43df4fac4cac52412126a6c604853c
88025c70d8d9cd14c00a66d3f3e07a84
9037cf29ed485dae11e22955724a00e7
a3ce6c8166eec5ae8ea059a7d49b5669
aa6fe189baa355a65e6aafac1e765f41
bc3aa0142fb15ea65de7833d65a70e36
c4264b9607a68de8b9bbbe30436f5f28
c6d95a37ba39c0fa6688d12b4260ee7d
c9841e34da270d94b35ae3f724160d5e
dca13b4ff64bcd6876c13bbb4a22f450
e03402006332a6e17c36e569178d2097
fb4756b924c5943cdb73f5aec0cb7b14


Darkhotel APT

11.11.2014 APT

Darkhotel APT - Kaspersky Lab Research
Technická příloha

Stejně jako se přikrčil Yeti , Darkhotel APT je neobvykle kalná, dlouhodobě fungující a dobře finančně herec hrozba vykazuje podivnou kombinaci vlastností.

Toto APT přesně řídí své kampaně pomocí kopí-phishing cílů s velmi pokročilými Flash zero-day exploity, které účinně obcházet nejnovější obrany Windows a Adobe, a přesto také nepřesně šíří mezi velký počet nejasných cílů s peer-to-peer šíření taktiky. Navíc, většina charakteristickým znakem této posádky je, že po dobu několika let Darkhotel APT udržuje schopnost využívat hotelové sítě k následování a hit vybraného cíle, zatímco oni cestují po celém světě. Tyto cestující jsou často špičkoví manažeři z různých oborů podnikání a outsourcing v asijsko-tichomořské oblasti. Cíle zahrnovaly ředitelé, vedoucí viceprezidenty, prodejní a marketingové ředitele a vrchní zaměstnanců VaV. Tento hotel Network Intrusion sada poskytuje útočníkům s přesným celosvětový přístup měřítku k cílům s vysokou hodnotou. Z našich pozorování, což je nejvyšší objem útočné činnosti na hotelových řetězců začala v srpnu 2010 a pokračoval do roku 2013, a my se vyšetřuje některé 2014 hotel událostí v síti.

Kromě znečišťující P2P sítě nakazit masy, ale vzít legitimitu certifikační orgány, aby dále jejich útoky. Zneužily slabě implementována digitální certifikáty k podpisu jejich malcode. Herec zneužil důvěry nejméně deset autorit tímto způsobem. V současné době jsou krádeže a re-používat jiné oprávněné osvědčení podepsat jejich většinou statické backdoor a infostealer sadu nástrojů. Jejich infrastruktura roste a zmenšuje v průběhu času, s nejednotným klinickým obrazem na nastavení. Je tak chráněna flexibilní šifrování dat a špatně bránil se slabou funkcí.

Kategorie oběti, patří tyto vertikály:

Výroba velmi velké elektronika
Investiční kapitál a private equity
Pharmaceuticals
Kosmetika a chemikálie pro výrobu offshoring a prodej
Automobilový výrobce offshoring služeb
Automobilové montáž, distribuce, prodeje a služeb
Průmyslovou základnu obrany
Vymáhání práva a vojenské služby
Nevládní organizace
O 90 procent infekcí Zdá se, že se nachází v Japonsku, na Tchaj-wanu, v Číně, Rusku a Jižní Koreji, částečně proto, že ze skupiny bezohledné šíření malware. Celkově od roku 2008, infekce počítat čísla v tisících. Mezi další zajímavé cestování cíle patří vrcholových manažerů z USA a Asie podnikání a investice v asijsko-tichomořské oblasti. Kombinace Kaspersky Security Network (KSN) detekce a velení a řízení datových služeb zaznamenaly infekce v USA, Spojených arabských emirátech, Singapuru, Kazachstánu, Jižní Koreji, na Filipínách, v Hongkongu, Indie, Indonésie, Německo, Irsko, Mexiko, Belgie, Srbsko, Libanon, Pákistán, Řecko, Itálie a další. Distribuce oběť geolocation Herec má dlouhý ocas a více významné cíle a oběti často cestovat po celém mnoha z těchto zemí. Takže změny oběť geolokační, zatímco oni cestují často.

Když výzkumníci Kaspersky Lab navštívil Darkhotel incidentů destinace s honeypot strojů neměli přitahovat Darkhotel útoky, což naznačuje, APT Působí selektivně .. Další práce prokázaly, jak opatrní tyto útočníci byli skrýt svou aktivitu - jakmile cíl byl skutečně napaden, ale odstraněna své nástroje z hotelové sítě představovat bod, zachovat skrytou stav.

Darkhotel aktivity a objekty unikly v kousky za posledních pár let, ale jsme identifikovali Darkhotel nástroje, se datuje do roku 2007. Vzhledem k jejich dostatečného množství zdrojů, pokročilé využití rozvojové úsilí a velkou, dynamickou infrastrukturu, očekáváme více Darkhotel aktivitu v nadcházejících letech. Naše zpráva Darkhotel a přílohy ukazatelů a technických detailů shromažďuje a organizuje tento APT aktivity k dnešnímu dni.


Krádeže v odlehlých bankovních systémů: Incident vyšetřování

11.11.2014 Incidenty
PUBLIKACE

BACKDOOR ELEKTRONICKÉ PLATBY FINANČNÍ MALWARE INTERNETOVÉHO BANKOVNICTVÍ KEYLOGGERY ZABEZPEČENÍ A VYUŽÍVÁ
Stále více společností se ptají Kaspersky Lab provést podrobné šetření bezpečnostních IT incidentů malware související vliv na jejich podnikání.

V tomto článku si popíšeme typický cybercriminal útok, jehož cílem je krást firemní finanční aktiva ze vzdáleného bankovního systému.

Popis incidentu

Organizace nedávno požádala Kaspersky Lab vyšetřovat incident, ke kterému došlo v podnikovém vzdáleném bankovního systému: bankovní zástupce kontaktoval účetní oddělení organizace a požádal o potvrzení platby v hodnotě 3 miliony rublů (asi US 80.000 dolar). Vyšlo najevo, že nikdo v organizaci nikdy neslyšel o této platby. Účetní byl jistý, že on nedělal, že platba; vysvětlil, že byl z jeho polední přestávce v době transakce.

Účetní používá bankovní software na svém pracovišti přípravu platební příkazy a poslat je do banky. Protokoly o tomto softwaru zaznamenal dvě podezřelé platby na stejnou adresu. První byl relativně malý zaplacení 300.000 rublů. To neznělo žádné poplašné zvony, a byla zpracována bez dotazu. Druhá platba v hodnotě 3 miliony rublů, upozornili zaměstnance u banky společnosti.

Bylo jasné, že účetní neučinila plateb sám, takže organizace podezření malware útoku. Ale jak je to možné? Byli pomocí specializovaného bankovní software s ochranou heslem. Jsou zapotřebí zvláštní soubor pro přístup ke vzdálenému bankovního systému, a banka by samo o sobě zjistit IP adresu odesílatele platby.

Vyšetřování

Hlavním cílem malware vyšetřování incidentu je přesně zhodnotit následky útoku, identifikovat každý napadeného počítače a zjistit, jak přesně malware pronikl oběti počítač (y). Organizace vliv pak může tyto informace použít k efektivnímu zmírnění slabé poškození a adres v jeho firemní bezpečnostní systém, aby se zabránilo takovým incidentům od události v budoucnu.

Během vyšetřování je také někdy možné detekovat dosud neznámého malwaru druhů a připojí svůj podpis k zabezpečení databází, která chrání ostatní uživatele od jejich budoucí dopad.

V tomto případě se obraz pevného disku z počítače Účetní byla poskytována do společnosti Kaspersky Lab Global Emergency Response Team (GERT) pro analýzu a vyšetřování.

Vzdálený přístup k pracovní ploše

Během našeho prvního průchodu analýzu pevného disku účetního znalce, jsme identifikovali upravenou verzi právního Remote Manipulator System , který umožňuje vzdálený přístup k počítači. Tento typ softwaru je často používán účetní a správce systému. Nicméně, tento program se nachází v podezřelé katalogu, měl podezřelý název ("C: \ Windows \ Dotcom \ wmiterm.exe" je příliš "týkající se systému" cesta, tak i pokročilý uživatel, je nepravděpodobné, že vůně krysu) a měl dvě úpravy, aby skryli svou činnost:

Ikona na hlavním panelu systému Windows byla skryta,
Klíč registru, kde se program uloží jeho konfigurace byla upravena: "HKLM \ SYSTEM \ Remote Manipulator System \ v4" byl změněn na "HKLM \ SYSTEM \ System \ System \ Remote \ Windows", který opět vypadá velmi podobně jako klíč registru systému na ,
Tyto změny jsou typické pro malware, takže jsme přidali podpisy tohoto programu antivirové databáze společnosti Kaspersky Lab - je detekován jako nebezpečný s výrokem "Backdoor.Win32.RMS".

Při analýze provozu Backdoor.Win32.RMS, jsme zjistili, že útočníci používali stáhnout další škodlivý program na oběti počítače, "Backdoor.Win32.Agent". (Tato detekce byla přidána do produktů Kaspersky Lab okamžitě). Že backdoor dodávané dálkové VNC (Virtual Network Computing) přístup k oběti počítače. Zajímavé je, že kód tohoto škodlivého softwaru má mnoho společného s modulem "hVNC" na Carberp Trojan. Zdrojový kód Carberp je k dispozici pro veřejný přístup.

Tak, jak se Backdoor.Win32.RMS propašovat na pracovní ploše účetního znalce?

Infikování Corporate Desktop

V databázi aplikace Microsoft Outlook, uloženy v souboru "Outlook.pst" na pevném disku, zjistili jsme, e-mail, který obsahuje přílohu s názvem "запрос ИФНС № АС-4-31339.doc" ("Federální daňová služba požádat č. AC- 4-31339.doc "). Kaspersky Lab Anti-Virus zjistil, že dokument Microsoft Office, jako nebezpečný s výrokem "Exploit.MSWord.CVE-2012 - 0158".

Mezi zločinci používají metody sociálního inženýrství: e-mail byl odeslán ve jménu ruskou Federální daňové služby, vyzval k okamžité akci, a za předpokladu, kontaktní údaje o skutečné daňové služby důstojníků.

GERT_1

"Federální Zdanění služby. Uveďte prosím všechny požadované dokumenty co nejdříve."

Účetní by jistě otevřel přílohu, která zneužije chybu zabezpečení v aplikaci Microsoft Word ke stažení samostatně rozbalení archivu ze vzdáleného serveru a pak inicializovat rozbalování. Archiv obsahoval dva soubory: "SYST.EXE", což je přejmenovaný verzi souboru archivátoru "7zip" a "SYST".

Během vybalování, zdrojový archiv zahájila archivu programu "SYST.EXE" s parametry instruktážní to rozbalit heslem chráněného archivu "SYST" pomocí zabudovaného heslo. Tento trik pomocí hesla chráněného heslem úspěšně obchází pokusy bezpečnostní software je při statickém rozbalování souboru, brání jeho detekci.

Rozbalení "SYST" vytvořila následující: soubor 'Backdoor.Win32.RMS "(které jsme již dříve zjištěný) a script' INST.CMD", který nainstalován backdoor v systému. Jedná se o skript, který zkopíruje soubory škodlivého programu je do složky "C: \ Windows \ Dotcom".

Poté, co jsme zjištěna na zadní vrátka, jsme začali chápat, jak se útočníci mohli ukrást peníze. Pokud by měl vzdálený přístup k počítači, mohou mít sami platební příkaz, a pak soubor s klíčem a IP adresu odesílatele bude legitimní. Ale my jsme ještě nevěděli, jak se zločinci dostali heslo pro přístup k bankovní software. Rozhodli jsme se podívat na keylogger programu.

Keylogger

Soubor 'Svchost.exe "přitahuje naši pozornost, který se nachází v kořenovém adresáři systémového disku. Ukázalo se, že keylogger (detekce přidána s výrokem "Trojan-Spy.Win32.Delf '); Rovněž obsahuje funkce pro řízení konfigurace Backdoor.Win32.RMS. Tato neobvyklá schopnost byla zřejmě zavedená zločinci, protože potřebovali nástroj pro řízení upraveného dálkového manipulátoru systém: oni skryté celou uživatelské rozhraní tohoto programu a použít jej pro správu konfigurace.

Také jsme zjistili, že tento keylogger byl stažen pomocí Backdoor.Win32.RMS.

Keylogger poslal protokol obsahující veškeré ukradené informace k C & C v pravidelných intervalech, a stále up-to-date kopii záznamu na pevném disku infikovaného počítače. Zjistili jsme, že bankovní heslo do hromady informací ukradli keylogger.

Bitevní plán

Po našem výzkumu jsme rekonstrukci akční plán počítačovými zloději ":

Mezi zločinci zahájil cílený útok pomocí sociálního inženýrství a Microsoft Word zranitelnost infikovat počítač účetnímu je s Backdoor.Win32.RMS.
S pomocí tohoto backdoor, že zločinci načíst další dva nebezpečné programy na oběti počítače: keylogger (Trojan-Spy.Win32.Delf) a další backdoor (Backdoor.Win32.Agent), který stanoví, vzdálený VNS přístup k oběti počítače.
Keylogger zachytil heslo ke vzdálenému bankovní účet.
Zatímco účetní byl od svého počítače, se zločinci používají Backdoor.Win32.Agent a přístup VNS k počítači spustit bankovní software jménem účetní.
Tyto zločinci používali heslo zachycuje keylogger pro vytvoření příkazu k úhradě v hodnotě 300.000 rublů a odeslat do banky.
O něco později, se vytvořil další platební příkaz, tentokrát v hodnotě 3 miliony rublů, a poslal jej do banky.
Jak jsme se dostali ke konci šetření jsme zjistili ještě další zajímavou skutečnost: IP-adresy C & C servery pro všechny škodlivých programů používaných v útoku patřil do stejné podsítě.

GERT_2

Schéma cybercriminal útoku

Také jsme zjistili, že zločinci velmi rychle jednal: trvalo jim jen čtyři dny provádět jejich plánované trestné činnosti. Tři dny strávil přípravou, a plán byl proveden během několika hodin na čtvrtý den.

Den 1. zločinci zaslán e-mail na účetní společnosti. Účetní číst e-maily, otevřel přílohu a škodlivého programu Backdoor.Win32.RMS byl stažen do svého programu. V následujících dnech se zločinci použít tento program pro sledování činnosti účetní je.

Den 4. zločinci používají Backdoor.Win32.RMS načíst keylogger Trojan-Spy.Win32.Delf oběti počítači a zachytil heslo k bankovnímu softwaru. Brzy poté naložili Backdoor.Win32.Agent a používal to, aby připojení k počítači účetního znalce. A poslali platební příkazy z obětí počítače do banky.

Oznamující obětí kybernetických zločinců "

Vzhledem k tomu, útočníci použili několik IP adres ze stejné podsíti, rozhodli jsme se blíže podívat na serveru C & C. Jak se ukázalo, že zločinci udělali chybu při konfiguraci jeden ze serverů, takže každý uživatel může vidět požadavků HTTP serverů C & C. To je, jak jsme byli schopni vystopovat IP adresy, ze kterých byly žádosti odeslané pomocí protokolu Keylogger je. Jak jsme zjistili, tam bylo několik počítačů s různými IP adres infikovaných virem keylogger.

Byl tam jeden zvláštní rys tohoto keylogger: když to bylo vypuštěno v infikovaném počítači, stáhnout nejnovější verzi svého protokolu ze serveru C & C. Proto každý uživatel mohl přečíst protokol keylogger, pokud otevřeli příslušnou URL adresu ve svém webovém prohlížeči. Rozhodli jsme se blíže na HTTP požadavků posílaných na serveru C & C, a v nich jsme našli názvy protokolů, které jsou keyloggery odeslaných na server C & C. V mnoha případech, protokoly obsahovaly název organizace, která vlastnila infikovaný počítač a "kontakty (Dalo by se také obětí obětí IP adresy pomocí zranitelnosti na serveru C & C). Tyto informace nám pomohlo kontaktovat další oběti (většina z nich byla účetní na malé a střední podniky), a varují, že jejich počítače byly infikovány. Oni byli velmi vděční za informace.

Vlastnosti bankovních útoků

Jak jsme si řekli na začátku článku, tento útok je typický případ krádeže peněz z firmy.

Počítačoví zločinci aktivně využívat sociální inženýrství vybízely uživatele k otevření souboru škodlivý.
Zaměstnanci, kteří se zabývají komerčně důležitých informací a zvládnout finanční společnosti potřebují školení o základech bezpečnosti IT. Společnost musí zavést bezpečnostní politiku, která by minimalizovala riziko zaměstnanců nedbalosti a způsobí infekci v podnikové síti.

Při útoku důležité cíle, zločinci mohou používat nové exploity pro dosud nepublikovaných zranitelnosti. V takových případech běžné detekční nástroje útoku, jako IDS, není dost dobrý.
Nicméně, 0-day exploity jsou příliš drahé pro použití v útocích na pravidelných společností. Zde obvykle vidět využije pro známé zranitelnosti. To znamená, že jednoduché kroky, jako je rychle aktualizace softwaru (zejména Microsoft Office a Java) a instalaci bezpečnostní řešení kvality může zajistit odpovídající úroveň ochrany.

Dalším rysem tohoto útoku je to, že zahrnuje právní software. Jedná se o rostoucí trend: vidíme zločinci pomocí legitimních aplikací získat vzdálený přístup k počítači oběti před stažením a spuštěním škodlivých souborů na nich.
Bezpečnostní produkty samozřejmě nebude vlajku používání legitimní software. Takže zločinci mohou používat tyto aplikace, ve snaze udržet své operace v tajnosti. V tomto útoku, tajemství bylo zajištěno pomocí verze Remote Manipulator System s úpravami do svého spustitelného souboru. Přidali jsme podpis pro tuto upravenou verzi Remote Manipulator System tak výrobky budoucí společnosti Kaspersky Lab bude detekovat.

Pokud se útočníci použít původní, nezměněné verze legitimní software, bude jediným řešením bude pro bezpečnostní systémy a upozorní uživatele pokaždé potenciálně nežádoucí program spuštěn. Všichni uživatelé, zejména ti, kteří se zabývají finanční a jiné důležité dokumenty, je třeba si uvědomit, že žádný bezpečnostní systém může poskytnout absolutní ochranu. Měli by věnovat pozornost oznámení systému a dávat pozor na jakékoli neobvyklé chování na svém počítači. Je důležité oznámit bezpečnostní pracovníci jakékoliv podezřelé události v systému.

V ideálním případě, výchozí popřít režim by měl být povolen na všech počítačích používají k provádění plateb v odlehlé bankovního systému; Tento režim omezuje přístup k Internetu a zabraňuje spuštění irelevantní, non-bílé listině software. Totéž platí pro počítače používané firemní uživatele pro práci s komerčně důležité (důležité obchodní informace).

Závěr

V těchto dnech, je hlavní hnací silou všech cybercriminal akce jsou peníze. Získání přístupu ke vzdáleným bankovních systémů je nejpřímější a přímočarý způsob, jak krást peníze z organizace. Je to trochu překvapivé, že vzdálené bankovní systémy jsou stále atraktivnější cíl pro cybercriminal útoků.

Každý, kdo používá vzdálené bankovních systémů je více než obeznámeni s bezpečnostními systémy začleněny do nich ... ale tak jsou zločinci. Použití hesel, klíčové soubory a žetony, stejně jako omezení IP přístupu, může ukolébat uživatele do falešného pocitu bezpečí.

Nicméně, žádný z těchto opatření, ať již samostatně nebo ve skupině, udělá cokoliv, aby zvýšení bezpečnosti, pokud jsou prováděny na ohrožení počítače. Na infikovaném počítači, hesla mohou být zachyceny, klíčové soubory mohou být zkopírovány. Počítačoví zločinci mohou vytvořit skrytý plochu a použít původní IP adresu a token připojen k počítači oběti.

Při vyšetřování bezpečnostních incidentů pravidelně dojít k následující situaci: škodlivý program je spuštěn na počítači, ale později se zjistí, že a odstraněn ze systému. Následně ovlivněn počítač je používán jako dříve, pokračuje a provádět bankovní operace s účetní jistý, že problém byl vyřešen.

Uživatelé si musí uvědomit, že jakmile je škodlivý program je spuštěn, počítač postiženy by měly být považovány ohrožena. První škodlivý soubor načte jen hlavní nebezpečný náklad. Že náklad se obvykle skládá z programů, které aktualizují po celou dobu uniknout detekci bezpečnostních produktů. Alternativně zločinci načíst legální software s úpravami, které umožňují zločinci se k němu připojit přes škodlivých C & C servery. V tomto případě nebudou zjištěny škodlivé programy.

S výhledem na to může způsobit obrovské škody do společnosti. Pokud byl zjištěn škodlivý program na počítači s kritickým informacím, musí být učiněna neprodleně opatření reakce na incidenty.

Je smutné, že naše zkušenosti ukazují, že organizace často bijí na poplach příliš pozdě, když už čelí finanční ztráty nebo vypnutí kritických výpočetních služeb. Kromě toho, o přijatých následných opatřeních v rámci firem obvykle ukáží být neúčinná, a často brání dalšímu vyšetřování.

Není tam žádná taková věc jako one-size-fits-all reakce na mimořádné události. Existuje příliš mnoho možných způsobů útoku venku. Například, v některých případech vypnutí počítače se okamžitě pomáhá zachovat data, která by se nevratně odstraněny škodlivým programem po určité době. V jiných situacích, když vypnutí zničí data paměti RAM, která je nezbytná pro následné vyšetřování. Pouze specialista vyšetřování incidentu může učinit správné rozhodnutí.

V každém případě, pokud existuje sebemenší podezření na vniknutí jakékoliv ohrožení by měl být počítač odpojen od Internetu a podnikové sítě a malware incidentů specialisté by měl být volán v.

Pouze detailní průzkum bezpečnostní události, může vést k účinné odpovědi.


Zmatek nad bitovými klíči SSL a 1024

10.11.2014 Hrozby
Včera a dnes, příspěvek na reddit.org způsobila docela dost nejistoty ohledně bezpečnosti 1024 bit RSA klíčů, pokud jsou použity s OpenSSL. Minulost odkázal na prezentaci dané na kryptografie konferenci s tím, že 1024 bitové SSL klíče mohou být zapracovány s mírnými prostředky ("20 minut na notebook"). To bylo navrhl, že to je alespoň z části kvůli chybě v OpenSSL, která podle postu nepodá náhodné klíče z celého dostupného prostoru.

Vypadá to spíš jako tvrzeními v prezentaci nejsou pravdivé, nebo alespoň ne tak rozšířeno podle.

Nicméně, to neznamená, že byste se měli vrátit k použití 1024 bitové klíče. 1024 bitové klíče jsou považovány za slabé, a odhaduje se, že 1024 klíče budou rozděleny snadno v blízké budoucnosti vzhledem k pokroku v oblasti výpočetní techniky, a to i pokud je nalezen žádný Výraznou slabinou algoritmu RSA a jeho provedení. NIST doporučují vyřazování 1024 bitové klíče na konci loňského roku.

Tak co byste měli dělat?

- Stop vytváření nových 1024 bitové RSA klíče. Prohlížeče začne považovat je za neplatné, a mnoho dalších softwarových komponent tak již činí, nebo budou brzy následovat vedení prohlížeče (nemyslím si, že by hlavní CA podepíše 1024 bitové klíče v tomto bodě)
- Soupis stávajících 1024 bitové klíče, které máte, a zvažte jejich výměnu.

Tam mohou být některé odpůrce. Vestavěné systémy (znovu) někdy nelze vytvořit klíče větší než 1024 bitů. V tomto případě je třeba se podívat do jiných ovládacích prvků.

S cryptograph obecně použít největší velikost klíče si můžete dovolit, SSL, jsou možnosti pro RSA klíče jsou typicky 2048 a 4096 bitů. Pokud je to možné, má 4096 bitů.

[1] https://www.reddit.com/r/crypto/comments/2i9qke/openssl_bug_allows_rsa_1024_key_factorization_in/


Belkin Router Apocalypse: heartbeat.belkin.com výpadek, přijímání routery dolů

10.11.2014 Zranitelnosti
Podle ot různých zpráv, mnoho uživatelů Belkin směrovače jsou problémy s připojením k internetu, poslední noci. Zdá se, že router bude občas ping heartbeat.belkin.com detekovat připojení k síti, ale "tep" hostitel není dostupný na některých (všech?) uživatelů. V současné době, hostitel reaguje na zprávy ICMP Echo Request, ale zdá se, že mnoho Belkin směrovače jsou stále dolů.

Jako řešení, můžete přidat položky do hostitelského souboru routerů směřující heartbeat.belkin.com na 127.0.0.1. Zdá se, že zrušení zablokování. "Blok" má vliv pouze na DNS server na zařízení. To bude cesta v pohodě. Stále můžete získat hostitelé v síti pracovat tak dlouho, jak nastavit server DNS ručně, například pomocí DNS server společnosti Google v 8.8.8.8. ,

Pro prohlášení Belkin, viz https://belkininternationalinc.statuspage.io

V tweetu, Belkin poukázala na tuto stránku na své komunitní fórum: http://community.belkin.com/t5/Wireless/Belkin-Routers-Internet-Outage/mp/5796#M1466


Pro nebo proti: Port Security for Network Access Control

10.11.2014 Analýza
Měl jsem zajímavou diskusi dnes s manipulačního kolega Manuel na klady a zápory na zabezpečení přístavu, neboť se týká Network Access Control. Myslel jsem, že by bylo zajímavé zjistit, kde ostatní v oblasti bezpečnosti stojí na danou problematiku. Je to stojí za námahu, nebo ne? Je to cenný nástroj obrany do hloubky? Zde jsou některé z argumentů pro a proti jsme se bavili:

Pro argumenty:

Zastaví ostatním, budou moci zapojit do infrastruktury, budou muset hledat najít port, který nebyl správně nakonfigurován
Může audit logů zjistit, zda prázdné porty jsou zapnuté nebo vypnuté
Může vás upozorní rychleji Rogue prostředků, které jsou zapojeny do vaší infrastruktury
Není to ideální řešení, ale měla by být součástí vaší obrany v hloubce řešení, to není chtěl být "stand alone" řešení
Proti argumenty:

Pokud fake MAC adresu hostitele, jste v
Insider / outsider hrozba je skvělé, protože listinného cenného papíru na zařízení není dobře řízen v mnoha organizacích
Musí brát v úvahu scénářů selhání, nebo můžete sami DoS
Těžko spravovat velké množství portů přepínače, aby se zajistilo, že jsou nastaveny správně za všech okolností
Takže, je bezpečnost přístavu stojí za to, nebo si mnozí z vás si bude příliš časově náročná a zisk není to skvělé? Pokud ho používáte a mají tipy pro úspěšnou realizaci, prosím, podělte se o ně, takže ostatní mohou mít prospěch. Je Cyber ​​Security Awareness Month, a to by bylo dobrou příležitostí k pomoci vzdělávat sebe na otázky jste se setkali s bezpečností přístavů, nebo jak to pomohlo ochránit vaši organizaci.


OpenSSL Vulnerability unikly přes OpenBSD patche (ne!)?

10.11.2014 Zranitelnosti
Včera, několik zpravodajských serverů publikoval spekulativní zprávy o možném OpenSSL chyba je dnes pevnou. Podle těchto zpráv, chyba ovlivňuje SSL 3 a je "kritický". Nelze čekat na oficiální oznámení, aby viděli, co se tu vlastně děje;-)

Zpočátku to vypadalo, že OpenBSD náplasti vede k odpovědi, ale ukazuje se, patch byl starý (thx pro ty, kdo napsal a odpověděl, a to zejména na základě tweetu podlemartijn_grooten). Ale místo toho, že jsou nové vede nyní, zejména diskuse o Stackexchange [1]. V této diskusi komentář Thomas Pornin nastiňuje, jak výplň SSLv3 může vést k MITM útoky. To by bylo úplně útok proti protokolu SSLv3, a méně na konkrétní implementaci. To by mělo dopad klienty, stejně jako servery.

Budeme aktualizovat tento příspěvek jak se dozvědět více. V tomto okamžiku: Nepropadejte panice a čekat na opravu od svého příslušného prodejce. Nejsme si vědomi jakéhokoliv aktivního využití tohoto problému, ale prosím, dejte nám vědět, pokud najdete jakékoliv důkazy, že se tak stane.

Pokud se rozhodnete zakázat SSLv3 na serveru, ale ponechat TLS 1.0 povolen, Windows XP s IE 6 už nebude moci připojit (ale starší verze IE budou moci připojit z počítačů se systémem Windows XP).

Jak můžete otestovat, zda server podporuje SSLv3? Buď použijte ssllabs.com, nebo pomocí openssl klienta: (je-li připojen, podporuje SSLv3)

openssl s_client -ssl3 -connect [webový server]: 443

Jak mohu zkontrolovat, zda můj prohlížeč může žít bez SSLv3? Pokud toto čtete, pak podporujete TLSv1 nebo vyšší. I vypnutá podpora SSLv3 na této stránce nyní. Ale skoro všechny prohlížeče podporují SSLv3.

Můžete nám říct, aby nepodléhali panice, ale obrátil na SSLv3? Ano. Chtěl jsem vidět, co se stane, když vypnu SSLv3. Zatím jediný problém jsem našel byl Windows XP s IE 6, konfigurace Asi nechtějí podporovat tak jako tak.

[1] http://chat.stackexchange.com/transcript/message/18152298#18152298


SSLv3 PUDL Vulnerability Oficiální zpráva

10.11.2014 Zranitelnosti
Nakonec jsme dostali oficiální oznámení. Pro všechny podrobnosti přeskočit přímo na původní oznámení [1]. Níže naleznete TL; DR; verze:

Problém je omezena na SSLv3. SSLv3 je často považována za podobnou TLSv1.0, ale tyto dva protokoly jsou různé.

SSLv3 měl problémy v minulosti. Vzpomeňte si na útok bestii? To bylo nikdy nevymizí (jiné než se stěhuje do TLS 1.1 / 2). Jedinou možností bylo použít proudová šifra RC4 jako, který měl své vlastní problémy.

Ale to PUDL problém je jiný. S blokové šifry, máme druhý problém: Co když se blok pro šifrování je příliš krátký? V tomto případě, výplň se používá dohnat chybějící údaje. Vzhledem k tomu, výplň je nelze považovat část zprávy, že se nevztahuje na MAC (Message autorizační kód), který ověřené integritu zprávy.

Takže co to znamená v reálném žít? Dopad je podobný útoku zvíře. Útočník může hrát buď MITM, nebo může být schopen dešifrovat části zprávy v případě, že útočník je schopen aplikovat data do spojení stejně jako při útoku šelmy. Útok umožňuje, aby jeden dešifrovat jeden byte v době, v případě, že útočník je schopen aplikovat zprávy hned po tom byte, které obsahují pouze polstrování.

Co byste měli udělat: Zakázat SSLv3. Neexistuje žádný patch pro to. SSLv3 dosáhla konce své životnosti a měla by být v důchodu.

To není "náplast teď". Dejte mu nějaký čas, vyzkoušet si to pečlivě, ale jít s ním. Dalším problémem je, že se jedná o klient a problém serveru. Je třeba zakázat SSLv3 buď. Začněte se servery pro největší vliv, ale pak se podívat, co můžete dělat o klienty.

Druhá možnost "opravit" tohoto problému je použití implementace SSL, které využívají funkce TLS_FALLBACK_SCSV. Tato funkce upozorní na druhou stranu, že se nejprve pokusil silnější šifru. Tímto způsobem mohou odmítnout pokus o downgrade, který může byli představeni útoku MITM. Ale není jasné, které implementace použití této funkce se v tomto bodě, a které ne. Patch pro OpenSSL 1.0.1 byla vydána dnes ráno k provedení TLS_FALLBACK_SCSV

FAQ

Chcete-li vyzkoušet, zda váš server zranitelný: Použití https://ssltest.com

Chcete-li vyzkoušet, zda váš klient je zranitelný: setup jsme zkušební stránku na https://www.poodletest.com . Pokud se můžete připojit, pak váš klient podporuje SSLv3.

Zatím jsme testovali:

Firefox 32 IE 11 Safari 7.1 Chrome 37 Opera
Windows 7 ok vuln vuln vuln
OS X 10.9.5 ok N / A vuln vuln
iOS 8.0.2 vuln N / A vuln vuln vuln
Chcete-li vypnout podporu SSLv3 v aplikaci Internet Explorer 11:

Nastavení -> Možnosti Internetu -> Upřesnit -> Zrušte zaškrtnutí políčka "SSLv3" pod položkou "Zabezpečení".


OpenSSL OpenSSL zprávy 1.0.1j, 1.0.0o a 0.9.8zc

10.11.2014 Zranitelnosti
Tato aktualizace na OpenSSL knihovny řeší čtyři chyby zabezpečení. Jedním z nich je "PUDL" zranitelnost oznámil včera.

CVE-2014-3513: nevracení paměti v analýze DTLS SRTP zpráv může vést k odmítnutí služby. Ty jsou ohroženy, pokud to konkrétně sestavil svou knihovnu OpenSSL s možností "OPENSSL_NO_SRTP". Všechny 1.0.1 verze OpenSSL jsou postiženy.

CVE-2014-3567: Další nevracení paměti, které může vést k DoS útok. V tomto případě, paměti není uvolnit, pokud jízdenka SSL relace selže kontrolu integrity. OpenSSL 0.9.8, 1.0.0 a 1.0.1 jsou ovlivněny.

CVE-2014-3566 (PUDL): OpenSSL nyní podporuje TLS_FALLBACK_SCSV zabránit MITM z devalvace připojení SSL. To má vliv na OpenSSL 1.0.1, 1.0.0 a 0.9.8.

CVE-2014-3568: "no-SSL3" stavět možnost, která je určena k zakázání SSLv3, může ve skutečnosti nefunguje tak, jak inzeroval. Tohle je samozřejmě zvláště důležité, pokud se pokusíte vypnout SSLv3.

Také OpenSSL 0.9.8 je nyní oficiálně konec životnosti. Neočekávejte žádné další opravy pro 0.9.8.


PUDL: Vypnutí SSLv3 pro různé servery a klientem.

10.11.2014 Hrozby
Než začnete: Při nastavování konfigurace SSL, měli byste také zkontrolovat pro různé jiné SSL souvisejících možností konfigurace. Dobrý obrys, lze nalézt na http://bettercrypto.org i na http://ssllabs.com (pro webové servery, zejména)

Zde jsou některé konfigurační direktivy Chcete-li vypnout podporu SSLv3 na serverech:

Apache: Přidat -SSLv3 na "SSLProtocol" linky. To by již měl obsahovat -SSLv2 pokud uvedete konkrétní protokoly.

Nginx: seznam konkrétních povoleno protokoly v "ssl_protocols" linky. Ujistěte se, že SSLv2 a SSLv3 není uveden. Například: ssl_protocols TLSv2 TLSv1.1 TLSv1.2;

Postfix: podpora Zakázat SSLv3 v konfiguračním smtpd_tls_manadatory_protocols řádek. SSLv3 smtpd_tls_mandatory_protocols = SSLv2,: například!

Dovecot: podobné, zakázat SSLv2 a SSLv3 v ssl_protocols řádku. SSLv3 ssl_protocols = SSLv2: například!

HAProxy Server: Konfigurace bind řádek by měl obsahovat ne-SSLv3 (tento řádek také uvádí povolené šifry)

loutka: viz https://github.com/stephenrjohnson/puppetmodule/commit/1adb73f9a400cb5e91c4ece1c6166fd63004f448 pokyny

Pro klienty, vypnutí SSLv3 může být trochu složitější, nebo prostě nemožné.

Google Chrome: je třeba začít Google Chrome s "--ssl-verze-min = TLS1" možnost volby.

Internet Explorer: můžete vypnout podporu SSLv3 v rozšířeném dialogu možnost internet.

Firefox: zkontrolovat "security.tls.version.min" nastavení v about: config a nastavte ji na 1. Kupodivu, v našem testování, výchozí nastavení 0 umožní SSLv3 připojení, ale odmítá se připojit k našemu serveru pouze SSLv3 ,

Pro Microsoft Windows, můžete použít zásady skupiny. Podrobnosti viz poradenství společnosti Microsoft: https://technet.microsoft.com/en-us/library/security/3009008.aspx

Chcete-li otestovat, nadále používat naši stránku "PUDL Test" na https://poodletest.com nebo stránku QUALYS SSLLabs na https://ssllabs.com

Chcete-li zjistit využití SSLv3, můžete zkusit následující filtry:

tshark / Wireshark filtry zobrazení: ssl.handshake.version == 0x0300

tcpdump filtr: (1), která tvoří variabilní TCP Length: "tcp [((tcp [12] >> 4) * 4) 9: 2] = 0x0300"
(2), za předpokladu, že délka záhlaví TCP 20: "tcp [29: 2] = 0x0300 '

Budeme mít také speciální webcast na patnáct hodin ET. Pro podrobnosti viz

https://www.sans.org/webcasts/about-poodle-99032

On-line přenos bude pravděpodobně trvat 20-30 minuty a shrnout upozorní na to, co zatím víme.


Více Chyby Cisco TelePresence Video Communication Server a Cisco rychlostní Software

10.11.2014 Zranitelnosti
Více Chyby Cisco TelePresence Video Communication Server a Cisco rychlostní Software
Advisory ID: cisco-sa-20141015-VCS Cisco TelePresence Video Communication Server (VCS) a Cisco dálnice Software obsahuje následující chyby zabezpečení: • Cisco TelePresence VCS a Cisco dálnice Crafted balíčky Denial of Service Vulnerability • Cisco TelePresence VCS a Cisco dálnice SIP IX Filtr Denial of zabezpečení služby • Cisco TelePresence VCS a Cisco dálnice SIP Denial of Service zranitelnosti úspěšné využití některé z těchto chyb zabezpečení by mohla umožnit neověřenému vzdálenému útočníkovi způsobit reload postiženého systému , což může mít za následek odmítnutí služby (DoS) stavu. Cisco vydala bezplatné aktualizace softwaru, které se zaměřují na tyto chyby. Řešení, která zmírňují tyto chyby nejsou k dispozici. Tento poradní je k dispozici na následujícím odkazu: http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20141015-vcs Poznámka: Tento informační zpravodaj zabezpečení neposkytuje informace o GNU Bash proměnné prostředí Command Injekce Chyba (také známý jako Shellshock). Další informace o produktech společnosti Cisco postižených touto chybou, viz Upozornění Cisco Security na následujícím odkazu: http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140926-bash


Cisco Security Advisory: SSL Padding Oracle On přeřazena Legacy Encryption (pudl) se chyby zabezpečení

10.11.2014 Zranitelnosti

Poradní ID: cisco-sa-20141015-pudl revize 1.0 Pro veřejné vydání 2014 15.října 17:30 UTC (GMT) + ------------------------ --------------------------------------------- Shrnutí + === === 14. října 2014 chyba zabezpečení byla veřejně oznámena ve verzi Secure Sockets Layer 3 protokolu (SSLv3), při použití blokové šifry v režimu Cipher Block Chaining (CBC). SSLv3 je kryptografický protokol navržen tak, aby komunikační bezpečnosti, která byla nahrazena Transport Layer Security (TLS) protokoly. Tím, že využívá tuto chybu zabezpečení, by útočník mohl dešifrovat podmnožinu šifrované komunikace. Tento poradní je k dispozici na následujícím odkazu: http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20141015-poodle


Logování SSL
10.11.2014 Hrozby

S pudl "za námi", je čas se připravit na příští SSL požární cvičení. Jednou z otázek, které stále přicházejí, je, které šifry a verze SSL / TLS jsou skutečně používány. Pokud se rozhodnete vypnout SSLv3, nebo ne, závisí hodně na to, kdo ji potřebuje, a to je důležité, odpověď mít připraven by měl zítra nějaký jiný kód se ukáže, že je příliš slabý.

Ale mějte na paměti, že to není jen čísla, která záleží. Také je potřeba zjistit, kdo jsou odlehlé hodnoty a jak důležité (nebo nebezpečné?) Jsou. Tak jako dobrý začátek, zkuste se přijít na to, jak se přihlásit SSL / TLS verze a šifry. Existuje několik možností, jak toho dosáhnout:

V Apache, můžete se přihlásit na verzi protokolu a šifru snadno přihlášení příslušnou proměnnou prostředí [1]. Například: CustomLog logs / ssl_request_log "% t% h \" {User-agent} i \ "% {SSL_PROTOCOL} x {% SSL_CIPHER} x"

Protokoly SSL protokol a kód. Můžete přidávat obsah ke stávajícímu protokolu přístupů, nebo vytvořit nový protokol. Rozhodnete-li se přihlásit do své vlastní protokolu, doporučuji vám přidat User-Agent a IP adresy (stejně jako časové razítko).

V Nginx, můžete udělat totéž přidáním $ ssl_cipher $ ssl_protocol směrnice o log_format v konfiguraci Nginx. Například:

log_format ssl '' $ REMOTE_ADDR "$ HTTP_USER_AGENT" $ ssl_cipher $ ssl_protocol

By vám podobný výsledek jako u apache výše.

Máte-li paket sniffer na místě, můžete také použít tshark extrahovat data. S t-žralok, můžete skutečně dostat kousek dál. Můžete se přihlásit do klientského pozdrav s tím, co šifry navrhované klient a server Dobrý den, v němž uvede, co šifra server vybral.

tshark -r ssl -2R "ssl.handshake.type == 2 nebo ssl.handshake.type == 1 '-T pole -e ssl.handshake.type -e ssl.record.version -e ssl.handshake.version - e ssl.handshake.ciphersuite

Pro "kreditu navíc" log název hostitele požadované v klientském ahoj pomocí SNI a porovnat jej s skutečném názvu hostitele klient připojí k.

Nyní si můžete nejen sbírat "skutečné údaje", do jaké šifry jsou potřeba, ale můžete se také podívat na anomálie. Například user agent to, že žádost velmi odlišné kódy pak další spojení, která tvrdí, že pocházejí ze stejného uživatelského agenta. Nebo kdo žádá o slabých šifer? Možná, že to znamení pro downgrade útoku SSL? Nebo útok používání nástroje a starší SSL knihovny ...

[1] http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#logformats[2]


Aktualizace Microsoft MSRT říjen

10.11.2014 Zranitelnosti
Minulý týden Microsoft MSRT tlak obsahuje detekcí / Stěhování několik používaných APT nástrojů. Koalice (v čele s Novetta ), která přinesla zahrnutí těchto nástrojů v tomto měsíci MSRT, jsou povzbudivé podniky tlačit / spustit tento měsíc MSRT aktualizace. Některé malware obsažené v tomto měsíci MSRT aktualizace jsou předběžná zpráva zveřejněny zde .

Pokud používáte buď Snort nebo SourceFire, ruleID detekovat některé z hrozeb / rodiny v tomto měsíci MSRT tiskové zprávě jsou uvedeny níže a mohou být staženy z Snort nebo Sourcefire VRT předplatného.

Derusbi - 20080
Fexel - 29459
Hikit - 30948
DeputyDog - 28493
Hydraq - 16368, 21304
Darkmoon - 7816, 7815, 7814, 7813, 12715, 12724
Zxshell - 32180, 32181

[1] http://blogs.technet.com/b/mmpc/archive/2014/10/14/msrt-october-2014-hikiti.aspx
[2] http://www.microsoft.com/security/pc -Bezpečnost / malware-removal.aspx
[3] http://novetta.com/commercial/news/resources/
[4] https://www.snort.org/downloads/#rule-downloads


telnetd rulez: Cisco IronPort WSA telnetd umožňující vzdálené spuštění kódu

10.11.2014 Hacking
Obdrželi jsme následující poradní zranitelnosti pro vzdálené spuštění kódu vuln identifikovány a hlášeny v Cisco IronPort WSA telnetd.

Prodejce: Cisco Product webové stránky: http://www.cisco.com chybu verze: Cisco IronPort WSA - AsyncOS 8.0.5 pro Web vybudovat 075 Datum: 22/05/2014 Kredity: Glafkos Charalambous CVE: CVE-2.011-4.862 CVSS Skóre: 7.6 Dopad: neověřenému vzdálenému spuštění kódu se zvýšenými oprávněními Popis: Cisco IronPort WSA virtuální zařízení jsou citlivé na staré FreeBSD telnetd šifrovací klíč ID přetečení vyrovnávací paměti, která umožňuje vzdálenému útočníkovi spustit libovolný kód (CVE-2011 - 4862). Cisco WSA Virtuální přístroje jsou zranitelné ve výchozím nastavení povolena telnetd démona.
 

References:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-4862
http://www.freebsd.org/security/advisories/FreeBSD-SA-11:08.telnetd.asc
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120126-ironport

Pěkná práce Glafkos ale to, co není vidět, je mi třásl hlavou. * Povzdech *
budu opakovat prohlášení Facepalm-inspirující znovu: "Cisco WSA Virtuální přístroje jsou zranitelné ve výchozím nastavení povolena telnetd démona."
Přesto se telnet? A ve výchozím nastavení?
Od související FreeBSD poradenství: "The FreeBSD telnet daemon, telnetd (8), se provádí na straně serveru z . protokol virtuálního terminálu TELNET To bylo ve výchozím nastavení zakázána ve FreeBSD od srpna 2001 , a vzhledem k nedostatku kryptografického zabezpečení v protokolu TELNET, je důrazně doporučeno, aby protokol SSH být používán místo toho. "
 

Uvidíme, jestli to shrnuje pro vás, s laskavým svolením Glafkos: Snažím 192.168.0.160 ... . Připojení k 192.168.0.160 Znak escape je '^]'.

[+] Využití 192.168.0.160, telnetd rulez!
[+] Cílová OS - FreeBSD 8.2 amd64
[*] Užijte si shell


Digest: 23 OCT 2014

10.11.2014 Zranitelnosti
Počet položek na vaši pozornost dnes, čtenáři. Díky jako vždy na naší Rob Vandenbrink pro spárování řadu z nich .

V případě, že jste vynechal to, co je nového v ve Windows PowerShell .

Nová Snort zpráva je k dispozici: Snort 2,97 .

VMWare vydala informační zpravodaj zabezpečení: VMSA-2014-0011 - VMware vSphere Data Protection Aktualizace produkt řeší kritickou zveřejňování informací zranitelnost.

Je tu Whitehouse petice k odemknutí přístupu veřejnosti k výzkumu v oblasti bezpečnosti softwaru prostřednictvím zákona DMCA a reformy CAFA. Potřebuje 98.000 podpisy, v současné době má jen něco málo přes 1000. synopse k úvaze:

Software nyní běží spotřební výrobky a kritických systémů, které věříme, s naší bezpečnosti. Například, auta, zdravotnické zařízení, hlasovací zařízení, rozvodných sítí, zbraňových systémů a akciových trhů spoléhají na kód. Zatímco zodpovědných firem spolupracovat s technickou obcí a veřejnosti s cílem zlepšit bezpečnost kódu, jiní ne. Oni místo toho se snaží, aby se zabránilo výzkumným pracovníkům a ostatním, sdílení bezpečnostní výzkum, hrozí trestní a občanskoprávní žaloby v rámci zákona Digital Millennium Copyright a počítačové podvody a zneužívání zákona. Chlazení výzkum nás všechny ohrožuje. Ochrana veřejnosti před nebezpečným kódem a pomáhají nám, abychom se ochránili. Reformovat DMCA a CAFA odemknout a podněcovat výzkum o potenciálně nebezpečných bezpečnosti a bezpečnostních slabin v softwaru.

Pokud souhlasíte, podepište petici zde .

NIST právě vydala návrh NIST Special publikace 800-125-A bezpečnostní doporučení pro Hypervisor nasazení . Vy obyvatelé oblaku by měla tento jeden dobrý pročíst.


Dostáváte prázdná nebo "HI" e-maily?

10.11.2014  Hrozby
Chtěl jsem hrát trochu nevědecké shromažďování informací, já pracuji s malou skupinou, která si myslí, že se zaměřuje konkrétně na ty, zatímco já myslím, že je rozšířenější a opportunitistic. Pokud jste v nedávné době obdrželi tyto sondy e-maily, žádný obsah, nebo zprávu, jednoduchý "HI", zašlete prosím jednoduchý komentář níže v tomto formátu:

Průmysl
Pořadí magnitued velikosti ( např <10, <100 <1000)
Odesílání domény
Neváhejte využít naše komentáře stránku přidat další komentář analýzu zde: https://isc.sans.edu/contact.html


Shellshock přes SMTP

10.11.2014 Hacking
Dostal jsem několik zpráv o tom, co se zdá být Shellshock zneužít pokusy pomocí protokolu SMTP. Zdroje doposud všichni webhosting poskytovatelů, takže jsem za předpokladu, že se jedná o napadené systémy. Tyto e-maily záhlaví vypadat nějak takto (díky Justin pro anonymních záhlaví, žádné díky aplikaci Outlook pro vstřícně snaží, aby odkazy žít):

Užitečné zatížení je IRC bot perl s jednoduchými příkazy DDoS a možnost stáhnout a spustit další kód.


Skenování Single kritických zranitelných míst

10.11.2014 Zranitelnosti
Kde pracuji, máme slušné velikosti IP prostor a skenování může být problematické. V rámci naší IP prostoru, můžeme mít ~ 20 miliónů IP adres k dispozici. Tradiční skenování pomocí nmap, zatímco efektivní, může trvat dlouhou dobu, dokonce i agresivní nastavení skenování. Díky využití nových technologií, jako je skenování Masscan (hxxps: //github.com/robertdavidgraham/masscan), toto skenování lze provést během několika minut. S mírným nastavením, nechci narazit firewally, to trvá asi 15 minut na port.

I když tento příklad je specifický pro Heartbleed, já používám tuto techniku ​​pro některou z využití-of-the-den. Použitím rychlý port scanner snížit počet počítačů pouze na počítačích s operačním systémem danou službu, můžete výrazně urychlit skenovací čas. Navíc, v rámci prvních pár dní využít, může být pomocí vlastního skriptu pro skenování, než plugin z podnikové řešení.

Jiný případ užití je chyba nalezena v průběhu reakce na incidenty. Kdybych určit konkrétní zranitelnost byla použita ke kompromisu server, pak jsem použít tuto techniku ​​k určení dalších možných narušit systémy. Pokud by nebyly ohroženy, pak jsme je patch.

Masscan
Instalace nástroje je snadná

> Git clone https://github.com/robertdavidgraham/masscan

> Cd masscan /

> Dělat; make install

Masscan používá podobný příkazového řádku nmap.

> Masscan -p 443,448,456,563,614,636,989,990,992,993,994,995,8080,10000

10.0.0.0/8 -oG 10-scan-ssl - -max-rate 10000

Výstup -oG Grepable

-p port pro skenování

10.0.0.0/8 síť pro skenování

-oG Výstup v grepable formátu

10-scan-443 je název souboru vytvořen skenování

--make-rate nastavuje rychlost skenování

Jakmile Masscan rychle identifikovat cíle pro hlubší kontrolu, můžete použít konkrétnější nástroj k určení, zda je systém zranitelný. V tomto příkladu, jeho nmap zásuvný modul.

NMAP
cd / tmp

> Svn co https://svn.nmap.org/nmap

> Cd nmap

> ./ Configure, aby, make install

Chcete-li získat vstupní soubor ve správném formátu, použijte následující příkaz, aby si jen soubor s jedinou IP na řádek.

> Grep -v '#' 10-scan-443 | awk '{print 2 dolary} "> / tmp / nmap

Chcete-li spustit nmap, ujistěte se, že máte správné porty zadané, konkrétní skript, který potřebujete, a určete správný vstupní soubor.

> Nmap -p 443,448,456,563,614,636,989,990,992,993,994,995,8080,10000 --script = ssl-heartbleed.nse -il / tmp / nmap -oA / tmp / ssl-vul-test

Měl jsem smíšené výsledky s jinými skenery (scanrand atd ..). Jakékoliv jiné velkokapacitní skenery, se kterou jste měl dobrý úspěch?


Vzpomínáš si na svou "první lásku"?
10.11.2014 IT

Nikdy nezapomenu na jméno svého prvního serveru - Rachel. Byl jsem velmi hrdý na to, osoba, jejíž úkolem bylo bránit Rachel ze všech typů narušení. Do dnešního dne jsem si stále pamatují každou IP adresu, uživatelský účet, účet služby a aplikace. Když byly instalovány záplaty, jsem ručně ověřeno, že byly úspěšně použity. I pečlivě přezkoumala protokoly a nakonfigurován úplný audit, dejte mi vědět na úspěch a neúspěch téměř všechno.

Jsem spravují mnoho serverů od Rachel, ale nepamatujete si, jak moc se o nich jako já o své "první lásky". Vezměme si tento pozvání k pádu zpět v lásce s vašich serverech. pozvání k návratu zpět do doby, kdy jste všechno možné na jejich obranu. Je možné, že se vrátí k píli jste kdysi měli, by se dalo předejít mnoha problémy a výpadky.

Jak to můžete udělat? Akt aktivně měřit, jak dobře spravovat, zajistit a udržovat vaše Severs může velmi dobře být katalyzátorem se budete chtít vrátit zpět do svého "první lásky". Zvažte vytvoření a odeslání sami denní zprávu, která jasně ukazuje jeho aktuální bezpečnostní situace. Co jsou vhodnými kandidáty pro tuto zprávu? Jsem rád, že jste se zeptal: Některé z mých oblíbených patří následující.

Střední doba detekce skenování sítě
Střední doba identifikovat nový účet správce
Střední doba k identifikaci novou službu spuštěnou (nebo neběží už)

Existuje jistě mnoho metriky můžete sledovat. Vyberte málo a pečlivě zkontrolujte jim každý den na příští měsíc. Budete rádi, že jste!

Neváhejte využít naše komentáře stránku a dejte nám vědět, co děláte, aby si zapamatovali "první lásku".


Báječný svět CMS udeří znovu
10.11.2014 Hrozby

Myslím, že začnu tento deník s následujícím prohlášením:

Pokud používáte open source CMS, a nechcete aktualizovat často, je zde velmi vysoká šance, že vaše webové stránky, pokud nejen ohrožena, ale také součástí botnetu.

Pravděpodobně jste již viděli několik našich deníků s uvedením zranitelností ve velmi známých CMS systémů, jako je WordPress a Joomla, které jsou velmi výkonné a snadno použitelné / install, a také plný zranitelností a vyžaduje časté aktualizace.

Třetí v tomto seznamu je Drupal. Zmínili jsme se minulý týden na našich podcast o kritické zranitelnosti pevné vývojáři, a dnes vydali "veřejné oznámení" ve vztahu k této zranitelnosti. A to je děsivé (ano, Halloween slovní hříčka ...).

PSA uvádí, že během několika hodin od Patch oznámení, bylo již několik automatizovaných útoků hledají pro SQL injection zranitelnosti v implementacích Drupal.

Jako náš čtenář Gebhard poznamenal, že je velmi zajímavé citace v PSA:

"Měli byste pokračovat za předpokladu, že každý Drupal 7 webových stránek byla ohrožena, pokud není aktualizován nebo oprava do 15 října, dvacet tři hodin UTC, že je 7 hodin po oznámení"

To znamená, že nyní, i když aktualizovaný server, tam je velmi vysoká šance, že váš server je nyní součástí botnetu ... takže, pokud máte webové stránky s Drupalu, bych vřele doporučuji sekci vymáhání PSA dokument.


Hacking s Oldies!
10.11.2014 Hacking

V poslední době se zdá, že se téma nových chyb ve starém kódu - první (a velmi veřejně) OpenSSL a bash. Minulý týden jsme měli spoustu dalších, méně veřejných, ale stále elegantní chyby.

Za prvé, šikovný chyba v řetězci - CVE-2014-8485, s více detaily zde http://lcamtuf.blogspot.ca/2014/10/psa-dont-run-strings-on-untrusted-files.html
problém v wget ftp:
Nyní ftp klient (který byl nejprve zjištěn v BSD) - http://cxsecurity.com/issue/WLB-2014100174

To vše mají některé nesporné, pokud jsou údaje, že kód oprávněně měla být zpracování mohou být vytvořeny tak, aby spustit libovolný příkaz na cílovém systému. Druhá běžná věc po nich jako tyto nástroje jsou součástí našeho standardu, důvěryhodné toolkit - my všichni používáme každý den to.

Kdo ví? Kodéry, kteří psali věci v C zpět v den, ne vždy napsat kód, který věděl, jak moc byla příliš dobrá věc. Teď, když jsme všichni při pohledu na problémy s kontrolou hranice na vstupních dat, očekávají, že alespoň pár více z nich!


Hackerské nástroje pro zneužití USB už reálně fungují

9.11.2014 Hacking
Nástroje, jež se mohou využít k vykonání nebezpečných útoků prostřednictvím USB, už jsou na světě. A nelze se proti takovým atakům prakticky nijak bránit.

Dva bezpečnostní experti ve snaze poukázat na nebezpečí USB disků vydali nástroje pro USB ataky.

Vydání nástrojů Adamem Caudillem a Brandonem Wilsonem přichází jen dva měsíce poté, co německá společnost Security Research Labs (SRLabs) demonstrovala na konferenci Black Hat v Las Vegas útok zvaný BadUSB.

V rámci něj bezpečnostní experti ukázali, jak USB disk připojený k počítači může automaticky odesílat údery uživatele na klávesnici útočníkům, stahovat a instalovat škodlivé kódy, či dokonce změnit svůj profil na síťový adaptér a nabourat se tak do nastavení DNS.

Jak tehdy uvedli zaměstnanci SRLabs, útok vyžaduje úpravu firmwaru USB, již lze jednoduše provést přímo z operačního systému. Experti však nevydali žádné nástroje ani nezveřejnili detailní postup, jelikož tuto díru údajně není snadné opravit.

To vedlo Caudilla a Wilsona k tomu, aby se ve snaze porozumět BadUSB a bezpečnostním rizikům, která představuje pro uživatele, o útok pokusili také. Svá zjištění prezentovali v pátek na konferenci Derbycon v americkém Louisville a narozdíl od SRLabs dokonce i vydali potřebné nástroje spolu s dokumentací.
Zaujal vás tento článek? Přehled nejzajímavějších zpráv získáte odebíráním našeho newsletteru »

Během demonstrace na Derbyconu, jež je dostupná na Youtube, oba muži ukázali například to, jak na USB disku vytvořit skrytý oddíl, na nějž jsou antivirové programy krátké či jak zjistit hesla ke chráněným oddílům na USB discích, jež tuto funkci nabízejí.

Zveřejněné nástroje fungují u USB disků s ovladačem zvaným Phison 2251-03, lze je však snadno přizpůsobit i pro jiné ovladače od tchajwanské společnosti Phison Electronics. Ty jsou na velké většině USB disků, které jsou v současné době na trhu.

„Opravdu doufáme, že vydáním (těchto nástrojů) přimějeme výrobce, aby trvali na podepsaných firmwarových aktualizacích, a že Phison přidá podporu pro podepsané aktualizace na všechny ovladače, které prodává,“ uvedl Caudill.

„Phison není jediným hráčem na trhu, ale je největší a já bych rád viděl, jak se ujme vedoucí role a bude inspirovat ve zlepšení bezpečnosti USB disků i další firmy.“

Špatnou zprávou je, že proti útoku se nedá nijak bránit. Jednou cestou je, aby výrobci vyžadovali pro USB ovladače podepsané firmwarové aktualizace či zcela zablokovali možnost měnit firmware, jakmile zařízení opustí továrnu. I kdyby to však někteří výrobci udělali, je otázkou, jaký by to mělo efekt, jelikož na trhu i mezi lidmi jsou desítky či stovky milionů USB disků, které mohou být potenciálně nebezpečné.


Shellshock dál útočí na linuxové systémy, hojně jej využívají botnety

9.11.2014 Botnet
Útočníci v čím dál vyšší míře využívají nedávno objevené díry v příkazovém řádku Bash a infikují tak linuxové servery sofistifikovaným červem známým jako Mayhem.

Mayhem byl objeven dříve v tomto roce a komplexně popsán experty z ruské bezpečnostní firmy Yandex. Červ se instaluje skrze PHP skript, který útočníci nahrají na servery díky kradeným FTP heslům či skrze díry, které naleznou v kódu webových stránek.

Hlavním prvkem Mayhemu je knihovna ELF (Executable and Linkable Format), která po instalaci stáhne další přídavky a uloží je ve skrytém a zašifrovaném souborovém systému. Stáhnuté přídavky umožní útočníkům využívat nově infikované servery k dalším útokům.

V červnu tohoto roku odborníci ze společnosti Yandex odhadli, že botnet vytvořený ze serverů infikovaných Mayhemem, se skládá z asi 1 400 serverů, jimž chodí pokyny od dvou oddělených serverů. Výzkumníci z nezávislé organizace Malware Must Die (MMD) minulý týden oznámili, že autoři Mayhemu přidali do "arzenálu" botnetu i exploity Shellshock.

Shellshock je souhrnné jméno pro několik bezpečnostních děr objevených nedávno v linuxovém Bashe, které lze zneužít ke spuštění kódu nadálku skrze CGI (Common Gateway Interface), OpenSSH, DHCP (Dynamic Host Configuration Protocol) a v některých případech i OpenVPN.
Zaujal vás tento článek? Přehled nejzajímavějších zpráv získáte odebíráním našeho newsletteru »

Shellshockové útoky přicházející z botnetu serverů infikovaných Mayhemem se zaměřují na webové servery s podporou CGI. Boty kontrolují jednotlivé webové servery a zjišťují, zda je možné na ně zaútočit skrze díru v Bashi a následně tuto díru zneužijí pomocí skriptu napsaném v Perlu.

Ten obsahuje škodlivé binární ELF soubory Mayhemu pro 32-bitové i 64-bitové procesory vložené v jeho hexadecimálních datech a používá funkci LD-PRELOAD k jejich rozbalení a spuštění na systému. Stejně jako u předchozí verze, i nyní je vytořen skrytý souborový systém, kde jsou ukládány další komponenty - přídavky - jež jsou využívány pro různé typy skenů a útoků na další servery.

Výzkumníci z MDM si myslí, že jedna z těchto komponent byla aktualizována k využití nových exploitů Shellshock, i když to zatím není potvrzeno.

Tuto teorii však podporuje fakt, že některé ze sledovaných pokusů o útok pomocí Shellshocku přicházely z IP adres známých botů infikovaných Mayhemem ve Velké Británii, Indonésii, Polsku, Rakousku, Austrálii a Švédsku. Výzkumníci z MMD všechny dostupné informace předali organizacím CERT.

Většina distribucí Linuxu již na díry v Shellshocku vydala patche, avšak mnoho webových serverů není nastaveno tak, aby si tyto aktualizace stahovaly a instalovaly samy. Riziko je tedy stále velké.


Kerio Control vylepšuje zabezpečení Wi-Fi i protokolu https

9.11.2014 Zabezpečení
Novou verzi aplikaci Control vydalo Kerio Technologies. Varianta 8.4 je určena pro menší a a střední firmy a podle výrobce řeší čtyři nejvýznamnější mezery v zabezpečení sítí: protokol https, technologii Wi-Fi, přístup pro hosty a protokol IPv6.

Nejzávažnější problém týkající se podnikových sítí řeší aplikace Control novým filtrováním HTTPS obsahu. Počítačoví zločinci totiž viry a další hrozby skrývají a distribuují do sítí prostřednictvím připojení zabezpečených protokolem SSL.

Novinka firmám umožňuje tyto hrozby na hranici podnikové sítě zcela zastavit. Stačí jen používat stávající filtry obsahu – přenosy HTTPS tak zabezpečí jediným kliknutím.

S rozmachem technologie Wi-Fi a trendu, kdy si zaměstnanci do firem nosí svá vlastní zařízení (BYOD), jsou společnosti nuceny svým zaměstnancům a hostům poskytovat zabezpečený přístup k síti. Sdílená hesla WPA ale nejsou efektivní a nechrání síť před nebezpečnými útoky.
Zaujal vás tento článek? Přehled nejzajímavějších zpráv získáte odebíráním našeho newsletteru »

V aplikaci Control 8.4 je nově integrován RADIUS server. Jedná se o technologii, s jejíž pomocí mohou i ty nejmenší firmy ve svých sítích Wi-Fi snadno vynucovat používání vhodného ověřování a zásady pro vytváření silných hesel.

Produktu též zajišťuje přístup k síti hostům, aniž by se započítávali mezi licencované uživatele. Firmy si mohou zakoupit jeden přístupový bod a ponechat jej otevřený pro všechny své návštěvníky. Aplikace oddělí síťový provoz hostů od interních síťových prostředků, takže všechna důležitá aktiva a systémy firmy budou chráněny před neúmyslným přístupem hostů.

Protokol IPv6 je komplikovaný a až do této chvíle se obtížně používal. S pomocí aplikace Control 8.4 ale prý stačí jen vytvořit pravidla síťového provozu, vybrat, která se mají vztahovat na protokol IPv6.

Cena licence pro serverový software Kerio Control začíná na 5 780 Kč. Cena hardwarových zařízení Kerio Control Box začíná na 19 450 Kč.


Ruští hackeři špehovali pět let NATO

9.11.2014 Incidenty
Ruští hackeři podle nových informací zneužili díru v operačním systému Windows a špehovali počítače používané mezinárodní organizací NATO a západními vládami.

Stejná díra v operačním systému od Microsoftu byla podle bezpečnostní společnosti iSight Partners použita u počítačů na Ukrajině a v Polsku. Není zatím jasné, k jakým datům hackeři přistupovali, avšak spekuluje se, že hledali informace týkající se krize na Ukrajině. Microsoft mezitím uvedl, že díru ve svém OS opraví. Mluvčí Microsoftu oznámil, že společnost aktualizaci vydá v rámci balíku automaticky stahovaných aplikací.

„NATO ve světle nových zjištění hledá důkazy o potenciálním průniku do jeho sítí, které jsou připojeny k internetu,“ uvedl v oficiálním prohlášení mluvčí organizace. „Naši experti s využitím znalostí z předchozích kybernetických útoků proti NATO provádí analýzy a neočekává se, že by útok měl nějaký dopad na utajené operační sítě NATO, jež jsou odděleny od internetu.“

Mezi další oběti hackerského útoku, jenž byl mimo jiné prováděn za pomoci červa Sandworm, jsou firmy v energetickém a telekomunikačním průmyslu, bezpečnostní firmy, delegáti konference GlobSec o národní bezpečnosti a akademik, který je expertem na rusko-ukrajinské vztahy.

Hackerské útoky probíhaly pět let a vygradovaly v uplynulých měsících za použití tzv. zero-day díry ve Windows (tj. díry, o níž Microsoft dříve nevěděl a nejsou pro ni dostupné aktualizace), která hackerům umožnila zaměřit jejich kampaň na nové zdroje. I když iSight nemohlo s jistotou říci, zda mají hackeři vazby na ruskou vládu, jeden seniorní analytik uvedl, že všechno nasvědčuje podpoře kampaně ruským státem, jelikož hackeři zjišťovali informace a nesnažili se je zpeněžit.

Ve své šestnáctistránkové zprávě iSight popisuje, jak v lednu 2013 začal po NATO v elektronické podobě kolovat dokument, jenž se měl údajně týkat evropské diplomacie, avšak byl do něj zakomponován škodlivý kód. V tu samou dobu byly několika státům a akademikovi pracujícímu na otázkách ohledně Ruska zaslány e-maily se škodlivým kódem, jež měly údajně obsahovat seznam pro-ruských extrémistů.

O Sandworm - ikdyž pod jménem Quedagh - již dříve informovala i společnost F-Secure. Podle Mikka Hypponena z této firmy nebyl červ detekován roky.

„Tento červ tady je již několik let a používá DoS bot zvaný jako Black Energy, kteří hackeři přizpůsobili svým potřebám,“ uvedl Hypponen.

„Zajímavé je, že pokud je tento červ detekován IT profesionály, tváří se jako Black Energy, což většina expertů vyhodnotí jako zastaralou hrozbu, která je nyní téměř neškodná.“ Jak podotýká iSight, její odborníci v poslední době zachycují z Ruska čím dál víc hackerských útoků.