Nová stránka 18

Chyby zabezpečení v protokolu IPMI dlouhou životnost
6.6.2014 Zranitelnosti
Pokud podniky skutečně stěhovací služby mimo prostor a do cloudu, jsou tam čtyři dopisy IT organizace těchto společností měli být vědomi: IPMI.

Zkratka pro Intelligent Platform Management Interface, tyto malé počítače žít jako vložený Linux systému připojeného k desek velkých serverů od výrobců, jako jsou IBM, Dell a HP. IPMI je používán Management Controller (BMC) Baseboard pro správu Out-of-band komunikaci, v podstatě dává admini dálkové kontrolu nad servery a zařízení, včetně paměti, schopností a ukládání sítí. To je zvláště užitečné pro hosting poskytovatelů a cloud poskytovatelů služeb, kteří se musí řídit zařízení a data v různých lokalitách.

Známí vědci Dan Farmer, tvůrce SATAN Vulnerability Scanner a HD Moore, tvůrce Metasploit, kteří spolupracují na výzkumu zranitelnosti přítomných v IPMI a BMCs a obraz čím dál ošklivější. Loni v červenci, farmář a Moore publikoval nějaký výzkum na toto téma založené na práci Farmer dělal pod DARPA Cyber Fast Track Grant, který odhalil řadu slabých míst, a Internet v celém skenování pro protokol IPMI taktovkou Moore.

Včera, Farmer vydala dokument s názvem "Prodáno Down River", ve kterém on kárá velké dodavatele hardwaru pro ignorování chyb zabezpečení a špatné konfigurace, které jsou triviální najít a využít.

"Mnohé z těchto problémů by bylo snadné opravit, pokud je protokol IPMI prodělal vážnou bezpečnostní prověrku, nebo v případě, strávil vývojáři moderní BMCs trochu více úsilí v kalení své produkty a poskytovat svým zákazníkům nástroje k zajištění svých serverů," napsal Farmer. "V tomto bodě, to je příliš pozdě uskutečnit významnou změnu."

Farmář řekl, že počet serverů s zranitelných BMCs dali IPMI nejistoty dlouhou trvanlivost.
Farmář řekl, že počet serverů s zranitelných BMCs dali IPMI nejistoty dlouhou trvanlivost.

IPMI běží bez ohledu na základní operační systém a působí na UDP portu 623 pomocí síťového portu serveru, nebo jeho vlastní port Ethernet. To běží nepřetržitě, farmář řekl, není-li zástrčka je doslova vytáhl. Mooreův skenování vytáhl 230000 reakce na portu 623, což je sice malý plátek z celkového počtu implementací. Přesto Farmer k závěru, že 90 procent BMCs běží IPMI mohla být ohrožena z důvodu neplnění nebo slabých hesel nebo nedostatky v protokolu, a to nejen zaplétat hostitelského serveru, ale ostatní ve stejné skupině správy, protože, jak se objevil, někteří prodejci mají společné hesla.

"Je-li běh-of-the-mlýn serveru ohrožena odhaluje svou vlastní BMC zaútočit ze svého hostitele, který by mohl riskovat posvátnost celé sítě řízení," napsal Farmer. "A v případě, že BMCs, že jsem nebyl schopen měřit něco jako ty jsem byl, to je skutečný problém."

K dispozici jsou dvě populární verze IPMI 1.5 a 2.0, a tam je téměř 50-50 rozkol v nasazení. BMCs běží verze 1.5 je však vážně o zranitelnosti trápily v tom, že téměř všechny porty pro správu serveru mají prázdná množina ověřování, takže log-in bez ověření. Téměř všechny BMCs, farmář řekl, také NULL povolena, což v kombinaci s problematikou správy serveru, dává hackerům otevřené dveře ke všem starším systému IPMI.

"Práva spojená s NULL účtu se liší u jednotlivých výrobců, ale zdá se, že obvykle udělit přístup správce," napsal Farmer. "Bez ohledu na to však může způsobit vzdálené spuštění příkazů na serveru je špatné."

Farmář řekl, 90,1 procent z IPMI 1.5 systémů měl NULL ověřování povoleno. Skládání problému je, že 1,5 i nemá kryptografické ochrany mezi uživatelem a BMC, opouštět to bezbranný vůči útokům proti síťového provozu, jako jsou hesla šňupání a man-in-the-middle útoky.

Verze 2.0, mezitím, zahrnuje některé kryptografických ochran a někteří prodejci uznané NULL autentifikaci jako zranitelnost a pevně ji asi v polovině implementací. Crypto použít, ale zavádí nové bezpečnostní problémy, řekl farmář. Protokol Cipher Zero umožňuje outsider přihlásit bez ověřování, pouze platné uživatelské jméno; každá heslo bude ignorován, řekl farmář. Většina prodejců serveru ve výchozím nastavení jej na svém BMC; HP nedávno dal uživatelům možnost vypnout je poprvé, řekl farmář.

Nejhorší chyba zabezpečení je autentizace RAKP heslo dálkového načtení hash chyb. Proces ověřování zde stanovuje, že server odeslat osolené SHA1 nebo MD5 hash hesla klienta před ověřování ji. Útočník může ukrást tento hash, a brute-force útoku offline.

"Bohužel to znamená, že i když jste na míč a up-to-data s vaším záplatování, které všechny známé bezpečnostní problémy pevné, a vše funguje, jak bylo plánováno, pokud útočník může hádat platný název účtu mohou dostat jeho hash hesla a bezva heslo, aniž byste to věděli, "napsal Farmer.

Farmář řekl, že používá metasploit skenovat IPMI 2.0 BMCs získat heslo hashe z 83 procent těchto systémů, a pomocí populární John Ripper heslo cracker, on byl schopný dostat 30 procent z těchto hesel. A většina z těchto hesel se snadno guessable hesla jako "admin".

Další testování, farmář řekl, bylo zjištěno, že 11.500 BMCs sdílí společné heslo, které by byly bez dokladů výchozí heslo; a dalších 1300 BMCs, nejvíce v Evropě v první řadě na šesti sítích, měla sdílené heslo, pravděpodobně ukazuje na poskytovatele služeb s použitím společné heslo pro správu rozptýlených systémů, řekl farmář.

Papír Farmer také uvádí řadu strategických a technických obrany podniky mohou využívat, včetně smluvních doložkách pro poskytovatele služeb zakazující používání společných nebo podobných hesel, a zakázání výchozích dodavatelů uživatelských jmen používaných jako názvy účtů, které mohou být zneužity, kde Cipher Zero je přítomen.

Linksys E4200 zabezpečení Umožňuje Obejití autentizace
6.6.2014 Zranitelnosti
Lynksys E4200 V2 dvoupásmový router obsahuje chybu zabezpečení, která by útočník mohl zneužít, obejít mechanismus autentizace Web panel a získat oprávnění správce na dotčených zařízeních.
Linksys poskytl aktualizaci firmwaru, která řeší tuto chybu zabezpečení. Nicméně, stejně jako téměř vždy v případě routeru zranitelností, uživatelé dotčených zařízení musí surfovat na Linksys E4200 webové stránky a stáhnout a nainstalovat firmware ručně. Výzkumník, který odhalil chybu tvrdí, že problém je dále zhoršila, protože Linksys neinformoval zákazníky o chybě nebo opravy pro něj.
Nezávislý bezpečnostní výzkumník Jordan Bradley tvrdí, že chyba je způsobena schopností routeru naslouchat na portu 8083.
Nezávislý bezpečnostní výzkumník Jordan Bradley tvrdí, chyba je způsobena schopností routeru naslouchat na portu 8083 se stejným rozhraním jako na portu 80. To je významné, protože přístup k zařízení přes port 8083 zcela obchází proces ověřování HTTPS a uděluje oprávnění správce, který zařízení.
Za vnitřní dopadu dává útočníkovi plná administrátorská oprávnění na postižených E4200 routery, chyba má potenciální vnější důsledky stejně. Přístroj může být vystaven působení širšího Internetu, pokud ovladač síťové měl nějaké DMZ nebo pravidla pro předávání povolena.
Bradley konstatuje, že problém je umocněn tím, rozbité funkcí firmware kontroly. Zařízení se zkouší tuto chybu na domnělý mít to, co bylo v té době nainstalována nejnovější verze firmwaru. Ve skutečnosti však bylo používáte starší verzi. Nejnovější verze firmwaru přístroje - ten, který řeší obtokový chybu - je také řekl, aby problém vyřešit rozpoznání verze firmwaru. Výzkumník říká, že neexistuje žádný náznak toho druhého opravy v changelogu firmware.
"Jako součást odpovědného procesu zveřejňování informací, kontaktoval jsem Linksys 12.února th , "Bradley píše. "Trvalo to několik týdnů před tím, než mě vzali vážně, ale pak odpověděl a požádal mě, abych to více testování. Udělal jsem, a dali jim výsledky, z nichž se zavázaly k uvolnění CVE pro to. "
Pak čekal čtyři měsíce, ve kterém se tvrdí, že pravidelně se natáhl na Linksys, před zpřístupněním chybu veřejně včera.
V aktualizaci, když konstatuje, že stejná zranitelnost byla dříve odhalen nezávislý výzkumník Kyle Lovett.

COPA-DATA Patche DNP3 SCADA zranitelnosti
6.6.2014 Zranitelnosti
Byla zjištěna chyba zabezpečení v konkrétní značku SCADA software, který, pokud je ponechána unpatched, by mohlo vést k odmítnutí služby, a jít na kompromis komunikační spojení v softwaru, což má za následek nestabilitu systému.

Problém je nesprávné vstupní validace zranitelnost a existuje v softwaru podle COPA-DATA, rakouské průmyslové automatizace společnosti.

Objevitel SCADA chyb lovci Adam Crain z Automatak a Chris Sistrunk z Mandiant, zejména zranitelnost postihuje Distributed Network Protocol (DNP3) ovladač v Zenon, Windows-založené průmyslové automatizace softwaru používaného v systémech SCADA.

Podle společnosti, software se používá především v oblasti energetiky a infrastruktury průmyslových odvětví, včetně vody a odpadních vod léčebných zařízení v USA a Austrálii, ale také v dalších zemích po celém světě.

Industrial Control Systems Cyber Emergency Response Team (ICS-CERT), která vydala varování o zranitelnosti úterý varuje, že jak IP-připojení a sériově připojena zařízení mohou stát obětí tohoto problému.

Útočník by mohl buď využít tuto chybu zabezpečení vytvořením škodlivého IP paket, nebo tím, že se fyzický přístup k němu přes nějaký horlivý sociálního inženýrství.

Bez ohledu na vektor útočník skončí použití, mohli přinutit řídicího systému jít do "nekonečné smyčky, což způsobuje proces k havárii." Odtud se někdo bude muset ručně restartovat systém.

Společnost nedávno tlačil nový build (11206) pro Zenon, který se zabývá zranitelností a jeho povzbuzující nikomu běží systémů s ní k aktualizaci nebo upgrade způsobem.

Crain a Sistrunk objevili lodní ICS zranitelností v průběhu let, včetně 25. října loňského roku . Mnoho z těchto chyb zabezpečení, se zaměří na DNP3, komunikační protokol primárně používaných elektrických a vodárenských společností a SCADA systémů.

Vzhledem k tomu, DNP3 se nevztahuje North American Electric Reliability Corporation (NERC) předpisy , slabá místa, jako jsou ty, které vykopali podle Crain a Sistrunk - i když to někdy rychle záplatované - ukazují, jak snadné to může být pro útočníka zničit zařízení, které závislý na protokolu.

DARPA Grand Challenge Cyber Finale Set Pro DEF CON 2016
6.6.2014 Kongresy
DARPA oznámení v říjnu loňského roku, že by sponzor $ 2 milión soutěž, náročné akademické a bezpečnostní průmysl oddaní stoupenci přijít s automatickým obranným systémem v síti, již přilákal 35 účastníky a high-profil místo pro fázi turnaje finále.

Závěrečná fáze DARPA Cyber Grand Challenge se bude konat v průběhu DEF CON 2016, s kvalifikačních akcí plánovaných v mezidobí.

Oba týmy, z nichž sedm byly vyhlášeny včera: For All Secure; GrammaTech; Lekkertech; SIFT; SRI; Trail of Bits; University of California v Berkeley; bude navrhovat a stavět vysoce výkonné počítače používané v průběhu výzvy.

Týmy jsou za úkol budování automatizovaných systémů zabezpečení, které budou moci bránit.
Týmy jsou za úkol budování automatizovaných systémů zabezpečení, které budou moci bránit proti útoku, jak jsou vypuštěny tyto útoky.

DARPA včera řekl, že registrace je otevřena do 2.listopadu. Týmy mohou vstoupit do jedné ze dvou kolejí jsou k dispozici ve výzvě. Open Track je pro osoby samostatně financované týmy, zatímco návrh skladby budou tvořeny týmy pozvané a vzhledem k financování semeno DARPA. Tato skladba se bude přehrávat v otevřeném výběrovém řízení vedle června v kvalifikačním případě, že DARPA.

Vhodně se soutěž odehrává na DEF CON, domov jednoho z nejznámějších a nejdéle běžící zachycení bezpečnostního průmyslu soutěží Flag, DARPA řekl Cyber Grand Challenge bude následovat podobný formát.

"Tento přístup vyžaduje, aby konkurenti zpětně analyzovat tento software vytvořený organizátory výzvou a najít a léčit své skryté nedostatky v živém soutěži sítě," řekl DARPA v prohlášení.

Soutěžící budou mít dva roky na vybudování těchto samostatně hájit systémy před tím, než soutěžit head-to-head v Las Vegas; DARPA plánuje vytvořit vizualizační systém, aby diváci mohli sledovat událost živě a přes internet.

"Metody zabezpečení Dnešní zapojit odborníky pracující s počítačovými systémy pro identifikaci útoků, řemesla nápravná opravy a podpisy a distribuovat tyto korekční uživatelům všude, proces, který může trvat celé měsíce od doby, kdy útok je nejprve zahájena," řekl Mike Walker , DARPA manažer programu . "Jediná efektivní přístup k obraně proti dnešním neustále se zvyšující objem a rozmanitost útoků je přejít na plně automatizovaných systémů, které jsou schopny objevit a neutralizovat útoky okamžitě."

DARPA také včera oznámila, že to bylo uvolnění rozšíření open-source pro operační systém Linux s názvem VYHLÁŠKA. Rozšíření je platforma pro spouštění malých vzorků zkušební software, v podstatě dávat konkurentům výzkumného prostředí pro práci, který bude použit ve výzvě.

DARPA oznámila Cyber Grand Challenge na konci října , a že v době, kdy se systém nebude skenovat a identifikovat zranitelnosti systému, ale Patch je na pochodu.

"V současné době náš čas na opravu nově objevenou bezpečnostní chybu se měří ve dnech," řekl Walker. "Prostřednictvím automatického uznávání a sanace softwarových chyb, termín pro nové kybernetického útoku se může měnit od nuly den nulové sekundu."

DARPA řekl, v té době také, že vstřelí záznamy o tom, jak dobře systém chránit hostitele, identifikovat nedostatky a udržovat software běží. Kromě první ceny, běžci-up by získáte 1 milionů dolarů a třetí místo 750.000 dolar.

Google data ukazují, šifrování Trendy ve správném směru
6.6.2014 Zabezpečení
V uplynulém roce došlo k obrovské množství změn a turbulencí v oblasti bezpečnosti a ochrany osobních údajů komunit, mnoho z nich v souvislosti s dozoru NSA zjevení. Jedna z věcí, které přicházejí ze všech diskusí a debat je větší důraz na význam šifrování, a to zejména šifrování e-mailů a dalších citlivých provoz a zároveň je to křížení různých sítí.

V důsledku zjištění, že NSA a další zpravodajské služby mají schopnost zachytit komunikaci v mnoha různými způsoby, například klepnutím na podmořských kabelů nebo vazby mezi datovými centry, se zabezpečení a ochrany osobních údajů obhájci bylo tlačí hlavních poskytovatelů internetových k šifrování provoz na těchto kritických odkazy a rozšířit jejich použití šifrování v jiných oblastech, stejně. Google, Yahoo a jiní reagovali tím, že začíná nebo urychlování plány k zašifrování spojení mezi datovými centry, což život mnohem těžší protivníky.

Google už byl v procesu šifrování na tyto odkazy, když odhalení NSA začala udeřit, a zrychlil tyto plány v následujících měsících. Yahoo v dubnu oznámila, že šifrované spojení mezi svými datovými centry , stejně. Co dělá tato změna tak důležitá, zejména pro e-mail, je to, že někdo může poskytovatel řešit pouze tento problém v omezené míře, bez ohledu na to, jak velký jeho sítě. Pokud uživatel Gmail se připojuje k serverům Google přes připojení HTTPS výchozí, a potom pošle e-mail prostřednictvím šifrované sítě Google, je zpráva chráněna. Do e-mailu opustí síť společnosti Google, která je. Odtud je to crapshoot.

Existuje ještě spousta velkých poskytovatelů e-mailových které nepodporují šifrování TLS.
Existuje ještě spousta velkých poskytovatelů e-mailových, které nepodporují šifrování TLS plošně, což znamená, že i když Google a uživatel Gmail správně udělali vše, zpráva může ještě skončit poslal jasný, jakmile opustí serveru společnosti Google. To je optimální, pokud se snažíte, aby se zabránilo NSA nebo jiného protivníka dostat snadný přístup k e-mailů posíláte.

Ale věci jsou na vzestupu.

Ve své nové Gmail zprávy transparentnosti šifrování , propuštěn Úterý, Google zveřejnil údaje o tom, že na 1 lednu 2014, jen 33 procent e-mailů opouštějí Gmail byly zašifrovány. Na konci května, že počet se vyšplhal na 69 procent. Pro příchozí poštu, změna je téměř stejně hluboký, s šifrovaný svazek email lezení z 30 procent na Janu 1-56 procent na 25. května. To je obrovská změna v pouhých šest měsíců.

A mnoho z větších poskytovatelů e-mailových a odesílatele v USA jsou na šifrování rozjetého vlaku dnes, což je dobrá zpráva pro uživatele. Yahoo, Amazon, Twitter, Facebook a LinkedIn jsou všechny posílání více než 90 procent svého e-mailu šifrované, podle čísel Google. Na odchozí straně, AOL, Craigslist, Hotmail, MSN, Yahoo a SBC mají lepší než 90 procent jejich pošty šifrované.

Práce, Google, Yahoo a další společnosti, které nyní podporují protokol TLS a nasazování šifrování na klíčové služby dávají uživatelům lepší nástroje k ochraně sebe, dokonce i proti sofistikované, dobře umístěné protivníky. Je tu ještě určitě prostor pro zlepšení, ale data jsou trendy ve správném směru.

Google zprávy end-to-end šifrování rozšíření
6.6.2014 Zabezpečení
Google vydala časnou verzi rozšíření Chrome, který poskytuje end-to-end šifrování dat opuštění prohlížeče. Prodloužení umožní uživatelům šifrovat e-maily ze svých webmail účtů.

Tento krok by Google je dalším krokem v procesu tvorby webových komunikace bezpečnější a odolný dozoru. Rozšíření End-to-End je alfa formě právě teď, ale úředníci Google v plánu, aby bylo k dispozici v Chrome Web Store, jakmile uzly jsou zpracovány. Nový nástroj je založen na OpenPGP a má být více user-friendly možnost šifrování, než jiné programy, jako PGP, což může být obtížné konfigurovat a používat.

"Zatímco end-to-end šifrování nástroje, jako PGP a GnuPG byly po dlouhou dobu, vyžadují velké množství technického know-how a ruční práce použít. Napomoci tomu, aby tento druh šifrování trochu jednodušší, jsme uvolnění kódu pro nové rozšíření Chrome, který používá OpenPGP , otevřený standard podporovaný mnoha existujících šifrovacích nástrojů, "Stephan Somogyi, produktový manažer, bezpečnost a soukromí na Google, napsal blog příspěvek .

Nová přístavba nemusí být pro každého, protože většina uživatelů Gmail a uživatelé ostatních služeb Webmail se nemusí šifrovat všechny zprávy do a ze svých účtů. Ale to může být klíčovým nástrojem pro uživatele, kteří mohou být namířena dohledu nebo útočníky.

"Jsme si vědomi toho, že tento druh šifrování, bude pravděpodobně použity pouze pro velmi citlivé zpráv."
"Jsme si vědomi toho, že tento druh šifrování, bude pravděpodobně použity pouze pro velmi citlivé zprávy nebo ty, kteří potřebují větší ochranu. Ale doufáme, že rozšíření End-to-End bude to rychlejší a jednodušší pro lidi, aby si, že další vrstvu zabezpečení by to potřebují, "řekl Somogyi.

Google také vydal cache údajů o objemu šifrované e-mailu, který proudí dovnitř a ven z jeho služby Gmail. Nová zpráva obsahuje údaje o poskytovatelích šifrovat e-mailové zprávy v tranzitu přes jejich sítě. Údaje Google ukazuje, že více než 99 procent z e-mailu přicházející do Gmailu ze služeb, Amazon je šifrována a 100 procent zpráv z facebookmail.com jsou šifrována. Twitter také skóre nad 99 procent na příchozí zašifrované pošty, a Yahoo šifruje více než 95 procent. Hotmail, mezitím, ukazuje, že struhadlo než 50 procent zpráv přicházejících ze své sítě jsou šifrovány.

V celém souboru dat, 69 procent z odchozích e-mailu z Gmailu je šifrována, a 48 procent pošty příchozích do Gmailu jsou zakódovány.

Kritická OpenSSL dispozici oprava. Patch teď!
5.6.2014 Zranitelnosti
- MITM vulnerablity vliv pouze servery, které běží OpenSSL 1.0.1, ale všechny klienty. Oba mají být náchylné k zneužití tohoto problému.
- MITM zranitelnost není jen DTLS (omlouvám se, měl na tom špatného během webcastu)
- aplikace Časté DTLS: Video / Voice over IP, LDAP, SNMPv3, WebRTC
- Webové servery (https ) nelze použít DTLS.
- OpenVPN "auth-tls" funkce bude pravděpodobně zmírnit všechny tyto chyby
- I když použijete "komerční software", může nadále používat OpenSSL.

Tým OpenSSL vydala kritickou aktualizaci zabezpečení dnes. Aktualizace záplaty 6 nedostatky. 1 z chyb (CVE-2014-0195), může vést ke spuštění nežádoucího kódu. [ 1 ]

Všechny verze OpenSSL jsou zranitelné vůči CVE-2014-0195, ale tato chyba zabezpečení se týká pouze DTLS klienty nebo servery (podívejte se na SSL VPN ... ne tolik HTTPS).

Také jsem jmenovitý CVE-2014-0224 kritická, protože to umožní MITM útoky, jeden z důvodů, proč používat SSL. Aby však bylo možné využít tuto otázku, jak klient a server musí být zranitelné, a jen openssl 1.0.1 je citlivá na serverech (což je důvod, proč jsem se zasekl na "důležité" pro servery). Objevitel této chyby zabezpečení zveřejnil podrobnosti zde: http://ccsinjection.lepidum.co.jp/blog/2014-06-05/CCS-Injection-en/index.html.

CVE-2010-5298 neumožňuje třetí strany k podání data do existujících spojení SSL. To by mohl být velký problém, ale podle poradenské OpenSSL, funkce SSL_MODE_RELEASE_BUFFERS obvykle není povolen.

Ujistěte se, že budete aktualizovat na jednu z těchto verzí OpenSSL:

OpenSSL 0.9.8za (openssl došly dopisy, takže namísto volání tenhle 'z' říkají, že "ZA", aby v příštích vydáních distribuce. Nicméně, to * může * být poslední 0.9.8 verze).
OpenSSL 1.0. 0m
OpenSSL 1.0.1h

CVE Název Náraz Ohrožené verze Zákazník Server
CVE-2014-0224 SSL / TLS MITM zabezpečení MITM Server: 1.0.1 Klient: 0.9.8,1.0.0,1.0.1 (oba musí být zranitelný) Kritický Důležitý
CVE-2014-0221 DTLS rekurze chyba DoS 0.9.8,1.0.0,1.0.1 Důležitý Není chybu
CVE-2014-0195 DTLS neplatné fragment zranitelnost Kód Exec. 0.9.8,1.0.0,1.0.1 Kritický Kritický
CVE-2014-0198 SSL_MODE_RELEASE_BUFFERS NULL pointer dereference DoS 1.0.0,1.0.1
(ani ovlivněna výchozí konfiguraci) Důležitý Důležitý
CVE-2010-5298 SSL_MODE_RELEASE_BUFFERS vstřikování sezení DoS nebo dat Injection 1.0.0, 1.0.1
(s více podprocesy aplikací, není ve výchozím config) Důležitý Důležitý
CVE-2014-3470 Anonymní ECDH Denial of Service DoS 0.9.8, 1.0.0, 1.0.1 Důležitý Není chybu
Údaje o prodejci:

Redhat https://rhn.redhat.com/errata/RHSA-2014-0625.html
https://rhn.redhat.com/errata/RHSA-2014-0626.html
Ubuntu http://www.ubuntu.com/usn/usn-2232-1/
FreeBSD http://www.freebsd.org/security/advisories/FreeBSD-SA-14:14.openssl.asc
[1] https://www.openssl.org/news/secadv_20140605.txt

Mobilní virus požaduje výkupné. Jinak se uživatel nedostane k datům

5.6.2014 Mobil
Chytré telefony ohrožuje nový mobilní virus, který se chová podobně jako obávaný Cryptolocker na klasických počítačích. Uživatelům zašifruje data uložená ve smartphonu a za jejich odemknutí požaduje výkupné. Před hrozbou varovala Trojan Android/Simplocker je dalším příkladem, že mobilní hrozby se čím dál víc podobají těm počítačovým.
Nezvaný návštěvník nazývaný Simplocker se podle analýzy bezpečnostních expertů ukrýval v aplikaci Sex xionix pro přístroje s operačním systémem Android. Nutno podotknout, že tento program se nenachází v legitimním obchodě Google Play, ale na neoficiálních zdrojích, především nejrůznějších internetových fórech.

„Podle všeho jde o testovací nasazení této hrozby ve stadiu vývoje. Například implementace šifrovacího mechanismu je nedokonalá – ale už teď se můžeme obávat masivního nasazení zdokonalených verzí, a to i v jiných jazykových mutacích,“ vysvětlil bezpečnostní expert bratislavské centrály společnosti Eset Robert Lipovský.

Na zavirovaném mobilním zařízení se zobrazuje zpráva:
POZOR, Váš telefon je uzamčen!
Váš telefon je zamčen kvůli sledování a šíření dětské pornografie, zoofilie a dalších úchylností.
K odemčení telefonu musíte zaplatit 260 UAH (441 Kč)
:: Najděte nejbližší platební kiosek
:: Zvolte MoneXy
:: Zadejte (smazáno)
:: Uskutečněte vklad 260 hřiven a stiskněte Zaplatit

Nezapomeňte si vzít potvrzení!
Po zaplacení bude váš přístroj odemčen do 24 hodin.
POKUD NEZAPLATÍTE, PŘIJDETE O VŠECHNA DATA NA VAŠEM PŘÍSTROJI!
Vzorek odhalený v aplikaci Sex xionix komunikuje s uživateli rusky, výkupné má být zaplaceno v ukrajinských hřivnách. Pokud lidé v přepočtu téměř 500 Kč zaplatí, nemají žádnou jistotu, že jejich data budou skutečně zpřístupněna.

Stejnou taktiku totiž počítačoví piráti používali také u Cryptolockeru na stolních počítačích. Ve chvíli, kdy oběti viru zaplatily, data zůstala dále nepřístupná. „Rozhodně nepoukazujte žádné peníze na uvedený účet. Zablokování vašeho počítače způsobil virus trojský kůň. Jeho zprovoznění si musíte objednat u odborné firmy, která virus odstraní,“ varovala už loni policejní mluvčí Eva Kropáčová. [celá zpráva]

Kdo zaplatí, žádnou záruku splnění slibu samozřejmě nemá.
bezpečnostní expert Robert Lipovský
„Simplocker sice obsahuje mechanismus pro dešifrování, ale kdo zaplatí, žádnou záruku splnění slibu samozřejmě nemá. Úvahy, zda výkupné platit, nebo neplatit, jsou však naštěstí zatím irelevantní. Majitelé smartphonů a tabletů by především měli přijmout taková opatření, aby takovému rozhodování nemuseli čelit,“ doporučil Lipovský.

Podle něj je vhodné používat průběžně aktualizované bezpečnostní řešení, zálohovat i na mobilních přístrojích důležitá data a chovat se při používání smartphonu nebo tabletu stejně obezřetně jako v případě počítače.

„Trojan Android/Simplocker je dalším příkladem, že mobilní hrozby se čím dál víc podobají těm počítačovým. Bohužel, uživatelé často s tímto trendem nedrží krok a mobilní bezpečnost podceňují. Z tohoto pohledu je dobře, že se nám podařilo analyzovat zákeřný vyděračský šifrovací malware již ve fázi jeho testování. Uživatelé tabletů a smartphonů tak mohou využít čas do masivního útoku – a ten přijde spíš dřív než později – k prevenci,“ uzavřel bezpečnostní expert.

GnuTLS Záplaty Kritický Vzdálené spuštění kódu Bug
4.6.2014 Zranitelnosti
GnuTLS, open source kryptografická knihovna, byl headliner března kvůli kritickému ověření osvědčení o zranitelnosti , které někteří mylně dát do stejné třídy jako Apple neslavný gotofail chyby .

Knihovny, který se používá v celé řadě linuxových distribucí, včetně Red Hat, Debian a Ubuntu, je zpět v centru pozornosti dnes poté, co bylo zjištěno, že kritická zranitelnost byla v poslední době záplatované.

GnuTLS hlavní architekt a Red Hat inženýr Nikos Mavrogiannopoulos vydala opravu minulou středu poté, co výzkumníků z Codenomicon, stejné firmy, které ohlásil Heartbleed OpenSSL chybu, řekl, že bych našel vzdálené spuštění chybu v GnuTLS.

"Chyba byla nalezena v cestě GnuTLS analyzován ID relace ze serveru Hello paketech TLS / SSL handshake," řekl Tomáš Hoger v poradenství vyslán Red Hat včera. "Škodlivý server nemohl použít tuto chybu odeslat příliš dlouhou hodnotu ID relace a spustit přetečení vyrovnávací paměti ve spojovacím TLS / SSL klienta s gnutls, přimět to, aby pád nebo případně spustit libovolný kód."

Oprava Mavrogiannopoulos "opravuje chybu kódování na serveru Hello pakety
Oprava Mavrogiannopoulos "opravuje chybu kódování na serveru Hello paketů; délky ID relace byly dříve kontrolovány tak, aby nepřekračoval příchozí velikosti paketů, ale nebyly kontrolovány s cílem zajistit maximální délkou sezení ID nebyl překročen. Chyba byla opravena v GnuTLS 03.1.25, GnuTLS 02.03.15, GnuTLS 3.3.3

I když to není na stejné úrovni jako v předchozím GnuTLS zranitelnosti nebo gotofail, tohle ještě dá servery hrozí vzdálené spuštění kódu nebo odmítnutí služby.

V březnu, krátce poté, co Apple gotofail SSL chyba otřásl bezpečnostní komunity, GnuTLS hlásil a záplatované podobnou chybu, kdy hacker mohl vytvořit speciálně vytvořený certifikát, který bude přijat na serveru se službou knihovnu a přijata jako platný. Více než 350 softwarových balíčků spoléhat na GnuTLS kryptografických knihoven, včetně jádra crypto a poštovních knihoven, jako libcrypt, stejně jako řada linuxových distribucí.

Odborníci vyvrátit počáteční srovnání na Apple gotofail , poukazuje na to, že zatímco útočník v pozici man-in-the-middle by mohl zachytit provoz a zavést škodlivý certifikát, že je místo, kde podobnost končí.

Zatímco příkaz goto se objeví v kočárku kódu v obou zranitelnosti, GnuTLS chyba souvisí s nesprávným zacházením chyb. Buggy kód je určen vrátit buď true nebo false proměnné v závislosti na platnosti certifikátu. Místo toho se vrátil specifické chybové kódy, které v booleovských pravidel, jsou interpretovány jako platí bez ohledu na to, zda je kód chyby negativní.

"Pod booleovských pravidel, něco, co není nula je" pravda, "řekl Veracode bezpečnostní výzkumník Melissa Elliott Threatpost v té době. "Proto, chyba chtěl ukázat, selhání by být předány do řetězce jako" pravda "(bez chyby) namísto" nepravých "(chyba)."

GameOver Zeus Takedown vykazuje dobrou Early Returns
4.6.2014 Viry
Účinek takedown na GameOver Zeus botnet tento týden bylo okamžité a významné. Vědci, kteří sledují aktivitu činnosti botnet je peer-to-peer říci, že objem paketů odeslaných z infikovaných počítačů klesl téměř na nulu.

V pátek, FBI a Europol, spolu s výzkumnými pracovníky z několika bezpečnostních společností, provedla Takedown na GOZ botnet, která zahrnovala zadření servery zapojené do provozu botnet a sinkholing některé z domén útočníci využívají pro komunikaci. GOZ je P2P odnož hlavní Zeus malware rodiny, který je speciálně navržen tak, aby krást finanční pověření obětí a pak je použít k podvodným převodům. Je to velký problém pro finanční instituce za pár let, a úřady v USA a Evropě spojili své zdroje k poklesu kladivo na provozovatele botnetu.

Úřady v USA a Evropě spojili své zdroje k poklesu kladivo na provozovatele botnetu.
FBI je účtován Evgeniy Michajlovič Bogachev, ruským státním příslušníkem, s několika zločinů v souvislosti s jeho údajnou účast v GOZ botnet. Se všemi botnet takedowns, existuje celá řada různých cílů. Vědci a dotčené společnosti a oběti chtějí malware zabil a provoz dusil off. A úřady chtějí lidé podílející se na provozu zatčen a stíhán. V případě GOZ, jeden z těchto cílů již bylo dosaženo.

Výzkumníci z CERT Polska, polské Emergency Response Team počítače, které byly sledovat provoz vycházející z infikovaných GOZ strojů a jejich statistik vyplývá, že provoz úplně vysadil na stůl pozdě v den 30. května, zhruba v době, kdy došlo k zastavení šíření. Dopravní znovu špičatý následující den, ale klesla téměř na nulu znovu od té doby.

V předchozích botnet takedowns, sítě někdy přišli zpět k životu v jiných formách, nebo pomocí různých infrastruktury. P2P botnety může být zvláště obtížné zcela odstranit, protože jejich distribuované C2 infrastruktury, který umožňuje operátorům tlačit příkazy k infikovaných počítačů a pak je mohou sdílet mezi sebou. Tradiční shora dolů botnet architektury vyžadují, aby každý bot v doprovodu C2 serveru přijímat příkazy.

Vědci podílející se na GOZ takedown řekl, že operace byla provedena ještě obtížnější, protože provozovatelé botnet vzal obranných opatření na ochranu jeho průběhu let.

"V prvních dnech, GameOver Zeus byl cíleny především na finanční instituce v USA. Během svých let provozu botnet brzy rozšířenou cílovou seznamu zahrnout finanční instituce v Evropě a Asii stejně. Například, v roce 2013 švýcarské uživatelů internetu byly zasaženy spam běhu, který byl distribuci GameOver Zeus ve Švýcarsku , "řekl výzkumník, který provozuje Abuse.ch ve Švýcarsku.

"GameoOver Zeus botnet byl vyvinut další několikrát, hlavně zaměřena na zpevnění P2P složku GameOver Zeus. Hlavním důvodem pro to bylo několik takedown pokusy prováděné podle bezpečnostních výzkumníků v minulých letech. "

WordPress All-In-One SEO balíček Chyby opravené
4.6.2014 Zranitelnosti
Web design firma oprava dvě zvýšení úrovně oprávnění chyby, které by vedly ke cross-site scripting útoky v populární WordPress plugin, který spravuje. Zůstane-li unpatched, by problém nechat potenciálně miliony webových stránek zranitelné.

Problém se vyskytuje ve starých verzích vše v jednom SEO Pack, plugin, který optimalizuje WordPress pro vyhledávače. Semper Fi, vývoj webových aplikací společnosti na starosti dohled nad několika WordPress pluginy, řídí plugin.

Zatímco tam jsou asi 73 milionů webových stránek na internetu, v současné době běží WordPress, asi 20 procent z nich, 15 milionů nebo tak, použijte vše v jednom SEO Pack dělat to jeden z Content Management platformy prvních pět nejpopulárnějších pluginů.

Marc-Alexandre Montpas, výzkumník v bezpečnostní firmě Sucuri, řekl, že jeho výzkumný tým objevil zranitelnost minulý týden při auditu kód společnosti. Montpas diskutovány je v blogu publikoval přes víkend.

Tato chyba zabezpečení může zřejmě dovolit uživateli bez oprávnění správce, který se přihlásil k WordPess webu upravovat parametry plugin. Uživatel může jít na vyladění příspěvky "SEO tituly, popisů a klíčových slov meta tagy. I když tyto akce jsou většinou jen všetečný, by mohly být problematické pro stavbyvedoucí.

Snad ještě více alarmující je skutečnost, že podle Sucuri chyba zabezpečení může být spojen s jiným zranitelnosti a používá ke spuštění škodlivého kódu JavaScriptu v admin panelu. V důsledku toho by útočník mohl změnit admin heslo nebo zavést backdoor v jednom ze souborů lokality vyvolat k pozdějšímu datu.

Semper Fi byla rychlá oprava problémy. Je vytlačena pevné verzi, 2.1.6, v neděli, která řeší problémy Sucuri spolu s hrstkou dalších oprav chyb hlášených uživateli v podpůrných fórech společnosti.

Uživatelé WordPress by měl být schopen aktualizovat svůj plugin po přihlášení do svého administrativního panelu WordPress, bude vše v jednom plugin, jít na rozevírací seznam v horní nebo dolní části stránky a klepnutím na tlačítko "Update." Uživatelé mohou také zamířit do WordPress " plugin adresář .

Chyby ve WordPress pluginy se bohužel staly samozřejmostí. V únoru, Duo Security ukázal, že tam byl problém v jeho plugin, který by mohl nechat dvoufaktorovou autentizaci uživatele bypass na vícemístných sítích.

Výzkum papír v loňském roce, "Bezpečnostní stát WordPress 'Top 50 pluginů," zdůraznil , že zranitelné WordPress pluginy byly staženy osm milionů časy, něco, co je vedlo k množství vysokých profilových útoků a ještě více webových stránek kompromisů v průběhu let.

NIST hledá veřejný komentář na SHA-3 šifrování algoritmus
4.6.2014 Ochrany
Národní institut pro standardy a technologie (NIST) zve veřejnost analyzovat a komentovat její Secure Hash Algorithm-3 (SHA-3), poslední iterace kryptografických hašovacích funkcí schválila a zveřejnila americká Standards Agency za účelem ochrany integrity elektronických zpráv.
SHA-3 vyplývá, SHA-2 a je výsledkem soutěže, kterou podle NIST v roce 2007 s cílem vytvořit nový šifrovací algoritmus hash. Vítězný hash - známý jako Keccak - bude bezpečné hash v nejnovější verzi Federal Information Processing Standard (FIPS). FIPS je sada bezpečnostních pokynů pro federálními agenturami a dodavateli, které obchodují s nimi.
SHA-3 bude rozšířit zabezpečení FIPS 180. Návrh pro příští generaci FIPS 202, která bude doplňovat FIPS 180, názvy SHA-3 jako jeho kryptografického základny.
FIPS 202 specifikuje šest permutací na bázi "houba" funkce na základě Keccak. Na vysvětlení tohoto NIST, "funkce zahrnují čtyři pevné délky kryptografické hašovací funkce, a dvě úzce související funkce" rozšiřitelný-výstupní "(XOFs)." Čtyři funkce s pevnou délkou bude poskytovat alternativu k SHA-2. V XOFs, NIST vysvětluje, může být použit k transformaci funkcí nebo se používají v celé řadě dalších aplikací.
Čtyři pevná délka kryptografické hashovací funkce jsou SHA3-224, SHA3-256, SHA3-384, a SHA3-512. V úzce související XOFs jsou SHAKE128 a SHAKE256.
NIST opustí algoritmu a návrh verzi standardu FIPS 202 otevřené pro veřejnost komentář Komentovat po dobu 90 dnů. Toto období končí 26. srpna. Po uplynutí této doby algoritmus budou zapracovány do konečné verze FIPS 202 a zveřejněna. Komentáře budou přijímány elektronicky a poštou. Pokud máte zájem o komentování, můžete najít návrhy a další informace o připomínkového procesu zde .
Ve své výzvě k veřejnému připomínkovému řízení, NIST popisuje kryptografické hash algoritmy jako základ moderní informační bezpečnosti.
"Oni transformovat digitální zprávu do krátké" otisku ", pro použití v digitálních podpisů," ústav říká vysvětlení hash algoritmů. "Dokonce i malé změny v původním textu zprávy vytváří změnu v trávení, což usnadňuje detekci náhodné nebo úmyslné změny v původní zprávě. Hash algoritmy jsou používány mnoha bezpečnostních aplikací, včetně náhodných bitů generace. "
Kromě generování náhodných čísel, hashovací funkce jsou také použity ve výrobě a ověřování digitálních podpisů a key-derivační funkce, abychom jmenovali alespoň pár dalších aplikací.
Jak FIPS 180 a FIPS 202 upřesnit některé kryptografické hash algoritmy.
"FIPS 180-4 specifikuje SHA-1 a SHA-2 rodiny hašovacích funkcí, a nařídí použití jednoho z těchto funkcí pro federální aplikace, které vyžadují šifrovací hash funkce," píše v NIST vysvětlení FIPS protokolu. "Návrh FIPS 202 určuje nové SHA-3 rodiny hašovacích a rozšiřitelný-výstupních funkcí."
Více informací o revizi a komentování procesu lze nalézt zde .
Před NIST schválila standardy pro šifrování a ústav sám se dostaly pod intenzivní kontrolou v posledních měsících po odhaleních Edward Snowdena, že navrhl, že standardy agentura záměrně oslabené kryptografické protokoly z popudu Národního bezpečnostního úřadu. Ve skutečnosti, tato obvinění měl masivní dost nárazům ovlivnit přesunout tělo jako inertní jako 113 ročníku kongresu, ve kterém Věda a technologie výboru House se připravuje návrh zákona, který by se NSA ruku z kryptografického vývoji norem .

Světový pohár Brazílie 2014: bankomaty a kreditní karty
3.6.2014 Bezpečnost

Část 2. Tipů pro používání bankomatů a vyhnout kreditní karty klonování
Chystáte se navštívit Brazílii během Světového poháru? Vítejte! Doufám, že si můžete vychutnat svůj pobyt! Jak plánujete platit své účty, když jsi tady? V hotovosti nebo kreditní kartou? Bojíte se o kreditní karty klonování? Ty by měly být.

Brazílie má jedny z nejvíce tvůrčích a aktivních zločinci se specializují na kreditní karty klonování - a, bohužel, milují se zaměřit cizince, kteří nevědí, jak chránit své kreditní karty při výběru peněz z bankomatu nebo platit za jejich Churrasco a caipirinha nápojů v restauraci.

V této druhé části našeho seriálu jsme se vysvětlit nejčastější útoky na bankomaty a POS (Point of Sales) zařízení v Brazílii. Jedná se mimo klonovat své kreditní karty pomocí skimmeru zařízení, falešný signage a samozřejmě spoustu malware.

Použití kreditní karty, brazilský způsob

Point of Sales zařízení jsou velmi časté v zemi; najdete je v restauracích, supermarketech, čerpacích stanic a tak dále. Ve skutečnosti kreditní karty jsou upřednostňovaný způsob, jak koupit zboží a zaplatit účty - v závislosti na úvěru brazilské centrální banky a debetních karet tvoří 70% všech plateb v zemi:

Kreditní karty s čipem a PIN jsou přijímány téměř všechny podniky, ani taxikářů - i přes určité nedávné zprávy o bezpečnostní chyby v tomto protokolu, CHIP a PIN karty jsou stále bezpečnější a těžší klonovat než magnetické švihnout karty. Pokud ještě nemáte tento typ karty, zeptejte se ve své bance, jestli je to možné, aby se jeden před cestou.

V Evropě a Severní Americe, mnoho lidí ve zvyku předání své karty, aby zaměstnanci v restauracích a obchodech. V Brazílii, je to nebezpečný zvyk. Prosím, nedělejte to - budete prezentovat podvodníky s jedinečnou příležitost klonovat kartu, a pokušení je nevyhnutelně příliš silný odolat. Mám zahraniční přátele, kteří hlásili jejich karty byly klonované na výlet do Brazílie - to se stalo v přesně v takové situaci, takže byste měli mít kartu na dohled po celou dobu.

Nikdy to nedělejte. Nikdy.

Zapomeňte na své evropské návyky: v Brazílii, to je normální požádat zaměstnance, aby se elektronický platební terminál pro vás. To je mnohem bezpečnější, protože transakce se děje přímo před vámi. Buďte opatrní náhodných setkáních nebo nehody, které by mohly vzít kartu mimo dosah chvíli. Pokud se to stane, zkontrolujte, zda je karta, kterou dostanete zpět je opravdu vaše. Máte-li jakékoliv pochybnosti, nahlásit neprodleně bance.

Udělej to místo!

PoS a PIN pad malware

Brazilský zločinci jsou export POS malware z východní Evropy a používání lokálně, infikovat stroje a čichání čísla kreditních karet. Psali jsme o zajímavém útoku za použití tzv. " Chupa Cabra malware ", Trojan-Spy.Win32.SPSniffer , malware rodinu s několika variant vyvinutých v Brazílii a viděl ve volné přírodě od roku 2010.

Nové varianty PoS malware, ještě trend v Brazílii

Tento Trojan ovlivňuje POS a PIN pad zařízení, z nichž oba jsou velmi časté v zemi. Tato zařízení jsou připojena k počítači přes USB nebo sériový port pro komunikaci s elektronického převodu finančních prostředků softwaru (EFT). Trojan infikuje počítač a čichá dat přenášených prostřednictvím těchto portů.

Tyto PIN polštářky jsou vybaveny bezpečnostními prvky, aby zajistily, že bezpečnostní klíče jsou vymazány, pokud se někdo snaží manipulovat se zařízením. PIN je šifrována, jakmile je zadáno, nejčastěji pomocí trojité šifrování DES. Ale Track 1 údaje (číslo vaší kreditní karty, Datum expirace, servisní kód a CVV) a údaje o veřejných CHIP nejsou šifrována v hardwaru starých a zastaralých zařízení . Ty jsou odesílány ve formátu prostého textu k PC přes USB nebo sériový port. Zachycení těchto dat je dost klonovat své kreditní karty.

Provozovatelé byli vědomi tohoto problému a podporovat masivní aktualizaci firmwaru v těchto zařízeních, s cílem zastavit útoky, ale pokračoval vznik nových variant tohoto malwaru, dokazuje, že tyto útoky jsou stále účinné.

Tam není moc co můžete udělat, aby se zabránilo pádu oběť k tomu, tak prosím bedlivě sledovat na vašem výpisu z kreditní karty zkontrolovat všechny transakce a informujte svou banku okamžitě, pokud uvidíte něco podezřelého. Všude tam, kde je to možné pokusit se zaplatit pomocí bezdrátové POS zařízení - jsou trochu více bezpečnější než ty starší připojen na sériový nebo USB porty.

ATM skimmery, falešný fascia a jackpot malware

Brazílie patří k zemím, které má většina bankomatů po celém světě, podle Světové banky. Takže je tu více než 160.000 příležitostí pro podvodníky nainstalovat skimmer (také známý jako " Chupa Cabra zařízení "); dělají to po celou dobu, a to i během dne můžete vidět visí ven, na sobě žabky a plážové oblečení ve velmi uvolněné náladě, při instalaci sběrače v přeplněném banky:

Použití ruku na pokrytí nákladů na klávesnici při zadávání kódu PIN je skvělý způsob, jak zmařit většinu sběračky, které mají tendenci spoléhat na skryté kamery. Ale existují lidé, kteří se sbíráním na zcela novou úroveň a nainstalovat zcela falešný bankomat:

Některé banky zavedly biometrické autentizaci a brazilské banky byli průkopníky v zavádění této technologie. Ale jako cizinec, že to není pravděpodobné, že vám hodně pomoci - to vyžaduje předchozí registraci u místních bank, a má tendenci být k dispozici pouze pro Brazilce a dlouhodobým pobytem.

Bankomaty Biometrické bázi existuje, ale je nepravděpodobné, že cizinci mohou použít

Jak navrhl Brian Krebs, nejlepší ochrana v tomto případě je horlivý oko - když vidíte něco, co nevypadá v pořádku, oznámí banka nebo majitele stroje, a jít někam jinam, aby stáhla své peníze.

Brazilská federace bank má některé další velmi užitečné tipy týkající se používání bankomatů v Brazílii:

Nikdy nepřijímejte nebo požádat o pomoc cizincům při používání bankomatů, a to i v případě, že nejsou podezřelé;
Buďte si vědomi přítomnosti podezřelých nebo zvědavých lidí v okolí. Pokud si nejste jisti, nezačínejte operaci; věnovat zvláštní péči při ukončení bankovní pobočku, mohl jste obětí " saidinha de banco ";
Pokud se vaše kreditní nebo debetní karta je zachován v bankomatu, stiskněte tlačítko nebo "Cancela" "Odstranit" pro zrušení operace a dostat se do kontaktu s bankou ihned. Zkuste volat z telefonní linku v bance. Pokud není práci, může to být i pokus o zákazníky okrást V těchto případech nikdy přijmout pomoc od cizích lidí, i když říkají, že pracují v bance nezadávejte PIN do stroje jeden..;
Dalším zajímavým trendem v Brazílii a Latinské Americe je "jackpot" malware. Nedávno jsme viděli Ploutus v Mexiku a v některých případech byly hlášeny v Brazílii stejně. V těchto případech útočníci infikují Bankomat pomocí USB klíčenky - téměř všichni z nich stále běží nepodporovaný OS, například Windows XP. Malware umožňuje odstranit všechny peníze z bankomatu. To nemá vliv na vás přímo, ale také to může znamenat, ATM nemá peníze, jak se zbavit na vás, když ji budete potřebovat.

To jsou některé tipy z místní obyvatel, v naději, že vám pomůže vychutnat naše pohostinnost během své návštěvy v Brazílii. Při použití bankomatů nebo platit kreditní kartou, bude bezpečné a užijte si stay.šAs konečné tip, dovolte mi ukázat vám tento odkaz , velmi dobrý seznam návrhů, jak zůstat v bezpečí a zvuk během Světového poháru.

V našem dalším blogu můj kolega Dmitrij Bestuzhev vysvětlí rizika pomocí bezplatné Wi-Fi sítí a nabíječky, a jak se připojit k internetu bezpečně.

Gameover Zeus a Cryptolocker takedowns

3.6.2014 Viry

Do teď mnozí jste již četl zprávy o Brian Krebs na GameOver Zeus (GOZ) a Cryptolocker takedowns (nebo zpřesnění, přerušení). Můžete si přečíst na ministerstvo spravedlnosti v americké soudní dokumenty zde , které obsahují pojmenované podezřelého za provozu GOZ. To je výsledkem rozsáhlé spolupráce v oblasti vymáhání práva a multijurisdictional práce ze soukromého sektoru. TL, verze DR je, že od této chvíle, Gameover Zeus byl narušen a již nemohou kontrolovat klienty. V případě Cryptolocker nové oběť stroje jsou již komunikovat s řídící a kontrolní (C2S), servery, které znamená, že soubory nebudou zakódovány. Pokud se vaše soubory jsou již šifrována, to není změna, jak se kdysi soubory jsou šifrovány neexistuje žádná jiná komunikace, která je nezbytná s C2S, pokud budete platit výkupné. To, bohužel, je pravděpodobné, že dočasný charakter (od 2 týdnů a 6 měsíců v závislosti na konkrétních okolnostech).

Jedna věc, která by mohla být užitečná, je, že pokud budete dodržovat nových infekcí GOZ nebo Cryptolocker, prosím, napište do podrobnosti, takže mohou být analyzovány.

Díky!

Použití nmap pro skenování pro DDOS reflektory

3.6.2014 Počítačový útok

Než jsme se dostali do toho tady je standardní upozornění. Nekontrolovat žádné zařízení, které nemáte výslovné povolení ke skenování. Pokud nevlastníte zařízení vřele doporučuji vám, že povolení v písemné formě . Také, skenování portů může způsobit nestabilitu nebo selhání některých zařízení a / nebo aplikací. Jen se zeptejte někoho, kdo ztratil imigrační styčné důstojníky do heartbleed . Takže buďte opatrní!

Jak jsme viděli v posledních deníků o reflexní DDOS útoky , které jsou určitě chuť na den. americko-CERT tvrdí, existuje několik protokolů na bázi UDP, které jsou potenciálním útoku, . Z vlastní zkušenosti vím, že ty nejrozšířenější jsou DNS, NTP, SNMP, a chargen. Za předpokladu, že máte oprávnění; Existuje jednoduchý způsob, jak udělat dobrý sběr dat pro tyto porty v síti? Ano, jako ve skutečnosti to může být provedeno v jedné jednoduché nmap příkazu.

nmap â € "su â €" â € "PN â €" n â € "balení: 19,53,123,161 â €" script = ntp-monlist, dns-rekurze, snmp-sysdescr <target>

Leta € ™ s rozčlenit tento systém:

-Ne â € "provést UDP skenování. Vzhledem k tomu, všechny výše uvedené služby jsou UDP jen musím skenovat pro UDP portů.

-A-provádět operační systém a detekci verze aplikace. To se bude snažit, aby vám více informací o tom, co aplikace běží na otevřené porty. -Možnost zahrnuje také detekci operačního systému, ale je nepravděpodobné, že detekce operační systém bude pracovat při skenování tento pár portů.

-PN â € "skenovat, i když jste cana € ™ t obraťte se na IP. Ve výchozím nastavení nmap nebude kontrolovat veškeré zařízení je cana ™ t kontakt €. Bohužel, pokud zařízení je schovaný za firewallem nmap nebude obvykle schopen detekovat zařízení a bude jej vynechat z podrobného skenování. Nevýhodou používání â € "PN je, že nmap dokončí podrobnou kontrolu proti šetření, i když to doesnâ € ™ t neexistují nebo nejsou žádné porty jsou otevřené. Pokud skenujete velké množství IP adres, skenování bude trvat dlouhou dobu.

-N â € "dona € ™ t dělat rozlišení DNS. Ve výchozím nastavení nmap provádí rozlišení DNS. Není tím, že usnesení urychlí skenování poněkud.

-Pu: 19,53,123,161 â € "skenování UDP porty zadané. V nmap â € ~ â € "pa € ™ se používá k označení, které porty skenovat. Â € ~ UA € ™ říká, nmap, že porty, které následují, jsou UDP porty. Vzhledem k tomu, skenování skenování pouze UDP porty (â € "SU) â € ~ UA € ™ je nadbytečný. Nicméně v průběhu let jsem se dostal do zvyku výslovně určující, jaký typ portů, které chcete skenovat, pokud chci přidat nějaké porty TCP (-pt :) na skenování v pozdější době.

Porty uvedené v tomto testu jsou:

19 â € "chargen
53 â € "DNS
123 â € "NTP
161 - SNMP
â € "script = ntp-monlist, dns-rekurze, snmp-sysdescr â €" â € "script = volba umožňuje nmap skriptovací engine (NSE) a spustí skripty, když smysl provozovat. Jinými slovy, bude ntp-monlist script spustit pouze tehdy, když je port NTP zjištěno, že je otevřený. nmap má mnoho skriptů jsou k dispozici, které mohou být použity k rozšíření nmaps základní funkce.

Skripty uvedené v tomto testu jsou:

ntp-monlist â € ", zatímco každá otevřená služba NTP lze použít reflexní DDOS útoku maximální zesílení je dosaženo pomocí služby NTP, které umožňují příkaz monlist které mají být provedeny. Tento skript bude dělat zkontrolujte, zda monlist mohou být provedeny na otevřený port NTP.
Normálně otevřená služba NTP bude vypadat podobně jako:
123/udp otevřené NTP NTP v4

Pokud je příkaz monlist povolena na NTP server, bude ntp-monlist skript vám další informace:

123/udp otevřené NTP NTP v4

| Ntp-monlist:

| Cíl je synchronizován s 206.108.0.131

| Alternativní Cílové rozhraní:

| XXX.16.1.71

| Veřejné servery (4)

| XXX.87.64.125 XXX.75.12.11 XXX.108.0.131

| Další Asociace (596)

â € | etcâ € |

dns-rekurze â € "Normálně veřejné servery DNS bude odpovídat pouze na dotazy DNS, pro které jsou autoritativní. DNS server, který umožňuje a zpracovává dotazy na jména není směrodatný, se nazývají rekurzivní DNS servery a rekurzivní DNS servery jsou ve většině případů chybně. Výstup pro otevřené DNS port s rekurze povoleno bude podobný:
53/UDP open domény DNS společnosti Microsoft 6.1.7600 (1DB04228)

| Dns-nsid:

| _ Bind.version: Microsoft DNS 6.1.7600 (1DB04228)

| _dns-Rekurze: Rekurze se zdá být povolen

snmp-sysdescr â € "se snaží získat více informací ze služby SNMP. Otevřená služba SNMP bude vypadat podobně jako:
161/udp otevřené snmp SNMPv1 serveru (veřejný)

S snmp-sysdescr skript bude obvykle zobrazují více informací, které vám mohou říci více o zařízení, které skenování:
161/udp otevřené | filtrovány snmp

| _snmp-Hh3c-přihlášení: TIMEOUT

| _snmp-Win32 akcie: TIMEOUT

Nebo

161/udp otevřené snmp SNMPv1 serveru (veřejný)

| Snmp-sysdescr: Apple AirPort - Apple Inc, 2006-2012. Všechna práva vyhrazena.

| _ Systém uptime: 9 dní, 20:15:36.56 (85053656 timeticks)

Chceš se hádat na co jsou tato zařízení?

Jak můžete vidět, nmap umožňuje jednoduchý a účinný způsob skenování pro běžné porty používané v reflexních DDOS útoků. Tento deník se sotva dotkli povrchu schopností nmapâ € ™ s.

Já bych měla zájem vědět, jestli někdo z vás má způsoby, jak posílit nebo zlepšit tuto kontrolu.

- Rick Wanner - rwanner v ISC dot sans dot edu - http://namedeplume.blogspot.com/ - Twitter: namedeplume (Protected)

Soraya Malware balíčky formulář popadat, Memory Škrábání funkce
3.6.2014 Viry
Malware schopen infikovat point-of-prodej zařízení jednou bylo novinkou, ale je to rychle stává běžnější. Výzkumníci z Arbor Networks objevili nový kmen PoS malware s názvem Soraya, která může seškrábat paměť a má schopnost zachytit informace odeslané z webových formulářů, specialita Zeus malware rodiny.

Soraya má také některé podobnosti starší Dexter malware , který infikuje pokladních systémů a má funkci paměti škrábání, stejně. Stejně jako Dexter, Soraya má schopnost krást informace o platebních karet z paměti a odešle tato data pryč ke vzdálenému C2 serveru. Útočníci obvykle používají tato data ke klonování kreditních karet a spustit až podvodné poplatky za účty obětí.

Výzkumníci z Arbor Networks nedávno provedla analýzu nové Soraya malware a jeho infrastruktury, a zjistil, že posádka za sebou má již ohrožena tisíce čísel platebních karet, více než 65 procent z nich jsou ze Spojených států.

Více než 65 procent z odcizených platebních karet jsou ze Spojených států.
Příští největší pás postižených karet byly vydány v Kostarice.

"Jeden závit na systému je zodpovědný za škrábání paměť pro údaje o kreditní kartě. Je to tím, že vytvoří mutex POSMainMutex aby bylo zajištěno, že je jen závit provozu. Každých 5 sekund, vlákno bude iterovat v seznamu procesů s Process32Next () , ignoruje systémové procesy s názvy jsou uvedeny v obr. 1.. To bude kontrolovat oblasti paměti pro každý proces s VirtualQueryEx () , ignoruje ty s PAGE_NOACCESS nebo PAGE_GUARD hodnoty nastavené . Platné oblasti paměti jsou zkopírovány s ReadProcessMemory () a zkoumal dat platebních karet. Dexter malware rodina používá podobnou techniku, "Matthew Bing z Arbor Networks napsal podrobnou analýzu tohoto malwaru.

"Soraya bude testovat paměť pro vzorky odpovídající platné údaje platební karty. Nepoužívá běžné expresssions, ale odpovídá formátu kód "B", vzory číselných řetězců, a standard "^" oddělovač, jak jsou definovány v ISO / IEC 7813 . Jedním jedinečný aspekt Soraya je, že se používá algoritmus Luhn identifikovat platné kreditní a debetní karty čísla, nová technika pro paměti škrábání point-of-prodej malware. Luhn algoritmus využívá jednoduchý kontrolní součet přes čísla kreditních karet, aby se zajistilo, že jsou platné. Stopa 1 a Stopa 2 data jsou zabaleny a odeslány do velení a řízení (C2) webu pomocí protokolu popsáno níže jako "režim 5" zprávy. "

Soraya malware má několik různých režimů a režim 5 pokyn malware poslat zachyceného Track 1 a Stopa 2 data zpět do C2 serveru.

Malware, jako Soraya a Dexter, který může krást data z paměti, jsou relativně nový vývoj v PoS malware světě. Tradiční techniky pro krádeže dat z POS zúčastněných fyzických skimmer zařízení, které zachycené informace o skladbách jako karta vložena. Ale malware, který může žít na POS terminálech samotných umožňuje útočníkům být méně dotěrný s jejich činností. Memory škrábání malware v tomto směru byla použita jako součást cílové porušení a bylo zjištěno, v jiných maloobchodních útoků, stejně.

Na webové straně, Soraya může chytit dat z platebních karet z forem, jak oni jsou předloženy na stránky, něco, co Zeus malware rodina má k dokonalosti v průběhu let. Kombinace PoS paměti škrábání funkce a funkce formuláře-popadat je Soraya něco nového na malware krajinu, řekl Bing.

"Soraya jasně vzít inspiraci z Dexter a rodiny Zeus. "Rozdělit mozek" funkčnost i paměti škrábání a formuláře zabírání je Soraya je nejvíce jedinečný rys. V minulých kampaních, paměťové škrabky byly jednoznačně zaměřeny na point-of-prodej zařízení a forma grabbers byly jednoznačně zaměřeny na on-line uživatelů bankovních, "řekl.

FBI, Evropské orgány jít po GameOver Zeus Botnet
3.6.2014 BotNet
UPDATE činné v trestním řízení, v Evropě a ve Spojených státech, včetně Europolu a FBI, běžel koordinovaný Takedown na GameOver Zeus botnet pátek, zadření servery a přerušení provozu botnet je. Úřady tvrdí, že stejný botnet byl použit k distribuci CryptoLocker Ransomware a teď hledají pro 30-rok-starý ruštině, kterým říkají, že je připojen k provozu botnet.

GameOver je samostatný kmen malware z více známých Zeus Trojan a botnet vytvořena pomocí GameOver se ukázala být těžké cíl pro výzkumníky a vymáhání práva. GameOver Zeus botnet využívá P2P architekturu, díky němuž je obtížné narušit, protože decentralizovaného velení a-kontrolní infrastruktury. Mnoho malware autoři a provozovatelé botnet se přesunula do této architektury v posledních několika letech, protože výhody, které nabízí v odolávání takedowns a pokusy o odstranění.

GameOver Zeus se používá jako součást plánu podvodu drátu.
GameOver Zeus se používá jako součást systému drát podvodu, který se týká krádeže finanční pověření od infikovaných uživatelů počítače a pak jej pošle peníze z obětí účty s těmi, řízen útočníků. GameOver často je distribuován obětem prostřednictvím jiných botnetů, konkrétně Cutwail botnet .

30. května, úřady pracují z Evropské kyberkriminalitě Center (EC3) spolupracoval s řadou bezpečnostních firem a výzkumných pracovníků Takedown botnet a chopit se servery, které byly součástí botnetu. Shadowserver Foundation, Abuse.ch, CrowdStrike, Microsoft a několik dalších společností byly součástí takedown. FBI identifikovala Evgeniy Michajlovič Bogachev jako údajné řídicí operace GameOver Zeus.

"Tento velký a velmi úspěšný, provoz byl důležitým testem schopnosti členských států EU jednat rychle, rozhodně a koordinované proti nebezpečné zločinecké sítě, která byla krást peníze a informace z obětí v EU a na celém světě . Po mnoho dní a nocí počítačové policie z několika zemí EU v EC3 operační sály maximalizovat dopad této společné vyšetřování. Jsme lepší a lepší po každé takové operaci, a mnoho dalších bude nepochybně následovat, "řekl Troels Oerting, vedoucí EC3.

Americká vláda sinkholed některých serverech zapojených do GameOver Zeus botnet, přesměrování provozu z infikovaných počítačů k serverům, které kontrolují. To je obyčejná taktika použita jako součást botnet takedowns, ale není vždy zcela efektivní, a to zejména proti P2P botnetů, které nejsou závislé na jednom nebo několika málo klíčových C & C servery.

V pondělí, US-CERT vydal technický varování o Zeus GameOver, vyprávění uživatelé mít na pozoru před malware.

"GOZ, který se často šíří prostřednictvím nevyžádané pošty a phishingových zpráv, se používá především zločinci sklízet bankovních informací, jako jsou přihlašovací údaje, z počítače oběti. Infikované systémy mohou být také použity, aby se zapojily do jiných škodlivých aktivit, jako je rozesílání spamu nebo se účastní Distributed Denial-of-service (DDoS) útoky, "říká varování.

To není poprvé, co vědci a úřady šly po Zeus botnet. V roce 2012, Microsoft sundal některé servery používají jako C & C body pro Zeus , ale proto, že GameOver Zeus používá P2P architekturu, provoz nedal díru do této operace malware.

"Tato operace narušila globální botnet, který ukradl miliony z podniků a spotřebitelů, stejně jako komplexní systém Ransomware, že tajně šifrované pevné disky, a pak požadoval platby za to, že uživatelům přístup k jejich vlastní soubory a data," řekl náměstek generálního prokurátora Colea. "Podařilo se nám zakázání GameOver Zeus a Cryptolocker jen proto, že jsme se mísí inovativní právní a technické taktiku s tradičními donucovacími nástroji a rozvíjet silné pracovní vztahy s vlastní odborníky v oboru a protějšky činnými v trestním řízení ve více než 10 zemích po celém světě."

Ministerstvo spravedlnosti obviněn Bogachev spiknutí, podvodu drátu, počítačové hackerství, bankovní podvody a praní špinavých peněz v souvislosti s provozem GameOver Dia. Úřady také říci, že byl zodpovědný za chod CryptoLocker infrastrukturu, vysoce ziskový provoz Ransomware.

Heartbleed Využitelné Přes podniku Bezdrátové sítě
3.6.2014 Zranitelnosti
Bez ohledu na to, že zápal nad Heartbleed OpenSSL zranitelnosti zemřel dolů výrazně, záplatování chybu by měl zůstat nejvyšší prioritou pro podniky, protože výzkumníci i nadále hledat nové zneužít vektorů.

Poslední si bere na mušku Heartbleed přes bezdrátové sítě. Výzkumník se Portugalsko na základě poradenské Sysvalue sdílí detaily útoků se volá Cupid, v němž se postavil patche, které upravují hostapd a WPA-supplicant, dva programy, které fungují jako bezdrátového přístupu a správu autentizace bodů. hostapd , například, zřizuje konfigurovatelné přístupový bod; to je podporované na Linuxu. Hackeři by mohl vytvořit bezdrátovou konfiguraci svého výběru sítě, který by umožnil zranitelné klienti se k němu připojit. Wpa_supplicant, také podporována v systémech Linux a Android, se používá pro připojení k bezdrátovým sítím.

"My Amor patch je řada změn těchto programů se spouští zranitelnosti s cílem ověřit zranitelných klientů a serverů," řekl vědec Luis Grangeia Threatpost.

Útoky Grangeia je využívat Heartbleed bez založení plnou TLS handshake.
Útoky Grangeia je využívat Heartbleed bez založení plnou TLS handshake, posílání nedovoleného požadavek na srdeční hned po Client Dobrý den, před byly vyměněny veškeré šifrovací klíče nebo certifikáty, řekl. Toto chování, mezitím je výslovně zakázáno ve specifikaci TLS .

Heartbleed je zranitelnost v některých OpenSSL implementace. Navzdory dostupnosti náplasti a povzbudivé čísla sanačních z několika zdrojů, byly útoky byly stupňující se proti VPN infrastruktury , kritických průmyslových řídících systémů a další, kromě zranitelných webových serverů.

Heartbleed je využít proti problému funkčnosti srdeční OpenSSL je , které, pokud je povoleno, vrací 64KB paměti ve formátu prostého textu do libovolného klienta nebo serveru žádosti o připojení. Už tam byly zprávy o útočníky pomocí Heartbleed ukrást uživatelská jména, ID relace, pověření a další data ve formátu prostého textu v případě, že útok se opakuje tolikrát. Více kriticky, vědci také byli schopni dát dohromady dostatek informací, aby úspěšně se množit soukromou SSL klíč .

Grangeia řekl, že má ještě analyzovat výpisy paměti se mu podařilo shromáždit.

"Můj názor na uvolnění [proof of concept] kód je dostat více lidí, kteří pracují na testování různých konfigurací a analyzovat výsledky," řekl.

V Grangeia útoku, spojení TLS se neprovádí přes TCP, ale spíše přes EAP, bezdrátové sítě rámci ověřování. Některé kabelové sítě postavené na protokolu 802.1x a peer-to-peer připojení také pomocí EAP; EAP-PEAP, EAP-TLS a EAP-TTLS připojit přes TLS, řekl.

"Chcete-li využít zranitelné klienty, hostapd (s Amor náplasti) mohou být použity k nastavení" zlo "sítí tak, aby, když zranitelný klient pokusí připojit, a požádá o připojení TLS, bude hostapd posílat škodlivé žádosti tlukot srdce, což vyvolalo zranitelnost, "Grangeia vysvětlil na jeho internetových stránkách . "Chcete-li využít zranitelných serverů můžeme použít wpa_supplicant s Amor náplasti. Požadujeme připojení k síti zranitelné a pak poslat srdeční žádost ihned po připojení TLS je vyroben. "

Útoky pracovat v sítích chráněné heslem, protože chyba je spuštěn dříve, než by uživatel musel ověřit, řekl.

Grangeia poukázal na to, že výchozí instalace obou rozhlasových programů lze využít na Ubuntu Linux běží zranitelné verze OpenSSL. Řekl, že Android 4.1.0 a 4.1.1. také loď s zranitelné verze OpenSSL a použití wpa_supplicant pro připojení k bezdrátovým sítím, a může být zranitelný stejně. Grangeia řekl, že nebyl schopen otestovat zranitelných verzí Androidu.

"To musí být testovány v praxi, jak Google (nebo jiný výrobce telefonů) by sestavili OpenSSL se rozšíření srdeční tep vypnutý," řekl.

Do té doby, správci podnikové sítě by měly být dvojí kontroly jejich bezdrátových nasazení.

"Vlastně jsem přesvědčen, že nejzávažnější útoku, jsou zranitelné firemní bezdrátové řešení a Network Access Control řešení," řekl. "Prodejci by měli zkontrolovat jejich firmware a informovat zákazníky, protože tato chyba zabezpečení má potenciál dát útočníkům otevřené dveře do sítí svých zákazníků."

TrueCrypt Dešifrování zahrnout crowdsourcing aspekt
3.6.2014 Bezpečnost
TrueCrypt může ještě dostat rozvětvený, ale to nepřijde v rukou audit projektu Otevřená šifrování (OCAP), který má pracovní plán pokročit s dešifrováním na open source šifrovacího softwaru .

OCAP je název pro grassroots hnutí, které vzniklo z popela zjevení a obavy o integritu TrueCrypt, který byl stažený v blízkosti 30 milionů krát Snowden. První fáze auditu, provedeného ISEC Partners zkoumání zavaděče TrueCrypt a ovladače jádra, nebyl nalezen zadní vrátka ; fáze dvě, až začne brzy, bude zkoumat kryptografie drží TrueCrypt.

"Chci, aby bylo opravdu jasné, o tom: Zvažujeme několik scénářů, včetně potenciálně podporovat vidličku, ale my určitě ne dělat to, než se audit provádí," řekl Kenneth White, který spolu s Johns Hopkins profesor Matthew Green nastartoval audit a OCAP TrueCrypt. "Nejsme nastavit dělat vývoj softwaru. Je to důležitý bod, že nechceme, aby lidé pocit, že přispěl k auditu a my zužování peníze do rozvoje projektu. "

OCAP údajně zvedl nahoru $ 70,000 téměř trojnásobek původní cíle financování této skupiny; a už jsem slíbil koordinovat audit OpenSSL , který bude financován z Linux Foundation v rámci své iniciativy jádra infrastruktury. Kritická zranitelnost v OpenSSL byl ve středu na Heartbleed bouře.

Po bizarní týden, během kterého anonymní vývojáři TrueCrypt záhadně oznámili, že jejich software je nebezpečný a vývoj byl ukončen , suddenness, nejistota a tajemství jejich působení odstartovala kvanta spekulace o možných důvodů. Byli podávané s tajemstvím soudního příkazu pro šifrovací klíče, a la Lavabit a vypnutí byl rozkaz kanárek ? Byl hacknutý software neopravitelný? Nebo se prostě 10 roků do projektu a už chtěl věnovat takový projekt v tomto prostředí dohledu a kontroly?

"Nejlepším důkazem jsem viděl tak daleko, že to je to, co říkají, že na povrchu."
"Nejlepším důkazem jsem zatím viděl, je, že to je to, co říkají, že na povrchu: že jsem byl na to po dobu 10 let; začali ve svých pozdních 20s a nemají zájem na tom to už, "řekl White, s tím, že se snažil dostat ven, aby tým prostřednictvím kanálů, které osvědčily na podzim loňského roku, kdy hnutí audit začal, ale bezvýsledně. "Pokud jde o kritiku o způsobu, jakým se náhle vypnout, všechno, co vím, je, že pokud vaše jediná tvář na veřejnosti, je internetové stránky a e-mail, a pouze ověření důvěry je podpisový klíč, a všichni jsou pryč, nebo v otázce, Nejsem jasné, co zbylo z týmu TrueCrypt už.

"Myslím, že obec dluží nějakou vděčnost za statečný úsilí o tolika letech," řekl White.

I přes masivní klíče hodil do stavby událostmi minulého týdne, fáze dvě auditu TrueCrypt 7.1 zůstává samozřejmě, řekl White. Thomas Ptáček z Matasano bezpečnosti a Nate Lawson kořenových Labs budou technické přívody pro dvě fáze; Ptáček bude koordinovat a organizovat fáze dvě, řekl White. Úsilí o dosažení PTÁČEK k připomínkování byly neúspěšné; Lawson uvedené dotazy k White.

Řekl White další fáze dešifrování, která bude zahrnovat zkoumání všeho, včetně generátory náhodných čísel, šifra apartmá, kryptografické protokoly a další by mohla být zabalené do konce léta. Některé z prací, White řekl, by mohl být crowdsourced po modelu používaného Matasano, známý jako Matasano Crypto výzvy. Dnes již zaniklé výzvy byly sada více než 40 cvičení demonstrovat útoky na real-svět crypto, využití nedostatků v reálných systémů a kryptografických konstrukcí. Zájemci o účast e-mailem Matasano a byl poslán osm problémy najednou, každý stupeň těžší než předchozí. Ten stejný formát by mohl být součástí auditu TrueCrypt, řekl White.

"Je to neuvěřitelný způsob, jak lidé identifikovat výzkumníky rostoucí a perspektivních výzkumných pracovníků, kteří nejsou všeobecně známy v komunitě," řekl White. "Máme nejlepší lidé spolupracují a nyní se crowdsourcing, jsem nadšený."

Mezitím, dva švýcarští muži, Thomas Bruderer a Joseph Doekbrijder, zahájily truecrypt.ch, které řekl, je, prozatím, na sběrné místo, kde jsou k dispozici stávající verze TrueCrypt . Tato stránka obsahuje čtyři priority pro úsilí, včetně dělat znovu TrueCrypt k dispozici, a nakonec vidlice TrueCrypt a najít finanční prostředky pro pokračování vývoje softwaru.

"V současné době novinkou je stále v pohybu, a budeme podporovat veškeré úsilí v oživení TrueCrypt," dva zveřejněné na svých stránkách s tím, že nebudou podporovat anonymní rozvoj TrueCrypt do budoucna. "Pokud se objeví další iniciativy, pokusíme se je podporovat. V okamžiku, kdy chceme, aby každý, kdo chce může i nadále používat TrueCrypt. "

Bílá, mezitím, varuje zvědavé uživatele, že četné stahování TrueCrypt se objevilo od vypnutí, a uživatelé by měli být skeptičtí.

"Rádi bychom opravdu Vyzýváme lidi, aby byli velmi opatrní, nic na SourceForge a některý z download stránky, které se objevilo. Nevíme nic o jejich původu. Důvěřujte pouze kurátorem archivů, "řekl White. "Tyto věci mě znervózňují. Je to snadné avenue pro malware. "

TrueCrypt končí – jaké jsou alternativy?

2.6.2014 Hrozby
Pokud pro šifrování svých dat používáte službu TrueCrypt, měli byste začít přemýšlet o přesunu na jiný software, který ochrání vaše soubory i celé disky.

Otevřený a volně dostupný TrueCrypt se stal v posledních deseti letech velmi populárním především díky své nezávislosti na velkých výrobcích. Autoři softwaru ostatně nikdy nebyli veřejně identifikováni. Mezi jeho známé uživatele patřil Edward Snowden a výrazně jej podporoval také bezpečnostní expert Bruce Schneier.

TrueCrypt

Tajemní vývojáři nyní život svého nástroje nečekaně ukončili s odůvodněním, že již nadále není bezpečné jej používat. „Varování: Používání TrueCrypt není bezpečné, protože může obsahovat neopravené bezpečnostní díry,“ píše se na stránce softwaru na serveru SourceForge. Podle analytiků tak uživatelům nezbývá nic jiného než se poohlédnout po nějaké alternativě.

Zpočátku se sice objevily názory, že stránku softwaru napadli kyberzločinci a informace tak není pravdivá. Na SourceForge je však nyní dostupná pouze aktualizovaná verze, která během instalace zobrazí varování doporučující uživatelům přechod na BitLocker nebo jinou alternativu. Tato verze je digitálně podepsána tvůrci TrueCryptu, přičemž je nepravděpodobné, že by neznámý útočník tvůrce identifikoval a ukradl jejich klíč.

TrueCrypt 7.2 mohou uživatelé použít k dešifrování svých dat, nikoliv však k zašifrování nových souborů. Co mohou tedy uživatelé TrueCryptu dělat dál? Na webu softwaru i při instalaci je za vhodnou náhradu označen BitLocker od Microsoftu, který je standardní součástí systémů Vista Ultimate a Enterprise, Windows 7 Ultimate a Enterprise, a Windows 8 Pro a Enterprise.

Vedle BitLockeru jsou tu samozřejmě i další možnosti. Již zmíněný Schneier se prý hodlá vrátit k PGPDisku od Symantecu. Zdarma dostupnou alternativou pro Windows je pak například DiskCryptor. Uživatelé systému Max OS X zase mají k dispozici FileVault 2, který je součástí systému od verze OS X 10.7 (Lion). FileVault se spoléhá na 128bitovou šifru XTS-AES, kterou používají i v NSA. A konečně pro příznivce Linuxu přichází v úvahu Linux Unified Key Setup (LUKS).

AT & T hacker chce US vláda platit za čas strávil ve vězení
30.5.2014 Incidenty
V otevřeném dopise adresovaném členům New Jersey okresního soudu, FBI a DOJ, Andrew "weev" Auernheimer hledá peněžní náhradu za dobu byl omezen na jurisdikci New Jersey okresního soudu a strávil ve federálním vězení poté, co byl odsouzen za publikování seznamu e-mailů a AT & T ověřování ID časných iPad osvojitele.

"Já jsem, v průběhu 3 let, bylo dosaženo oběť zločinného spolčení ti ve federální vládě. To bylo spiknutí pobuřování a velezrady, dopouštějí se násilí v omezeném počtu federálních agentů, aby mě zbavil mé ústavní práva na spravedlivý proces a protiprávně mě ve vězení, "řekl napsal . "To není halucinace z mé strany. Tato tvrzení byla ve skutečnosti ověřeny třetí obvodního odvolacího soudu, když se uvolnil falešný rozsudek proti mně uložené soudem soudce Susan D. Wigenton. " Auernheimer, hacker a člen Goatse Security, byl odsouzen strávit 41 měsíců ve vězení za svou roli ve sklizni a publikování e-mailů a AT & T ověřování identifikátorů 114.000 brzy-osvojitele na Apple iPad v roce 2010. Jeho věta byla vyklizena kvůli technicality: byl odsouzen New Jersey federální soud, a to navzdory skutečnosti, že žil v Arkansasu a servery on a jeho spiklence přístupné byly umístěny v Texasu a Gruzie. Tam je ještě možnost, že vláda bude apelovat případ k Nejvyššímu soudu, a pokud ne, že bude znovu obviněn v novém jurisdikci. Přesto, že je tlačí na této žádosti. "Chci, historie zaznamenává, že jsem upřímný a veřejný pokus získat náhradu za násilí, vláda dopustil proti mně. Ať jsem se dál, chci, aby lidé věděli, že jsem se snažil civilní a mírové řešení první, "uvedl. On se ptá na 28296 Bitcoins (dosáhly částky 13 milionů $) - jeden pro každou hodinu každého (1179) den, že "nebylo povoleno svobodně vykonávat své svobody jako občan. " "Nesouhlasím s tím Spojené státy dolary, protože to je přednostní měna zločineckých organizací, jako je například FBI, ministerstvem spravedlnosti, ATF, a Federálního rezervního systému a já nemám pomáhat podnikům trestní vyděračství," došel k závěru, a dodal, že se bude řídit peníze "na dobrou a charitativní účely." "Andrew Auernheimer byl odsouzen po procesu před porotou, a obvinění proti němu byla zamítnuta na základě místa, ne na jejich zásluhy. Jakýkoli návrh na Opak je nepochopení názoru soudu, "mluvčí New Jersey Okresního soudu komentoval dopis.

Počítačová kriminalita útočí na cíle, oběti, motivace a metody
30.5.2014 Kriminalita
Odborníci Trustwave shromáždili data z 691 narušení vyšetřování (nárůst 54 procent od roku 2012) ve 24 zemích, kromě proprietárního hrozbách získaným z pěti světových zabezpečení operačních středisek společnosti, telemetrii z bezpečnostních technologií a pokračujícího výzkumu hrozeb. Zatímco údaje z platebních karet pokračoval na začátek seznamu typů dat ohrožena, 45 procent krádeží dat v roce 2013 zapojeni důvěrné, non-platební karty data-nárůst o 33 procent od roku 2012 údaje Non-platba kartou. zahrnuje jiné citlivé a důvěrné informace, jako jsou finanční pověření, interní komunikace, osobní údaje a různé typy záznamů zákazníka. E-commerce poruší byly nejvíce bují, které tvoří 54 procent majetku cílené. Point-of-sale (POS) porušení tvořily 33 procent našich 2013 vyšetřování a datových center tvořily 10 procent. Odborníci očekávají, Trustwave POS a e-commerce kompromisy dominovat do 2014 a dále. Když žebříčku top deset obětí umístění, Spojené státy americké v drtivé většině domu nejvíce obětí na 59 procent, což je více než čtyřikrát tolik jako další nejbližší místo oběti , Velká Británie, na 14 procent. Austrálie se umístila na třetím místě, na 11 procent následuje Hong Kong a Indie, a to jak na dvě procenta. Kanada se umístila na šestém místě o 1 procento, remizoval s Novým Zélandem, Irsko, Belgie a Mauritius. Podobně jako u 2012, maloobchod opět byl vrchol průmyslu kompromitována, které tvoří 35 procent z porušení Trustwave zkoumaných v roce 2013. Potraviny a nápoje umístila na druhém místě v 18 procent a pohostinství umístila na třetím místě na 11 procent. 96 procent žádostí o nasnímaných Trustwave v roce 2013 kryl jednu nebo více závažných chyb zabezpečení. Objev ukazuje, že je třeba více testování zabezpečení aplikace během vývoje, výroby a aktivní fáze. Malware všude:

Zločinci i nadále používat malware jako jedna z nejlepších metod pro získání dovnitř a získávání dat. První tři malware-hosting země v roce 2013 byly Spojené státy (42 procent), Rusko (13 procent) a Německo (9 procent).
Zločinci se spoléhal nejvíce na Java applety jako malware dodání metoda, 78 procent využije Trustwave zjištěné využil Java zranitelnosti.
Osmdesát pět procent z činů zjištěných v roce 2013 byly z plug-inů třetích stran, včetně Java, Adobe Flash a Acrobat Reader.
Celkově spam tvoří 70 procent z příchozí pošty, ale nebezpečný spam klesl pět procent v roce 2013. Padesát devět procent škodlivého spamu zahrnuty nebezpečné přílohy a 41 procent součástí škodlivé odkazy.
Zjištění kompromis:
Self-detekce nadále nízká 71 procent napadených obětí není odhalování porušování sebe. Nicméně, údaje rovněž ukazuje, jak zásadní self-detekce je zlepšit časovou osu k úniku, a proto omezuje celkovou škodu. Například, střední počet dní trvalo organizace, které samostatně zjištěna porušení obsahovat porušení byl jeden den, zatímco to trvalo organizace 14 dnů obsahovat porušení, kdy bylo zjištěno, třetí osobou.
Střední počet dnů od počátečního vniknutí do detekce byl 87 a střední počet dní od zjištění do kontejnmentu byl sedm. Při zjištění porušení, 67 procent obětí byli schopni obsahovat to do 10 dnů. Od roku 2012 do roku 2013 došlo k poklesu v množství času, organizace vzal obsahovat porušení. V polovině kompromisů šetřených Trustwave, oběť obsahoval porušení ve lhůtě čtyř měsíců od počátečního vniknutí.
"Bezpečnost je proces, který zahrnuje předvídání, pracovní síly, pokročilé skillsets, hrozbách a technologií. Pokud podniky nejsou plně vybaveny všechny tyto složky, jsou pouze zvyšuje jejich šance na další porušení údaje obětí, "řekl Robert J. McCullen, předseda představenstva a generální ředitel společnosti Trustwave. "Jak jsme viděli v našich šetření, porušení se bude dít. Nicméně, více informací podniky mohou vyzbrojit ohledně toho, kdo jsou jejich potenciální útočníci, co ti zločinci jsou po a jak jejich tým bude identifikovat, reagovat a nápravě porušení, pokud k němu dojde, je klíčem k ochraně svých dat, uživatelů a celkovou činnost . " Trustwave doporučuje podnikům realizovat následující akční plán: Ochrana uživatelů před sebe: Vzdělávat zaměstnance o nejlepších bezpečnostních postupů, včetně silné tvorbě a povědomí o inženýrství, jako je phishing sociálních heslo. Investujte do bezpečnostních technologií brána jako záchrana pro automatizaci ochranu před hrozbami, jako zero-day zranitelnosti, cílené malware a nebezpečný e-mail. Zničit slabá hesla: Provádět a prosazovat silné autentizační pravidla. Třicet procent času, by se útočník získá přístup z důvodu slabého hesla. Silná hesla, skládající se z minimálně sedmi znaky a kombinace velkých a malých písmen, symbolů a čísel, hrají důležitou roli při pomoci zabránit porušení. Ještě lepší jsou fráze, které obsahují osm až deset slov, které tvoří větu, která zná pouze uživatel. Firmy by měly také zavést dvoufaktorovou autentizaci pro zaměstnance, kteří přístup k síti. To nutí uživatele k ověření jeho totožnosti s informacemi jiného, než jen jejich uživatelského jména a hesla, jako jedinečný kód zaslaný na mobilní telefon uživatele. Chraňte ostatní: Secure všechna vaše data, a to ukolébat do falešného pocitu bezpečí jen proto, že si myslíte, že jsou vaše data platební karta je chráněna. Posoudit celý soubor aktiv-od koncového bodu sítě do aplikace pro databázi. Jakékoliv zranitelnost v každém aktivu by mohla vést k expozici dat. Kombinovat probíhající testování a skenování těchto aktiv identifikovat a opravit chyby dřív, než útočník může využít z nich. Model hrozbu: model hrozbu a otestovat odolnost vašeho systému "na něj s penetrační testy. Důlková bezpečnostní expert proti vaší síti hostitelů, aplikací a databází platí perspektivu reálného světa útočníka do vašich systémů (modelové hrozba). Penetrační test přesahuje pouhé identifikaci zranitelných míst tím, že demonstruje, jak může útočník využít z nich a vystavit dat. Naplánujte si odpověď: Develop, ústav a zkoušet plán reakce na incidenty. Určete, jaké druhy akcí nebo ukazatelů kompromisu spustí svůj plán reakce na incidenty. Plán pomůže, aby vaše organizace vědomi kompromisu dříve, omezit její důsledky a zkrátit jeho trvání.

Některé průmyslové systémy stále ohroženy Heartbleed
30.5.2014 Zranitelnosti
Nebezpečí z Heartbleed prošel pro většinu uživatelů internetu, ale provozovatelé Průmyslové řídicí systémy (ICS), nejsou takové štěstí.

US ICS CERT vydal v úterý poradní o tom, jak vada stále ovlivňuje některé ICS systémy a jaké jsou jeho provozovatelé by měli udělat, aby se to hned. "ideální ICS síť je izolován od podnikové sítě a obsahuje málo k žádné externí komunikační spojení; Nicméně, obchodní nároky vyžadující zvýšenou komunikaci s ICS sítě z externích sítí. Tyto externí komunikační spoje jsou citlivé na OpenSSL zranitelnosti, které by mohly být použity k exfiltrate pověření pro přístup do složek na síti ICS, "poznamenal tým. " OpenSSL chyba může být přítomen v hostitelích, klienty a klientský software. Pokud jsou pověření sítě ICS exfiltrated, které může být provedeno s úspěšným využíváním OpenSSL zranitelnosti, je možné, aby útočník vykonávat podstatnou kontrolu nad ICS síti. To je velmi běžné pro sadu pověření ICS mít téměř neomezený přístup k celé síti ICS, který je odlišný od IT sítí, které se obvykle omezují přístup uživatele k provedení konkrétních pracovních povinností. " tým poskytuje aktualizovaný dokument se seznamem dodavatelů a jejich produktů, Informace o tom, zda byly ovlivněny zranitelností a zda oprava je. "vlastníci aktiv a subjekty, které jsou jisti zranitelnosti ICS síťových zařízení, nebo pokud se domníváte, že síťové zařízení obsahující OpenSSL chybu, by měli kontaktovat své dodavatele produktu, "říká poradní, a konstatuje, že" může být nutné skenovat zařízení používaná ve svém ICS prostředí, pokud budou na konci jejich životnosti zařízení nebo jejich prodejce nekomunikuje s nimi na toto téma. " Ale tým varuje: "ICS -CERT upozorňuje, že všechny skenování ICS zařízení pro Heartbleed být provedeno v izolované testovací laboratoři, nikoliv v produkčním prostředí. Pokud testovací prostředí není k dispozici, pak dodavatel zařízení by mělo být kontaktován. Pokud je možné, aby skenování zařízení, je možné, že zařízení může být uvedeno do neplatného stavu způsobuje neočekávané výsledky a možného selhání bezpečnostních ochranných opatření. " Mají výčtu řadu aktivních a pasivních nástrojů, skenování, které by mohly být použity pro daný úkol, zahrnovaly minimalizaci rizik opatření, aby provozovatelé ICS může trvat, a poskytly podpisy detekce.

Insider hrozby a privilegovaný zneužívání uživatele
30.5.2014 Hrozby
Přes zvýšené povědomí o zasvěcených hrozby, většina organizací stále zápasí s tím, jak zmírnit rizika pro jejich sítí a citlivých informací. Podle nové zprávy Raytheon Company, lidé s přístupem k privilegovaným dat - například záznamy zdravotní péče, citlivých informací společnosti, duševního vlastnictví nebo osobní záznamy -. často dát citlivé informace, jejich organizace v ohrožení se zaměřuje na "lidský faktor" zpráva průzkumu, "privilegovaný uživatel Zneužívání a Insider hrozby", zjistí, že mnoho lidí s nejvyššími úrovněmi přístupu k síti v organizacích jsou často umožněn přístup k údajům a oblastí sítě nejsou nezbytné pro jejich role a odpovědnosti. Zpráva ukazuje, že 65% respondentů uvedla, že zvědavost - není práce nezbytnosti -. Řídí tytéž osoby, přístup k citlivým nebo důvěrným údajům "Výsledky tohoto průzkumu by měly sloužit jako budíček pro každého manažera s odpovědností za ochranu společnosti nebo zákazníků citlivé údaje, "řekl Jack Harrington, viceprezident kybernetické bezpečnosti a speciální mise, Raytheon zpravodajské informace a služby. "I když je problém akutně chápat, že řešení nejsou." Pod vedením vedoucího informační bezpečnosti průmyslu Ponemon, komplexní průzkum identifikoval 693 respondenty jako "privilegovaných uživatelů", což znamená, že jsou síťové inženýry, správce databáze, informační a bezpečnostní odborníci a cloud správci. Klíčová zjištění patří:

Osmdesát osm procent rozpoznat zasvěcených hrozby jako důvod k obavám, ale mít obtíže stanovit zvláštní výhružné akce zasvěcenci.
Šedesát devět procent dotázaných uvedla, jejich bezpečnostní nástroje neposkytují dostatek kontextových informací k určení záměru za hlášených incidentů a 59 procent je uvedeno jejich nástroje přinést příliš mnoho falešných poplachů.
Čtyřicet sedm procent dotazovaných uvedlo, že by bylo pravděpodobné, že se zlými úmysly zasvěcenci by využívat sociální inženýrství nebo jiná opatření k získání přístupových práv něčí - je to až z 21 procent z 2011 průzkumu.
Čtyřicet pět procent tvrdí, že je pravděpodobné, že sociální inženýři z vně organizace zaměří privilegovaným uživatelům získat jejich přístupová práva.
Co je nejvíce ohroženo:
Zatímco 59 procent věří, že obecné obchodní informace je ohrožena, 49 procent říká, informace o zákaznících jsou nejvíce ohroženy v důsledku nedostatku kontroly přístupu nad privilegovaných uživatelů.
Padesát sedm procent věří, že kontroly na pozadí chybí ve většině organizací před vydáním privilegovaných pověření.
Rozpočet - zatímco 88 procent dotázaných rozpoznat zvýšenou bezpečnost jako nejvyšší prioritu, méně než polovina tohoto množství (40 procent) mají vyhrazený rozpočet na investice do technologií umožňující snížit zasvěcených ohrožení. Většina z nich používá existující kybernetické nástroje, nemusí být nutně určeny k boji proti obchodování zasvěcených hrozbu; 72 procent uvedlo, že používají ověřování a správu identit nástroje pro správu výsadní zneužití uživatele.
"Cílem tohoto průzkumu je nejen sdílet aktuálních statistik zasvěcených ohrožení, ale vzdělávat organizace na svých privilegovaných uživatelů a hrozeb a útoků, které mohou nastat v důsledku přístupu, které vlastní," řekl Harrington. "Pokud privilegovaný uživatel chce dělat špatné věci, jejich zvýšené přístup k firemní síti dělá to pro ně jednodušší."

Facebook nabízí bezplatné prohlížeče na bázi malware skener
30.5.2014 Sociální sítě, Viry
Lidé sdílet prostřednictvím sociálních médií, více než kterýkoli jiný kanál. Ale sociálních médií využije osobních a firemních účtů často dělat titulky, je čas na nové způsoby, jak chránit digitální identity spotřebitelů. Díky technologii F-Secure je, bude Facebook nabízet na bázi prohlížeče malware skener jako bezplatnou službu. Tato služba bude k dispozici na Facebooku uživatelům, jejichž účet byl dočasně zmrazeny kvůli podezřelé aktivitě způsobené potenciální malware infekce. Malware nebo nežádoucí software v počítači nebo v zařízení, mohou narušit normální výkon zařízení, ukrást osobní informace, nebo získat přístup k systému . To může zneužít Facebook uživatele a jejich přátele tím, že vysílání škodlivé odkazy a spamu, které se zdají pocházet z účtu oprávněný uživatel je. "Pomáháme lidem zůstat v bezpečí na Facebooku je velmi důležitou součástí toho, co děláme, a my jsme rádi, že se přidá sílu F-Secure Anti-Virus technologie našich stávajících systémů pro blokování a odstranění malware, "řekl Chetan Gowda, softwarový inženýr na Facebooku. malware skenování a čištění technologie F-Secure je plně integrována do uživatelského prostředí Facebooku. Při Facebook identifikuje účet chová podezřele, bude přesměrovat uživatele na procesu vyčištění. skenování a čištění se provádí přímo v okně prohlížeče, uvnitř Facebooku. . Po vyčištění je kompletní, může uživatel bezpečně přihlásit do svého účtu na Facebooku, v bezpečí před hackery a spywarem Zde je návod, jak bude tento proces fungovat:

Pokud je uživatel přihlášení z infikovaného zařízení, uvidí oznamovací obrazovku o malware infekce spolu s doporučením používat F-Secure je skener. Skener je vhodný na typu zjištěné hrozby, takže je doporučeno spustit, i když je zařízení již má anti-virus program nainstalován. Skener je up-to-data a odstraní se jednou udělal běží, takže není třeba se starat o údržbu.
Uživatel si může vybrat přeskočit malware proces odebrání nebo stáhnout doporučené skener. Uživatelé, kteří přeskočit na malware krok odstranění mohou být vyzváni znovu později.
Uživatelé, kteří stáhnout a spustit skener může nadále používat Facebook a další služby během kontroly. Když je skenování dokončeno, bude uživatel dostávat oznámení prostřednictvím Facebooku a budou moci prohlédnout výsledky testu.

Legacy kybernetické produkty nedokázal ochránit 97% organizací
30.5.2014 Ochrany
Nová zpráva zkoumá útoku data zachycená pomocí FireEye bezpečnostních zařízení ze 1217 organizací po celém světě, od října 2013 do března 2014. Nabízí jedinečný pohled na to, jak dobře stávajících bezpečnostních produktů provádět v reálném prostředí, studie k závěru, že podpis brány firewall, prevence narušení systémy, webové brány, pískoviště a AV řešení - a různé kombinace těchto nástrojů -. nedokáží plně blokovat útoky na 97 procent organizací, které jim nasadit "tvrdá realita dnešních pokročilých hrozeb a aktéry hrozeb za nimi je, že jejich útoky jsou stále jedinečné povahy a morph rychle, což znamená, že mohou být identifikovány a zastavila se, jak se objevují v přírodě jen, "řekl David DeWalt, výkonný ředitel, FireEye. "Naše výsledky s podniky zkušebně naše výrobky po celém světě ukazují, že je jasná potřeba pro řešení účel-postavený pro detekci a ochranu proti pokročilých útoků. A jak útočníci najít další způsoby, jak skrýt v reálném světě, naše schopnost vidět více vektorů hrozeb, které používají pomůže udržet naše zákazníky o krok napřed, "DeWalt . přidané Klíčová zjištění patří:

Téměř všichni (97 procent), organizace byla porušena, což znamená alespoň jeden útočník se obešel všechny vrstvy jejich bezpečnostní architektury.
Více než čtvrtina (27 procent) ze všech organizací zažil události, je známo, že v souladu s nástroji a taktiky používané pokročilé přetrvávající hrozby (APT) herci.
Tři čtvrtiny organizací měli aktivní příkaz-a-ovládání komunikace, což naznačuje, že útočníci měli kontrolu nad porušena systémů a byly pravděpodobně již přijímá data z nich.
Dokonce i poté, co organizace byla porušena, útočníci pokračovali pokusit ohrozit typické organizace více než jednou týdně (1,6 krát) v průměru.
V průměru, software využije útočníků a soubory ke stažení malware obešel dalších bezpečnostních vrstev 1,51 a 122 krát, resp.
Zpráva popíše rozsah pokročilých cílených útoků, a jak jsou efektivní proti zavedeným kybernetické obrany. 348 účastníků hodnocení se rovněž zúčastnila průzkumu, který nabízí ucelený obraz o jejich bezpečnostní architektury a srovnání dodavatele-na-dodavatele každé vrstvy typické kybernetické architektury.

Většina důstojníků dodržování hrát malou roli v kybernetické bezpečnosti
30.5.2014 Bezpečnost
Sedmdesát pět procent důstojníků dodržování nejsou zapojeny do vedení kybernetické bezpečnostní riziko podle zprávy z Kroll a shodě týdne.

V průzkumu odborníků compliance senior-úrovni, skoro 44 procent respondentů také uvedl šéf Compliance Officer (CCO) je odpovědný pouze za zásady ochrany osobních shody a zveřejnění narušení bezpečnosti po nehodě, ale nemá žádnou roli při řešení kybernetické bezpečnostní rizika, než jeden. Tyto Statistika upozornit na mezery v odpovědnosti jako počítačové bezpečnosti zaniká mohou často zahrnovat velké pokuty nebo sankce, občanský soudní spor a otázky dodržování předpisů. Vzhledem k tomu, CCO role se vyvíjí, bude potřeba vliv na řízení počítačové bezpečnostní riziko zvyšují. Alan Brill , senior výkonný ředitel pro Kroll, říká, že pracovníci compliance by měla mít dostatečně silný přehled o kybernetické bezpečnosti vědět, kdy by měli být zapojeni do problému, a on zdůrazňuje, ostatní části firemního podnikání je třeba si uvědomit, že dodržování má roli od začátku. "Každý Kontrolor shody se musí rozhodnout, zda je to čas, aby se kapitán Kirk a odvážně jít do cyber," říká Brill , "a to tím, že naváže partnerství s IT ředitel, s obecnou radu, s interní auditor, tak, že kybernetické prvky shody jsou jen každodenní součástí vaší práce." Další zjištění:

Více než 50 procent odborníků na dodržování předpisů předvídat rizika úplatkářství a korupce do své firmy zvýší v letošním roce
58 procent nikdy trénovat třetí strany
Pouze dodržování 43 procent monitoru po vztahu třetích stran začíná
Pouze 48 procent automatizovat jejich protikorupční program nějakým způsobem.

Fake Australský Electric Bill vede k Cryptolocker

30.5.2014 Viry

Náš čtenář Marek nám poslal odkaz se vzpamatoval z podvodných e-mailů. Nemáme na e-mail hned, ale webová stránka přináší malware je docela zajímavé samo o sobě.

E-mail tvrdí, že pochází z "Energy Australia", skutečné australské energetické společnosti, a odkaz vede na:

hxxp :/ / energymar.com / data / elektřina / view / get / energy.php? eid = [dlouhé číslo]

Poznámka poněkud pravděpodobný název domény (energymar.com). Skutečný název domény pro energetickou Austrálii je "www.energyaustralia.com.au".

Na první obrazovce prezentovány uživateli požádá uživatele o řešení velmi jednoduchý CAPTCHA. Toto je pravděpodobně zavedeny bránit automatickou analýzu URL:

Malware Captcha

(Klikněte na obrázky pro zobrazení v plné velikosti)

Rozložení stránky odpovídá originálu velmi dobře. Uživatelé jsou konfrontováni s CAPTCHA pravidelně v obdobných místech, takže pochybuji, že to zvýší podezření.

Dále jsme vyzváni ke stažení souboru, opět za použití podobného uspořádání.

Fake Bill ke stažení

"Bill" sám o sobě je ZIP soubor, který obsahuje jednoduchý ZIP soubor, který expanduje do EXE. VirusTotal ukazuje, uhrovitý detekce:

Virus Celkové výsledky

Můžete si také přečíst úplné aktualizované výsledky here: https://www.virustotal.com/en/file/ad9692b0d589faf72121e4c390138dfe872fe913f73dd1edb699e60bab38f875/analysis/

To nevypadá jako kontrolní součet z tohoto vzorku změn mezi soubory ke stažení, takže doufám, že AV podpisy dožene rychle.

Po stažení a rozbalili, malware prezentuje jako PDF:

PDF Icon Microsoft Explorer

Ale pak, jakmile malware je spuštěn, to odhalí, že je to pravda, povaha:

Crypto Locker obrazovky

Běželi jsme to na čerstvém Windows 7 Ultimate SP1 32 bit instalace s jedním kole záplat, takže tam nebylo moc na šifrování pro Cryptolocker.

Po spuštění škodlivého kódu, systém připojen přes https na 151.248.118.193. (Vps.regruhosting.ru), mohou získat / poslat klíč. Neviděl jsem na vyhledávání DNS. SSL certifikát podepsaný sám sebou, obsahují IP adresu 213.183.60.75 jako Předmět:

Sériové číslo:
B7: ff: 8c: 36: d5: 71:51: b2
Signature Algorithm: sha1WithRSAEncryption
Emitent: CN = 213.183.60.75
Platnost
Ne před: Apr 10 09:41:14 2012 GMT
Ne Po: Apr 8 09:41 : 14 2022 GMT
Předmět: CN = 213.183.60.75

Spam v dubnu 2014
Spam
30.5.2014 Zdroj: Kaspersky
Spam v centru pozornosti

V dubnu, dovolenou-themed hromadné e-maily představoval Velikonoce, který byl použit nejen k propagaci spammerů produkty, ale různými podvodníky, kteří rozeslaných falešné loterie výherních upozornění pro uživatele internetu a malware maskovaných jako rekreační e-pozdravy.

Podvodníci také rozeslány nabídky, jak vydělat peníze ze skladu v amerických farmaceutických společností - tzv. čerpadlo a skládka spamu. Několik velkých zásilky inzerované služby v různých zdravotnických zařízeních a stomatologických klinikách, stejně jako způsoby, jak zlomit špatné návyky a rehabilitační léčbu pro narkomany a alkoholiky.

Velikonoční spam
Velikonoce jsou významným náboženským svátkem pro křesťany všech oborů víry, a je oslavován na celém světě. Každý rok před dovolenou, e-mailové schránky čelí záplavě velikonoční tématikou spamu. Angličtina-jazyk spam v dubnu přinesl tradiční hromadnou korespondenci z affiliate programů, které se příliš nemění z roku na rok příští, a nabízí pro značkové výrobky velikonoční.

Spammeři nezapomněl na své obvyklé reklamy na hubnutí a vypadat mladší. Nabídka pro rychlé hubnutí a proti vráskám léčby byly předělány, aby zahrnovala téma velikonoční a obsahoval název dovolené v těle e-mailu.

Velikonoční spin byl také kladen na podvodné e-maily o neexistující loterijní výhru. Název dovolené byl použit v e-mailu předmětu upoutat pozornost příjemců, zatímco pozdravy na začátku zprávy byly určeny přesvědčit příjemce, že autor nemá nic, ale dobré úmysly.

Hra na trh
Minulý měsíc jsme viděli novou vlnu tzv. čerpadlem a výpisem spamu. Podvodníci za tyto e-mailové korespondence inzerované nabídky na koupi akcií v určité společnosti za velmi nízké ceny, které byly údajně určeny výrazně zvýšit v blízké budoucnosti. Výsledkem je, že poptávka po zásob ve společnosti vzrostla, ceny se stal uměle - a podvodníci by pak odprodat své akcie ve zmíněné společnosti. Ceny akcií by se pak začne klesat, a napálil investoři byli vlevo s odpisovaného akcií a ztratil své investice. Jako pravidlo, podvodníci mají sklon vybírat si málo známé společnosti pro tyto systémy, kde je zboží obchodované na sekundárním trhu. V dubnu se používá Rich Pharmaceuticals, americké společnosti.

Čerpadlo a skládka spamové e-maily, které byly zjištěny byly zaslány údajně z mnoha společností, které nabízejí investiční a zprostředkovatelské služby pro potenciální investory. Aby e-maily vypadají jako skutečné řešení, podvodníci používají loga od skutečných společností a řekl, že jejich e-maily přišel z těchto společností - i když "Z" pole v e-mailu nevypadal jako oficiální názvy. Aby jejich falešné e-maily těžší odhalit, podvodníci používají grafiku a náhodný text na konci těla e-mailu.

Spammeři Dávejte si pozor na své zdraví
V dubnu, zdravotnické zboží a služby spam zaměřený na léčbu pro konkrétní onemocnění. Například léky byly nabízeny pro plešatost a močového měchýře otázkách; plné lékařské zkoušky byly zveřejněny, stejně jako léky na věčně léky na diabetes, artritida a další onemocnění. Většina e-mailů, byly navrženy jako grafické soubory s odkazy, které by obvykle vedou uživatele na falešné internetové stránky, kde budou čekat na seznamu nabízených služeb, seznamy speciálních klinik a srovnání cen pro různé služby. Tyto e-maily byly všechny vysledovat na adresy registrované na nově vytvořených domén fly-by-noc.

Zubní kliniky používají spamu v dubnu inzerovat své služby za velmi příznivé dentální implantací od různých výrobců.

Spammeři proti zlozvykům
Dubna spam zásilky nabídl kuřákům způsob, jak kopat svůj zlozvyk přepnutím na kouření e-cigarety. Pokud příjemce byly kliknout na odkaz v nevyžádaných e-mailů vedoucí k on-line obchodu, by on nebo ona objednávat jakékoli množství a jakýkoli chuť e-cigarety. Tělo e-mailu také uvedeny všechny výhody používání e-cigarety přes staromódní nikotinu.

Kromě boje proti kouření závislostí, spammeři také inzeroval rehabilitační programy z těch, kteří trpí drogové nebo alkoholové závislosti. Standardní e-mail s těmito nabídkami přišli z e-mailových adres, které se neustále mění a registrována na nově vytvořených domén. Odkazy na e-maily, vést k falešné webové stránky, které obsahovaly nabídky pro celou řadu lékařských služeb, ale které nebyly nezbytně spojené s léčbou závislosti.

Statistika

Podíl nevyžádané pošty v e-mailovém provozu

V průměru, podíl nevyžádané pošty v e-mailovém provozu v dubnu přišel na 71,1%, což je 7,6 procentního bodu více než v březnu. Největší podíl nevyžádané pošty byl viděn během posledního týdne v měsíci (73%), a nejnižší hladiny byly viděny v předposledním týdnu (69,6%).

Geografické rozdělení zdrojů spamu
Na konci dubna 2014 se první tři zdroje spamu na celém světě se poněkud změnilo od předchozího měsíce. Čína opět obsadila první místo (24,1%), po jeho procentní změnila jen nepatrně, jde o jednu polovinu procentního bodu. Další, Jižní Korea obsadila druhé místo s 15,6% poté, co vzal třetí místo za poslední měsíc; Množství spamu pocházející z této země vzrostl o 2,4 procentního bodu. USA získal třetí místo s 12,1% po uklouznutí téměř 5 procentních bodů, což mělo dopad i na umístění dalších zdrojů spamu.

Zdroje spam po celém světě

Ruska a Tchaj-wanu i udržuje své místo v Top 5 (9,1% a 6,5%, v tomto pořadí). Ruská procento dokonce zvýšil o 2,5 procentního bodu.

Zvýšení podílu spamu poslal byl pozorován také ve Vietnamu (4,2%), Ukrajiny (2,7%), a na Filipínách (1,9%) - v průměru, jsou ukazatele těchto zemí se zvýšil o 0,6 procentního bodu. Jako výsledek, na Filipínách se na 9. místo žebříčku minulý měsíc. Čtenáři si možná vzpomenou, že v březnu, Filipíny byl na 11. místě.

Japonsko zaokrouhlí se na Top 10 v dubnu 1,9%; Podíl nevyžádané pošty pocházející z této země téměř nezměnila vůbec, ale pořadí v zemi klesl o jednu pozici. Na konci měsíce jsme také viděli Romania opusťte Top 10 (1,4%).

Zvýšená spammer aktivita byla pozorována ve Francii (1%), který dělal vrchol 20 minulý měsíc - tak vysoko, jak 12. místo. Německo také na ratingy v dubnu (0,7%).

Evropské zdroje spam

Na konci dubna, vedoucí spam zdrojů zaměřených na evropské země, byl Jižní Korea, až 5,5 procentního bodu na 56,3%. Tchaj-wan se zvýšil ze třetího na druhé místo v žebříčku (7,8%) po lezení 1,8 procentních bodů. Top 3 se dotváří v USA s 6,9% nebo 0,7 procentního bodu méně než v březnu.

Ruska (5,1%) se konalo 4. místo pozici pevně po získání 0,8 procentních bodů. Zvýšení množství spamu poslal z Francie byl zaznamenán také ve Francii (3,1%), který vyskočil z 19. místa na páté.

Množství spamu cílení Evropě a pocházející z Ukrajiny (1,5%) a Rumunsku (o 1,3%) se snížil o 0,3 procentního bodu a 0,4 procentního bodu, resp. procentních bodů, že Velká Británie se na 10. místě (1,2%) po pádu o 0,5 procentního bodu více než v měsíci.

Množství spamu pocházejícího z Číny, Polska a Itálie, vše klesla v dubnu (o 2 procentní body, o 0,3 procentních bodů a 0,6 procentních bodů, v tomto pořadí). Naopak mírný nárůst spammer aktivita byla pozorována v Německu, kde podíl nevyžádané pošty byl 0,9% na konci měsíce.

Tento měsíc, seznam našich zemí byl spojený v Nizozemsku (0,8%) a Turecko (0,4%).

Regionální zdroje spamu

Pokud jde o regionální zdroje spamu, Asie zůstane v čele s 59,8%. Východní Evropa je vedle s 16,9%, přepínání místa se v Severní Americe, který klesl z druhého do třetího (12,3%). Mezitím, procento spamu pochází z východní Evropy vzrostly o více než 2 procentní body, zatímco v Severní Americe podíl klesl o téměř 5 procentních bodů.

V oblasti západní Evropě (5,3%) a Jižní Ameriky (2,9%) došlo rovněž nárůst ve výši spamu (0,6 pb a 0,5 pb, v tomto pořadí).

Škodlivé přílohy v e-mailu

Níže uvedené grafické ukazuje Top 10 škodlivých programů se šíří prostřednictvím e-mailu v dubnu.

Top 10 škodlivých programů se šíří prostřednictvím e-mailu

Jak je tradicí, seznam malware šíření prostřednictvím e-mailu je zakončena Trojan-Spy.HTML.Fraud.gen. Člověk by rád věřil, že po četných publikací a připomenutí této hrozbě, počet uživatelů, které jsou obětmi to by bylo na minimum. Čtenáři si možná vzpomenou, že je to velmi hrozba, že se jeví jako HTML phishing webové stránky a odešle e-mail se tváří jako důležitý oznámení od bank, on-line obchodů a dalších služeb.

V dubnu naše Top 10 se připojil několik zástupců čeledi Bublík. Všechny hrozby z této rodiny v Top 10 jsou staženy na infikovaných počítačích Trojan z Zeus / Zbot rodiny (které jsme zmínil mnohokrát v našich zprávách). Hrozby v této rodině jsou navrženy tak, aby napadnout serverů a uživatelských počítačů a zachycení dat. Ačkoli Zeus / Zbot je schopen provést celou řadu škodlivých akcí, více často než ne, že se používá k ukrást bankovní údaje. To může také nainstalovat CryptoLocker , je škodlivý program, který vyžaduje výkupné rozluštit uživatelská data.

E-mailové Worm.Win32.Bagle.gt červ, který zařadil 7. v dubnu, přidal trochu odrůdy jinak Bublik-dominovaly útoky v dubnu. Po infikování počítače, e-mail, Worm.Win32.Bagle.gt se odešle všechny e-mailové adresy je možné najít na počítači. Jejím hlavním cílem je stáhnout a spustit soubory z internetu bez obětí povšimnutí.

Rozložení e-mailu antivirových odhalení, podle zemí

Pořadí zemí z hlediska počtu e-mailových antivirových odhalení vedl v USA v dubnu s 11,73% (pokles o 0,28 procentního bodu od března). Velká Británie (9,95%) a Německo (9,47%) byly v druhém a třetím místě, resp.

Podíl e-mailových antivirových odhalení vzrostla o 2,13 procentních bodů v Brazílii (celkem 4,13%), a v důsledku toho, že země se zvýšil na 5. místo v žebříčku. Čísla Ruska klesl o 0,25 procentního bodu a klesl od 16. do 20. místě. Mezitím procento e-mailových antivirových odhalení v jiných zemích příliš nezměnila v dubnu.

Zvláštnosti škodlivého spamu
Den po Velikonocích, uživatelé se zlými úmysly rozeslal hromadných e-pozdravy v němčině s použitím jména uživatele, jehož e-mailové účty byly pravděpodobně napadeny hackery. E-maily obsahovaly také přeje a e-pozdrav (v příloze), který byl použit k zakrytí Trojan-PSW.Win32.Fareit.aonw. Na rozdíl od jiných úprav Fareit , tato hrozba je poněkud méně ambiciózní - to není krást hesla k softwarové programy, ale to stáhnout a spustit další Trojan, Trojan-Spy.Win32.Zbot.sbba, který je navržen tak, aby napadnout serverů a krást osobních údajů.

Také v dubnu, Kaspersky Lab zjištěn několik velkých škodlivým útokům maskované jako faxy odeslané pomocí dobře známého on-line faxové služby, eFax, který umožňuje uživatelům posílat a přijímat faxy jako e-mailové přílohy. Falešné zprávy obvykle součástí oznámení o příchozí fax, a být přesvědčivější, by to znamenat, počet stránek ve faxu. Nicméně, soubor zip vlastně obsahoval malware, konkrétně Trojan-Downloader.Win32.Cabby.a - poměrně malé Trojan downloader, který nese soubor CAB v jeho těle se dokument nebo obrázek, který se zobrazí příjemci po spuštění. Zatímco oběť je zaneprázdněn pohledu na přílohu, Cabby tajně stáhne další hrozbu. V případech jsme zaznamenali, sekundární škodlivý program byl ze stejného rozšířené Zeus / Zbot rodiny (Trojan-Spy.Win32.Zbot.shqe).

Phishing

V dubnu, Kaspersky Lab seskupeny organizace nejčastěji cílené podle phisherů do kategorie zahrnující e-mailových klientů, klientů rychlého zasílání zpráv a vyhledávačů. Na konci měsíce, v této kategorii byl na vrcholu ratingu s 31,9%. Sociální sítě jsou na druhém místě s 23,8%, a to i po 0,2 procentních bodů poklesu. Finanční a platební organizace přišla v třetí s 13%, a byl také klesla meziročně o 0,2 procentního bodu od března. Procento útoků zaměřených na on-line obchody (12,1%) se snížil o 0,8 procentního bodu. Indikátory pro ostatní kategorie prošla také nějaké drobné změny, které měly vliv na jejich postavení v hodnocení.

Distribuce Top 100 organizací nejčastěji na něž phisherů podle kategorií

Tato klasifikace je založena na společnosti Kaspersky Lab anti-phishing součástí odhalení, které jsou aktivovány pokaždé, když se uživatel pokusí klikněte na odkaz phishing, bez ohledu na to, zda je odkaz v nevyžádaných e-mailů, nebo na webové stránce.

Velké čínské organizace jsou často terčem phisherů, a zahrnují Tencent, je telekomunikační společnost, která mimo jiné nabízí technickou podporu pro instant messaging klient, QQ. Podvodníci se snažil dostat klienta přihlašovacích jmen a hesel z jejich osobních kanceláře pomocí společného trik. Falešné oznámení by uživatelům sdělit, že jejich účet obdržela žádost o odblokování účtu. Vzhledem k tomu, údajný požadavek byl odeslán uživatelem třetí strany, měl přístup k účtu byl uzamčen, aby se zabránilo krádeži osobních informací.

Ve snaze o odmítnutí žádosti, uživatel byl požádán, aby klikněte na odkaz, který vedl na webové stránky phishing. Mimochodem, bylo oznámení zasláno jako grafiku, což pomohlo to obejít filtry nevyžádané pošty a z e-mailu vypadat legitimní.

Závěr

Podíl nevyžádané pošty v celosvětovém e-mailovém provozu v dubnu vzrostl 7,6 procentních bodů a v průměru 71,1%. Nejvyšší úroveň nevyžádané pošty byly viděny v posledním týdnu měsíce (73%).

Výše velikonoční tématikou spamu v dubnu byl tak vysoko, jak to mohl dostat. Spammeři hlavně posílat nabídky na různé zboží a služby, velikonoční, navíc ke zboží a službám, které opravdu neměli žádný přímý vztah k dovolené. Velikonoce se dokonce zmínil v podvodných oznámení o výhrách s cílem získat pozornost potenciálních příjemců a pokusit se je obelstít. Navíc, během této vlny velikonoční aktivity, uživatelé se zlými úmysly také rozeslal e-pozdravy škodlivými programy.

Top 3 zdroje spamu na celém světě v dubnu byly Čína (24,1%), Jižní Korea (15,6%) a USA (12,1%). Asie zůstal číslo jedna regionální zdrojem spamu minulý měsíc (59,8%).

Na konci měsíce jsme viděli novou kategorii - e-mailových klientů a vyhledávače - ujmout vedení mezi organizacemi, nejčastěji na něž phisherů (31,9%). Sociální sítě jsou na druhém místě (23,8%), zatímco finanční a platební organizace byly ve třetí (13%).

Google v rozporu s "právo být zapomenut" vládnoucí
30.5.2014 IT
V souladu se Soudního dvora na rozhodnutí Evropské unie, Google kroky k programu, který umožní Evropané požádat o jejich jméno bude odstraněno z určité vyhledávání.

Rozhodnutí podle zákona evropského inspektora ochrany údajů poskytuje Evropanům "právo být zapomenut." Jinými slovy, lidé mohou mít jejich jména odstraněna z dotazů, Google řekl, v případě, že výsledky jsou "nedostatečné, irelevantní, nebo již nejsou relevantní, nebo míru s ohledem na účely, pro které byly zpracovány. "

Google a další špičkové technologické společnosti, byly nižší než spokojeni s 13. května rozhodnutí, které se domnívají, že bude podporovat opatření cenzury internetu.

Google včera oznámila, že vytvořila webové stránky, kde mohou lidé dělat žádost o odstranění.
Google včera oznámila, že vytvořila webové stránky, kde mohou lidé udělat žádost o odstranění . Evropané musí uvést své jméno a kontaktní údaje, spolu s odkazy spojené se jménem, které chtějí odstranit. K dispozici je také pole na formuláři pro vysvětlení, proč je odstranění je požadováno.

Google říká, že ověří identitu, aby bylo možné odvrátit podvodné žádosti o odstranění, nebo požadavky se snaží poškodit konkurenci. Každé podání vyžaduje kopii platného řidičského průkazu, průkazu totožnosti nebo cestovním pasem s fotografií.

Google bude mít ruku v posouzení každé žádosti individuálně, včetně posouzení toho, zda je to ve veřejném zájmu a bezpečnosti, k odstranění osobních informací z výsledků vyhledávání, například, ať už je to ve veřejném zájmu odstranění trestní oznámení přesvědčení.

"Rozhodnutí soudu vyžaduje aplikaci Google činit obtížná rozhodnutí o tom, právo jednotlivce být zapomenut a právo veřejnosti na informace," řekl mluvčí Google v Wall Street Journal .

Google generální ředitel Larry Page řekl Financial Times , že rozhodnutí by mohlo být škodlivé pro on-line svobodu a inovace. Zejména, Page řekl, že rozhodnutí stává precedentem pro despotických režimů, kteří chtějí dále došlápnout na cenzurovat to, co občané vidět on-line.

"To bude používán jinými vládami, které nejsou tak dopředu a progresivní Evropě dělat špatné věci," řekl Page. "Ostatní lidé budou hromadit na, pravděpodobně. . . z důvodů, většina Evropanů by si negativní. "

Google se také očekává, že oznámí dnes vznik výboru odborníků na ochranu soukromí a vedoucích pracovníků, které vám pomohou být v souladu s evropskými mandáty ochrany osobních údajů. Výbor bude obsahovat předsedu Google Eric Schmidt, top právník Googlu David Drummond a Wikipedia vůdce Jimmy Wales.

"Přál bych si, že bychom byli více zapojeni do skutečné diskuse. . . v Evropě, "řekl Page. "To je jedna z věcí, které jsme odebraných z toho, že začínáme proces opravdu jít a mluvit s lidmi."

OpenSSL dostává finanční prostředky pro vývojáře, projde bezpečnostní audit
30.5.2014 Zranitelnosti
Sotva měsíc poté, co oznámil vytvoření skupiny, která má pomoci financovat open source projekty, iniciativa Základní infrastruktura se rozhodla poskytnout projektu OpenSSL s dost peněz najmout dva vývojáře na plný úvazek, a také bude financovat audit OpenSSL u otevřeného Crypto Audit projektu.

CII je podpořena tím, kdo je kdo z tech firem, včetně Google, Microsoft, IBM, Linux Foundation, Facebook a Amazon, a skupina přidal několik nových členů tento týden, stejně. Adobe, Bloomberg, HP Huawei a Salesforce.com se připojil k CII a poskytne finanční podporu.

Oznámení z CII přichází v době, kdy jsou hlavní otázky, vířící kolem crypto projektů. Ve středu, hlavní TrueCrypt webové stránky a Sourceforge strana začala nést zprávu, varující uživatele, že šifrovací balíček open source není bezpečné a může obsahovat neopravených chyb zabezpečení. Totéž se též objeví varovný instalační obrazovce TrueCrypt 7.2, novou verzi, která byla podepsána s platným šifrovacím klíčem projektu. Před měsícem, OCAP vydala první zprávu, že v první fázi svého auditu TrueCrypt se objevilo žádné zadní vrátka nebo jiné znepokojivé zranitelná. Bezpečnostní experti pro let přemýšlel o integritu softwaru, jako jeho vývojáři jsou anonymní a TrueCrypt nikdy prošla vnější audit.

Nyní, OCAP tým, který zahrnuje Johns Hopkins profesor a cryptographer Matthew Green a Kenn White, bude mít peníze na financování audit OpenSSL, stejně. OpenSSL vzal velký hit na začátku tohoto roku se zjevení Heartbleed zranitelnosti , které poslal na internet do panice, protože software běží na více než 60 procent SSL chráněných lokalit.

"Ať se nám to potvrdí, nebo ne, bezpečnost dnešního internetu je závislá na malém počtu open source projektů. Tato iniciativa staví zdroje s cílem zajistit dlouhodobou životaschopnost těchto projektů. To z nás dělá všechno mnohem bezpečnější, "řekl Green.

Kromě financování OpenSSL je audit, CII také se dopouští peníze Network Time Protocol a OpenSSH.

CII je také spáchání peníze Network Time Protocol a OpenSSH.
"Veškerý vývoj software vyžaduje podporu a financování. Open source software není výjimkou a zaručuje úroveň podpory na par s dominantní roli, kterou hraje podporuje dnešní globální informační infrastrukturu, "řekl Jim Zemlin, výkonný ředitel The Linux Foundation. "CII implementuje stejný společný přístup, který se používá k vytvoření software, který pomůže financovat nejdůležitější projekty. Cílem KII je přejít od reaktivní, reakce vyvolané krizí na měřené, proaktivní způsob, jak identifikovat a financovat takové projekty, které jsou v nouzi. Jsem nadšená, že nyní máme fórum pro připojení lidem v nouzi s těmi, s fondy. "

CII také přidal několik nových poradců, včetně Green, Bruce Schneier, Eben Moglen z Kolumbijské univerzity a Ted T'so společnosti Google.

"Je to důležitý krok ke zlepšení bezpečnosti na internetu. Jsem rád, že technologické společnosti, které spoléhají na bezpečnost open source softwaru investuje do těchto cenných papírů, "řekl Schneier.

San Diego State varuje možných dat Porušení
30.5.2014 Incidenty
San Diego State University oznámil některé ze svých současných i bývalých enrollees, že některé z jejich osobní údaje mohou být přístupné neoprávněnými uživateli, poté, co byl nalezen databáze obsahující informace, které mají být přístupné pomocí kdokoliv v kabelové síti postiženého oddělení.

Databáze v otázce patří do Pre-College Institute, která je součástí školy Pedagogické fakultě, která podporuje vzdělávání ve středních a vysokých škol. V dopise zaslaném Úřadu generálního prokurátora v Kalifornii, SDSU CIO řekl, že škola nemá žádné náznaky, že data byla vždy přístupné útočníky, nebo dokonce neoprávněnými uživateli nebo používané k nekalým účelům.

"Databáze byla řízena Pre-College Institute a obsahuje vaše jméno, číslo sociálního zabezpečení, datum narození, adresu a další osobní údaje potřebné k poskytnutí pre-vysokoškoláci různé služby. Ty byly nebo jsou zapsáni v jednom z programů Pre-College Institute. Databáze byla zamýšlel být používán pouze zaměstnanci Pre-College Institute, ale to bylo chybně nakonfigurován, aby jakýkoliv počítač připojený ke kabelové síti SDSU, s programem "FileMaker", otevřete jej. Kabelové sítě SDSU se skládá z kanceláře, některé laboratoře a knihovny, " Dopis říká, že z Chrise Xanthos, spolupracovník viceprezident pro obchodní operace a CIO,.

"SDSU bere svou odpovědnost k ochraně vašich osobních údajů velmi vážně, a omlouváme se za nesprávnou konfigurací databáze. Při učení tohoto stavu, Pre-College Institute překonfigurovat databázi k dispozici pouze pro zaměstnance pracující v Ústavu podporu pre-vysokoškolské studenty. "

Není to neobvyklé, kdo se dozví o porušení dat, která vyplývá z nějaké formy konfigurací nebo lidské chyby, a to zejména v prostředích, jako jsou vysoké školy, kde jsou sítě často jsou otevřeny ve výchozím nastavení. Vysoké školy a univerzity jsou společné cíle pro útočníky, kteří vědí, že školy zpravidla nakloněni otevřených sítí a ukládat cenné osobní údaje desítky tisíc studentů, fakulty a zaměstnance.

Mnoho velkých univerzit byli terčem útočníků v posledních letech, zejména University of Maryland, který utrpěl závažné porušení dat na začátku tohoto roku.

íránský kampaně snooped na amerických úředníků
30.5.2014 Hrozby
Íránské špioni provedly shromažďování zpravodajských kampaň nejméně od roku 2011, a to zaměřením americkou armádu, diplomaty, DC novináři a vládní vyslance, jen abychom jmenovali alespoň některé, a přes sociální média.

Podle iSight Partners, počítačové hrozby zpravodajské firmy, útočníci již dlouho byli schopni sbírat přihlásit-in pověření a přístup "a další systémy a informační" přes operaci. Firma vydala zprávu o sofistikované cyberespionage kampaně, přezdívaný hlasatel , dnes.

Kampaň se údajně podařilo sifon e-mailové log-in obětí, síťových protokolů moduly a několik dalších informací, které by mohly být použity další v řadě na sociální inženýrství.

Za účelem koordinace jejich plán, útočníci údajně vyvinuli zabil falešné on-line osobností a převlékl se za reportéry, dodavatelé obrany a politiků. Útočníci kultivovaný těchto Personas přes Facebook, Twitter, LinkedIn, YouTube, Blogger a ano, dokonce i Google+, aby přesvědčil své oběti byly skutečné.

Útočníci také upřesněny Personas přes falešné zpravodajské stránky, Newsonair.org. Články na místě byly přičítány falešných novináři, ale oni byli opravdu zkopírovány z Reuters a dalších legitimních zdrojů. Počet článků na stránce odkazují na citlivých íránských záležitostí, jako jsou jaderné dohody v zemi, vztahy a sankce USA-Írán je uložena na národ.

Poté, co se ujal dobře připojené vůdce a přesvědčil je, že jsou skutečné, útočníci se zaměří na jejich účty s kopí-phishing zpráv, které zachytil log-in informace. Některé zprávy nasazen dat průsaků vody malware na svých počítačích stejně, ale firma tvrdí, že to není příliš sofistikovaná.

Zatím útoky napálil stovky loutky z amerického veřejného a soukromého sektoru. Firma předpokládá, že kolem 2000 cíle jsou, nebo byli, zapleteni do webu kampaně od jejího vzniku.

Seznam těch podvedeni zahrnuje senior americkou armádu, diplomatické a kongresové personál, americký think tanky a dodavatelé obrany, spolu s lobbisty z USA i Izraeli. Další oběti ve Velké Británii a Saúdské Arábie byly také zaměřeny.

iSight nebyl schopen přesně určit, jaký druh dat může být přijata, ale tvrdí, že je to "rozumné předpokládat, že obrovské množství sociálním obsahem byla ohrožena," v systému.

Firma tvrdí, kolektivní cílení, provozní plán a infrastruktura je v souladu s tím íránských útočníků, nacházejících se případně v Teheránu. Dále harmonogram útočníci "se shoduje s normálním íránské rozvrhu práce: Užívání dlouhé přestávky na oběd, půl dne ve čtvrtek a pátek při vypnutí zcela.

Toto je druhá hlavní případ cyberespionage zahrnující Íránce v letošním roce.

Začátkem tohoto měsíce úředníci na FireEye varoval, že hacking skupina, bezpečnostní tým Ajax, se podařilo provést řadu hrdinských činech proti dodavatelů Spojených států obrany, něco, co bezpečnostní firma přezdíval Saffron Rose. Tato kampaň, nicméně, je ne věřil být vázána na zabezpečení týmu Ajax.

Jako útočníků stojí za hlasatel, bezpečnostní tým Ajax použít kombinaci malwaru a sociálního inženýrství provádět své útoky.

Oba příběhy doplní probíhající teorii, že íránští útočné schopnosti množí se bude nadále rozvíjet následující útoky proti nim, jako plamen a Stuxnet.

NSA zprávy Snowdenová e-mail, Surveillance vyvrací tvrdí, že protestoval agentura
30.5.2014 Špionáž
Národní bezpečnostní agentura vydala e-mail od Edwarda Snowdena poslal loni v dubnu na Úřadu generálního poradce, který vyvrátí oznamovatele je tvrzení, že oznámené orgány o dozoru dosah NSA.

V doprovodném prohlášení, NSA řekl, že zpráva je pouze jeden Snowden poslal do kanceláře a týká školení dodavatel dokončil; to řešit žádný z porušování zjištěných v dokumentech publikovaných v různých zpravodajských kanálů od loňského června.

Snowden řekl v rozhovoru s NBC News Brian Williams ', který vysílal ve středu večer, že šel "přes kanály", než se rozhodl stáhne, co je údajně stovky tisíc stran tajných dokumentů, které vysvětlují, dohledové činnosti agentury.

"NSA má kopie e-mailů, teď se jejich úřadu General Counsel, jejich dohledu a dodržování lidi ze mě vyvolává obavy ohledně interpretace NSA jeho právní moci," řekl Snowden. "Já jsem zvedl tyto stížnosti nejen oficiálně písemně prostřednictvím e-mailu na těchto úřadech, ale na mé dohledu, se svými kolegy."

Snowden dodal, že tyto obavy zvýšil během svého působení ve Fort Meade v NSA ústředí, stejně jako, když on byl umístěný na Havaji, než uprchnout do Hongkongu a nakonec Moskva, kde je v současné době žije a byl udělen dočasný azyl.

"Mnozí z těchto jedinců byli šokováni těchto programů," řekl Snowden. "Oni nikdy neviděl to sami a ti, kteří měli by se říci" Máš pravdu, to jsou věci, které jsou skutečně o ... ale když řeknete něco o tom, že se chystáte zničit. Víte, co se stane s lidmi, kteří stojí a mluví o tom? "

Snowden řekl NBC dostal odpověď v tom smyslu, což naznačuje, že zastavení takové otázky orgány žádají.

Prohlášení NSA dnes řekl: "e-mailové nevznesla obvinění nebo obavy týkající se protiprávního jednání nebo zneužívání, ale představuje právní otázku, která Kancelář generálního poradce řešena," uvádí se v prohlášení. "Nebyl další follow-up poznamenal. Existuje mnoho cest, které pan Snowden mohla používané ke zvýšení dalších otázek nebo oznamovacích obvinění. Hledali jsme pro dodatečné označení dosahu z něj v těchto oblastech, a do dnešního dne nebyly objeveny žádné závazky týkající se jeho tvrzení. "

To není poprvé, Snowdenová řekl, že se snažil získat ucho orgánů před rozhodnutím přijmout postup, který si vybral. V březnu, Snowdenová svědčil Evropskému parlamentu, který hlásil problémy, které on měl s programy agentury na více než 10 úředníků. Washington Post hlásil v době, kdy Snowden svědčil, že byl znepokojen nedostatečnou ochranu informátorů k dispozici s ním.

"Jako zaměstnanec soukromé firmy spíše než přímé zaměstnance americké vlády, jsem nebyl chráněn americkými zákony informátorů, a já bych si nebyla chráněna před odvetou a právní sankce za odhalení utajovaných informací o porušování zákonů v souladu s doporučenou proces, "řekl Snowden.

Snowden je hourlong rozhovor probíhal v hotelu Moskva a diskuse se pohybovala od rozhovorů o jeho pozadí, ať už byl vycvičen jako vyzvědač, jeho krátké vojenské služby po 11. září a jeho možného návratu do Spojených států.

Monsanto Trpí dat Porušení při Precision výsadbu jednotky
30.5.2014 Incidenty
Monsanto, masivní mezinárodní zemědělský konglomerát, který zakládá porušení dat, která zahrnovala osobní údaje zákazníků a zaměstnanců jeho Precision výsadbu dceřiné společnosti. Porušení včetně jména, adresy, možná sociálního zabezpečení čísla a některé finanční informace o účtu.

Společnost objevil porušení 27. března, ale to nebyla zveřejněna až na začátku tohoto měsíce. Představitelé společnosti tvrdí, že incident vyústil formulář neoprávněnému přístupu k serveru, který obsahoval citlivé informace o více než 1200 zákazníků a zaměstnanců Přesné Výsadba. Dceřiná společnost poskytuje zemědělské služby a zemědělské stroje a zařízení.

"Dne 27. března jsme zjistili, neoprávněný přístup k našim systémy došlo prostřednictvím stranou. Soubory na postižených serverech obsahovaly osobní údaje, včetně jména zákazníků, adresy, identifikační čísla (daň, která v některých případech může být číslo sociálního zabezpečení), a (v některých případech), finanční informace o účtu. Navíc, některé personální data byla uložena na serverech, včetně některých daňových formulářů W2, které obsahovaly jméno zaměstnance, adresu a čísla sociálního pojištění a (pro malý počet zaměstnanců), čísla řidičských průkazů, "Reuben Shelton, generální rada na Precision Výsadba, napsal v porušení informačním dopise do kanceláře Maryland generálního prokurátora.

Je zajímavé, že ačkoli společnost nemá myslet, že incident byl součástí pokusu o krádež informací postižených zákazníků, to je práce s FBI na něj.

"Věříme, že tento neoprávněný přístup nebyl pokus ukrást informace o zákaznících; Je však možné, že soubory, které obsahují osobní údaje mohou být přístupné, a proto jsme udělali toto oznámení, "říká dopis.

"Tento incident byl zvládnut a my jsme spolupracuje s přední forenzní firmy pochopit a sanaci tohoto problému. Kromě toho jsme požádali Federální úřad pro vyšetřování o pomoc. "

Porušení údaje Monsanto má některé podobnosti s jinou tento týden v San Diego State University incidentu . Úředníci na SDSU řekl, že některé informace na konkrétní databázi byla přístupná neoprávněným uživatelům na určitou dobu, ale neměli žádný důkaz, že to bylo vždy dostupné všem zaměstnancům a studentům, kteří by to viděli, nebo podle útočníci.

Apache Záplaty DoS, zpřístupnění informací Chyby v Tomcat
30.5.2014 Zranitelnosti
Apache nedávno oprava Tomcat , kterým trio informačních zveřejňování chyb a odmítnutí služby chyby v open source webový server a servlet kontejneru.

Odmítnutí služby chyby, objevené v únoru David Jorm na Red Hat Security Response Team, by umožnily útočníkovi vytvořit chybně velikost bloků v rámci blokového požadavku, který by si dovolil neomezené množství dat, které mají být streamované na server. To by se obešel omezení velikosti vynuceny na vyžádání a vyvolalo odmítnutí služby.

Chyby opravené v Apache TomcatNa zveřejnění informací chyby - všechny objevené bezpečnostní tým Tomcat - mohla v podstatě povoleno útočníkovi obejít limity stanovené tímto softwarem.

První z nich (CVE-2014-0096) Mohl jsem nechat škodlivý Web App Bypass omezení v přístupu k souborům stanovené správcem zabezpečení pomocí externích položky XML. Druhý (CVE-2014-0119) by si dovolil totéž, obchvat limitů stanovených v XML externích identit, ale také možnost viditelnost z XML souborů zpracovaných pro jiné webové aplikace nasazených na stejné instance Tomcat.

Poslední zpřístupnění informací chyba (CVE-2014-0099) se zabýval problémem ve způsobu, jakým je kód použitý analyzovat záhlaví délky obsahu žádosti. Nebylo kontrolu přetečení, když bylo vše řečeno a uděláno. To vedlo k požadavku pašování zranitelnost webového serveru bylo za reverzní proxy, která správně zpracované záhlaví délky obsahu. Žádost o pašování zranitelnosti, je-li předloženy údaje neúplně analyzován pomocí systému HTTP jako proxy server, může být složité a vedou k hrstce dalších útoků, jako je cache poisoning, neoprávněným přístupem a cross-site scripting (XSS) útoky.

Na zveřejnění informací chyby, zatímco objevil v únoru, březnu a dubnu, nebyly zveřejněny až v úterý, spolu s odepřením vydání služby.

Uživatelé zranitelných verzí, 8.0.0-RC1 na 8.0.3 , 7.0.0 až 7.0.52 a 6.0.0 až 6.0.39 , jsou vedeni k aktualizaci na nejnovější staví ke zmírnění chyby.

USPS Spam kampaně kapky botnet malware
30.5.2014 Spam, Botnet
Nová spam kampaň se objevila na podporu Asprox botnet. Program zahrnuje poštovné účtenky e-maily, které obsahují škodlivé odkazy a purport pochází z United States poštovní služba (USPS).
Každý, kdo obdrží jednu z těchto e-mailů a klikne na odkaz v něm bude mít soubor stažený zip na svém počítači, podle zprávy Zscaler . Poté, co uživatel stáhne soubor zip, to se ukáže jako zdánlivě legitimní hledá dokumentu aplikace Word na ploše systému Windows. Tento soubor je ve skutečnosti spustitelný soubor, který musí být otevřen dříve, než uživatel infikována malwarem.
Výzkumníci z bezpečnostní firmy StopMalvertising analyzovány Asprox - také známý jako Kulouz - v listopadu. Zjistili, že kmen malware začal jako botnet heslem krást, ale má protože se vyvinul, kde je primárním cílem je zahájit automatizovaných útoků SQL injection. Asprox, říkají, je notoricky známý pro spoofing plavební společnosti, jako je United Parcel Service a FedEx.
Asprox není nic nového, s odkazy na něj na Threatpost sahá až k roku 2009.
Jako zveřejnění Zscaler je, že hrozba byla bodování poměrně nebezpečná 4/52 na VirusTotal. V době naší publikace, detekční motory Zdá se, že vzala na vědomí, a hrozba je nyní vstřelil méně účinný dvacet sedm padesát dvěina.
Podle zprávy, malware kopíruje do nakažené uživatele Lokální aplikace data před vytvořením autostarter, aby zajistily, že infekce zůstane asi i po restartu.
"Společným jmenovatelem napříč všemi z nich klesl souborů je, že všichni POST bzip2 komprimované data, která je pak šifrován s 16-byte náhodný RC4 klíč přes HTTP, jak je uvádí StopMalvertising," napsal Chris Mannon v analasys Zscaler. "Vidíme rostoucí počet útoků, které využívají tuto metodu telefonu domácí aktivity. Případ tohoto Asprox hrozeb telefony domova přes porty 443 a 8080. "

Jak Snowden výročí se blíží, EFF vyzývá uživatele, aby Ramp Up Soukromí a bezpečnost
30.5.2014 Špionáž
Čas letí, když se bavíte. Ale to zřejmě také letí, když je tu nový příběh, každý druhý den o NSA dohledu. Je to už skoro rok, co první příběh pochází z dokumentů Edward Snowden ukradli z agentury objevil, a tím na mysli, ERF je povzbuzovat lidi, aby si připomněli Den instalací nástrojů ochrany osobních údajů a bezpečnosti chránit jejich komunikaci.

ERF byl v čele odporu vůči programů dozoru NSA pro let, podání několika žalob a právních otázek, aby orgánu a sběrných programů agentury. Skupina byla také lobbování Kongresu přijmout zákony o omezení činnosti dohledu NSA. Nyní se snaží dostat každodenní uživatelé motivováni k čelila snahám hromadný dozor instalací a použitím skupinu soukromí a bezpečnostní aplikace a rozšíření pro webové a mobilní komunikace.

Ochrana osobních údajů balení, což je to, co ERF volá skupina nástrojů, zahrnuje šifrované chatovací aplikace, zašifrovaný text a soukromé volání aplikace pro Android, rozšíření šifrování pro prohlížeče, stejně jako anonymity nástroj Tor. Spolu s Tor, svazek obsahuje HTTPS Everywhere, Textsecure a Redphone pro Android, Pidgin a Adium pro soukromé chaty a GPGtools a Enigmail.

"Dozor se týká každého, ve Spojených státech a mezinárodně. Miliony nevinných lidí muselo své komunikaci zameten Zátah dohledem NSA, "Nadia Kayyali z ERF napsal v blogu poštou .

"Mass dohled je toxický pro internet. Internet je mocná síla, která může podporovat demokracii, inovace a kreativitu, ale je to být zneužita jako nástroj pro vládní špionáž. "

Bezpečnost a soukromí experti říkají, že nejlepší obrana pro jednotlivce proti masové dozoru je šifrování pro tolik z jejich komunikace jak je to možné. NSA a další zpravodajské agentury mají schopnosti, které lze někdy obejít šifrování, ale to se často provádí prostřednictvím využití implementační nedostatky, nebo tím, že využije sytič místech, kde dopravní toky v nezašifrované podobě. Velké internetové společnosti jako Google a Yahoo reagovaly na odhalení NSA šifrováním více svých služeb, včetně dopravy, který teče mezi jejich různými datovými centry.

A pro jednotlivé uživatele, kteří jsou znepokojeni dopady hromadného dohledu, s použitím nástrojů, jako jsou Textsecure, HTTPS Everywhere a Tor jim dává možnost zvýšit náklady na zpravodajských agentur, nebo jakýkoli jiný protivník, přístup k jejich komunikaci.

EFF je snaha, kterou volá Reset Net, se shoduje s 5.června výročí prvních Snowdena příběhy vznikající v loňském roce.

Z TrueCrypt a rozkazu Kanárských ostrovech
30.5.2014 Bezpečnost
První zpráva o průhlednosti společnosti Apple , které vyšlo v listopadu loňského roku, byl jedním z řady mnoha uvolněné po počátku Snowdena úniků podle technologických firem se snaží distancovat od chapadla NSA dohledu.

Zpráva Apple, nicméně, obsahoval dvě věty, které dělaly to stojí od zbytku: "Apple nikdy obdržel rozkaz podle § 215 zákona USA Patriot. Očekávali bychom, že zpochybnit takový příkaz, pokud se podává na nás. "

Mnoho interpretovat tak, že prohlášení jako warrantu kanárek , taktika, kterou se jedna strana mohla nenápadně naznačit, že ještě musí přijmout, v tomto případě, tajný soudní příkaz nebo národní bezpečnosti dopis požadující přístup k uživatelským datům, které patří do podezřelého z terorismu. Jemná síla rozkazu kanárek je, že není-li takové prohlášení je v příští zprávě transparentnosti Apple, můžeme předpokládat, že udělal obdrží NSL žádost, i když Apple není povoleno veřejně neřekl.

Rychlý posun vpřed do včerejška, kdy zřejmě TrueCrypt je anonymní vývojáři zavřel dveře , prohlašuje, že open source šifrovací software byl "není bezpečné, protože může obsahovat upevněné bezpečnostní otázky." TrueCrypt.org bylo přesměrování návštěvníků na stránku TrueCrypt na SourceForge , kde bylo oznámení o uveřejnění spolu se zprávou, že vývoj se zastavil na projektu a směry byly poskytnuty pro uživatele migrovat na BitLocker Drive Encryption produktu společnosti Microsoft.

Bylo to všechno forma rozkazu kanárka?

Není peep bylo slyšet z tajemných vývojářů TrueCrypt, a to navzdory úsilí organizátorů audit projektu Otevřená šifrování (OCAP), který postavil do čela úsilí grass-roots mít kód audit. TrueCrypt byl stažen více než 30 milionů krát a odborníků řekl, že by bylo hlavním cílem musí být backdoored prostřednictvím zpravodajské agentury. OCAP dnes ráno oznámila podobný audit OpenSSL bude dít.

OCAP zvýšil 70000dolar dokončil první fázi auditu TrueCrypt , který se obrátil vzhůru nic neobvyklého v bootloaderu TrueCrypt a jádra systému Windows ovladače. Druhá fáze nezačala, ale bylo prověřit provádění šifrovacích apartmá, generátory náhodných čísel a kritických algoritmů.

Náhlý včera vypnutí zahájen nekonečné spekulace o jeho důvodech. Byl TrueCrypt nebezpečně a nevratně ohrožena? Kdyby webové stránky byly napadeny hackery? Byl malý vývojový tým odradit a hněval o zjištěních auditu, který zpochybnil kvalitu kódu, a prostě se rozhodli zavolat, že to skončí, spíše než investovat čas při čištění to?

Nebo kdyby dostal obsílku od tajného soudu požaduje přístup ke klíčům?
Nebo kdyby dostal obsílku od tajného soudu požaduje přístup ke klíčům nebo instalaci monitorovacího softwaru do svého produktu, požadavek nemohli smířit, a rozhodl se ukončit vývoj?

Tento scénář je to, co znamenalo konec pro Lavabit, šifrované e-mailové poskytovatele používané bývalý NSA dodavatel Edward Snowden. Minulý týden, Lavabit zakladatel Ladar Levison napsal first-person účet v Guardianu odstávky společnosti. Levison řekl, že FBI přišla ke dveřím s cílem ho nainstalovat snooping software na Lavabit síti.

"Neměl jsem na výběr, ale souhlas k instalaci jejich zařízení, která by straně vládní přístup USA ke všem zpráv - do a ze všech mých zákazníků - jak oni cestovali mezi jejich e-mailové účty jiných poskytovatelů na internetu," napsal Levison. Ale to nebyla poslední kapka. FBI také řekl, že soudní příkaz vyžaduje Lavabit v soukromé šifrovací klíče se převrátil. Levison řekl, že zastavil na 38 dní a byla podávána sedmkrát právních dokumentů, které FBI na klíče. Po několika soudních vystoupení, to bylo jasné, Levison řekl, že musel učinit rozhodnutí.

"Neměl jsem věnoval 10 let svého života budování Lavabit, jen aby se stal spoluviníkem v plánu, který jsem cítil by se jednalo o velkoobchodní porušení práva mých zákazníků na soukromí," napsal. "Takže se nic jiného, rozhodnutí bylo jasné: Musel jsem vypnout svou firmu dolů."

Je to to, co se stalo s TrueCrypt? Možná.

Runa A. Sandvik, soukromí a bezpečnostní výzkumník a poradce na auditu TrueCrypt, řekl Threatpost ve středu, že TrueCrypt 7.2 hostované na SourceForge byla podepsána včera se stejným klíčem používaného TrueCrypt Foundation tak dlouho, jak dva roky. Tento software byl také upraven, řekla, zobrazení stejné varování, že byl vyslán na SourceForge.

Sandvik řekla, že provedl rychlou analýzu na instalátor a neviděl žádný síťový provoz vycházející z toho, což znamená, že pravděpodobně nebyl špičatý s keylogger nebo jiný software pro monitorování spojující zpět k serveru třetí strany.

Mezitím, odborníci stále zmatený, pokud jde o důvod pro zastavení a doporučení out-of-znak, který chcete přesunout na proprietární nástroje BitLocker software společnosti Microsoft. Věděli anonymní vývojáři jen hodit své ruce a vzdát TrueCrypt jednou provždy? Líbilo se blížící crypto audit strašit je pryč? Jsme všichni je měli prostřednictvím promyšlené mystifikace? Nebo tam byl tajný soudní příkaz doručen TrueCrypt náročný přístup k softwaru?

Pro tuto chvíli, jen odpověď na některou z těchto otázek je: Možná.

Aplikace pro Chrome půjdou instalovat jen z Obchodu Chrome

30.5.2014 Bezpečnost
Google oznámil, že si uživatelé prohlížeče Google Chrome na Windows od nyní mohou instalovat rozšíření pouze přes Obchod Chrome, na tento krok už společnost upozorňovala v minulosti, chce tím zvýšit bezpečnost.

Společnost vývojáře znovu upozornila, že pokud to doposud neudělali, tak by měli přesunout svá rozšíření do Obchodu Chrome, ze kterého je budou muset uživatelé znovu nainstalovat, nebo začít používat inline instalaci, která přesměrovává stahování na servery Googlu.

Uživatelé, kteří stáhli aplikace pro Chrome z webů třetích stran, nyní uvidí zprávu o tom, že podezřelá rozšíření byla vypnuta. Tyto aplikace nebudou fungovat, dokud nebudou přesunuty pod Google.

„Malware může změnit chování prohlížeče instalací rozšíření, která zobrazují reklamy, nebo sledují aktivitu na webu. Pokud si po instalaci nového softwaru nebo pluginů všimnete divných reklam nebo toho, že se některé weby chovají podivně, mohli byste být tímto malwarem ovlivněny,” oznámil Google.

Tento bezpečnostní model je založen na příkladu Chrome OS, na stejném systému pro Windows Google pracuje od července roku 2012, kdy začal vypínat první instalace třetích stran. Přestože je instalace přes Obchod Chrome rozhodně bezpečnější, ani ta není bez problémů. Například nedávno se kyberzločincům podařilo zneužít legitimní rozšíření, které změnilo majitele, použili ho k vnucení reklam. Google se i přesto ve filtrování závadných aplikací zlepšil, a to jak v prohlížeči Chrome, tak i u aplikací na Androidu. Slabinou však zůstává prověřování vývojářů, což Google také plánuje brzy vylepšit.

Zlověstné Varování nebo Hoax? TrueCrypt varuje Software "Není bezpečné," Rozvoj

29.5.2014 Bezpečnost

Je to podvod, nebo konec řádku pro TrueCrypt?

V současné době, tam je málo více než spekulace, pokud jde o vzhled dnes zlověstné poznámky pozdrav návštěvníků na stránce TrueCrypt na SourceForge . Text upozorňuje, že open source šifrovací software není bezpečný a informuje uživatele, že vývoj byl ukončen.

Stránka také ukazuje krok-za-krokem vysvětlují, jak přejít z TrueCrypt pro nástroj BitLocker, Microsoft souborů a šifrování disku software.

Je to jasné, zda místo bylo poškozeno nebo zda vývojáři jsou si vědomi kritické zranitelnosti nebo backdoor, které by ohrozilo integritu softwaru, které bylo staženo více než 28 milionů krát.

Audit TrueCrypt byla uvedena v loňském roce, aby bylo možné určit, zda byl software manipulováno v důsledku úniku Edward Snowdena a hlubin dohledu ze strany Národního bezpečnostního úřadu. Na výsledky první fáze auditu byl propuštěn 14. dubna od ISEC Partners jménem audit projektu Otevřená šifrování a nebyly nalezeny žádné zadní vrátka. První fáze se zaměřila na zavaděče TrueCrypt a ovladače jádra systému Windows. Byly provedeny architektura a kód recenze, řekl Kenneth White, senior bezpečnostní inženýr v sociálních a vědeckých systémů, jeden z OCAP architektů.

Druhá etapa, která ještě nezačala, se zaměří na to, zda šifrovací apartmá, generátory náhodných čísel a kritické algoritmy byly řádně prováděny.

Mnozí odborníci se bagatelizovat možnost, že se jedná o znetvoření. Runa A. Sandvik, soukromí a bezpečnostní výzkumník a poradce na auditu TrueCrypt, řekl Threatpost, že aktuální verze uvedena na stránce SourceForge, verze 7.2, byla podepsána včera se stejným klíčem používaného TrueCrypt Foundation tak dlouho, jak dva roky . To bylo také potvrzeno Kaspersky Lab výzkumník Costin Raiu.

"S znetvoření, měli byste obvykle jen očekávat, že změny webových stránek. V této změně, software Zdá se, že se změnily, "řekl Sandvik. "Tento software byl upraven tak, aby zobrazení varování při jeho spuštění, stejně jako zobrazení varování jako součást standardního uživatelského rozhraní."

Sandvik řekla, že provedl rychlou analýzu na instalátor a neviděl žádný síťový provoz vycházející z něj.

"Pokud se instalační program měl keylogger, měli byste očekávat, že instalátor na v určitém okamžiku připojit k jinému hostiteli a přenos informací. Protože není tam žádný síťový provoz, není součástí instalačního programu, který se snaží volat domů, "řekl Sandvik. "Všimněte si, že jsem udělal velmi rychlou analýzu, hlubší ponor může odhalit útržkovité kousky."

Spekulace běžel amok na Twitteru i to, že vypnutí musel udělat s blížícím se oznámením o auditu TrueCrypt, který řekl White, prostřednictvím svého Twitteru krmiva, není opodstatněný, a že oznámení má co do činění s nadcházející iniciativy OCAP.

"Jako obecné pravidlo, kdykoliv high-profil stránky dostane nahrazen stručným statické stránky (mnohem méně přesměrování), dovolím si apelovat opatrnosti," řekl White Threatpost, a dodal, že OCAP se natáhl pro vývojáře TrueCrypt, kteří hledají více informací. "Ale v okamžiku, obávám se, že nemám co dodat."

LulzSec Hacker Sabu odsouzen k době sloužil
29.5.2014 Kriminaita

LulzSec hacker, který se stal informátorem známé jako Sabu vyhnout víc času ve vězení a byl odsouzen k době sloužil v úterý pro jeho část v přední několik útoků skupiny na vysoce postavených cílů. Hector Monsegur vyšel soudu v New Yorku jako svobodný člověk, a to díky jeho spolupráci s FBI při identifikaci a sledování po mnoho dalších členů skupiny a pomáhá agentura zabránit dalším útokům.

Monsegur byl prominentní člen LulzSec hacktivist skupin, a úřady obvinil ho z účasti na celé řadě činností skupiny, včetně útoků proti PayPal a dalšími společnostmi. Když byl zatčen FBI v roce 2011, Monsegur začala spolupráce a poskytování informací agentury o činnosti ostatních členů Anonymous. Stal se polarizační postava v hacktivist společenství, s mnoha zlořečenství ho pro práci s policií.

Monsegur se přiznal k několika závažným trestným činem několik měsíců po jeho počátečním zatčení.
Monsegur se přiznal k několika závažným trestným činem několik měsíců po jeho počátečním zatčení. On byl obviněn z účasti na útocích proti mnoha vysoce postavených organizací, včetně HBGary, Fox Television, Tribune Company a Senátu Spojených států. V době svého důvodu, že byl spolupracuje s FBI na nějakou dobu. Agentura připočítán mu pomáhá, aby se zabránilo přibližně 300 útoků proti různým cílům, včetně NASA, a informace Monsegur poskytnuty pomohl vést k zatčení dalších údajných hackerů, včetně Ryan Cleary a Jeremy Hammond.

Předtím, než byl rozsudek vynesen v úterý, státní zástupce podal dokumenty podrobně zločiny Monsegur a jeho spolupráce s FBI o dalších šetřeních.

"Monsegur uznal jeho spáchání trestného činu od doby, kdy byl poprvé přiblížil agenty, před tím, než byl obviněn v tomto případě. Monsegur přiznal jak k předchozí trestné činnosti, o kterém vláda nevytvořila důkazy, stejně jako jeho role v obou internetových federálové a LulzSec. Monsegur následně a včas poskytovány zásadní, podrobné informace týkající se počítačových průniků spáchané těmito skupinami, včetně toho, jak útoky nastaly, které se podílejí členové, a jak byly využívány počítačové systémy jednou porušil, "říká podání.

Jak je uvedeno níže, Monsegur je konzistentní a potvrzují historické informace, spojený s jeho podstatným aktivní spolupráce a jiné důkazy, vyvinutý v případě, přímo přispěla k identifikaci, stíhání a odsouzení osmi z jeho hlavních spoluspiklenců, včetně Hammonda, který na Doba jeho zatčení byl FBI číslo jedna cybercriminal cíl na světě. Na vrcholu se, že Monsegur zabývá další, podstatné aktivní spolupráce, která umožnila FBI, aby se zabránilo značný počet plánovaných kybernetických útoků, jak je uvedeno níže. "

Prokurátoři požádal soudce o udělení Monsegur shovívavost v jeho větě, ale nedělal konkrétní doporučení, pokud jde o vězení. Monsegur nebude trávit více času ve vězení, ale bude za propuštění pod dohledem soudu a po dobu jednoho roku.

Apple Ransomware Cílení iCloud Uživatelé Hits Austrálie
29.5.2014 Viry
Hrst iPhone, iPad a Mac uživatele, do značné míry omezeny na Austrálii, probudil úterý objevit jejich zařízení byla přijata jako rukojmí ransomware.

Místo toho, aby jejich běžných domácích obrazovek, uživatelé byli uvítáni s poselstvím slibuje, že jejich zařízení by být uvolněn, pokud výkupné, někde mezi 50 dolarů a 100 dolarů, byla zaplacena.

Novinky kolem záplavě útoků začala šířit v neděli brzy ráno v příspěvku na fórech Apple Support , kde někteří uživatelé tvrdili, že byli probudil uprostřed noci by jejich zařízení je hlasitý Find My iPhone ping upozornění.

Příslušné hlášení o postižených obrazovkách prý řekl: "Hacked by Oleg Pliss."

Screen Shot 2014-05-27 v 5.13.33 PMI když to zní jako následné zprávy liší, první uživatel, který si stěžoval na hack prohlásil další zpráva požadoval 100 dolarů USD / EUR zasílá Paypal na konkrétní e-mailový účet k odemknutí přístroje. Další zprávy požádal uživatelům posílat peníze prostřednictvím on-line platebních služeb, jako je Moneypack a Ukash.

Za to, co stojí za to, že to není hned jasné, zda Oleg Pliss je skutečná osoba, natož název škodlivého herce za kampaň. Zatímco detaily kolem zdroje se teprve uvidí - to je více než pravděpodobné, jen přezdívkou.

Je také jasné, jak přesně se hackeři kompromisů zařízení, ale je to ve velké míře se domníval, že útočníci mohou používat hacknutý iCloud účty šířit Ransomware.

Ransomware se týká kmene malware, který omezuje přístup uživatelů, pokud výkupné - obvykle peníze přes PayPal / Moneypack / Ukash / PaySafeCard, atd. - je věnována malware autora. Jeden typ ransomware, CryptoLocker , skvěle infikovaných nahoru na 250.000 strojů - náročné 300 dolarů výkupného - v loňském roce. Gang zodpovědný za ransomware šel na to vyladit pro Android počátkem minulého měsíce .

Podle Sydney Morning Herald, které uživatelé iPhone v Queenslandu, Novém Jižním Walesu, Západní Austrálie, Jižní Austrálie a Victorie terčem režimu a několik dalších zpráv tvrdí, uživatelé v Novém Zélandu byly také hit. Uživatelé z USA se zdají být jordánskou z tohoto konkrétního vlně útoků.

V návaznosti na hacků na Adobe a více nedávno, eBay, které mají jedinečné heslo pro různé programy stala rozhodující. Pokud byl hacknutý část uživatelské základny iCloud je, nebo pokud některé jeho uživatelů používá stejné heslo pro jiné služby a byla porušena tímto způsobem, mohlo by to echo, že sentiment dále.

Apple nebude veřejně vyjádřil k otázce dosud - e-maily společnosti šly nevrácené úterý - ale to asi nebude špatný nápad pro iPhone nebo iPad uživatelů v Austrálii nebo na Novém Zélandu, aby změnily své iCloud hesla, i když útočiště 't zasáhla s ransomware ještě.

Apple se obhajoval v minulosti, že uživatelé využít své autentizační služby dvou faktorů s cílem udržet detaily účtu uživatelů tak bezpečný, jak je to možné. Realizován v loňském roce funkčnost přidává volitelnou ochrannou vrstvu na Apple ID na vrcholu obvyklé zadání hesla zařízení.

Siemens Opravy DoS chybu v Robustní OS zařízení
29.5.2014 POčítačový útok
Siemens oprava zranitelnosti denial-of-service, která ovlivnila mnoho verzí jeho robustní operační systém, software, který běží na některé z RuggedCom přepínačů společnosti a sériových-to-Ethernet zařízení.

Chyba zabezpečení by mohla umožnit vzdálený útočník způsobit Robustní OS software ke srážce by Odeslat speciálně vytvořené pakety na webové rozhraní zranitelné zařízení. Chyba byla hlášena Siemens přes ICS-CERT a byla objevena výzkumníkem Aivar Liimets z Martem dálková ovládání systémů. Siemens vydala aktualizované verze firmwaru pro postižené produktů opravit chybu.

"Implementace webového serveru (port 80/TCP) v dotčených zařízeních by mohlo umožnit útočníkovi provést útok DoS proti správu webového rozhraní přístroje odesláním speciálně vytvořených paketů přes síť bez předchozího ověření. Funkce přepínání není ovlivněna, pouze webové rozhraní. Manuální studený restart zařízení je nutné získat přístup k rozhraní webové správy, " poradní ICS-CERT říká.

"Dotčenými výrobky, RuggedCom spínače a sériové-to-Ethernet zařízení, se používá k připojení zařízení, která pracují v náročných prostředích, jako jsou elektrické rozvodny a řízení provozu skříní. Podle společnosti Siemens, produkty RuggedCom ROS bázi jsou rozmístěny v různých odvětvích včetně energetiky, zdravotnictví a veřejné zdraví, a dopravních systémů. "

Dotčené výrobky Siemens patří:

Všechny verze ROS před v3.11,
ROS v3.11 (pro produkt RS950G): všechny verze před ROS v3.11.5,
ROS v3.12: všechny verze před ROS v3.12.4, a
ROS v4.0 (pro produkt RSG2488): všechny verze před ROS verze 4.1.0.
ICS-CERT poradní říká, že není tam žádný známý veřejný využít pro zranitelnosti právě teď, ale zákazníci používající ohroženou verzi firmwaru by měla co nejdříve i praktické aktualizovat.

vzdáleně zneužít Selhávání Haunt Zákonný odposlech Surveillance Gear
29.5.2014 Zranitelnosti
Malá, ale rostoucí, skupina společností, které poskytují tzv. zákonné intercept zařízení na zpravodajských agentur a donucovacích organizací po celém světě operovali převážně pod radarem až do nedávné doby. Jejich výrobky se používají pro záznam a kontrolovat komunikaci podezřelých zločinců a teroristů, ale teď jsou zjišťují, že jejich výrobky dostávají pod kontrolou výzkumná obec zabezpečení.

Jedna ze společností zabývajících se prodejem tohoto dohledu zařízení je NICE Systems, firma New Jersey s několika dceřinými společnostmi. Společnost prodává širokou škálu produktů, z nichž některé jsou navrženy tak, aby "získat umístění cílové, vztahy a obsah konverzace z jakéhokoliv typu komunikace včetně faxu, pevné a mobilní telefonie, a internetových aplikací". Výzkumníci z SEC Consult, bezpečnostní poradenství, objevil širokou škálu zranitelností v některých zákonných radiové produktů Nice, které umožňují vzdálené, neověřené útočníci získat a poslouchat hlasové záznamy každého uživatele pomocí databáze a přístup k produktům na úrovni systému.

Existuje devět samostatných zranitelnosti v NICE nahrávání eXpress hlasové nahrávání výrobku, z nichž nejzávažnější jsou kořen backdoor účet a vzdálené, neověřený přístup k hlasové nahrávky na dotčených výrobků.

Útočníci jsou schopni zcela ovládnout hlasový záznam / sledovací řešení
"Útočníci jsou schopni zcela ovládnout hlasový záznam / dohledu řešení, jak mohou získat přístup k systému a úrovni databáze a poslouchat nahraných hovorů bez předchozího ověření. Kromě toho, útočníci by mohli použít pro nahrávání hlasu server jako jumphost pro další útoky vnitřního Voice VLAN, v závislosti na nastavení sítě, "SEC Poraďte poradní říká.

Výzkumníci nejprve kontaktovat NICE o zranitelnosti v polovině prosince a prošel dlouhým procesem tam a zpět s prodejcem o chybách, které výrobky byly postiženy, a když bude propuštěn skvrny. Po více než šest měsíců bez plného rozlišení, SEC Consult vydala své poradenství ve středu. Nejméně pět slabých míst zůstává unpatched, včetně neověřený přístup k hlasové nahrávky.

To zranitelnost by v podstatě umožní každému útočníkovi přístup a poslech nahrávek hovorů se zaměřuje na ".

Například neověřených útočníci jsou schopni získat přístup k vyvážené seznamy uživatelských účtů, které jsou sledovány / zaznamenán. Útočníci získat přístup k podrobným informacím, jako jsou osobní údaje, jako první / poslední jméno, e-mailovou adresu a uživatelské jméno / rozšíření, "říká poradní.

"Kromě toho, že je možné získat přístup k _unauthenticated_ zaznamenaných hlasových hovorů jiných uživatelů. Tyto výzvy budou uloženy v dočasném adresáři, pokud byly přístupné uživateli přes integrovaný přehrávač médií ve webovém rozhraní. "

Kromě toho, že vada, kořen backdoor chyba také může poskytnout útočníkovi snadný přístup k produktům.

"Databázové tabulky MySQL" usr "obsahuje" root "uživatele s USRKEY / ID uživatele s administrátorskými přístupovými právy. Tento uživatelský účet nezobrazuje v menu "Správa uživatelů", při přihlášení jako uživatel účtu správce ve webovém rozhraní. Proto heslo nemůže být změněny, "říká poradní.

Pinterest uvádí Bug Bounty Program
29.5.2014 Bezpečnost
Pinterest se stala nejnovější hlavním Web vlastnost, kdo chyba nájemný program, spojující platformu Bugcrowd a nabízí výzkumným pracovníkům odměny až do ... tričko.

Místo, které umožňuje uživatelům posílat fotky, recepty a další informace, oznámila nový věrnostní program v úterý. Představitelé společnosti řekl, že Pinterest hledá více lidí, aby pomohly najít chyby v různých webových vlastnostem působí. Firma už spolupracuje s externími výzkumnými pracovníky a má vnitřní "Fix-a-thons" povzbudit zaměstnance, aby najít chyby.

"I s těmito opatřeními, chyby se do kódu. V průběhu let jsme pracovali s externími výzkumnými pracovníky a bezpečnostních expertů, kteří jste nás upozornil na chyby. Od dnešního dne budeme formalizovat chyba nájemný program s Bugcrowd a aktualizujeme naše odpovědné zveřejnění , což znamená, že se můžeme napojit na výzkumníky více než 9000 bezpečnostních na platformě Bugcrowd. Doufáme, že tyto aktualizace nám umožní dozvědět se více z bezpečnostní komunity a rychleji reagovat na Whitehats, "Paul Moreno, bezpečnostní inženýr na Pinterest, napsal na svém blogu oznámil program.

Hlavní pinterest.com doména je cíl programu bug bounty, ale obsahuje řadu podoblastí:

• api.pinterest.com
• www.pinterest.com
• about.pinterest.com
• business.pinterest.com
• blog.pinterest.com
• help.pinterest.com
• developers.pinterest.com
• engineering.pinterest.com

Moreno řekl, že zatímco košile a zmínka ve společnosti síně slávy jsou pouze odměny k dispozici v programu hned, že se mohou v budoucnu změnit, protože program zraje a přitahuje více výzkumných pracovníků.

"To je jen první krok. Jak jsme se získat zpětnou vazbu od komunity, máme plány, aby se obrátili na chybu odměnu do placeného programu, takže můžeme odměnit odborníky pro jejich úsilí s hotovostí, "řekl.

Bugcrowd je platforma, která umožňuje společnostem řídit jejich chyba nájemné programy a vystavit je na prověřeni skupina bezpečnostních výzkumníků a testery. Mnoho velkých společností se rozhodne provozovat jejich chybách prémií na vlastní pěst, včetně Facebook, Microsoft, PayPal a další. Ale Bugcrowd umožňuje organizacím předávat některé detaily na třetí stranu.

CryptoLocker Ransomware Soutěžící může mít fatální chyba
29.5.2014 Viry
CryptoLocker určitě změnil Ransomware hra v loňském roce, kdy hrozil své oběti se ztrátou důležitých souborů, pokud nebyla provedena včas platba výkupné. Údajně, zločinecké gangy využívající tento nebezpečný typ ransomware se vydělávat stovky tisíc dolarů za měsíc.

Samozřejmě vidí příležitost pro finanční zisk, konkurenční kousky malware se objevují, a v návaznosti na to, co začalo CryptoLocker.

Posledním je vzorek všiml výzkumníků brómu Labs, že jsem volal CryptoDefense . Na rozdíl od CryptoLocker který se rozšířil především prostřednictvím phishingu a nevyžádané e-maily, odborníci říkají, brómu CryptoDefense je ohrožena počítače pomocí drive-by downloads.

Oběti jsou vyskočila o Java využití, které pak stáhne a spustí škodlivý software v několika fázích. Nakonec, oběť je předložen se zprávou, že soubory uložené na pevném disku jsou šifrována a musí zaplatit výkupné ve lhůtě, aby byly jejich dešifrovat, nebo cena jde nahoru. Pokud výkupné je ignorován, oběť hrozí trvalé zničení svých souborů.

Brómu v Vadim Kotov napsal na internetových stránkách společnosti, že i když CryptoDefense je konkurentem CryptoLocker, existují podobnosti mezi těmito dvěma útoky, včetně platebních metod (Bitcoin), veřejné klíče pro šifrování a že některé stejné přípony souborů jsou zaměřeny oba.

CryptoDefense, jako CryptoLocker, půjde po úřadu, fotografie a filmové soubory, ale také se zaměřuje na soubory zdrojového kódu a SSL certifikáty. To také nutí oběť k návštěvě webové stránky útočníka s cílem, aby výkupné platby; CryptoLocker poskytuje vlastní GUI pro tento účel.

Kotov, nicméně, to si implementační chybu v CryptoDefense
Kotov, nicméně, dělal si o provádění chybu v CryptoDefense která by mohla umožnit za dešifrovací klíč se nachází na počítači oběti. Klíč CryptoLocker je uložen na serveru útočníka, a totéž platí i pro CryptoDefense.

"Je to špatné kódování chyba. Pokud jste si vědomi toho, soukromý klíč je k dispozici na pevném disku, "řekl Rahul Kashyap, hlavní bezpečnostní architekt brómu, který dodal, že chyba bude jistě být stanovena v novějších verzích malware, protože to byl odhalen. "Pokud jsou oběťmi sofistikované lidé, a pochopit technologii a šifrování, mohou získat sami klíče."

Někteří odborníci se mezitím přišel chytré způsoby, jak najít a obnovit zašifrované soubory, na něž se zaměřuje CryptoLocker pomocí stínové kopie systému Windows a obnovit systém. Kotov řekl, že metoda nebude fungovat s tímto útokem.

"To je jistý nástroje systému nelze obnovit soubory - stínové kopie jsou odstraněny a obnovení systému je zakázáno," řekl.

Brómu bylo sledování CryptoDefense od února, řekl Kotov.

"Zdá se, že do konce března bylo nejméně 11.000 detekcí (reálný obraz by mohl být už větší) a 34.000 dolar byly vydělal gangu za to," napsal. "Naproti tomu, CryptoLocker učinil již miliony dolarů. Tak jasně, podzemní gangy se zahřívá k myšlence krypto-Ransomware a očekáváme, že podobné ransomware přijít. "

Infekce CryptoLocker začal v vážný loni na podzim. Oběti mají tři dny, aby platby přes MoneyPak nebo Bitcoin, i když některé oběti uvedlo, že zaplatil výkupné a neobdržel dešifrovací klíč, jak jsem slíbil, podle ot US-CERT poradenství v listopadu loňského roku. Nejen, že jsou místní soubory zašifrovány, ale CryptoLocker také vypadá pro dokumenty na sdílených síťových jednotek mapovány do počítače oběti, stejně jako vyměnitelné médium, externí pevné disky a dokonce i některé cloud storage služby.

Costin Raiu, ředitel Global Research a Analysis Team na Kaspersky Lab, řekl CryptoLocker používá generace domény algoritmus dává malware až 1000 možných názvů domén, ze kterých se připojit k jeho velení a řízení infrastruktury. Raiu dodal, že Kaspersky sinkholed tři domény a sledovat více než 2700 domén se snaží kontaktovat tyto domény během třídenní lhůty v říjnu loňského roku se většina obětí v USA a Velké Británii.

"Myslíme si, že to bude stát dost velký problém, podsvětí závod svého druhu," řekl Kashyap. "CryptoLocker je údajně z 27000000 dolarů, takže verze imitátor se blíží. Zločinecké gangy vidět to jako způsob, jak vydělat rychlé peníze. Nyní se této obrovské měně Bitcoin, která je se zadlužuje malware, obáváme se, že to bude mít mnohem větší problém. "

FTC Kladení dat Brokers, Kongres pro transparentnost, nařízení
29.5.2014 IT
Federal Trade Commission vyzvala datových makléřů být více transparentní a poskytují uživatelům větší kontrolu nad jejich osobních údajů v souhrnné zprávě vydané včera.

Stránkový dokument 100-plus, " Datové Brokers: Výzva k transparentnosti a Acccountability , "(. PDF) kritizuje průmyslu pro práci s tím, co nazývá" základní nedostatek transparentnosti ", a vyzývá Kongres, aby se snažily transformovat makléř postupy , aby byly srozumitelnější pro spotřebitele a omezit dopady ochrany osobních údajů.

Zpráva, průřez devíti nejmenovaných datových makléřů, se podíváme na to, kolik z nich získat informace o uživatelích a pokračoval prodávat tyto informace pro marketingové kampaně, zdůrazňující obavy o ochraně osobních údajů na cestě.

FTC odvodit množství dat nich makléři proces je obrovský, přinejmenším.

Jeden z datových makléřů analyzovaných bylo zjištěno držení informace o více než 1,4 miliardy spotřebitelských transakcí a 700 miliard datových prvků. Datové prvky obsahují informace, jako jsou zájmy spotřebitelů, nákupy, předplatné časopisů a webových stránek návštěvy, informace, které makléři berou a rozkládají do seznamů. To je samozřejmě kromě tradičních statistik zprostředkovatelé shromažďují na uživatele, jako je jejich věk, rasu a příjmů.

Databáze jeden datový RK vztahuje 1000000000000dolar ve spotřebitelských transakcích, zatímco jiný broker přidal neuvěřitelných tři miliardy záznamy každý měsíc.

Jako výsledek svého výzkumu, FTC trvá na tom, Kongres zvážila přijetí nějaké legislativy, která by umožnila, aby spotřebitelé dozvědět o "existenci a činnosti dat zprostředkovatelů", a umožnit jim "přiměřený přístup k informacím o nich v držení těchto subjektů."

Kromě několika doporučení pro osvědčené postupy, jako je soukromí coby aspekt návrhu a omezení shromažďování údajů o nezletilých, FTC doufá, že Kongres dát něco do pohybu, který vám umožní uživatelům vědět o jejich data a dát jim možnost odhlásit mít to rozdělilo pro marketingové účely.

"Je čas, aby transparentnost a odpovědnost, aby se podílel na tomto odvětví ve prospěch spotřebitelů, z nichž mnozí si nejsou vědomi, že údaje makléři dokonce existovat," řekl FTC předsedkyně Edith Ramirez na konferenčním hovoru úterý .

Zpráva navazuje na podobnou zprávu z Bílého domu počátkem tohoto měsíce , že rovněž vyzvala zprostředkovatelé údajů, aby byly transparentnější z pruhy informací sklízí. Tato zpráva, o sběru a využití velkých dat, obhajoval vnitrostátních právních předpisů narušení dat a aktualizaci Ochrana osobních zákona o elektronických komunikacích.

Senátoři Edward Markey (D-MA) a John D. Rockefeller (D-WV) představil dat makléře účet, The dat Broker odpovědnosti a zákon transparentnost roku 2014 , již v únoru, ale kritici, zejména těch, zpěv o ochraně osobních údajů, jsou skeptičtí to dělá hodně díru dané oprávněné zájmy politiků v oblasti získávání dat.

Microsoft myBulletins Service Přizpůsobí Patch Podrobnosti
29.5.2014 Zranitelnosti
Microsoft dnes zveřejnila své nové myBulletins služby, rozhraní, kde IT administrátoři mohou upravit informace o aktualizaci s opravou zabezpečení.

A zároveň poskytuje uživatelům s hladkou rozhraní, které umožňuje rozsáhlé filtrování náplasti informací o produktech v použití uvnitř podniku nebo malé firmy, někteří uživatelé byly ponechány dutý.

"Pro mě to byla chybějící dvě nejdůležitější věci: Notifikace a bezpečnostních rad," řekl Andrew Storms, ředitel DevOps pro CloudPassage.

Informační zpravodaje zabezpečení se liší od zátah měsíčních bezpečnostních bulletinů, které doprovázejí aktualizace zabezpečení Patch Tuesday; návěstí může varovat uživatele zero-day zranitelností ve Windows, Internet Exploreru nebo jiných softwarových produktů společnosti Microsoft. Další nedávné návěstí poskytují správcům s heads-up, pokud jde o změny v tom, jak společnost Microsoft zpracovává starší šifrovací algoritmy, jako je například RC4 nebo odmítání starších hash, jako MD5 .

Microsoft uvedl, že myBulletins byl postaven na základě zpětné vazby od uživatelů a umožňuje správcům přizpůsobit bulletiny, které jsou pro jejich společnosti. Uživatelé potřebují přihlásit pouze pomocí účtu Microsoft a vybrat produkty a verze v použití v jejich IT obchodech, aby si displej z bulletinů, které se vztahují na tyto produkty.

"Sdílená jste, že jste potřebovali schopnost proplout složitosti a rozhodovat se rychle," napsal Tracey Pretorius, ředitel, Microsoft Trustworthy Computing. : Chtěl jste pomoci identifikovat informace, které jsou nejvíce relevantní pro vaši organizaci. Slyšeli jsme tě a choval se na vaše názory. "

Uživatelé mají celou řadu vyhledávání a filtrování možností, řekl Microsoft, a může upřednostnit bulletiny podle data vydání, závažnosti a restartu požadavků.

Mnoho z těchto stejných možností, nicméně, jsou k dispozici v systému Windows Server Update Services (WSUS). Většina organizací, které pracují velké množství počítačů a serverů se systémem Windows pomocí služby WSUS pro správu záplat distribuci.

"To není jasné, proč bych ji použít na WSUS," řekl Storms. "Plus WSUS mi poskytuje žalovatelné [inteligence] na to, co systémy musí co nášivky. WSUS umožňuje zvolit, jaké produkty k odběru. Je to táhne patche, distribuuje je a řekne vám, co systémy potřebují aktualizace. "

"MyBulletins je určen pro IT profesionály, kteří jsou odpovědní za průběžné konkrétní řízení bezpečnosti aktualizací v rámci svých organizací," řekl Pretorius. "Věříme, že to je užitečné on-line službu pro správce v podniku nebo malých a středních podnikových prostředích. To je debut verze on-line služby a vítáme a vážíme si zpětnou vazbu o tom, jak tato služba ještě lepší kupředu. "

Nedostatek oznámení je nepříjemná, protože uživatelé budou muset načíst palubní desku myBulletins, aby bylo možné zjistit, zda jsou k dispozici nové bulletiny zabezpečení.

"Poskytnuté myBulletins je úhledný vyhledávací rozhraní. Je těžké pochopit, proč by bylo užitečné, pokud již používáte službu WSUS, která je zdarma, "řekl Storms.

HackerOne Bug Bounty Platforma Pozemky Horní Microsoft Security Expert
29.5.2014 Bezpečnost
S bug prémií je v módě, platformy, které je podporují se objevují jako důležité kousky bezpečnostního výzkumu, zveřejňování a odměny ekosystému. Jeden z těchto platforem, HackerOne, zaznamenal velký převrat v najímání Katie Moussouris , hnací silou nájemný programu společnosti Microsoft, dohlížet na jeho politiku a filozofii zveřejňování a spolupracovat se zákazníky na složitosti zveřejnění zranitelnosti.

HackerOne je možná nejlépe známý jako platforma, která podporuje Internet Bug Bounty sponzorované společností Microsoft a Facebook. To věrnostní program platí pro zranitelnosti objevené v hlavních internetových technologií, jako je systém DNS a SSL, stejně jako Linux a hlavních prohlížečích od Google, Microsoft a Mozilla. Ale HackerOne také podporuje chyb nájemné programy pro širokou škálu jiných firem a dokonce i jednotlivé vývojáře.

Moussouris, který byl pomocný v mnoha bezpečnostních iniciativ společnosti Microsoft, včetně Modré Hat ceny , a pracoval na mezinárodních norem v komunitě ISO pro let, řekl, že vidí svou roli v HackerOne jako nasměrování zákazníků, politiků a vládní úředníci labyrintem, který je výzkum a zveřejnění zranitelnosti.

"Těším se na pomoc vlády a politici dělat správnou věc, co se týče podpory a ochrany bezpečnostní výzkum. Jedna věc, kterou jsem věnoval spoustu mé kariéry, aby se vytvoří prostor pro výzkum, který je ochotný a nejsou škodlivé, a ujistěte se, že to není jen tolerována, ale podporoval a obhajoval, "řekl Moussouris, kdo je šéf politika důstojník na HackerOne .

"Část mé poslání je pomoci pravomoci, které se chápou význam tohoto."
"Část mé poslání je pomoci pravomoci, které se chápou význam tohoto."

Ve své roli ve společnosti Microsoft, Moussouris často spolupracoval s vládními úředníky a politiky na standardy otázkách, a ona řekla, že během prvních diskusí o významu výzkumu v oblasti bezpečnosti, politici často nejsou vidět a potřebují trochu více vzdělání.

"Když říkám, že věci jako, prosím tě, nedělej výzkum a zpřístupnění nezákonné, protože to bude slepý dodavatelů a jediný čas, budeme dozvědět o zranitelnosti je, když jste pod útokem, ale obvykle nemají dostat na první, "řekla. "Ale když se po ní k logickému závěru, že bychom raději zjistit o něm z přátelské výzkumníka, to dává smysl. Neznamená to však trvat moc přesvědčit. "

Kromě pronájmu Moussouris, HackerOne také přistál 9000000 dolarů do nových finančních prostředků od Benchmark Capital.

Životnost Windows XP lze teoreticky prodloužit až do roku 2019

29.5.2014 Zranitelnosti
Jednoduchá úprava oficiálně již nepodporovaného operačního systému uživatelům zajistí přísun bezpečnostních a jiných aktualizací.

Není však jasné, jestli tyto aktualizace uživatele Windows XP skutečně ochrání proti útokům internetových zločinců.

Způsob, jak upravit Windows XP a získat tak opravné aktualizace, se poprvé objevil na jistém německém diskuzním fóru, odkud se pak tato informace začala šířit dále. Kouzlo spočívá v provedení jisté úpravy, díky které si aktualizační služba Windows Update bude myslet, že uživatel ve skutečnosti používá příbuzný systém do vestavěných zařízení Windows Embedded POSReady 2009.

Embedded POSReady 2009 má na rozdíl od Windows XP, jejichž podpora skončila letos 8. dubna, zajištěný přísun opravných aktualizací až do 9. dubna 2019.

Jak z názvu zneužitého systému vyplývá, jde o platformu používanou především v pokladnách (point-of-sale – POS) a bankomatech. Jde o systém založený na Windows XP Service Pack 3, poslední podporované verzi 13 let starého OS.

Jeho aktualizace jsou jakousi nadmnožinou oprav, které by uživatelé Windows XP obdrželi v případě, že by podpora neskončila. Současně jde o podobné, nikoliv však identické aktualizace, které dostávají firemní a vládní zákazníky, kteří si zakoupili prodlouženou podporu pro Windows XP.

Funkčnost a jednoduchost aktualizační modifikace Windows XP přitom překvapila i leckteré bezpečnostní výzkumníky. „Systém je stabilní, bez pádů a modrých obrazovek. Stejně tak se neobjevila žádná varování ani chybové zprávy při použití patchů pro IE a .Net,“ řekl například Jerome Segura z Malwarebytes.

Aktualizaci pro Internet Explorer 8, kterou nainstalovat Segura, se prý zdála být stejné jako ty, co Microsoft vydal pro ostatní verze Windows včetně POSReady 2009. Přesto však Segura před tímto řešením varuje. „POSReady 2009 nejsou Windows XP. Nevíme, jestli aktualizace plně ochrání i uživatele XP,“ uvedl.

Microsoft k celé věci vydal následující vyjádření: „Bezpečnostní aktualizace, které lze nainstalovat, jsou určeny pro uživatele Windows Embedded a Windows Server 2003. Uživatele Windows XP plně neochrání. Uživatelé se navíc instalací těchto balíčků sami vystavují riziku, protože pro Windows XP nebyly opravy otestovány.“

V poslední větě však Microsoft tak úplně nemluví pravdu. Možná netestoval kompatibilitu aktualizací určených pro POSReady 2009 s Windows XP. Zcela jistě však testoval aktualizace pro zákazníky s prodlouženou podporou A kromě toho POSReady 2009 a Windows XP SP3 jsou velmi blízcí příbuzní. Jejich jádro je v podstatě stejné.

A v čem ona kouzelná úprava spočívá? V registru systému stačí vytvořit větev HKEY_LOCAL_MACHINE\SYSTEM\WPA\PosReady s proměnnou Installed typu dword s hodnotou 1.

Spotify sporná žádost v rozporu Android
28.5.2014 Zranitelnosti
Uživatelé Spotify na Androidu již brzy vyzváni k aktualizaci aplikace po porušení bylo ráno hlášeno technologický ředitel na streamování hudby služeb.

Oskar Stal psal o společnosti, webové stránky , které společnost vyšetřuje neoprávněnému přístupu do svých systémů a interních firemních dat. On také psal, že někteří uživatelé budou vyzváni k resetování hesla.

"Naše důkazy ukazují, že byla zobrazena pouze jeden datový Spotify uživatele, a to nezahrnuje žádné heslo, finanční a platební údaje," řekl Stal. "Kontaktovali jsme tuto jednu osobu. Na základě našich zjištění, nejsme vědomi jakéhokoliv zvýšeného rizika pro uživatele v důsledku tohoto incidentu. "

Spotify je omezení aktualizace pouze jeho uživatele Android, a nedoporučuje žádnou akci pro iOS a Windows Phone uživatelům.

Android uživatelé budou vyzváni k inovaci v nejbližších dnech
Android uživatelé budou vyzváni k inovaci v nejbližších dnech, řekl Stal.

Spotify šéf amerického komunikační Graham Jones nebude odpovídat na otázky prostřednictvím e-mailu, proč byla pouze aplikace Android aktualizován, proč byl pouze jeden uživatel údajně postiženy, zda aplikace uživatele byla stažena z Google Play nebo třetí stranou, nebo když útok byl objeven.

"Nepůjdeme do dalších podrobností, co je na blogu," řekl Jones.

Spotify, který nedávno oznámil, že má 10 milionů předplatitelů globální, má poměrně klidné bezpečnostní pověst. Jeho poslední veřejně hlásil bezpečnostní incident byl téměř před 13 měsíci, kdy nový Google Chrome plug-in v té době umožnila uživatelům stahovat kopie písní zdarma .

Prodloužení, známý jako Downloadify, byla stažena z Chrome Web Store téměř okamžitě. Plug-in využíván chybu zabezpečení v systému Web-based přehrávače společnosti. Uživatel může využít ji ke stažení MP3 skladby, jak to začalo hrát. Zranitelnost umožnila obejít digitální ochrany pro správu práv souboru. Kopie plug-in byly také nalezeny na weby třetích stran, včetně GitHub.

Apple Ransomware Cílení iCloud Uživatelé Hits Austrálie
28.5.2014 Viry

Hrst iPhone, iPad a Mac uživatele, do značné míry omezeny na Austrálii, probudil úterý objevit jejich zařízení byla přijata jako rukojmí ransomware.

Příslušné hlášení o postižených obrazovkách prý řekl: "Hacked by Oleg Pliss."

Je také jasné, jak přesně se hackeři kompromisů zařízení, ale je to ve velké míře se domníval, že útočníci mohou používat hacknutý iCloud účty šířit Ransomware.

LulzSec Hacker Sabu odsouzen k době sloužil
28.5.2014 Kriminalita

Předtím, než byl rozsudek vynesen v úterý, státní zástupce podal dokumenty podrobně zločiny Monsegur a jeho spolupráce s FBI o dalších šetřeních.

Výkonný firemní firewall s minimální latencí nabízí Fortinet

28.5.2014 Hardware
Vysoce výkonný podnikový firewall FortiGate-1500D nové generace (NGFW, next-generation firewall) s podporou dalších bezpečnostních funkcí uvedl na náš trh Fortinet.

Novinka nabízí plné řízení síťového provozu na úrovni obsahu, aplikací, uživatelů i zařízení a podporuje i behaviorální analýzu.

Produkt je vybaven i novým operačním systémem FortiOS 5, který podporuje řízení přístupu a klíčové technologie pro ochranu před hrozbami. Zesiluje i ochranu před pokročilými hrozbami (APT, advanced persistent threats) -- díky platformě APT Framework.

Nově tak nabízí detekci pokročilého malwaru, odhalování zneužití, reputační systém založený na cloudu či engine, který umožňuje nasazovat bezpečnostní politiky na úrovni uživatelů a zařízení napříč různými službami a protokoly.

Samotný firewall má propustnost až 80 Gb/s, při využití IPS (intrusion preventiv system) a při řízení aplikací podporuje rychlost až 11 Gb/s. Navíc nabízí velmi nízká latenci o hodnotě 3 mikrosekund, takže nezpomaluje firemní síť ani neovlivňuje dostupnost služeb.

Doplňkové služby FortiGuard Subscription Services zase v reálném čase poskytují automatizovanou a aktuální ochranu i proti nejnovějším hrozbám.

FortiGate-1500D obsahuje 8 portů pro deseti gigabitový Ethernet (rozhraní SFP+) a 32 portů pro gigabitový Ethernet. Zařízení je navrženo jako úsporné i z hlediska velikosti (výška 2U).

Co nový Evropský parlament znamená pro svět IT

28.5.2014 IT
Od čtvrtka do neděle se ve všech osmadvaceti členských státech EU odehrála volba 766 členů Evropského parlamentu (EP) a v předvolebních kampaních řady kandidátů se vůbec poprvé objevily problémy digitálního světa.

Více než 400 kandidátů do EP se zavázalo chránit internetovou neutralitu a data online, když podepsali dohodu s názvem WePromiseEU. Podle zatím posledních informací se pak po sečtení hlasů do EP dostalo na šest desítek kandidátů, kteří dohodu podepsali. „Je skvělé vidět, kolik kandidátů a občanů považuje ochranu základních lidských práv v digitálním světě za nutnou, a my jsme připraveni principy charty podpořit,“ uvedl Joe McNamee, ředitel neziskové organizace EDRi. „Je nyní na nás, abychom zajistili, že zvolení členové EP dostojí svým slibům a rozšíří tyto hodnoty mezi ostatní kolegy.“

WePromiseEU obsahuje závazek bojovat proti tomu, že by poskytovatelé internetu (ISP) měli být zodpovědní za monitorování ilegálního stahování a proti plošnému sledování občanů EU. Jeden z bodů charty také obsahuje slib, že evropské sledovací technologie nebudou prodávány despotickým režimům.

„Myslím si, že technologickými problémy se bude zabývat více nově zvolených členů EP a jsem rád, že zde existují snahy o zabránění exportu sledovacích technologií, takže návrh jistě podpořím,“ uvedla znovuzvolená Maritje Schaakeová z Nizozemska. Schaakeová již delší dobu volá po sestavení nové speciální komise v EP, která by se zabývala digitálními problémy. I když totiž v současné době existují komise pro obchod, spravedlnost či domácí záležitosti, žádný orgán se nevěnuje přímo technologiím.

„Jednoduše si myslím, že technologická témata jsou příliš roztroušená po jednotlivých parlamentních komisích. Odezva, kterou jsem obdržela od ostatních parlamentních komisí, je zcela nepochybně pro to, aby byly vytvořeny specializované komise, takže na této věci budu i nadále pracovat,“ vysvětlila Schaakeová. „Změna není nikdy jednoduchá. Já však také vím, že pokud to nezkusíte, nemůžete nikdy uspět.“ Europoslankyně dále vyjádřila obavy z toho, aby pravidla týkající se internetové neutrality, na nichž se Parlament usnesl v březnu, nebyla měněna i přesto, že dva představitelé švédské Pirátské strany nebyli znovuzvoleni. Piráti mají v novém EP pouze jedno křeslo – zastupuje je nová německá kandidátka Julia Redaová. Podle pozorovatelů se zájem o internetová témata zcela jistě v EP projeví – ať už dříve, či později. Jednání ohledně možnosti zřízení nových komisí podle všeho začnou příští týden.

Fake WeChat - New Trojan-Banker
27.5.2014 Viry

V dnešní době, finanční služby Internet se rychle rozrůstá. Stále více a více on-line finanční služby jsou přístupné z mobilních zařízení. To pomáhá zákazníkům a podporuje hospodářský rozvoj. Mobilní aplikace jsou zkoumání této nové hranice, včetně chráněných heslem platebních služeb, mimo jiné populární funkce, jako je zasílání zpráv. Pro zločince, to nabízí novou příležitost ke krádeži citlivých informací a sehnat hotovost jiných lidí.

WeChat je slavný mobilní instant messenger v Číně. To je nejvíce často používán lidmi chatování se svými přáteli a kolegy, a to také umožňuje uživatelům, aby se platby. Je to velmi snadné, ale to znamená, že budete muset svázat své bankovní údaje do svého posla účtu. Obrovský podíl na trhu WeChat také dělá to lákavý cíl pro zločince, kteří jsou rozvojovými Trojan-bankéře, aby jej napodobit.

Nedávno Kaspersky Lab zachytili nový Trojan-Banker takhle. To byl detekován jako Trojan-Banker.AndroidOS.Basti.a. Tato aplikace pro Android je tváří jako normální WeChat app na telefonu.

Požaduje některé citlivé výsady, jako je například android.permission.RECEIVE_SMS.

Autor Trojan chtěl, aby se zabránilo analytiků z reverzní inženýrství kód, takže je šifrována pomocí "bangcle secapk". Nemohli jsme získat užitečné informace z tohoto šifrovaného vzorku.

Po dekódování vzorku, jsme viděli v pravém světle. Je schopen z mnoha druhů škodlivého chování. Tam jsou také některé balíčky, aby se jeho GUI vypadat více profesionální, což z něj dělá silnější phishing nástroj.

Po spuštění se otevře speciální GUI, který umožňuje uživatelům vstup své bankovní informace související, včetně čísla platebních karet, PIN kód a číslo mobilního telefonu.

Po shromáždění všech těchto informací, je pošle na e-mail trojské autora.

Tento Trojan-Banker také zaznamenal BootReceiver. Bude se sledovat nově přijaté textové zprávy a odinstalovat vysílání z infikovaného mobilu. Ty jsou také poslal na e-mail trojské autora.

E-mailová adresa autora je prostý text v kódu. Takže můžeme jít ještě dále.

Když jsme viděli, poštovní schránky, našli jsme spoustu obětí.

I když je blokován 126 e-mailové servery, informace, které patří do mnoha obětí již bylo odcizeno a uloženy v archivu.

Jak on-line finanční služby se stále více a více populární, je třeba, aby se ještě více starat o naše soukromí. Uživatelé mobilních telefonů jsou již v ohrožení, a musíme podniknout kroky na ochranu sami. Doporučujeme vám:

Nainstalujte mobilní bezpečnostní software.
Ujistěte se, že aktualizovat databáze v softwaru na nejnovější verzi.
Nenavštěvují žádné podezřelé webové stránky nebo stáhnout neznámé aplikace.
Než budete zadávat žádné citlivé informace, ujistěte se, že víte, kdo se ptá na to, a proč.

Scammer Lonely Heart
27.5.2014 Bezpečnost

Je čas na nemorální téma: hledá lásku na internetu. S mnoha služeb, které slibují chemie-řízený zápasech, seznamovací hry soutěžící se přesunula do webových služeb a aplikací. Navzdory tomuto šíření nových cest, které v určitém spěchu najít společnost (v podobě "No Strings Attached" narazí) se obrátil na známější a méně regulované postoupení služby, Craigslist.

Bohužel, pravděpodobnosti komunikovat s jinou lidskou bytostí jsou astronomicky nízké díky vysokému nasycení botů a spamování služeb. Falešné výpisy jsou zaměřeny téměř výhradně na mužské publikum se zájmem o okamžité dostupnosti a slibují více vybavení pro výrobu fantazie přijít pravdivý. Při reakci na seznamu, uživatel obdrží několik zapotácel odpovědí od různých "žen" (včetně obrázků), prohlašovat, že oni chtěli setkat, náročné obrázky na oplátku, a uvádí jejich méně-než-náročná kritéria pro setkání se osobně.

Boti touží setkat!

Motivace cybercriminal je téměř výhradně peněžní, a to není výjimkou. Klepnutím do obezřetné strachu setkat se s někým mimo internetu pro soukromé interakce, je uživatel přesměrován na vlastní "ověření místa", kde jsou dána příležitost prokázat svůj věk a dobré úmysly ... za poplatek.

Preference: Bot4Male, ne B4B

Jako by kolem sebe pryč jako dychtivé ženy nestačilo, že zločinci použít jiné sociálního inženýrství taktiky, jako prohlašovat řadu známých certifikací bezpečnosti a zabezpečení, stejně jako expozici hlavního proudu médií.

Jen proto, že jste si to na internetu, neznamená, že je to pravda.Jen proto, že jste si to na internetu, neznamená, že je to pravda.
Jen proto, že jste si to na internetu, neznamená, že je to pravda

Zajímavé je, že zatímco spamové e-maily jsou stejné, domény udržet vypnutí a byly nahrazeny novými, které byly navrženy s podobnou šablonou a registrovaných podle whois ochrany soukromí střežit služby. Tyto šablony jsou používány pro webové stránky zaměřené na obou uživatelů v USA a Velké Británii.

Jako by platit 99 centů sjednat neexistující setkání nebylo málo, existují zprávy, že následující poplatky jsou určeny pro trapných předplatné služby v množstvích, která daleko předčila poplatek ověření.

S vědomím, že tyto druhy inženýrských ohrožení sociálních nejlépe zmařen úsudku uživatele, Kaspersky Lab se zavazuje vzdělávat, aby se zabránilo rizikových situacích. Existuje několik červené vlajky, je třeba dávat pozor v této situaci:

Podvody, jako jsou tyto sukně okraj přijatelných pro on-line interakcí tím, že napodobuje legitimní prostředky, jako je sociální sítí, z toho zobrazeny falešné indikátory důvěry jako bezpečných webových stránek loga, nebo dokonce prohlašovat přijetí hlavního proudu přes rádoby potvrzení od rozeznatelných zpravodajských kanálů.
Podobně, uživatelé by měli mít na pozoru před "bot chování", jako v případě e-mailové korespondence, kde odpovědi nejsou průkazné a netečou přirozeně.
Konečně, zatímco půvab setkání s novými lidmi pro rychlé setkání může být dost pro některé nastavit jejich větší odpor proti rozsudku, které poskytují informace o kreditní kartě by měl být vždy červená vlajka pokud se jedná o málo známých služeb pochybné záměru.

Výkonné agentury projít na nové kybernetické nařízení
27.5.2014 Zabezpečení
Tři Executive Branch federální agentury hrají důležitou roli při ochraně kritické infrastruktury budou moci nadále dobrovolně posoudit počítačové riziko , spíše než nutit rozvoj a provádění dalších předpisů.

Bílý dům včera zveřejnila své závěry, které se vztahují k Executive objednat 13636 , která byla podepsána v únoru prezident Obama. Agentury v rámci výkonné moci byly zaštítěny EO posoudit, zda stávající předpisy jsou dostačující k zajištění kritické infrastruktury, a identifikovat slabiny, které mají být řešeny. Cvičení byla snaha zjednodušit předpisy a sladit je s rámcem pro zlepšení kritické bezpečnostní infrastruktury , oznámila dva dny po EO 13636. rámec Cybersecurity byl chválen řadou nástrojů, finančních institucí a poskytovatelů služeb jako komplexní pokyny, které mají být použity vytvořit a udržovat zabezpečení kritické infrastruktury.

Michael Daniel, koordinátor kybernetické a zvláštní asistent prezidenta, řekl v prohlášení, že Obamova administrativa podporuje současný dobrovolný přístup ke kybernetické řízení rizik. Tři oddělení pověřena sebe-hodnocení a podat zprávu do Bílého domu byly Department of Homeland Security, Environmental Protection Agency a Ministerstva zdravotnictví a sociálních služeb. Tyto tři agentury mají dohled na všechno, od chemických zařízení, k pitné vodě, ke zdravotní výměn.

"V tomto okamžiku, ačkoli, správa zjistila, že stávající regulační požadavky, pokud doplněn silnými dobrovolných partnerství, jsou schopny zmírnit kybernetických rizik na našich kritických systémů a informací," řekl Daniel v prohlášení a dodal, že v příštích dvou letech Tyto agentury budou koordinovat s cílem zlepšit stávající právní předpisy. "Agentury s regulačním orgánem zjistili, že stávající regulační požadavky, pokud doplněn silnými dobrovolných partnerství, jsou schopny zmírnit kybernetických rizik těchto systémů."

Do určité míry, vládní ruce jsou svázané s ohledem na bezpečnost kritické infrastruktury, protože tolik pomůcky a poskytovatelé jsou v soukromém vlastnictví. Výkonná pobočka agentury byly vyzvány, aby posílit partnerství soukromého sektoru, aby se lépe ohrožení akcií a informace o zmírňování.

EPA, například, má regulační orgán nad kritickou infrastrukturu v oblasti vody a odpadní systémy, a může stanovit požadavky kybernetické pro systémy veřejné pitné vody. Průmyslové řídicí systémy a sítě, které monitorují vody a čistíren odpadních procesy, zejména, by mohlo být lákavé cíle pro sabotáže nebo terorismu. Ve své zprávě do Bílého domu, kanceláře popisuje dobrovolná opatření, která přijal a zavedl do budoucna zachovat integritu a odolnost systému vodovodní sítě.

Podobně, zdravotnictví a sociálních služeb, s dohledem na elektronických zdravotních záznamů a bezpečnosti zdravotnických zařízení, také vysvětlil ve své zprávě své partnerské programy k dispozici soukromému sektoru, stejně jako její spojenectví s Food and Drug Administration na bezpečnost zdravotnických zařízení, a je popsáno jeho plán reakce na incidenty v případě útoku na síti oddělení.

"Efektivní předpisy jsou významným nástrojem k ochraně bezpečnosti a ekonomickou životaschopnost našeho národa," řekl Daniel. "Prezident se zavázala k zjednodušení a zefektivnění předpisy a zároveň zajistit, aby přínosy ospravedlňují náklady."

Adobe Shockwave tahat kolem belhal, Zranitelný verze Flash
27.5.2014 Zranitelnosti

Je to dost špatné, že runtime Flash dodáván s Adobe Shockwave Player je nedostatek bezpečnostních záplat vracet do ledna 2013, ale co je horší je, že zvýšená plocha útok poskytovány Shockwave může usnadnit využití. A v smlouvat, Adobe ví o vydání od října 2010.

"Útočník má nejen útoku Flash, ale všechny Shockwave útoku na jeho likvidaci," řekl Will Dormann, výzkumník v Software Engineering Institute na Carnegie Mellon University. Před týdnem, Dormann aktualizuje CERT upozornění od roku 2012, který byl původně napsaný o dva roky dříve, varuje uživatele, že Adobe ještě nebyl zachycen na nedostatky Shockwave je v tomto ohledu.

Adobe mluvčí Heather Edell řekl Threatpost dnes, že příští verze Shockwave bude obsahovat aktualizovanou verzi Flashe.

"Jsme přezkoumání náš proces aktualizace zabezpečení s cílem zmírnit rizika v Shockwave Player," řekl Edell.

Dormann, zatím, není si jistý, jak moc to pomůže.

"Zprávy naznačují, že Adobe se chystá na uvedení verze Flash až do dnešního dne s další aktualizaci Shockwave," řekl Dormann. "Ale to je jen dočasná oprava, protože Flash a Shockwave mají různé propojovací cykly."

Shockwave byla aktualizována čtyřikrát v posledních 13 měsících, naposledy v únoru.
Shockwave byla aktualizována čtyřikrát v posledních 13 měsících, naposledy v únoru. Flash Player , mezitím, byl aktualizován mnohem více krát-téměř měsíc-včetně záplat pro řadu zero-day zranitelností terčem zločinců a národního státu hackery . Žádné veřejné využije, nicméně byly hlášeny, které se zaměřují na Flash Player dodáván s Shockwave.

"Tam může být okamžik, kdy verzi Flash poskytuje Shockwave byl" dohnaly "se samostatnou verzi," řekl Dormann. "Ale jak můžete vidět, situace se od té doby změnilo. Architektura, ve kterém Flash je poskytována Shockwave je stále stejný. "

Přispívat do problému je skutečnost, že některé Shockwave moduly nemusí rozhodnout v některých snižující závažnost rizika Windows, Dormann řekl, kdo poukázal na jednu zejména názvem SafeSEH. Zmírnění dělá to obtížnější a nákladnější pro útočníkovi použít strukturované zpracování výjimek (SEH) přepsat vykořisťování techniku spustit kód na základní operační systém.

"To znamená, že útočník může snadno použít SEH-přepsání zranitelnosti (např. přetečení bufferu), ve využívání když se aplikace Flash je napaden prostřednictvím Shockwave, ale že stejný útok, nemusí být stejně životaschopné, pokud je blesk zaútočil přímo," řekl Dormann. Jeden dočasné zmírnění, Dormann doporučuje, je nasadit Microsoft Enhanced Experience Toolkit pro zmírňování nebo Emet, který bude nutit k používání SEHOP nebo SEH ochraně proti přepsání .

Není známo, zda Adobe vydá nouzový aktualizace pro Flash, nebo v případě, že bude čekat až do června 10; Adobe koordinuje plán náplast uvolňuje a aktualizace zabezpečení, které se shodují s Patch aktualizací Microsoft v úterý.

Poslední nouzové aktualizace Flash byl propuštěn v únoru zalátat zero-day zranitelnost zneužívanou podle The Mask APT kampaně zveřejněných společností Kaspersky Lab.

Zeus-Carberp Hybrid Trojan se objeví
27.5.2014 Viry
Vědci objevili nový hybridní Trojan, který kombinuje prvky dvou z více notoricky známých crimewaru kmenů v posledních letech: Zeus a Carberp. To není neobvyklé, že tvůrci malwaru ukrást kousky kódu od jednoho jiný, ale oba Zeus a Carberp byly kdysi výhradně soukromé nástroje, ale zdrojový kód pro každý z trojské koně byl propuštěn a nyní podnikaví malware autoři mísí dva spolu tvořit to, co vědci nazývají Zberp.

Zdrojový kód Zeus byl propuštěn před čtyřmi lety, a v té době, vědci obávají, že uvedení zdrojový kód v rukou mas by vedlo ke vzniku mnoha nových variant trojských koní a vlny nových útoků. Některé, které se dějí, jako malware autoři dlážděné dohromady mobilní verze Zeus a Trojan i nadále velkým problémem pro oběti k tomuto dni.

Únik zdrojový kód Carberp byl více nedávno, se soubory objevil na veřejnosti v červnu 2013.
Únik zdrojový kód Carberp je to novější, s soubory objevil na veřejnosti v červnu 2013. Trojan byl původně soukromý nástroj používaný skupinou útočníků v Rusku a později byl prodán do externích zákazníků, tak hodně jak $ 40,000. Stejně jako Zeus, Carberp má schopnost se schovávat před antimalware aplikací v různých směrech, ukrást citlivá data z infikovaných počítačů a stahovat nová data z příkazové a-kontrolní servery.

Zberp Trojan, které lze identifikovat podle týmu v IBM Trusteer, kombinuje některé funkce obou Dia a Carberp a má několik zajímavých možností, jak obejít bezpečnostní software. Zberp má funkci, která bude psát na klíč registru pro udržení vytrvalosti na infikovaných počítačích, a to vymaže ten klíč při startu pokaždé a pak přepsat to během odstávky. Tato funkce je navržena tak, aby se zabránilo odhalení bezpečnostní software, které vykonávají prověřování při spuštění.

"Nová Zberp Trojan, varianta Zeus VM Trojan, umožňuje počítačoví zločinci se chytit základní informace o infikovaném počítači, včetně názvu počítače, IP a další. Je možné pořizovat snímky a pošlete je na útočníka. To krade údaje předložené v HTTP formách, certifikáty uživatel SSL a dokonce i FTP a pověření POP účtu. Zberp Trojan také volitelné funkce, které umožňují webové injekce, dynamických webových injekce, MITB / MITM útoky a VNC / RDP připojení, " analýza Trusteer říká.

"Zdrojový kód příspěvek Carberp na Zberp Trojana může být viděn v jeho" hákování "technikou, běžně používané malware vývojáři ovládat prohlížeč, uchopit klíčové tahy a krást informace. To také udržuje malware "neviditelné", vyhnout detekci anti-virus a anti-malware nástrojů. "

Zberp také přijímá techniku, že některé novější kousky malware byly pomocí, běh jejich komunikaci s jejich C & C servery přes SSL. Stejně jako klíče registru vymazání techniky, pomocí protokolu SSL pro komunikaci je určen na pomoc malware vyhnout se detekci.

Dům výbor Zahájí NIST-NSA Separace na Crypto standardy
27.5.2014 IT
Osm měsíců po explozivní zjevení, že šifrovací standardy vyvinuté a zhodnoceny Národní bezpečnostní agentury údajně ničena inteligence oblečení, Dům výbor se přestěhoval do sever zapojení NSA v standardizačního procesu.

Novela zákona o Frontiers v oblasti inovací, výzkumu, vědy a techniky zákona, nebo první zákona byl schválen pro vědu a techniku výboru Sněmovny koncem minulého týdne, že udeří požadavek, že NSA a Národní institut pro standardy a technologie (NIST) práce ruku v ruce na šifrovacích standardů.

Dokumenty přijatá bývalý NSA dodavatel Edward Snowdena tvrdí, že NSA úmyslně oslabena nebo vložený zadní vrátka kryptografických standardů a knihoven vládními agenturami, soukromými firmami a dodavateli softwaru po celém světě používají, aby bylo možné provést dohled na internetové komunikace.

Bomba přišla v září loňského roku, kdy to bylo odhaleno v New York Times , na Guardian a ProPublica , že Dual ES DRBG algoritmus, dlouho podezření, že by kryptografie odborníky, obsahoval NSA backdoor. Brzy NIST doporučuje vývojářům odklon od používání algoritmu , a pak dodavatel bezpečnostních řešení RSA Security následovali, ukázat, že duální ES byl výchozí algoritmus ve svých BSAFE kryptografických knihoven. RSA dostala pod masivní kontrolou o tři měsíce později, když Reuters zpráva tvrdí, že RSA měl tajná smlouva 10 milionů dolarů, aby Dual ES výchozí generátor náhodných čísel v BSAFE.

Rep. Alan Grayson, D-FL, nabídl změnu výboru 20. května
Rep. Alan Grayson, D-FL, nabídl změnu výboru 20. května ptát, že požadavek, aby NIST konzultovat s NSA byla vyškrtnuta ze zákona PRVNÍ.

"Pokud tato změna projde, normy, bude stále vyhlášen na nejvyšší úrovni kvality podle NIST a NSA bude i nadále konzultován v případě potřeby," napsal Grayson ve svém dopise do domu výboru. "Ale podvratné akce a přesah od jedné agentury do druhé nebude tolerováno."

ProPublica hlásil , že Grayson bude i nadále pokračovat v reformách souvisejících s NIST vztahu s NSA. Účet musí být předány do plného Sněmovny reprezentantů a Senátu, než je podepsán do práva.

V Snowden odhalení o údajné podvracení NSA kryptografických standardů nastartoval spekulace a obavy, že NIST ztratil důvěru technologických společností a realizátorů a regionální normy by mohly pop-up, poškození interoperabilitu a bezpečnost.

"Spojené státy se měl obrovský vliv na crypto po celém světě, protože máme NIST," řekl Johns Hopkins profesor a kryptografie expert Matthew Green Threatpost v září. "Mohli jste vidět lidi vytrhnout z NIST, který by poškodil všechny, a přestěhovat se do regionálních norem. Ta věc je problém.

"Věříme, že NIST, protože tam je spousta chytrých lidí tam. Pokud jste se rozešli do regionů, je to možné, co by mohlo dostat méně bezpečné, "dodal Green. "Ty by mohly skončit s více zranitelnosti; Normy se slabší, tím méně úsilí jste do něho. "

Bruce Schneier shodli v té době, že kontrola by utáhnout na NIST.

"Faktem je, že NIST byla pošpiněna špatně, a my opravdu potřebují," řekl. "Toto je největší problém: NSA porušil základní společenskou smlouvu na internetu."

NIST, nicméně, byl aktivně uklízet před vlastním prahem, protože zjevení. V listopadu, standardy tělo říká, že bylo zahájení přezkumu svých kryptografických standardů rozvoje procesů , a minulý měsíc odstraněny Dual ES DRBG z NIST návrhu pokynů pro generátory náhodných čísel .

Hackeři napadli Avast a ukradli uživatelská data

27.5.2014 Incidenty
Cílem hackerů se občas stanou i ti, kteří by proti jejím útokům měli být nejlépe zabezpečení – antiviroví specialisté. Minulý víkend se to „podařilo“ Avastu, jehož webové komunitní fórum podpory napadli útočníci a získali databázi s přezdívkami, jmény, e-mailovými adresami a kontrolními součty hesel.

Webové fórum Avastu je tak nyní podle blogového zápisku dočasně mimo provoz a šéf společnosti Vince Stecker uklidňuje komunitu, že únik dat se týká pouze 0,2 % uživatelů z dvousetmilionového balíku, kteří přispívali do komunitního fóra podpory.

Google přidává nové funkce zabezpečení, které Google Apps
27.5.2014 Zabezpečení

Zde jsou některé vítanou zprávou pro Google Apps Business, státní správy a školství zákazníky: Společnost zavedla tři nové bezpečnostní prvky na ochranu před phishingem, hacking, a státem sponzorované útoky:

Mail směrování, dodací kontroly a SMTP relay služba -Řízení toku informací do az vaší společnosti s směrování politiky, která by zaručila, že společnost zprávy jsou filtrovány, i když jsou odeslány z třetí strany nebo jiných zdrojů non-gmail. Attachment dodržování -Protect vaše podnikání tím, že blokuje nebo přesměrování zpráv na základě toho, co je připojen k e-maily, které poskytují kontrolu nad tím, co obsah je odeslána a přijata. TLS šifrování zpráv obsah , Prevent odposlechu a zprávy spoofing přes zabezpečené šifrování a dodávky.

Změny byly vyhlášeny v pátek Amit Singh, předseda Google Enterprise, který také přidanou , že od nynějška, Google nebude zobrazovat reklamy ve službě Google Apps, a zastaví získávání a použití dat v oblasti služeb Google Apps pro reklamní účely.

Pět čínských vojenských hackeři účtované za špehování amerických firem
27.5.2014 Kyberšpionáž

Porota v západní obvod Pennsylvanie obvinil pět čínských vojenských hackerů na počítačové hackerství, ekonomické špionáže a jiných činů zaměřené na šesti amerických obětí v jaderné energie, kovy a solární amerického průmyslu. Wang Dong, Sun kailiang, Wen Xinyu, Huang Zhenyu, a Gu Chunhui, byli důstojníci v oddělení 61398 třetího oddělení čínské lidové osvobozenecké armády (PLA). Obžaloba tvrdí, že Wang, Sun, a Wen, mimo jiné známé i neznámé na porotu, hacknutý, nebo se pokusil nabourat do amerických subjektů uvedených v obžalobě, zatímco Huang a Gu podporována jejich spiknutí, mimo jiné, řízení infrastruktury ( např. účty domény) slouží k hackování. Útoky se stalo v letech 2006 a 2014. Mezi oběťmi útoků byli Westinghouse Electric Co (Westinghouse), americké dceřiné společnosti SolarWorld AG (SolarWorld), United States Steel Corp. (US Steel), Allegheny Technologies Inc (ATI), United Steel, papíru a lesnictví, Guma, výroba, energetika, Allied průmyslu a služeb Pracovníci Mezinárodní unie (VKV) a Alcoa Inc Obžaloba tvrdí, že:

V roce 2010, zatímco Westinghouse stavěl čtyři AP1000 elektráren v Číně a jednání o dalších podmínek stavby s čínským SOE (SOE-1), včetně převodů technologií, Sun ukradl důvěrná a proprietární technické a konstrukční specifikace pro trubky, potrubí podpor, a potrubí směrování v rámci AP1000 rostlin budov. Navíc, v roce 2010 a 2011, zatímco Westinghouse byla zkoumání dalších podnikatelských aktivit s SOE-1, Sun ukradl citlivé, non-veřejné, a deliberativní e-maily, které patří do vyšších rozhodovacích orgánů odpovědných za obchodní vztahy Westinghouse s SOE-1.
V roce 2012, přibližně ve stejnou dobu ministerstvo obchodu zjištěno, že čínské solární výrobci produktů se "dumpingové" produkty na amerických trzích za ceny nižší než reálná hodnota, Wen a alespoň jeden další, neidentifikované co-spiklenec ukradl tisíce souborů včetně informací o SolarWorld je cash flow, výrobní metriky, informační výrobní linky, náklady a privilegované advokát-klient komunikace týkající se probíhajících obchodních sporů, mimo jiné. Takové informace by umožnily čínský konkurent zaměřit obchodní činnosti SolarWorld je agresivně z různých úhlů.
V roce 2010, US Steel byla účast na obchodních případech s čínskými ocelářských společností, včetně jednoho konkrétního státního podniku (SOE-2). Krátce před plánovaným vydáním předběžného stanovení v jednom takovém sporu, Sun poslal spearphishing e-maily zaměstnanců, US Steel, z nichž někteří byli v divizi spojené s sporu. Některé z těchto e-mailů za následek instalaci malware na počítačích US Steel. O tři dny později, Wang ukradl názvy hostitelů a popisy počítačů, US Steel (včetně těch, které jsou řízeny fyzický přístup k firemním zařízení a přístup k mobilní zařízení k firemním sítím). Wang poté podnikl kroky k identifikaci a vykořisťují zranitelné servery na tomto seznamu.
V roce 2012, ATI byl zaměstnán ve společném podniku s SOE-2, soutěžil s SOE-2, a byl zapojený do obchodního sporu s SOE-2. V dubnu tohoto roku, Wen získal přístup k síti, ATI a ukradl síťová pověření pro prakticky každého zaměstnance ATI.
V roce 2012, VKV byl zapojen do veřejné spory čínských obchodních praktik v nejméně dvou odvětvích. Na nebo o době VKV vydal veřejné prohlášení týkající se těchto obchodních sporů a souvisejících legislativních návrhů, Wen ukradl e-maily z vyšších VKV zaměstnanců obsahují citlivé neveřejné, a deliberativní informace o VKV strategií, včetně strategií týkajících se probíhajících obchodních sporů. Počítače VKV pokračoval na maják infrastruktury spiknutí, dokud alespoň brzy 2013.
Asi tři týdny po Alcoa oznámila partnerství s čínskou státní podnik (SOE-3), v únoru 2008, Sun poslal e-mail spearphishing Alcoa. Poté, v nebo o červnu 2008 neidentifikované osoby ukradl tisíce e-mailových zpráv a příloh z Alcoa počítačů, včetně vnitřních diskusí týkajících se této transakce.
Huang usnadněno hacking činnost registraci a správu domény, účty, že jeho co-spiklenci použít proniknout do amerických subjektů. Navíc, mezi lety 2006 a přinejmenším do roku 2009, jednotka 61398 přidělen Huang provádět programování práci pro SOE-2, včetně vytvoření "tajné" databáze navržen tak, aby pořádají firemní "inteligenci" o průmyslu železa a oceli, včetně informací o amerických firem .
Gu podařilo domény účty používané k usnadnění hackerské aktivity proti americkým subjektům a také testovány spearphishing e-maily v prosazování spiknutí.
FBI provedla šetření, které vedlo k obvinění v obžalobě. "Pro příliš dlouho, čínská vláda otevřeně snažili využít kybernetické špionáže k získání ekonomické výhody pro jeho státních průmyslových odvětví," uvedl ředitel FBI James B. Comey. "Obžaloba dnes oznámila, je důležitým krokem. Ale existuje mnoho dalších obětí, a tam je mnohem více je třeba udělat. S naším jedinečným trestních a vnitrostátních orgánů bezpečnosti, budeme i nadále využívat všechny právní nástroje máme k dispozici v boji proti kybernetické špionáže ze všech zdrojů. "

Výzkumníci objevit kritické chyby v čipu a PIN systému
27.5.2014 Zranitelnosti
Skupina vědců z Cambridgeské univerzity objevili dva kritické nedostatky v "Chip a PIN" (EMV), platební systém čipové karty, které lze tak efektivně, že normální bankovní postupy nebudou na místě falešný zneužity k "klon" karty. "platby karty obsahují čip, aby mohli provést ověřovací protokol. Tento protokol vyžaduje point-of-prodeje (POS) terminály a bankomaty pro generování kódového slova, tzv. nepředvídatelné číslo, pro každou transakci, aby bylo zajištěno, že je čerstvá, "vysvětlil vědci. "platební terminál provede EMV protokol s čipem, který výměny vybrané transakční údaje o uzavřených s kryptografickým autentizačního kódu zprávy (MAC) vypočítané pomocí symetrického klíče uložené na kartě a sdílet s bankou, která kartu vydala." Uživatel je ověřen pomocí PIN. EMV je považován za bezpečnější varianta než "karty výpad" platebního systému obvykle nacházejí v USA, ale není to full-důkaz. Ve skutečnosti, výzkumné týmy z Cambridgeské univerzity objevili další zranitelná místa systému v uplynulých letech. Tentokrát, oni objevili, že některé bankomaty generovat špatné náhodných čísel, které lze snadno předvídat a mohou být použity k výpočtu autentizační kódy potřebné k tomu hotovosti z bankomatu, že v pozdější době. Tento typ "pre-play" útok by "k nerozeznání od karty klonování z hlediska protokolů dostupných na břehu vydavatele karty, a může být provedena, i když to je nemožné klonovat kartu fyzicky, "dokazuje, že alespoň v některých z těchto případů podvodů, majitelé karet nebyli odpovědní za spoluvinu na podvodu, a měla by být dána vrácení peněz. Druhý problém, který se objevil, je selhání protokol který by umožnil malware v terminálu ATM nebo POS, nebo AA man-in-the-middle mezi terminálem a nabyvatele, provádět pre-play útok, jen tím, že nahradí náhodně generované číslo s jedním zvoleným útočníkem. Tyto nedostatky byly objeveny před více než dvěma lety, a banka průmyslové organizace byli informováni na začátku roku 2012. Do té doby, pouze první chybou bylo určeno. "Nyní publikování výsledků našeho výzkumu tak, že zákazníci, jejichž nároky na náhradu byly neprávem odepřen mít důkaz jejich pokračování, a tak, aby crypto, bezpečnostní a regulační bankovní komunity mohou poučit, "oni si všimli. "Pro inženýry, je to fascinující, aby odhalili, proč by byly zavedeny jako hlavní selhání, jak se to mohlo přetrvávají neobjevené tak dlouho, a co to má, aby nám řekli o věrohodnosti. Na vědecké úrovni, to je lekce, jak učit o povaze odvolání v kryptografických protokolech, mezích formální verifikace, a souhru mezi designem protokolů a bezpečnostních ekonomii. " skupina předložila svůj výzkum v pondělí na 2014 IEEE Symposium o bezpečnosti a ochrana osobních údajů. Podrobnější informace o útocích, podívejte se na jejich papír.

Donucovací se zaměřuje na uživatele BlackShades malware
27.5.2014 Viry
Během dvou dnů operací odehrávajících se ve více než 10 zemích po celém světě, koordinovaných Eurojustu v Haagu a podporovaných Evropským kyberkriminalitě centra (EC3) při Europolu, tvůrci, prodejci a uživatelé BlackShades malware byly zaměřeny soudních a donucovacích orgánů.

V obou akčních dnů, 300 domovních prohlídek bylo provedeno na celém světě, a 81 lidí bylo zatčeno. Více než 1000 zařízení pro ukládání dat s podezřením na použitý do nelegálních aktivit bylo zadrženo, včetně počítačů, notebooků, mobilních telefonů, routery, externí pevné disky a USB zařízení. Značné množství hotovosti, nelegálních střelných zbraní a drog byly také zabaveny. nedávný případ v Nizozemsku BlackShades malware používán pro účely páchání trestné činnosti bylo, že 18-rok-starý muž, který infikoval nejméně 2000 počítačů, ovládání kamery oběti, aby se obrázky žen a dívek. Země, které se zavázaly opatření proti tvůrci, prodejců a uživatelů malware včetně Nizozemska, Belgie, Francie, Německo, Velká Británie, Finsko, Rakousko, Estonsko, Dánsko, USA, Kanada, Chile, Chorvatsko a Itálie. Tři koordinační schůzky se konaly v Eurojustu před akčních dnů, za účasti většiny zúčastněných zemí. Během akčních dnů, koordinační centrum bylo zřízeno v Eurojustu pomoci různých zemí tím, že poskytuje přehledy o stavu v zúčastněných zemích, jakož i poskytování právní pomoci, v případě potřeby. Zástupci Eurojustu, EC3 Europolu a FBI byli přítomni v koordinačním centru. Jako další ukázku úrovně spolupráce dosaženo tohoto koordinačního centra, EC3 Europolu byl přítomen během akčních dnů, a za předpokladu, v reálném čase analytickou podporu. EC3 bude nástrojem sledování, identifikaci obětí a analýzu dat. Troels Oerting, ředitel Evropského centra pro boj proti kyberkriminalitě (EC3) při Europolu řekl: "Tento případ je dalším příkladem kritické potřebě koordinované vymáhání práva operace proti Rostoucí počet kybernetických zločinců působících na evropské i celosvětové úrovni. EC3 bude i nadále - společně s Eurojustem a dalšími partnery - pracovat neúnavně podporovat naše partnery v boji proti podvodníkům a dalších kybernetických zločinců, kteří využívají internetu k páchání trestné činnosti. Práce zdaleka není u konce, ale naše spolupráce spolupracovat přes hranice zvýšila, a máme co do činění s případy průběžně ". pan Koen Hermans, asistentka národního člena za Nizozemsko, poznamenal: "Tento případ je silný připomíná, že nikdo není v bezpečí při používání internetu, a měl by sloužit jako varování a zastrašující pro ty, jež se podílejí na výrobě a používání tohoto softwaru. To se týká nejen obětí, ale i pachatelů trestných a škodlivých činů. Počet zemí zapojených do této operace ukázala, že vlastní hodnotu koordinačních schůzek Eurojustu a koordinačních center ". Klíčové postavy na první pohled:

Operace prováděné v Holandsku, Belgii, Francii, Německu, Velké Británii, Finsku, Rakousku, Estonsku, Dánsku, USA, Kanadě, Chile, Chorvatsku a Itálii
Více než 80 zatčení
300 domovních prohlídek
Více než 1000 zařízení pro ukládání dat chytil.

Průmyslové bezdrátové výpadek na obzoru
27.5.2014 Bezpečnost
Se záměrem zachování šířky pásma, telekomunikační průmysl napsal harmonizovanou normu, která neumožňuje ovládání průmyslové bezdrátové systémy fungovat.

Evropský institut pro normalizaci v telekomunikacích (ETSI), je nyní blokuje harmonizaci evropského standardu, který usnadňuje správu koexistence průmyslových komunikačních sítí v rámci směrnice R & TTE. . Toto omezení je pravděpodobné, aby se Evropa ztrácí významnou konkurenční půdu v průmyslové bezdrátové oblasti ETSI, jsou oficiálně uznána Evropskou unii jako organizaci evropských norem a psali harmonizovanou normu: EN 300 328 v1.8.1, standard, který pozměňuje stávající pravidla pro všechna zařízení používající veřejně dostupnou rozhlasové pásmo. Kapela obsahuje miliony zařízení pomocí WiFi, Bluetooth nebo ZigBee technologie. To znamená, že bude mít významný dopad na výrobce ze všech sektorů, jakmile vstoupí v platnost, dne 1. ledna 2015. je harmonizovaná norma EN pokrývající základní požadavky článku 3.2 Směrnice R & TTE, který stanoví, že "kromě toho, rádiová zařízení musí být konstruována tak, aby efektivně využívala spektrum přidělené zemským / kosmickou radiokomunikaci a orbitálních zdrojů, aby se zabránilo škodlivé interferenci. " "Se záměrem efektivně využívat spektrum, telekomunikační průmysl produkoval harmonizované normy, které neumožňuje průmyslové bezdrátové řídicí systémy fungovat, "vysvětluje Andrew Evans, technický manažer u GAMBICA. "Problém se standardem je, že zavádí pojem Listen Before Talk (LBT). LBT vyžaduje, aby každý rozhlasový přístroj nejprve zkontrolovat, zda jiné zařízení vysílá, v takovém případě musí držet zpátky, dokud je kanál volný. To způsobuje náhodné a nepředvídatelné komunikační zpoždění. " "Celá myšlenka je jednoduše nonviable," pokračuje Evans. "V době těžké použití, výsledkem je" degradace služby ". Bohužel, skutečný problém pro průmyslové lokality je, že klíčové bezdrátová zařízení nemůže být nikdy spoléhat na zprávu své poplachové nebo stavové zprávy včas." Průmysl se snažil pracovat s ETSI předložit připomínky k revizi EN300328 v1.8.1, včetně návrhů na osvobození od daně nebo možností použití LBT v rámci vymezených oblastech průmyslové automatizace. Tato řešení nebyly zahrnuty do nové revize normy. . V1.8.1 Průmysl také tvrdě pracovali přes technické SC65C výboru vypracovat normy IEC 62657-2: (2013) "Průmyslové komunikační sítě - Bezdrátové komunikační sítě - Pt 2: Soužití řízení". To byl hlasoval kladně CENELEC, aby se stal EN62657-2, ale harmonizace této normy v rámci směrnice R & TTE byl zablokován ETSI. GAMBICA se vyzývá všechny členské společnosti poskytující průmyslové bezdrátové zařízení, nebo jejichž služby spolehnout na těchto systémech, kontaktovat jejich obchodní sdružení UK nebo jiných organizací na kontinentu. Průmysl potřebuje vyvinout další úsilí pro vysvětlení možných důsledků LBT Evropské komisi a volají po harmonizaci EN62657-2 podle Směrnice R & TTE co nejdříve. kontrola procesu Bezdrátová technologie je v plenkách stále, ale široce viděn přes zpracovatelském průmyslu jako obrovský růst oblasti. Člověk potřebuje jen na první pohled v obchodních publikací vidět nepřeberné množství bezdrátového marketingových materiálů. Je to významná oblast růstu, který poskytuje velké úspory nákladů na zapojení a instalace času. Mnoho míst ve Velké Británii bezdrátové systémy instalovány a další jsou v jednání. Najednou, tyto investice jsou ohroženy a budoucí růst sídlem ve Spojeném království průmyslu bude vážně poškozeny.

NIST revidovat průmyslových řídicích systémů bezpečnostní příručka
27.5.2014 IT
Národní institut pro standardy a technologie (NIST) vydal k veřejné kontrole a připomínky k navrhované významnou aktualizaci svého Průvodce po Průmyslové řídicí systémy (ICS) Security . Většina průmyslových řídicích systémů začal jako proprietární, stand-alone sbírek hardwaru a softwaru, které byly odděleny od zbytku světa, a izolované od většiny vnějších hrozeb. Dnes je široce dostupné softwarové aplikace, zařízení Internet-umožnil a další nabídky v oblasti IT byly integrovány do mnoha systémů, a údaje produkované v provozu ICS jsou stále více využívány pro podporu obchodních rozhodnutí. Toto propojení přinesla mnoho výhod, ale také zvýšila zranitelnost těchto systémů škodlivými útoky, výpadky zařízení a mnoho dalších hrozeb. Staženo více než 2,5 milionu krát od jeho prvního vydání v roce 2006, příručka NIST radí o tom, jak snížit Zranitelnost průmyslových počítačových systémů řízených používaných průmyslových podniků, veřejných služeb a dalších významných činností v oblasti infrastruktury na škodlivými útoky, výpadky zařízení, chyby, nedostatečnou ochranou malware a dalších hrozeb softwaru související. nový návrh, druhá revize průvodce, obsahuje aktualizace sekce na ICS hrozeb a zranitelností, řízení rizik, doporučené postupy, bezpečnostní architektury a možnosti zabezpečení a nástroje pro ICS. Vzhledem ke své jedinečné výkonnosti, spolehlivosti a požadavky na bezpečnost, zabezpečení průmyslových řídicích systémů často vyžaduje úpravy a rozšíření bezpečnostních kontrol a postupy běžně používané v tradičních systémech IT. Uznávajíce to, významný dodatek k návrhu je nový dodatek nabídka na míru návod na to, jak se přizpůsobit a aplikovat bezpečnostní kontroly a vylepšení kontrolní podrobně v 2013 komplexní aktualizaci zabezpečení a soukromí ovládací prvky pro federální informačních systémů a organizací (NIST Special Publication 800 - 53, revize 4) na ICS. SP 800-53 obsahuje základní sadu bezpečnostních kontrol, které mohou být přizpůsobeny specifickým potřebám v souladu s posláním organizace, provozního prostředí a používaných technologií. Nový návrh Průvodce Průmyslové řídicí systémy (ICS) Security obsahuje ICS překrytí, která se přizpůsobuje a upřesňuje, že základní řešení specializované bezpečnostní potřeby utilit, chemických podniků, výrobců potravin, automobilů a jiných uživatelů průmyslových řídicích systémů.

Čína reaguje na obvinění vojenských hackerů ", obviňuje USA z pokrytectví
27.5.2014 Kyberšpionáž
Včera, poprvé v historii, americké ministerstvo spravedlnosti podal trestní oznámení proti známými činiteli pro hackování, protože obvinil pět čínských vojenských hackeři z kybernetické špionáže proti amerických firem. Čínská vláda reagovala očekávání tím, obviňuje USA z pokrytectví a dvojí standardy. "USA obvinění proti čínské zaměstnance je čistě neopodstatněné s postranními úmysly," uvedl Čínský ministerstva zahraničí mluvčí Qin Gang. "Čína je obětí závažných počítačové krádeže, odposlechů a dozorové činnosti v USA. Velké množství veřejně dostupných informacích ukazují, že relevantní Americké instituce byly vedení kybernetické vniknutí, odposlechy a dohledové činnosti proti čínské vládních úřadů, institucí, firem, vysokých škol a jednotlivců, "poznamenal a dodal, že Čína je naléhá na USA, aby stáhla obvinění. Čínská vláda také vydala (přes státem kontrolované Xinhuanet) nejnovější údaje o USA kybernetické útoky zaměřené na čínské počítačů a sítí:

Nejnovější údaje z Národního počítačové sítě Emergency Response technický tým koordinační centrum v Číně (NCNERTTCC) ukázala, že od 19. března do 18. května celkem 2077 trojských koní sítí nebo botnet servery v USA přímo ovládána 1180000 hostitelských počítačů v Číně. NCNERTTCC nalezeno 135 hostitelských počítačů v USA nesou 563 phishingových stránek zaměřených na čínské webové stránky, které vedly k 14,000 phishing operací. Ve stejném období, centrum nalezeno 2016 IP adresy v USA byl implantován zadní vrátka do 1754 čínských webových stránkách, zahrnující 57.000 backdoor útoky. Americké útoky, infiltruje a kohouty čínské sítě, které patří do vlády, institucí, podniků, vysokých škol a velkých komunikace páteřních sítí . Tyto činnosti zaměřují čínské vůdce, obyčejné občany a všechny, kdo s mobilním telefonem. Mezitím, USA opakovaně obviňuje Čínu ze špionáže a hackování.

Čína také vytáhl z pracovní skupiny Čína-USA v současné době. UD ministerstvem spravedlnosti v obvinění tvrdí, že čínské státní podniky přímo těžily z informací ukradené těmito vojenskými hackery. Také je třeba poznamenat, že obvinění byla vznesena pro hacking amerických podniků, nikoliv vládní a vojenské sítě. Americká vláda opakovaně řekl, že i když se zabývá sledování a špehování v zájmu národní bezpečnosti, se nikdy sdíleny některé z získaným informacím s podniky se sídlem v USA, aby pro ně získat konkurenční výhodu na trhu. Zatímco ne -kdo očekává, že účtované jednotlivci stanout před soudem v USA, obvinění byl zřejmě vyroben tlačit na čínskou vládu, aby omezení hospodářské počítačové špionáže. Na druhou stranu , by tento krok selhat a způsobit v Číně a jiných zemích (jako je příklad, Brazílie ) zvyšování stejné obvinění proti NSA špionů a dodavatelů. Konečně, pohyb je viděn některými jako způsob, jak americká vláda přeformulovat diskusi dohledu. Jak jste si možná vzpomínáte, před Snowdenová odhalení, USA byl neustále a opakovaně obvinil Čínu z hackování, a některé společnosti z Číny, založená usnadnit těmto invazím. Ale minulý týden, další zjevení vyplývající z Snowdena v trove NSA dokumentů ukázal, že NSA bylo pěstování zadní vrátka do amerických vyrobené síťových zařízení určených pro zahraniční trh. Přestože tato situace untangles, bylo zjištěno, že Čína oznámila, že má zakázala používání Windows 8 na vládních počítačů. Zákaz byl zveřejněn minulý týden, takže rozhodnutí není spojen s tímto posledním konfliktu. Centrum čínské centrální zadávání veřejných zakázek se nevyjádřil, zda Windows 7 budou zakázány, stejně, ale je známo, že pracují na alternativní OS založený na Linuxu pro vládní účely.

Proofpoint získává NetCitadel
27.5.2014 Bezpečnost
Proofpoint získala NetCitadel, průkopník v oblasti automatizovaného reakce bezpečnostních incidentů. Podle podmínek dohody, Proofpoint zaplatil přibližně 24,0 milionů dolarů v hotovosti. Akvizice byla již uzavřena, a nevyžaduje žádné další povolení.

"Ztráta záznamy o zákaznících a dalších citlivých informací může začít během několika minut po systémové kompromisu, ale to obvykle trvá organizacím hodiny nebo dny reagovat a obsahovat útok," řekl Gary Steele, generální ředitel společnosti Proofpoint. "Díky využití nejmodernější technologie NetCitadel je organizace můžete zavřít tuto kritickou mezeru a výrazně snížit riziko významné ztráty dat. Tato technologie je přirozeným doplňkem našich nabídek cloud-based a nám umožňuje poskytovat komplexní vyspělé řešení hrozbou pro všechny organizace, bez ohledu na jejich stávající IT infrastruktury zabezpečení. " Na NetCitadel automatizované reakce na incidenty platformy potvrzuje a upřednostňuje potenciální bezpečnostní incidenty o sjednocení, korelace a syntetizovat výstrahy zabezpečení z Proofpoint a dalších předních dodavatelů zabezpečení, jako je HP ArcSight, Palo Alto Networks a FireEye. Na tomto potvrzení a stanovení priorit základě ovlivněny systémy mohou být automaticky do karantény a další komunikace s nebezpečnými weby mohou být blokovány -. Vše během několika sekund nebo minut počáteční pohotovosti "Teď, nejen že řešení Proofpoint pomáhají blokovat známé hrozby a odhalit dosud neznámé hrozby , řešení Proofpoint může také potvrdit a obsahují úspěšné útoky na zlomek času a za zlomek ceny tradičních reakce na incidenty přístupy. "pokračoval Steele. "platforma reakce na incidenty NetCitadel je již plní kritickou potřebu našich zákazníků tím, sekání doba odezvy incidentu a náklady, "řekl Mike Horn, NetCitadel spoluzakladatel a generální ředitel společnosti. Horn bude viceprezident hrozeb a reakce výrobků na Proofpoint. "Jsme rádi, že jste se připojil Proofpoint a musí být uvedení této technologie na širší trh." Jako součást akvizice, NetCitadel tým bezpečnostních expertů a softwarových inženýrů se integrovat s Proofpoint týmu v jeho sídle Sunnyvale. NetCitadel je ThreatOptics produkt je znovu zahájena jako Proofpoint Threat Response samostatný produkt a je integrován s cílenou ochranu Proofpoint útoku. Proofpoint v současné době očekává, že transakce bude mít podstatný vliv na příjmy, fakturaci, a non-GAAP ziskovosti ve druhém čtvrtletí a celý rok 2014.

Polovina z bezpečnostních profesionálů, nepodaří se zabezpečit data
27.5.2014 Zabezpečení
Výzkum provedený na Infosecurity Evropy 2014 ukázal, že 50% z bezpečnostních profesionálů nezajišťují data na přenosných paměťových zařízení, jako jsou USB modemy a externích pevných disků. Tento nález je přes 91% respondentů na stejném průzkumu vyjádřil své obavy o potenciální škody, které údaje ztráta by mohla přinést do jejich organizace. Tyto statistiky byly odhaleny na základě průzkumu více než 500 bezpečnostních profesionálů vedených IStorage. Přes polovina respondentů přiznává, není šifrování dat, průzkum ukázal, že 67% si byli vědomi, že maximální pokuta ve výši 500.000 libra by mohla být uložena podnikům a státních orgánů pro závažné porušení zákona o ochraně osobních údajů. Podle tohoto zákona, porušení představuje nedaří udržet data v bezpečí před nezákonným nebo neoprávněným zpracováním, náhodnou ztrátou nebo výmaz. Ostatní 33% respondentů si bylo vědomo pokut, ale věřil, že jsou daleko méně, s většinou pochopení maximální pokutu za 250000 liber. Podle nedávného národního průzkumu dat, zdroj třetí největší z narušení dat v zemi je lidé ztrácejí klíče USB, notebooky a externí pevné disky. další výzkum uvádí průměrné náklady na narušení bezpečnosti dat pro firmy ve Velké Británii se pohybuje v rozmezí od 160,000libra do 4.800.000 liber. Spolu s vydáním finančních nákladů, který je dodáván se ztrátou dat, poškození pověsti je také významným faktorem, protože může mít vážné důsledky. "V dnešním rychle se rozvíjející podnikatelské prostředí a éra velkých dat, je hluboce týká, že 50% Bezpečnostní odborníci nemají šifrování dat na cestách, "říká John Michael, CEO a zakladatel společnosti IStorage. "Ztráta dat může mít značný negativní dopad na obchodní produktivitu, pověsti a budoucích příjmů. Chcete-li zajistit důležité obchodní údaje zůstávají důvěrné, je nezbytné, aby podniky přijaly nezbytná opatření k zajištění údaje neskončí ve špatných rukou."

Hesla zůstávají problémem pro každého
27.5.2014 Zabezpečení
Hesla zůstává problém i pro tech-vědomé spotřebitelů. V F-Secure průzkumu, 43% respondentů nahlásit pomocí stejné heslo pro více než jeden důležitý účtu - velký ne-ne pro správnou hygienu heslem. 58% respondentů hlasování více než 20 chráněných heslem online účty, nebo jednoduše příliš mnoho příliš sledovat. 27% má mezi 11 a 20 účtů chráněných heslem a 15% mají v rámci 10.., Ale i s tolika účty, pouze 40% použití správce hesel sledovat z nich. Povzbudivé je, že 57% respondentů hlasování změnil hesla po vyslechnutí o Heartbleed . Chudých hesla návyky, nejčastější byla pomocí názvu rodinného příslušníka. Další nejčastější špatné heslo zvyk byl pomocí názvu pet, a pak pomocí obecných hesel jako "Heslo" nebo "123456". Post-Heartbleed, je obzvláště důležité věnovat určitou pozornost hesla. Ale dostat všechny něčí hesla, aby - nastavení jedinečné, silné heslo pro každý jednotlivý účet - se může jevit jako příliš velkou práci, což je důvod, proč mnoho z nich nedělá to. Tam je spousta rad tam o tom, jak vytvářet a spravovat hesla . Jaký je průměrný člověk dělat? Sean Sullivan, bezpečnostní poradce ve společnosti F-Secure akcií jedna zásadní tip, že každý by si měl uvědomit: ". Identifikovat kritické účty na ochranu, a pak se ujistěte se, že hesla pro tyto účty jsou jedinečné a silné" doporučení Sullivan bere v úvahu skutečnost, že mnoho lidí má účtů za služby, kde je málo osobní údaje uložené. "Pokud jste vytvořili účet na nějakou webovou stránku a tam je sotva něco víc tam než uživatelské jméno a heslo, pak to asi není kritická účet," říká. "Ale váš účet Amazon s info o platebních kartách, váš bankovní účet, vaše primární e-mailových účtů, účtu Facebook se svým životním příběhem, to jsou příklady kritických ty. Pokud nemáte čas nebo chuť zabývat se všechno, alespoň postarat o ty. " Ukázkovým příkladem kritické účtu je e-mailový účet, který slouží jako kontaktní místo pro resetování hesel na jiných účtech. U těchto "master key" účty, je to dobrý nápad, pokud je k dispozici pro aktivaci dvoufaktorovou autentizaci. , ale jak se chránit ty kritické účty? Použijte Secure Password Manager, který ukládá hesla, uživatelská jména a další pověření, takže můžete k nim přistupovat pomocí jednoho hlavního hesla.

Rizikové mezery mezi společnostmi a jejich dodavatelů
27.5.2014 Bezpečnost
Organizace se nedaří adekvátně řešit informační technologie a bezpečnostní rizika, která vycházejí z outsourcingu a partnerství s dodavateli třetích stran, podle nového průzkumu společná hodnocení programu a Protiviti, že zkoumá současné programy pro řízení rizik prodejce organizací. Přes širokou škálu norem a předpisy v podnikatelském prostředí dnes, a že je třeba zvýšené opatrnosti vzhledem k velmi uveřejněných narušení dat a internetovým hrozbám, srovnávací studie zjistila, že firmy nemají zralé dodavatele postupy řízení rizik a nemají potřebné zdroje a personál ke splnění standardů nejlepší praxe . Téměř 450 IT a řízení rizik odborníci hodnotili jejich organizací na řízení rizik dodavatele Maturity Model (VRMMM), nástroj osvědčených postupů ze sdílených posouzení, které měří kvalitu a splatnost stávajícího programu řízení rizik. Respondenti zaznamenal více než 100 znaky týkající se dodavatelských strategií řízení rizik, jejich organizací na splatností stupnici 1 až 5 (od nejnižší po nejvyšší) po osmi kategoriích (průměrné hodnoty skóre viz níže):

Řízení programu (2.9)
Politiky, standardy a postupy (2.9)
Smlouvy (3.0)
Riziko dodavatelů Identifikace a analýza (2.7)
Dovednosti a odborné znalosti (2.3)
Komunikace a sdílení informací (2.6)
Nástroje, měření a analýzy (2.4)
Monitorování a hodnocení (2,9).
"Zatímco potřeba řídit rizika dodavatele se liší podle konkrétního profilu a potřebám společnosti, jsme zjistili, že organizace jsou stále zaostává doporučení osvědčených postupů," řekla Catherine Allen, předseda představenstva a generální ředitel společnosti The Santa Fe Group, která spravuje program Sdílené hodnocení. "Zvýšené využívání třetím osobám by mohlo vytvořit širší mezeru pro manažery rizik, které mohou být řešeny pouze prostřednictvím užší důrazem na koherenci politik, postupů a správy. Není-li zahrnout nezbytné součásti může mít za následek dodavatele rizika jít nepozorovaně, s ničivými výsledky . " Klíčová zjištění z průzkumu: . Finanční služby organizace překonávají ostatní průmyslová odvětví Přestože všechny společnosti měly ratingy, které byly pod požadovaném rozsahu, odvětví finančních služeb měla zralejší programů pro řízení rizik napříč klíčových kategorií než v jiných odvětvích. To je do značné míry řízen přísnější pokyny pro společnosti v odvětví a vysoce regulované povaze tohoto odvětví. nevýrazného postupy pro posuzování dodavatelů. organizace musela být zralé zavedeny postupy pro přezkoumávání prodejců pravidelně přes průběhu střetnutí, stejně jako za kterým se stanoví kritéria a proces kolem konce vztahu prodejce. Vzhledem k potenciální riziko spojené s třetími stranami, společnosti by měly mít silnější politiky a pokyny, které zajistí, že jsou chráněni na začátku angažmá, přes průběhu vztahu prostřednictvím průběžných hodnocení rizik, a v průběhu výstupu. n Potřeba školení , lidských a finančních zdrojů. firem netráví dostatek času posuzování své vlastní dovednosti a nedostatky v oblasti řízení rizik dodavatele - ani nejsou aktivní přístup k tréninku a zlepšení oblasti, kde znalosti zaměstnanců je nedostatečné. Celková investice do zdrojů, lépe řídit rizika dodavatele je nižší než průměr pro většinu firem.

Crytodefense infekce, některé získané poznatky
26.5.2014 Viry

Před několika týdny jsem pracoval na cryptodefense incidentu. Pár věcí se provádí přímo v organizaci a některé ne tak dobře. Nicméně v tomto konkrétním případě je šťastný (ish) konec.

Cryptodefense dělal jeho vzhled kolem únoru letošního roku na zadní straně úspěchu Cryptolocker. Základy zůstávají stejné a když jednou infikován malware vyhledává PDF, DOC (X), jpg a několik dalších typů dokumentů a zašifruje ty. Soubory jsou zašifrovány pomocí RSA 2048 bitový klíč, který je umístěn v uživatelské AppData Directory Aplikace pak začne šifrování souborů v různých adresářích. Z mactime časové ose se / user / adresáře se provádí nejprve stejně jako recyklace bin.

Každý adresář obsahuje šifrované soubory, má také tři soubory v nich, počínaje HOW_DECRYPT. Tento soubor obsahuje pokyny, jak se mají soubory dešifrovat po zaplacení.

Tři soubory poskytují návod, jak dešifrovat soubor, nebo přesněji uvést odkaz na místo, kde si můžete zaplatit, aby si aplikace dešifrovat, který bude používat klávesu na vašem počítači k dešifrování souborů.

Dopad tohoto konkrétního malware může být zničující. Při pohledu na to, co zbylo z pevný disk každý adresář, který vypadá, že může mít dokumenty nebo obrázky v ní byl dotkl. To zahrnuje věci jako Dropbox a sdílených síťových složek. V incidentu jinde na začátku roku vnější harddrives byly zašifrovány.

AV produkt používá nevyzvedl tuto konkrétní variantu, ani filtry webového obsahu. AV se však najít nějaký malware (možná související) na stroji kolem stejného času šifrovací procesy začaly. To však nebyl reagoval na uživatele nebo IT.

Takže jaké byly získané poznatky v tomto případě? No pro začátek zálohování je váš přítel. V tomto konkrétním případě měla organizace dobré zálohování souborů na serverech. Takže tyto soubory mohou být nahrazeny ze záloh. Soubory Dropbox byly také v pořádku, protože mají předchozí verze dokumentu jsou k dispozici. Místní soubory na strojích však neměl zálohy, takže to bylo v podstatě ztratil (pokud je napaden před dubnem 2014 verzi můžete mít klíč) *.

Další poučení bylo, aby se AV odpovědi vážněji. Jen proto, že AV říká, že to má čistit něco, co nemusí nutně znamenat, že všechno je pryč, jen bity to ví. V tomto případě je ujít škodlivé soubory (pravděpodobně součástí bing bar zařízení, které se stalo před počáteční infekce), ale zvedl jiný odpad, který byl spuštěn na počítači. Možná náhoda, ale ... Proces šifrování trvalo několik hodin. Kdyby stroj byl vytažen ze sítě, kdy byla nákaza si všiml, by byly postiženy méně soubory.

Takže ve zkratce AV není dokonalá, ale reagovat na to vám řekne, co byli nakaženi. Za druhé jsou životaschopné zálohování, včetně souborů o roamingu strojů jako jsou notebooky. Pokud ne, být připraven vyklopit peníze nebo projít bolestnou dešifrování cvičení (až se začnou dávat klíče jinde).

Na zdraví

Mark H - Shearwater

Facebook pozná, co posloucháte a na co se díváte

26.5.2014 Sociální sítě
Společnost chce svou mobilní aplikaci vybavit nástrojem, který rozpozná aktuálně poslouchanou hudbu či sledovaný film.

Když takto aplikace rozpozná hudbu nebo pořad, uživatel může tuto informaci dále sdílet na svém profilu nebo s vybranými přáteli.

Nástroj, který by měl být k dispozici během několika následujících týdnů, bude ke své práci využívat mikrofon v uživatelských zařízeních. Jakmile uživatel začne psát status, v horní části aplikace se objeví malá animovaná ikona. Pokud se aplikaci podaří rozpoznat zdroj přicházejícího zvuku, může uživatel pomocí této ikony přidat ke svému příspěvku také informaci o sledovaném pořadu nebo poslouchané hudbě.

Facebook uživatele ujišťuje, že nástroj lze kdykoliv vypnout. Stejně tak prý nebude nikde ukládán nahrávaný zvuk. „Pokud budete sdílet hudbu, vaši přátelé dostanou její 30-sekundovou ukázku. V případě televizních seriálů se pak na zdi objeví informace o příslušné řadě a dílu,“ uvedl Facebook v prohlášení.

Společnost bude chtít novou funkcí pravděpodobně nějakým způsobem zužitkovat přes 5 miliard příspěvků spojených s poslechem hudby či sledováním televizních pořadů, které ročně zveřejní uživatelé na svých zdích. Mezi některými uživateli však chystaná novinka budí spíše rozpaky. Zpochybňují například, že funkce bude skutečně dobrovolná. A i přesto, že ji nyní půjde vypnout, v nich prý nástroj nevzbuzuje moc důvěry.

Jako jedna z variant se nabízí využití takto získaných dat pro cílenou reklamu. Facebook by mohl uživatelům nabízet hudbu a pořady přesně podle jejich vkusu. Podobně s uživatelskými daty ostatně Facebook nakládá již nyní.

Myšlenka na vytvoření podobného nástroje není nijak převratná. Na stejném principu funguje již od roku 2002 služba Shazam, která nedávno získala třímiliónovou investici od Sony Music Entertainment. Shazam má asi 450 miliónů uživatelů. Potenciální uživatelská základna nástroje od Facebooku se pochopitelně pohybuje v jiných číslech.

Zveřejněny detaily nové chyby v Internet Exploreru 8

23.5.2014 Zranitelnosti
Microsoft ani po půl roce neopravil chybu v zastaralém prohlížeči Internet Explorer 8, proto její objevitelé nyní informace o ní zveřejnili. Nejnovější verze IE dostupná pro uživatele odepsaných Windows XP se tak stává stále nebezpečnější.

Starší verze prohlížeče Internetu Exploreru má neopravenou softwarovou chybu, která by mohla útočníkům umožnit přístup do počítače pomocí zákeřného kódu. Je to druhá chyba tohoto typu, jež byla nalezena v období jednoho měsíce.

Microsoft byl podle Iniciativy Zero Day (ZDI), kterou provozuje společnost HP, na chybu upozorněn v říjnu, kdy ji objevil belgický výzkumník Peter Van Eeckhoutte.

Iniciativa veřejně sdílí informace o bezpečnostních chybách po šesti měsících, aby měli dodavatelé softwaru čas na jejich opravu. ZDI Microsoft na své plány o zveřejnění detailů této chyby naposledy upozornila 8. května.

Prohlížeč IE 8, který pod taktovkou Microsoftu vyšel před pěti lety, má podle dubnových statistik stále 20% podíl na trhu s desktopovými prohlížeči.

Aby útočník mohl chyby využít, musel by potenciální oběť nalákat na speciálně navrženou webovou stránku, čehož by mohlo být dosaženo e-mailem nebo soukromou zprávou s odkazem, po jehož otevření by se útok spustil. Pokud by byl útok spuštěn úspěšně, útočník by získal stejná uživatelská práva k napadenému počítači jako jeho oběť.

Začátkem tohoto měsíce Microsoft vydal pohotovostní záplatu pro chybu pro prohlížeče IE 6 až 11, opravený problém mohl útočníkům umožnit vzdálené spuštění kódu na nakažených počítačích, opět pouze v případě, že uživatelé navštívili pomocí IE speciální webové stránky.

eBay ohlásil unik údajů o uživatelích včetně hesel

23.5.2014 Incidenty
Aukční server vyzval své uživatele ke změně hesel poté, co se útočníci dostali do firemní sítě společnosti. Ovšem s velkým zpožděním.

Jak eBay uvedl ve svém prohlášení, kyberzločincům se na přelomu února a března podařilo získat přístupové údaje k několika zaměstnaneckým účtům a proniknout tak do korporátní sítě. Společnost prý na prolomení ochrany přišla teprve před dvěma týdny.

Po realizaci rozsáhlých testů společnost došla k závěru, že nedošlo ke zneužití žádných uživatelských účtů. Není prý ani známo, že by došlo k neautorizovanému přístupu k informacím finančního charakteru jako například k platebním údajům z kreditních karet. Tento typ dat je totiž uložen samostatně v zašifrovaném formátu.

Data z dceřiné společnosti PayPal podle eBay také nebyla zneužita, protože jsou rovněž uložena na jiném serveru.

Databáze, ke které se útočníci dostali, obsahuje uživatelská jména, zašifrovaná hesla, emailové adresy, fyzické adresy, telefonní čísla a data narození, nikoliv však finanční údaje.

Přestože tedy dosud nedošlo ke zneužití žádného uživatelského účtu, eBay svým uživatelům doporučil změnu hesla. Současně se svým zákazníkům samozřejmě omluvil a vyjádřil nad celou událostí politování. Ve spolupráci s bezpečnostními složkami se prý již snaží identifikovat možné útočníky.

Z eBay bylo ukradeno 145 miliónů hesel

22.5.2014 Incidenty
Největší aukční server světa eBay postihl kybernetický útok. Při něm se pirátům podařilo odcizit 145 miliónů hesel. Zástupci firmy nyní dotčené uživatele budou vyzývat ke změně svých přístupových údajů, uvedl server Mashable. Útok se měl uskutečnit už na přelomu února a března, zástupci firmy však o něm informovali až tento týden.
„Uživatele budeme vyzývat ke změnám hesel kvůli kybernetickému útoku, který ohrozil databázi se šifrovanými hesly a další údaje,“ stojí v prohlášení společnosti. Do vnitřní sítě se kyberzločinci dostali pomocí odcizených zaměstnaneckých účtů.

Kromě šifrovaných hesel se tak dostali podle vyjádření eBaye také k e-mailovým adresám, uživatelským jménům, fyzickým adresám, telefonním číslům a datům narození. Údaje týkající se financí však odcizeny údajně nebyly.

„Neexistuje žádný důkaz, že by byly jakékoliv finanční informace zpřístupněny útočníkům nebo jinak ohroženy. Přesto nyní činíme veškerá opatření, abychom chránili naše zákazníky,“ uvedla pro server Mashable mluvčí společnosti eBay Amanda Millerová.

Platební brána PayPal je prý v bezpečí
Uživatelé se podle ní nemusí obávat zneužití údajů týkajících se platební brány PayPal, kterou eBay vlastní. Pomocí ní probíhají platební transakce nejen na tomto aukčním serveru, ale také na mnoha dalších.

„PayPal data jsou uložena odděleně v zabezpečené síti a všechny finanční informace týkající se těchto účtů jsou zakódovány,“ konstatovala mluvčí.

Zároveň dodala, že obezřetní by měli být lidé, kteří používají stejná hesla pro více internetových účtů. Aby k nim nezískali počítačoví útočníci přístup, měli by je z preventivních důvodů také změnit.

Nový, neopravených IE 0 Den zveřejněny na ZDI
21.5.2014 Zranitelnosti

Zero Day Initiative již zveřejnila novou a unpatched IE 0-Day , která byla původně ohlášené k nim (a potažmo i Microsoft) v říjnu 2013. V podstatě, oběť musí jít na řemeslně webové stránky, který využívá manipulace s CMarkup předměty, které v konečném důsledku mohou být použity ke spuštění kódu s oprávněními procesu webovém prohlížeči. Microsoft říká, že EMET zmírní tuto chybu a nejméně Tipping Point tvrdí ochrany s jejich zařízením. V tomto okamžiku, není tam žádný náznak toho, že je používán v přírodě. Zajímavostí zde je časová osa mezi počátečním zprávy a tam být žádný náplast.

Tento deník bude aktualizován, jakmile to situace vyžaduje.

VUPEN zveřejňuje podrobnosti o záplatované Firefox Pwn2Own Zero-Day
21.5.2014 Zranitelnosti

Soutěžící v letošní soutěži Pwn2Own bez okolků o tom: oni šli po prohlížečích, a jak se ukázalo, Firefox měl největší cíl na jeho zádech.

Populární prohlížeč Mozilla se objevila čtyřikrát během kanadské hacker festivalu účetnictví pro čtvrtinu 800000 dolarů-plus na odměny rozdalo v průběhu dvou dnů.

Kontroverzní zranitelnost a využívat dodavatele VUPEN vyhrál šest Pwn2Own peněžní odměny, včetně zero-day ve Firefoxu, informace , z nichž je sdílené včera. Zakladatel Chaouki Bekrar řekl Threatpost března, že výzkumníci VUPEN běžel více než 60 milionů testovacích případů prostřednictvím fuzzer před tím, než byli schopni najít poškození paměti problém vedoucí k využitelnou použití-po-stavu bez ve Firefoxu.

"Tato chyba nebylo snadné najít a využít, protože to vyžaduje prohlížeč, aby se v určitém paměťovém stavu dosáhnout zranitelné kód pobočku, tento stav se nazývá Mozilla:" Paměť-tlak, "řekl VUPEN v prohlášení včera.

Mozilla oprava čtyři Firefox zero-day zranitelnosti v rámci jednoho týdne od jejich zveřejnění na dodavatele během Pwn2Own. VUPEN nula den byl nalezen ve Firefoxu 27 běží na plně záplatované Windows 8.1 v počítači.

VUPEN nula den byl nalezen ve Firefoxu 27 běží na plně záplatované Windows 8.1 v počítači.
VUPEN je kód zneužití spuštění podmínku použití-po-free nejprve napadá funkci Spray, aby bylo možné konzumovat paměťových zdrojů, které spustí funkci tlaku, spotřebují další prostředky.

"Jako "Tlak ()" funkce je rekurzivní, "sprej ()" funkce bude volána mnohokrát. Každá operace haldy sprej provádí tuto funkci je uložen v kartě pole, "řekl výzkumníci VUPEN. "Po několika sekundách, Firefox se spustí z paměti a vstupuje do určitého stavu, s názvem "tlak paměti" nebo "nedostatek paměti" , které se automaticky aktivuje na ochranu prohlížeče z intenzivního využití paměti. "

Po aktivaci VUPEN řekl, že je schopen odstranit uvolněné "BumpChunk" objekt, který nakonec vede k využitelnou havárii prohlížeče.

"Aby bylo možné tuto chybu zabezpečení zneužít útočník potřebuje nejprve převzít kontrolu uvolněného objektu," řekl VUPEN. "Chcete-li nahradit obsah uvolněného objektu se útočník řízené daty, musí být vytvořeno více prvků, které mají stejnou velikost jako zranitelné objektu. Toho lze dosáhnout tím, postřikem ArrayBuffers z 0 × 2000 bajtů. "

Odtamtud, oni byli schopní způsobit nevracení paměti a přetečení vyrovnávací paměti v registru EIP, a nakonec obejít Adresa Space Layout randomizace a spuštění dat paměti zaručuje ochranu nativní Windows, aby bylo možné spustit kód na základní systém.

Podrobnosti o zbývajících Firefox nulové dnů přinesli na Pwn2Own mají zatím být propuštěn. Pozoruhodný iPhone a PlayStation útěk z vězení hacker George "geohotovu" Hotz skóroval 50,000 dolarů za jeho hack Firefox, ve kterém on také našel problém paměti způsobuje exploitovatelnou pád a spuštění kódu.

Výzkumník Juri Aedla, časté Google bug-hunter, také našel zero-day spuštění kódu chybu v prohlížeči. Mozilla uvedl ve svém poradenství v té době, že: "TypedArrayObject nezpracovává případ, kdy jsou ArrayBuffer objekty kastrovaný, nastavení jejich délky na nulu, zatímco ještě v použití. To vede k out-of-hranice čte a zapisuje do haldy JavaScript, který umožňuje spuštění nežádoucího kódu. "

Polský badatel Mariusz Mlynski byl čtvrtý Pwn2Own soutěžící svrhnout Firefox. Spojil dvě chyby zabezpečení získat oprávnění eskalaci.

"Kombinace těchto dvou chyb umožňují útočníkovi načtení URL, JavaScript, který je proveden s plnými právy prohlížeče, která umožňuje spuštění libovolného kódu," řekl Mozilla ve svém poradenství .

eBay ohrožena data narušení, vyzývá Změna hesla
21.5.2014 Incidenty
On-line prodej a aukce obří eBay bude svým zákazníkům žádat změnit svá hesla ještě dnes kvůli kybernetického útoku, který ohrožena server, který obsahuje zašifrovaná hesla a jiné non-finanční informace.

Společnost tvrdí, že nevěří, že došlo k jakékoli neoprávněné činnosti zákaznického účtu v důsledku porušení. Kromě toho, eBay Inc tvrdí, že uživatel finanční data, stejně jako PayPal informace nejsou ohroženy, protože tato data jsou uložena v šifrované formáty na samostatné, nedotčených serverů.

"Cyberattackers ohrožena malý počet zaměstnanců pověření log-in, který umožňuje neoprávněný přístup k podnikové síti eBay," uvedla společnost v prohlášení. "Práce s donucovacími orgány a předními bezpečnostními experty, společnost agresivně záležitost vyšetřuje a uplatňování nejlepší forenzní nástroje a postupy na ochranu zákazníků."

Informace uložené na eBay kompromitaci databáze je řekl, aby zahrnoval jména zákazníků, zašifrovaná hesla, e-mail a fyzické adresy, telefonní čísla a data narození.

eBay tvrdí, že jako první objevil před dvěma týdny ohrožena pověření zaměstnanců.
eBay tvrdí, že jako první objevil před dvěma týdny ohrožena pověření zaměstnanců. Někdy mezi tehdy a teď společnost tvrdí, že identifikoval, která byla ovlivněna databáze a je nyní kontaktovat odpovídajícím zákazníky.

Trey Ford, globální bezpečnostní stratég Rapid 7, tvrdí, že k porušení došlo někdy v období od února do začátku března. Ford rovněž poznamenává, že uživatelé by měli mít na pozoru před každého kontaktu je prohlašovat, že je eBay - jako zvýšení souvisejících phishingových útoků je pravděpodobné.

Držitelé eBay účtu by měl obdržet e-mailové oznámení od společnosti někdy později během dne. eBay bude také post oznámení na svých internetových stránkách v té době. Není jasné, proč se firma čeká, až později v průběhu dne informovat své zákazníky.

Nicméně, uživatelé budou nakonec nuceni změnit svá hesla na eBay a vyzval ke změně hesla pro jiné účty, pokud se stalo, že se pomocí stejných hesel tam.

ICS-CERT Potvrzuje veřejné služby ohrožena Poslední
21.5.2014 Hrozby
Útočníci v poslední době ohrožena nástroj ve Spojených státech prostřednictvím počítače připojeného k Internetu, který dal útočníkům přístup k síti Systém vnitřní kontroly utility. Nástroj, který nebyl jmenován, měl vzdálený přístup povolen na některých svých internetových připojených hostitelů a systémy byly chráněny pouze jednoduchými hesly.

Úředníci na ICS-CERT, což je reakce na incidenty a forenzní organizace uvnitř ministerstva vnitřní bezpečnosti, která se specializuje na ICS a SCADA systémů, tento týden řekl, že veřejné služby byla ohrožena ", když sofistikovaný herec hrozba získal neoprávněný přístup do svého řídícího systému sítě . "

Útočník zřejmě používal jednoduché brute-force útok
Útočník zřejmě používal jednoduché brute-force útok, abyste získali přístup k internetu-obkladovými systémy na nástroji, a pak ohrožena ICS síť.

"Po oznámení o incidentu, ICS-CERT ověřeny, že software používaný ke správě řídicího systému aktiva byla přístupná přes internet čelí hostitele. Systémy byly nakonfigurovány s možností vzdáleného přístupu, s využitím jednoduchého mechanismu hesla; Nicméně, způsob ověření byl náchylný ke kompromisům pomocí standardních hovado nutit techniky, "řekl ICS-CERT ve zveřejněné zprávě .

Zabezpečení průmyslových řídících systémů a SCADA systémů se stala vážným problémem v posledních letech jako útočníci a výzkumníci začali soustředit svou pozornost na ně. Mnohé z těchto systémů, které ovládají mechanická zařízení, výrobních zařízení, nástrojů, jaderných elektráren a další kritické infrastruktury, jsou připojeni k Internetu, a to buď přímo, nebo prostřednictvím sítě, a to přitahuje k sobě pozornost útočníků, kteří chtějí udělat průzkum nebo způsobit potíže na tyto sítě. Výzkumníci byli ostře kritický k bezpečnosti v SCADA a ICS průmyslu, říká, že je "směšné" a nemá žádnou formální životní cyklus vývoje zabezpečení.

Zpráva ICS-CERT říká, že systémy v ohrožení nástroje byly zřejmě terčem mnoha útoků.

"Bylo zjištěno, že tyto systémy byly pravděpodobně vystaveny četným bezpečnostním hrozbám a předchozí vniknutí aktivita byla také identifikována," uvádí se ve zprávě.

Vyšetřovatelé byli schopni identifikovat problémy a zjistili, že útočníci pravděpodobně neudělal žádnou škodu na ICS systému v nástroji.

Ve stejné zprávě ICS-CERT podrobně samostatný kompromis v organizaci, která řídicí systém připojen k Internetu. Útočníci byli schopni ohrozit ICS systém, který pracuje nespecifikované mechanické zařízení, ale nedělal žádné skutečné škody.

"Zařízení bylo přímo Internet přístupný a nebyl chráněn firewallem nebo kontroly přístupu autentizace. V době kompromisu, řídící systém byl mechanicky odpojen od zařízení pro plánovanou údržbu, "uvádí se ve zprávě.

"ICS-CERT poskytuje analytickou podporu a zjistil, že herec měl přístup k systému po delší dobu a byl připojen přes HTTP a protokol SCADA. Nicméně, další analýza zjistila, že žádné pokusy byly provedeny herec hrozeb manipulovat systém nebo aplikovat neoprávněným kontrolních akcí. "

Firmy Lepší na Obsahuje narušení dat
21.5.2014 Zabezpečení
Pro všechny, který se psal o tom, jak špatně organizace reagovali na narušení dat jak pozdní, věřte tomu nebo ne, jedna nová studie vyvodit, že podniky jsou stále lepší. Téměř tři čtvrtiny obětí, které utrpěly kompromis v loňském roce byli schopni obsahovat to do 10 dnů.

Stat by mohl být odrazem poněkud pozitivní trend, alespoň pokud jde o společnosti, které Trustwave hodnocených 2012-2013 pro své výroční zprávě o globální bezpečnosti , propuštěn dnes ráno.

Bezpečnostní firma se podíval na třech časových vyhodnotit střední počet dní trvalo některé organizace k zjišťování narušení poté, co došlo k narušení, jak dlouho to trvalo od detekce k úniku, a kolik dní to trvalo porušení uplynout, od vniknutí k omezení.

Od detekce pro omezení úniku medián času společnostem bylo sedm dnů, zatímco to trvalo společnosti o 87 dnů, tedy zhruba za tři měsíce, pro zjištění porušení ze vniknutí.

V celku, od vniknutí do kontejnmentu medián času společnostem trvalo přibližně 114 dní; 67 procent obětí byli schopni obsahovat porušení do 10 dnů poté, co bylo zjištěno, že Trustwave. Množství času to trvá společnostem obsahovat porušení jde dolů, Trustwave tvrdí.

V polovině kompromisů "oběť obsažených porušení ve lhůtě čtyř měsíců od počátečního vniknutí," píše se ve zprávě před přidáním další stat: 71 procent z porušení v roce 2013 byly obsaženy v šesti měsících.

trustwave1

Jeden z větších kapek, nad, je počet organizací, které trvalo šest až 12 měsíců, aby obsahoval porušení po vniknutí. Počet klesl v letošním roce na 18 procent podniků, po 25 procent z nich v roce 2012.

Jinde, oblečení stanoveno, že porušení, které byly self-identifikoval vedlo ke zkrácení doby trvání, něco, co "snížit na čase útočník mohl sifon data z napadených systémů a pomohla omezit dopad."

V těchto případech, střední doba trvalo od vniknutí do detekce byl nižší, pouze 31,5 dnů od vniknutí do detekce a jen den před detekcí na omezení, podle studie společnosti.

Jednalo se o poněkud vzácné výskyty nicméně, jak zpráva uvádí, že 71 procent času poslední oběti rok to vypadalo na nezjistil své kompromisy a místo toho použít kombinaci vymáhání práva, veřejnost, obchodních bank nebo jinou třetí stranou.

Za to, co stojí za to, Trustwave poukazuje na to, že i když se používá průměr pro oznamování porušení v minulých letech, je to zvolila medián letos v naději, že zabrání statisticky odlehlých hodnot ze zkreslování údajů.

trustwave2Dalším vrcholem studia: 45 procent z dat ukradených přes porušení je sledované v roce 2013, jíž se informace vážný non-platební karty. To zahrnuje informace jako jsou finanční pověření, interní komunikace, obchodník identifikační čísla a další osobní údaje (PII).

Všichni ve všech, by to nemělo být příliš velké překvapení. Došlo k významnému uptick v těchto bitů okrajové informací, které jsou cílené jak pozdní. Útočníci mohou brát věci, jako je adresa uživatele nebo jejich banky a využívají sociální inženýrství taktiky získat informace, které opravdu chtějí. Odtud mohou spravit společně řešit obrazovou hádanku o uživatelích a jejich zvyky.

Zatímco údaje non-platební karta byla na vzestupu v letošním roce, 45 procent postava je nárůst o 33 procent z loňského roku, některé věci se nikdy nezmění: Údaje o platebních karet stále přebíjí všechny; 35 procent z kompromitaci dat Trustwave analyzovaného přišel z e-commerce transakcí, a 19 procent z porušena dat přišla z sledovat data na kartě v kompromitaci v POS transakcí.

To znamená, že více než polovina z informačních útočníků ukradl porušení loni bylo citlivé bankovní informace, jako jsou čísla karet uživatelů, data vypršení platnosti karty, a CVV kódu. Údaje z posledně odráží porušení vysoký profil na maloobchodníky, jako je Target a Michael , kteří přišli v prosinci.

Společnost se podíval na 691 porušení napříč 24 zeměmi pro její výroční výzkumného projektu, zvýšení 53,6 procenta z počtu porušení to vypadalo v roce 2012.

Jako hodně z podniku, jak to vypadá, výzkum je nepatrný zlomek z práce popsané v objemného 100-plus stránkového dokumentu. Povrchní znalost jiných statistikách, včetně výzkumu o slabých hesel, hrozbách, využívat výstroje, spam, mobilní zranitelnosti a další jsou popsány v. PDF, který zvědavý strany můžete stáhnout zde .

Podniky stále Lax na privilegovaný uživatel Access Controls
21.5.2014 Bezpečnost

zasvěcenci; všechny nadával v různé míře k zneužívání jejich přístup k počítači na bázi zdrojů.

A pravděpodobně, všechny z nich by mohla být zastavena, pokud jejich příslušní zaměstnavatelé měli lepší přehled o tom, co tito privilegovaní uživatelé dělali.

Nový výzkum zadala Raytheon Corp., zeptal se 700 databázové administrátory, síťové inženýry, bezpečnostní administrátory IT a cloud computingu adminy o privilegované zneužití uživatelem. Výsledky pravděpodobně nejsou tak překvapující, IT manažerů: jednotlivci jsou dány lepší přístup, než je nutné provádět jejich den-to-denní povinnosti; Přístup je zneužíváno k zobrazení citlivých dat, která není relevantní pro jejich práci; formální politiky chybí, a ty, které existují, nejsou řádně prosazovány.

"Jedna věc, která dostane lidi do problémů je, pokud máte jedinců s přístupem k HR nebo IT informace, a oni jsou jejich propíchnutí nosu na finance nebo informace o prodeji. Často jsou to jen dělá to proto, že jsou zvědaví, nebo mají pocit, že to pravomoc, "řekl Michael Crouse, ředitel strategií zasvěcených hrozeb na Raytheon. "Privilegované uživatelé cítí oprávněn, které můžete zobrazit veškeré informace; "Mohu zobrazit, budu vypadat. Pokud jsem mít přístup, musí to znamenat, že chceš, abych se na to podívat, i když to nemá nic společného s mou práci. "

Polovina respondentů průzkumu uvedlo, že jejich příslušné organizace nemají zásady pro přidělování přednostní přístup
Polovina respondentů průzkumu uvedlo, že jejich příslušné organizace nemají zásady pro přiřazování privilegovaný přístup, i když pro ty společnosti, které existují méně ad-hoc přístupy než v poslední době tento průzkum byl proveden v roce 2011.

Problém je v tom, že zasvěcenci jsou důvěryhodné osoby, ale většina organizací důvěru, ale nelze ověřit jejich akce. Výsledek nemusí být stejně vážná jako zjevení dozoru Snowden je , Kerviel je 7000000000 dolarů v podvodných transakcí proti Société Générale SA, nebo nespokojený Childse odmítnutí odemknout kritických systémů, které patří k městu San Franciscu, ale stále vystavují firmy k údajům nebo finanční ztráta nebo poškození dobré pověsti.

"Jedna věc, kterou my neděláme dobře, je, že nejsme auditorské činnosti jednotlivců," řekl Crouse. "Lidé potřebují, aby byl přístup a podniky, aby jim to. Ale ve stejném smyslu, budete muset provést audit a ověřit to, co děláte každý den, abyste se ujistili, že dělají svou práci, a to mimo jejich hranice a odpovědnosti. Tam to není moc důvěry, ale prověřuj tam. "

Zatímco většina zasvěcených porušovat zásadu ze zvědavosti, existují lidé, kteří mají škodlivé motivy a jsou buď pracují sami nebo s někým na vnější krást zákazníky nebo firemních dat nebo sabotáže systémů. Vnímání se změnila o to taky od roku 2011, výsledky průzkumu říkají. Například 33 procent respondentů uvedlo, že práva duševního vlastnictví byla ohrožena dnes, ve srovnání s 12 procent před třemi lety. Obchodní finanční a zákaznické informace byly typy dat v nejvíce ohroženy, respondenti uvedli.

Co se příliš nezměnila od roku 2011 je úroveň spolehlivosti, že respondenti mají schopnosti jejich společnosti získat přehled o privilegovaných zasvěcenci a zjištění dodržování zásad. Jen 16 procenta odpovědělo, že jsou velmi přesvědčeni, zatímco 42 procent nebyli jisti, do značné míry proto, že tam není jednotný pohled na zvýhodněného přístupu.

"To je těžké číslo polknout," řekl Crouse. "Společnosti nemají dobrý pocit z toho, co privilegovaní uživatelé přistupují, nebo jak jsou schopni chránit informace."

Zasvěcenci, průzkum říká, jsou také nestydí za použití privilegované pověření ostatními uvnitř společnosti; tam bylo 26 procent skok z roku 2011 v pravděpodobnosti škodlivých zasvěcenců zaměřených privilegovaným uživatelům získat jejich přístupová práva, ve srovnání s 15 procent skok v outsiderů pomocí sociálního inženýrství, aby učinili totéž.

Organizace mohou nakonec dlužit Edward Snowdena dluh vděčnosti za zvyšování povědomí nad zneužíváním důvěrných informací; 58 procent uvedlo, Snowdenová způsobilo významný nárůst v úrovni organizací znepokojení nad zneužití důvěrných informací, zatímco dalších 31 procent přiznal menší obavy.

"Je to člověk problém, není problém stroj," řekl Crouse. "Společnosti mají k posunu priorit a peníze na ochranu proti insider hrozby. Množství porušení ze zasvěcenců je nižší, ale finanční, dobré pověsti a důvěry dopad je větší ze zasvěcených útoky. Mnoho lidí se právě teď uznávají ji. "

Malvertising Přesměrování na Microsoft Silverlight využije
20.5.2014 Viry

Skutečnost, že Netflix představuje jednu třetinu internetového provozu během špičky ve večerních hodinách, a že to běží na platformě Microsoft Silverlight, je prostě příliš lákavé kombinace pro hackery, aby se jich vzdali.

Již podruhé za šest měsíců skupiny trestní hackerů jsou nulování na Silverlight zranitelnosti s cílem šířit malware, který vede k systému kompromisu a ztrátě dat na oběti.

Tentokrát zločinci pronikli druhou nejpopulárnější on-line reklamní síť, AppNexus, s malvertising, který přesměruje oběti, někdy i přes několik chmele, na škodlivé weby hosting Rybář Exploit Kit , který byl načten s různými využije pro Silverlight zranitelnosti.

Silverlight, podobně jako Adobe Flash, Microsoft je plug-in pro streamování médií o prohlížečích a je možná nejvíce známý pro použití v grafické služby streamování Netflix je.

Nedávná kampaň všiml výzkumníků Cisco špičatý mezi 7. května a 13. května představuje jak vysoce jak 18 procent z celkového počtu HTTP požadavků na stránky hosting sadu. Souprava v této kampani také hostí využije pro Flash a Java, ačkoli žádný z činů Java byla spuštěna. Oběti jsou ohroženy pomocí drive-by download, kde a škodlivé reklamy přesměrování prohlížeče na jiný škodlivý banner, který ho přesměruje opět na Angler Exploit Kit vstupní stránku. Kdysi tam, využívat je dodáván a Trojan je dodáván na infikovaný stroj, který se otevře dva posluchače porty a otevře TCP spojení ke vzdálenému serveru hostitelem v Brazílii, řekl Cisco.

Zločinci v pozadí této kampaně se pravděpodobně opírá o skutečnost, že průmysl byl spotřebován s Flash a Java exploity
Zločinci v pozadí této kampaně je pravděpodobné, že bankovnictví na skutečnost, že průmysl byl spotřebován s Flash a Java činů, z nichž oba byly záplaty mnohokrát v posledních dvou letech, a které začaly cílové Silverlight.

"Java a Flash jsou silně využívány v průběhu let, a prodejci jsou stále dobré na psaní motory, které odhalí slabá místa v těchto knihovnách," řekl Craig Williams, technický vedoucí, Threat Research analýza a komunikace společnosti Cisco. "Silverlight nebyl využit moc. Tam jsou některé omezené CVEs, ale málo, jsou velmi rozšířené. Co můžeme být svědky zde je bod zvratu, kde jsou Java využije odhalení a jaké další formáty mohou hackeři využít. "

I když tento konkrétní Silverlight kampaň se uklidnil, protože dodavatelé, jako například Cisco přidali podpisy a detekční schopnosti pro to, to bylo vážně dip ve vodách pro útočníky. DNS dotazy na těchto konkrétních Angler domén jsou rozprostřeny ve většině ze světa, soustředil těžce v Evropě a Severní Americe.

"Tato dodávka používá valivý XOR šifrování poplést, co se děje. To je důležitá aktualizace v této kampani, "řekl Levi Gundert, další technické Vedoucí, Threat Research analýza a komunikace společnosti Cisco. To znamená, že jsou docela vážně o tom, co děláte. Zmatku je to výzva pro detekci a je jasné, že chtějí, aby se vyhnula výzkumných pracovníků. "

V listopadu, zneužití kódu je cílení dva paměťové zranitelná místa v Silverlight vynořil, když chyby se oprava v březnu Microsoft. Cisco očekává, že více Silverlight využije na povrch s téměř 60 procent bohatých internetových aplikací, které podporují ji.

Cisco zveřejnil seznamy ukazatelů kompromisu, včetně seznamu referencí , Angler domén , vstupní stránky, plné URI a souvisejících Angler domén .

XMPP Povinné šifrování na Messaging Service operátory
20.5.2014 Bezpečnost
Začátek dnes, provozovatelé instantních masážních služeb, které jsou založeny na rozšiřitelné zpráv a přítomnost protokolu (XMPP) se očekává, že nasazení šifrování na platformách, které udržují.

Standardní Nadace XMPP (XSF) oznámil , že dnes velké množství služeb na veřejných XMPP sítě trvale zapnutý povinné šifrování pro klient-server a server-to-server. XSF volá tento první krok při vytváření sítě XMPP bezpečnější pro všechny jeho uživatele. Také plán na zavádění nových vylepšení v oblasti zabezpečení pohybu vpřed jako součást tohoto úsilí, včetně všudypřítomné ověřování, bezpečné DNS, a end-to-end šifrování.

XMPP je open source, instant messaging platformu poprvé použít službou Jabber chatu. Nyní protokol je široce nasazen - alespoň částečně - v celé řadě populárních instant messaging služby.

Technicky vzato, tento mandát je nemožné prosadit, protože mnoho služeb XMPP-based jsou nezávisle ovládat. Nicméně, podle BLOGPOST zveřejněné prozódii, jako XMPP komunikační server, který se podepsal na mandátu, mnoho XMPP služby začne odmítl nešifrované připojení jako dnes.

"Zatímco XMPP je otevřený distribuovaný síť, samozřejmě ne jediný subjekt může" mandát "šifrování pro celou síť - ale jako skupina se ubíráme správným směrem," Prosody příspěvek přečte .

Pokud se setkáte s uživateli služeb XMPP založených na problémy s těmito službami, je pravděpodobné, údaj, že určitá služba nebyla řádně prováděna šifrování. Uživatelé jsou vyzýváni, aby kontaktovat provozovatelům těchto služeb, aby je informoval o mandátu.

"Máme ještě nějakou cestu, například dnešní změna zajišťuje šifrování pouze (stačí porazit pasivní snímání z provozu), to nevyžaduje, abyste měli platný certifikát vydaný certifikační autoritou (i když některé služby se již rozhodnete vyžadovat to). "

Obecně řečeno, protože každý XMPP služby se mohou lišit, tento proces vyžaduje tři kroky. Operátoři budou muset získat certifikát serveru, zakažte prostý text připojení, a pak otestovat jejich bezpečnost XMPP. Můžete si najít více důkladné instrukce zde . A můžete otestovat zabezpečení vašeho připojení, stejně jako vidět výsledky nedávných testů zde .

Tento krok spadá v souladu s větším pohybem směrem k nasazení šifrování ve všech on-line služeb, a to především v reakci na odhalení, pokud jde o rozsah dozoru aparátu agentury národní bezpečnosti.

Electronic Frontier Foundation byla mezi vanguards tohoto hnutí, obhajovat u soudu a na Capitol Hill pro lepší zabezpečení práva a uživatelských práv na ochranu soukromí. Skupina digitálních práv rovněž vydává dvakrát ročně, "Kdo kryje záda?" zpráva , která zkoumá různé poskytovatele internetových služeb, mobilních operátorů, a tech společností, třídění ty organizace, na rozsahu, v jakém chránit uživatelská data se silným šifrováním a vstát pro uživatele v obličeji údajů o vymáhání práva žádá u soudu práva.

Další iniciativou poznámky je Reset Net , ve kterém koalice skupin soukromí se snaží podporovat provádění SSL, HTTP Strict Transport Security (TGV), Perfect Forward Secrecy (PFS) a end-to-end šifrování mezi ostatními vrstvami zabezpečení.

IT hrozby vývoj Q1 2014

Analýzy
20.5.2014 Zdroj: Kaspersky

Přehled
Cílené útoky / APT
Malware příběhy: loupání cibule
Web bezpečnosti a narušení bezpečnosti osobních údajů
Mobilní malware
Mobilní bankovnictví trojské koně
Nový vývoj od autoři virů
Špatné zprávy
Škodlivý spam
Statistika
Statistika
On-line hrozeb (útoky prostřednictvím webu)
Místní hrozby
Q1 2014 v číslech

Podle údajů KSN, produkty společnosti Kaspersky Lab zablokoval celkem 1 131 000 866 škodlivými útoky na počítačích a mobilních zařízeních v prvním čtvrtletí roku 2014.
Laboratorní řešení Kaspersky odrazili 353 216 351 útokům z on-line zdrojů umístěných po celém světě.
Kaspersky Lab web antivirus zjištěn 29 122 849 unikátních škodlivých objektů: skripty, webové stránky, exploity, spustitelné soubory, atd.
81 736 783 unikátních adres URL byly uznány jako nebezpečný webový antivirus.
39% webových útoků neutralizuje produkty společnosti Kaspersky Lab byly provedeny za použití škodlivých webových zdrojů umístěných v USA a Rusku.
Antivirových řešení společnosti Kaspersky Lab zjištěn 645 809 230 virovým útokům na počítačích uživatelů. Byly zjištěny v těchto incidentech celkem 135 227 372 unikátních škodlivých a potenciálně nežádoucích objektů.
Přehled

Cílené útoky / APT
Mlha dále čistí
V září 2013 jsme se hlásil na cíleném útoku s názvem Icefog, zaměřena především na cíle v Jižní Koreji a Japonsku. Většina APT kampaně jsou trvalé po měsíce nebo roky, neustále krade data z jejich obětí. Naopak, útočníci stojí za Icefog zaměřena na své oběti jeden po druhém, v krátké trvání, přesné hit-and-run útoky, jejichž cílem je ukrást specifické údaje. Kampaň, v provozu nejméně od roku 2011, se týkala použití řady různých verzí malware, včetně jednoho zaměřené na Mac OS.

Po zveřejnění naší zprávě, operace Icefog přestal a útočníci zavřeli všechny známé rozkazech a kontrolních serverů. Nicméně jsme nadále sledovala operaci sinkholing domén a analýzu zapojení obětí. Naše pokračující analýza odhalila existenci další generace Icefog zadní vrátka - tentokrát, Java verzi malware, který jsme nazvali "Javafog". Připojení k jedné z sinkholed domén, "lingdona [dot] com", uvedla, že klient může být aplikace Java; a následné vyšetřování ukázalo se vzorek této aplikace (najdete podrobnosti o analýze zde ).

Během operace sinkholing této domény, jsme pozorovali osm IP adresy pro tři jedinečné oběti Javabot. Všechny z nich se nachází ve Spojených státech - jeden byl velmi velký nezávislý ropy a zemního plynu společnost, která působí v mnoha zemích. Je možné, že Javafog vyvinul pro americko-určité operace, ten, který byl navržen tak, aby být delší, než je typické Icefog útoky. Jedním z Pravděpodobnou příčinou vytvoření Java verze malwaru je to, že je více nenápadný a těžší odhalit.

Za maskou
V únoru, tým Kaspersky Lab bezpečnostní výzkum zveřejnila zprávu o komplexní cyber-špionáže kampaně s názvem Maska nebo Careto (španělský slang pro "ošklivou tvář" nebo "maska"). Tato kampaň byla navržena tak, aby ukrást citlivá data z různých typů cílů. Oběti, které se nacházejí v 31 zemích po celém světě, jsou vládní agentury, zastupitelské úřady, energetické společnosti, výzkumné instituce, private equity a aktivisty - najdete úplný seznam zde .

Útoky začít s hlášením kopí-phishing, který obsahuje odkaz na nebezpečné webové stránky obsahující mnoho hrdinských činech. Jakmile oběť je infikován, oni jsou pak přesměrováni na legitimní stránky popsané v e-mailu, které obdržel (např. zpravodajský portál, nebo video). Maska obsahuje sofistikovaný backdoor Trojan schopen zachycovat všechny komunikační kanály a sklizeň všech druhů dat z infikovaného počítače. Stejně jako Rudý říjen a dalších cílených útoků před ním, kód je vysoce modulární, což umožňuje útočníkům přidat nové funkce na přání. Maska také vrhá její čistý široký - existuje verze backdoor pro Windows a Mac OS X, a tam jsou odkazy, které naznačují, že může být i verze pro Linux, iOS a Android. Trojan také používá velmi sofistikované stealth techniky skrýt své aktivity.

Hlavním účelem útočníků pod maskou je ukrást data z jejich obětí.

Malware shromažďuje celou řadu údajů z infikovaného systému, včetně šifrovacích klíčů, konfigurace VPN, SSH klíče, RDP soubory a některé neznámé typy souborů, které by mohly být v souvislosti s zakázku vojenské / šifrovacích nástrojů vládní úrovni.

Nevíme, kdo je za kampaň. Některé stopy naznačují, že používání španělského jazyka, ale to nepomůže hodit dolů, protože tento jazyk je mluvený v mnoha částech světa. Je také možné, že by to mohlo být použito jako falešnou stopu, odvést pozornost od toho, kdo to napsal. Velmi vysoký stupeň profesionality skupiny za tímto útokem je neobvyklé pro cybercriminal skupiny - jeden ukazatel, který Maska může být státem sponzorované kampaň.

Tato kampaň zdůrazňuje skutečnost, že existují vysoce profesionální útočníci, kteří mají prostředky a schopnosti k rozvoji komplexní malware - v tomto případě, krást citlivé informace. Zdůrazňuje také opět skutečnost, že cílené útoky, protože vytvářejí malou nebo žádnou aktivitu nad rámec svých konkrétních obětí, může "letět pod radarem".

Ale to je stejně důležité si uvědomit, že bez ohledu na propracovanosti The Mask, výchozí bod (stejně jako u mnoha předchozích cílených útoků) zahrnuje podvádět jednotlivce, aby dělali něco, co ohrožuje bezpečnost organizace, pro kterou pracují - v tomto případě, klepnutím na odkaz.

V současné době, všechny známé C & C (Command-and-Control) servery slouží ke správě infekcí je v režimu offline. Ale je to možné, útočníci obnovit kampaň v budoucnu.

Červ a had
Počátkem března byl rozšířený diskuse v rámci bezpečnosti IT komunity o cyber-špionáže kampaně s názvem Turla (také známý jako had a Uroburos). Výzkumníci z G-DATA, že malware používá, může být vytvořen ruské zvláštní služby. Výzkum provádí BAE Systems spojené Turla na malware s názvem "Agent.btz", který se datuje do roku 2007 a byl použit v roce 2008 infikovat lokálních sítí amerických vojenských operací na Blízkém východě.

Kaspersky Lab stal se vědomý této cílené kampaně při vyšetřování události související s vysoce sofistikovaný rootkit, který jsme nazvali "Ne rootkit". Ukázalo se, že "Slunce rootkit" a Uroburos byla jedna a ta samá hrozba.

Jsme stále vyšetřuje Turla, které si myslíme, že je mnohem složitější, než je navrženo materiály, které byly dosud publikovány. Nicméně, naše prvotní analýzy se ukázalo nějaké zajímavé spojení.

Agent.btz je self-replikace červ, který je schopen se šířit přes USB flash disky s využitím zranitelnost umožňující jej spustit pomocí "autorun.inf". Tento malware byl schopen rychle šíří po celém světě. I přesto, že nebyly vytvořeny žádné nové varianty červa na několik let, a výše uvedený zranitelnost byla uzavřena v novějších verzích systému Windows, v roce 2013 sám se zjištěn Agent.btz 13832 krát ve 107 zemích!

Červ vytvoří soubor s názvem "thumb.dll" na všech USB flash disky připojené k infikovaného počítače (obsahující "winview.ocx" soubory, "wmcache.nld" a "mssysmgr.ocx"). Tento soubor je kontejner pro ukradených dat, která jsou uložena na flash disku, pokud to nemůže být zaslána přímo přes internet k ovládání a-příkazu serveru spravovaného útočníků. Pokud je pak vložen jako flash disk do jiného počítače, soubor "thumb.dll 'se zkopíruje do nového počítače s názvem" mssysmgr.ocx.

Věříme, že rozsah epidemie, spolu s výše uvedeným funkce, znamená to, že tam jsou desítky tisíc USB flash disky na celém světě obsahující soubory s názvem "thumb.dll" vytvořil Agent.btz. V současné době je většina variant tohoto malwaru jsou detekovány Kaspersky Lab jako "Worm.Win32.Orbina".

Samozřejmě, Agent.btz není jediným malware, který se šíří přes USB flash disky.

Modul "USB zloděj" v červeném říjnu obsahuje seznam souborů, které hledá na USB flash disky připojené k infikovaných počítačů. Všimli jsme si, že tento seznam obsahuje soubory "mysysmgr.ocx" a "thumb.dll", tj. dva soubory písemných flash disky podle Agent.btz.

Při pohledu zpět další, když jsme analyzovali Flame a jeho bratranci Gauss a miniFlame , jsme si také všiml podobnosti s Agent.btz. Tam je analogická pojmenování, zvláště použití "OCX." Rozšíření. Kromě toho bylo také jasné, že oba Gauss a miniFlame byli vědomi souboru "thumb.dll" a podíval se na ni na USB flash disky.

Konečně, Turla používá stejné názvy souborů jako Agent.btz pro přihlášení se ukládá na infikovaných počítačích - "mswmpdat.tlb", "winview.ocx" a "wmcache.nld". To také používá stejný klíč XOR šifrování soubory protokolu.

Všechny tyto body oproti lze nalézt níže.

Zatím, co víme, je, že všechny z těchto škodlivých programů sdílet některé body podobnosti. Je jasné, že Agent.btz byla zdrojem inspirace pro ty, kteří vyvinuli další malware. Ale my nejsme schopni s jistotou říci, jestli je to titíž lidé stojí za všemi těmito hrozbami.

Malware příběhy: loupání cibule
Tor (zkratka pro The Onion Router) je software navržen tak, aby někdo zůstat v anonymitě při přístupu na internet. To bylo asi na nějakou dobu, ale na mnoho let byl používán hlavně odborníci a nadšenci. Nicméně, použití sítě Tor se špičatý v posledních měsících, zejména z důvodu rostoucích obav o soukromí. Tor se stal užitečným řešením pro ty, kteří z jakéhokoliv důvodu, se obávají, dohled a úniku důvěrných informací. Nicméně, to je jasné, šetření jsme provedli v posledních měsících, že Tor je také atraktivní pro zločinci: oni také oceňují anonymitu, které nabízí.

V roce 2013 jsme začali vidět zločinci aktivně používat Tor hostit jejich škodlivého malware infrastrukturu a odborníci společnosti Kaspersky Lab zjistili různé škodlivé programy, které se specificky používají Tor. Vyšetřování síťových zdrojů Tor odhaluje spoustu prostředků určených na malware, včetně Command-a-Control serverů, správy panely a další. Tím, hosting svých serverů v síti Tor, zločinci, aby byly těžší identifikovat, blacklist a eliminovat.

Cybercriminal fóra a tržiště se seznámili na "normální" Internetu. Ale v poslední době Tor-založené podzemí tržiště se také objevil. Všechno to začalo s notoricky známé Silk Road trhu a se vyvinul do desítek specializovaných trhů - pro drogy, zbraně a, samozřejmě, malware.

Carding obchody jsou pevně stanoveny v darknet, kde ukradl osobní informace jsou k prodeji, s širokou škálou hledání atributů, jako země, banka atd. Nabízené zboží nejsou omezeny pouze na kreditní karty: skládky, sběrače a mykání zařízení jsou na prodej taky.

Registrace jednoduchý postup, obchodník hodnocení, garantovaná služba a uživatelsky přívětivé rozhraní - to jsou standardní rysy Tor underground trhu. Některé obchody požadují prodejci složit slib - fixní částku peněz - před zahájením obchodování. To má zajistit, že obchodník je skutečný a jeho služby nejsou podvod nebo nekvalitní.

Vývoj Tor se shodoval se vznikem anonymní krypto-měnu, Bitcoin. Téměř vše, co v síti Tor je kupoval a prodával pomocí Bitcoins. Je to téměř nemožné spojit Bitcoin peněženku a skutečnou osobu, aby provádění transakcí v darknet pomocí Bitcoin znamená, že útočníci mohou zůstat prakticky nepostižitelné.

Zdá se pravděpodobné, že Tor a další anonymní sítě se stala běžnou rysem internetu jako zvyšující se počet obyčejných lidí pomocí internetu hledají způsob, jak chránit své osobní údaje. Ale je to také přitažlivým mechanismem pro zločinci - způsob, jak jim utajit funkce malware, které vytvářejí, na obchod se počítačové kriminality služby a vyprat své nezákonné zisky. Věříme, že jsme jen svědky začátku jejich užívání těchto sítí.

Web bezpečnosti a narušení bezpečnosti osobních údajů
Vzestupy a pády Bitcoin
Bitcoin je digitální crypto-měna. To funguje na modelu peer-to-peer, kde peníze bere podobu řetězce digitálních podpisů, které představují části na Bitcoin. Neexistuje žádný centrální řídící orgán, a nejsou tam žádné mezinárodní transakční poplatky - z nichž oba přispěly k tomu, že je atraktivní jako platební prostředek. Najdete přehled Bitcoin, a jak to funguje, na Kaspersky Daily stránkách.

Vzhledem k použití Bitcoin zvýšila, se stala více atraktivní cíl pro zločinci.

V našich end-of-rok prognóz , jsme očekávali útoky na Bitcoin, a to konkrétně tím, že "útoky na Bitcoin bazény, výměny a uživatelů Bitcoin se stane jedním z nejvíce vysoce postavených témat roku". Takové útoky, jsme si řekli, "bude obzvláště populární s podvodníky, protože jejich poměr nákladů a výnosů je velmi příznivý."

Už jsme viděli dostatek důkazů o to. Mt.Gox, jeden z největších Bitcoin výměn, byla pořízena v režimu offline dne 25. února. Stalo se tak po bouřlivé měsíce, ve kterém byla výměna sužovaný problémy - problémy, které viděl na obchodní cenu Bitcoins na webu podzim dramaticky. Objevily se zprávy , že výměna v platební neschopnosti následované hack, která vedla ke ztrátě 744.408 Bitcoins - v hodnotě zhruba 350 milionů dolarů na místě, Mt.Gox byla pořízena v režimu offline. Zdá se, že transakce tvárnost byla ústředním tématem zde. To je problém s protokolem Bitcoin, že za určitých okolností umožňuje útočníkovi vydávat různé transakční ID pro stejné transakce, takže se zdá, jako by transakce nestalo. Můžete si přečíst naši posouzení otázek obklopujících kolaps Mt.Gox zde . Transakce tvárnost chyba byla nyní pevně . Samozřejmě, Mt.Gox není jen virtuální bankovní služby poskytovatelem, který byl napaden, jak jsme diskutovali na konci loňského roku. Rostoucí využívání virtuálních měn je určitě znamenat další útoky v budoucnu.

Není to jen výměna virtuální měny, které jsou náchylné k útoku. Lidé, kteří používají crypto-měny můžete také najít sami terčem kybernetických zločinců. V polovině března, osobní blog a Reddit účet Mt.Gox generální ředitel Mark Karepeles, byly napadeny hackery. Tyto účty byly použity k přidání souboru, "MtGox2014Leak.zip". Tvrdí se, že tento soubor obsahoval cenné databáze skládek a specializovaný software umožňující vzdálený přístup k datům Mt.Gox. Co to vlastně obsahoval byl malware navržen tak, aby najít a ukrást Bitcoin peněženky soubory. Naše write-up malware lze nalézt zde . To poskytuje jasný příklad toho, jak zločinci manipulovat zájem lidí v horké zprávy jako způsob šíření malwaru.

Jedna věc velký význam hozený do všech takových útoků je, jak ti z nás, kteří využívají každé krypto-měně zabezpečit sami sebe v prostředí, kde - na rozdíl od reálného světových měn - neexistují žádné vnější normy a předpisy. Naše poradenství je pro ukládání Bitcoins v open-source off Bitcoin klienta (spíše než v on-line burzovních služeb s neznámou skladbu záznamu); a pokud máte hodně Bitcoins - udržet je v peněžence na počítači, který není připojen k Internetu. Na vrcholu tohoto, aby se fráze pro vaše Bitcoin peněženku tak složité, jak je to možné, a zajistit, že váš počítač je chráněn s dobrou Internet Security produktu.

Spammeři se také rychle využívat techniky sociálního inženýrství k tomu lidi do podvodu. Oni využili stoupání v ceně Bitcoins v první části tohoto čtvrtletí (před kolapsem Mt.Gox), aby se pokusili vydělat na touze lidí rychle zbohatnout. Jak jsme uvedeno v únoru, tam bylo několik Bitcoin témata týkající se používané spammery. Jsou součástí nabídky sdílet tajemství milionáře o tom, jak zbohatnout investováním do Bitcoins; a nabízí se připojit k Bitcoin loterii.

Dobrý software, které by mohly být použity pro špatné účely
V únoru, v Analyst Summit 2014 Kaspersky Security , jsme nastínil, jak nesprávné implementace proti krádeži technologií, kteří mají bydliště ve firmwaru běžně používaných notebooků a některých stolních počítačů, by se mohla stát mocnou zbraní v rukou zločinci.

Náš výzkum začal, když zaměstnanec společnosti Kaspersky Lab zažil opakované procesní systém havaruje na jednom z jeho osobních notebooků. Analýza protokolu událostí a stav paměti bylo zjištěno, že dojde k selhání důsledkem nestability v modulech s názvem "identprv.dll" a "wceprv.dll", které byly vloženy do adresového prostoru jednoho z hostitelských procesů systému služeb ("svchost.exe "). Tyto moduly byly vytvořeny Absolute Software, legitimní společnosti, a jsou součástí softwaru Absolute Computrace.

Náš kolega tvrdil, že není nainstalován software a ani nevěděl, že byl přítomen na notebooku. To nám způsobilo znepokojení, protože podle absolutní Software bílého papíru , by měla být instalace provedena vlastníka počítače nebo jejich IT služby. Na vrcholu tohoto, zatímco většina pre-instalovaný software může být trvale odstraněna nebo zakázat majitel počítače, Computrace je navržen tak, aby přežil profesionální systém vyčištění, a dokonce i výměnu pevného disku. Navíc, nemohli jsme prostě odmítnout to jako výskyt jednorázový, protože jsme zjistili podobných údajů z Computrace software běžící na osobních počítačích, které patří do některé z našich výzkumných pracovníků a některých podnikových počítačů. V důsledku toho jsme se rozhodli provést hloubkovou analýzu .

Když jsme se poprvé podíval na Computrace, jsme se mylně domnívali, že byl škodlivý software, protože používá mnoho triků, které jsou populární v současné malware: využívá specifického ladění a anti-reverzní inženýrství, vstřikuje do paměti jiných procesů, stanoví Tajemství komunikace, skvrny systémové soubory na disku, šifruje konfigurační soubory a kapky Windows spustitelný přímo z BIOS / firmware. To je důvod, proč se v minulosti, software byl detekován jako malware; i když v současné době většina anti-malware společnosti whitelist Computrace spustitelné soubory.

Věříme, že Computrace byl navržen s dobrými úmysly. Nicméně, náš výzkum ukazuje, že zranitelnosti v softwaru by mohla umožnit zločinci ji zneužít. Podle našeho názoru, silnou autentizaci a šifrování, musí být postaven do takové mocný nástroj. Nenašli jsme žádný důkaz, že Computrace moduly byly tajně na počítačích jsme analyzovali. Ale je jasné, že existuje mnoho počítačů s aktivovaným agenty Comutrace. Věříme, že je to odpovědnost výrobců, a Absolute Software, oznámit tyto lidi a vysvětlit, jak mohou deaktivovat software, pokud nechtějí, aby ji používat. V opačném případě budou tyto osiřelé agenti pokračovat v jízdě bez povšimnutí a bude poskytovat příležitosti pro vzdálenou využití.

Mobilní malware

V posledním čtvrtletí se procento hrozeb zaměřených na Android překročil 99% všech mobilních malware. Detekce více než v posledních třech měsících v ceně:

1 258 436 instalační balíčky,
110 324 nových škodlivých programů pro mobilní zařízení,
1 182 nové mobilní bankovnictví trojské koně.
Mobilní bankovnictví trojské koně
Na začátku roku společnost Kaspersky Lab se přihlásit 1.321 jedinečné soubory pro mobilní bankovní trojské koně, a na konci prvního čtvrtletí, že počet vzrostl na 2503. Výsledkem je, že v průběhu prvních tří měsíců letošního roku se počet bankovních trojských koní téměř zdvojnásobil.

Stejně jako dříve, že hrozby jsou nejvíce aktivní v Rusku, Kazachstánu, Bělorusku a na Ukrajině:

Mobilní bankovnictví hrozby po celém světě, v 1. čtvrtletí 2014

Top 10 zemí, na něž je zaměřen bankovních trojských koní:

Země % Ze všech útoků
Rusko 88.85%
Kazachstán 3,00%
Ukrajina 2,71%
Bělorusko 1.18%
Litva 0,62%
Bulharsko 0,60%
Ázerbajdžán 0,54%
Německo 0,39%
Lotyšsko 0.34%
Uzbekistán 0,30%
Faketoken je bankovnictví Trojan, který vstoupil Top 20 nejčastěji detekovaných hrozeb společnosti Kaspersky Lab na konci čtvrtletí. Tato hrozba se krade mTANs a pracuje ve shodě s počítačem na bázi bankovních trojských koní. Během on-line bankovnictví zasedání, počítač-založené trojské koně použít webový inject na osivo požadavek na infikované webové stránky, ke stažení Android aplikace, která je údajně potřebná k provedení bezpečné transakce, ale odkaz skutečně vede k Faketoken. Poté, co mobilní hrozba skončí na smartphonu uživatele, zločinci pak pomocí počítače na bázi trojské koně k získání přístupu k bankovnímu účtu oběti, a Faketoken jim umožňuje sklizeň mTANs a převést peníze na oběti na jejich účty.

O čem jsme psali několikrát, že většina mobilní bankovnictví hrozby jsou navrženy a zpočátku používané v Rusku, a že později zločinci mohou používat v jiných zemích. Faketoken je jeden takový program. Během prvních tří měsíců roku 2014, Kaspersky Lab zjištěn útoků zahrnujících tuto hrozbu v 55 zemích, včetně Německa, Švédska, Francie, Itálie, Velké Británie a USA.

Nový vývoj od autoři virů
TOR-řízené roboty
Anonymní sítě Tor, který je postaven na síti proxy serverů, nabízí uživatelské anonymitu a umožňuje účastníkům hostit "anonymní" webové stránky na. Cibule domény zóny. Tyto webové stránky jsou pak přístupné pouze přes Tor. V únoru, Kaspersky Lab zjištěn první Android Trojan, který je spuštěn přes C & C hostované na doméně v. cibule pseudo-zóny.

Backdoor.AndroidOS.Torec.a je modifikace Orbot, běžně používané Tor klienta, ve kterém uživatelé se zlými úmysly byly oseté svůj vlastní kód. Všimněte si, že, aby se zajistilo, že Backdoor.AndroidOS.Torec.a je schopen využít Tor, je třeba mnohem více kódu než na své hlavní funkce.

Trojan může zobrazit následující příkazy z C & C:

zahájit / ukončit odposlech příchozích textových zpráv
zahájit / ukončit krádež příchozích textových zpráv
vydá požadavek USSD
odesílat data o telefonu (telefonní číslo, země, IMEI, model, verze OS) na C & C
poslat seznam aplikací nainstalovanou v mobilním zařízení na C & C
posílat textové zprávy na číslo zadané v příkazu
Proč uživatelé se zlými úmysly najít tam byla potřeba pro anonymní síť? Odpověď je jednoduchá: C & C hostil v síti Tor nelze vypnout. Mimochodem, tvůrci Android trojské koně přizpůsobit tento přístup od autorů virů, kteří vyvinuli hrozby zaměřené na Windows.

E-peněženka krádeže
Uživatelé se zlými úmysly jsou vždy hledají nové způsoby, jak ukrást peníze pomocí mobilních trojské koně. V březnu, Kaspersky Lab zjištěn Trojan-SMS.AndroidOS.Waller.a, které kromě typických SMS trojské funkcí je také schopen krást peníze z QIWI peněženky z infikovaných telefonů.

Poté, co obdrží příslušnou C & C velení, Trojan kontroluje QIWI peněženky rovnováhu zasláním textové zprávy na odpovídající číslo systému QIWI. Trojan zachytí odpověď a odešle ji jejími provozovateli.

Pokud vlastník infikovaného zařízení má peněženku účet QIWI a Trojan získává data, která existuje kladný zůstatek v peněžence účtu, malware může převést peníze z účtu uživatele na peněženky účet QIWI určený pro zločinci. Trojan majitelé Poslat řadu speciální systém QIWI textem uvedením peněženku ID z uživatelů se zlými úmysly, a částku, která má být převedena.

Zatím to Trojan má pouze cílené ruských uživatelů. Nicméně, útočníci mohou použít k ukrást peníze od uživatelů v jiných zemích, kde se běžně používají textové řízené systémy e-peněženka.

Špatné zprávy
V prvním čtvrtletí roku 2014, Trojan cílení iOS byla zjištěna. Tento škodlivý program je plug-in pro Cydia substrátu, široce používané rámce pro kořeny / hacknuté zařízení. Existuje mnoho affiliate programy pro vývojáře app, které jim umožní prosazovat své aplikace pomocí reklamní modul, a vydělávat peníze pro reklamní displeje. V některých reklamních modulů, Trojan přepne se na ID vývojářů aplikací pro ID uživatelů se zlými úmysly. Jako výsledek, všechny peníze na reklamních displejů jde k uživateli se zlými úmysly místo.

Odborníci z Turecka byly zjištěny zranitelnosti využít způsobující odmítnutí služby na přístroji a následném restartu. Smyslem této chyby zabezpečení je, že uživatelé se zlými úmysly mohou využít ji rozvíjet Android aplikace s AndroidManifest.xml, který obsahuje velké množství dat v každém poli Název (AndroidManfiest.xml je speciální soubor nalézt v každé Android app). Tento soubor obsahuje údaje o aplikace, včetně přístupových oprávnění pro systémové funkce, markery pro procesory pro různé události, atd. Nové aplikace mohou být instalovány bez jakýchkoliv problémů, ale například, když aktivita se nazývá s určitým názvem, přístroj spadne. Například, psovod může být vyvinut pro příchozí textové zprávy pomocí špatné jméno, a po obdržení jakékoliv textové zprávy, telefon se prostě zhroutí a stane se nepoužitelným. Přístroj začne neustále restartovat, a uživatel bude mít pouze jeden způsob, jak vyřešit problém: Návrat firmware, což povede ke ztrátě všech dat uložených v přístroji.

Škodlivý spam
Jedním ze standardních metod používaných pro šíření mobilního malware je škodlivý spam. Tato metoda je jednou z nejlepších voleb mezi zločinci, kteří používají mobilní trojské koně krást peníze z uživatelských účtech.

Škodlivé spam texty obvykle obsahují buď nabídku stáhnout si aplikaci pomocí odkazu, který odkazuje na malware, nebo odkaz na webové stránky nasazený se škodlivý program, který přesměruje uživatele na nějakou nabídky. Stejně jako s nebezpečným spam v e-mailu, útočníci spoléhají na sociální inženýrství, jak získat pozornost uživatele.

Olympic-themed spam
Olympiáda je velká událost, a uživatelé se zlými úmysly využil zájmu letošních hrách v Soči.

V únoru jsme zaznamenali SMS spam s odkazy na údajné vysílání olympijských událostí. Jestliže neopatrný uživatel klikl na odkaz, jeho smartphone se pokusí načíst Trojan detekován Kaspersky Lab jako HEUR: Trojan-SMS.AndroidOS.FakeInst.fb.

Tento Trojan je schopen reagovat na nebezpečné příkazy uživatele a posílání textových zpráv na velké ruské banky a převodu peněz z mobilního účtu majitele prostřednictvím infikovaného telefonu. Uživatel se zlými úmysly může pak převést peníze z účtu oběti do svého e-peněženky. Mezitím, všechny zprávy z banky, pokud jde o přenos bude skryta oběti.

Spam s odkazy na škodlivé webové stránky
Mezi zločinci, kteří šíří Opfake Trojan poslal SMS spam s odkazem na speciálně vytvořených škodlivé webové stránky.

Jeden z textových zpráv informovat příjemce, že se jim dostalo balíček a vede na webové stránky se tváří jako ruské poštovní služby.

V jiných zprávách, uživatelé se zlými úmysly využil popularity ruské Inzerce zdarma webové stránky, Avito.ru. Tyto textové zprávy sdělil příjemce, že obdržel nabídku v reakci na jejich reklamu, nebo že někdo měl zájem o koupi jejich zboží, a zahrnoval odkazy na falešný Avito.ru stránku.

Škodlivé padělané webové stránky

Pokud uživatel klikne na odkaz vedoucí na falešné internetové stránky, bude jeho smartphone se pokusí stáhnout Trojan-SMS.AndroidOS.Opfake.a. Kromě zasílání placených textových zpráv, tento škodlivý program se používá také k šíření další hrozby pro mobilní zařízení, včetně multi-funkční Backdoor.AndroidOS.Obad.a.

Sociální inženýrství je vždy nebezpečný nástroj v rukou zločinci. Uživatelé internetu je třeba být opatrný a na naprosté minimum, zdržet kliknutím na žádné odkazy obdrželi od neznámých odesílatelů. V těchto případech, tam je vždy riziko pádu do pasti nastražené uživatelů se zlými úmysly a přichází o peníze jako výsledek.

Statistika
Distribuce mobilních hrozeb podle druhu

Distribuce mobilních hrozeb podle druhu, 1. čtvrtletí 2014

Během prvních tří měsíců roku 2014, číslo jedna mobilní hrozba se ukázalo být Adware, jedinou funkcí, která je trvale zobrazovat reklamy. Tento druh malwaru je obzvláště obyčejný v Číně.

Po dlouhou dobu v čele, SMS trojské koně byly srazil na druhé místo poté, co se jejich podíl klesl z 34% na 22%. Nicméně, tato kategorie malwaru stále vede mezi Top 20 nejčastěji detekovaných mobilních hrozeb.

Top 20 mobilních hrozeb
Název % Ze všech útoků
1 Trojan-SMS.AndroidOS.Stealer.a 22.77%
2 RiskTool.AndroidOS.MimobSMS.a 11.54%
3 Trojan-SMS.AndroidOS.OpFake.bo 11.30%
4 RiskTool.AndroidOS.Mobogen.a 10.50%
5 DangerousObject.Multi.Generic 9,83%
6 Trojan-SMS.AndroidOS.FakeInst.a 9,78%
7 Trojan-SMS.AndroidOS.OpFake.a 7,51%
8 Trojan-SMS.AndroidOS.Erop.a 7,09%
9 Trojan-SMS.AndroidOS.Agent.u 6,45%
10 Trojan-SMS.AndroidOS.FakeInst.ei 5,69%
11 Backdoor.AndroidOS.Fobus.a 5,30%
12 Trojan-SMS.AndroidOS.FakeInst.ff 4,58%
13 Trojan-Banker.AndroidOS.Faketoken.a 4,48%
14 AdWare.AndroidOS.Ganlet.a 3,53%
15 Trojan-SMS.AndroidOS.Agent.ao 2,75%
16 AdWare.AndroidOS.Viser.a 2.31%
17 Trojan-SMS.AndroidOS.Agent.dr 2,30%
18 Trojan-SMS.AndroidOS.Agent.fk 2,25%
19 RiskTool.AndroidOS.SMSreg.dd 2.12%
20 RiskTool.AndroidOS.SMSreg.eh 1.87%
Nové úpravy Trojan-SMS.AndroidOS.Stealer.a byly hlavním faktorem v nárůstu nových mobilních hrozeb. Na tom není nic zvlášť zvláštního o této hrozbě; je vybaven standardní SMS trojské funkce, ale je to stále poprvé v Top 20 nejčastěji detekovaných mobilních hrozeb.

To dává smysl, že loňské vůdci - Opfake.bo a Fakeinst.a - jsou stále pevně drží na svých místech a pokračovat být hlavními hráči v útocích na mobilní uživatelských zařízení, je zaplavení s nekonečnými vlnami nových škodlivých instalátory.

Mimochodem, Top 20 nejčastěji detekované hrozby pro mobilní zařízení společnosti Kaspersky Lab nyní obsahuje Faketoken bankovnictví Trojan poprvé (13. místo).

Hrozby po celém světě

Země, kde se uživatelé setkávají největší riziko infekce mobilní malware, Q1 2014
(procento všech napadených unikátních uživatelů)

Top 10 nejčastěji cílových zemí:
Název % Ze všech útoků
1 Rusko 48.90%
2 Indie 5,23%
3 Kazachstán 4,55%
4 Ukrajina 3,27%
5 Spojené království 2,79%
6 Německo 2.70%
7 Vietnam 2.44%
8 Malajsie 1.79%
9 Španělsko 1.58%
10 Polsko 1.54%
Statistika

Všechny statistické údaje použité v této zprávě byly získány z tzv. cloud-based systému Kaspersky Security Network (KSN). Statistické údaje byly získány z KSN uživatelů, kteří souhlasili, aby se podělili o své lokální data. Miliony uživatelů produktů společnosti Kaspersky Lab ve 213 zemích, podílet se na globální výměny informací o nebezpečné činnosti.

On-line hrozeb (útoky prostřednictvím webu)
Statistiky v této části byly odvozeny z webových antivirových komponentů, které chrání uživatele při škodlivý kód se pokusí stáhnout z škodlivého / infikovaný stránkách. Škodlivé webové stránky jsou záměrně vytvořeny uživatelů se zlými úmysly; infikované weby mohou být ty s uživatelem přispěly obsah (jako fór), jakož i legitimní prostředky, které byly hacknutý.

Top 20 škodlivé objekty detekovány on-line
V prvním čtvrtletí roku 2014, Kaspersky Lab web antivirus zjištěn 29 122 849 unikátních škodlivých objektů: skripty, webové stránky, exploity, spustitelné soubory, atd.

Identifikovali jsme 20 nejvíce aktivní škodlivé programy, které byly zapojeny do on-line útokům proti počítačích uživatelů. Tyto 20 představovaly 99,8% všech útoků na internetu.

Název % Ze všech útoků
1 Škodlivý URL 81.73%
2 Trojan.Script.Generic 8,54%
3 AdWare.Win32.BetterSurf.b 2.29%
4 Trojan-Downloader.Script.Generic 1.29%
5 Trojan.Script.Iframer 1.21%
6 AdWare.Win32.MegaSearch.am 0,88%
7 Trojan.Win32.AntiFW.b 0,79%
8 AdWare.Win32.Agent.ahbx 0.52%
9 AdWare.Win32.Agent.aiyc 0.48%
10 Trojan.Win32.Generic 0.34%
11 AdWare.Win32.Yotoon.heur 0,28%
12 Trojan.Win32.Agent.aduro 0.23%
13 Adware.Win32.Amonetize.heur 0.21%
14 Trojan-Downloader.Win32.Generic 0.21%
15 Trojan-Clicker.JS.FbLiker.k 0.18%
16 Trojan.JS.Iframe.ahk 0.13%
17 AdWare.Win32.Agent.aiwa 0.13%
18 Exploit.Script.Blocker 0.12%
19 AdWare.MSIL.DomaIQ.pef 0.12%
20 Exploit.Script.Generic 0,10%
* Tyto statistiky představují detekce rozsudky na web antivirového modulu. Informace byly poskytnuty ze strany uživatelů produktů společnosti Kaspersky Lab, kteří souhlasili, aby se podělili o své lokální data.

** Procento všech internetových útoků zaznamenala na počítači unikátních uživatelů.

Jak je často případ, Top 20 převážně se jedná o rozsudky přiřazené objekty používané v drive-by útoky a adware programy. Počet pozic obsazených adware rozsudků zvýšil sedm až devět v prvním čtvrtletí roku 2014.

Ze všech škodlivých programů v tomto pořadí, Trojan.Win32.Agent.aduro na dvanáctém místě, stojí za zvláštní zmínku. Tento program se šíří z webových stránek, které vyzve uživatele ke stažení prohlížeče plug-in na pomoc on-line nakupování.

Pokud uživatel klikne na tlačítko "Stáhnout", Trojan.Win32.Agent.aduro pokusí stáhnout do počítače uživatele. Trojan si klade za cíl stáhnout ad plug-in, stejně jako program pro těžbu na crypto-currency Litecoin. Po úspěšném infikován, bude počítač uživatele se používají zločinci k výrobě tohoto crypto-měnu, která bude jít přímo do svých peněženek.

Zajímavá je škodlivý skript Trojan-Clicker.JS.FbLiker.k na patnáctém místě v Top 20.. To je většinou přítomen na vietnamských stránkách nabízí různé druhy zábavy a webových zdrojů, které nabízejí filmy a software ke stažení. Když uživatel navštíví takové stránky, skript napodobuje uživatelské kliknutím na tlačítko "Like" na stránce v Facebook. Po tomto, může být stránka Facebook zobrazen jako "líbí" na novinek uživatele a v profilu uživatele. Obrovské množství "likes" na určitou stránku mění své výsledky hledání Facebooku.

Země, kde se on-line zdrojů nasazený s malware: Top 10
Následující statistiky jsou založeny na fyzickém umístění on-line zdrojů, které byly použity při útocích a zablokovaných antivirových komponentů (webové stránky, které obsahují přesměrování na exploity, stránky, které obsahují využije a další malware, botnet velitelských středisek, atd.). Každý jedinečný hostitel se může stát zdrojem jedné nebo více webových útoků.

Aby bylo možné určit zeměpisný zdroj webovými útoky, byla použita metoda, kterou jsou doménová jména uzavřeno proti skutečné domény IP adres, a pak zeměpisná poloha konkrétní IP adresu (GeoIP) je založena.

V 1. čtvrtletí 2014, Lab řešení Kaspersky zablokoval 353 216 351 útokům z webových zdrojů umístěných v různých zemích po celém světě. 83,4% z on-line zdrojů používaných k šíření škodlivých programů jsou umístěny v 10 countries.This je o 0,3 procentního bodu méně než ve 4. čtvrtletí 2013.

Distribuce on-line zdrojů nasazený škodlivými programy, v 1. čtvrtletí 2014

Toto pořadí prošel pouze menší změny v posledních měsících. Všimněte si, že 39% všech internetových útoků blokovaných produkty společnosti Kaspersky Lab byla zahájena za použití škodlivých webových zdrojů umístěných v USA a Rusku.

Země, kde se uživatelé setkávají největší riziko infekce on-line
Aby bylo možné posoudit, ve kterých zemích uživatelé čelit kybernetickým hrozbám nejčastěji, jsme vypočítali, jak často uživatelé Kaspersky setkat detekce rozsudky na svých strojích v každé zemi. Výsledná data charakterizuje riziko infekce na počítače, které jsou vystaveny v různých zemích po celém světě, poskytuje ukazatel agresivitě prostředí, ve kterém počítače pracují v různých zemích.

Země * % Unikátních uživatelů **
1 Vietnam 51.44%
2 Rusko 49.38%
3 Kazachstán 47.56%
4 Arménie 45.21%
5 Mongolsko 44.74%
6 Ukrajina 43.63%
7 Ázerbajdžán 42.64%
8 Bělorusko 39.40%
9 Moldavsko 38.04%
10 Kyrgyzstán 35.87%
11 Tádžikistán 33.20%
12 Gruzie 32.38%
13 Chorvatsko 31.85%
14 Katar 31.65%
15 Alžírsko 31.44%
16 Turecko 31.31%
17 Litva 30.80%
18 Řecko 30.65%
19 Uzbekistán 30.53%
20 Španělsko 30.47%
Tyto statistiky jsou založeny na detekci rozsudky vrácených web antivirového modulu, obdržely od uživatelů produktů společnosti Kaspersky Lab, kteří souhlasili, aby jejich statistických údajů.

* Vyloučili jsme ty země, v nichž počet uživatelů produktů společnosti Kaspersky Lab je relativně malý (méně než 10000).

** jedinečných uživatelů, jejichž počítače byly terčem internetových útoků jako podíl z celkového počtu unikátních uživatelů produktů společnosti Kaspersky Lab v zemi.

Q1 2014 došlo ke změně lídra v tomto pořadí: Vietnam, kde 51,4% uživatelů čelí webové nese útoky, je nyní na prvním místě. Mongolsko byl nováčkem na tomto seznamu, přichází rovnou na páté s 44,7% napadených uživatelů. Zbývající pozice v top 10 je stále obsazené Ruskem a bývalými státy SNS.

Mezi země s nejbezpečnějších on-line prostředí, surfování jsou Singapur (10,5%), Japonsko (13,2%), ve Švédsku (14,5%), Jižní Afrika (15,6%), Tchaj-wan (16,1%), v Dánsku (16,4%), Finsko (16,8% ), Nizozemí (17,7%) a Norsko (19,4%).

* Podíl z celkového počtu napadených unikátních uživatelů

V průměru 33,2% uživatelů počítačů připojených k Internetu byly podrobeny alespoň jeden web útoku během posledních tří měsíců.

Místní hrozby
Místní statistiky infekce pro uživatele počítačů jsou velmi důležitým ukazatelem. Tato data upozorňuje na hrozby, které pronikly na počítačový systém přes něco jiného než Internet, e-mail, nebo síťových portů na.

Tato část obsahuje analýzu statistických údajů získaných na základě provozu antivirový program, který skenuje soubory na pevném disku v okamžiku, kdy jsou vytvořeny nebo přístupné, a výsledky skenování různých vyměnitelných datových úložišť.

V 1. čtvrtletí 2014, antivirových řešení společnosti Kaspersky Lab úspěšně zablokoval 645 809 230 malware útoky na počítačích uživatelů. V těchto incidentů, bylo zjištěno celkem 135 227 372 unikátních škodlivých a potenciálně nežádoucích objektů.

Top 20 škodlivé objekty zjištěné na uživatelských počítačích

Hodnost Název % Unikátních uživatelů napadených *
1 DangerousObject.Multi.Generic 20.37%
2 Trojan.Win32.Generic 18.35%
3 AdWare.Win32.Agent.ahbx 12.29%
4 Trojan.Win32.AutoRun.gen 7,38%
5 AdWare.Win32.BetterSurf.b 6,67%
6 Adware.Win32.Amonetize.heur 5,87%
7 Virus.Win32.Sality.gen 5,78%
8 Worm.VBS.Dinihou.r 5,36%
9 AdWare.Win32.Yotoon.heur 5,02%
10 Trojan-Dropper.Win32.Agent.jkcd 4,94%
11 Worm.Win32.Debris.a 3,40%
12 Trojan.Win32.Starter.lgb 3,32%
13 Exploit.Java.Generic 3,00%
14 AdWare.Win32.Skyli.a 2,80%
15 Trojan.Win32.AntiFW.b 2,38%
16 Virus.Win32.Nimnul.a 2.23%
17 Trojan.WinLNK.Runner.ea 2.22%
18 AdWare.Win32.DelBar.a 2.21%
19 AdWare.Win32.BrainInst.heur 2.11%
20 Worm.Script.Generic 2.06%
Tyto statistiky jsou sestavovány z detekce malwaru rozsudky vytvořených skenerem modulů on-access a on-demand na počítačích těchto uživatelů se systémem produkty společnosti Kaspersky Lab, které souhlasily s tím, aby předložily své statistické údaje.

* Podíl jednotlivých uživatelů na jehož počítače antivirový modul detekoval tyto objekty jako procentní podíl všech jednotlivých uživatelů produktů společnosti Kaspersky Lab, na jehož počítače byl zjištěn škodlivý program.

Toto hodnocení obvykle zahrnuje rozsudky uvedené na adware programy, červi šíří na vyměnitelném médiu, a viry.

Podíl virů v této Top 20 pokračuje pomalu, ale vytrvale klesat. V 1. čtvrtletí 2014, viry byly zastoupeny rozsudků Virus.Win32.Sality.gen a Virus.Win32.Nimnul.a, s celkovým podílem ve výši 8%. Ve 4. čtvrtletí roku 2013, že číslo bylo 9,1%.

Červ Worm.VBS.Dinihou.r na osmém místě je VBS skript; se ukázalo, koncem loňského roku, a to je poprvé, co to dělal to k tomuto žebříčku. Spam je jedním ze způsobů, jak tento červ se šíří. Červ poskytuje širokou funkčnost plnohodnotného backdoor, od zahájení příkazového řádku pro nahrávání ze zadaného souboru na serveru. Je také infikuje úložné zařízení USB připojená k počítači oběti.

Země, kde se uživatelé setkávají nejvyšší riziko lokální infekce

Hodnost Země * % Unikátních uživatelů **
1 Vietnam 60.30%
2 Mongolsko 56.65%
3 Nepál 54.42%
4 Alžírsko 54.38%
5 Jemen 53.76%
6 Bangladéš 53.63%
7 Egypt 51.30%
8 Irák 50.95%
9 Afghánistán 50.86%
10 Pákistán 49.79%
11 Indie 49.02%
12 Súdán 48.76%
13 Tunisko 48.47%
14 Džibuti 48.27%
15 Laos 47.40%
16 Sýrie 46.94%
17 Myanmar 46.92%
18 Kambodža 46.91%
19 Maroko 46.01%
20 Indonésie 45.61%
Tyto statistiky jsou založeny na detekci rozsudky vrácených antivirovým modulem, obdržel od uživatelů produktů společnosti Kaspersky Lab, kteří souhlasili, aby jejich statistických údajů. Údaje zahrnují detekci škodlivých programů, umístěných na počítačích uživatelů nebo na vyměnitelné médium připojené k počítači, jako jsou flash disky, fotoaparát a paměťové karty telefon, nebo externí pevné disky.

* Při výpočtu jsme vyřadili země, kde existují méně než 10.000 uživatelů Kaspersky Lab.

** Podíl unikátních uživatelů v zemi s počítači, které zablokoval místní hrozby jako podíl z celkového počtu unikátních uživatelů produktů společnosti Kaspersky Lab.

Top 20 v této kategorii nadále dominují země v Africe, na Středním východě a jihovýchodní Asii. Vietnam na prvním místě, jak tomu bylo ve 4. čtvrtletí 2013, zatímco Mongolsko zůstává na druhém místě. Nepál posunul o jedno místo na třetí místo, zatímco Bangladéš klesl o tři místa na šestou ve 4. čtvrtletí 2014. Maroko je nová položka v tomto pořadí.

* Podíl z celkového počtu napadených unikátních uživatelů

Z nejbezpečnějších zemí, pokud jde o lokální infekce, rizika jsou: Japonsko (12,6%), ve Švédsku (15%), Finsko (15,3%), v Dánsku (15,4%), Singapur (18,2%), Nizozemí (19,1%), a Česká republika (19,5%).

V průměru 34,7% počítačů uživatelů byly podrobeny alespoň jedné místní ohrožení v průběhu posledních tří měsíců.

Kyberzločinci zkoušejí nový fígl, k cizím penězům se dostanou přes mobil

19.5.2014 Mobil
Většina bankovních účtů je jištěna proti neoprávněnému čerpání financí prostřednictvím SMS zpráv. Právě proto se většina počítačových pirátů začala zaměřovat právě na chytré mobilní telefony, jejichž prostřednictvím se pak mohou dostat i k cizím penězům. Právě o to se snaží i nová verze viru, před kterým varovala Česká spořitelna.

Nová verze viru je graficky povedenější a více se podobá skutečnému internetovému bankovnictví.
„Upozorňujeme na novou podobu a možné chování počítačového viru, který se objevil v některých evropských zemích včetně České republiky a který nabádá klienty internetového bankovnictví k instalaci bezpečnostní aplikace do mobilního telefonu,“ varovali zástupci banky.

Podle nich by lidé měli být při správě svých účtů prostřednictvím webu velmi obezřetní. „Jestliže se vám v internetovém bankovnictví nabídne instalace bezpečnostní mobilní aplikace, případně její aktivace, nereagujte na zobrazenou výzvu a neprovádějte instalaci nabízené aplikace do vašeho mobilního telefonu,“ stojí v prohlášení České spořitelny.

Ve skutečnosti se nejedná o bezpečnostní aplikaci, ale hlášku vygenerovanou virem v počítači.
Ve skutečnosti se totiž nejedná o bezpečnostní aplikaci, ale hlášku vygenerovanou virem v počítači. S tím by si měla většina antivirových programů při důkladném hledání poradit.

Obdoba tohoto viru se objevila už v polovině loňského roku. Tehdy před touto formou hackerských útoků varovala Česká bankovní asociace (ČBA) s tím, že hrozba se týká více bankovních institucí. Stejný druh podvodů byl zachycen také v zahraničí.

Podvodná zpráva připomínající službu Servis 24 České spořitelny.

Podvodná zpráva připomínající službu Servis 24 České spořitelny.
Takto vypadala podvodná zpráva připomínající službu Servis 24 České spořitelny na přelomu loňského a letošního roku.

Nová verze je ale graficky povedenější a více se podobá skutečnému internetovému bankovnictví. Česky psaný text navíc na první pohled neobsahuje žádné gramatické chyby, což je jinak pro podobné phishingové podvody typické.

„V případě, že byste zaznamenali nezvyklé chování ve vašem internetovém bankovnictví, např. zmíněné nabízení instalace bezpečnostní aplikace do mobilního zařízení, tak neprodleně kontaktujte bezplatnou informační linku České spořitelny 800 207 207,“ uzavřeli zástupci banky.

Facebook bere tvrdší stojí proti NARUŠENÍ útoku
19.5.2014 Sociální sítě

PORUŠENÍ útok byl hovor Black Hat loni v létě. To byla zveřejněna méně než dva měsíce po prvních Snowdena úniku a pomohl obnovit důraz na bezpečnost on-line komunikace a protokolů střežit elektronického obchodování a zasílání zpráv.

Co PORUŠENÍ to bylo hodit klíče do cross-site žádost padělání ochrany tím, že usnadňuje hackerům ukrást csrf tokeny a další tajemství z HTTPS dopravního proudu měřením komprese změny poměru, které vytékají z požadavku webových stránek a reakce v protokolu základní HTTP . Porušení je rozšíření ZLOČINU útoku , který byl propuštěn v pozdní 2012.

Facebook, stejně jako ostatní poskytovatelé velkých služeb, bránil proti CSRF vydáním tokeny, které mají, aby se zabránilo takové zosobnění útoky, protože útočník by musel být v držení CSRF oběti tokenu a předloží ji na internetových stránkách. PORUŠENÍ změnilo, že linii myšlení, nutí inženýry se vrátit k rýsovacím prkně a zjistit, snižující závažnost rizika za jedny z prvních doporučení, jako je například vypnutí komprese HTTP.

Dnes, Facebook je popsáno, jak se to zmírnit porušení útoky
Dnes, Facebook je popsáno, jak se to zmírnit porušení útoky změnou kmitočtu, ve kterém se otáčí CSRF tokeny z denně na každém Facebook relace je spuštěn.

CSRF tokenu obsahoval zkrácený SHA-2 hash, který včlenil ID účtu a aktuální datum. Osoba se třemi Facebooku zasedání v rámci jednoho dne by získaly shodné CSRF tokenu pokaždé, "Facebook inženýři Chad Parry a Christophe Van Gysel uvedl v prohlášení. "Nyní náš systém nahradí token s novým pokaždé, když o to požádá."

Cross-site žádost padělání útoky jsou používány hackery k získání přístupu k on-line účtů, které oběť přihlášen útočník může zase vydávat za oběť a ukrást informace nebo použít svůj účet k odesílání nevyžádané pošty, například.

PORUŠENÍ, nebo prohlížeč Průzkumné a průsaků vody pomocí adaptivní komprese hypertextu, byl odhalen loni v létě v Las Vegas výzkumníky Angelo Prado, Neal Harris a Yoel Gluck. PORUŠENÍ, na rozdíl od zločinu, je útok proti HTTP odpovědí používají stejný typ komprese útoku side-channel používané ve zločinu útoku. KRIMINALITA umožňuje útočníkům získat zpět hlavičky HTTP požadavku, které obsahují soubory cookie a další informace Web autentizace a spoléhali na TLS komprese, která není běžně povoleno; zakázání komprese TLS v prohlížeči zmírňuje zločinu.

"I v případě, komprese TLS úrovni je zakázán, to je velmi běžné použití gzip na úrovni HTTP. Kromě toho, že je velmi běžné, že tajemství (jako CSRF tokenu) a vstup uživatele jsou zahrnuty ve stejném odpovědi HTTP, a proto se (velmi pravděpodobně) ve stejném kompresním kontextu, "vědci napsal v papírové" PORUŠENÍ: Oživení zločinu útok . "" To umožňuje v podstatě stejný útok prokázána [Thai Duong] a [] Juliano Rizzo, ale aniž by se spoléhat na kompresi TLS úrovni. "

Facebook uvedl, že ve svém novém způsobu, csrf tokeny jsou generovány zavedením náhodného 24-bit sůl.

"Sůl je poslední 4 písmena na konci tokenu a je také zahrnuta v hash, který eliminuje všechny opakování kdekoliv v tokenu," řekl Facebook. "Poté, co je vydána nová známka, předchozí žetony zůstávají v platnosti po dobu několika dnů, což má za následek více tokeny jsou přípustné současně."

V předchozím paradigmatu, by útočník mohl použít stejný token vyžádání stran znovu a znovu, aby se odpovídajícím způsobem měřit změny velikosti komprese. Nyní, Facebook řekl, musel by vidět jen zřídka stejnou známku dvakrát.

"PORUŠENÍ využívá opakování, takže zavedení náhodnosti fólie pokusy," řekl Facebook.

Vypnutí komprese není volba pro velké dynamické stránky, jako je Facebook, protože by to bylo překážkou výkonu dramaticky. Facebook uvedl i zapnutí komprese pouze pro důvěryhodné referencí, jeden z navrhovaných snižující závažnost rizika pro útok, nebude fungovat, protože jeho přítomnost na tolika stránkách třetích stran by opět vliv na výkon.

Kritická infrastruktura společnosti i nadále Patch Heartbleed
19.5.2014 Zranitelnosti
Unified Automation vydal poradní bezpečnostní varování, že jeho OPC UA vývojáři softwaru kit (SDK) pro systém Windows obsahuje OpenSSL kryptografie knihovnu, která je citlivá na Heartbleed. Schneider Electric, jiný řídící systém průmyslové (ICS) výrobce, zaslali své vlastní zpravodaje s informacemi zmírňování pro stejné chyby, které mohou být zavedené komponenty třetí strany, ve svém Wonderware Intelligence zabezpečení aplikace.

Heartbleed byla zveřejněna 7. dubna; zranitelnost je chybějící hranice zkontrolovat v rozšíření OpenSSL TLS Heartbeat, který vystavuje 64 kB paměti se každé odpovědi. Přehrávání útok může v konečném důsledku úniku pověření, a někteří vědci se podařilo chytit soukromé šifrovací klíče.

Unified automatizace není ve skutečnosti upevnění nic zde. Ve skutečnosti, výrobce průmyslových řídících a SCADA systémů je pouze poznamenat, že jeho Windows OPC UA SDK - za určitých okolností - může být náchylné na chyby. Ve výchozím nastavení, přesnou C + + a ANSI-založené vývojáři soupravy nemají HTTPS implementována.

Nicméně, tyto sestavy nemají obsahovat zranitelnou OpenSSL šifrovací knihovny, pokud je povolen protokol HTTPS. Pro uživatele nasazení HTTPS, Česká Automatizace doporučuje se nahradit zranitelnou OpenSSL knihovnu s aktuální verzí (1.01.g nebo novější), s cílem zmírnit tento problém.

Schneider Electric na druhé straně pracoval s třetí stranou na loď opravu zranitelnosti Heartbleed do svých systémů Wonderware Intelligence. Zatímco většina aktuální verze těchto systémů není zranitelný a již byla stanovena, firma vysvětluje poradní, že počet uživatelů - po použití poslední aktualizace - nová instalace komponent třetích stran známé jako Vlies Server. Že složka je citlivá na OpenSSL je Heartbleed chyby.

Proto, Schneider Electric a tvůrci Vlies Server společně pracovali na zmírnění chybu ve svých složek. Provozovatelé běží Tablo Server verze 8.0.6 až 8.0.9 a 8.1.0 až 8.1.5 bude muset implementovat tyto opravy s cílem vyřešit potenciálně závažnou chybu.

Digi a Siemens zavedly podobných záplaty k nápravě Heartbleed ve svém ICS zařízení v posledních týdnech.

PayPal Opravy Serious účet únos Chyba ve Správci
19.5.2014 Zranitelnosti
PayPal oprava díru ve svém Portal Manager tento týden, že by dělali to snadno útočník ukrást účet admina, změňte své heslo a krást jejich osobní informace - nemluvě o jejich úspory.

Manager je rysem služba, která umožňuje uživatelům spravovat svůj účet Payflow, název firmy pro brány, které obchodníci využít při přijímání plateb od zákazníků.

Mark Litchfield, IT konzultant, který objevil hack zaslali podrobné vysvětlení o tom (. PDF) na jeho pera testovací stránky, Securatary, pozdě ve středu.

"PayPal šel do značných délek (víc než ostatní), aby byla zajištěna bezpečnost tohoto portálu," napsal Litchfield.

Ne dost daleko zdánlivě.

Litchfield tvrdí, že začal tím, že zachytí žádost s web app bezpečnostního testeru Burp Suite a byl schopný používat jeho vestavěný uživatelským jménem slovníku se podívat na přihlášení. Poté, co dospěl k závěru, výčet, proces, který načte seznam legitimních obchodních přihlášení, Litchfield byl schopný sbírat více než polovina pryč informace, které potřeboval vyplnit Manažer přihlašovací obrazovce PayPal.

paypal2

Mít zabezpečil název partnera a obchodní protokol-in, Litchfield nepotřeboval e-mailovou adresu, on prostě potřeboval heslo, něco, co by mohl resetovat, aniž byste museli odpovědět na bezpečnostní otázku.

Aby bylo možné resetovat heslo zachytil požadavek POST a chytá se krkat je Repeater , nástroj tester používá pro manipulaci a reissuing HTTP požadavky. Odtud Litchfield byl schopen jít přes "Zapomenuté heslo" funkce a převodu vlastnictví tokenu z Repeater obejít hesla otázku.

Po zkopírování hodnoty cookie z krkat, Litchfield ji vzal, ji zapojil do žádosti a odstranit pole hlavičky HTTP referer, aby bylo možné změnit heslo uživatele.

Zatímco trik pracoval, když Litchfield přihlášen ze stejné IP adresy, když přihlášen z jiné IP adresy, PayPal by ji chytit a požádat o další ověřování.

Trvalo to několik pokusů, dvě krabičky marlborek a 17 kávy, ale Litchfield, který přirovnal svůj problém starých "nevidí les ze stromů" idiomu, na to přišel.

"Já byl zaměřený na zjištění app logický nedostatek obejít otázku namísto skutečného problému: Moje IP adresa," Litchfield uvedl v e-mailu na Threatpost čtvrtek. "Někdy musíte udělat velký krok zpět a podívat se na skutečný problém."

Jeho řešení: Použití jiné pole hlavičky HTTP, X-Předáno-Pro, který identifikuje původu IP adresu klienta s připojením na webový server přes HTTP proxy nebo Vyrovnávání zatížení.

Trvalo to několik pokusů, ale poté, co omezuje několik IP adres - jeho telefonu a IP adresa manager.paypal.com - Litchfield zjistil, že by mohl dostat jeho hack do práce míchání a odpovídající informace, on zadána.

"Poté, co víc blbnout, Rozhodl jsem se, že odpovídající správnou IP adresu, je omezena na rozsah třídy B Network - xxx.xxx.0.0," napsal ve své analýze Středa, "To přispívá k velmi jednoduché brute force útoku."

Jednou, Litchfield poukazuje na to, že útočník může snadno mít přístup k citlivým informacím na admina, spolu s citlivými informacemi svých zákazníků. Mohly by také použít virtuální terminál připsat peníze zpět na svůj vlastní účet nebo jít nakupovat s penězi oběti.

Po přibití problému IP adresu Litchfield upravit svůj poradní a poslal ho na PayPal, kde se tvrdí, společnost, problém byl vyřešen během několika hodin.

Litchfield očekává, že hack bude nárok na bug bounty programu PayPal, protože vystaven zabil osobní identifikační údaje, a jak sám říká "nám v podstatě umožňuje přístup k jejich" pokladny "."

Jak to stojí, že stále ještě nic neslyšel zpět od společnosti, pokud jde o odměnu nicméně. PayPal nereagoval na žádosti o komentář na čtvrtek.

Litchfield, jehož Securatary firma vykopal hrst chyb v eBay a Google již v tomto roce, je shodou okolností také bratr bezpečnostní expert databáze David Litchfield. David Litchfield je samozřejmě známý v bezpečnostních kruzích poprvé narazil na SQL červ Slammer cesta zpět v roce 2003, spolu s bezpočtem dalších faktorů zranitelnosti v Microsoft, Oracle a IBM v průběhu let.

Embedded Devices Leak Ověření dat přes SNMP Community String
19.5.2014 Zranitelnosti
Vědci objevili dosud nehlášené problémy v SNMP na embedded zařízeních , kde jsou zařízení, jako jsou sekundárním trhu domácích routerů a populární zatížení podnikové třídy pro vyrovnávání úniku informací autentizace ve formátu prostého textu.

Tyto údaje by mohly být získány prostřednictvím přístupu k veřejným SNMP community řetězec jen pro čtení, který umožňuje mimo přístup k informacím o zařízení. Zatímco pouze zranitelnosti ve třech značek byly dnes zveřejněny, Shodan hledání se objeví potenciálně stovky tisíc zařízení, která jsou vystavovat SNMP k Internetu, které by mohly být stejně zranitelní.

Brocade ServerIron ADX 1016-2-PREM, TrafficWork verze 12.5.00T403 zatížení aplikace vyvažovací ukládá uživatelská jména a hesla hash s SNMP MIB tabulkám, Rapid7 vedoucí bezpečnostní poradce Deral Heiland dodal, to je pravděpodobně nejzávažnější problémy dnes zveřejněných .

"To je používán řadou společností, které se tam na čelních různých aplikací na firemní sítě," řekl Heiland, s tím, že Shodan hledání zařízení se objevil 9000 s výhledem na internetu. "Je to mnohem nižší číslo, než domácí routery a modemy, ale to je 9000 podniků, které by mohly, v případě, že hesla jsou dost slabé, bude otevřena až do vzdálených útoků."

Heiland a kolega výzkumník Matthew Kienow také zveřejněny v podobných problémů v kabelových modemů Ambit U10C019 a Ubee DDW3611, stejně jako řadu DSL modemů Netopia 3347. Kabelové modemy úniku nejen uživatelská jména a hesla, ale také WEP klíče, SSID informace WPA PSK a. DSL modemy, zatím, také únik klíče WEP, WPA PSK a SSID.

Metasploit moduly pro všechny tři zranitelnosti byly dnes zveřejněny, který bude extrahovat data z každého zařízení.

"Tento typ dat je neočekávané, které mají být uloženy v MIB tabulkám pro SNMP. Je to atypické, "řekl Heiland, který poukázal na to, že oba modemy, které jsou použity na konci životnosti, ale jsou prodány na sekundárních trzích, jako je eBay. "Problém je v tom, že zranitelnost je také stávající hardware a současných přístrojů. Domnívám se, že 100 procent. "

Řekl Heiland, nicméně, že dodavatelé nejsou nastavení těchto zařízení s SNMP povolen a konfigurace Internet-čelí; její poskytovatelé služeb, kteří se obracejí na službu, pravděpodobně pro vzdálenou správu.

"Ale stejně, já nevím, proč je důležité mít předem sdílené klíče a hesla jsou k dispozici na tohle," řekl Heiland. "To je místo, kde chyba je. Je to implementace a nasazení problém. Při nastavení SNMP, nechcete opustit řetězce veřejné komunity v místě. "

Například, s Vyrovnávání zatížení Brocade, SNMP je ve výchozím nastavení povolena a komunitního řetězec "veřejné" je ve výchozím nastavení nakonfigurována, řekl Rapid7. To je otevřené dveře pro hacker ukrást hesla hashe, které mohou být popraskané režimu offline, pokud protokol je zakázán nebo veřejné komunita řetězec se změní.

Totéž platí pro NETOPIA DSL modemu, vyráběné společností Motorola; jak SNMP je povolen s veřejnou komunitní řetězce. Poskytovatelů DSL však, Heiland řekl, zapněte jej pro vzdálenou správu.

SNMP, zatím není ve výchozím nastavení povolena na kabelových modemů působnosti a Ubee; poskytovatelé kabelových pravděpodobně umožní ji na uplinku straně modemy, aby bylo možné řídit zařízení na dálku stejně.

Motorola Heiland řekl, přiznal zveřejnění Rapid7 k nim ale řekl, protože modemy jsou konce života, to není problém, ignoroval SHODAN data, která říká 229.409 Ambit přístroje jsou vystaveny na internetu, a 224.544 NETOPIA zařízení; 187.000 ve Spojených státech.

Heiland že podobné zranitelnosti v jiných zařízeních byly sděleny dodavatelů v otázce, a měly by být zveřejňovány relativně brzy.

Falešný antivirový - Klony útočí
19.5.2014 Viry

Odborníci nedávno objevil na podvod antivirovou aplikaci na Google Play jít podle jména Virus Shield. Výrazným rysem této konkrétní aplikace byla skutečnost, že uživatelé museli platit za to - většina fake AV může být zpočátku zdarma stáhnout. To znamenalo, že jeho tvůrci okamžitě začít vydělávat peníze a neměl požadovat platby od uživatelů za účelem odstranění "malware", která údajně byla zjištěna na svých počítačích. Aby se zabránilo negativní recenze na Google Play vše, co bylo zapotřebí bylo, aby to vypadalo, že aplikace dělal něco užitečného.

Virus Shield následovala řada dalších podobných falešných aplikací. Na začátku minulého týdne, například, jsme zjistili dvě poměrně zajímavé falešné antivirové programy.

První falešné app byla objevena na Windows Phone Store, což samo o sobě bylo neobvyklé - podvodníci mají tendenci používat Google Play. Tato aplikace, která také měla být zaplacena dopředu, šel podle jména Kaspersky Mobile. Skutečnost, že neexistuje žádný program s tímto názvem v produktové řadě společnosti Kaspersky Lab neodradilo podvodníky - oni zřejmě nečekal, že někdo všimnout.

Tato falešná aplikace předstírá vykonávat nějakou užitečnou činnost, jako jsou soubory "skenování". Ale podívejte se pozorně na obrazovky a uvidíte, že stejně jako představení "průběh prověřování" je údajně provádí "heuristickou analýzu". Zpravidla antivirové řešení nezobrazují samostatný pruh pro heuristické analýzy pokroku.
Nicméně, podvodníci Zdá se, ukázat trochu více znalostí o softwarových vývojářů a jejich název, klesá nebyl omezen na společnosti Kaspersky Lab. Falešné AV Tvůrci nahrál četné jiné druhy placených aplikací na Windows Phone Store že použité názvy a loga několika populárních programů.

Patří k nim Google Chrome pro 99 rublů (asi 2,80 dolarů), a Google Chrome Pro, který z nějakého důvodu nákladů jen 59 rublů. Tam jsou některé "antivirus" aplikací z neznámých vývojářů, ale při bližším ohledání Jediný rozdíl mezi nimi a společností Kaspersky Mobile se ukázalo být logo a barvy používané v rozhraní.

Ale nejzajímavější ze všech byl Virus Shield na 69 rublů (cca $ 2) - stejné falešné AV jsme se zmínili výše -, který byl objeven na Google Play.

To je dobrý příklad toho, jak jeden úspěšný podvod plodí řadu klonů. Místo toho, aby jen jeden falešné AV, podvodníci nabízejí desítky falešných aplikací, kopírování designu, ale ne funkčnost originálu.

Druhý falešný app na vědomí, že jsme zjistili, byla pro prodej na Google Play a byl nazýván Kaspersky Anti-Virus 2014. Jen pro upřesnění, není tam žádný Kaspersky Lab mobilní výrobek tímto jménem. Snímek použitý na stránce falešné aplikace byla jednoduše zkopírovat z oficiálního Kaspersky Internet Security pro Android stránce.

Falešná aplikace nemá absolutně nic společného ochranu zařízení uživatele - tvůrci se ani neobtěžoval přidat simulaci skeneru. Místo toho, aby bezpečnostní řešení kupující dostane nic víc, než falešné aplikace, jejichž funkčnost je omezena na náhodné prohlášení v duchu a Magic 8-Ball nastavit na pozadí aplikace Kaspersky Anti-Virus logem. Produkty Kaspersky Lab detekuje aplikace jako Trojan-FakeAV.AndroidOS.Wkas.a.

Je docela možné, že stále více a více z těchto falešných aplikací se začnou zobrazovat. Jedna věc je jistá - mechanismy zavedené oficiálních obchodech jsou zjevně schopni bojovat s podvody, jako je tento.

PS Buď tam bylo příliš mnoho příjemců pro falešné Kaspersky Internet Security pro Android, nebo chamtivost dostal lepší tvůrců - v každém případě, že se rozhodl přitvrdit. Nehledě na "antivirový" app pro 142 rublů, jsme objevili další aplikace na straně podvodníky "Google Play, který byl na prodej za 3556 rublů (asi 100 dolarů).

Snímky obrazovek tohoto nákladného programu nesoucího název "Jsem bohatý" připomínaly které se používají v aplikaci pro iOS se stejným názvem, jehož funkce spočívala výhradně zobrazovat obraz rubínem a titulek říká: "Já jsem bohatý". Rozhodli jsme se zaplatit požadovanou cenu 100 dolarů za aplikace, ale jsme si jisti, že jeho funkčnost je příliš neliší od své dřívější jmenovec, nebo některý z dalších falešných aplikací od podvodníky v otázce.

Při placení daní, nemusíte platit dvakrát
19.5.2014 Phishing

Včera Kolumbijské uživatelé dostali e-mail obvinil je ze spáchaného daňovým podvodům a únikům. Jedná se o klasický sociální inženýrství avenue:

Chcete-li zprávu více atraktivní, zločinci prohlašují, že toto je třetí oznámení a nasměrovat uživatele ke kliknutí na odkaz, aby se "oficiální" oznámení o bližší informace.
Soubor je doc soubor s počáteční detekci VirusTotal od 0..

DIAN_caso-5415.doc 4aa84fb242abbba1a9dd2b8976cab2ce

Vzhledem k tomu, Microsoft Office bloky vložené makra ve výchozím nastavení, jsou zločinci jít tak daleko, jak učit oběť, jak povolit makra uvnitř původního souboru aplikace Word. Nazval bych to druh technickou podporu infekce průvodce.

Když se oběti na tlačítko, stáhne nový škodlivý binární ze pirát serveru umístěném v Ekvádoru.

. Binární udává počet infekcí, takže zločinci se počítá počet obětí
klesl binární ( d87e5b814c4103710d6acde649e56e72 ) patří k Ngrbot a je schopen krást různé cennosti: hesla k on-line hry, PayPal, systémy pro sdílení souborů, sociální sítě (včetně Facebook a Twitter), on-line bankovní účty a další. malware se zatemnil a využívá různé techniky, aby analýzu složitější. Je to dokonce kontroluje IP adresu oběti, aby bylo zajištěno, že oběti jsou z oblasti zájmu útočníka. Vypadá to, že útočníci budou držet využívání infekce techniky založené na vkládání škodlivé maker v souborech systému Office . Kaspersky Anti-Virus detekuje na výše uvedené hrozby jako Trojan-Downloader.MSWord.Agent.s a Worm.Win32.Ngrbot.aecc Můžete mě sledovat na Twitteru: @ dimitribest

Bitcoin 2014 Konference - Jsou Crypto-Měny dosažení dospělosti?
19.5.2014 Konference

Jak Bitcoin 2014 konference je odvíjení zde v Amsterdamu dnes, musím přiznat, že jsem ohromen tím, jak se crypto-měna komunita dělat rychlé kroky k dosažení zralosti.

Více než 1100 Bitcoin nadšenci z 50 zemí, 120 reproduktory a 40 vystavovatelů se sešli na každoroční akci Bitcoin Foundation diskutovat o minulosti, přítomnosti a budoucnosti kryptografických měně, ze všech možných perspektiv - technických, právních, ekonomických a sociálních.

Gavin Andresen Roční Stav Bitcoin Adresa - Bitcoin 2014 - Amsterdam, Nizozemsko
Hlavní otázkou pro většinu Bitcoin firem právě teď je "Jak se dostaneme všichni používat tuto novou měnu? " - a získání důvěry je nezbytnou součástí každého z možných odpovědí na tuto otázku.

Víme, že bezpečnostní incidenty v minulosti narušily důvěru ve Bitcoin ekosystému. Jako Gavin Andresen navrhl ve své "výroční státě Bitcoin" adresy, lidé by měli "zapomenout února 2014" - to je, když největší bezpečnostní incident v historii Bitcoin stalo, což vede k odstávce Mt. GOX , největší výměna v té době Bitcoin. To je také, když cena za 1 BTC klesl z více než 1000 USD na méně než 400 dolarů.

Bitcoin ekosystém byl vždy negativně ovlivněna mnoha hrozeb - od relativně vzácné, ale velmi důležité, "Bitcoin loupeže", nebo bezpečnostních incidentů, které zahrnují digitální výměnu nebo třetí strany poskytovatelů peněženky, na výzvu ze dne na den udržet své bitcoins bezpečí před hrozbami, jako jsou trojské koně, které se zaměřují na Bitcoin peněženky , malware, který se těžba CPU / GPU , nebo dokonce Ransomware, že je s použitím Bitcoin jako způsob platby za digitální vydírání ( Cryptolocker případ ).

Pomocí anonymního charakteru a nevratnými transakce, není divu, že ti špatní bude vždy zájem Bitcoin. A to je pro jakoukoliv šifrovací měně nadšence špatné zprávy venku.

Následujte mě na Twitteru

Dobrou zprávou je, že všechny zúčastněné strany v Bitcoin právě teď se zdá, pochopit význam bezpečnosti - od zákazníků, kteří se rozhodli poskytovatelům služeb, které pracují s pečlivě, na základě bezpečnostních funkcí, které nabízí a bezvadný historických záznamů, aby venture kapitalisté, kteří se ujistit, investice proudí do směru profesionálně a zodpovědně spustit start-up firem Bitcoin.

Bezpečnost udělat hned přinese důvěru a důvěra je to, co je potřeba pro dosažení masové přijetí .

Obrana neexistuje: Před zákeřnou virovou hrozbou neochrání ani silné heslo

18.5.2014 Viry
V posledních dnech se internetem šíří nebezpečný virus, který cílí na routery – základní kameny domácích i firemních sítí, prostřednictvím kterých všechny připojené počítače komunikují mezi sebou a přistupují k internetu. Obrana přitom neexistuje, nepomáhají ani preventivní doporučení bezpečnostních expertů, aby na svých zařízeních lidé nastavili silná hesla.
Ani silná přístupová hesla tedy nejsou zárukou toho, že uživatel bude v bezpečí.
PŘEHLEDNĚ: Jak probíhá útok na router?

1. Internetem se šíří virus, který cílí na routery. Napadnout tyto brány do světa internetu může buď přímo při procházení zavirovaných webů, nebo prostřednictvím některého počítače v dané síti, který je již zavirován.
2. Ve chvíli, kdy se virus zabydlí v routeru, dokáže buď zcela zablokovat internetové připojení na všech počítačích, a to i chytrých mobilech a tabletech, zapojených v síti.
3. U většiny doposud zaznamenaných útoků virus začal následně zobrazovat výzvu k instalaci aktualizace flash playeru. Snaží se tak vzbudit dojem, že stránky nejdou spustit právě kvůli neaktuálnosti pluginů.
4. Výzva se zobrazovala i v případech, že byly do adresního řádku zadány regulérní weby, které ve skutečnosti k zobrazování obsahu flash player nepotřebují – například Seznam.cz nebo Google.com.
5. Místo aktualizace si lidé stáhnou do počítače virus. Zobrazování hlášek i na regulérních webech je možné právě kvůli tomu, že kyberzločinci ovládají přímo samotný router. Ve skutečnosti tedy žádné ze zadaných serverů vir neobsahují.
6. I když antiviry z napadeného počítače virus odstraní, stále nemají uživatelé vyhráno. Zdroj dalších hrozeb se totiž ukrývá přímo v samotném routeru. A k němu nemá drtivá většina bezpečnostních aplikací vůbec žádný přístup.
7. Řešením je uvést router do továrního nastavení. Jak na to se lidé dozvědí z návodů dodávaných k zařízení. Pokud si nejsou uživatelé jisti, jak správně router nastavit, je vhodné tuto činnost přenechat odborníkovi.
8. Není vyloučeno, že chování viru útočníci upraví. Tím, že se nachází přímo v routerech, může totiž i přesměrovávat stránky na podvodné weby. V takovém případě pak kyberzločinci mohou získat přístup ke všem on-line účtům.
9. Pokud pozorujete ve své síti podobné problémy, můžete zjistit velmi snadno, zda je router zavirován pomocí chytrého telefonu. Místo WiFi se stačí připojit k webu prostřednictvím mobilního připojení. Pokud se výzva k instalaci aktualizace nezobrazí, je router zavirován.
Na vlastní kůži se o tom přesvědčil počítačový programátor Jakub Bouček, který objevil zřejmě první napadený router v České republice. Ten Novinkám popsal, jak celý útok probíhal.

„Před rokem jsem rodině pana Tomáše nainstaloval několik nových počítačů, zajistil připojení k internetu a základní zabezpečení. Minulý týden zavolal, že mu počítač blokuje přístup na Seznam.cz,“ uvedl Bouček s tím, že nejprve si myslel, že chyba bude na straně provozovatele webových stránek.

Po chvíli ale přestal fungovat i Google a programátor zjistil, že problém je jinde – internetové připojení blokoval nainstalovaný firewall, který správně rozpoznal, že se do počítače snaží dostat nezvaný návštěvník.

Podvodná výzva k aktualizaci flash playeru se zobrazuje i na legitimních webech, protože je napaden router, brána do světa internetu.
Prostřednictvím napadených routerů, tedy bran do světa internetu, se totiž útočníci snažili při všech zaznamenaných útocích propašovat do připojených počítačů škodlivý virus. Při snaze o zobrazení nějaké internetové stránky vyskočí hláška o nutnosti instalace flash playeru. Místo té se ale do PC stáhne virus.

Výzvy k aktualizaci se přitom zobrazují i po zadání regulérních webů, jako jsou například Seznam.cz a Google.com, což může některé uživatele uvést v omyl. To se ale naštěstí v případě pana Tomáše nestalo, protože firewall zafungoval včas a správně.

Doposud se tradovalo, že router může být napaden, pokud nemá uživatel nastaveno silné přístupové heslo k jeho konfiguraci. Tedy zpravidla pokud lidé nechají tovární nastavení. První zaznamenaný případ v České republice však ukázal, že to není tak docela pravda.

„Heslo jsem na routeru nastavoval osobně při instalaci. Sice nebylo hustodémonsky krutopřísné, ale pořád dostatečně silné. Podobné pravidlo platí pro WPA2-TKIP heslo pro WiFi. Útok tedy, předpokládám, byl zaměřen na nějakou technologickou zranitelnost routeru z některého z počítačů v LAN síti,“ konstatoval Bouček.

Ani silná hesla nejsou zárukou bezpečí
Ani silná přístupová hesla tedy nejsou zárukou toho, že uživatel bude v bezpečí. „Routery mají velkou moc, která se několik generací podceňovala, a bude chvíli trvat, než výrobci stihnou zareagovat a rozšířit stroje schopné aktivně se na zabezpečení podílet,“ podotkl programátor, který má počítačovou bezpečnost jako koníček.

Narážel přitom na automatické aktualizace routerů. Tuto funkci totiž většina síťových prvků na rozdíl od klasických počítačů nenabízí. Pokud se tedy objeví nějaká zranitelnost a uživatel záplatu nenainstaluje manuálně, zadní vrátka routeru jsou otevřena všem případným útočníkům.

Nakaženým přístrojem, kterého se útok týkal, byl TP-LINK TD-W8901G. V posledních dnech se počty případů zaznamenaných v Česku stále množí.

„Máme od dalších uživatelů potvrzen výskyt tohoto problému i na routerech další značky. Dále máme, zatím nepotvrzenou, informaci, že minimálně v jednom případě byl útok proveden ze zavirovaného PC v lokální síti. Znovu tedy vybízíme uživatele ke zvýšené opatrnosti,“ uvedl bezpečnostní analytik Pavel Bašta z Národního bezpečnostního týmu CSIRT, který je provozován sdružením CZ.NIC.

Podle něj byly podobné útoky zaznamenány v minulých dnech například v Polsku. Desítky dalších uživatelů se staly oběťmi viru v Německu, Anglii nebo například v Americe, což dokládají i reakce postižených na zahraničních diskuzních fórech.

Virus je nutné smazat přímo na routeru
Bezpečnostní doporučení z minulého týdne i přes alarmující případ z Česka stále platí. Nezvaného návštěvníka je možné odstranit uvedením routeru do továrního nastavení. Jak na to, se lidé dozvědí z návodů dodávaných k zařízením. Zpravidla se však na síťovém prvku nachází malé tlačítko nazvané reset (většinou je tak malé, že jde stisknout pouze špendlíkem nebo hrotem tužky), stačí jej chvilku držet, dokud nezačnou kontrolky na routeru blikat.

Aby se kyberzločincům nepodařilo znovu nezvaného návštěvníka tímto způsobem do systému propašovat, je nutné u routeru nastavit silné přístupové heslo k jeho konfiguraci. U bezdrátových modelů to samé platí u hesla k WiFi síti, vhodné je také používat silnější bezpečnostní standard, například WPA 2.

Vhodné je také pravidelně sledovat, zda nejsou pro router dostupné nějaké aktualizace přímo od výrobce. Právě v případě zaznamenaném v Česku se totiž škodlivý kód mohl do routeru dostat kvůli chybě softwaru, přestože byl dostatečně zabezpečen.

Pokud si nejsou uživatelé jisti, jak správně router nastavit, je vhodné tuto činnost přenechat odborníkovi.

Eset pohlídá mobily s Androidem vůči zlodějům

18.5.2014 Mobil
Sledovat a hledat ztracené nebo ukradené mobilní přístroje s Androidem umožňuje nová verze produktu Mobile Security, kterouna trh uvedl Eset. Klíčem k tomu je proaktivní technologie Anti-Theft a integrace celého řešení s portálem my.eset.com.

Vylepšený Anti-Theft podle výrobce detekuje potenciálně nebezpečné situace a přijímá preventivní opatření, která v případě ztráty nebo krádeže přístroje významně zvýší šance na jeho nalezení. V případě hrozícího vybití baterie odešle přístroj své aktuální lokalizační údaje.

Pokud dojde k neúspěšnému pokusu o autentizaci nebo k vložení neautorizované karty SIM, přístroj navíc pořídí fotografie z přední i zadní kamery. Všechna tato data jsou přístupná na portálu my.eset.com.

Základní verze Mobile Security umožňují skenovat zařízení na přítomnost hrozeb, skenovat stahované aplikace a nabízí základní funkce Anti-Theft.

Prémiová verze umožňuje navíc například nastavit čas skenování, skenování během nabíjení, filtrování hovorů a SMS, nebo proaktivní funkce Anti-Theft a jejich integraci do portálu my.eset.com.

Proaktivní funkce Anti-Theft podle výrobce:

Integrace s portálem my.eset.com - stejně jako v případě mobilních počítačů chráněných pomocí Eset Smart Security
Kontrola karty SIM – Zařízení změní automaticky svůj stav na podezřelý – po zadání chybného hesla pro odemknutí zařízení nebo vložení nedůvěryhodné karty SIM
Vzálená lokalizace – Snímky z předního i zadního fotoaparátu k dispozici na portálu my.eset.com
Detekce podezřelého chování – Po vložení neautorizované karty SIM nebo opakovaném chybném zadání kódu PIN se podniknou preventivní kroky
Snímky z obou kamer – pokud je zařízení označeno jako ztracené, začnou se automaticky pořizovat fotografie z přední i zadní kamery, které se odesílají na my.eset.com
Zpráva na obrazovku – Zprávy odesílané nálezci zařízení si můžete volitelně přizpůsobit
Upozornění na vybitou baterii – Při kritickém stavu baterie se automaticky odešle aktuální pozice zařízení na portál my.eset.com
Detaily o adrese IP – Informace o adresách IP, ze kterých se zařízení připojovalo k internetu, když bylo označeno jako ztracené

Kyberzločinci našli první „posmrtnou“ zranitelnost Windows XP

18.5.2014 Zranitelnosti
Internet Explorer 6, 7 a 8 ještě nebyl napaden, ale kritická bezpečnostní slabina v nich očividně je.

Podle sobotního prohlášení Microsoftu dochází k pokusům o zneužití chyby, která existuje v Internet Exploreru od verze 6 výše. Jde o snahy přesměrovat uživatele prohlížeče na infikované weby, kde by se na jejich počítač nainstaloval malware.

Zranitelné jsou všechny podporované verze Internet Exploreru, včetně verze 6, která pochází dokonce z roku 2001. I tato archaická verze je podporována, ale pouze na operačním systému Windows Server 2003, kde pro ni i nadále budou uvolňovány bezpečnostní záplaty. Stejná chyba ve stejném prohlížeči tedy nebude opravena ve Windows XP, operačním systému, jehož podpora skončila 8. dubna 2014.

To je důvod, proč je právě ohlášená zranitelnost tak důležitá. Je první a je v podstatě na ní, aby si připravila ovlivněné uživatele na novou realitu. Microsoft již v loňském roce prohlásil, že Windows XP budou po ukončení záplatování o 66 procent pravděpodobněji infikovány. Uživatelé, kteří zůstávají na Windows XP, mají ovšem ještě několik možností, jak nebezpečí nákazy přinejmenším snížit.

Mohou například nainstalovat Enhanced Mitigation Experience Toolkit (EMET) 4.1 – bezpečnostní nástroj, který je zdarma dostupný na webu Microsoftu. Další možností je odregistrovat soubor VGA.dll. Jde o jednu z dynamických knihoven, která vykresluje VML (Vector Markup Language) ve Windows a Internet Exploreru. Podle bezpečnostní firmy FireEye byly dosavadní útoky cíleny pouze na IE 9, 10 a 11 a využívají funkcí zásuvného modulu Adobe Flash Player. Jeho dočasné vypnutí tak eliminuje nebezpečí hrozící ze současných útoků na Internet Explorer.

Pochopitelně dalším řešením je přejít na nějaký alternativní prohlížeč, jako je Google Chrome nebo Mozilla Firefox. Pro ty jejich vydavatelé budou uvolňovat bezpečnostní záplaty minimálně dalších dvanáct měsíců.

Společnost Microsoft sice opravu explicitně nepřislíbila ani pro podporované operační systémy, ale je prakticky jisté, že ji uvolní v nejbližší době. Nejbližší termín pro pravidelně uvolňované aktualizace je 13. května 2014. Microsoft v poslední době spíše ustupuje od mimořádně uspíšených aktualizací, tzv. záplat mimo cyklus. Možným důvodem je přílišné riziko vedlejších efektů a zavlečení chyb v nedostatečně testovaném kódu.

Podle prvních analýz je za útoky na zmiňovanou zranitelnost zkušené kyberzločinecká skupina, která v minulosti již testovala útoky na právě objevené chyby, které ještě neměly možnost opravy. I díky jejich zkušenostem je velmi obtížně monitorovat jejich aktivity, i proto, že nevyužívají opakovaně stejnou řídící infrastrukturu.

Microsoft zahrnul uživatele Windows XP do opravy pro IE

18.5.2014 Zranitelnosti
Navzdory ukončené podpoře operačního systému Windows XP obdrží jeho uživatelé aktualizaci obsahující opravu pro zranitelnost v prohlížeči Internet Explorer.
Mimořádná oprava se týká chyby, která útočníkům umožňuje získat přístup do uživatelských zařízení.

Microsoft ukončil podporu Windows XP před měsícem, čímž skončilo i vydávání opravných bezpečnostních aktualizací. V tomto případě se však společnost rozhodla učinit výjimku, protože zranitelnost byla objevena jen několik dnů po ukončení podpory.

„Přestože již Windows XP nejsou Microsoftem nadále podporovány a skončila doba, po kterou normálně poskytujeme bezpečnostní opravy, rozhodli jsme se vydat opravu pro všechny verze Windows XP,“ napsal Microsoft na oficiálním blogu. „Výjimku jsme učinili s ohledem na krátkou dobu, která uplynula od konce podpory.“

Na chybu byl Microsoft upozorněn počátkem tohoto týdne a nebylo jasné, jestli se opravné aktualizace dočkají i uživatelé zastaralého systému.

Zranitelnost se týká Internet Exploreru verzí 6 až 11 a podle Microsoftu dosud byla zneužita jen k malému množství útoků. Podle statistik společnosti NetMarket Share se chyba týká až 50 % všech internetových prohlížečů po celém světě.

Podle Microsoftu je možné chybu zneužít pomocí speciální webové stránky. Tu když uživatel navštíví, dá tak útočníkům přístup ke svému počítači a současně útočníci získají stejná uživatelská práva jako má on sám. Na druhou stranu musí být uživatel s obsahem na škodlivé webové stránce v přímé interakci.

Yahoo začíná ignorovat žádosti Do Not Track

18.5.2014 Hrozby
I když bude mít návštěvník webových služeb Yahoo zapnutou funkci žádající, aby servery nesledovaly jeho aktivity, Yahoo se bude řídit vlastními algoritmy.

Tým Yahoo pro ochranu osobních údajů minulý týden na svém blogu oznámil, že Yahoo začíná ignorovat požadavky „Do Not Track“ návštěvníků. Tuto možnost lze nastavit v internetových prohlížečích a webové servery by potom neměly sledovat chování uživatele.

„V Yahoo se usilovně snažíme poskytovat našim uživatelům prostředí připravené jim přesně na míru,“ napsal tým na blogu. „Spojujeme lidi s tím, co je pro ně nejdůležitější, ve všech zařízeních a po celém světě. Zkrátka jsme přesvědčeni o tom, že nejlepší web je ten na míru.“

Yahoo přitom bylo mezi prvními z velkých webů, které podporu této funkce zaváděly, dalšími jsou například Pinterest nebo Twitter. Protože se jedná o dobrovolnou iniciativu, řada webů ji ignoruje.

Tato změna je jen dalším z kroků v rámci strategie vyhlášené generální ředitelkou Marissou Mayerovou, která razí obraz Yahoo jako „společnosti šité na míru uživateli“. Proto také došlo k přepracování domovské stránky, která nyní obsahuje vlastní informační kanály a cílené reklamy pro každého ze svých uživatelů.

Podle informací o ochraně osobních údajů shromažďuje Yahoo vyhledávání, demografické informace a nastavenou nebo aktuální polohu uživatelů. Díky tomu upravuje nejen zpravodajství, ale i reklamy tak, aby uživatele co nejvíce zaujaly. Tuto funkci je možné vypnout, ale je třeba se nejprve zaregistrovat a přihlásit ze všech používaných zařízení a požádat o deaktivaci vlastních nastavení jednotlivě.

Funkce blokování sledování se přitom v prohlížečích postupně rozšiřuje. Například ve Firefoxu, kde si musí uživatelé DNT aktivně zapnout, si již tuto funkci aktivovalo 11 procent uživatelů. Microsoft dokonce ve svém Internet Eploreru od verze 10 má tuto funkci standardně zapnutou a uživatel si ji musí aktivně vypnout, pokud ji nechce používat.

Windows XP: Další propad v počtu uživatelů
18.5.2014 Zranitelnosti

Z nových statistik vyplývá, že i když řada uživatelů Windows XP po ukončení jejich podpory v dubnu opustila, tento třináct let starý operační systém je stále nainstalován ve více než jednom ze čtyř počítačů na světě.

Podle společnosti Net Applications se počet uživatelů XP v dubnu snížil o 1,6 % a tento OS tak nyní ovládá 26,1 % celkového trhu s desktopy a notebooky. Duben byl druhým měsícem v řadě, kdy analytici zaznamenali výraznější propad počtu uživatelů Windows XP.

Mezi všemi počítači s Windows měly „XPéčka“ minulý měsíc 28,8% zastoupení. Některý z operačních systémů od Microsoftu je nainstalován na jedenadevadesáti procentech všech počítačů na světě. Americká společnost vydala poslední bezpečnostní aktualizaci pro Windows XP osmého dubna a od té doby jsou uživatelé vydáni napospas kybernetickým zločincům, kteří na ně mohou útočit díky nově objeveným dírám. Bezpečnostní experti již dříve varovali před tím, že zločinci začnou brzy po ukončení podpory XP porovnávat chyby nalezené a zdokumentované v nových verzích s těmi v tomto operačním systému.

První příležitost pro útočníky se objevila minulý týden, když Microsoft potvrdil závažnou zranitelnost v Internet Exploreru. V tomto případě ještě udělala americká společnost výjimku a vydala opravu také pro IE8 pro Windows XP. S dalšími záplatami už by ale uživatelé počítat neměli. Útočníci totiž budou schopni díky vydaným opravným balíčkům porovnat opravený kód, najít zdroj díry a následně napsat malware pro XP, který ji zneužívá. A u Internet Exploreru to útočníci budou mít obzvláště lehké.

Díky nově zveřejněným datům je zřejmé, že Windows XP budou běžet na značném počtu počítačů ještě minimálně několik měsíců, či spíše let. Podle propočtů Computerworldu budou Windows XP na konci tohoto roku nainstalované na 19 % počítačů a v polovině roku příštího stále budou držet 14 % trhu. Vůbec nejvíc z úpadku Windows XP těží nejnovější verze OS od Microsoftu. Windows 8 a Windows 8.1 si v dubnu připsaly 0,9 % a jsou tak na 12,2 % všech počítačů na světě.

Podle odhadů Net Applications předeženou Windows 8.1 v počtu uživatelů Windows Vista ještě tento měsíc. Windows 7 z roku 2009 si polepšily v dubnu o 0,6 % a jsou nainstalovány na 49,4 % všech počítačů (54,4 % všech počítačů s Windows). Windows 7 si polepšily o půl procentního bodu méně, než v březnu, což značí, že velké společnosti pomalu ale jistě končí s přechodem na tento operační systém. Analytici očekávají, že počítače ve firmách na Windows 7 poběží ještě několik příštích let, jelikož podpora tohoto OS končí až v roce 2020.

Názor: Antivirový software odchází do důchodu

18.5.2014 Hrozby
Antivirové programy se pomalu stávají přežitkem minulosti a přiznávají to i jejich výrobci.

Viceprezident Symantecu Brian Dye říká, že v současnosti tento software dovede rozpoznat a zachytit pouze 45 % malwarových útoků. Antivirový software je podle něj mrtvý. A já s ním souhlasím.

Podle Dye antivirové programy nechávají uživatele, kteří se cítí chráněni, na pospas kyberzločincům a hrozbám. Útočníci často využívají chyb v antivirových programech a stále přicházejí s novými způsoby, jak je obejít. Malware je čím dál tím komplexnější a jeho rozsah se pohybuje od těch nejjednodušších zločineckých útoků, které cílí například na informace o platebních kartách, až po sofistikované špionské programy, jež lze jednoduše proměnit v kyberzbraň, říká Eugene Kaspersky, zakladatel společnosti Kaspersky Lab.

Symantec, stejně jako ostatní společnosti zabývající se ochranou počítačů před útočníky, kvůli neúspěchům s detekováním problémů pomalu mění svou produktovou strategii. Místo toho, aby se soustředil pouze na jednoduchou ochranu před malwarem, chce se spíše věnovat rozpoznání problémů a na jejich následné řešení. To znamená, že bude sledovat úniky dat a další problémy a bude se snažit zabránit jejich následnému zneužití. Pro uživatele to bude v případě problémů znamenat změnu hesla, firmy však budou v takovém případě muset pozastavit přístup ke všem účtům a službám, které se staly předmětem útoku.

V tomto odvětví však Symantec za svou konkurencí stále pokulhává, 40 % jeho zisku stále pochází z klasických antivirových programů.

Na mém počítači se antivirus za dobu jeho existence párkrát objevil. Občas jsem to zkrátka vnímala jako jediné řešení jakéhosi aktuálního problému (způsobeného čistě mou nepozorností), jenže vždy mi v důsledku více problémů způsobil, než jich opravil. A tak mi do počítače stejně nesmí, já si dávám pozor a mám po problémech. Ač to samozřejmě v žádném případě nemůže být řešením pro velké společnosti, zaměstnávající všechny druhy uživatelů...

Emaily odhalily skutečnou podobu spolupráce Googlu s NSA

18.5.2014 Špionáž
Sada emailů, které americká Al Jazeera obdržela díky zákonu o svobodném přístupu k informacím, ukazuje, že spolupráce Googlu s NSA možná nebyla až tak nedobrovolná, jak společnost tvrdí.

Začátek emailové korespondence se datuje až do června 2012. Jde o záznam komunikace mezi šéfem NSA generálem Keithem Alexanderem a dvěma hlavními představiteli Googlu – Erikem Schmidtem a Sergeyem Brinem.

V jednom z emailů Alexander zmiňuje předchozí schůzku zástupců NSA a Googlu a poté zve Schmidta na důležitou schůzku, na které se měly projednávat mobilní hrozby a mobilní bezpečnost.

„Spoluúčast Googlu na zdokonalení, zprovoznění a nasazení možných řešení je nezbytně důležitá,“ napsal Alexander. V odpovědi na generálův email Schmidt vyjádřil touhu po setkání, ovšem současně se omluvil kvůli nevhodnému termínu setkání. „Rádi vás však uvidíme někdy jindy,“ napsal Schmidt.

Předmětem setkání měl být projekt Enduring Security Framework (ESF), který spustilo Ministerstvo vnitřní bezpečnosti v roce 2009 ve spolupráci s Ministerstvem obrany a generálními řediteli 18 technologických společností.

Alexander v jednom z emailů uvádí, že v rámci programu ESF spolupracuje NSA s několika velkými technologickými společnostmi na řešení bezpečnostní hrozby, která se má nacházet v BIOSu několika podnikových systémů. Na seznamu spolupracujících společností lze nalézt jména jako Intel, AMD, Dell, HP a Microsoft.

Podrobnosti o zmiňované hrozbě v BIOSu prozradil v jednom z amerických pořadů šéf kybernetické bezpečnosti v NSA Debora Plunkett, podle kterého jde o snahu různých skupin podporovaných čínskou vládou zničit či oslabit některé systémy v USA.

V emailech dále Alexander usiluje o získání Googlu pro boj s mobilními hrozbami. „Skupina (primárně Google, Apple a Microsoft) se naposledy dohodla na základním bezpečnostním postupu,“ napsal Alexander. Plánovaná tajná schůzka měla představitele zúčastněných společností seznámit se způsoby, jak čelit konkrétním hrozbám v jejich mobilních technologiích.

V jednom z emailů adresovaných Brinovi pak Alexander vyjádřil poděkování za přispění do programu ESF nápady od hlavních expertů Googlu – konkrétně zmínil Vinta Cerfa nebo Erica Grosseho.

Mluvčí Googlu k celé věci pouze uvedla, že společnost spolupracovala s mnoha experty, včetně těch z vládních agentur, na ochraně uživatelů před kybernetickými hrozbami.

Google se stejně jako řada jiných firem snažila v minulosti distancovat o přímé spolupráce s NSA poté, co Edward Snowden začal se zveřejňováním informací o fungování této vládní agentury. Schmidt i další představitelé Googlu spolupráci s NSA popisovali jako nedobrovolnou a zákonem vynucenou.

Nový Flash Player 0-day (CVE-2014-0515), použitý v útoku zalévání otvory
28.4.2014 Zranitelnosti

V polovině dubna jsme zjištěny dvě nové exploity SWF. Po nějaké podrobnější analýze bylo jasné, že nevyužili některou z chyb zabezpečení, které jsme již věděli o. Poslali jsme využije pryč Adobe a o několik dní později dostal potvrzení, že se skutečně používat 0-denní zranitelnost, která byla později označen jako CVE-2014 - 0515 . Zranitelnost se nachází ve složce Pixel Bender, určená pro video a zpracování obrazu.

Dostali jsme vzorek první využívat na 14. dubna, přičemž vzorek druhý přišel na 16. dubna. První využití bylo původně zaznamenáno KSN 9. dubna, kdy bylo zjištěno, o obecné heuristické podpisu. Tam byly četné následné detekce 14. dubna a 16.. Jinými slovy, se nám podařilo detekovat dříve neznámé hrozby pomocí heuristiky.

Podle údajů KSN, tyto hrdinské činy byly uloženy jako movie.swf a include.swf na infikované stránky. Jediný rozdíl mezi těmito dvěma kusy škodlivého softwaru je jejich shellcodes. Je třeba poznamenat, že druhý využití (include.swf) nebyl detekován pomocí stejného heuristické podpis jako první, protože obsahuje unikátní shell kód.

Každý využít je jako nebalený Flash video souboru. Kód Action Script uvnitř se ani zatemnil ani šifrován.

Jak je obvyklé u tohoto druhu využití, první etapa je hromada sprej - příprava na dynamickou paměť pro využití zranitelnosti. Využije se rovněž navrženy tak, aby zkontrolovat verzi OS - jestliže je detekována Windows 8, je použit mírně modifikovaný byte-kódu komponenty Pixel Bender.

Fragment zranitelné Pixel Bender kódu (údaje v červeném rámečku se změní podle verze systému)

Fragment, jehož rozklad využívat kódu

Dále je aktuální využití zranitelnosti, a to úprava jednoho z indexů v tabulce metod / virtuální funkce.

Je zajímavé, jak využije dvě shellcodes. Prvním z nich je v obou aplikacích; to je poměrně krátké a připravuje paměti pro úspěšné fungování druhého shell kódu.

Fragment z prvního shell kód odladěný v WinDBG

Za prvé, stávající paměti je označen jako čtení, zápis a spouštění pomocí funkce API VirtualProject, a pak další paměť je alokována pomocí VirtualAlloc. Druhý shell kódu je zkopírována do této paměti a ovládání je převedena. Inicializace funkcí a převedení řízení na druhé shell kód API objeví v červených krabic na obrázku výše.

Druhá shellcodes využije se výrazně liší.

Využít, že jsme zjištěn první má standardní shell kód (movie.swf). Provádí hledání systémových knihoven v paměti, a pak se stáhne a spustí užitečné zatížení. Bohužel, spojení se ukázalo být neaktivní v době našeho výzkumu.

Fragment movie.swf využít druhý shellcode zodpovědný za stažení a spuštění užitečného zatížení

V druhé vykořisťovat - include.swf - druhý shell kód byl neobvyklý. Přijímá základny DLL adresu flash10p.ocx, hledání jej specifických fragmentů a interaguje s ciscompeaddin5x0 - Cisco MeetingPlace Express Add-In verze 5x0. Tento doplněk je používán účastníci web-konference pro prohlížení dokumentů a obrázků z obrazovky předvádějícího. Je třeba poznamenat, že využití nebude fungovat, pokud požadované verze programu Adobe Flash Player ActiveX a Cisco MPE nejsou k dispozici v systému.

Fragment include.swf využít druhý shell kód

Zdá se, že část informací pro využití include.swf je předáván z venku. Podle údajů KSN, referer na include.swf body do jiného souboru SWF: stream.swf. Ve stejné době, referer prvního využití - movie.swf - body index.php umístěné ve stejné složce jako zneužití (viz níže). Nemohli jsme zjistit přesné užitečné zatížení využívat include.swf vzhledem k nedostatku údajů zaslaných z odkazované stránky a / nebo programů typu exploit.

Jsme si jisti, že všechny tyto triky byly použity, aby bylo možné provádět škodlivé činnosti na velmi specifickou skupinu uživatelů, aniž by to vzbudilo pozornost bezpečnostních řešení. Domníváme se, že Cisco doplněk výše uvedené mohou být použity ke stažení / provedení užitečného zatížení, jakož i ke sledování přímo na infikovaném počítači.

Oba využije zjištěné u nás šíří z webu na adrese http://jpic.gov.sy/ . Tato stránka byla zahájena již v roce 2011 podle syrského ministerstva spravedlnosti a byl navržen jako on-line fóra pro občany, aby si stěžují na práva a pořádku porušování lidských práv. Jsme přesvědčeni, že útok byl navržen tak, aby cílové syrských disidentů stěžují na vládu.

Místo byl hacknutý v září 2013 něco údajný hacker oznámil na svém Twitteru účtu .

Odkaz na těchto činech je následující: http://jpic.gov.sy/css/images/_css/ ***********.

Když jsme vstoupili na stránky, nainstalované malware užitečné zatížení bylo již chybí ze složky "_css". Předpokládáme, že zločinci vytvořili složku, jejíž název nevypadá nemístně na zdroj správy, a kde naložili využije. Oběti byly pravděpodobně přesměrováni na exploity pomocí rámu nebo skript se nachází na místě. K dnešnímu dni, April 28, počet zjištěných podle našich výrobků překročil 30. Byly zjištěny na počítačích sedmi unikátních uživatelů, všichni v Sýrii, což není překvapující s ohledem na povahu těchto stránek. Zajímavé je, že všichni útočili uživatelé vstoupili do webové stránky pomocí různých verzí Mozilla Firefox.

Je pravděpodobné, že útok byl pečlivě naplánován a že odborníci docela vysoké ráže byly za ním. Použití profesionálně napsaných 0-day exploity, které byly použity k infikování jediný zdroj důkazem.

Navíc, zatímco první využití je poměrně standardní a mohou infikovat prakticky jakýkoliv nechráněný počítač, druhý exploit (include.swf) funguje pouze správně na počítačích, kde je nainstalován Adobe Flash Player 10 ActiveX a Cisco MeetingPlace Express Add-In. Komponenta Flash Player Pixel Bender, což Adobe již podporuje , byl použit jako útok vektoru. Autoři se spoléhám na vývojáře, že nemůže najít chybu zabezpečení v této složce a že využití zůstane aktivní po delší dobu. To vše naznačuje, že útočníci nebyli cílení uživatelům en masse.

Neutěšený stav SATCOM bezpečnosti
28.4.2014 Hrozby
Satelitní komunikace (SATCOM) hrají důležitou roli v globální telekomunikační systém, ale bezpečnost zařízení používaných odejde hodně být požadovaný, říká Ruben Santamarta, hlavní bezpečnostní poradce s IOActive.

Seznam bezpečnostních slabin on a jeho kolegové zjistili při analýze a reverzní inženýrství firmware používaný na nejrozšířenější Inmarsat a Iridium SATCOM terminály nezahrnuje pouze chyby v návrhu, ale také v zařízeních se, že by mohly být užitečné pro útočníky. "Žijeme ve světě, kde stále rostoucí proud digitálních dat se protékají mezi kontinenty. Je jasné, že ti, kteří kontrolují komunikační provoz mají horní ruky," upozornil Santamarta v nedávno zveřejněném článku věnovaném dokumentující jejich výzkumu. "Schopnost narušit, kontrolovat, upravovat, nebo re-trasy provoz poskytuje neocenitelnou příležitost provést vykonávat dohled nebo provádět kybernetickým útokům." Mnoho důležitých odvětví závisí na družicových sítí, včetně námořní a letecký průmysl, záchranné služby, energie a vojenského sektoru a médií. Vědci IOActive se soustředili na analýzu se svorkami na pozemní části infrastruktury SATCOM. "Náš výzkum nebyla určena zdůraznit software hledání společného memory korupce, ale spíše pochopit přirozené silné a slabé stránky Zabezpečení zařízení", "řekl poukázal na to, a bohužel, nedostatky oplývají. "The zranitelnosti odhalili jsme, co se zdá být více backdoor, napevno pověření, nelegální a / nebo nezabezpečené protokoly, a slabé šifrovací algoritmy. Tyto chyby zabezpečení umožňují vzdálené, neověřené útočníkům ohrozit dotčené výrobky . V některých případech je nutná interakce uživatele, aby tuto chybu zabezpečení zneužít, posílání jednoduché SMS nebo odeslat speciálně vytvořenou zprávu z jedné lodi na jinou loď by být úspěšný pro některé systémy SATCOM, "sdílené Santamarta. Technické detaily, které by umožnily útočníkům využít zjištěných zranitelností se, samozřejmě, není dosud široce sdíleny. Společnost pracuje s vládní CERT Coordination Center a zranitelných prodejců je opravit před tím, než tyto údaje zveřejnit. Mezitím, které doporučuje výrobce SatCom a prodejcům, aby odstranily všechny veřejně přístupné kopie aktualizace firmware zařízení z jejich webových stránek, takže that útočníci mohou 't si je stáhnout zdarma a čistit je na využitelné zranitelnosti. Přes to všechno, výše uvedené whitepaper je velmi zajímavé čtení, protože detaily řadu možných scénářů útoku.

Tor relé citlivé na Heartbleed klesla z anonymity sítě
28.4.2014 Zranitelnosti
Díky OpenSSL Heartbleed chyby , anonymita sítě Tor je sada dočasně ztratí kolem "12 procent kapacity výstupní a 12 procent strážní funkci." Odhad byl proveden Roger Dingledine, vedoucí projektu Tor, v příspěvek na Tor-relé e-mailové konference. Pokud se existence chyba byla poprvé zveřejněna, tým Tor poznamenal, že "by mohlo být třeba z Tor relé a mosty k úniku svých střednědobých cibule klíče nebo jejich dlouhodobou relé identitu klíče, "a ty, kteří pracují jim bylo doporučeno aktualizovat svůj balíček OpenSSL, zlikvidujte všechny soubory klíčů / v jejich DataDirectory a restartujte Tor generovat nové klíče. Některé z nich udělal, a jiní mají stále není, a druhý . jsou stále zamítnut v současné době "Přechod na nový klíč identity relé znamená, že relé je vidět, jak se úřady nové znovu: že ztratí svůj status Guard a měření šířky pásma," koordinátora Tor podpora a vývojáře Lunar poznamenal ve středu. "Zdá se, že řada provozovatelů na radu, jak síť ztratila kolem 1 Gbit / s na inzerované kapacity mezi 7.dubna a 10. v dubnu." "8. dubna, [člen komunity] grarpamp zjištěno, že více než 3000 relé bylo restartovat - doufejme, že používat pevnou verzi OpenSSL. Je známo, kolik z těchto relé se přepne do nového klíče od. [Tor vývojář] Andrea Shepard pracuje na průzkumu je identifikovat, "sdílel. "Co je známo, i když je relé, které jsou bohužel stále zranitelné. [Developer a správce Tor Cloud] Sina Rabbani zřídil viditelný seznam pro stráže a východy. Chcete-li chránit uživatele Tor, operátoři adresář úřadů začali odmítat deskriptory pro jednotlivé ohrožené relé. " Dingledine je připojeno k jeho poště seznam relé identity otisků prstů mu je odmítá na moria1 hlavní uzel, a říkal, že on a další by měla rozšířit seznam jako zjistí další relé, které přicházejí on-line s ohroženými verze OpenSSL.

Útočníci používají reflexní techniky pro větší DDoS útokům
28.4.2014 Počítačový útok
Akamai oznámila novou útočnou zprávu globální DDoS, který ukazuje, že v 1. čtvrtletí, DDoS útočníci spoléhal méně na tradiční botnet infekce ve prospěch reflexních a amplifikace techniky.

"Místo toho, aby pomocí sítě zombie počítačů, novější DDoS toolkits zneužívání internetové protokoly, které jsou k dispozici na otevřených nebo zranitelné servery a zařízení. Věříme, že tento přístup může vést k Internetu stále připravený k použití botnet pro škodlivých činitelů," Podle Stuarta Scholly, senior viceprezident a generální manažer bezpečnosti v Akamai. Nejčastěji zneužívané protokoly jsou Character Generator (chargen), Network Time Protocol (NTP) a Domain Name System (DNS). Tyto protokoly, které jsou založeny na User Datagram Protocol (UDP), může být upřednostňovány, protože umožňují útočníkům skrýt svou identitu. Kromě toho mohou útoky amplifikace na bázi doručit masivní záplavu dat na cíl, přičemž vyžaduje pouze relativně malý výstup ze zdroje. Nové odraz a zesílení útoku nástroje mohou přinést silný úder. Q1 viděl nárůst 39 procent průměrné šířky pásma a největší-někdy DDoS útok k překročení sítě zmírnění Prolexic DDoS. Tento útok podílí více reflexe techniky v kombinaci s tradiční botnet na základě žádosti útoku vytvářet špičkový provoz více než 200 Gb (gigabitů za sekundu) a 53,5 Mpps (milionů paketů za sekundu). Toto čtvrtletí se více než polovina DDoS útoku provozu zaměřené na mediální a zábavní průmysl. Tenhle průmysl byl zaměřen o 54 procent škodlivých paketů zmírnit tím, Prolexic během aktivní DDoS útoků v 1. čtvrtletí. Ve srovnání s 1. čtvrtletím 2013

47 procentní nárůst celkových DDoS útokům
9 procent pokles průměrné šířky pásma útoku
Nárůst 68 procent v oblasti infrastruktury (vrstva 3 a 4) útoky
21 procent pokles v aplikaci (vrstva 7) útoky
50 procent pokles v průměrné délce útok: 35 vs 17 hodin
133 procentní nárůst průměrné šířky pásma vrcholu.
Ve srovnání se 4. čtvrtletím 2013
18 procentní nárůst celkových DDoS útokům
Nárůst o 39 procent v průměru pásma útoku
Nárůst o 35 procent do infrastruktury (vrstva 3 a 4) útoky
36 procent pokles v aplikaci (vrstva 7) útoky
24 procent pokles v průměrné délce útok: 23 vs 17 hodin
114 procentní nárůst průměrné šířky pásma vrcholu.
Inovace ve DDoS trhu vyvolal nástrojů, které mohou vytvořit větší poškození s menším množstvím zdrojů. High-objem, útoky na infrastrukturu na bázi Q1 byly možné díky dostupnosti snadno-to-použití DDoS nástroje z DDoS-as-a-Service Marketplace. Tyto nástroje jsou navrženy tak, zlomyslné hackery dodat větší výkon a pohodlí do rukou méně zručných útočníků. Například, v 1. čtvrtletí, NTP reflexe útoků narostl, pravděpodobně z důvodu dostupnosti bezstarostný-až k-cvičení útoku DDoS nástroje, které podporují tento odraz techniky. Povodeň metoda NTP šel z účetnictví na méně než 1 procento všech útoků v předchozím čtvrtletí dosáhl téměř stejnou popularitu jako SYN flood útoky, trvalky oblíbené mezi DDoS útočníkům. Ani chargen ani NTP útoku, byly zjištěny v 1. čtvrtletí 2013, ale tvořily 23 procent všech útoků na infrastrukturu zmírnit tím, Prolexic v 1. čtvrtletí 2014. Úplná zpráva je k dispozici zde (nutná registrace).

Student zatčen za Heartbleed-využití porušení daňová kancelář
28.4.2014 Zranitelnosti
19-letý kanadský student byl zatčen za porušení systémy na Canada Revenue Agency (CRA) a odebírání sociální pojištění čísla některých 900 daňových poplatníků. To je věřil, že on byl schopný dělat tak tím, že využívá neslavný Heartbleed chybu. Královská kanadská jízdní policie "National Division Integrované technologické Crime Unit (ITCU) se snesl na Londýn, Ontario založená Stephen Arthuro Solis-Reyes 15. dubna, kdy byl zatčen bez incidentů ve svém domě a jeho počítačové vybavení bylo zabaveno. "Královská kanadská jízdní policie zachází toto porušení bezpečnosti jako vysoce prioritní případu a mobilizovat potřebné zdroje k vyřešení této záležitosti tak rychle, jak je to možné," řekl asistent komisaře Gilles Michaud v prohlášení . "Úspěch tohoto šetření odráží spolupráce úsilí RCMP a dalších vládních agentur, jakož i služby v Londýně policie." Canada Revenue Agency vzal své služby on-line režimu offline 8. dubna, poté, co byla informována o nebezpečí, že zranitelnost předložen k zabezpečení svých systémů, ale to bylo zřejmě ne dost rychle. V hodinách mezi veřejné odhalení existence chyby a služby takedown, Solis-Reyes údajně podařilo provést útok. Globe and Mail zprávy že Solis-Reyes je počítačová věda student na západní univerzity. Ten je naplánován k soudu v Ottawě 17. července 2014, a očekává se, že bude obviněn z jednoho počtu neoprávněného použití počítače a jednoho počtu Mischief ve vztahu k údajům. RCMP také řekl, že vyšetřování tohoto porušení je stále probíhá, takže by to mohlo ještě ukázat, že byli zapojeni další lidé. CRA není jen obětí útoku Heartbleed. UK-založené internetové stránky pro rodiče Mumsnet také utrpěl porušení, která byla zřejmě potvrdil útočník, jako by byl proveden s využitím této konkrétní zranitelnost. Poté, co se zapletl do několika účtů, útočník použít jednu vysvětlit jeho nebo její motiv:

Nebyla to její telefon nebo osobní počítač je vlevo přihlášen kdekoliv, to bylo heartbleed exploit krvácení uživatelé přihlášení / kombinace hesla ve formátu prostého textu na toho, kdo poslal ten správný dotaz na server. Zatímco tech zaměstnanci byli poměrně rychle ji opravit, stejně jako mnozí jiní tam venku si mysleli, že "šance na to nás ovlivňuje, než náplast jsou nepatrné." Doufám, že akce únos Justine je účet Pomoc pozornost kreslit na to, jak velký problém to je. Mám podezření, že spousta lidí by si ho vzít vážně jinak. Buď rád, že osoba, která má přístup k informacím o serveru byl tak laskav, aby vám všichni víme (a alespoň pokusit být vtipný s ním), místo toho, aby prostě sedí na informacích.

Bezpečný e-mailových služeb Lavaboom starty
28.4.2014 Bezpečnost
Lavaboom , německý zabezpečené e-mailové služby, která má za cíl poskytnout uživatelům nejbezpečnější e-mailového účtu budou vždy vlastnit (jejich slova), půjdou do soukromého beta kolem Velikonoc. Tento krok byl oznámil zakladatelem Felix Müller-Irion a organizaci trhů Bill Franklin na reddit, kde se také vysvětlil, že služba není oficiálním následníkem Lavabit, ale oni jsou velcí fanoušci nyní-zaniklý služby a její tvůrce Ladar Levison. Udělali Ujistěte se poukázat na to, že služba se sídlem v Německu, nemá žádné vazby s USA, a je zcela self-financoval. "Nevíme přesné umístění našich serverů. Ty jsou umístěny v různých místech po celém Německu a jsme si vědomi obecné oblasti. Jako takový nemáme fyzický přístup k našim servery, "oni rozdělili. "Pokud bychom se měli stát přezkoumán činných v trestním řízení se spoléhat na těžkou veřejné dražbě, protože jsme pod jurisdikcí německého práva a nejlepších zákony na ochranu soukromí ve světě. Pokud bychom měli někdy být vynuceno BSI nebo BND, aby se vzdali všech našich dat, buďte ujištěni, že máme něco, na místě, které zničí naše pevné disky do několika minut a proměnit je v něco víc, než dráhy. " služba bude zdarma využívat až 250 MB , ale další placené plány musí být v budoucnu nabízeny. zabezpečení e-mailů uživatelů je udržována "s kompletní šifrování, soukromí nulovou znalostí, a třícestným ověřování", ale pomocí služby bude snadné, oni říkají . Pro ty, zájem o technologie a nástroje, které používají, další podrobnosti jsou uvedeny v části " Informace pro podivína "sekci, ve které se také hostujícími vědeckými pracovníky bezpečnostní auditovat jejich kódu.