Snowden se rozmluvil o poměrech v NSA
15.8.2014 Špionáž
Whistleblower Edward Snowden v rozhovoru zveřejněném ve středu uvedl, že jeho někdejší zaměstnavatel, americká Národní bezpečnostní agentura (NSA), odposlouchává jeho komunikaci po celou dobu jeho pobytu v ruském azylu.
V dlouhém rozhovoru pro magazín Wired bývalý spolupracovník NSA také řekl, že by se rád vrátil domů do USA. Klidně by prý za zveřejnění obrovského množství dat popisujících praktiky agentury strávil i nějaký čas ve vězení, kdyby to přispělo k nastolení pořádku v amerických tajných službách.
„Už jsem řekl vládě, že bych šel dobrovolně do vězení, pokud by to mělo nějaký smysl,“ řekl Snowden. „Více než o sebe se zajímám o svou zemi. Nesmíme však dovolit, aby se zákony staly politickou municí. Stejně tak nemůžeme souhlasit se zastrašováním lidí, kteří se zasazují o svá práva. Nechci toho být součástí.“
Snowden v rozhovoru také uvedl, že za sebou záměrně nechal určité digitální stopy tak, aby NSA věděla, která data a které tajné dokumenty si vzal s sebou, když před 14 měsíci opustil práci pro NSA na Havaji. Nesouhlasí například s údajem ve zprávě NSA, podle které si měl s sebou vzít 1,7 miliónu souborů. Nečekal prý, že budou zaměstnanci agentury až tak neschopní.
Poslední kapkou při práci pro NSA byla pro Snowdena operace MonsterMind, což je program určený pro rozpoznání malwaru, který se může zdroji infekce „pomstít“ zcela bez zásahu lidského uživatele. Podle Snowdena může snadno dojít k omylu a program může poškodit zcela nevinný cíl.
Nový trojský kůň ohrožuje legitimní aplikace včetně mobilního antimalwaru
15.8.2014 Viry | Mobil
Trojského koně Android/Spy.Krysanec, který se skrývá v modifikovaných aplikacích pro Android a zprostředkovává vzdálený přístup, objevili experti Esetu.
Krysanec se skrývá v různých legitimních aplikacích; objevil se třeba byl v mobilním bankovnictví MobileBank ruské banky Sberbank, v aplikaci 3G Traffic Guard na monitorování datového připojení mobilního zařízení a v několika dalších aplikacích -- včetně bezpečnostní aplikace Eset Mobile Security. Z napadeného přístroje dokáže stahovat data a odesílat je na řídící servery. Jde přitom nejen o pořízené obrázky a videa, ale také třeba aktuální GPS souřadnice, historii navštívených webových stránek, seznam instalovaných aplikací, výpis hovorů nebo obsah zpráv (SMS či WhatsApp). Může také bez vědomí uživatele vykonávat řadu akcí: zapnout mikrofon a nahrávat zvuky nebo zapnout kameru a pořizovat snímky či videozáznamy. A dokáže z řídících serverů stahovat do infikovaného přístroje další malware.
Trojan Android/Spy.Krysanec se ukazuje na pochybných fórech pro sdílení souborů a na některých sociálních sítích -- zatím ale pouze v Rusku.
Naše bezpečnostní brány ochrání celá datová centra, slibuje Check Point
15.8.2014 Ochrana
Dvě nové bezpečnostní brány, které rozšiřují portfolio řešení pro ochranu sítí datových center, představil Check Point. Jde o modely 13800 a 21800 s reálnou propustností IPS až 7 Gb/s.
Prvně jmenované řešení nabízí výkon až 3 800 SecurityPower (SPU) jednotek a praktickou propustnost IPS až 6,5 Gb/s. Konektivitu jde škálovat až do počtu 26 portů 1GbE nebo 12 portů 10GbE. Model 21800 je ještě výkonnější – poskytuje výkon až 4300 SPU a propustnost IPS 7 Gb/s . Navíc obsahuje akcelerační modul SAM (Security Acceleration Module), firewall s výkonem až 110 Gb/s a latenci firewallu na úrovni 5 mikrosekund. Uživatelé mohou využít až 37 portů 1GbE nebo 13 portů 10GbE. Bezpečnostní brány 13800 a 21800 jsou také součástí nabídky vícevrstvé ochrany Check Pointu. k dispozici jsou čtyři předdefinované bezpečnostní sety zahrnující firewall NGFW (Next Generation Firewall), prevenci hrozeb, ochranu dat a zabezpečení webových bran, a to v rámci jednoho zařízení. Cena začíná na 99 000 dolarech (model 13800), respektive 135 000 dolarech (21800).
92% značek selhání testu zabezpečení e-mailu
14.8.2014 Zabezpečení
Online Důvěra Alliance (OTA), non-zisk, jejímž posláním je zvýšit on-line důvěru a posílit postavení uživatelů, oznámila výsledky své zprávě o auditu Integrity 2014 e-mail, včetně jeho e-mail Důvěra Scorecard. Z téměř 800 špičkových spotřebitelských webových stránek hodnoceny, OTA našel jen 8,3 procent spotřebitelů čelí webové stránky prošly a tak 91,7 procenta se nezdařilo. Drtivá většina firem a vládních agentur nejsou po přiměřené kroky, které pomohou zajistit, aby spotřebitelé a obchodní partneři mohou v případě e-mailů rozeznat pocházející z jejich domény jsou pravé nebo padělané. Scorecard měří přijetí tří kritických email bezpečnostních protokolů: Sender Policy Framework (SPF), DomainKeys Určená Mail (DKIM) a Domain-based Message Authentication, Reporting a shody (DMARC). "Když organizace provést zvláštní Napsat bezpečnostní protokoly, výsledky se zvýší ochranu spotřebitelů z příjmu škodlivý a podvodné e-maily, posílila pověst značky, a lepší dosažitelnosti legitimní e-maily, "řekl OTA výkonný ředitel a prezident Craig Spiezle. "Přes zřejmé výhody, většina organizací se ještě přijmout postupy komplexně, uvedení spotřebitele a jejich značky v ohrožení. " scorecard našel e-maily, údajně, aby se ze sociálních mediálních společností, že je nejdůvěryhodnější a federální agentury, že minimálně, se všemi odvětví významně nepřijetím zabezpečení e-mailu osvědčených postupů. Konkrétně se jedná o procento podniků procházejících OTA Email Důvěra Scorecard porouchal takto:
28 procent z top 50 sociálních médií společnosti
17 procent z top 100 společností, finanční služby
14 procent z top 100 Internet obchodních firem
6 procent z 50 zpráv společnosti
6 procent z top 500 internetových obchodů
4 procenta z 50 amerických vládních agentur.
Využitím e-mailovou ověřování, může organizace chránit jejich značky a spotřebitele z příjmu kované e-mail. Oba DKIM a SPF jsou e-mailové ověřovací protokoly určené pro detekci falšování e-mailovou tím, že poskytuje mechanismus, který umožňuje příjem mailových serverů potvrdit pravost e-mailu. budovy na SPF a DKIM protokolů DMARC přidává politika tvrzení poskytuje příjem sítích (ISP a podnikových sítí ) směr o tom, jak zacházet zpráv, které může selhat ověřování. Stejně důležité, DMARC poskytuje mechanismus pro podávání zpráv zpět majiteli značky / domény. "více než 400 milionů uživatelů po celém světě Microsoft si uvědomuje výhody SPF, DKIM a DMARC. Jako e-mailové hrozby a kopí phishing růst, každá firma by měla email ověřování prioritou chránit své zákazníky, jejich zaměstnance a jejich značky, "řekl John Scarrow, generální ředitel bezpečnostní služby, Microsoft Corporation.
Odhalení vzorců hrozeb ve vaší web a mobilní majetku
14.8.2014 Kongresy
Během Black Hat konferenci v Las Vegas, RiskIQ oznámila automatizované platformy s globálním dosahem, která umožňuje organizacím objevovat, skenování malwaru a sbírat hrozbách na všech webových stránkách a mobilních aplikací, které jsou zákonně nebo nezákonně spojené s jejich podnikáním.
Tato technologie poskytuje společnostem žalovatelné informace potřebné, aby se zabránilo zločincům využívat své značky na přípravky na útoky, které se zaměřují na nic netušící uživatele. V nedávném posouzení více než 27.000 internetových stránkách spojených s pěti největších zdravotnických společností v USA, RiskIQ služba zjistila, že 16 procent porušil SSL certifikáty a 77 procent obsahovalo stránky, které byly buď aktivní, přesměrování provozu nebo zlomený. Tento snímek ukazuje rozsah problému, že velké společnosti čelí ve snaze sledovat jejich legitimních webových služeb, policie je pro malware a identifikovat lokality, které mohou být se vydává svou značku. RiskIQ platforma využívá celosvětovou síť softwaru na bázi virtuálních uživatelů automaticky zaznamenávají a inventář webových stránek, on-line reklamy a mobilní aplikace, které jsou oprávněně nebo podvodně spojené s společnosti nebo kterýkoli z jejích značek. Spojité funkce zjišťování RiskIQ může identifikovat všechny případy spojené s firmou, na internetu, včetně těch na weby třetích stran, ve vestavěných a odkazující adresy URL, a přes 90 různých app obchody. Pro každou objevenou aktiva, RiskIQ automaticky zachycuje úplný relace a údaje Document Object ( DOM) k vytvoření dynamického soupisu jeho atributy (datum registrace, majitel, geografie, atd). Tento globální viditelnost umožňuje organizacím jednoznačně znát a řídit jejich web a mobilní otisk. Chcete-li určit, webové a mobilní aktiva společnosti, které jsou, které představují riziko pro své zákazníky, virtuální uživatel software RiskIQ v interakci s webovými stránkami, uvádí na trh mobilní aplikace a takto vložené URL Způsob, jakým člověk by uživatel. Tato technologie odzbrojí únikové techniky používané malware skrývat od tradičních webových roboti a mobilní aplikace pro skenování agentů. RiskIQ automaticky a průběžně vyhodnocuje / třídí webové stránky na přítomnost malware, škodlivé reklamy, snímání osobně identifikovatelných informací, atd Objevuje také imitátor, zlomyslný a údaje krádež mobilních aplikací. "Pro většinu firem, udržování zásob a policejní krky webové stránky a mobilní aplikace pro malware a porušení značky je ručně nemožné. Nicméně, oni jsou stále zodpovědný za detekci a sundávat hrozeb, které uživatelé místo v nebezpečí, "řekl Elias Manousos, generální ředitel společnosti RiskIQ. "Musíme umožnit společnostem, aby okamžitě získat přehled a kontrolu nad jejich webových a mobilních zdrojů, včetně těch, které jsou uchvácení jejich značku, aby jim bez malware a dalších hrozeb." Chcete-li pomoci podnikům řídit, audit a odhalit vzory hrozeb přes jejich web a mobilní majetek, RiskIQ poskytuje intelligence palubní desku naplněn tři roky aktuálních a historických dat hrozeb. To umožňuje uživatelům spouštět velkých objemů dat dotazy přes jejich web a mobilní majetek, u prošlých SSL certifikáty, skripty a cookies třetích stran, případy malware, typo squatting, využívat sady a další. RiskIQ lze zjistit, co-události, jako je například přítomnost určitého škodlivého softwaru napříč všemi aktivy, a provádět posouzení shody. RiskIQ platforma pro web a mobilní je k dispozici ihned od RiskIQ a jejích obchodních partnerů, a cena je založena na Objem a četnost zkoumaných aktiv.
Google: Webové stránky pomocí protokolu HTTPS bude mít lepší vyhledávání žebříčku
14.8.2014 Bezpečnost
Webové stránky, které nepoužívají HTTPS bude zařazen nižší výsledcích vyhledávání Google, web gigant oznámil ve středu.
"Na Google I / O před několika měsíci, jsme vyzvali k" HTTPS všude "na webu. Také jsme viděli více a více webmasteři, kterým se přijímají HTTPS (také známý jako HTTP přes TLS, nebo Transport Layer Security), na svých internetových stránkách , což je povzbudivé, "Zineb Ait Bahajji a Gary Illyes, Webmaster trendy Analytici Google vysvětleno v blogu. Přesto, je tu prostor pro zlepšení, věřili, a tiše začal testování šifrovaných připojení jako signál při hledání pořadí algoritmů. " Viděli jsme pozitivní výsledky, a tak začínáme používat HTTPS jako pořadí signál. Pro teď je to jen velmi lehký signálu vyskytují se u méně než 1% celosvětových otázek, a nese menší váhu než jiné signály, jako je například vysoce kvalitní obsahu a zároveň dáváme webmastery čas přejít na HTTPS. Ale postupem času, můžeme rozhodnout, posílit, protože bychom chtěli povzbudit všechny majitele webových stránek pro přepnutí z HTTP na HTTPS, aby všichni v bezpečí na internetu, "že sdílená . Ukázalo se také, na nějakou dobu nyní, že Google věří v šifrování. Začátkem tohoto roku představila společnost výchozí šifrování pro všechny uživatele služby Gmail. Google Search bylo zakódováno ve výchozím nastavení po celá léta. V červnu představila zdrojový kód pro End-to-end šifrování rozšíření Chrome , který bude pomáhá uživatelům šifrovat, dešifrovat, digitálně podepisovat a ověřovat podepsané zprávy v rámci prohlížeče pomocí OpenPGP. Zároveň Tentokrát to přidal novou sekci ke své zprávě o transparentnosti, která umožnila uživatelům kolik komunikace Gmail zabývá je šifrována v tranzitu, a které šifrování podpůrných služeb při přepravě vidět, který urychlil Comcast oznámil, že začnou šifrování e-mail a od Gmail účtů. Dalo by se říci, že Google vede příkladem, ale také to pošťouchnutí všechny ostatní ve směru šifrování. Vzhledem k tomu, že mnoho společností, jsou závislé na Google Search, vidím, že tento krok se stal efektivní způsob, jak popularizovat TLS použití.
Upřednostnění zranitelnosti s cílem odstranit nedostatky, pokud je to důležité
14.8.2014 Bezpečnost
Základní zabezpečení oznámila, že nejnovější verze jádra útok Intelligence Platform, která kodifikuje, upřednostňuje a ověřuje ohromující množství zranitelností identifikovaných skenery.
Zúžení seznam důležitých dat zranitelnosti až o 90 procent umožňuje bezpečnostní týmy soustředit sanační úsilí na nejcitlivější podnikatelská rizika, významně zlepšit jejich účinnost a celková bezpečnostní situace. Jádro útok Intelligence Platform pomáhá bezpečnostních profesionálů tím, že kombinuje funkce ze společnosti Core Security Poradenské služby, Core Impact Pro a Core Insight. Patentovaná Plánovač útok cesta společnosti umožňuje bezpečnostním profesionálům spojovat známých hrozeb, zranitelností a útoky vzory s bezpečnostními a síťových dat identifikovat potenciální útok cesty k důležitým obchodním majetku -. Zužování rozsahu od toho, co je možné, aby to, co je nejvíce pravděpodobné, Co je nového v Základní útok Intelligence Platform: Rozšířená a plánování konfigurovatelný útok cesta - plánování útoku cesta je rozšířena o vlastní, teoretickou, virů a malware zneužívá kromě jádra bezpečnosti a Metasploit využije. Výsledky plánování útoku cesty lze upravit pomocí různých filtrů, jako je připojení k síti, umístění a potenciální obchodní dopad pomoci organizace upřednostňují známé útoky cesty podle svých vlastních kritérií rizik. Distribuované penetrační testování - Organizace, které jsou distribuovány v rámci geografických lokalitách jsou nyní schopni . provádět penetrační testy ze vzdáleného umístění, bez ohledu na to, kde je cílový systém bydliště, což eliminuje potřebu být fyzicky přítomen provádět ověřovací zkoušky, Ochrana proti konzumerizace IT - Základní útok Intelligence Platform přidána vylepšení dvou hlavních vektorů, které ji ovlivňují: mobilní telefon a Wi-Fi. Nová platforma nabízí Android agenta a nabízí také podporu pro Wi-Fi Pineapple Mark V zařízení, což umožňuje zákazníkům využít mobilních zranitelností, stejně jako provádět složitější útoky typu man-in-the-middle. "Základní útok Intelligence Platform nám pomáhá prořízl hluk, identifikovat nejvýznamnější rizika a přijmout rizika příslušné kroky, "řekl James Manint, šéf bezpečnosti informačních technologií, CB & I. "Je to spárované hladce s naší stávající infrastrukturou. Jsme stále používáte naše skenery, ale my jsme už ohromen tisíce zranitelností po každém skenování. Soustředíme se na vyplnění mezer, kde je to důležité.
US DHS dodavatel dostane hacknut
14.8.2014 Incident
USIS, největší komerční poskytovatel vyšetřování pozadí na americké federální vlády, oznámil, že utrpěl porušení, které by vedly k ohrožení osobních údajů federálních zaměstnanců.
"Naše vnitřní bezpečnost IT tým nově zjištěný zdánlivý vnější cyber-útok na firemní síti USIS". Jsme okamžitě informován federální vymáhání práva, Úřad personálního řízení (OPM) a další příslušné federální agentury, "oni uvedl . "Úzce spolupracujeme s federálními orgány činnými v trestním a udrželi nezávislé počítačové forenzní vyšetřování firmu určit přesnou povahu a rozsah jakéhokoliv nezákonného vstupu do naší sítě. Odborníci, kteří se v hodnocení zmínilo o fakta shromážděná aktuální věří, že to má všechny znaky na státem podporované útok. " Žádné další podrobnosti byly zveřejněny jako vyšetřování stále probíhá, ale podle Washington Post , US Department of Homeland Security a amerického Úřadu personálního řízení dočasně pozastaveny práce se společností. Vzhledem k tomu, že někteří ze zaměstnanců DHS by mohly být ovlivněny, všichni obdrželi oznámení o tom. Společnost také přivítal tým US-CERT, a oni se provádí na místě posouzení a poradenství společnosti, co se týká porušení zmírnění. Neoficiální Zdroje říkají, že toto narušení je zdánlivě nesouvisí s porušením Úřadu sítí řídících pracovníků je objevil na začátku tohoto roku a vysledovat zpět do Číny.
SWSIS programu ocenění kybernetické stipendia pro ženy
14.8.2014 IT
Reagovat na nedostatek kybernetické odborníků po celých Spojených státech a nedostatku žen v oblasti, Applied Computer Security Associates (ACSA) a Výboru pro Computing Research Association o postavení žen v oblasti výpočetní techniky výzkumu (CRA-W) oznámil vítězné příjemce v roce 2014 stipendium pro ženy Studium informací (SWSIS).
Ve spolupráci se společností HP, jsou organizace uděluje stipendia vysoké školy na 11 žen, posiluje svůj závazek podporovat novou generaci zabezpečení IT talent. ACSA, CRA-W a HP se snaží uzavřít mezeru, kde je to odhaduje, že 40% ze všech dostupných informací pozicemi v cenných papírech ve Spojených státech jsou nevyplněné, podle nedávné studie Ponemon Institute. Udělováním stipendií 11 studentek z bezpečnostních zaměřené studium na akademické instituce po celých Spojených státech, stipendijní program se rovněž zabývá nedostatek žen v bezpečnostních funkcích po celé odvětví. Program SWSIS byl původně založen ACSA, nezisková organizace, jehož cílem je zlepšení porozumění, teorii a praxi kybernetické bezpečnosti. Stipendijní Vítězové jsou vysokoškoláci a mistrů stupně kandidátů z 11 vysokých škol a univerzit po celých Spojených státech. "Bezpečnostní klub počítač na mé škole poskytuje úžasnou příležitost, abych se naučil o průmyslu a upevnit svůj zájem o sledování bezpečnosti jako svou kariéru, "řekla Jessie Pease, roste senior na California Polytechnic State University - San Luis Obispo. "Bezpečnost je jako puzzle, kde jsem neustále snaží zlomit a opravit věci, a já jsem nadšený, že pokračovat v rozvoji těchto dovedností s podporou společnosti HP, ACSA a CRA-W." Jako součást širší akademické iniciativy pro HP ke zvýšení zabezpečení vzdělávání IT a odborné přípravy, HP udělen 250,000dolar rozšířit ACSA / CRA-W SWSIS stipendijní program a nabídne vítězům potenciální možnosti stáží. "Společnost HP se zavázala k překlenutí nedostatku dovedností a vyzbrojování budoucí generaci bezpečnostních profesionálů proti rostoucímu počtu kybernetickým hrozbám, "řekl Art Gilliland, senior viceprezident a generální ředitel divize Enterprise Security Products, HP. "Program SWSIS nám umožňuje přímo podporu studentů se svými akademickými cest, poskytovat jim s real-životní příležitosti uplatnit dovednosti, které se učí a získávají praktické zkušenosti prostřednictvím programu širšího vzdělávacího HP." Od tohoto roku, žádosti a výběr procesy jsou řízeny CRA-W, jejímž cílem je zvýšit počet úspěšných žen v počítačových výzkumu. Další informace o programu SWSIS lze nalézt zde . Stipendium Uzávěrka pro akademický rok 2015-16 bude 01.2.2015.
Zavádění a monitorování lákadla snadno
14.8.2014 Kongresy
Na Black Hat konferenci, LogRhythm vydala nový analytický balík, který sleduje honeypots sledovat rádoby útočníci, což umožňuje zákazníkům analyzovat hanebné taktiku a generovat cílenou hrozbách, které usnadňuje probíhající adaptivní obrannou pozici.
Honeypots jsou izolovány vějička systémy a služby, jejichž cílem je vypadat jako produkční servery, ale možnost být citlivé na IT útočníky. Při nasazení a analyzovány správně, poskytují organizacím zvýšení povědomí o útoku a narušení činnosti generující dynamický výzkum hrozeb jedinečné pro zákazníka prostředí, ve kterém se zaměřujeme. S LogRhythm nové sady mohou zákazníci snadno nasadit honeypots přilákat oportunistických hackery. Když útočník začne komunikovat s honeypot, Bezpečnostní informační platforma LogRhythm začíná sleduje akce útočníka, analýzu dat honeypot vytvořit profily vzorců chování a metodik útoku na základě nových hrozeb. AI Engine provádět v reálném čase, pokročilé analytiky na veškeré činnosti zachycené v honeypot, včetně úspěšné přihlášení do systému, pozoroval úspěšných útoků a pokusů o úspěšné / malware činnosti na počítači. Tento automatizovaný a integrovaný přístup k lákadla eliminuje potřebu manuálního kontroly a údržby spojené s tradičními honeypot nasazení. LogRhythm Security Intelligence Platform upřednostňuje Intel odvozený od lákadla zorganizovat odpovědí od podobných útoků na produkčních sítích. Například, pluginy LogRhythm SmartResponse automaticky uplatnit svá vyjádření z apartmánu na řízených černých listin a zjištěné malware, tak IP adresu útočníka zaměřeného na honeypot bude blokován a programy prováděné lze identifikovat v případě, objevil na produkčních systémech. "LogRhythm pokračuje v inovacích a naše Honeypot Security Analytics Suite je nejnovějším příkladem ze sady vlastností a funkcí, že rozvoj schopnosti našich zákazníků odhalit a reagovat na kybernetické hrozby rychleji, "řekl David balení, ředitel LogRhythm Labs. "Je to teď velmi rovně vpřed pro zákazníka LogRhythm nastavit honeypot, který vypadá a chová se stejně jako sítě zákazníka. LogRhythm Security Intelligence Platform analyzuje, co útočníci dělají, a že Intel je okamžitě sklízí nejlépe ochránit celou společnost. " apartmá je k dispozici zákazníkům okamžitě jako součást Bezpečnostní informační platformy LogRhythm je.
Symantec problémy aktualizace upevnění Endpoint Protection zero-day
14.8.2014 Zranitelnosti
Společnost Symantec vydala aktualizace pro jeho řešení Endpoint Protection pro připevnění zero-day eskalaci oprávnění zranitelnosti nedávno objevené výzkumníky Offensive Security. "Problém, jak je uvedeno, vliv na aplikace a zařízení Ovládací prvek aplikace Symantec Endpoint Protection. Tuto chybu zabezpečení není přístupný na dálku a má vliv pouze na klienty září skutečně běžící aplikace a ovládací zařízení, "společnost je vysvětleno v aktualizace poradenství . "Pokud zranitelnost je využívána přístupu k počítači přímo, mohlo by to mít za následek havárii klienta, odepření služby, nebo v případě úspěchu , eskalovat na oprávnění správce a získat kontrolu nad počítačem, "říkají, a poznamenal, že si nejsou vědomi případů zneužití této chyby zabezpečení. Rovněž poznamenal, že chybu nelze zneužít vzdáleně, ale Offensive Security zveřejněny kód zneužití, nebezpečí je velmi reálné. zranitelnost postihuje všechny verze klientů Symantec Endpoint Protection 11.x a 12.x běžící aplikace a ovládací zařízení, a uživatelé se doporučuje provést aktualizaci na 12.1 RU4 MP1b. Aplikace Symantec Endpoint Protection Small Business Edition 12.0 je také ovlivněna, a uživatelé mohou odstranit nebezpečí aktualizací na nejnovější dostupné sestavení září 12,1 Small Business Edition, která není dotčena. Další podrobnosti o bezpečnostní slabosti, stejně jako snižující závažnost rizika (v případě, že aktualizace nelze aplikovat okamžitě) naleznete zde . Symantec očekává se, že řešení nalezené v jeho řešení Endpoint Protection včas ostatní nulové dny. Offensive Security sdílí informace o některých zjištěných zranitelností s CERT, ale jiní byli studoval v Advanced Windows vykořisťování (AWE) samozřejmě společnosti na Black Hat 2014 konferenci tento týden.
Červy se již virtuálním serverům nevyhýbají
14.8.2014 Viry
Z nového výzkumu společnosti Symantec plyne, že nebezpečné počítačové viry a červy se již nevyhýbají virtuálním serverům tak, jak to činily v minulosti.
S tím, jak společnosti čím dál více využívají virtuální prostředí, tvůrci nebezpečných červů testují nové metody, jak své škodlivé kódy nepozorovaně spouštět i zde. To znamená, že pouhé využití virtuálního stroje (VM) již k obraně před útočníky nestačí.
Symantec studoval 200 000 druhů červů, které sesbíral od roku 2012, a analyzoval, jak se chovají na virtuálních serverech a mimo virtuální prostředí. Chtěl tak zjistit, jaké procento červů přestane fungovat poté, co VM detekují. Z výsledků studie vyplynulo, že při zjištění přítomnosti VM přestalo fungovat pouze 18 % červů. „Tvůrci škodlivých kódů chtějí napadnout pokud možno co nejvíce systémů, takže pokud daný červ nefunguje na VM, omezuje se tím počet prostředí, která může nakazit,“ napsal na oficiální blog Symantecu Candid Wueest. „Nemělo by tedy být překvapením, že většina virů a červů v dnešní době funguje normálně i ve virtuálním prostředí.“
Jedním z nejběžnějších triků červů ve virtuálním prostředí je podle Symantecu jednoduše počkat. Pokud se nový soubor v prvních pěti nebo deseti minutách nechová podezřele, virtuální systémy s velkou pravděpodobností dojdou k závěru, že je neškodný. Některé druhy červů tak například čekají, dokud není proveden určitý počet levých kliknutí myší před tím, než se spustí. „Díky tomu může být pro automatizované systémy obtížné či dokonce nemožné v krátkém časovém období červa odhalit,“ stojí ve zprávě.
Mezi bezpečnostními experty panuje mimo jiné obava z toho, že se červy budou distribuovat na jiné virtuální servery hostované na lokálních serverech. O to se pokoušel například červ s názvem Crisis. Tento škodlivý kód nezneužíval žádné konkrétní bezpečnostní chyby, ale využíval toho, že virtuální servery jsou vlastně jen data uložená na lokálním serveru. Podobně v roce 2009 útočil červ s názvem Cloudburst. Těm z vás, kdo máte z virtuálních serverů obavy, Symantec doporučuje instalovat pravidelně záplaty a zlepšit zabezpečení lokálních serverů.
Snowden dovoleno zůstat v Rusku, na další tři roky
14.8.2014 Bezpečnost
NSA informátor Edward Snowden bylo povoleno zůstat v Rusku, o další tři roky, a je volně cestovat v rámci ČR a zahraničí, Russia Today zprávy .
Snowden byl uveden dočasný azyl v Ruské federaci od 1. srpna loňského roku, což mu umožnilo opustit tranzitní zónu moskevském letišti Šeremetěvo, kde uvízl na více než měsíc poté, co USA zrušil jeho pas. Podle jeho ruský právník Anatoly Kucherena, Snowden nepožádal o politický azyl, ale obdržel povolení k pobytu. Bude mít nárok na podání žádosti o ruské občanství po pěti letech. Ruská vláda neplánuje vydat Snowden - i když úřad amerického generálního prokurátora požádal je, aby to - jako Spojené státy postrádá smlouvy o vydávání s Ruskem. Kromě toho, jak Kucherena poukázal Snowden nedopustil žádného trestného činu a nepotýká s žádnými poplatky v Rusku. Ať už Snowden nakonec žádat o ruské občanství je neznámá, ani sám sobě. "Samozřejmě, že v budoucnu bude Edward, aby se jeho mysl o tom, zda zůstat v Rusku, a žádat o občanství, nebo odejít do USA. Neudělal to ještě," řekl Kucherena. S tímto povolením, Snowden je povoleno opustit zemi po dobu maximálně tří měsíců v době, ale na seznamu zemí, které mají smlouvu o vydávání se Spojenými státy je dlouhý a velmi omezuje své možnosti cestování.
CIA venture firma CISO nabízí singulární řešení pro počítačové problémů
14.8.2014 Kongresy
V eklektickém keynote doručeným Black Hat konferenci publikum, Dan Geer, CISO v In-Q-Tel, dělal známý jeho myšlenky na a představy o celé řadě věcí: z internetového hlasování na hledání slabých míst, z čisté neutrality práva který se nezapomíná. In-Q-Tel je ne-pro-korporace zisku, který investuje do technologických společností s cílem udržet US výzvědné služby vybavené nejmodernějšími informačními technologiemi, ale v tomto případě, Geer předložit své vlastní názory. Věří že hlasování přes internet je obecně velmi špatný nápad ("Motivovaný a odborné soupeři jsou skoro undefendable proti."), a která se zřekla kód základny by měla být otevřená zdrojů jako věc veřejného zájmu. Vysvětlil, že neutralita sítě by měla být záležitostí volby pro ISP: vyberte nabíjení v závislosti na obsahu, ale je odpovědný za to, i když jeho "škodlivé"; nebo si ochranu nosiče, ale pak ztrácí právo kontrolovat obsah a účtovat více. Použil příklad Spojených států Centra pro kontrolu nemocí argumentovat pravděpodobné přínosy povinného režimu pro hlášení závad kybernetické Odhaduje se, že překonal konkrétní závažnost práh; a řekl, že vývojáři a prodejci by se měla konat právně zodpovědná za "nedbale kódování, nedostatečné testování, snižování nákladů, neúplné dokumentace, nebo prostě neschopnost", a bez ohledu na poškození jejich software způsobí, že když se používá, jak je to určeno k použití. "Buď softwarové domy poskytují kvalitu a zálohovat se odpovědnosti za vadné výrobky, nebo budou muset nechat svým uživatelům chránit současnou situaci -. uživatelé nemohou zjistit, zda je třeba chránit a mít jinou možnost bytí nechráněné - nemůže jít dál, "poznamenal. Poukázal na to, proč se domnívá, že stávkující se na kybernetických útočníků je obtížné dělat správné (sdílené infrastruktury, přičítání problém), a že "právo být zapomenut" a právo si vybrat, zda budete používat své skutečné identity pro váš digitální jeden, nebo ne (a při této příležitosti), je něco, co chce pro sebe a pro ostatní. Nakonec navrhl, aby americká vláda otevřeně ovládnout světový trh zranitelnosti tím, že platí za informace, desetkrát více než ostatní uchazeči a zajistit, aby všechny veřejné. "užitečnost této strategie pochází ze dvou vedlejších účinků: jeden, že přeplácení jsme rozšířit talentů zranitelnosti nálezci, a dva, že tím, že veřejnost každou chybu americká vláda nakupuje jsme je devalvovat , "podotkl. "Nepotřebujeme inteligenci na to, co zbraně, nepřátelé naši, máme-li něco, co v blízkosti kompletní inventář světových vulns a mají společné, že se všechny dotčené dodavatele softwaru." Jeho návrhy jsou nekonvenční, a většina z nich - není-li všechny - pravděpodobně nikdy realizován (a možná, že by neměla být), ale rozhodně se podařilo stimulovat publikum, a doufejme, že zahájí jednání, které přinese lepší řešení problémů kybernetické nyní čelit. přepis keynote je dobře stojí za přečtení, a můžete si je stáhnout zde.
Státní bezpečnosti: škodlivé weby, CryptoLocker copycats, e-mailové podvody
14.8.2014 Bezpečnost
AppRiver vydala své pololetní zprávě o globální zabezpečení, podrobnou analýzu webu a e-mailů hrozeb a malware trendy sledované období od ledna do června 2014.
V průběhu první poloviny roku 2014 se společnost zkontrolovala více než 19 miliard zpráv, téměř 18,9 miliardy, z nichž byly spam a další 636 milionů, který obsahoval malware. Europe byl opět nejvyšší bod původu spamu výstupu následuje USA, což činí . případě vyššího procenta než je obvyklé Nejdůležitější z zprávě patří: Akce -Některé větších příběhů kolem e-mailové a webové hrozby na posledních šest měsíců v ceně CryptoLocker napodobitelů, jako CryptoWall a CryptoDefense, spolu s masivní spamové kampaně, který byl klasický "Pump a vysypání "legální podvod. "Hned na začátku, AppRiver předpověděl, že v roce 2014 bychom začít vidět zabil imitátor malware na základě CryptoLocker povolení," řekl Fred Touchette, ředitel bezpečnostního výzkumu v AppRiver. "Tato předpověď se naplnila téměř okamžitě, jak jsme začali vidět likes CryptoWall a CryptoDefense prasátko podporou na úspěch CryptoLocker." metriky -V přírůstek do známé údaje týkající se e-mail spam a viry, tato zpráva zahrnuje některé základní údaje o web-based hrozby až 2. čtvrtletí, na základě detekce AppRiver webového filtrování roztoku (SecureSurf). Celkově AppRiver zaznamenal více než 5,1 milionu unikátních lokalit přidány v průběhu prvních šesti měsíců roku 2014. kybernetickém světě oddíl Tohle zprávy pojednává o hlavních počítačové kriminality porušení a zneužití. Když byl zašifrován eBay Údaje o zákaznících ukradl, počítačoví zločinci využili výsledných titulků zasláním nevyžádané zprávy, které se pokoušely využít obavy zákazníků eBay. Navíc GameOver Zeus zasáhl scénu. Tato nová verze Zeus byl vylepšen s novými schopnostmi a byl jasně ovládat pomocí jedné skupiny se sídlem v Rusku a na Ukrajině.
Ověření preferovaný SSL / TLS šifry s Nmap
11.8.2014 Zabezpečení
V posledním roce či dvou, tam bylo hodně mluví, pokud jde o správné použití SSL / TLS kódy na webových serverech. Vzhledem k různým incidentům více či méně známých incidentů, webové stránky dnes měli používat PFS (Perfect Forward Secrecy), což je mechanismus, který se používá, když je SSL / TLS spojení zavedený a symetrické klíče vyměnit. PFS zajišťuje, že v případě, že útočník získá soukromý klíč serveru, že nemůže dešifrovat předchozí SSL / TLS spojení na tomto serveru. Pokud PFS se nepoužívá (je-li RSA se používá pro výměnu symetrického klíče), pak může útočník snadno dešifrovat * Všechny * předchozí SSL / TLS spojení. To je špatné. Nicméně, celý proces výběru šifru není tak triviální. Ve výchozím nastavení se klient představí svůj preferovaný druh šifry použité a pokud server podporuje tuto šifru, že bude vybrán. To je, samozřejmě, není optimální v prostředí, kde chceme být jisti, že bude vždy vybrán nejbezpečnější šifru, takže správci často umožňují jejich servery, takže si vybrat preferovaný kód. To umožňuje správci povolit pouze kódy, které chce, aby používali, a navíc definovat své priority - server bude vždy snažit vybrat šifru s nejvyšší prioritou (což by mělo být "nejbezpečnější jeden"). Pouze v případě, že klient nepodporuje tuto šifru, server bude pohybovat na další a tak dále, dokud nenajde ten, který je podporován klientem (nebo, pokud se tak nestane, SSL / TLS spojení se nezdaří!) .
To je dobré, a proto jsem začal doporučovat správce webového serveru lze konfigurovat své servery tak, že PFS kódy jsou zapnuté. Nicméně, při několika příležitostech jsem si všiml, že se správci nesprávně nastavte požadované šifrovací sada pořádek na serveru. To může vést k non-PFS šifrovacích apartmá vybrané, i když server i klientská podpora PFS.
Jak již bylo zmíněno dříve, to se stane, protože klient odešle seznam podporovaných šifer a výběry server "nejsilnější one", podle jeho seznamu preferovaných.
SSL Labs "( https://www.ssllabs.com/ssltest ) ukazuje, že to, když testování s referenčními prohlížečů, ale chtěl jsem, aby bylo možné zkontrolovat sám, z příkazové řádky, a to zejména, když jsem testování serverů, které nejsou dosažitelné pro SSL Labs (nebo nechci, aby viděli výsledky).
Tak jsem upravil nmap ssl-enum-ciphers.nse skript seznamu preferovaných šifry kromě jen výčet kódů. Já používám tento skript hodně do seznamu podporovaných šifry, ale já jsem byl chybí v seznamu preferovaných šifry. Pojďme se podívat na následující příklad:
$ Nmap -ST -PN p 443 127.0.0.1 --script ssl-enum-ciphers.nse
Spuštění Nmap 6.46 (http://nmap.org) na 08.11.2014 09:15 UTC
Nmap skenování zpráva za 127,0. 0.1
Pronajímatel je nahoru (0.00021s latence).
PORT STATE SERVICE
443 / tcp otevřené https
| SSL-enum-kódy:
| SSLv3: Ne Podporované kódy nalezeno
| TLSv1.0: | šifry: | TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA - silná | TLS_DHE_RSA_WITH_AES_128_CBC_SHA - silná | TLS_DHE_RSA_WITH_AES_256_CBC_SHA - silná | TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA - silná | TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA - silná | TLS_RSA_WITH_3DES_EDE_CBC_SHA - silná | TLS_RSA_WITH_AES_128_CBC_SHA - silná | TLS_RSA_WITH_AES_256_CBC_SHA - silná | TLS_RSA_WITH_CAMELLIA_128_CBC_SHA - silná | TLS_RSA_WITH_CAMELLIA_256_CBC_SHA - silná | preferované šifry objednání: | TLS_RSA_WITH_AES_128_CBC_SHA | TLS_DHE_RSA_WITH_AES_128_CBC_SHA | TLS_DHE_RSA_WITH_AES_256_CBC_SHA | TLS_RSA_WITH_AES_256_CBC_SHA | TLS_RSA_WITH_3DES_EDE_CBC_SHA | TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA | TLS_RSA_WITH_CAMELLIA_256_CBC_SHA | TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA | TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA | TLS_RSA_WITH_CAMELLIA_128_CBC_SHA | kompresory: | NULL
Teď se věci zajímavé. Můžete vidět, že server podporuje šifry PFS (ty začínající TLS_DHE jsou šifry PFS) v původním seznamu (v zeleném). Nicméně, podívejte se na preferovaných šifry seznamu (v červené barvě). Vzhledem k tomu, TLS_RSA_WITH_AES_128_CBC_SHA je přednostní šifra server, naprosto každém prohlížeči, který dnes (Mozilla, Chrome, IE, Safari), skončí použití této šifry - Vzhledem k tomu, že všechny podporují ji. Takže, i když jsou povoleny PFS šifry, se nikdy zvyknout!
Samozřejmě, že se jedná o chybu v konfiguraci webového serveru. Pojďme opravit tak šifry PFS mají vyšší prioritu a spusťte nmap skript:
$ Nmap -ST -PN p 443 127.0.0.1 --script ssl-enum-ciphers.nse
Spuštění Nmap 6.46 (http://nmap.org) na 08.11.2014 09:15 UTC
Nmap skenování zpráva za 127,0. 0.1
Pronajímatel je nahoru (0.00021s latence).
PORT STATE SERVICE
443 / tcp otevřené https
| SSL-enum-kódy:
| SSLv3: Ne Podporované kódy nalezeno
| TLSv1.0: | šifry: | TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA - silná | TLS_DHE_RSA_WITH_AES_128_CBC_SHA - silná | TLS_DHE_RSA_WITH_AES_256_CBC_SHA - silná | TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA - silná | TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA - silná | TLS_RSA_WITH_3DES_EDE_CBC_SHA - silná | TLS_RSA_WITH_AES_128_CBC_SHA - silná | TLS_RSA_WITH_AES_256_CBC_SHA - silná | TLS_RSA_WITH_CAMELLIA_128_CBC_SHA - silná | TLS_RSA_WITH_CAMELLIA_256_CBC_SHA - silná | preferované šifry objednání: | TLS_DHE_RSA_WITH_AES_128_CBC_SHA | TLS_DHE_RSA_WITH_AES_256_CBC_SHA | TLS_RSA_WITH_AES_128_CBC_SHA | TLS_RSA_WITH_AES_256_CBC_SHA | TLS_RSA_WITH_3DES_EDE_CBC_SHA | TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA | TLS_RSA_WITH_CAMELLIA_256_CBC_SHA | TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA | TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA | TLS_RSA_WITH_CAMELLIA_128_CBC_SHA | kompresory: | NULL
Mnohem lepší! Nyní jsou šifry PFS přednostní a většina prohlížeč bude používat. Můžeme dokonce potvrdit s SSL Labs - všechny relativně nových prohlížečích, které podporují PFS bude vybírat ty šifry.
Takže, pokud chcete použít tento skript otestovat své servery, najdete ji na https://github.com/bojanisc/nmap skriptů - Nahlaste nám prosím jakékoliv chyby mě.
Nakonec jsem jej předložila Nmap, takže doufám, že dostane přidáno do oficiální distribuce. Tam je chyba, že Daniel Miller si všiml - v případě, že server podporuje více než 64 šifry, a server se systémem Microsoft Windows, bude skript selže na seznam preferované šifry.
Důvodem pro to je, že když se klient připojí, Microsoft (součást Schannel předpokládám) bere v úvahu pouze první 64 šifry uvedené klientem. Ostatní šifry jsou ignorovány. To je důvod, proč původní ssl-enum-ciphers.nse Nmap skript rozdělí šifry na kousky 64. Nemám ponětí, proč se Microsoft udělal to (od spec říká, že klient může obsahovat tolik, kolik chce). Nicméně, je to jednoznačně problém.
A teď, jsem neviděl žádné webové servery, které podporují více než 64 šifry ve volné přírodě - dejte mi vědět, pokud zjistíte, že jeden. Kromě toho, podle tohoto článku: http://msdn.microsoft.com/en-us/library/windows/desktop/bb870930%28v=vs.85%29.aspx , seznam souprav kódu v systému Windows je omezena na 1023 . znaky
Protože většina šifer názvy jsou 20 a více znaky, mohlo by to znamenat, že nemůžete opravdu více než ~ 50 šifry aktivní v počítači se systémem Windows - jsem netestovala tuto ačkoli.
Google snižuje hodnocení webů bez šifrování
11.8.2014 Bezpečnost
Tímto krokem se společnost snaží zlepšit bezpečnost na internetu a propagovat bezpečnostní nástroje.
Hlavním cílem této akce je přimět vývojáře webových stránek, aby do svých výtvorů zahrnuli standard TLS (Transport Layer Security), který používá digitální certifikát k šifrování datového přenosu. Přítomnost standardu na konkrétní webové stránce nejčastěji poznáte symbolem zámku vedle webové adresy a řetězce https na začátku URL.
Google pro svůj vyhledávač obecně posuzuje webové stránky z několika hledisek, hodnotí například kvalitu obsahu či popularitu webu. Na základě celkového hodnocení pak určuje pořadí, v jakém se webové stránky zobrazí ve výsledcích vyhledávání. Přítomnost slova https v adrese webu je novým faktorem, který má na hodnocení vliv.
Většina známých webů používání šifrování ve chvíli, kdy uživatelé zadávají své přihlašovací údaje. Občas se však objeví i nešifrovaný přístup, což zvyšuje riziko, že se uživatelská data dostanou do cizích rukou.
Zavedení standardu TLS může být poměrně jednoduché pro malé webové stránky, ale může být náročné pro velké organizace s mnoha servery. Například LinkedIn ještě prováděl přechod celé své sítě na https poté, co byl společností Zimperium upozorněn na možnost zneužití některých uživatelských účtů. Lidé v některých zemích jsou po přihlášení přepnuti do nešifrovaného připojení. Podobný problém měl minulý měsíc také Instagram.
Mít úniky dat po kontrolou slibuje inovované české DLP
11.8.2014 Ochrany
Novou verzi své vlajkové lodi Data Loss Prevention představila Safetica. Mezi hlavní vylepšení patří tzv. průběžné označování (OTF – on the fly), díky které je možné vyhledat a označit data v reálném čase.
Společnosti tak podle výrobce mohou mnohem efektivněji spravovat proces identifikace dat. „V praxi to přináší zásadní úsporu času, větší automatizaci a efektivitu a méně rizik během celého životního cyklu firemních dat,“ popisuje výhody Pavel Krátký, technologický ředitel dodavatele
Funkcionalita OTF umožňuje jednodušeji klasifikovat a reklasifikovat data v rámci firmy. Informace se tak chrání od svého vzniku až po jejich případné vymazání. Automatické průběžné označování je důležité především pokud dokumenty mění svůj kontext a jsou například postupně doplňovány o citlivé informace, jako například při vytváření obchodních nabídek apod.
Nová Safetica DLP 5.0.4 má také vylepšení funkce analýzy dat, jsou rozšířené možnosti archivu. Lze nastavit globální zákaz či povolení připojení zařízení se systémy Windows. Současně došlo k vylepšení možností varování a jejich rozšíření, jako je například upozornění na čas strávený na webu nebo počet přijatých e-mailů.
„V souvislosti se zákonem o kybernetické bezpečnosti budou společnosti muset od nového roku splnit předepsaná pravidla, jejichž cílem je ochránit data občanů. Současná verze našeho produktu již nyní pomáhá firmám naplnit více než polovinu těchto opatření,“ doplňuje Krátký.
Komplexní ochranu před pokročilými útoky nabízí McAfee
11.8.2014 Ochrany
Hardwarový nástroj Advanced Threat Defense (ATD) od McAfee dokáže pomocí detekce složené z postupných analýz potenciálně škodlivého kódu nalézt, zastavit a odstranit pokročilý malware. Na náš trh ji uvedl Comguard.
Produkt podle představitelů firmy dokáže odhalit dnešní vyspělé hrozby inovativním přístupem, detekcí složenou z postupných analýz.
Díky kombinaci více bezpečnostních enginů, které provádějí hodnocení na základě signatur, kontroly v reálném čase – emulaci, dynamické analýzy ve snadno nasaditelném Sandboxu a plné statické analýzy kódu, ATD prý dosahuje vysoce efektivní detekce malwaru.
Nejenže dokáže detekovat tyto útoky, ale zároveň iniciuje okamžitá a komplexní nápravná opatření, která blokují infekce a napravují poškozené hostitele ve spolupráci s dalšími bezpečnostními produkty.
Řešení kombinuje low-touch antivirové signatury, reputaci a analýzu malwaru v tzv. Sandboxu. Dynamická analýza podezřelého souboru tak probíhá v plnohodnotném virtuálním systému, kde je nasimulován fyzický hardware i softwarová výbava uživatele/hostitele.
Na základě chování souboru v tomto prostředí se pak vyhodnotí, zda jde o malware či nikoliv. Pokud je identifikován malware, dojde k jeho blokaci a jsou o něm k dispozici také informace, jak se malware chová a jak ho lze odstranit, pokud již někam pronikl.
ATD se dá jednoduše provázat s McAfee Network Security Platform, Web Gateway, Email Gateway, nebo může sloužit jako samostatné řešení pro analýzu malwaru. Pomocí API je možné zařízení integrovat i s dalšími řešeními.
Dodává se jako HW appliance ATD-3000 nebo ATD-6000 lišící se pouze výkonem zařízení.
Hlavní výhody řešení podle výrobce:
Kompletní analýza dat
Analýza hrozeb se děje v simulaci přesných podmínek hostitele (dynamická analýza v Sandboxu založeném na prostředí a infrastruktuře klienta)
Přesnější detekce malwaru (díky kombinaci plné statické analýzy kódu souboru spolu s dynamickou analýzou zachycuje více malwaru s menším počtem falešných poplachů)
Rychlá identifikace široké škály malwaru, spolupráce s dalšími bezpečnostními produkty při odstranění infekce nebo blokování hrozeb
Centralizovaná malwarová analýza zjednodušuje nasazení a snižuje počet potřebných zařízení v síti.
IE bude blokovat zastaralé pluginy vytvořené v Javě
11.8.2014 Bezpečnost
Microsoft oznámil, že jeho webový prohlížeč Internet Explorer začne od příštího týdne na Windows 7 a Windows 8 blokovat zastaralé javové moduly.
V příspěvku na oficiálním blogu Microsoft uvedl, že prohlížeče IE8, IE9, IE10 a IE11 v operačním systému Windows 7, stejně jako IE10 a IE11 v OS Windows 8, budou příští úterý aktualizovány tak, aby uživatele upozornily v případě, když se webová stránka pokusí spustit zastaralé moduly (pluginy) či prvky vytvořené v programovacím jazyku Java.
„Podvodné webové stránky mohou cílit na bezpečnostní chyby vyskytující se v zastaralé Javě a sbírat pomocí nich informace, instalovat nebezpečný software nebo umožnit někomu jinému na dálku kontrolovat počítač,“ uvedli v příspěvku na oficiálním blogu vrchní produktový manažer pro IE Fred Pullen a programová manažerka z týmu Microsoft Security Jasika Bawová. Pokud IE narazí na zastaralé javové prvky, bude uživatele varovat a ten si následně bude moci vybrat mezi ignorováním upozornění a spuštěním prvku nebo aktualizací javového pluginu. Kliknutím na tlačítko Aktualizovat bude prohlížeč přesměrován na web, kde si uživatel bude moci stáhnout nejnovější verzi.
Od úterka bude IE blokovat všechny verze Javy kromě té nejnovější (Java SE 8 Update 11 vydaná v polovině července). I když Microsoft začíná s Javou, jež je hackery dlouho zneužívána, jelikož obsahuje řadu chyb a uživatelé často používají její zastaralou verzi, americký gigant přislíbil, že svůj blokovací program dále rozšíří. „Začali jsme s Javou, ale časem přidáme i další pluginy,“ uvedl Pullen.
Microsoft je v blokaci, či alespoň varování uživatelů před zastaralými pluginy, pozadu. Staré a potenciálně méně bezpečné moduly již nějakou dobu blokuje Safari od Apple, Google Chrome či Mozilla Firefox. Některé prohlížeče moduly blokují zcela, jiné z velké většiny. Například Firefox od své šestadvacáté verze vydané v lednu tohoto roku vyžaduje, aby uživatelé se spuštěním i nejnovější verze daného modulu výslovně souhlasili.
V listopadu minulého roku pak Chrome začal blokovat téměř všechny pluginy napsané v desítky let starém NPAPI (Netscape Plug-in Application Programming Interface) a Apple od roku 2012 pravidelně aktualizuje svůj seznam zastaralých javových a flashových pluginů v Safari. Microsoft bude aktualizovat svůj prohlížeč tak, aby blokoval zastaralé moduly vytvořené v Javě 12. srpna v rámci tzv. „Patch Tuesday“. Tak je označováno každé druhé úterý v měsíci, kdy Microsoft pravidelně vydává bezpečnostní aktualizace pro Windows, IE, Office i ostatní software.
Zatemnil škodlivé kancelářské dokumenty přijaté zločinci po celém světě
7.8.2014 Kriminalita
Poté, co z módy na řadu let, se zlými úmysly makra uvnitř souborů sady Office se v poslední době došlo k oživení. A proč ne, a to zejména v případě, že jsou mnohem levnější, než využije a schopen dělat stejnou práci?
Ano, to je pravda, zločinci se pilně recyklaci tohoto stará technika, zavádění nových zmatek formy, aby to účinnější. Podívejme se na dva příklady.
Ukázka 1
Jedná se o soubor aplikace Excel s nebezpečnými vložených maker. Pokud však budete používat standardní nástroje Office se podívat na makra, neuvidíte nic škodlivého na všechny:
To je proto, že vzorek všechna makra jsou zakódovány pomocí kódování base64 techniky.
Po de-mlžení můžete jasně vidět, adresy URL používané stáhnout užitečné zatížení:
Jedná se o velmi jednoduchý postup, ale je účinný proti jednoduché heuristiky, které používají řetězce analýzu všech příchozích e-mailových příloh, a to se odráží ve velmi nízké VT detection https://www.virustotal.com/en/file/c916540dcab796e7c034bfd948c54d9b87665c62334d8fea8d3724d9b1e9cfc9/analysis/1403955807/
Tento konkrétní příklad je také zajímavé, protože v některých verzích aplikace Excel je schopen automaticky spustit makra, aniž by uživateli zobrazil výzvu, což jí. Jakmile je spuštěn, klesne Trojan heslo krade přímo do systému oběti.
Vzorek 2
Tento druhý příklad je falešný Aeromexico vstupenek.
Neexistuje žádný zmatek, ale URL je psána z prava do leva , což opět by to mohlo být docela užitečné proti jednoduché analýzy GREP technik:
Je zajímavé si povšimnout, že první vzorek byl nalezen ve volné přírodě ve Venezuele, druhý v Mexiku a pak třetí v Brazílii:
Tenhle kapky ChePro bankéře . Všechny tři vzorky škodlivých pokles pouze trojské koně, které kradou finančních dat, ale stejný postup lze snadno použít k poklesu jakýkoli typ malwaru.
Takže to znamená, že jen v Latinské Americe zločinci použít tuto techniku? Odpověď zní ne, opravdu ne. Infekce statistiky našeho příbuzného uživatelovy ukazují, že ve skutečnosti zemí s nejvíce pokusů o infekce s použitím tohoto typu malwaru jsou Německo a pak Polsko.
Nicméně, tato technika je vidět i jinde, včetně Španělska, Mexika, Brazílie a další.
Při analýze škodlivé makro kancelářských šanonů, můžete vidět, že originální dokument je vytvořen jeden uživatel a pak někdo jiný (další trestní), pomáhá při vložení škodlivého makra.
Stejná technika může být snadno použit k poklesu jakýkoli druh malware v každé zemi, protože je to všechno o sociální inženýrství, a to snadno procházet e-mailové bezpečnostní brány, protože je to v podstatě kancelářských dokumentů a zabezpečení e-mailové politiky, aby ty.
Vědci úspěšně napadnout Android pomocí reproduktoru přístroje
7.8.2014 Mobil
Skupina výzkumníků z čínské univerzity v Hongkongu, které prokázaly, že i aplikace s nulovým oprávnění mohou být použity k útokům, které umožňují útočníkům navazovat textových a e-mailových zpráv, přístup k soukromým informacím, přijímat citlivá data, a dokonce i získat dálkové ovládání cílené zařízení.
Testováno na Samsung Galaxy S3, s Meizu MX2 a Motorola A953, jejich "GVS-útok" byl úspěšný nezávisle na tom, zda byl přístroj v chodu dodavatele oficiální verzi Android nebo CyanogenMod OS. "GVS-útok používá Android systém vestavěný hlasový asistent modul - Google Voice Search, "vysvětlují v papíru ., a vyvolá reproduktor daného zařízení "Prostřednictvím Android záměru mechanismu VoicEmployer (jejich prototyp útok app) spouští Google Voice Search do popředí, a pak hraje připravené zvukové soubory (podobně jako "Výzva číslo 1234 5678") v pozadí. Google Voice Search je rozpoznat tento hlasový příkaz a provádět odpovídající činnosti. " Výzkumníci také objevili zranitelnost stavu kontroly v Google Search App, která může být zneužita k GVS útoku na aby zařízení volání libovolné škodlivé čísla. To lze provést, i když je přístroj zamknutý a zabezpečeny heslem, nejlépe v časných ranních hodinách, kdy je více pravděpodobné, že bude spát vlastníkem zařízení. Za účelem provedení útoku, nebezpečný App - v tomto případě vlastní VoicEmployer - musí být nainstalován na cílovém telefonu a spustit. Uživatelé, kteří nemají zamknout telefony jsou ještě ve větším nebezpečí, protože data obsažená na svém zařízení, mohou být přenášeny na útočníka, a on (nebo ona) může získat kontrolu Android telefonu oběti na dálku. škodlivý aplikace je schopen udělat všechno obcházet řadu oprávnění Android (Přečteno Kontakty, Napište SMS Pošli SMS, internet, Set Alarm, si účty, a tak dále). "gvs ATTACK můžete vytočit číslo pomocí škodlivého hraní "zavolat ...", je-li toto volání odpověděl na rekordní stroj auto audio, vlastně přenos dat kanál byl postaven. Jakýkoliv typ audio dat lze přenést přes tento kanál místo běžně používané připojení k internetu, "vysvětlili. Je také zajímavé, že řada populárních mobilních aplikací nebyli schopni detekovat VoicEmployer jako nebezpečný. "Prostřednictvím experimentů, proveditelnost našich programů útoku byla prokázána v reálném světě," došli k závěru, s tím, že doufají, že jejich výzkum bude "inspirovat vývojáře aplikací a vědci přehodnotit, že nula povolení neznamená, že bezpečnost a reproduktor může být považována za nový útok povrch."
Zdarma služba, která vám CryptoLocker obětem FireEye a Fox-IT
7.8.2014 Ochrana
Různé Internet Storm Center Handling psali deníky na malware s názvem CryptoLocker, ošklivý kus malware, který šifrování souborů na systémech napadá, pak dává obětem 72 hodin zaplatit výkupné získat soukromý klíč, který dešifruje soubory. Stále existují oběti tam s šifrovaným souborům, a pokud jste jedním z nich, nebo víte o někom, citelného lidi na FireEye a Fox-IT se vytvořila webový portál https://www.decryptcryptolocker.com/ dešifrovat ty files.Â
Jedná se o bezplatnou službu pro některý postižený CryptoLocker, Â z nichž mnohé jsou malé a střední podniky bez zdrojů, které se zabývají to správně, tak, aby lidé věděli.
Používání stránek je velmi přímočará (Steps převzaty z Thea FireEye blogu [1]):
Jak používat nástroj DecryptCryptoLocker
Uživatelé potřebují připojit ke https://www.decryptcryptolocker.com/
Identifikovat jediný CryptoLocker šifrované soubor, který se domnívají, že neobsahuje důvěrné informace.
Nahrajte necitlivé zašifrovaný soubor do DecryptCryptoLocker portálu.
Příjem soukromý klíč z portálu a odkaz ke stažení a instalaci dešifrovací nástroj, který lze spustit lokálně na svém počítači.
Spusťte dešifrovací nástroj lokálně na svém počítači, pomocí přiloženého soukromý klíč k dešifrování zašifrovaných souborů na pevném disku.
DecryptCryptoLocker je k dispozici po celém světě, a nepožaduje, aby uživatelé zaregistrovat nebo poskytnout kontaktní informace.
To je fantastický zdroj z obou FireEye a Fox-IT, SOA, díky všem zúčastněným na výrobu se to stalo, a dělat to zdarma k použití.
Pro více pozadí na CryptoLocker od Fox-IT, přečtěte si zprávu their CryptoLocker ransomware intelligence [2].
Â
[1] http://www.fireeye.com/blog/corporate/2014/08/your-locker-of-information-for-cryptolocker-decryption.html
[2] http://blog.fox-it.com/2014/08/06/cryptolocker-ransomware-inteligence-report/
Chris Mohan --- Internet Storm Center Handler na hraní
Exploit je k dispozici pro aplikaci Symantec End Point ochraně
7.8.2014 Zranitelnosti
Využití není k dispozici na exploitů db.com pro Symantec End Point ochrany eskalaci práv zranitelnosti. Symantec vydala opravu tohoto problému na začátku tohoto týdne. [1]
Tato chyba zabezpečení vyžaduje přístup normální uživatele do postiženého systému a lze jej použít k zvýšení oprávnění plně ovládat systém (namísto omezení na konkrétního uživatele), takže to bude velký navazuje využít standardní drive-by zneužít získá uživatelská práva.
Získali jsme několik zpráv, že uživatelé mají potíže s instalací náplast na starších systémech (například Windows 2003). Aplikace náplasti jen selže v těchto případech, a zdá se, že nemá negativní vliv na stabilitu systému.
[1] http://www.symantec.com/business/support/index?page=content&id=TECH223338
Všechna hesla byly ztraceny: Co bude dál?
7.8.2014 Incidenty
Některé z nich mohou být humbuk. Ale bez ohledu na to, zda 500 milionů, 1,5 miliardy, nebo dokonce 3,5 miliardy hesla byly ztraceny jako včerejší zprávy nedisponují bezpečnostní států vzhledem veškeré úniky heslo, které jsme měli v průběhu posledních pár let je to docela fér předpokládat, že alespoň jeden z vašich hesel byl napaden v určitém okamžiku. [1]
ano. jsme o tom mluvili mnohokrát, ale nezdá se, že zestárnout smutně.
Takže co dál? Heslo jistě bylo prokázáno, že "nefunguje" pro autentizaci uživatelů. Ale je levná, přesto se používají ve většině webových stránek (včetně tohoto, ale my nabízíme možnost 2-faktor) Â
U webových stránek:
zkontrolovat hesel. Neexistuje žádná politika "pravdu", ale přijít s něčím, co odmítá zjevné slabá hesla, a na druhé straně umožňuje uživatelům vybrat si hesla, která mohou pamatovat (takže mohou mít jedinečné heslo pro váš web).
Ujistěte se, že vaše stránky pracuje s běžně používanými hesla manažerů. Jediný skutečný způsob, jak pro uživatele mít jedinečné heslo pro každý web je správce hesel.
zámek účty, které nebyly použity po dlouhé době, a odstranit své heslo z databáze vynucení obnovení hesla, pokud se pokusí znovu aktivovat
Uvažujme dva ověřování faktor, alespoň jako možnost a možná povinné pro vysoké účty hodnotou (například správci). Google ověřovatel je pravděpodobně ten nejjednodušší realizovat a je zdarma. Mluvili jsme o jiné alternativy v minulosti stejně.
Pro uživatele:
Mají jedinečné heslo pro každý web. Jako alternativu, může se jednat o jedinou "vyhodit", heslo pro weby, které se nepovažují za důležité. Ale uvědomte si, že na jednom místě, místo, které není teď důležité, může být důležité, protože děláte více podniků s nimi.
Pomocí Password Safe, pokud možno, který umožňuje synchronizovat lokálně, aniž byste museli poslat svou sbírku heslo do cloudu.
U významných míst, které neumožňují pro dva ověřování faktoru, zvážit "dvoudílný heslo":. Bude jedna část bude mít na heslo v bezpečí, zatímco druhá část zadáte do bezpečí část hesla je jedinečný na webu chvíli další druhá část může být stejná pro různé weby nebo alespoň snadno zapamatovatelné. To vám dá určitou ochranu proti ohrožení Password Safe.
Změna hesla jednou za čas (Já osobně rád každých 6 měsíců ...), zejména "statické" část těchto vysoce hodnotných hesla.
Zeptejte weby, které považujete za důležité provést autentizaci 2-faktor.
To je alespoň to, co jsem se přijít s při popíjení na své první šálek kávy pro day.Â
[1] http://www.holdsecurity.com/news/cybervor-breach/
Kyberzločinci ukradli údaje 1,2 miliardy uživatelů
7.8.2014 Incidenty
Společnost Hold Security oznámila, že neznámí ruští útočníci v současné době disponují databází s 1,2 miliardy uživatelských jmen a hesel ke stovkám tisíc webových portálů a půl miliardou e-mailových adres.
Jde pravděpodobně o největší databázi dat, kterou kdy kdo nakradl, a podle Hold Security byla shromážděna útoky na asi 420 000 webových stránek. „Dříve jsme se divili, když bylo kompromitováno 10 000 hesel. Nyní se nacházíme v době masových krádeží informací,“ uvedl zakladatel bezpečnostní společnosti Holden Security Alex Holden pro IDG News Service.
Hold Security nezveřejnilo názvy napadených webových stránek, avšak podle Holda jde jak o malé webové servery, tak o portály známé po celém světě. Americký list New York Times, jenž jako první se zprávou přišel, si najal nezávislého bezpečnostního experta, jenž autenticitu kradených dat potvrdil. „Tito kyberzločinci nevymysleli nic nového, pouze to udělali lépe a v takovém měřítku, že tento problém postihuje zcela každého,“ říká v rozhovoru Holden.
Podle dostupných informací se útočníci nacházejí na jihu Ruska a podle Holdena nic nenasvědčuje tomu, že by byli nějak provázáni s ruskou vládou. Skupinu má tvořit asi deset lidí ve věku okolo dvaceti let, kteří mají servery pronajaté v Rusku. Hold Security již brzy zveřejní nástroj, který lidem umožní zjistit, zda byly i jejich osobní údaje mezi těmi kradenými.
Zaujal vás tento článek? Přehled nejzajímavějších zpráv získáte odebíráním našeho newsletteru »
Tato rozsáhlá krádež dat je podle bezpečnostních expertů pro uživatele jen dalším varováním, aby nepoužívali stejné přihlašovací údaje k více webovým stránkám. Jak řekl Holden pro IDG News Service, „naučit lidi používat hesla bezpečně je velmi důležité.“ Avšak vina je taktéž na společnostech, které nejsou schopné data uživatelů řádně zabezpečit. „Pokud je to možné, používejte dvoufázovou autorizaci s použitím mobilního telefonu,“ doporučil Holden. Jak však bezpečnostní experti informovali tento týden, i dvoufázovou autorizaci je možné prolomit – naposledy se to povedlo jednomu australskému mladíkovi u PayPalu.
Hold Security hlídá průniky do systémů svých zákazníků a v minulosti informovalo o velkých krádežích dat. V říjnu minulého roku tato společnost přišla na krádež 150 milionů přihlašovacích údajů Adobe Systems a o měsíc později poukázala na krádež osobních dat poskytovatele internetové seznamky, společnosti Cupid Media. Jako zatím poslední velký průlom do souktomí byl v tomto roce označován průnik do systémů amerického řetězce Target, při němž bylo ukradeno čtyřicet milionů čísel kreditních a debetních karet a sedmdesát milionů osobních údajů.
Nejnovější verze Esetu nabízí nativní obranu proti botnetům
6.8.2014 Ochrany
Eset uvolnil k testování beta verze bezpečnostních produktů NOD32 Antivirus 8 a Smart Security 8.
Jde o produkty, které jsou určeny k ochraně domácích počítačů s operačním systémem Windows (XP, Vista, 7, 8 a 8.1, a také Microsoft Windows Home Server 2003 a 2011).
Tyto produkty v aktuální verzi 8 disponují vylepšeným modulem Exploit Blocker, který chrání před malwarem zneužívajícím dosud neznámé mezery v zabezpečení systémů; tento modul byl rozšířen
o podporu Javy.
Produkt Smart Security navíc obsahuje zcela nový modul Botnet Protection, který uživatele chrání před internetovými útoky organizovaného zločinu prostřednictvím sítí ovládaných počítačů.
Součástí řešení jsou i další pokročilé moduly, jako třeba Anti-Phishing na ochranu před podvodnými útoky typu phishing. Podle výrobce se nové verze vyznačují i velmi nízkou zátěží systému.
Nový nebezpečný červ existuje pouze v registru
6.8.2014 Viry
Nový červ s názvem Poweliks se snaží vyhnout zjištění běžnými bezpečnostními systémy tak, že kompletně běží pouze ze systémových registrů a nevytváří žádné soubory na disku. Koncept počítačového viru, který existuje pouze v systémové paměti, není ničím novým, avšak není ani příliš běžný, jelikož takové škodlivé kódy většinou nepřežijí četné restartování systému, kdy se vyčistí paměť. To však není případ Poweliks, který využívá nový přístup, aby v systému zůstal co nejdéle. O Poweliks jako první informovala společnost G Data Software, hrozbu však potvrdila i společnost Trend Micro. Po průniku do systému Poweliks vytvoří záznam v registru, který spustí legitimní soubor rundll32.exe a poté zašifrovaný kód v JavaScriptu. To podle Paula Rascagnérese z G Data spustí proces podobný ruské matrjošce. Kód v JavaScriptu zkontroluje, zda se v systému nacházejí určité prvky. Pokud ne, stáhne je a nainstaluje, přičemž následně některé z nich zašifruje a vytvoří poweshellový skript. Skript je následně spuštěn za pomoci triku, který prolomí standardní ochranu Windows, jež zamezuje spuštění neznámých powershellových skriptů bez potvrzení uživatelem. Skript následně dekóduje a spustí shellcode, který vloží knihovnu DLL přímo do systémové paměti. Jakmile běží v paměti, škodlivá DLL se připojí na dvě adresy IP v Kazachstánu, odkud přijímá pokyny. Červ může být například využit k instalaci dalších virů.
Během celého procesu od spuštění kódu v JavaScriptu až po vytvoření finálního souboru DLL červ nevytváří na pevném disku žádná škodlivá data, tudíž mají antivirové programy problém s jeho detekcí. Klíč vložený do registru navíc není vytvořen v ASCII. Tento trik zabraňuje editačnímu nástroji registrů ve Windows a dalším programům v jeho nalezení, tudíž uživatelé i bezpečnostní experti mají problém infekci rozeznat. Některé varianty Poweliku jsou distribuovány pomocí dokumentů Wordu přiložených ke spamu, jehož odesilatelem je kanadská či americká pošta. U těchto podvodných dokumentů se využívají slabiny, na něž Microsoft vydal záplaty v roce 2012. Červ se však navíc šíří také pomocí webových stránek.
K zablokování červa jako Poweliks „antivirové programy musejí buďto zachytit soubor (původní dokument Word) před jeho spuštěním nebo v další úrovni obrany musejí detekovat červa po spuštění dokumentu. Poslední možností je pak zachytit podezřelou aktivitu při monitorování registrů, zablokovat přidružené procesy a informovat uživatele,“ uvedl Rascagnéres.
Dvoufázovou ochranu PayPalu lze snadno obejít
6.8.2014 Hrozby
Bezpečnostní nástroj, který má chránit uživatelské účty služby PayPal před zneužitím, je podle zjištění australského výzkumníka možné obejít.
Uživatelé PayPalu si mohou vybrat, zda chtějí pro přístup ke svým účtům používat ověření pomocí šestimístného kódu, který obdrží formou textové zprávy. Pole pro vložení tohoto kódu se objeví teprve po správném zadání uživatelského jména a hesla. Bezpečností nástroj, který je znám jako dvoufázová autentizace, nabízí stále více provozovatelů online služeb jako třeba Google a v případě mnoha finančních služeb jde v podstatě o nezbytnou věc. Jelikož je kód zasílán offline nebo generován mobilní aplikací, je pro hackery velmi těžké jej získat. Nikoliv však nemožné. Joshua Rogers, sedmnáctiletý hoch z australského Melbourne, přišel na způsob, jak získat přístup k účtům používajícím dvoufázovou autentizaci. Detaily svého útoku zveřejnil na svém blogu poté, co PayPal navzdory jeho upozornění chybu ani po měsíci neopravil. Tím, že Rogers vyšel s chybou ven, přijde o odměnu, kterou PayPal obvykle vyplácí bezpečnostním výzkumníkům za nalezení a upozornění na zranitelnosti. Údajně si mohl přijít až na 3 tisíce dolarů. „Na penězích mi nezáleží. V životě jde mnohem o víc,“ napsal Rogers.K provedení útoku musí hacker znát přístupové údaje uživatele k účtům na službách eBay a PayPal. Pro škodlivé programy však není zase tak složité je získat. Hlavní problém je na webové stránce eBay, která uživatelům umožňuje propojit účty obou služeb. Propojením účtů totiž dojde k vytvoření cookie, díky které si aplikace PayPal myslí, že je uživatel přihlášen, přestože nezadal šestimístný kód. Funkce prý vůbec nezjišťuje, jestli má uživatel dvoufázovou autentizaci zapnutou. Rogers zveřejnil video útoku na YouTube.
Zástupci PayPalu se k situaci zatím nevyjádřili.
Hesla a e-maily vývojářů Mozilly byly měsíc volně na webu
4.8.2014 Incidenty
Organizace Mozilla v pátek na svém oficiálním blogu oznámila, že kyberzločinci možná ukradli z její databáze e-mailové adresy a kryptograficky chráněná hesla tisíců vývojářů zapojených do jejích projektů.
Podle oficiálního příspěvku na blogu Mozilly bylo na veřejně přístupném serveru po dobu asi třiceti dnů od 23. června volně přístupných 76 000 e-mailů a 4 000 hesel. Nic údajně nenapovídá tomu, že by k těmto datům někdo tajně přistupoval, avšak představitelé Mozilly uvedli, že to při vyšetřování nemohlo být vyloučeno. Útočníci, kteří by prolomili šifrování, by hesla nemohli využít k přístupu do sítě Mozilla Developer Network, avšak mohli by je použít k přístupu k jiným účtům daných uživatelů – například k jejich webmailům. To, že data byla měsíc přístupná na veřejném serveru, bylo zapříčiněno selháním blíže nespecifikovaných procesů uvnitř Mozilly. „V naší komunitě jsme známí tím, že nám záleží na soukromí a bezpečnosti. A tato nešťastná událost nás opravdu velmi mrzí,“ uvedli na oficiálním blogu Stormy Peters a Joe Stevensen z Mozilly. „Šifrovaná hesla byla zašifrována sama o sobě nelze je využít k přihlášení k portálu MDN. Je však možné, že někteří naši uživatelé použili svá původní hesla MDN k přihlašování na jiné webové portály. Postiženým uživatelům jsme proto poslali e-maily s varováním, aby si daná hesla raději preventivně změnili. Pokud jste tedy heslo používali i jinde, doporučujeme je změnit,“ stojí v příspěvku na blogu s tím. Následuje ujištění, že zaměstnanci Mozilly nyní usilovně pracují na zlepšení svých procesů tak, aby se možnost podobné události v budoucnu snížila. Případné dotazy lze zasílat na e-mailovou adresu security@mozilla.org.
Mozilla také zřídila nové vlákno na svém oficiálním fóru, kam kdokoli, kdo by mohl být postižen, může vložit svůj dotaz či žádost o radu. Problém se zveřejněnými daty vývojářů přichází jen několik týdnů po vydání webového prohlížeče Firefox 31, který přináší řadu bezpečnostních vylepšení a změn, jež mají „pomoci k vytvoření bezpečnějšího ekosystému pro uživatele i vývojáře“.
Bezpečnostní experti zjistili, že antiviry jsou děravé jak řešeto
3.3.2014 Zranitelnosti
Na bezpečnostní konferenci SyScan 360, v rámci které jsme informovali například o částečném hacknutí elektromobilu Tesla Model S, se objevila i podrobná přednáška bezpečnostního experta Joxean Koretze společnosti Coseinc.
Jak si můžete prohlédnout v podrobné přednášce, cílem výzkumu bylo zjistit rizika samotných antivirových programů, které sice mají sloužit ke zvýšení bezpečnosti, ale samo o sobě jsou značnou potenciální dírou do systému.
Jak Koretze upozornil, každý program, který do operačního systému nainstalujeme, zvyšuje riziko kvůli tomu, že poskytuje zase další prostor, který může případný útočník a malware využít. V případě antivirů je situace o to nebezpečnější, protože mají k dispozici vyšší či nejvyšší práva, bez kterých by na druhou stranu zase nemohly vykonávat činnost v podobě skenování, úprav nebo mazání souborů.V rámci výzkumu se podařilo nalézt zneužitelné chyby v antivirech od společností jako Avast, Bitdefender, Avira, AVG, Comodo, ClamAV, DrWeb, ESET, F-Prot, F-Secure, Panda nebo eScan. Celkem se podařilo nalézt chyby v přibližně 17 různých antivirech. A dle vyjádření se nelze ničemu divit. Tyto programy píší lidé stejně jako jakýkoli jiný software a chybám se tak nelze nikdy zcela vyhnout. Většina antivirů například používá pro aktualizaci nezabezpečené spojení HTTP, což umožňuje případnému útočníkovu využít techniku „Man in the middle“ a získat tak pomocí antiviru přístup k celému počítači.
Nalezené chyby už například společnosti Avast nebo Eset opravily, v případě ostatních to zatím není potvrzené. Jak prozradil šéf AV-Test, která se zabývá testováním antivirů, osobně nevidí příliš velký problém s chybami v antivirech a spoléhá na statistiku. Pro případného útočníku je vždy výhodnější využít chyby v rozšířených aplikacích jako je Java, Adobe Reader/Flash a podobně, které se nachází takřka na každém počítači. Antivirových řešení je velké množství a potenciální trh v rámci jednoho typu tak není příliš lákavý.
All Samba 4.x.x are vulnerable to a remote code execution vulnerability in the nmbd NetBIOS name services daemon
2.8.2014 Zranitelnosti
A remote code execution in nmbd (the NetBIOS name services daemon) has been found in Samba versions 4.0.0 to 4.1.10. ( assgined CVE-2014-3560) and a patch has been release by the team at samba.org.
Here's the details from http://www.samba.org/samba/security/CVE-2014-3560
===========
Description
===========
All current versions of Samba 4.x.x are vulnerable to a remote code execution vulnerability in the nmbd NetBIOS name services daemon.
A malicious browser can send packets that may overwrite the heap ofthe target nmbd NetBIOS name services daemon. It may be possible to use this to generate a remote code execution vulnerability as the superuser (root).
==================
Patch Availability
==================
A patch addressing this defect has been posted to
http://www.samba.org/samba/security/
Additionally, Samba 4.1.11 and 4.0.21 have been issued as security releases to correct the defect. Patches against older Samba versions are available at http://samba.org/samba/patches/. Samba vendors and administrators running affected versions are advised to upgrade or apply the patch as soon as possible.
==========
Workaround
==========
Do not run nmbd, the NetBIOS name services daemon.
Zájem o SSL a PKI na vzestupu
2.8.2014 Bezpečnost
Nárůst v počtu narušení dat a nedávné bezpečnostní chyby, jako Heartbleed vyvolal silný zájem na digitálních certifikátů a technologií, včetně SSL a PKI. Nová analýza od Frost & Sullivan zjistí, že na trhu činily příjmy z 357400000 dolarů v roce 2013 a odhady tento dosáhnout 532800000 dolar v roce 2017. Sektor vládních institucí se očekává, že představují největší podíl z celkových příjmů vzhledem k realizaci několika projektů doklad totožnosti. Výbuch mobilních zařízení, což vede ke vzniku nových modelech použití a návyky, bude dále zdůrazňují potřebu identifikovat lidi, přístroje a transakce, urychlovat poptávku po PKI. "V minulosti, mnoho organizací viděl velmi malý přínos zaměstnávání PKI kvůli nedostatku kompatibilních aplikacích, zatímco podniky a vlády, které používají PKI setkal s několika problémy v systému, "uvedl ředitel společnosti Frost & Sullivan Informační a komunikační technologie globální program Jean-Noël Georges. "Dnes, kvalita PKI platformy a souvisejících služeb se výrazně zlepšila, rozšíření tržního potenciálu." Zatímco obrovské příležitosti k růstu existují na světovém trhu, dostupnost novějších bezpečných řešení omezuje prostor pro přijetí PKI. Kromě toho, že ne všechny middleware vyžadují silnou autentizaci. Strategie řízení změn nezbytných pro tato zařízení přidat do koncové uživatele mlčenlivost. Chcete-li získat klienty, poskytuje kompletní návratnost investic analýzy, která také bere v úvahu skryté náklady řízení certifikátu, profil životnost a podpora form factor je důležité. "Firmy a vlády hledají řešení, která jsou dostatečně flexibilní, aby pracovat se stávajícími systémy a vyvíjet přidat nové služby nebo používá rychle a efektivně, "uvedl Georges. "Poskytovatelé certifikátů, které jsou schopné podporovat mnoho zařízení, bezpečnostní požadavky, zvyklosti a systémy dodat technologie agnostik platformu pro správu certifikátů posílí svou pozici v globální PKI domény."
40% z orgs systémem VMware stále náchylné k Heartbleed
2.8.2014 Zranitelnosti
Uplynulo více než tři měsíce od objevu OpenSSL Heartbleed chyby , a mnoho systémy jsou stále zranitelné.
Podle údajů shromážděných analytických údajů firmy CloudPhysics, více než polovina nasazených VMware vCenter serverů (57%) a ESXi hypervisor počítačů (58%) postižených vady jsou stále unpatched. VMware odvedl dobrou práci tlačí ven aktualizací zabezpečení pro své výrobky (včetně výše uvedených), že fixní zranitelnost ve dvou týdnech po objevení, takže problém zde jsou správci virtuálních datových center. "I spekulovat, že IT týmy jsou laxní o záplatování ESXi, protože tyto stroje jsou obvykle za firewall a není snadné se dostat z vnějšího světa, " poznamenal Irfan Ahmad, spoluzakladatel a CTO v CloudPhysics. "Nicméně, že laxnost neznamená, že zpoždění v záplatování dobrý nápad. Za prvé, zasvěcených útoky nadále hlavním zdrojem porušování. Dalším aspektem je, že pokud nebudou útočníci podaří infiltrovat malou oprávnění služby uvnitř brány firewall, jste právě jim dal volnou ruku k útoku na vaše nejcitlivější data. " Všichni ve všech, jejich data říká, že vysoká 40 procent organizací ve své celosvětové uživatelské základny mají alespoň jednu vCenter server nebo ESXi hostitele, který je stále zranitelné. "Mnozí bezpečnostní experti předpovídali, že by to mohlo trvat měsíce až roky, aby konečně zbavit Heartbleed. Bohužel, alespoň pro VMware infrastruktury, to se zdá být pravda, "říká, jako rychlost záplatování je neustále zpomaluje.
Evropská centrální banka vydíral v důsledku porušení dat
2.8.2014 Incident
Evropská centrální banka (ECB) - centrální banka pro euro - utrpěl porušení dat, a teprve objevil po obdržení vydírání dopis od útočníka. Dobrou zprávou je, že porušení zapojit pouze databázi sloužící veřejnosti banky webové stránky, která obsahovala pouze e-mailové adresy a další kontaktní údaje, které zanechaly lidí, registrovaných na události v ECB. "byly ohroženy žádné interní systémy či tržní citlivých dat," banka potvrdila ve čtvrtek. "Databáze slouží částí internetových stránkách ECB, které shromažďují registrace na akce, jako jsou Kongresy a návštěvy ECB. Je fyzicky oddělen od veškerých vnitřních systémů ECB." Zatímco většina údajů v kompromitaci databáze byla šifrována, některé e-mailové a fyzické adresy a některá telefonní čísla nebyly, a banka okamžitě začal kontaktovat lidi, jejichž data byla přístupná. Doufejme, že oni jsou také říkat jim, aby si dávaly pozor na potenciální útoky typu phishing a Vishing pokusy, stejně jako krádeže identity. Banka se také změnil všechna hesla v systému jen v případě, a potvrdil, že chyba zabezpečení, která byla využívána v rozporu bylo řešit. Německé policie byli informováni o krádeže a začali vyšetřování (sídlo banky je ve Frankfurtu nad Mohanem). "porušení ECB je poslední v dlouhé řadě vysoce profilových útoků proti finančním cílům. Zatímco prohlášení ECB se snaží ubezpečit veřejnost, že tato databáze byl oddělen od systémů na trhu (což je standardní dobré praxe), výsledek porušení proti nízké hodnoty (v kontextu), webové stránky ECB je disproporční špatný tisk a značky škoda, "Will Semple, VP výzkumu a inteligence pro Alert Logic, komentoval pro Help Net Security. "Bude zajímavé sledovat trhy, aby zjistili, zda tato událost přináší obavy důvěru v ECB v průběhu několika příštích dnů." "To je také dobrý příklad v základním problémem, se kterým organizace se snaží zvládnout problémy," Cyber "," on poznamenal. "Tradiční rizik přístup založený na hodnocení bezpečnosti a kontroly designu umožní webové stránky a nízká úroveň / nízká hodnota má být vybudována, bez ochran, jako je šifrování dat v klidu a při tranzitu. Vezmeme-li přístup ke stejné hrozba na základě otázka, kterou jsme si radikálně odlišnou odpověď. Faktor poškození reputace a vlivu důvěry na trhu v důsledku útoku na nízké úrovni a začít navrhovat pro kybernetickou odolnost proti hrozbě spíše než "přijatelné riziko".
Internet Explorer zranitelnosti zvyšuje na 100%
2.8.2014 Zranitelnosti
Brómu Labs analyzovány veřejné zranitelnosti a využije z prvních šesti měsících roku 2014. Výzkumu zjistila, že zranitelnost Internet Explorer zvýšil více než 100 procent od roku 2013, překonal Java a Flash zranitelnosti.
Vědci zjistí, že: Hackeři stále více zaměřují Internet Explorer - Analýza ukazuje, že zranitelnost Microsoft Internet Explorer se zvýšily více než 100 procent od roku 2013, trend podtrhlo postupně kratší dobu do prvního patche pro jeho posledních dvou vydáních. Veřejné JAVA nulovými dny úpadku - V roce 2013, Java vedl mezi zranitelností a veřejné využije, ale tento trend se obrátil v roce 2014 ve skutečnosti, v prvních šesti měsících roku 2014, tam nebyl jediný veřejný JAVA využít.. Action Script Spray řídí zero-day útoky - Oba Internet Explorer a Flash zero-day útoky zadlužuje Action Script spreje, rodící techniku, která obchází adresu rozložení prostoru randomizace (ASLR) s programem zpětného orientované (ROP) řetězce. "Koncoví uživatelé i nadále prvořadým úkolem pro zabezpečení informací profesionály, protože jsou nejvíce cílené a nejvíce náchylné k útokům "řekl Rahul Kashyap, hlavní bezpečnostní architekt, brómu. "Webové prohlížeče byly vždy oblíbenou alej útoku, ale nyní vidíme, že hackeři jsou nejen stále lepší v útoku Internet Explorer, dělají to častěji." Úplná zpráva je k dispozici zde.
Bezpečnostní aplikace, programy, Velká Británie zaostává za USA
2.8.2014 Hrozby
UK podniky zaostávají amerických podniků, pokud jde o programy bezpečnostních aplikací. Nová studie IDG bylo zjištěno, že v průměru společnosti z Velké Británie jsou výdaje přibližně o 21 procent méně než v USA společností stejné velikosti. Studie také zjistila, že ve Velké Británii, 66 procent z interně vyvíjených aplikací zůstává neprověřených pro kritické zranitelnosti, jako SQL injection. Podniky ve všech odvětvích přinášejí nové mobilní zážitky, využití mrak a Big datové analýzy, a digitalizují své procesy. Výsledkem je, že aplikace jsou dnes hnací silou hospodářského růstu, a všechny podniky se stávají digitální podniky. V průměru jsou podniky vnitřně vyvíjet 2500 aplikací ročně. Kromě nižších výdajů na zabezpečení aplikací, studie také ukázala, že společnosti z Velké Británie jsou více pravděpodobné, že soustředit své bezpečnostní aplikace, programy pouze na podmnožinu business-critical aplikace, spíše než . Celé portfolio aplikací Naopak, organizace ve Spojených státech je více pravděpodobné, že vydat pověření pro programy pro posuzování bezpečnosti aplikace v celém podniku - výrobu programů na amerických podniků, v průměru, zralejší, než na britských podniků. Když se programy zabezpečení aplikace nejsou přesahují obchod- kritické aplikace, podniky opustit tisíce aplikací zranitelné. To vytváří bezpečnostních hrozeb dlouhodobé i kyber-zločinci útočí na cestu nejmenšího odporu do IT infrastruktury, bez ohledu na to, zda byla aplikace business-critical nebo málo používaný webových aplikací. "Společnosti jsou stále lepší zabezpečení svých sítí a koncové body, které způsobují kybernetických zločinců zaměřit své úsilí na aplikační vrstvě. Výsledkem je, že více než polovina všech úspěšných porušení jsou připisovány na aplikační vrstvě zranitelnosti, "řekl Adrian Beck, ředitel pro správu zabezpečení programu, EMEA. "Uzavření bezpečnostních mezeru mezi počtem aplikací jsou vyrobeny a číslo, které jsou posuzovány pro bezpečnost pomůže britské společnosti zůstat konkurenceschopné v novém aplikačním ekonomiky."
Apple potvrzuje iOS zadní vrátka, výzkumník říká, že vysvětlení je zavádějící
2.8.2014 Zranitelnosti
V návaznosti na zjištění nelegálních funkcí v iOS společnosti Apple, které mohou sloužit jako zadní vrátka, společnost změnila v článku znalostní báze vyjmenovat a vysvětlit tři sporné služby nalezené iOS forenzní expert Jonathan Zdziarski.
Pcapd nástroj, to je vysvětleno, "podporuje diagnostické zachycení paketů ze zařízení se systémem iOS na důvěryhodné počítače," a je používán pro "řešení problémů a diagnostiku problémů s aplikací na zařízení, stejně jako připojení k podnikové VPN." file_relay služba je také používá pro diagnostiku a Apple strojírenství kvalifikovat konfigurace zákazníků. "Tato služba je oddělený od uživatelských generované zálohy, nemá přístup ke všem datům v přístroji, a respektuje iOS ochranu dat," tvrdí. Konečně, house_arrest "se používá iTunes pro přenos dokumentů do az přístroje se systémem iOS pro aplikace, které podporují tuto funkci, "stejně jako při vývoji aplikace pro přenos údajů ze zkoušek. Zdziarski komentoval na to tím, že je problém s pcapd je, že lze aktivovat na libovolném zařízení bezdrátově, bez vědomí uživatele nebo povolení, a může, proto být použit pro snooping třetími osobami v privilegované postavení. "Apple je, že je zcela zavádějící tím, že prohlásí, že soubor relé je pouze pro kopírování diagnostických dat. Pokud by diagnostických dat, máte na mysli kompletní album uživatele, jejich SMS, poznámky , Address Book, Geolocation dat, screenshoty poslední věc, kterou se při pohledu na, a tuny dalších osobních údajů - tak určitě ... ale tato data je příliš osobní povahy, které mají být někdy potřebné pro diagnostiku, "dodal. také on poukázal na to, že znovu, uživatel nikdy požádal o povolení k výpisu všech těchto údajů, nebo oznámeny v žádném případě. Službu je možné použít bezdrátově, a to také nerespektuje záložní šifrování daného zařízení, říká. Říká se, že ano, iTunes a Xcode použít house_arrest službu, ale to může být také použit pro přístup k citlivé informace app, včetně soukromého rozhovory a OAuth žetony. "To není zadní dveře, spíše privilegovaný přístup, který je k dispozici zde, že opravdu není nutné, aby se tam (nebo alespoň by mohl být navržen jinak)," podotkl. Ujistil se, poznamenat, že on nemá nárok že tato zadní vrátka byly tam dal úmyslně na příkaz NSA nebo jiných orgánů. "Co dělá starost mě je, že Apple se zdá být zcela zavádějící o některých z nich (zejména soubor relé), a ne řešit problémy jsem vznesené na ostatní, "poznamenal a dodal, že doufá, že společnost bude tiše opravit mnohé z nich v budoucích verzích mobilního operačního systému. "Bylo by nezodpovědné divoce na Apple, aby řešení těchto otázek, a to zejména nyní, že veřejnost ví o nich," dodal.
Jak organizace vypořádat s BYOD a mobilní bezpečnosti
2.8.2014 Mobil
Nová studie zjistila, že téměř polovina respondentů souhlasila, že uživatelé přinášet stažené aplikace nebo obsah s vloženými bezpečnostních exploitů do jejich organizace, stejně jako malware infekce, jsou špičkové bezpečnostní BYOD obavy. Navíc, 60 procent respondentů uvedlo, že ochrana proti malware je podmínkou pro mobilní bezpečnost.
Studie byla nezávisle provedena informační bezpečnosti Společenství na LinkedIn. Tato druhá studie vydání shromážděny odpovědi z více než 1100 bezpečnostních IT odborníky získat hlubší znalosti do praxe, použití a bezpečnostní obavy po celém BYOD. "Ztráta společnosti nebo klientských dat, následuje neautorizovanému přístupu k datům a podnikových systémů jsou dostatečně propagováno jako bezpečnostní hrozby po celém BYOD, a oni byli Největší obavy o bezpečnost respondentů v naší studii 2014, "řekl Holger Schulze, zakladatel 200.000 + členského informační bezpečnosti Společenství. "Ale to je velmi zajímavé, že studie odhalila, že příští Největší obavy o bezpečnost respondentů byly uživatelům přináší stažené aplikace nebo obsah s vloženými bezpečnostních exploitů do jejich organizace (47 procent), následují malware infekce (45 procent)." Podle respondentů, pouze 21 procent svých organizací plně implementovány zásady BYOD, procesy a infrastrukturu. Navíc, 24 procent organizací respondentů nemá mobilní politiku zařízení. Podél stejných linek, 21 procent respondentů uvedlo, že v soukromém vlastnictví zařízení, jsou široce používány ve svých organizacích, ale nejsou podporovány v rámci svých organizací. Zatímco přístup k e-mailu, kalendáře a kontaktů je nejvíce populární použití pro BYOD zařízení (86 procent), další obchodní aplikace a data jsou také běžně přístupné BYOD zařízení. Studijní respondentů uvedlo, přístup k dokumentům a editační aplikace jsou používány 45 procent času; Sharepoint a intranetu přístup se stane 41 procent času; a aplikace pro sdílení souborů a aplikací společnosti postavené jsou přístupné 34 procent času. Pokud jde o citlivých dat a duševního vlastnictví jsou přístupné přes BYOD, byli respondenti nejvíce týká ochrany obchodních údajů (74 procent), údaje zákazníků / zaměstnanců ( 69 procent), a dokumenty (66 procent). Podle respondentů, nejvíce populární nástroj pro monitorování a správu mobilních zařízení byla správa mobilních zařízení (MDM), při použití na 43 procent organizací respondentů, následuje nástrojů zabezpečení koncových bodů (39 procent) a Network Access Controls (38 procent). Podobně, nejčastější opatření ke kontrole rizika pro mobilní zařízení byly ochrana heslem (67 procent), následuje dálkovým stírání údajů (52 procent), a používání šifrování (43 procent). Významné údaje v této zprávě je, že 21 procent organizací kteří uznávají široké využití soukromých zařízení, pro které neexistuje žádná podpora v rámci svých organizací. Malware hrozby jsou již provedeny do organizace těchto neudržovaných soukromých zařízení.
Infographic: 25 let firewallu
2.8.2014 Bezpečnost
Tento měsíc firewall otočil 25, a McAfee slaví s Infographic, že kreativně líčí její životnost. Klikněte na obrázek níže stáhnout kompletní verzi.
Pokud budete mít chvilku pro skenování infographic, zjistíte, zavedení a vývoj firewallu shodují s některými bezpečnostními událostmi:
1995: WM / Concept první virus šíří prostřednictvím aplikace Microsoft Word
2000: První denial-of-service útok objevil
2008: Conficker napadá 9-15.000.000 systémy společnosti Microsoft.
Její největší rozvoj a růst nastal u každé jednotlivé porušení bezpečnosti objevil. Tyto události spustil bezpečnostní vývojářům reagovat s vyspělejší technologií firewall:
1998: úniky průzkum
2009: Nativní shlukování pro vysokou dostupnost a výkon zavedené
2012: Software povoleno zabezpečení zavedena, takže technologie čepel zastaralé.
Pat Calhoun, senior viceprezident a generální ředitel skupiny na McAfee Security Network, poskytuje lepší přehled o pomoc Net Security čtenářům v tomto článku .
Šest mužů účtované v stubhub případě cyber krádeži
2.8.2014 Kriminalita
Šest jednotlivci byli obviněni v USA v souvislosti s mezinárodní počítačové trestné činnosti prsten, který byl schopen převzít uživatelské účty stubhub, ukrást osobní informace, použijte obětí kreditní karty dělají podvodné nákupy elektronických jízdenek, a přenos výnosů prostřednictvím celosvětové sítě z kompliců ve Spojených státech, Velké Británii, Rusku a Kanadě. Stubhub byla ošidili o zhruba 1 milion dolarů. Podle obžaloby, StubHub, dceřiná společnost eBay, která provozuje veřejné internetové stránky a digitální trh pro zákazníky nakupovat a prodávat e-jízdenky na různé zábavní akce, zjistil, že více než 1000 účtů byly ohroženy jednotlivců, kteří používají již existující informace o kreditní kartě spojené s účty na nákup vstupenky bez povolení legitimními držiteli karet. StubHub hlášeny podvod a okamžitě realizovat bezpečnostní opatření, aby se zabránilo tyto útoky, známý jako "Account převzetí" podvodu. Nicméně, výzkumníci zjistili, že trestní prsten byl schopen obejít bezpečnostní protokoly v rámci účtů pomocí nové informace o kreditní kartě ukradený z dalších obětí, namísto dříve existující informace karet původních obětí. Po zkoumání příjmů a transakční záznamy o více než 1600 nelegálně přístupné účty, analytici v úřadu Manhattan návladního byli schopni vysledovat výměny na adresy internetového protokolu, PayPal účty, bankovní účty a jiné finanční účty používané a kontrolované obviněných osob. Vadim Polyakov, 30, a Nikolay Matveychuk, 21, jsou obviněn z použití informací přijatých od stubhub účtů a čísla kreditních karet ukradl na nákup více než 3500 e-lístky, které byly odeslány do skupiny jedinců v New Yorku a New Jersey, které mají být dále prodány během několika hodin po události. Tyto události včetně některých Nové York je nejvíce populární a vyhledávanou akcí, jako jsou koncerty představovat Elton John, Marc Anthony, Justin Timberlake a Jay-Z; sportovní události, včetně Yankees hry baseballu, obři a Jets fotbalových utkání, Knicks a Nets hry košíkové, Rangers hokejových her, a US Open, a Broadway show, jako je například kniha Mormon. Daniel Petryszyn, 28, Laurence Brinkmeyer, 29, a Bryan Caputo, 29, je obviněn z dalšího prodeje odcizených lístky, které obdržel od Poljakov a jeho společníků. Podle pokynů Poljakov, trestní Výtěžek z prodeje odcizených vstupenky byly rozděleny, a nařídil, aby více PayPal účty pod kontrolou Poljakov a jeho spolupracovníků, jakož i více bankovních účtů ve Spojeném království a Německu. Jedním z těchto bankovních účtů patřil k Sergei Kirin , 37, ruský státní příslušník, který inzeroval své služby praní špinavých peněz on-line. Poljakov řídil Petryszyn, Brinkmeyer, a Caputo posílat platby na Kirin, který udržel procento z peněz, jako jeho poplatek. Tisíce dolarů byly také rozděleny do samostatných plateb a poslal převodem na jiných peněžních perou v Londýně, Anglie a Toronto, Kanada. Dne 1. července, DA Úřad stanovil, že Poljakov a přítel se cestují ve Španělsku. Během několika hodin od potvrzení jeho přítomnost v zemi, Interpol vydal mezinárodní Red Upozornění k jeho zatčení. O dva dny později, španělské orgány pracují s látkami, Spojené státy americké tajné služby zatkli Polyakov mimo jeho blízkém okolí Barcelony. Ve středu vyšetřovatelé ze státního návladního úřadu, NYPD, Tajná služba Spojených států, Bergen County, a Hudson County, provedené domovní prohlídce v Nové York a New Jersey v rezidencích Petryszyn, Brinkmeyer a Caputo pro další důkazy o jejich účasti a zapojení do systému. zahraničí, City of London Policejní detektivové vyšetřovat, co mají podezření, že jsou výnosy z trestné činnosti, která je vyprané legitimním UK banky účty zatkli tři muže. Muži, ve věku 27, 39 a 46, se v Londýně zatčen pro podezření z trestných činů praní špinavých peněz a převezen do místní policejní stanice k výslechu. Královská kanadská jízdní policie také provedla domovní prohlídce a zatkla další podezřelé peněžní bělič v Torontu. Obžalovaní jsou účtovány v New York State Supreme Court s různým stupněm praní špinavých peněz, krádež, trestní Držení kradeného majetku a krádeží identity, mimo jiné obvinění. "Jak stubhub v 1000 zákazníci připojit k těm, Adobe, Snapchat, Michaels a Neiman Marcus v již tak dlouhého seznamu 2.014 narušení dat, dnešní zprávy by měl působit jako další připomínkou toho, že je naléhavě potřebný odlišný přístup k zabezpečení dat," Paul Ayers, VP EMEA, Vormetric, komentoval pro Help Net Security. "Jediným řešením je pro podniky, aby bylo zajištěno, že mají sofistikované bezpečnostní inteligenční řešení v místě -. který je schopen poskytovat kontinuální monitorování v reálném čase svých IT systémů Jedině tak budou upozorněni na neobvyklé nebo anomální chování a přístup k vzorců, jakmile k nim dojde, což může znamenat, externí útok nebo škodlivý zasvěcených, a reagovat podle potřeby. Na druhé straně, šifrování všech dat, bez ohledu na to, kde bydlí, je nutností -. Zajistit, aby bez ohledu na to, jehož ruce spadá do, zůstává nečitelné a v podstatě k ničemu " "Tato akce se zpevní pouze tvrzení, že spolupráce mezi zeměmi proti společné Hrozba může sundat zdi dříve blokuje cestu spravedlnosti. Samozřejmě, že budeme svědky oživení v mírně odlišné podobě, protože lukrativní podnikání rádoby zločinci najít v trestné činnosti, ale aspoň vím, že se snaží, jak by mohly, a to i pokud k nim dojde, aby bylo dosaženo malé vítězství, je to všechno k ničemu, jakmile se objeví na radaru těch, kteří se snaží přinést do našeho digitálního světa, mír a bezpečnost, "Adam Kujawa, vedoucí Malware inteligence v Malwarebytes Lab, řekl Help Net Security . "Vše, co je třeba, je malá netěsnost v ponorce, aby se loď, v mnoha případech, že je vše, co činných v trestním řízení musí jít, když sledují operace proti zločincům. Největším problémem počítačová kriminalita svět má, je, že vyšší úroveň, více profesionální zločinci budou muset vždy řešit s méně profesionální zákazníky v určitém okamžiku a přitom riskovat své vlastní bezpečnosti. Kromě toho, chamtivost a příležitost, která přichází spolu s počítačovou kriminalitou klade hodně zločinců z více paranoidní myšlení a nutí je dělat obchod s méně bezpečné zákazníky, nevyhnutelně přináší své nepřátele (tajné donucovacích orgánů) do jejich milosti, počínaje řetěz událostí, které se jich dostane chytil. "
CIA špehovala počítače amerického Senátu
2.8.2014 Špionáž
Z výsledků interního vyšetřování CIA vyplývá, že zaměstnanci této vládní agentury neoprávněně přistupovali k počítačům používaným senátní Komisí pro výzvědné služby, když komise pracovala na zprávě o vyšetřovacích metodách CIA. Dříve v tomto roce senátorka Dianne Feinsteinová nařkla CIA ze špehování počítačů v hlavním městě Washingtonu., k nimž měli v roce 2010 mít přístup pouze členové Komise. Ti prohledávali miliony utajených dokumentů vztahujících se k vyšetřovacím metodám, jež započaly za vlády prezidenta George W. Bushe. Komise měla provést nezávislé vyšetřování tak, aby k dokumentům neměl přístup nikdo jiný, kromě jejích členů a zaměstnanců. Podle Feinsteinové si však pracovníci Komise časem všimli, že klíčové dokumenty z pevných disků postupně mizí. Po vznesení obvinění Feinsteinové celou věc prošetřil nezávislý inspektor a z výsledků vyšetřování vyplývá, že „někteří zaměstnanci CIA nejednali v souladu s dohodou Komise a CIA.“ Feinsteinová a další členové Komise se o zjištěních inspektora dozvěděli tento týden v úterý a ředitel CIA se jim omluvil za jakákoli jednání zaměstnanců CIA, která byla podle výsledků šetření v rozporu s původní domluvou. Někteří pozorovatelé vnímali nařknutí údajně nekalého jednání zaměstnanců CIA zrovna Feinsteinovou jako ironické, jelikož tato senátorka byla jedním ze skalních zastánců toho, aby americkým vládním agenturám (především NSA) bylo umožněno špehování jak v zahraničí, tak i v určitých případech doma. Bývalého spolupracovníka NSA Edwarda Snowdena, jenž v uplynulých letech uveřejnil řadu tajných dokumentů o praktikách NSA, pak Feinsteinová označila za „zrádce“. „Prokázané jednání CIA je opravdu velmi vážné a já jako člen Komise a i jako člověk, který chová k CIA obrovský respekt, jsem velmi zklamán jednáním agentů CIA, kteří pronikli do počítačů vyšetřovatelů,“ uvedl senátor Saxby Chambliss. Podle hlavního inspektora CIA Davida Buckleyho k počítačům a především k databázím, jež měly sloužit výhradně k účelům šetření Komise, „nevhodně“ přistupovalo pět zaměstnanců CIA, dva právníci a tři odborníci IT. Buckley neuvedl, kdo tento průnik nařídil či kdy se o něm vysoce postavení příslušníci CIA dozvěděli. „Jsme jediní lidé, kteří nad těmito organizacemi vykonávají dohled. A pokud se nemůžeme spolehnout na přesnost informací, jež dostáváme, jde o zesměšnění celé naší funkce,“ uvedl senátor Angus King.
„Nemám jinou možnost, než požádat ředitele CIA Johna Brennana o rezignaci,“ uvedl pak v prohlášení další senátor Mark Udall. „CIA porušila ústavu, když špehovala počítače Senátu. Nejde pouze o porušení zákonů, ale ústavního pořádku. A z toho je třeba vyvodit důsledky,“ dodal Udall.
BadUSB zneužívá disky USB k útokům na počítače a smartphony
1.8.2014 Hrozby
Bezpečnostní experti objevili nového červa s názvem BadUSB, který se šíří pomocí disků USB a který dokáže nebezpečně přeprogramovat klávesnice, web kamery a další zařízení připojovaná pomocí portů USB.
Experti ukáží BadUSB na veřejnosti příští týden na konferenci Black Hat v Las Vegas. Pomocí tohoto červa mohou útočníci naprogramovat disk USB tak, aby se choval například jako síťová karta a navedl tak počítače na podvodné webové stránky. Experti příští týden ukáží také útoky, které fungují u telefonů s operačním systémem Android.
„Pokud cokoli připojíte k portu USB, měli byste si být opravdu jistí, o co jde,“ uvedl Karsten Nohl ze společnosti Security Research Labs v Berlíně. „Vždy tam může na pozadí běžet nebezpečný kód. Pokaždé, když někdo připojí zařízení USB k vašemu počítači, musíte mu opravdu věřit.“
BadUSB je sofistifikovanější než pouze nahraný červ typu Stuxnet na flash disk. BadUSB totiž funguje na jakémkoli typu zařízení s portem USB a je téměř nemožné jej detekovat bez pokročilých forenzních metod – antivirové programy jsou na něj krátké.
Zaujal vás tento článek? Přehled nejzajímavějších zpráv získáte odebíráním našeho newsletteru »
A co je možná ještě horší, zařízení infikovaná BadUSB je mnohem těžší této nákazy zbavit. Pouhé zformátování disku ničemu nepomůže, jelikož škodlivý kód je nahrán přímo do firmwaru disku. Problému se tak lze zbavit pouze instalací původního firmwaru. „Příště, až na svém počítači objevíte virus, musíte předpokládat, že je infikováno i vaše příslušenství a počítače lidí, kteří je připojovali k tomuto příslušenství,“ uvedl Nohl s tím, že útok BadUSB je podobný nakažení spouštěcích sektorů pevných disků. Klíčový rozdíl je však v tom, že většinu útoků na spouštěcí sektory lze odhalit pomocí antivirů.
V rámci prezentace na BlackHat zvané „BadUSB – když se příslušenství promění v ďábla“ budou provedeny čtyři ukázky, a to:
přeměna nového disku USB na počítačovou klávesnici, která otevře příkazový řádek na napadeném PC a vloží pokyn, který stáhne nebezpečný kód
přeměna nového disku USB v síťovou kartu, která způsobí, že počítač bude využívat podvodný doménový server, jenž uživatele navede na nebezpečné webové stránky
naprogramování nového disku USB tak, aby infikoval legitimní instalační soubor Ubuntu
přeměna telefonu s Androidem v nebezpečnou síťovou kartu
Podle Nohla se běžní uživatelé proti BadUSB prakticky nemohou bránit. Nejlepší obranou je připojovat k počítači opravdu jen zařízení od lidí, kterým věříte. Problémem totiž je, že disky USB (na rozdíl třeba od příslušenství založeném na standardu Bluetooth, jež využívá kryptografické zámky) nebyly nikdy k zabránění těmto útokům určeny.
Symantec Endpoint Protection Privilege eskalace Zero Day
31.7.2014 Zranitelnosti
Lidé na Offensive Security oznámila, že v průběhu testu penetrace pro jednoho ze svých zákazníků, oni našli několik chyb zabezpečení v aplikaci Symantec Endpoint Protection produktu. I když údaje jsou omezené, je zranitelnost jeví umožnit zvýšení úrovně oprávnění pro uživatele systému, který by poskytl prakticky neomezený přístup k systému. Offensive Security zveřejnil video ukazující využití jednoho z zranitelnosti .
Symantec uvedl, že jsou si vědomi zranitelnosti a vyšetřování.
Tam je nějaká ironie v tom, že existuje Zero Day zranitelnosti v softwaru, který velká část uživatelů počítat chránit svůj počítač před škodlivým softwarem a softwarové zranitelnosti. Faktem je, že vývoj software je těžké, a dokonce i bezpečnostní software není imunní vůči využitelných zranitelností. Pokud je jasná strana, zdá se, že tam nejsou žádné využije v přírodě a přesto, že je zapotřebí lokální přístup k zařízení, aby tyto chyby zabezpečení zneužít.
Android několik let obsahuje závažnou zranitelnost
31.7.2014 Zranitelnosti
Většina zařízení s operačním systémem Google Android je náchylná k průniku do systému, díky kterému se útočníci mohou dostat k platební historii, e-mailům a dalším citlivým datům.
Tato nebezpečná chyba je v Androidu podle expertů ze společnosti Bluebox Security přítomna již od vydání verze 2.1 na počátku roku 2010. Analytici jí přezdívají Fake ID, jelikož, podobně jako třeba falešný občanský průkaz napomáhá mladistvým při koupi alkoholu, toto slabé místo umožňuje nebezpečným aplikacím přístup ke speciálním funkcím Androidu, jež jsou normálně zapovězeny. Vývojáři z Googlu v uplynulých letech představili změny, které omezují některé z možných škod, jež mohou tyto nebezpečné aplikace napáchat. Klíčová zranitelnost je v systému však stále (a to i v testovací verzi chystaného Android L).
Chyba Fake ID zneužívá selhání Androidu při ověřování platnosti kryptografických certifikátů, které doprovázejí každou aplikaci nainstalovanou v zařízení. Operační systém se spoléhá na údaje při rozdělování speciálních oprávnění, která umožňují několika aplikacím fungovat mimo sandbox Androidu. Za normálních okolností sandbox zamezuje aplikacím, aby přistupovaly k datům, jež patří jiným aplikacím, nebo k citlivým částem systému. Vybrané aplikace typu Adobe Flash či Google Wallet však mohou fungovat i mimo sandbox. Podle Jeffa Forristala z Bluebox Security selhává Android při ověřování řetězce certifikátů, které se využívají k ověření toho, zda aplikace patří mezi privilegované aplikace s rozšířenými právy.
V důsledku toho může škodlivá aplikace obsahovat neplatný certifikát, který bude tvrdit, že jde například o Flash, a Android jí přiřadí ta samá speciální privilegia, jaká by přiřadil legitimní aplikaci – legitimitu certifikátu OS jednoduše nezkoumá. „Pak už jen stačí, aby se koncový uživatel rozhodl nainstalovat falešnou aplikaci, a je prakticky konec hry,“ upozorňuje Forristal. „Trojský kůň ihned pronikne ze sandboxu a začne krást osobní data.“
Změny v Androidu 4.4 omezují některá privilegia, která Android Flashi přiděluje. I tak však podle Forristala selhání při ověření řetězce certifikátů je v Androidu od verze 2.1. „Po prověření celé věci jsme rychle svým partnerům distribuovali opravu a prověřili jsme všechny aplikace v Google Play a nemáme žádné důkazy o tom, že by zneužívání této zranitelnosti aktivně probíhalo,“ uvedl mluvčí Googlu v reakci na nařčení experty z Bluebox Security. Zatím však není jasné, jakým způsobem Google svou několik let starou chybu opravil či zda jeho partneři již aktualizaci distribuují koncovým uživatelům.
Útočníci zneužívají službu Amazon Elastic Search k útokům DDoS
30.7.2014 Počítačový útok
Kyberzločinci zneužívají zranitelnost v softwaru Elastic Search k instalaci červů na servery Amazonu a další cloudové servery, které mohou sloužit k útokům typu DDoS. Elastic Search je velmi populární open-sourcové vyhledávací rozhraní napsané v Javě, které aplikacím umožňuje provádět fulltextové vyhledávání různých typů dokumentů pomocí rozhraní REST API (Representational State Transfer). Elastic Search se často využívá v cloudových prostředích, jako je třeba u Amazon Elastic Compute Cloud (EC2), Microsoft Azure, Google Compute Engine a další. Verze 1.1.x Elasticsearch má podporu pro aktivní skriptování prostřednictvím API ve výchozím nastavení. Tato funkce však představuje bezpečnostní riziko, jelikož nevyžaduje autorizaci a skript není chráněn v sandboxu. Bezpečnostní experti již dříve v tomto roce hlásili, že útočníci mohou zneužít skriptovací engine Elastic Search a spustit na dálku nebezpečný kód. Toto bezpečnostní riziko bývá označováno jako CVE-2014-3120. Tvůrci této služby pro verzi 1.1.x ještě nevydali aktualizaci, avšak od verze 1.2.0 vydané 22. května je dynamické skriptování standardně vypnuto.
Minulý týden bezpečnostní experti z ruské společnosti Kaspersky Lab našli nové varianty trojského koně Mayday, jenž je využíván k útokům typu DDoS (dynamické odepření služby). Jedna z nových variant Mayday byla nalezena na serveru Amazon EC2, avšak podle Kaspersky nejde o jedinou platformu, na niž je cíleno. Podle Kurta Baumgartnera z Kaspersky se útočníci napojí na virtuální servery využívané zákazníky Amazon EC2 zneužitím CVE-2014-3120 v Elastic Search 1.1.x, jenž je stále hojně využíván velkými organizacemi.
Mezi oběťmi těchto útoků jsou v současné době mimo jiné velká regionální banka, velký výrobce elektroniky nebo poskytovatel služeb z Japonska. „Četnost útoků je tak velká, že Amazon nyní své zákazníky na možná rizika upozorňuje. A situace je pravděpodobně stejná i u jiných poskytovatelů cloudových řešení,“ uvedl Baumgartner. Uživatelé Elastic Search 1.1.x by měli přejít na novější verzi a ti, kteří potřebují zmíněnou skriptovací funkci, by se měli řídit bezpečnostními doporučeními tvůrců tohoto enginu zveřejněnými na jejich blogu 9. července.
Údajně nejrychlejší antimalware nabízí v Česku Avira
30.7.2014 Software
Bezpečnostní program Antivirus Pro, který již obsahuje nové a vylepšené jádro, jež se bude používat v portfoliu produktů chystaných na rok 2015, uvedla na náš trh Avira. Kromě vylepšené antimalwarové technologie nabízí i neomezený přístup ke službám Avira Protection Cloud a Avira URL Cloud. Při vydání softwaru výrobce zároveň oznámila, že jejich produkty nabízejí prý nejrychlejší antimalwarový engine. Poprvé se využívá formát xVDF (extended Virus Definition File), což vývojářům umožnilo zvýšit počet souborů s virovými definicemi a optimalizovat rychlost jejich stahování. To podle výrobce přináší následující vlastnosti:
Rychlejší spuštění systému
Menší velikost souboru s virovou definicí při každé aktualizaci
Nižší objem stahování souborů VDF
Nižší využití prostředků potřebných pro základní produkt
Nové vlastnosti enginu jsou k dispozici placeným uživatelům produktů Avira jako bezplatný update jejich současného řešení.
Acunetix nabízí bezplatné zabezpečení sítě skenování
29.7.2014 Bezpečnost
Acunetix nabízí 10.000 bez zabezpečení sítě vyšetření s Acunetix Online Vulnerability Scanner, ve snaze usnadnit podnikům převzít kontrolu nad jejich zabezpečení sítě. Acunetix on Vulnerability Scanner je hostovaná bezpečnostní scanner, který bude testovat obvodové server na úrovni síťové zranitelnosti a poskytuje podrobné zprávy tak, aby bezpečnostní správce opravit chyby zabezpečení před hacker najde je. Všechny funkce síťového skenování k dispozici v Acunetix OVS budou k dispozici zdarma na čtrnáct dní, který umožňuje uživatelům kontrolovat jejich připojení k internetu (a hacker) čelí servery . bez síťového skenování Funkce umožňuje společnostem:
Kontrolovat jejich serverů pro více než 35.000 síťové zranitelnosti
Audit jejich internet čelí servery a identifikovat systémové a síťové slabiny
Ujistěte se, že servery nejsou spuštěny žádné nelegitimní služby, jako jsou trojské koně, nebo služeb, které jsou nainstalovány neúmyslně
Identifikujte všechny zranitelné verze aplikací běžících na serverech
Objevte informace, které systémy jsou netěsné s využitím různých technik, jako je OS fingerprinting, přístavní banner chytil a servis snímání
Získat další informace o dalších faktorů zranitelnosti a síťových problémů zjištěných.
Chcete-li využít této nabídky, musí společnosti zaregistrovat pomocí platného firemní e-mailovou adresu. Jakmile se jejich cíl skenování bylo ověřeno, že pak mohou využít skenování vlastností uvedených výše.
40% bezpečnostních týmů IT udržet vedení ve tmě
29.7.2014 Bezpečnost
Nový průzkum odhalil komunikační problémy mezi odborníky v oblasti IT bezpečnosti a vedoucích pracovníků, touhu po generální opravy stávajících bezpečnostních systémů a omezené bezpečnostní znalostí mezi manažery a zaměstnanci, podle Websense. Průzkum téměř 5000 světových odborníků zabezpečení IT odhaluje znalostí a zdrojů mezeru ve podnikové vedoucí ke zvýšení úrovně zranitelnosti a rizika narušení bezpečnosti dat.
Zpráva průzkum bezpečnostní praktiky IT v průměru 10 let zkušeností v oboru z 15 zemí: Austrálie, Brazílie, Kanada, Čína, Francie, Německo, Hong Kong, Indie, Itálie, Mexiko, Nizozemsko, Singapur, Švédsko a Spojené Británie a Spojené státy. Zjištění ukazují globální konsensus, že organizace musí stanovit komunikační propasti mezi bezpečnostními a výkonných týmů na ochranu proti pokročilým, krádež dat útoky. Komunikační překážky mezi bezpečnostními odborníky a manažery:
Dvě pětiny počítačové bezpečnosti týmy ve Velké Británii (40 procent), nikdy mluvit se svým výkonným týmem o kybernetické bezpečnosti, ve srovnání s 31 procent na celém světě.
Z těch, které dělal, téměř čtvrtina (22 procent), promluvil jen jednou ročně, s další 15 procent jednou za dva roky.
Jen 42 procent věří, že jejich společnosti investují dostatečně kvalifikovaných pracovníků a technologií, které jsou účinné při provádění ve vztahu k cílům a poslání počítačové bezpečnosti své společnosti, ve srovnání s 38 procent na celém světě.
Bezpečnostní týmy volat po kompletní bezpečnostní systém obnovení:
Více než třetina respondentů ve Velké Británii (36 procent) by se udělat kompletní revizi svého současného podnikového zabezpečení systému, kdyby zdroje a příležitosti, ve srovnání s 29 procent svých globálních krajanů.
Polovina respondentů UK cítil často zklamáni s úrovní ochrany bezpečnostní řešení, které bylo pořízeno skončil jim nabízí, v porovnání s 47 procenty v celosvětovém měřítku. Pouze jeden z osmi (12 procent) nebyl nikdy zklamán ve svých bezpečnostních řešení.
Téměř dvě třetiny z odborníků UK zabezpečení (64 procent) se domnívá, porušení dat by znamenala změnu dodavatelů zabezpečení, ve srovnání s 56 procent na celém světě.
Apts a údaje průsaků vody útoky řadí jako top obav pro profesionály bezpečnosti IT.
Povzbudivé je, že 49 procent říká, že se plánuje významné investice a úpravy svých kybernetických bezpečnostních obranu během příštích 12 měsíců.
Zvyšování lidské bezpečnosti IQ:
Pouze dvě pětiny britských respondentů (42 procent) se domnívají, že jejich společnost investuje dostatečně kvalifikovaných pracovníků a technologií, které jsou účinné při výkonu svých cílů kybernetické bezpečnosti nebo poslání, ve srovnání s 38 procent na celém světě.
Více než polovina firem ve Velké Británii respondentů (54 procent), neposkytují kybernetické vzdělání svých zaměstnanců, ve srovnání s 52 procent na celém světě. Pouze 4 procenta v plánu tak učinit v příštích 12 měsících.
Pouze asi jedna třetina britských firem (36 procent) si prošla počítačové hrozby modelování procesu ve své současné roli. Z těch, které dělal, téměř všichni (94 procent), zjistil, že je důležité z hlediska řízení jejich počítačové riziko.
Bezpečnostní odborníci pocit, že první tři události, které by nutí výkonné týmy přidělit více peněz na kybernetické bezpečnosti zasvěcenců jsou: průsaků vody z duševního vlastnictví (85 procent), porušení dat zahrnující údaje zákazníků (52 procent respondentů) a ztrátu příjmů z důvodu výpadku systému (49 procent), který je podobný trend po celém světě.
"Pokročilé přetrvávající hrozby a data průsaků vody útoky řadí top obavy pro odborníky v oblasti IT bezpečnosti," řekl Dr. Larry Ponemon, předseda a zakladatel Ponemon Institute. "Tyto obavy se projevují, protože se domnívají, že jejich technologie je v případě potřeby generální opravy a tam je rozšiřující se propast ve znalostech a sdílení zdrojů mezi odborníky v oblasti IT bezpečnosti a vedoucích pracovníků. Potěšující je, že průzkum odhalil plány technologií a investic do vzdělávání na místě pro budoucnost.
Jsou koncové nejzranitelnější část sítě?
29.7.2014 Hrozby
Pouze 39% společností, které pokročilé zabezpečení koncových bodů ochrany na místě, i když 74% respondentů se domnívá koncové být "nejzranitelnější" na kybernetické útoky, a 76% uvádí, že počet koncových bodů stoupá.
Kromě toho 58% respondentů uvedlo, že tradiční anti-virus obrany již řešit pokročilé cílené hrozby a pouze 19% si myslí, že bude hrát důležitou roli v budoucnosti. nový průzkum Promisec zjistil, že 70% IT profesionálů jsou buď "velmi" nebo "mírně" znepokojen potenciálním narušení bezpečnosti v příštím roce, ale pouze 32% uvedlo, že jsou "dobře připraveni" pro kybernetického útoku. 74% respondentů považuje koncové body, jako jsou stolní počítače, notebooky a mobilní zařízení, se "nejzranitelnější" součástí sítě. Názorný příklad, pouze 32% firem uvedlo, že byli schopni dokončit Microsoft aktualizace propojovací za méně než týden, i když tyto aktualizace hrají klíčovou roli eliminuje známé zranitelnosti. Navíc, 34% uvedlo, že to trvalo až měsíc, 19% uvedlo, že převzal měsíčně a 14% "nikdy" dosáhnout plného zavádění aktualizací. Navzdory těmto pro zabezpečení koncových bodů výzev, pouze 30% má vyhrazený pro zabezpečení koncových bodů rozpočtu. Více než polovina respondentů uvedla, že je větší potřeba SIEM a / nebo pokročilé detekce hrozeb a korelačních systémů mají hlubší analýzy koncových bodů. Respondenti do kategorií jako "velmi důležité" jako koncové body jsou společné útok bod a monitorování těchto míst vstupu jsou životně důležité pro identifikaci útoku a podnikat kroky k sanaci. Většina VP a C-Level IT vůdců dotázaných uvedla zvýšenou obavu z narušení bezpečnosti v příštím roce, a uznal, rychle se posunující oblasti bezpečnosti, která nyní zahrnuje zabezpečení koncových bodů.
33% z VP a C-Level IT lídrů uvedlo, že mají pokročilé koncových ochrany na místě, ale 75% uvedlo, že mají potřebu hlubší analýzy koncových bodů s cílem napomoci při detekci hrozeb.
Téměř 70% z VP a C-Level IT lídrů dát koncové body na vrcholu své nejzranitelnější seznamu.
Drtivá většina VP a C-Level IT Leaders (83%) uvádí, antivirové řešení nejsou součástí jejich budoucnost pro ochranu proti pokročilých hrozeb.
Alarmující 86% z VP a C-Level IT Leaders mají zvýšený strach z porušení v průběhu příštího roku.
"Bezpečnostní prostředí se neustále vyvíjí v reakci na nový druh složitějších a sofistikovanějších hrozbami, kde tradiční blokování a preventivní mechanismy, jako je například firewall, anti-virus a anti-malware software, jsou prostě už nestačí, aby se naše sítě v bezpečí , "řekl Dan Ross, generální ředitel společnosti Promisec. "Náš průzkum ukazuje, že společnosti začaly přijmout Endpoint Security jako klíčovou součást svého celkového portfolia cenných papírů, ale ještě přijmout robustní sledování koncových bodů a sanace infrastrukturu řešit dnešní nejzávažnější hrozby." Firmy se snaží udržet krok s moderní cílená hrozby:
55% respondentů uvádí, že "nejsou jisti", že bezpečnostní opatření, která mají na místě bude chránit proti všem scénářů.
40% respondentů uvedlo, že jsou jen "mírně" udržet krok s BYOD a trendy mobility jako počet koncových bodů zvýší v jejich síti.
45% respondentů uvedlo, že došlo pouze "mírný nárůst" v jejich společnosti, posílení jejího zaměření na bezpečnost v reakci na hrozby, ale stále ještě existují možné mezery v zabezpečení.
58% uvedlo, že zaměstnanci jsou dostatečně kompatibilní a opatrní, ale věří, že by mohl dělat lepší práci, založení a prosazování základních protokolů.
56% respondentů uvedlo, že záplatování, sanace a dodržování jsou největší problémy, vzhledem k Endpoint Security.
Metadata-skrývání protokolu Tmavě Mail brzy realitou
29.7.2014 Bezpečnost
Na Hackeři na planetě Zemi X (HOPE X) Kongresy konala tento víkend v New Yorku, NSA informátor Edward Snowden vyzval hackery, kodéry a vývojáře, aby "pomoci vybudovat lepší budoucnost kódování svých práv do programů a protokolů, na kterých jsou založeny každý den. "
Mluvil o šifrování, ale také o "polstrované protokoly", které by bránily zpravodajské agentury z objevování, kdo mluví s kým analýzou internetového provozu, a smíšené směrování. "Musíme nezařaditelné komunikace pro unattributed připojení k internetu, které je jednoduché, transparentní a spolehlivé, "řekl poukázal . Není to poprvé, co Snowden požádal kodéry přispívat. Jedním z lidí, kteří ho slyšeli a začali dělat něco na tom je, Ladar Levison, Texas-založená majitel z Lavabit, šifrované e-mailové služby jednou použitý Snowden a 410.000 dalších. Lavabit byl vypnut pomocí Levison sám tak, že by se "stal spoluviníkem zločinů proti americkému lidu" tím, že umožní přístup na federální vládu, aby e-maily svých zákazníků a uložených dokumentů. V návaznosti na odstavení, Levison a šifrované komunikace firmy Silent Circle vytvořili Dark Mail Alliance, neziskovou organizaci, jejímž cílem je rozvíjet soukromý šifrovaného alternativu end-to-end na e-mail, jak jej známe. Oni začali pracovat na Temného Mail, což je zdrojem transportní protokol otevřený, že by šifrování e-mail metadata - předmět, e-mailová adresa odesílatele a příjemce - tak, aby zpravodajské služby nelze spojovat dva účastníky e-mailové komunikace, a Levison zahájila úspěšnou Kickstarter kampaň financovat svůj rozvoj. verze serverového softwaru který podporuje protokol Tmavě Mail již bylo odesláno na nejštědřejších podporovatelů, a binární soubory a kód dosáhne veřejnost příští měsíc. Mezitím, Levison také představil projekt na HOPE tento víkend, a sdílí více informací o . to tým, který pracuje na tom není velký: Levison pracuje na protokolu a standardu, a najala talentované software developer Stephen Watt vést vývoj kódu. Třetí zaplatil člen pracuje společně Watt, a tam jsou také dobrovolníci, kteří přispívají. Watt je neobvyklá volba pro tento úkol, pokud si myslíte, jeho minulost: on byl odsouzen ke dvěma rokům ve vězení pro psaní kus softwaru pro Albert Gonzales Albert Gonzales , neslavný TJX hacker. Ale podle Kim Zetter , Levison analyzovat jeho právní případ, a dospěl k závěru, že Watt nespáchal trestný čin - prostě vytvořil software pro old-time přátel a nebyl zapojen v kybernetickém loupeži. Projekt Temný Mail funguje na několik věcí: homonymní protokol, který doufají, že budou v době nahradí ty ostatní, které nejsou skrývají metadata; Serverový software (Magma Classic a Magma Tmavý); a e-mailového klienta (sopka). Tmavě Mail funguje trochu jako Tor. E-mailový server odesílatele (domény) zná jen doménu příjemce. Jakmile přijde email o tom, server dešifruje "do:". Pole a rautů e-mail na e-mailový účet příjemce serveru příjemce zná pouze doménu, ze které email přišel, a odesílatele pouze doménu, ke které je odeslána . Pokud orgány pasivně sleduje provoz na internetu, mohou znát pouze domény spojené, ale ne účty. Samozřejmě, toto nemůže zmařit orgány úsilí v případě, že mají přístup k těmto domén - obvykle získání předvolání - ale ne všechny domény uchovávat data v otázce. Projekt stále probíhá, a protokol Tmavě Mail se stále ještě pracuje na vyřešení věci, jako je skrytí příjemce od odesílatele (a naopak), pokud oba používají stejnou doménu, ale Levison doufá, že tím, že "základ, který je tmavě Mail na svém místě, budou lidé schopni vybudovat bezpečnější alternativy na vrcholu toho." On také sdílí, že on měl nápad a vizualizovat koncepci zla Mail před pěti lety, ale to, že v době, kdy , si nemyslel, že to bylo potřeba, nebo že budou uživatelé volat na to. Teď, samozřejmě, je třeba je tam a potenciální uživatelé jsou ochotni zaplatit za řešení.
EFF zve hackery k testování, zajištění jeho Otevřete okno nástroje Wireless Router
29.7.2014 Software
Electronic Frontier Foundation (EFF) vydala Otevřete okno nástroje Wireless Router, experimentální alfa verzi bezdrátového směrovače software, který je určen ke zlepšení některých a přidat nové funkce do stávajících směrovačů.
Tento software je pevný tlak na vytvoření otevřených bezdrátových sítí, a je přímým důsledkem Otevřít Wireless hnutí (OWM) , kampaně zahájené v důsledku hurikánu Sandy a v čele s ERF, a jehož cílem je dělat bezdrátový internet dostupný všude a pro všechny uživatele. Cílem je otevřít bezdrátových sítí pro uživatele, aniž by museli platit a / nebo se přihlásit do sítě pomocí ID a heslo, ktere, ale zároveň k zajištění bezpečnosti těchto bezdrátových sítí. uvolněných programové vybavení bude ", aby malé podniky a domácí uživatele snadno umožní otevřenou síť, takže hosté a kolemjdoucí mohou získat připojení k internetu, pokud potřebujete jeden, při zachování hesla uzamčena WPA2 síť pro sebe a své přátele nebo spolupracovníky" a "umožňuje sdílet ohraničená část vašeho šířky pásma na otevřené síti, takže hodnocení uživatelé nemohou zpomalit připojení k Internetu nebo použít velkou část svého měsíčního kvóty, "EFF je uvedeno v oznámení . To také umožní poskytovat lepší sítě front, na "minimalistický , bezpečné a elegantní webové uživatelské rozhraní "pro nastavení a konfiguraci zařízení, a auto-update mechanismus software, který používá protokol HTTPS načíst podpisy firmwaru a metadata přes Tor (aby se zabránilo cílené aktualizace útoky). Toto vydání alpha není určen k použít běžné uživatele, ale pouze technické uživatele, kteří jsou ochotni testovat software a napomoci tomu, aby to bezpečné. "V současné době software běží na jednom konkrétním modelu hardwaru (Netgear WNDR3800) a je založen na projektu CeroWRT," že poukázal na to, a za předpokladu, že kód pro software na GitHub . FAQ sekce pro software, jakož i odkaz na stažení najdete zde .
Unpatched OpenSSL otvory nalezené na Siemens IKS
29.7.2014 Zranitelnosti
Počet Siemens průmyslových výrobků bylo zjištěno, sportovní čtyři zranitelnosti v jejich provádění OpenSSL, které by mohly vést k man-in-the-middle (MITM) útoky nebo padání webových serverů výrobků.
Nedostatky lze zneužít vzdáleně, a využije které se zaměřují na tyto chyby OpenSSL jsou veřejně dostupné, US Industrial Control Systems Cyber Emergency Response Team (ISC CERT) varoval ve čtvrtek. Ze šesti dotčených produktů , aktualizace zabezpečení pro záplatování děr jsou k dispozici pouze pro dvě osoby. Do další čtyři obdrží opravu, společnost vydala seznam akcí, zákazníci mohou zaváží ke snížení rizika útoků. "Postižené Siemens průmyslové výrobky jsou určeny pro řízení a kontrolu sítě a monitorování v odvětví kritické infrastruktury, jako jsou chemické , Critical Výroba, energie, potraviny a zemědělství, a vody a odpadní vody, "ISC CERT poznamenal. "Chyby zjištěné mohl pravost, integritu a dostupnost dotčených přístrojů ovlivnit." "Dopad na jednotlivé organizace je závislá na mnoha faktorech, které jsou jedinečné pro každou organizaci," oni si všimli, a dodal, že vlastníci aktiv mohou navíc ochránit své systémy proti obecné kybernetické bezpečnosti rizika podle - pokud je to možné - ujistěte se, že nejsou přístupné z Internetu; tím, že systémy behing firewally a jejich izolace od podnikové sítě; a za použití bezpečných metod pro přístup k nim vzdáleně.
TRUSTe uvádí na trh nové posouzení ochrany osobních údajů
29.7.2014 hardware
TRUSTe rozšířila svou Ochrana osobních údajů Management Platform zahrnuje důvěryhodné hodnocení, nové řešení pro posouzení ochrany osobních údajů, která se zaměřuje na potřebu specializovaných nástrojů k hodnocení rizik dat. důvěryhodného Posouzení takto komplexní a osvědčené multi-krokem procesu pomoci organizace adresa použitelné soukromí regulační a průmysl standardy, stejně jako jejich vlastní vnitřní politiky. . Sdílí několik kroků společných Soukromí | Podmínky certifikace, ale může analyzovat shodu na širší okruh právních a interních požadavků, jakož i poskytovat další funkce, jako je mapování dat a analýzy rizik Mezi klíčové funkce patří:
Vlastní Zásnubní Stanovení rozsahu
Sběr dat a Discovery
Digitální Nemovitosti Skenování a analýza
Mapování dat
Soukromí Zjištění zprávy & Gap Analysis
Analýza rizik
Doporučení a Probíhající orientační.
Příklady konkrétních případů užití pro důvěryhodné posouzení zahrnovat dvě rychlé potřebám rostoucího trhu: Ochrana Posouzení dopadů (PIA) zaměření na posouzení konkrétní produkt, program nebo mobilní aplikace, identifikovat a minimalizovat rizika pro soukromí. V závislosti na konkrétním rozsahu projektu, výstupy mohou zahrnovat mapu popisující životní cyklus dat a počáteční návrhy klíčových politických dokumentů (např. interních směrnic na ochranu soukromí a vnější ochrany osobních údajů), včetně doporučených smluvních úvah pro výrobce / partnery a další relevantní dokumenty. Safe Harbor EU pro HR Datové posouzení připravuje firmy na ověření shody s US-EU a US-Swiss Safe Harbor Framework. TRUSTe pomáhá identifikovat relevantní datové toky zaměstnanec, hodnotit politiky a praktiky vůči rámce a analyzuje veškeré otázky týkající se dodavatelů a poskytovatelů služeb, jako jsou mzdy a výhody služeb. Vyzbrojeni našimi analýzy mezera a sanačních doporučení, TRUSTe mohou pomoci při vývoji politik, vzdělávacích programů, a které vám pomohou připravit se na self-certifikačního procesu s americkým ministerstvem obchodu.
Nový ransomware Onion využívá síť Tor
28.7.2014 Viry
Společnost Kaspersky Lab oznámila existenci nového typu tzv. ransomware s názvem Onion. Tedy škodlivého kódu, který zašifruje uživateli data na disku a následně žádá o zaplacení za jejich odšifrování. Ten na rozdíl od svých předchůdců využívá k zamaskování své komunikace a svých tvůrců anonymní síť Tor.
Onion je nástupcem známého červa zvaného Cryptolocker, který při nakažení počítače uživatele našel v jeho systému dokumenty a následně je zašifroval a po uživateli požadoval platbu. I když požadované poplatky nebyly nijak nízké, typicky ve stovkách euro, a měly být odeslány za pomocí Bitcoinů, řada uživatelů zaplatila. V listopadu 2013 zaplatila za odšifrování svých dat 1338 dolarů dokonce i americká policie.
Onion po nakažení systému zašifruje data stejně jako Cryptolocker, avšak následně spustí odpočet: uživatelé mají dvaasedmdesát hodin na to, aby zaplatili, nebo data budou navždy ztracena. Onion, jehož tvůrci se podle všeho nacházejí v Rusku, se však od Cryptolockera liší především v tom, jak komunikuje se svými tvůrci. Nový červ totiž využívá síť Tor, anonymizující službu, která šifruje komunikaci a zastírá umístění jejího původce. I když Onion není prvním červem, který Tor využívá, podle společnosti Kaspersky je důkazem toho, že „Tor se stal osvědčeným prostředkem komunikace a je využíván různými druhy červů. Onion je technicky vyspělejší než předešlé typy ransomwaru. Skrytí řídících serverů v anonymní síti Tor komplikuje nalezení útočníků a díky využití neortodoxního kryptografického kódu je dešifrování nemožné. A to i tehdy, pokud je komunikace mezi Onionem a serverem odposlouchávána,“ uvedl Fjodor Sinicyn z Kaspersky Lab. „To vše činí Onion značně nebezpečným a jedním z nejpokročilejších škodlivých kódů, které lze na internetu v současné době najít,“ dodal.
Díky využití sítě Tor jsou společnosti zabývající se tvorbou bezpečnostních řešení v horší pozici. S využíváním Cryptolockera útočníci nakonec skončili, jelikož museli dlouho čelit snahám bezpečnostních expertů o proniknutí na jejich servery. Pokud však není možné zjistit, odkud je Onion ovládán, je prakticky nemožné vystopovat samotný zdroj útoku. Kaspersky uživatelům doporučuje, aby pravidelně zálohovali a pokud budou Onionem či jiným ransomwarem infikováni, spustili pravidelně aktualizovaný antivirový program.
Uživatelé sítě Tor nejsou oblíbení jak u zaměstnanců bezpečnostních firem, tak u vládních agentur po celém světě. Například ruské ministerstvo vnitra tento týden nabídlo v přepočtu cca dva miliony korun za identifikaci uživatelů, kteří tuto síť využívají.
Cisco opravuje kritickou chybu ve modemy a bezdrátové brány
26.7.2014 Zranitelnosti
Cisco má pevnou kritickou zranitelnost postihující řadu svých bezdrátových bytových bran a kabelových modemů, a zkontrolovat, zda jsou jejich poskytovatelé služeb a organizací na podporu třetích stran tlačili ven upgrade software pomocí opravy. Nabádá uživatele Zákazníci bez smlouvy o poskytování služeb by měly požadovat, bezplatné aktualizace prostřednictvím technické pomoci Center Cisco (kontaktní informace naleznete zde ). zranitelnost, která byla oceněna nejvyšší skóre závažnosti, i když neexistuje důkaz, že se v současné době používají v útocích, "by mohla umožnit neověřenému vzdálenému útočníkovi využít přetečení vyrovnávací paměti a způsobit spuštění libovolného kódu. " "zranitelnost je důsledkem nesprávného ověření vstupu pro HTTP požadavků," vysvětlil Cisco v poradenství zveřejněné ve středu. "Útočník by mohl tuto chybu zabezpečení zneužít odesláním požadavku vytvořeného HTTP ovlivněna zařízení. Úspěšné využívání by mohlo útočníkovi pád webový server a spustit libovolný kód se zvýšenými oprávněními. . Tato chyba zabezpečení existuje, zda je zařízení nakonfigurováno v režimu Router nebo v režimu brány " . Neexistuje žádné řešení pro vady - aktualizace softwaru je jediný způsob, jak odstranit riziko, že zranitelnost pózuje Dotčené produkty jsou:
Cisco DPC3212 VoIP kabelový modem
Cisco DPC3825 8x4 DOCSIS 3.0 Wireless Rezidenční brána
Cisco EPC3212 VoIP kabelový modem
Cisco EPC3825 8x4 DOCSIS 3.0 Wireless Rezidenční brána
Cisco Model DPC3010 DOCSIS 3.0 8x4 kabel modemu
Cisco Model DPC3925 8x4 DOCSIS 3.0 s bezdrátovým rezidenční brány s Edva
Cisco Model DPQ3925 8x4 DOCSIS 3.0 Bezdrátové domácí brána s Edva
Cisco Model EPC3010 DOCSIS 3.0 Cable Modem
Cisco Model EPC3925 8x4 DOCSIS 3.0 s bezdrátovým rezidenční brány s Edva.
Nové IP-založené bezdrátový síťový protokol vytvořil
26.7.2014 IT
Uznávajíce potřebu lepší způsob, jak připojit produkty v domácnosti, sedm společností oznámila, že jsme spojili své síly, vyvinout nové téma, nový IP-založené bezdrátový síťový protokol.
Thread Group Zakládající členové se skládají z vedoucích firem v průmyslu, včetně Yale zabezpečení, Silicon Labs, Samsung Electronics, Nest Labs, Freescale Semiconductor, velký zadek Ventilátory a ARM. Zatímco v současné době k dispozici 802.15.4 síťové technologie mají své výhody, z nichž každá má také zásadní otázky které brání příslib internet věcí (IoT) z realizován. Patří mezi ně nedostatek interoperability, neschopnost nést IPv6 komunikace, vysoké nároky na napájení, které odsávají baterie rychle, a "hub and spoke" modely závislé na jednom zařízení (pokud toto zařízení selže, celá síť spadne). se závitem, vývojáři produktů a spotřebitelé mohou bezpečně připojit více než 250 zařízení do nízké spotřeby, bezdrátové sítě s oky, která zahrnuje také přímý přístup k internetu a cloud pro každé zařízení. "byla zavedena stávající bezdrátové sítě přístupy dlouho předtím, než se internet věcí získaných zem," řekl Vint Cerf, viceprezident a Chief Internet Evangelist, Google a poradce Thread Group. "Protokol závitu se stávající technologií a kombinuje ty nejlepší části každého, aby poskytovaly lepší způsob, jak se připojit produkty v domově." "počet síťových řešení a platformy byly zavedeny řešit rostoucí poptávku po souvisejících produktů v domácnosti, "řekla Lisa Arrowsmith, spolupracovník ředitele, připojení, inteligentní domy a inteligentní města, IHS Technology. "Je postaven na osvědčené standardy, včetně IEEE 802.15.4, IETF IPv6 a 6LoWPAN, závit představuje pružný, IP-založené řešení pro rychle rostoucí internetu věcí." Na rozdíl od mnoha existujících technologií nebo Internet věcí se blíží, závit není aplikace protokol nebo připojení platformou pro mnoho typů různorodých sítí. Závit je síťový protokol IPv6 postaven na otevřených standardech, které jsou určeny pro sítě s nízkým výkonem 802.15.4 pletiva. Stávající populárních aplikačních protokolů a internetu věcí platformy mohou přejet Thread sítí. Verze Téma je již úspěšně používá v hnízdě produktů dnes. Závit nabízí vývojářům výrobků technologické výhody oproti stávajícím bezdrátových standardů: Spolehlivé sítě: Závit nabízí robustní samoléčebné sítě oky, které škálovat až stovky zařízení bez jediného bodu selhání. Přístroje jsou připraveni, když se lidé potřebují. Zabezpečené sítě: Thread sítě mají bezpečné, bankovnictví třídy šifrování. Téma zavře zjištěné bezpečnostní díry nacházejí v jiných bezdrátových protokolů a zajišťuje bezstarostnou provoz. Jednoduché připojení: závit přístroje jsou jednoduché na instalaci s smartphone, tablet nebo počítač. Spotřebitelé mohou bezpečně připojit Thread zařízení v domácnosti k sobě a do cloudu pro snadné ovládání a přístup odkudkoliv. Nízký výkon: Téma podporuje zařízení, baterie-provozoval v rámci domácí sítě. To umožňuje, že zařízení, které lidé používají každý den - včetně termostaty, ovládání osvětlení, bezpečnosti a bezpečnostních produktů -. Být součástí sítě bez nutnosti neustálé nabíjení nebo častých změn baterie Miliony stávající 802.15.4 bezdrátových zařízení, které jsou již na trhu, může spustit téma se jen vylepšení softwaru - žádný nový hardware. Závit je určen pro rychlou implementaci a nasazení přístrojů v celé domácnosti.
Odemknutí skrytou hodnotu informací
26.7.2014 Hrozby
Nestrukturovaný obsah představuje 90% všech digitálních informací. Tento obsah je uzamčen v různých formátech, míst a žádostí podaných do samostatných úložišť, podle IDC. Když připojeny a správně použity, tyto informace zpravidla může pomoci zvýšit výnosy, snížit náklady, reagovat na potřeby zákazníků rychleji a přesněji, nebo uvést výrobky na trh rychleji. "Uvolnění informací z tohoto obsahu není triviální úkol, a mnoho organizací čelí zátarasy z důvodu nedostatku vhodných technologií a procesů," řekl Dave Schubmehl, ředitel pro výzkum, obsah Analytics, Discovery, a kognitivní systémy . "IDC vyrazil lépe pochopit, co se lídři v této oblasti jsou na tom lépe nebo jinak než ostatní, jak se kombinuje nové technologie, procesy a posílení personálu odemknout skryté hodnotu informací." Abychom pochopili, co organizace dělají pro extrakci hodnoty z jejich nestrukturovaného obsahu, IDC průzkum 2155 organizací v šesti zemích a provedla hloubkové rozhovory s 11 organizací ve Spojených státech a Evropě. IDC pak identifikoval sadu předních organizací, které mají vysoký znalostní kvocient (KQ) -. Skóre vyvinutý společností IDC, která určuje schopnost organizace odemknout skryté hodnotu informací "Tato analýza odhalila, že organizace s předními KQ skóre, které představují deset procent našeho vzorku, jsou pětkrát větší pravděpodobnost než ostatní, aby zažít výhody z přístupu k informacím, analýzu a sdílení projektů, které překračují očekávání, "uvedl Dan Vesset, viceprezident Business Analytics a Big dat společnosti IDC. "Poučení z organizací dotazovaných a průzkumu v rámci této studie ukazují, že uvolnění skrytou hodnotu informací může přinést okamžité a hmatatelné výsledky." Studie rovněž zjistila, že většina organizací je třeba překonat i technologie a organizační problémy, aby se stal KQ Vedoucí . Jedním z klíčových úkolů organizace čelí, je schopnost měřit přínosy projektu. IDC zjistila, že 63% z dotazovaných organizací nebyly vyčísleny přínosy z jejich přístupu k informacím, analýzy a projekty sdílení.
Aktualizace Cloud Security Alliance dokumentů s pokyny
26.7.2014 Bezpečnost
Cloud Security Alliance (CSA) dnes oznámila významné aktualizace na dvě de facto průmyslovým normám, Cloud Controls Matrix ( CCM ) verze 3.0.1 a konsensus posuzování Iniciativy dotazník ( CAIQ ) 3.0.1. S aktualizací, CSA dokončil významný milník ve vyrovnání mezi zabezpečení Pokyny pro kritické oblasti zájmu ve Cloud Computing v3, CCM, a CAIQ. "S vydáním nového CAIQ a CCM, vedle silné migrační cestu k ČSA bezpečnost, důvěra a Registry Assurance, jsme záměrně vytvořili tolik potřebnou one-stop-shop v rámci procesu posuzování poskytovatele cloud, "říká Jim Reavis, generální ředitel ČSA. "To umožní poskytovatelům cloudu být více transparentní účaří Proces hodnocení, pomáhá urychlit proces realizace, kde oblačnosti spotřebitelé budou moci, aby se inteligentní a efektivní rozhodnutí. Očekáváme, že nová verze mít obrovský a pozitivní dopad na cloud průmyslu, "dodal Reavis. Společně CCM 3.0.1 a CAIQ 3.0.1 umožnit větší efektivitu a transparentnost při posuzování cloud a implementačního procesu. Kromě toho budou nové pokyny slouží jako plynulý přechod bodu na ty poskytovatele, kteří chtějí předložit ČSA bezpečnosti, důvěře a registru Assurance (STAR), bezplatné, veřejně přístupném registru, který dokumentuje bezpečnostní kontroly poskytované různými cloud computing nabídky. Konkrétně, CAIQ 3.0.1 sladí CAIQ otázky CCM 3.0.1 kontrolních oblastech a pokynech ČSA pro kritické oblasti zájmu ve Cloud Computing v3.0. Je také mapuje CAIQ otázky nejnovějším požadavkům na dodržování nalezené v CCM 3.0.1. V obou dokumentech se propouštění byly sníženy a jazyk přepsán pro srozumitelnost záměru, STAR Enablement, a sladění organizace Development standardy. Navíc, CCM 3.0.1 obsahuje nové nebo aktualizované mapování ve všech 16 kontrolních domény oblastech. "S vydáním nového CCM a CAIQ, jsme vytvořit neuvěřitelně efektivní a účinný postup pro poskytovatele cloud lépe prokázat transparentnost a zlepšit důvěru v oblak, který je konečným posláním ČSA, "řekl Daniele Catteddu, generální ředitel, CSA EMEA. "Nyní máme také efektivní cestu pro tyto poskytovatele, aby se stal součástí programu ČSA STAR, dává další záruku na cloud spotřebitelů tím, že jim umožní přezkoumat bezpečnostní praktiky poskytovatelů. To pomůže urychlit jejich due diligence a vést k vyšší zkušenosti zakázek kvalita. " CSA CAIQ je počáteční průzkumné dokument mezi cloud zákazníkem a poskytovatelem. Tím, že poskytuje řadu "ano nebo ne", nebo tvrzení otázky kontroly CSA CAIQ pomáhá organizacím vytvářet nezbytné postupy posuzování při zapojení s poskytovateli cloudu. Tato otázka sada je zjednodušený destilace z otázek, osvědčených postupů a specifikací kontrolních z ČSA CCM a určeny k rychlé identifikaci oblastí pro další jednání mezi spotřebitelem a poskytovatelem. ČSA CCM je speciálně navržen tak, aby základní bezpečnostní zásady pro vedení cloud prodejci a pomoci potenciálním zákazníkům cloudu při posuzování celkové bezpečnostní riziko poskytovatele cloudu. CSA CCM poskytuje rámec kontrol, které jsou zarovnány přes 16 bezpečnostních domén. Základem Cloud Controls Matrix spočívá na jeho zakázku vztahu k jiným průmyslovým normám, předpisům a kontroluje rámců, jako jsou: ISO 27001:2013, COBIT 5.0, PCI DSS: v3, AICPA 2014 důvěryhodných služeb Zásady a kritéria a rozšíří směr vnitřní kontroly pro kontroly servisní organizace zpráv osvědčení. CSA CCM posiluje stávající kontrolní informační bezpečnosti prostředí tím, že umožňuje snížení bezpečnostních hrozeb a zranitelností v cloudu, poskytuje standardizované zabezpečení a řízení operačního rizika, a snaží se normalizovat bezpečnostní očekávání, cloud taxonomie a terminologie, a bezpečnostní opatření realizovaná v cloudu.
49% bezpečnostních profesionálů, myslíte, že Java aplikace jsou zranitelné vůči útokům
26.7.2014 Analýzy
V nedávném průzkumu, polovina z vedoucích IT profesionálů dotázaných uvedlo, že jejich aplikace Java jsou zranitelné (32%) nebo velmi zranitelné (17%), k útokům. Jsou citovány nejistý kódování (60%) a zranitelná místa v knihovnách třetích stran (25%) jako vedoucí hrozby. Mezitím, téměř 90 procent respondentů uvedlo, že jejich bezpečnostní týmy neměly k dispozici dostatek informací o aplikacích pro datová centra, které jim umožní správně chránit ty aplikace z útoku. "Vlastní vyvinuté aplikace založené na jazyce Java ovládat prakticky každý průmysl, zejména finančních služeb a elektronického obchodu," řekl Brian Maccaba, generální ředitel společnosti Waratek. "Protože mnoho z těchto podnikových aplikací, které běží na starších verzích platformy a použít kód třetí strany, není divu, že tolik bezpečnostní odborníci jsou znepokojeni zranitelnosti v těchto programech." průzkum Waratek více než 130 CISO, ČSÚ, CIO a další IT manažeři na nedávném summitu Gartner řízení bezpečnosti a rizik o jejich podniku a zabezpečení aplikací obavy. Podle dotázaných:
Držet krok s nejnovějšími hrozbami (43%) a hledání / udržení talentů (25%) je jejich největší bezpečnostní firmě výzvy
Jejich největší obavy jsou ztráta dobré pověsti firmy kvůli narušení dat (55%) a ztráty zákaznických dat a duševního vlastnictví (34%)
Java aplikace jsou zranitelné (32%), velmi zranitelné (17%) a jen o něco bezpečnější (34%)
Vedoucí hrozby pro aplikace Java jsou nejistí kódování (60%), zranitelnosti v knihovnách třetích stran (25%) a SQL injection útoků (19%)
Bezpečnostní týmy chybí dostatečné informace o aplikacích, aby se jim (87%) chráněn.
Vystavení nejistotu hotelových sejfech
26.7.2014 Bezpečnost
Cestovní doklady, hotovost, mobilní zařízení, kamery, šperky a firemní dokumenty - na dovolenou nebo na služební cestu, turisté a podnikatelé podobně často nesou cenné předměty v zavazadlech. Za malý poplatek, mnoho hotelů nabízí trezor pro udržení důležité dokumenty a cennosti v bezpečí. Nicméně, tyto trezory nejsou tak bezpečné, jak se často předpokládá.
Když se podíváme na jednu populární bezpečné modelu, G DATA SecurityLabs odborníků zjistil závažné bezpečnostní nedostatky. S trochou technického úsilí, bezpečný může být hacknutý a vyklizeny ve velmi krátkém čase. Pokud je bezpečná má magnetickou čtečku karet, nabízí zločincům možnost použití skimming pro přístup k datům na kartě a nabízí jej k prodeji na internetu nebo ve speciálních podzemních fórech. bezpečné Model vyšetřován bezpečnostních DATA odborníků G by mohl být otevřít pomocí různých metod. Bezpečné lze snadno otevřít pomocí hlavního kódu od výrobce, který by měl jen být používán otevřít v případě nouze. Mnoho majitelů hotelů, ale neobtěžují změnit výchozí kód - takže život snadné pro zloděje. "Naléhavě doporučujeme majitelům hotel pro změnu Master kódu v trezorech a pravidelně kontrolovat, trezor na úpravy," doporučuje Ralf Benzmüller, hlava G DATA SecurityLabs. Další možností pro otevírání bezpečné je hack nouzový zámek. Hotel manager má obvykle nouzový klíč. Nicméně, po odšroubování desky na přední straně v bezpečí, pod zámek lze také otevřít pomocí falešného klíče. Alternativně kód lze resetovat pomocí zkratu a novou zadané, které pak mohou být použity k otevření sejfu. "Bezpečný není to nejhorší místo pro uložení cenností. Jejich zabezpečení, by však neměla přeceňovat, "shrnuje Ralf Benzmüller. tipy z bezpečnostních DATA odborníků G k použití hotelové trezory: Nepoužívejte kreditní karty: Hosté by nikdy při používání bezpečné používat své kreditní karty. Je-li bezpečné je vybaven čtečkou magnetických karet, může být přístroj schopen číst osobních údajů. Neužívejte cennosti: Než půjdete dál, měli byste zvážit, které cennosti budete skutečně potřebovat na dovolenou. Drahé šperky by měly být pokud možno ponechána doma, pokud je to možné. Aktivace ochrany proti krádeži: Uživatelé by měli učinit opatření v případě, že jejich mobilní zařízení ztraceno. Nainstalujte bezpečnostní software na svých mobilních zařízeních, včetně ochrany proti krádeži. To umožňuje zařízení musí být umístěna a zamčené na dálku a všechna data uložená na něj být odstraněny. S notebooky, pevný disk by měly být šifrovány, takže žádnou příležitost pro zloděje, aby si ukradené údaje. Zálohování dat: Než půjdete dál, vytvořte záložní kopii všech dat uložených na externí paměťové médium. Poznámka blokování čísla: Turisté by si měli uvědomit dolů čísel služby pro jejich provozovatele mobilní telefon a úvěrů a poskytovatelů debetních karet. Karta, surfovat hůl nebo dotyčný mobilní zařízení může být blokována ihned v případě ztráty. skenování ID dokumenty: Důležité dokumenty, jako jsou identifikační dokumenty, letenek, jízdenek a údaje o cestovním pojištění by mělo být kopírován, než jít dál a uchovávány odděleně od originály v průběhu cesty. Digitální skenování dokumentů může být také na smartphone, notebook nebo USB flash disk. V případě ztráty, které vám pomohou při nahlášení incidentu a výměně dokumentů. Poznamenejte si adresu velvyslanectví: Při cestách do zahraničí, by cestující poznamenejte adresu a telefonní číslo zastupitelského úřadu nebo nejbližšího konzulátu. Pokud je váš cestovní pas odcizen, velvyslanectví může vydat náhradní cestovní doklad. ztráty dokumentů: Pokud hotelový trezor je rozdělena do, musí cestující oznámit místní policii a zdokumentovat ztráty. To by mohlo pomoci ztracený majetek a má být uhrazen v rámci pojištění ve své zemi. Bližší technické údaje a obrázky přečíst blog G dat .
63% podniků nemají šifrování kreditní karty
26.7.2014 Bezpečnost
Ve své třetí studii na základě údajů nešifrovaná karet, SecurityMetrics zjistila, že 63,86% podniků uložit nezašifrované 16-ti místnou sekvenci na přední straně kreditní karty, také známý jako primární číslo účtu (PAN). Navíc, 7% podniků ukládat data magnetického proužku na zadní straně kreditní karty.
"Vzhledem k jeho hodnotě na černém trhu, údaje nešifrovaná karta, je v podstatě jen 50 dolarů Bill ležel na chodníku a čekal, hacker, aby si to," řekl SecurityMetrics ředitel forenzní vyšetřování, David Ellis. "Nešifrovaná data karta je" nízko visící ovoce ", že je zralá pro snadné sklizni, a to je to, co útočníci první vzhled, když hack podnikání." Během své 2014 studii, panscan naskenovaný 145144 koncertů dat na 2590 počítačů a zjistil:
Celkem 87.206.203 nešifrovaná platebních karet
63.86% podniků ukládat nešifrované PAN dat
7,37% podniků uchovávat veškeré proužek dat magnetické, včetně PIN, CVV, servisní kód, datum vypršení platnosti, jméno držitele karty, a PAN.
Od svého zavedení, panscan našla více než 780 milionů nešifrované čísla karet na obchodních sítí. To je více než 2,5 karty pro každou osobu ve Spojených státech. "údaje Nezašifrovaná karet může snadno nastat v malých i velkých prodejních místech," řekl Gary Glover, ředitel posouzení bezpečnosti. "Může to náhodou být uložena na místě prodeje terminálů, kancelářských stanic, pevné disky, apod. v důsledku chybně software, nesprávné odstranění souboru, nebo obnovené zálohy."
Windows Předchozí verze proti ransomware
26.7.2014 Viry
Jedním ze skvělých funkcí, které Microsoft ve skutečnosti přidané v systému Windows Vista je schopnost obnovit předchozí verze souborů a složek. To je součástí VSS (Volume Shadow Copy Service), která umožňuje automatické vytváření záložních kopií systému. Většina uživatelů "virtuálně setkat" tuto službu, jsou-li instalaci nového softwaru, když je vytvořen bod obnovení, který umožňuje uživateli snadno vrátit operační systém zpět do původního stavu, pokud se něco pokazí.
Nicméně, "Předchozí verze" funkce může být velmi užitečné, když ostatní chyby nebo incidenty se stejně. Například, pokud uživatel odstraněn soubor ve složce, a funkce "Předchozí verze" je aktivní, je velmi snadné obnovit smazaný soubor klepnutím na příslušné tlačítko v menu Vlastnosti pohonu / složku, která obsahovala odstraněný soubor. Uživatel pak může jednoduše procházet předchozí verze a obnovit smazaný soubor, jak je znázorněno na obrázku níže:
Karta Předchozí verze
Můžete vidět na obrázku výše, že tam jsou vlastně různé verze složky Desktop, které byly uloženy pomocí "Předchozí verze" funkce. Uživatel může nyní jednoduše klikněte na jakoukoliv verzi on / ona přeje a procházet předchozí soubory.
Jak to může pomoci proti Cryptolocker a podobné ransomware? No prostě - když například ransomware infikuje počítač, typicky šifruje všechny soubory s dokumenty, například Word a PDF souborů nebo obrázků (JPG, PNG, ...). Pokud je "Předchozí verze" funkce běží, v závislosti na několika faktorech, jako je přiděleno místo na disku pro něj, stejně jako v době posledního snímku (od "Předchozí verze" ukládá soubory porovnávání na poslední snímek, který by se za normálních okolností uskuteční každý den ), jen by mohlo být dost štěstí, že * některé * z šifrovaných souborů jsou k dispozici v "Předchozí verze".
Monitorovací "Předchozí verze" aktivity
Jak můžeme vidět, pomocí této funkce je velmi jednoduché obnovit předchozí soubory. To je jeden z důvodů, proč jsem se vidět mnoho firem pomocí této funkce na sdílených discích - to může být velmi užitečné v případě, že uživatel omylem smazali soubor.
Existují však i zde bezpečnostní důsledky. Například, uživatel může obnovit soubor, který byl dříve vymazán a že si myslel, že je pryč. Samozřejmě, že uživatel stále potřebuje přístupová práva k tomuto souboru - pokud ACL nedovolí mu přístup k souboru, že nebude možné obnovit, ale v případě, že správce nastavit ACL na adresáři, což je obvykle případ , a vše, co pod ním je dědičná, uživatel by mohl potenciálně mít přístup k souboru, který byl myšlenka být vymazány.
To nelze zabránit (kromě změnou ACL, samozřejmě), takže vše, co můžete udělat v tomto případě je, aby se pokusili sledovat soubor restaurátorské činnosti. Bohužel, Windows je docela (hodně?) Omezen v tom. Nejlepší, co můžete udělat, je umožnit přístup k objektu Audit vidět soubor přístupů, a pak uvidíme, co daný uživatel přístup. Jak již bylo řečeno, já jsem nebyl schopen stabilně reprodukovat protokoly, které by mi mohl říct, co přesně verzi uživatelského přístupu - v některých případech Windows vytvořili protokol, jako je následující:
Sdílet informace:
Share Name: \ \ * \ TEST
Sdílet Path: \ \ C:? \ TEST
Relativní Target Jméno: @ GMT-07.2.2014-11.56.38 \ eula.1028.txt
To je událost 5145 ("sdílená síťová byl objekt zkontrolovat, zda klient může být udělen požadovaný přístup"), a je vidět, která kopie byla přístupná, ale, jak už jsem řekl, jsem nebyl schopen tuto událost generovanou to neustále .
Závěr
"Předchozí verze" funkce je velmi užitečná v případech, kdy potřebujete obnovit soubor, který byl omylem vymazali nebo upravili a někdy může dokonce pomoci při větší událost, jako je například Ransomware infekce se stalo. Ujistěte se, že jste tuto funkci používat, pokud to budete potřebovat, ale také být vědomi bezpečnostní důsledky - jako je například skutečnost, že automaticky zachovává smazaných souborů a jejich upravené kopie.
Konečně, z nějakého důvodu Microsoft se rozhodl odstranit, skutečně změnit tuto funkci v systému Windows 8.. "Předchozí verze" Karta není nic víc neexistuje v Průzkumníku (ve skutečnosti to dělá, ale je třeba přistupovat k souborům v síťové sdílené položce). Pro ukládání lokálních souborů Windows 8 nyní použít funkci s názvem "Historie souboru". Je třeba ručně nastavit, a to je třeba mít externí pevný disk, který bude použit k uložení kopie souborů. To je určitě lepší, protože, pokud váš hlavní pevný disk zemře, můžete obnovit soubory z externího jeden, ale mějte na paměti, že je třeba nastavit ručně. A konečně, pokud budete používat EFS k šifrování souborů, "History File" funkce nebude pracovat na nich.
Nová vlastnost: "Živé" SSH Brute Force Protokoly a New Kippo Client
26.7.2014 Počítačový útok
Jsme oznamuje novou funkci jsme pracovali na chvíli, že bude zobrazovat živé statistiky o hesel používaných SSH brutální nutí roboty. Kromě toho jsme také aktualizovali naše skript, který vám umožní přispět údaje k tomuto úsilí. Právě teď jsme podporu kippo honeypot pro sběr dat. Tento skript bude předkládat uživatelská jména, hesla a IP adresy útočníka do našeho systému.
Chcete-li stáhnout skript viz https://isc.sans.edu/clients/kippo/kippodshield.pl .
Skript používá nový REST API nahrát přihlásí do našeho systému. Chcete-li jej používat, budete potřebovat API klíč, který můžete načíst z https://isc.sans.edu/myinfo.html (podívejte se v dolní polovině stránky pro "parametry sestavy").
U dat, která sbírají tak daleko, viz https://isc.sans.edu/ssh.html .
Máte-li jakékoli další systémy pak kippo sběru podobné informace (jsme chtěli sbírat uživatelské jméno, heslo a IP adresu), pak prosím dejte mi vědět a já budu vidět, jestli můžeme přidat konkrétní formát protokolu pro tohoto klienta.
Tím přispívá protokoly, pomůžete nám lépe pochopit, kdo a proč se provádí útoky, a to jisté, "musí se vyhnout" hesla. Všimněte si například, že některé z hesel tyto skripty vyzkoušet nejsou nutně triviální, ale mohou být natolik běžné, že stojí za to hovado nutit cíle.
V říjnu proběhne v Norimberku veletrh it-sa 2014 o bezpečnosti IT
25.7.2014 IT
Již šestý ročník veletrhu pro odborníky na zabezpečení IT proběhne na norimberském výstavišti ve dnech 7. až 9. října 2014. Na výstavě bude otevřen i český pavilon vyhrazený vystavovatelům z České republiky.
V současné době je přihlášeno k účasti více než 100 vystavovatelů včetně mnoha nováčků, kteří si již rezervovali plochu pro své stánky. I letos bude souběžně s veletrhem probíhat Kongresy nazvaná Congress@it-sa, která se také zaměří na otázky zabezpečení informačních a komunikačních technologií.
Veletrh s konferencí patří každoročně mezi vrcholné akce v oboru. Na této akci se pravidelně setkávají bezpečnostní manažeři z oficiálních institucí a místních úřadů se zástupci podnikového sektoru nejen z oborů finančnictví a pojišťovnictví, ale i z dalších odvětví, která kladou na zabezpečení velký důraz. Neúčastní se pouze zástupci z Německa, ale z celého světa, aby si mohli vyměňovat zkušenosti v širokém fóru. „Krádeže, zneužití nebo manipulace s daty jsou čím dál větším problémem ve všech odvětvích. it-sa nabízí všem odborníkům na bezpečnost IT i dalším zájemcům příležitosti získat podrobné informace o navrhování zabezpečených digitálních obchodních procesů. Tato výstava, která je největší událostí svého druhu v celé Evropě, je velkým lákadlem pro mezinárodní společnosti, pokrývající celý trh bezpečnosti IT,“ vysvětluje Frank Venjakob, ředitel výstav na norimberském výstavišti.
Účast na akci si již objednalo více než 100 zájemců z celého světa.
Ve srovnání se stejným obdobím loňského roku zaznamenali organizátoři nárůst zájmu. „Objednáno je více než 100 stánků, z nichž desetinu tvoří noví vystavovatelé,“ informoval Venjakob o situaci necelý půlrok před zahájením výstavy.
Forenzní nástroje v iOS mohou vydat data do špatných rukou
25.7.2014 Bezpečnost
Expert na bezpečnostní slabiny v systému iOS používaném v iPhonech a iPadech tvrdí, že odhalil zatím neobjevené způsoby, kterými mohou být uživatelé iPhonu špehováni.
Výzkumník ze společnosti Hackers On Planet Earth Jonathan Zdziarski minulý týden na konferenci v New Yorku předvedl několik dříve nezdokumentovaných forenzních služeb a výzvědných mechanizmů uvnitř iOS. Tyto nástroje mohou podle něj komukoliv s přiměřenými technickými dovednostmi umožnit přístup k citlivým datům na iPhonech, včetně fotografií, kontaktů a lokace. Podle Zdziarskiho mohla tyto nástroje využívat americká Národní bezpečnostní agentura (NSA) k přístupům k informacím o svých cílech. Ale dodal, že k tomu nemá žádný důkaz.
Společnost Apple vysvětlila, že jsou tyto služby diagnostické funkce, které oddělením IT umožňují iPhony spravovat. Zdziarski si však myslí, že tyto funkce porušují sliby Applu. „Rozumím tomu, že každý OS má diagnostické funkce, nicméně tyto služby porušují slib, který Apple dává zákazníkům, když vkládají své záložní heslo – že se data na jejich zařízení nikdy nedostanou ven nezašifrovaná,“ napsal na svém blogu.
Podle zprávy, kterou Zdziarski vydal, je však k získání těchto dat nutné připojit telefon k počítači, s čímž by musel uživatel souhlasit. Toto spárování s počítačem by také fungovalo pouze na odemknutém telefonu připojeném k PC přes USB, což zneužití této funkce znesnadňuje, rizika přesto zůstávají.
Zaujal vás tento článek? Přehled nejzajímavějších zpráv získáte odebíráním našeho newsletteru »
„Je to dobrá zpráva pro ty hodné policajty, kteří dělají takové šílené věci jako získávání soudního příkazu, ale je to opravu špatné pro ty, na koho se zaměřila zpravodajská agentura nebo kyberzločinci,“ píše Zdziarski v dokumentu.
Tento malware si může stáhnout každý s firemní licencí Applu, přes službu s lockdown „com.apple.mobile.instalation_proxy“. Nástroj „com.apple.mobile.house_arrest“ může být využit k zpřístupnění databází a osobních dat z aplikací třetích stran. Obsahuje také možnost zaznamenávat všechny online aktivity prováděné na zařízení.
Nejvíce starostí Zdziarskimu působí však file relay, který obsahuje mechanismus kopírující všechna metadata uložená v iPhonu, včetně polohy GPS, kalendáře a kontaktů, fotografií a posledních napsaných zpráv. Tyto informace by podle Zdziarskiho měly být šifrované, jsou příliš osobní na to, aby je mohl mít Apple potřebu kdy použít.
vBulletin náchylné k SQL injection
24.7.2014 Zranitelnosti
Rumunský hacking komunita objevil a zodpovědně hlášeny kritickou zranitelnost vůči vložení SQL nalezené v nejnovější verzi (5.1.2) oblíbeného webového forum software phpBB.
Chyba by mohla umožnit útočníkovi aplikovat příkaz SQL a dostat své ruce na pověření správce, které by pak umožnily jim přístup k administračním panelu, a proto k databázím obsahujícím informace citlivé uživatele (e-mailové adresy, hesla, atd.). A pokud je povoleno oprávnění k zápisu, by mohly dokonce spustit škodlivý kód. objev vady byla sdílena s vBulletin developerů, kteří ihned začali pracovat na opravu. Podle Softpedia v Ionut Ilaşcu, hacking komunity - Rumunský Security Team - není zájem o zneužívání nebo prodej informací o zranitelnosti, i když by to mohlo pravděpodobně vydělat jim slušné peníze jako vBulletin používají desítky tisíc různých webových stránkách. Zástupce skupiny bylo řečeno, Ilaşcu, že společnost promptně reagovaly na jejich heads-up, a že další verze softwaru bude obsahovat opravu pro problém. Jakmile nová verze je venku, a byl proveden velký počet uživatelů, bude skupina sdílet podrobnosti o zranitelnosti s veřejností.
Selektivně re-použití špatných hesel není špatný nápad, říkají vědci
24.7.2014 Šifrování
Pro všechny opakované doporučení používat jiné, složitější heslo pro každý účet on-line, uživatelé jsou stále rozhodly pro snadno uhodnout, ty krátké a používat je opakovaně v mnoha webových stránkách a on-line služeb. Bohužel, zdá se, že bezpečnostní odborníci musí uzavřít mír situaci, nebo najít jiný způsob, jak uživatelům poslouchat a dělat tak, jak jsou poradil. ale je rada zvuk odborníků? Trojice výzkumníků z Microsoft výzkumník a Carleton University, Ottawa, Kanada je z jiného mysli, a jsou náročné, že dlouhodobě zastávaný názor, že každý účet potřebuje silné heslo. Jak počet on-line účtů otevřen každý uživatel roste, a mnoho nejsou otevřeny pro použití manažery hesla, uživatelé zjišťují správu velkého heslo portfolio stále více zatěžující. "Oba heslo opětovné použití a výběr slabá hesla, zůstane populární copingové strategie," výzkumníci zaznamenali, a věří, že bude i nadále populární . "Oba jsou cenným nástrojem při vyrovnávání rozdělení úsilí mezi vyšší a nižší účty hodnoty." Tak se rozhodli, zda a jak se tyto strategie mohou být použity správným způsobem, vzhledem k pevné a omezené uživatelů "rozpočty úsilí." A odpověď je, že může - a měla - ale trik je znovu použít jednoduché, zapamatovatelné heslo pro větší skupinu účtů nízké hodnoty, tj. účty, které, je-li ohrožena, nepřinese mnoho nebo velmi užitečné informace pro útočníky. Složité a unikátní hesla by měla být vyhrazena pro vysokou hodnotou účtů, jako jsou ty, které obsahují velké množství osobních informací, finanční informace, důvěrné dokumentace, nebo e-mailových účtů, které se používají pro přihlášení do on-line služeb a které resetování hesla e-maily z těchto služeb jsou zasílány . Pro více informací o jejich výzkumu, podívejte se na jejich whitepaper.
UK údaje hlídací pes utrpěl narušení bezpečnosti dat
24.7.2014 Incidenty
Porušení dat může opravdu stát komukoliv - jen se zeptejte komisař pro informace Úřad ve Velké Británii (ICO).
Pohřben v nedávné době zveřejnila 2013-2014 výroční zprávy , orgán za úkol ujistit se, že ve Spojeném království organizace - soukromé a vládní - udržet zákazníky a uživatelská data v bezpečí, uvedla, že utrpěla "non-triviální zabezpečení dat incidentu." " Incident byl zpracovaný jako self-reported porušení. To byl vyšetřován a léčen žádný odlišně od podobných incidentů hlášených k nám ostatním. Také jsme provedli interní vyšetřování, "uvedli. "Dospělo se k závěru, že pravděpodobnost poškození či strádání veškeré dotčené subjekty údajů byla nízká a že nepředstavuje závažné porušení zákona o ochraně osobních údajů. plný šetření byla provedena s doporučeními a přijatých. vnitřní vyšetřování byla také uzavřena. " The Times uvádí , že žádné další podrobnosti o porušení byly sdíleny s veřejností a mluvčí úřadu řekl, že ti, kteří chtějí vědět, co se stalo, bude muset předložit o svobodném přístupu k žádosti o informace. Zda je taková žádost by vlastně být produktivní, je jiná věc - je na alespoň jeden předchozí příklad, ve kterém je podobný požadavek nevedl k hledané informace.
Oracle poskytuje 113 aktualizací
24.7.2014 Zranitelnosti
Čtvrtletní Critical Patch Aktualizace Oracle (CPU) není nikdy menší akce. V dubnu jsme viděli 104 bezpečnostní otázky řešit, v lednu to bylo 144. Tentokrát jsme se potýkají s 113 aktualizacemi. Tyto aktualizace pokrývají celé portfolio softwaru Oracle, včetně JRE, Solaris, Oracle databáze, MySQL, a četné webové a middleware produktů. co vyčnívá, je opožděné oprava Heartbleed v MySQL Enterprise Server, přichází plně 3 měsíce po Oracle pevně, že problém ve svých ostatních produktů, a vysoce rizikových zranitelností stanovených v Oracle Database a JRE. je to trochu šokující vidět, že horní dvě otázky (CVE-2013-3751 a CVE-2013 - 3774) je stanovené v Oracle Database 12 byly stanoveny před rokem pro Oracle Database 11. To znamená, že Oracle docela pravděpodobné, věděl, že verze 12 byl zranitelný, když vydali ji v červnu loňského roku a opustili své zákazníky vystaveny za uplynulý rok. Starší skvrny v Oracle Fusion Middleware (spojené s CVE-2013 -1741 a další) se zdají být jiný zvíře. To je pravděpodobné, že Oracle s upstream opravy z otevřeného prodejce source (Mozilla v tomto případě) a přerozdělovat je k jejich placení, postižených zákazníků, protože znovu použít postiženou součást. JRE skvrny zabývat 20 různých problémů s mnoha vysoce rizikových zranitelností v každém nejnovějších podporovaných verzí JRE, jak se očekávalo jedná o využitelné prostřednictvím sandboxed aplikací a apletů Java Web Start. V nejhorším z nich by útočník mohl zcela kompromisní cílové systémy tím, že přiměje uživatele k návštěvě škodlivé webové stránky, nebo příliš společného, je ohrožena "normální" webové stránky, které se podává škodlivý obsah. Poslední vylepšení na kontrolu, když prohlížeč může běžet Java pluginy poněkud zmírnil riziko pro ty uživatele, kteří byli pro chov jejich JRE až do dnešního dne a vlastně věnovat pozornost varování a kontroly. To znamená, že je to stále ještě bude velké riziko, a budeme muset monitorovat spolupráci zveřejnění využití kódu z různých systémů zveřejňování informací. JRE opravy bude prioritou záplaty pro téměř všechny domácí a podnikové koncové uživatele. Otázky Oracle databáze bude hlavním tématem pro správce podnikové databáze. Autor: Ross Barrett, Senior Manager, bezpečnostní inženýrství, Rapid7.
100 + DDoS událostí za 100GB/sec hlášených v letošním roce
24.7.2014 Počítačový útok
Arbor Networks vydala globální DDoS útok údaje vyplývající z jeho sledování infrastruktury ATLAS hrozeb. Data ukazují, jedinečnou počet objemových útoků v první polovině roku 2014 s více než 100 útoků větší než 100GB/sec hlášeny.
Klíčová zjištění:
1H 2014 viděl největší objemové DDoS útoky vůbec, s více než 100 událostí více než 100GB/sec hlášeny doposud v tomto roce
U poloviny roku 2014, 2x počet událostí než 20GB/sec byly hlášeny ve srovnání se všemi 2013
Největší hlášený útok ve 2. čtvrtletí byl 154.69GB/sec, se 101% od 1. čtvrtletí 2014. To byl NTP odraz útok cílení cíl ve Španělsku.
NTP reflexe útoky jsou stále významné, ale velikost a rozsah je dole oproti 1. čtvrtletí roku 2014. Průměrný objem NTP dopravy padají zpět na celém světě, ale stále není zpět na úroveň z listopadu 2013 (před začátkem NTP útoku zbraní)
Q2 2014 viděl méně velmi velké útoky - s průměrnou velikostí útok snížil o 47% ve srovnání s 1. čtvrtletím 2014.
"V návaznosti na bouři NTP reflexe útoků v 1. čtvrtletí objemových DDoS útoky pokračovaly být problém i do druhého čtvrtletí, s bezprecedentních 100 útoků než 100GB/sec hlášeny doposud v letošním roce. Také jsme již viděli více než dvojnásobný počet útoků než 20GB/sec, než jsme viděli v celý loňský rok, "řekl Arbor Networks ředitel Solutions Architects Darren Anstee. "Četnost velkých útoků i nadále problém , a organizace by měly mít integrovaný, multi-vrstvený přístup k ochraně. Dokonce i organizace s významným množstvím připojení k internetu lze nyní vidět, že kapacita vyčerpána relativně snadno útoky, které se děje tam venku, "dodal Anstee.
Nejnebezpečnější superhrdinové pro vyhledávání on-line
24.7.2014 Hrozby
Ačkoli on strávil roky bojuje za dobro v komických knihách a na velké obrazovce, Superman se objevil jako jeden z webového největších darebáků, když je nejvyšší v McAfee je "nejvíce toxických nadčlověka" studie. Studie analyzovala, které superhrdiny vyhledávání vedl k nejvíce rizikové webové stránky, ukázat, že Thor, Wonder Woman a Aquaman, těsně následován za Superman v druhém a společném třetím místě. Studie používá McAfee SiteAdvisor hodnocení webu zjistit, které superhrdiny vyhledávání, která vedla k nejrizikovější webové stránky. Bylo zjištěno, že hledání "Superman", "Superman a zdarma torrent download", "Superman a hodinky", "Superman a zdarma app" a "Superman a on-line", přineslo 16,5% šanci na přistání na webové stránky, které pozitivně testován na on-line hrozbami, jako je spyware, adware, spam, phishing, viry a další malware. Studie ukazuje, které stránky jsou nebezpečné při hledání superhrdiny jména na webu a výpočtu celkového rizika procenta. Top 10 superhrdinové z letošní studie s nejvyššími procenty rizika jsou:
"Zatímco vyhledávání vašich oblíbených superhrdinů on-line by se mohlo zdát nevinné v době, kdy" řekl Raj Samani, CTO, McAfee EMEA, "musíme si uvědomit, že zločinci využít jejich popularity k cíli nic netušící spotřebitele, kteří hledají více informací. Tyto zločinci nás chtějí nalákat na nebezpečné stránky, které mohou vážně infikovat počítače a zařízení, a dokonce ukrást osobní údaje ". tipů, jak zůstat chráněni: Být podezřelé: Pokud se při vyhledávání se objeví odkaz na volném obsahu nebo příliš dobré-k-být- skutečné nabídky, mít na pozoru. Double-check webovou adresu: Podívejte se na překlepy nebo jiné stopy, které stránky, které se chystáte, nemusí být bezpečné. Hledat bezpečně: Použijte webový bezpečnostní poradce, který vás upozorní na potenciální rizikové stránky, než kliknete na . je Chraňte se sami sebe: Používejte komplexní bezpečnostní software na všech vašich zařízeních se chránit před nejnovějšími hrozbami.
Jak e-uživatelské návyky ovlivnit osobní život
24.7.2014 IT
GFI Software oznámila výsledky své druhé nezávislé studie do e-mailové uživatelských návyků, které odhalila příkrý nárůst ve způsobu, jakým pracují e-mail je zasahování do osobních životů a prostoje zaměstnanců. Dotazovaných, některé 41% připouští, že na kontrolu pracovní e-maily alespoň jednou denně ve svém volném čase, zatímco 38% připouští, že kontrolu vícekrát denně nebo v reálném čase přes pre-práce ráno, večer, víkendy a dny volna.
V návaznosti na zahajovací studie 2013, letošní výzkum na to, jak zaměstnanci pracovat s e-mailem rozšířila své zaměření se podívat na dopad mobility a BYOD na spotřebu e-mail. Průzkum zjistil, že 18% dotázaných se použít smartphone nebo tablet jako primární zařízení pro odesílání a přijímání e-mailů, což zajišťuje, že zaměstnanci jsou zapojeny do pracovního e-mailu 24 hodin denně, sedm dní v týdnu, pokud přístroj vypnout. . slepý, nezávislá studie byla provedena u GFI Software názorem věcech, geodetické 500 pracovníků ve Velké Británii od společností s až 500 zaměstnanců Klíčová zjištění z průzkumu patří:
Mimo pracovní doby, 41% dotázaných kontrolovat jejich pracovní e-maily alespoň jednou denně v osobním čase. Dále 10,6% i nadále kontrolovat své e-maily v reálném čase i před a po práci
Více než čtvrtina dotázaných (26,6%) reagují na práci e-mailem do 15 minut nebo obdržení během pracovní doby. Dále 26,1% respondentů odpovídat na e-maily během půl hodiny, během pracovní doby
Při odesílání e-mailu, stejné respondenti jsou méně vybíraví o době odezvy, s jen 8,6% očekává odpověď uvnitř 15 minut a pouze 17% očekává jeden uvnitř půl hodiny. Většina očekávat odpověď během několika hodin (24,4%) nebo alespoň během jednoho dne (24.8%) odesílání zprávy
Nicméně, těsně pod třetina (31,4%) stále odolávají pokušení podívat se na jejich firemní e-mailu mimo pracovní den.
Průzkum odhalil značné pronikání pracovních e-mailů nejen do osobního času, ale i na společenské akce a jiné milníky non-pracovních příležitostech. Například:
Téměř 60% dotázaných připouští kontrolu pracovní e-mail, zatímco na dovolenou
Další 6,4% se zkontrolovat e-mail během svatebního obřadu
Zatímco navštěvuje událost ve škole svých dětí, o 4,1% prošli pracovní e-mail
Dokonce i během pohřbu, 2,6% zkontrolovali poštu
... A 1,5% ve vlastnictví až do kontroly jejich pracovní e-mail, když jejich manžel byl v práci.
"E-mail není jen kritické podnikové komunikační nástroj, ale údaje ukazují, že se spoléhal na - možná až příliš - jako virtuální kartotéce a skladování úložiště," řekl Sergio Galindo, generální manažer Infrastructure Business Unit v GFI Software. "Tento druh přístupu může až příliš snadno množí je" out-of-sight, out-of-mysli "postoj k bezpečnosti e-mail, zabezpečení a zálohování, který je nebezpečný důvod pro jakoukoli společnost, aby se na daný hodnota dat vázaných do schránek organizaci a narušení, které je způsobeno, když jen jeden uživatel trpí e-mailovou narušení, natož celá společnost. " výzkumné údaje ukázaly, že 61% pomocí své e-mailové schránky jako skladovací nástroj do souboru a načítat dokumenty, potenciálně nebezpečný a neefektivní způsob, jak spravovat e-mail, který vytváří přes-velikosti poštovní schránky, které na oplátku stávají náchylné k poškození dat, pomalé e-mail výkonu a vysoké náklady na straně serveru pro ukládání. "a Nevýhodou je, že i přes výrazný zásah do e-mailu do osobních životů lidí, lidí, pokračovat v prohlížení e-mail pozitivně, 85% dotazovaných zvažuje Napsat být požehnáním, spíše než prokletí, což je skvělý potvrzení o technologii a způsob, jakým se změnil obchodní i osobní komunikaci, "dodal Galindo. všeobecné dostupnosti o levné chytré telefony, tablety a mobilní připojení je nepochybně pomohl stírá hranice mezi prací a osobním čase. Údaje Průzkum ukázal, že 16% respondentů bylo pomocí chytrých telefonů jako jejich primární e-mailovou zařízení, pouze 2% pomocí tablet. S náklady na základních tablet již tak nízké, jak 40 liber, to je překvapující statistický údaj. nárůst v používání mobilních zařízení učinila neformální pracovní e-mailový použít těžší odolat, s 33% při použití své mobilní zařízení ke kontrole e-mail na dovolenou, zatímco 23 % riskovali zabezpečení e-mailu společnosti připojíte své zařízení k veřejné přístupové body Wi-Fi, zatímco pryč. Pouze třetina (32%), vypněte svůj smartphone, zatímco na dovolené, i když 48% tvrdí, že zakázat nebo jinak odpojte pracovní e-maily ze svého telefonu po dobu trvání svého volna. Výzkum také ukázal, že běžné stolní počítače i nadále hlavní lidé používají zařízení pro nakládání s e-mailem (54,6%), zatímco notebooky jsou překvapivě odstupem druhé, používá 26,4% respondentů jako svůj primární e-mailovou zařízení.
65 výzvy, které cloud computing představuje pro forenzní vyšetřovatelé
24.7.2014 Zabezpečení
Národní institut pro standardy a technologie (NIST) vydal k veřejné kontrole a komentovat návrh zprávy shrnující 65 výzev, které cloud computing představuje pro forenzní vyšetřovatelé, kteří odkrýt, shromažďují, zkoumají a sledují digitální důkazy, aby pomohla řešit zločiny.
Zpráva NIST Cloud Computing Forensic Science výzvy , byla připravena na NIST Cloud Computing Forensic Science pracovní skupiny, mezinárodního orgánu mrakem a digitálních znalců z oblasti průmyslu, státní správy a akademické obce. Prostřednictvím zprávy, pracovní skupina má za cíl zahájit dialog o forenzních obavy v cloud computingu ekosystémů. "Dlouhodobým cílem tohoto úsilí," vysvětluje NIST Martin Herman, spolupředseda pracovní skupiny, "je vybudovat hlubší porozumění a shoda na, vysoce prioritní problémy, takže veřejného a soukromého sektoru může spolupracovat na efektivní řešení. " ultimate v distribuované výpočty, cloud computing je revoluční, jak se digitální data uložena, zpracována a předána. Umožňuje pohodlné, na vyžádání přístup ke sdíleným bazénem konfigurovatelných počítačových zdrojů, včetně serverů, skladování a aplikace v síti. Mezi výhody patří úspory, pohodlí a větší flexibilitu v tom, jak podniky a další spotřebitelé využívají informační technologie. vlastnosti, které činí tento nový technologie tak atraktivní také vytvářet problémy pro forenzních vyšetřovatelů, kteří musí vystopovat důkazy v neustále se měnící, elastické, na vyžádání, self-provisioning cloud computing prostředí. I když se chopí tabletu nebo přenosný počítač na místo činu, by digitální bojovníci kriminality přijít s prázdnýma rukama, pokud tato zařízení jsou spojeny s sdružených prostředků v cloudu. Technické problémy-zaměření návrhu zprávy-habaděj, ale téměř všechny se protínají s právními a organizačními otázkami. Na 65 výzev, které pracovní skupina identifikována jsou rozděleny mezi devíti kategoriích. Mezi ně patří architektura, sběr dat, analýza, normy, školení a "anti-forenzní vědy", jako jsou údaje o úkrytu a malware. Tyto technické problémy ", je třeba chápat s cílem rozvíjet technologie a standardy-založené přístupy zmírnění," návrh zprávy říká, .
Dopady Active Directory vad 95% z Fortune 1000 společností
23.7.2014 Zranitelnosti
Aorato identifikovali novou hrozivou chybu v rámci služby Active Directory, která umožňuje útočníkům změnit heslo oběti, i přes současnou bezpečnosti a identity Ochrana proti krádeži opatření. Se 95% z Fortune 1000 společností používající Active Directory, potenciál pro tento konkrétní zranitelnosti způsobit poškození a odcizení je vysoká. Jakmile útočník využívá této služby Active Directory chybu, pomocí nového hesla, útočník může vydávat za oběť pro přístup k různým podnikům služby a obsah, které vyžadují výslovné použití pověření oběti, jako je Remote Desktop Protocol (RDP), přihlášení a Outlook Web Access (OWA). Bohužel, i přes současné bezpečnostních protokolů, zaznamenány události chybět zásadní údaj o útoku krádeže identity. Útočník může tuto činnost vykonávat bez vědomí protokoly událostí, což Siems log-based a Big Data Security Analytics k ničemu proti těmto druhům pokročilých útoků. vysoké úrovni anatomie útoku útočník využívá veřejně dostupné bezplatné testování penetrace nástroje (např. WCE nebo Mimikatz), který krade komponentu ověřování, jmenoval NTLM hash, ze zařízení na zaměstnance. NTLM hash je umístěn ve výchozím nastavení na všech zařízeních, které se připojují k podnikovým zdrojům. Vzhledem k tomu, součást ověřování je známo, že riziko zabezpečení, které vede ke identity útoky krádeže, přes notoricky známý Pass-the-hash (PTH) útoku, se ochrany byly umístěny aby se zabránilo jejímu zneužití. Například, mnoho podniků se snaží omezit použití Active Directory je starší - a přesto povolen protokol default-ověřování (tj. NTLM). V jiných situacích, podniky log a audit NTLM činnost. Útočník nutí klienta k ověřování služby Active Directory pomocí slabší šifrovací protokol. V této fázi, útočník používá Directory chybu Active, kde šifrovací protokol opírá o NTLM hash. Tato činnost není zaznamenána v systému a třetí strana přihlásí, dokonce i ty, které se specificky přihlásit NTLM činnost. Jako výsledek, žádné výstrahy, nebo forenzní dat, někdy naznačují, že útok se koná. Útočník dokazuje jeho tzv. legitimní identitu Active Directory pomocí protokolu slabší ověřování. V důsledku toho, že útočník je schopen overovat se do vyhrazených služeb a změnit heslo oběti. Útočník využívá změněné heslo plně ukrást identitu oběti a přístup ke všem podnikovým zdrojům oběti. "Miliony podniky jsou slepě důvěřovat Active Directory jako základ k jejich celkové IT infrastruktury. nešťastné Pravdou je, že tato důvěra je naivně ztracená, takže drtivou většinu z Fortune 500 podniků a zaměstnanců náchylných k porušení osobních a firemních dat, "řekl Tal Be'ery, VP Výzkum na Aorato. ". Do podniky na vědomí inherentní rizika spojená s spoléhají na Active Directory a vytvořit strategii pro zmírnění rizika, budeme i nadále vidět útočníky chůzi mimo cenné informace nepozorovaně" Bez vlastní řešení s cílem zmírnit tuto chybu, Aorato doporučuje podniky:
Detekce protokolů ověřování anomálie
Identifikujte útok korelace běžnému použití šifrovacích metod s kontextem, ve kterém se používá identitu oběti
Uplatňovat opatření ke snížení útoku. Všimněte si, že pouze tato opatření snižují útoku a neodstraňují to zcela nebo řešit příčinu.
Pro více technických informací najdete zde .
96% organizací zasažených bezpečnostního incidentu v uplynulém roce
23.7.2014 Incidenty
Nová zpráva ForeScout ukázala, že více než 96 procent organizací zaznamenalo výrazný bezpečnostní IT událost v uplynulém roce. Většina IT organizací si uvědomuje, že některé z jejich bezpečnostních opatření jsou nezralé nebo neúčinné, ale jen 33 procent má vysokou jistotu, že jejich organizace zlepší jejich méně vyspělé bezpečnostní prvky.
Zvýšení provozní složitost a hrozeb ovlivnily bezpečnostní kapacitu za více než 43 procent vnímají prevenci problému, identifikace, diagnostika a náprava jsou náročnější než před dvěma lety. V souhrnu, jeden ze šesti organizací, měl pět nebo více významných bezpečnostních incidentů v uplynulých 12 měsících. Zatímco důvěra v řízení bezpečnosti IT se objeví optimistický, celkové výsledky ukázaly rozpor v účinnosti a pravděpodobně investice ve srovnání s případy, kdy byli nejvíce působivých. Průzkum upozorňuje :
Jeden ze šesti organizace měly pět nebo více významných incidentů, a 39 procent má dva nebo více incidentů.
Top bezpečnostní incidenty složená z phishingu, porušení zásad dodržování, neschválený zařízení a aplikace používat, a neoprávněný přístup k datům.
40 procent uvedlo, že úkoly řízení bezpečnosti jsou náročnější nyní než před dvěma lety; konkrétně problém prevence, diagnostika, identifikace a sanace.
Nejčastěji citovaná bezpečnostní otázky byly před škodlivým softwarem a pokročilých hrozeb, aplikace a zabezpečení bezdrátové sítě, přístup k síti zdrojů, neschválenému aplikace a osobní použití mobilních zařízení a úniku dat.
Kontrolní postupy uvedené jako relativně nezralé byly osobní využití mobilních zařízení, obvod hrozeb, řízení zásob a koncový bod shody, virtualizace bezpečnosti, nepoctiví zařízení a bezpečnostní aplikace. Nicméně pouze 54 procent respondentů uvedlo, že byli poněkud důvěru v pravděpodobnosti zlepšení v průběhu příštích 12 měsíců.
Přes 61 procent citované nejnižší k nedůvěře v síti zařízení inteligenci, udržování standardů konfigurace a obranu na zařízení, a zajistit virtuální stroj a vzdálená zařízení dodržovat politiku.
Prvních pět bezpečnostních technologií vnímán jako největší interoperability hodnoty byly brány firewall, anti-malware, řízení přístupu k síti (NAC), správu mobilních zařízení (MDM), a detekce pokročilé hrozby (ATD).
Potvrzení těchto zjištění, Nicholas Sciberras, Product Manager u společnosti Acunetix uvádí: "Odkrývání všechny otázky zabezpečení je komplikovaný a časově náročný úkol, a často ani není provedena správně, nebo ne dělat vůbec To platí zejména pro malé a střední podniky. podniky, které nemají šířku pásma a odborné znalosti k tomu, aby jejich obvodové sítě a webová bezpečnost jsou dost silná, což umožňuje snadný přístup k interním zdrojům. To, co většina organizací si neuvědomuje, je, že většina otázek bezpečnosti mohou být detekovány automaticky pomocí skenování sítě a zabezpečení webu . řešení " Průmysl a regionální zdůrazňuje:
Malware a APT útoky byly hodnoceny jako nejvyšší prioritu napříč všemi odvětvími a regiony, ale zdá se, že tam je menší pravděpodobnost, že investovat další prostředky pro snížení obvodové hrozby.
Významné politické shody porušení, které konzumují velké množství času zotavit se z nastala v průměru 2,6 krát za posledních 12 měsíců na souhrnu ve všech třech regionech, ale ve Spojených státech ve srovnání s Británii a zemích Dach.
Výroba, vzdělávání a finanční sektor obecně zdají být náchylnější k phishingové útoky, zatímco sektor zdravotnictví bylo více pravděpodobné, že vyšší než průměrné porušení zásad dodržování. Výjimka je výrobní vertikální ve Velké Británii, kde nepotrestány aplikace a využití zařízení, porušení Splnění zásad a zero-day malware ukázal další incidenty.
Zdravotní péče se více zajímají o sledování problematiky úniku dat ve srovnání s jinou výrobu, školství, maloobchodu a financí. Ve srovnání s ostatními vertikály ve Velké Británii a / nebo bezpečnostních zájmů, sledování úniku dat je zdaleka nejdůležitější otázce ke zdravotní péči ve Velké Británii; , a zejména v oblasti DACH neschválený použití zařízení a aplikace a narušení systému se problematičtější.
Finanční instituce byly předmětem několika incidentům způsobeným útoky typu phishing, porušení zásad dodržování, neschválenému použití aplikace a úniku dat, a celkově nalezeno problému sanace náročnější ve srovnání s ostatními odvětvími.
Pokud jde o definici politiky, technických kontrol a možností zmírnění, vzdělávací sektor obecně se zdá nejméně rozvinuté, zatímco finanční sektor se objeví nejzralejší. Ve Velké Británii se také, finanční sektor se zdá být nejvíce zralý, ale je to především sektor zdravotnictví ve Velké Británii, která se zdá být méně vyspělé.
Země v regionu DACH mají menší důvěru ve zlepšení nástrojů pro správu zásob, než jejich protějšky ve Velké Británii a USA
78 procent respondentů v průměru citován BYOD, že mají vliv na GRC. Zatímco maloobchodní sektor se zdá být více progresivní na BYOD bezpečnosti obecně, evropské respondenti citované stírání dat a šifrování jako mají větší dopad na řízení, rizik a dodržování předpisů (GRC).
Průzkum, který provedla a sestavil IDG Connect v průběhu května a června roku 2014, ukazuje na povahu bezpečnostních hrozeb a rozsah obrany splatnosti uspořádanou proti organizacím s více než 500 zaměstnanci v oblasti financí, výroby, zdravotnictví, maloobchodu a vzdělávání v USA, Velká Británie, Německo, Rakousko a Švýcarsko.
NIST vydává zprávu o kryptografie odborných znalostí
23.7.2014 Šifrování
NIST primární externí poradní rada vydala zprávu vyzývající k agentury zvýšit své zaměstnance kryptografie odborníků a realizovat přesnější postupy pro zajištění otevřenosti a transparentnosti, aby posílily své úsilí kryptografie.
Na podzim roku 2013, bývalý NIST ředitel Patrick D. Gallagher požádal, aby Návštěva Výboru pro Advanced Technology (VCAT) šifrovací standardy recenzi NIST a pokyny vývojový proces, v reakci na komunitních obavy, že kryptografický algoritmus ve standardu NIST byl záměrně oslabil . Při své doporučení, VCAT specificky řešena interakce NIST s NSA. Zpráva uvádí: "NIST může požádat o radu NSA na kryptografické otázkách, ale musí to být v pozici, posoudit jej a odmítnout jej, pokud byla oprávněná." zákon Federal Information Security Management (FISMA) z roku 2002 uvádí NIST odpovědnost za rozvoj informací bezpečnostní normy a pokyny pro non-národních bezpečnostních federálních informačních systémů. Tyto normy a směrnice byly široce přijaty USA průmyslu a mezinárodního společenství. FISMA také řídí NIST konzultovat s jinými orgány, jako NSA, aby podporovaly koordinaci a vyhnout se konfliktní standardy. V květnu 2014 VCAT svolal Modrá stuha panel odborníků s názvem Výbor pro návštěvníky (COV) a požádal každého odborníka, aby přezkoumala NIST je kryptografický proces a poskytují individuální zprávy o svých závěrech a doporučeních. Odborníci, uvádí zpráva VCAT, "poukázat na některé nedostatky a procesní nedostatky, které vedly k zařazení" algoritmu, navzdory známých komunitních obavy s jeho bezpečnosti. Ve své zprávě, VCAT poznamenal, že "to je nesmírně důležité, že NIST je proces pro vývoj kryptografických standardů je otevřená a transparentní a má důvěru a podporu kryptografických komunity. " Výbor doporučuje, aby NIST prozkoumat, "kromě běžných tříd, rozšiřuje své programy, aby se zapojily akademické a externí odborníky na pomoc při přezkumu konkrétních technických témat." Zpráva také doporučuje, aby NIST přezkoumat stávající požadavky na interakci s NSA a doporučuje změny v těch případech, kdy "Hinders [NIST] schopnost samostatně rozvíjet nejlepší kryptografické standardy." Přezkum VCAT bylo součástí širší iniciativy podle NIST, která zahrnovala vnitřní přezkum procesu vývoje a únoru 2014 vydání dokumentu nastiňuje principy za tohoto procesu. NIST IR 7977: bude NÁVRH NIST kryptografické standardy a hlavní směry rozvoje Proces bude dokončen do konce roku 2014 a bude zahrnovat podrobnější procesy a postupy, které zahrnují zpětnou vazbu od VCAT a veřejnosti.
Google jde do války proti nulové dnů
23.7.2014 Zranitelnosti
Google oznámila spuštění projektu Zero, specializovaný interní tým, který se bude soustředit na hledání zero-day zranitelnosti v Google je i software třetích stran tak, aby mohly být oprava než mít škodlivé herci šanci jejich zneužití. "Měli byste být schopni používat web bez obav, že trestný čin nebo státem sponzorovaný herec využívající chyby v softwaru infikovat váš počítač, ukrást tajemství, nebo sledovat vaše komunikace, "poznamenal Chris Evans, bývalý šéf bezpečnostní Chrome týmu společnosti Google a nyní hlavní" výzkumník pastýř "pro Project Zero. Projekt je zaměřen na zlepšení bezpečnosti softwaru, který má velkou uživatelskou základnu. "Budeme používat standardní přístupy, jako je vyhledávání a podávání zpráv o velké množství zranitelností. Dále budeme provádět nový výzkum Skutečnosti snižující závažnost rizika, využití, program, analýza a něco jiného, že naši vědci rozhodnout, je výhodnou investici, "vysvětlil. V rozhovoru pro Wired , Evans odhalil další (aktuální) členy týmu: George Hotz (aka "geohotovu"), slavný iPhone a PlayStation 3 hacker; a tři vědci plodný zabezpečení a chyb lovci, kteří byli přijati interně: Tavis Ormandy, Ben Hawkes, a Ian pivo. Současný cíl je získat minimálně dalších šest. "Zavazujeme se dělat naši práci transparentně," vysvětluje Evans. "Každá chyba se objeví bude uložena v externí databázi. Budeme jen hlašte chyby na prodejce a ne třetích stran Softwaru je. Jakmile zpráva chyba se stane veřejnosti (obvykle jednou oprava je k dispozici), budete moci sledovat prodejce time-to-fix výkon, vidět žádný diskutuje o využitelnosti a zobrazit historické využije a pád stopy. " Prodejci budou mít mezi 60 a 90 dny vydat opravu, než Google jde veřejnost s chybou. Pokud chyba je již využíván v přírodě, bude tato doba odkladu podstatně zkrátit -. By to mohlo být jen sedm dnů Evans říká, že projekt je přirozeným pokračováním bezpečnostních opatření, které Google začal provádět v návaznosti na Edwarda Snowden je odhalení o americkou NSA záchytné informace o uživateli Google, protože se pohybuje mezi datovými centry společnosti. Google už má svůj vlastní interní chyba nájemný programu, a financuje několik mimo ty, stejně jako program, oprava odměnu pro zlepšení kód pro open source programů. Projekt Zero, Evans tvrdí, je "především altruistické," ale to vám pomůže udržet všechny uživatele bezpečné - včetně společnosti Google. A uživatel, který se cítí v bezpečí, je více pravděpodobné, klikněte na reklamy, když poukazuje na to. Také projekt je dobrý způsob, jak na Google, aby nábor a výzkumníci testů, které by mohly později přispět k dalším projektům společnosti. "Věříme, že většina výzkumníků bezpečnostní dělat to, co dělají, protože oni milují to, co dělají. co nabízíme, že si myslíme, že je nové, je místo, kde to, co máte rádi, ale v otevřeném a bez rozptýlení, " řekl Evans, a vyzvala zúčastněné výzkumné pracovníky požádat o místě, na tým.
Porušení vystaven 22800000 osobní záznamy z New Yorku
23.7.2014 Incidenty
Generální prokurátor Eric T. Schneiderman vydala novou zprávu zabývající rostoucí počet, složitost a náklady na narušení dat ve státě New York. Zpráva ukazuje, že počet hlášených zabezpečení dat porušení v New Yorku více než ztrojnásobily mezi lety 2006 a 2013. Ve stejném období, 22800000 osobní záznamy Newyorčanů byli vystaveni téměř 5.000 narušení dat, které náklady veřejného a soukromého sektoru v New Yorku vzhůru 1,37 miliardy dolarů v roce 2013.
Kromě toho zpráva také zjistil, že hackerské útoky - ve kterých musí třetí strany získat neoprávněný přístup k datům uloženým na počítačovém systému, -. Byly hlavní příčinou narušení bezpečnosti dat, což představuje zhruba 40 procent všech porušení "Jak jsme se stále více sdílejí naše osobní informace s obchody, restauracemi, poskytovatelů zdravotní péče a dalších organizací, měli bychom být schopni využívat výhod nové technologie, aniž by sami v ohrožení. Bohužel, náš rozsáhlý pohled na narušení dat zjistili, že miliony Newyorčanů byli vystaveni bez jejich vědomí či souhlasu. Je jasné, že široká, koordinovaná veřejná osvětová kampaň musí probíhat, aby zajistily, že každý z nás - od velkých korporací, aby malé a střední podniky a rodiny - jsou lépe chráněni, "řekl generální prokurátor Schneiderman. "Kupředu, budu prosazovat spolupráci mezi průmyslu a odborníci na bezpečnost, aby zajistily, že organizace po celém státě a zemi mají přístup k nástrojům nutných k zabezpečení našich dat, takže můžeme nejlépe řešit tuto složitou a stále rostoucí problém, "dodal Schneiderman. 2013 byl rok rekordní v narušení bezpečnosti dat , během níž byly vystaveny 7.300.000 záznamů Newyorčanů ve více než 900 narušení bezpečnosti dat. Obrovský počet postižených Newyorčanů v roce 2013 byl do značné míry tažen dvěma maloobchodních mega porušení na cíl a Living Social, které vedly některé dabovat 2013 "Rok na obchodní Porušení." Takzvané mega-porušením také stále více časté: Pět z 10 největších porušení hlášených Úřadu generálního prokurátora došlo od roku 2011. Žádná organizace je osvobozen od tohoto trendu: V osmiletém období analyzované dnešní zprávě, velmi různorodou sadu organizací od místních rodinných podniků velké nadnárodní korporace hlášeny zabezpečení dat porušení na Úřadu generálního prokurátora. Zatímco nejnovější a široce medializované mega-porušením patřilo prodejců, narušení bezpečnosti osobních údajů mají vliv také na zdravotní péči a finanční služby průmysl. Poptávka na sekundárních trzích za ukradené informace zůstává silný. Čerstvě nabyté čísla ukradené kreditní karty, může vynést až $ 45 za záznamu, zatímco jiné typy osobních informací, jako jsou čísla sociálního zabezpečení a informací on-line účtu, může přikázat i vyšší ceny. Non-finanční informace mohou být ještě cennější, protože podvodné použití je obtížné odhalit a informace mohou být použity pro širší škálu účelů. Například, ukradený Facebook účtu může poskytnout přístupový bod pro širokou škálu uživatelských účtů, nebo mohou být použity jako prostředek k ukrást informace od ostatních v rámci sociální sítě daného jedince. Přes rizika spojená s tímto narušením bezpečnosti dat, jednotlivců a organizací může mít praktické kroky k lepšímu chránit sami sebe před hrozbami. I když to může být nemožné zcela zabránit ztrátě dat, mohou organizace, které implementují bezpečnostní údaje plány výrazně snížit škody způsobené porušením bezpečnosti dat. . Kromě toho se mohou jednotlivci i nadále ostražití a přijmout opatření, aby se ochránili proti porušování Úřadu generálního prokurátora naznačuje, že spotřebitelé chránit před hrozbami následujícími způsoby:
Vytvoření silného hesla pro on-line účtů a aktualizovat často. Používejte různá hesla pro různé účty, a to zejména pro webové stránky, kde jste šířených citlivé informace, jako jsou kreditní karty nebo čísla sociálního pojištění.
Pečlivě sledovat výpisy z kreditní karty a debetní karty každý month.If najdete nějaké neobvyklé transakce, neprodleně kontaktujte svou banku nebo kreditní karty agenturu.
Nepište dolů nebo ukládání hesel v elektronické podobě. Pokud tak učiníte, být velmi opatrní na to, kde budete ukládat hesla. Uvědomte si, že veškerá hesla uložená v elektronické podobě (např. v dokumentu textového procesoru nebo mobilního telefonu poznámek) lze snadno ukradena a poskytnout podvodníky s one-stop nakupování pro všechny vaše citlivé informace. Pokud jste ručně zápisu hesla, neskladujte je na očích.
Neposílejte žádné citlivé informace o sociální media.Information jako jsou narozeniny, adresy a telefonní čísla mohou být použity podvodníci k ověření informací o účtu. Praxe minimalizace údajů techniky. Nepoužívejte overshare.
Vždy být informován o aktuálním hrozeb. Zůstat až do dnešního dne mediálních zpráv o narušení bezpečnosti dat a spotřebitelských rad.
Celá zpráva je k dispozici zde .
PittyTiger APT Skupina prodává své služby firmám
23.7.2014 APT
APT útočníci mysleli, že provoz z Číny se často zdá, financované vládou, ale existují i jiné skupiny, které pracují pro nejvyšší nabídce, která je obvykle společnost, soukromý sektor, hledá informace, které budou Squash svou konkurenci. Jedna taková skupina je Pitty Tiger, tak pojmenovaný podle bezpečnostních výzkumníků na účet nástroj pro vzdálený přístup (RAT), se zdá, přednost a který byl použit výhradně jimi. skupina je myšlenka k byli aktivní od roku 2011 (možná i dříve), a byl cílení řadu soukromé společnosti, které působí v různých odvětvích: obrana, telekomunikační, vládní, energie, a dokonce i vývoj webových aplikací. Podle vědců z Airbus Defence & Space v kybernetické jednotky, většina z těchto firem se sídlem v Evropě. Útoky skupiny často začínají s kopí-phishing e-maily nesoucí malware, nebo cílené zavlažování díra útoků - a to jak zaměřené na pracovní stanice zaměstnanců. Oběti stáhnout zaminované Word nebo Excel dokument, který využívá jeden z několika existujících zranitelností. Je dobré zdůraznit, že všichni z nich již byla oprava, a že skupina má ještě použít zero-day ve svých útocích. vykořisťování umožňuje útočníkům nainstalovat jeden z několika potkanů v jejich arzenálu: výše uvedené PittyTiger , CT RAT (což se zdá být vývoj PittyTiger), MM RAT ("Goldsun") a Paladin RAT (varianta Gh0st RAT). "I když jsme nebyli schopni najít důkazy o útoku, jehož cílem je využívají zranitelná místa na cíle serverech skupiny, jsme byli schopni zaznamenat několik skenování zranitelnosti spuštěna z jednoho C & C serveru přímo do cíle, "vědci sdílené . "Útočníci používali různé zranitelnosti skenery zaměřené na jejich cíle. Zatímco některé cíle mají Po naskenování se "obecných" skenování zranitelnosti nástrojů, jako je HScan nebo Fluxay a přístavních skenerů, jako Nmap, některé další cíle byly testovány na velmi specifické zranitelnosti, jako ZyWALL zranitelnosti nebo produktu Fortinet. " Také, skupina byla vidět využití Heartbleed chyba, aby se admin pověření, které jsou pak použity k pokusu příčně pohybovat v rámci sítě organizace a, nakonec, aby exfiltrate jeho duševní vlastnictví. ale "běží automatizované zranitelnost skenery na celých rozsahů IP adres používaných cílů nebo na několika doménách je velmi hlučný způsob, jak sbírat informace a nalézt serveru slabá místa, "výzkumníci zdůraznil. "Rádi bychom zastávají názor, že tato metoda je moudré, když chcete zůstat nenápadný, a dělá to ze serveru C & C je velmi překvapivé, přinejmenším. Zatímco skupina Pitty Tiger je zkušený v některých aspektech jeho systémem APT kampaně, rozhodně to postrádá nějakou dobu splatnosti tady. " Výzkumníci se podařilo odhalit řadu C & Cs používané skupinou analýzou variantu PittyTiger malware, a podařilo se jim . Přístup tři z nich využívá řízení chybně přístupu několika složek Toto dovolilo jim fandit kolem a na místě řadu malware a nástroje používané skupinou: výše uvedené potkanů e-mailové špionážní nástroje, hesla sklápěče, síťové skenery, skenery zranitelnosti, a tak dále. "Co je vzácné najít je součástí regulátoru těchto nástrojů. Byli jsme dost štěstí, aby si část regulátoru Pitty Tiger a CT RAT, a dokonce i získat jakousi hybridní regulátoru z pro CT RAT, ale také podporuje škoda Tiger. Domníváme se, že CT RAT je nový vývoj Pitty Tiger a že nahradí škoda, Tiger v následujících měsících, "říkají. "Přítomnost čínské verze" Calc.exe ", oficiální kalkulačka dispozici v systému Microsoft Windows , je zajímavá. Nejen, že je jeden indikátor pravděpodobného čínského původu, ale také ukazatelem toho, že tento server byl pravděpodobně použit jako testovací základna, kromě toho, že je funkční a řízení infikovaných strojů od různých cílů. " Výzkumníci také některé teorie o struktura skupiny, a věří, že identifikovali pozici obsluhy bot, malware pozici vývoje, pozice koordinátora a pozici Customer Relationship manager (klikněte na screenshotu pro zvětšení): Použití čínských nástrojů, RAT vyvinuté čínský mluvící vývojáři , vějička Word dokument napsán v čínštině, a IP adres používaných pro hostování z C & C domén (umístěných zejména v Taipei a Hong Kong City), vše bodů do skupiny se sídlem v Číně. Bližší a rozsáhlých technických podrobností o skupině je operace, podívejte se na tento whitepaper .
CNET napaden ruskými hackery, databáze uživatelů ukradeno
23.7.2014 Kriminalita
Ruský hacker skupina W0rm se zřejmě podařilo prorazit servery patřící do mediální stránkách CNET, a utéct s databázemi, které obsahují uživatelská jména, e-maily, a zašifrovaná hesla k více než milionu registrovaných uživatelů. porušení potvrdil mluvčí CBS Interactive (CNET vlastník), který řekl, že několik servery byly přístupné, ale že otvor, skrze který se útočníkům podařilo proklouznout byla již opravena. Jedním ze skupiny kontaktoval CNET News přes Twitter a řekl, že díra v otázce byla nalezena v realizaci webu na Symfony PHP framework. Zajímavostí je, že útočníci jsou zřejmě nemají zájem o vydělávání peněz z porušení. Nabídl k prodeji databázi za symbolickou cenu 1 Bitcoin (kolem $ 622), ale nejsou v plánu projít s prodejem. Jejich skutečný cílem bylo upozornit na nejistoty na webové stránky, a prod firmu na opravu Problém s cílem zlepšit celkovou bezpečnost na webu, tvrdili. mluvčí skupiny řekl, že úspěšně cílené další weby vysoce postavených, jako jsou ty, které patří do BBC, Adobe Systems a Bank of America, pro tentýž důvod. "[W] e jsou řízeny, aby se na internetu lépe a bezpečněji, [místo], spíše než touha chránit autorská práva," řekl skupiny. "Chci upozornit, že odborníci odpovědní za bezopastnost [Security] CNET velmi dobrá práce, ale ne bez chyb." zástupce skupiny je později nabídl "systém, kvalitní ochrana" pro CNET. Společnost neříká, ale pokud vám registrovaný uživatel, možná budete chtít změnit heslo jen v případě záruky na skupiny se ukáže být dutý.
WordPress brute force útok přes wp.getUsersBlogs
23.7.2014 Počítačový útok
Nyní, XMLRPC "pingback" DDoS problém v WordPress je stále pod kontrolou, podvodníci se zdá, že se snaží hrubou silou heslo hádat útoky prostřednictvím "wp.getUsersBlogs" způsobu xmlrpc.php. ISC čtenář Robert poslal v některých protokolů, které vykazují masivní distribuovaný (> 3000 zdroj IPS) pokus o uhodnutí hesla na jeho instalaci Wordpress. Žádosti vypadat jako na obrázku níže
a jsou účtovány do xmlrpc.php. Bohužel, webový server odpoví 200 OK ve všech případech, protože příspěvek do xmlrpc.php vlastně byl úspěšný. Očekává, že "403 - není povoleno" chyba je součástí XML zprávy, které server vrací jako užitečného zatížení . Proto, aby se zjistilo, co se děje, se spoléhat na jednoduchých protokolů HTTP webového serveru není dostačující. Jedním z problémů je to, že "tradiční" způsob omezování hrubou silou útoky v WordPress, jako je použití BruteProtect, jsou méně účinné, protože většina z těchto doplňků mají tendenci se dívat pouze wp_login.php a související wp_login_failed výsledek, který dělá nespustí v případě xmlrpc přihlášení chybě.
Pokud vidíte v podobných útoků, a našli účinný způsob, jak je mařit, prosím, podělte se v komentářích níže.
App "telemetrie"
23.7.2014 Zabezpečení
Jen ISC čtenář James byl nainstalován "Foxit Reader" na svém iPhone, a odpověděl "NO" na "S cílem pomoci nám zlepšit Foxit PDF Mobile, bychom chtěli shromažďovat anonymní data o používání ..." otázky, když si všiml, jeho telefon mluvit do Číny stejně. Připojen k site byl alog.umeng.com, 211.151.151.7. Umeng je "aplikace telemetrie" a on-line reklamní společnost. Níže je, co byl poslán (některé z IDS jsou maskovány nebo byly popletl)
Zejména se mi líbí "is_pirated: Ne". Hodí se "is_snooping: Ano", která se však chybí výměny ...
Ivan řádově
23.7.2014 Počítačový útok
ISC čtenář Frank hlásí, že vidí pár podivné názvy DNS v jeho DNS resolver log
4e6.1a4bf.565697d.f52e1.306.60ae.766e0.mdleztmxhvxc.speakan.in. = 193.169.245.133 TTL = 30 N = 193.169.245.133
3a.276965.3e6b39.cdaf104.da.e018.72c1a.mdleztmxhvxc.speakan.in. = 193.169.245.133 TTL = 30 N = 193.169.245.133
Jako tak často, jako první krok v řetězci infekce byla návštěva benigní, ale unpatched a naboural Wordpress webové stránky. Je přesměrován na prostředníka, což přesměrované na doménách výše. Následná http spojení s Java využívat pokus byl zastaven filtry plnou moc Frankově případě, tak se nic neděje.
Ale při pohledu na veřejných pasivních DNS záznamů, je zřejmé, že "něco" děje, a byl na dlouhou dobu. Byly pozorovány doménová jména tohoto vzoru, protože o listopadu 2013 a jsou spojeny s velikostí Exploit Kit. Snort a Emergingthreats mají slušné podpisy, a příznak provoz jako "velikost EK".
Nedávno použité názvy domén jsou v rámci indického TLD ". In", a kontrola registrační informace, které byly všechny registrované stejným údajným "Ivan Biloev" z Moskvy, a všechny z nich pomocí stejného registrátora (webiq.in) . Oni dokonce pozastavena hrst domén z důvodu zneužívání, ale zřejmě i nadále nechat Ivan šťastně registrovat nové adresy. Možná, že registrátor chtít popovídat si se zákazníkem, který měl domén zrušena dříve, než nechat registrace pro další jména projít?
Včetně Nedávné amplitudové mal-domény, jen abychom jmenovali alespoň některé: speakan.in busyneeds.in chancessay.in futureroll.in loadsbreak.in suchimages.in touchitems.in waysheader.in putsediting.in regionwhole.in resultsself.in unlikesolve.in advisefailed . ve closesthotel.in comesexpands.in installseven.in deducecontact.in poundscaptain.in delayattempted.in lawuniversitys.in obviouslyheads.in
Brad než na malware-dopravní-analysis.net má zápis-up [1] na nedávném vzorku. Pokud máte aktuální intel na druhu a rozsahu EK, vzory doménové jméno, využije tlačil v aktuální sadě, atd., pak prosím podělte se níže nebo pomocí našeho kontaktního formuláře na komentáře.
[1] http://malware-traffic-analysis.net/2014/07/15/index.html
Nový bankovní trojský kůň na prodej za 7000 dolarů
23.7.2014 Viry
Trojský kůň, jehož úkolem je krádež přihlašovacích a finančních údajů z online bankovních služeb, se aktivně propaguje a prodává na černém trhu. Malware s označením Kronos je určen ke krádežím dat prostřednictvím internetových prohlížečů Internet Explorer, Mozilla Firefox a Google Chrome.
Společnost Trusteer, která tohoto trojského koně odchytila, tvrdí, že malware může využít techniku zachytávání dat z webových formulářů a obsahu HTML. Podle inzerátu na jednom z utajovaných fór kyberzločinců využívá novinka metodu skriptů přidávajících obsah, označovaných jako web-inject. S touto technikou jako první přišel nechvalně známý malware Zeus, jehož vývoj byl ovšem již zastaven.
V popisu malware je uvedeno, že, kromě možnosti odcizení dat nabízí trojský kůň moduly jak pro 32bitové, tak 64bitové verze systému. Kód je také vybaven maskovacími prvky, které ho mají chránit před detekci pomocí antivirových programů. A obsahuje dokonce nástroje pro blokování konkurenčního malwaru. Vývojáři Kronosu také prohlašují, že kód může obejít takzvaný „sandboxing“ používaný v moderních operačních systémech, který umožňuje izolované spouštění kódu bez přístupu k ostatním částem systému.
Malware se na černém trhu prodává za 7 000 dolarů, a tato částka zahrnuje další aktualizace a opravy chyb. Jeho tvůrci tvrdí, že se co do technických možností jejich malware vyrovná takovým programům pro infikování systému jako Zeus nebo SpyEye. Zaměstnanci Trusteeru oznámili, že se jim prozatím nepodařilo získat zdrojový kód tohoto malwaru.
Podle Dmitrije Tarakanova, specialisty společnosti Kaspersky Lab, není cena do 7 000 dolarů příliš vysoká, protože pokud si nějaký kyberzločinec Kronos pořídí, může s jeho pomocí vydělat stovky tisíc dolarů.
HID pomůže mBank zvýšit bezpečnost jejich on-line bankovnictví
22.7.2014 Zabezpečení
Polská mBank zavádí řešení na bázi multifaktorového ověřování od společnosti HID Global pro zabezpečené internetové a mobilní bankovnictví.
Společnost HID Global, jež se specializuje na oblast řešení bezpečné identifikace, dnes oznámila, že polská bankovní společnost mBank (jež je součástí německé skupiny Commerzbank), úspěšně zavedla tokeny ActivID DisplayCard. Řešení zajistí klientům korporátního bankovnictví mBank přístup k účtům na bázi multifaktorové autentizace.
Cílem mBank bylo najít bezpečné, pohodlné a inovativní řešení autentizace, které lze snadno implementovat. Tokeny ActivIDDisplayCard společnosti HID Global byly vybrány mimo jiné i díky patentovanému algoritmu HID Global, jenž dokázal spolupracovat se serverovým systémem společnosti mBank. Firma HID Global byla navíc bankou uznána jako renomovaná značka s dlouhodobým působením v oboru a s řadou úspěšných implementací v posledních deseti letech.
Tokeny ActivID DisplayCard jsou autentizační řešení ověřování ve stylu kreditní karty, a jsou vybaveny touchpadem pro bezpečné zadání PIN.
„Díky společnosti HID Global můžeme svým klientům korporátního bankovnictví nabídnout pokrokovou, pohodlnou a bezpečnější metodu multifaktorového ověřování identity při přístupu k jejich účtům na internetu a v mobilních telefonech,“ řekl Aleksander Gawroński, ředitel elektronického bankovnictví v mBank.
„Jsme velmi hrdí, že jsme se mohli účastnit projektu mBank. Řešení pro ověřování identity od společnosti HID Global se na trhu konzistentně osvědčuje jako nejspolehlivější a velmi důvěryhodné,“ shrnuje Harm Radstaak, generální ředitel HID Global pro oblast EMEA.
Obě společnosti plánují pokročilá bezpečnostní řešení rozšířit v budoucnu i na klienty retailového bankovnictví mBank.
Critroni Crypto Ransomware zobrazení Používání Tor pro řízení a zabezpečení
21.7.2013 Viry, Bezpečnost
Je tu nový kluk na crypto Ransomware bloku, známý jako Critroni, je, že se prodává v podzemních fórech za poslední měsíc nebo tak nějak a je v současné době klesla o rybáře využít sadu. Ransomware obsahuje řadu neobvyklých vlastností a vědci říkají, že je to první crypto ransomware vidět přes síť Tor pro velení a řízení.
Ransomware krajiny byl ovládán za poslední rok nebo tak nějak od CryptoLocker , jeden z nejhorších kusů malware v poslední době objevují. CryptoLocker má schopnost šifrovat všechny soubory na infikovaném počítači a poté požaduje, aby oběť zaplatit výkupné, aby si soukromý klíč k dešifrování dat. Výkupné často vyžaduje oběti platit v Bitcoins, a vědci říkají, že malware byl napaden stovky tisíc strojů.
Letos v létě donucovacími orgány ve Spojených státech a Evropě sundal malware GameOver Zeus provoz, jeden z klíčových mechanismů, které útočníci používali tlačit CryptoLocker Ransomware. Zhruba ve stejné době v polovině června, výzkumníci bezpečnostní začal vidět reklamy pro Critroni ransomware o podzemních fórech. Také známý jako CTB-Locker, ransomware nejprve byl používán téměř výhradně proti oběti v Rusku, ale nyní byl viděn v jiných zemích, stejně.
Critroni ransomware se prodává za cca $ 3,000 vědci říkají, že je v současné době používán řadou útočníků, z nichž některé jsou pomocí rybář využít sadu k poklesu Spambot na strojích obětí. Spambot stáhne pár dalších užitečných zatížení, včetně Critroni. Jakmile se na počítači oběti, Critroni šifruje celou řadu souborů, včetně fotografií a dokumentů, a pak se zobrazí dialogové okno, které informuje uživatele o infekce a vyžaduje platbu v Bitcoins za účelem dešifrování souborů. Oběti mají 72 hodin na zaplacení, a pro ty, kteří nevlastní žádné Bitcoins, ransomware ochotně poskytuje některé detailní instrukce o tom, jak je získat v různých zemích, v závislosti na analýze hrozby ze strany francouzské bezpečnostní výzkumník, který používá rukojeť Kafeine.
Doporučená platba výkupné 0,5 BTC, asi 300 dolarů pro oběti v USA, Kanadě a Evropě, a 0,25 BTC pro ostatní země.
"Exploit Kit je jen vektor. Dodávka ... typ UPS / FedEx / DHL. V některých případech si můžete prohlédnout některé trendy, pokud skupina má vlastní nebezpečí a za použití jednoúčelového vektoru, pak říkáte věci jako: glupteba -> Flash EK, Reveton -> Angler EK (a dokonce, že jeden je trochu přitažené za vlasy, jako jeden nebo dva člen se někdy používá svůj vlastní EK). Když je to v affiliate režimu ... věci se stávají rozmazané .... mnoho dalších herců a infekce cesty, "řekl Kafeine prostřednictvím e-mailu.
Jednou z jedinečných vlastností Critroni / CTB-Locker je, že používá Tor jeho příkaz a-kontrolní infrastruktury. To je něco, co vědci viděli v jiných druhů malware v posledních měsících, ale ne s crypto ransomware.
"Používá C2 skryté v síti Tor. Dříve jsme neviděli cryptomalware má C2 v Tor. Pouze bankovní trojské koně, "řekl Fedor Sinitsyn, senior malware analytik společnosti Kaspersky Lab, která zkoumá tuto hrozbu. "Spustitelný kód pro vytvoření Tor připojení je zakotven v těle malware. Dříve malware tohoto typu, to se obvykle provádí se souborem Tor.exe. Vkládání funkcí Tor v těle malware je mnohem obtížnější úkol z programového hlediska, ale to má určité zisky, protože to pomáhá, aby se zabránilo odhalení, a je účinnější obecně. "
Tento kmen ransomware také komprimuje soubory, které šifruje pomocí zlib Sinitsyn řekl, a zaměstnává ECDH (Elliptic Curve Diffie-Hellman) šifrování, další neobvyklý rys. Kaspersky Lab pracuje na detailní výzkumné zprávy o tomto malware, který volá cibule Ransomware, které plánuje vydat příští týden.
Critroni je v angličtině a ruštině právě teď, tak země, které hovoří těmito jazyky bude v horní části seznamu cílů pro útočníky pomocí malware. Kafeine řekl, prostřednictvím e-mailu, který Critroni je nyní tlačen různými útočníky pomocí různých vektorů. Critroni není první crypto ransomware se ukázat jako součást využít operace soupravy. Cryptowall byl viděn v Rybář využívat sadu, a GameOver Zeus, který někdy klesne CryptoLocker, také se objevil v Rybář na začátku tohoto roku.
Critroni je přezdíval CTB-Locker, pro Curve / Tor / Bitcoin. Pokud je infikovaný počítač dané oběť se nemůže připojit k serveru útočníka Aby bylo možné odesílat platby Bitcoin, ransomware poskytuje pokyny pro něj jít do jiného počítače a stáhnout prohlížeče balík Tor a poté se připojit k Tor serveru útočníka k dokončení transakce .
CryptoLocker Ransomware živý a vyvíjí, říká výzkumný pracovník
21.7.2013 Viry
USA a evropští úředníci donucovacích minulý měsíc , provádí koordinovaný Takedown na GameOver Zeus botnet. V té době tvrdili, že operace také neutralizovat neslavný CryptoLocker Ransomware , které zločinci byl distribuován pomocí infrastruktury GameOver je.
Nicméně, Tyler Moffitt, výzkum hrozba analytik bezpečnostní firmy Webroot, argumentoval v BLOGPOST včera, že tvrzení, že FBI jsou pochybné a že CryptoLocker zůstává v provozu . Zejména FBI přesvědčení, "že Cryptolocker byla neutralizována narušení a nemůže komunikovat s infrastrukturou používá k řízení škodlivý software," přehlíží důležitou skutečnost.
"Důvodem, proč toto tvrzení by mělo být zkoumány, protože je pouze vzorky klesl na oběti počítačích, které byly sděleny v těchto konkrétních serverů zadržených, které již nejsou hrozbou," napsal Moffit. "Všechny vzorky v současné době rozmístěny v různých botnetů, které komunikují na různých velitelských a řídících serverů jsou ovlivněny tímto obležení ..."
Přesněji řečeno, FBI tvrdí, že duchovní otec za provozu se vypnutí je ruský národní jmenoval Jevgenij Bogachev .
Moffitt souhlasí s FBI tvrzení, že Bogachev a jeho co-spiklenci skutečně řídí významnou část Zeus botnetů v podnikání distribuci CryptoLocker. On také poznamená, že existuje mnoho zločinci v podnikání působících Zeus botnetů, které rozšiřují CryptoLocker.
"Většina malware autoři šíří své vzorky prostřednictvím botnetů, které se buď hromadí se (Evgeniy), nebo jen pronajmout na dobu botnet od někoho, jako je Evgeniy (nejčastější)," důvodů Moffitt. "Takže teď, že servery Jevgenij jsou zabaveny, malware autoři se právě chystá k pronájmu od některé z mnoha jiných robotických sítí tam, že jsou stále k pronájmu."
Kromě toho, Moffitt říká, že malware autoři se zlepšuje na CryptoLocker s novým ransomware jako CryptoWall, New CryptoLocker, DirCrypt a CryptoDefense.
Místo tradičního grafického uživatelského rozhraní, říká to jen změnit pozadí a zobrazení instrukcí oběti o tom, jak odemknout infikovaný počítač. Další změnou je, že zločinci v pozadí těchto programů jsou již závislé na převodu peněz společnostem třetích stran nebo peníze mul. Uživatelé jsou řekl, aby nainstalovat Tor a zaplatit zločince přímo. Tak, on tvrdí, že malware autoři zvýšení jejich zavádění z celkového zisku z podvodu.
Ve skutečnosti, minulý měsíc, v dobrovolném oznamování narušení dat adresované New Hampshire generálního prokurátora , obchodník s cennými papíry Benjamin F. Edwards & Co vysvětlil, že jeden z jejích zaměstnanců notebooků se stal infikovaných CryptoWall. Jako výsledek, oni řekli, byla data přenášena na podezřelé IP adresy (kromě toho, že jsou šifrována na lokálním disku).
Právě dnes zprávy se objevily detaily nového kusu ransomware k prodeji na trestní podzemí názvem Critroni. Vědci se volat to první ransomeware používat síť Tor pro velení a řízení.
Za poznáním bezpečnostní dynamiku BYOD
21.7.2013 Mobil
Webroot zkoumal používání a bezpečnosti osobních mobilních zařízení v pracovním prostředí z obou zaměstnanců a zaměstnavatelů perspektiv.
Počáteční průzkum, provedený na konci roku 2013, zkoumal výskyt vlastnictví zaměstnanců zařízení, jak jsou zajištěny, a zaměstnaneckých obavy, pokud jde o bezpečnostních programech společnosti s mandátem. Druhý průzkum, provádět v března 2014 se podíval na to, jak IT manažeři spatřují riziko zaměstnaneckých vlastnictví zařízení, prevalence formálních politik mobilního zabezpečení, a do jaké míry je vstup zaměstnanec je zařazen do vytváření politik BYOD. Klíčová zjištění:
Přestože 98% zaměstnavatelů mají bezpečnostní politiku na místě pro mobilní přístup k podnikovým datům, 21% umožnit přístup zaměstnanců s žádným bezpečnosti vůbec.
Více než 60% manažerů IT oslovených hlášeny používání osobních prostředků ze strany svých zaměstnanců a 58% uvedlo, že jsou "velmi" nebo "extrémně" znepokojen bezpečnostní riziko z této praxe.
Většina zaměstnanců zařízení chybí skutečné bezpečí s pouze 19% instalací úplného zabezpečení aplikace a 64% zaměstnanců omezena na použití pouze funkce zabezpečení, které byly dodány s jejich zařízeními.
Více než 60% zaměstnavatelů uvedlo, že se snaží vstup zaměstnanců na bezpečnostních politik mobilních zařízení, ale více než 60% také řekl, preference zaměstnanec má malý nebo žádný vliv na mobilních rozhodování týkající se zabezpečení.
Top obavy ze zaměstnanců, pokud jde o bezpečnostní aplikace firmy nařízené patří přístup zaměstnavatele k osobním údajům, osobních dat, která vymazala ze strany zaměstnavatele a zaměstnavatele sledování polohy přístroje. Další obavy včetně vlivu na výkon zařízení a spotřeby baterií.
46% zaměstnanců používajících osobní zařízení, uvedlo, že by se přestaly používat své zařízení k obchodním účelům, pokud jejich zaměstnavatel pověřila instalaci konkrétní bezpečnostní aplikace.
Zpráva dospěla k závěru, že i když existuje mnoho oblastí smlouvy, tam jsou také některé výrazné známky toho, že mnozí zaměstnavatelé a zaměstnanci nemají přiměřené kroky k ochraně firemní informace, slabost, která by mohla vést v kritických bezpečnostních poruch. Tam je také důkaz, že zaměstnavatelé mohou nefunguje dostatečně spolupracovat se zaměstnanci při rozhodování o tom, jak řídit BYOD zabezpečení. To může způsobit problémy s ohledem na velké množství osobních prostředků, které jsou používány k pracovním účelům. "Tradičně, zaměstnavatelé mohli diktovat typ zabezpečení používaného na každém zařízení, protože všechna zařízení byla společnost-vydal a IT mohl plně spravovat," řekl Mike Malloy , výkonný viceprezident pro produkty a strategie na Webroot. "V současné době, s tolika osobních smartphony, tablety a notebooky se nyní používají pro přístup k firemním datům, zvýšení produktivity a úspory nákladů pro zaměstnavatele jsou značné, ale tvůrci politiky bezpečnosti IT muset myslet jinak a pracovat více spolupracovat se svými uživateli určit bezpečnostní politiky a postupy, které řeší obavy z obou stran. " Z výsledků výzkumných šetření zaměstnanců a zaměstnavatelů, se zdá, že většina odpojí přes použití osobních technologie pro přístup k podnikovým datům lze řešit lepší komunikaci mezi oběma stranami . než jejich zabezpečení, dat a obavami o zachování soukromí Pokud jde o politiky BYOD, Webroot doporučuje:
Zaměstnanci musí mít jistotu mobilní zařízení, a zaměstnavatelé potřebují, aby se zajistilo, že nainstalovat odpovídající ochranu a vyžadují funkce, jako je přístup k heslem je vždy zapnutý.
Investujte do vzdělávání zaměstnanců o rizicích spojených s mobilními zařízeními a výhody zabezpečovací zařízení. Informován uživatel je více pravděpodobné, že koupit do bezpečnostních požadavků BYOD.
Nestanovily bezpečnostní řešení, aniž by nejprve zapojení uživatelů - jinak, riziko zaměstnavatelé ztráty produktivity z téměř 50% zaměstnanců.
Potvrzení BYOD obavy zaměstnance a osobní soukromí při nastavování mobilní bezpečnostní politiku pomocí rámce, jako je například "BYOD Bill práv."
Zajistit bezpečnost dat prohlížeče porušovat zájmy jsou zodpovězeny ke spokojenosti organizace.
Je to skvělé mít politiku, ale oni jen pracují a jsou respektovány, pokud jsou prosazovány.
Zjednodušte správu, nechal zaměstnanci vybrat jinou jistotu je časově náročné.
Firmy jsou deprioritizing informační bezpečnosti
21.7.2013 Bezpečnost
Firmy jsou deprioritizing informační bezpečnosti a snižování jejich investice v ničení důvěrných informací, podle Shred-ní. Podle studie, 86% z c-vlastní koupelnou vedení jsou si vědomi právních požadavků, které podporují ochranu důvěrných dat, ale jeden z pět z nich nikdy proveden bezpečnostní audit, dolů o 13% od roku 2013. Studie rovněž zjistila, že téměř polovina vlastníků malých podniků dotázaných jednání bez pravidelné kontroly svých bezpečnostních protokolů, přičemž 3 z 10 nikdy ani provedl audit. Dále, 33% z c-vlastní koupelnou vedení uznáváte, které mají obě uzamčeného konzole v kanceláři pro důvěrné dokumenty; to je dole 22% oproti loňskému roku. Studie rovněž zjistila, že téměř polovina malých podniků vlastníků dotázaných nemají protokol pro ukládání a likvidaci důvěrných informací. "Za 4 roky jsme byli provádějících tuto studii, je to první rok, co jsme viděli zemi deprioritize informace zabezpečení. To je alarmující vzhledem k tomu, že společnosti čelí rostoucí počet bezpečnostních rizik a měla by se dělat bezpečnosti informačních prioritou. "Řekl Bruce Andrew, výkonný viceprezident společnosti Shred-ní. "To je mnohem důležitější než kdy jindy, aby manažeři pochopili finanční a dobré pověsti důsledky, pokud důvěrné dokumenty dostanou do nesprávných rukou. Ochrana informací a předcházení podvodné činnosti nemusí být obtížný úkol. " Klíčová zjištění:
43% z c-vlastní koupelnou vedení by podporovat nové informace o ochraně osobních údajů zákony, které vyžadují přísnější dodržování a větší vymahatelné sankce
C-apartmá manažeři, kteří jen hodit citlivé dokumenty do odpadu se zvýšil na 10% od 1. procent
70% vlastníků malých podniků a 30% z c-vlastní koupelnou manažeři nemají cyber-bezpečnostní politiku v místě
15% z c-vlastní koupelnou dotazovaných vedoucích pracovníků budou mít pravděpodobně nikdy vyškolený personál o bezpečnostních postupech, a je méně pravděpodobné, že zprávy o vzdělávání zaměstnanců vyskytující se nejméně jednou za rok. To je až o 13% od roku 2013
Pouze 38% z c-vlastní koupelnou vedení přiznat, že zaměstnanec přímo odpovědný za řízení bezpečnostních otázek dat na úrovni managementu, to je dole 23% od roku 2013
C-apartmány jsou dvakrát vyšší pravděpodobnost, že nemá zaměstnance odpovědné za správu bezpečnostních otázek údaje na svém pracovišti, a to až o 11% od roku 2013.
Výsledky také ukazují, že podniky všech velikostí chybí povědomí o narušení bezpečnosti informací, a podceňovat potenciální finanční a dobré pověsti důsledky. Čtyři z 10 malé podniky vlastníků, a 2. v 10 c-apartmá vedení, nemyslím, že ke ztrátě nebo odcizení dat by vážně ovlivnit jejich podnikání. Dále, 1 v 5 majitelům malých podniků a c-vlastní koupelnou vedení přiznat, že neví, jak by se jejich obchodní dopad v datech události byla odcizena nebo ztracena, zatímco 2 10 c-vlastní koupelnou vedení přiznat, že zkušený ztracených nebo odcizených dat vzniklé v finanční dopad na jejich podnikání. "Podniky již nemůže zůstat na vavřínech. Je třeba stanovit, aby zajistily důvěrnost informací, postupy a protokoly k ochraně informací, "říká Andrew. "Studie nám jasně ukazuje, že podnikatelé hledají další závazek z americké vlády a vzhledem k tomu, změna si žádá čas, budeme o tom, že podnikatelé převzít odpovědnost tím, že dělá vše, co může vytvořit kulturu bezpečnosti." Následující jednoduchý kroky mohou pomoci organizacím začít založení kultury bezpečnosti:
Prokázat top-dolů závazek z řízení na celkovou bezpečnost vašeho podnikání a informací o zákaznících
Zavést formální politiku bezpečnosti informací; školení zaměstnanců, znát zásady dobře a postupujte podle nich pečlivě
Zavést politiku "skartovat-all", kde jsou nepotřebné dokumenty zcela zničil v pravidelných intervalech; odebrat rozhodovací proces o tom, co je a co není důvěrný
Zavést zvláštní uzamčené kontejnery namísto tradičních recyklačních kontejnerů pro likvidaci důvěrných dokumentů
Provádět pravidelné bezpečnostní audity. Pokud nemáte prostředky na realizaci bezpečné zničení dokumentů programu, práce s spolehlivého dodavatele třetí strany.
Zmocněné milénia očekávat BYOD
21.7.2013 Mobil
Nové údaje zjistí, že milénia, nová generace pracovníků narozených mezi začátku roku 1980 a na počátku roku 2000, je velmi oddaný své práci a často dokonce pracovat i mimo běžnou pracovní dobu. Přesto zůstávají krajně nezávislý z hlediska své pracovní návyky-bažení větší svobodu a flexibilitu při práci kdykoliv a kdekoliv se cítí nejvíce produktivní.
Šíření mobilní technologie se zdá být nahlodává daleko na samotném pojmu "obvyklé pracovní doby." Přibližně 60 procent tvrdí, že jejich zaměstnavatelé již očekávat, že budou k dispozici v době mimo hodin, zatímco 70 procent práci až 20 hodin nebo více mimo kancelář každý týden. Zhruba polovina Millenials dotazovaných říci flexibilní pracovní doba a svobodu pracovat z libovolného místa by zlepšit svou rovnováhu práce / života. "Není žádným překvapením, že milénia jsou vysoce závislé na mobilních technologií na podporu flexibilní a produktivní pracovní návyky," řekl RingCentral Prezident, David Berman. "Drtivá většina Zdá se, že očekávají, používat vlastní zařízení pro práci, spíše než firma to poskytuje pro ně. To vytváří trochu problém pro společnosti, které mají najít způsob, jak se vypořádat s BYOD jako součást svého systému firemního telefonu. " Flexibilita milénia touží po přirozeně vyžaduje, aby zaměstnanci řídit své podnikání a osobní komunikaci odděleně. Zároveň je důležité pro společnost, aby bylo zajištěno, že komunikace se zákazníky a partnery je řízen profesionálně a efektivně. Pro uspokojení této zodpovědně, musí společnosti formalizovat politiku BYOD a implementovat řešení, která podporují širokou škálu zařízení. "V globální ekonomice, kde je podnikání vedeno po celý den, je to uklidňující zaměstnavatelů, kteří milénia jsou tak ochotni být k dispozici na flexibilní harmonogram a používat svá vlastní zařízení, aby tak učinily, "řekl Berman. "Ale, to znamená, že je naší povinností jako zaměstnavatelé s cílem poskytnout jim přístupnosti, řešení, bezpečnost a svobodu pracovat, jak a kdy je to pro ně a pro společnost nejlepší." on-line průzkum byl proveden na začátku roku 2014 v rámci Spojených států Survey Monkey jménem RingCentral. To bylo dokončeno jednotlivci ve věku 18 až 32 z 346 firem všech velikostí. Tento on-line průzkum není založen na vzorku pravděpodobnosti, a tedy odhad teoretické výběrové chyby lze vypočítat.
Vedení krysy z: past je odpružené - Part 3
20.7.2014 Viry
Jak jsme se vydat tři části série na RAT nástroje utrpěli na naše přátele na Hazrat dodávky musíme navštívit vrchol toho všeho. Velký pes v tomto boji je skutečně soubor bybtt.cc3 (Jake podezření na to), Backdoor: Win32/Zegost.B . Soubor je nesporně PEDLL, ale přejmenovali. CC3 skrývat na systém jako soubor databáze CueCards Professional.
Na TrendMicro základě writeup na této rodiny, backdoor klesne čtyři soubory, včetně% Program Files% \% SessionName% \ {náhodné znaky .} CC3
To znamená, že bybtt.cc3 je jedním z odstraněných souborů, spíše než zdrojový soubor.
Per Microsoft writeup pro Backdoor: Win32/Zegost.B, po instalaci, připojí svůj kód na legitimní proces Windows, svchost.exe .
To je tedy pravděpodobné, že svchost.exe (MD5 20a6310b50d31b3da823ed00276e8a50 ), že Jake nás poslal. Je to všechno přichází k sobě.
writeup Microsoft rovněž uvádí, že po připojení k serveru C2 obdrží příkazy kopírovat, spouštět, stahovat a mazat soubory, shromažďovat informace z telefonního seznamu RAS, a zachytit screenshoty. Budu potvrdit každý z těchto kroků z řetězce nebo konkrétní nástroj.
Bohužel, bybtt.cc3 by se snadno pohybovat v mém pískovišti (je to PEDLL a ano, vím, že to lze udělat, ale tam je jen tolik času v den ), ale já jsem se dozvěděl, nebo potvrdil všechno, co jsem potřeboval vytvořit IOCs pro vás.
Za prvé, tento vzorek se připojí k ip.sousf8.com a zatímco jeho zaregistrován Peng Peng (um, jo), server je vlastně v USA.
To, co jsem opravdu jsi 't rád, že hledá sousf8.com dokázat, že jeho byl vložen jako Louis Vitton fóru spam a jiné zlé kecy, které ukazují na hxxp :/ / fz.sousf8.com. Nepoužívejte šílí tam, prosím.
Tato doména body 142.4.120.9. Jake hlášeny k nám, na základě síťových připojení a NetFlow analýzu, že on měl RDP připojení (TCP 3389), aby 142.4.120.8 pomocí mylcx.exe, které jsme již diskutovali. Co, co? Oh, chlapče. Takže znovu, to server v San Jose, CA, ale oni jsou registrovaná na vpsbus v. .. čekat na to ... prosím držte ... prepareth svou šokovaný obličej ... Jinjiang v provincii Fujian, v země ... v Číně.
Tři domény hostitelem 142.4.120.9 jsou 9uufu.com, sousf8.com, taobaofu.com.
ASN těchto IP adres patří do PEG TECH INC, je notoricky známý spammer .
Podle Wepawet, který říká, že fz.sousf8.com je benigní , že tok obsahuje přesměrování z hxxp :/ / cnzz.mmstat.com na hxxp :/ / pcookie.cnzz.com. Opět, prosím, ne. Oba jsou okamžitě spojena s Troj / Clicker-GL (více kecy adware).
Tam jsou všechny druhy škodlivých vlastností v souboru bybtt.cc3 taky, navíc ke všem MOV krmiva výše.
Podle HookAnalyser , tam je tuna, co vypadá . jako NOP polstrováním v tomto vzorku [!] Nalezeno 373 stop NOP instrukcí (potenciální shellcode - Podezřelé) [-] Na offset 00001109, našel: "\ x90 \ x90 \ x90 \ x90 \ x90 \ x90 \ x90 ' A bere na vědomí skutečnost, že: [!] spustitelný Debug vědom Spustitelný mohl plodit nový proces [!] Executable můžete enemurate procesy [!] Spustitelný mohl připojit k jiné procesy [!] Spustitelný soubor je potenciálně anti-debug vědom [!] Jo.
Řetězce potvrzuje odkaz na RAS telefonního seznamu shora, nejsou dva řádky odstraněny z nepřátelského domény: Microsoft \ Network \ Connections \ pbk \ Rasphone.pbk % USERPROFILE% \ Application Data \ Microsoft \ Network \ Connections \ pbk \ Rasphone.pbk Global \ b % D_% dj + @ 22220Sdag892 + ip.sousf8.com
Odkazy na gdi32.dll a CreateCompatibleBitmap jsou orientační atributu ScreenCapture, a tam je příliš mnoho prvků, na jeho schopnost "kopie, spustit, stahování a mazat soubory" se píše každý ven, ale obr. 1 , vytvořené pomocí PeStudio pomáhá potvrdit.
PeStudio
Obrázek 1
Co vířící vír ošklivosti. Existuje tolik králičí díry jít sem, ale slíbil jsem ti IOCs.
Nebudu jít názvu nebo velikosti nebo hash souboru, protože se neshodují. Pracuji od jednoho z odstraněných souborů a jak jsme viděli, že je to mnohem randomizace.
, ale víme jistě, že související názvy domén, IP, a víme, že díky Jake, který škádlil hodně to z běžícího serveru během jeho IR proces, který vytváří zvláštní klíče registru (PeStudio potvrdila stejně jako řetězce). obr. 2 je sestavení MOV.
Zegost
Obrázek 2
. Její chladné, aby odpovídaly velkou práci Jake udělal během IR se statickou analýzu a přeměnit ji na to, co je snad žalovatelné inteligenci pro vás, milí čtenáři
jsem zveřejnil XML soubory MOV pro vás:
http://holisticinfosec.org/iocs/464bfac7-9b16-4acb-9951-2095b6ca3b3e.ioc
http://holisticinfosec.org/iocs/7d540cb4-5a52-46e4-9465-081e6735cb3d.ioc
http://holisticinfosec.org/iocs/dea382df-9592-4528-b9e5-fef136e30805.ioc
Nezapomeňte, že IOCs se rychle mění, a že další velmi příbuzné vzorku mohou vykazovat zcela odlišné ukazatele. Takže se nemusíte to považovat za všelék, ale používat je jako referenční bod pro vaše lov a odhalit poslání. Prosím, neváhejte se zlepšit, optimalizovat, melodie, zlepšit, kritizovat, a zavraždit charakter IOCs; jsou vždy work in progress, já se vám nestane.
Hodně štěstí a dejte nám vědět, jak to jde!
Na zdraví.
Vedení krysy z: ** se to stane - Part 2
18.7.2014 Viry
Jak jsme se dozvěděli v první části našeho zkoumání řady Hazrat dodávky je nešťastných událostí, naše škodlivé ničemové přednost více nástrojů. Nejprve jsme diskutovali rozvoj IOCs pro HackTool: Win32/Zeloxat.A , který otevře zadní vrátka pohodlné na pwned hostitele. Jedna poznámka na této frontě, během analýzy jsem viděl síťové volání zeroplace.cn (není třeba navštívit, věř mi), a proto přidal odpovídající URI a položky DNS v souboru MOV. Opět budu sdílet vše za vás v den nebo dva.
Vím, slíbil jsem ti analýzu souboru svchost výpisu Jake poskytované pomocí volatilita, ale bohužel, že snaha nenesla hojné ovoce; imagecopy modul nevrátil žalovatelné výsledky. Skutečný svchost.exe vzorek je ještě analýza work-in-progress, jakož i vzhledem, zatímco jistě nebezpečný, soubor máme nebyl původní náklad a vystavuje omezenou funkčnost. Doufám, že mají přehled o tom předním zítra.
To znamená, že jeden z dalších nástrojů, které se nacházejí na serveru Jake byl PWDump7. Jedná se o běžně používané nástroje a je často součástí větších hackerů nebo pentester výstroje; měli byste být zjišťování a oba blokování stejně :-).
Podle definice, PwDump7.exe není malware sám o sobě, je to prostě nástroj, který lze využít k nekalým účelům. To neznamená, že změny v systému souborů, to není telefon doma, to se nemění registru, ale určitě to vyhodit heslo hashe, jak je vidět na obrázku 1 .
PwDump7
Obrázek 1
První čtenář, který e-maily mi (Russ @ holisticinfosec tečka org) můj prostý text hesla od 500 hash jak je vidět na obr. 1 vyhraje cenu mého výběru (pravděpodobně shwag nebo knihu), budu Tweet ven vítěze.
V absence zvláště zajímavé artefakty, můžeme ještě vytvořit IOCs pro hack nástroje, jako jsou PwDump?
Ale samozřejmě!
název souboru, velikost souboru, a hashe jsou zřejmé, ale co jiného můžeme použít, když tak málo prezentuje se nástroj hack, který je samostatný a v podstatě jen běží?
Nástroje jako PEStudio nám může dát další možnosti Podíváme-li se za samozřejmé. PEStudio, ve výchozím nastavení, bude řadit podle barevně odlišeny (červená), označeny položky. Často to představuje některé zjevné dost ukazatele, ale s PwDump7, ne tolik. Ale třídění podle něčeho jiného, jako hodnoty v rámci řetězce a Nezařazené nám dává zcela jedinečný indikátor není pravděpodobné, aby se vyskytují velmi často, a to zejména v kontextu zavedeného názvu souboru a hodnoty hash. obr. 2 ilustruje.
PEStudio řetězce za následek
Obrázek 2
Jako takový, naše IOC prvky by být odvozen, jak je vidět na obr. 3 .
IOCs pro PwDump7
Obrázek 3
Nelze minout s řetězci klíčových slov, jako je to. :-)
Nechám vás s tím. Jak jsme se učili z transparentnosti laskavou Jake a Hazrat dodávky, ** se to stane, je to opravdu.
Jen další důvod, proč se dveře zavazadlového prostoru.
Na zdraví!
E-ZPass phishing podvod
17.7.2014 Phishing
Během posledních pár dnů jsme byli svědky několika poměrně důvěryhodně vypadající phishing e-maily, vydávat se za poskytovatele mýtného na silnicích v USA. Agentura ovlivněn současnou vlnou je E-ZPass, mýtné nabíjecí systém používá hlavně na severovýchodě. Přizpůsobení šablony, aby odpovídaly barvy a písma jiných organizací, jako je Florida SunPass, by bylo snadné dosáhnout na podvodníky i když, tak je pravděpodobné, že uvidíme více z toho.
Vzhledem k tomu, mýtné silnice agentury může uložit ztuhlé pokuty za porušení, nebo v případě, silniční a mostní poplatky nejsou zaplaceny včas, lidé by mohli spadnout na něj a klikněte na odkaz, jen aby se ujistil. Ve vzorcích po ruce, odkaz ukazoval na www. ruckon. pl (prostory přidán do de-Fang), a vrátil ZIP s EXE nebo přímo EXE. Hat tip na ISC čtečky Wayne pro poskytování nejnovější vzorku.
Oracle Java: 20 nových zranitelností záplatované
17.7.2014 Zranitelnosti
Vítejte na n-tou iteraci "náplast nyní" pro Java na pracovních stanicích. Oracle dnes zveřejnila své čtvrtletní záplat bulletin, a Java SE je opět prominentně. Toto kritické Patch Update (CPU) obsahuje 20 nové bezpečnostní opravy pro Oracle Java SE. Většina chyb zabezpečení vzdáleně zneužít bez ověřování, a CVSS skóre 10 a 9.3 naznačují, že mohou být snadno využity, a vést k plné kompromisů. Což znamená, že programy zaznamenávající stisky kláves, eBanking trojské koně, atd., budou brzy následovat.
Oracle / Java je pravděpodobně tím, že v současné době jedním z nejúspěšnějších charitativních organizací na světě, je i nadále dělat vynikající práci v umožnění významného převodu bohatství na podporu chudých počítačoví zločinci a jejich rodinám. Kromě toho, že zdroje z fondů obvykle nemají ponětí, a nesouhlasil darovat přímo z jejich bankovních účtů ...
Po posledních třech letech opakovaných zející díry v Javě, doufáme, že teď jste našli způsob, jak odstranit Java z vašeho počítače zcela, nebo alespoň již spustit Java plugin v rámci webovém prohlížeči. V opačném případě, je zpět na křečka kola, aby opět re-test všechny aplikace, které stále vyžadují Javu, pro kontrolu nevyhnutelné nekompatibility s touto nejnovější verzi, a pak pro urychlení roll-out. To je určitě náplast, která nechcete přeskočit nebo zpoždění.
Plná Oracle oprava bulletin je k dispozici zde: http://www.oracle.com/technetwork/topics/security/cpujul2014-1972956.html # AppendixJAVA .
Ostatní opravy Oracle (pro databázi, atd.) vydané v dnešním opravy CPU jsou stále pod analýzu zde na SANS ISC. Budu psát o nich později, pokud oprávněné.
Oracle 07. 2014 CPU (oprava svazek)
17.7.2014 Zranitelnosti
Kromě zranitelnosti v Javě, které jsem na které se vztahuje starší , tam je alespoň jedna chyba zabezpečení, která si zaslouží pozornost. CVE-2013-3751, problém v analyzátoru XML Oracle Database. Čtení popis, měl jsem trochu da © ja-vu, a to i vzhledem k počtu CVE z loňského roku. A kopání do posledních záznamů, zjistil jsem, že ano, toto je skutečně oprava před:
Vypadá to, že Oracle 12 kód byl rozeklaný než 11 g náplast šel, a nikdo ho přenést přes, takže Oracle 12 zůstala vystavena stejnému chyby až teď. To vypovídá o Oracle vývoje životního cyklu softwaru a bezpečnostních procesů ... Vážený Larry Ellison: jak se o psaní "Trustworthy Computing" poznámky pro své zaměstnance, a pak po skrz na to? Jsem si jistý, Bill Gates nebude vadit hodně, pokud jste jednoduše zkopírovat jemu od roku 2002 , a to trochu hledání a nahrazování.
Pro ostatní nedůvěryhodných počítačových funkcí vám přináší tento měsíc CPU opravy svazku, see https://blogs.oracle.com/security/ and http://www.oracle.com/technetwork/topics/security/cpujul2014-1972956.html
Vedení krysy z: cvičení v budově IOCs - část 1
17.7.2014 Viry
Reader Jake nám poslal úžasné svazek RAT související chaosu shromážděné při plnění svých povinností při vyšetřování nešťastné a dlouhotrvající kompromis společnosti budeme fiktivně zavolat Hazrat napájení.
Hádej co? RAT, který byl trápí prostředí Hazrat Dodávka byla přes server proxy prostřednictvím dopravu zpět do čínské hostingové společnosti.
To je můj šokovaný obličej.
Šokovaný tvář
Opravdu, jsem v šoku, můžete říct?
S množstvím škodlivých souborů sdílených s námi v tomto balíčku představuje obrovskou příležitost k vytvoření některých souvisejících IOCs s Mandiant v IOCe , stejně jako spuštění některé z tohoto zla skrze mé preferované toolkit, se kterými se na identifikaci a pak stavět řekl IOCs. To budeme dělat na tři části, jak jsem si psovod na daně pro následující tři dny (máte štěstí); je tu spousta zde hrát s (štěstí já).
Dovolte mi, abych vám rychlé manifest první:
bybtt.cc3 MD5 c2f0ba16a767d839782a36f8f5bbfcbc Backdoor: Win32/Zegost.B
mylcx.exe MD5 4984fd547065ddcd781b068c4493ead6 HackTool: Win32/Zeloxat.A
PwDump7.exe MD5 d1337b9e8bac0ee285492b89f895cadb HackTool: Win32/PWDump
svchost.exe MD5 20a6310b50d31b3da823ed00276e8a50 VirTool: Win32/Obfuscator.BL
Ironicky RDP server, používají útočníci, RemoteMany3389.exe, není označen jako škodlivý detekcí AV. Zdá se, že je to legitimní nástroj ... v Číně. :-)
Zdánlivě tak příliš je soubor skříňka se používá, xlkfs.sys, s laskavým svolením XOSLAB.COM (podepsaný Yang Ping). Ahoj, díky za podpisem, já to víc věřit.
Chystám se jít ven na údu tady (opravdu) a říkají, zacházet s těmito soubory jako zjevně nepřátelské.
Hit na velké červené tlačítko, pokud se stalo, že se na vašem systému spolu . se jejich škodlivé krajané výše uvedený
Zde jsou jejich hashe bez ohledu na to:
RemoteMany3389.exe MD5 c9913698afc7288b850f3af602f50819
xlkfs.sys MD5 4aa2d2975d649d2e18440da0f3f67105
Stavební IOCs s Mandiant IOCe je v mnoha ohledech přímočará pro jednoduchou logiku, budete muset pochopit, AND a OR nosné konstrukce pro vytváření složitějších logických větví.
Přečtěte si uživatelskou příručku, která je nainstalována s editorem.
Vzal jsem si jen několik atributů (MD5 , SHA1, velikost souboru), na začátku mého soubor MOV pro HackTool: Win32/Zeloxat.A, jak je vidět na obrázku 1.
IOCe
Obrázek 1
Budu vyplnění tohoto dalšího a sdílení úplnou sadu souborů MOV pro každý z těchto vzorků na žádost po páteční směny.
Tweet mi pro ně @ holisticinfosec nebo napište mi přes Russ na holisticinfosec dot org.
Zítra budu běžet Jake soubor s výpisem pro svchost.exe přes Volatilita vidět, co můžeme dále učit a použít k vytvoření dalších IOCs.
Zůstaňte naladěni.
Použití síly Luuuk
16.7.2014 Kriminalita
Krádež více než půl milionu euro za pouhý týden - to zní jako loupež hollywoodského filmu. Ale organizátoři Luuuk bankovního podvodu vytáhl ho s kampaní Man-in-the-Browser (MITB) proti konkrétní evropské banky. Ukradené peníze se pak automaticky převedeny do přednastavených mule účty. Když se objevil skvělý ovládací panel Luuuk je okamžitě dostal do kontaktu s bankou, a zahájila vyšetřování.
Na 20 lednu 2014 Kaspersky Lab zjištěn podezřelý serveru, který obsahuje několik souborů protokolu, včetně událostí z roboty hlášení k velení a řízení webových panelu. Informace zaslány Zdálo se, že v souvislosti s finanční podvody; to včetně údajů o oběti a sumy peněz ukradených.
Obrázek 1: Příklad souboru protokolu
Po další analýze jsme zjistili další soubory na server obsahující protokoly s různým obsahem a ukazuje potenciálně podvodných bankovních transakcí, stejně jako zdrojový kód v JavaScriptu vztahující se k C2 infrastruktury. Tato informace poskytnuté cenné údaje o bance, které byly cílené a dalších informací, jako např. peněz mezek systému a provozních podrobností použité v tomto schématu.
Obrázek 2: Ovládání zdrojového kódu panel
Poté, co jsme analyzovali všechny dostupné údaje, bylo jasné, že C2 je server-side část Trojan infrastruktury bankovní. Věříme, že podvod byl spáchán za použití Man-in-the-Browser techniky a byl také schopen provádět automatické transakce přednastavit peníze účty mule.
Rozhodli jsme se pojmenovat toto C2 luuuk po cestě správa panel použitý na serveru: / server / adm / luuuk /
Níže je shrnutí relevantních informací získaných z straně serveru součásti:
Asi 190 obětí, většinou se nacházejí v Itálii a Turecku.
Podvodné transakce v hodnotě více než 500 tisíc € (dle protokolů).
Podvodné popisy přenosu.
Oběti "a mezky" IBAN.
Ovládací panel byl umístěn v doméně uvvya-jqwph.eu , řešení na IP adresu 109.169.23.134 během analýzy.
Podvodné kampaně cílené uživatelům jedné banky. I když jsme nebyli schopni se dostat škodlivý kód používaný k oběti, věříme, že zločinci používají bankovní Trojan provádění Man-in-the-Browser operace se dostat pověření svých obětí přes škodlivé webové injekce. Na základě informací dostupných v některé ze souborů protokolu na bázi malware ukradl uživatelská jména, hesla a OTP kódy v reálném čase.
Obrázek 3: Podvodné transakce příklad protokolu.
Tento druh injekce jsou velmi časté ve všech variantách Zeus (Citadela, SpyEye, IceIX, atd.) a všechny z nich jsou dobře známé v Itálii. Během našeho vyšetřování nebylo možné najít infekce vektor, nicméně bankovní trojské koně používají různé metody, aby nakazit oběti, včetně spamu a drive-by downloads.
Útočníci používají ukradené pověření ke kontrole oběť? Y vyvážení a automaticky provádět několik škodlivých transakcí, pravděpodobně pracuje v pozadí legitimní bankovní relace. To by bylo v souladu s jedním ze škodlivých artefaktů (VNC server), které jsme našli vázané ke škodlivému serveru používaného útočníky.
Přes "obvyklé" postupy, kterými se ukrást peníze uživatelů (uživatel / heslo / OTP bypass), co je opravdu zajímavé, v této kampani je klasifikace z předdefinovaných peněz mul používané pro přenos ukradené peníze.
Podle protokolů transakcí, tam byly 4 různé peněz-mule (nebo pokles) skupiny:
13test: limit, který se kapky v této skupině může přijmout je mezi 40.000 a 50.000 eur, ačkoli tam jsou některé kapky, které mají různé limity, mezi 20,000 a 30,000.
14test: limit, který se kapky v této skupině může přijmout je mezi 15.000 a 20.000 eur, ačkoli tam jsou některé kapek do této skupiny, které mají různé limity, mezi 45,000 a 50,000.
14smallings: limit, který se kapky v této skupině může přijmout je mezi 2500 a 3000 eur.
16smallings: limit, který se kapky v této skupině může přijmout je mezi 1750 a 2000 eur, ačkoli tam jsou kapky v této skupině, které mohou přijímat množství mezi 2500 a 3000 eur (stejně jako v 14smallings skupiny).
To by mohlo být ukazatelem dobře organizované mezka infrastruktury. Různé skupiny mají různé limity na peníze, které mohou být převedeny na jeho muly, indikátor úrovně důvěry mezi nimi.
Provozovatelé tohoto ovládacího panelu odstranit všechny citlivé součásti, 22. ledna, dva dny poté, co naše vyšetřování začalo. O činnosti transakce základě se domníváme, že by to mohlo být změna infrastruktury, spíše než úplné zastavení provozu.
Kromě toho, na základě zjištěné podvodné transakce činnosti na serveru a několik dalších ukazatelů, domníváme se, že zločinci stojí za provozu jsou velmi aktivní. Také oni ukázali proaktivní bezpečnostní činnost provozní, měnící se taktiku a čištění stopy, když objevil.
Kaspersky Lab je udržování kontaktů s různými LEA a postižené finanční instituce s cílem stíhat zločince.
Kaspersky Prevence podvodů vs Luuuk
Důkaz odhalil odborníky společnosti Kaspersky Lab uvádí, že kampaň byla s největší pravděpodobností organizována profesionálními zločinci. Nicméně, nebezpečné nástroje, které slouží k ukrást peníze lze účinně čelit bezpečnostních technologií. Například, společnost Kaspersky Lab vyvinula Kaspersky předcházení podvodům - multi-tier platformy na pomoc finanční organizace chránit své klienty z on-line finančních podvodů. Tato platforma obsahuje komponenty, které zajišťují klientských zařízení z mnoha typů útoků, včetně Man-in-the-Browser útoků, stejně jako nástroje, které mohou pomoci společnostem odhalit a blokovat podvodné transakce.
UPDATE
Po zveřejnění příspěvku, naši kolegové z Fox-IT Intell nám poslal nějaké potenciálně související informace týkající se této kampaně. Podle této nové informace, server Luuuk by mohly souviset s ZeusP2P (aka Murofet) infrastruktury, jak jsme si původně myslel.
Dostali jsme dva dešifrovat konfigurační soubory, které patří do ZeusP2P s odkazem na stejném serveru, na kterém Luuuk byl hostitelem:
blog_theluuk_04_sm
Konfigurace patří do botnetu s názvem "to" (Itálie). Server Luuuk se používá k hostit kód, který je vstřikován v prohlížeči obětí. Spravuje také automatické převody na předdefinované sadě peněz mul (kapky) účtů.
Byli jsme také schopni analyzovat binární soubory pomocí těchto konfigurací. První z nich (c8a3657ea19ec43dcb569772308a6c2f) je ZeusP2P (Murofet) vzorek, který byl nejprve viděn zpět v srpnu 2013 byly provedeny měsíce před škodlivými transakcí. Snaží se připojit k několika sinkholed serverů používaných sundat GameOver.
Sinkholed domény použité ve vzorku.
Toto dodatečné údaje posiluje teorii, že rodina Zeus je za server Luuuk - v tomto konkrétním případě se zdá být chuť ZeusP2P. Nicméně, toto není konečný důkaz, že škodlivé transakce v kampani byly provedeny podle této rodiny, jako injekčně kód na serveru, nebyl u toho, když se to analyzovat.
Přesto, že by bylo docela neobvyklé pro dva různé malware kampaně použít stejný server téměř současně zajistit potřebnou infrastrukturu. Takže budeme pokračovat v našem šetření na základě předpokladu, že tato kampaň Luuuk použité ZeusP2P vzorky pro jejich infekcí a škodlivými transakcí. Nyní se budeme snažit získat Javascript kód vstřikovaného uzavřít kruh.
Společnost Microsoft aktualizuje července 2014 atd.
16.7.2014 Zranitelnosti
Při pohledu kolem 23 Critical Internet Explorer vzdálené spuštění kódu zranitelnosti jsou záplaty tento měsíc MS14-037, které vyžadují okamžitou pozornost, nejzajímavější je CVE-2014-2783, Internet Explorer "Extended Validation (EV) Certifikát bezpečnostní funkce Bypass zabezpečení". Zranitelnost sám, ohlásil Eric Lawrence z "Fiddler" sláva, je použitelná v "rohu případ" situaci a může vést k MITM útoky.
Pojďme zúžit složitost problematiky pro dobro všech. Co je "EV" certifikát? No, je to zvláštní osvědčení, které organizace nebo jednotlivec zaplatí více peněz na certifikační autoritou, jako je VeriSign vytvořit a pak použít k "zajištění" své komunikace. Weby používající jim jsou obvykle řešeny ve zvláštním způsobem hlavních webových prohlížečů. Adresa proužek zezelená, speciální obdélník je nastavena kolem adresu, nebo jiné vizuální image ujišťuje uživatele, že spojení je se správným webové stránky a šifrována. Zde je příklad webovém prohlížeči představující zelené bar EV vizualizace, prosím, klikněte na obrázek pro detailní:
Související chyba je oprava tento měsíc je ošemetný. Internet Explorer verze 7 přes 11 vše umožňují zástupných subdomén s EV certifikáty, které by nikdy neměly být povoleny. Ani Certifikační autority, ani webové prohlížeče by měla umožnit takové vady, ale jejich dodržování je sporná. V minulosti, CA jako Diginotar, Comodo, Trustwave , TurkTrust , a v současné době na národní informatiky centra v Indii , vše udržované případy významných nedostatcích na úrovni CA.
NIC_CA
Takže, spojený s touto chybou v IE 7,8,9,10 a 11, útočníci (zda nebo ne oni jsou státní sponzorována nebo více tradiční počítačové trestné činnosti organizace) by mohly organizace zřídit místa s zástupných EV koncertů spoof hlavní webové vlastnosti jako u Google, Twitter, Facebook a jinde, a krást data z citlivých komunikací tam. Infrastruktura Model důvěra Certificate Authority nadále vykazuje významné trhliny jako vadné modelu důvěry, a to "rohový případ" prostě umožňuje další situace, jako je to. Možné řešení , jako je konvergence nebyly vážně tlačil. Současně, zdraví Microsoft pro záplatování a podávání zpráv o dvou aktuálních otázkách.
Bohužel, tyto druhy otázek, najít svou cestu do softwarových produktů po celou dobu. Částečně, jsou velmi složité pochopit, o QA týmů a vývojáři jistě třeba zúžit rozsah svých projektů. Nemůžete automatizovat tento druh testu, a to iv případě, že je zjištěno, že není přiřazen závažnosti 5 nebo "trumf", protože to není okamžitě přerušit provoz výrobku. Takže oni mohou sedět neadresné v produktu po dobu čtyř nebo pěti verzích nebo více, i když soukromě znám. Pouze expozice kvůli práci cenného papíru výzkumníka nebo hlavní veřejné události může tlačit na přední části seznamu priorit.
Všechna tato diskuse rohových případech stanoví základ pro další diskusi o "internetu věcí". Vždy, když tam jsou interdisciplinární přístupy (jako těžké matematiky a komunikací, nebo interní počítačová síť a automobily) na řešení, tam je zvýšené riziko nehody, protože praktické a teoretické otázky. Vzhledem k tomu, průmysl pokračuje, a jak začínající generující internetu věcí řešení kód do činění s jejich vlastními koutek případě otázek, a jako přijetí a akvizic kupředu, bude technologie internetu věcí demonstrovat ve větším měřítku, že nejsme učení se z minulých chyb.
Podvody sociální sítě
16.7.2014 Sociální sítě
Které webové zdroje nejčastěji přitahují zločinci? Je to vždycky takové, kde mohou dosáhnout co největšího počtu uživatelů a poskytování maximální možné zisky. Dnes prakticky všichni uživatelé internetu mají účet u sociální sítě (a často několik s různými sítěmi), což tyto stránky velmi oblíbený u zločinci. Facebook je nejvíce atraktivní sociální sítě: podle statistik společnosti Kaspersky Lab, falešné stránky imitující Facebook tvořily téměř 22% všech případů, kdy heuristická Anti-phishing součást byla spuštěna.
Užitečné účet
Na první pohled to, únos účty sociálních sítí by nemělo být tak atraktivní pro zločinci, protože to nepřináší okamžitý zisk - nemáme držet své úspory se s Facebook účtem, zatímco osobní údaje umístěné na těchto sítích je jen zajímavé našim přátelům a blízkým. Ale první dojem může být zavádějící. Ve skutečnosti, tam může být několik důvodů pro zločinci chtít nelegitimní přístup k účtům na serveru Facebook nebo jiné sociální sítě:
Chcete-li rozšířit phishing odkazy. Pro účely phishing, je efektivnější použít skutečné unesených účtů, spíše než vytvářet bot účty ad-hoc. Je mnohem pravděpodobnější, že člověk klikne na falešné bankovní stránkách, pokud odkaz pochází z jeho / její sociální sítě přátel, spíše než od neznámé osoby.
K šíření malware. Stejně jako u typu phishing odkazy, uživatelé sociálních sítí snadněji stahovat a otevírat soubory pocházející z jejich přátel na Facebooku.
Chcete-li odesílat spam na seznamu kontaktů oběti a publikovat spamu na stěnách přátele ", kde je možné vidět ostatní uživatelé.
Chcete-li cvičit podvod, jako je vydírat peníze z unesených účtu přátel. Podvodník může posílat zprávy ptal jsem se lidí poslat peníze na pomoc.
Chcete-li shromažďovat informace o konkrétních lidí. Tyto informace mohou být později použity k zahájení cílených útoků, jako jsou cílené útoky phishing.
Chcete-li prodat unesených účtů. Počítačoví zločinci prodávají unesli účty s jinými zločinci, kteří na oplátku je používají k šíření spamu, phishingu odkazy nebo malware.
Únosci se nejčastěji používají poslední možnost v tomto seznamu, jak vydělat peníze prodejem ukradených dat.
Statistika
Podle údajů ze systému Kaspersky Security Network v roce 2013, phishingové stránky imitující stránky sociálních sítí jsou na vině za více než 35% případů, kdy Anti-phishing heuristická složka byla spuštěna. Celkově jsme zaznamenali více než 600 milionů pokusy našich uživatelů pro přístup k phishingových stránek. Weby imitující Facebook tvořily 22% všech phishingových incidentů.
Heuristické součást Anti-phishing systém se spustí, když uživatel následuje odkaz vedoucí na stránku, phishing, která nebyla dříve zaznamenána v databázích Kaspersky Lab. Nezáleží na tom, jak je to, že odkaz následovně: kliknutím na odkaz uvedený ve zprávě phishing, ve zprávě na sociální sítě nebo, řekněme, v důsledku nějaké aktivitou malwaru. Když heuristická složka je spuštěn, uživatel uvidí varovná zpráva o možném ohrožení.
V roce 2013, falešné stránky Facebook tvořily 21,89% všech případů, kdy Anti-phishing heuristická složka byla spuštěna
V roce 2013, falešné stránky Facebook tvořily 21,89% všech případů, kdy Anti-phishing heuristická složka byla spuštěna
Na začátku roku 2014 se situace poněkud změnila: Yahoo se ujal vedení pro heuristické anti-phishing incidentů. Nicméně, Facebook je stále nejvyšší cíl pro phisherů: v 1. čtvrtletí 2014, falešné stránky Facebook tvořily 10,85% všech případů, kdy Anti-phishing heuristická složka byla spuštěna.
Každý den produkty společnosti Kaspersky Lab zaregistrovat více než 20.000 incidentů, když se uživatelé pokusí sledovat odkazy, které vedou na falešné stránky na Facebooku.
Denní počet případů, kdy heuristická součást Anti-phishing systém se spouští falešné Facebook stránky
Denní počet případů, kdy heuristická součást Anti-phishing systém se spouští falešné Facebook stránky
Většina incidentů se konají v USA (1500 až 7500 za den), Kanada (1000 až 2500) a Německu (2000 až 4500). V Rusku toto číslo nepřesahuje 1000 den.
V roce 2013, 22% uživatelů v Indii se pokusil následovat odkaz na falešné Facebook stránky, 14,56% ve Francii, 10,93% v USA a 1,5% v Rusku.
Procento uživatelů, kteří se pokusili o přístup falešné Facebook stránky v roce 2013 (z celkového počtu uživatelů produktů společnosti Kaspersky Lab v zemi).
Procento uživatelů, kteří se pokoušeli o přístup k falešné Facebook stránky v roce 2013 (z celkového počtu uživatelů produktů společnosti Kaspersky Lab na zemi)
Návnada
Jak uživatelé přistát na falešné webové stránky? Počítačoví zločinci vytvořili celou řadu způsobů, jak nalákat své oběti na stránky s obsahem phishing. Oni typicky použijte jednu z následujících posílat odkazy na podvodné webové stránky:
Písmena napodobující oznámení zprávy ze sociálních sítí. Tyto zprávy jsou odesílány z specializovaných e-mailových účtů.
Dopisy odeslané z zhoršenou e-mailových účtů na příslušné seznamy adres. To může být zpráva odeslána s přáteli, vyzve je, aby následovat odkaz se podívat na něco zajímavého.
Zprávy v sociálních sítích odeslaných z ad-hoc falešných účtů nebo z unesených účtů.
Ve fóru zpráv.
Ve výsledcích vyhledávání.
V bannery s atraktivními obrázky nebo bannery maskující se jako oznámení sociální sítě a umístěné na třetích stran zdrojů zločinci.
Uživatelé také mohou přistát na phishingové stránky, pokud počítač nebo router byl napaden škodlivým softwarem, který by mohl, například, změnit nebo nahradit soubor 'hosts', spoof DNS nebo nahradit obsah. Tento druh malwaru je obzvláště nebezpečné, protože oni přesměrovat uživatele na podvodné stránky, když sledují legitimní odkazy na organizace, jejichž místa jsou prochází phishingu.
To je důvod, proč uživatelé potřebují, aby věnovaly pozornost dostupnosti nebo nedostupnosti zabezpečené spojení vždy, když otevřete webovou stránku. Facebook používá protokol HTTPS pro přenos dat. Absence zabezpečené připojení , i když URL adresa je správná pravděpodobně znamená, že jste na návštěvě podvodné stránky.
Nicméně, správná adresa URL a dostupnost zabezpečené připojení nelze vždy zaručit, že jste narazili na podvodnou stránku. Pokud si nejste jisti, zkontrolujte, zda certifikát patří na Facebook. Také, vždy dávejte pozor na jakékoli oznámení od softwaru zabezpečení v počítači nainstalována.
E-mailové zprávy
Odeslání e-mailové zprávy je populární metoda pro zločinci posílat odkazy na phishingové stránky. Tyto zprávy jsou často neosobní, tj. neobsahují žádné přímé adresy na konkrétní osoby, a zpravidla napodobit zprávu Facebook oznamující, že osobní zpráva přišla, nebo že uživatel přátelé jsou registrovány v této sociální síti. Pokud uživatel klikne na odkaz, se přistát na phishing pobízet je k zadání svých pověření. Tyto přihlašovací údaje se okamžitě zaslány počítačovými zloději, a uživatelé jsou přesměrováni na skutečné Facebook přihlašovací stránce.
Počítačoví zločinci se často uchylují k zastrašování, posílání falešných zpráv, které ohrožují blokovat účty uživatelů. Aby se zabránilo, že uživatelé jsou instruováni, aby následovat odkaz ve zprávě a zadejte své přihlašovací údaje na webové stránce. Tento přístup se opírá o šokující oběť do nedbalost.
Níže je uveden příklad falešné Facebook zprávě oznamující uživateli nedávných aktivit, že on / ona může mít vynechal. Umístíte-li kurzor na odkaz, automaticky otevřené okno ukazuje, že to vede k neznámým adresu, která je odlišná od oficiální Facebook adresu. Zajímavé je, že zločinci použít část e-mailové adresy příjemce oslovit uživatele.
facebookphishing4
Zde je další příklad falešné zprávy - tentokrát v portugalštině. Příjemce je varoval, že účet může být zablokován brzy. Aby se tomu zabránilo, uživatel je doporučeno sledovat na odkaz, který údajně vede k Facebooku, a zadejte jeho / její pověření tam. Nicméně, umístěním kurzoru nad odkaz ukazuje, že to vede k nesouvisející stránky, a ne na Facebooku.
facebookphishing5
Sociální sítě
Často phishingové zprávy jsou odesílány v rámci sociální sítě z napadených účtů vedených v evidenci přátel potenciální oběti. Oni typicky napodobit krátké osobní zprávy a obsahuje otázky jako "je, že jste v této fotografii?" a odkaz na "fotografie". Když uživatelé sledovat na odkaz uvedený, se přistát na falešný Facebook přihlašovací stránku, která obsahuje standardní zprávu "Log in pro pokračování". Pokud uživatelé nemají stát podezřelé a zadejte své přihlašovací údaje, jejich data budou okamžitě odeslány zločinci.
Po celém světě
Globální popularita Facebook znamená zločinci vytvářejí falešné webové stránky v různých jazycích: anglicky, francouzsky, německy, portugalsky, italsky, turecky, arabsky a další.
Několik příkladů falešných stránek Facebooku, jsou uvedeny níže. Dávejte pozor, aby do adresního řádku: útočníci často používají slova, připomínající "Facebook" v URL adrese stránky phishing, se snaží zmást nezkušené uživatele internetu. V době, URL nemá nic společného s adresou Facebook i když strana designu napodobuje to skutečných stránkách Facebooku. Všimněte si také, že není bezpečné připojení je k dispozici na těchto stránkách, což je jasné znamení, že to je phishing zdroj.
facebookphishing6_sm
Příklady phishingových stránek imitujících Přihlásit se přes Facebook stránky
facebookphishing7_sm
Příklady podvodných webů napodobovat hlavní Facebook přihlašovací stránku, která obsahuje registrační formulář vyžadující osobní údaje
Jak lze vidět na příkladech, že phishing stránky jsou navrženy tak, aby napodobit přihlášení nebo registraci stránku Facebooku. Cílem kybernetických zločinců "je samozřejmě shromažďovat osobní údaje, s nimiž se získat přístup k účtům dalších škodlivých akcí.
Mobilní phishing
Smartphone nebo tablet vlastníci, kteří navštíví sociální sítě ze svých mobilních zařízení, jsou také v nebezpečí, že ztratí své osobní údaje. Počítačoví zločinci vytvořit specializované webové stránky pro mobilní prohlížeče, které napodobují na Facebook app přihlašovací proceduru.
facebookphishing8
Příklady podvodných webů napodobování Facebook pro mobilní prohlížeče
Některé mobilní prohlížeče skrýt adresní řádek při otevření stránky, která hraje do rukou kybernetických zločinců. Díky tomu je mnohem obtížnější pro uživatele k detekci falšování.
Phishing webové stránky se skrytým adresním řádku
Phishing webové stránky se skrytým adresním řádku
Škodlivé programy, které kradou osobní údaje vlastníka může být aktivní i na mobilních zařízeních. Tento ukradl informace mohou zahrnovat pověření účtu sociální sítě. Stejně jako obecného určení spyware, existují specializované mobilní spyware programy specificky zaměřené na sociální sítě. Například, mobilní Trojan může zfalšovat oficiální Facebook aplikace, kdy ji uživatel spustí, takže aplikace phishing se otevře. Také, tam je riziko, že uživatel může stáhnout aplikaci phishing napodobující oficiální Facebook mobilní aplikace.
Závěr
Když zločinci špehovat na účtech sociálních sítí hlavní zbraň je nedbalost držitelů účtů a jejich nedostatek bdělosti. Zde jsou naše doporučení:
Pokud obdržíte e-mailové oznámení z Facebooku nebo zprávu, která může být váš účet zablokovat, nebo jiných zpráv, které vás vyzve k zadání pověření po následující odkaz, nebo v přiloženém formuláři,
Porovnání adresu odesílatele s adresou, ze které se obvykle obdržíte oznámení. Pokud je adresa liší od obvyklé jednoho, tam je dobrá šance, je to phishing podvod. Nicméně, i když adresa vypadá legitimní, zločinci mohou být maskovány skutečnou adresu odesílatele.
Nikdy zadání pověření v přiložených formách. Facebook nikdy žádá uživatele, aby zadali své heslo, e-mailem, nebo poslat heslo e-mailem.
Umístěte kurzor na odkaz a zkontrolujte, zda to vede k oficiální Facebook stránce. Kromě toho byste měli ručně zadejte Facebook URL do adresního řádku - zločinci jsou schopni utajit adresy, na které vedou vás.
Pokud budete přesměrováni na webové stránky (po kliknutí na banner nebo po odkaz uvedený v e-mailu nebo zprávy, atd.), ujistěte se, že URL v adresním řádku je to, co můžete očekávat, že bude.
Pokud jste ručně zadali URL v adresním řádku, podívat se na to znovu po načtení stránky, aby se ujistil, že není falešné.
Vždy zkontrolujte, zda je k dispozici zabezpečené připojení. Pokud tam není, tam je dobrá šance, že jste na návštěvě podvodné stránky, a to i v případě, že adresa URL je správná.
Pokud podezřelé e-maily a / nebo oznámení začnou přicházet od svého přítele (y), zkuste je kontaktovat: jejich e-mailové nebo účet sociální sítě může být ohrožena nebo uneseno. Pokud ano, váš přítel (y) budou muset okamžitě změnit heslo.
Wi-Fi zabezpečení a falešné ac / dc poplatky ohrozit vaše data na mistrovství světa 2014
16.7.2014 Zabezpečení
Když jsme na cestách máme tendenci přinést spoustu inteligentních přístrojů s námi. Je skvělé mít možnost podělit se o krásnou fotografii, aby lidé věděli, kde jste, nebo dát své nejnovější zprávy na Twitteru či Facebooku. Je to také dobrý způsob, jak najít informace o restauracích, hotelech a dopravní spojení. Ale to vše, co potřebujete připojení k Internetu.
Bohužel, roaming plány mobil údaje jsou obecně velmi drahé, takže mnozí cestující jen tak zdarma dostupné přístupové body Wi-Fi v místech, které jsou, hledám je a používat je bez obav o bezpečnost. Nicméně, to je velmi riskantní přístup, protože všechny data, odesílat a přijímat na otevřených Wi-Fi sítí by mohly být zachyceny. Pokud se tak stane všechna vaše hesla, PINy a další citlivé údaje by mohly spadnout SINTO rukou cybercriminal je. Ve skutečnosti někteří zločinci nainstalovat falešné přístupové body, speciálně konfigurované řídit veškerou komunikaci prostřednictvím počítače, který může ovládat ji, možná dokonce funguje jako stroj "man-in-the-middle", který zachytí a přečte šifrovaný provoz. K dispozici je vážné nebezpečí, že ztratí všechny vaše citlivá data, a to všechno z vašich peněz. Při cestách daleko od domova, je to katastrofa čeká se stane.
S ohledem na tuto skutečnost, podívali jsme se do Wi-Fi připojení k internetu v Sao Paulu. Jeli jsme 100 kilometrů po městě a kontrolovat více než 5000 různých přístupových bodů. Zaměřili jsme se na místa, která turisté navštíví - parky, nákupní střediska, letiště a dalších turistických atrakcí. Tak, jak bezpečné - nebo ne - jsou sítě Sao Paulo je Wi-Fi? Pojďme se podívat.
Wi-Fi studie v Sao Paulu
Studie se konala v polovině května 2014. Našli jsme více než 5000 různých přístupových bodů ve městě a některé z nich jsou zjevně nejsou zajištěny vůbec. Nejprve se pojďme podívat na detaily, takže si můžete vytvořit svůj vlastní názor o zachování pověření a citlivá data v Brazílii.
SSID
SSID je název, který Wi-Fi přístup k síti bod je přidělen, když se k němu připojit. Majitelé Některé Přístupový bod je nechat ji s výchozí konfigurací, jiní definují nový vlastní název a jen málo z nich definovat nový specifický název, a pak pokračovat se to skrýt, takže to není vysílání pro veřejnost.
fifa3_wi-fi_security_en_1
Jak můžete vidět, pouze 6% všech přístupových bodů Wi-Fi jsou skryté. Zároveň 5% dostupných bezdrátových sítí správu konfigurace SSID ve výchozím nastavení, což znamená, že útočníci mohou snadno zjistit původ sítě a najít správnou zranitelnost získat plný přístup správce k přístupovému bodu. Obecně platí, že je to špatná praxe opustit SSID ve výchozím nastavení; to nezlepší bezpečnost, ale dělá život cybercriminal je jednodušší. Nejlepší praxe bude definovat SSID a pak držet to skrytý. Bohužel jen málo zařízení kdekoliv na světě používají tento přístup.
Typy sítí Wi-Fi
Většina přístupových bodů, které jsme našli v Sao Paulu se podařilo, ale 1% sítí je ad-hoc:
fifa3_wi-fi_security_en_2
Co to znamená? Pokud jste připojeni k síti ad-hoc, vše posílat a přijímat prochází hostitele nebo počítače. To by mohlo být řízena někým, s dobrými nebo špatnými úmysly. Jinými slovy, údaje projde rukama neznámých jednotlivců, kteří mohou dělat nic - nebo může vyzvednout, a extrahovat citlivé údaje. Pokud nechcete přijít o svá data je lepší nepoužívat takové sítě.
Wi-Fi zabezpečení v Sao Paulu
fifa3_wi-fi_security_en_3
Po analýze více než 5000 různých přístupových bodů, jsme zjistili, že nejméně 53% z nich má ověřování WPA2, což je dobře. Nicméně opravdu strach pochází ze skutečnosti, že 26% ze všech sítí jsou zcela otevřený a nepoužívejte žádné šifrování. Tyto otevřené sítě obvykle nabízejí bezplatný přístup k internetu, takže jsou velmi populární mezi návštěvníky. K dispozici je velké riziko, když se připojíte k jedné z těchto sítí. Ty data jsou přenášena ve formátu prostého textu, pokud server, ke kterému se připojujete k spravuje SSL šifrování. Pokud řeknete: "Dobře, já jsem v pořádku, protože všechny webové stránky jsem se procházet mít SSL", můžete být stále v pořádku. Problém je, že ne všechny webové stránky mají plné šifrování SSL, mám na mysli některé webové stránky použít pouze pro ověřovacího procesu, kdy jsou vaše přihlašovací údaje přenášeny na server, ale všechny následující údaje pokračuje ve formátu prostého textu. Co to znamená? Řekněme, že jste přihlášení ke svému e-mailu. Server vytvoří spojení SSL a přenáší své uživatelské jméno a heslo bezpečně. Jakmile jste uvnitř vašeho e-mailu a začít psát e-mail a odeslat ji, to jde jako prostý text. Útočník na stejné Wi-Fi síti mohl zachytit a přečíst si ji tak snadno, jako si můžete na vlastní obrazovce. Takže pokud máte poslat e-mail, který obsahuje citlivé údaje - kde jste ubytováni, vaše číslo pasu atd. - všechny tyto informace jdou rovnou do cybercriminal.
To není jediné nebezpečí. Útočník s použitím stejného Wi-Fi síť by mohla zahájit "man-in-the-middle" útok. Najednou někdo pomocí sítě pro přihlášení k e-mailu, sociálních sítí, on-line bankovnictví nebo jiné webové stránky dostat popup prohlašovat certifikát SSL je zastaralý. Většina lidí automaticky přijmout navrhovaný nový certifikát, jen aby zjistil, že je to nebezpečný trik, jak svou komunikaci šifrovat a dešifrovat ji znovu před tím, než dosáhne svého zamýšleného cílového serveru. Počítačoví zločinci raději používat otevřené sítě Wi-Fi, tak prosím, zůstat ve střehu, a ne jen kliknout na jakékoliv popup zprávy. Přečtěte si varovné zprávy a pak se rozhodnout. Pokud máte pocit, něco je špatně, nebo spojení se nechová normálně, odhlaste se a hledat někde jinde, aby se on-line.
Dalším bezpečnostním problémem souvisí s WPA chráněné sítě. Můžete si myslet, že jsou chráněny, ale ve skutečnosti, WPA je slabá implementace v dnešní době a může být rozdělena do několika minut útočníky. Tyto sítě by měly být považovány za potenciálně nezabezpečené, a to je lepší, aby se zabránilo jejich použití.
Wi-Fi dodavatelů v Sao Paulo
Naše statistiky ukazují, že nejoblíbenější prodejci v Sao Paulu jsou nyní CISCO a D-Link.
fifa3_wi-fi_security_en_4
Většina prodejců spravovat zabezpečení přístupového bodu a to zejména upgradu firmwaru procesů jako uživatel závislé činnosti na vyžádání. To znamená, že i v případě, že je veřejně známá chyba zabezpečení, která umožňuje vzdáleným útočníkům získat plný přístup administrativy k zařízení, to nemůže být oprava automaticky, pokud uživatel k dispozici na webu dodavatele, stáhnout tuto opravu a pak pokračovat v procesu upgradu podle nahrávání nového firmware do svých koncových bodů pomocí ethernetového kabelu.
Většina uživatelů Wi-Fi najít to složitý proces; mnozí ani nevědí, jak zkontrolovat, zda jejich zařízení je zranitelný. Tolik přístupové body zůstávají unpatched a náchylné ke vzdáleným útočníkům. Útočníci mohou získat plný přístup, a poté změňte nastavení ISP DNS ty škodlivé. Za to, že někdo procházení od daného přístupového bodu bude mít jejich provoz směrován přes škodlivých serverů DNS, které přesměrovávají je na falešné stránky, kdykoli se pokusíte o přístup k bankovnictví či platební služby. To je děsivé a velmi ošklivé technika, neboť i tiché uživatelé zkušený bezpečnostní mohli snadno přijít o své peníze. Podvodný útok se děje na vrstvě DNS, když váš koncový bod je žádost o jméno, ale server, budete přesměrováni, je zcela škodlivý jedna.
Doporučení
Jeden z zlatých pravidel při práci na jakékoli síti Wi-Fi je vždy přistupovat prostřednictvím připojení VPN! Pokud nemáte nějaké, prosím, dostat jeden a nainstalovat jej do všech svých zařízení - chytré telefony, tablety, notebooky, atd. Někdy můžete najít Wi-Fi sítí, kde jste VPN je blokován. To je něco jako červená vlajka. Pokud je to možné, vyhněte se používání této sítě. Pokud nemáte jinou možnost, je to asi lepší použít k internetu přes Tor Browser společně s vašimi vlastními DNSCrypt nastavení přímo na vašem zařízení.
Pokud vlastníte přístupový bod, zkontrolujte, zda je váš firmware nejpozději do jednoho. Pokud ne, upgrade. Nenechávejte přístupový bod s výchozími prodejce nastavení, změnit je a také definovat nové silných hesel, takže útočníci nemohli snadno ohrozit jejich. Podívejte se na šifrování váš přístupový bod má nyní. Pokud je to WPA nebo WEP, změňte to na WPA2 s AES nastavení. Zakázat vysílání SSID a ujistěte se, že vaše heslo síť je silná.
Pamatujte si, že jen jedna chyba může vést k úniku citlivých dat. Obětovat čas, ale ne jistotu. Není-li opravdu zabezpečené sítě v místě, nebojte se o vyslání své fotografie ihned; počkejte, dokud se najít bezpečné místo k práci.
Falešná AC / DC nabíjecí body
Je to tak smutné, když je vaše baterie umírá a den, právě začala. Je to ještě větší problém, když jste daleko od domova a potřebují svůj smartphone pro přístup k map, tras a všechny druhy informací, aby vaše cesta jednodušší. Za těchto okolností lidé mají tendenci používat veškeré dostupné nabíječku, i když jen na pár minut.
fifa3_wi-fi_security_en_5
Moderní smartphony a tablety vyžadují spoustu energie. Někdy, zejména v případě, že baterie není nový, vaše zařízení vybít příliš rychle. Samozřejmě, přičemž je baterie vybitá, že není možné.
To je důvod, proč mnozí návštěvníci podívat nabíjet svá zařízení při každé příležitosti. I když je autobusová zastávka, čekárna nebo jakékoli veřejné místo. Nicméně, oni zapomenout na velmi důležitý detail: nikdo neví, zda nabíječka se zapojit do je škodlivý nebo ne.
fifa3_wi-fi_security_en_6
Co přesně je škodlivý AC / DC nabíječka? To bude stále nabíjet baterii, ale zároveň to bude tiše krást informace z vašeho smartphonu při nabíjení přes USB port. V některých případech falešné poplatky lze také nainstalovat malware schopen sledovat vaši polohu, i když opustíte oblast, ze krade vaše poznámky, kontakty, obrázky, zprávy a volání záznamů, uložených hesel a cookies, dokonce prohlížeče.
Doporučení
Nikdy nepoužívejte neznámé nabíječky, ale podívejte se na důvěryhodných místech. Používejte baterii zodpovědně a pokusit se udržet náhradní s sebou, takže jej můžete použít v případě, že primární baterie zemře. V případě zařízení s iOS jsou kryty s možností dobíjení baterie, což může být také dobrým řešením.
Zkuste optimalizovat životnost baterie tím, že vypne zbytečné procesy a vstupu do nouzového režimu letu, kdy je mobilní telefon síť není k dispozici. Můžete také vypnout zvuk, vibrovat tóny a další vlastnosti zdrojů, hlad, jako animovaných tapet apod.
Univerzální DDoS Trojan pro Linux
16.7.2014 Viry, Počítačový útok
V únoru 2014 článek byl publikován na populární ruské internetové stránky pod kuriózním názvem - Studium na BillGates Linux botnet . Je popsáno Trojan s dostatečně univerzální DDoS funkčnosti. Schopnost, že jsme našli nejzajímavější byla schopnost Trojana provádět DNS Amplification typu útoků. Kromě toho, že vycházelo z článku vyplývá, že Trojan měl propracovanou modulární strukturu, něco, co jsme dosud viděli ve světě Linuxu malware před.
Tento článek také odkaz pro stažení všech souborů Trojan (získaný přímo z infikovaného stroje) - což je to, co jsme udělali.
Archiv, který jsme stáhli obsahoval následující soubory, které se podle autora článku, byly všechny moduly stejného Trojan:
atddd;
cupsdd;
cupsddh;
ksapdd;
kysapdd;
skysapdd;
xfsdxd.
Soubory cupsdd a cupsddh jsou detekovány produkty společnosti Kaspersky Lab jako Backdoor.Linux.Ganiw.a; atddd a zbývající soubory jsou detekovány jako Backdoor.Linux.Mayday.f.
Archiv se soubory také obsahoval konfigurační soubor pro cron - Plánovač úloh Linux. V tomto případě je nástroj se používá Trojan jako prostředek, jak se dostat oporu v systému. Trojan používá cron provádět následující úkoly:
Jednou za minutu - ukončení procesů všech aplikací, které mohou zasahovat do jeho provozu: iptables, nfsd4, profild.key, nfsd, DDosl, lengchao32, B26, codelove, node24.
Přibližně jednou za devadesát minut - ukončit všechny své procesy: kysapd, atdd, skysapd, xfsdx, ksapd
Přibližně jednou za dvě hodiny - stáhnout všechny jeho součásti do / etc adresáře z http://www.dgnfd564sdf.com:8080/ [název_modulu] (název_modulu = název modulu Trojana, např. cupsdd), po vymazání těchto souborů z / etc adresáře
Poté, co v roce devadesát minut - obnovit všechny jeho moduly
Každá minuta - purge systémové protokoly a bash historii příkazů a spouštění chmod 7777 [název_modulu]
Při následné analýze souborů, nenašli jsme žádný kód odpovědné za ukládání konfigurační soubor pro cron. S největší pravděpodobností byl soubor ručně stáhnout na počítač oběti podle cybercriminal po získání vzdáleného přístupu k systému.
Backdoor.Linux.Mayday.f (atddd)
Soubor atddd je backdoor navržen tak, aby provádět různé typy DDoS útoků na servery zadané. Jak bylo uvedeno výše, výrobky Kaspersky Lab detekovat jako Backdoor.Linux.Mayday.f. Soubory kysapdd, skysapdd, xfsdxd, ksapdd jsou téměř přesné kopie atddd - s jedinou výjimkou, která je popsána dále v textu.
Backdoor začíná svůj provoz voláním funkce démona (1, 0), nadále běží na pozadí a přesměrování standardního vstupu, výstupu a chyby na / dev / null
Dále atddd shromažďuje příslušné informace o systému, včetně:
verze systému (zavoláním uname ())
počet procesorových jader a jejich hodinové sazby (převzato z / proc / cpuinfo)
Zatížení CPU (převzato z / proc / stat)
Zatížení sítě (data pro rozhraní s "eth" předpona převzaty z / proc / net / dev)
Výše uvedené informace jsou uloženy v uvedené struktuře g_statBase.
Poté, backdoor dešifruje řetězec určující adresu IP C & C serveru a číslo portu. Šifrovací algoritmus použitý, je velmi jednoduchý: šifrovaný řetězec je přijata znak po znaku, s 1 přidána do ASCII kódu znaku, pokud jeho číslo je liché a odečte se od něj, pokud číslo postavy je dokonce. V důsledku toho, řetězec "3/3-2/4-269-85" se získají IP-адрес "202.103.178.76", zatímco "2/82" znamená číslo portu "10991".
Po tomto, atddd čte konfigurační soubor fwke.cfg, který je umístěn ve stejné složce se škodlivého programu. Informace z konfiguračního souboru je uložen ve struktuře g_fakeCfg. Pokud soubor neexistuje, je backdoor pokusy vytvořit a uložit následující údaje v něm:
1. řádek: 0 / / příznak, je-li 1 pak začne útok, je-li 0, pak ukončit útok
2. řádek: 127.0.0.1:127.0.0.1 / / rozsah odchozích IP adres
3. řádek: 10000:60000 / / odchozí rozsah portů pro útok
4. řádek: prázdný řádek název / / domény v případě DNS povodně (viz níže)
Tato informace je následně odeslán na server C & C a mohou být aktualizovány pomocí příkazu z C & C.
Dále, backdoor vytvoří nové vlákno, CThreadTaskManager :: ProcessMain (), ve kterém příkazy k zahájení útoku a ukončit útok se dal do provádění fronty. Poté, nový podproces je vytvořen - CThreadHostStatus :: ProcessMain (). V tomto vlákně, údaje o procesoru a zatížení sítě se aktualizuje každou sekundu a může být následně odeslán na server C & C pokud o to požádá.
Po tomto, 20 vlákna jsou vytvořeny, který číst informace z fronty úloh a, v závislosti na informacích číst, zahájí útok nebo ukončit to. Nicméně, některé závity nesmí být použit v útoku, pokud příslušná C & C příkaz má parametr (počet vláken, které mají být použity).
Pak malware vstoupí do nekonečné smyčky zpracování zpráv z C & C. Po navázání spojení s C & C, informace o verzi systému a CPU taktovací frekvence, stejně jako údaje ze struktury g_fakeCfg, je poslán do C & C každých 30 sekund.
V odezvě, server měl poslat 4 byty, z nichž první je pořadové číslo příkazu - od 1 do 4.
Dále, pokud má příkaz parametry, C & C pošle další čtyři bajty definující množství dat, která bude odeslána (tj. parametry). Pak parametry sami jsou odeslány; Jejich velikost by měla odpovídat počtu z předchozího C & C reakci.
O každém příkazu ve větším detailu:
0x01. Příkaz k útoku. Parametry definují typ útoku a počet vláken, který bude použit. Typ útoku je definován byte, který může nabývat hodnot od 0x80 až 0x84. To znamená, že 5 typů útoku jsou možné:
0x80 - TCP povodeň. Počet cílový port je odeslán do C & C ve své odpovědi jako parametr. Rozsah Zdrojový port je definován v fwke.cfg. Každý nový požadavek je odeslán z nového přístavu v rozsahu stanoveném v pořadí čísel portů. Cílová IP adresa je také definována v parametrech.
0x81 - UDP povodní. Stejně jako 0x80, ale UDP se používá jako protokol transportní vrstvy.
0x82 - ICMP povodeň. Stejně jako výše, ale přes ICMP.
0x83, 0x84 - dva DNS povodňové útoky. Jediný rozdíl je název domény poslal v žádosti o DNS. V prvním případě, název je generován náhodně, v druhém, je definován v parametru (čtvrtý řádek fwke.cfg). V podstatě, oba útoky jsou podobné 0x81, kromě toho, že portu 53 (standardní port pro službu DNS) se používá jako cílový port.
0x02. Příkaz k ukončení útoku. Hodnota v prvním řádku fwke.cfg se změní na 0 a útok je ukončen.
0x03. Příkaz aktualizovat soubor fwke.cfg. Reakce také strukturu podobnou g_fakeCfg, údaje, ze kterých se používá k vytvoření nového souboru fwke.cfg.
0x04. Příkaz k odeslání stavu aktuálního příkazu v provedení na serveru C & C.
Kromě výše uvedeného, backdoor obsahuje několik prázdných metody (bez jakéhokoliv kódu), které mají podivné názvy: CThreadAttack :: EmptyConnectionAtk, CThreadAttack :: FakeUserAtk, CThreadAttack :: HttpAtk. Zdá se, že malware spisovatel měl v plánu rozšířit funkčnost škodlivého programu, a to je testovací verze, spíše než finální verze. Soubor cupsdd, které je uvedeno níže, poskytuje potvrzení tohoto.
Soubory kysapdd, skysapdd, xfsdxd, ksapdd jsou téměř identické kopie atddd, s výjimkou, že obsahují různé adresy serveru C & C: 112.90.252.76:10991, 112.90.22.197:10991, 116.10.189.246:10991 a 121.12.110.96:10991 , v tomto pořadí. Jména jejich konfigurační soubory jsou také odlišné: fsfe.cfg, btgw.cfg, fake.cfg, xcke.cfg, resp.
To znamená, že v rozporu s naším očekáváním, že soubory atddd, kysapdd, skysapdd, xfsdxd, ksapdd nejsou moduly jednoho kusu malware, ale spíše různých kopií stejného Trojan, každý spojující jeho vlastní C & C serveru. Nicméně, toto není nejvíce zvláštní část zdaleka.
Backdoor.Linux.Ganiw.a (cupsdd)
Stejně jako soubory popsaných výše, tento soubor je backdoor navržen tak, aby vykonávat různé typy útoků DDoS. Nicméně, cupsdd je podstatně více funkcí a sofistikovanější, než jeho "kolegové", i když v místech jeho kód je velmi podobný tomu nalezený v atddd.
Backdoor začíná svůj provoz o inicializaci proměnných, které potřebuje z řetězce "116.10.189.246:30000:1:1: h: 578856:579372:579888" (oddělovač - ":"), který je nejprve dešifruje pomocí algoritmu RSA. Řetězec obsahuje následující proměnné:
IP adresa C & C serveru - g_strConnTgt = 116.10.189.246
g_iGatsPort = 30000 - Port C & C serveru
g_iGatsIsFx = 1 a g_iIsService = 1 - vlajky použity později
g_strBillTail = h - postfix pro název souboru, který bude klesl (viz níže)
g_strCryptStart = 578.856, g_strDStart = 579.372, g_strNStart = 579888 - odkazy na údaje RSA (šifrovaný řetězec a klíčové)
Dále, malware kapky a spustí soubor, který je umístěn na posunu 0xb1728 od začátku původního souboru, a je 335872 bajtů ve velikosti, za předpokladu, že soubor není již spuštěna. Malware zkontroluje, zda soubor běží a snaží svázat socket 127.0.0.1:10808. Je-li pokus úspěšný, znamená to, že soubor není spuštěn, a je třeba ji upustil a popraven.
Pokud soubor je již spuštěna, její proces, jehož PID lze nalézt v souboru / tmp / bill.lock, je ukončen (kill (pid, 9)). Pak je soubor klesla stejně, nahradí stávající kopie.
Název souboru, který je zrušen je generován z názvu aktuálního souboru, který je spuštěn + postfix z proměnné g_strBillTail. V našem případě soubor byl jmenován cupsddh a byl umístěn ve stejné složce s kapátkem.
Po tomto, současný proces vidličky a dítě proces volá funkci systému ("/ cesta / k / cupsddh"), který vykonává soubor klesl.
Dále, funkce démon (1, 0) se nazývá, pro stejné účely jako v případě vzorku popsaného výše (atddd).
Poté, malware zvládá situaci, pokud by byla cupsdd dříve provedena a je v současné době aktivní. Za tímto účelem se zkontroluje, zda soubor / tmp / gates.lock existuje. Pokud to neexistuje, aktuální proces je ukončen (exit (0)). Pokud ne, soubor (/ tmp / gates.lock) je vytvořen a PID současného procesu je zapsán do něj.
Pak, když vlajka g_iIsService == 1, Backdoor si klade ke spuštění při spuštění systému tím, že vytvoří následující skript s názvem DbSecuritySpt v / etc / init.d /:
#! / Bin / bash
/ cesta / k / cupsdd
Malware také vytváří symbolické odkazy na skript v / etc / rc [1-5] .1/S97DbSecuritySpt
Dále, malware přečte konfigurační soubor conf.n (pokud existuje), ze stejné složce jako ten, ve kterém se nachází cupsdd. První 4 bajty souboru definovat velikost dat, která následuje. Všechna data jsou uložena ve struktuře g_cnfgDoing.
Pak malware přečte soubor obsahující příkazy - cmd.n. Formát je stejný jako v conf.n. Data jsou uložena ve struktuře g_cmdDoing.
Poté, malware získá všechny potřebné informace o systému, včetně:
Název operačního systému a verze jádra (např. Linux 3.11.0-15-generic), voláním uname ()
CPU taktovací frekvence, vzít z / proc / cpuinfo
Počet jader CPU, odebraných z / proc / cpuinfo a zatížení CPU, převzaté z / proc / stat
Zatížení sítě, převzato z / proc / net / dev
Pevný disk velikosti v MB, převzato z / proc / meminfo
Informace o síťových rozhraních, odebraných z / proc / net / dev
Všechna data jsou uložena ve struktuře g_statBase.
Dále, nový proud, CThreadTaskGates :: ProcessMain, je vytvořen, ve kterém jsou tyto příkazy zpracované:
0x03. DoConfigCommand (). Aktualizujte konfigurační soubor conf.n.
0x05. DoUpdateCommand (). Začít nové vlákno, CThreadUpdate :: ProcessMain, ve kterém aktualizace jednou z jeho součástí. Příkaz přijímá číslo od 1 do 3, jako parametr. Každá z těchto čísel je spojena s jedním z následujících řetězců:
1 - "Alib" - soubor / usr / lib / libamplify.so
2 - "Bill" - klesl modul (cupsddh)
3 - "Gates" - kapátko (cupsdd)
V závislosti na parametru, jedna z komponent škodlivý program je aktualizován. Aktualizace se spustí vysláním 6 bajtů, které obsahují řetězec "EF76 # ^" k serveru C & C, následuje jeden z řetězců, uvedených výše (v závislosti na parametru).
C & C reaguje tím, že pošle 4 bajty obsahují délku (v bajtech) souboru, který bude převedena další. Pak C & C přenáší samotný soubor v 1024 bajtů paketů.
Za prvé, soubor je uložen v adresáři / tmp pod náhodným jménem se skládá z číslic. Pak, v závislosti na souboru, který byl přijat, existující soubor cupsdd (nebo cupsddh) nahrazuje nebo soubor se zkopíruje do / usr / lib / libamplify.so
Dále, dočasný soubor bude odstraněn z / tmp, a příkaz chmod slouží k nastavení 755 oprávnění k výslednému souboru. Poté se v případě, že aktualizace cupsddh, aktivní proces je ukončen a nový soubor je vypuštěn. V případě aktualizace cupsdd, závěrečná etapa (od kopírování souboru z / tmp) se provádí cupsddh, ke kterému je příslušný příkaz odeslán.
0x07. DoCommandCommand (). Napište nový příkaz cmd.n.
0x02. StopUpdate (). Zavřít aktuální spojení, která byla založena za účelem aktualizace modulů.
Dále, backdoor spustí několik vláken, ve kterých se současně provádí několik dalších operací:
CThreadClientStatus aktualizuje údaje o procesoru a zatížení sítě ve struktuře g_statBase každou sekundu.
CThreadRecycle odstraňuje dokončené úkoly z fronty.
CThreadConnSender čte příkazy z fronty a předává je do cupsddh modulu přes TCP spojení s 127.0.0.1 na portu 10808. V reakci obdrží stav jejich provedení.
CThreadMonBill kontroluje, zda modul cupsddh běží jednou za minutu. Pokud ne, spadne a spustí jej znovu.
CThreadLoopCmd čte příkazy z g_cmdDoing (soubor cmd.n) a provádí jejich pomocí systémového volání (cmd).
Dále, hlavní vlákno vstoupí do smyčky příjem a zpracování příkazů ze serveru C & C. Existují dvě možnosti, v tomto případě, v závislosti na g_iGatsIsFx vlajky:
Pokud je nastaven příznak (== 1), malware jednoduše používá nové vlákno poslat informace o systému a aktuální konfiguraci z g_cnfgDoing na C & C a čeká na příjem příkazů v reakci, jako vzorku (atddd) je popsáno výše;
Pokud není nastaven příznak, pak komunikační relaci je iniciována C & C. Jinými slovy, malware čeká na C & C se připojit a začne přenášet data vyšší pouze tehdy, pokud bylo spojení navázáno uvedené.
Příkazy přijaté od C & C jsou rozděleny do dvou frontách: buď pro provedení v současném modulu (v závitu CThreadTaskGates popsaných výše), nebo pro předání do cupsddh modulu (závit CThreadConnSender).
Backdoor.Linux.Ganiw.a (cupsddh)
Soubor je nabitý UPX. Poté, co byl rozbalen, volá daemon (1,0). To vytvoří soubor / tmp / bill.lock, v němž ukládá PID aktuálního procesu. cupsddh ukládá systémová data ve struktuře g_statBase, který je totožný s tím, že používá cupsdd.
Dále vyplní se struktura g_provinceDns s IP adresy serverů DNS převede na binární data v síťovém pořadí bajtů pomocí funkce inet_addr (), přičemž data z pole řetězců g_sProvinceDns (offset v rozbaleného souboru: 0x8f44с, velikost 4608 bajtů).
cupsddh spustí příkaz "insmod / usr / lib / xpacket.ko" při pokusu o načtení modulu jádra do jádra. Nicméně, soubor není přítomen na "čistých" systémů a malware nedává žádný pokus, aby si jej stáhnout nebo získat ji jiným způsobem.
Další data ze souboru / usr / libamplify.so (jak se ukázalo, není knihovna, ale ještě jeden konfigurační soubor) je načten do struktury g_AmpResource. Soubor má následující formát: 1. dword je počet DWORD, které následují. Zdá se, že obsahuje seznam IP adres DNS serverů, které jsou v současné době relevantní, tj. těch, vhodné pro typ DNS Amplification DDoS útoky.
Poté, modul vytvoří dvě vlákna: CThreadTask a CThreadRecycle. Bývalý vykonává příkazy z fronty, obsahující příkazy, které přišly z cupsdd modulu. Ten odstraní příkazy, které byly provedeny. Dále, hlavní vlákno váže socket 127.0.0.1:10808 a vstoupí do nekonečné smyčky, přijímá příkazy od cupsdd modulu a uvedení příkazy přijaté do výše fronty.
Následující příkazy jsou možné:
0x01. Začátek útoku podle parametrů obdrželi. Podívejte se na podrobnější popis níže.
0x02. Ukončit aktuální útok, nastavením příslušného příznaku.
0x03. Aktualizace aktuální konfiguraci ve struktuře g_cnfgDoing, který se používá při útoku. Také, aktualizovat stávající místní MAC adresy, stejně jako MAC adresu a IP aktuálního brány ve struktuře g_statBase.
0x05. Závěrečná fáze aktualizace cupsdd modul (viz výše).
Jsou dva hlavní způsoby útoku možná: normální režim a režim jádra.
Režim jádra
Tento režim používá pktgen , paketový generátor kernel-level zabudovaný do Linuxu. Jeho výhodou je to, že útočník provoz je vytvořen s největší možnou rychlostí pro danou síťového rozhraní. Kromě toho, že pakety vytvořené tímto způsobem, není možné detekovat běžnými sniffers jako např. standardní tcpdump, protože pakety jsou generovány na úrovni jádra.
Generátor paketů je řízen pomocí sady scripts / konfigurační soubory v adresáři / proc / net / pktgen, ale modul pktgen musí být nejprve vloženy do jádra vyvoláním příkazu "modprobe pktgen". Nicméně, jsem nenašel žádné takové hovory. Zdá se, že volání "insmod / usr / lib / xpacket.ko" je používán místo toho, ačkoli, jak již bylo uvedeno výše, soubor chybí ze systému ve výchozím nastavení. Výsledkem je, že v režimu jádra není funkční v této verzi malware.
Nicméně, malware pokusí zapsat několik souborů do / proc / net / pktgen složky, a to:
. souboru / proc / net / pktgen / kpktgend_% d pro každé jádro procesoru, kde% d je jádro číslo, počínaje 0 Obsah souboru je následující:
rem_device_all
add_device eth% d
max_before_softirq 10000
. souboru / proc / net / pktgen / eth% d pro každé jádro procesoru, kde% d je jádro číslo, počínaje 0 Obsah souboru je následující:
Počet 0
clone_skb 0
Zpoždění 0
TXSIZE_RND
min_pkt_size% d
max_pkt_size% d
IPSRC_RND
src_min% s
src_max% s
UDPSRC_RND
udp_src_min% d
udp_src_max% d
dst% s
udp_dst_min% d
udp_dst_max% d
dst_mac% 02x% 02x% 02x% 02x% 02x% 02x / / MAC adresa brány z g_statBase
is_multi% d
multi_dst% s / / pokud existuje několik adres, které mají být použity v útoku (tj. v případě, že hodnota v předchozím řádku není rovno 0), ale jsou uvedeny v těchto řádků, jejichž počet odpovídá předchozí parametr
pkt_type% d
dns_domain% s
syn_flag% d
is_dns_random% d
dns_type% d
is_edns% d
edns_len% d
is_edns_sec% d
Hodnoty většiny pktgen parametry jsou předávány z cupsdd pomocí příkazových parametrů.
soubor / proc / net / pktgen / pgctrl, který obsahuje řetězec "start".
Normální útok
Stejně jako v případě atddd, normální režim útok používá raw sokety.
Následující typy útoku je možné v tomto režimu:
CAttackSyn - TCP-SYN flood.
CAttackUdp - UDP oken (jako je tomu v případě atddd)
CAttackDns - DNS oken (jako je tomu v případě atddd)
CAttackIcmp - ICMP oken (jako je tomu v případě atddd)
CAttackCc - HTTP povodní.
CAttackAmp - DNS Amplification.
Posledním typem útoku na výše uvedeném seznamu je odlišná v tom pakety jsou odesílány do zranitelných DNS servery, s cílem útoku zadanou IP adresou odesílatele. V důsledku toho, cybercriminal odešle malý paket s požadavkem na DNS a DNS server reaguje na cíl útoku s výrazně větší paketu. Seznam ohrožených DNS serveru je uložen v souboru libamplify.so, který je zapsán na disk po příslušném příkazem z C & C.
Post Scriptum. BillGates v1.5
Tato verze Trojan se objevil o něco později a je zřejmě v současné době nejnovější. V podstatě se jedná o stejný cupsdd, jen trochu "ve tvaru nahoru". Celkově lze říci, že je logika v kódu, a existuje několik nových funkcí.
Nejvýznamnější změny byly provedeny v modulu Gates, tj. soubor cupsdd. Nyní má tři provozní režimy. Volba režimu je založena na složku, ze které soubor je zahájena. Konkrétně, pokud je spuštěn z adresáře / usr / bin / pojie, režim pak sledování je povoleno, jinak modul pracuje v režimu instalace a aktualizace, které je později nahrazen režimu, ve kterém kontroluje Bill modul.
Instalace a způsob aktualizace.
Za prvé, modul ukončí svůj pracovní proces v režimu monitorování, pokud existuje. Jeho PID je uložen v souboru / tmp / moni.lock.
Dále je přeinstaluje a znovu spustí Bill modulu.
Dále, pokud proces pracuje v "ovládající Bill modul" režim existuje, že proces je ukončen. Jeho PID je uložen v souboru / tmp / gates.lock.
Pokud je nastaven příznak g_iIsService (je definována stejným způsobem jako v předchozí verzi), modul nastaví sám spouštět při startu systému stejným způsobem jako před (v předchozí verzi).
Dále modul zapíše svou cestu k souboru / tmp / notify.file a pak zkopíruje do souboru / usr / bin / pojie. Poté se spustí jeho kopii, což je, samozřejmě, nastaven na spuštění v režimu monitorování, a pak změní svůj provozní režim pro ovládání modulu Bill.
Režim sledování.
Zapíše PID aktuálního procesu do souboru / tmp / moni.lock. Dále, to začne dvě vlákna - jedno sledovat Bill modul a druhý sledovat modulu Gates pracující v řízení režimu Bill. Pokud jeden z těchto procesů je v současné době neběží, příslušný soubor je vytvořen a znovu zahájena.
Ovládání režimu modulu Bill.
Činnost modulu Gates jsou přesně stejné, jako tomu bylo v předchozí verzi Trojan (po instalaci modulu Bill a inicializaci příslušné proměnné a struktury Trojan).
Abychom to shrnuli, v nové verzi Trojan jeho autoři přidali trochu "robustnost", aniž by se žádné významné změny funkčnosti.
Je také třeba poznamenat, že pevně IP adresa serveru C & C zůstala stejná (116.10.189.246) v této verzi, ale číslo portu změnilo - to je nyní 36008 místo 30000 v předchozí verzi.
Shylock / Caphaw malware Trojan: Přehled
16.7.2014 Viry
Nedávno Kaspersky Lab přispěl k alianci činnými v trestním řízení a průmyslovými organizacemi, aby provedla opatření proti internetových domén a serverů, které tvoří jádro moderní cybercriminal infrastruktury, která používá Shylock Trojan napadnout on-line bankovních systémů po celém světě.
Shylock je bankovnictví Trojan, který byl poprvé objeven v roce 2011. Využívá man-in-the-browser útoky, jejichž cílem je ukrást bankovní přihlašovací údaje z počítačů klientů z předem daného seznamu cílových organizací. Většina z těchto organizací jsou banky, které se nacházejí v různých zemích.
Produkty Kaspersky Lab detekuje Shylock malware jako Backdoor.Win32.Caphaw a Trojan-Spy.Win32.Shylock.
Zjistili jsme, tento malware obecně od konce srpna 2011, jako Backdoor.Win32.Bifrose.fly. Specifická detekce tohoto samostatného rodu byl přidán v únoru 2012 Od té doby jsme pozorovali velmi málo detekce -. Asi 24,000 pokusy infikovat počítače chráněné produkty společnosti Kaspersky Lab na celém světě.
Jedná se o velmi skromné čísla, a to zejména ve srovnání s jinými neslavný bankovní malware, jako je Zeus, SpyEye, Carberp které byly vytvořené (a, v případě některých z nich, jako je Zeus, stále generovat), desítky či stovky tisíc detekce. Samozřejmě, že tato čísla nejsou nám říct všechno o tom, jak rozšířený a efektivní Shylock je, protože Kaspersky Lab "vidí" pouze část z celkového počtu uživatelů PC - pouze ti, kteří používají naše výrobky.
Nízká popularita neznamená, že Shylock méně nebezpečné ačkoli. Sada škodlivých technik využívá není o nic méně nebezpečné, než ten, který používá jiné podobné malware. Je schopen aplikovat své tělo v několika běžících procesů, má nástroje, aby se zabránilo detekci anti-malware software, používá několik pluginů, které přidávají další škodlivé funkce, jejichž cílem je obejít anti-malware software, sbírá hesla pro FTP servery, se šíří sám prostřednictvím poslů a servery, umožňuje vzdálený přístup k infikovaným strojem, video chytil a samozřejmě webové injekce.
Tato poslední funkce se používá k ukrást přihlašovací údaje pro online bankovnictví tím, že napíchne falešné zadávání dat pole do webové stránky vloženého v prohlížeči oběti.
Po celou dobu, co jsme viděli dva poměrně velké vrcholy v objasněnosti tohoto malware.
První z nich byla v listopadu 2012 a druhý byl v prosinci 2013.
Geografie 11. 2012 vrcholu byl následující:
Spojené království
Itálie
Polsko
Ruská federace
Mexiko
Thajsko
Írán
Turecko
Indie
Španělsko
Výše uvedená tabulka ukazuje top 10 zemí wheremost byly registrovány útoky pomocí Shylock malware. O něco více než rok později, v prosinci 2013 obrázek se dramaticky změnila.
Brazílie
Ruská federace
Vietnam
Itálie
Ukrajina
Indie
Spojené království
Bělorusko
Turecko
Tchaj-wan
Jak tyto tabulky ukazují, že zločinci za tímto malware definitivně přestala platit tolik pozornosti vyspělých e-peněžních trzích ve Velké Británii, Itálii a Polsku ve prospěch aktivně rozvíjejících se trzích Brazílie, Ruska a Vietnamu. Je to slso zajímavé, že oba vrcholy se stalo v pozdním podzimu do začátku zimního období, tradiční vysoké maloobchodní sezóně v mnoha zemích po celém světě.
Podle údajů Europolu, tento malware je infikováno více než 30.000 počítačů po celém světě. To je dost velký rozsah způsobit obrovské finanční škody, takže narušení páteřní infrastruktury Shylock je velmi dobrá zpráva.
A ještě lepší zprávou je, že poslední operace, koordinuje národní kriminality agentury ve Velké Británii (NOK), dohromady partnery z oblasti vymáhání práva a soukromého sektoru, včetně - mimo Kaspersky Lab - Europol, FBI, BAE Systems Applied Intelligence, Dell SecureWorks a ve Velké Británii GCHQ (Government Communications Headquarters), aby společně bojovat proti hrozbě. My v Kaspersky Lab byli rádi, přidat náš skromný příspěvek k této činnosti. Globální akce přináší pozitivní výsledky - příkladem je operace zaměřená na Shylock malware.
HackingTeam 2.0: Příběh pokračuje mobil
16.7.2014 Mobil
Více než rok uplynul od vydání našeho posledního článku na HackingTeam, italské společnosti, která vyvíjí a "právní" spyware nástroj známý jako dálkové ovládání systému, nebo krátké, RCS. Do té doby bylo stalo hodně, takže je čas pro aktuální informace o všech našich současných vědeckých poznatků o RCS malware.
Umístění příkazů servery
Jednou z nejdůležitějších věcí, které jsme odkryli během našeho dlouhého a intenzivního výzkumu je specifická funkce, než může být použit pro otisky prstů příkaz servery RCS (C2S). Jsme představila podrobnosti o této metodě na konferenci Virus Bulletin 2013.
Abychom to shrnuli, je-li speciální požadavek odeslán na "neškodný" HackingTeam RCS C & C serveru, RCS C & C reaguje s následující chybová zpráva:
Posuňte z naší VB prezentace s HackingTeam je C2 otisk prstu
Posuňte z naší VB prezentace s HackingTeam je C2 otisk prstu
Za prvé, codename "RCS" je tam v pořádku. Co jsme si nebyli jisti byla "Collector" uvedené v odpovědi. To pravděpodobně odkazuje na skutečnost, že server "shromažďuje" informace z oběti. Použili jsme tento konkrétní metodu otisků skenovat celý adresní prostor IPv4, který nám umožnil najít všechny IP adresy RCS C2S po celém světě a pozemek je pěkně na mapu s vyznačením jejich umístění. Swe označila celkový součet 326 C2S.
Počet C2S Název země
64 SPOJENÉ STÁTY
49 KAZACHSTÁN
35 Ekvádor
32 SPOJENÉ KRÁLOVSTVÍ
24 CANADA
15 Čína
12 Kolumbie
7 POLSKO
7 NOVÝ ZÉLAND
6 PERU
6 INDONÉSIE
6 BRAZÍLIE
6 Bolívie
6 ARGENTINA
5 RUSKÁ FEDERACE
5 INDIE
4 HONG KONG
4 AUSTRÁLIE
3 ŠPANĚLSKO
2 Saúdská Arábie
2 Malajsie
2 ITÁLIE
2 NĚMECKO
2 FRANCIE
2 EGYPT
1 UKRAJINA
1 Thajsko
1 ŠVÉDSKO
1 SINGAPUR
1 RUMUNSKO
1 PARAGUAY
1 MAROKO
1 LITVA
1 Keňa
1 JAPAN
1 IRSKO
1 MAĎARSKO
1 DÁNSKO
1 ČESKÁ REPUBLIKA
1 KYPR
1 Další
1 BELGIE
1 AZERBAIJAN
Mapa ukazuje země místech současného HackingTeam serverů "
Mapa ukazuje země místech současného HackingTeam serverů "
Největší množství zjištěných serverů bylo v USA, Kazachstánu a Ekvádoru. Bohužel, nemůžeme být jisti, že servery v určité zemi jsou používány LEA, že konkrétní země; Nicméně, bylo by to smysl, LEA, aby jejich C & Cs v jejich vlastních zemích, aby se zabránilo přeshraničních právních problémů a zabavení serverů. Nicméně, některé IP adresy byly identifikovány jako "vláda" v souvislosti na základě jejich WHOIS informace a poskytují dobrou indikaci o tom, kdo je jejich vlastníkem.
Mobilní moduly
Byl to dobře známý fakt nějakou dobu, že výrobky HackingTeam včetně škodlivého kódu pro mobilní telefony. Nicméně, tito byli zřídka. Zejména Android a iOS trojské koně nikdy nebyly zjištěny dříve a představoval jeden ze zbývajících prázdných míst v příběhu. Začátkem tohoto roku, jsme objevili řadu mobilních malware modulů pocházejících z HackingTeam pro následující platformy:
Robot
iOS
Windows Mobile
BlackBerry
Všechny tyto moduly jsou řízeny stejným typem konfigurace, což je dobré znamení, že oni jsou příbuzní a patří do stejné produktové řady.
Konfigurační soubor z mobilních modulů RCS
Konfigurační soubor z mobilních modulů RCS
Jistě, náš hlavní zájem v průběhu analýzy mobilních modulů byl v iOS a Android, vzhledem k jejich popularitě. Modul iOS funguje pouze na jailbroken zařízení. Zde je popis hlavních funkcí modulu iOS:
Kontrola Wi-Fi, GPS, GPRS
Nahrávání hlasu
E-mail, SMS, MMS
Výpis souborů
Sušenky
Navštívené adresy URL
Mezipaměti webové stránky
Adresář
Historie volání
Poznámky
Kalendář
Schránky
Seznam aplikací
Na změnu SIM karty
Živé mikrofon
Záběry kamery
Podpora chaty, WhatsApp, Skype, Viber
Přihlásit stisky kláves ze všech aplikací a obrazovek přes libinjection
Rozebrat kód modulu iOS
Rozebrat kód modulu iOS
Android Modul je chráněna DexGuard optimizer / obfuscator, a proto je velmi obtížné analyzovat. Nicméně jsme zjistili (viz níže stopu), že vzorek má všechny funkce modulu iOS uvedené výše - a navíc podporu pro únos informace z následujících aplikací:
com.tencent.mm
com.google.android.gm
android.calendar
com.facebook
jp.naver.line.android
com.google.android.talk
Trace z vzorku RCS Android
Trace z vzorku RCS Android
Mobilní škodlivin
Dalším aspektem zvláštního zájmu pro nás byl způsob, jak se malware vzorky jsou instalovány na mobilních zařízeních. Objevili jsme několik modulů, které infikují mobilní zařízení připojená k infikovaným systémem Windows nebo Mac OS X počítačů.
Jak již bylo uvedeno, modul iOS lze použít pouze na jailbroken zařízení. To je důvod, proč iOS infikuje používá protokol AFP2 přenést. "Infikuje" má pěkné GUI, které umožňuje instalaci v případě, že je fyzický přístup k zařízení, oběti nebo vzdálený přístup správce k infikovaného počítače.
Hlavní okno iOS infikuje
Hlavní okno iOS infikuje
iPhone1, 1 iPhone1, 2 iPhone2, 1
iPhone3, 1 iPhone3, 2 iPhone3, 3
iPhone4, 1 iPhone5, 1 iPhone5, 2
ipad1, 1 iPad2, 1 iPad2, 2
iPad2, 3 iPad2, 4 iPad3, 1
iPad3, 2 iPad3, 3 iPad3, 4
iPad3, 5 iPad3, 6 iPhone
iPhone 3G iPhone 3GS iPhone 4
iPhone 4 iPhone 4 (CDMA) iPhone 4s
iPhone 5 (GSM) iPhone 5 iPad
iPad2 (Wi-Fi) iPad2 (gsm) iPad2 (CDMA)
iPad2 (Wi-Fi) iPad3 (Wi-Fi) iPad3 (gsm)
iPad3 iPad4 (Wi-Fi) iPad4 (GSM)
iPad4
Seznam zařízení Apple podporovaných iOS infikuje
Po úspěšném připojení se infikuje zkopíruje iOS několik souborů na iOS a spustí soubor install.sh:
Část souboru install.sh, který je spuštěn na infikované iOS zařízení
Část souboru install.sh, který je spuštěn na infikované iOS zařízení
Jak bylo uvedeno výše, vzdálený přístup admin na infikovaném počítači, je jedním z možných způsobů, jak malware, které mají být nainstalovány na připojeném mobilním zařízení. Skutečnost, že pouze jailbroken iOS zařízení jsou podporována, může být limitujícím faktorem. Nicméně, to není velký problém, protože útočník může také spustit Jailbreaking nástroj jako Evasi0n přes stejný infikovaného počítače. V tomto případě je jediná věc, která může chránit uživatele ze vzdáleného útěk z vězení a infekce je přístupový kód v mobilním zařízení je. Nicméně, pokud je zařízení odemčeno, pokud je připojen k infikovaného počítače, může být napaden útočníkem.
Dalším zajímavým mobilní infikuje je jeden pro zařízení BlackBerry, který používá JavaLoader aplikaci načíst vzorků malwaru na BB 4,5 a 5,0. Ve svém rozebraném kódu, našli jsme cestu k ladění souboru PNR, který se objeví, aby byly omylem zapomněli autorů. Původní projekt byl umístěn v "C: \ HT \ RCSBlackBerry \ Workspace \ RCS_BB_Infection_Agent \", pokud byl tento malware vytvořen.
Část kódu Blackberry infikuje s cestou k PDB souboru
Část kódu Blackberry infikuje s cestou k PDB souboru
Shrnutí
V této poslední splátky našeho pokračujícího výzkumu jsme odhalili obrovskou infrastrukturu, která se používá ke kontrole malwaru implantáty RCS. Naše nejnovější výzkum identifikovány mobilních modulů, které pracují na všech známých mobilních platforem, včetně těch, Android a iOS. Tyto moduly jsou instalovány pomocí škodlivin - speciální spustitelných souborů pro Windows nebo Mac, které běží na již infikovaných počítačů. Ty se promítají do úplnou kontrolu nad prostředím, v, v blízkosti počítače oběti. Tajně aktivaci mikrofonu a při pravidelné záběry z fotoaparátu zajišťuje konstantní dohled nad cíl - což je mnohem silnější než tradiční pláště a dýky operací.
Nová data se vydáváme na HackingTeam v RCS je velmi důležité, protože to ukazuje úroveň kultivovanosti a rozsahu těchto nástrojů ostrahy. Rádi bychom si myslet, že pokud budeme schopni ochránit naše zákazníky z těchto pokročilých hrozeb, pak budeme jisti, nemají problémy s menšími, více společných hrozeb, jako jsou ty, které představuje zločinci.
Příloha:
MD5s mobilních škodlivin:
14b03ada92dd81d6ce57f43889810087 - BlackBerry infector
35c4f9f242aae60edbd1fe150bc952d5 - iOS infector
MD5s vzorků Android:
ff8e7f09232198d6529d9194c86c0791
36ab980a954b02a26d3af4378f6c04b4
a2a659d66e83ffe66b6d728a52130b72
9f06db99d2e5b27b01113f78b745ff28
a43ea939e883cc33fc766dd0bcac9f6a
a465ead1fd61afe72238306c7ed048fe
MD5s vzorků Windows:
bf8aba6f7640f470a8f75e9adc5b940d
b04ab81b9b796042c46966705cd2d201
1be71818a228e88918dac0a8140dbd34
c7268b341fd68cf334fc92269f07503a
Seznam aktivních C2S na 19.06.2014:
50.63.180. ***
146.185.30. ***
204.188.221. ***
91.109.17. ***
106.186.17. ***
119.59.123. ***
95.141.46. ***
192.71.245. ***
106.187.99. ***
93.95.219. ***
106.187.96. ***
124.217.245. ***
23.92.30. ***
82.146.58. ***
93.95.219. ***
209.59.205. ***
RCS moduly (s použitím jména klasifikační společnosti Kaspersky Lab):
Backdoor.OSX.Morcut
Rootkit.OSX.Morcut
Trojan.OSX.Morcut
Backdoor.Win32.Korablin
Backdoor.Win64.Korablin
Rootkit.Win32.Korablin
Rootkit.Win64.Korablin
Trojan.Multi.Korablin
Trojan-Dropper.Win32.Korablin
Backdoor.AndroidOS.Criag
Trojan-Spy.AndroidOS.Mekir
Trojan.Win32.BBInfector
Trojan.Win32.IOSinfector
Trojan.OSX.IOSinfector
Trojan-Spy.IphoneOS.Mekir
Trojan-Spy.WinCE.Mekir
Trojan-Spy.BlackberryOS.Mekir
Cloud služby: Díry v zabezpečení podnikové sítě
15.7.2014 Hrozby
Mezi nejpopulárnější použití pro cloudové služby patří: ukládání obrazových skenování pasů a jiných osobních dokladů; synchronizace hesla, seznam kontaktů, a databází email / zpráv; vytváření webů; ukládání verzí zdrojových kódů, atd. Při ukládání dat služba cloud-based Dropbox oznámil opravenou chybu v jeho odkaz generátoru, je opět rozpoutala on-line diskuse o tom, jak důležité je šifrování důvěrných dat před nahráním do on-line úložiště, a to i soukromá. No, šifrování souborů (FLE) skutečně chránit důvěrné informace uložené v cloudu, a to i v případě, že jsou slabá místa v řízení přístupu k uživatelským dokumentů s některými cloud storage služby.
Je lákavé si myslet, že si můžete zajistit se proti všem možným rizikům pomocí šifrování dat, než si ji nahrát do úložiště cloud služby, nebo o upuštění od cloudové služby dohromady. Ale je to skutečně pravda? Jak se ukázalo, ne, to není.
Internet je plný doporučení o tom, jak "efektivně využívat cloudových úložišť služby", včetně rad o tom, jak na dálku ovládat PC , monitoru počítače, když jste pryč , správu stahování torrentů , a mnoho dalších věcí. Jinými slovy, uživatelé vytvářet všechny typy mezer samy o sobě. Tyto nedostatky pak mohou být snadno zneužita Trojan, červ, nemluvě cybercriminal, a to zejména v cílených útoků.
Takže jsme se zeptali sami sebe: jak pravděpodobné je, že firemní sítě může být infikován prostřednictvím cloudu?
Na konferenci Black Hat 2013, Jacob Williams, vedoucí vědecký pracovník v CSRgroup Computer Security Consultants, dal prezentaci na použití Dropbox proniknout do firemní sítě. Při provádění penetrační test, zkušební (testovací pero), Jacob použil Dropbox tenký klient nainstalován na notebooku se nachází mimo podnikovou síť k šíření škodlivého softwaru zařízení v této síti.
Jacob poprvé použit phishingu infikovat zaměstnance počítač, a pak vložené škodlivé skripty do dokumentů uložených v cloudu hostil složky notebooku. Dropbox automaticky aktualizována (synchronizovány) infikované dokumenty na všech zařízeních připojených k účtu uživatele. Dropbox není ojedinělá v tomto ohledu: všechny aplikace, které poskytují přístup k oblíbeným cloud souborových služeb mají funkci automatické synchronizace, včetně Onedrive (aka SkyDrive), Google Disk, Yandex Disk, atd.
Když uživatel otevře infikovaný dokument na pracovní stanici umístěné v podnikové síti, jsou škodlivé skripty vložené v dokumentu nainstalován backdoor DropSmack na této stanici - to byl speciálně vytvořený Jacob pro tento pera testu. Jak jeho název napovídá, hlavním rysem DropSmack je, že se používá pro ukládání souborů služby Dropbox cloud jako kanál pro řízení backdoor a úniku firemních dokumentů přes firemní firewall.
Vývojový diagram na Jacob Williams experimentu
V testu pera, Jacob použil úžasně jednoduchý způsob proniknout do firemní sítě - to je zřejmé, mezera!
Také jsme se rozhodli zjistit, jestli zločinci používají Dropbox, OneDrive, Yandex disk nebo Google Disk k šíření malware doopravdy. Shromáždili jsme informace od KSN o instancí malware zjištěných ve složkách cloud-based, které patří k uživatelům produktů společnosti Kaspersky Lab, a zjistil, že infekce, jako jsou tyto byly zjištěny pouze u několika uživatelů: letos v květnu, tak 8700 lidí došlo k infekci v jejich cloud- založené složky. Mezi domácí uživatele produktů společnosti Kaspersky Lab, tyto případy představují pouze 0,42% všech případů malware detekce, a 0,24% pro uživatele firemních produktů.
Měli bychom poukázat na jeden důležitý detail: pokud kus malware je odeslat z jednoho zařízení, budou všechny klienty připojené k infikovaným účtu stáhnout do svého zařízení, a oni budou dělat tak přes HTTPS. I když bezpečnostní řešení detekuje malware ve složce synchronizace a odstraní ji, bude mrak klient, aby stáhnout z mraku v nekonečné smyčce.
Podle dat, která shromažďují, asi 30% malwaru zjištěna v cloudu složkách na domácích počítačích pronikli do těchto počítačů pomocí synchronizačních mechanismů. Pro firemní uživatele, toto číslo dosahuje 50%. To znamená, že infekce mechanismus prokázat Jacob Williams ve své předváděcí malware, to způsobují infekce v reálném životě. Naštěstí jsme se (zatím) zjištěné cílené útoky na trh pomocí ukládání dat cloud-based služeb.
Podíváme-li se do malware, kterou jsme zjistili v cloudu složek v počítačích uživatelů, soubory pro Win32, MSIL, VBS, PHP, JS, Excel, Word a Java ovládat. Je třeba poznamenat, že tam je malý rozdíl mezi firemní a domácí uživatele: pro firemní uživatele, infikované soubory MS Office vyskytují častěji, zatímco domácí uživatelé rovněž čelit jedinečné hrozeb na svých seznamech ve formě škodlivých aplikací pro Android.
TOP 10 verdikty:
Spotřebitel Korporační
1 Email-Worm.Win32.Runouce.b Email-Worm.Win32.Brontok.dam.a
2 Email-Worm.Win32.Brontok.q Virus.Win32.Sality.gen
3 Není-a-virus: AdWare.Win32.RivalGame.kr Virus.Win32.Tenga.a
4 Virus.Win32.Nimnul.a Trojan-Dropper.VBS.Agent.bp
5 Trojan-Clicker.HTML.IFrame.aga Trojan.Win32.Agent.ada
6 Exploit.Win32.CVE-2010-2568.gen Trojan.Win32.MicroFake.ba
7 Virus.Win32.Sality.gen Exploit.Win32.CVE-2010-2568.gen
8 Worm.Win32.AutoRun.dtbv Worm.Win32.AutoRun.dtbv
9 Trojan-Dropper.VBS.Agent.bp Trojan.Win32.Qhost.afes
10 Trojan.Win32.Genome.vqzz Virus.Win32.Nimnul.a
Více často než ne, autoři virů použít cloud storage jako místo pro pořádání jejich malware spíše než platformu pro jejich šíření. Během výzkumu jsme nenarazili na jediný červa nebo backdoor (s výjimkou DropSmack) specificky zaměřený úložiště souborů cloudu. Samozřejmě, že tyto služby se snaží bojovat proti malware, který zabírá úložný prostor v cloudu. Kromě hostování malware ovlivňuje pověst službu, ačkoli cloud služby nejsou formálně zodpovědný za to, co jejich klienti soubory nahrát do úložiště. Pravidelné prověřování všech souborů obsažených v oblaku bude samozřejmě vyžadovat mnoho zdrojů, které služby by se spíše používají k ukládání dat.
V důsledku tohoto výzkumu, jsme dospěli k závěru, že existuje relativně nízké riziko podnikové sítě je infikován prostřednictvím cloud storage: po dobu jednoho roku, pouze 1 z 1000 podnikových uživatelů pomocí služby cloudu rizika infekce. Je třeba mít na paměti, nicméně, že v některých případech může dokonce jeden infikovaný počítač v podnikové síti způsobit značné škody.
Zde jsou některá opatření, které mohou být použity pro ochranu podnikových sítí:
Zpřísnit bezpečnostní nastavení Firewall / IDS, blokovat přístup k oblíbeným on-line skladovacích služeb. Velkou nevýhodou tohoto přístupu je, že to vyžaduje neustálé a pečlivé sledování nových kandidátů blacklist, jak se objeví on-line.
Nainstalujte víceúčelový Security Suite. Musí obsahovat heuristickou a antivirus chování založené, funkce omezení přístupu (HIPS), nástroj pro kontrolu fungování operačního systému (System Watcher nebo Hypervisor), a nástroj, aby se zabránilo zneužívání zranitelnosti, atd. Jakmile nainstalován, Výrobek musí být pečlivě nakonfigurován.
Nezapomeňte, že i nejnáročnější Security Suite je ujít APT útok. Proto je třeba věnovat pozornost, aby kontrolu aplikací (to by měl být nastaven na výchozí popírají). To je možná jeden z nejspolehlivějších nástrojů, které budou blokovat jakýkoliv neznámý software, včetně malwaru šíření během cíleného útoku. Nejtěžším úkolem vznikající při nasazování ovládání aplikace je konfigurace vhodná pravidla tak, aby všechny povolené aplikace mohou být spuštěny a aktualizovány bez problémů. Za tímto účelem, výrobci produktů, které obsahují funkci Control Application vyvinuly specializované nástroje: Aktualizace softwaru prostřednictvím důvěryhodných aktualizace programů, přednastavené programové seznamy povolených včetně všech možných systému a uživatelských souborů, přístup k obrovské cloudových služeb a informačních databází o celé rozmanitosti na bílé listině software.
Ve zvláštních případech, Ovládání aplikace by měly být použity k omezení využívání cloudových klientů v rámci podnikové sítě. Pouze důvěryhodní zaměstnanci by měli mít možnost zahájit aplikace, se kterou chcete synchronizovat cloud složky.
Co se týče sítí s nejpřísnějšími požadavky na bezpečnost, jako jsou řízení elektráren operace a zásobování vodou, které střeží státní tajemství, nebo ovládají obranných zařízení - pro všechny z nich jsme důkladně nedoporučujeme používat pro ukládání souborů cloud-based služeb vůbec.
Nové gTLD, stejné útoky
15.7.2014 Počítačový útok
Počítačoví zločinci po celém světě již začala ukazovat své zbraně a útoky na nové gTLDs, na "generic Top Level Domains" schválený ICANN a nabízené registrátorů, kteří mají zájem o koupi nové jméno domény. Nedávno jsme zjistili, škodlivé aktivity, včetně malwaru a phishingových stránek registrovaných v kořenových domén. klubu,. berlin,. modrá,. počítače,. fotoaparát,. Futbol, odkaz.,. růžové,. zprávy,. cestování, dovolenou. a . xyz.
Nové gTDLS byly nedávno schválila ICANN a registrátoři již je nabízejí jako řešení pro ty, nudit se tradiční . com nebo . org , a kteří chtějí více možností při registraci internetových domén. Měli byste být připraveni vidět webové stránky, jako je " funny.dance "nebo" joe.dentist "nebo dokonce" my.creditcard ".
Podle nTLDStats.com , více než 1,4 milionu domén již byly registrovány pomocí těchto nových gTLDs:
V současné době existuje více než 322 nových domén nejvyšší úrovně poskytované ICANN, mezi nimi nejpopulárnější je. xyz (určený v únoru 2014) , berlin. a klub. (obě jsou v lednu 2014):
Brazilský phishingu a domény squatteři mají zájem především o těchto nových gTLDs, který již registrováno několik nových domén pomocí jména místních značek, jako jsou banky, on-line obchody, a společnosti vydávající kreditní karty. Například:
cielo-seucartaobateumbolao.xyz
megasaldao-americanas.xyz
lojadoricardoeletro.xyz
hsbc.club
santander.club
bradesco.club
ricardoeletro.club
ricardoeletro.computer
ricardoeletro.camera
Tyto domény byly registrovány s úmyslem, že budou použity pro phishingové kampaně, tak to přijde jako žádné překvapení, že údaje zapsané v příslušných "whois" databáze je zcela falešný:
Malware je také zapojen. Jsme si vědomi padouchy hosting své využívají sady v těchto oblastech - Jaderná Exploit balení je v současné době pomocí modré. , růžová, futbol,.. a hlásit. gTLDs, jak poukázal ven bezpečnostní výzkumník Frank Denis.
Ale brazilští protivníci nejsou jediní, kdo se zajímají o nové gTLDs jako angličtina-reproduktory byly představeny v podobných zájmy už začínají podvodné doménu, která prodává mince pro on-line hry, jako je FIFA '14 a další.
Další phishery již zahájily phishingové kampaně, a to i za použití starší domény nejvyšší úrovně, jako je . cestovat (zahájen v roce 2005). Jak můžete vidět v následujícím zneužívané domény, který je hostitelem stránku phishing zaměřený na brazilské bance:
Pokud jste běžný uživatel, být si vědom těchto odkazů uvedených v e-mailových zprávách nebo v sociálních sítích - mohou být stejně nebezpečné jako ostatní odkazy. Pokud jste firma, je to skvělý nápad, aby zahájily proces sledování značky, aby se ujistili, že název vaší společnosti nebo značky nejsou používány v kampaních týkajících se těchto nových TLD.
Uživatelé Kaspersky jsou chráněny proti všem těmto útokům.
Miniduke je zpět: Nemesis Gemina a Botgen Studio
15.7.2014 Viry
2014 aktualizace na jednom ze světově nejvíce neobvyklých APT operací
V roce 2013, spolu s naší partnerskou CrySyS Lab, jsme oznámili náš výzkum na nové APT herec se přezdívá "Miniduke". Stál se z "APT parta" z několika důvodů, včetně:
Jeho použití přizpůsobeného backdoor napsán v assembleru (kteří stále píše v assembleru ve věku Java a. NET?)
Unikátní velení a kontrolní mechanismus, který používá více redundance cest, včetně Twitter účty
Kradmý přenos aktualizací jako spustitelné skryté uvnitř soubory ve formátu GIF (formou steganografie)
Ukázali jsme, že tento herec hrozba použít malware vyvinuta s použitím "old-school" virus psaní techniky a návyky.
Naše analýza se pokračovalo později vědci z kruhy / Lucembursko a několika dalšími AV společností. V poslední době jsme si uvědomili z F-Secure publikace na stejné téma (pod názvem "CosmicDuke").
V důsledku našich publikací od roku 2013, kampaně Miniduke se zastavil nebo alespoň v intenzitě snížil. Nicméně, na začátku roku 2014 se obnovil útoky v plné síle, opět chytil naši pozornost.
Věříme, že je čas odhalit více informací o jejich činnosti.
"Staré" Miniduke v roce 2014
Starém stylu Miniduke implantáty od roku 2013 jsou stále kolem sebe a jsou používány v současných kampaních.
Stále se spoléhá na Twitter účtů, které obsahují hardcoded C & C URL ukazující na velení a řízení serveru. Jeden takový účet byl následující, pozorované v únoru 2014
I když formát C a C URL byl změněn z předchozích variant, kódování algoritmus je stejný. Linka výše, mohou být dekódovány do plného C & C: URL:
hxxp :/ / algherolido.it / img / common / thumb / thumb.php
Tento dekódovaný URL byla aktivní C & C, z nichž byly shromážděny několik aktualizace:
Aktualizace 1:
MD5 93382e0b2db1a1283dbed5d9866c7bf2
Velikost 705536 bajtů
Sestavení So 14.prosince 18:44:11 2013
To Trojan je velký balík, v důsledku použití vlastní balírny. Svazek má zvláštní ladění řetězec uvnitř:
C: \ Projects \ nemesis-Gemina \ nemesis \ bin \ nosiče \ ezlzma_x86_exe.pdb
Balíček provádí menší Trojan modulu:
MD5 b80232f25dbceb6953994e45fb7ff749
Velikost 27648 bajtů
Kompilace timestamp Středa 5.března 2014 09:44:36
C & C hxxp :/ / rtproductionsusa.com / wp-includes / images / smajlíci / icon_gif.php
Další úprava, která byla pozorována na serveru C & C je:
Aktualizace 2:
MD5 7fcf05f7773dc3714ebad1a9b28ea8b9
Velikost 28160 bajtů
Kompilace timestamp Pá 7.března 2014 10:04:58
C & C hxxp :/ / tangentialreality.com / cache / template / yoo_cache.php
Pozorovali jsme jiný podobný Trojan, i když ne v C & Cs přímo:
MD5 edf7a81dab0bf0520bfb8204a010b730,
ba57f95eba99722ebdeae433fc168d72 (klesl)
Velikost 700K, 28160 (klesl)
Kompilace časová razítka So 14.prosince 18:44:11 2013 (nahoře)
Pá 10.ledna 12:59:36 2014 (klesl)
C & C hxxp :/ / store.extremesportsevents.net / index.php? i = 62B ... [stříhat]
Použití balírny Nemesis Gemina v užitečném zatížení Miniduke z nás hledat další vzorky v naší kolekci. To nás vedlo k několika novým poznatkům.
"Nový" Miniduke Malware ("CosmicDuke")
Po expozici 2013, herec za Miniduke Zdá se, že přešel na použití další uživatelský backdoor, který je schopen krást různé typy informací.
Malware spoofs populárních aplikací, jejichž cílem je běžet na pozadí, včetně informací o souboru, ikony a dokonce i velikost souboru:
Hlavní "nový" Miniduke backdoor (aka TinyBaron nebo CosmicDuke) je sestaven s použitím přizpůsobitelné rámec s názvem "BotGenStudio", který má flexibilitu k aktivaci / deaktivaci komponenty, když je bot postaven.
Komponenty mohou být rozděleny do 3 skupin
Vytrvalost
Průzkum
Exfiltrace
Vytrvalost
Miniduke / CosmicDuke je schopno startovat přes Plánovač úloh systému Windows, přes individuální servisní binární, že založí nový proces nastavit ve speciálním klíči registru, nebo se spustí, když uživatel je pryč a Spořič se aktivuje.
Průzkum
Malware může ukrást celou řadu informací, včetně souborů na základě přípony názvu souboru a klíčová slova:
*.exe;*.ndb;*.mp3;*.avi;*.rar;*.docx;*.url;*.xlsx;*.pptx;*.ppsx;*.pst;*.ost;*psw*;*pass*;
*login*;*admin*;*sifr*;*sifer*;*vpn;*.jpg;*.txt;*.lnk; . * Dll,. * Tmp; * obj,. * OCX,.. * Js
Poznámka: jsme přesvědčeni, že "* Sifr *" a "* SIFER *" klíčová slova nad odkazovat na přepis anglického slova "Cypher" v některých jazycích.
Také backdoor má mnoho dalších funkcí, včetně:
Keylogger
Skype heslo zloděj
Obecné informace o síti kombajn
Screen Grabber (drapáky snímky každých 5 minut)
Schránka grabber (drapáky obsah schránky každých 30 sekund)
Microsoft Outlook, Windows Address Book zloděj
Google Chrome heslo zloděj
Google Talk heslo zloděj
Heslo Opera zloděj
TheBat! heslo zloděj
Firefox, Thunderbird heslo zloděj
Pohony / místo / locale / nainstalován software kombajn
WiFi síť / adaptér informace kombajn
LSA tajemství kombajn
Chráněné úložiště tajemství kombajn
Certifikát / soukromých klíčů vývozce
URL Historie kombajn
InteliForms tajemství kombajn
IE Autocomplete, Outlook Express tajemství kombajn
a další ...
Exfiltrace
Malware implementuje několik metod exfiltrate informace, včetně nahrávání dat přes FTP a tři varianty HTTP založené na komunikačních mechanismů. Počet různých konektorů HTTP působí jako pomocníci, se snaží různými způsoby v případě, že jeden z nich je omezena místními bezpečnostními politikami a bezpečnostní software. Tyto tři metody jsou:
Přímé připojení TCP a HTTP relace přes Winsock knihovny
HTTP relace přes Urlmon.dll
HTTP relace pomocí neviditelné instance aplikace Internet Explorer jako objekt OLE
Realizace Specifika
Každá oběť je přiřazeno jedinečné ID, takže je možné, aby se zasadila konkrétní aktualizací pro jednotlivé oběti. Jak již bylo uvedeno, Miniduke / CosmicDuke je chráněn vlastní popletl nakladačem, který silně pohlcuje zdroje CPU po dobu 3-5 minut před předáním provedení do užitečného zatížení. To není jen komplikuje analýzu malware, ale je také používán vypustit prostředky vyhrazené na provedení v emulátory integrovány do bezpečnostního softwaru. Kromě vlastní obfuscator, to dělá těžké použití šifrování a komprese na základě RC4 a LZRW algoritmů resp. Implementace těchto algoritmů má drobné odlišnosti od standardizovaného kódu, který možná vypadá jako chyba v kódu. Přesto věříme, že tyto změny byly zavedeny na účel omyl výzkumných pracovníků.
Jeden z více technicky pokročilé částí Miniduke je ukládání dat. Vnitřní uspořádání malware je šifrována, stlačený a serializovat jako komplikované registru-jako struktura, která má různé typy záznamů, včetně řetězce, celá čísla a interní odkazy.
Kromě toho, Miniduke používá neobvyklý způsob pro ukládání dat exfiltrated. Pokud je soubor nahrán na serveru C & C je rozdělen na malé kousky (~ 3 kb), které jsou komprimován, zašifrována a umístí do nádoby, které mají být nahrány na server. Pokud je zdrojový soubor je dostatečně velká, může být umístěn do několika set různých kontejnerů, které jsou nahrány samostatně. Tyto datové bloky jsou pravděpodobně analyzovat, dešifrovat, vybalil, extrahovány a znovu na útočníka straně. Tato metoda se používá nahrát screenshoty pořízené na počítači oběti. Vytvoření tak složitý skladování může být hlavou; Nicméně, všechny ty vrstvy další zpracování zaručuje, že jen velmi málo výzkumníci dostanou do původních dat a zároveň nabízí vyšší spolehlivost proti chybám v síti.
Oběť geografie a profily
Na základě naší analýzy, oběti Miniduke a CosmicDuke spadají do těchto kategorií:
vláda
diplomatický
energie
telekomunikační operátoři
vojenské, včetně vojenských dodavatelů
osoby podílející se na provozu a prodeje nelegálních a regulovaných látek
Z jednoho ze starého stylu servery Miniduke jsme byli schopni získat seznam obětí a jejich příslušných zemích. Byli jsme schopni identifikovat oběti ve třech z těchto zemí, které patřily do kategorie "vlády" . Zde je seznam zemí postižených:
Austrálie
Belgie
Francie
Německo
Maďarsko
Nizozemí
Španělsko
Ukrajina
Spojené státy
Jedním ze serverů CosmicDuke jsme analyzovali měl dlouhý seznam obětí se datuje do dubna 2012. Tento server měl 265 jedinečné identifikátory přiřazené k obětem z 139 unikátních IP adres. Zeměpisné rozložení obětí byl takto (TOP 10):
84 Gruzie
61 Rusko
34 Spojené státy
14 Spojené království
9 Kazachstán
8 Indie
8 Bělorusko
6 Kypr
4 Ukrajina
4 Litva
Podle naší analýzy, útočníci byli větší zájem o rozšíření své činnosti a naskenovaný IP rozsahy a servery v Ázerbajdžánu, v Řecku a na Ukrajině .
Command a analýzy řízení serveru a hacking nástroje
Během analýzy jsme byli schopni získat kopii jednoho z velení a řízení serverů CosmicDuke. Zdá se, že byl také použit pro jiné operace ze strany členů skupiny, včetně nabourávání do jiných serverech na internetu.
Útočníci nasadili řadu veřejně dostupných hackerských nástrojů na tomto serveru, aby bylo možné skenovat a kompromisní webové stránky oběti organizací, jakož i shromažďování informací pro budoucí cílených útoků.
Zde je seznam hackerské nástroje nalezené na serveru:
Hydra : "velmi rychlý síťový přihlašovací cracker, který podporuje mnoho různých služeb"
Fierce2 : "semi-lehký výčet skener, který pomáhá penetrační testery najít non-souvislý IP prostor a hostitelů zadaný domén na věci, jako je DNS, Whois a Arin"
Kombajn : "Cílem tohoto programu je získat e-maily, subdomény, počítače, jména zaměstnanců, otevřené porty a bannery z různých veřejných zdrojů, jako jsou vyhledávače, PGP klíčových serverů a SHODAN počítačové databáze"
RitX : "Reverse IP Lookup Tool, který bude vám umožní použít IP adresu nebo název domény identifikovat všechny aktuálně domény hostované na serveru pomocí více služeb a různé techniky"
Joomscan : "Vulnerability Scanner OWASP Joomla!"
Ncrack : ". Vysokorychlostní síťový autentizační praskání nástroj Umožňuje rychlé, ale spolehlivé rozsáhlé prověřování více počítačů"
Sqlmap : "open source penetrační testování nástroj, který automatizuje proces detekce a využití SQL injection chyby a převzetí databázových serverů"
WPScan : "Černá skříňka WordPress skener zranitelnosti"
Poznámka: popisy nástrojů byly zkopírovány z jejich veřejných internetových stránek
Uveďte autora a artefakty, spojení s ostatními kampaněmi
Přestože útočníci používají angličtinu na několika místech, což naznačuje, znalost tohoto jazyka, existují určité indikátory, které by naznačovaly, že nejsou rodilí mluvčí angličtiny.
Následující řetězce byly objeveny v bloku paměti připojené k malware komponenty používané pro vytrvalost:
www.mirea.ru
e.mail.ru
gmt4
c: \ documents and settings \ владимир \ Local Settings \ ...
Hostitelé C & C se zdá, že byl napaden útočníky, které nahráli konkrétní Webshell.
Webshell Miniduke útočníků "na hacknuté hostitelů
Pro Webshell, to je zajímavé poukázat na použití Codepage 1251, který se běžně používá k tomu, aby znaky cyrilice. Heslo slouží k ochraně shell, se kontroluje proti MD5 hash " 35c7c2d1fe03f0eeaa4630332c242a36 ". (BTW: můžete ho rozlousknout nám to trvalo několik dní, aby to vyřešit?!)
Možná stojí za zmínku říci, že stejná Webshell byl pozorován v provozu další pokročilé ohrožení herec známý jako Turla, Snake nebo Uroburos.
Dalším zajímavým aspektem je, že ladění cesta struny z malware, které ukazují několik sestavení prostředí nebo skupiny "uživatelů" na "Bot Gen Studio", "Nitro" a "Nemesis Gemina":
c:\botgenstudio\generations\fdd88801\bin\Bot.pdb
c:\botgenstudio\generations\fed14e50\bin\Bot.pdb
D:\SVA\ NITRO \ BotGenStudio \Interface\Generations\80051A85\bin\bot.pdb
d:\sva\nitro\botgenstudio\interface\generations\805f8183\bin\Bot.pdb
d:\production\ nitro \sva\generations\80deae99\bin\Bot.pdb
C:\Projects\ nemesis-gemina \nemesis\bin\carriers\ezlzma_x86_exe.pdb
C:\Projects\ NEMESIS \nemesis-gemina\nemesis\bin\carriers\ezlzma-boost-kitchen_sink_x86_exe.pdb
D:\PRODUCTION\ NITRO \SVA\Generations\80911F82\bin\bot.pdb
Na kompilaci časových základě, jsme byli schopni dát dohromady následující graf ukazující aktivitu útočníků Miniduke / CosmicDuke na "den v týdnu" základě:
Zdá se, že útočníci dodržovat pracovní týden Po-Pá, nicméně, oni pracují o víkendech čas od času.
Pokud jde o aktivity hodin, útočníci zdá se, že funguje mezi 6 hodin ráno a devatenáct hodin GMT. Většina práce se provádí mezi 6 hodin ráno a šestnáct hodin ačkoli.
Závěry
I když se zastavil, nebo v intenzitě po našem oznámení v minulém roce alespoň snížil, útoky Miniduke jsou nyní zpět v platnosti. Starý styl Miniduke malware je stále používán, nasazení dříve známé etapy zabalené s novým obfuscator pozorované s tajemným "Bot Gen Studio" pro "Nitro" a projekty "Nemesis Gemina".
Zatímco starý styl Miniduke implantáty byly použity k cíli většinou vládní oběti, nový styl CosmicDuke implantáty mají nějak odlišné typologii obětí. Nejneobvyklejší je zaměření na jednotlivce, které se zdají být zapojen do provozu a dalšího prodeje z kontrolovaných a zakázaných látek, jako jsou steroidy a hormony. Tyto oběti v NITRO projektu byly pozorovány pouze v Rusku. Jednou z možností je, že "Bot Gen Studio" je malware platformu k dispozici také jako tzv. "právní spyware" nástroj, podobně jako ostatní, jako HackingTeam je RCS, široce používané donucovacími orgány. Další možností je, že to je prostě k dispozici v podzemí a koupil různých soutěžitelů ve farmaceutickém průmyslu špehovat na sebe.
Současně, projekt "Nemesis Gemina" se zaměřuje na vládní, diplomatických, energie, vojenských a telekomunikačních operátorů.
Jednou z velkých otázek, zde je: Jsou útočníci Miniduke stále "elita"? I když staré malware je ještě v použití, nový malware je již čistý assembler; místo, je to napsáno v C / C + +.
Nové vzorky Miniduke / CosmicDuke použít silný Obfuscator. Pro téměř všechny vzorky jsme analyzovali, že skočí na začátek dynamického PE loader - vždy ze stejného "l33t" adresa (je-li rozložení paměti povoleno ji během bot stavby):
Proto, dalo by se říct, že CosmicDuke je stále "l33t"!
V ČR řádil bankovní malware Elenoocka, obětí přibývá
14.7.2014 Viry
Globální analytická síť Threat Sense společnosti Eset zaznamenala v červnu v České republice další vlny útoků, šířících trojského koně typu downloader.
Trojan, popsaný v laboratořích společnosti Eset jako Win32/TrojanDownloader.Elenoocka, představoval koncem června až 40 % ze všech hrozeb, zachycených v Česku. Jeho úkolem je stahovat do napadeného počítače další malware. Elenoocka se šíří v příloze spamových zpráv, které obsahují falešné upozornění banky na údajný dluh. Příloha, maskovaná jako .zip archiv, obsahuje spustitelný .exe soubor.
Spamové kampaně šířící tohoto trojana začaly již v dubnu 2014. Internetoví podvodníci sice nejsou příliš vynalézaví a tyto kampaně mají stále stejnou podobu, ale obětí přesto přibývá. Objevily se první případy, kdy trojan Elenoocka úspěšně nainstaloval do počítače malware, který dokáže krást hesla, předstírat prostředí internetového bankovnictví a přimět uživatele, aby si na mobil nainstaloval údajnou bezpečnostní aplikaci. Výsledkem je příkaz k převodu – typicky jde o částku těsně pod hranicí 200 tisíc korun - který za uživatele zadal a zaslaným kódem potvrdil operátor, najatý zločineckým gangem kdesi na Východě.
Nejfrekventovanější červnovou hrozbou byl v Česku trojan HTML/Fraud. Podobně jako Elenoocka je to hrozba, která je specifická pro ČR.
Globálně nejrozšířenější počítačovou hrozbou je podle Esetu po měsíční přestávce opět červ Win32/Bundpil. Šíří se prostřednictvím přenosných médií a snaží se stahovat ze zadaných adres další malware.
Kaspersky: Přes cloudová úložiště lze infikovat podnikové sítě
11.7.2014 Hrozby
Společnost Kaspersky Lab analyzovala bezpečnostní rizika cloudových služeb pro firmy. Analytici zejména varují, že přes populární cloudové služby lze infikovat podnikové sítě.
V jednom z možných scénářů se kybernetičtí zločinci zmocní laptopu zaměstnance skrze nainstalovaného dropboxového klienta. Pokud se infikované dokumenty umístí do cloudových složek, Dropbox je automaticky zkopíruje na všechna zařízení připojená do podnikové sítě, která stejnou službu využívají. Dropbox přitom není jediný – všechna rozšířená cloudová úložiště, včetně Microsoft Onedrive (dříve Skydrive) a Google Drive, nabízejí funkce automatické synchronizace.
Podle anonymních dat od uživatelů produktů Kaspersky Lab analytici odhadují, že 30 % malwaru v cloudových složkách proniklo do domácích počítačů pomocí synchronizačních mechanismů. U podnikových uživatelů je to až 50 %. U podnikových uživatelů byly hlavně infikovány soubory Microsoft Office, zatímco na domácích počítačích se kromě toho jednalo o škodlivé aplikace pro Android.
Analýza odhalila, že riziko infekce podnikové sítě tímto způsobem je relativně malé – podobné infekci čelí za rok jeden z tisíce podnikových uživatelů. Nickéně jediný ukradený počítač stačí v tomto případě k napadení celé sítě a způsobení velkých škod.
Jak se bránit? Řešit problém konfigurací firewallu je náročné. Účinnější je podle společnosti Kaspersky Lab instalace plně funkční sady bezpečnostního softwaru, včetně heuristické a behaviorální antivirové ochrany, ovládání přístupu (HIPS), kontroly operačního systému (System Watcher nebo Hypervisor) a ochrany před zneužitím zranitelností na každé pracovní stanici v síti. Doporučuje se i řešení pro řízení a ovládání aplikací.
Datové porušení v roce 2013 vystaveno 14% všech platebních karet
9.7.2014 Kriminalita
Finanční instituce zvětralé porušení dat Target a hledají řešení, jak zlepšit bezpečnost, s mnoha Emitenti nyní plánuje zavést EMV debet, podle PULSE. . Výkon Debetní Program se nadále zlepšuje, jak aktivní držitelé karet zvýšit jejich použití debetní Klíčová zjištění patří:
Spotřebitelé i nadále přejít na elektronické platby, s transakcí za aktivní karty vzrostl na 20,1 měsíčně z 19,4 v předchozím roce.
84 procent finančních institucí znovu vydána všechny vystavené karty v reakci na cíli, ve srovnání s pouze 29 procent, které obvykle Reissue všechny odkryté karty jako standardní reakci na narušení.
86 procent finančních institucí uvedlo, že mají v plánu zahájit vydávání EMV karet v příštích dvou letech výrazný nárůst z 50 procent v roce 2012.
Cílová porušení byla zlomovou událostí
Target porušení ovlivnila každá finanční instituce, která se podílela na studii, což ztrátovosti podvod zvýšit v roce 2013 a přesvědčivé emitentů přehodnotit své strategie pro zlepšení bezpečnosti karet v roce 2014, studie zjistila. Celkově 14 procent na všechny debetní karty byly vystaveny v narušení dat v roce 2013, ve srovnání s 5 procent v roce 2012. Výsledné 2013 ztráty podvodu vůči finančním institucím dosáhly 5,7 bazických bodů na podpisu debetní a 0,7 bazických bodů na PIN vrub. Ve srovnání s předchozím rokem, PIN debetní podvody ztrátovosti zůstala konstantní na 0,3 centů za transakci, v průměru, zatímco ceny podpis debetní ztráta vzrostla na 2,2 centů za transakci, a to z 2,0 centů. Emitenti rovněž informoval o podvodu ztrátovosti o použití platební bodu . Mezinárodní transakce způsobila ztrátovosti z 51 bazických bodů ve srovnání s 8 bazických bodů pro domácí card-not-přítomných transakcí a 2 bazických bodů pro domácí karetních transakcí do současnosti. porušení dat zvýšenou pozornost otázkám bezpečnosti debetní karty. Před Target incidentu, mnoho finančních institucí váhali zavázat k EMV kvůli nejistotě kolem prodejce přijímání čipových karet point-of-prodejní terminály, otázky o životaschopnosti obchodního případu pro migraci z magnetických karet na čipové karty, as stejně jako nevyřešené otázky spojené s regulací a podporou pro výběr obchodníka směrování. V mnoha ohledech, Target porušení sloužil jako katalyzátor pro řešení těchto problémů. Ačkoli emitentů hlásit různé názory, pokud jde o obchodní případ pro EMV, studie zjistila, že 86 procent zúčastněných amerických emitentů v úmyslu začít vydávat EMV platební karty v rámci další dva roky a většina začne EMV debetní vydání v roce 2015. nejčastější strategií u finančních institucí je poskytnout držitelům účtů s EMV debetní karty jako součást svého pravidelného karta opětovné vydání cyklu. Migrace na EMV debetních karet začne v vážný v časném 2015 a bude probíhat přibližně tři roky, s mnoha emitenti se pokouší poskytovat čipové karty na jejich mezinárodní cestovatele a těžkých uživatelů debetních předem směny odpovědnosti v říjnu 2015. "Byli jsme docela překvapeni, od objetí přes-the-rady EMV debetní emitentů, "řekl Tony Hayes, partner Oliver Wyman, kteří společně vedl studii. "Došlo k výraznému posunu od vlažného zájmu emitentů v loňském roce do svých aktivních plánů týkajících se provedení EMV počátek v roce 2015." debetní stále roste, protože vydavatelé zaměří se na strategie růstu mimo problémů způsobených narušení dat, debetní pokračovala v růstu trajektorie v roce 2013. Na straně spotřebitele, zlepšení v oblasti primární výkon byl v transakcích za aktivní kartou měsíčně, které vzrostly na 20,1 v roce 2013 z 19,4 v roce 2012. jiné metriky, jako je pronikání, aktivní rychlosti a velikosti vstupenek, zůstal konzistentní rok- v průběhu roku. Tam byl uptick v použití obchodních debetních karet: transakce na aktivní kartu za měsíc vzrostl na 14,5 z 13,5. Pokračování historické trendy, podpis inkasem odmítnuta podílu z celkového počtu transakcí v letech 2012 a 2013, které spadají do 62 procent z 64 procent na spotřebitelské karty , a na 70 procent z 72 procent na vizitky. Jak regulovaných emitentů (s více než 10 miliard dolarů v celosvětových aktiv) obdrží ekvivalentní výměnu za podpis a PIN transakcí, ale vznikají nižší náklady na transakce PIN, velké debetní emitenti nyní upřednostňují transakce PIN. Chcete-li podpořit pokračující růst inkasa, emitenti hlášeny pracovat jak s cílem zlepšit současnou výkonnost a aby jejich debetní nabídka atraktivnější. Výskyt Rewards program odrazil od jeho poklesu po zavedení nařízení II. Protože tradiční debetní odměny programy jsou neudržitelné ekonomiku v prostředí post-Reg II pro regulované emitenty, mnoho finančních institucí se přestěhovali do obchodních nabídkách. Čtyřicet osm procent regulovaných emitentů nyní nabízí debetní odměny programy, a většina z nich využívá obchodník nabídne. Jako vydavatelé nadále podporovat migraci hotovostních plateb kartami, PULSE očekává, že celková spotřeba ATM přirozeně klesat. V roce 2013, výběry z bankomatů dosáhl studijní celé minimum 2,3 za aktivní kartou měsíčně. Velké banky očekávají transakce ATM nadále klesat, ale komunitní banky a družstevní záložny projekt zvýšil objem transakcí Bankomat, jak se snaží řídit provoz z větve na bankomatu.
Policisté musí mít povolení, než dívat se skrz obsah mobil
9.7.2014 Mobil
Devět soudců amerického Nejvyššího soudu se jednomyslně rozhodl, že policisté nemohou prohledávat obsah mobilního telefonu (y) zadržená jedince bez povolení k domovní prohlídce. ohledu na to, bylo rozhodnuto o následující dvě výzvy ze strany dvou jedinců, kteří byli nakonec odsouzen za zločiny na základě informací, které policie objevila v / díky své chytré telefony v době svého zatčení. Ve soudců názoru , studoval digitální obsah telefonu podezřelého bez rozkazu se rovná porušení na jeho čtvrtý pozměňovací návrh ochran proti nezákonnému hledání a zabavení. "Mobilní telefony se liší jak v kvantitativním i kvalitativním smyslu od jiných objektů, které by mohly být prováděny na arrestee je za-syna. Pozoruhodně, moderní mobilní telefony mají obrovskou kapacitu," oni poznamenal. "Předtím, než mobilní telefony, hledání člověka byl omezen fyzikálních vlastností a obecně tvoří jen úzký vniknutí na soukromí., Ale mobilní telefony lze uložit miliony stránek textu, tisíce obrázků, nebo stovky videí." "To má několik Vzájemně související následky na ochranu soukromí, "poukázali. "Za prvé, mobilní telefon shromažďuje na jednom místě mnoho různých typů informací, které odhalují mnohem více v kombinaci, než jakékoliv izolované záznamu. Za druhé, schopnost telefonu umožňuje i jen jeden typ informací, které mají zprostředkovat mnohem více, než bylo dříve možné. Za třetí, údaje o telefon může sahají po celá léta. Navíc prvek všudypřítomnosti charakterizuje mobilních telefonů, ale ne fyzické záznamy. Před deseti lety důstojníci mohli občas narazil na velmi osobní předmět, jako deník, ale dnes mnozí z více než 90% dospělých Američanů, kteří vlastní mobilní telefony, aby o své osobě digitální záznam téměř každém aspektu svého života. " "Digitální data uložená na mobilní telefon nemůže sama o sobě být použity jako zbraň poškodit zatkl nebo vykonat uniknout arrestee je, "Také se rozhodli, a dále rozhodl, že strach činnými v trestním řízení, že usvědčující údaje by mohly být na dálku vyhladili před rozkaz je zajištěn, není opodstatněná, protože mohou jednoduše vyjmout baterii telefonu nebo dát do malých Faradayovy klece, až se dostanou rozkaz. " Nemůžeme popřít, že naše rozhodnutí dnes budou mít dopad na schopnost vymáhání práva v boji proti trestné činnosti. Mobilní telefony se staly důležitými nástroji při usnadňování koordinace a komunikace mezi členy zločineckých podniků, a mohou poskytnout cenné usvědčující informace o nebezpečných zločinců. Ochrana osobních údajů je v ceně, "oni si všimli. "Skutečnost, že technologie nyní umožňuje individuální provádět tuto informaci v ruce neznamená, že informace, o nic méně hodné ochrany, pro které zakladatelé bojovali. Naše odpověď na otázku, co policie musí udělat před hledáním mobilní telefon chytil incident zatčení je tedy jednoduchý, dostat povolení k prohlídce, "došli k závěru.
Kritická Android code-provedení vada ovlivňuje všechny, ale na nejnovější verzi
9.7.2014 Mobil
Vědci IBM objevili kritickou chybu zabezpečení v Androidu 4.3 ( Jelly Bean ) a níže, které by mohly umožnit útočníkovi exfiltrate citlivé informace - pověření, soukromé klíče -. ze zranitelné zařízení zranitelnost se nachází v Android v bezpečném skladování servisní úložiště klíčů, a může být zneužita způsobit zásobníku na bázi přetečení vyrovnávací paměti, který by pak umožnil škodlivý kód, který má být proveden v rámci procesu úložiště klíčů. Využitím tuto chybu, škodlivý aplikace mohla sklidit pověření při použití přístroje Lock a hlavních klíčů, data a hardware-couval klíčové identifikátory od paměti a disku. Mohlo by to také komunikovat s úložiště hardware opěradlem a provádění kryptografických operací (např. svévolné údaje podepisování) jménem uživatele, výzkumníci zaznamenali. ale, aby byl schopen to udělat, aplikace bude muset obejít Androidu DEP funkce ochrany ad ASLR, stejně jako zásobník Kanárské ostrovy a kódování. když je to vůbec možné, dobrou zprávou je, že výzkumníci IBM neviděli tato chyba zabezpečení se využívá ve volné přírodě ještě. Zranitelnost byla objevena loni v září, a okamžitě . zveřejněny na bezpečnostní tým Android oprava pro chybu byl zařazen do nové verzi Android (4.4 - Kitkat ) o několik měsíců později, takže pokud jste aktualizovali operační systém, mohlo by to být dobrý čas to udělat. Jak 1. června 2014 procento uživatelů, kteří používají Kitkat je kolem 13,5 procenta.
Podívejte se na Interflow, platformy pro výměnu informací hrozba Microsoft
9.7.2014 Zranitelnosti
V posledních několika letech, tam byl jeden konstantní volání z téměř všech účastníků v informační bezpečnosti společenství: Výzva k spolupráci. Ale to se snadněji řekne, než udělá - je třeba, aby spolupráce vzájemně prospěšná, a především snadné.
Microsoft nedávno oznámil soukromou náhled Microsoft Interflow, platforma pro výměnu bezpečnostní a informační hrozba pro analytiky a výzkumníky, kteří pracují v počítačové bezpečnosti, a věří, že tento projekt klíšťata obou zmíněných boxů. "Interflow poskytuje zabezpečení a ohrožení informací strojově čitelné formát, který umožňuje integrovat do stávajících nástrojů, "Jerry Bryant, vedoucí senior bezpečnostní stratég, Microsoft Trustworthy Computing, řekl Help Net Security. "Firewall a IDS / IPS zařízení jsou toho dobrým příkladem. Pokud uživatel Interflow má vysoce důvěryhodný zdroj známých škodlivých adres URL, může se rozhodnout, zda se tok krmiva do svého firewallu prostřednictvím konektoru automaticky zablokovat přístup na tyto stránky bez jakéhokoliv zásahu člověka . " Jejich cílem je umožnit a usnadnit další výměnu bezpečnosti a informace o hrozbách v celém průmyslu, a uvolnit cestu pro zabezpečení automatizace end-to-end, které považují za důležité, aby držet krok s vyvíjejícím se hrozeb. "Máme v úmyslu na loď Interflow s několika konektory pro většinu běžných nástrojů již v krabici a bude spolupracovat s našimi partnery, náhled identifikovat další konektory a transformace, "řekl Bryant. "Kromě toho jsme podporovat komunitu sdílet všechny konektory a transformuje vytvářejí s ostatními." "Sdílení dobré hrozbách dělá ekosystém bezpečnější, což prospívá všem," podotkl. "Navrhli jsme Interflow speciálně k tomu, aby více obousměrnou výměnu v průmyslu a důrazně vyzýváme organizace začít tím, že se dělí o své lze sdílet data, hrozeb. Umožňujeme tak prostřednictvím aplikace Excel, jako jsou datové Průvodce importem, který odstraňuje složitost transformace dat do STIX dokument. " Kromě Stix, Interflow také obsahuje další specifikace komunitní řízený, jako je TAXII a CybOX. "Sběr a analýza se liší od události k události. Klíčovým faktorem však je, že jakmile indikátor je identifikován a přivádí do Interflow, ochrana se může stát téměř v reálném čase pro všechny partnery sdílení, "řekl. Účastníci se mohou svobodně rozhodnout, jaké údaje, které chcete sdílet, a oni mohou také nastavit úroveň důvěryhodnosti pro data, které dostávají. (Mimochodem, organizace Incident Response, jako jsou počítačové havarijní připravenosti týmů, jsou více než srdečně zváni k účasti.) "Interflow umožňuje postavit vlastní" seznamy hodinky "odfiltrovat data, která jsou pro ně důležité. Seznam hodinky mohou se skládají z věcí, jako jsou rozsahy IP adres nebo ASN. Jak Interflow je navržen tak, aby konzumovat a zpracovávat velké množství dat, sledovat seznamy jsou klíčem k ukazateli povrchových specifické pro danou organizaci, "vysvětlil Bryant na nás. "Na tom místě, údaje jsou stále ve strojově čitelné STIX formátu, který umožňuje zákazníkům umožnit automatizované využití dat v rámci jejich sítí nebo vrtat do něj grafické uživatelské rozhraní Interflow (GUI). Interflow GUI vypadá podobně jako e-mailové schránky aplikace Outlook, který umožňuje kliknout na nové položky a vidět je v podokně náhledu. Vzhledem k tomu, STIX je velmi složitý a má několik úrovní dat, rozhraní umožňuje vrtat hlouběji a hlouběji do informacím indikátor v závislosti na tom, kolik informace byly poskytnuty zdroje. " "Co dělá Interflow jedinečný? " Zeptal jsem se nakonec. "to jsme navrhli speciálně pro integraci nejen s ostatními výměny znalostí platformy, ale také se systémy pro ochranu sítě prostřednictvím našeho plug-in architekturu a SDK," poznamenal, ale dodal, že existuje celá řada sdílení dat hrozba platformy v trhu a že zákazníci by měli používat podle toho, co platforma nejlépe vyhovuje jejich potřebám. zřejmé, že doufají, že Interflow bude to.
Odemčené zadní vrátka do údajů o zdravotní péči
9.7.2014 Zranitelnosti
Většina zdravotnických dodavatelů chybí minimální zabezpečení, které je osvětlené skutečnost, že více než 58% bodování v "D" stupeň rozsahu pro jejich kulturu bezpečnosti. Nová zpráva CORL Technologies rovněž zdůrazňuje, že zdravotnické organizace se nedaří držet dodavatelé odpovědní pro splnění minimálních přijatelných standardů nebo jinak zmírnění slabých bezpečnostních dodavatele související. "údaje se průměrná nemocnice je přístupný po stovky až tisíce prodejců s propastný bezpečnostní postupy poskytující širokou škálu služeb," řekl Cliff Baker, generální ředitel, Corl Technologies. "Když se ve zdravotnictví a průmyslové organizace nemají dodavatelé odpovědní za minimální úrovní zabezpečení, tito prodejci vytvořit odemčený zadní vrátka k citlivým datům ve zdravotnictví." Tyto nové poznatky jsou důležité pro řešení rostoucí počet bezpečnostních incidentů ve firmách připsat partnery a dodavateli - který se zvýšil z 20% v roce 2010 na 28% v roce 2012 podle PWC ve svém "Vyhlídka na dodavatele řízení rizik" (listopad 2013). V návaznosti na tento problém, PWC "US State kyberkriminalitě Survey" (června 2014) zdůrazňuje, že obchodní partneři létat pod bezpečnostní radaru: pouze "44% organizací má postup pro hodnocení třetí strany před zahájením podnikatelské činnosti" a pouze " 31% obsahují ustanovení o bezpečnosti ve smlouvách s externími dodavateli a dodavateli. " dodavatele Intelligence Report, který odstartuje novou sérii studií, které publikoval výzkumný tým CORL, je založen na analýze souvisejících bezpečnostních postupech pro vzorku více než 150 prodejců poskytující služby vedoucích zdravotnických organizací od června 2013 do června 2014. Vědci CORL analyzovat Lidé, proces a technické postupy těchto organizací. Přední poskytovatelé a zdravotní pojištění použít CORL poskytnout rizikové přehledy výkonnostních metrik a průběžné sledování postupů pro ochranu informací prodejců. čtyři klíčové trendy a podpůrné údaje, které vyplynuly z analýzy patří: Většina zdravotnických dodavatelů chybí minimální bezpečnostní postupy k ochraně dat
Padesát osm procent prodejců vstřeleno v "D" řady třídy a 8% vstřeleno v "F" rozsahu třídy, což znamená, že je nedostatek důvěry na základě prokázaných slabých s jejich kultuře bezpečnosti. Ve skutečnosti pouze 4% prodejců vstřeleno v "A" řady stupně vysoká spolehlivost. 16% vstřeleno v "B" mírné důvěry rozsahu stupně a 14% vstřeleno v "C" neurčitý spolehlivosti rozsahu třídy.
Ještě více překvapující, zdravotnické organizace nedržíte prodejci odpovědnost za splnění i minimálních přijatelných standardů. Pouze 32% prodejců má bezpečnostní certifikace. Typické certifikace zahrnují FedRAMP, HITRUST, ISO 27001, SSAE-16, SOC 2 a 3.
Zdravotnické organizace nejsou vědomi všech dodavatelů, kteří mají přístup ke svým údajům
Údaje o průměrné nemocnice je přístupný stovky až tisíce prodejců poskytujících širokou škálu služeb od obchodních služeb, poradenství, tvrdí, zpracování a vzdělávání, aby elektronického zdravotního záznamu (EHR), zdravotnictví a zdravotnické potřeby technologie a produkty pro sítě a bezpečnostní software.
Zdravotnické organizace mají ohromující množství malých Prodejci zvládat
Přes padesát procent prodejců poskytující služby v průměru organizaci zdravotnictví jsou malé a střední podniky s méně než 1000 zaměstnanci.
Podle společnosti Symantec 2014 Internet Security Threat Report, cílené útoky zaměřené na malé a střední podniky podílely na "30 procent cílených kopí-phishing útoky".
Stávající praxe ve zdravotnických organizací jen málo zmírnění Prodejce Související bezpečnostní nedostatky
Prodejce due diligence zdravotnickými organizacemi, není v souladu s riziky. Většina zdravotnické organizace se zaměřují due diligence na jejich největších výrobců - ještě více než polovina z porušení jsou připisovány na malé a střední podniky.
Ve skutečnosti většina organizací nemají program rizik v místě vůbec a manažeři nejsou náležitě informováni o vystavení nebo úsilí o zmírnění rizika.
"I když HIPAA Omnibus pravidlo určuje, že jednotliví aktéři odpovídají v případě porušení, pokud jde o údaje mé organizace, která je zveřejněna, zdroj nezáleží. Bylo mou povinností se chránit ho, tak říká, že náš zákazník. Nemůžeme již spoléhat na činy druhých, aby nás mimo titulní stranu, "řekl Mark Williams, CISSP, CISA, CRISC, CIPP / IT, GIAC a prezident kapitoly ISSA v Chattanooga. "porušení a předpisy třetích stran jsou drastické zvýšení ve zdravotnictví, ale účinné řízení bezpečnostních rizik třetí stranou je drahé, časově náročné a finančně náročné. CORL je v jedinečné pozici, aby měli přístup k zabezpečení dat v ekosystému dodavatele zdravotnictví. Doufáme, že tyto informace použít k osvětlení mezery a poskytnout doporučení do zdravotnických organizací a prodejců podobně, které vám pomohou zlepšit své procesy řízení rizik - a nakonec, zlepšit jejich celkové bezpečnosti a rizik držení těla, "dodal Baker.
Microsoft Patch Tuesday - červenec
9.7.2014 Zranitelnosti
Přehled 07. 2014 Microsoft záplaty a jejich stav.
# Ovlivněno Kontraindikace - KB Známé Využije Hodnocení Microsoft (**) ISC hodnocení (*)
klienti servery
MS14-037 Kumulativní aktualizace zabezpečení pro aplikaci Internet Explorer
Microsoft Windows, Internet Explorer CVE-2014-1763 CVE-2014-1765 CVE-2014-2785 CVE-2014-2786 CVE-2014-2787 CVE-2014-2788 CVE-2014-2789 CVE-2014-2790 CVE-2014-2791 CVE-2014-2792 CVE-2014-2794 CVE-2014-2795 CVE-2014-2797 CVE-2014-2798 CVE-2014-2800 CVE-2014-2801 CVE-2014-2802 CVE-2014-2803 CVE-2014-2804 CVE-2014-2806 CVE-2014-2807 CVE-2014-2809 CVE-2014-2813 CVE-2014-1763 CVE-2014-1765 CVE-2014-2783 CVE-2014-2785 CVE-2014-2786 CVE-2014-2787 CVE-2014-2788 CVE-2014-2789 CVE-2014-2790 CVE-2014-2791 CVE-2014-2792 CVE-2014-2794 CVE-2014-2795 CVE-2014-2797 CVE-2014-2798 CVE-2014-2800 CVE-2014-2801 CVE-2014-2802 CVE-2014-2803 CVE-2014-2804 CVE-2014-2806 CVE-2014-2807 CVE-2014-2809 CVE-2014-2813
KB 2975687 Ano! Závažnost: Kritická
zneužitelnosti: 1 Kritický Důležitý
MS14-038 Chyba zabezpečení v programu Windows Deník by mohla umožnit vzdálené spuštění kódu
Microsoft Windows CVE-2014-1824
KB 2975689 Ne Závažnost: Kritická
zneužitelnosti: 1 Kritický Kritický
MS14-039 Chyba zabezpečení v On-Screen Keyboard umožňuje zvýšení úrovně oprávnění
Microsoft Windows CVE-2014-2781
KB 2975685 Ne Závažnost: Důležité
zneužitelnosti: 1 Důležitý Důležitý
MS14-040 Chyba zabezpečení v pomocnou funkci ovladače
Microsoft Windows CVE-2014-1767
KB 2975684 Ne Závažnost: Důležité
zneužitelnosti: 1 Důležitý Důležitý
MS14-041 Chyba zabezpečení rozhraní DirectShow může umožnit zvýšení úrovně oprávnění
Microsoft Windows CVE-2014-2780
KB 2975681 Ne Závažnost: Důležité
zneužitelnosti: 1 Důležitý Důležitý
MS14-042 Chyba zabezpečení v aplikaci Microsoft Service Bus může způsobit odmítnutí služby
Microsoft Server Software CVE-2014-2814
KB 2972621 Ano! Závažnost: Střední
zneužitelnosti: 1 Méně naléhavé Méně naléhavé
Budeme aktualizovat problémy na této stránce asi týden nebo tak, jak se vyvíjejí. Vážíme aktualizace zákazníci na bázi USA můžete volat Microsoft pro podporu vztahující se zdarma náplast na čísle 1-866-PCSAFETY
Malware analýza s pedump
9.7.2014 Viry
Hledáte nástroj k analýze Windows Portable spustitelné soubory (PE)? Zvažte použití pedump binární analyzátor soubor ruby win32 PE. V současné době podporuje DOS MZ EXE, Win16 NE a win32/64 PE.
Existuje několik způsobů, jak nainstalovat balíček ruby; Nicméně, nejjednodušší způsob je použít příkaz " gem install pedump "z linuxové stanici. Můžete si také stáhnout soubor zde nebo použijte pedump webové stránky nahrát soubor k analýze. Tento příklad ukazuje výstup z webové stránky pedump.
Můžete získat stejné výsledky jako tento výstup s verzí příkazového řádku příkazem " pedump - všechny SetupCasinoRoyal.exe ".
Verze pro příkazový řádek v současné době nemá řadě hexdump nebo funkci disassembler. Nicméně, můžete získat stejný hexdump výstup provedením " hexdump-C SetupCasinoRoyal.exe "z vašeho systému Unix.
guy @ azyl: ~ / malware / kasino $ hexdump-C SetupCasinoRoyal.exe | více
00000000 4d 5a 90 00 03 00 00 00 04 00 00 00 ff ff 00 00 | MZ ............. . |
00000010 b8 00 00 00 00 00 00 00 40 00 00 00 00 00 00 00 | ........ @ ....... |
00000020 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................ |
00000030 00 00 00 00 00 00 00 00 00 00 00 00 10 01 00 00 | .......... ...... |
00000040 0e 1f ba 0e 00 b4 09 cd 21 b8 01 4c cd 21 54 68 | ............. Th! |
00000050 69 73 20 70 72 6f 67 72 61 6d 20 63 61 6e 6e 6f | je program, canno |
00000060 74 20 62 65 20 72 75 6e 20 69 6e 20 44 4f 53 20 | t být spuštěn v DOS |
00000070 6d 6f 64 65 2e 0d 0D 0A 24 00 00 00 00 00 00 00 | Režim .... $ ....... |
Tento nástroj poskytuje snadný způsob, jak vylít záhlaví, najít balírny a prostředky používané exe a dll, nakonec poskytuje rychlý pohled dovnitř podezřelého souboru PE.
[1] http://pedump.me/
[2] http://pedump.me/89c10738fb44f9a529092bfa3c15dcf9/ # zdroje
[3] https://github.com/zed-0xff/pedump
[4] https://rubygems org / drahokamy / pedump
[5] https://github.com/zed-0xff/pedump/archive/master.zip
[6] http://en.wikipedia.org/wiki/Portable_Executable
Opravit Internet Explorer, hned poté Flash
9.7.2014 Zranitelnosti
Druhé úterý v měsíci Microsoft vždycky vydává své opravy. Tentokrát jsou kritické záplaty určeny pro Internet Explorer a Windows, aktualizovat je ovšem třeba i produkty dalších firem. Jaké jsou priority pro správce IT?
Ze šesti bulletinů zabezpečení Microsoftu jsou kritické dva, první určen pro MSIE, druhý pro Windows. Wolfgang Kandek, CTO ve společnosti Qualys, doporučuje na americkém Computerworldu jako první nasadit opravu MS-14-037, tj. aktualizaci Internet Exploreru, která opravuje celkem 23 jednotlivých bezpečnostních zranitelností. Útočník může bez nasazení těchto oprav ovládnout počítač často už při návštěvě podvodného webu (tj. útoky drive-by download).
Amol Sarwate rovněž ze společnosti Qualys v této souvislosti dodává, že Internet Explorer možná není chybovější než Firefox nebo Chrome, ale Microsoft vydává příslušné bulletiny zabezpečení a nevolí tiché aktualizace vždy v okamžiku, když je oprava k dispozici, proto se chybám v prohlížeči Microsoftu dostává větší publicity.
Další kritická oprava MS14-038 látá problém v operačních systémech, konkrétně v softwaru Windows Journal - tj. zpracování textu psaného perem na obrazovce. Tento formát se ovšem používá nejen na zařízeních s dotykovými displeji, ale i jinde – pro čtení souborů v příslušném formátu. Podvržený soubor může vzhledem k chybě způsobit vzdálené spuštění kódu. W. Kandek doporučuje, že pokud se v organizaci s tímto formátem nepracuje, stojí za to příslušné soubory plošně zakázat.
Kandek dále pokračuje, že velkou prioritou ve firmách by mělo být tentokrát nasadit opravu pro plug-in Adobe Flash – alespoň pokud se v podniku používají jiné prohlížeče než MSIE 10, MSIE 11 nebo Chrome, které si tento plug-in aktualizují automaticky. Pro jiné prohlížeče má oprava dle Kandeka prioritu č. 2, hned za aktualizací Internet Exploreru (viz výše).Jedna z právě opravených chyb v Adobe Flash totiž umožňuje útočníkovi vytvořit podvodné soubory SWF. Stačí pak pouze navštívit příslušný web a útočník se dostane ke cookies uloženým v prohlížeči, včetně těch, které obsahují autentizační údaje. Na tuto zranitelnost upozornil Michele Spagnuolo ze švýcarské pobočky Googlu, který demonstroval postup zneužití pomocí nástroje s názvem Roseta Flash.
Ross Barrett z firmy Rapid7 pro americkým Computerworld uvedl, že pokusy o zneužití lze v tomto případě očekávat velmi rychle. Provozovatelé hlavním webových služeb se snaží své přihlašovací mechanismy před tímto problémem ochránit bez ohledu na postup Adobe, spoléhat však na to rozhodně nelze.
Jaká jsou rizika propojených aut
9.7.2014 Hrozby
Kaspersky Lab a španělská marketingová agentura IAB zveřejnily analýzu First Annual Connected Cars Study: studii o „propojených autech" a bezpečnostních rizicích připojení těchto vozů k internetu.
Koncept „connected cars" dnes neznamená jen o funkce, které uživateli třeba pomohou lépe zaparkovat. Zahrnují nyní i přístup do sociálních sítí, e-mailu, spojení s chytrými telefony, výpočet trasy, zabudované aplikace, apod. Vedle výhod přinášejí i určitá rizika, a proto je třeba analyzovat různé situace, které mohou vést ke kybernetickým útokům nebo podvodnému nakládání s vozidlem.
Chytrá vozidla se podle analytiků stávají terčem podobných útoků, které doposud cílily hlavně na počítače a chytré telefony.
Studie demonstrovala svá zjištění analýzou systému BMW ConnectedDrive:
Odcizená osobní data: Odcizení informací sloužících k přístupu na web BMW pomocí známých metod jako je phishing, odezírání klávesnice (keylogging) nebo sociální inženýrství může vést k neoprávněnému přístupu třetích stran k uživatelským datům a k vozidlu samotnému. Odsud je možné nainstalovat mobilní aplikace se stejnými informacemi a umožnit vzdálené ovládání ještě před otevřením auta a odjezdem s ním.
Mobilní aplikace: Pokud uživatel aktivuje mobilní službu otevření auta, lze bez problémů vytvořit novou sadu klíčů k vozidlu. Pokud tato aplikace není zabezpečená, kdokoli, kdo ukradne telefon, získá přístup k autu. S odcizeným mobilem je možné změnit databázi aplikací a obejít jakékoli ověření pomocí PINu.
Aktualizace: Ovladače Bluetooth jsou aktualizovány stažením souboru z webu BMW a nainstalováním na USB. Tento soubor není ani šifrován, ani podepsán a obsahuje mnoho informací o vnitřním systému, který v autě běží. To může potenciálnímu útočníkovi poskytnout přístup do prostředí, na nějž cílí, a může být změněno tak, aby spustilo škodlivý kód.
Komunikace: Některé funkce komunikují se SIM kartou v autě pomocí SMS. Prolomení tohoto kanálu umožní poslat falešné instrukce. Záleží přitom na úrovni šifrování operátora. V tom nejhorším scénáři může útočník vyměnit komunikační systém BMW za vlastní instrukce a služby.
Počítačoví piráti se chystají na větší útok. Využívají chybu routeru
8.7.2014 Počítačový útok
Počítačoví piráti chystají větší útok zaměřený na routery – brány do světa internetu, které jsou využívány v domácnostech i firmách. Menší útoky, které mají za cíl zmapovat terén, odhalil Národní bezpečnostní tým CSIRT.CZ. Při kybernetických nájezdech jsou přitom využívány chyby v routerech, takže uživatelům nepomůže ani dobře zabezpečený počítač.
Ve chvíli, kdy získají počítačoví piráti kontrolu nad routerem, mohou plně monitorovat síťový provoz a dokonce jej i měnit.
Projekt Turris si klade za cíl pomocí speciálního routeru analyzovat provoz mezi internetem a domácí sítí a identifikovat podezřelé datové toky. Při jejich detekci pak router upozorní centrálu na možný útok.
Centrála systému umožňuje porovnat data z více než 860 připojených routerů a vyhodnotit nebezpečnost detekovaného provozu. V případě, že je odhalen útok, jsou vytvořeny aktualizace, které jsou distribuovány do celé sítě Turris a pomáhají tak chránit všechny její uživatele.
Chyby, které mohou počítačoví piráti zneužít, se objevily na routerech značek Netgear, Linksys a Cisco. Uvedl to server Security Affairs s tím, že není vyloučeno, že postižených značek je v konečném důsledku daleko více.
„V posledním týdnu monitorujeme každý den více než 100 útoků na routery, které jsou zapojené do výzkumného projektu Turris,“ varoval bezpečnostní analytik Pavel Bašta z týmu CSIRT, který je provozován sdružením CZ.NIC.
Oťukávají terén před větším útokem.
bezpečnostní analytik Pavel Bašta
Podle něj to nasvědčuje tomu, že si kyberzločinci pouze „oťukávají terén před větším útokem“. Zaměřují se totiž na chybu, která jim umožňuje převzít kontrolu nad touto bránou do světa internetu. Nepotřebují ani znát přístupová hesla, speciálně upravený malware je dokáže obejít a vyresetovat do defaultního nastavení, popsal chování nezvaného návštěvníka bezpečnostní expert Johannes Ullrich na diskuzním fóru sans.edu.
„Pokud se informace o novém malwaru potvrdí, můžeme očekávat, že bude napaden i určitý počet zařízení v ČR. Ve spolupráci s týmem projektu Turris budeme nyní bedlivě sledovat podezřelé aktivity a pokud bychom zaznamenali jejich nárůst, budeme veřejnost informovat,“ podotkl Bašta.
Ve chvíli, kdy získají počítačoví piráti kontrolu nad routerem, mohou plně monitorovat síťový provoz a dokonce jej i měnit. Přesně takovým způsobem probíhal i útok z letošního května.
Virus v routeru dokáže napáchat pěknou neplechu
Když se nezvaný návštěvník zabydlel v routeru, zablokoval na všech připojených počítačích internetové připojení a automaticky vyzýval uživatele k instalaci aktualizace flash playeru. Snažil se tak vzbudit dojem, že stránky nejdou spustit právě kvůli neaktuálnosti modulu pro přehrávání flashe.
Výzvy k aktualizaci se přitom zobrazovaly i po zadání regulérních webů, jako jsou například Seznam.cz a Google.com, což mohlo některé uživatele uvést v omyl. Zobrazování hlášek i na regulérních webech bylo možné právě kvůli tomu, že kyberzločinci ovládali přímo samotný router. Ve skutečnosti tedy žádné ze zadaných serverů vir neobsahovaly.
Místo aktualizace flash playeru si uživatelé stáhli do počítače, a případně do všech dalších připojených sestav, pouze dalšího nezvaného návštěvníka. I když antiviry z napadeného počítače virus odstraní, stále nemají uživatelé vyhráno. Zdroj dalších hrozeb se totiž ukrývá přímo v samotném routeru.
Jak správně nastavit router a bránit se tak případným útokům kyberzločinců, naleznete v našem dřívějším článku.
Více Platform * mince Miner Útok routery na portu 32764
8.7.2014 Viry, Počítačový útok
Díky čtečce Garyho pro odesílání nás ve vzorku s * mince horníka, který našel útočí na port 32764. Port 32764 byla nedávno zjištěno, že nabízejí ještě další backdoor na Sercomm vybavených zařízeními. Zabývali jsme tento backdoor před [1]
Bot sám se zdá být varianta "zollard" červ sean před Symantec [2]. Symantec writeup popisuje červa jako útok na php-cgi zranitelnost, ne Sercomm backdoor. Ale to červ byl viděn s použitím různých exploitů.
Zde některé rychlé, velmi předběžné, detaily:
Důvod, proč říkám, že * knoflíkový vs Bitcoin je, že v minulosti jsme zjistili, tato horníci většinou útoku non-Bitcoin crypto-měn využít omezených schopností těchto zařízení. Nemám dostatečné podrobnosti zatím o této variantě.
Je zajímavé, že Gary našel to, co vypadá jako 5 binárních souborů s identickým funkčností, ale sestavovány pro 4 různé architektura poskytuje pro větší pokrytí z možných zranitelných zařízení. Binární soubory jsou pojmenovány podle architektury, které podporují.
Název Velikost "Soubor" výstup
arm 86680 ELF 32-bit LSB executable, ARM, verze 1, staticky propojeny, zbavený
armeabi 131812 ELF 32-bit LSB executable, ARM, EABI5 verze 1 (SYSV), staticky propojeny, zbavený
mips 140352 ELF 32-bit MSB spustitelný soubor, MIPS, na MIPS I verze 1 (SYSV), staticky propojeny, zbavený
mipsel 141288 ELF 32-bit LSB executable, MIPS, na MIPS I verze 1 (SYSV), staticky propojeny, zbavený
86 74332 ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), staticky propojeny, zbavený
Binární Zdá se, proveďte následující kroky mimo jiné:
odstranit a znovu vytvořit adresáře / tmp (mít prázdnou jednu ke stažení)
vytvořit adresář / var / run / .zollard
Port firewall 23 (telnet) a 32764 (snaží se vyhnout opětovnému využití. Port 23 je zvláštní ...)
spustit telnet démon (divné, že to také brány firewall port 23)
používá tento uživatelského agenta pro některé odchozí žádosti: Mozilla/5.0 (compatible; Zollard, Linux)
Instalační soubor php s backdoor (jednoduchý php "exec")
To také vypadá, existuje mnoho dalších variant pro různé architektury založené na řetězec v souboru Gary nám poslal.
[1] https://isc.sans.edu/diary/Port+32764+Router+Backdoor+is+Back+ (nebo + se + to + + někdy pryč% 3F) / 18009
[2] http://www. symantec.com / připojit / blogy / linux-worm-zaměření-skryté-zařízení
Hacknout lze i (chytrou) žárovku
8.7.2014 Počítačový útok
Ledničkou nebo automobilem to nekončí. V éře Internetu věcí (Internet of things, IoT) se cílem útoku mohou stát i žárovky.
Výzkumníci z firmy Context Information Security upozornili na chybu v LED žárovkách, které vyrábí firma LIFX. Systém zde funguje tak, že zde existuje jediná řídicí (master) žárovka, která ovládá ty ostatní. Řídicí žárovka pak komunikuje přes Wi-Fi s mobilním telefonem či jiným zařízením. Objevena byla ovšem bezpečnostní zranitelnost a útočník mohl díky obejít přístup k řídicí žárovce, rozsvěcet, zhasínat a měnit konfiguraci sítě.
Než Context informace zveřejnil, upozornil výrobce a obě společnosti vyvinuly opravu, kterou lze nasadit jako aktualizaci firmwaru. Podle LIFX chybu téměř jistě nikdo nestačil zneužívat, protože odhalit ji bylo poměrně složité a vyžadovalo reverzní inženýrství. Podvodníci mohou samozřejmě trávit svůj čas podstatně efektivněji. Ačkoliv tedy v tuto chvíli jde především o zajímavou technickou kuriozitu, ukazuje, co za pár let v době Internetu věcí může být rutinním způsobem útoku.
Žárovky LIFX se začaly vyrábět v roce 2012, přičemž potřebné prostředky byly získány pomocí „startovače" KickStarter. Žárovky spolu komunikují pomocí bezdrátové sítě 802.15.4 6LoWPAN, pouze ta řídicí je připojena k Wi-Fi. Komunikace je sice šifrovaná, výzkumníci z Contextu ji však dokázali zachytit, analyzovat a zpětně zjistit, jaké signály vyvolávají jaké akce/změny nastavení. Po prolomení protokolu bylo tedy možné žárovky ovládat bez nutnosti získat přístup k hlavní žárovce, přičemž tato činnost byla navíc prakticky neviditelná. Oprava zahrnuje generování šifrovacích klíčů navázaných právě na přístup přes Wi-Fi k řídicí žárovce.
Mnozí dodavatelé propojené elektroniky zatím podle Contextu odpovídající zabezpečení prakticky ignorují.
Cílené útoky zasáhly 13 % českých firem
4.7.2014 Počítačový útok
V uplynulých dvanácti měsících čelilo v České republice cíleným kybernetickým útokům 13 % firem. Oproti předchozímu období to znamená nárůst o dva procentní body. V porovnání se světem je na tom Česko o jeden procentní bod hůře. Vyplývá to z červnového průzkumu společnosti Kaspersky Lab a B2B International, kterého se zúčastnilo na čtyři tisíce IT manažerů z firem ve 27 zemích, včetně České republiky.
Celosvětová čísla průzkumu ukázala, že nejoblíbenějšími oběťmi cílených útoků jsou společnosti ve vládním a obranném sektoru. V posledních 12 měsících jim čelilo 18 % dotázaných organizací v tomto odvětví. Dalšími v pořadí byly sektory telekomunikací – 17 %, finanční služby a doprava a logistika, obojí shodně s 16 %. Blíže nespecifikovaným útokům malwaru v Česku jim ve sledovaném období čelilo 71 % dotázaných firem, což je podstatně více, než je celosvětový průměr (51 %). Cílený útok se typicky skládá z několika škodlivých částí, které pracují zároveň tak, aby obešly bezpečnostní opatření napadené organizace. Mohou implementovat unikátní modifikace běžného malwaru nebo zneužít konkrétní zranitelnosti existující v prostředí firmy.
Microsoft ruší službu pro zasílání bezpečnostních informací
1.7.2014 Bezpečnost
Společnost v pátek oznámila, že zruší emailovou službu pro zasílání aktuálních bezpečnostních informací. Správci firemních sítí by prý místo toho měli začít sledovat oficiální kanál RSS.
K odběru bezpečnostních zpráv se mohl přihlásit každý zájemce na stránkách Microsoftu. Díky tomu pak získal přístup k aktuálním informacím o nejnovějších hrozbách, připravovaných aktualizacích a bezpečnostních opravách.
Počínaje 1. červencem se však Microsoft rozhodl poměrně oblíbenou službu zrušit či minimálně dočasně pozastavit. Přiměly jej k tomu prý změny v přístupu vládních organizací k automatizovanému zasílání elektronických zpráv.
Microsoft službu spustil již v roce 2002, tedy rok před tím, než zavedl systém tzv. úterních oprav – pravidelných aktualizací, které ke koncovým uživatelům distribuuje každé první úterý v měsíci.
Profesionálům IT a správcům firemních sítí Microsoft doporučuje náhradu v podobě oficiálních kanálů RSS, ke kterým mohou přistupovat prostřednictvím stránek společnosti. Mezi další alternativní komunikační kanály patří účet centra Microsoft Security Response Center ve službě Twitter.
Podle názoru některých analytiků se Microsoft tímto krokem rozhodl reagovat na nový kanadský antispamový zákon, který vstoupí v platnost právě 1. července. Mimo Kanadu dosud tomuto zákonu nebylo věnováno příliš pozornosti, patří prý ale k nejpřísnějším na světě.
Zákon sice umožňuje pokračovat v zasílání pravidelných emailů po dobu dalších tří let těm firmám, které se svými uživateli či zákazníky uzavřely obchodní i neobchodní vztah před 1. červencem, což je také případ Microsoftu. Společnost se však asi i přesto rozhodla nic neriskovat – v případě porušení kanadského zákona totiž hrozí sankce ve výše až 10 miliónů dolarů.
Obrana před novým virem z e-mailu neexistuje
30.6.2014 Viry
Národní bezpečnostní tým CSIRT.CZ v pondělí varoval před novou vlnou nevyžádaných e-mailů, ve které počítačoví podvodníci straší příjemce tisícovými dluhy. Tentokrát jsou však snahy kyberzločinců sofistikovanější než kdy dříve – s novým virem obsaženým ve zprávě si totiž antivirové programy nedokážou Poprvé se tento typ útoku objevil v Česku už koncem dubna. Podvodné zprávy ze druhé vlny se těm předchozím podobají jako vejce vejci. V textu podvodníci tvrdí, že příjemce dluží značnou částku, a pokud ji neuhradí, bude „zahájena právní sankce na základě pohledávky“.
Součástí e-mailu je i příloha, která má obsahovat údajnou smlouvu, jež dokazuje vznik dlužné částky. Místo toho se však v archivu ukrývá spustitelný soubor s koncovkou .exe, který kromě textového dokumentu obsahuje také počítačové viry.
Uživatelé jsou zatím odkázáni pouze na vlastní obezřetnost.
bezpečnostní analytik Pavel Bašta z týmu CSIRT.CZ
Právě nová verze viru dělá bezpečnostním expertům vrásky na čele. „Antivirové společnosti zatím neidentifikují tuto novou verzi viru, a uživatelé jsou tak zatím odkázáni pouze na vlastní obezřetnost. Důrazně proto varujeme uživatele před spouštěním přílohy u této zprávy,“ varoval bezpečnostní analytik Pavel Bašta z týmu CSIRT, který je provozován sdružením CZ.NIC.
Scénář útoku je tedy kromě nového viru zcela totožný s předchozími vlnami.
Podle ohlasů čtenářů Novinek se internetové adresy, ze kterých podvodníci odesílají zprávy, často mění. Objevily se mezi nimi například domény bexte-reality.cz, nerodia.cz, erika-as.cz nebo skaconspiracy.cz.
Že se jedná o podvod, je patrné už na první pohled podle špatně skloňovaných slov a dalších chyb, které se v česky psaném e-mailu objevují.
Text podvodného e-mailu
Vážený zákazníku,
Jsme velmi rádi, že jste využívali produktu z naší banky.
Dovolujeme si Vás upozornit na dlužná částku ve výši 8031.56 Kč, ke dni 24.04.2014 na osobním účtě #1143203552366118 . Nabízíme Vám uhradit pohledávku v plné výši do 28.05.2014.
Dobrovolné uhrazení pohledávkya dodržení smlouvy #62369B7812F797489 umožňujeme Vám:
1) Dodržet pozitivní úvěrovou historii
2) Vyhnout se soudním sporům, placení poplatků a jiných soudních nákladů.
V případě prodlení úhrady pohledávky 8031.56 Kč v souladu s platnými právními předpis, jsme oprávněni zahájit právní sankci na základě pohledávky.
Kopie smlouvy a platební údaj jsou připojeny k tomuto dopisu jako soubor "smlouva_62369B7812F797489.zip"
S pozdravem,
Vedoucí odboru vymáhání pohledávek
Anna Farářová
Zero-Day opravené v TimThumb WordPress Script
29.6.2014 Zranitelnosti
Patch pro zero-day zranitelnost v TimThumb byl propuštěn jeho vývojáře, kteří se nikdo příliš rád, o zveřejnění tohoto týdne na populární bezpečnostní konferenci.
"Bohužel nikdo mi řekl, že o tom předtím využití bylo oznámeno - ve skutečnosti jsem se dozvěděl o chybě přes wptavern.com, takže jsem nebyl schopen podívat se do opravy pro něj," řekl Ben Gillbanks, WordPress vývojář, který napsal TimThumb.
To bylo krátce předtím, než dotyčný kód ve funkci WebShot skutečně aktualizovány a zpřístupněny na webu Google Code .
Gillbanks napsal na svém Binary Moon webové stránky, které se již udržuje TimThumb mimo účastí na řídkém bezpečnostní otázce, jako je tento. Obrázek re-dimenzování software založený na PHP, který trpěl předchozí zero-day v roce 2011, to je všechno, ale zastaralý, protože WordPress podporuje příspěvek miniatury.
"Osobně jsem nepoužil TimThumb v tématu WordPress, protože předtím, než předchozí bezpečnostní TimThumb využívat v roce 2011," řekl.
Podrobnosti o dosud nepublikované zranitelnosti ve funkci WebShot byly zveřejněny tento týden na Full Disclosure mailing listu. Zatímco WebShot není ve výchozím nastavení povolena, WordPress Témata, plug-iny a další komponenty třetích stran by mohla být v ohrožení pro dálkové spuštění kódu útoky.
Web bezpečnostní společnost Securi řekl, že zero-day umožňuje útočníkovi na dálku odstranit a upravovat soubory uložené na serveru.
Web bezpečnostní společnost Securi řekl, že zero-day umožňuje útočníkovi dovolit vzdáleně odstranit a upravovat soubory uložené na serveru, a může tak učinit bez ověření.
"První věcí, první - většina lidí, kteří používají TimThumb nemusíte se bát. Kód je ve výchozím nastavení zakázána, a to iv případě, že je povoleno, musíte mít dvě rozšíření na straně serveru nainstalované, aby bylo možné jej vykonat, "řekl Gillbanks.
Odborníci doporučují zablokování WebShot, pokud je to povoleno jako dočasné zmírnění. Securi že uživatelé mohou zakázat funkci otevřením souboru timthumb v tématu nebo plug-in pro příklad, a set WEBSHOT_ENABLED na hodnotu false.
Weby self-hostované na WordPress můžete použít TimThumb re-velikost obrazových souborů, například. Jpg nebo. Png soubory.
Výzkumník Pichaya Morimoto, kteří zveřejněny nula den, řekl, verze 2.8.13 je zranitelný, stejně jako původní WordThumb 1,07 projekt. WordPrss Gallery Plugin a IGIT Příspěvky Slider Widget byly také identifikovány Morimoto jako možná zranitelná, v další pro všechny motivy od themify [.] Já.
Předchozí TimThumb nula den byla zveřejněna v srpnu 2011; zranitelnost povoleno hackeři spustit PHP kód v adresáři TimThumb mezipaměti. Chyba dal někdo vzdálený přístup pro zápis do adresáře.
Nové ropy a zemního plynu Isac Barky
29.6.2014 Kriminalita
Energetické podniky rozhodně nebyly ušetřeny hackery, kteří po léta cílené zranitelnost v řídicí systémy a sítěmi s alarmující úspěchu.
V pohybu se překlenout propast a udržet ten roh USA "kritické infrastruktury bezpečné, nové sdílení informací skupina vyskočila tento týden v ropy a zemního plynu, průmyslu, který doufá, že formalizovat obchod hrozeb inteligence a ukazatelů kompromisu, případně automatizovaně i strojově čitelné módy.
Po vzoru dobře zavedenou finanční služby sdílení informací a analytické centrum (FS-ISAC), Ong-ISAC je zaneprázdněn členové nábor a zároveň plánuje mechanismy, které jeho členové, z nichž mnohé jsou pravděpodobně Soutěžící budou sdílet informace o útoky a hackery.
"To je velmi důležité, protože firmy si uvědomit výhody vědět, co aktéři hrozby mohly zaměření v průmyslu," řekl Ong-ISAC předseda David Frazier. "Možná, že jednotlivé společnosti, nemusí být cíl, ale uvědomit si výhody vědět, zda je cílový konkurent nebo poskytovatel služeb."
Za posledních 18 měsíců, stovky incidentů byly hlášeny k průmyslové Control System Cyber Emergency Response Team (ICS-CERT), z nichž mnohé podílejí energetické společnosti ve vyspělých útoků nebo společnostmi, které jsou obětmi rovně SQL injection útoků, například .
"Víme, že již od čtení tisku, že mnoho společností byly cíle," řekl Frazier. "Ale schopnost vědět, že před tím, než udeří tisku, ne do té míry, co byla přijata, ale surovin ukazatelů dává nám inteligenci, o tom, jak rozpoznat hrozby herce a jaké nástroje můžeme použít v našem SIM nebo IPS vědět, co které cílíte. To je velmi důležité. "
Frazier, jehož pracovní den je senior ředitel IT bezpečnosti, kontroly a řízení rizik v Halliburton v Houstonu, se snaží získávat organizace již zapojených do neformálních vztahů, sdílení přes American Petroleum Institute, především jeho bezpečnosti IT podvýboru. API je sponzorem Ong-ISAC a některé hrozby a sdílení zpravodajských informací se děje na čtvrtletních schůzkách, Frazier řekl, ale to je více pravděpodobné, že nastane mezi vrstevníky, než ve skupině nastavení.
Jedním z nových isac bezprostředním cílů je poskytnout mechanismus pro sdílení bez přičítání; anonymita již dlouho překážkou pro úspěch v sdílení informací, protože firmy váhají cokoliv sdílet s konkurencí, dokonce i údaje, které by mohly být pro větší dobro. Frazier řekl, že konečným cílem je, aby se šíření údajů hrozeb automatických a strojních čitelné.
"Každá firma by byl zodpovědný za to, že sdílení důvěrných informací mimo jejich společnosti, ale aby bylo možné sdílet ukazatele kompromisu a mají možnost tak učinit bez přičítání je atraktivní," řekl Frazier. "Společnost může vám podrobnosti o porušení neřekl, ale mohou mít ukazatele, které mohou sdílet anonymně s podniky B, C a D, a že by průmysl silnější."
FBI vydala více než 19K National Security Letters v roce 2013
29.6.2014 Bezpečnost
Spojené státy federální vláda vydala více než 19.000 National Security Letters, snad jeho nejmocnější nástroj pro domácí inteligence kolekce v roce 2013, a ty NSLs obsahoval více než 38.000 individuálních žádostí o informace.
Nová data byla vydána Úřadem ředitele Národní zpravodajské služby v pátek jako součást svého úsilí o dosažení souladu se směrnicí, od prezidenta Obamy, aby odtajnit a uvolnit co nejvíce informací, jak je to možné o různých nástrojů, které vláda používá ke shromažďování zpravodajských informací . Směrnice vstoupila v bezprostředně po prvních odhalení bývalých NSA dodavatele Edward Snowdena O agentury schopností, metod a použití právních orgánů.
Použití NSLs je daleko od nové, se datuje několik desetiletí. Ale jejich použití bylo rozšířeno výrazně po 9/11 a NSLs se liší od ostatních nástrojů v mnoha způsoby, což je možná nejdůležitější v tom, že příjemci jsou zpravidla zakázáno, i odhalení skutečnosti, že se jim dostalo NSL. Úspěšně bojuje proti NSL je vzácná věc, a zastánci ochrany osobních údajů byly poté, co vláda v příštích letech uvolnit údaje o jejich použití písmen a počtu vydaných NSLs. Nyní, odni je uvedení některé z těchto informací do veřejného záznamu.
Existuje několik různých právních orgánů, podle kterého FBI může vydají NSL.
Existuje několik různých právních orgánů, podle kterého FBI může vydají NSL a statistiky zveřejnila v pátek na odni zahrnout všechny z nich. Zpráva ukazuje, že FBI sloužil 19.212 National Security Letters v roce 2013, zahrnující 38.832 žádostí o informace.
"Jsme vykazování roční počet žádostí, spíše než" cíle "pro různé důvody. Za prvé, systémy FBI jsou nakonfigurován tak, aby v souladu s Congressional požadavky na podávání zpráv, které nevyžadují FBI sledovat počet jednotlivců nebo organizací, které jsou předmětem NSL, "uvádí se ve zprávě.
"I v případě, že systémy FBI byly konfigurovány odlišně, stále by to bylo obtížné identifikovat řadu konkrétních jednotlivců nebo organizací, které jsou předměty NSLs. Jedním z důvodů je to, že informace, že účastník se vrátil k FBI v reakci na NSL mohou identifikovat, například, jednoho účastníka pro tři účty, nebo se může určit různé účastníky pro každý účet. V některých případech dochází, protože identifikační údaje poskytnuté účastníkem poskytovateli nemusí být pravda. "
Uvedení objem NSLs vydaných v roce 2013 do kontextu je trochu obtížné, protože údaje o počtu nástrojů vydaných v minulých letech je poněkud flekatý. Zprávy z Úřadu generálního inspektora na ministerstvu spravedlnosti odhalit některá čísla týkající se objemu žádostí, ale ne počet NSLs vydaných. Například, v roce 2005 FBI vydala 47.221 žádostí o informace prostřednictvím NSLs.
Mezi mnoha detaily zveřejněných prostřednictvím zveřejnění dokumentů Snowden vzal od NSA byla informace o tom, jak agentura použité § 702 zákona o zahraniční zpravodajské Surveillance získat stovky milionů záznamů telefonních a jiných dat. Toto ustanovení umožňuje, aby agentura mohla vybírat konkrétní záznamy z neamerických osob v rámci zpravodajských operací. NSA sbírá tyto záznamy od poskytovatelů služeb, typicky TELCOM společnosti.
V roce 2013, federální vláda vydala jen jeden oddíl 702 pořádku, ale že statistika je trochu klame. To je o jeden řád ovlivněn 89128 cílů, DNI datová show, a toto číslo také nemusí vyprávět celý příběh. Ve zprávě transparentnosti , první svého druhu z kanceláře, odni vysvětluje, že "cíl" by mohlo znamenat jeden z mnoha různých věcí, v závislosti na situaci. Cíl může být jedna osoba, skupina nebo větší organizace. A podle § 702, definice je ještě méně definitivní. V těchto případech, "cíl" se používá jako sloveso, aby úkon se snaží shromažďovat zprávy od osoby, skupiny nebo organizace.
"Například, že zákonná ustanovení § 702 uvádí, že vláda "nesmí úmyslně zaměřují na jakoukoli osobu, známý v době akvizice se nachází ve Spojených státech" (zdůraznění přidáno), mimo jiné výslovné omezení, "uvádí se ve zprávě .
"Podle § 702, zahraniční zpravodajské Surveillance soud (FISC) schvaluje Certifikace, na rozdíl od individuálních objednávek. To znamená, že počet 702 "cíle" odráží odhad počtu známých uživatelů jednotlivých zařízení (někdy označované jako selektory), které jsou předmětem sběru zpráv na základě těchto certifikací. "
20-Year Old Chyba zabezpečení opravené v LZO kompresního algoritmu
29.6.2014 Zranitelnosti, Mobil
20-letý zranitelnost v Lempel-Ziv-Oberhumer (LZO) kompresního algoritmu - používá se u některých telefonů se systémem Android, jádrem Linux a dokonce Mars Rovers - nakonec patch tento týden.
Kód vyplývající z funkce algoritmu v knihovně existuje ve volné přírodě po dvě desetiletí, ale bylo recyklováno znovu a znovu, který dělal to složité opravy.
Zatímco algoritmus byl vylepšen v průběhu let, každá iterace představoval stejnou základní implementace open source, nejprve napsal Markus Oberhumer v roce 1994.
Verze 2.07 algoritmu řeší dlouhodobý problém - jemné integer overflow stav v "bezpečných" dekompresor varianty, které by vedly k přetečení vyrovnávací paměti v případě, že algoritmus zpracovány žádné škodlivé vstupní data.
Laboratorní myš Zabezpečení CEO a zakladatel Don Bailey diskutovány podrobnosti, pokud jde o dlouho očekávané opravy v blogu čtvrtek .
"Tím, že opakované použití kódu, který je známý dobře pracovat, a to zejména ve vysoce optimalizované algoritmy, projekty se mohou stát předmětem zranitelnosti v tom, co je vnímáno jako důvěryhodného kódu," vysvětluje Bailey
Bailey, který pravidelně provádí výzkum v oblasti mobilních technologií, internetu věcí a vestavěných systémů, varoval, že zatímco implementace LZO jsou výrazně odlišné, každý "varianta je zranitelný v přesně stejným způsobem." Bailey žádá konec Uživatelé, kteří dohlížejí na algoritmu pro vyhodnocení každé implementaci pro rizika, i když je to už byla oprava.
Zůstane-li unpatched, chyba může být využita kdykoliv algoritmus zpracovává doslovný příkaz Spustit, kus dat, která nebyla na stlačený.
Bailey dává řadu v bezpečnostních řešení hloubky, že správci mohou sledovat nejprve zjistěte, zda jejich infrastruktura je citlivá na chyby a za druhé, jak to patch.
LZO je přenositelná bezztrátová komprese dat knihovna, která umožňuje překrývání kompresi a dekompresi v místě. Za ta léta, algoritmus našel svou cestu, tak či onak, do hrstky projektů, jako jsou Android, OpenVPN, mplayer2 Libav, jádrem Linux a Juniper Junos, mezi jiným subjektům.
Algoritmus je kokrhání úspěch doposud, může být jeho implementace v NASA Mars Rover Curiosity. Robotický rover právě dokončil svůj první marťanský rok, 687 pozemských dní, na Marsu dříve v tomto týdnu, a stejně jako vozítek před ním, Spirit a Opportunity, má mikro řadiče na desce, které používají LZO.
PayPal 2fa Bypass Zobrazuje Obtížnost Získání ověřování Právo
29.6.2014 Kryptografie
Častokrát, při pohledu na dané zabezpečení nebo chybou ze strany dodavatele, je snadné se ptát, jak na zemi, chyba proniká na prvním místě, nebo společnost nezachytil problém dříve. To rozhodně mohl být případ nedávno zveřejněné obchvatu dvoufaktorové autentizace PayPal mechanismu, ale, jak je často případ s jistotou, věci nejsou tak jednoduché, jak se objevují na povrchu.
2fa bypass, zveřejněny tento týden výzkumník Zach Lanier z Duo Security , je složitý problém, který se týká způsobu, jakým mobilní aplikace PayPal zvládnout ověřování pro 2fa chráněných účtů. Společnost má zaveden systém 2fa, který umožňuje uživatelům vytvářet jednorázové heslo pro přihlášení, a to buď pomocí specializované zařízení nebo kódy zaslané na mobilní zařízení. Nicméně, PayPal je iOS a Android aplikace ještě nepodporují 2fa, takže pokud uživatel, který 2fa povolen na jeho účet odešle požadavek na přihlášení ze svého mobilního zařízení, který obsahuje příznak říká, že 2fa je povoleno, věci jdou trochu Haywire.
Aplikace se automaticky přihlásí uživatele out a zobrazí se chybová zpráva. Ale v případě, že uživatel otočí zařízení do režimu letadlo ve správný čas, brání některé informace byly zaslány PayPal, aplikace se přihlásit uživatele do svého účtu, ignoroval 2fa vlajku. Na povrchu to vypadá jako něco, co vývojáři PayPal a bezpečnostní technici Měl jsem postaráno, ale je tu řada dalších faktorů, které dělají věci složitější.
Funkce PayPal je protkáno velkým množstvím dalších aplikací a webových stránek.
Funkce PayPal je protkáno velkým množstvím dalších aplikací a webových stránek, takže vyvalit opravu tohoto problému není tak jednoduché, jak by se mohlo zdát.
"V tomto konkrétním případě, PayPal válí dva-faktor ve webovém prvním způsobem, bez toho, aby mobilní na mysli jako první třídy občana. To není tak úplně překvapivé, ale pokud vezmete v úvahu omezení - pokud chcete, aby se změny v ověřování toku, ale váš mobilní SDK se peče do tisíce a tisíce mobilních aplikací třetích stran, které všechny pákový že průtok ověřování, jak si udělat jakýkoli dostatečný pokrok? Opět platí, že moderní mobilní první přístup vzor hodil klíče na upgrade jinak slam-dunk, aby vypovídaly o bezpečnost, "Jon Oberheide, spoluzakladatel a CTO Duo Security, řekl.
To je problém, že libovolný počet firem, velké i malé, se potýkají právě teď, jak více a více uživatelů přejít na mobilních platformách, jako jejich primární výpočetních prostředích. Autentizace na webu strany je všeobecně dobře znám, ale rozhodně to není dokonalý jakýmkoli způsobem. Každý den, může náhodný hledání bezpečnostní zprávy zase až Passel otázek ověřování na všechny druhy stránek, a to nejen těch menších, a to buď. Jak Oberheide, poukazuje na to, PayPal otázka ukazuje, jak obtížné je dostat tyto věci do pořádku.
"Je-li top-zářez organizace s propracovanými zabezpečení inženýrských skupin, jako jsou PayPal a Google čelí takové problémy, jak se bude dařit ostatním? Jsme přesvědčeni, že PayPal a Google případy jsou jen špičkou ledovce, "řekl.
"Obecněji řečeno, tyto chyby jsou dobrým příkladem toho, jak přechod na cloud a mobilní nebylo vždy elegantní organizací a bylo rušivé, jak jsme nasadit bezpečnostní kontroly."
opravené spuštění kódu Chyba postihuje nejvíce androida uživatelů
29.6.2014 Zranitelnosti
Vážný kódu zabezpečení spouštění v Android 4.3 a dřívější byla oprava v Kitkat, nejnovější verzi operačního systému.
Výzkumníci z IBM tento týden zveřejnit povahu zranitelnosti, který byl soukromě zveřejněny na bezpečnostní tým Android v září a záplatované loni v listopadu.
"Vzhledem k tomu Androidu roztříštěnosti a skutečnost, že to byl kódu zabezpečení spouštění, rozhodli jsme se počkat s zveřejňování informací," řekl Roee Hay, vedoucí skupiny výzkumu v otázkách bezpečnosti na IBM.
Hay tým našel zásobníku na bázi přetečení vyrovnávací paměti v Android je úložiště klíčů službě , který podle webových stránek Android vývojářů je zodpovědný za ukládání a zabezpečení šifrovacích klíčů zařízení je.
IBM uvedla, že si není vědoma žádných využije ve volné přírodě a cílujeme na tuto chybu zabezpečení. Úspěšný využít ohrozilo zařízení úplně, což umožňuje útočníkovi spustit kód svého výběru v rámci procesu úložiště klíčů, řekl IBM.
V důsledku toho by útočník mohl získat přístup k pověření zařízení je zámek, šifrované a dešifrovaných hlavních klíčů, a musí být schopen komunikovat s hardware podporovaný skladování a provádět kryptografické funkce, jako je svévolné podepisování dat, řekl IBM.
Útočník by mohl použít škodlivý aplikace se zaměřují na bezpečnostní problém, ale existuje řada problémů překonat, řekl IBM.
Například, musí být škodlivý aplikace moci obejít ochrany paměti založené na nativní v operačním systému, jako je funkce Zabránění spuštění dat (DEP) a Address Space Layout Randomization (ASLR). DEP je využít zmírňování, který omezuje, kde lze kód spuštěn. Útočníci měli úspěch pomocí Skok orientované programování (ROP) útoky s cílem obejít DEP.
ASLR, mezitím, konkrétně zmírňuje přetečení bufferu útoky, které využívají zranitelná místa, jako je tento v Android. ASLR náhodně datových oblastí dělat to obtížný pro škodlivý kód útočníka hádat, kde otevřený prostor by mohl být k dispozici a spustit.
Stack kanárek je také přítomný v Android, který pomáhá odhalit přetečení bufferu chyby, jako je tento, než škodlivý kód může spustit.
Android také využívá kódování, které by také mohly dát do překážku pro spuštění kódu.
"Nicméně, Android KeyStore je respawned pokaždé, když se ukončí," Hay varuje. "Toto chování umožňuje pravděpodobnostní přístup; Kromě toho, že útočník může dokonce teoreticky zneužít ASLR porazit kódování. "
IBM řekl chybě zabezpečení dochází, protože kontrola překročení mezí je nepřítomen zásobníku vyrovnávací paměti vytvořené úložiště klíčů :: metody getKeyForName.
"Tato funkce má několik volání, které jsou přístupné externími aplikacemi pomocí rozhraní Binder (např." android :: KeyStoreProxy :: get "). Proto je variabilní na "KEYNAME" může být regulovatelné pomocí libovolné velikosti pomocí škodlivého aplikací, "řekl Hay. "" Encode_key "rutina, která se nazývá" encode_key_for_uid "může přetečení 'filename' vyrovnávací paměti, protože kontrola hranice chybí."
Podle Android vývojáře webu, KitKat přijetí se blíží na 14 procent, čímž drtivou většinu uživatelů Android v ohrožení; 29 procent uživatelů se na Jelly Bean 4.1, nejvyšší distribuci verze.
Zatímco Google a bezpečnostní tým v Android obecně výzva při vytváření záplaty a informační zprávy k dispozici, většina uživatelů mobilních Android, například, musí počkat, dokud se buď jejich dopravce nebo telefon výrobce tlačí náplast dolů. Tento obchodní model je vypracován zlobu bezpečnosti a ochrany osobních údajů odborníků , a pozornost US Federal Trade Commission, která přijaly opatření v minulosti proti hardware Závadný HTC , jakož i ze čtyř hlavních dopravců pro jejich nedostatek rychlých aktualizací .
Massachusetts Nejvyšší soud Pravidla Žalovaný musí dešifrovat data
29.6.2014 Kryptografie
Šifrovací software se těší delší den na slunci asi poslední rok. Díky zjevení Edwarda Snowdena o zdánlivě neomezených možností NSA, mají bezpečnostní experti se buší do bubnu o významu šifrování nejen data v tranzitu, ale informace uložené na notebooky, telefony a přenosné disky. Ale Massachusetts nejvyšší soudní dvůr dal díru v tom brnění ve středu rozhodl, že trestní obžalovaný mohl být nucen k dešifrování obsahu svých notebooků.
Případ se soustředí na právníka, který byl zatčen v roce 2009 za údajnou účast v systému hypotečních podvodů. Žalovaný, Leon I. Gelfgatt, přiznal Massachusetts státní policii, že on dělal práci s společnost s názvem Baylor Holdings, a že šifrované své komunikace a pevné disky všech svých počítačích. On říkal, že on by mohl dešifrovat počítače zabavené z domova, ale odmítl, aby tak učinily.
MJSC, nejvyšší soud v Massachusetts, byla s ohledem na otázku, zda akt zadání hesla k dešifrování obsahu počítače byl akt sebeobvinění, čímž došlo k porušení Gelfgatt Páté Pozměňovací návrh práv.
Soud rozhodl, že pouze zadáním hesla neznamená, že Gelfgatt vytvořen dokumenty na šifrované strojích.
Soud rozhodl, v 5-2 rozhodnutí, že pouze zadáním hesla neznamená, že Gelfgatt vytvořen dokumenty na šifrované stroje nebo měl výlučnou kontrolu nad nimi za všech okolností, a nebyl "svědectví". Rozhodnutí zvrátit rozhodnutí nižšího soudu.
"Na základě naší prověrky záznamu, jsme k závěru, že skutková tvrzení, která by nositeli aktu žalovaného zadání šifrovacího klíče v počítači jsou" závěry ušlých ", a proto zákon o dešifrování není posudek komunikace, která je chráněn pátého doplňku zákona. Vyšetřování korupce, podvodů a počítačové kriminality rozdělení úřadu generálního prokurátora odhalil podrobný důkaz, že nejméně dvě hypoteční úkoly na Baylor Holdings byly podvodné, "na MJSC je vládnoucí říká.
"Během svého postarrest rozhovoru se státní policií Trooper Patrick M. Johnson, žalovaný uvedl, že provedl realitní práci Baylor Holdings, který chápal, že je společnost poskytující finanční služby. Žalovaná informovala Trooper Johnsona, který měl více než jeden počítač ve svém domě, že program pro komunikaci s Baylor Holdings byl nainstalován na notebooku, a že "[e] verything je šifrována, a nikdo se chystá dostat se do toho." Žalovaný uznal, že on byl schopen provádět dešifrování. Dále, a co je nejdůležitější, žalovaný uvedl, že kvůli šifrování, policie "nebude mít na některou z [jeho] počítačích," což naznačuje, že všechny z nich byly zašifrovány. "
I když rozhodnutí v MJSC platí pouze v Massachusetts, je to těžký úder pro obhájců soukromí a jiní, kteří se prosadily právo odmítnout dešifrování digitálních zařízení. Plný šifrování disku software je považován za cenný obrana proti oběma útočníky a spotové vyhledávání na mezinárodních hranicích a v jiných situacích. Ve svém stanovisku, MJSC uznal, že bez hesla, by bylo velmi obtížné pro vyšetřovatelé přístup k datům Galfgatt je.
"Podle společenství, šifrovací software na počítačích, je prakticky nemožné obejít. Jeho výrobce propaguje skutečnost, že neobsahuje "zadní vrátka", který by umožnil přístup k datům nikdo jiný než oprávněný uživatel. To znamená, že státy Commonwealthu, soubory na čtyřech počítačích nelze přistupovat a zobrazovat, pokud oprávněný uživatel nejprve zadá správné heslo pro odemčení šifrování, "říká rozsudek.
Přesto ne všichni MJSC soudců podpořil rozhodnutí. Justice Barbara Lenk, psaní nesouhlasné stanovisko, uvedl, že holding soudu, který po zadání hesla žalovaný není tvrdit, že vlastní počítače nebo vytvořené dokumenty na nich je nesprávná.
"Z tohoto pohledu by nemělo být tvrzení, že on vlastnil je, měl výhradní používání a kontrolu nad nimi, nebo se seznámit s některou ze souborů na nich; že některé soubory obsahovaly usvědčující důkazy, o které usiluje, nebo že dokumenty jsou autentické. To je daleko od případu, "napsal Lenk.
"Při užívání tohoto pohledu na věci, soud tvrdí, že žalovaná jen bude zadání hesla, které by neprozradí ke společenství, do šifrovacího programu, a nebude čímž se výběr a produkovat žádné dokumenty. Takový umělý rozdíl mezi aktem zadání dešifrovací klíč a nevyhnutelný výsledek dešifrování zařízení, a tím produkovat soubory ke kontrole, zatemňuje realitu toho, co obžalovaný je nucen zveřejnit. "
klonovaných Android Banking App Skryje Phishing Scheme
29.6.2014 Mobil
Klonované mobilní aplikace, jako je například legií Flappy Bird knock-off, který se vynořil kdysi populární hru byl odstraněn z Google Play a Apple App Store, jsou stále více populární malware vozidla pro útočníky.
Rizika se pohybují od načítání programů, které vytáčet čísla prémie na náklady uživatele, pro ostatní, že špehovat zpráv nebo ukrást data uložená na zařízení.
Mobile Security společnosti Lookout tento týden informoval o klonované bankovní aplikace cílení uživatelům populární izraelské banky. App, klon legitimní aplikace Android Mizrahi banky, od té doby byl odstraněn z Google Play.
"Autoři dal obal kolem legitimní aplikace banky a přerozdělí ji na Google Play úložiště, předstírá, že je finanční instituce," řekl Meghan Kelly z Lookout.
Kupodivu, aplikace se zaměřuje pověření bankovního zákazníka, jak se očekávalo, ale pouze uživatelské ID.
"Opravdu, ti, kdo stavěl malware vložen komentář do kódu diktovat, že pouze uživatel ID být přijata, ne hesla," řekl Kelly.
Pravděpodobné, že útočníci jsou sbírání uživatelských jmen, aby PHISH zákazníky této konkrétní banky později.
Pravděpodobné, že útočníci jsou sbírání uživatelských jmen, aby PHISH zákazníky této konkrétní banky později pro jejich pověření nebo ověřování tokeny, i když to není jasné, proč by to neudělal, takže se mobilní aplikace.
"Jakmile se oběť otevře aplikaci, malware načte přihlašovací formulář, který je html stránka in-app, který byl změněn na odčerpat uživatelské ID je oběti, protože zadat svá pověření. Je to skutečně phishing útoku, "řekl Kelly. "Jakmile uživatel ID je uloženo aplikace vrátí zprávu uživateli říká, že přihlášení se nezdařilo a místo toho, přeinstalovat legitimní bankovní aplikace z Play Store."
Rozhledna poukazuje na to, že většina bankovní malware je omezena do Evropy a Asie, s některými vzorky dokonce se snaží projít sami off jako Google Play, zasílání upozornění na zařízeních uživatelů láká je do nepoctivých bankovních aplikací.
"Bohužel, s app, že se vplíží do Play úložiště Google, je to těžké používat tradiční způsob, jak se chránit," řekl Kelly. "Například, chtějí zjistit, jestli to je developer věříte, nebo tím, že váš telefon je" neznámých zdrojů "zaškrtnuta, aby se zabránilo pádu zařízení nebo drive-by-download app nainstaluje."
Android bankovní trojské koně, jako Svpeng jsou mnohem přímější a nebezpečnější, než je tento. Trojan, studoval výzkumníky společnosti Kaspersky Lab, se šíří přes SMS spamu a přizpůsobuje svou zpráv na základě nastavení jazyka přístroje. Je zaměřen na USA, Německo, běloruské a ukrajinské oběti. V listopadu, vědci Kaspersky hlásil, že nová funkce byla přidána do Svpeng, kde jsou zařízení infikované Trojan prezentovány s phishingem okně po spuštění své bankovní aplikace ve snaze ukrást pověření, které jsou odesílány do příkazového serveru.
Trojan je také součást platební karty kde to vrstvy okna phishing přes Google Play vyzve uživatele k zadání čísla kreditní karty nebo bankovní karty, včetně datum vypršení platnosti a bezpečnostní kód.
Začátkem tohoto roku, Svpeng byl upraven s Ransomware součást náročného 500 dolarů za nedovolenou činnost s mobilním zařízením. To byl krátký žil, řekl Kaspersky výzkumník Roman Unuchek nedávno. Nová verze Trojan začal honit obětí ve Spojených státech s novou komponentu Ransomware míru kolem obětí v USA
"Podařilo se nám identifikovat sedm úpravy nového Svpeng, a všechny z nich obsahovat odkaz třídy Cryptor, ale žádný z nich dělá jakýkoli pokus o jeho použití," řekl Unuchek. "To by mohlo znamenat, že v budoucnu budou zločinci používají Trojan šifrování uživatelských dat a požadovat výkupné ho dešifrovat."
VMware Patche Apache Struts Nedostatky v vCOPS
29.6.2014 Zranitelnosti
VMware je oprava několika závažných chyb zabezpečení v její správní apartmá vCenter Operations Center, z nichž jeden by mohl vést ke vzdálenému spuštění kódu na ohrožené strojů.
Všechny zranitelnosti, které společnost záplaty ležet v Apache Struts Java aplikačního rámce, a nejzávažnější z nich je CVE-2014-0112, která umožňuje útočníkovi spustit libovolný kód.
"ParametersInterceptor v Apache Struts před 2.3.16.2 není správně omezit přístup k metodě GetClass, který umožňuje vzdáleným útočníkům" manipulovat "s ClassLoader a spustit libovolný kód pomocí vytvořeného požadavku," zranitelnost popis říká.
Apache pevné zranitelnost v nové verzi Struts zpět v dubnu. Problém byl vytvořen z důvodu neúplného patch pro předchozí zranitelnosti v Struts. Tři Struts zranitelnosti všechny jsou řešeny ve vydání verze 5.8.2 VMware vCOPS, uvedla firma.
Další dvě, méně závažné zranitelnosti opravené v nové verzi vCOPS jsou CVE-2014-0050 a CVE-2014-0094. První chyba je problém, který by mohl vést ke stavu denial-of-service-li zneužita vzdáleným útočníkem.
"MultipartStream.java Apache Commons FileUpload než 1.3.1, jak je použit Apache Tomcat, JBoss Web, a jiných produktů, umožňuje vzdáleným útočníkům způsobit odmítnutí služby (nekonečné smyčky a spotřeby CPU) přes řemeslně hlavičce Content-Type, který obchází určené podmínky výstupní smyčka je, " poradní říká.
CVE-2014-0094 je také vzdáleně využitelný neověřeného útočník, který by mohl manipulovat se složkou Struts.
"ParametersInterceptor v Apache Struts před 2.3.16.1 umožňuje vzdáleným útočníkům" manipulovat "s ClassLoader pomocí parametru třídy, který je předán metodě GetClass," poradní říká.
Chyba Umožňuje útočníci Bypass PayPal dvoufaktorové ověřování
29.6.2014 Zranitelnosti
Tam je chyba zabezpečení ve způsobu, že PayPal zpracovává určité požadavky z mobilních klientů, které mohou útočníkovi umožnit obejít mechanismus autentizace pomocí dvou faktorů pro služby a převod peněz z účtu oběti pro všechny příjemce si zvolí.
Chyba spočívá ve způsobu, že ověřování toku PayPal pracuje s mobilními aplikacemi služba je pro iOS a Android. Je to na straně serveru, a výzkumníci na Duo Security vyvinul proof-of-concept aplikace, které lze zneužít tuto chybu zabezpečení. PayPal si byla vědoma tohoto problému od března a zavedla řešení, ale není v plánu kompletní opravu až do konce července.
"Útočník potřebuje pouze PayPal uživatelské jméno a heslo oběti, aby se přístup k chráněnému účtu dvoufaktorové a poslat peníze. Ochrana poskytovaná mechanismem dvoufaktorové Security Key lze obejít, a v podstatě zrušil, "Zach Lanier, senior bezpečnostní výzkumník Duo Security, napsal ve svém vysvětlení zranitelnosti a jeho účinky.
"Zatímco mobilní aplikace PayPal je aktuálně nepodporují 2fa povolen účty, je možné účinně oklamat mobilní aplikace přes PayPal do ignorovat 2fa vlajku na účet, následně umožňuje útočníkovi přihlásit bez nutnosti sekundární autentizace."
PayPal dává uživatelům možnost používat formu dvoufaktorové autentizace, který je dodáván v několika podobách, z nichž každá generuje jednorázové heslo pro použití při přihlášení. Systém lze použít na webových stránkách PayPal, ale to není podporována mobilními aplikacemi PayPal právě teď. Způsobem, že zranitelnost funguje, vědci byli schopni vytvořit aplikaci, která triky PayPal API myslet, že mobilní aplikace byl přístup k účtu, který nemá dvoufaktorová autentizace povolena, zcela ignoruje ochranu 2fa.
Aplikace jsou postaveny jednání na dvou různých účinných látek na PayPal, z nichž jeden se stará o ověřování a druhý, který se stará o převod peněz po přihlášení. Při pohledu na zranitelnost, badatelé Duo je si všiml, že když se servery PayPal odpověděl na žádost o příspěvek z mobilní aplikace pro 2fa povoleným účtem, aplikace by pak zobrazí chybová zpráva říká, že 2fa nebyla podporována a odešle uživatele zpět na přihlašovací obrazovce. Ale když nahradil hodnoty v závislosti na serveru, pokud jde o 2fa na "falešné", aplikace by jednoduše umožňuje uživateli na účet, obcházet ochranu 2fa.
Lanier pak se znovu podíval na původní odpovědi serveru a zjistil, identifikátor relace.
"Jak se ukázalo," session_token "se používá pro autorizaci vůči mobileclient.paypal.com, jinak (veřejně) načerno SOAP-based API, které poskytuje další funkce související s účtem, včetně ale ne omezené na posílání peněz," napsal.
"Pak jsme vstoupili do" poslat peníze "procesu v mobilních aplikací, znovu zachytit provoz s krkat. Díky tomu jsme byli schopni sledovat potřebné žádosti / odpovědi a SOAP obálky (číst bolestivé XML), které tvoří převod PayPal fond ze svých mobilních aplikací. Přenos Proces prostředků se ukázalo, že je výměna čtyřech krocích, s každým požadavkem, který musí být hodnoty jedinečné celkové transakce. "
Použití aplikace se postavit tuto chybu zabezpečení zneužít, vědci byli schopni převést peníze z 2fa chráněné účtu jen s uživatelským jménem a heslem. V rozhovoru, Lanier řekl, že se libovolný počet způsobů, jak dosáhnout tohoto úkolu, žádný z kterého je velmi složité.
"Existuje spousta případů PayPal hesla je ohrožena v obří databáze skládek, a tam je také obrovský nárůst PayPal související phishing," řekl. "Tento přístup je již používán. Lidé jsou již dlouhou dobu a jsou i nadále dělat tak. Celé dva faktorem, co měl, abyste se cítili v teple a fuzzy-li heslo je ohrožena. Asi bych použít jednu z těchto technik, které jsou zatraceně účinné, nebo možná iterovat veřejných skládek hesel. "
PayPal chyba byla objevena vnější výzkumník, Dan Saltman, který požádal Duo Security pro pomoc ji potvrdíte a komunikaci s bezpečnostním týmem PayPal.
Bezpečnostní software udrží vaše telefonní data v bezpečí
28.6.2014 Mobil
Vědci pracují na nové aplikaci pro chytré telefony, která pozná, když zařízení drží v ruce někdo jiný než jeho majitel, například zloděj.
Software sleduje způsob, jakým se oprávněný uživatel běžně pohybuje po telefonu, a vytvoří si tak vzorec normálního chování. Nástroj například zaznamenává, jaké aplikace používáte nebo kde s telefonem chodíte. Po takové analýze pak software spolehlivě rozpozná, že je smartphone v cizích rukách a zařízení zablokuje, čímž zabrání zneužití dat.
„Využíváme předvídatelnosti našeho každodenního chování,“ říká doktor Gunes Kayacik, který je šéfem výzkumného projektu realizovaného na Kaledonské univerzitě v Glasgow. Majitelé chytrých telefonů podle něj používají v různý čas konkrétní aplikace a ke všemu tak navíc obvykle činí na stejných místech. Za použití několika zdrojů tak software zvládne vytvořit poměrně přesný profil typického uživatele daného zařízení.
Software kromě aplikací sleduje také používané bezdrátové sítě a různé informace popisující uživatelovo okolí – světlo, zvuk a dokonce i magnetická pole.
Rané verzi softwaru prý nyní vytvoření profilu zabere několik dnů. Logicky zde přitom platí, že čím déle analýza probíhá, tím přesnější profil software vytvoří.
Využití pro tento program se nabízí samo. Chytré telefony často obsahují řadu citlivých osobních dat, která se při ztrátě či odcizení telefonu mohou velmi snadno stát předmět zneužití. Software tomu automaticky zabrání. Mohlo by jít tedy o vhodný doplněk k možnosti zablokovat ztracené zařízení na dálku.
Podle Kayacika se schopnosti softwaru stále zlepšují – dovede cizího uživatele odhalit například i tehdy, když se telefon nachází na místech, kde se často pohybuje i jeho oprávněný majitel. Současné verzi prý rozpoznání cizího uživatele zabere jen několik minut.
Kromě funkce pomocníka při ztrátě zařízení může nástroj najít uplatnění i při ověření uživatele v různých službách – například při online nakupování. Současně by prý mohl nahradil odemykání telefonů pomocí gest. Podle vědců lidé toto ověřování provádí i stokrát za den. Od toho by se jim v případě úspěchu softwaru ulevilo.
Mobilní trojan, který cíleně sleduje politiky či novináře
27.6.2014 Mobil
Trojský kůň napadající chytré telefony s Androidem i iOS odhalili v Kaspersky Lab. Slouží ke sledování nepohodlných osob jako aktivisté, obhájci lidských práv, novináři a politici.
Dosud neobjevený mobilní trojan fungující jak na Androidech, tak na iOS ubjevili vědci v Kaspersky Lab. Jsou součástí takzvaného „legálního“ spyware nástroje Galileo vyvinutého italskou společností HackingTeam, který ve světě využívají některé státní bezpečnostní orgány včetně policie.
Na seznamu obětí dle zprávy Kaspersky Lab a partnerské laboratoře Citizen Lab figurují aktivisté, obhájci lidských práv, novináři a politici.
Provozovatelé RCS (Remote Control System, RCS) Galileo vytvořili škodlivý implantát speciálně pro každý konkrétní cíl, který pak doručili do mobilního zařízení oběti. Jedním ze známých způsobů infekce je „spearphishing“ skrze sociální sítě – často doplněný exploity, včetně zero-days, a lokálními infekcemi přes USB kabely při synchronizaci mobilních zařízení.
Jedním z hlavních odhalení je způsob, jak přesně mobilní trojský kůň Galileo infikuje iPhone. K tomu je zapotřebí „jailbreak“ (tedy softwarová úprava iPhonu tak, aby se do něj mohly instalovat aplikace třetích stran). Nicméně zranitelné jsou i iPhony bez jailbreaku.
Útočník na nich může spustit „jaibreakový“ nástroj „Evasi0n“ pomocí předem infikovaného počítače a poté jej nakazit. Aby se tomu uživatelé vyhnuli, doporučují experti Kaspersky Lab neprovádět jailbreak na iPhonu a zároveň pravidelně aktualizovat iOS.
Mobilní moduly RCS jsou navržené přesně tak, aby fungovaly diskrétně, například s ohledem na životnost baterie zařízení. Využívají k tomu pečlivě a na míru vytvořené špionážní technologie a speciální spouštěče. Například nahrávání audia se spustí jen tehdy, když se oběť připojí k určité Wi-Fi síti, když vymění SIM kartu nebo své zařízení nabíjí.
Obecně jsou mobilní trojské koně RCS schopny provádět řadu různých sledovacích úkolů, včetně odeslání informací o poloze cíle, fotografování, kopírování událostí v kalendáři, registrace nových SIM karet vložených do zařízení a odposlech hovorů a odezírání zpráv, včetně těch z aplikací jako jsou Viber, WhatsApp či Skype.
Malware je přítomný u sedmnácti z dvaceti firem, tvrdí výzkumníci
27.6.2014 Viry
Meziročně aktivita škodlivého kódu podle analytiků dramaticky vzrostla. škodlivý software je podle studie Check Pointu v 84 % organizací, v průměru byl tento škodlivý kód stažen každých deset minut.
Security Report 2014, který se zaměřuje na hlavní trendy v oblasti kybernetických hrozeb ovlivňujících organizace po celém světě, představil Check Point. Základem je detailní analýza dat, během které bylo zpracováno více než 200 000 hodin monitoringu provozu sítí z více než 9 000 bezpečnostních brán napříč organizacemi ze 122 zemí.
14 % organizací zaznamenalo v roce 2012, že zaměstnanci stáhli škodlivý kód každé dvě hodiny nebo ještě častěji, v roce 2013 se tento počet zvýšil více než třikrát na 58 % organizací.
Senzory pro emulaci hrozeb odhalily, že 33 % organizací stáhlo v období mezi červnem a prosincem 2013 alespoň jeden soubor infikovaný neznámým malwarem, přičemž 35 % z těchto infikovaných souborů bylo ve formátu PDF.
Nové nástroje označované jako „Crypters“ umožňovaly tvůrcům malwaru obejít detekční technologie používané antimalwarovými programy.
Boty útočí
Infekce boty se dále šířila, nové boty byly identifikovány v průměru každých 24 hodin. V průběhu roku 2013 byl alespoň jeden bot odhalen v 73 % sledovaných organizací, zatímco v roce 2012 to bylo pouze 63 %. Studie dále zjistila, že 77 % botů bylo aktivních déle než čtyři týdny a boti navíc komunikovali s velícím a řídícím (C&C) serverem každé tři minuty.
Také používání vysoce rizikových aplikací je ve firmách stále běžnější. Aplikace, jako jsou torrenty, nástroje pro anonymní surfování či P2P aplikace pro sdílení souborů používají zaměstnanci v průměru každých devět minut.
V roce 2012 byly P2P aplikace pro sdílení souborů používané v 61 % organizací, v roce 2013 to už bylo v 75 % společností. Navíc v 56 % organizací zaměstnanci používali nástroje pro anonymní surfování, o rok dříve to bylo pouze ve 43 % společností.
Spam, mluvit o klamavé reklamy
25.6.2014 Spam
SPAM SPAM SPAM, to nikdy nedokáže bavit.
Stejně jako většina z vás jsem si můj spravedlivý podíl na spam a jako řada z vás jsem se šťastně na odkazy (nikoli doporučení) a postupujte podle malé žluté cihlové cestě na cokoliv malware nebo "prodej" příležitost se prezentuje. Tohle byl jen trochu víc náhodné než ostatní jsem obdržel v poslední době.
Citace pro domácí bezpečnostní systém, velký musím jedním z těch, pes prostě není zájem zahnat cizince, který chodí do domu. V návaznosti na odkaz jsem skončit na následující straně, po přesměrování z libbean stránku.
Ok, ne tak docela domácí bezpečnostní systém Doufal jsem, ale líbí se mi hry, stejně jako další chlap. Bohužel stisknout tlačítko "stáhnout zdarma" jsem nedostal slíbené povadlé ptáky, ale skončil tady místo.
Teď nevím, jestli software Vox je jen náhodný přistání nebo SPAM běh byl pověřen. Pokud se tato existují organizace, které nemají problém s používáním SPAM pro "legitimní" reklamy, nebo jsou prostě nejsou vědomi. Ne tak docela jistý, co je horší.
Takže tu a tam spam má určité zábavní hodnotu, alespoň pro mě, nedostal můj domácí bezpečnostní systém jsem slíbil i když, ani zábavné hry hrát, ach dobře.
Použití síly Luuuk
25.6.2014 Počítačový útok
Krádež více než půl milionu euro za pouhý týden - to zní jako loupež hollywoodského filmu. Ale organizátoři Luuuk bankovního podvodu vytáhl ho s kampaní Man-in-the-Browser (MITB) proti konkrétní evropské banky. Ukradené peníze se pak automaticky převedeny do přednastavených mule účty. Když se objevil skvělý ovládací panel Luuuk je okamžitě dostal do kontaktu s bankou, a zahájila vyšetřování.
Na 20 lednu 2014 Kaspersky Lab zjištěn podezřelý serveru, který obsahuje několik souborů protokolu, včetně událostí z roboty hlášení k velení a řízení webových panelu. Informace zaslány Zdálo se, že v souvislosti s finanční podvody; to včetně údajů o oběti a sumy peněz ukradených.
Obrázek 1: Příklad souboru protokolu
Po další analýze jsme zjistili další soubory na server obsahující protokoly s různým obsahem a ukazuje potenciálně podvodných bankovních transakcí, stejně jako zdrojový kód v JavaScriptu vztahující se k C2 infrastruktury. Tato informace poskytnuté cenné údaje o bance, které byly cílené a dalších informací, jako např. peněz mezek systému a provozních podrobností použité v tomto schématu.
Obrázek 2: Ovládání zdrojového kódu panel
Poté, co jsme analyzovali všechny dostupné údaje, bylo jasné, že C2 je server-side část Trojan infrastruktury bankovní. Věříme, že podvod byl spáchán za použití Man-in-the-Browser techniky a byl také schopen provádět automatické transakce přednastavit peníze účty mule.
Rozhodli jsme se pojmenovat toto C2 luuuk po cestě správa panel použitý na serveru: / server / adm / luuuk /
Níže je shrnutí relevantních informací získaných z straně serveru součásti:
Asi 190 obětí, většinou se nacházejí v Itálii a Turecku.
Podvodné transakce v hodnotě více než 500 tisíc € (dle protokolů).
Podvodné popisy přenosu.
Oběti "a mezky" IBAN.
Ovládací panel byl umístěn v doméně uvvya-jqwph.eu , řešení na IP adresu 109.169.23.134 během analýzy.
Podvodné kampaně cílené uživatelům jedné banky. I když jsme nebyli schopni se dostat škodlivý kód používaný k oběti, věříme, že zločinci používají bankovní Trojan provádění Man-in-the-Browser operace se dostat pověření svých obětí přes škodlivé webové injekce. Na základě informací dostupných v některé ze souborů protokolu na bázi malware ukradl uživatelská jména, hesla a OTP kódy v reálném čase.
Obrázek 3: Podvodné transakce příklad protokolu.
Tento druh injekce jsou velmi časté ve všech variantách Zeus (Citadela, SpyEye, IceIX, atd.) a všechny z nich jsou dobře známé v Itálii. Během našeho vyšetřování nebylo možné najít infekce vektor, nicméně bankovní trojské koně používají různé metody, aby nakazit oběti, včetně spamu a drive-by downloads.
Útočníci používají ukradené pověření ke kontrole oběť? Y vyvážení a automaticky provádět několik škodlivých transakcí, pravděpodobně pracuje v pozadí legitimní bankovní relace. To by bylo v souladu s jedním ze škodlivých artefaktů (VNC server), které jsme našli vázané ke škodlivému serveru používaného útočníky.
Přes "obvyklé" postupy, kterými se ukrást peníze uživatelů (uživatel / heslo / OTP bypass), co je opravdu zajímavé, v této kampani je klasifikace z předdefinovaných peněz mul používané pro přenos ukradené peníze.
Podle protokolů transakcí, tam byly 4 různé peněz-mule (nebo pokles) skupiny:
13test: limit, který se kapky v této skupině může přijmout je mezi 40.000 a 50.000 eur, ačkoli tam jsou některé kapky, které mají různé limity, mezi 20,000 a 30,000.
14test: limit, který se kapky v této skupině může přijmout je mezi 15.000 a 20.000 eur, ačkoli tam jsou některé kapek do této skupiny, které mají různé limity, mezi 45,000 a 50,000.
14smallings: limit, který se kapky v této skupině může přijmout je mezi 2500 a 3000 eur.
16smallings: limit, který se kapky v této skupině může přijmout je mezi 1750 a 2000 eur, ačkoli tam jsou kapky v této skupině, které mohou přijímat množství mezi 2500 a 3000 eur (stejně jako v 14smallings skupiny).
To by mohlo být ukazatelem dobře organizované mezka infrastruktury. Různé skupiny mají různé limity na peníze, které mohou být převedeny na jeho muly, indikátor úrovně důvěry mezi nimi.
Provozovatelé tohoto ovládacího panelu odstranit všechny citlivé součásti, 22. ledna, dva dny poté, co naše vyšetřování začalo. O činnosti transakce základě se domníváme, že by to mohlo být změna infrastruktury, spíše než úplné zastavení provozu.
Kromě toho, na základě zjištěné podvodné transakce činnosti na serveru a několik dalších ukazatelů, domníváme se, že zločinci stojí za provozu jsou velmi aktivní. Také oni ukázali proaktivní bezpečnostní činnost provozní, měnící se taktiku a čištění stopy, když objevil.
Kaspersky Lab je udržování kontaktů s různými LEA a postižené finanční instituce s cílem stíhat zločince.
Kaspersky Prevence podvodů vs Luuuk
Důkaz odhalil odborníky společnosti Kaspersky Lab uvádí, že kampaň byla s největší pravděpodobností organizována profesionálními zločinci. Nicméně, nebezpečné nástroje, které slouží k ukrást peníze lze účinně čelit bezpečnostních technologií. Například, společnost Kaspersky Lab vyvinula Kaspersky předcházení podvodům - multi-tier platformy na pomoc finanční organizace chránit své klienty z on-line finančních podvodů. Tato platforma obsahuje komponenty, které zajišťují klientských zařízení z mnoha typů útoků, včetně Man-in-the-Browser útoků, stejně jako nástroje, které mohou pomoci společnostem odhalit a blokovat podvodné transakce.
HackingTeam 2.0: Příběh pokračuje mobil
25.6.2014 Mobil
Více než rok uplynul od vydání našeho posledního článku na HackingTeam, italské společnosti, která vyvíjí a "právní" spyware nástroj známý jako dálkové ovládání systému, nebo krátké, RCS. Do té doby bylo stalo hodně, takže je čas pro aktuální informace o všech našich současných vědeckých poznatků o RCS malware.
Umístění příkazů servery
Jednou z nejdůležitějších věcí, které jsme odkryli během našeho dlouhého a intenzivního výzkumu je specifická funkce, než může být použit pro otisky prstů příkaz servery RCS (C2S). Jsme představila podrobnosti o této metodě na konferenci Virus Bulletin 2013.
Abychom to shrnuli, je-li speciální požadavek odeslán na "neškodný" HackingTeam RCS C & C serveru, RCS C & C reaguje s následující chybová zpráva:
Posuňte z naší VB prezentace s HackingTeam je C2 otisk prstu
Za prvé, codename "RCS" je tam v pořádku. Co jsme si nebyli jisti byla "Collector" uvedené v odpovědi. To pravděpodobně odkazuje na skutečnost, že server "shromažďuje" informace z oběti. Použili jsme tento konkrétní metodu otisků skenovat celý adresní prostor IPv4, který nám umožnil najít všechny IP adresy RCS C2S po celém světě a pozemek je pěkně na mapu s vyznačením jejich umístění. Swe označila celkový součet 326 C2S.
Počet C2S Název země
64 SPOJENÉ STÁTY
49 KAZACHSTÁN
35 Ekvádor
32 SPOJENÉ KRÁLOVSTVÍ
24 CANADA
15 Čína
12 Kolumbie
7 POLSKO
7 NOVÝ ZÉLAND
6 PERU
6 INDONÉSIE
6 BRAZÍLIE
6 Bolívie
6 ARGENTINA
5 RUSKÁ FEDERACE
5 INDIE
4 HONG KONG
4 AUSTRÁLIE
3 ŠPANĚLSKO
2 Saúdská Arábie
2 Malajsie
2 ITÁLIE
2 NĚMECKO
2 FRANCIE
2 EGYPT
1 UKRAJINA
1 Thajsko
1 ŠVÉDSKO
1 SINGAPUR
1 RUMUNSKO
1 PARAGUAY
1 MAROKO
1 LITVA
1 Keňa
1 JAPAN
1 IRSKO
1 MAĎARSKO
1 DÁNSKO
1 ČESKÁ REPUBLIKA
1 KYPR
1 Další
1 BELGIE
1 AZERBAIJAN
Mapa ukazuje země místech současného HackingTeam serverů "
Největší množství zjištěných serverů bylo v USA, Kazachstánu a Ekvádoru. Bohužel, nemůžeme být jisti, že servery v určité zemi jsou používány LEA, že konkrétní země; Nicméně, bylo by to smysl, LEA, aby jejich C & Cs v jejich vlastních zemích, aby se zabránilo přeshraničních právních problémů a zabavení serverů. Nicméně, některé IP adresy byly identifikovány jako "vláda" v souvislosti na základě jejich WHOIS informace a poskytují dobrou indikaci o tom, kdo je jejich vlastníkem.
Mobilní moduly
Byl to dobře známý fakt nějakou dobu, že výrobky HackingTeam včetně škodlivého kódu pro mobilní telefony. Nicméně, tito byli zřídka. Zejména Android a iOS trojské koně nikdy nebyly zjištěny dříve a představoval jeden ze zbývajících prázdných míst v příběhu. Začátkem tohoto roku, jsme objevili řadu mobilních malware modulů pocházejících z HackingTeam pro následující platformy:
Robot
iOS
Windows Mobile
BlackBerry
Všechny tyto moduly jsou řízeny stejným typem konfigurace, což je dobré znamení, že oni jsou příbuzní a patří do stejné produktové řady.
Konfigurační soubor z mobilních modulů RCS
Jistě, náš hlavní zájem v průběhu analýzy mobilních modulů byl v iOS a Android, vzhledem k jejich popularitě. Modul iOS funguje pouze na jailbroken zařízení. Zde je popis hlavních funkcí modulu iOS:
Kontrola Wi-Fi, GPS, GPRS
Nahrávání hlasu
E-mail, SMS, MMS
Výpis souborů
Sušenky
Navštívené adresy URL
Mezipaměti webové stránky
Adresář
Historie volání
Poznámky
Kalendář
Schránky
Seznam aplikací
Na změnu SIM karty
Živé mikrofon
Záběry kamery
Podpora chaty, WhatsApp, Skype, Viber
Přihlásit stisky kláves ze všech aplikací a obrazovek přes libinjection
Rozebrat kód modulu iOS
Android Modul je chráněna DexGuard optimizer / obfuscator, a proto je velmi obtížné analyzovat. Nicméně jsme zjistili (viz níže stopu), že vzorek má všechny funkce modulu iOS uvedené výše - a navíc podporu pro únos informace z následujících aplikací:
com.tencent.mm
com.google.android.gm
android.calendar
com.facebook
jp.naver.line.android
com.google.android.talk
Trace z vzorku RCS Android
Mobilní škodlivin
Dalším aspektem zvláštního zájmu pro nás byl způsob, jak se malware vzorky jsou instalovány na mobilních zařízeních. Objevili jsme několik modulů, které infikují mobilní zařízení připojená k infikovaným systémem Windows nebo Mac OS X počítačů.
Jak již bylo uvedeno, modul iOS lze použít pouze na jailbroken zařízení. To je důvod, proč iOS infikuje používá protokol AFP2 přenést. "Infikuje" má pěkné GUI, které umožňuje instalaci v případě, že je fyzický přístup k zařízení, oběti nebo vzdálený přístup správce k infikovaného počítače.
Hlavní okno iOS infikuje
iPhone1, 1 iPhone1, 2 iPhone2, 1
iPhone3, 1 iPhone3, 2 iPhone3, 3
iPhone4, 1 iPhone5, 1 iPhone5, 2
ipad1, 1 iPad2, 1 iPad2, 2
iPad2, 3 iPad2, 4 iPad3, 1
iPad3, 2 iPad3, 3 iPad3, 4
iPad3, 5 iPad3, 6 iPhone
iPhone 3G iPhone 3GS iPhone 4
iPhone 4 iPhone 4 (CDMA) iPhone 4s
iPhone 5 (GSM) iPhone 5 iPad
iPad2 (Wi-Fi) iPad2 (gsm) iPad2 (CDMA)
iPad2 (Wi-Fi) iPad3 (Wi-Fi) iPad3 (gsm)
iPad3 iPad4 (Wi-Fi) iPad4 (GSM)
iPad4
Seznam zařízení Apple podporovaných iOS infikuje
Po úspěšném připojení se infikuje zkopíruje iOS několik souborů na iOS a spustí soubor install.sh:
Část souboru install.sh, který je spuštěn na infikované iOS zařízení
Jak bylo uvedeno výše, vzdálený přístup admin na infikovaném počítači, je jedním z možných způsobů, jak malware, které mají být nainstalovány na připojeném mobilním zařízení. Skutečnost, že pouze jailbroken iOS zařízení jsou podporována, může být limitujícím faktorem. Nicméně, to není velký problém, protože útočník může také spustit Jailbreaking nástroj jako Evasi0n přes stejný infikovaného počítače. V tomto případě je jediná věc, která může chránit uživatele ze vzdáleného útěk z vězení a infekce je přístupový kód v mobilním zařízení je. Nicméně, pokud je zařízení odemčeno, pokud je připojen k infikovaného počítače, může být napaden útočníkem.
Dalším zajímavým mobilní infikuje je jeden pro zařízení BlackBerry, který používá JavaLoader aplikaci načíst vzorků malwaru na BB 4,5 a 5,0. Ve svém rozebraném kódu, našli jsme cestu k ladění souboru PNR, který se objeví, aby byly omylem zapomněli autorů. Původní projekt byl umístěn v "C: \ HT \ RCSBlackBerry \ Workspace \ RCS_BB_Infection_Agent \", pokud byl tento malware vytvořen.
Část kódu Blackberry infikuje s cestou k PDB souboru
Shrnutí
V této poslední splátky našeho pokračujícího výzkumu jsme odhalili obrovskou infrastrukturu, která se používá ke kontrole malwaru implantáty RCS. Naše nejnovější výzkum identifikovány mobilních modulů, které pracují na všech známých mobilních platforem, včetně těch, Android a iOS. Tyto moduly jsou instalovány pomocí škodlivin - speciální spustitelných souborů pro Windows nebo Mac, které běží na již infikovaných počítačů. Ty se promítají do úplnou kontrolu nad prostředím, v, v blízkosti počítače oběti. Tajně aktivaci mikrofonu a při pravidelné záběry z fotoaparátu zajišťuje konstantní dohled nad cíl - což je mnohem silnější než tradiční pláště a dýky operací.
Nová data se vydáváme na HackingTeam v RCS je velmi důležité, protože to ukazuje úroveň kultivovanosti a rozsahu těchto nástrojů ostrahy. Rádi bychom si myslet, že pokud budeme schopni ochránit naše zákazníky z těchto pokročilých hrozeb, pak budeme jisti, nemají problémy s menšími, více společných hrozeb, jako jsou ty, které představuje zločinci.
Příloha:
MD5s mobilních škodlivin:
14b03ada92dd81d6ce57f43889810087 - BlackBerry infector
35c4f9f242aae60edbd1fe150bc952d5 - iOS infector
MD5s vzorků Android:
ff8e7f09232198d6529d9194c86c0791
36ab980a954b02a26d3af4378f6c04b4
a2a659d66e83ffe66b6d728a52130b72
9f06db99d2e5b27b01113f78b745ff28
a43ea939e883cc33fc766dd0bcac9f6a
a465ead1fd61afe72238306c7ed048fe
MD5s vzorků Windows:
bf8aba6f7640f470a8f75e9adc5b940d
b04ab81b9b796042c46966705cd2d201
1be71818a228e88918dac0a8140dbd34
c7268b341fd68cf334fc92269f07503a
Seznam aktivních C2S na 19.06.2014:
50.63.180. ***
146.185.30. ***
204.188.221. ***
91.109.17. ***
106.186.17. ***
119.59.123. ***
95.141.46. ***
192.71.245. ***
106.187.99. ***
93.95.219. ***
106.187.96. ***
124.217.245. ***
23.92.30. ***
82.146.58. ***
93.95.219. ***
209.59.205. ***
RCS moduly (s použitím jména klasifikační společnosti Kaspersky Lab):
Backdoor.OSX.Morcut
Rootkit.OSX.Morcut
Trojan.OSX.Morcut
Backdoor.Win32.Korablin
Backdoor.Win64.Korablin
Rootkit.Win32.Korablin
Rootkit.Win64.Korablin
Trojan.Multi.Korablin
Trojan-Dropper.Win32.Korablin
Backdoor.AndroidOS.Criag
Trojan-Spy.AndroidOS.Mekir
Trojan.Win32.BBInfector
Trojan.Win32.IOSinfector
Trojan.OSX.IOSinfector
Trojan-Spy.IphoneOS.Mekir
Trojan-Spy.WinCE.Mekir
Trojan-Spy.BlackberryOS.Mekir
Vědci dovnitř HackingTeam Mobile Malware, Command infrastruktury
25.6.2014 Viry
Kontroverzní spyware komerčně vyvinutý v Itálii HackingTeam a prodával vlády a prosazování práva pro účely dozoru, má globální velení a řízení infrastruktury a poprvé, bezpečnostní experti mají vhled do toho, jak své mobilní malware komponent práci.
V průběhu akce v Londýně Spolupracující týmy výzkumných pracovníků ze společnosti Kaspersky Lab a Citizen Lab na Munk School of Global Affairs na univerzitě v Torontu dnes informovala o svých zjištěních. Šířka příkazového infrastruktury podporující systém dálkového ovládání HackingTeam je (RCS) je rozsáhlá, s 326 servery odhalen ve více než 40 zemích světa; Zpráva také obsahuje první podrobnosti o vnitřní fungování mobilních komponent RCS pro Apple iOS a Android zařízení.
Nové moduly umožňují vládám a policisty s rozsáhlými možnostmi sledování více obětí, včetně možnosti podat zprávu o jejich umístění, ukrást data z jejich zařízení, použijte mikrofon zařízení v reálném čase, zachytit hlasové a SMS zprávy odeslané prostřednictvím aplikací, jako je Skype , WhatsApp, Viber, a mnohem více.
"Byl to dobře známý fakt nějakou dobu, že produkty HackingTeam součástí malware pro mobilní telefony. Nicméně, tito byli zřídka, "řekl odborníky společnosti Kaspersky Lab na Securelist blogu . HackingTeam, že vědci, i vestavěné moduly pro Windows Mobile a BlackBerry. "Zejména Android a iOS trojské koně nikdy nebyly zjištěny dříve a představoval jeden ze zbývajících prázdných míst v příběhu."
V návaznosti na výzkum propuštěn v březnu, který ukázal, že nejméně 20 procent infrastruktury podporující Dozor pomocí Remote Control System HackingTeam je (RCS), byl umístěn v tuctu amerických datových center, dnešní zpráva ukazuje, RCS "masivní dosah po celém světě pomáhajících úředníky v cílení obětí včetně novinářů, politiků, obhájců lidských práv, a další.
"Přítomnost těchto serverů v dané zemi, neznamená, že se říká, že jsou používány činnými v trestním řízení, že jednotlivé země. Nicméně, to dává smysl, že uživatelé RCS nasadit C & Cs v lokalitách, které kontrolují - tam, kde jsou minimální rizika přeshraničních právních problémů nebo serveru záchvaty, "řekl Sergej Golovanov, hlavní bezpečnostní výzkumník u společnosti Kaspersky Lab.
Golovanov a Morgan Marquis-Boire z Citizen Lab prezentoval výzkum dnes v Londýně, a řekl, že většina příkazů serverů hostil ve Spojených státech, Velké Británii, Kanadě, Ekvádoru a Kazachstánu. Výzkumníci z obou týmů reverzní inženýrství malware vzorky, specifické ukazatele kompromisních a připojení dat k identifikaci umístění velení a řízení infrastruktury po celém světě.
RCS, také známý jako Galileo, je inzerován HackingTeam jako roztok schopný porazit šifrovací technologii znamenal pro zabezpečení komunikace a dat. Tento software je prostředek na bázi a je tajně nainstalován na zařízení oběti; ukradl data jsou odeslána šifrována zpět do příkazového serveru.
Kaspersky Lab říkal, že toto je poprvé, kdy mobilní moduly iOS a Android jsou členité. Kaspersky Lab uvádí se v prohlášení, že její výzkumníci hledali na RCS vzorků malwaru na dva roky a byli schopni odpovídat na mobilních modulů do jiných konfiguračních malware profilů RCS, že si shromažďovány, jakož i další vzorky z Citizen Lab.
Mobilní implantáty, uvádějí vědci, jsou na zakázku postavený pro každý cíl a vložen do zařízení.
"Jakmile je vzorek připraven, útočník doručí ji do mobilního zařízení oběti. Některé ze známých infekčních vektorů zahrnují spearphishing pomocí sociálního inženýrství - často spojený s exploity, včetně nulových dnů; a lokální infekce přes USB kabel při synchronizaci mobilních zařízení, "řekl Kaspersky Lab v prohlášení.
Vezmeme hlubší ponor do malware, Kaspersky a Citizen Lab zjistila, že iOS verze RCS trojské koně zasáhne pouze jailbroken zařízení. Pristine iPhone jsou také zranitelné, pokud útočník může vzdáleně spustit Jailbreaking nástroj jako Evasi0n a pak načíst malware implantát.
Modul iOS má dlouhý seznam možností, včetně dohledu nad e-mailu, SMS, MMS, webové historie, adresáře, historie volání, klávesy a schopnost používat i živé mikrofon a kameru.
"Tajně aktivaci mikrofonu a při pravidelné záběry z fotoaparátu zajišťuje konstantní dohled nad cíl, který je mnohem silnější než tradiční pláště a dýky operací," řekl Kaspersky Lab v prohlášení.
Android modul, mezitím, je chráněn obfuscator pro Android s názvem DexGuard, že z analýzy náročné. Většina schopností iOS jsou také k dispozici pro Android, kromě podpory pro únos aplikace jako Facebook, Google Talk, Tencent Číny a dalších.
"Mobilní moduly RCS jsou pečlivě navrženy tak, aby provoz v diskrétním způsobem, například tím, že věnují zvláštní pozornost životnost baterie mobilního zařízení," řekl Kaspersky Lab. "To je realizován prostřednictvím pečlivě přizpůsobené schopnosti špionáže, nebo speciální spouštěče: například zvukový záznam může začít pouze tehdy, když je oběť připojena na konkrétní síti Wi-Fi (například síť mediálního domu), nebo když / ona změní SIM kartu, nebo při nabíjení přístroje. "
AskMen Site ohrožena jaderného balíčku Exploit Kit
25.6.2014 Zranitelnosti
Uživatelé, kteří navštíví AskMen.com, pánské zábavy a životního stylu portál, jsou hit se škodlivým kódem, případně vyplývající z jaderného balíčku využívat sadu, vědci dnes oznámila.
Pokud uživatel narazí na místě - nebo lokalizovaná verze (aus.askmen com, atd. [.]) Z něj - škodlivý kód je načten automaticky a uživatel je přesměrován na jinou webovou stránku.
Tento konkrétní Java využívat byla hybnou silou na začátku tohoto roku v botnet Java-založené , a byl také distribuován LightsOut Exploit soupravy v díře zavlažování útoku , který se zaměřil na energetické a ropné odvětví.
Podle vědců z Websense, který objevil kompromis a vyslán o tom na svém blogu Security Labs , zdá se, Jaderná balení využívat sadu - nebo variantu soupravy - je používán k provádění této kampaně.
Websense poznamenává, že využívat strana zřejmě používá stejný zmatek techniky Jaderná balení používá a používá stejné výše uvedené Java využívat, stejně.
Škodlivý kód, který spouští přesměrování se zatemnil a lze je nalézt v dolní části stránek JavaScriptu, v závislosti na firmě.
"Zmatek je zde použito jednoduché kódování base64, které lze snadno de-popletl k přesměrování na webové stránky vytvořené jeho generace domény algoritmu, stejně jako samotný DGA," napsali vědci.
Sada také klesne Caphaw , bankovní malware, který byl spatřen kolovat v několika reklamách YouTube loni, že přinejmenším mohl dát přístup útočníkovi stroji oběti, vědci varují.
Websense tvrdí, že se natáhl, aby AskMen.com je webmaster, pokud jde o kompromis, ale má ještě obdržet odpověď tak daleko.
Nicméně, když dosáhl v pondělí odpoledne, Johnny Testa, AskMen.com je marketing a sociální média manažer, trval na tom webu, který je ve vlastnictví vydavatelského koncernu Ziff Davis, nikdy neobdržela žádné e-maily od společnosti Websense.
Testa dodal, že vývojáři AskMen je nebyli schopni detekovat malware na svých stránkách a to buď.
Na stránkách tvrdí, že je "Ne. 1 pánská životní styl publikace, "a zřejmě dosáhne nahoru na 14 milionů amerických čtenářů měsíčně, čísla, které by se mohly promítnout do značné fondu obětí na útočníků, pokud je to opravdu zranitelný.
Dramatický pokles ohrožené NTP servery používané v DDoS útoků
25.6.2014 Počítačový útok
Zatímco záplatování z webových serverů zranitelných k Heartbleed OpenSSL chyba může být pozastavena, nelze totéž říci o opravách NTP servery, které by mohly být prosazeny na ničivé zesílení útoků.
Záplava Distributed Denial-of-service útoků (DDoS) řítil společností v lednu a únoru, někteří dosáhl 400 Gbps a udržování kritických služeb v režimu offline. Útočníci využil slabosti Network Time Protocol (NTP) zaslat velkého množství provoz na zfalšovaných destinací. DDoS útoky byly levné a snadno sundat a sbíral obavy mimo jiné US-CERT, který vydal poradenství v lednu ve výšce takedowns.
V té době, více než 430 tisíc serverů by mohly být použity při útocích; že počet havaroval v březnu jen více než 21.000 a květnu, vlasy přes 17.000 serverů, stále zranitelné, podle průzkumu dnes zveřejnila bezpečnostní firmy Týmu NSFocus.
"Je to obrovská ztráta," řekl Terence Chong, řešení architekt Týmu NSFocus. "Jednou zranitelnost byla objevena, a návěstí byly vyřazeny, organizace spravující tyto otevřené servery se nápravná opatření na opravu jejich servery a přinést softwaru na nejnovější verzi."
Nejnovější verze zakázal monlist funkci nebo příkaz MON_GETLIST v NTP servery, které se používají k synchronizaci nastavení času mezi počítači. Tato funkce umožňuje administrátorům získat seznam posledních 600 strojů interakci se serverem NTP, klasický set-a-zapomenout na funkci. Útočníci použili funkci navázat žádosti monlist ze svých cílů, které byly zaplaveny s UDP. Odpovědi mohou být zesíleny, aby byla mnohem větší než původní žádosti a dostatek NTP servery vracející se žádosti, webové stránky a servery jsou snadno překročení s provozem.
Organizace byly vyzvány, aby okamžitě opravit, nebo ručně zakázat příkaz monlist, s cílem zmírnit tento problém. A zatímco 95 procent si, zbývající 17.000 servery jsou stále obavy, řekl Chong.
"Sedmnáct tisíc je stále spousta serverů venku a nesmí být oprava na dlouhou dobu," řekl Chong. "Pokud nebyly ještě oprava, může to být proto, že server není řádně zdokumentovány a řízena, a nemusí být objeveny na nějakou dobu."
Týmu NSFocus prováděny po celém světě skenování hledají NTP serverů s cílem shromáždit svá data. Chong řekl, že společnost stále pozoruje útoky prosazujících určité procento zbývajících neopravených servery, a upozorňuje, že i když většina z nich byla oprava, v květnu, více než 2000 zůstává, že mají schopnost zahájit útoky s 700x zesílení.
"Veškeré zesílení útoky jsou levné způsob DDoS útočníky k jeho zahájení," řekl Chong. "Mohou napsat skript, který vytvoří 10x až 500x objem zesílení provozu, která by mohla přinést dolů stránky snadno ve srovnání s tradiční metodou použití botnety pod jejich kontrolou, jak generovat provoz sami, což vyžaduje spoustu úsilí."
V dubnu, Arbor Networks vykazovaných údajů, které ukázaly, 85 procent útoků DDoS, které překročilo 100 Gb byly NTP zesílení útoků . CloudFlare hlášeno 400 Gb NTP zesílení útok proti jednomu ze svých zákazníků, doplňování a 300 Gbps útok proti SpamHaus, že se spoléhal na zesílení DNS místo.
Chong řekl, že je důležité, zbývající servery NTP být oprava. NTP servery, které také umožňují zdrojová IP adresa spoofing a nenásledují BCP38, standard, který definuje, jak porazit IP zdrojovou adresu spoofing , je také pravděpodobné, že se stal zdrojem budoucích útoků DDoS.
"Je to chytrý útok. Mám-li vytvořit skript, který odešle žádost každý druhý, si představit, že účinek se vracejí paketů, "řekl Chong.
Skoro polovina lidí si za dolar spustí neznámý program
25.6.2014 Hrozby
Lidé bývají ochotni spustit si na počítači leccos, obvykle však z neznalosti – domnívají se například, že zrovna instalují nový kodek. Co zkusit následující experiment: uživatelé by věděli, že pracují s programy potenciálně rizikovými, ale někdo jim za to nabídne peníze.
Přesně do takového pokusu se výzkumníci pustili. Na základě infrastruktury Amazonu se uskutečnil projekt, v jehož rámci si účastníci měli stahovat a instalovat „experimentální software", konkrétně tzv. Distributed Computing Client. Návštěvníci webu projektu byli instruováni, že se stanou součástí výzkumného programu CMU Distributed Computing Project.
Ochota stahovat a spouštět neznámé programy závisela logicky na slíbené odměně, nicméně už při nabídce 1 dolaru se zapojilo 40 % návštěvníků webu (cena se počítala za jednu hodinu provozu programu, každý počítač se směl zúčastnit pouze jednou). Pro peníze si necháme i koleno vrtat. Lidé byli ochotni program spouštět i ručně a výslovně povolovat jeho běh, když se jim zobrazovaly varovné zprávy (např. od komponenty Řízení uživatelských účtů - UAC). Samozřejmě stále věřili, že jde o seriózní projekt, nikoliv zjevný podvod.
Výzkumníci uvádějí, že účastníci experimentu vesměs dobře věděli, že riskují a dělají něco, co se jim může vymstít. Závěr pro správce IT a vedení firem z toho je, že uživatele nestačí o rizicích vzdělávat – i s příslušnými znalostmi se lidé dají koupit a s vidinou byť i minimální odměny veškerá pravidla poruší, jindy zase bezpečnostní zásady nebudou dodržovat z pohodlnosti. Bezpečnost by proto měla být maximálně vynucena technickými prostředky a neponechána na lidech.
Zajímavé přitom je, že v rámci experimentu byl na řadě zapojených počítačů objeven malware. Drtivá většina strojů měla spuštěný antivirus a další obdobné nástroje, oproti zbytku strojů však právě zabezpečené systémy byly malwarem infikovány pravděpodobněji (!). Jak vyložit toto krajně překvapivé zjištění? Připadali si lidé s antivirem bezpečněji, a proto se chovali riskantněji? Výsledky asi nejsou dány tím, že by se na systémech bez antiviru provozovaly nějaké minimální konfigurace, kdy třeba whitelist zabrání spustit cokoliv – experimentální program zde totiž spustit šel...
Použijte svůj vlastní šifrovací klíče pro Amazon S3 skladování
24.6.2014 Kryptografie
Amazon Web Services má dobrou zprávu pro uživatele S3, jeho populární on-line ukládání souborů webové služby:. Mohou nyní používat vlastní šifrovací klíče k ochraně svých dat v klidu "Se zvyšujícím se počtem případů užití pro S3 rozrostla, takže mají Žádosti o poskytnutí dodatečných způsobů, jak ochránit data v pohybu (jak to cestuje do a od S3) a v klidu (i když je uložen), "Jeff Barr, Chief Evangelist pro Amazon Web Services, vysvětlil ve svém blogu ve čtvrtek. " První požadavek je splněn použitím SSL, který byl podporován S3 od samého počátku. Existuje několik možností pro ochranu dat v klidu. Za prvé, uživatelé se SDK AWS pro Ruby a Javu lze také použít na straně klienta šifrování k zašifrování dat před tím, než opustí prostředí klienta. Za druhé, každý uživatel S3 se mohou rozhodnout používat server-side šifrování. " Pak oznámil, že server-side šifrování S3 nyní přichází s možností uživatelů, které poskytují své vlastní šifrovací klíče. "Ty Nyní máte na výběr - můžete použít stávající šifrovací modelu server-side a nechte AWS spravovat své klíče, nebo můžete spravovat své vlastní klíče a těžit ze všech dalších výhod, které nabízí server-side šifrování ".
Více informací o tom, jak používat své vlastní klíče a jak je zvládnout to lze nalézt zde . Někteří bezpečnostní experti se vyjádřili své pochybnosti o bezpečnosti na straně serveru šifrování, ale Barr snažil se je ujistit, že klíčem uživatelů je předán s jejich PUT objekt, a že S3 zapomene na klíč po šifrování a ukládání dat. Jiní poukazují na to, že server-side nic nemůže být důvěryhodný klienty, a že reklama server-side šifrování dává falešný pocit bezpečí pro uživatele. Jiní ještě poukázal na to, že je to lepší šifrování vše na straně klienta.
Microsoft říká, že obsah bude uživatel není možné použít pro cílenou reklamu
24.6.2014 Bezpečnost
Microsoft oznámil několik změn jeho Microsoft Services dohody (MSA) , a nejdůležitější je, že již dal písemně, že se nepoužívají "dokumenty lidem, fotografie nebo jiné osobní soubory, nebo to, co říkají v e-mailu, chatu, . videohovory nebo hlasová pošta se zaměřují na reklamu na ně " zahrnuje MSA následující služby: Bing, MSN, Outlook.com (dříve Hotmail), OneDrive (dříve SkyDrive), účtu Microsoft, Family Safety, Fotogalerie, Movie Maker, Windows Live Mail, Windows Live Writer, Office.com, Microsoft Office 365 Home Premium, Microsoft Office 365 University a další kancelářské značkové služby společnosti Microsoft odkazující na dohodě prostřednictvím doplňkové dohody. Společnost bude rovněž provádění nového systému Windows Services Ochrana osobních údajů Prohlášení , která definuje, jak jsou informace o uživateli použity a chráněny v rámci účtu Microsoft, Outlook.com a OneDrive. Změny se projeví až na 31 červenci 2014, a stávající uživatelé budou vyrozuměni o nich prostřednictvím e-mailu.
Jedna třetina z kybernetických útoků trvat několik hodin k detekci
24.6.2014 KyberSecurity
Více než jedna třetina z kybernetických útoků trvat hodiny zjistit. Ještě více alarmující, řešení porušení trvá několik dní, týdnů, a v některých případech i měsíce.
Přes zvýšené alokaci zdrojů určená k ochraně sítě, průzkum CSG Invotas a IDG Research zjistí, že 82 procent respondentů nahlásit žádný pokles v počtu bezpečnostních událostí v síti nebo porušení v loňském roce a více než čtvrtina dotázaných hlásí nárůst. Výzkumníci dotázaných s rozhodovací pravomocí o informační bezpečnosti, strategie a implementace řešení u společností s 500 a více zaměstnanci. Oni zkoumali bezpečnostní výzvy obchodní organizace čelí, když se setkají s narušením bezpečnosti v celé jejich sítě. Klíčová zjištění patří:
Více než jedna třetina z porušení trvat několik hodin k detekci
Řešení porušování může trvat dny, týdny nebo měsíce
Probíhající řízení elektronických identit, které kontrolují přístup k podnikání, oblačnosti, a mobilní zdroje se nejvíce času na změnu nebo aktualizaci během bezpečnostní akce
Většina respondentů hledají způsoby, jak snížit dobu odezvy, aby se opatření ke zmírnění rizika adresa, zachování reputace své společnosti, a chránit data zákazníků
Šedesát jedna procent respondentů připouští, že se hledají způsoby, jak zlepšit dobu odezvy na bezpečnostní události.
Automatizaci podnikových procesů řešení nabízejí nový přístup k nejobtížnějším krokem v bezpečnostních operacích: s okamžitou a koordinovanou akci k zastavení útoků na zabezpečení množení. Budování digitální workflow, které mohou být synchronizovány přes podniku umožňuje rychlou pult-reakce na kybernetické útoky. rychlost, přesnost a účinnost je dosaženo použitím carrier-grade technologie, kopírující opakující akce s automatizovaných workflow, a snížit potřebu pro více obrazovek. "To už není překvapením slyšet, že porušení je ohrožena data týkající se zákazníků, zaměstnanců nebo partnerů," řekl Paul Nguyen, prezident globálních bezpečnostních řešení na CSG Invotas. "CIO uvědomují, že potřebují rychlejší, chytřejší způsoby, jak identifikovat narušení bezpečnosti v rámci svých podniků. Ještě důležitější je, že potřebují rychlejší, chytřejší způsob, jak reagovat s rozhodným a koordinovaným opatřením k ochraně proti hrozbám dobrou pověst firmy, důvěru zákazníků a růst tržeb. " čtvrtina respondentů uvádí, že jsou spokojeni s myšlenkou na automatizaci některých bezpečnostních pracovních postupů a procesů a že nasadit automatizační nástroje, kde mohou. Padesát sedm procent respondentů tvrdí, že jsou o něco pohodlnější s automatizací pro určité nízké úrovni a několika vysoké úrovni procesů, ale přesto chtějí bezpečnostní týmy účastní. V průměru respondenti uvádějí, že 30 procent jejich bezpečnostních pracovních postupů jsou dnes automatické; ale téměř dvě třetiny respondentů očekávají, že bude automatizovat více bezpečnostních pracovních postupů v příštím roce.
Postoje na soukromí 15000 spotřebitelů z 15 zemí
24.6.2014 IT
Spanning 15 zemí a 15.000 spotřebitelů, EMC Ochrana Index ukazuje, spotřebitelé držet názory na soukromí, které se liší široce geografií a druh činnosti zapojené do režimu online. dlouhotrvající debatu nad tím, jak moc vlády a podniky viditelnosti by měli mít, pokud jde o soukromí lidí aktivity, komunikace a chování pokračuje do on-line světa. Studie zkoumá, jak spotřebitelé na celém světě sledovat jejich on-line práva na ochranu soukromí a opatření ochotu zabavit výhody a vymoženosti propojeném světě pro ujištění soukromí. závěr? Lidé chtějí výhody technologie bez ztráty soukromí. Tři paradoxy ochrany osobních údajů se objevila, každý s výkonnými důsledky pro spotřebitele, podniky a poskytovatelé technologií: "Chceme, aby to vše" Paradox: Spotřebitelé říkají, že chtějí všechny vymoženosti a výhody digitální technologie, ale říkají, že jsou ochotni obchodovat soukromí, aby si je. " Neprovádět žádnou akci "Paradox: Ačkoliv soukromí rizika přímo ovlivnit mnoho spotřebitelů, většinou říkají, že se prakticky žádné zvláštní opatření na ochranu jejich soukromí - místo umístění břemeno na těch, nakládání s jejich informace, jako jsou vlády a podniky. "Social Sharing" Paradox: Uživatelé sociálních médií stránky tvrdí, že si cení soukromí, ale oni říkají, že volně sdílet velké množství osobních údajů - přes vyjádření nedostatek důvěry a důvěry v tyto instituce na ochranu těchto informací. Lidé se chovají odlišně v závislosti na druhu činnosti, které mohou být rozděleny s řadou on-line osobností (nebo "Me je"), z nichž každý má různé přístupy vůči soukromí. Šest Personas hodnoceny patří:
Sociální Me - interakce s sociálních médií stránky, e-mailové programy, Text / SMS a jiných komunikačních služeb
Finanční Me - interakce s bankami a jinými finančními institucemi
Občan Me - interakce s vládními institucemi
Lékařské Me - interakce s lékaři, zdravotnická zařízení a zdravotní pojišťovny
Zaměstnanec Me - interakce se systémy souvisejících se zaměstnáním a webových stránek
Spotřební Me - interakce s on-line obchodů.
Pohledy na soukromí, se velmi liší podle osobnosti. Například, při pohledu přes čočku občana persona respondentů se ukázalo, největší ochotu propadá soukromí - získat ochranu nebo pro snadnější a efektivnější on-line přístup do státních dávek. . Mezitím, jejich "sociální" persona tvrdí, že nejméně ochotni vzdát se soukromí pro větší sociální propojenosti Michael Kaiser, výkonný ředitel National Cyber Security Alliance, řekl: "Údaje zachycené v EMC Ochrana údajů Index poskytuje fascinující pohled do postoje globálních spotřebitelů a ověřuje základní bod - při respektování soukromí a ochrany údajů je základní hodnota, která by měla být sdílena podniky, vlády a jednotlivce k tomu, aby více důvěryhodné ekosystém Pokud organizace jsou transparentní a odpovědné za jejich postupy pro správu informací, budou jednotlivci. moci lépe spravovat své digitální život v souladu s tím, jak chtějí sdílet informace o sobě. "
Co je nejčastější příčinou ztráty dat?
24.6.2014 Bezpečnost
HDD zhroucení více než zdvojnásobil v posledních čtyřech letech, převládající jako nejčastější příčina ztráty dat dle údajů zákazníka poskytnutých Kroll Ontrack. Když se ptal na příčiny jejich nejvíce nedávných ztrát dat, 66 procent (ve srovnání s 29 procenty v roce 2010) z 1066 dotázaných zákazníků citoval hardwarové havárii nebo selhání, následovaný 14 procent tvrdí, lidské chyby (ve srovnání s 27 procenty v roce 2010). Selhání softwaru zařadil jako třetí nejčastější příčinou ztráty dat s 6 procent. pevný disk havaruje přednost jako nejčastější příčina ztráty dat. Drtivá 72 procent dotázaných poznamenat, že jejich nejnovější ztrátě dat přišla z PC nebo notebooku pevný disk, následuje SSD (15 procent) a RAID / virtuálních služeb (13 procent), ukazuje že dopady ztráty dat každý typ skladování od . spotřebitelský stupeň až do podnikové úrovni Důvodem se zdá být jednoduchá: i když pevný disk (HDD) zásilky jsou na poklesu, jsou stále očekává, že rychlejší než SSD zásilek tři-jeden v roce 2014, v souladu s Jeffem Pederson, manažer Záchrana dat a operací pro Kroll Ontrack. "Existují prostě více pevných disků v oběhu, protože jsou efektivní z hlediska nákladů a výrobci zdokonalili své konstrukci a výrobu," řekl Pederson. "Jako výsledek, HDD tvoří drtivou většinu datových zpětně se zabývat." Průzkum byl proveden mezi zákazníky po celé Severní Americe, Evropě a asijsko-pacifické oblasti. pohledu na jednotlivé segmenty reakce, notebooky a PC pády zvítězil jako hlavní příčinu dat ztráty mezi oběma podniky (71 procent) a domácí uživatele (72 procent), respektive a ztráty zařízení SSD umístila na druhém místě, což představuje 18 procent všech případů ztráty dat pro domácí uživatele a 10 procent pro podniky. "Média pro ukládání dat se nezdaří bez ohledu na typ, je jen otázkou kdy. Tato skutečnost, spolu s faktem, že pevné disky jsou stále nejrozšířenější pohon je důvod, proč HDD pády mají a nadále nejčastější příčinou ztráty dat, "dodal Pederson. "Aby se předešlo takové selhání, jeden by měl pravidelně defragmentovat svůj počítač, zkontrolujte jeho kapacitu a spustit antivirový software, stejně jako monitorování pevného disku software. Kromě dobré hygienické praxe, podniky a domácí uživatelé by měli mít pracovní propouštění, jako zálohovací zařízení nebo služby na místě, a kontinuita plán, který je aktuální a přístupné v případě ztráty. " Co je v sázce? Mezi podniky, 27 procent uvedlo, že jejich nejnovější ztráta rozehnala obchodního procesu, jako je například zakazuje jim nebo jejich společnosti ze skutečnosti poskytuje produkt nebo službu pro své zákazníky. Dalších 15 procent přiznat, že ke ztrátě osobních údajů z jejich podnikatelské stroje kontrastoval s 7 procent, kterým uznal, ztráty dat, související s podnikáním z jejich domácí počítače. "Jako úložiště dat se vyvíjí, tak se počet míst, kde jsme ji uložit," řekl Todd Johnson, viceprezident operací pro obnovu dat, Kroll Ontrack. "Proto není divu, že kritická firemní data jsou v sázce mezi oběma zařízeními společnosti vlastněné a osobní. Vzhledem k tomu, data jsou klíčem k tomu, jak fungují v obou světech, dostupnost je kritická, a to je místo, kde jsme se jít dál jsme pomáhá firmám a koncovým uživatelům přístup a obnovu svých dat od roku 1985, a jsou odhodlány vyvíjí naše techniky pro obnovu dat, aby zajistili, že může zotavit z nejnovější technologie pro ukládání dat. "
Linksys uvádí na trh Pro Series Wireless Access Point
24.6.2014 Hardware
Linksys oznámil první Pro Series Wi-Fi přístupový bod s uvedením na Wireless-AC Dual Band Access Point (LAPAC1750PRO). Nový Pro přístup Series bod nabízí pokročilé funkce vybavit malým a středním podnikům s více možnostmi správy a lepší výkon za přijatelnou cenu.
Nový model podporuje správu clusteru zjednodušit správu více přístupových bodů z jednoho rozhraní a plně přizpůsobitelné zajetí portál pro podniky přivítat návštěvníky značkového prostředí. implementovány funkce Captive Portal umožňuje bezpečné hosta Wi-Fi připojení k internetu, které je plně přizpůsobitelné, aby společnost potřebuje. Úvodní stránka hotspot může být plně značkové firmy v livreji, firemní logo a obrázek na pozadí pro více profesionální vzhled a pocit. Nová Linksys Pro přístup Series bod obsahuje dva ethernetové porty - jeden obzvláště postavený pro agregace, který pomáhá spojit více sítí připojení, které vám pomohou zvýšit propustnost a redundanci v případě, že jeden z připojení se nezdaří. Přístroj podporuje AP clustering zjednodušit správu více přístupových bodů v síti. Klastr poskytuje jediný bod správy pro až 16 přístupových bodů a umožňuje správcům zobrazení, nasadit, konfigurovat a zabezpečit bezdrátovou síť jako jeden celek, spíše než série samostatných bezdrátových zařízení. AP podporuje nejnovější 802.11ac technologie, který poskytuje až trojnásobek * zvýšení výkonu z 802.11n. Vylepšení, jako například širší 80 MHz kanály poskytují větší šířku pásma dat při práci v méně zaplněném pásmu 5 GHz prostoru. S tímto nárůstem Wi-Fi připojení na svobodě, může bezdrátový klient zažít vyšší rychlost při současné maximalizaci jejich výkonu v rozsahu a dosahu. Linksys Business Wireless-AC Dual Band Access Point chrání a zabezpečuje bezdrátovou síť s business-class bezpečnostních prvků, včetně Wi-Fi Protected Access (WPA/WPA2), ověření v síti 802.1x Authentication (ověříte, že váš AP je důvěryhodný AP v síti - lze omezit nepoctiví AP přístupu všech nebo části sítě), MAC-based ACL, Rouge AP detekce, SSID, to-VLAN mapování a Wireless Scheduler.
Poskytovatelé služeb potřebují různé klíčové kompetence v digitálním světě
24.6.2014 IT
Organizace "vznikající transformace digitálních obchodních modelů je hnací potřebu větší IT agility splnit měnící se obchodní strategie a požadavky na vysoce digitalizovaného světa. Tradiční sourcing strategie, které jsou buď příliš centralizovaný, nebo ne centralizované dost, příliš uživatelsky nebo příliš průmyslově, ve skutečnosti snížit, spíše než zlepšení, agility.
Susan Tan, viceprezident pro výzkum ve společnosti Gartner, vysvětluje, jak poskytovatelé služeb potřebují různé klíčové kompetence uspět v digitálním světě: Podniky zahrnující adaptivní sourcing, který řeší nedostatky ve stávající tradiční sourcing strategie a řízení s přístupem ke službám třívrstvého - inovace , rozlišovat a běh - každý s různými požadavky na služby, očekávání, hodnoty, správy, architekturu a dodavatelů a řízení rizik. Adaptivní Model získávání bude podporovat různé potřeby podnikání pro služby v různých vrstvách. . Když oba kupující a poskytovatelé služeb přijmout tento přístup, další sbližování s IT služeb výkonnosti poskytovatele a klienta očekávání vyplývají To je založeno na následujících klíčových závěrů:
Tři vrstvy - inovovat, odlišují a běh - jsou přítomny v IT a procesní prostředí každého klienta a poskytovatel může hrát v jedné nebo více vrstvách, a to buď přímo, nebo prostřednictvím svých partnerů. Vzhledem k tomu, že je třeba integrovat data a systémy napříč různými vrstvami, budou poskytovatelé služeb potřebují pracovat více spolupracovat s ostatními poskytovateli v multi-poskytovatele prostředí.
Adaptivní sourcing vrstvy nejsou statické. Služby byly původně zavedeny a nabídl v jedné vrstvě přejdou v průběhu času, které vyžadují odlišné zaměření a odborné znalosti (a případně i jiné poskytovatele služeb).
Jako organizace urychlit jejich přechod na digitální obchodní model, klienti jsou více otevřené, aby pomocí nové poskytovatele služeb pro inovativní služby v reakci na potřebu různých požadavků způsobilosti ze servisních partnerů, které pomáhají jim orientovat se v digitální cestu úspěšně. Inovovat služby poskytují netradičních a Agile poskytovatelům služeb možnost sesadit úřadující.
Poskytovatelé služeb, které zahrnují adaptivní model, sourcing bude lepší pozici pro účast v digitálním cesty svých klientů, prokázat relevanci, přivést správnou hodnotu, reagovat na potřeby jejich rozšiřující se publikum kupujících / vlivných a pozici jako inovační partnery.
Každý adaptivní sourcing vrstva vyžaduje různé dovednosti a klíčové kompetence. Pouze největší firmy mají investiční potenciál stát se hráč ve všech třech vrstvách. Středně velké a menší poskytovatelé služeb budou muset soustředit na jedno až dvě služeb vrstev, ve kterých se investují a vynikají.
Analýza 3000 zranitelností v SAP
24.6.2014 Zranitelnosti
Podle oficiálních informací z SAP portálu, které více než 3000 zranitelností bylo uzavřeno SAP.
Zde je 6 zdůrazňuje z výzkumu prováděném týmem ERPScan během 7 let hlubší analýzu SAP zranitelnosti. Významný podíl analyzovaných zranitelnosti byl nalezen na ERPScan výzkumného týmu sám. Procento chyb v systému SAP je mnohem vyšší, než si lidé obvykle myslí - počet zranitelností uzavřených SAP je více než 3000, což se rovná asi 5% všech zranitelností kdy . zveřejněny na internetu Zájem o bezpečnost SAP roste exponenciálně -. podíl zranitelností zjištěných třetí strany ve všech zranitelností opravené SAP vzrostl z cca 10% v pozdních 2000s na 60-70%, v posledních měsíčních aktualizací SAP dělá dobré kroky v SDLC - počet chyb v SAP za měsíc se snížil přibližně 2-krát ve srovnání s vysokou vrcholu v roce 2010. Zájem o hacking nových produktů SAP roste - řada problémů nalezených v nových produktů SAP, jako jsou SAP HANA, roste rychleji než v jiných zemích, i když tam jsou asi 10 otázek celkem. Co je populární tradiční bezpečnosti není vždy populární s bezpečností SAP -. korupce paměť zranitelnosti je 7 krát méně populární v SAP, než v obecné typy produktů SAP je velmi složitý systém, a významnou součástí bezpečnostních opatření leží na bedrech správců - problémy s konfigurací v systému SAP je 5 krát více populární než v obecné typy produktů. Pojďme se blíže podívat na podrobnosti s pomocí připomínky ERPScan ČTÚ Alexander Poljakov. Podle cvedetails.com, internetové stránky pro výpočet nejzranitelnější dodavatele počtem CVEs, SAP je na 37. místě v kompletní seznam dodavatelů. Ale ne všechny otázky SAP mají CVEs. SAP sama o sobě není jejich zveřejnění, a externí výzkumníci to buď jen čas od času. Nicméně, pokud budeme počítat podle počtu veřejných rad (tam je asi 500 z nich), SAP je na 15. místě. Tak, že pokud budeme počítat podle celkového počtu vyřešených chyb zabezpečení (bezpečnostní poznámky více než 3000), SAP bude sdílet druhé místo poté, co Microsoft zajímavé. Ale to stále není platné srovnání, vzhledem k tomu, že Microsoft pravděpodobně zavře mnohem více problémů interně. Zatímco počet zranitelností uzavřených SAP Security Poznámky (malé patche) za rok klesá, SAP pohybuje mnoho zranitelných míst na Service Pack, takže v oblasti bezpečnosti poznamenává, pouze velmi kritické otázky a problémy, které byly nalezeny externími výzkumnými pracovníky. Takže, v předchozích letech, jen asi 10% z měsíčních publikovaných zranitelností byly nalezeny externími výzkumnými pracovníky, ale až 60-70% v novějších aktualizacích. Ve stejné době, celkový počet bezpečnostních záplat SAP za rok se snižuje. Různé SAP výrobky mají různé množství zranitelností nalezených ročně. U některých nových SAP platforem, jako je Hana, procento problémů roste každý rok, zatímco pro JAVA platformy procento otázek je zhruba stejný každý rok. Ve stejné době, množství problémů nalezených ve starých platforem, jako je například ABAP, klesá trochu, a počet zranitelností u klientské aplikace, ve srovnání s vrcholem v roce 2010, kdy jsme začali je zkoumat, klesá výrazně. Zatímco typické problémy mají více či méně stejné výsledky, máme dvě oblasti, kde statistiky jít jinak. První ze všech zranitelností korupce paměti, jako je přetečení vyrovnávací paměti - nejoblíbenější zranitelností ve světě (14% ze všech otázek) - představují pouze 2% v SAP, a pouze 1% z nich je ve skutečnosti vzdáleně zneužít, a dokonce i ty jsou většinou na klientské aplikace. Důvod je jednoduchý. Problémy s poškozením paměti jsou obtížně využít v systému SAP, to je důvod, proč jsme vždycky říkám, v našich seminářů a kurzů, které budete potřebovat náklad pro různé verze a platformy. Ale je tu vždy zůstává malá šance, že se něco děje. Nicméně, pro Pentesters a zejména pro zločinci, tyto otázky nejsou zajímavé, protože otázky týkající se konfigurace, řízení přístupu, nebo autentizace je mnohem jednodušší jak pro pentest a za podvod. Zadruhé, řada otázek týkajících se konfigurace je o 11% otázek SAP, zatímco obecně tyto otázky představují pouze asi 2%. Tento výsledek je zcela předvídatelné pro lidi, kteří byli v oblasti bezpečnosti SAP na dlouhou dobu. Vědí, že největším problémem je složitost a přizpůsobení řešení SAP. SAP má tisíce různých konfiguračních vylepšení v různých platformách, a dělají skutečný rozdíl. Bohužel, tyto problémy s konfigurací, nejsou tak snadno opravit, protože mají vliv na obchodní procesy. Přinejmenším, budete muset restartovat systém překonfigurovat. Například, zavřete chybu zabezpečení v protokolu ověřování služby SAP Software Deployment, musí být nainstalována nová verze klienta a serverového softwaru, a to může být někdy docela náročné. Je těžší sledovat, kontrolovat a kontrola než jednoduše aplikovat patche, které se obvykle v blízkosti pouze typické otázky, jako je XSS nebo procházení adresářů.
Cisco zprávy Open Source FNR šifry
24.6.2014 Kryptografie
Cisco vydala nový open-source blokovou šifru s názvem FNR, který je určen pro šifrování malé kousky dat, jako jsou adresy MAC nebo IP adresy. Šifra je stále v experimentální fázi, ale Cisco vydala zdrojový kód a demo aplikaci.
Společnost navrhuje, aby nová šifra tzv. Flexibilní Naor a Reingold-může být ideální pro některé cloudové scénáře, konkrétně monitorování sítě tzv. cloud-based. Šifra je založena na papíře napsané v roce 1999 a Cisco úředníků řekl, že má některé vlastnosti, které mohou mít za následek šířky pásma a skladování úspory v některých případech.
"Když se FNR používán v ECB módu, to si uvědomuje, deterministický šifrovací schéma. Podobně jako všechny deterministické metody šifrování, to není poskytovat sémantické bezpečnost, ale determinismus je třeba v situacích, kdy anonymity pro telemetrii a záznam dat (zejména v cloudu scénářů monitorování sítě na bázi) je nutné. To také půjčuje sebe dobře k dosažení vyhledávat šifrovacích operací, jak je stanoveno v cryptdb projektu. Vzhledem k délce zachování přírody v FNR, to je lepší fit v některých scénářích než cryptdb, jako metoda cryptdb rozšiřuje velikost dat, což má za následek šířky pásma a ukládání úspor, "Sashank Dara Cisco uvedl v blogu poštou .
Cisco vydala zdrojový kód pro FNR na GitHub , a tam je demo aplikace, jakož i, který je určen pro šifrování adres IPv4. Dara uvedl, že nový kód je určen pro šifrování dat, bloky, které jsou menší než 128 bitů, a má schopnost zachovat délku vstupů.
"Taková délka zachování šifrování by bylo užitečné při šifrování citlivých oblastí tuhých formáty paketů, databázových sloupců starších systémů, apod., aby se zabránilo re-inženýrské úsilí o zachování ochrany osobních údajů," řekla Dara.
Google BoringSSL Nejnovější OpenSSL stolu k povrchu
24.6.2014 Zranitelnosti
V roce-plus, protože dohled, soukromí a Snowdenová se stala součástí každodenního zabezpečení konverzace, technologií, které zabezpečí on-line komunikaci a obchod staly Job 1 pro odborníky touží připojit zející trhliny a podepřít další použitelnosti nedostatky.
OpenSSL je pravděpodobně v horní části seznamu, značně zvětšená o Heartbleed zranitelnosti . Dost špatné, že strašidlo je možné NSA backdoor visí nad jakoukoliv šifrovací technologii, ale i další nedostatky, jako je nedostatek finančních prostředků a lidských zdrojů, které se vynořily kolem OpenSSL od Heartbleed zejména.
Minulý pátek, inženýr Google Adam Langley oznámil , že další vidlice z populárních kryptografických knihoven byl v pracích, spojování LibreSSL jako potenciální alternativy k OpenSSL. Dočasně daboval BoringSSL , tato verze znamená posun pro Google, který je postaven tolik jako 70 záplat pro OpenSSL pro používání ve svých výrobcích, včetně Androidu a Chrome.
"Takže jsme přepínání modelů do jednoho, kde dovážíme změny od OpenSSL spíše než rebasing nad nimi," řekl Langley. "Výsledek, že se začnou objevovat v úložišti Chrom brzy a v průběhu času, doufáme, že se ji používat v Androidu a vnitřně příliš."
Google patchwork verze OpenSSL se stalo nepraktické, řekl Langley.
"Použili jsme několik náplastí na horní OpenSSL po mnoho let. Některé z nich byly přijaty do hlavního OpenSSL repozitáře, ale mnoho z nich nezapadají se zárukou OpenSSL v API a ABI stabilitu a mnozí z nich jsou příliš experimentální, "řekl. "Ale jak Android, Chrome a další produkty začaly potřebovat nějakou podmnožinu těchto oprav, věci se staly velmi složité. Vynaložené úsilí udržet všechny tyto opravy (a tam jsou více než 70 v tomto okamžiku) přímo přes více bází kódu je stále příliš mnoho. "
Langley řekl BoringSSL není chtěl být náhradou za OpenSSL.
Langley řekl BoringSSL není chtěl být náhradou za OpenSSL a že společnost Google bude i nadále přispívat bezpečnostní záplaty k projektu a importovat žádné změny. Google je také součástí konglomerátu financuje iniciativu základní infrastrukturu a OpenBSD nadace, iniciativy, jejichž cílem je financovat open source projekty, které jsou kritické internetové infrastruktury.
BoringSSL bude také žít mírumilovně po boku LibreSSL, vidličkou oznámil v dubnu zakladatel OpenBSD, Theo de Raadt. LibreSSL již vymazán více než 90000 řádků kódu C v OpenSSL v dubnu, a byly zavedeny moderní programovací C praktiky.
"Důležité chyby seděl v OpenSSL v trackeru na čtyři roky, dokud jsme je našli, a pevně je v našem stromu," uvedl developer Bob Beck. "Většina kódu nepoužívá nic blížící se osvědčených postupů pro moderní C kód. Hodně to bude vaše oči krvácet, a vrátit zpět do své lebky, jak váš mozek se snaží zoufale není to vidět. Existuje spousta kouzelných délek strun v tam, že jsme pomalu zabíjí. "
De Raadt, mezitím dal své požehnání na mailing listu OpenBSD .
"Myslím, že všichni pracují na LibreSSL je rádi, zprávy o BoringSSL. Volba je dobrá! "Řekl de Raadt. "Jejich prioritou je v bezpečí, ne na ABI kompatibilitu. Stejně jako my. Postupem času, mám podezření, Google verze bude také stát "se sníženým API", protože vyžadují menší podporu starších aplikací. To může dát LibreSSL příležitost k hlavě ve stejném směru, v případě, že aplikace jsou ochotni ... "
Zpomalení OpenSSL Heartbleed Patch Progress o dva měsíce později
24.6.2014 Zranitelnosti
Je to už více než dva měsíce poté, co zprávy zlomil na Heartbleed zranitelnosti v OpenSSL jeden z nejvíce široce rozmístěných kryptografických knihoven na internetu je. V následujících dnech a týdnech, které následovaly po vzniku chyby, která postihla neznámá, ale pravděpodobně obrovský pás na webu, prodejci byli připravení poskytnout záplaty. Nicméně, nový výzkum naznačuje, že horlivost opravit široce uveřejněný chyba může být slábne.
Robert Graham, bezpečnostní výzkumník a majitel Errata Security, bylo sledování patch pokrok Heartbleed, protože krátce poté, co vyšlo najevo. Jen několik dní poté, co Heartbleed stal se známý, Graham provedl scan portu 443. provozu a zjistil, že 615268 stroje byly zranitelné . Měsíc po tom, Graham provedl druhý scan portu 443 a zjistil 318239 stroje zranitelný . V sobotu předvedl třetí skenování, zjištění, že 309197 stroje zůstávají zranitelné .
Je důležité si uvědomit, že údaje zobrazené Grahama skenování neodrážejí celistvost všech systémů postižených Heartbleed. Nicméně, port 443 je hlavní dopravní tepnou pro provoz protokolu HTTPS, který se opírá o SSL, takže nálezy Graham je pravděpodobně odrážet alespoň částečně reprezentativní vzorek širší skutečnosti týkající se realizace opravy pro Heartbleed.
"To znamená, lidé se zastavili ještě snaží opravit," napsal Graham na svém blogu. "Měli bychom vidět pomalý pokles v příštím desetiletí jako starší systémy se pomalu nahrazeny. I deset let od teď, když jsem ještě čekat, že najde tisíce systémů, včetně těch kritických, stále zranitelné. "
Graham plánuje provést skenování znovu příští měsíc, pak na šest měsíců, a jednou za rok po tom pohybu vpřed.
Heartbleed je nebezpečný Internet-široký chyba, která může být využita k ukrást citlivé informace, jako jsou uživatelská pověření na neopravených systémech, a také soukromé šifrovací klíče, pokud je útok zopakuje dost často.
Navzdory těmto zjištěním, že tvůrci kritické infrastruktury a dalšího softwaru nadále opravit Heartbleed do svých produktů , což je dobrá věc, za to, že vědci stále hledají nové způsoby, jak využívat ji .
Microsoft Interflow informační platformy pro sdílení náhledu
24.6.2014 Bezpečnost
Stejně jako v roce PKI, která nikdy nepřijde, že sdílení informací je jednou z více neslavných nestartující cenného papíru. Zatímco úspěch v silně siled prostředí, jako jsou finanční služby, podniky v celém odvětví váhají sdílet hrozeb a bezpečnostních dat ze strachu, že ztratí konkurenční výhodu nebo vystavovat další zranitelnosti.
Microsoft doufá, že poslední trik, aby jeho Microsoft Active Protections Program (MAPP) bude klid vodách a trochu zapojit podniky a odvětví, na sdílení dat hrozeb ve snaze zastavit účinky cílené a trvalé útoky a urychlit zotavení reakce na incidenty.
Soukromá náhled je naplánován se otevřít tento týden pro Microsoft Interflow , distribuované platformy pro výměnu informací, která je postavena na otevřených specifikacích, jako je strukturovaný Threat Information výraz ( STIX ), důvěryhodné automatizace výměně indikátoru informací ( TAXII ), a Cyber pozorovatelné výraz standardy ( CybOX ). Dnešní oznámení je 11 měsíců poté, co Microsoft rozšířil MAPP, jeho partnerského dodavatele programu sdílení informací, aby zahrnovala incidentů respondentů .
"Uvědomili jsme si, když jsme stavěli [MAPP pro IR], že potřebujeme lepší způsob, jak automatizovat výměnu informací s partnery," řekl Jerry Bryant, senior bezpečnostní strategický, Microsoft Security Response Center.
Interflow je postaven v Azure cloud-based aplikace hostování platformě Microsoft a organizace mohou využít své konzolu pro správu k odběru různé hrozby krmí, vybudovat komunitu důvěryhodnými partnery, s nimiž se na sdílení dat a nastavení úrovně důvěryhodnosti na těchto vztahů, řekl Bryant. Funkce seznamu sledovaných umožňuje společnostem filtrovat potenciální tisíce indikátorů útoků a hrozeb, které mohou být sdělovány, a tyto ukazatele mohou být nakonfigurován tak, aby krmení přímo do detekce narušení bezpečnosti systému, firewall nebo systém ochrany koncových bodů, uvedl Bryant.
"Tento systém je určen pro end-to-end automatizace. Máme rozhraní API, které mohou být použity k odběru a proces živí na ochranu koncových bodů. Je navržen pro integraci s investicemi, které jste již provedených, "řekl Bryant. "Pokud používáte SIEM udělat analýzu, to, prostřednictvím plug-in architekturou, se zapojuje do této konzole. Můžete ho použít i pro další soubory údajů nebo stavět sady dat, které můžete sdílet zpátky s partnery. "
Zatímco Interflow je rozšiřitelnost umožňuje přizpůsobení krmiv je zpracovává, bude to přijít s řadou krmiv poskytovaných společností Microsoft, stejně, od škodlivých adres URL používaných v útočných kampaní, k detekci vedení, které mohou pomoci partneři napsat podpisy. Tyto společnosti budou mít také možnost odesílání telemetrických dat zpět do společnosti Microsoft na základě hity proti těmto podpisů, jakmile oni jsou rozmístěny, řekl Bryant.
Interflow není jen platformou pro sdílení na podporu Stix a TAXII; Bryant řekl Interflow má být doplňkem pro mnohé z těchto platforem, včetně stanovených one-to-many systémy, jako jsou ty, které používají finanční služby sdílení informací a analýzy centrum ( FS-ISAC ).
"Děláme, že naše systémové rozhovory na jejich," řekl Bryant z ISACs. "Mají cenné datové soubory pro tyto komunity a cenné informace pro nás. Můžeme jim poslat ukazatele [kompromisu] a mohou posílat telemetrii se nám, že zlepšuje naše reakce a řídit rozhodování o out-of-band náplastí, například. "
Není nutná výměna telemetrie, nicméně, řekl Bryant.
"Firmy se vytvořit své vlastní komunity, které chtějí sdílet. Chceme, aby se ve svých komunitách a budeme dělat kanály k dispozici, ale nemají "musí sdílet zpět s námi.
"Mluvili jsme s ředitelů zastává, a některé nelíbí představa, že bude muset sdílet svá data zpět s vlastní organizací. Nechceme požadovat, aby; my jen chceme, aby usnadnila větší sdílení v průmyslu. "
Bryant řekl, anonymizace a údaje sanační schopnosti jsou na Interflow silniční mapě. Pro tuto chvíli, Microsoft nezadal obecnou dostupnost časovou osu pro Interflow.
"Lidé jsou stále více zajímají o sdílení více o své vlastní informace. Je zřejmé, že tam je hodně váhání, ale můžete začít opatrně s Interflow a rozvíjet těsné kruhy, "řekl Bryant. "To je součást toho, co se snažíme udělat, je usnadnit další úroveň sdílení a umožnit obousměrné sdílení a propojení systémů. Naším cílem je prolomit bariéry a dostat proudí více dat v průmyslu. V současné době, jak to funguje, nedrží krok s hrozbami. "
OfficeMalScanner pomáhá identifikovat zdroj kompromisu
23.6.2014 Incidenty
Při práci nedávno forenzní případ jsem měl možnost šířit příslovečný křídla trochu a využít několik nástrojů, které jsem měl to před.
Ve středu budování mé soudní časovou osu I uvedeného určit počáteční útok vektor, působící na předpokladu, že to byl jeden webový obsah pomocí škodlivého reklamu nebo místa ohrožena web využívat sadu, nebo byl nebezpečný odkaz nebo přílohu dokumentu e-mailem. Jedna zajímavá proměnná vynikla při prohlížení souboru PST oběti. Její společnost byla ve středu pronájem, hledá kandidáty na několik pozic, a přijímal četné e-maily s přílohami životopis, jak PDF a DOC / DOCX. Už jsem zjistil, primární malware kompromis systému oběti, tak jsem prostě potřeboval zjistit, jestli tam byl škodlivý e-mail, který dorazil před založený na časových razítek. Jednou z konkrétních e-mail s Word doc připojené stál přímo tak, jak dorazil v 12:23 hod. téhož dne malware kompromisu později v poledne. Detekce Antimalware okamžitě identifikoval jako přílohu TrojanDownloader: W97M/Ledod.A. Tento údajný příloha životopis byl také pro John Cena, která mě popraskané jako jsem opravdu obeznámeni s WWE profesionální zápasník se stejným názvem. Bohužel, technické detaily pro W97M/Ledod.A byla slabá na to nejlepší a vše jsem musel jít od začátku byl "tento trojan můžete stahovat a spouštět další malware nebo potenciálně nežádoucího softwaru do vašeho počítače." Jo, díky za to. Co je špatné forensicator dělat? Frank Boldewin je (Reconsructer.org) OfficeMalScanner na záchranu! Tento nástroj funguje jako kouzlo, když chcete rychlý způsob skenování pro shell kód a šifrovaných souborů PE, stejně jako tahání makro detaily z ošklivé dokumentů sady Office. Jako vždy, když se rozhodnete pracovat s Mayhem, to je nejlepší, aby tak učinily v izolovaném prostředí; Vedu OfficeMalScanner na Windows 7 virtuální stroj. Pokud jste právě běží OfficeMalScanner se ven definující žádné parametry, je to laskavě skládky možnosti pro vás, jak je vidět na obrázku 1 .
OfficeMalScanner možnosti
Obrázek 1
Pro tento konkrétní vzorek, když jsem běžel OfficeMalScanner.exe "John Cena Resume.doc" skenování výsledek " Žádné škodlivé stopy nalezené v tomto souboru! " byla vrácena. Jak mě nástroj poradili, běžel jsem OfficeMalScanner.exe "John Cena Resume.doc" informace , jak dobře a udeřil plat nečistoty, jak je vidět na obrázku 2 .
OfficeMalScanner najde kód makra
Obrázek 2
Když jsem otevřel ThisDocument z C: \ tools \ OfficeMalScanner \ John Cena RESUME.DOC-maker jsem byla léčena na adresu URL a spustitelný užitečného zatížení Doufal jsem, jak je vidět na obrázku 3 .
OfficeMalScanner výsledky
Obrázek 3
Trochu virustotal.com a urlquery.net výzkum dodevelopments.com mi řekl všechno, co jsem potřeboval vědět, čistý litevské zlo ve formě IP adresy 5.199.165.239 .
A trochu trekking všech škodlivých exe let je známo, že se v souvislosti s tím IP adresa a voila, měl jsem zdroj.
Viz Jared Greenhill 's writeup na týchž pojmů na EMC RSA Security Analytics Blog a vlastní Lenny Zeltser 'y Analýza Škodlivé Dokumenty Cheat Sheet , kde jsem se poprvé dozvěděl o OfficeMalScanner. Dřívější související deníky patří dekódování společný XOR zmatku v škodlivého kódu a analýza škodlivého souborů ve formátu RTF pomocí OfficeMalScanner v RTFScan (Lenny je El Jefe).
Doufám, že se někteří z vás na SANSFIRE 2014. Budu tam v pondělí večer státu internetu Panelová diskuse v 07:15 a představí C3CM Porážka Command, Control, Communications a digitálních útočníci v úterý večer v 8 : 15.
Facebook je pro piráty zlatý důl
22.6.2015 Sociální sítě
Doslova zlatý důl je pro počítačové piráty sociální síť Facebook. Jedna z posledních objevených hrozeb jim totiž umožňuje vydělat velké peníze, prostřednictvím trojských koní v cizích počítačích získávají virtuální měnu - bitcoiny. Upozornil na to Národní bezpečnostní tým CSIRT.CZ.
Nezvaný návštěvník pracuje v počítači nepozorovaně. Nesnaží se získat uživatelská data, ani odposlechnout cizí hesla. Jeho hlavním úkolem je využít výpočetní výkon sestavy, který jim pomůže získat cenné bitcoiny.
Infikovaných strojů bylo doposud odhaleno několik stovek. „Stovky uživatelů sociální sítě Facebook byly infikovány novým trojským koněm, který tajně zneužívá jejich systém k těžbě bitcoinů,“ varoval bezpečnostní analytik Pavel Bašta z týmu CSIRT, který je provozován sdružením CZ.NIC.
„Virus se šíří přes soukromé zprávy Facebooku, které jsou zasílány některým z přátel potenciální oběti,“ podotkl Bašta. Šíří se tedy prostřednictvím dalších zavirovaných počítačů.
Počet obětí bude s největší pravděpodobností velmi rychle přibývat.
Fakt, že je odesílatel zprávy mezi přáteli, zvyšuje velmi šanci počítačových pirátů na úspěch. Počet obětí tak bude s největší pravděpodobností velmi rychle přibývat.
„Ve zprávě se píše ‚hahaha‘ a obsahuje přílohu nazvanou ‚IMAG00953.zip‘. V archivu je umístěn soubor, který na první pohled vypadá jako legitimní .jpg obrázek. Ve skutečnosti je to nebezpečný soubor .jar,“ konstatoval bezpečnostní expert.
Právě s pomocí této aplikace pak útočníci dolují bitcoiny. Pozornější uživatelé přítomnost nezvaného návštěvníka mohou poznat například podle toho, že jejich PC pracuje výrazně pomaleji, než jsou zvyklí.
Na první pohled se nemusí hrozba jevit jako příliš nebezpečná. To je ale podle serveru Hot For Security mýlka, protože útočníci mohou kdykoliv změnit chování nezvaného návštěvníka a místo dolování bitcoinů tak získávat citlivá data z napadeného stroje.
Farmy zotročených strojů
Virtuální měna bitcoin vznikla v roce 2009, větší popularitě se ale těší v posledních letech. Vytvořena byla tak, aby se nedala ovlivňovat žádnou vládou ani centrální bankou. Mince jsou získávány pomocí počítačů se specializovaným softwarem.
Čím je sestava výkonnější, tím dokáže získat více bitcoinů. Právě proto se snaží kyberzločinci ovládat co nejvíce cizích počítačů a vytvářet tak celé farmy zotročených strojů. Mince jsou však uvolňovány stále pomalejším tempem. Počet bitcoinů v oběhu se má v roce 2140 ustálit na hodnotě 21 miliónů.
Bitcoiny se těší velké popularitě především coby prostředek pro investici, jedna virtuální mince má aktuálně hodnotu cca 12 tisíc korun. Kurzy však často kolísají. Evropský bankovní úřad kvůli tomu dokonce na konci roku varoval spotřebitele, že neregulované virtuální měny představují velké riziko. Jejich vklady totiž nejsou nijak chráněny.
Nový nástroj: kippo-log2db.pl
21.6.2014 Hacking
Provozoval jsem kippo několik let na několika honeypots, že mám kolem sebe a když jsem začal jsem se jen přihlášení pro textové protokoly, které kippo můžete vytvořit. Od té doby, kippo nyní podporuje přihlašování přímo na databázi MySQL a některé další lidi (zejména Ioannis "Ion" Koniaris na bruteforce.gr) vytvořili nějaké pěkné nástroje pro generování sestav z kippo dat. Tyto nástroje očekávat, že údaje, které se v kippo MySQL databázového schématu. Po přihlášení několik let v hodnotě věci k souborům textu protokolu, nechtěl jsem přijít o všechna data, ale chtěl jsem, aby bylo možné využít některé z úhledných nástrojů, které Ion vyvinula, takže jsem potřeboval způsob, dostat, že data z textových protokolů pro podporované db schématu. Nyní Ion vytvořil skript, který on volal Kippo2MySQL, ale to převést věci do svého schématu a ztratil některé údaje v tomto procesu. Použití, že jako inspirace, nicméně jsem vytvořil skript, který bude číst textové protokoly kippo a naplnit kippo databáze (pomocí stejné schéma, které kippo nyní mohou přihlásit přímo). Jediný zádrhel, který jsem zjistil, je, že když kippo je přihlášení do textových protokolů a restartuje se neudržuje jedinečné ID relace, začne znovu od 1. To způsobilo, že jsem musel udělat malou změnu v tabulce relací. Musel jsem změnit primární klíč z ID na (ID, StartTime). Naštěstí jsem měl kolizi, kde více relací se stejným id vlastně měli ttylogs, který je místo, kde se věci mohly být trochu povrchní. Toto bylo provedeno s
zasedání mysql> ALTER TABLE pokles primární klíč, přidat primární klíč (id, StartTime);
poddajný
mysql> zobrazit vytvořit relace tabulky \ G
*************************** 1 řádek ********************. *******
Tabulka: zasedání
Vytvořit tabulku: CREATE TABLE `zasedání` (
`Id` char (32) NOT NULL,
`Starttime` datetime NOT NULL,
`EndTime` datetime DEFAULT NULL,
`Snímač` int (4) NOT NULL,
`Ip` varchar (15) NOT NULL DEFAULT'',
`Termsize` varchar (7) DEFAULT NULL,
`Klient` int (4) DEFAULT NULL,
PRIMARY KEY (`id`, `starttime`),
KEY `starttime` (`starttime`, `snímač`)
) ENGINE = InnoDB DEFAULT charset = latin1
1 řádek v souboru (0,01 sec)
Já jsem dovezl okolo 800K pokusy o přihlášení a nyní můžete hrát s kippo-grafu nebo (brzy, jsem neměl šanci ještě) kippo2elasticsearch. Skript lze nalézt zde ale mám jeden malý problém, že se budu snažit opravit brzy, myslím, že se tiskne příliš mnoho # 's, jsem ji vytisknout z 1 každých 10.000 řádků čte ze souborů protokolu a Vypadá to, že jsem stále mnohem více než to, ale to je menší nepříjemnost, možná budu jen přidat přepínač do vypni to později. Do té doby si můžete vychutnat a pokud zjistíte nějaké problémy, nebo máte nápady na zlepšení, dejte mi vědět, a to buď v komentářích nebo prostřednictvím e-mailu na níže mou adresu.
Odkazy:
http://handlers.sans.org/jclausing/kippo-log2db.pl
Adware nebo peněžní ztrátu namísto své oblíbené hry Světového poháru
21.6.2014 Viry
Jedná se o čtvrtý a poslední díl našeho seriálu o blogposts o mistrovství světa a IT hrozeb s ním spojené. Navíc, to jsou problémy, které jsme právě teď čelíme, zatímco naše fotbalové hvězdy jsou vykračoval své věci v Brazílii.
Mnoho fanoušků se ocitli daleko od televizoru a hledal live stream velkého hry - ale hledá pro živé vysílání na internetu vám může stát peníze, nebo opustit nebezpečný program na vašem počítači.
Při hledání na internetu pro živé vysílání Word Cup, budete někdy najít nakoupené reklamy, které vedou k podvodné nebo škodlivým obsahem. Zde jsou dva čerstvé příklady toho, vše nastavit na mistrovství světa:
Když jdete na webové stránky, to se vás zeptá ke stažení je k dispozici pro všechny prohlížeče speciální plugin. To má být hráč potřeba se dívat na vysílání on-line z her:
Ve skutečnosti, to je adware program, který se nemusí ukázat vám nic jiného, než se odtok prostředků vašeho počítače. Adware software rozkročí tenkou hranici mezi klasické počítačové trestné činnosti a legitimní software. To je důvod, proč naše statistiky ukazují konstantní detekce rostou na stejná na zařízení uživatele:
Stránky jako je to také slibují zobrazit všechny akce na mistrovství světa:
Stránky nabízejí každou hru, kdykoliv. Slibují vysoce kvalitní záběry převzaté z nejlepších fotoaparátů v arénách. Samozřejmě, že všechny kreditní karty jsou přijímány!
Nicméně, pokud budete platit budete jen ztratit své peníze. Pochybné a nepoctivé stránky jako jsou tyto, nemají zájem hrát podle všech pravidel.
Jeden Posledním důležitým bodem je každý den vidíme spoustu nových registrovaná doménová jména obsahující slova jako "Mistrovství světa ve fotbale Živé kouřící 2014". Věříme, že většina z nich bude použita pro zlomyslné účely.
Počítačoví zločinci, oportunisté a jiné škodlivé jednotlivci hledají příležitosti, jako je mistrovství světa. Vědí, že to je nejlepší čas na podvádět lidi, krást peníze a infikovat jejich zařízení. Zůstaňte náskok a nespadají do jejich pasti sociálního inženýrství. Při procházení a hledání obsahu Použijte tu nejlepší ochranu proti malware a udržet svůj důvtip o vás. Mimochodem, pokud chcete vidět živé vysílání, pravděpodobně můžete použít jeden z těchto legitimních rad.