Bezpečnostní profesionálové a vláda selhává spolupracovat
28.4.2014 Bezpečnost

Infosecurity Evropa dnes vydala novou zprávu, která poskytuje přehled o průmyslu krajiny a problémy, kterým v současné době čelí.

Poté, co zkoumal 1149 odborníky v oblasti bezpečnosti informací z celého světa, zpráva zdůrazňuje rostoucí význam informační bezpečnosti do obchodní strategie - od vlivu Edwarda Snowdena v NSA úniků a dopadů velkých dat, na poptávku po zasedací místnosti vzdělávání a potřebu rozvíjet Dlouhodobá strategie pro boj se vyvíjejícími hrozbami. Historicky nahlíženo jako na překážku podnikání, informační bezpečnost je postupně uznávána jako obchodní enabler. Zpráva také ukazuje, že účinnější spolupráce mezi vládou a informační bezpečnosti průmyslu má zásadní význam pro ochranu organizací z budoucí kybernetické hrozby. Navíc, další práce je třeba udělat k posílení postavení vlády jako zdroj informací o potenciálních hrozbách:. Pouze 4,8% z odborníků v oblasti informační bezpečnosti zvolili vládu jako jejich nejvíce důvěryhodný zdroj inteligence "To je něco, co je třeba naléhavě řešit, "řekl Brian Honan , zakladatel a generální ředitel společnosti BH Consulting, který je kvůli mluvit na Infosecurity Evropy 2014. "Bez zlepšení spolupráce mezi průmyslem a vlády jsme v nevýhodě proti našim protivníkům. Jak hrozeb a schopností těch, kteří chtějí porušit naše systémy vyvíjejí, musíme společně reagovat lépe na tom, jak se aktivně vypořádat se s hrozbou. Musíme průmysl a vláda spolupracovat při zajišťování strategický přístup je potřebný k umožňujících podnikům a občanům, aby se více vědomi ohrožení jejich dat, aby je vzdělávat v tom, jak se vypořádat s hrozbou, a konečně, jak pracovat společně na národní a mezinárodní úrovni řešit hrozby, kterým čelíme. " Bezpečnost dat je tlačen do agendy podle průzkumu, případně za katalýzy zjevení Snowdena v červnu loňského roku. NSA Exposé spustil akci, s 58,6% je přesvědčeno Snowden záležitost byla pozitivní, aby jejich podnikání pochopit potenciální hrozby. Navzdory tomu, že je to jasné uznání zasedací místnost musí zlepšit, protože 46,7% cítí, že to nebylo jednodušší, aby se jejich podnikání pochopit problémy, kterým čelí v důsledku úniku. Zatímco v celku, průmysl se potýká s záplavou údaje, které obdrží, 30,5% z odborníků v oblasti informační bezpečnosti cítí, že jejich organizace není schopen provést efektivní strategická rozhodnutí na základě těchto dat. Vzhledem k tomu, že většina viděli tento objem nárůst dat v průběhu posledních 12 měsíců, přijetí budoucí-důkaz přístup k informační bezpečnosti bude stále důležitější. Znepokojivé je, že 47,4% věří, že průmysl má přístup krátkodobé termist, potácí od jednoho hrozbou do druhého.


Kyberzločinci našli první „posmrtnou“ zranitelnost Windows XP

28.4.2014 Zranitelnosti
Internet Explorer 6, 7 a 8 ještě nebyl napaden, ale kritická bezpečnostní slabina v nich očividně je.

Podle sobotního prohlášení Microsoftu dochází k pokusům o zneužití chyby, která existuje v Internet Exploreru od verze 6 výše. Jde o snahy přesměrovat uživatele prohlížeče na infikované weby, kde by se na jejich počítač nainstaloval malware.

Zranitelné jsou všechny podporované verze Internet Exploreru, včetně verze 6, která pochází dokonce z roku 2001. I tato archaická verze je podporována, ale pouze na operačním systému Windows Server 2003, kde pro ni i nadále budou uvolňovány bezpečnostní záplaty. Stejná chyba ve stejném prohlížeči tedy nebude opravena ve Windows XP, operačním systému, jehož podpora skončila 8. dubna 2014.

To je důvod, proč je právě ohlášená zranitelnost tak důležitá. Je první a je v podstatě na ní, aby si připravila ovlivněné uživatele na novou realitu. Microsoft již v loňském roce prohlásil, že Windows XP budou po ukončení záplatování o 66 procent pravděpodobněji infikovány. Uživatelé, kteří zůstávají na Windows XP, mají ovšem ještě několik možností, jak nebezpečí nákazy přinejmenším snížit.

Mohou například nainstalovat Enhanced Mitigation Experience Toolkit (EMET) 4.1 – bezpečnostní nástroj, který je zdarma dostupný na webu Microsoftu. Další možností je odregistrovat soubor VGA.dll. Jde o jednu z dynamických knihoven, která vykresluje VML (Vector Markup Language) ve Windows a Internet Exploreru. Podle bezpečnostní firmy FireEye byly dosavadní útoky cíleny pouze na IE 9, 10 a 11 a využívají funkcí zásuvného modulu Adobe Flash Player. Jeho dočasné vypnutí tak eliminuje nebezpečí hrozící ze současných útoků na Internet Explorer.

Pochopitelně dalším řešením je přejít na nějaký alternativní prohlížeč, jako je Google Chrome nebo Mozilla Firefox. Pro ty jejich vydavatelé budou uvolňovat bezpečnostní záplaty minimálně dalších dvanáct měsíců.

Společnost Microsoft sice opravu explicitně nepřislíbila ani pro podporované operační systémy, ale je prakticky jisté, že ji uvolní v nejbližší době. Nejbližší termín pro pravidelně uvolňované aktualizace je 13. května 2014. Microsoft v poslední době spíše ustupuje od mimořádně uspíšených aktualizací, tzv. záplat mimo cyklus. Možným důvodem je přílišné riziko vedlejších efektů a zavlečení chyb v nedostatečně testovaném kódu.

Podle prvních analýz je za útoky na zmiňovanou zranitelnost zkušené kyberzločinecká skupina, která v minulosti již testovala útoky na právě objevené chyby, které ještě neměly možnost opravy. I díky jejich zkušenostem je velmi obtížně monitorovat jejich aktivity, i proto, že nevyužívají opakovaně stejnou řídící infrastrukturu.


Pozor na nový zákeřný spam, v příloze číhá past

28.4.2014 Spam

Do e-mailových schránek českých uživatelů začal přicházet nový spam, který je docela nebezpečný. Na rozdíl od svých nesčetných sourozenců vypadá totiž docela důvěryhodně. Upozorňuje na nutnost uhrazení pohledávky v řádech jednotek tisíc korun, chyb v textu je na úroveň spamu docela málo a vše je podepsáno českým jménem s českým telefonním číslem. V příloze ale čeká past.
Samozřejmě lze velmi snadno identifikovat, že se jedná o spam, nicméně méně pozorní uživatelé by se tentokrát mohli nachytat snadněji, než kdy jindy. První identifikátorem něčeho nekalého je adresa odesílatele – v našem případě nám zpráva přišla z domény Asociace výrobců a prodejců zbraní a střeliva, ale hned v první větě nás přitom pochvalují, že využíváme produkt jejich banky, což je zjevně nesmysl. A nechybí také překlepy, i když v tomto případě jich je překvapivě málo.

Zpráva operuje s aktuálními daty, přesně vyměřenou částkou a číslem údajné smlouvy. Její kopie je prý přiložena v přiloženém souboru ZIP. Jenomže v onom ZIPu je schován spustitelný soubor EXE, který může být velmi nebezpečný. Antiviry ho přitom zatím nemusí detekovat.


IE Zero Day poradenství od společnosti Microsoft
28.4.2014
Zranitelnosti

Společnost Microsoft vydala Advisory Security včera (1), která ovlivňuje Internet Explorer verze 6 až 11, přičemž využívá zranitelnosti v programu Flash. Poradní Microsoft uvádí, že â € œThe zranitelnosti je vzdálené spuštění kódu. â € | zranitelnost může dojít k poškození paměti takovým způsobem, který by mohl útočníkovi umožnit spuštění libovolného kódu v kontextu aktuálního uživatele v aplikaci Internet Explorer. Útočník by mohl být hostitelem speciálně vytvořeného webu, který je určený ke zneužití této chyby zabezpečení prostřednictvím aplikace Internet Explorer a přesvědčit uživatele k návštěvě tohoto website.â €?

Toto využití je v současné době vidět v omezené útoky v této době proti verze IE9-IE11, podle dodavatele bezpečnostní Fireeye (2), který pracuje s MS v tomto okamžiku. V době psaní tohoto článku, oprava není zatím k dispozici.

Opatření, jež mají omezit dopad této chyby zabezpečení:

- Instalace Emet. Podle testování Fireeye v Emet 4,1 a 5 se zlomit využít.

- Zakázat Flash. Všimněte si, že IE 10 a později na Windows 8 jsou uvedeny včetně Flash. Ale stále můžete zakázat. To je IE zranitelnost, ale Flash je třeba ji využít, a vynechat některé z technik ochrany realizovaných v novějších verzích IE / Windows.

- Povolte aplikaci Internet Explorer "Enhanced Mode Protection" (EPM), které byly k dispozici v aplikaci Internet Explorer 10, ale to může zlomit nějaké pluginy..

Â

(1) https://technet.microsoft.com/en-US/library/security/2963983

(2) http://www.fireeye.com/blog/uncategorized/2014/04/new-zero-day-exploit-targeting-internet-explorer-versions-9-through-11-identified-in-targeted-attacks.html


Zpráva Spam: březen 2014
28.4.2014 Spam

Spam v centru pozornosti
Dovolená spam
Spamování v jazycích
Spamování na telefonu
Statistika
Podíl nevyžádané pošty v e-mailovém provozu
Zeměpisné rozložení zdrojů spamu
Škodlivé příloh v e-mailovém provozu
Zvláštnosti škodlivého spamu
Phishing
Závěr
Spam v centru pozornosti

V březnu, spammeři se nespokojí se držet s tradiční rekreační související reklamy; se také používá letní tématikou zprávy kon osobní údaje od uživatelů sociálních sítí.

Spam provoz Březnový včetně několika charakteristických skupin inzerátů - zboží pro majitele aut, nabídky nemovitostí na Krymu, jazykové školy a služby s cílem zlepšit telefonní komunikaci kancelář. Mnoho z těchto zásilek byly nalezeny v ruských a mezinárodních segmenty na internetu.

Dovolená spam
V roce 2014, pravoslavné a katolické Velikonoce se slaví ve stejný den - 20. dubna. V předehře k dovolené v angličtině spam provoz distribuován tradiční slavnostní inzeráty na falešné značkové zboží a cukrovinek.
 

Russian-language spam nabízeny také sladkosti a upomínkové předměty s velikonoční tematikou.
 

Nápadně, nebylo tak moc Velikonoční spam března; očekáváme mnohem více v dubnu.

Den svatého Patrika, který se slaví 17. března, byl využíván podvodníci ukrást přihlašovací jména a hesla z LinkedIn osobních účtů. Hmotnost poštovní věnovaný dovolenou nabídl uživatelům zdarma premium účet na síťovém serveru. Pro vstup na účet příjemce musel kliknout na odkaz na konci e-mailu. Nicméně, odkaz vede na stránku, phishing, spíše než na oficiálních stránkách LinkedIn a všechny informace zadané uživatelem byla předána podvodníky. Oni používali logo na sociální síti a automatický podpis, aby se e-mail vypadat legitimní. Navíc, adresa odesílatele i vypadalo spolehlivé, s výjimkou názvu linke.com domény použitý namísto oficiálního linkedin.com.

Spamování v jazycích
V spamu března aktivně nabízeny různé metody učení cizích jazyků. Příjemci byli vyzváni, aby se naučit cizí jazyk za pouhých 10 dní. Místo jména odesílatele takové zprávy často obsahovaly frázi "jazykovému vzdělávání", zatímco nově vytvořené e-mailové domény v adrese odesílatele se pohybovala od e-mailu na e-mail. Zprávy obsahovaly dlouhé odkazy, které po sérii přesměrování, vedly k inzertního serveru nabízí slevu pro sadu DVD pro výuku cizího jazyka pomocí unikátní metody. Při objednávce, příjemce mohl zaplatit pomocí výhodnou platební systém.
 

Další hromadné korespondence, tentokrát poslal jménem překladatelských agentur, také využívány jazykové témata. E-maily se objevily v různých jazycích - angličtina, němčina, francouzština, španělština a holandština. Někdy se text zprávy byl napsán v několika jazycích. E-maily obsahovaly seznam pracovních jazyků agentury, hlavní jazykové páry k překladu, jakož i seznam služeb (tlumočení, překladatelské, nejpopulárnější překladatelské témat). Byly poskytnuty Přímé odkazy na "webové stránky nebo kontaktních telefonních čísel nebo manažerských agentur e-mailových adres.
 

Spamování na telefonu
V březnu, spammeři aktivně rozeslal inzeráty, které nabízejí různé způsoby, jak snížit náklady na telefonování. Většina z těchto zásilek bylo posláno do velkých firem. Příjemci byly nabídnuty způsoby, například zlepšení kvality pevné kancelářské komunikace, připojení pevné linky s některými kódy, nebo dělat neomezené volání do zahraničí z nějakého města na nejnižších sazeb.
 

Hromadné e-maily reklamní tyto služby přišel z adres registrovaných na vyhrazených doménách a lišil se od e-mailu na e-mail. Odkazy ve zprávách vedla k webu, který obsahuje mini-průzkum a po vyplnění formuláře byl uživatel vyzván, aby si vybrat nejvýnosnější řešení. Nakonec, je to všechno vrátil do reklamy určité telefonní služby.

Statistika

 

Podíl nevyžádané pošty v e-mailovém provozu

Podíl nevyžádané pošty v e-mailovém provozu v průměru 63,5% v březnu. Nejvyšší úroveň spamu (67,3%) byly zaznamenány na první týden v měsíci, s následným postupným poklesem spammer činnosti ke konci měsíce

Zeměpisné rozložení zdrojů spamu
V březnu, seznam zdrojů distribuci spamu na celém světě vypadal takto:

Zdroje spamu podle země

V březnu, Čína byla hlavním zdrojem spam s 24,6% všech distribuovaných spamu, což představuje nárůst o 1,7 procentního bodu oproti předchozímu měsíci. To bylo následované Spojenými státy, jejichž příspěvek (17%) se snížil o 2 procentní bodů v březnu. Jižní Korea skončil třetí se rozšířila o 13,6% světového spamu, 0,8 pb více než v únoru. V březnu, tyto tři země představovaly více než polovinu veškeré nevyžádané pošty odeslané na celém světě.

Čtvrtá pozice byla pořízena Ruska (6,5%), který se rozšířil o 0,5 procentního bodu méně nevyžádané pošty než v předchozím měsíci.

Příští přišel Tchaj-wan (6%), Indie (3.75), Vietnamu (3,5%) a Ukrajina (2%), všichni zachování jejich postitions od února: jejich podíl změnil bezohledně.

Japonsko (1,9%) vyšplhala z desátého-deváté místě, i když jeho podíl vzrostl pouze o 0,15 s. Rumunsku (o 1,8%) dokončil březnovém Top 10.

Také poznámky je mírný nárůst spammer činnost ve Velké Británii (1 pb), který tlačil tuto zemi na dvanácté místo, osm míst vyšší než únoru.

Zdroje spamu v Evropě podle země

Jižní Korea zůstala hlavním zdrojem spamu poslal do evropských uživatelů (50,8%) v březnu: jeho podíl vzrostl o 1,2 procentního bodu v předchozím měsíci. Příští přišel USA, jejíž příspěvek se snížil o 1,4 procentního bodu na Tchaj-wanu (6%) byla na třetím místě, i když její podíl zvýšil 0,5 procentního bodu

Ruska (4,2%) zůstal čtvrtý s poklesem o 0,8 pb od února.

Března došlo k poklesu množství spamu pocházejícího z Číny (2,9%), Ukaraine (1,8%) a v Německu (0,7%) o 1, 0,5 a 0,7 pb, resp. Současně došlo k nárůstu podílu Vietnamu (2,7%), Indie (2,6%) a Spojené království (1,8%) na dokončení březnovém Top 10.

V březnu, Francie a Thajska zvýšily svůj podíl o 0,5 pb každého, pohybující se tyto dvě země do hodnocení nejaktivnějších distributorům spamu zaslaných evropských uživatelů.
 

Zdroje spamu podle krajů

Asie zůstává vedoucí regionu (58%) pro distribuci spamu - její podíl je 4 pb vyšší než v předchozím měsíci. To následuje Severní Americe (17%) a východní Evropy (5%), jehož podíl se snížil o 2,6 a 1,4 procentního bodu, resp. Podíl nevyžádané pošty, která pochází z jiných regionů viděl téměř žádnou změnu.

Škodlivé příloh v e-mailovém provozu

V březnu se Top 10 škodlivých programů distribuovaných prostřednictvím e-mailu vypadal takto:
 

Top 10 škodlivých programů distribuovaných prostřednictvím e-mailu

Trojan-Spy.HTML.Fraud.gen je stále číslo jedna. Jak jsme již psali dříve, tento kus malware z rodiny Fraud.gen je falešná data vstupu stránku HTML, která je odeslána uživateli e-mailem, přestrojený za důležitou zprávu z velkých komerčních bank, on-line obchody, softwarové firmy apod.

Březnová druhé a desáté pozice byla pořízena zástupci rodiny Aspxor. Aspxor je spam odesílání síťových červů. Je možné automaticky infikovat webové stránky, stahovat a spouštět další software, a sbírat cenná data v počítači, jako jsou uložená hesla a pověření k e-mailu a FTP účtů.

Třetí přišel náš starý známý Email-Worm.Win32.Bagle.gt, e-mail červ, který posílá kopie sebe sama všem e-mailové adresy nalezené v infikovaném počítači. Červ také stahuje soubory z internetu bez vědomí uživatele. E-mailové Worm.Win32.Bagle.gt používá svůj vlastní SMTP knihovnu poslat infikované zprávy.

Trojan-Spy.Win32.Zbot.saps a Trojan-Spy.Win32.Zbot.sapp. byly v čtvrtém a devátém pozice, resp. Zbot je Trojan speciálně vyvinut krást důvěrné informace. Zbot.saps, kromě své hlavní funkce, a to i nainstaluje Rootkit.Win32.Necurs (nebo Rootkit.Win64.Necurs), které, pokud je úspěšně nainstalován na infikovaném počítači, se střetává s prací antivirových programů a dalších řešení pro ochranu.

Neslavný Bublik malware rodina obsadila páté místo v žebříčku. Bublik je Trojan downloader, který stáhne škodlivé soubory uživatelských zařízení a poté spustí soubory, které jsou stáhnuty.

Backdoor.Win32.Androm.dpqs a Backdoor.Win32.Androm.dqpi přišla šestá a sedmá, respektive v ratingu březnových. Andromeda rodina malware se skládá ze zadní vrátka, které umožňují zločinci tajně ovládat napadeného počítače. Stroje infikované těmito programy se často stávají součástí botnetů.

Distribuce mailové antivirových odhalení podle zemí

USA (-1,2 pb) na špičce hodnocení zemí s nejvyšším počtem mailové antivirových odhalení. Velká Británie a Německo zůstal druhý a třetí.

Ruska přesunul se z dvanáctého šestnáctém místě s poklesem o 0,82 pb v počtu mailové antivirových odhalení. Austrálie také došlo k výraznému poklesu (-0,75 pb), padající z sedmé-desáté.

Zvláštnosti škodlivého spamu
V březnu, spousta škodlivých příloh byla zaslána jménem různých známých finančních institucí daní souvisejících. Tyto zprávy napodobil platební oznámení od správce daně, žádosti o platby daní, nebo oznámení o nehlášené příjmu daňového poplatníka.

E-maily často obsahovaly údaje, jako je ID osoby povinné k dani, typ zdanění (v níže uvedeném příkladu je to daň z příjmu), referenční číslo dokumentu nebo oznámení informuje příjemce, že jeho dříve podal daňové přiznání bylo falešné.
 

Chcete-li získat více informací, příjemce byl požádán, aby otevření v přiložené zprávě a někdy vyplnit připojený formulář s dokumentem. Ve všech případech, potřebné dokumenty byly pravděpodobně zahrnuta v připojeném archivu, který ve skutečnosti obsažené spustitelný škodlivého souboru.

Například, tyto archivy provádějí zjištěné aplikací Kaspersky Lab jako Trojan-PSW.Win32.Fareit.aoee a Trojan.Win32.Bublik.buya trojské koně. Zástupci první škodlivého rodiny krást cookies a hesel z FTP klientů a e-mailové programy a poté odeslat data na vzdálený server běh podvodníky. Druhá rodina malware stáhne škodlivých souborů na uživatelských počítačích a provozuje je.

Phishing
Sociálních sítí se opět organizace nejčastěji používán v phishingových útoků, i když jejich podíl snížil o 3,8 procentního bodu oproti předchozímu měsíci na 23,5%. Příští přišel e-mailové služby (16,6%). Vyhledávače (14,4%) a finanční a e-vyplatily organizacím klesla o 2 a 3,5 pb, resp, což ve vyhledávačích zaostávání finančních služeb na třetím místě. Podíl phishingových útoků na on-line obchodů vzrostla o 8,9 procentního bodu, zvedací tuto kategorii dvě pozice až na páté místo. Podíl poskytovatelů telefonních a internetových služeb nevýznamně vzrostla jak v této kategorii klesl na šesté místo.
 

Distribuce Top 100 organizací, na něž phisherů podle kategorií

Hodnocení je založeno na společnosti Kaspersky Lab anti-phishing součástí odhalení, které jsou aktivovány pokaždé, když se uživatel pokusí klikněte na odkaz phishing, bez ohledu na to, zda je odkaz v nevyžádaných e-mailů, nebo na webové stránce.

Německé banky se stávají častým cílem pro phisherů. V březnu jsme ještě registrován další podvodné hromadnou korespondenci, jejímž cílem je krást osobní informace od uživatelů internetu bankovnictví. E-mailu zaslaného na účet zaměstnance banky informoval příjemci, že přístup k on-line účtům brzy vyprší. Chcete-li pokračovat pomocí on-line bankovní služby Uživatelé byli pozváni následovat odkaz, který ve skutečnosti vedl na stránku, phishing, kdy uživatelé byli vyzváni k zadání nejen jména a hesla z jejich on-line bankovních účtů, ale své osobní údaje také.

Falešné stránky napodobil oficiální stránky banky, ale phishing e-mail sám o sobě neobsahoval žádné konstrukční prvky (banka logo, auto podpis, atd.) běžně používají podvodníci, aby se jejich e-maily vypadají legitimní. Nápadně, název domény serveru, je uvedeno za symbolem @ v adrese odesílatele byla ve vlastnictví National Research Council of Canada, která nemá nic společného s bankovním organizace.
 

Závěr

Podíl nevyžádané pošty v celosvětovém e-mailovém provozu březnu snížila o 6,4 pb a v průměru 63,5%. Celková částka na dovolenou-themed spamu také poklesl oproti předchozímu měsíci. Zatímco nadcházející velikonoční svátky byly využity k propagaci různých produktů a slavnostní dárky, Den svatého Patrika byl používán podvodníci získat přístup k účtům na populárních sociálních sítích.

Kromě toho, spam provoz byl zaplaven obrovským množstvím inzerátů na jazykových škol, které nabízejí všechny typy výukových přístupů. Mnoho zásilky obsahoval informace o tom, jak optimalizovat komunikaci ve velkých a středně velkých firem.

V březnu, seznam zdrojů distribuci spamu na celém světě vypadal takto: Čína (24,6%), USA (17%), Jižní Korea (13,6%). Asie zůstává lídrem (58%) v distribuci spamu.

Chcete-li odesílat zprávy, které obsahují nebezpečné přílohy, útočníci se uchýlil k falešné oznámení zaslaných nejen renomovanými bankami, ale jinými finančními organizacemi zapojenými do, například, vyměřování a výběru daní.

V březnu, sociálních sítí se opět nejpopulárnější služba pro phisherů napodobit. Příští přišel e-mailové služby následuje vyhledávačů. Podíl phishingových útoků na on-line obchodech výrazně vzrostly umožňuje tato kategorie vylézt dvě místa až na páté místo.


Společnost Microsoft vydává Threat Modeling Tool 2014
28.4.2014 IT
Microsoft Threat Modeling Tool 2014 je nejnovější verze zdarma Security Development Lifecycle modelování hrozeb nástroj, který byl dříve propuštěn v roce 2011.
 

Upozorní na nové funkce patří:
Nová kresba Povrchové Předchozí verze Threat Modeling Tool vyžaduje aplikaci Microsoft Visio k vytvoření toku dat diagramy, tato nová verze má své vlastní kreslící plochu a Visio již není potřeba.
STRIDE na interakce velkého zlepšení v této verzi je změna přístupu, jak vytvářet hrozby. Microsoft Threat Modeling Tool 2014 používá Stride za interakci na generaci hrozeb, byly v minulých verze použitého nástroje STRIDE na prvek.
Migrace na v3 modely Aktualizace své starší modely hrozeb je snadnější než kdy jindy. Můžete přenést hrozeb modely postavené na modelování ohrožení Tool v3.1.8 formátu v aplikaci Microsoft Threat Modeling Tool 2014
Aktualizace definic hrozeb jsme přes větší flexibilitu pro naše uživatele přizpůsobit nástroje podle jejich specifické oblasti. Uživatelé mohou nyní rozšířit zahrnuty definice hrozeb se ty jejich vlastní.


Zabezpečení z nejpopulárnějších programovacích jazyků
27.4.2014 Zabezpečení

Nová zpráva WhiteHat Security má hlubší pohled do bezpečí řady nejpopulárnějších programovacích jazyků včetně. Net, Java, ColdFusion, ASP a další.

"Rozhodování o tom, který programovací jazyk použít, je často založen na úvahách, jako to, co vývojový tým je nejvíce obeznámeni s, co bude generovat kód, nejrychlejší, nebo prostě to, co bude mít práci," řekl Jeremiah Grossman, zakladatel a iCEO z WhiteHat Security . "Jak bezpečné jazyk může být, je prostě nápad, který je obvykle příliš pozdě." "Jako průmyslu nám chybí dostatečné bezpečnostní údaje, které týmy se mohou spolehnout na v výběr jazyka procesu jejich projektu," pokračoval Grossman. "Tato zpráva se blíží zabezpečení aplikace není z hlediska jaká rizika existují na stránkách a aplikací poté, co byly zatlačeny do výroby, ale spíše tím, že zkoumá, jak samotní jazyky provádět v této oblasti. Přitom doufáme, že povýšit bezpečnostní aspekty a prohloubit ty rozhovory dříve v rozhodovacím procesu, což v konečném důsledku povede k více zabezpečených webových stránek a aplikací. " whitehat vědci zkoumali výsledky posouzení zranitelnosti více než 30.000 internetových stránek na míru, jak mohou příslušné programovací jazyky a rámce hrát v poli. S touto informací, zpráva přináší základní poznatky, kolem které jazyky jsou nejvíce náchylné na které třídy útoku, na tom, jak často a jak dlouho, jakož i určení, zda je či není populární moderní jazyky a rámců přinést podobné výsledky ve výrobních webových stránkách. Nové vs legacy jazyky položit základy pro výzkum, tým nejprve zkoumal množství jazyků v poli, a zjistil, nebylo překvapením, že. Net, Java a ASP jsou nejpoužívanější programovací jazyky na 28,1%, 25% a 16%, resp. Legacy programovací jazyky, které byly po desetiletí, PHP (11%), ColdFusion (6%), a Perl (3%), zaokrouhlí se na zbývající pole. Popularita a složitost. NET, Java a ASP, znamená, že potenciální útok plochy pro každý jazyk je větší; jako takový, 31% zranitelností byly pozorovány v síti, 28% byly nalezeny v Javě a 15% byly nalezeny v ASP.. Odtud vědci měli tyto klíčové pozorování:

Tam byl žádný významný rozdíl mezi jazyky při zkoumání nejvyšší průměry zranitelnosti na slotu. . Net měl v průměru 11,36 zranitelností za slot. Java Bylo zjištěno, že v průměru 11,32 a ASP přišel na 10,98.
Spodní část spektra, nebo nejvíce "bezpečný", také ukázala žádný významný rozdíl mezi jazyky s nejnižšími průměrnými zranitelnosti na slotu. Perl byl pozorován jak mít 7 zranitelnosti na slotu. ColdFusion bylo zjištěno, že nejmenším počtem s průměrem 6.
Z hlediska třídy zranitelnosti, výzkumný tým z těchto objevů:
Cross-Site Scripting získá číslo jedna místě poté, co byl předjet úniku informací v loňském roce ve všech ale jednom jazyce. . Net má úniku informací jako číslo jedna zranitelnost, následuje Cross-Site Scripting.
ColdFusion má sazbu 11% SQL injection zranitelnosti, nejvyšší pozorovat, následuje ASP s 8% a. NET 6%.
Perl má pozorovaná četnost 67% Cross-site scripting zranitelnosti, více než 17% více než v jakémkoli jiném jazyce.
Tam bylo méně než 2% rozdíl mezi jazyky s Cross-Site Request padělání a.
Mnoho zranitelností třídy nebyly ovlivněny výběru jazyka.
Sanace zůstává klíčovým faktorem

"Byli jsme trochu překvapeni, když zjistili, že jazyky, které byly po desetiletí byli skutečně schopni držet krok s více cizích jazyků, když to přišlo k sanaci některých tříd zranitelnosti," řekl Gabriel Gumbs, ředitel řešení architektury pro WhiteHat Security, který také vedl výzkumný tým na tomto projektu. "Například, Perl překonal smečku, když to přišlo k sanaci XSS zranitelnost, což bylo nejvíce převládající zranitelnost ve všech jazycích. Podobně SQL Injection měl rychlost sanační 96% v ColdFusion aplikace a každý zneužívání funkcí zranitelnosti nalezené v ColdFusion místech byla sanace. " Další zajímavé statistiky sanace:

ASP je sanace ve stejné výši jako v jiných jazycích, se zaměřením na kritické zranitelnosti.
Perl remediates 85% všech Cross-site scripting zranitelnosti, nejvyšší míru mezi všemi jazyky, ale pouze 18% SQL Injection.
Net a Java mají stejnou míru sanační SQL Injection na 89%.
ColdFusion remediates 100% jeho zneužívání funkcí zranitelnosti, 96% jeho SQL Injection, a 87% z nedostatečné ochrany Transport Layer zranitelnosti.
Průmysl oblíbené

"Často, když máme rozhovory s klienty nebo jejich vývojových týmů o tom, proč se domnívají, že praktikování bezpečného kódování je tak náročné, že nám říkají, že je to proto, že jejich aplikace jsou často tvořeny" trochou všeho ", "řekl Gumbs. "V našem výzkumu jsme však zjistili, že organizace mívají značné množství jednoho nebo dvou jazyků s velmi minimální investice do ostatních." I když tým zjistil, že žádný průmysl má dokonce zhroucení, tam jsou trendy Amongst průmyslu, pokud jde o volbu jazyka:

Finanční služby má nejvyšší počet ASP stránek podle počtu, téměř o 3-k-1.
83% z herní průmysl stránek napsaných v PHP.
49% žádostí bankovní sektor byl napsán v Javě a 42% v roce. Net.
32% výrobních míst zadlužuje Perl jako jejich jazyk výběru.
Technologické odvětví napsal 35% svých stránek v PHP.
"Nakonec jsme přesvědčeni, že stejně jako volba jazyka začíná na architekturu a design fázi vývoje aplikací, zabezpečení musí začít i zde," řekl Grossman. "Pochopení dopadu těchto rozhodnutí brzy pomůže řešit řízení rizika později navíc zajistí, že software je testován ve všech fázích vývoje -. Včetně revize kódu webových služeb - celá cesta přes, dokud není žádost vyřazena z provozu je důležité, . Nebudeme dosáhnout skutečně bezpečné webové, dokud to bude standardní operační postup pro všechny aplikace přes palubu. " Úplná zpráva je k dispozici zde (nutná registrace).


Výrobce Hardware LaCie utrpěl celoroční porušení dat
27.4.2014 Incidenty

Francouzský skladování počítačový hardware výrobce LaCie utrpěl porušení dat, který ovlivnil dosud nepotvrzený počet svých zákazníků. "Dne 19. března 2014 FBI informoval LaCie, že zjistila, že neoprávněná osoba používají malware k získání přístupu k informacím z transakcí zákazníků které byly provedeny prostřednictvím internetových stránek LaCie, "společnost sdílené v oznámení incidentu . "jsme najali vedoucí soudní vyšetřování firmu, která provádí důkladné vyšetřování, a pomáhající nám v provedení dodatečných bezpečnostních opatření. Na základě šetření bylo zjištěno, věříme, že transakce provedené mezi 27 březnem 2013 a 10.3.2014 byl ovlivněn. " Informace, které byly pravděpodobně ohrožena při porušení obsahuje jméno zákazníka, adresu, e-mailovou adresu, číslo platební karty, datum ukončení platnosti karty, a pravděpodobně i jejich uživatelských jmen a heslo. "Jako preventivní opatření jsme dočasně zakázali e-commerce část webových stránek LaCie, když jsme přechod na poskytovatele, který se specializuje na zabezpečených služeb zpracování plateb. Budeme pokračovat v přijímání on-line objednávky, jakmile jsme dokončili přechod, "řekli, a dodal, že budou nutit reset hesla pro všechny zákazníky. Zákazníci se doporučuje, aby se na pozoru podvodné poplatky na své karty, a upozornit své banka okamžitě v případě, že na místě některé z nich. Dosud společnost nenabídla žádnou úvěr a služby na ochranu proti krádeži identity zdarma dotčeným zákazníkům.


Polovina IT profesionály, aby nedokumentované změny IT systémů
27.4.2014 IT

57% IT profesionálů udělali nedokumentované změny v jejich IT systémy, které nikdo jiný neví o; zatímco tolik jak 40% organizací nemá formální kontroly řízení změn IT na místě. Časté změny systému bez dokladů nebo auditorských postupů může způsobit výpadky systému a narušení bezpečnosti z interních a externích hrozeb, a zároveň snižuje celkové provozní efektivity. A NetWrix průzkum sběr dat z 577 IT odborníků v organizacích v celé řadě odvětví a různých velikostech. Zjištění Klíčové studie ukazují, že z respondentů:

65% provedli změny, které způsobily služby přestat
52% změny, které prostoje dopad systému denně nebo týdně
39% udělali změnu, která byla příčinou narušení bezpečnosti
40%, aby byly změny dopad na zabezpečení denně nebo týdně. Zajímavé je, že odvětví s vyšší předpisů dělají změny, které bezpečnostní dopad častěji, včetně zdravotní péče (44%) a finanční (46%).
62% mají malou nebo žádnou skutečnou možnost auditovat změny dělají, odhaluje závažné nedostatky v plnění bezpečnostních cílů, osvědčených postupů a dodržování
Jen 23% z nich je proces auditu nebo auditování změn řešení na místě k ověření změny jsou vloženy do řešení řízení změn.
"Tato data ukazují, že organizace IT jsou pravidelně dělat nedokumentované změny, dostupnost dopad systému a zabezpečení," řekl Michael Fimin, generální ředitel, NetWrix. "Je to riskantní postup, který může ohrozit bezpečnost a výkon jejich činnosti. IT manažeři a CIO potřebují . zhodnotit přidání změně auditu na svých procesů řízení změn To jim umožní, aby zajistila, že všechny změny - jak doložené i nedoložené -. jsou sledovány tak, že odpovědi lze rychle nalézt v případě porušení bezpečnosti nebo výpadku služby " " Se zhruba 90% výpadků je v důsledku neúspěšných změn, viditelnost do změn IT infrastruktury má zásadní význam pro udržení stabilního prostředí. Změna audit je také základním bezpečnostním a dodržování požadavků, "řekl David Monahan, ředitel pro výzkum, bezpečnosti a řízení rizik, Enterprise Management Associates. "změny Auditorské ve třídě prostředí podniku vyžaduje schopnost získat strategický pohled na vysoké úrovni, aniž by byla obětována na taktickou úroveň detailů systém a vhled rozšířené po celém systému zásobníku. NetWrix Auditor vyniká při získávání informací z širokého pokrytí Windows a ESX založených systémů, včetně systémů, které negenerují nativní auditní stopy. Produkt shromažďuje záznamy v non-rušivé způsobem poskytuje vhled do těchto změn s konsolidovaného vykazování motoru, "dodal Monahan.


Firmy se trochu akce ke zmírnění zasvěcených ohrožení
27.4.2014 Hrozby

Zatímco podniky jsou stále více vědomi zasvěcených hrozby, že stále chybí vymahatelná kontroly zastavit a potrestat pachatele. LogRhythm přehled 1000 IT odborníků zjistila, že více než třetina (36 procent), IT profesionálů věří, zaměstnanci by přístup nebo krást důvěrné informace, ale 38 procent nemají, nebo víte o, případných systémech, které mají zastavit zaměstnancům přístup k neoprávněnému údaje .

Překvapivě, méně než polovina (48 procent), pravidelně měnit hesla k zastavení bývalým zaměstnancům získat přístup a nejčastěji používané odstrašení je hrozba zahájení disciplinárního řízení (64 procent). Nicméně, v odpovídajícím průzkumu 200 zaměstnanců, téměř polovina (47 procent) přiznala, že přístup, nebo vzít důvěrné informace z pracoviště, se 41 procent pomocí hesla a uživatelská jména pro přístup k datům poté, co opustil společnost. Zejména těch, kteří byli chyceni, čtvrtina neřekl nic nestalo, zatímco 67 procent se mluvilo, ale byla přijata žádná disciplinární opatření. Ještě více znepokojující je skutečnost, že 79 procent tvrdil, že nikdy nebyly identifikovány jejich nelegitimní akce. "I když je jasné, že riziko nepoctivých zasvěcenci se razí svou cestu až na firemní agendy, co to není jasné, je to, jak jsou organizace zabývající se hanebné činnosti zaměstnanců," řekl Ross Brewer, viceprezident a generální ředitel pro mezinárodní trhy v LogRhythm. "Ve LogRhythm je 2013 výzkum, jen 19 procent věřili, zaměstnanci by se krást data, čísla, která se téměř zdvojnásobil v loňském roce, což znamená, že podniky se pomalu probouzí k reality. Jaká je matoucí je, že navzdory tomu, že většina organizací se dosud uvedení odpovídající systémy. Ve skutečnosti, to není jen ohromující, že tak velký počet zaměstnanců nebyly nikdy chycen přístup k důvěrným údajům, ale že ti, kteří byly často dostal pryč s ním scot zdarma, "dodal Brewer. "Co můžeme vzít z toho je, že většina organizací stále mají jen velmi malou představu o tom, co se děje v rámci svých sítí," pokračuje Brewer. "I když se tváří v tvář s denními zprávami vnitřních bezpečnostních hrozeb, jako je nedávné Target porušení, jakož i vládní iniciativy na zvýšení informovanosti, podniky jsou stále sklon přimhouřit oko. V době, kdy hrozeb je tak obrovský a následky jsou tak velké, to je prostě neodpustitelné. " Zatímco více IT profesionálové citovat zasvěcených hrozbu jako větší bezpečnostní riziko (31 procent) než vnějšími hrozbami (29 procent), obecné shoda se zdá být to, že není dostatek význam je kladen na, které ji obsahují, se 37 procent pocitem, jako je jejich podnikání by mohl udělat více pro ochranu informací od zaměstnanců. Vzhledem k tomu, že třetina má také tušení, zda nebo ne oni utrpěli porušení dříve, Objeví tam je ještě dlouhá cesta. "Je ohromující, že třetina IT profesionálů nemůže říci, zda jejich organizace se někdy trpěl porušení - určitě to poznání by mělo být minimum? Aniž by věděl, co se stalo včera, podniky mají malou naději na ochranu jejich sítí dnes, "pokračoval Brewer." Podniky zřetelně potřeba zvýšit úroveň viditelnosti, které mají do svých sítí, aby bylo možné zahlédnout jakékoliv pochybné aktivity. Sledováním každou událost, ke které dochází v rámci IT infrastruktury - a to jak z interních a externích zdrojů - a definování "normálního" chování pro uživatele a systémy, budou organizace moci identifikovat a napravovat jakékoli porušení, jakmile k nim dojde. Pouze tím, že získá tuto in-hluboké znalosti a posílení kontroly přístupu strategie, budou podniky moci skutečně bránit.


První fáze TrueCrypt auditu zjistí, žádné zadní vrátka
27.4.2014 Bezpečnost

Pamatuji si, když koncem loňského roku cryptographer Matthew Green a Kenneth White, hlavní vědecký pracovník v sociálních a vědeckých systémů, volal - a pak organizovány - crowdfunded, veřejný audit bezpečnosti TrueCrypt ?

No, výsledky z první fáze auditu byly zveřejněny, a zpráva je dobrá, co se týká potenciálních zadní vrátka přítomných v kódu. ISEC Partners, penetrační testování a software ověření designová firma, která byla smluvně v prosinci hodnotit TrueCrypt'S kód Windows kernel, bootloader, ovladač souborového systému, a oblasti kolem tohoto kodexu, uvádí, že "žádné důkazy o zadní vrátka nebo jinak záměrně škodlivý kód v posuzovaných oblastech," a že nalezené zranitelnosti "všichni se zdají být neúmyslné, představen jako důsledek chyb, spíše než zloby. " Všichni ve všech, našli jedenáct bezpečnostních otázek, z nichž čtyři střední závažnosti, čtyři nízké závažnosti, a zbývající tři "informační" závažnosti. "Celkově lze říci, zdrojový kód pro jak bootloader a ovladače jádra systému Windows nesplňuje očekávané normy pro bezpečný kód. To zahrnuje otázky, jako je nedostatek komentářů, používání nejistých nebo zastaralých funkcí, nekonzistentní typy proměnných, a tak dále, "vysvětlili. "tým také zjistil, potenciální slabost kontrol Volume Header integrity, dodali. "V současné době, integrita se provádí pomocí řetězec (" true ") a dva CRC32s Aktuální verze TrueCrypt využívá XTS2 jako režim blokové šifry provozu, která nemá ochranu proti modifikaci;. Však, že je dostatečně poddajný být spolehlivě napaden. Ochrana integrity lze obejít, ale XTS brání spolehlivý útok, tak to nemá v současné době jeví jako problém. " tým našel v online dokumentaci k softwaru je velmi dobrá, snadno pochopitelné a správné. "Stručně řečeno, zatímco TrueCrypt nemá většina leštěné styl programování, není nic, co bezprostředně nebezpečné hlásit, "Tom Ritter, bezpečnostní konzultant v ISEC Partners uzavřena . Druhá fáze projektu auditu je nastaven na sledování, a to bude zahrnovat důkladnou analýzu část kódu zodpovídá za skutečného procesu šifrování.


Rostoucí obavy o ochranu osobních údajů
27.4.2014 Bezpečnost

Téměř devět z deseti (88%), Američtí spotřebitelé jsou alespoň "něco" obavy o soukromí svých osobních údajů, podle GfK. Jeden ze tří spotřebitelů také hlásí, že je přímo ovlivněna zneužití osobních údajů v uplynulém roce.

Průzkum provedený minulý měsíc, shromažďují poznatky o postojích spotřebitelů, obavy, a požadované řešení s ohledem na zabezpečení dat a dat. Zhruba polovina (49%) uvedla, že je nyní "velmi" obavy o soukromí svých dat, a 59% uvádí, že jejich obavy se zvýšil v posledních dvanácti měsících. Spotřebitelé také říkají, že chtějí větší ochranu; 56% ukazují, že nejlepší organizace, jako jsou sociální sítě a společnosti vydávající kreditní karty, je třeba přijmout opatření, a 54% věří, že americká vláda nedělá dost pro ochranu svých dat. Téměř 80% si myslí, že vláda by měla být více zapojeny do provádění předpisy, aby se zabránilo organizací z "změně použití osobních údajů pro třetí osoby." Ale méně než polovina (48%) spotřebitelů mění své internetové návyky kvůli obavám o soukromí, zabráněním on-line bankovnictví, sociální sítě, nebo jiných on-line aktivit a zdrojů. "Sdílená data jsou v mnoha ohledech, motor on-line ekonomiky, zejména v této době velkých objemů dat," uvedl generální ředitel GfK, Matthias Hartmann. "Bedlivě sledovat pocity spotřebitelů o ochraně osobních údajů poskytuje základní inteligenci na trhu - umožňuje rychlejší a inteligentnější reakce na vznikající obavy. Jako společnost pro výzkum trhu a GfK je již dobře vyznají v zacházení spotřebitelů údaje bezpečně a uspokojování měnících se potřeb údajů klientů v celé řadě průmyslových odvětví. " Průzkum ukazuje, že důvěra spotřebitelů není stejná ve všech průmyslových odvětvích. On-line prodejci jsou stále velmi důvěru spotřebitelů - a to i po velkých datových porušení uplynulých měsících - pořadí jako třetí nejdůvěryhodnější typu organizace zpracovat údaje spotřebitelů. Nemocnice a poskytovatelé zdravotní péče řadí na vrchol nejvíce důvěryhodné organizace, obdrží kladnou odpověď od více než 70% respondentů; . ale on-line sociální sítě pozemek v dolní části tři z hlediska důvěry, vydělávat pozitivní známky pouze z 39% spotřebitelů Výzkum také zjistil významné rozdíly v zájmu mezi generacemi:

Boomers a Pre-boomu (50 let a více), mají tendenci být více na ochranu svých online aktivit ve srovnání s mladšími lidmi. Počet boomu a pre-boomu vyhnout veškeré služby on-line, je vyšší než v jakékoliv jiné generaci.
Dvě třetiny (66%) z boomu a pre-boomu říci, že vláda musí udělat více pro ochranu soukromí dat. Generace Y a Z (ve věku 19 - 34 roky), jsou o něco více spokojeni se současnou roli vlády v oblasti ochrany údajů, ale jejich úroveň zájmu jsou stále vysoké.
Průzkum GfK, provedla v návaznosti na několika významných datových porušení hlavních značek měřit postoje amerických spotřebitelů. GfK provedla průzkum od 7 březen-09. březen 2014 mezi 1000 respondenty, všichni ve věku 18 let nebo starší.


Bezpečnostní profesionálové aktivně skrývat negativní skutečnosti z vedoucích
27.4.2014 IT

Nová studie Ponemon Institute odhaluje závažné mezery ve viditelnosti bezpečnosti a vnímání mezi manažery C-úrovně a bezpečnosti IT pracovníci. Téměř 60 procent organizací, odpovědnost za řízení dopadu podnikání nebo technologické změny na bezpečnostní pozici bydlí s C-Level vedení (ČSÚ, CISO, CIO, CTO, atd.), a 66 procent dotazovaných organizací, výkonný a rady vnímání bezpečnosti je "vysoká." Nicméně, informace, na nichž je, že vnímání vychází je neúplná, se 60 procent IT bezpečnostní pracovníci informování vedení specifických rizik pouze tehdy, pokud je riziko považováno za "vážné", nebo vůbec - a ve více než polovině případů, aktivně vynechání negativní fakta. Ve stínu historického Target porušení, a zjevení že cíl vedení ignoroval výstrahy zabezpečení, zjištění nemůže být výmluvnější, a jdou k jádru toho, co se zdá být endemický problém po každém odvětví. autor studie, Dr. Larry Ponemon, řekl: "Co je nejvíce znepokojivé je, že Zdálo by se bezpečnost v mnoha organizacích je založen na vnímání a "střevní pocit," proti tvrdých dat. Zúčastněné strany s nejvyšší odpovědností se zdají být přinejmenším informován - pohled, který je zesílen externě. Také jsme zjistili, že výkonný vnímání bezpečnosti "síly", měl téměř totožný podíl (63 procent), v externích partnerů, a víme, že třetí strany nedostatky také měl ruku v Target porušení. " Potápění hlouběji do konkrétních čísel, to rychle zřejmé, že příčiny rozbité komunikace a v důsledku zranitelnosti spočívají v organizační neschopnost přizpůsobit změnám a přesně nastavit, měřit a zlepšovat metriky pro správu jeho dopad, a to konkrétně:

Zatímco drtivá většina (74 procent) vidí bezpečnostní metriky jako důležité 69 procent viz otázka metriky soupeří s obchodními cíli a 62 procent cítí, že stávající metriky neposkytují dostatek informací.
Více než 40 procent viz Cloud a mobilita / BYOD jako technologie s největším dopadem na účinnost zabezpečení. Přesto, specifické pro Cloud, 46 procent tvrdí, že stávající metriky nelze kvantifikovat plnou bezpečnostní dopad Cloud modelů.
Toto nepřesné měření změn vede bezpečnostní pracovníci IT hodnotit jejich pružnost (57 procent) a účinnost (56 procent), přizpůsobit změnám jako "nízká". Výsledkem je, že 64 procent míra jejich organizace celkovou bezpečnost postoj jako "mírné" nebo "nízké . "
Studie zkoumal 597 jedinců, kteří pracují v IT, IT bezpečnosti, compliance, řízení rizik a další související obory v žebříčku Fortune 500 třídních organizací s 1000 a více zaměstnanci. Jody Brazílie, prezident a ředitel společnosti FireMon, říká: "Největším problémem je, že IT bezpečnostní týmy naslepo. Sítě jsou stále složitější a expanzivní, když jsme zmrazit nebo snížit zdroje pověřené jejich řízení. Skutečnost, že studie ukazuje 60 procent provádíte ruční audit nebo vůbec je alarmující. "


Nový projekt by Linux Foundation - Jádro iniciativa infrastruktury'
27.4.2014 IT

Po OpenSSL Heartbleed zranitelnosti [ 1 ], který poslal mnoho produktů, aby překotně vydat patch, aby se zabránilo úniku dat, Linux Foundation vytvořila novou iniciativu [ 2 ] s některými z hlavních technologií vůdců, k podpoře kritického open source projekty, rád OpenSSL poskytovat finanční prostředky a zajistit větší spolehlivost.

"První projekt v úvahu pro získání prostředků z iniciativy budou OpenSSL, která by mohla získat finanční prostředky pro stipendijní klíčových vývojářů, jakož i další zdroje na podporu projektu na zlepšení jeho bezpečnosti, umožňující mimo recenze a zlepšení schopnosti reagovat na požadavky náplasti." [ 2 ]

Myslíte si, že tento druh iniciativy zlepší open source projekt?

[1] https://isc.sans.edu/diary.html?storyid=17917
[2] http://www.linuxfoundation.org/news-media/announcements/2014/04/amazon-web-services-cisco-dell-facebook-fujitsu-google-ibm-intel


NSA ničena zákony o ochraně osobních údajů v EU, špehoval orgs lidských práv
25.4.2014 Špionáž

Ve svědectví dodaného video-linky z Moskvy, NSA informátor Edward Snowden zjevil poslanci EU, USA NSA se aktivně špehuje organizací na ochranu lidských práv, jako jsou UNICEF a Amnesty International. "zpráv zpravodajských agentur pomocí hmotnostní dozoru zpravodajské agentury, aby sledovat mírové skupiny, které se netýkají teroristické hrozby nebo bezpečnostní účely národa, jako je Organizace spojených národů Dětského fondu, nebo špehování amerických právníků vyjednávání obchodních slev, jsou ve skutečnosti přesné, "řekl Snowden. "NSA má v podstatě specificky cílené komunikaci z buď vedoucí nebo zaměstnanci čistě civilní nebo lidských práv, organizace ... včetně tuzemsku uvnitř hranic Spojených států, "dodal. Tech Crunch hlásí, že on také potvrdil, že NSA je dolování dat shromážděných prostřednictvím svých programů Zátah dozoru, a vysvětlil jak rámec XKeyscore používá. NSA stále není sestavování seznamů osob s určitou sexuální orientace nebo náboženství, říká, ale faktem je, že může. "Musíme si uvědomit, že infrastruktura pro tyto činnosti byl postaven," . řekl, a dodal, že byl použit ke sledování lidí, kteří podstoupili špatný odkaz, navštívil "nechutné", webové stránky, nebo i jen objednat na konkrétní let A co víc, tyto schopnosti byly také používány obecné vymáhání práva - bez zaručuje. Snowden řekl, že Zátah hmotnost dohled je neefektivní v předcházení terorismu. "Máme povinnost rozvíjet mezinárodní standardy pro ochranu proti rutinní a podstatné zneužití této technologie, zneužívání, které probíhají dnes," poznamenal. "To není jen problém pro USA nebo EU. To je ve skutečnosti globální problém. " On se domníval, že hmota dohled by mohl podkopat liberální společnosti, a potenciálně legitimizovat autoritářské vlády. On také ukázal, že NSA se aktivně pracovala na "rozvrátit zákony o ochraně osobních údajů a ústavní ochrany členských států EU proti hromadný dozor . " "Pan Snowden ukázala, že existuje specializovaný program, který cíleně organizace na ochranu lidských práv. On také dal jasně najevo, že je naprostý nedostatek soudního a politického dohledu NSA, " poznamenal . Zpravodaj Pieter Omtzigt (Nizozemsko, EPP / CD) "Nakonec řekl, že země, které společně pracují intenzivně s NSA - on zmínil Velké Británii, Německu a Nizozemsku a to zejména -. nemají závazné ujištění ze strany USA, že vyměněné údaje nejsou používány pro nelegální operace.


Nový projekt IDS skvrny neobvyklé chování systému
25.4.2014 Výzkum

Tým výzkumníků z Binghamton University pracuje na novém přístupu, detekce narušení založené na sledování chování systémů a špinění, pokud se liší od té, která je považována za normální.

Projekt s názvem "Intrusion Detection Systems: Object Access grafy" a financován letectva Office vědeckého výzkumu, se provádí doktorandů Patricia příkop a Zachary Birnbaum, vědecký Andrey Dolgikh, a oni jsou mentored Victor Skormin, profesor elektrického a výpočetní technika. Oni rozhodli se soustředit na detekci malware, protože to může změnit rychleji než nových podpisů pro to může být vytvořen, ale o chování systémů. "To, co děláme, je vyfotit, co váš počítač dělá, a pak porovnat obraz počítač chová normálně do jednoho z infikovaného počítače. Pak se podíváme na rozdíly, "řekl Birnbaum. "Z toho můžeme vidět, pokud váš počítač má nějakou infekci, jaký typ infekce, a ze tam Víš, že jsi pod útokem a vy můžete jednat." Tyto fotografie jsou pořízena sledování systémových volání, které jdou ruku v ruce s každý počítač operace provedena. "Systémová volání nahromaděné za běžného provozu sítě jsou převedeny do grafu komponenty, a použít jako součást profilu IDS normálu," vysvětlili. Oni vyvinuli algoritmy najít profil systému normálnosti, najít neobvyklé odchylky, aby rozpoznat dříve zjištěny útoky, a real-time vizualizační systém pro prezentaci výsledků. "Naše IDS má možnost okamžitě přijmout změny v definici normality," oni poukázal . "Naše výsledky ukazují, že dosažení efektivní detekci anomálií je možný přes inteligentní aplikace pro zpracování grafů algoritmů do systému profilování chování." Více informací o projektu lze nalézt zde .


Whitehat hacker poruší servery UMD nastartovat zabezpečení sanace
25.4.2014 Incidenty

Daving Helkowski, softwarový architekt / inženýr, který pracuje pro poradenství v oblasti softwaru Canton Group, udělal velkou chybu, že již přišel o práci a může skončit až ho to stálo ještě víc.

Canton Group byl najat na University of Maryland School of Public Health provádět webové stránky migraci v důsledku mnohem propagoval porušení, která vyústila v kompromis osobních informací o určitém 310.000 pracovníků a studentů. Podle čestného prohlášení o agenta FBI okruhu vyšetřování, Helkowski identifikovat zranitelnosti v rámci sítě UMD používané útočníky, a on zřejmě nahlásil. Ale poté, co univerzita nepohnul opravit díru dost rychle na jeho vkus, že zneužila ji k porušení sítě stejným způsobem, že předchozí útočníci, a vzal osobní údaje uložené na serverech. On pak anonymně poslal dopis Chcete-li Task Force univerzity o kybernetické bezpečnosti , je varování opět o bezpečnostních děr, které mají být pevné, a ukázal jim na Pastebin příspěvku, ve kterém on uvedeny některé z ukradených informací. Nabídl se, že spolupracovat s nimi, aby jim pomohla zaplnit díry a zeptal se na oplátku nebude účtován s jakýmikoliv zločiny. , ale, bohužel pro něj, on také podělil o své plány s dvěma kolegy na Canton Group v parní chaty, a to je to, co ukázal FBI správným směrem. Před dvěma dny, Helkowski začala reddit vlákno, ve kterém vysvětlil okolnosti razie, která byla v nedávné době provedeny na jeho domě. Tvrdí, že spolupracovali s úřady. "Během RAID poskytnutých jsem 20 šifrovací znak + Systém heslo, můj KeePass heslo, umístění mého keyfiles, a úplný popis všeho. Jsem v podstatě" přiznal "vše na FBI už. Můj postoj je, že jsem neudělal nic" morálně špatné. " Můj pokus celou dobu bylo pomoci univerzitní zlepšit jejich bezpečnost, "řekl sdílená . University of Maryland se veřejně vyjádřil na hack 20. března řekl, že FBI je informoval o hack a že "zásah za následek žádná veřejná verze jakýchkoliv informací a bez poškození instituci, s výjimkou propuštění osobních údajů jednoho vyššího úředníka univerzity, který byl oznámen. " Udělali Ujistěte se, že vědomí, že tyto dva hacky byly nesouvisí. V návaznosti na zjevení jeho přestoupení, Helkowski bylo nechat jít Canton Group. Ten dosud nebyl formálně obviněn, ale to může snadno změnit v příchozích týdnů.


Porušení vystavit 552000000 identity v roce 2013
25.4.2014 Kriminalita

Poté, co číhá ve stínech za prvních deset měsíců roku 2013, zločinci rozpoutal nejškodlivější řadu kybernetických útoků v historii. Symantec Internet Security Threat Report ( ISTR ), Svazek 19, ukazuje významný posun v cybercriminal chování, odhalil, že protivníci jsou spiknutí měsíců před vytažením obrovské loupeže - místo provádění rychlých zásahů s menší odměnou.

"Jeden mega porušení může být za 50 menších útoků," řekl Kevin Haley, ředitel Symantec Security Response. "Zatímco úroveň sofistikovanosti stále roste mezi útočníky, co bylo překvapující, v loňském roce byl jejich ochota být mnohem více pacientů -. Čeká na stávku, dokud odměnou je větší a lepší" V roce 2013, tam byl nárůst 62 procent v roce počet narušení dat z předchozího roku, což vede k více než 552 milionů identit exponovaných - prokázání počítačové trestné činnosti je stále reálný a škodlivé hrozbou pro spotřebitele i podniky. "Bezpečnostní incidenty, dobře řízen, může skutečně zlepšit vnímání zákazníků společnosti; Podařilo špatně, mohou být zničující, "napsal Ed Ferrara, viceprezident a hlavní analytik společnosti Forrester Research. "Pokud zákazníci ztrácejí důvěru ve společnosti, protože způsob, jakým podnik zpracovává osobní údaje a soukromí, budou snadno přesunout své podnikání jinam." Obhajoba je těžší, než trestný čin Velikost a rozsah porušení exploduje, dávat důvěru a dobré jméno firmy ohroženy, a stále více ohrožena osobní údaje spotřebitelů - od čísla kreditních karet a lékařských záznamů, hesla a podrobnosti o bankovním účtu. Každá z osmi nejlepších narušení dat v roce 2013 vedla ke ztrátě desítek milionů datových záznamů. Pro srovnání, 2012 měla pouze jeden porušení údaje dosažení této hranice. "Nic plodí úspěch jako úspěch - zvláště pokud jste cybercriminal," řekl Haley. "Potenciál pro obrovské výplatní znamená rozsáhlé útoky jsou zde k pobytu. Společnosti všech velikostí potřebují přezkoumat, přehodnotit a případně re-architekt jejich bezpečnost držení těla. " Cílené útoky vzrostly o 91 procent, a trvala v průměru třikrát delší ve srovnání s 2012. Osobní asistenti a těch, kteří pracují v oblasti public relations byly dva nejvíce targeted profese - cybercriminals použít jako odrazový můstek k vyšším profilem cíle jako celebrity a obchodní vedení. Jak udržet cyber odolnost Zatímco rostoucí tok dat z inteligentních zařízení, aplikací a dalších online služeb je dráždivý na cybercriminals, tam jsou kroky podniky a spotřebitelé mohou podniknout, aby lépe chránit sebe - ať už je to z mega porušení dat, cílený útok nebo společný spamu. Společnost Symantec doporučuje následující osvědčené postupy: pro podniky:

Znát své údaje: Ochrana se musí zaměřit na informace - zařízení nebo datového centra. Pochopit, kde se vaše citlivá data uložena a kde teče vám pomůže určit nejlepší zásady a postupy, které ji chrání.
Vzdělávat zaměstnance: Poskytovat poradenství o ochraně informací, včetně pravidel a postupů pro ochranu citlivých dat o osobních a firemních zařízení společnosti.
Provádět silné zabezpečení: Posílit svou bezpečnostní infrastrukturu s prevencí ztráty dat, zabezpečení sítí, zabezpečení koncových bodů, šifrování, silnou autentizaci a obranných opatření, včetně technologií reputace založené.
Pro spotřebitele:
Buďte bezpečnost důvtipný: Hesla jsou klíčem k vašemu království. Použijte software pro správu hesla k vytvoření silné a jedinečná hesla pro každé stránce, kterou navštívíte, a udržet vaše zařízení - včetně chytrých telefonů - aktualizovány s nejnovějším bezpečnostním softwarem.
Buďte ostražití: Zkontrolujte bankovní a kreditní karty závěrku za nesrovnalosti, buďte opatrní při manipulaci s nevyžádané e-maily nebo neočekávané a být opatrný on-line nabídky, které se zdají příliš dobré, aby to byla pravda - obvykle jsou.
Víte, kdo pracujete s: Seznamte se s politiky z obchodů a on-line služeb, které může požadovat vaše bankovní nebo osobní údaje. Jako nejlepší praxe, navštivte oficiální webové stránky společnosti přímo (na rozdíl od kliknutí na odeslat e-mailem odkaz), pokud je nutné citlivé informace sdílet.


Technologie detekce lži, které přesně čte chování očí
25.4.2014 Zabezpečení

Společnost zjistila, jak to jen otevřít okno do duše přes něčí oči, ale i přesně určit, zda je či není, že duše je lhaní.

Po celá léta, "detektor lži" a "detektor lži" bylo synonymem. To je proto, že od roku 1939 FBI byl pomocí polygrafu - nástroj, který sleduje mimovolné fyziologické reakce člověka. Jeho přesnost je odhadována na 65 až 85 procent. Žádný jiný životaschopný, osvědčené řešení pro detekci podvod se objevil připojit detektor lži, až teď. Vědci Converus strávili posledních 10 let zdokonaluje metodu neinvazivní detekce lži názvem EyeDetect, který sleduje chování očí, což je první odhalení podvodu výrobek na bázi na zkoušce oční-motoru podvodu. Validační studie ukázaly to 85 procent přesné. Zkouška trvá pouze 30 do 40 minut. "Zabýváme se mnoha citlivých informací, kde je potenciální riziko, je velmi vysoká," řekl Vilash Poovala, spoluzakladatel a CTO PayClip. developer Clip - čtečka paměťových karet, která umožňuje uživatelům v Mexiku přijímat kreditní a debetní kartou platby prostřednictvím svých smartphonů a tabletů. "Musíme se ujistit, že lidé, které zaměstnávají se dá věřit. Technologie jako EyeDetect, které mohou účinně screening potenciálních zaměstnanců na předchozí otázky se krádeže nebo podvodu, je dávno." Korupce a podvody 2600000000000dolar celosvětový problém ročně, s podniky, z nichž některé nejvíce zasaženy. Například 400 milionů dolarů bylo nedávno ukraden z Citigroup Inc 's Mexikem jednotky, Banamex. Converus zaměří jeho počáteční úsilí, které ukazují firmy Jak EyeDetect technika, pokud se používají pro pre-zaměstnání a pravidelné prověřování platných zaměstnanců může pomoci efektivněji řídit rizika a zajištění integrity na pracovišti.


Vliv chyby Heartbleed na open source projektů
25.4.2014
Zranitelnosti
Heartbleed chyba v OpenSSL je všechny informační bezpečnosti svět mluví o těchto dnech. Mnozí si začínají uvědomovat, jeho existence otevřel několik plechovek červů.

Jedním aspektem zjevení je, jak to bude mít vliv na profesionály důvěryhodnosti a pravidelní uživatelé mají v open source software. Dr. Robin Seggelmann, 31-rok-starý německý softwarový vývojář, který byl ten, kdo představil chybu Heartbleed do OpenSSL v kódu v prosinci roku 2011, říká, že to byla chyba, která, bohužel, šel nepozorovaně nejprve kódem recenzenta, Dr. Stephen Henson, a pak všichni ostatní za více než dva roky. "Pracoval jsem na zlepšení OpenSSL a předložil četné opravy chyb a nové funkce," Seggelmann vysvětlil pro The Sydney Morning Herald. "V jedné z nových funkcí, bohužel, jsem vynechal potvrzení proměnnou obsahující délku." Dr. Seggelman je přispěvatelem Task Force Internet Engineering (IETF), vědecký pracovník s Munster Univerzitě aplikovaných věd v Německu, a respektovaný bezpečnostní odborník. Popřel vložením chybu na účel a se zlým úmyslem. "Ale v tomto případě , to bylo jednoduché programování chyba v nové funkci, která bohužel došlo v příslušné oblasti bezpečnosti, "řekl. "To nebylo zamýšleno vůbec, zejména proto, že jsem již dříve pevně OpenSSL Chyby sám, a snažil se na projektu podílet." Přesto, že nepopírá, že chyba by mohla být zneužita zpravodajských agentur během tohoto období. "Je to možné, a to je vždy lepší předpokládat to nejhorší, než nejlepším případě v otázkách bezpečnosti, ale protože jsem nevěděl [o] se chyba, až to bylo propuštěno, a [já] není spojen s žádnou agenturou, mohu pouze spekulovat, "dodal. Poukázal na to, že hlavní problém vytvořit open source software je přitahuje přispěvatelů a kód recenzentů, a vyjádřil naději, že tento incident vyvolá více lidí s cílem přispět k open source projektů, zvláště když software je relevantní pro zabezpečení. "tým OpenSSL, který je překvapivě malý, dostal za úkol udržovat svět je nejvíce populární knihovnu TLS. je to těžká práce se v podstatě žádný plat. To zahrnuje přijetí kódu jiné lidi" (jako v případě Heartbeat) a dělá nejlepší možnou práci si ho prohlíží. Pak doufám, že ostatní budou nevšimne a zveřejnit jej zodpovědně před katastrofy se stalo, " poznamenal Matthew Green, cryptographer a výzkum profesor na Johns Hopkins University. "Vývojáři OpenSSL mají docela úžasný rekord s ohledem na množství použití této knihovny dostane a množství starších cruft a počet platforem (přes osmdesát!) mají podporovat. Možná, že ve středu záplatování svých serverů, některé z velkých firem, které používají OpenSSL bude myslet hodil jim nějaké skutečné no-strings-připojený finanční prostředky, aby mohli udržet dělat svou práci. " Google nedávno začal Patch Program odměn pro odměňování výzkumných pracovníků kteří mají za cíl "zlepšit bezpečnost klíčový software třetích stran kritické pro zdraví celého Internetu" s "dolů-k-zemi, proaktivní vylepšení, která jdou nad rámec pouhé stanovení známou bezpečnostní chybu." Program obsahuje mnoho open source projektů , včetně OpenSSL. věc je, jak Paul Roberts poznamenává , že tato situace je "prostý připomínkou, do jaké míry moderní, IT infrastruktura se stala závislá na integritě kódu třetích stran, který příliš často ukáže jako nespolehlivý. Ve skutečnosti, Heartbleed a OpenSSL může skončit dítkem kódu třetích stran auditů.


Pokročilé útočníci zůstat nepovšimnuto 229 dnů
25.4.2014 Kriminalita

Nová zpráva FireEye Detaily taktiky používané aktéry hrozeb ke kompromisu organizace a ukrást data. Zdůrazňuje také rozvíjející se globální aktéry hrozeb, jejich podezření motivy, stejně jako typy cílů a informací, které jsou po.

"Je těžké zveličovat, jak rychle Cybersecurity odešla z výklenku, vydá prioritní otázkou pro spotřebitele a zasedací místnosti," řekl Kevin Mandia, SVP a COO, FireEye. "Během uplynulého roku, Mandiant viděl společnosti, aby skromné ​​zlepšení v jejich schopnosti útočit bezpečnostní mezery. Na druhou stranu, organizace rychleji objevovat kompromisy, ale oni ještě mají potíže detekce řekl porušení na vlastní pěst. Je naším cílem překlenout tuto propast a pokračovat pozitivní trend naši zákazníci jsou vidět. " čas potřebný k detekci kompromis pokračuje ve zlepšování Střední počet dnů útočníci byli přítomni na síti oběti předtím, než byl objeven klesl na 229 dnů v 2013 z 243 v roce 2012. Toto zlepšení je inkrementální vzhledem k poklesu z 416 dnů v roce 2011, nicméně organizace mohou být nevědomky porušil několik let. . Nejdelší čas útočník byl přítomen před byla odhalena v roce 2013 bylo šest a tři měsíce Organizace obecně jsou zatím s cílem zlepšit jejich schopnost detekovat narušení v roce 2012, 37 procent organizací zjištěno porušení samy o sobě; tento počet klesl na pouhých 33 procent v roce 2013. phishingové e-maily do značné míry podívat vydělávat na důvěře v IT odděleních 44 procent pozorovaných phishingových e-mailů, snažili vydávat IT oddělení cílových organizací. Naprostá většina z těchto e-mailů bylo posláno v úterý, ve středu a ve čtvrtek. Politické konflikty stále mají počítačové komponenty, které mají vliv soukromých organizací Během uplynulého roku, Mandiant reagovala na zvýšený počet nehod, kdy politické konflikty mezi národy zplodily kybernetické útoky, které ovlivnily soukromé sektoru. Konkrétně, že reagoval na incidenty, kdy syrské elektronické armády (SEA) ohrožení vnější-čelí webové stránky a sociální média účty soukromých organizací s primárním motivem zvyšování povědomí o jejich politické příčiny. Podezření aktéři hrozby Íránu, na základě provádět průzkum na odvětví energetiky a státní vlády Více vyšetřování ve společnostech v sektoru energetiky a státní vládní agentury podezření na Írán-založené sítě průzkumné činnosti vyplývá, že aktéři hrozby jsou aktivně zapojení do činnosti dozoru. I když tato podezření herci Írán-založené objeví méně schopný než jiné země činiteli, nic v cestě jejich testování a zlepšování jejich schopností stojí.


Stav zabezpečení pro vzdálený přístup
25.4.2014 Zabezpečení

Na konci roku 2013, HOB provedla průzkum více než 200 CIO a CTO v USA průzkum kvantifikovat trendy a výzvy IT s rozhodovací pravomocí zkušenosti při realizaci vzdáleného přístupu řešení a bylo zjištěno, že vzdálený přístup k řešení stále získává na síle, i když související bezpečnostní rizika.

Jedním z hlavních zjištění průzkumu bylo zjištěno, že zaměstnanci jsou stále více flexibilní při použití vzdáleného přístupu řešení. Není žádným překvapením, že 76 procent zaměstnanců respondenta přístup k serveru, jejich organizace, když jsou mimo kancelář. Nicméně, 58 procent zaměstnanců se pomocí vzdáleného přístupu řešení, když jsou v kanceláři, ale při práci z jiných míst v rámci pracovního prostředí na místě. Také 54 procent respondentů se domnívá, že jejich zaměstnanci používají své osobní mobilní zařízení pro přístup k podnikovým servery. Podniky musí uznat, že zaměstnanci v mobilní pracovní síly přistupujete firemní servery častěji, a proto je třeba upravit IT infrastruktury pro preferenci zaměstnanců pro flexibilitu. Průzkum také odhalil, že ačkoli většina firem se již používají pro vzdálený přístup řešení, CIO a ředitelé mají stále obavy o bezpečnost. 66 procent respondentů se obávají, že hackeři mohou získat přístup k síti v průběhu zaměstnanců vzdáleného přístupu sezení. Navíc, 56 procent jsou vysoce zabývá zaměstnanci přístup k síti prostřednictvím jejich osobních zařízení, a dalších 50 procent CTO a CIO najít chyby jejich vlastní IT Tým být mezi nejvíce znepokojujících otázek zabezpečení vzdáleného přístupu, jak tyto chyby odpojí od sítě otevřené pro průniky. Tyto výsledky naznačují, že společnosti musí formulovat jasná pravidla pro zaměstnance, přístup k firemní servery. Přes obavy o bezpečnost, vzdálený přístup řešení jsou rozmístěny mezi většinu podniků a používán zaměstnanci, stejně jako CTO a CIO. Výsledky průzkumu také ukazují, že budoucí poptávka po vzdálený přístup řešení nebude snižovat v následujících letech. Ve skutečnosti, více než 72 procent respondentů očekává na počet zaměstnanců, kteří potřebují vzdálený přístup poroste. V době zvýšené ekonomické špionáže povědomí o bezpečnostních otázkách se zvýšil, což se promítá do pozitivních účinků na investiční IT plánování. 46 procent technologických odborníků dotázaných očekávají, IT bezpečnost výdaje na zvýšení 1 - 25 procent v roce 2014 a 31 procent očekává, že se zvýší o více než 25 procent. Zajímavé je, že 20 procent respondentů se domnívá, že bezpečnost IT výdaje budou stagnovat v roce 2014, zatímco pouze 3 procenta naznačují, že se bude snižovat.


Vysoké školy mají nyní přístup ke kybernetické bezpečnosti vzdělávání
25.4.2014 Bezpečnost

(ISC) 2 dělá své vzdělávací prostředky, které jsou pravidelně aktualizovány svých členů a průmyslových svítidel, které jsou dostupné na akademické půdě, aby pomohly uspokojit globální poptávku po kvalifikovaných odborníků kybernetické bezpečnosti. S téměř 100.000 členů po celém světě, (ISC) 2 společné body znalostí (CBK) zahrnuje disciplíny v rámci informační bezpečnosti, bezpečnostní software, forenzní a zdravotní péče.

(ISC) 2 Global Academic Program je klíčovou iniciativou za závazek organizace řešit rostoucí rozdíly v dostupnosti kvalifikovaných odborníků, kybernetické bezpečnosti, které byly sledovány od roku 2004 (ISC) 2 Globální informační bezpečnosti pracovní síly studie. Nejnovější zpráva nabídne test z Frost & Sullivan na akutní povahy rozdíly v dovednostech, prognózy meziroční tempo růstu zaměstnává 11,3% v roce 2017, a poukazuje na to, že 35% respondentů, kteří chtějí najmout další pracovníky je obtížné najít kvalifikované personál dnes. "Jsme přesvědčeni, že je důležité rozpoznat a podporovat úlohu akademické obce v rozvoji tolik potřebné kybernetické talent nyní i do budoucna," řekl W. Hord Tipton, CISSP, výkonný ředitel (ISC) 2 . "S globálním mezery dovedností v této oblasti stále více uznává společnostmi a vládami po celém světě, průmyslu a akademické obce musí přijít společně na řešení tohoto problému. (ISC) 2 je v jedinečné pozici nabídnout své vzdělávací obsah, který je pravidelně aktualizovaný a prověřeni odborníků na vysokých školách a univerzitách po celém světě jako součást tohoto společného úsilí vývoje, které pro dnes již digitálně závislé společnosti, "dodal Tipton. Carsten javor, místopředseda Rady profesorů a vedoucích výpočtů, sdružení zastupující výpočty ve Velké Británii vysokoškolského vzdělávání, zdůrazňuje nutnost více obsahu zabezpečení, řekl: "Zdá se, že mnoho Výpočetní absolventi opouštějí univerzity, kteří studovali málo v oblasti bezpečnosti. K dispozici je pestrá přístup k pedagogické zabezpečení, ale v řadě institucí, je tam jen jeden modul, přibližně 5% z celkových úvěrů v míře - věnuje informační bezpečnosti v jejich jádro 3 roky stupně Computer Science. Je zřejmé, s růstem kybernetických útoků je potřeba pro absolventy být vybaven dovednostmi a znalostmi z hrozeb a metod k překonání těchto. Chcete-li to udělat, a dát studentům Computing nejlepší příležitost uspět, jsme jako akademické obce se snaží lépe zapojit se zástupci průmyslu v oblastech, jako je bezpečnost informací. " Global Academic program, který je spuštěn jako vládami po celém světě hledat zlepšit vysokoškolské studijní programy jako součást jejich vnitrostátních strategií kybernetické bezpečnosti, nabízí produkty a služby pro vysoké školy a univerzity, které mohou být přizpůsobeny jak pro pregraduální a postgraduální požadavků. materiály třídě, které se pohybují od modulů specifických pro dané domény a hodnocení praxe na fakultní příruček a studentské učebnice jsou čerpány z certifikačních CBKs. Program je otevřen pro akreditované instituce, které mají zájem na zvyšování počítačové obsahu v rámci jejich zabezpečení, výpočetní techniky, IT nebo jiné relevantní kurz oběti. "Kromě zdrojů, které mají nabídnout, tento program představuje skutečný příležitost stát se součástí celosvětové sítě akademických zájem o zřízení společného rámce pro poskytování základní dovednosti a podporovat růst kvalifikované kybernetické síly, "říká Jo Portillo Global Academic Program, (ISC) 2.


52% podniků bezbranný proti kybernetickým útokům
25.4.2014 Hrozby

55% IT a bezpečnostních profesionálů mají buď nulové nebo nízké viditelnosti chování zaměstnanců, přístup k aplikacím a softwaru ke stažení, které se snaží zajistit koncový bod. Kromě nízké dohlednosti, studie Ponemon Institute a Avecto odhalila nadměrné uživatelé energie jsou uvedeny na IT infrastruktury. V průměru 31% zaměstnanců údajně mít oprávnění správce, otevření společnosti až zasvěcených hrozby a vážného poškození před malwarem a cílených útoků. Uživatelé jsou také volat záběry, pokud jde o bezpečnost, se 42% respondentů odhalil, že počet zaměstnanců s admin oprávněním zvýšil z loňského roku kvůli rostoucí poptávce ze strany zaměstnanců a 50% dává administrátorská práva, protože jsou schopni kontrolovat používání aplikací. Téměř čtvrtina respondentů nelze určit počet IT uživatelů s admin oprávněním, přes 34% z celkové bezpečnostní čas vynakládány na správu uživatelských profilů. Výsledky zobrazují IT oddělení bez adekvátní síly a kontroly nad svým uživatelům s více než 80% připouští, že je obtížné zajistit koncový bod a jen 5% prohlašovat, že je připraven jednat s cílenou cyber- útoky. Paul Kenyon, viceprezident pro Avecto řekl: "Nedostatečné zviditelnění, že bezpečnost IT profesionálové mají, pokud jde o chování uživatelů a administrátorských práv, v kombinaci s sofistikovanější vektorů útoku, dělá zabezpečení a správu koncového bodu rostoucí problém. Jako výsledek, to se otevírá obrovskou škálu vnitřních a vnějších zranitelnosti. " "Jak podniky přejít na Windows 7/8 v návaznosti na vypršení podpory XP, které hledají nové výzvy ve způsobu, jakým se dříve podařilo zabezpečení koncových bodů. To je nyní více než kdy jindy důležité, aby organizace investovat do bezpečnostních opatření, které potřebují, aby se ochránili. " rozsáhlé studie se zaměřila na řadu bezpečnostních hrozeb koncových bodů, a ukázalo se, že prevence APTS je největší zájem, ale 52% organizací . nemají správnou technologii na místě, aby se zabránilo cílených kybernetických útoků Dr. Larry Ponemon, předseda a zakladatel Ponemon Institute říká: "Zatímco prevence cílené útoky, je považováno za vysokou prioritu, pouze 5% respondentů uvedlo, že jejich organizace je plně připraveni se s nimi vypořádat. Organizace musí zavést vrstvený přístup k zabezpečení koncových bodů, nebo budou riskovat otevření své systémy až zranitelnosti z více zdrojů hrozeb. Nový věk kybernetických útoků vyžaduje moderní obranné a společnosti musí jednat rychle. "


Apache Struts Zero Day a zmírnění
25.4.2014
Zranitelnosti

Díky Gebhard, žes nám vědět o nové zranitelnosti v Apache Struts.

Pokud si vzpomínáte na ClassLoader zranitelnosti před několika měsíci, oprava, která se zdá být případ, a interpunkce citlivý (pomocí [] místo "." Se neúčtuje)

V každém případě, oni zaslali zmírňování jak na to zde: http://struts.apache.org/announce.html # a20140424

To se týká všech verzí až 2.3.16.1

Více informací na toto téma zde:
http://www.pwntester.com/blog/2014/04/24/struts2-0day-in-the-wild/


DHCPv6 a DUID zmatek
24.4.2014 Bezpečnost

V IPv6, DHCP je s poněkud zadní sedadlo na router reklamy. Mnoho menších sítí je nepravděpodobné, že by použití protokolu DHCP. Nicméně, a to zejména pro podnikové / větších sítí, DHCPv6 stále nabízí mnoho výhod, pokud jde o správu hostitelů a účetnictví pro IP adresy v provozu.

Jedním z velkých rozdílů, pokud jde o DHCPv6 je, že hostitel se ztotožňuje s DUID (DHCP Unique Identifier), které mohou být odlišné od adresy MAC. Existují v podstatě přijít s DUID tři způsoby:

Link Layer + TIME: V tomto případě bude hostitel při prvním bootu vytvořit DUID pomocí jednoho rozhraní Link Layer adresy (adresy MAC pro Ethernet), stejně jako časové razítko (počet sekund od epochy) odvodit DUID. Tento DUID budou uloženy na disk a zůstávají konstantní, i když je síťová karta vyměnil později.

Link Layer: Někteří hostitelé nemusí být schopen udržet DUID mezi restartuje v tomto případě se používá spojení adresa vrstvy.

Přiřazení Prodávající: Můžete také jen přiřadit libovolný DUID, možná název hostitele, pro identifikaci hostitele.

Bez ohledu na to, kterou metodu použijete, smutné je, že každý operační systém, a v některých případech liší software na stejném operačním systému, který se rozhodne zobrazit DUID jinak, takže korelace těžké.

Zde je několik příkladů:

Linux se zdá, jako směs osmičkové a ASCII znaky (je-li hodnota představuje tisknutelný znak). Například:

\ 000 \ 001 \ 000 \ 001 \ 032 \ 336 \ 306 \ 373 \ 000 \ 014) g \ 317 \ 002

Nicméně, v konfiguračních souborech linuxových serverů DHCPv6 a klienty, můžete najít jednodušší formátu hex:

možnost dhcp6.client-id 0:1:0:1:1: de: c6: fb: 0: c: 29:67: CF: 2;

OS X na druhé straně zobrazuje časový roli v desítkové soustavě, a část MAC adresu v šestnáctkové soustavě:

ipconfig getv6packet en0
ClientID (1) Délka 14 DUID LLT HW 1 Čas 389824106 Adr 40:6 c: 8f: 11: d7: 5c

Windows preferuje pro zobrazení hexadecimální verzi jako výstup pro "ipconfig / all"

DHCPv6 Klient DUID. . . : 00-01-00-01-13-0D-1E-A2-00-0C-29-A3-D3-30

Chcete-li si pomoct trochu se tohoto zmatku, začal jsem trochu skript, který bude převádět DUIDs z různých formátů. To není zcela neskončil, ale dost dobrý, aby zjistil, jestli někdo zjistí, že je užitečné, a chtěl bych to vyzkoušet. Zde si můžete stáhnout skript z https://isc.sans.edu/diaryimages/duidconvert.pl

,

[Chcete-li se dozvědět více o IPv6 Security, podívejte se na mé třídy IPv6 Security Essentials]


Fun with fráze!
24.4.2014 Zabezpečení

Jak systémových administrátorů a bezpečnostních lidí, všichni jsme měli dosyta našich uživatelů a zákazníků pomocí jednoduchých hesel. Většina operačních systémů v těchto dnech se prosadit určité úrovně složitosti hesla ve výchozím nastavení, s možností "posílit" požadavky na heslo pro hesla.

Převažující moudrost je dnes použití přístupových frází - prokázali pěkně naším bud na xkcd - http://xkcd.com/936/

Takže jsem stále mají velmi dlouhé propustí fráze pro účetnictví veřejných čelí. Představte si moje překvapení, když jsem se vytvořit nový účet na hlavní cloudu (jeden, který začíná s "O" a končí na "365"), a zjistil, že jsem byl omezen na 16 znaků hesla.

Netřeba dodávat, že mám případ otevřený a zjistěte, zda toto omezení může být odstraněno. Já nehledám žádný limit / pozvání do vyrovnávací paměti stavu přetečení na pole pro heslo, ale něco větší než 16 by opravdu ocenil!


Dávejte pozor, co vám Kontrolovat!
24.4.2014 Zabezpečení

Po nějaké zábavy a her na jednom místě zákazníka, zejména, zjistil jsem, že SSL služby na starších verzích HP Proiliant servery Ilo porty (iL01 a iLO2) nejsou náchylné k heartbleed.

Nicméně, jejich implementace SSL je dost křehká, že skenování je pro Heartbleed zranitelnost bude činit jejich nefunkčnost. To ovlivňuje Proliants z G1 celou cestu až k G6, stejně jako mnoho z HP Bladesystems.

Kompletní vypnutí napájení celého systému - jako v Vyšroubujte oba kabelů AC - je nutné resetovat MOP kartu a přivést ji zpět k životu. I když se to může zdát jako rychlé řešení pro jeden server, v případě, že je server spuštěn hypervisor, nebo jestli je to BladeSystem s Hypervisory běží na ostří, to může znásobit být obrovský problém. Zvlášť pokud váš klient prohlédl podsítě serveru, a účinně zděná všechny své Ilo karty před tím, než si uvědomil, že byl problém (oops)

(A ano, fakt, že jsme pracovali na to velikonočním víkendu je poněkud ironické.)

Úplné podrobnosti jsou v HP Support Document c04249852

To ukazuje, že i při skenování pro jednoduché věci (s NMAP, Nessus nebo jakékoliv jiné skenovací nástroj opravdu), že je to nejlepší skenovat několik zkušebních systémů první - nebo máte-li zkušební VLAN, která kopíruje vaše výrobní systémy, ještě lepší! To není problém, se skenery, téměř vždy problém je křehkost služby snímané předlohy. Mnohé služby jsou psány pouze se vypořádat s "správné" vstupy, což není, jak většina skenerů (nebo většina útočníků), mají tendenci pracovat.

Bezpečné skenování Všichni!


Velikonoční zajíčci pro všechny příležitosti
24.4.2014 Spam

V předvečer Velikonoc, jsme zaznamenali neobvyklou řetězec spamových zpráv. Spammeři nabízeny různé služby: od snižování nákladů na hypoteční a pomáhá splácet úvěr, ke zvýšení mužské sexuální výkonnosti. Ani předmět ani text zprávy měl nějaké narážky na blížící se dovolenou; Nicméně, odkazy vedoucí na stránky inzerovaných sloganů včetně velikonoční tematikou klíčová slova: eastertime, easterbunnies, greateastern.
 

Zjištěné domény byly nedávno vytvořeny a měl krátkou životnost. Všechny strany příjemce spam byl vyzváni k návštěvě řešit jejich finanční a dobře, jiné problémy byly prázdné. Nicméně, stránky obsahovaly složky, ze kterých byly obrázky na různá témata stažené do spamových zpráv: od zubaře reklamy, aby se "rychle peníze doma" nabídek. Pokaždé, když se obsah obrazu zcela uzavřeno, že zprávy.

Pro spammery, každá dovolená je další příležitost, jak zvýšit efektivitu svých nevyžádaných zpráv a zvýšit počet uživatelů, kteří reagují na ně. I když toto téma zprávu nevztahuje na dovolenou v žádném případě, že spammeři stále snaží najít nějaký druh vztahu, tím, že volá domény po velikonoční zajíček nebo pomocí jiných šablon související s dovolenou.


Změna znaků: něco exotického v místě pravidelného latince
24.4.2014 Spam

Spammeři používají všechny druhy triků, jak obejít filtry nevyžádané pošty: přidání "hluk" do textů, vkládání přesměrování na inzerované stránky, nahrazování textu s obrázky - nic pro zastavení automatického filtru čtení klíčová slova a blokuje zprávy. V poslední době jsme byli svědky trendu nahradit znaky v latince s podobnými vypadající symboly z jiných abeced. Tento "font zlomu" je typická zvláště phishing zprávy napsané v italštině.

Non-latinské znaky jsou vloženy v místě podobně vypadajících latinkou a to jak v poli "Předmět" a do těla zprávy. Zde je příklad toho, co hlavičky skryté s "cizími" symboly vypadat:
 

A zde je příklad phishing zprávy pomocí názvu platebního systému PayPal a použití stejný trik. Slova obsahující non-latinské znaky jsou podtrženy v prvních liniích; čtenář může vzít lupu a hledat další ve zbytku textu:
 

Díky UTF-8 kódování systému, postavy z mnoha typů psacích systémů mohou být kombinovány ve stejném e-mailu. Ve výše uvedených příkladech jsme viděli, cyrilice a řecké znaky, jakož i fonetické (NPP) symboly. Spammeři používají to jako trik, jak obejít filtry nevyžádané pošty. Nicméně, spam filtry v produktech Kaspersky Lab jsou navrženy takovým způsobem, že nemohou být snadno oklamán, a to i v případě použití řecké abecedy nebo fonetické symboly.


Zakladatel OpenBSD vytváří odnož knihovny OpenSSL

24.4.2014 Zabezpečení
Theo de Raadt se domnívá, že po situaci kolem chyby Heartbleed je potřeba vytvořit novou variantu OpenSSL, která bude jednodušší a přehlednější. V knihovně LibreSSL by podle něj k podobným excesům již dojít nemělo.

Členové projektu OpenBSD, který se zabývá vývojem a podporou stejnojmenného unixového operačního systému, se rozhodli vytvořit novou odnož šifrovací knihovny OpenSSL, která by podle nich měla být důvěryhodnější a bezpečnější.

I když je OpenSSL vyvíjena jako open source, plné dva roky si nikdo z vývojářů, kteří na ní pracují, nevšiml kritické chyby, která nakonec vedla k velkému množství napadených webových serverů a služeb postavených kolem nich. Knihovna již samozřejmě byla opravena, autor onoho opomenutí v kódu ovšem podotýká, že v komunitě není v současnosti dostatek lidí, kteří by důkladně zkoumali zdrojový kód OpenSSL a hledali podobně přehlédnuté chyby.

To chce projekt LibreSSL změnit. Proto se komunita vývojářů zabývajících se jedním z nejbezpečnějších unixových systémů rozhodla celý kód prozkoumat, opravit a zabezpečit. A dále se starat o jeho vývoj. Jedním z iniciátorů byl i zakladatel projektu Theo de Raadt, který ostatně knihovnu OpenSSL již v minulosti kritizoval a tvrdil, že ji nevyvíjí odpovědný tým. Nová knihovna by měla doznat zásadních změn uvnitř, rozhraní API, které využívají všechny systémy a aplikace, by mělo být stoprocentně kompatibilní. Mělo by tedy jít jednoduše vyměnit jednu knihovnu za druhou.

Prvním úkolem je očištění a naformátování zdrojového kódu, aby byl čitelnější a aby se dal snáz udržovat a doplňovat. Tým také odstraňuje podporu historických operačních systémů jako VMS, OS/2, NetWare, Mac OS nebo starých verzí Windows, pro které tak jako tak už v podstatě žádné nové aplikace nevznikají.

V první fázi bude LibreSSL podporovat jediný operační systém – OpenBSD. Měla by se objevit ve verzi OpenBSD 5.6, tedy podle plánu v listopadu tohoto roku. Jakmile bude podle slov vývojářů dostatečně očištěná a přepracovaná, rozšíří podporu o další operační systémy. A pomoci jim samozřejmě budou moct i ostatní vývojáři, protože knihovna bude samozřejmě šířena jako open source.


IT hrozby vývoj Q1 2014
23.4.2014 Analýzy

Zdroj: Kaspersky

Q1 2014 v číslech

Podle údajů KSN, produkty společnosti Kaspersky Lab zablokoval celkem 1 131 000 866 škodlivými útoky na počítačích a mobilních zařízeních v prvním čtvrtletí roku 2014.
Laboratorní řešení Kaspersky odrazili 353 216 351 útokům z on-line zdrojů umístěných po celém světě.
Kaspersky Lab web antivirus zjištěn 29 122 849 unikátních škodlivých objektů: skripty, webové stránky, exploity, spustitelné soubory, atd.
81 736 783 unikátních adres URL byly uznány jako nebezpečný webový antivirus.
39% webových útoků neutralizuje produkty společnosti Kaspersky Lab byly provedeny za použití škodlivých webových zdrojů umístěných v USA a Rusku.
Antivirových řešení společnosti Kaspersky Lab zjištěn 645 809 230 virovým útokům na počítačích uživatelů. Byly zjištěny v těchto incidentech celkem 135 227 372 unikátních škodlivých a potenciálně nežádoucích objektů.
Přehled

Cílené útoky / APT
Mlha dále čistí
V září 2013 jsme se hlásil na cíleném útoku s názvem Icefog, zaměřena především na cíle v Jižní Koreji a Japonsku. Většina APT kampaně jsou trvalé po měsíce nebo roky, neustále krade data z jejich obětí. Naopak, útočníci stojí za Icefog zaměřena na své oběti jeden po druhém, v krátké trvání, přesné hit-and-run útoky, jejichž cílem je ukrást specifické údaje. Kampaň, v provozu nejméně od roku 2011, se týkala použití řady různých verzí malware, včetně jednoho zaměřené na Mac OS.

Po zveřejnění naší zprávě, operace Icefog přestal a útočníci zavřeli všechny známé rozkazech a kontrolních serverů. Nicméně jsme nadále sledovala operaci sinkholing domén a analýzu zapojení obětí. Naše pokračující analýza odhalila existenci další generace Icefog zadní vrátka - tentokrát, Java verzi malware, který jsme nazvali "Javafog". Připojení k jedné z sinkholed domén, "lingdona [dot] com", uvedla, že klient může být aplikace Java; a následné vyšetřování ukázalo se vzorek této aplikace (najdete podrobnosti o analýze zde ).

Během operace sinkholing této domény, jsme pozorovali osm IP adresy pro tři jedinečné oběti Javabot. Všechny z nich se nachází ve Spojených státech - jeden byl velmi velký nezávislý ropy a zemního plynu společnost, která působí v mnoha zemích. Je možné, že Javafog vyvinul pro americko-určité operace, ten, který byl navržen tak, aby být delší, než je typické Icefog útoky. Jedním z Pravděpodobnou příčinou vytvoření Java verze malwaru je to, že je více nenápadný a těžší odhalit.

Za maskou
V únoru, tým Kaspersky Lab bezpečnostní výzkum zveřejnila zprávu o komplexní cyber-špionáže kampaně s názvem Maska nebo Careto (španělský slang pro "ošklivou tvář" nebo "maska"). Tato kampaň byla navržena tak, aby ukrást citlivá data z různých typů cílů. Oběti, které se nacházejí v 31 zemích po celém světě, jsou vládní agentury, zastupitelské úřady, energetické společnosti, výzkumné instituce, private equity a aktivisty - najdete úplný seznam zde .

Útoky začít s hlášením kopí-phishing, který obsahuje odkaz na nebezpečné webové stránky obsahující mnoho hrdinských činech. Jakmile oběť je infikován, oni jsou pak přesměrováni na legitimní stránky popsané v e-mailu, které obdržel (např. zpravodajský portál, nebo video). Maska obsahuje sofistikovaný backdoor Trojan schopen zachycovat všechny komunikační kanály a sklizeň všech druhů dat z infikovaného počítače. Stejně jako Rudý říjen a dalších cílených útoků před ním, kód je vysoce modulární, což umožňuje útočníkům přidat nové funkce na přání. Maska také vrhá její čistý široký - existuje verze backdoor pro Windows a Mac OS X, a tam jsou odkazy, které naznačují, že může být i verze pro Linux, iOS a Android. Trojan také používá velmi sofistikované stealth techniky skrýt své aktivity.

Hlavním účelem útočníků pod maskou je ukrást data z jejich obětí.

Malware shromažďuje celou řadu údajů z infikovaného systému, včetně šifrovacích klíčů, konfigurace VPN, SSH klíče, RDP soubory a některé neznámé typy souborů, které by mohly být v souvislosti s zakázku vojenské / šifrovacích nástrojů vládní úrovni.

Nevíme, kdo je za kampaň. Některé stopy naznačují, že používání španělského jazyka, ale to nepomůže hodit dolů, protože tento jazyk je mluvený v mnoha částech světa. Je také možné, že by to mohlo být použito jako falešnou stopu, odvést pozornost od toho, kdo to napsal. Velmi vysoký stupeň profesionality skupiny za tímto útokem je neobvyklé pro cybercriminal skupiny - jeden ukazatel, který Maska může být státem sponzorované kampaň.

Tato kampaň zdůrazňuje skutečnost, že existují vysoce profesionální útočníci, kteří mají prostředky a schopnosti k rozvoji komplexní malware - v tomto případě, krást citlivé informace. Zdůrazňuje také opět skutečnost, že cílené útoky, protože vytvářejí malou nebo žádnou aktivitu mimo jejich specifických obětí, může "letět pod radarem".

Ale to je stejně důležité si uvědomit, že bez ohledu na propracovanosti The Mask, výchozí bod (stejně jako u mnoha předchozích cílených útoků) zahrnuje podvádět jednotlivce, aby dělali něco, co ohrožuje bezpečnost organizace, pro kterou pracují - v tomto případě, klepnutím na odkaz.

V současné době, všechny známé C & C (Command-and-Control) servery slouží ke správě infekcí je v režimu offline. Ale je to možné, útočníci obnovit kampaň v budoucnu.

Červ a had
Počátkem března byl rozšířený diskuse v rámci bezpečnosti IT komunity o cyber-špionáže kampaně s názvem Turla (také známý jako had a Uroburos). Výzkumníci z G-DATA, že malware používá, může být vytvořen ruské zvláštní služby. Výzkum provádí BAE Systems spojené Turla na malware s názvem "Agent.btz", který se datuje do roku 2007 a byl použit v roce 2008 infikovat lokálních sítí amerických vojenských operací na Blízkém východě.

Kaspersky Lab stal se vědomý této cílené kampaně při vyšetřování události související s vysoce sofistikovaný rootkit, který jsme nazvali "Ne rootkit". Ukázalo se, že "Slunce rootkit" a Uroburos byla jedna a ta samá hrozba.

Jsme stále vyšetřuje Turla, které si myslíme, že je mnohem složitější, než je navrženo materiály, které byly dosud publikovány. Nicméně, naše prvotní analýzy se ukázalo nějaké zajímavé spojení.

Agent.btz je self-replikace červ, který je schopen se šířit přes USB flash disky s využitím zranitelnost umožňující jej spustit pomocí "autorun.inf". Tento malware byl schopen rychle šíří po celém světě. I přesto, že nebyly vytvořeny žádné nové varianty červa na několik let, a výše uvedený zranitelnost byla uzavřena v novějších verzích systému Windows, v roce 2013 sám se zjištěn Agent.btz 13832 krát ve 107 zemích!

Červ vytvoří soubor s názvem "thumb.dll" na všech USB flash disky připojené k infikovaného počítače (obsahující "winview.ocx" soubory, "wmcache.nld" a "mssysmgr.ocx"). Tento soubor je kontejner pro ukradených dat, která jsou uložena na flash disku, pokud to nemůže být zaslána přímo přes internet k ovládání a-příkazu serveru spravovaného útočníků. Pokud je pak vložen jako flash disk do jiného počítače soubor "thumb.dll 'se zkopíruje do nového počítače s názvem" mssysmgr.ocx.

Věříme, že rozsah epidemie, spolu s výše uvedeným funkce, znamená to, že tam jsou desítky tisíc USB flash disky na celém světě obsahující soubory s názvem "thumb.dll" vytvořil Agent.btz. V současné době je většina variant tohoto malwaru jsou detekovány Kaspersky Lab jako "Worm.Win32.Orbina".

Samozřejmě, Agent.btz není jediným malware, který se šíří přes USB flash disky.

Modul "USB zloděj" v červeném říjnu obsahuje seznam souborů, které hledá na USB flash disky připojené k infikovaných počítačů. Všimli jsme si, že tento seznam obsahuje soubory "mysysmgr.ocx" a "thumb.dll", tj. dva soubory písemných flash disky podle Agent.btz.

Při pohledu zpět další, když jsme analyzovali Flame a jeho bratranci Gauss a miniFlame , jsme si také všiml podobnosti s Agent.btz. Tam je analogická pojmenování, zvláště použití "OCX." Rozšíření. Kromě toho bylo také jasné, že oba Gauss a miniFlame byli vědomi souboru "thumb.dll" a podíval se na ni na USB flash disky.

Konečně, Turla používá stejné názvy souborů jako Agent.btz pro přihlášení se ukládá na infikovaných počítačích - "mswmpdat.tlb", "winview.ocx" a "wmcache.nld". To také používá stejný klíč XOR šifrování soubory protokolu.

Všechny tyto body oproti naleznete níže.

 

Zatím, co víme, je, že všechny z těchto škodlivých programů sdílet některé body podobnosti. Je jasné, že Agent.btz byla zdrojem inspirace pro ty, kteří vyvinuli další malware. Ale my nejsme schopni s jistotou říci, jestli je to titíž lidé stojí za všemi těmito hrozbami.

Malware příběhy: loupání cibule
Tor (zkratka pro The Onion Router) je software navržen tak, aby někdo zůstat v anonymitě při přístupu na internet. To bylo asi na nějakou dobu, ale na mnoho let byl používán hlavně odborníci a nadšenci. Nicméně, použití sítě Tor se špičatý v posledních měsících, zejména z důvodu rostoucích obav o soukromí. Tor se stal užitečným řešením pro ty, kteří z jakéhokoliv důvodu, se obávají, dohled a úniku důvěrných informací. Nicméně, to je jasné, šetření jsme provedli v posledních měsících, že Tor je také atraktivní pro zločinci: oni také oceňují anonymitu, které nabízí.

V roce 2013 jsme začali vidět zločinci aktivně používat Tor hostit jejich škodlivého malware infrastrukturu a odborníci společnosti Kaspersky Lab zjistili různé škodlivé programy, které se specificky používají Tor. Vyšetřování síťových zdrojů Tor odhaluje spoustu prostředků určených na malware, včetně Command-a-Control serverů, správy panely a další. Tím, hosting svých serverů v síti Tor, zločinci, aby byly těžší identifikovat, blacklist a eliminovat.

Cybercriminal fóra a tržiště se seznámili na "normální" Internetu. Ale v poslední době Tor-založené podzemí tržiště se také objevil. Všechno to začalo s notoricky známé Silk Road trhu a se vyvinul do desítek specializovaných trhů - pro drogy, zbraně a, samozřejmě, malware.

Carding obchody jsou pevně stanoveny v darknet, kde ukradl osobní údaje je na prodej, s širokou škálou hledání atributů, jako země, banka atd. Nabízené zboží nejsou omezeny na kreditní karty: skládky, sběrače a mykání zařízení jsou na prodej taky.

Registrace jednoduchý postup, obchodník hodnocení, garantovaná služba a uživatelsky přívětivé rozhraní - to jsou standardní rysy Tor underground trhu. Některé obchody požadují prodejci složit slib - fixní částku peněz - před zahájením obchodování. To má zajistit, že obchodník je skutečný a jeho služby nejsou podvod nebo nekvalitní.

Vývoj Tor se shodoval se vznikem anonymní krypto-měnu, Bitcoin. Téměř vše, co v síti Tor je kupoval a prodával pomocí Bitcoins. Je to téměř nemožné spojit Bitcoin peněženku a skutečnou osobu, aby provádění transakcí v darknet pomocí Bitcoin znamená, že útočníci mohou zůstat prakticky nepostižitelné.

Zdá se pravděpodobné, že Tor a další anonymní sítě se stala běžnou rysem internetu jako zvyšující se počet obyčejných lidí, kteří používají internet hledají způsob, jak chránit své osobní údaje. Ale je to také přitažlivým mechanismem pro zločinci - způsob, jak jim utajit funkce malware, které vytvářejí, na obchod se počítačové kriminality služby a vyprat své nezákonné zisky. Věříme, že jsme jen svědky začátku jejich užívání těchto sítí.

Web bezpečnosti a narušení bezpečnosti osobních údajů
Vzestupy a pády Bitcoin
Bitcoin je digitální crypto-měna. To funguje na modelu peer-to-peer, kde peníze bere podobu řetězce digitálních podpisů, které představují části na Bitcoin. Neexistuje žádný centrální řídící orgán, a nejsou tam žádné mezinárodní transakční poplatky - z nichž oba přispěly k tomu, že je atraktivní jako platební prostředek. Najdete přehled Bitcoin, a jak to funguje, na Kaspersky Daily stránkách.

Vzhledem k použití Bitcoin zvýšila, se stala více atraktivní cíl pro zločinci.

V našich end-of-rok prognóz , jsme očekávali útoky na Bitcoin, a to konkrétně tím, že "útoky na Bitcoin bazény, výměny a uživatelů Bitcoin se stane jedním z nejvíce vysoce postavených témat roku". Takové útoky, jsme si řekli, "bude obzvláště populární s podvodníky, protože jejich poměr nákladů a výnosů je velmi příznivý."

Už jsme viděli dostatek důkazů o to. Mt.Gox, jeden z největších Bitcoin výměn, byla pořízena v režimu offline dne 25. února. Stalo se tak po bouřlivé měsíce, ve kterém byla výměna sužovaný problémy - problémy, které viděl na obchodní cenu Bitcoins na webu podzim dramaticky. Objevily se zprávy , že výměna v platební neschopnosti následované hack, která vedla ke ztrátě 744.408 Bitcoins - v hodnotě zhruba 350 milionů dolarů na místě, Mt.Gox byla pořízena v režimu offline. Zdá se, že transakce tvárnost byla ústředním tématem zde. To je problém s protokolem Bitcoin, že za určitých okolností umožňuje útočníkovi vydávat různé transakční ID pro stejné transakce, takže se zdá, jako by transakce nestalo. Můžete si přečíst naši posouzení otázek obklopujících kolaps Mt.Gox zde . Transakce tvárnost chyba byla nyní pevně . Samozřejmě, Mt.Gox není jen virtuální bankovní služby poskytovatelem, který byl napaden, jak jsme diskutovali na konci loňského roku. Rostoucí využívání virtuálních měn je určitě znamenat další útoky v budoucnu.

Není to jen výměna virtuální měny, které jsou náchylné k útoku. Lidé, kteří používají crypto-měny můžete také najít sami terčem kybernetických zločinců. V polovině března, osobní blog a Reddit účet Mt.Gox generální ředitel Mark Karepeles, byly napadeny hackery. Tyto účty byly použity k přidání souboru, "MtGox2014Leak.zip". Tvrdí se, že tento soubor obsahoval cenné databáze skládek a specializovaný software umožňující vzdálený přístup k datům Mt.Gox. Co to ​​vlastně obsahoval byl malware navržen tak, aby najít a ukrást Bitcoin peněženky soubory. Naše write-up malware lze nalézt zde . To poskytuje jasný příklad toho, jak zločinci manipulovat zájem lidí v horké zprávy jako způsob šíření malwaru.

Jedna věc velký význam hozený do všech takových útoků je, jak ti z nás, kteří využívají každé krypto-měně zabezpečit sami sebe v prostředí, kde - na rozdíl od reálného světových měn - neexistují žádné vnější normy a předpisy. Naše poradenství je pro ukládání Bitcoins v open-source off Bitcoin klienta (spíše než v on-line burzovních služeb s neznámou skladbu záznamu); a pokud máte hodně Bitcoins - udržet je v peněžence na počítači, který není připojen k Internetu. Na vrcholu tohoto, aby se fráze pro vaše Bitcoin peněženku tak složité, jak je to možné, a zajistit, že váš počítač je chráněn s dobrou Internet Security produktu.

Spammeři se také rychle využívat techniky sociálního inženýrství k tomu lidi do podvodu. Oni využili stoupání v ceně Bitcoins v první části tohoto čtvrtletí (před kolapsem Mt.Gox), aby se pokusili vydělat na touze lidí rychle zbohatnout. Jak jsme uvedeno v únoru, tam bylo několik Bitcoin témata týkající se používané spammery. Jsou součástí nabídky sdílet tajemství milionáře o tom, jak zbohatnout investováním do Bitcoins; a nabízí se připojit k Bitcoin loterii.

Dobrý software, které by mohly být použity pro špatné účely
V únoru, v Analyst Summit 2014 Kaspersky Security , jsme nastínil, jak nesprávné implementace proti krádeži technologií, kteří mají bydliště ve firmwaru běžně používaných notebooků a některých stolních počítačů, by se mohla stát mocnou zbraní v rukou zločinci.

Náš výzkum začal, když zaměstnanec společnosti Kaspersky Lab zažil opakované procesní systém havaruje na jednom z jeho osobních notebooků. Analýza protokolu událostí a stav paměti bylo zjištěno, že dojde k selhání důsledkem nestability v modulech s názvem "identprv.dll" a "wceprv.dll", které byly vloženy do adresového prostoru jednoho z hostitelských procesů systému služeb ("svchost.exe "). Tyto moduly byly vytvořeny Absolute Software, legitimní společnosti, a jsou součástí softwaru Absolute Computrace.

Náš kolega tvrdil, že není nainstalován software a ani nevěděl, že byl přítomen na notebooku. To nám způsobilo znepokojení, protože podle absolutní Software bílého papíru , by měla být instalace provedena vlastníka počítače nebo jejich IT služby. Na vrcholu tohoto, zatímco většina pre-instalovaný software může být trvale odstraněna nebo zakázat majitel počítače, Computrace je navržen tak, aby přežil profesionální systém vyčištění, a dokonce i výměnu pevného disku. Navíc, nemohli jsme prostě odmítnout to jako výskyt jednorázový, protože jsme zjistili podobných údajů z Computrace software běžící na osobních počítačích, které patří do některé z našich výzkumných pracovníků a některých podnikových počítačů. V důsledku toho jsme se rozhodli provést hloubkovou analýzu .

Když jsme se poprvé podíval na Computrace, jsme se mylně domnívali, že byl škodlivý software, protože používá mnoho triků, které jsou populární v současné malware: využívá specifického ladění a anti-reverzní inženýrství, vstřikuje do paměti jiných procesů, stanoví Tajemství komunikace, skvrny systémové soubory na disku, šifruje konfigurační soubory a kapky Windows spustitelný přímo z BIOS / firmware. To je důvod, proč se v minulosti, software byl detekován jako malware; i když v současné době, většina anti-malware společnosti whitelist Computrace spustitelné soubory.

Věříme, že Computrace byl navržen s dobrými úmysly. Nicméně, náš výzkum ukazuje, že zranitelnosti v softwaru by mohla umožnit zločinci ji zneužít. Podle našeho názoru, silnou autentizaci a šifrování, musí být postaven do takové mocný nástroj. Nenašli jsme žádný důkaz, že Computrace moduly byly tajně na počítačích jsme analyzovali. Ale je jasné, že existuje mnoho počítačů s aktivovaným agenty Comutrace. Věříme, že je to odpovědnost výrobců, a Absolute Software, oznámit tyto lidi a vysvětlit, jak mohou deaktivovat software, pokud nechtějí, aby ji používat. V opačném případě budou tyto osiřelé agenti pokračovat v jízdě bez povšimnutí a bude poskytovat příležitosti pro vzdálenou využití.

Mobilní malware

V posledním čtvrtletí se procento hrozeb zaměřených na Android překročil 99% všech mobilních malware. Detekce více než v posledních třech měsících v ceně:

1 258 436 instalační balíčky,
110 324 nových škodlivých programů pro mobilní zařízení,
1 182 nové mobilní bankovnictví trojské koně.
Mobilní bankovnictví trojské koně
Na začátku roku společnost Kaspersky Lab se přihlásit 1.321 jedinečné soubory pro mobilní bankovní trojské koně, a na konci prvního čtvrtletí, že počet vzrostl na 2503. Výsledkem je, že v průběhu prvních tří měsíců letošního roku se počet bankovních trojských koní téměř zdvojnásobil.

Stejně jako dříve, že hrozby jsou nejvíce aktivní v Rusku, Kazachstánu, Bělorusku a na Ukrajině:


Mobilní bankovnictví hrozby po celém světě, v 1. čtvrtletí 2014

Top 10 zemí, na něž je zaměřen bankovních trojských koní:

Země % Ze všech útoků
Rusko 88.85%
Kazachstán 3,00%
Ukrajina 2,71%
Bělorusko 1.18%
Litva 0,62%
Bulharsko 0,60%
Ázerbajdžán 0,54%
Německo 0,39%
Lotyšsko 0.34%
Uzbekistán 0,30%
Faketoken je bankovnictví Trojan, který vstoupil Top 20 nejčastěji detekovaných hrozeb společnosti Kaspersky Lab na konci čtvrtletí. Tato hrozba se krade mTANs a pracuje ve shodě s počítačem na bázi bankovních trojských koní. Během on-line bankovnictví zasedání, počítač-založené trojské koně použít webový inject na osivo požadavek na infikované webové stránky, ke stažení Android aplikace, která je údajně potřebná k provedení bezpečné transakce, ale odkaz skutečně vede k Faketoken. Poté, co mobilní hrozba skončí na smartphonu uživatele, zločinci pak pomocí počítače na bázi trojské koně k získání přístupu k bankovnímu účtu oběti, a Faketoken jim umožňuje sklizeň mTANs a převést peníze na oběti na jejich účty.

O čem jsme psali několikrát, že většina mobilní bankovnictví hrozby jsou navrženy a zpočátku používané v Rusku, a že později zločinci mohou používat v jiných zemích. Faketoken je jeden takový program. Během prvních tří měsíců roku 2014, Kaspersky Lab zjištěn útoků zahrnujících tuto hrozbu v 55 zemích, včetně Německa, Švédska, Francie, Itálie, Velké Británie a USA.

Nový vývoj od autoři virů
TOR-řízené roboty
Anonymní sítě Tor, který je postaven na síti proxy serverů, nabízí uživatelské anonymitu a umožňuje účastníkům hostit "anonymní" webové stránky na. Cibule domény zóny. Tyto webové stránky jsou pak přístupné pouze přes Tor. V únoru, Kaspersky Lab zjištěn první Android Trojan, který je spuštěn přes C & C hostované na doméně v. cibule pseudo-zóny.

Backdoor.AndroidOS.Torec.a je modifikace Orbot, běžně používané Tor klienta, ve kterém uživatelé se zlými úmysly byly oseté svůj vlastní kód. Všimněte si, že, aby se zajistilo, že Backdoor.AndroidOS.Torec.a je schopen využít Tor, je třeba mnohem více kódu než na své hlavní funkce.

Trojan může zobrazit následující příkazy z C & C:

zahájit / ukončit odposlech příchozích textových zpráv
zahájit / ukončit krádež příchozích textových zpráv
vydá požadavek USSD
odesílat data o telefonu (telefonní číslo, země, IMEI, model, verze OS) na C & C
poslat seznam aplikací nainstalovanou v mobilním zařízení na C & C
posílat textové zprávy na číslo zadané v příkazu
Proč uživatelé se zlými úmysly najít tam byla potřeba pro anonymní síť? Odpověď je jednoduchá: C & C hostil v síti Tor nelze vypnout. Mimochodem, tvůrci Android trojské koně přizpůsobit tento přístup od autorů virů, kteří vyvinuli hrozby zaměřené na Windows.

E-peněženka krádeže
Uživatelé se zlými úmysly jsou vždy hledají nové způsoby, jak ukrást peníze pomocí mobilních trojské koně. V březnu, Kaspersky Lab zjištěn Trojan-SMS.AndroidOS.Waller.a, které kromě typických SMS trojské funkcí je také schopen krást peníze z QIWI peněženky z infikovaných telefonů.

Poté, co obdrží příslušnou C & C velení, Trojan kontroluje QIWI peněženky rovnováhu zasláním textové zprávy na odpovídající číslo systému QIWI. Trojan zachytí odpověď a odešle ji jejími provozovateli.

Pokud vlastník infikovaného zařízení má peněženku účet QIWI a Trojan získává data, která existuje kladný zůstatek v peněžence účtu, malware může převést peníze z účtu uživatele na peněženky účet QIWI určený pro zločinci. Trojan majitelé Poslat řadu speciální systém QIWI textem uvedením peněženku ID z uživatelů se zlými úmysly, a částku, která má být převedena.

Zatím to Trojan má pouze cílené ruských uživatelů. Nicméně, útočníci mohou použít k ukrást peníze od uživatelů v jiných zemích, kde se běžně používají textové řízené systémy e-peněženka.

Špatné zprávy
V prvním čtvrtletí roku 2014, Trojan cílení iOS byla zjištěna. Tento škodlivý program je plug-in pro Cydia substrátu, široce používané rámce pro kořeny / hacknuté zařízení. Existuje mnoho affiliate programy pro vývojáře app, které jim umožní prosazovat své aplikace pomocí reklamní modul, a vydělávat peníze pro reklamní displeje. V některých reklamních modulů, Trojan přepne se na ID vývojářů aplikací pro ID uživatelů se zlými úmysly. Jako výsledek, všechny peníze na reklamních displejů jde k uživateli se zlými úmysly místo.

Odborníci z Turecka byly zjištěny zranitelnosti využít způsobující odmítnutí služby na přístroji a následném restartu. Smyslem této chyby zabezpečení je, že uživatelé se zlými úmysly mohou využít ji rozvíjet Android aplikace s AndroidManifest.xml, který obsahuje velké množství dat v každém poli Název (AndroidManfiest.xml je speciální soubor nalézt v každé Android app). Tento soubor obsahuje údaje o aplikace, včetně přístupových oprávnění pro systémové funkce, markery pro procesory pro různé události, atd. nová aplikace mohou být instalovány bez jakýchkoliv problémů, ale například, když aktivita se nazývá s určitým názvem, přístroj spadne. Například, psovod může být vyvinut pro příchozí textové zprávy pomocí špatné jméno, a po obdržení jakékoliv textové zprávy, telefon se prostě zhroutí a stane se nepoužitelným. Přístroj začne neustále restartovat, a uživatel bude mít pouze jeden způsob, jak vyřešit problém: Návrat firmware, což povede ke ztrátě všech dat uložených v přístroji.

Škodlivý spam
Jedním ze standardních metod používaných pro šíření mobilního malware je škodlivý spam. Tato metoda je jednou z nejlepších voleb mezi zločinci, kteří používají mobilní trojské koně krást peníze z uživatelských účtech.

Škodlivé spam texty obvykle obsahují buď nabídku stáhnout si aplikaci pomocí odkazu, který odkazuje na malware, nebo odkaz na webové stránky nasazený se škodlivý program, který přesměruje uživatele na nějakou nabídky. Stejně jako s nebezpečným spam v e-mailu, útočníci spoléhají na sociální inženýrství, jak získat pozornost uživatele.

Olympic-themed spam
Olympiáda je velká událost, a uživatelé se zlými úmysly využil zájmu letošních hrách v Soči.

V únoru jsme zaznamenali SMS spam s odkazy na údajné vysílání olympijských událostí. Jestliže neopatrný uživatel klikl na odkaz, jeho smartphone se pokusí načíst Trojan detekován Kaspersky Lab jako HEUR: Trojan-SMS.AndroidOS.FakeInst.fb.

Tento Trojan je schopen reagovat na nebezpečné příkazy uživatele a posílání textových zpráv na velké ruské banky a převodu peněz z mobilního účtu majitele prostřednictvím infikovaného telefonu. Uživatel se zlými úmysly může pak převést peníze z účtu oběti do svého e-peněženky. Mezitím, všechny zprávy z banky, pokud jde o přenos bude skryta oběti.

Spam s odkazy na škodlivé webové stránky
Mezi zločinci, kteří šíří Opfake Trojan poslal SMS spam s odkazem na speciálně vytvořených škodlivé webové stránky.

Jeden z textových zpráv informovat příjemce, že se jim dostalo balíček a vede na webové stránky se tváří jako ruské poštovní služby.

V jiných zprávách, uživatelé se zlými úmysly využil popularity ruské Inzerce zdarma webové stránky, Avito.ru. Tyto textové zprávy sdělil příjemce, že obdržel nabídku v reakci na jejich reklamu, nebo že někdo měl zájem o koupi jejich zboží, a zahrnoval odkazy na falešný Avito.ru stránku.


Škodlivé padělané webové stránky

Pokud uživatel klikne na odkaz vedoucí na falešné internetové stránky, bude jeho smartphone se pokusí stáhnout Trojan-SMS.AndroidOS.Opfake.a. Kromě zasílání placených textových zpráv, tento škodlivý program se používá také k šíření další hrozby pro mobilní zařízení, včetně multi-funkční Backdoor.AndroidOS.Obad.a.

Sociální inženýrství je vždy nebezpečný nástroj v rukou zločinci. Uživatelé internetu je třeba být opatrný a na naprosté minimum, zdržet kliknutím na žádné odkazy obdrželi od neznámých odesílatelů. V těchto případech, tam je vždy riziko pádu do pasti nastražené uživatelů se zlými úmysly a přichází o peníze jako výsledek.

Statistika


Distribuce mobilních hrozeb podle druhu

Distribuce mobilních hrozeb podle druhu, 1. čtvrtletí 2014

Během prvních tří měsíců roku 2014, číslo jedna mobilní hrozba se ukázalo být Adware, jedinou funkcí, která je trvale zobrazovat reklamy. Tento druh malwaru je obzvláště obyčejný v Číně.

Po dlouhou dobu v čele, SMS trojské koně byly srazil na druhé místo poté, co se jejich podíl klesl z 34% na 22%. Nicméně, tato kategorie malwaru stále vede mezi Top 20 nejčastěji detekovaných mobilních hrozeb.

Top 20 mobilních hrozeb
Název % Ze všech útoků
1 Trojan-SMS.AndroidOS.Stealer.a 22.77%
2 RiskTool.AndroidOS.MimobSMS.a 11.54%
3 Trojan-SMS.AndroidOS.OpFake.bo 11.30%
4 RiskTool.AndroidOS.Mobogen.a 10.50%
5 DangerousObject.Multi.Generic 9,83%
6 Trojan-SMS.AndroidOS.FakeInst.a 9,78%
7 Trojan-SMS.AndroidOS.OpFake.a 7,51%
8 Trojan-SMS.AndroidOS.Erop.a 7,09%
9 Trojan-SMS.AndroidOS.Agent.u 6,45%
10 Trojan-SMS.AndroidOS.FakeInst.ei 5,69%
11 Backdoor.AndroidOS.Fobus.a 5,30%
12 Trojan-SMS.AndroidOS.FakeInst.ff 4,58%
13 Trojan-Banker.AndroidOS.Faketoken.a 4,48%
14 AdWare.AndroidOS.Ganlet.a 3,53%
15 Trojan-SMS.AndroidOS.Agent.ao 2,75%
16 AdWare.AndroidOS.Viser.a 2.31%
17 Trojan-SMS.AndroidOS.Agent.dr 2,30%
18 Trojan-SMS.AndroidOS.Agent.fk 2,25%
19 RiskTool.AndroidOS.SMSreg.dd 2.12%
20 RiskTool.AndroidOS.SMSreg.eh 1.87%
Nové úpravy Trojan-SMS.AndroidOS.Stealer.a byly hlavním faktorem v nárůstu nových mobilních hrozeb. Na tom není nic zvlášť zvláštního o této hrozbě; je vybaven standardní SMS trojské funkce, ale je to stále poprvé v Top 20 nejčastěji detekovaných mobilních hrozeb.

To dává smysl, že loňské vůdci - Opfake.bo a Fakeinst.a - jsou stále pevně drží na svých místech a pokračovat být hlavními hráči v útocích na mobilní uživatelských zařízení, je zaplavení s nekonečnými vlnami nových škodlivých instalátory.

Mimochodem, Top 20 nejčastěji detekované hrozby pro mobilní zařízení společnosti Kaspersky Lab nyní obsahuje Faketoken bankovnictví Trojan poprvé (13. místo).

Hrozby po celém světě
 

Země, kde se uživatelé setkávají největší riziko infekce mobilní malware, Q1 2014
(procento všech napadených unikátních uživatelů)

Top 10 nejčastěji cílových zemí:
Název % Ze všech útoků
1 Rusko 48.90%
2 Indie 5,23%
3 Kazachstán 4,55%
4 Ukrajina 3,27%
5 Spojené království 2,79%
6 Německo 2.70%
7 Vietnam 2.44%
8 Malajsie 1.79%
9 Španělsko 1.58%
10 Polsko 1.54%
Statistika

Všechny statistické údaje použité v této zprávě byly získány z tzv. cloud-based systému Kaspersky Security Network (KSN). Statistické údaje byly získány z KSN uživatelů, kteří souhlasili, aby se podělili o své lokální data. Miliony uživatelů produktů společnosti Kaspersky Lab ve 213 zemích, podílet se na globální výměny informací o nebezpečné činnosti.

On-line hrozeb (útoky prostřednictvím webu)
Statistiky v této části byly odvozeny z webových antivirových komponentů, které chrání uživatele při škodlivý kód se pokusí stáhnout z škodlivý / infikované webové stránky. Škodlivé webové stránky jsou záměrně vytvořeny uživatelů se zlými úmysly; infikované weby mohou být ty s uživatelem přispěly obsah (jako fór), jakož i legitimní prostředky, které byly hacknutý.

Top 20 škodlivé objekty detekovány on-line
V prvním čtvrtletí roku 2014, Kaspersky Lab web antivirus zjištěn 29 122 849 unikátních škodlivých objektů: skripty, webové stránky, exploity, spustitelné soubory, atd.

Identifikovali jsme 20 nejvíce aktivní škodlivé programy, které byly zapojeny do on-line útokům proti počítačích uživatelů. Tyto 20 představovaly 99,8% všech útoků na internetu.

Název % Ze všech útoků
1 Škodlivý URL 81.73%
2 Trojan.Script.Generic 8,54%
3 AdWare.Win32.BetterSurf.b 2.29%
4 Trojan-Downloader.Script.Generic 1.29%
5 Trojan.Script.Iframer 1.21%
6 AdWare.Win32.MegaSearch.am 0,88%
7 Trojan.Win32.AntiFW.b 0,79%
8 AdWare.Win32.Agent.ahbx 0.52%
9 AdWare.Win32.Agent.aiyc 0.48%
10 Trojan.Win32.Generic 0.34%
11 AdWare.Win32.Yotoon.heur 0,28%
12 Trojan.Win32.Agent.aduro 0.23%
13 Adware.Win32.Amonetize.heur 0.21%
14 Trojan-Downloader.Win32.Generic 0.21%
15 Trojan-Clicker.JS.FbLiker.k 0.18%
16 Trojan.JS.Iframe.ahk 0.13%
17 AdWare.Win32.Agent.aiwa 0.13%
18 Exploit.Script.Blocker 0.12%
19 AdWare.MSIL.DomaIQ.pef 0.12%
20 Exploit.Script.Generic 0,10%
* Tyto statistiky představují detekce rozsudky na web antivirového modulu. Informace byly poskytnuty ze strany uživatelů produktů společnosti Kaspersky Lab, kteří souhlasili, aby se podělili o své lokální data.

** Procento všech internetových útoků zaznamenala na počítačích unikátních uživatelů.

Jak je často případ, Top 20 převážně se jedná o rozsudky přiřazené objekty používané v drive-by útoky a adware programy. Počet pozic obsazených adware rozsudků zvýšil sedm až devět v prvním čtvrtletí roku 2014.

Ze všech škodlivých programů v tomto pořadí, Trojan.Win32.Agent.aduro na dvanáctém místě, stojí za zvláštní zmínku. Tento program se šíří z webových stránek, které vyzve uživatele ke stažení prohlížeče plug-in na pomoc on-line nakupování.
 

Pokud uživatel klikne na tlačítko "Stáhnout", Trojan.Win32.Agent.aduro pokusí stáhnout do počítače uživatele. Trojan si klade za cíl stáhnout ad plug-in, stejně jako program pro těžbu na crypto-currency Litecoin. Po úspěšném infikován, bude počítač uživatele se používají zločinci k výrobě tohoto crypto-měnu, která bude jít přímo do svých peněženek.

Zajímavá je škodlivý skript Trojan-Clicker.JS.FbLiker.k na patnáctém místě v Top 20.. To je většinou přítomen na vietnamských stránkách nabízí různé druhy zábavy a webových zdrojů, které nabízejí filmy a software ke stažení. Když uživatel navštíví takové stránky, skript napodobuje uživatelské kliknutím na tlačítko "Like" na stránce v Facebook. Po tomto, může být stránka Facebook zobrazen jako "líbí" na novinek uživatele a v profilu uživatele. Obrovské množství "likes" na určitou stránku mění své výsledky hledání Facebooku.

Země, kde se on-line zdrojů nasazený s malware: Top 10
Následující statistiky jsou založeny na fyzickém umístění on-line zdrojů, které byly použity při útocích a zablokovaných antivirových komponentů (webové stránky, které obsahují přesměrování na exploity, stránky, které obsahují využije a další malware, botnet velitelských středisek, atd.). Každý jedinečný hostitel se může stát zdrojem jedné nebo více webových útoků.

Aby bylo možné určit zeměpisný zdroj webovými útoky, byla použita metoda, kterou jsou doménová jména uzavřeno proti skutečné domény IP adres, a pak zeměpisná poloha konkrétní IP adresu (GeoIP) je založena.

V 1. čtvrtletí 2014, Lab řešení Kaspersky zablokoval 353 216 351 útokům z webových zdrojů umístěných v různých zemích po celém světě. 83,4% z on-line zdrojů používaných k šíření škodlivých programů jsou umístěny v 10 countries.This je o 0,3 procentního bodu méně než ve 4. čtvrtletí 2013.


Distribuce on-line zdrojů nasazený škodlivými programy, v 1. čtvrtletí 2014

Toto pořadí prošel pouze menší změny v posledních měsících. Všimněte si, že 39% všech internetových útoků blokovaných produkty společnosti Kaspersky Lab bylo zahájeno použití škodlivých webových zdrojů umístěných v USA a Rusku.

Země, kde se uživatelé setkávají největší riziko infekce on-line
Aby bylo možné posoudit, ve kterých zemích uživatelé čelit kybernetickým hrozbám nejčastěji, jsme vypočítali, jak často uživatelé Kaspersky setkat detekce rozsudky na svých strojích v každé zemi. Výsledná data charakterizuje riziko infekce na počítače, které jsou vystaveny v různých zemích po celém světě, poskytuje ukazatel agresivitě prostředí, ve kterém počítače pracují v různých zemích.

Země * % Unikátních uživatelů **
1 Vietnam 51.44%
2 Rusko 49.38%
3 Kazachstán 47.56%
4 Arménie 45.21%
5 Mongolsko 44.74%
6 Ukrajina 43.63%
7 Ázerbajdžán 42.64%
8 Bělorusko 39.40%
9 Moldavsko 38.04%
10 Kyrgyzstán 35.87%
11 Tádžikistán 33.20%
12 Gruzie 32.38%
13 Chorvatsko 31.85%
14 Katar 31.65%
15 Alžírsko 31.44%
16 Turecko 31.31%
17 Litva 30.80%
18 Řecko 30.65%
19 Uzbekistán 30.53%
20 Španělsko 30.47%
Tyto statistiky jsou založeny na detekci rozsudky vrácených web antivirového modulu, obdržely od uživatelů produktů společnosti Kaspersky Lab, kteří souhlasili, aby jejich statistických údajů.

* Vyloučili jsme ty země, v nichž počet uživatelů produktů společnosti Kaspersky Lab je relativně malý (méně než 10000).

** jedinečných uživatelů, jejichž počítače byly terčem internetových útoků jako podíl z celkového počtu unikátních uživatelů produktů společnosti Kaspersky Lab v zemi.

Q1 2014 došlo ke změně lídra v tomto pořadí: Vietnam, kde 51,4% uživatelů čelí webové nese útoky, je nyní na prvním místě. Mongolsko byl nováčkem na tomto seznamu, přichází rovnou na páté s 44,7% napadených uživatelů. Zbývající pozice v top 10 je stále obsazené Ruskem a bývalými státy SNS.

Mezi země s nejbezpečnějších on-line prostředí, surfování jsou Singapur (10,5%), Japonsko (13,2%), ve Švédsku (14,5%), Jižní Afrika (15,6%), Tchaj-wan (16,1%), v Dánsku (16,4%), Finsko (16,8% ), Nizozemí (17,7%) a Norsko (19,4%).


* Podíl z celkového počtu napadených unikátních uživatelů

V průměru 33,2% uživatelů počítačů připojených k Internetu byly podrobeny alespoň jeden web útoku během posledních tří měsíců.

Místní hrozby
Místní statistiky infekce pro uživatele počítačů jsou velmi důležitým ukazatelem. Tato data upozorňuje na hrozby, které pronikly na počítačový systém přes něco jiného než Internet, e-mail, nebo síťových portů na.

Tato část obsahuje analýzu statistických údajů získaných na základě provozu antivirový program, který skenuje soubory na pevném disku v okamžiku, kdy jsou vytvořeny nebo přístupné, a výsledky skenování různých vyměnitelných datových úložišť.

V 1. čtvrtletí 2014, antivirových řešení společnosti Kaspersky Lab úspěšně zablokoval 645 809 230 malware útoky na počítačích uživatelů. V těchto incidentů, bylo zjištěno celkem 135 227 372 unikátních škodlivých a potenciálně nežádoucích objektů.

Top 20 škodlivé objekty zjištěné na uživatelských počítačích

Hodnost Název % Unikátních uživatelů napadených *
1 DangerousObject.Multi.Generic 20.37%
2 Trojan.Win32.Generic 18.35%
3 AdWare.Win32.Agent.ahbx 12.29%
4 Trojan.Win32.AutoRun.gen 7,38%
5 AdWare.Win32.BetterSurf.b 6,67%
6 Adware.Win32.Amonetize.heur 5,87%
7 Virus.Win32.Sality.gen 5,78%
8 Worm.VBS.Dinihou.r 5,36%
9 AdWare.Win32.Yotoon.heur 5,02%
10 Trojan-Dropper.Win32.Agent.jkcd 4,94%
11 Worm.Win32.Debris.a 3,40%
12 Trojan.Win32.Starter.lgb 3,32%
13 Exploit.Java.Generic 3,00%
14 AdWare.Win32.Skyli.a 2,80%
15 Trojan.Win32.AntiFW.b 2,38%
16 Virus.Win32.Nimnul.a 2.23%
17 Trojan.WinLNK.Runner.ea 2.22%
18 AdWare.Win32.DelBar.a 2.21%
19 AdWare.Win32.BrainInst.heur 2.11%
20 Worm.Script.Generic 2.06%
Tyto statistiky jsou sestavovány z detekce malwaru rozsudky vytvořených skenerem modulů on-access a on-demand na počítačích těchto uživatelů se systémem produkty společnosti Kaspersky Lab, které souhlasily s tím, aby předložily své statistické údaje.

* Podíl jednotlivých uživatelů na jehož počítače antivirový modul detekoval tyto objekty jako procentní podíl všech jednotlivých uživatelů produktů společnosti Kaspersky Lab, na jehož počítače byl zjištěn škodlivý program.

Toto hodnocení obvykle zahrnuje rozsudky uvedené na adware programy, červi šíří na vyměnitelném médiu, a viry.

Podíl virů v této Top 20 pokračuje pomalu, ale vytrvale klesat. V 1. čtvrtletí 2014, viry byly zastoupeny rozsudků Virus.Win32.Sality.gen a Virus.Win32.Nimnul.a, s celkovým podílem ve výši 8%. Ve 4. čtvrtletí roku 2013, že číslo bylo 9,1%.

Červ Worm.VBS.Dinihou.r na osmém místě je VBS skript; se ukázalo, koncem loňského roku, a to je poprvé, co to dělal to k tomuto žebříčku. Spam je jedním ze způsobů, jak tento červ se šíří. Červ poskytuje širokou funkčnost plnohodnotného backdoor, od zahájení příkazového řádku pro nahrávání ze zadaného souboru na serveru. Je také infikuje úložné zařízení USB připojená k počítači oběti.

Země, kde se uživatelé setkávají nejvyšší riziko lokální infekce

Hodnost Země * % Unikátních uživatelů **
1 Vietnam 60.30%
2 Mongolsko 56.65%
3 Nepál 54.42%
4 Alžírsko 54.38%
5 Jemen 53.76%
6 Bangladéš 53.63%
7 Egypt 51.30%
8 Irák 50.95%
9 Afghánistán 50.86%
10 Pákistán 49.79%
11 Indie 49.02%
12 Súdán 48.76%
13 Tunisko 48.47%
14 Džibuti 48.27%
15 Laos 47.40%
16 Sýrie 46.94%
17 Myanmar 46.92%
18 Kambodža 46.91%
19 Maroko 46.01%
20 Indonésie 45.61%
Tyto statistiky jsou založeny na detekci rozsudky vrácených antivirovým modulem, obdržel od uživatelů produktů společnosti Kaspersky Lab, kteří souhlasili, aby jejich statistických údajů. Údaje zahrnují detekci škodlivých programů, umístěných na počítačích uživatelů nebo na vyměnitelné médium připojené k počítači, jako jsou flash disky, fotoaparát a paměťové karty telefon, nebo externí pevné disky.

* Při výpočtu jsme vyřadili země, kde existují méně než 10.000 uživatelů Kaspersky Lab.

** Podíl unikátních uživatelů v zemi s počítači, které zablokoval místní hrozby jako podíl z celkového počtu unikátních uživatelů produktů společnosti Kaspersky Lab.

Top 20 v této kategorii nadále dominují země v Africe, na Středním východě a jihovýchodní Asii. Vietnam na prvním místě, jak tomu bylo ve 4. čtvrtletí 2013, zatímco Mongolsko zůstává na druhém místě. Nepál posunul o jedno místo na třetí místo, zatímco Bangladéš klesl o tři místa na šestou ve 4. čtvrtletí 2014. Maroko je nová položka v tomto pořadí.


* Podíl z celkového počtu napadených unikátních uživatelů

Z nejbezpečnějších zemí, pokud jde o lokální infekce, rizika jsou: Japonsko (12,6%), ve Švédsku (15%), Finsko (15,3%), v Dánsku (15,4%), Singapur (18,2%), Nizozemí (19,1%), a Česká republika (19,5%).

V průměru 34,7% počítačů uživatelů byly podrobeny alespoň jedné místní ohrožení v průběhu posledních tří měsíců.


Port 32764 Router Backdoor je zpět (nebo to bylo někdy šel?)
23.4.2014 Hrozby

Na rozdíl od oznámil před několika měsíci, neslavný "Port 32764" backdoor nebyl plně záplatované v nových směrovačů [1]. Jako připomenutí, původní backdoored povolen neomezený / neověřený kořenový přístup k routeru připojíte k portu 32764. Backdoor byl vystopován k součástek vyrábí podle Sercomm. Sercomm dodává díly pro řadu značkových routerů prodávaných pod značkami Cisco, Linksys, Netgear, Diamond a možná i jiné.

Analýza z aktualizace routeru Synacktive bylo zjištěno, že kód se provádí na zadní dveře, je stále přítomen, a může být aktivován pro poslech opět zasláním konkrétní Ethernet paket. Paket by neměl být veden tak, útočník musí mít přístup k místní síti router je připojen, což výrazně snižuje pravděpodobnost využití, ale neodstraňuje ji.

Paket aktivaci backdoor je identifikován typu Ethernet o 0x8888.

[1] http://www.synacktiv.com/ressources/TCP32764_backdoor_again.pdf


Yahoo šifruje komunikaci mezi datovými centry, plánuje šifrované Messenger
22.4.2014 Bezpečnost

Nově jmenovaný Yahoo CISO Alex Stamos se ve středu oznámila, že společnost začala plně zašifruje veškerý provoz pohybuje mezi svých datových center. Tento krok byl více než pravděpodobné, že z popudu zjevení, že NSA kohoutky zámořské optických kabelů používaných společností Google a Yahoo pro výměnu dat uložených v jejich mnoha datových center v USA a zahraničí. Yahoo, který byl často kritizován za zaostávání jiné Internetové společnosti, pokud jde o ochranu osobních údajů, má další skvělou novinku na tomto poli: je to v poslední době šifrování HTTPS ve výchozím nastavení povoleno na Yahoo Mail, Yahoo Úvodní stránka, a všech vyhledávacích dotazů, které běží na něm a většina vlastností Yahoo. "V poslední měsíc, jsme umožnili šifrování pošty mezi našimi servery a jinými poskytovateli poštovních, které podporují standard SMTPTLS, "Stamos oznámil a dodal, že se zavedly podporu pro TLS 1.2, Perfect Forward Secrecy a 2048-bitový RSA klíč pro mnoho z jeho globální vlastnosti. "Stovky Yahoos byly pracující nepřetržitě v průběhu posledních několika měsíců poskytovat více bezpečné zážitky pro naše uživatele a chceme udělat ještě více kupředu. Naším cílem je šifrovat celou naši platformu pro všechny uživatele po celou dobu , ve výchozím nastavení, "uvedl. Other plánovaná zlepšení v příštích měsících jsou nové, šifrovaná verze Yahoo Messenger (pravděpodobně reakce na zrakový nerv ), a zavedení TGV, Perfect Forward Secrecy a osvědčení transparentnosti. "našem boji chránit naše uživatele a jejich dat je průběžné a kritického úsilí. Toto není projekt, kde budeme někdy zkontrolovat políčko a být "dokončena", "dodal. Yahoo se také očekává v podobných šifrovací standardy od svých partnerských společností. Stamos je sdílena s Tech Crunch, že někteří poskytovatelé reklamních již odešel, protože nemohli se s nimi setkat. Řekl také, že všechny tyto ochrana jsou nepravděpodobné, že by zmařit vyhrazené úsilí o národní stát a cílujeme na konkrétního uživatele, ale že bude chránit uživatele před bulk dohledu.


 


Celosvětově Interaktivní mapa cyberthreat
22.4.2014 Incidenty

Kaspersky Lab spustila interaktivní cyberthreat mapu , která představí si kybernetických bezpečnostních incidentů se vyskytují po celém světě v reálném čase.
 

Typy hrozeb zobrazené jsou škodlivé objekty zjištěné během na-internetu a on-demand skenování, e-mailu a webu antivirových odhalení, stejně jako objekty identifikovaných zranitelností a detekce subsystémů narušení. V dnešním světě hrozbách, jen to trvá několik minut, aby se šíří nové škodlivé aplikace nebo spam. Globálně distribuované cloud-based infrastruktury společnosti Kaspersky Lab - Kaspersky Security Network (KSN) -. Pomáhá produktŧ společnosti Kaspersky Lab dostávat informace o nových podezřelých souborů a dalšími hrozbami téměř okamžitě poté, co se objeví vnitřní KSN mechanismy shrnují data odeslaná automaticky z tisíců chráněných zařízení, jejichž uživatelé souhlas ke sdílení informací o podezřelých programů se kterými se setkávají. Po porovnáním chování souboru na různých počítačích, kontrola proti databázi stovek tisíc legitimních aplikací a pomocí heuristických algoritmů, systém vydá předběžný verdikt o tom, zda je nebo není objekt je škodlivý. Pokud je škodlivý, přístup k Objekt je okamžitě blokován pro všechny ostatní uživatele Kaspersky Lab, čímž se zabrání epidemii. KSN má nejnovější informace o bezpečnostních incidentech, které se přidávají do mapy světa v reálném čase, takže každý může prohlédnout širokou škálu hrozeb, a rychlost, s jakou se šíří. Uživatelé mohou otáčet zeměkouli a přiblížit k jakékoliv část světa, aby se blíže podívat na místní hrozeb. Různé typy hrozeb zjištěných v reálném čase, jsou vyznačeny různými barvami. Uživatel může přinést popis každé hrozby na obrazovce nebo zakázat zobrazování typy hrozeb. Kromě sdílet tlačítka pro uživatele sociálních sítí, jsou tlačítka pro přepínání: barva pozadí, jazyk rozhraní a režim zobrazení (plochá mapa nebo otáčení zeměkoule). K dispozici je také šikovný odkaz zkontrolujte, zda je počítač napaden škodlivým softwarem. "Každý den Kaspersky Lab zpracovává více než 300.000 škodlivé objekty. Před třemi lety to bylo jen 70.000, ale antivirové technologie také mění s dobou a nemáme problém vyrovnat se s tímto obrovským proudem provozu, "uvedl Denis Zenkin, vedoucí podnikové komunikace u společnosti Kaspersky Lab. "Tam, kde se útoky pocházejí? Kde se uživatelé kliknou na nebezpečné odkazy nejčastěji? Jaké typy malware jsou nejčastější? Jedná se o druh otázek se zeptal spoustou uživatelů. Naše nová mapa Cyberworld hrozeb umožňuje každému vidět rozsah kybernetické aktivity v reálném čase a získat chuť, jaké to je být jedním z našich odborníků. "


NSA a GCHQ špehoval německých satcomms, vedoucí světové vlády "
22.4.2014 Špionáž

Další týden, další výbušná zjevení přicházejí z Edwarda Snowdena archivu NSA dokumentů. Tentokrát odhalují rozsáhlé kompromis několika německých poskytovatelů satelitní komunikace prostřednictvím rukou britské GCHQ zpravodajské služby a americké NSA, stejně jako latter je cílení a špehuje 122 hlav států, včetně německé kancléřky Angely Merkelové. tři poskytovatelé v otázce are Stellar, Cetel a IABG, které pracují družice na zemi stanice, které poskytuje internetové a telefonní služby na odlehlých místech Takováto cizí základny na business, politické a nevládní organizace. According k Der Spiegel , provoz byl prováděn od poslechového stanice v Cornwallu, a cílené jak na zaměstnance (většinou inženýrů) a sítě těchto společností. Mezi špehoval na jednotlivce je zřejmě také Hvězdná CEO Christian Steffen. Špioni se i po informace o zákaznících firem. V hvězd je případ, jsou poskytovatelé internetových služeb, telekomunikační a několik vlád; Cetel slouží organizací v Africe a na Blízkém východě, a poskytuje připojení k Internetu diplomatických základnách severní evropské země; a IABG obchoduje s německou vládou, jejích ozbrojených sil, a společností v leteckém a kosmickém průmyslu. Dalším dokumentem, který ukazuje, že NSA určený pro dozor nad high-profil 122 osob - většinou prezidenti a vládní představitelé po celém světě - včetně Angely Merkelové, syrského prezidenta Bashar al-Assad, (pak) Ukrajinská PM Julija Tymošenková, a tak dále. informace o těchto cílů jsou shromažďovány pomocí systému s názvem Nymrod, který, podle The Intercept , "prošetřuje prostřednictvím tajných zpráv na základě zachycené komunikace, stejně jako plně přepisy faxů, telefonních hovorů a komunikačních získané z počítačových systémů. " Other dokumenty ukazují, že americké zahraniční Intelligence Surveillance soud, oprávněný NSA odposlouchávat komunikaci související s mnoha zemích včetně Německa, Číny, Mexika, Brazílie, Ruska, a mnoho více pomocí amerických telekomunikacích jako AT & T a Verizon, a internetovými společnostmi, jako je Google. "dokumenty neposkytují dostatek informací, aby přesně určit typy dat, obsažených v objednávce, a NSA uvedl, že nebude komentovat záležitost. Nicméně, právníci na americké unie občanských svobod věří, že poskytuje NSA s oprávněním pro přístup komunikaci všech německých občanů, bez ohledu na to, zda postižených jsou podezřelé ze spáchání trestného činu, nebo ne, "Der Spiegel komentuje FISA soudní příkaz, který umožnil sledování "Německo". "Podle zákona o FISA Pozměňovací návrhy, NSA je povoleno provádět plošné dohledu v cizích zemích bez požadavku předložit jednotlivé případy k přezkoumání soudem, jehož jednání a rozhodnutí jsou přísně tajné."


Nová hrozba: Trojan-SMS.AndroidOS.Stealer.a
22.4.2014 Mobil

Situace kolem pokusili mobilní malware infekce se neustále mění, a já bych chtěl psát o jedné nedávné trendu. Za poslední rok, Trojan-SMS.AndroidOS.Stealer.a, mobilní Trojan, se stala lídrem, pokud jde o počet pokusů infekcí na uživatelských zařízení KL, a nyní stále zaujímá vedoucí postavení mezi aktivními hrozbami. Například, v 1. čtvrtletí 2014 představoval téměř čtvrtinu všech detekovaných útoků.

Geografické rozdělení
Tato SMS Trojan je aktivně tlačil zločinci v Rusku, a tam byly také neustálé pokusy o útok uživatelů v Evropě a Asii. Infekce se tento trojan došlo prakticky všude po celém světě:

Je zde ještě další faktor - konfigurační soubor - to naznačuje, že tato Trojan se zaměřuje na uživatele v různých zemích světa. Trojan určuje, které region byl zahájen v roce, a mění obsah krátké textové zprávy a číslo příjemce odpovídajícím způsobem. V době psaní, Trojan-SMS.AndroidOS.Stealer.a byl aktivní v následujících zemích:

Belgie
Francie
Litva
Lotyšsko
Rusko
Ukrajina
Bělorusko
Moldavsko
Německo
Arménie
Abcházie
Ázerbajdžán
Kazachstán
Kyrgyzstán
Funkčnost
Trojan-SMS.AndroidOS.Stealer.a není nic neobvyklého. Rozkládá se v masce legitimní aplikace a používá sadu funkcí, které je standardem pro SMS trojské koně.

Zloděj může přijímat a zpracovávat následující příkazy ze serveru C & C:
Server - změna C & C
sms - pošlete SMS s daty zadané v konfiguračním souboru
vymazat - odstranit příchozí zprávy splňující masku, s zadaném intervalu
Aktualizace - aktualizace Trojan
removeAllSmsFilters - mazat SMS filtry
sendInfo - poslat informace o telefonu
sendPackagesList - poslat seznam aplikací,
sendConfig - odeslání aktuální konfiguraci
odinstalovat - odinstalovat určenou aplikaci
Upozornění - zobrazí zprávu v oznamovací oblasti
inbox_sms_remote_log - umožňují zachycení zpráv
Trojan je spravován přes HTTP. Jsou použity dva odlišné C & C center: jeden ukládá úkoly a jiné přijímá výsledky.
Zloděj používá modifikoval Base64 a gzip pro šifrování dat.
Trojan obsahuje šifrované konfigurační soubor, který je skript JS. V závislosti na tom, co je v tomto souboru, může Trojan proveďte následující kroky bezprostředně poté, co je načten a starty:

OpenURL - otevření webové stránky (URL)
getLat, getLng - se při použití přístroje zeměpisných souřadnic
setInboxSmsFilter - nastavení SMS blok masky
disableInboxSmsFilter - disable SMS blok masky
doPayment - pošlete SMS zprávy a číslo zadané v konfiguračním souboru
installApp - instalace aplikace
enableDebug - povolit ladění
disableDebug - zakázat ladění
log - povolit protokolování v Logcat
minimalizovat - minimalizovat Trojan v masce aplikace používá šířit (v režimu na pozadí)
exit - ukončení aplikace
startHider - skrytí aplikace
stopHider - obnovit aplikace
enableAOS - zapnout režim skrývá pro potvrzení zpráv
addShortcut - přidat zástupce Trojan na OS počítače
isAirplaneModeOn - zkontrolujte, zda je zapnutý režim Letadlo
isPackageExists - zkontrolujte, zda aplikace masky existuje v systému
sS - pošlete SMS na zadané předčíslí a číslo
SDS - pošlete SMS se zpožděním
Útočníci mohou tedy kontrolovat chování Trojan je změnou jeho konfigurační soubor.

Překvapivě, tvůrci Trojan nadále používat toto nastavení, kdy je konfigurace Trojan-SMS.AndroidOS.Stealer.a distribuovány spolu s Trojan. Většina trojské koně, jako je tento, jsou výhradně řízeny on-line. Na druhou stranu, tento přístup pomáhá udržet zloděj do provozu, když není k dispozici připojení k internetu.

Očekáváme další nárůst počtu pokusů infekcí zahrnujících Trojan-SMS.AndroidOS.Stealer.a. Je to docela pravděpodobné, že útočníci sníží konfigurační soubor na minimum a bude řídit Trojan on-line, zároveň zachování jeho funkčnosti.


Nové trendy v metodice kybernetický útok

22.4.2014 Počítačový útok
Websense dokumentovány nejnovější posun ve složitých útočných trendy, vývoj v ohrožení ekosystému a posun motivaci kybernetickým útokům. "Počítačoví zločinci se stále vyvíjejí jejich plánování a provádění útoku udržet náskok před většinou stávajících bezpečnostních opatření," řekl Charles Renert, viceprezident výzkum v oblasti bezpečnosti na Websense. "Zatímco odhodlaný, vytrvalý útočníci nadále mít úspěch ve vyspělých, strategických útoků s použitím zero-day exploity a pokročilé malware, tam také byl boom v cybercriminal činnosti v masovém měřítku. Dokonce i tyto další" běžné "formy útoku jsou snadno uklouznutí minulosti organizace, aniž by v reálném čase obrany. "

Websense Security Labs 2014 Threat Report Detaily rostoucí globální trestního infrastruktura-as-a-service hospodářství prostřednictvím využití výstroje a ohrožených webových stránek přesměrování řetězy. Prostřednictvím analýzy nejnovější metodiky útoku, výzkumníci zabezpečení Websense analyzovat sedm hrozeb fáze pokročilých útoků. Kromě toho, výsledky zahrnují modifikaci a změně použití stávajících zdrojového kódu malware. Klíčová zjištění patří:

85 procent škodlivých odkazů použitých na webových nebo mailových útoků byly umístěny na zhoršenou legitimních webových stránkách
3,3 procenta veškeré nevyžádané pošty obsahovala škodlivé odkazy a další škodlivý obsah
Průměrný počet webových stránek, přesměrování použitých na útok v roce 2013 byly čtyři roky
Maximální počet přesměrování používaných v plně zdokumentované útoku bylo 20
Webové stránky jsou klasifikovány jako Business a Economy, informačních technologií, nakupování a cestování dělal vrchol 10 seznamu napadených kategorií přesměrování určení
Rozsah a Neutrino Exploit soupravy zažil největší nárůst přijetí po zatčení Blackhole tvůrce
30 procent škodlivých spustitelných souborů vzorku včetně vlastní šifrování velení a řízení komunikační nebo datové exfiltrace.
Zpráva také dokumentuje, jak infrastruktura útoku kampaně se neustále vyvíjí, rozšířené a znovu použít v průběhu celého životního cyklu hrozeb. aby se zabránilo odhalení, když opakované použití komponent v dalších útocích, zločinci jsou ve stále větší míře přístup, který zahrnuje úpravu a modulaci stávajících útočných nástrojů. Často, to znamená, že se rozhodli využít konkrétní síly konkrétního kusu malware zaměřit se nová průmyslová odvětví. Kromě toho výzkumníci zabezpečení Websense pozoroval Zeus malware, který byl původně navržen jako finanční hrozeb a keylogging Trojan, výrazně zvýšené používání jak to bylo repurposed jiných vertikálních trhů. V loňském roce vláda a komunikační průmysl patří mezi pět nejlepších vertikál cílených se Zeus malware připojil finančních firem. Horní dvě odvětví zasaženy nejhůře, se Zeus útoky byly služby a výrobní odvětví.


OpenSSL "Heartbleed" chyba ohrožuje široce používaný šifrovací schéma
22.4.2014
Zranitelnosti
OpenSSL, open-source šifrovací knihovna, která je výchozí šifrovací engine pro populární webový server software a je používán v mnoha populárních operačního systému a aplikací, sportovní kritickou chybu, která může být snadno zneužito útočníky vydávat on-line služeb a krást uživatelé informačních věřit . být chráněn protokolem SSL / TLS Co je ještě horší je, že takový útok nezanechává fyzické stopy v protokolech, takže je nemožné říci, zda zranitelnost - přezdívaný "Heartbleed Bug" vědci z Codenomicon a Google, který jej identifikovaných - má byl využit ve volné přírodě, protože byl poprvé představen v prosinci 2011. "A chybějící hranice kontrolu při manipulaci s příponou TLS srdeční lze odhalit až 64 kB paměti do připojeného klienta nebo serveru," OpenSSL je vysvětleno v krátké poradenství . "Neexistuje celkem 64 kb omezení do útoku, že omezení se vztahuje pouze na jednoho srdce. Útočník může buď ponechat, nebo odpojovat během aktivního spojení TLS, aby žádosti o libovolný počet 64KB kousky obsah paměti až dost tajemství jsou odhalil, "vědci stojí za objevem bylo vysvětleno dále. "Heartbleed chyba umožňuje komukoliv na internetu, číst paměť systémů chráněných zranitelných verzí softwaru OpenSSL. To ohrožuje tajné klíče sloužící k identifikaci poskytovatele služeb a šifrování provozu, jména a hesla uživatelů a skutečného obsahu. " Poukázali na to, že chyba není v SSL / TLS protokol sám, ale je programování chyba v knihovně OpenSSL, která poskytuje kryptografické služby, jako SSL / TLS s aplikacemi a službami. Dopad chyby by mohlo být obrovské. "Nejpozoruhodnější software pomocí OpenSSL je open source webové servery jako Apache a Nginx. Kombinovaný podíl na trhu jen ty dva z aktivních míst na internetu, bylo více než 66%, podle Netcraft v dubnu 2014 Web Server Survey, "poukázali. "Dále OpenSSL se používá k ochraně například e-mailových serverů (SMTP, POP a IMAP protokoly), chatovací servery (protokol XMPP), virtuální privátní sítě (SSL VPN), síťová zařízení a širokou škálu software na straně klienta. Naštěstí mnoho velkých spotřebitelských stránky jsou uloženy jejich konzervativní volbou SSL / TLS ukončení činnosti zařízení a softwaru. Ironií je menší a více progresivní služby, nebo ty, kteří přešli na nejnovější a nejlepší šifrování, budou ovlivněny nejvíce. Dále OpenSSL je velmi populární v klientském softwaru a poněkud populární v síťových spotřebičů, které mají největší setrvačnost při získávání aktualizací. " OpenSSL 1.0.1 až 1.0.1f jsou zranitelné. OpenSSL 1.0.1g, který byl propuštěn v pondělí, není, stejně jako OpenSSL 1.0.0 a 0.9.8 poboček. "Operační systém prodejců a distribuce, spotřebiče prodejci, nezávislými prodejci softwaru mají přijmout opravu a informovat své uživatele," vědci vysvětlil další krok. "Poskytovatelé služeb a uživatelé mají na nainstalujte opravu Jakmile je k dispozici pro operační systémy, síťové zařízení a softwaru, které používají. " "Zotavení z tohoto úniku vyžaduje záplatování zranitelnosti, zrušení napadených klíče a vystavením a přerozdělování nové klíče. Dokonce dělá vše pro to bude ještě nechat veškerou komunikaci zachycuje útočník v minulosti stále zranitelné k dešifrování, "vysvětlili." To vše musí být provedeno vlastníky služeb. " Zde je krátký seznam úkolů pro kontrolu zda něčí instalace jsou zranitelné a opravit problém, pokud je tam jeden, a SANS ISC Johannes Ullrich upozorňuje na to rychle, jako důkaz konceptu využití na dálku skenování pro zranitelné systémy byly dány k dispozici. "Je důležité, aby všechny dotčené systémy se aktualizuje okamžitě. Také ke zmírnění útoků vyplývajících z jakéhokoli potenciálně unikly klíčování materiálu, veškeré klíče SSL z postižených systémů by měly být nahrazeny a zrušeny. V závislosti na služby / protokolu, je třeba uvažovat o jiných potenciálně uniklých dat a přijmout vhodná opatření, "poznamenal Mark Schloesser, bezpečnostní výzkumník u Rapid7. "unikly oblasti paměti může obsahovat mnoho různých obsahů od zbylých dat z předchozí komunikace po přihlášení zprávy do soukromého klíče materiál použil služby / démona. Z tohoto důvodu existuje mnoho možných scénářů útoku, které mohou vyplynout z zranitelnosti, "vysvětlil." Útočník, který získá přístup k soukromému klíči certifikátu serveru můžete následně namontovat man-in-the-middle útoky proti klientům a vydávat se za server / službu. Přihlásit zprávy mohou také obsahovat pověření nebo ovlivnit soukromí komunikací ze strany jiných klientů. "


Firmy vytvořit bezpečnostní slepá místa
22.4.2014
Zranitelnosti
Nový výzkum ukazuje, že 54 procent společností ve Velké Británii se používá nesprávné metriky, když se snaží zjistit jejich stav zabezpečení IT, které poskytují falešný obraz o zranitelnosti a rizika organizace, řízení nesprávný chování. Výsledky, získané prostřednictvím průzkumu rozhodnutí, Výrobci ve společnostech s více než 500 zaměstnanci podle Vanson Bourne, také ukazují, že je komunikace propast mezi IT oddělení a zasedací místnosti - a to navzdory skutečnosti, že četnost podávání mezi nimi je rostoucí. Kromě toho průzkum odhaluje potenciál ke zvýšení efektivity ve akcí zabezpečení IT snížením současné rozsáhlé časy podávání zpráv. Měření: velká bezpečnost, malý význam Top na seznamu sledovaných klíčových ukazatelů výkonnosti (KPI), ve Velké Británii 57 procent je " množství bezpečnostních zjištěných porušení. "To KPI je silným ukazatelem koncové detektivní a preventivních kontrol, ale nemusí nutně umožňují proaktivní prevence dalších incidentů. Nicméně, KPI, které dělají prokázat proaktivní prevence jsou sledovány jen menšina firem, s 41 procenty seznam "kontrolovat, zda jejich systémy jsou vybaveny až do data anti-virus nebo malware ochrana" a 30 procent monitorování ", pokud jsou vybaveny Nejnovější verze softwaru ", jsou to oba ukazatele, které jsou důležité pro jeho stanovení stavu zabezpečení. . Protože zero-day exploitu, čímž se minimalizuje čas na zavedení nové záplaty nebo antivirové vzory je rozhodující, ale bývalý KPI je pouze měří o 32 procent a druhý o 19 procent. Povzbudivé je, že 48 procent respondentů ve Velké Británii říkají, že chtějí, aby bylo možné sledovat několik ukazatelů, ale tvrdí, že nedostatek pracovních sil a automatizovaný přístup je drží zpátky. "Transparentnost kolem bezpečnosti je klíčový pro IT manažery, kteří jsou neustále hrají na honěnou v návaznosti na stále se vyvíjející hrozeb, "řekl Gavin Millard, technický ředitel pro Tenable zabezpečení sítě v Evropě, na Středním východě a v Africe. "Navzdory tomu, 54 procent z tvůrců IT s rozhodovací sledujete počet malware detekovat, který je často vnímána jako falešnou vlajkou metrické. Měření množství malware detekovaného dává trochu nahlédnout do účinnosti a efektivnosti řízení; to jen ukazuje, že to funguje na některých systémů, některé z času. Strategická rozhodnutí na základě nesprávných údajů, jsou nejen neúčinné, ale mohou také dát falešný pocit bezpečí. " Překlenutí propasti do zasedací místnosti více než polovina (52 procent) a IT manažeři hlásí stav zabezpečení společnosti na jejich palubě jednou za čtvrt roku nebo více často. Čtyřicet devět procent potvrdit, že IT bezpečnost je vysoká priorita pro jejich ředitele, se 7 procent říká, že to je nejvyšší prioritou. Dále, 50 procent IT respondentů sdílí polovinu nebo více všech sledovaných ukazatelů KPI s jejich palubě, s 26 sdílení všichni procent. "To není překvapující, bezpečnost stává nejvyšší prioritou ředitelů vzhledem k rostoucímu povědomí o nákladech na podniky z narušení dat a dodržování otázky, "pokračoval Millard. "Z tohoto důvodu, to je povzbudivé vidět, jak často IT hlásí do zasedací místnosti, jako před několika lety by to bylo jednou maximálně rok. Nicméně, to má před sebou ještě dlouhou cestu k zajištění porozumění a buy-in z hrací plochy, a to především prostřednictvím lepších komunikačních prostředků. Zjištění ukázala, že ačkoliv obrovské množství informací je sdíleno, je zde nebezpečí utonutí řízení ve irelevantní dat - to se opět odráží ve výsledcích, která zjistila, že pouze 17 procent uvedlo údaje jako "velmi hodnotné" jejich palubě. . Když poskytování metriky, které mají být stručné, na základě nevyvratitelné skutečnosti a prokázat hodnotu podniku " Uvolnění čas na důležitých úkolů Vytvoření průhlednosti v oblasti bezpečnosti IT je obrovský úkol - 39 procent britských firem má řešení IT bezpečnosti ze tří nebo více prodejců v místě a 53 procent shromažďují všechny své zprávy ručně, z nichž 54 procent je třeba hlásit každé čtvrtletí nebo více. V souladu s těmito zjištěními 40 procent potvrdil, že to trvá až dva nebo tři dny sestavit zprávu o řízení připravené. Vzhledem k tomu, 54 procent v úvahu další zdroje pro monitorování řešení přidat další hodnotu k ochraně jejich organizaci před hrozbami. "Při pohledu na tyto výsledky specificky, to stane se bolestně jasné, že IT pracovníci tráví velkou část svého času na podávání zpráv," vysvětlil Millard. "To je čas, který je odnášen z více strategických úkolů, jejichž cílem je zlepšit celkovou bezpečnost IT v podniku. Vypouštěcí ke zdrojům je pak umocněn zvyšující se zátěže řízen vzestupem mobilní a cloud-34 procent respondentů potvrdilo, že musel přidat 20 procent nebo více zařízení nebo služeb, na jejich úsilí monitorování v posledních dvanácti měsících. " "Jako Dokud existují bezpečnostní slepá místa v rámci organizace, budou podniky nebudou moci v klidu před hrozbou útoku. Získání jasnost o účinnosti současných investic do bezpečnosti a dělat, rozhodování na základě rizik založených na datech o tom, co ostatní ovládací prvky jsou nezbytné put podniky na bezpečnější základ. "


Další NSA-couval kód, který naleznete v RSA šifrovacích produktů
22.4.2014 Špionáž

Skupina profesorů a výzkumných pracovníků z několika univerzit v USA a Nizozemsku testovali využitelnost různých implementacích neslavný Dual_EC_DRBG šifrovacího algoritmu, který je však, že byly backdoored americkou NSA, a zjistili, že RSA BSAFE výrobky obsahují další . nástroj používaný NSA, které by mohly učinit útok Dual ES výrazně rychlejší a jednodušší "Analyzovali jsme použití Dual ES ve čtyřech posledních knihovny implementace TLS / SSL: RSA BSAFE Sdílet na C / C + +, RSA BSAFE Sdílet Java, Microsoft SChannel, a OpenSSL. " Zjistili, že OpenSSL měl chybu, která brání knihovnu z provozu, když je aktivována Dual ES, ale že záplatování to může mít za následek dost pružné knihovny. Na druhé straně, oni objevili, že SChannel neimplementuje současný dvojí Norma ES - je to vynechá jeden krok algoritmu Dual ES - ale že to dělá útoky mírně rychlejší. Konečně, RSA BSAFE implementace TLS, stejně jako Java verze BSAFE lze snadno zneužít, druhý a to zejména z důvodu dodatečných prováděcích o rozšíření TLS called "Extended Random." "Toto rozšíření, co-psaný na žádost Národního bezpečnostního úřadu, umožňuje klientovi požadovat delší TLS náhodné nonces ze serveru, rys, který, je-li to povoleno, by se urychlilo Dual ES útok o faktor až 65,000. Kromě toho, použití tohoto rozšíření umožňuje útoky na případy Dual ES nakonfigurované s P-384 a P-521 eliptických křivek, něco, co není zřejmě možné ve standardním TLS, "vědci vysvětlil . "Zatímco kód prováděcí Rozšířené Random nebyl sestaven do našeho sestavení Sdílet na C / C + +, to bylo k dispozici (ale neaktivní) v sestavení Sdílet na Javě, které jsme analyzovali. V druhém případě jsme byli schopni znovu povolit a ověřit funkčnost. " sdílí rovněž, že jim trvalo jen několik sekund dešifrovat šifrované spojení provedené RSA Sdílet na C / C + +, a za méně než minutu na starém notebooku. "Ostatní knihovny, například Sdílet na Java, Microsoft SChannel a OpenSSL ( se chyba opravena) také ukázala možné k útoku, ale byly v některých případech výrazně dražší, "oni poznamenal. Podle agentury Reuters zprávu , RSA nezpochybnila tento výzkum, a poznamenal, že rozšířený Random byl odstraněn ze svého softwaru půl roku Před protože se ukázalo, že nepopulární. NSA odmítl komentovat zjištění.


OpenSSL Rampage
22.4.2014
Zranitelnosti

OpenSSL, navzdory svému názvu, není ve skutečnosti součástí projektu OpenBSD. Ale jako jeden z více pozitivních výsledků nedávného Heartbleed fiasko, vývojáři OpenBSD, kteří jsou známí pro jejich zaměření na čitelné a bezpečné kódu, nyní začali recenzi plném rozsahu a vyčištění OpenSSL codebase.

Máte-li zájem o psaní bezpečného kódu v C (ne nutně protimluv), doporučuji vám podívat se na http://opensslrampage.org/archive/2014/4 , kde jsou diferenciály OpenBSD-OpenSSL a změny kódu přicházejí rychle a jsou často doprovázeny cynické, ale poučné komentáře. Jako jeden plakát dal to, "já nevím, jestli mám smát nebo plakat." Dobrou zprávou ale určitě je, že OpenSSL kód se podíval na, pečlivě a odborně, a všichni se budou mít lépe pro něj.


Heartbleed lov

22.4.2014 Zranitelnosti

Ano, já vím, že teď jste opravdu unaveni slyšet a číst o Heartbleed. Pravděpodobně jste již dostali všichni testování skriptů a nástrojů a hledáte ve vaší síti pro zranitelné servery.

Jen jsem si hrál s transformátorem SHODAN pro Maltego a hledáte nějaké konkrétní verze OpenSSL. Výsledky nejsou dobré ...

Somethings třeba mít na paměti při kontrole sítě je, že nástroje nemusí detekovat všechny zranitelné počítače, protože může být kočárek sami :)

Podle nějaký výzkum, jeden z prvních skriptů zveřejněných na testování zranitelnosti, a že většina lidí, kteří stále používají k identifikaci zranitelných serverů obsahuje některé chyby, které nemohou detekovat správně zranitelné servery.

Srdeční Žádost generován na důkazů o koncepci skriptu je:

18 03 02 00 03 01 40 00 <- tučné bajtů v podstatě říci, server používat TLS 1.1, takže pokud server podporuje pouze protokol TLS 1.0 nebo TLS 1.2 to nebude fungovat. Samozřejmě, že 1,0 a 1,2 nejsou široce používány, takže šance na to mít v síti je malý, ale stále je tu šance.

Na začátku minulého týdne, při testování různých on-line a off-line nástroje, jsem také narazil na různé výsledky, takže možná budete chtít použít různé nástroje na kontrolu.

Síťové podpisy mohou také poskytnout dodatečnou kontrolu, které vám pomohou identifikovat zranitelné počítače. Opět je zde možnost falešných poplachů, ale stojí za to, aby vám poskytl více informací o svých kontrol.

Snort podpisy a sítě analyzuje na produkty, jako jsou Netwitness může být velmi efektivní pro detekci nejen při využití byl použit proti svému hostiteli, ale co je nejdůležitější, když vaše zranitelné hostitel poskytuje informace zpět (úniku informací).

Šťastný lov na vás, protože protivníci jsou již na lov!


Heartbleed CRL aktivity Spike Nalezeno

22.4.2014 Zranitelnosti

Aktualizace: CloudFlare publikoval v jejich blogu dvakrát dnes tvrdí, odpovědnost za většinu tohoto hrotu. Cituji: "Pokud se domníváte, že globální průměrná cena za připojení je kolem $ 10/Mbps, jen podporuje provoz dodávat CRL by přidali 400.000 dolar USD na GlobalSign měsíčního pásma účtu."

Aktualizace: Také jsme viděli články z ZDNet a WIRED dnes v reakci na níže uvedené postřehy, s další analýzou v něm.

Vypadá to, že, jak jsem tušil, čísla CRL činnosti jsme byli svědky neodráží skutečný objem způsobené OpenSSL Heartbleed chyby.

Dnes večer jsem si všiml masivní bodec ve výši zrušeních nahlášení tomto CRL: http://crl.globalsign.com/gs/gsorganizationvalg2.crl

Spike je tak velký, že jsme původně mysleli, že je to chyba, ale my jsme od té doby potvrdila, že je to skutečné! Mluvíme o více než 50.000 unikátních zrušeních z jednoho CRL.

Jedná se o řádově největší špice na zrušení činnosti za poslední léta, podle našich současných údajů.

Jsem se vytvořit novou stránku pro každý sledovat činnost, jakož i vidět, jak jsme se získat tato data. Stránky lze nalézt na https://isc.sans.edu/crls.html .

Jak budete používat tuto stránku ve svých projektech a obecné analýzy? Rádi bychom slyšet nějaké nápady.

Pokud víte o dalších CRL, že můžeme přidat, dejte nám prosím vědět v komentářích! Navíc, pokud byste chtěli vidět, volání API přidány, takže můžete nám automaticky dotaz k této informaci, prosím, dejte nám vědět, že jsme si vědomi poptávky.

Na okrajové poznámce, můžeme vidět jasný vzestupný trend zrušeních za poslední 3 nebo 4 roky.
Co si připisují konzistentní růst odvolání příkazu k? Co si myslíte, že způsobilo předchozí hroty?


Nalezení Bleeders

22.4.2014 Incidenty

Nyní, zběsilé šílenství kolem "Heartbleed" se uklidnila, a většina míst je oprava, je čas obíhat zpět. Pro server v komunitních škol, které jsem znal byl ovlivněn, chtěl jsem zjistit, jestli někdo stáhl všechna data přes Heartbleed během zhruba 36 hodin, kdy zranitelnost stal se široce známý, a když byly nasazeny IDS podpisy a záplaty na ochranu místo.

Problém je v tom, Heartbleed zanechává v podstatě žádné stopy v logu httpd serveru, takže kontrola tam útoky nepomohlo. Po trochu přemítání, jsme přišli s nápadem korelovat protokol brány firewall s log webového serveru. Pokud firewall viděl řadu tcp/443 (HTTPS) připojení k webovému serveru z určité IP, ale tytéž spoje nebyly v protokolu webového serveru, je pravděpodobné bylo, že jsme se ocitli na odvzdušňovací.

První IP, že korelace skript identifikovány jako potenciálně podezřelé se ukázalo být vlastněn SSLlabs, a pravděpodobně patří k jejich veřejné SSL skeneru, aby každý používal na vrcholu paniky. Takže .. skript Zdálo se, že funguje dobře, a byl vytažením "správné" typy připojení.

O něco později jsme zjistili, další IP, zapsanou do ISP v Malajsii. Dvacet minut hitů jen na firewallu, rychlostí asi jeden každých 5 sekund, následuje 5 minut pauza, následuje hity jak na firewallu a na webovém serveru. Hmm, zvláštní :). Šance jsou vysoké, to bylo ve skutečnosti někdo, kdo se snažil nejprve ukrást cookie aktivních relací, a pak se pokusil znovu použít soubory cookie k vloupat Pro druhou část útoku, přehlídky protokolu webového serveru GET požadavky na aplikaci, následuje 302 přesměrování na stránku "přihlášení", takže "něco" muselo špatně na straně útočníka buď krást cookies, nebo v sestřihu zpět do svých falešných žádostí. Po dalších 20 minutách a asi 60 žádostí, které byly zodpovězeny s přesměrování, útočník se vzdal.

Jaké nástroje a metody jste použili k identifikaci "heartbleed" úniky, k nimž došlo v časovém rozpětí, kdy jsou vaše stránky byl zranitelný, ale IDS instrumentace a záplatování byl opravdu zatím k dispozici? Neváhejte a dejte nám vědět prostřednictvím kontaktního formuláře, nebo sdílet v komentářích níže!


Chtěli byste nějakou Zeus s vaší kávy?

22.4.2014 Viry

Počítačoví zločinci často chtěli použít falešný dopis přimět lidi k otevření nebezpečné přílohy. Existují dva triky, které dělají tuto práci: zprávy od známého jména (bankovní, sociální sítě, poskytovatel služeb nebo jiné organizace, které by mohly zajímat příjemce) a zajímavý či alarmující podléhají. Útok na základě falešných zpráv, údajně z kávové řetězce Starbucks kombinovat dva.

Zjištěna distribuce tvrdil, že před pár hodinami přítel příjemce vydal za ním slavit zvláštní příležitosti v kavárně Starbucks. Že tajemný přítel si přál zůstat v anonymitě, se těší na intriky ho vytváří, ale byl rozesílání pozvánek s podrobnostmi o speciální nabídce, která je k dispozici v příloze. Nakonec chtěli příjemce skvělý večer.

Všechny zprávy byly rozeslány s vysokou důležitostí. Kromě toho, že adresy, vytvořené na volný mailové služby Gmail a Yahoo!, změnil z dopisu do dopisu, a zdálo se, že náhodně generované kombinace jako incubationg46 @, @ mendaciousker0 a tak dále.

Příloha byl soubor. Exe a zločinci se nesnažil maskovat to s archivem nebo dvojitou příponou. Zdálo se být jisti, rádi by příjemce otevře přílohu bez podezření. Kaspersky Lab detekuje připojený soubor jako Rootkit.Win32.Zbot.sapu - úprava jednoho z nejvíce notoricky známý spyware rodiny Zbot (Zeus). Tyto aplikace jsou využívány zločinci ukrást důvěrné informace. Tato verze Zbot je možné nainstalovat rootkit Rootkit.Win32.Necurs nebo Rootkit.Win64.Necurs, které narušuje fungování antiviru nebo jiných bezpečnostních řešení.


Facebook upozorní na přátele v blízkosti

22.4.2014 Sociální sítě
Uživatelé sociální sítě Facebook budou již brzy moci přijímat ve své mobilní aplikaci informace o tom, kteří jejich přátelé se právě nacházejí poblíž.

Funkce s názvem „Nearby Friends“ nebude zapnuta automaticky, ale každý uživatel bude muset dát Facebooku výslovné povolení na její zapnutí. Pokud tak učiní, aplikace bude polohu uživatele sledovat neustále – nejen tehdy, když budou přihlášeni do Facebooku. Společnost plánuje novou funkci představit v následujících několika měsících, přičemž uživatelé mobilní aplikace budou dotázáni, zda si ji povolí, či nikoliv.

Funkci již nyní kritizují zástupci organizací, které se zabývají ochranou soukromí uživatelů. Chris Conley z American Civil Liberties Union of Northern California uvedl, že Facebook by měl uživatele opravdu názorně upozornit na to, jaké důsledky bude zapnutí funkce mít. Jeffrey Ceshter z Centra pro digitální demokracii pak dodal, že jeho organizace požádala americkou Federální obchodní komisi (FTC), aby se na Nearby Friends blíže podívala.

Mluvčí Facebooku uvedla, že uživatelé budou po zapnutí funkce dostávat pravidelná upozornění o tom, jací přátelé se právě nacházejí v jejich blízkosti, a společnost o funkci diskutuje jak s FTC, tak i s dalšími regulátory. Facebook díky Nearby Friends vstupuje na nový trh aplikací typu Tinder (umožňuje nezávazné randění s lidmi, kteří jsou právě v blízkosti uživatele), Foursquare či Radar. Konkurenční sociální síť Twitter testuje od prosince funkci, které uživatelům umožňuje zjišťovat, kteří uživatelé v jejich blízkosti právě tweetují.

Facebook již krátce testoval funkci podobnou Nearby Friends v červnu 2012, avšak rychle s tím přestal poté, co se o tom informace objevily v médiích. Mluvčí společnosti tehdy uvedla, že šlo o pouhý experiment. Tentokrát funkce Nearby Friends vznikla díky startupu Glancee, jenž Facebook koupil v roce 2012. Podle Andrea Vaccariho, bývalého šéfa Glancee, musely být při vývoji Nearby Friends překonány dva problémy: aby uživatelé nebyli zahlceni příliš mnoha upozorněními, a aby aplikace příliš nevybíjela baterii telefonu.

Jelikož uživatelé Facebooku mají mezi přáteli také spolupracovníky a členy rodiny, Vaccari nechtěl, aby se jim objevilo upozornění vždy, když někdo přijde domů nebo do práce. Jeho tým proto vyvinul algoritmus, který se učí o vztahu k jednotlivým přátelům a omezuje jejich upozornění. „Vliv na baterii je proto minimální,“ uvedl Vaccari s tím, že v rámci upozornění není zobrazena konkrétní poloha uživatele, ale jen přibližná. Uživatel poté může povolit sdílení svého konkrétního umístění s daným přítelem. Podle Vaccariho se tak funkce bude hodit například při setkávání na zaplněných místech, jakými jsou třeba koncerty.


Heartbleed: Síť Tor omezuje provoz

22.4.2014 Zranitelnosti
Anonymizační síť Project Tor označila 380 ze svých směrovačů jako zranitelné vůči chybě Heartbleed a ze své sítě je vyloučila, čímž významně snížila svou vstupní i výstupní kapacitu.

Toto rozhodnutí již vešlo v platnost na serveru, který spravuje seznam směrovačů Tor a který řídí hlavní šéf této anonymní sítě, Roger Dingledine. Jeho příkladu budou brzy následovat i všechny ostatní servery.

Podle Dingledina bude okamžitým důsledkem tohoto rozhodnutí snížení kapacity o 12 %, což sice nezní jako tolik, ale tyto vstupní a výstupní směrovače hrají v síti velmi důležitou roli a je celkem náročné je nahradit. Mnoho z nich běží na serverech dobrovolníků, ti však musejí být důvěryhodní a potřebují dostatečnou šířku pásma, aby provoz několika klientů zvládli.

Tento zákaz směrovačů by mohl být trvalý, Dingledine totiž řekl, že takto vyřazené servery už zpět na síti nechce, i kdyby OpenSSL aktualizovaly, protože jejich provozovatelé chybu neopravili včas.

O existenci chyby Heartbleed se ví od 7. dubna. Heartbleed ovlivňuje verze OpenSSL 1.0.1 až 1.0.1f a útočníkům umožňuje vyjmout informace z paměti aplikací, jež se na OpenSSL spoléhají. Nezáleží přitom na tom, zda se konkrétní aplikace chová jako klient nebo server.

„Směrovače a mosty Toru by mohly přijít o své onion klíče (které se mění jednou týdně) i o dlouhodobé identifikační klíče,“ napsal minulý týden Dingledine. „Útočník, který má oba tyto klíče, se může vydávat za váš server. Nejlepším řešením je aktualizovat OpenSSL, vymazat veškeré soubory spojené s klíči v DatDirectory a restartovat Tor, čímž se vygenerují klíče nové.“

Kromě 380 již zakázaných směrovačů se zranitelnost dotýká více než 1 000 dalších, které by měly být na seznam zamítnutých serverů připojeny v blízké budoucnosti, upozornil Dingledine.


Mobilní autentizaci Esetu mohou nově využít všechny aplikace

22.4.2014 Zabezpečení
Použitelnost svého autentizačního řešení Secure Authentication rozšířil Eset prostřednictvím vývojářské sady. Ta je dovolí integrovat i do prostředí, kde se nepoužívá Active Directory od Microsoftu.

Vývojářská sada (SDK, Software Development Kit) je určená pro programovací jazyky .Net, PHP a Java a výrobce ji dodává včetně podrobných návodů pro vývoj i pro nasazení doplněných o příklady použitelného kódu.

Secure Authentication lze nasadit třemi způsoby. Nativně podporuje Outlook Web Access/App pro Microsoft Exchange 2007, 2010 a 2013, Microsoft SharePoint a Microsoft Dynamics CRM, a také a webové aplikace jako je Exchange Control Panel (2010) a Exchange Administration Centre (2013).

Díky rozhraní API je možné jej jednoduše integrovat i do existujícího autentizačního systému, využívajícího Active Directory. A konečně díky vývojářské sadě (SDK) je možné řešení řešení implementovat do libovolného vlastního systému, tedy bez potřeby použití Active Directory.

„Secure Authentication umožňuje jednoduše nasadit dvoufaktorovou autentizaci k zabezpečení přístupu k prakticky jakékoli aplikaci nebo dokonce ke konkrétním transakcím uvnitř aplikace. To je v době zvýšeného rizika zneužití přístupu k systémům a úniků dat neocenitelná výhoda,“ tvrdí Miroslav Dvořák, technický ředitel Esetu.


Odemykání Galaxy S5 otiskem prstu nahrává zlodějům

22.4.2014 Biometrika
Autorizace pomocí otisku prstu je jedním z hlavních taháků nového telefonu Samsung Galaxy S5. Německým vývojářům však trvalo pouhé čtyři dny, než přišli na to, jak toto bezpečnostní opatření obejít.

Odemykání pomocí otisku prstu je jedním z hlavních taháků nového telefonu, ale jeho implementace je značně nevydařená. Samsung navíc opakuje chyby svých předchůdců.

Ve svém experimentu výzkumníci nejprve k uzamčení telefonu použili klasický otisk opravdového prstu, který pak otiskli do modelíny. Tu následně použili k odemknutí telefonu.

Zajímavostí je, že se jednalo o přesně stejný typ modelíny, kterou ke stejnému účelu použili minulý rok při (úspěšném) pokusu o obejití bezpečnostního systému TouchID od Applu.

Modelína s otiskem byla upravena za laboratorních podmínek, ale tento trik není založen na ničem jiném než na obtisknutí latentního otisku z obrazovky smartphonu.

Tyto latentní otisky nejsou pouhým okem viditelné, k jejich zviditelnění však podle webu Explore Forensics stačí použít hořčíkový prášek, který tvrdé a lesklé povrchy osvětlí.

Tato slabina je o to vážnější, že je do Samsungu S5 integrován platební systém PayPal, který uživatelům umožňuje pomocí otisku prstu provádět platby a převádět peníze, což by mohlo být pro potenciální útočníky celkem silnou motivací k tomu, aby se do zařízení pokusili dostat.

PayPal však oznámil, že pouhý otisk prstu pro přístup k jeho službám rozhodně nestačí a že sken prstů odemyká pouze zabezpečený kryptografický klíč, který slouží jako náhrada hesla. V případě ztráty či odcizení zařízení lze tento klíč jednoduše deaktivovat a vytvořit si nový.

Používání otisků prstů má oproti heslům podle výzkumníků ze SRLabs dvě nevýhody. Pokud je otisk ukraden, na rozdíl od hesla si ho nemůžeme změnit a kopie otisků našich prstů jsou v podstatě naprosto všude včetně zařízení, jež mají chránit.

„Tento způsob ochrany bude vždy vypadat lákavě a pohodlně, je však zodpovědností výrobce, aby podobný systém implementoval způsobem, který neohrozí data a peníze uživatelů,“ napsala organizace SRLab.

Přestože je tato chyba velmi nepříjemná, je nepravděpodobné, že by prodeje Galaxy S5 ovlivnila.


Google opravdu analyzuje všechny e-maily

22.4.2014 Analýzy
Google aktualizoval podmínky užívání svých služeb tak, aby reflektovaly způsob, jakým analyzuje obsah emailů svých uživatelů, díky čemuž společnostem může nabízet co možná nejlepší zacílení reklamy.

Skenování emailů řada mezinárodních organizací dlouhodobě kritizuje s tím, že narušuje soukromí uživatelů. Konkurenční Microsoft ve své kampani zaměřené proti Googlu s názvem „Don't Get Scroogled by Gmail“ tvrdí, že jeho webmail Outlook.com je v tomto směru lepší než Gmail, jelikož neskenuje jednotlivé emaily pro klíčová slova tak, aby je následně využíval k cílené reklamě.

V případu, který je nyní u soudu v Kalifornii, soudkyně Lucy Kohová uvedla, že podmínky užívání Googlu uživatele výslovně neupozorňují na to, že „Google monitoruje jejich emaily pro účely vytváření uživatelských profilů nebo poskytování cílené reklamy.“ Nynější rozhodnutí Googlu změnit podmínky užívání své služby tak může být důsledkem právě tohoto verdiktu.

Skupina uživatelů u okresního soudu v Kalifornii podala před časem na Googlu žalobu, podle které americká společnost porušuje skenováním zpráv na Gmailu státní i federální zákony. Google kontroval, že koncoví uživatelé Gmailu i Google Apps výslovně s tímto jeho jednáním souhlasili, když přistoupili na podmínky užívání služby z let 2008 a 2013.

Nové podmínky užívání Googlu, které platí od tohoto pondělí, obsahují ustanovení, podle kterého „automatické systémy Googlu analyzují obsah (včetně elektronických zpráv) tak, aby uživatelům nabídly při hledání relevantní produkty, personifikované vyhledávání a lepší detekci spamu a malwaru, přičemž tato analýza probíhá, když je uživatelský obsah odesílán, přijímán a ukládán na naše servery.“

Google již doplňoval své podmínky užívání v minulosti – naposledy v listopadu minulého roku. Ve veřejném prohlášení americký gigant nyní uvedl, že chce, aby jeho politika byla pro všechny uživatele co nejtransparentnější. „Díky těmto změnám lidé budou mít o naší politice jasněji, než kdy předtím,“ dodali představitelé Googlu na oficiálním blogu.


Oprava Chyby krvácejícího srdce může zbrzdit internet

16.4.2014 Zranitelnosti
Chyba krvácejícího srdce (The Heartbleed Bug), která se týká šifrovací knihovny OpenSSL, zasáhla podle odhadů expertů dvě třetiny internetu. Stovky tisíc webových stránek proto v posledních dnech usilovně tuto trhlinu záplatují, což může způsobovat v některých případech výpadky nebo i zpomalení internetu. Informoval o tom list The Washington Post.
Uživatelé by měli z preventivních důvodů změnit na všech serverech, kterých se zranitelnost dotkla, svá hesla.
Rozsah práce, která je nutná k odstranění tohoto druhu hrozby, by mohl přetížit systémy určené k zajišťování důvěryhodnosti internetu. Heartbleed totiž umožňuje krást takzvané bezpečnostní certifikáty, jejichž prostřednictvím se ověřuje pravost webových stránek.

"Rozsah zla, který to umožňuje, je z velké části omezen jen představivostí padouchů," řekl expert na počítačovou bezpečnost Jason Healey.

Když uživatel internetu navštíví bezpečnou stránku, prohlížeč porovná její certifikát zabezpečení se seznamem neplatných certifikátů. Tyto seznamy byly dosud poměrně krátké, protože certifikáty se dlouhodobě nemění.

S příchodem chyby Heartbleed ale na seznam přibudou certifikáty stovek tisíc stránek, a prohlížeče tak budou muset do počítačů stahovat obří složky, vysvětluje konzultant Paul Mutton z firmy Netcraft. Kontrola identity stránek tak bude trvat mnohem déle.

Na certifikáty upozornila hackerská soutěž
Společnost CloudFlare minulý pátek vyzvala hackery, aby se s pomocí Heartbleedu pokusili ukrást bezpečnostní certifikát ze zvláštního serveru, který firma za tím účelem vytvořila a který obsahoval Heartbleed. Po několika hodinách jí začali hackeři posílat e-maily "podepsané" příslušným certifikátem.

"Byl to zábavně strávený páteční večer a dobrá příležitost k prověření vlastních dovedností v legální hackerské akci," napsal listu The Washington Post první z úspěšných hackerů Fedor Indutny.

Rozsah Chyby krvácejícího srdce je tak obrovský, protože OpenSSL patří k nejrozšířenějšímu kryptovacímu softwaru na internetu. Uživatelé by proto podle nich měli z preventivních důvodů změnit na všech serverech, kterých se zranitelnost dotkla, svá hesla.

Mezi postiženými byly i velké portály, jako jsou například Yahoo.com, Flickr.com či Mail.com. I proto se podle BBC jedná o jednu nejzávažnějších bezpečnostních trhlin v historii internetu. Chyba, která by v takovém rozsahu vystavila internet potenciálním útokům, se totiž zatím nikdy neobjevila.


Heartbleed: Další informace o chybě OpenSSL

16.4.2014 Zranitelnosti
O závažné chybě knihovny OpenSSL se píše neustále, jak se ukazuje, je panika celkem oprávněná. Navíc jedna změna hesel možná nebude stačit.

Heartbleed je bezpečnostní chyba v kryptografické knihovně OpenSSL, která je otevřená a je velmi rozšířená a používaná například v protokolu TLS, který se mimo jiné používá k „bezpečnému“ spojení s webovými servery. 7. dubna, kdy se o její existenci dozvěděla veřejnost, se podle odhadů týkala asi 17 procent zabezpečených serverů. Chyba, registrovaná v seznamech pod označením CVE-2014-0160, měla umožnit útočníkům získat z paměti serveru hesla a cookies koncových uživatelů. Realita se ale ukazuje být mnohem horší...

11. dubna vyhlásil cloudový provozovatel CloudFlare výzvu o vytěžení maxima informací z vyhrazeného serveru s aktivní chybou. Během několika hodin ale řada výzkumníků i anonymů dokázala ukrást privátní klíče serveru, což jsou oficiálně (a draze) vydávané certifikáty, které umožňují vytvářet jednoduše nerozpoznatelné kopie webů.

Oznámení bylo načasováno na stejný den, kdyby na chybu připravena záplata. To ale v žádném případě neznamená vše zachraňující bleskurychlou reakci. Řada firem se pokusila okamžitě aktualizovat své servery a následně si nechat vygenerovat nové klíče (jejichž veřejná polovina by měla k uživatelům docestovat automaticky), ovšem docházelo k chybám, a tedy opakovaným pokusům (včetně odvolávání právě vydaných klíčů). Je otázkou, jak dlouho bude ještě chyba, či ji obsahující fungující implementace, existovat na webu. Knihovna se ale používá i v některých aktivních síťových prvcích, které se nemusí dát tak snadno aktualizovat – solidní výrobci dnes procházejí vlastní hardware a pomalu uveřejňují seznam problematických modelů a návodů, co s nimi.

U bezpečnosti často hrozí dominový efekt, kdy prozrazení jednoho hesla vede k postupnému průniku do dalších systémů. Tady je vždy klíčovým faktorem délka rizikového období. Už jen proto, že více času znamená více automatizovaných nástrojů, které se postupně šíří v různých agenturách i zločineckých skupinách a nakonec se stanou na internetu běžně dostupnou komoditou.

I z tohoto pohledu je to s Krvácejícím srdcem špatné. Chybu objevil Google zřejmě jako první okolo 21. března, organizaci OpenSSL informoval 1. dubna (a to datum bylo zvoleno očividně velmi nešťastně). Chybu ale nezávisle na Googlu objevily i další organizace. Důvodem této zdánlivě podezřelé kumulace objevů je nejspíše intenzivní výzkumná činnost v této oblasti, v reakci na nedávný bezpečnostní problém platformy iOS (chyba SSL označená jako CVE-2014-1266, která ovšem ve světle nových poznatků je celkem neškodnou záležitostí).

Opravdu špatné ale je, že chyba existuje ve zdrojovém kódu celé dva roky (díky jeho otevřenosti a datování jednotlivých změn víme alespoň tohle). Už dva nezávislé anonymní zdroje prý potvrdily, že americká agentura NSA o chybě věděla prakticky od začátku. Oficiální reakce NSA i amerického prezidenta Obamy jsou frázovány natolik standardizovaně („je naší povinností“, „americké zájmy“, „nemůže potvrdit ani vyvrátit“), abychom si všichni vybrali, čemu věřit.

Knihovna OpenSSL bohužel skutečně populární, a tak situace nadále eskaluje. Špatné verze lze nalézt v aplikacích i v hardwaru, na mobilech, vestavných zařízení, ale i firewallech těch nezvučnějších značek. Podle pondělních zpráv existuje i možnost „reverzního útoku.“ Zatímco v normální variantě útočník získává možnost klonovat certifikovanou identitu serveru a přístup k vašim přístupovým údajům (což nemusí znamenat totéž co přístupové údaje například do vašeho bankovního řešení). Jak se ukazuje, může útok probíhat i obráceně a až do odvolání všech zpochybněných certifikátů se vašemu klientu nemusí podařit odlišit oficiální nejakabanka.cz od nejakabanka.cz běžící v ruské kyberzločinecké síti.

Časté měnění hesel pomáhá jen teoreticky, dokud je provádíte na potenciálně infikovaných službách. Určitě rizika zmenšuje nepříliš praktikované a bolestivě nepraktické rozlišování hesel, co služba to jiné heslo. V každém případě nastává doba, kdy je třeba provést audity a zjistit, které zařízení v našem dosahu je v jakém stavu. Různé nástroje jsou například k dispozici na internetu, ale samozřejmě jsou buď přetížené... nebo potenciálně falešné...

Celá infrastruktura certifikátů je naštěstí postavena s možností dynamické obměny klíčů. Provozovatelé si tak mohou (měli by) pořádat o vydání nových klíčů (které by měli dostat od certifikované agentury potom, co si ověří, že skutečně má co do činění se správnou osobou), veřejný klíč by potom měl sám docestovat ke klientským implementacím.

Pokud by ovšem došlo k napadení vlastních certifikačních/registračních agentur, tak budou mít odborníci ještě dlouho plné ruce práce.


Hrozby Finanční kybernetické v roce 2013 Část 2: malware

14.4.2014 Analýza

Zdroj: Kaspersky

Hlavní zjištění
Finanční malware
Hraničí Ohrožení: zeměpis útoků a napadl uživatele
Poznej svého nepřítele: finanční malware druhů
Bankovní malware stávky
Bitcoin: peníze pro nic za nic?
Mobilní bankovnictví hrozby
Závěr: sledovat digitální peněženku
Pro podnikání
Pro domácí uživatele a uživatele on-line bankovnictví
Pro držitele crypto-currency
Hlavní zjištění

Podle informací získaných od ochrany subsystémů produktů společnosti Kaspersky Lab 2013 došlo k dramatickému nárůstu počtu financí souvisejících s útoky, ať už je to phishing nebo útoků zahrnujících malware.

Níže jsou uvedeny hlavní závěry výzkumu:

PC Malware
V roce 2013, ze všech internetových uživatelů, kteří se vyskytly nějaké malware útoku, 6,2% se setkal finanční útoků zahrnujících malware. To byl nárůst o 1,3 procentního bodu oproti roku 2012.
V roce 2013 se počet kybernetických útoků zahrnujících malware navržen tak, aby ukrást finanční údaje, zvýšil o 27,6% a dosáhl 28,4 milionu. Počet uživatelů napadených tímto finančním cílení malware dosáhl 3,8 milionu, což je nárůst 18,6% meziročně.
Ze všech financí související s malware, nástroje spojené s Bitcoin prokázaly největší dynamický rozvoj. Nicméně, malware pro krádež peněz z bankovních účtů, jako je Zeus, stále hraje hlavní roli.
Mobilní malware
V malware odběru vzorku Kaspersky Lab, počet škodlivých aplikací pro Android, jejichž cílem je ukrást finančních dat vzrostl téměř pětkrát v druhé polovině roku 2013, z 265 vzorků v červnu na 1321 v prosinci.
V roce 2013, odborníci společnosti Kaspersky Lab poprvé objevil Android trojské koně, které byly schopné krást peníze z bankovních účtů napadených uživatelů.
Dále ve výzkumném textu, budeme diskutovat podrobněji, jak útoky vyvíjet v průběhu času, podívat se na jejich zeměpisné rozložení, a podívejte se na seznamy svých cílů.

Finanční malware

Programy určené k ukrást elektronických peněz a finančních dat patří mezi nejsložitější typy škodlivého softwaru tam dnes. Umožňují zločinci rychle vytvářet peněžní prostředky z jejich tvorby, takže uživatelé se zlými úmysly vynaložit veškeré úsilí nebo náklady ve vývoji finančních trojské koně a zadní vrátka. Odborníci společnosti Kaspersky Lab poznamenat, že tvůrci malwaru jsou dokonce ochotni zaplatit desítky tisíc dolarů za informace o nových zranitelností - první kodér, jak obejít bezpečnostní systémy výrobek ponechává veškerou trestní konkurenci v prachu.

Malware navržen tak, aby krást data a spáchat podvod byl zapojený do relativně malé procento útoků (0,44% v roce 2013), i když to je stále 0,12 procentního bodu vyšší než před rokem. Nicméně, pokud jde o počtu postižených uživatelů z počítačové hrozby, finančními, procento je mnohem výraznější: z celkového počtu uživatelů vystavených ve všech typech útoky škodlivého softwaru, 6,2% z těmito útoky obsahovat nějakou uvedený druh finanční hrozby - to je o 1,3 procentního bodu vyšší než v roce 2012.

Uživatelé zaútočili v roce 2013
 

V roce 2013, finanční malware vliv 6,2% z celkového počtu uživatelů v cílové skupině malware útoků.

K dispozici je slabá korelace mezi počtem útoků a počtu uživatelů cílených. V letech 2012-2013, měsíční počet útoků měnit desetiny procenta. Na jaře roku 2012 prudce poklesla a ne vyšplhat zpátky do své původní polohy až do podzimu 2013, když počet uživatelů napadených nedoznala žádné výrazné výkyvy a více či méně pokračovaly v růstu na měsíční bázi.

Finanční malware: útoky a zaútočil uživatelů v letech 2012-2013
 

Počet uživatelů cílených útoků zahrnujících finanční malware vzrostl do roku 2013.

Pokles v počtu útoků zaznamenaných na jaře roku 2012 by mohla být spojena s odstávkou několika cybercriminal skupin. Na druhé straně, nárůst útoků vidět v posledních šesti měsících roku 2013 lze vysvětlit několika faktory: uživatelé se zlými úmysly objevili nová zranitelná místa v Oracle Java, který umožnil jim, aby zahájily další útoky. Kromě toho, v návaznosti na zvýšení kurzu Bitcoin u konce roku, jsme viděli více programů, jejichž cílem je ukrást crypto-měnu od uživatele e-peněženky.

Hraničí Ohrožení: zeměpis útoků a napadl uživatele
Země nejčastěji cílené finanční malware v letech 2012-2013 byla Ruska, s více než 37% všech útoků. Žádná jiná země měla podíl během vykazovaného období vyšší než 10%.

Nejčastěji cílových zemí v letech 2012-2013
 

Top 10 nejčastěji napadl zemí byli na přijímací konci roku 70% všech finančních malware útoků během posledních dvou let.

Rusko bylo také vrchol země, když to přišlo k počtu útoků na jeden rok. Zatímco počet uživatelů cílených v Rusku v roce 2013 klesly jen mírně, ve většině ostatních zemí v Top 10 viděl toto číslo poroste.

Finanční malware útoky po celém světě
 

Uživatelé cílené finanční malware, podle země
 

Počet uživatelů napadených finanční malware v průběhu jednoho roku zvýšil v osmi z Top 10 nejčastěji cílových zemí.

Uživatelé v Rusku čelí největší riziko, že se stanou obětí finanční malware: v roce 2013, každý jednotlivec terčem kybernetických zločinců se specializují na finanční malware byl napaden 14,5 krát v průměru - porovnat, že na průměru něco málo přes osm krát za rok na obyvatele Spojené státy americké.

Země Počet útoků zahrnujících finanční malware Rok-na-rok změna Průměrný počet útoků na uživatele
Ruská federace 11474000 + 55.28% 14.47
Turecko 899000 + 156,41% 9.22
Spojené státy 1529000 + -22,76% 8.08
Vietnam 1473000 + 65.08% 6.43
Kazachstán 517000 + -26,88% 6.15
Itálie 593000 + -32,05% 5.61
Indie 1600000 + 65.03% 4.47
Ukrajina 401000 + -7,54% 4.07
Německo 747000 + -0.73% 3.9
Brazílie 553000 + -21,02% 3.87
Průměrný počet útoků na obyvatele cílené finanční malware v roce 2013

Top 10 Seznam zemí, na něž se zaměřuje on-line finančních hrozeb vedl Tureckem a Brazílií. Procento uživatelů vystavena finančním útoky v těchto zemích byl 12% a 10,5%, respektive z celkového počtu uživatelů, kteří vyskytují škodlivé programy v roce 2013. V Rusku, to číslo bylo o něco více než 6%, zatímco jen jeden v každé 30 Celkový počet uživatelů napadli v USA čelí specificky finanční hrozbu kybernetické.

Země Uživatelé zaútočili finanční malware Rok-na-rok změna % Uživatelů napadených jakýkoli typ malwaru
Turecko 97,000 + 37.05% 12.01%
Brazílie 143,000 + 29.28% 10.48%
Kazachstán 84,000 + 5.11% 8,46%
Itálie 105,000 + 20.49% 8,39%
Vietnam 229,000 + 31.77% 7,4%
Indie 358000 + 59.1% 6,79%
Ruská federace 792000 + -4,99% 6,16%
Ukrajina 98,000 + 22.73% 6,08%
Německo 191000 + 43.22% 5.52%
Spojené státy 189000 + 22.30% 3,1%
Uživatelé zaútočili finanční malware v roce 2013 a jejich příslušné procenta obyvatel země, kteří byli na něž jakýkoli typ škodlivého programu.

Když se podíváte na mapu světa, je zřejmé, že procentní podíl finančních útoků jsou relativně nízké v Číně, USA, Kanady a řady evropských zemí. Nejúspěšnější země v této kategorii se nacházejí po celém světě, a některé z nejvýraznějších jsou Mongolsko, Kamerun, Turecku a Peru.

Procento uživatelů, kteří se setkal finanční malware z celkového počtu uživatelů napadených malware v roce 2013
 

Poznej svého nepřítele: finanční malware druhů
Abychom pochopili, které škodlivé programy jsou zaměřeny na finanční aktiva uživatelů a tvoří krajinu hrozeb více než v minulém roce, odborníci společnosti Kaspersky Lab dát nástroje používané zločinci do různých kategorií. Pro účely této studie byly zkoumány 30 nejčastější příklady malware používaných ve finančních útoků. Ty byly dále rozděleny do čtyř skupin, v závislosti na funkci programu a určených cílů: bankovní malware, keyloggery, Bitcoin krádež malware, a Bitcoin crypto-currency instalační software.

Nejvíce různorodá skupina programů je skupina malware bankovnictví, která zahrnuje trojské koně a zadní vrátka, jejichž cílem je ukrást peníze z on-line účtů nebo na sklizeň údaje potřebné k ukrást peníze. Některé ty lepší známé programy v této skupině jsou Zbot , Carberp , a SpyEye .

Útoky využívající finanční malware v roce 2013
 

Programy spadající do druhé kategorie - keyloggery - jsou navrženy tak, aby krást důvěrné informace, včetně finančních údajů. Často, bankovní trojské koně plní stejnou funkci, což může přispět ke snížení používání keyloggerů jako samostatné nástroje. Nejznámější z nich jsou Keylogger a Ardamax .

Poslední dvě malware skupiny jsou spojeny s crypto měně Bitcoin, která se stala vyhledávanou cenu pro finanční podvodníky v průběhu posledních několika let. Tyto programy jsou nástroje používané k ukrást Bitcoin peněženky, a programy, které tajně nainstalovat aplikace na infikovaných počítačích získat tuto měnu, také známý jako důlní software .

První kategorie obsahuje malware, který krade Bitcoin peněženky soubory, které uchovávají data o bitcoins vlastněných uživatelem. Druhá je poněkud obtížné definovat: k instalaci aplikace pro generování Bitcoins (výtěžek APPS), lze použít téměř jakýkoli druh škodlivého programu schopného stahování nových programů do počítače, aniž by uživatele povšimnutí, což je důvod, proč pro byly zahrnuty pro účely této studie, pouze programy, které byly zaznamenány v přísném spojení při stahování a zahájení těžby nástroje.

Je třeba poznamenat, že tato kategorizace není 100% přesné. Například jeden a tentýž keylogger může být použito jak pro sklizeň finanční údaje a krást informace o online herní účet. Nicméně, obvykle škodlivé programy mívají zvláštní "specializaci", který definuje jeho primární neoprávněnému používání a funkci, která nám umožňuje spojit jednotlivé programy s určitou kategorii počítačové kriminality - finanční kriminality, v tomto případě.

Bankovní malware stávky
V roce 2013, bankovní malware - škodlivé programy, které kradou peníze z uživatelských účtů - hrál vedoucí roli mezi kybernetických hrozeb finanční. Během uplynulého roku, minimálně 19 milionů kybernetické útoky byly zahájeny, což představuje dvě třetiny všech finančních útoky zasahující malware.
 

Do konce roku 2013, celkové procento uživatelů napadl každý měsíc uživatelů se zlými úmysly, jejichž cílem je ukrást Bitcoins a nainstalovat Bitcoin důlní aplikace dosáhly téměř stejné úrovně jako bankovní malware.

Nejaktivnější škodlivý bankovnictví program - a to jak z hlediska počtu útoků, tak z hlediska počtu cílených uživatelů - je Trojan Zbot (aka Zeus). Počet útoků, které byly vysledovat zpět do úprav pro tento trojan je více než zdvojnásobila v průběhu roku, a počet uživatelů napadených Trojan v minulém roce byl větší než všechny oběti jiných Top 10 škodlivých bankovních programů dát společně.

Zbot, 2012-2013
 

V roce 2011, zdrojový kód Zbot šlo veřejnost a byla použita k vytvoření (a je stále používán k vytváření) nových variant škodlivých programů, které se mají dopad na statistiku útoku. Zbot je také známý pro mít sloužil jako základ pro rozvoj platformy Citadel - jedna z několika pokusech se stěhují principy komerčního softwaru do oblasti škodlivého vývoje programu. Citadela uživatelé mohou koupit nejen Trojan, mohli také získat technickou podporu a rychlou aktualizaci, aby se zabránilo jejich programy z odhalení antivirových produktů. Citadela webové zdroje také organizované sociální místo pro hackery, kteří by mohli objednávat nových funkcí. Na začátku června 2013 Microsoft spolupracoval s FBI a ohlásila odstavení několika velkých botnetů, které byly součástí Citadela; to bylo velké vítězství v boji proti počítačové kriminalitě. Nicméně, jak můžeme vidět ze statistik společnosti Kaspersky Lab, to neměl mít obrovský dopad na šíření škodlivých programů, jejichž cílem je ukrást finanční údaje.

Prudký pokles v počtu útoků využívajících Qhost by mohly být potenciálně související s zatčení svých tvůrců, kteří v roce 2011 ukradli zhruba 400.000 dolar z klientů jedné velké ruské banky. Tvůrci tohoto programu byli odsouzeni v roce 2012, ale to nezastavilo hrozbu dalšího šíření. Relativní jednoduchost jeho nastavení a jeho snadné použití znamená, že tento program i nadále přitahuje nové uživatelům se zlými úmysly.

Qhost, 2012-2013
 

Počet útoků na trh pomocí Carberp Trojan klesla během prvních šesti měsíců roku 2013 po jarní zatčení Trojan uživatelů - pravděpodobně se jednalo tvůrce programu. Nicméně, v létě, počet Carberp útoků začala výrazně stoupat, čímž 2013 end-of-rok čísla do stejné úrovni jako v roce 2012. Mimo jiné to souvisí s open-source zveřejnění zdroje na malware kód, což vede k nárůstu ve vývoji nových verzí Trojan. Všechny stejné, počet uživatelů cílených těmito úpravami stále výrazně v minulém roce klesl.

Carberp, 2012-2013
 

Obecný trend je jasný: po chvilce se propad v průběhu posledních šesti měsíců roku 2012, podvodníci odpovědné za finanční kybernetických útoků v roce 2013 pokračoval vyšší úroveň aktivity, jak můžeme vidět na zvýšení počtu útoků a vyšší počet cílených uživatelé.

Útoky pomocí bankovního malware v letech 2012-2013
 

* Trojan-Banker je univerzální vstup do databáze společnosti Kaspersky Lab pro detekci finanční malware

Bitcoin: peníze pro nic za nic?
Bitcoin je elektronický crypto-měně, která není regulována žádnou vládou, ale je v oběhu díky své široké použití. Specializovaná síť podporující Bitcoin byl zahájen v roce 2009. To bylo zpočátku používají lidé s úzkými vazbami na IT průmyslu, ale postupně stal se více široce známý. To začalo získat si oblibu jako měnu, kdy se stala možnost platby na několika významných webových stránkách specializujících se na černém trhu nebo jinak nezákonného obchodu. Tyto stránky si vybral Bitcoin, neboť umožňuje uživatelům zachovat anonymitu.

Jedna variace Bitcoin bankovky
 

Teoreticky, každý, kdo chce, může vydělat Bitcoins pomocí svých počítačů - tento proces se nazývá výtěžek. Těžba v podstatě zahrnuje řešení řady kryptografických úloh, které udržují síť Bitcoin.

Mnozí z těch, kteří se považují za "Bitcoin bohaté" získal své Bitcoin majetky zpět, když crypto-měna byla teprve založena, a před tím, než byl přijat jako tekuté peněžní fond. Nicméně, jak měna stala běžnější, se stalo obtížnější získat Bitcoins prostřednictvím výkonu počítače - to je jedna ze zvláštností systému, kromě konečného objemu Bitcoins, která bude vydána do oběhu. V tomto okamžiku, složitost požadovaných výpočtů vzrostl natolik, že Bitcoin těžba na typických počítačů se stala nerentabilní - dokonce potenciálně ztrátové a náročné jen zlomit, i když faktor nákladů na elektřinu.
 

Směnný kurz Bitcoin na začátku roku 2013 byl na 13,60 dolarů, a v prosinci, že dosáhla historického maxima přes $ 1200.

V průběhu roku se kurz Bitcoin vyletěl, přesahující 1200 dolarů na konci prosince. Tento nárůst byl následovaný poklesem, včetně vzhledem k opatrnému postoji mezi centrálními bankami řadě zemí s ohledem na tuto měnu. Lidová banka Číny zakázala používání výměn Bitcoin, které se prolínají měnu dolů přibližně o jednu třetinu. Ve stejné době, další země přijaly podpůrnou přístup k Bitcoin. Zejména Německé ministerstvo financí oficiálně uznala crypto-měnu jako formu platby, a v Kanadě a USA, bankomaty jsou nastaveny tak, aby umožnil Bitcoins být transformovány do peněžních fondů.

Stručně řečeno, v několika málo let Bitcoin se přestěhovala z bytí mezeru na Internet jev podporován malou skupinou nadšenců něco blízkosti plnohodnotné měnové jednotky, která drží skutečnou hodnotu a je nyní velmi vyhledávané. To dává smysl, tedy, že Bitcoin by přirozeně upozornit uživateli se zlými úmysly. Od okamžiku, kdy Bitcoin obchodování byl zahájen na burzách internetu pro skutečné peníze, stále více a více prodávajících začal přijímat tuto měnu platby, a zločinci stal se více zajímat.

Bitcoin je uložen na počítači ve speciálním peněženka souboru (wallet.dat, nebo něco podobného, ​​v závislosti na aplikaci použité). Pokud je tento soubor není šifrován a uživatelé se zlými úmysly jsou schopni ukrást , pak by mohli převést všechny prostředky v nich obsaženým do svých peněženek. Síť Bitcoin umožňuje každému účastníkovi získat přístup k transakční historii pro všechny uživatele - to znamená, že je možné určit peněženku (y), které odcizené finanční prostředky byly převedeny.

Kromě Bitcoin krádeže, zločinci mohou také použít na počítačích se jejich obětí těžit Bitcoins, stejným způsobem, že oni používají jejich obětí počítače k rozesílání spamu a provádět jiné škodlivé činnosti. Tam jsou také dobře známé vyděrač programy, které vyžadují výkupné zaplatil v Bitcoin výměnou za rozluštění uživatelská data.

Níže uvedená tabulka ukazuje dynamiku útoků pomocí škodlivého nástrojů, jejichž cílem je ukrást Bitcoin peněženky, stejně jako malware, který může načíst hornické software na oběti počítačích. Kromě toho byly také případy, kdy byla Bitcoin mining software zjištěné v počítači a pokud vlastník počítače mohla záměrně umístěny tak, aby software, nebo by to mohlo se dostali na počítači uživatele, aniž by o tom neví. Produkty Kaspersky Lab dát tyto aplikace do kategorie RiskTool - to znamená, že tento typ aplikace by mohla skrývat škodlivou funkci, a uživatel je upozorněn, jako.
 

Jak můžete vidět z grafu, počet Kaspersky Lab produktů detekcemi Bitcoin programů krádeží a Bitcoin důlní nakladače začaly růst v druhé polovině roku 2012. Dynamika stala ještě zajímavější v roce 2013. Například, jeden z dvou nejvíce významné vrcholy Kaspersky Lab zjištěných v souvislosti s Bitcoin se konala v dubnu - to bylo přibližně v té době, kdy Bitcoin je výměna vyskočila na více než 230 dolarů. Je zřejmé, že nárůst v kurzu vyvolal uživatelům se zlými úmysly, aby se aktivněji šíří malware určený k ukradení nebo moje Bitcoins.

Mimochodem, v dubnu, cena kurzu v propadla až na 83 dolarů. Tento pád byl následován obnovy až do výše $ 149 na konci dubna a stabilizace v květnu. Od května do srpna, Bitcoin držel v rozmezí $ 90 - 100, a v srpnu začala stálý vzestupný nárůst. Tento proces byl jen slabě koreluje se situací na nebezpečný zepředu, i když je možné, že to byla stabilizace Bitcoin kurzu, který v podstatě vyvolal nový příval útoků v srpnu. Další prudký skok v počtu útoků se konala v prosinci, kdy se kurz Bitcoin nejprve klesla z 1000 dolar dolů na $ 584, a později vyšplhaly zpět na 804 dolarů na konci měsíce.

Od dubna, počet Kaspersky Lab produktů detekce softwaru používaných k výrobě Bitcoin se neustále zvyšuje. Tento růst pokračoval až do října, až do počtu zjištěných začaly klesat v listopadu.
 

Celkově v roce 2013, a to jak počet odhalených registrovaných produktů společnosti Kaspersky Lab a počet uživatelů, které přicházejí do styku s nebezpečným či potenciálně škodlivého softwaru souvisejícího s Bitcoin dramaticky vzrostl ve srovnání s 2012. To je také pozoruhodné, že začíná zhruba v říjnu 2013 počet zjištěných škodlivých programů loading Bitcoin mining aplikace začala chvíli klesat, v kontrastu, počet zjištěných z Bitcoin aplikací krádeže peněženky začala stoupat. To by mohlo být výsledkem výše uvedeného zvláštnost systému Bitcoin, kde se více "mince", které jsou generovány, tím obtížnější je získat nové. To by mohlo také řídit uživatelům se zlými úmysly se zaměřit na vyhledávání a krást Bitcoin peněženky drží již vygenerovaný crypto-měnu.

Škodlivé programy, jejichž účelem je ukrást finanční údaje jsou, samozřejmě, jeden z nejnebezpečnějších typů kybernetických hrozeb současnosti. Rozsah hrozby nadále rozšiřovat, takže vidíme obrovské množství potenciálních obětí útoků zahrnujících tyto typy škodlivých programů - jen asi každý, kdo vlastní platební kartu a přistupuje k Internetu z počítače se slabým zabezpečení by mohla stát obětí zločinci . Nicméně, počítače a notebooky jsou daleko od jediné zařízení používaných k provedení finanční transakce. Jen asi každý moderní jedinec vlastní smartphone nebo tablet v těchto dnech, a uživatelé se zlými úmysly, tyto mobilní přístroje nabízejí ještě jiný způsob, jak se dostat do kapes lidí, kteří používají on-line finančních služeb.

Mobilní bankovnictví hrozby

Po dlouhou dobu mobilních zařízení byly nedotčené zločinci. Do značné míry to bylo proto, že první generace mobilních zařízení, měli omezenou funkčnost a psát software pro ně bylo obtížné. Nicméně, všechno se změnilo s příchodem chytrých telefonů a tabletů - univerzální zařízení s připojením k internetu a veřejně přístupné nástroje pro vývoj aplikací. Již několik let odborníci společnosti Kaspersky Lab zaznamenává každoroční nárůst počtu škodlivých programů zaměřených na mobilní zařízení, zejména se systémem Android.

V roce 2013, Android byl hlavním terčem zákeřných útoků, s 98,1% všech mobilních malware detekovaného v roce 2013 a cílujeme na tuto platformu. To je údaj z obou popularity operačního systému a zranitelnosti jeho architektuře.

Mobilní malware v roce 2013
 

Většina škodlivých programů pro mobilní zařízení, včetně mnoha backdoorů a nějaký malware v trojské kategorie, jsou navrženy tak, aby ukrást peníze od uživatelů. Ale jeden z 2013 nejnebezpečnějších trendů v mobilní malware byl rostoucí počet programů, jejichž cílem je ukrást přihlašovací údaje pro online bankovnictví s cílem získat přístup k penězům lidí.

Počet mobilních bankovních vzorků malware v kolekci společnosti Kaspersky Lab v roce 2013
 

Počet těchto škodlivých programů začala rychle růst v červenci a překročila 1300 unikátních vzorků do prosince. Počet útoků zaznamenaných společností Kaspersky Lab začala stoupat zhruba ve stejnou dobu.

Útoky s mobilním bankovnictví malwaru v druhé polovině roku 2013
 

Mobilní malware cílení on-line bankovnictví zákazníky, není nic nového. Například, ZitMo (mobilní "dvojče" Zeus, neslavný Win32 bankovnictví Trojan) je na záznamu od roku 2010, ale až v poslední době nebylo známo, že byly použity v hromadných útoků. To bylo částečně kvůli jeho omezené funkčnosti: ZitMо může fungovat pouze ve spojení s "stolní" verze Zeus. Program "partner" zachytí přihlašovací údaje pro online bankovnictví oběti, a pak je na ZitMo získat jednorázových hesel používaných v on-line bankovních systémů k autorizaci transakce a pošlete jim zločinci, kteří budou používat údaje ukrást peníze z bankovní účty obětí.

Tento podvodný program byl také použit v roce 2013: v té době hlavními konkurenty Zeus - SpyEye (SpitMo) a Carberp (CitMo) - se také dostal se "bratříčky". Však není známo, že by došlo k významnému množství útoků. Černý trh pro hrozbách přišel s několika "autonomních" trojských koní, kteří byli schopni pracovat bez "stolních" protějšky.

Jedním z příkladů je Svpeng Trojan, který byl objeven odborníky společnosti Kaspersky Lab v červenci 2013. Trojan využívá, jak některé z ruských mobilních bankovních systémů, práce krást peníze z bankovních účtů obětí.

Zákazníci některých velkých bank v Rusku lze doplnit účty mobilních telefonů převodem peněz ze svých bankovních karet. Je to všechno děláno textové zprávy, která byla odeslána na určitý počet vedeného bankou. Svpeng odesílá zprávy SMS služby dvou z těchto bank. To umožňuje vlastníkovi Svpeng zjistit, zda jsou všechny karty vydané těmito bankami jsou spojeny s řadou infikované smartphonu a jak se vyrovnat informací, pokud existuje účet. Poté, cybercriminal může pověřit Svpeng převést peníze z bankovního účtu oběti na mobilní telefon účtu s ním spojené.


Svpeng falešné povolení rozhraní

Peníze mohou být dodatečně "krvácel" z mobilního účtu různými způsoby - např. tím, že převod do online peněženky pomocí stránky řízení účtu uživatele na internetových stránkách telefonní operátor mobilních nebo jednoduše zasláním zprávy na prémiová čísla. Svpeng má také další funkce ukrást přihlašovací údaje pro online bankovnictví uživatele.

Další dva příklady nebezpečných bankovních trojských koní objevili odborníci společnosti Kaspersky Lab jsou Perkele a Wroba. První z nich je podobná ZitMo - jeho hlavní funkcí je zachytit jednorázová hesla (čísla autorizace transakce). Druhé vyhledávání infikovaných mobilních zařízení pro on-line bankovních aplikací a odstraní všechny aplikace nalezené, nahrazovat je s falešnými kopiemi, které jsou pak použity pro sběr pověření uživatele a odesílat je do zločinci.

Ačkoli většina útoků zahrnujících mobilní bankovní trojské koně, které byly zjištěny Kaspersky Lab se konala na území Ruska a sousedních zemí, Perkele cílené uživatelé některých evropských bank a Wroba cílené uživatelů z Jižní Koreje.
 

Zeměpisné rozložení útoků zahrnujících škodlivé mobilní bankovní aplikace pro Android v roce 2013

V absolutním vyjádření se počet útoků, které byly zjištěny u společnosti Kaspersky Lab výrobky, zúčastněné finanční malware a cílených mobilních uživatelů je poměrně nízký až nyní, ale jejich počet roste - jasný trend, který teď byl zaznamenaný u více než šest měsíců. To znamená, že uživatelé mobilních zařízení, zejména těch, které běží na platformě Android, by měl být velmi opatrní, pokud jde o zabezpečení svých finančních dat.

Uživatelé zařízení iOS bázi by neměl usnout na vavřínech, a to buď. Ačkoli tam nebyl doposud spousta malware navržen tak, aby ukrást citlivá data z iPhone a iPad vlastníků, operačního systému chyby dělat takový malware možné opakovaně zobrazuje. Jedním z velmi nedávný příklad je chyba nalezena výzkumníky na konci února 2014, která může umožnit hackerům získat záznam znaky zadané uživatelem na klávesnici na obrazovce přístroje. Počítačoví zločinci mohl využít zranitelnost ukrást přihlašovací údaje pro online bankovnictví uživatele, mimo jiné citlivé údaje.

Závěr: sledovat digitální peněženku

Studie jasně ukázala, že elektronické peníze uživatelů je pod neustálou hrozbou. Vždy, když uživatel pracuje s jejich účtů prostřednictvím internetového bankovnictví, nebo platit za své nákupy v internetových obchodech, zločinci jsou tam na lov za své peníze.

Všechny typy finančních hrozeb prokázala významný nárůst v roce 2013. Podíl phishingových útoků zahrnujících bankovní značky zdvojnásobil, a to malware na základě finančních útoků bylo o třetinu více než v předchozím roce.

Tam byly žádné "nováčci" v finanční malware segmentu, které by mohly mít dopad srovnatelný s Zbot a Qhost. Tyto dva a další nechvalně trojské koně byli zodpovědní za většinu útoků v průběhu uplynulého roku. Nicméně, zločinci opět prokázaly, že mají zájem sledovat všechny změny v tržních podmínkách: dramatický nárůst útoků, jejichž cílem je ukrást Bitcoins, která začala na konci roku 2012, pokračoval v roce 2013.

Odborníci společnosti Kaspersky Lab nabízí následující rady o posílení ochrany proti finančním hrozbách.

Pro podnikání
Obchodní nese značnou část odpovědnosti za bezpečnost uživatelů. Finanční společnosti by měly vyprávět uživatele o hrozbách představovaných zločinci a poskytovat rady na způsoby, jak se vyhnout ztrátě peněz na kybernetické útoky.
Banky a platební systémy by měly nabízet svým zákazníkům komplexní ochranu před zločinci. Jedním z řešení, které lze použít pro to je Kaspersky prevence podvodům platforma, která nabízí multi-tier ochranu proti podvodům.
Pro domácí uživatele a uživatele on-line bankovnictví
Malware spisovatelé často spoléhají na zranitelnosti v populárním programu. To je důvod, proč by měl být používán pouze nejnovější verze aplikací, a měly by být instalovány aktualizace operačního systému, jakmile vyjdou ven.
Pozorování univerzální on-line bezpečnostní pravidla pomáhá minimalizovat riziko spojené s finančními útoky. Uživatelé by měli zvolit silné heslo, které jsou jedinečné pro každou službu, buďte opatrní při používání veřejných sítí Wi-Fi, vyhnout se ukládání citlivých dat v prohlížeči, atd.
Je důležité používat spolehlivé anti-malware produkty, které prokázaly svou účinnost v nezávislých testech. Kromě toho, některé bezpečnostní produkty, jako je Kaspersky Internet Security , mají vestavěné nástroje, které umožňují uživatelům pracovat s on-line finančních služeb bezpečně.
Pokud používáte smartphone nebo tablet pro přístup k on-line bankovnictví, platební systém nebo na on-line nakupování, ujistěte se, že chránit zařízení s spolehlivé bezpečnostní řešení, jako je Kaspersky Internet Security pro Android , který obsahuje pokročilé nástroje, které poskytují ochranu proti malware, phishing a ztráty nebo odcizení zařízení.
Pro držitele crypto-currency
Vzhledem k tomu Bitcoin a jiné podobné crypto-měny, jako například Litecoin, Dogecoin a mnoho dalších, nebyla asi moc dlouho, mnoho uživatelů jsou obeznámeni s jemnější aspekty práce s těmito systémy, což je důvod, proč odborníci společnosti Kaspersky Lab připravené poradenství v oblasti pomocí kryptografických měn bezpečně:

Vyhněte se použití online služby pro ukládání úspor; používat specializované aplikace Peněženka místo.
Rozdělte své úspory do několika peněženek - to pomůže minimalizovat ztráty v případě, že jeden z peněženky je ukradené.
Uložte peněženky, kde si drží své dlouhodobé úspory na šifrovaných médií. Případně můžete použít peněženky vytištěné na papíře.


Banky žalovat cíl a Trustwave za škody způsobené porušením dat
14.4.2014 Incidenty
Porušení Cílová data byla jednou z největších v novodobé historii, a byl katastrofální pro více než jen zákazníky, kteří měli své informace ukradený. ​​Nejnovější z nich, kteří budou muset vypořádat s jeho důsledky je bezpečnostní firma Trustwave, který spolu s cílovou sám, byl jmenován do třídy žaloby, podané skupinou bank u amerického okresního soudu pro severní obvod Illinois. Žalobci, v čele s Trustmark národní bankou a Green Bank, tvrdí, že "Target nepravdivě ujistil bank a svým zákazníkům, že jejich počítačové sítě a Point of Sale systémy splňovaly s průmyslovými standardy na ochranu důvěrné informace o platbě zákazníků, "zatímco opakovaně ignoruje a rozhodování o tom, na zlepšení, která by mohla zajistit jeho pokladní systémy, není-li, aby využil této příležitosti k podpoře využití čipových karet v jeho obchody a nedaří zavést a udržovat bezpečnostní záruky doporučeno Visa. "Došlo k porušení dat, protože Cílová nesplňovaly průmyslové standardy," banky tvrdí. "Cíl není upřednostňovat bezpečnost dat, a externě své povinnosti zabezpečení dat na Trustwave, který nedokázal přinést cílového systémy až s průmyslovými standardy." Trustwave je obviněn z nedostatku rozpoznat slabá místa zabezpečení počítačových systémů TARGET je, a není-li na místě známky zločinci "narušení. "nepodařilo Trustwave žít až do své sliby, nebo ke splnění průmyslových standardů. Trustwave nedostatky, naopak, nechá hackeři způsobit data narušení a krást Cílové zákazníků osobní údaje a citlivé údaje platební karty. Kromě toho, Trustwave nedokázal včas odhalit a nahlásit Data Porušení k cílové nebo veřejnosti, "oni žalobci uzavřena. Banky tvrdí, že škody na nich je "monumentální" - podle sdružení spotřebitelů bankéřů, jejichž porušení má stát své členské banky v USA více než 172.000.000 dolarů jen proto, aby znovu problém ukradené platební karty, a toto číslo nezahrnuje podvodné nákupy a neoprávněných výběrů hotovosti banky také měla absorbovat. Banky se snaží, aby cíl a Trustwave kryt všechny škody, které jim vznikly kvůli porušení.


Facebook se může pochlubit moderní systém detekce hrozeb
14.4.2014 sociální sítě
Facebook má novou interní hrozby, lov rámec, který je krmen s různorodými daty z celého internetu, různých výrobců a interních zdrojů Facebooku je, a je účinnější

"Rámec ThreatData se skládá ze tří částí na vysoké úrovni: Krmiva, ukládání dat, a real-time odezvy," Mark Hammell, hrozba výzkumník na Facebooku, vysvětlil v blogu . úterý "Kanály sbírat data z určitého zdroje a jsou realizovány pomocí lehkého rozhraní. Údaje mohou být v téměř libovolném formátu a je transformován krmiva do jednoduchého schématu nazýváme ThreatDatum. Nulový bod je schopen uložit nejen základy hrozby (např. zlo- malware-domain.biz), ale také kontext, ve kterém to bylo špatné. přidáno kontext se používá v jiných částech rámce, aby se více informovaná, automatické rozhodnutí. " Informace, které se přivádí do něj zahrnuje soubor malware hashe z VirusTotal, . škodlivé adresy URL z malware pro sledování míst, hrozbách koupil od různých dodavatelů, a tak dále, a je transformován v surových dat Tato data jsou pak kontrolována proti dvěma vnitřními Facebooku datových úložišť: Hive (který obsahuje historické údaje o minulých a dlouhodobé hrozby ) a potápění (který obsahuje údaje o nejnovějších hrozeb). Výsledky jsou okamžitě jednal, přes procesor, který zkoumá ThreatDatum v reálném čase a automaticky dělá jednu nebo více věcí, jako jsou krmiva škodlivý URL černých listin, které má za cíl chránit uživatele Facebook , krmit systém řízení akce vnitřní bezpečnosti Facebook v zájmu ochrany podnikových sítí, vlajku a předá zajímavý soubor malware pro další analýzu, a tak dále. Hammell říká, že ThreatData úspěšně všiml mnoho hrozeb, které konvenční anti-virus řešení - a zejména ty, které používají interně Facebook -. ne To také dovolilo jim pochopit, kde jsou hrozby přicházejí z, typy útoků, jejich frekvence, a doby, kdy k nim došlo. "Jsme neustále hledají nové způsoby, jak zlepšit a rozšířit rámec ThreatData tak, aby zahrnovala nové hrozby a dělat lepší rozhodnutí s těmi, které jsme již určených. Uvědomujeme si, že ne všechny aspekty tohoto přístupu jsou zcela nové, ale my jsme chtěli podělit o to, co pracuje pro nás, aby se zahájila nové nápady, "dodal. A kdo ví, možná, že systém bude tak úspěšný, že společnost zváží marketing je na nás ostatní.


ACLU sondy amerických policie používání falešných mobilních věží
14.4.2014 Mobil
Americká unie občanských svobod (ACLU) je na misi, aby zjistil, které místní a státní orgány činnými v trestním síly v USA se používá "rejnoky" a jak, ale jsou bráněno v jejich úsilí. Pro ​​ty, kteří ještě nevědí, rejnok je zařízení, které umožňuje činných v trestním řízení, aby napodobit mobilní věže, a když telefon podezřelý připojuje k němu, sledovat svou pozici, a někdy dokonce zachytit své telefonní hovory a textové zprávy. ACLU se obává policejní oddělení v celé zemi jejich použití a skrývání toto použití ze strany veřejnosti. "Tato technologie vyvolává závažné otázky v rámci čtvrtého dodatku. Veřejnost má právo na úplné zveřejnění záznamů, aby se mohl zapojit do věcné debatě o zákonnosti a moudrosti těchto zařízení, a zajistit dohled jejich použití, " poznamenal ACLU je řeč, soukromí a technologie Project zaměstnanci právník Nathan Wessler. To je těžké vědět, jak rejnok funkce, jako jeho výrobce - Florida-založený Harris Corporation - byl tajnůstkářský o jeho funkcí. Také, orgány činné v trestním řízení na všech úrovních byli ochotni se podělit o nějaké informace, které by mohly, protože podepsal dohodu o utajení s Harris Corp., která jim znemožňuje potvrzení, zda používat jejich zařízení. ACLU se obává o informace, tato zařízení shromažďovat o nevinný lidí, jak se policejní oddělení chrání shromážděné informace, nebo dokonce z kterého se dostanou povolení k použití rejnoky. Před několika týdny, ACLU učinil veřejné záznamy požádat o zhruba 30 Florida policie a oddělení šerifa, pokud jde o jejich použití rejnoků. Mezi nimi byl policejní oddělení města Sunrise, Florida, který odmítl potvrdit nebo vyvrátit, zda používat zařízení. "V tomto případě, odpověď je nejen porušení Florida práva, ale také smrtelně narušena záznamů Police Department Sunrise již zaslali on-line, "říká Wessler, jak policie slunce již veřejně přiznal, že vlastní alespoň jeden Stingray o vysílání dokumentu o potenciálním nákupu aa 65.000dolar upgrade na stávající zařízení na svých oficiálních internetových stránkách. " Agentura nemůže uznat skutečnost v jednom kontextu, ale pak odmítají potvrdit nebo popřít stejné informace jako odpověď na žádost ve veřejné záznamy, "podotkl. "Sunrise odpověď by mohla být k smíchu, kdyby to nebylo tak plešatý porušení zákonů vládní transparentnosti." policie slunce není pouze místní donucovací síly k použití rejnoky. "Máme důkazy o tom, že policie je používají v Arizoně, Kalifornii a na Floridě. Chtěli jsme kopat hlouběji na Floridě jako případová studie o tom, co se děje jinde," vysvětlil Wessler na BBC.


Více než polovina z Android uživatelů nepodaří zablokovat své telefony
14.4.2014 Mobil
Průzkum ad hoc provedený proti zneužívání výzkum vedoucí Google Elie Bursztein ukázal, že více než polovina uživatelů Android neblokují své telefony v nějaké významné cestě. Po dotazování 1500 uživatelé, on zjistil, že 52 procent z těch uživatelů, "open" jejich zařízení s prostým odsunutím nebo gesto, 25,5 procenta se rozhodli zamykání své telefony s čerpáním vzor na mřížce a 15,1 procenta se pomocí kódu PIN. Pouze 3,3 procenta se rozhodli pro používání hesla, 2,3 procenta pro variantu, kdy telefon může rozpoznat jejich tváře, a 1,8 procenta používáte jiné, formy třetí strany ověřování. možnosti pro zabezpečení zařízení Android je mnoho, tak proč se uživatelé vybrat jeden? Podle průzkumu, zadání kódu PIN je "nepříjemné" . Ale, jak Bursztein poukázal na to, zámek pleskání je snadno nastavit, a snadněji a rychleji vstoupit.

"No bezpečnost je perfektní. Oba zámek vzory a PIN kódy mohou být náchylné k rozmazání útoky," přiznává. Ale uživatelé by měli také přiznat, že i nejjednodušší plavebních patters je mnohem lepší než bez ochrany vůbec. Takže, pokud vlastníte telefon se systémem Android, to je ten správný okamžik, aby přehodnotila své bezpečnostní možnosti a realizovat jednu z nabízených možností, pokud Máte již není. Pokud máte, vezměte si tuto příležitost pro změnu "odemknutí" PIN nebo vzor, ​​a pamatujte na to často.


Nmap je Fjodor restartuje Úplné zveřejnění mailing listu
14.4.2014 Bezpečnost
Full Disclosure mailing list je zpátky na trať, se nmap Gordon "Fjodor" Lyon zvedl plášť odložil John Cartwright . "Po vyslechnutí špatné zprávy, okamžitě jsem napsala Jana nabízí pomoc. On říkal, že on byl přes s přehledem , ale navrhl: ". Ty mě nepotřebuješ Pokud chcete začít náhradu, jdeme na to," ". vysvětlil, jak přechod stalo . A po nějakém hledání duše, udělal "Někteří argumentovali, že my ne již nepotřebujete Plný seznam Disclosure, nebo dokonce, že e-mailové konference jako koncepce jsou zastaralé. Říká se, že vědci by měli jen Tweet se odkazy na rad, které mohou být hostovány na Pastebin či firemních stránkách. nesouhlasím, "poznamenal ve funkci oznámil jeho" převzetí ". "E-mailové seznamy vytvořit mnohem trvalý záznam a jejich decentralizovaná povaha z nich dělá těžší cenzurovat nebo klidně změnit v budoucnosti." "Jsem už docela obeznámeni s manipulační právní hrozby a požadavky na stěhování (obvykle ignorovat), protože jsem běžet Seclists . org , který již dlouhou dobu nejoblíbenější archiv pro úplné zveřejnění a mnoho dalších skvělých seznamy zabezpečení. Už jsem udržovat poštovní servery a Mailman software, protože jsem běžet různé další velké seznamy, včetně Nmap Dev a Nmap oznamuje, "vysvětlil. Předchozí členové mailing list vyzváni k přihlásit znovu, a nové jsou vítány, protože seznam začíná znovu. "Nový seznam musí být řízena a pro bezpečnostní komunity v dodavatelsky neutrální módy. Bude lehce moderované jako starý seznam, a dobrovolník moderování tým bude vybrán z aktivních uživatelů. Stejně jako dříve, bude to veřejné fórum pro podrobnější diskusi o zranitelnosti a využívání techniky, stejně jako nástroje, dokumenty, zprávy a události zájmu Společenství. " Fjodor vyjasnit. Dodal také, že prodejce právní zastrašování a cenzury pokusy nebude tolerováno.


Sítě, zapojit se a podnikat na Infosecurity Evropě
14.4.2014 Bezpečnost
Infosecurity Evropa je největším a nejnavštěvovanějším událost informační bezpečnosti v Evropě. Se konala v centru Londýna, je to zdarma událost představovat více než 325 vystavovatelů prezentovat své nejrozmanitější škálu nových produktů a služeb. Vzdělávací program bez láká návštěvníky ze všech segmentů průmyslu v celé Evropě.

Z nového vystavovatele zóny do země pavilonů, objevovat nejnovější produkty a řešení na místní i mezinárodní scéně. Účastníci odrážejí každý segment informační bezpečnosti průmyslu, pocházející z klíčových odvětvích, včetně:
Distribuce IT společnosti
IT hardware, software, výrobci a dodavatelé
Odborníci bezpečnostní informace pro koncové uživatele
Vládní odborníci.
Program Infosecurity Evropa Vzdělání poskytuje širokou škálu vzdělávacích příležitostí pro své účastníky, kde mohou přistupovat k obsahu na vysoké úrovni prostřednictvím mnoha různých formátů z panelových diskusí a prezentací na seminářích a školeních. (ISC) 2 a ISACA umožňují návštěvníkům zdarma vzdělávací program pro sběr cenných CPD / CPE Credits, které se přiděleny automaticky v měsících po skončení akce. Keynote divadlo Letošní program Keynote divadlo se bude zabývat tématem bezpečnosti jako obchodní enabler, se zaměřením na to, jak aktivní, odolné bezpečnostní strategie lze přidat hodnotu, a podpora růstu a transformace v podnikání hyper-připojen. Spojující vedoucí koncové uživatele právníci z veřejného a soukromého sektoru, politiků a analytiků, program bude poskytovat strategické poznatky, nejlepší-praxe a real-životní zkušenosti , poskytující příležitost pro delegáty učit se přímo od odborníků, kteří jsou v ostrém konci informační bezpečnosti.

Podpora inovací a transformace

Informační bezpečnost se vyvíjí, pohybuje nad technologií, aby se stal obchodní disciplína. Díky vývoji na základě rizik, bezpečnostní inteligence vedení strategie, funkce informační bezpečnosti je schopen určit, jaká je skutečná míra rizika je pro podnikání a podporu rozhodování v rámci organizace. Chcete-li to funkce informační bezpečnosti potřebuje setřást pověst riskovat, potlačovat inovace, flexibilitu a efektivitu s přísným kontrolám a politiky, aby se stal obchodní vedení - sdílení rizik chuť podniku a zároveň chránit podnik s obchodní strategií rozhodujících. Účastníci se naučí, jak vytvořit a implementovat bezpečnostní strategie vedoucí zpravodajské přidat hodnotu do podnikání. Future-izolační bezpečnost informací a ochranu stávajících systémů tempo technologických změn i nadále zvyšovat. Jak podniky stanou propojenější než kdykoli předtím informační bezpečnosti praktici jsou řešení dvojí výzvy zabezpečení current starší systémy, které jsou více náchylné ke vzniku nových rizik, zatímco při pohledu dopředu na to, jak pro budoucnost zítřejší dědictví. Na výstavě účastníků bude těžit z příležitostí zjistit, jak se chránit stávající starší systémy a vybudovat odolnost při současné technologii na ochranu proti budoucím hrozbám. "Applification" podnikání a důsledky pro bezpečnost Jak se aplikace stále více stává nedílnou součástí podnikání, bezpečný vývoj software je důležité umožnit rychlou adaptaci a rychlost na trhu. Ve stejné době, "applification" vyvolává celou řadu bezpečnostních problémů informačních. Vkládání informační bezpečnosti do vývoje softwaru je důležité minimalizovat rizika a zajistit, software splňuje předpisy a OWASP normy. Na Infosecurity Evropy 2014 budou účastníci zjistili, jak vložit bezpečnosti v cyklu vývoje a jak bezpečnost a rozvoj mohou spolupracovat na dosažení nejlepší praxe a zajistit rychlou dodávku bezpečných aplikací, k tomu, aby obchodní růst bezpečně. Reproduktory již potvrdila mluvit v Keynote divadle na Infosecurity Evropě jsou hlavními představiteli Skype, Pearson, Premier Farnell, Home Retail Group, Rank Group, Travis Perkins, Nike, BBC, National Crime Agency, HMRC, GE Capital a Amgen.


Povědomí SCADA rizika, hrozby a porušení
14.4.2014 Hrozby
SANS oznámila výsledky svého průzkumu 2014 o zabezpečení řídicího systému, ve kterém 268 IT odborníci odpovídali na otázky týkající se jejich celkové povědomí o rizicích, trendy v ohrožení a porušení, a účinný prostředek ke zmírnění zranitelnosti s ohledem na SCADA / ICS. "Útoky na řídicích systémů jsou na vzestupu, "říká Matt Luallen, SANS analytik a autor tohoto průzkumu. "Rozpočty pro kybernetické bezpečnosti v prostředí SCADA ICS nadále velmi tenký a organizace jsou i nadále závislé na omezených zdrojích a personálu k zjišťování narušení a útoků." v roce od Sans 'posledního průzkumu na toto téma, počet subjektů s nebo podezření narušení bezpečnosti se zvýšil z 28% na téměř 40%. Pouze 9% lze říci s jistotou, že nebyla porušena. organizace chtějí, aby mohli chránit své systémy a aktiva, které obsahují počítačové systémy, sítě, vložené řadiče, komunikační systém kontroly protokolů a různých hmotných aktiv. Respondenti rovněž poznamenat, že se snaží chránit veřejnou bezpečnost; zvýšit povědomí o rizicích vedení; a rozšířit kontroly vztahující se k identifikaci, komunikační kanály a centralizovaného monitorování. Přesto, mnoho organizací nemají nebo nemohou shromažďovat údaje od některých z nejdůležitějších SCADA a ICS majetku, a mnoho závisí na vyškolený personál, ne nástroje, odhalit problémy. Je alarmující, podle průzkumu, 16% nemá žádný proces, v místě odhalit slabá místa. Zajímavé je, že průzkum zaznamenal sloučení bezpečnosti ICS a IT bezpečnosti. "Respondenti, že bezpečnost ICS je provedeno odborníky hlášení jak inženýrství a IT," říká Derek Harfa, obchodní operace vedou k ICS programů na SANS. "To klade skutečný důraz na cross-oddělení koordinace, efektivní přemostění kompetencí a budování (stejně jako hodnocení) dovednosti v organizovaným způsobem."


Analýza 244.703 DDoS incidentů
14.4.2014 Počítačový útok
Týmu NSFocus vydala své DDoS Threat Report 2013, který upřesňuje útoku trendy a metody v uplynulém roce. Zpráva obsahuje statistické analýzy a klíčové poznámky na základě 244.703 DDoS incidentů.

Pozorování ukazují, že DDoS útoky jsou splatné v době APT. DDoS útoky byly použity jako smokescreens k provádění APT útoků nebo pro jiné nekalým účelům. Zpráva také konstatuje, že dostupnost DDoS-as-a-Service, která poskytuje komukoli s počítačem a kreditní kartu schopnost provést útok. DDoS zesílení útoky budou i nadále představovat výzvu, jako útok března 2013 ve věci protisoutěžních jednání -spam organizace Spamhaus se ukázalo, v němž doprava dosáhla 300 Gbps. Nicméně, potenciál pro více těžkých útoků DDoS amplifikace, jako jsou ty, využívající pro NTP, mohou výrazně překročit limity šířky pásma vidět do dnešního dne. "DDoS se rychle stává běžnou bolest bod, a podniky potřebují, aby tuto hrozbu vážně, pokud se očekávat, že poskytovat nepřetržitou službu svým zákazníkům, "řekl Frank Ip, viceprezident operací v USA pro Týmu NSFocus. V roce 2013, cyberattackers dal trh lekci hackernomics a představila nesčetné způsoby, v nichž se vyvinuly své strategie útoku nasadit sofistikované metody, které budou způsobit maximální množství škody pomocí nejmenším počtem zdrojů. Čím více se dozvídáme o útoku mentalitě, silnější naše obrana stane, "Ip přidal. Zjištění ukazují, že hackernomics je hnací silou, která zastřešuje DDoS trend menších, kratších a opakované útoky. Účelem většiny útoků je narušit, ne zničit. Jak takové, malé aplikační vrstvě nebo hybridní útoky, které jsou levnější, aby zahájila, může způsobit velké škody k síťovým zdrojům. útoků DNS zvýšil v důsledku pokroku v oblasti technologií anti-DDoS, které mohou lépe counter ostatní útoku, a DNS infrastruktura stále zůstává jedním z nejslabších článků.


Jsou zločinci zaměřují své daňové přiznání?
14.4.2014 Kriminalita
Iovation radí podnikům a spotřebitelům o tom, jak chránit data a osobní informace, aby se zabránilo krádežím identity v průběhu daňového období. Jak IRS dělal to výhodnější pro daňové poplatníky podat přiznání elektronicky a dostávat náhrady ve dnech, množství podvodů dramaticky vzrostl. V roce 2012, generální inspektor na ministerstvo financí odhaduje, že mezi tehdy a 2017, IRS by číslo 21 miliard dolarů v podvodných vrácení daně. "Chápeme obtíže, kterým čelí IRS v prevenci on-line a mobilní podvod, protože jsme ho zastavit každý den pro naše klienty. Daňové sezóna klade pozornost na potřeby podniků chránit své zákazníky před počítačovými zločinci-poplatku jsme vášnivý vede, "řekl iovation viceprezident pro rozvoj společnosti, Jon Karl." Nakonec, tento typ on-line kriminalitě ovlivňuje podniky a jejich zákazníky ., který je ve skutečnosti každý z nás " Nejlepší způsob, jak pro spotřebitele, aby se ochránili proti daňovým podvodům a krádežím identity tato daň sezóna je:

Používejte silné heslo pro ochranu vašeho elektronického podání. Poté, co váš návrat byl e-podána, uložte soubor na CD nebo flash disk a potom odstraňte vratnou informace o osobní z vašeho pevného disku.
Uvědomte si, že IRS nenavazuje kontakt s daňovými poplatníky podle e-mailu nebo sociálních médií nástrojů požádat o osobní nebo finanční informace. IRS neposílá e-maily, v nichž uvádí, jste se elektronicky auditovány nebo které jste získali náhradu. To zahrnuje jakýkoliv typ elektronické komunikace, jako jsou textové zprávy a sociální mediálních kanálů.
Vždy chránit vaše osobní údaje a to zejména na nezabezpečených internetových stránkách.
Ihned se obraťte na IRS, pokud zjistíte, více než jeden daňové přiznání bylo podáno pod svým jménem. To je dobré znamení, že vaše identita může být ukradené.
Nenoste kartu sociálního zabezpečení nebo jakékoliv dokumenty s SSN nebo individuální identifikační číslo plátce daně (dita) na to.
Když e-podání, ujistěte se, že práce na zařízení, které jste ověřili neobsahuje malware, a pokud používáte bezdrátovou síť, ujistěte se, že je to heslo zabezpečené, důvěryhodné prostředí.
Začátkem tohoto roku IRS oznámil, že bude pokračovat práce začaly v roce předchozím daňovým sezóny, "zvýšení jak počtu a účinnost filtrů krádeží identity, které se používají k identifikaci potenciálně podvodné vrátí kvůli krádeži identity před zpracováním návratu a vydání jakékoliv náhrady.


Maloobchodníci nutkání přijetí PIN-založené kreditní karty
14.4.2014 Bezpečnost
Řekl Národní Retail Federation Senát, že je čas na přepracování podvodům náchylný kreditní a debetní karty systému národa, řekl trvá bank na karty, které používají podpis namísto Počet Personal Identification staví obchodníky a jejich zákazníky v ohrožení.

Vskutku, karetní společnosti i nadále propagovat používání podvodům náchylný podpisových karet přes jejich vlastní výzkum - provádí před téměř 25 let -., Který ukázal, že karty PIN-založené za předpokladu, větší bezpečnost pro spotřebitele, obchodníky a bankami "Všechno, co potřebuje, je podvodník tady na kartě, "NRF senior viceprezident a generální ředitel Mallory Duncan řekl, popisující, jak jméno držitele karty a číslo účtu jsou jasně vytištěny na každé kartě spolu s datem vypršení platnosti a bezpečnostní kód. "Pointa je, že karty jsou špatně navrženy a podvodům náchylný produkty, které systém umožnil, aby i nadále množí." Duncan komentáře vstoupil do výkazu předloženého senátního výboru pro obchod, vědu a dopravu, který držel slyšení na kybernetické útoky trestní, v němž byly odcizeny čísla spotřebitelské karty. Řekl, že aktuální magnetický proužek karty s podpisy jsou příliš snadno kopírovat a navazovat. "Existují technologie, k dispozici, které by mohly snížit výskyt podvodů," řekl Duncan. "Generální z podvodu náchylné karet, které se v současnosti používají na americkém trhu je dávno." NRF již dlouho obhajoval pro nahrazení stávající karty, kde spotřebitelé podepíší schválit transakci s další generace karet, které by vyžadovaly použití PIN . S nebo bez vloženého mikročipu, PIN karty na bázi by poskytoval větší bezpečnost pro spotřebitele a maloobchodníky, řekl Duncan. "Ochrana všechny karty s PIN namísto podpisu je nejdůležitější ochrana podvod krok, který by mohla být přijata rychle, "řekl Duncan. "Je prokázáno, že je účinná, a to je poměrně snadno proveditelné. PIN debetní karty jsou v blízkosti všudypřítomné na celém světě, a snadno vyrobitelný v USA čipu je žádoucí add-on. Je-li rychlost realizace je důležité, pak nahrazením PIN podpisu je vhodnější pro provádění čip. " Spolu s přechodem na více bezpečných karet PIN-založené, NRF podporuje další kroky zaměřené na prevenci podvodů a úniků dat, včetně end-to-end šifrování dat, tokenizace spíše než ukládání dat a mobilních plateb. NRF je největší sdružení na světě, maloobchod, představuje diskontní a obchodní domy, domácí zboží a specializované obchody, Main Street obchodníky, potraviny, velkoobchodníci, řetězové restaurace a internetové maloobchodníkům Spojené státy a více než 45 zemích. Maloobchod je národ je největší soukromý sektor zaměstnavatel, podporuje jeden ze čtyř pracovních míst v USA - 42 milionů pracujících Američanů.


Dozor je řízení organizace od mraku
14.4.2014 Bezpečnost
Třetí IT bezpečnostní profesionály nevedou podnikových dat v cloudu kvůli strachu z vlády špehovat, přičemž většina z nich raději k ukládání citlivých firemních dat v rámci jejich vlastních sítí, nový průzkum z Lieberman Software odhalí.

Průzkum byl prováděn na konferenci RSA 2014 v San Franciscu a podíval se na postoje téměř 280 odborníků IT bezpečnosti vůči cloud bezpečnosti. Bylo zjištěno, že 80 procent respondentů dává přednost, aby se více citlivá data uložená v rámci vlastní sítě, jejich společnosti, spíše než mrak; zatímco strach z vlády špehovat odrazuje 33 procent IT profesionálů z oblaku. Jiné poznatky z průzkumu vyplynulo, že cloud aplikace jsou také vytváří problémy pro profesionály bezpečnosti IT, 75 procent respondentů, což znamená, že mohou způsobit bolesti hlavy, bezpečnostní IT oddělení. komentování Průzkum Philip Lieberman, prezident a generální ředitel společnosti Lieberman Software, řekl: "IT manažeři jsou si vědomi, že je velmi omezená ochranu osobních dat v cloudu prostředí, a proto se raději drží při nejcitlivější majetek v areálu. Dalším problémem je právní úprava v oblaku, a skutečnost, že IT manažeři nechtějí vlády sondování do svých podnikových dat. Pokud vláda nebo úřední subjekt chce zjistit, jaké údaje firma drží, cloud hostitel podílí se ze zákona povinen poskytnout jim přístup. " Vzhledem k tomu, pozornost médií NSA dohled skandál dostal to není překvapující, že organizace se odradit od ukládání citlivých dat v cloudu prostředí. Nicméně, když Lieberman Software se ujal stejný průzkum v listopadu, 2012, 48 procent respondentů byli odrazováni od používání cloud kvůli strachu z vlády špehovat, zatímco 86 procent respondentů dává přednost, aby se více citlivá data v rámci své vlastní sítě, spíše než mrak. To v podstatě znamená, že důvěra v bezpečnost cloudu se zvýšil za poslední rok, a to navzdory obrovskému vlivu NSA skandálu. V reakci na tato zjištění Calum MacLeod, viceprezident EMEA pro Lieberman Software, řekl: "Skutečnost, že vláda je snooping v našich IT prostředí a na našich telefonních hovorů není velká zjevení, a když NSA skandál vypukl to by nemělo přijít jako velké překvapení pro ty, kteří pracují v oblasti zabezpečení. " "Vláda dohled byl po velmi dlouhá doba, a pokud děláte něco proti zákonu, že by neměl být problém. Bezpečnostní odborníci si uvědomit, že hlavní poskytovatelé cloud služeb nabízejí velmi komplexní zabezpečení a nakonec jejich ochota investovat do technologií na ochranu svých klientů pravděpodobně nabízí bezpečnější prostředí než mimo outsourcingovými společností, a to zejména v Indii, kteří si myslí, že vše lze vyřešit levný práce, "dodal MacLeod.


Přírodní Security Alliance uvolňuje specifikace pro silné standardní ověřování
14.4.2014 Zabezpečení
Přírodní Security Alliance vydala nejnovější specifikace pro svého světového první silné standardní ověřování.

Norma definuje silnou metodu autentizace pro platby a přístup ke službám, na všech kanálech (např. domů, obchod, větve), aniž by byla ohrožena bezpečnost nebo soukromí. Tato metoda ověřování kombinuje místní biometrické ověření, osobní zařízení a bezdrátové technologie, a mohou být implementovány do různých tvarových faktorů, včetně čipové karty, micro-SD kartu, mobilní telefon, bezpečnostního prvku a tokenu. Nejnovější specifikace jsou výsledkem práce skupina klíčových prodejců, bank, prodejců a platební odborníků podílejících se na přírodní Security Alliance od roku 2008 a představují 180 člověkohodin let vývoje. Nově vydané základní specifikace definují architekturu a různé komponenty potřebné k tomu, aby transakce založené na bezdrátovém přijetí zařízení (WAD), který používá uživatel přijetí (např. prodejce) a bezdrátové osobní zařízení (WPD), který používá jednotlivé uživatele. předchozí verze byly úspěšně testovány na 6-ti měsíců pro spotřebitele pilot provádí ve Francii, který dal více než 900 zákazníci možnost vyzkoušet první implementaci standardu Natural zabezpečení pro bezkontaktní platby. Studie jasně ukázala, že veřejnost akceptovány a přijaty tuto biometrické metody ověřování pro bezdotykové platby -. Se 94% účastníků říkají, že byli připraveni použít tento způsob platby pro všechny nákupy v supermarketech a menších obchodů Tato norma je založena na jedinečné Kombinace bezdrátové technologie, místní biometrické ověřování a osobní zařízení:

Osobní zařízení ukládá aplikace a data používané k ověření uživatele, řešení problémů týkajících se soukromí a vyhnout se použití biometrických databází. Norma může být implementován do různých tvarových faktorů, včetně čipové karty, micro-SD kartu, mobilní telefon Secure Element a tokenu.
Bezdrátová komunikační technologie (v běžných IEEE 802.15.4 a Bluetooth Low Energy plánuje) šetří uživatelům potřebu fyzicky zvládnout toto zařízení.
Biometrie nahrazuje nebo doplňuje PIN, takže transakce se může uskutečnit pouze, pokud jsou přítomny oba uživatele a zařízení.
Tato norma definuje architekturu a různé komponenty potřebné k tomu, aby transakce založené na bezdrátovém přijetí zařízení (WAD) používané uživatel přijetí (např. obchodní) a bezdrátové osobní zařízení (WPD), používané pro jednotlivé uživatele. Standardní Přírodní Security definuje následující základní údaje:
Natural Bezpečnostní Obecný popis [CORE1 / V 2,3] nabízí úvod a obecný přehled o technologii Natural bezpečnosti. Také popisuje služby, které mohou být poskytovány pomocí technologie Natural bezpečnosti.
Wireless Personal Device (WPD) [Core2 / V 2,4] Specifikace popisuje zařízení používané pro jednotlivé uživatele (např. zákazník) k provedení WPD relace. Tento dokument také popisuje Provider architekturu osobní přístup, což je jádro aplikace Natural Bezpečnostní bydlištěm v každém WPD.
Bezdrátové Přijetí zařízení (WAD) [CORE3 / V 2,4] Specifikace popisuje zařízení používané pro přihlášení uživatele (např. obchodní) k provedení WPD relace. Tento dokument také popisuje transakční tok a WPD zasedání.
Wireless Personal Area Network (WPAN) [CORE4 / V 3,02] Specifikace popisuje mid-range bezdrátové komunikační protokol používaný pro připojení WPD s WAD. Tento protokol založený na WPAN je definován přírodní bezpečnosti.
Bezdrátové Biometrické Intelligent Reader (WBIR) Protokol [CORE5 / v2-43] specifikace poskytuje funkční popis zařízení integrující hlavní složky zemního zabezpečení, čímž se zjednoduší integraci řešení Natural bezpečnosti ve stávajících systémech. Tento dokument také popisuje zprávy protokolu, které mají být používány v "Controlling-Device", jako například POS nebo PC, pro řízení o WBIR.


Heartbleed: Se změnou hesel příliš nespěchejte

14.4.2014 Zranitelnosti
V souvislosti s chybou v knihovně OpenSSL s oficiálním názvem CVE-2014-0160, která je od úterý známá pod přezdívkou Heartbleed, mnozí doporučují změnit co nejdříve všechna hesla. To by však nemusel být tak dobrý nápad, jak se na první pohled zdá.

Někteří bezpečnostní výzkumníci si naopak myslí, že by lidé se změnou hesel příliš spěchat neměli. Chyba by totiž mohla odhalit veškeré údaje včetně hesel, uživatelských jmen a kryptografických klíčů, které se v současnosti zpracovávají na webových serverech.

Touto chybou jsou v současnosti mimo jiných ohrožení uživatelé banky Deutsche Bank a Yahoo (včetně jeho služeb, mezi které patří Flickr nebo Tumblr), nebo služby na sílení fotografií Imgur. Před kyberzločinci využívajícími této chyby nejsou v bezpečí ani zaměstnanci FBI.

Po celém světě je v ohrožení přibližně půl milionu webů. „Katastrofické je to správné slovo,“ okomentoval situaci nezávislý bezpečnostní expert Bruce Schneier. „Na stupnici od jedničky do desítky je tohle jedenáctka.“ Výzvy na změnu hesla, které se okamžitě po zjištění existence této chyby objevily, by však mohly nadělat více škody než užitku, protože pokud server zatím nebyl aktualizován a chybu neopravil, útočníci by mohli nové heslo okamžitě získat, myslí si Mark Schloesser, bezpečnostní výzkumník ze společnosti Rapid7.

Takto chyba v knihovně OpenSSL existuje již od roku 2012, to, zda už ho někdo zneužil, není jisté a ani neexistuje žádný způsob, jak to zjistit.

Uživatelé mohou zjistit, zda je konkrétní stránka stále ohrožená, pomocí nástroje, který dal dohromady vývojář Filippo Vaslorda. Některé servery už chybu opravily, ale to neznamená, že jsou proti ní plně zabezpečené. Chyba totiž odhodlaným útočníkům umožňuje ukrást soukromý klíč SSL certifikátu a tak weby, které jsou sice aktualizované, avšak stále používají stejné certifikáty jako předtím, zůstávají útočníkům otevřené.

„Riziko pro uživatele přetrvává, dokud organizace s aktualizovanou knihovnou OpenSSL neobdrží nové certifikáty a klíče SSL,“ říká Trey Ford z Rapid7. Útočníci do té doby mají ke všem údajům v podstatě volný přístup.


Zúčastněte se průzkumu bezpečnostních praktik

14.4.2014 Zabezpečení
Společnost PwC ve spolupráci se společností CXO Media pořádá již 12. ročník průzkumu bezpečnostních praktik v oboru informačních technologií. V tomto celosvětovém průzkumu máte šanci vyhrát tablet iPad mini a další ceny.

Cílem tohoto výzkumu je zjištění názoru vedoucích pracovníků a zástupců významných podniků v oboru na současné i budoucí problémy zabezpečení, se kterými se musí vyrovnat.

Každý respondent obdrží závěrečnou zprávu s výsledky průzkumu. Tento hodnotný nástroj může odborníkům v oblasti IT pomoci získat přehled o stávající bezpečnostní situaci i o budoucích hrozbách, na které je třeba se připravit. Výsledky průzkumu budou také zveřejněny online na webech PwC.com, CIO.com a CSOonline.com. Pokud chcete získat závěrečnou zprávu a být zařazeni o slosování o tablet, je třeba uvést své jméno a e-mailovou adresu.

Všechny odpovědi v rámci tohoto průzkumu jsou považovány za důvěrné, respondenti ani jejich organizace nebudou v žádných výsledcích zmíněni. Za to, že nám poskytnete své cenné informace, můžete se dočkat i zajímavé odměny – vylosovaný účastník tohoto průzkumu totiž dostane zcela nový tablet Apple iPad mini v hodnotě 7300 Kč.

Tento menší z rodiny tabletů z produkce Applu má rozlišení 1024x768 pixelů. Tablet s úhlopříčkou displeje 7,9 palců je vybaven interním úložištěm o kapacitě 16 GB. Další výherci mají šanci získat elektronickou čtečku Amazon Kindle Fire HD nebo dárkovou kartu společnosti American Express v hodnotě 300 dolarů.

Zapojte se do průzkumu (v angličtině)


Crypto Model na lidské kardiorespirační Spojka základě
8.4.2014 Zabezpečení Biometrika

Román a teoretické schéma šifrování inspirovat novými vhled do způsobu, jakým lidské srdce a plíce komunikace je řekl, aby byl podstatně jiný než stávající crypto-metody a vysoce odolné proti běžným útokům.

Výzkum byl proveden a zveřejněn profesoři Tomislav Stankovski, Peter McClintock, a Aneta Stefanovska z katedry fyziky na Spojeného království Lancaster University.

"Zde nabízíme schéma nový šifrovací odvozené z biologie, radikálně odlišný od jakéhokoli předchozího postupu," řekl Stankovski. "Inspirován časově proměnného charakteru spojovacích funkcí kardio-respirační nedávno objevených u lidí, navrhujeme nový šifrovací schéma, které je vysoce odolné proti běžným metodám útoku."

V rámci tohoto nového šifrovacího schématu, komunikace odesílatele by být zašifrován jako varianty časových spojovacích funkcí z dvojice dynamických systémů. Tyto šifrovanou komunikaci by pak cestovat do a dešifrovat druhou dvojicí shodných dynamických systémů, za použití stejných spojovacích funkcí. To vědci vysvětlují, je analogický způsobu, jakým lidské srdce a plíce pracují komunikovat spolu navzájem.

Podle úvodu do konceptu vyslán ministerstvem informatiky na Brown University , "Dynamické systémy jsou matematické objekty používané k modelování fyzikální jevy, jejichž stav (nebo okamžitý popis) změny v čase. Tyto modely se používají ve finanční a ekonomické prognózování, modelování v oblasti životního prostředí, lékařské diagnóze, průmyslového zařízení diagnózy, a celou řadu dalších aplikací. "

Pro trochu kontextu, vědci vysvětlují, že nedávný objev v oblasti biologie ukázaly, že kardiorespirační spojovací funkce mohou být rozděleny do několika nezávislých funkcí, a že tyto funkce jsou časově proměnlivé povahy. Jinými slovy, jednodušší: Tyto spojovací funkce mohou být v podstatě deconstructed a používat jako kódy.

"Jak se často stává s významnými objevy," řekl profesor Stefanovska, "Tento objev byl učiněn přímo na hranici mezi dvěma různými subjekty -. Protože jsme byli použití fyziky k biologii"

Tyto nálezy, které vysvětlují, vést ve složitých biomedicínských funkcí, které mohou být použity k výrobě účinných a modulárních bezpečnou komunikaci.
"Použití spojovacích funkcí tímto způsobem přiznává nespoutaný řadu možností šifrování," vědci napsal v populární shrnutí jejich práce . "Jsme prokázat, že systém umožňuje více než jeden signál, které mají být vysílán / přijímán současně, a že je mimořádně odolné vůči vnějším hlukem."

Pomocí spojovacích funkcí namísto standardních kryptografických metod zvyšuje bezpečnost tím, že nabízí větší volnost v procesu šifrování beze změny kvalitativní stav systému. To znamená, že vědci věří, že jejich způsob je významný koncepční pokrok na poli kryptografie.

Kromě toho, režim, nárok výzkumník, je vysoce modulární, což umožňuje, aby byl realizován v široké škále různých aplikací a komunikačních protokolů.

"To slibuje šifrovací schéma, které je tak téměř nerozbitný, že to bude stejně nevítaná na internetových zločinců a oficiálních odposlouchávání," tvrdí McClintock.

Výhodou, výzkumníci napsat, je, že nová metoda nabízí nekonečné množství možností pro tajného šifrovacího klíče sdíleného mezi odesílatelem a příjemcem. Tím je prakticky nemožné pro hackery a odposloucháváním rozlousknout kód.

"Na rozdíl od všech předchozích šifrovacích postupů, tato šifra využívá spojovacích funkcí mezi ovlivňovat dynamické systémy," napsali vědci. "To má za následek neomezené množství možností šifrování klíče umožňuje přenos a příjem z více než jednoho signálu současně, a je odolné vůči vnějším hlukem. To znamená, že informační signály jsou zakódovány jako časové variace lineárně nezávislých spojovacích funkcí. "

Můžete si přečíst ve formátu PDF verzi své krátké, ale husté papíru zde a zobrazte diagram ilustrující, jak jejich metoda funguje níže:
Crypto Model na lidské kardiorespirační Spojka základě


Nový Zeus Variant je dodáván s podepsaný certifikát
8.4.2014 Viry
Ještě další varianta Zeus bankovnictví Trojan se vynořil; tohle je převlečený za doklad o Internet Explorer a používá původní digitální certifikát stáhnout rootkit na infikovaných počítačích.

Podle výzkumníků na SSL firmy Comodo , mají více než 200 příkladů Trojan byl objeven v přírodě tak daleko.

Spustit pomocí jednoduchého Man-in-the-Browser (MitB) útoku, Trojan spoléhá na uživatele, a to buď stažením podezřelou přílohu v e-mailu nebo je zasažen využít. Odtud falešný IE dokumentu jde dopředu a to asi docela běžné věci, jako je Zeus krádeže uživatelských dat vstoupil do webových formulářů, přihlašovací údaje a údaje o kreditní kartě, aby k přetrvávání finančním podvodům.

Co je zajímavé je to, že Comodo tvrdí falešný IE soubor je podepsán zdánlivě legitimní osvědčení od švýcarské vývoj software firmy Isonet AG, něco, co je dovoleno malware postupovat nezjištěný antivirových systémů.

Jakmile se spustí soubor zkopíruje do paměti, je popraven a rootkit komponenty z dvou místech jsou staženy. Rootkit je dešifrovat do ovladače a instalován ve skupině Boot Bus Extender a ujistěte se, že může běžet před ostatními řidiči, něco, co pomáhá udržuje Trojan ještě více skryté.

"Jeho účelem je chránit škodlivých souborů a automatické spuštění položky z vymazán uživatelem nebo antivirový software, zvyšuje obtížnost procesu odstranění," napsal Comodo v popisu malware minulý čtvrtek.

Používání falešných a ukradené SSL certifikáty se stalo samozřejmostí mezi zločinci, kteří chtějí kon uživatelů a dát své stroje v ohrožení, to bylo jen před několika měsíci , že zabil falešných certifikátů byli chyceni se maskuje jako legitimní ty ze služeb, jako je Facebook, YouTube a iTunes.

V důsledku velkých název CA hacky jako GlobalSign a DigiNotar za posledních několik let, Google aktualizuje všechny jeho SSL certifikátu 2048-bit RSA až od 1024 loni na podzim a ve středu omezení platnosti certifikátu 60 měsíců , spolu s Mozilla, v naději, že zabrání dalšímu zneužití podřízeného certifikátu.

Pokud jde o zneužití certifikátu Comodo ocitla ve zprávách již v roce 2011 , když se nešťastnou náhodou vydáno osvědčení pro íránské hacker, který pokračoval vydat sám hrst platných certifikátů pro Google, Yahoo, Skype, Mozilla a dalších oblastech. Comodo byl rychle zrušit podvodné certifikáty a nasazení dodatečných auditů a kontrol v boji proti budoucí události.


OpenSSL Opravy Serious TLS zabezpečení
8.4.2014 Zranitelnosti
Mezi správci knihovny OpenSSL, jeden z více široce rozmístěných kryptografických knihoven na webu, mají pevnou vážnou chybu zabezpečení, která by vyústila v odhalení 64 KB paměti na libovolného klienta nebo serveru, který byl připojen.

Podrobnosti o zranitelnosti, opraven ve verzi 1.0.1g z OpenSSL, jsou poněkud omezené.

Tato stránka OpenSSL Project říká, že chyba není před 1.0.1 ovlivnit verzí.
"A chybějící hranice kontrolu při manipulaci s příponou TLS srdeční lze odhalit až 64 kB paměti do připojeného klienta nebo serveru," uvolňovací OpenSSL poznámky pro 1.0.1g říci.

OpenSSL knihovny je nasazen ve velkém množství operačních systémů a aplikací, včetně široké škále Unix a Linux distribuce, stejně jako OS X. populárních webových serverů, jako je Nginx a Apache jsou také ovlivněny. Některé hlavní aplikace a platformy cloud-based, včetně CloudFlare. Inženýři této společnosti je prováděna oprava OpenSSL zranitelnosti minulý týden, předtím, než byly zveřejněny podrobnosti o chybě.

"OpenSSL je základní kryptografická knihovna CloudFlare používá pro SSL / TLS spojení. Pokud jsou vaše stránky na CloudFlare, každý navázáno spojení na HTTPS verzi vašeho webu prochází této knihovny. Jako jeden z největších implementací OpenSSL na internetu dnes, CloudFlare má povinnost být ostražití, kterým se tyto typy chyb před tím, než jít na veřejnost a útočníci začátek jejich využívání a dávat našim zákazníkům v ohrožení, "Nick Sullivan z CloudFlare napsal blog příspěvek .

"Vybízíme všechny ostatní běžící server, který používá OpenSSL upgradovat na verzi 1.0.1g které mají být chráněny před touto chybou zabezpečení. U předchozích verzí OpenSSL, re-kompilace s vlajkou OPENSSL_NO_HEARTBEATS povoleno bude chránit proti této chybě zabezpečení. OpenSSL 1.0.2 bude stanovena v 1.0.2-beta2. "

Lidé z Codenomicon dali dohromady dotazy na chyby, které jsem nazval Heartbleed zranitelnost. Jejich vysvětlení říká, že chyba by mohla umožnit komukoliv na internetu přečíst vzpomínku na stroj, který je chráněn zranitelnou verzí knihovny.

"Heartbleed chyba umožňuje komukoliv na internetu, číst paměť systémů chráněných zranitelných verzí softwaru OpenSSL. To ohrožuje tajné klíče sloužící k identifikaci poskytovatele služeb a šifrování provozu, jména a hesla uživatelů a skutečný obsah. To umožňuje útočníkům odposlouchávat komunikaci, krást data přímo ze služeb a uživatelů, a vydávat služeb a uživatelů, " popis říká.

"Ty budou pravděpodobně ovlivněny buď přímo, nebo nepřímo. OpenSSL je nejpopulárnější open source kryptografické knihovny a TLS (Transport Layer Security), implementace používá k zašifrování provoz na internetu. Vaše oblíbené sociální stránky, stránky vaší společnosti, commerce stránky, hobby stránky, stránka, kterou nainstalujete software z, nebo dokonce místa provozovány vaší vládou by mohly být pomocí zranitelný OpenSSL. Mnoho z on-line služeb pomocí protokolu TLS jak identifikovat se s tebou a chránit vaše soukromí a transakce. Ty by mohly mít síťové zařízení s přihlášení zajištěných tímto prováděním buggy na TLS. Dále můžete mít software na straně klienta v počítači, který by mohl odhalit data z počítače, pokud se připojíte k ohrožení služeb. "

OpenSSL 1.0.1g zahrnuje také opravu, která řeší určitou řadu útoků postranními kanály.

"Implementace Montgomery žebřík v OpenSSL přes 1.0.0l nezaručuje, že některé swapové operace mají konstantní časové chování, který usnadňuje pro místní uživatelé získat ECDSA nonces přes flush + reload vyrovnávací útoku side-channel", CVE vstup pro chybu říká.


OpenSSL CVE-2014-0160 fixní
8.4.2014 Zranitelnosti

OpenSSL 1.0.1g byl propuštěn opravit "A chybějící hranice kontrolu při manipulaci rozšíření TLS srdeční lze odhalit až 64 kB paměti do připojeného klienta nebo serveru. Tento problém však není dotčeno verze OpenSSL před 1,0 .1. "[ 1 ] známý jako Heartbleed chyby [ 3 ].

/ *** Aktualizace Johannes Ullrich ...: *** /

Ubuntu vydal patch pro postižené verze:

http://people.canonical.com/ ~ ubuntu-security/cve/2014/CVE-2014-0160.html

---

Nejrychlejší způsob, jak zjistit, jakou verzi OpenSSL, kterou používáte, je:

openssl version-

Ale ne, že některé programy mohou být sestaveny staticky s OpenSSL.

Pro zranitelný systém, bude to vrátí verze 1.0.1f (nebo tak něco, ale "g"). Také tam bude žádný kompilátor flag-DOPENSL_NO_HEARTBEATS.

Například na aktuální OS X Mavericks systému, dostanete:

$ Openssl version-
OpenSSL 1.0.1f 06.01.2014
postaven na: pon 6.ledna 23:30:17 PST 2014
platforma: darwin64-x86_64-cc
Možnosti: bn (64,64) rc4 (ptr, char) des (idx, CISC, 16, int) idea (int) blowfish (idx)
kompilátor: / usr / bin / řinčení-fpic-fno-common-DOPENSSL_PIC-DZLIB-DOPENSSL_THREADS-D_REENTRANT-DDSO_DLFCN-DHAVE_DLFCN_H-arch x86_64-O3-DL_ENDIAN-Wall-DOPENSSL_IA32_SSE2-DOPENSSL_BN_ASM_MONT-DOPENSSL_BN_ASM_MONT5-DOPENSSL_BN_ASM_GF2m-DSHA1_ASM-DSHA256_ASM-DSHA512_ASM - DMD5_ASM-DAES_ASM-DVPAES_ASM-DBSAES_ASM-DWHIRLPOOL_ASM-DGHASH_ASM
OPENSSLDIR: "/ opt / local / etc / openssl"

OS X není uveden v [3], jak zranitelné, ale předpokládá se, že seznam zveřejněný v [3] je neúplný. Následující výstup je ze systému CentOS, a jsem použil vlastní kompilované 1.0.1e RPM, že měl-DOPENSSL_NO_HEARTBEATS volba zapnuta.

# Openssl version-
OpenSSL 1.0.1e-FIPS 11.02.2013
postaven na: pon 7.dubna 21:56:27 EDT 2014
platforma: linux-x86_64
Možnosti: bn (64,64) md2 (int) rc4 (16x, int) des (idx, CISC, 16, int) idea (int) blowfish (idx)
kompilátor: gcc-fpic-DOPENSSL_PIC-DZLIB-DOPENSSL_THREADS-D_REENTRANT-DDSO_DLFCN-DHAVE_DLFCN_H-DKRB5_MIT -DOPENSSL_NO_HEARTBEATS -m64-DL_ENDIAN-DTERMIO-Wall-O2-g-Wa, - noexecstack-DPURIFY-DOPENSSL_IA32_SSE2-DOPENSSL_BN_ASM_MONT-DOPENSSL_BN_ASM_MONT5-DOPENSSL_BN_ASM_GF2m - DSHA1_ASM-DSHA256_ASM-DSHA512_ASM-DMD5_ASM-DAES_ASM-DVPAES_ASM-DBSAES_ASM-DWHIRLPOOL_ASM-DGHASH_ASM
OPENSSLDIR: "/ etc / PKI / TLS"
motory: dynamický

Můžete downlaod otáček na své vlastní riziko zde: https://isc.sans.edu/diaryimages/opensslrpms.zip (zahrnuje související RPM ze stejného zdrojového RPM). Vezměte prosím na vědomí, že jsem se aktualizovat verzi, takže je třeba ji nainstalovat pomocí:

rpm-Uvh - síla ./openssl-1.0.1e-16.el6.4.x86_64.rpm

INSTALACE NA VLASTNÍ NEBEZPEČÍ! LEHCE testován. ZIP soubor obsahuje zdrojový RPM stejně.

SHA512 Kontrolní součet:
a81e25067bf41038cbd73034dc31c05fa7a72d511686ef9d4ddb50913aa7
10776c3cad27d7ffe3e6dbcc4073e89714768327b6a2566bf2f4a5958791
ad7512d7 opensslrpms.zip

[1] http://www.openssl.org/news/secadv_20140407.txt
[2] http://www.openssl.org/news/vulnerabilities.html # 2014 do 0160
[3] http://heartbleed.com


Útok nebo Bad Link? Váš Guess?
8.4.2014 Kriminalita

Revize moje logy, našel jsem tento podivný požadavek:

GET HTTP/1.0 "302 154" - "" facebookexternalhit/1.1 (+ http://www.facebook.com/externalhit_uatext.php) "" 2a03: 2880:20:4 FF7 :: "

To vypadá jako platné žádosti z Facebooku. "Facebookexternalhit" se používá Facebook na obrazovku odkazy lidé vysílají na malware. Nicméně, spojení "nemá smysl". Není opravdu vypadat jako útok na mě, prostě divný. Nějaké nápady, jak k tomu může dojít?


"Power Worm" PowerShell založen Malware
8.4.2014 Viry

V posledních letech jedním z hlavních vylepšení v prostředí Windows PowerShell byl. S Unix stylu skriptovací schopnosti administrativní úkoly Automatizace okna se stávají možnými. Jednou z hlavních výhod PowerShell je, že je podpora většiny produktů společnosti Microsoft z MS Office aplikací podnikové úrovni, jako je MS SharePoint a MS Exchange.

Ale je možné použít PowerShell pro zlomyslné účely? Pokud si pamatujete Melissa, který byl napsán v MS Office makro, ale to bylo v roce 1999, je to ještě možné?

Podle Trendmicro [1] nový malware bylo zjištěno, že psaný v PowerShell. CRIGENT (aka Power Worm), TrendMicro zjistil dvě škodlivé soubory (W97M_CRIGENT.A a X97M_CRIGENT.A). Tyto soubory dorazil v infikované Wordu nebo Excelu souboru .

Malware stáhne a nainstaluje Tor a Polipo poté se připojit k velení a řízení serveru. Malware shromažďovat určité informace z přístroje uživatele (například IP adresa, výsady Uživatelský účet verze, šířky ...) a zaslat jej na jeho C & C serveru. Ve sčítání Power červ infikuje další soubory Word / Excel, zakázat makra upozornění a bude downgrade infikovaný soubor z Docx / XLSX Doc / XLS.

Nejlepší způsob, jak zastavit takové malware je zakázání makro a ne otevřít libovolný soubor z nedůvěryhodného zdroje.

[1] http://blog.trendmicro.com/trendlabs-security-intelligence/word-and-excel-files-infected-using-windows-powershell/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Anti-MalwareBlog+%28Trendlabs+Security+Intelligence+Blog%29


Dnes končí podpora Windows XP

8.4.2014 Zranitelnosti
Poté, co Microsoft dnes ukončí podporu operačního systému Windows XP, budou miliony uživatelů po celém světě podle expertů již brzy čelit útokům kyberzločinců.

Ode dneška Microsoft nebude vydávat žádné bezpečnostní aktualizace, takže se dá očekávat, že útočníci rychle začnou objevovat ve Windows XP díry, na které již nikdy nebudou dostupné záplaty. „Někteří kyberzločinci mají již díry nachystané a čekali na tento den,“ říká bezpečnostní analytik Chris Sherman ze společnosti Forrester Research. „Pokud byste o nějaké díře věděli, proč byste nepočkali?“

Útočníci budou zkoumat budoucí bezpečnostní záplaty vydávané pro Windows Vista a Windows 7, díky nimž získají představu o tom, zda podobné díry neexistují i ve Windows XP. Ukončení podpory Windows XP je potenciální problém pro společnosti, které více než deset let starý operační systém od Microsoftu mají nainstalovaný na desítkách počítačů. Podle odhadů Forresteru využívá XP asi 20 % firem, přičemž ve veřejném sektoru je to ještě více. S podobným odhadem přišla také společnost Fiberlink.

Otázkou je, proč firmy nechtějí na novější verzi Windows migrovat. „Některé firmy to jednoduše podcenily a některá oddělení IT pak na migraci nedostala finance,“ říká Michael Silver z firmy Gartner s tím, že řada organizací nebrala ukončení podpory Windows XP vážně. Nespočet firem navíc používá aplikace, které mohou běžet pouze na XP, jelikož jsou s novějšími verzemi OS nekompatibilní. Jiné společnosti nechtějí upgradovat kvůli ovladačům, jež nejsou dostupné na drahý hardware (například ve zdravotnictví), který používají.

Migrace zabere spoustu času, záleží to však především na prostředcích, která mají firmy k dispozici. „Můžete upgradovat 20 000 zařízení přes víkend – pokud máte 20 000 techniků,“ dodává Silver. Takovou migraci má za sebou například francouzská instituce EHESP, která upgradovala 600 počítačů z Windows XP na Windows 7 v jednom měsíci s pouze třemi „ajťáky“ a jedním konzultantem. Povedlo se jí to díky částečné automatizaci celého procesu za použití služby od společnosti Dell s názvem Migration Fast Forward Service.

„Po otestování kompatibility našeho softwaru jsme přešli ze starých počítačů na nové a z Windows XP na Windows 7 rychlostí asi 30 počítačů denně,“ řekl Gwendal Rosiaux z EHESP. „Jsem si naprosto jistý, že to byla ta nejrychlejší a nejlevnější varianta. Bez automatizace by to nešlo.“ Microsoft bude dodávat bezpečnostní aktualizace i po osmém dubnu, avšak pouze pro společnosti, které si připlatí za nadstandardní podporu. Oficiální ceník této služby neexistuje, podle analytiků to však bude okolo dvou set dolarů ročně na počítač, přičemž tato částka se bude každý rok zdvojnásobovat.


BlackBerry chystá BBM Protected pro šifrovanou výměnu zpráv

8.4.2014 Mobil
Společnost se snaží zabezpečenou variantu služby nabízet podnikům vyžadujícím vyšší úroveň zabezpečení komunikace. Nová služba by měla být spuštěna letos v létě.

„Ozývá se nám mnoho uživatelů zajímající se o bezpečnost, protože neexistuje žádná jiná služba, která může nabídnout takovou kombinaci zabezpečení a správy a současně ovládání na straně koncových uživatelů,“ prohlásil Thad White, ředitel divize BBM for Business.

Služba BBM Protected byla představena letos v únoru jako součást sady eBBM Suite, připravované řady produktů využívajících kombinaci aplikace BlackBerry Messanger, chytrých telefonů BlackBerry a serverů BES včetně nové verze 10. Ceny zatím zveřejněny nebyly, počítá se ale s měsíčním účtováním za uživatele.

Celá sada eBBM Suite představuje snahu BlackBerry o udržení stávajících uživatelů serverů BES, kterými jsou často státní a bezpečnostní organizace. Společnosti se totiž stále nedaří získat dostatek zájemců pro svou novou generaci smartphonů BlackBerry a nové verze serverů BBS 10. Podle oficiálních informací společnosti klesly prodeje serveru za poslední čtvrtletí loňského roku o 64 % a prodeje chytrých telefonů téměř o polovinu.

White připomněl, že služba BBM je v současnosti kromě telefonů BlackBerry k dispozici i pro uživatele smartphonů se systémy Android a iOS. Podle něj bude zabezpečená varianta nejdříve k dispozici pro přístroje BlackBerry a poté bude následovat podpora iPhonů a telefonů s Androidem, případně i s Windows Phone.

Šifrování a správu bude možno provádět pomocí serverů BES a BES 10, White se ve svém prohlášení o žádné jiné možnosti nezmínil. Podle něj chce společnost oslovit a udržet především stávající uživatele systému BES a získat nové uživatele pro BES 10.

Analytik Jack Gold z agentury J. Gold Associates komentoval otevření služby BBM pro systémy Android a iOS jako signál toho, že si společnost uvědomuje důležitost podpory více platforem. Proto je podle něj vhodné, aby byla šifrovaná varianta BBM Protected k dispozici i pro jiné servery než BES.

Podle Whita používá službu BBM 85 milionů uživatelů z celého světa, a to nejen těch firemních, ale i jednotlivců. BBM Protected by měl proto umožnit zabezpečenou komunikaci nejen v rámci jedné firmy, ale i s externími subjekty. Podobnou šifrovanou komunikaci nabízejí například i společnosti Cisco nebo Microsoft, podle Whita jsou ale tyto služby „omezeny na komunikaci uvnitř organizace a připojení externích účastníků vyžaduje složitou hierarchii pověření serverů.“ „Možnost bezpečně komunikovat uvnitř i vně je pro uživatele zásadní,“ dodal.


Microsoft začne blokovat těžko odstranitelný adware

8.4.2014 Viry
Společnost zpřísnila svá kritéria pro označení programů za adware a dala vývojářům tři měsíce na to, aby svůj software přizpůsobili novým požadavkům, jinak riskují jeho zablokování.

Největší změna v pravidlech Microsoftu, kterou je zablokování adwaru, vstoupí v platnost od 1. července. V minulosti mohly takové programy normálně existovat až do chvíle, než uživatel přistoupil na některé z opatření doporučované bezpečnostním softwarem.

Zajímavé je, že Microsoft zpřísnil pravidla ve stejnou dobu, kdy představil nástroje, které vývojářům usnadňují zakomponování reklamy do aplikací pro systémy Windows 8.1 a Windows Phone.

„Společnost přehodnotila svá kritéria pro označení aplikací, které se chovají jako adware, na základě principu, že by uživatelé měli mít plnou kontrolu nad svými počítači,“ řekl Michael Johnson z Microsoft Malware Protection Center.

Aby software nebyl identifikován jako adware, měl by zobrazovat pouze reklamu s viditelným tlačítkem pro vypnutí. Reklamy rovněž musí obsahovat název programu, v rámci kterého se zobrazují. Microsoft vývojářům pro tyto účely doporučuje použít klasický symbol „X“ či slovo „zavřít“. Podobně stručně by měl být pojat i název zdrojového programu.

„Používat jen zkratku či logo společnosti nestačí. Stejně tak nestačí uvést, že reklama není součástí dané webové stránky,“ upřesnil dále Johnson.

Dalším důležitým prvkem má být existence standardní metody na odstranění programu v ovládacích panelech Windows nebo z rozhraní prohlížeče. Program navíc musí ve Windows vystopovat pod jediným názvem.

„Od těchto změn máme velká očekávání. Věříme, že vývojáři díky tomu budou moci lépe upravit své reklamy a uživatelé zase dostanou větší kontrolu,“ řekl Johnson.

Adware uživatele obvykle obtěžuje při surfování po internetu a je velkým problémem již dlouhou řadu let. Vývojáři totiž uživatelům obvykle výrazně ztěžují odstranění adwaru z počítače. Často nepomohou ani různé bezpečnostní produkty.


Pětiletý se stal bezpečnostním výzkumníkem Microsoftu

7.4.2014 Bezpečnost
Chlapec se do Xboxu dostal přes chybu ověřovací obrazovky.

Pětiletý občan města San Diego byl oficiálně pochválen za své bezpečnostní schopnosti, když nalezl zranitelnost herní konzole Xbox firmy Microsoft. Rodiče Kristoffera Von Hassela si na počátku tohoto roku povšimli, že je přihlášen na účet Xbox Live svého otce a hraje hry, ke kterým by se neměl dostat.

Jak se ovšem ukázalo, neukradl svému otci jeho heslo, místo toho si všiml základní programátorské chyby (která je již podle představitele Microsoftu opravena). Po zadání nesprávného hesla byl Kristoffer přesměrován na obrazovku ověřující heslo. Zde prostě několikrát zmáčkl mezerník, Enter a již mohl pokračovat do otcova účtu. Tato metoda mu umožnila přistupovat nejen ke hrám, ale také ke kompletnímu obsahu Xboxu, včetně účtu na YouTube, který měl nastavené věkové omezení.

Otec malého hackera, Robert Davies, byl všímavostí či možná štěstím svého malého hackera nadšen a odmítá jakákoli obvinění, že mu v tom jakkoli napomáhal. Synova obratnost ovšem může být i genetického původu, zděděná po otci Robertovi. Ten pracuje jako bezpečnostní specialista u společnosti ServiceNow, která poskytuje cloudové služy.

Davies objev okamžitě oznámil do Microsoftu, který chybu ihned odstranil a současně přidal Kristofferovo jméno do svého březnového seznamu bezpečnostních výzkumníků, kteří objevili nějakou zranitelnosti v produktech Microsoftu. Krystoffer současně obdržel odměnu 50 dolarů, roční předplatné Xbox Live a čtyři hry.

To je ovšem poněkud méně, než s čím se lovci chyb mohou setkat. V rámci některých nových programů – honů na chyby – se ceny šplhají až na 100 000 dolarů za „skutečně inovativní techniku průniku“.


NSA se zaměřuje na sys administrátory na porušení počítačových sítí
6.4.2014 Špionáž

Nově analyzovat dokument od Edwarda Snowdena je trove ukazují, že NSA sbírá osobní a informace o účtu na správce systému a používá ji ke kompromisu svých počítačů, aby se přístup k sítím, které spravují.

"Vepředu, sys admini jsou obecně není můj konec cíl. Můj konec cílem je extremistická / terorista nebo vládní úředník, který se stane být prostřednictvím sítě některé správce se stará o, "vysvětluje autor dokumentu, údajně stejný síťový specialista na signálech agentury Intelligence ředitelství, které sestavil prezentaci o tom, jak agentura může identifikovat uživatele prohlížeče Tor. Tento dokument je sbírka příspěvků autor publikoval před dvěma lety na NSA interní diskusní fórum, a v nich on nebo ona vysvětluje, jak určit správce systému cílových sítí - především ty, které řídí zahraniční telefonní a internetové společnosti -., a to, co užitečné věci lze najít na svých systémů (síťové mapy, e-mailové korespondence, a tak dále), Intercept uvádí, že proces zjišťování začíná odkrývat IP adresy myšlenka být spojeny s sys adminy, pak odpovídající je s osobními účty (e-mail, Facebook, atd.), Jakmile je tato informace je známo, že agenti mohou hledat e-maily nebo příspěvky, které lze připsat k nim přes Google, nebo vyhledáním když "SIGINT koše". Jakmile si jisti, na cíle, které se snaží ohrozit jeho nebo její účet, prostřednictvím kvantové hacking technik - packet injection útoky, které přesměrovávají na cíl na servery sloužící využije. Není známo, zda agentura omezuje své zaměření na sys adminů na cizí státní příslušníky, nebo zda se zaměřuje na Spojené státy ty stejně. Jak je známo, je to, že vláda Spojeného království komunikační ústředí (GCHQ) používá již tento přístup úspěšně porušit několik Global Roaming Exchange (GRX) poskytovatelé služeb v Evropě.


Bitcoin aktualizace softwaru řeší transakce ID tvárnost chyby
6.4.2014 Zranitelnosti

Bitcoin jádra - stejně jako software Bitcoin infrastruktura byla přejmenována na, aby nedošlo k záměně s síti Bitcoin - byl aktualizován, aby se, mimo jiné, transakce ID tvárnost útoky mnohem obtížnější provádět. Pět chyb, které řeší tento konkrétní problém se byly provedeny v tomto novém (0.9.0) verzi softwaru, ale mnoho dalších byly začleněny do řešení otázek souvisejících s blokovat řetězec manipulace a skladování, hornictví, protokol a síť, hornictví, a tak dále. Instrukce jak nainstalovat Nejnovější verze nebo upgrade ze starší verze jsou také obsaženy v poznámkách k vydání . ID transakce tvárnost otázka byla nejpalčivější jeden, jak to vedlo k dočasné a / nebo trvalé uzavření některých populárních Bitcoin výměn, včetně toho z Mt. GOX, které údajně utrpěl velké ztráty při útocích, které se využívají slabosti. Společnost za výměnu podán návrh na konkurz ochranu v pozdním únoru, a uvedl, že 750.000 z bitcoins svých zákazníků a 100.000 z jeho vlastní bylo ztraceno. , ale ve čtvrtek přišli s nějakou dobrou zprávu, protože si zřejmě našel přibližně 200.000 bitcoins na "určité oldformat peněženky, které byly použity v minulosti a které, MtGox myslel, již držel nějaké bitcoins." Z bezpečnostních důvodů, které byly převedeny do režimu offline peněženky, a tyto pohyby byly hlášeny soudu dohlížet na konkurzní řízení. Vezmeme-li v úvahu existenci 200000 BTC, celkový počet bitcoins, které zmizely odhaduje se proto být přibližně 650,000 BTC, "poznamenal, že ve veřejném prohlášení , a dodal, že "důvody pro jejich zmizení a přesný počet bitcoins, který zmizel, je stále předmětem vyšetřování."


Microsoft přístup Hotmail odhalit vnitřní zrádce
6.4.2014 Špionáž
Tento týden nabíjení bývalého Microsoft zaměstnance za krádež obchodních tajemství společnosti mohla prošla takřka nebylo důležité detaily odhalila v soudním podání : aby zjistil jeho totožnost, Microsoft se uchýlili k loupení skrze soukromé služby Hotmail účet jiné osoby .

Alex Kibkalo, bývalý zaměstnanec společnosti Microsoft, který opustil firmu v roce 2012, údajně ukradl Windows 8 zdrojový kód, vývoj software výstroje, některé dokumenty a další soubory, a vložil ji do svého osobního Windows Live SkyDrive účtu. Poslal odkazy na soubory, a to jak přes Windows Live Messenger a na (v podání nejmenované), francouzský blogger, který byl známý pro úniku informací o tehdy ještě nevydané Windows 8. blogger chtěl potvrdit, že kód byl poslán byl skutečný, a tak se zeptal na nejmenovaného člověka v Redmondu, aby se na to podívat. Tento člověk se dostal do kontaktu s Microsoftem místo, a uvedl, že blogger používá Microsoft Hotmail e-mailovou adresu (nyní Outlook.com). Poté, co Microsoft potvrzuje, že kód byl jejich, oni dělali neortodoxní pohyb a přistupovat ke svému účtu služby Hotmail pro stopy . o Leaker po konzultaci s firmou úřadu dodržování právních předpisů a dostat zelenou Je dobré si uvědomit, že Microsoft neudělal nic nezákonného, ​​as Smlouva o poskytování služeb společnosti jasně uvádí , že:
 

Můžeme přistupovat nebo zveřejnit informace o vás, včetně obsahu vaší komunikace, za účelem: (a) v souladu s právními předpisy, nebo reagovat na zákonné požadavky nebo právní proces; (B) ochraně práv a majetku společnosti Microsoft nebo našich zákazníků, včetně vynucení našich smluv a zásad, jimiž se řídí vaše užívání služby; nebo (c) jednání v dobré víře, že je nezbytné takový přístup nebo zpřístupnění pro ochranu osobní bezpečnosti zaměstnanců společnosti Microsoft, zákazníků nebo veřejnosti.
Po předvídatelným a přirozeným protesty z obhájců soukromí, novinářům a veřejnosti po těchto odhaleních, John Frank, viceprezident a zástupce generálního poradce v Microsoft Office právní & Corporate Affairs šel do režimu "uživatelské obnovení důvěry" a publikoval blogu popisovat své rozhodnutí a budoucí akce v obdobných případech. Vysvětlil, že pracoval s donucovacími orgány v rámci tohoto šetření, ale že soudy nedělají vydávat rozkazy, kterým se někoho, kdo pro vyhledávání sami sebe. "Takže i když jsme, že máme pravděpodobnou příčinu, že to není představuje použitelný soudní proces k vyšetřování, jako je tento se týkají informací uložených na serverech umístěných na našich vlastních prostorách, "řekl. Tak se obrátil na právního týmu pro povolení. "Zatímco naše akce byly v rámci našich politik a rozhodném právu v této předchozím případě, chápeme obavy, že lidé mají," přiznal a vysvětlil kroky, které projdou-li podobný případ vznikne v budoucnu, včetně předložení důkazů, které mají na vnější právník, který je bývalý federální soudce a postupuje v souladu s jeho nebo její názor. Microsoft mohlo fungovat v mezích zákona při tom, ale je to určitě ironické, že Redmond gigant řadu let se vracela na veřejně o Google automatizované studoval obsahu Gmail s cílem sloužit příslušné reklamy, a pak vytáhl pohyb, jako je tento. co je jisté je to, že je pravděpodobné, že nejsou jediní. "Ačkoli popsal jako" mimořádné akce ", podobné incidenty poskytovatelů cloud služeb, přístup k našim důvěrná data jsou příliš časté. Problém je, že to je technicky legální činnost, která se všichni shodneme, když jsme se zaregistrovat na některé cloudové služby - ať už vědomě nebo ne, ". Poznamenal Charlie Howe, ředitel EMEA v Skyhigh Networks "Například, hádal bych, že většina lidí nejsou ve skutečnosti číst veškeré podmínky před použitím nové aplikace, a pravděpodobně by se překvapit tím, co oni jsou vlastně souhlasí, aby po klepnutí na tlačítko "přijmout" na některé cloudové služby. "


IBM uvádí na trh nový software a poradenské služby
6.4.2014 IT
IBM představila nový software a služby, které pomáhají organizacím využívat Big Data a Analytics řešit 3500000000000dolar ztratil každý rok podvodů a finanční kriminality. Díky sofistikované obchodní odborných znalostí a analýzy, může organizace přijmout holistický přístup k řešení finanční ztráty způsobené podvodem a zároveň chránit hodnotu svých značek.

Jako součást dnešních zpráv, IBM zahájila iniciativu "Chytřejší proti podvodům", vychází z odborných znalostí a inovací z více než 500 poradenských podvod odborníky, 290 podvodů spojených s výzkumnými patentů a 24000000000 dolarů investoval do softwaru a služeb společnosti IBM Big dat a Analytics schopnosti . Od roku 2005 Iniciativa rozšiřuje vedení společnosti IBM v Big Data a Analytics a Cloud pomoci veřejných a soukromých organizací předcházet, identifikovat a vyšetřovat podvodné činnosti. Dnešní oznámení přichází v době, kdy nová generace zločinců jsou pomocí digitálních kanálů - jako jsou mobilní zařízení , sociální sítě a cloud platformy - sonda pro slabosti a zranitelnosti. Tempo této hrozby i nadále urychlit -. Podvodného zneužití totožnosti ovlivněno více než 12 milionů lidí v roce 2012, což má za následek krádeže téměř 21000000000 dolar, a každý den americký zdravotnický průmysl ztrácí 650000000 dolarů v důsledku podvodných nároků a plateb Pro řešení těchto složitostí, IBM přináší nový software, který umožňuje organizacím získat lepší přehled a zaujmout proaktivní, celostní přístup k boji proti podvodům. To zahrnuje schopnost agregovat velkých objemů dat napříč řadou interních a externích zdrojů - včetně mobilní, sociální a on-line -. A aplikovat sofistikované analytické nástroje, které nepřetržitě sledují za podvodné ukazatelů Nové produkty mají pokročilé analýzy, které chápou non-zřejmé vztahy a spolupráce výskyty mezi subjekty, nových vylepšených technologií, vizualizace, které lze identifikovat a připojit falešné vzory blíže k bodu provozu, a strojového učení, které vám pomohou v budoucnosti předejít na základě předchozích útoků a chování. Přední analytici odhadují, že poptávka na trhu pro podvody a rizikové řešení se rychle zrychluje . Podle společnosti Gartner, 25 procent z velkých globálních společností, které přijaly velké analýzy dat po dobu nejméně jednoho cenného papíru nebo podvodu využití detekce případu, až z osmi procent dnes, a bude dosahovat pozitivní návratnost investic během prvních šesti měsíců realizace do roku 2016 . IDC odhaduje, že trh pro řešení finanční kriminality sám bude téměř 4700000000 dolarů v roce 2014, s 5,5 procenta CAGR během prognózovaného období 2014-2017. IBM je unikátní ve své schopnosti kombinovat trhu vedoucí software, služby a výzkumné schopnosti řešit plné spektrum podvodů a finančních trestných činů - z daňových úniků, praní špinavých peněz a kybernetických útoků na hrozby zevnitř organizace. Například, mohou nové nabídky detect cross-kanálový mobilní podvody a předcházet počítačové trestné činnosti předpokladů like phishingových podvodech. Mohou umožnit pojišťovně, aby přezkoumala tisíce pohledávek v reálném čase na základě vlajky potentially podvodné činnosti při oprávněné zpracování nároků rychlejší, nebo pomoc Globální banka přesněji odhalovat a vyšetřovat praní špinavých peněz na splnění shody s předpisy. boji proti podvodům Management Software: jediný dar, který sdružuje velké dat a analytických schopností IBM, aby pomohl organizacím agregovat data z externích a interních zdrojů a aplikovat sofistikované analytické nástroje k prevenci, identifikaci a vyšetřovat podezřelé aktivity. To zahrnuje analýzy, které chápou non-zřejmé vztahy mezi entitami, vizualizační technologie, která identifikuje větší vzory podvodu, a strojového učení, které pomáhají v budoucnosti předejít na základě předchozích útoků. Nabídka služeb v boji proti podvodům: Průmysl zarovnán služby, které kombinují poradenství, software IBM a . znalosti technologie, která pomůže klientům zlepšit jejich programy proti podvodům podvod objev aktiva: portfolio přizpůsobitelných majetku na výzkum vyvinul které používají analýzy zjistit, podvodu, plýtvání, zneužívání a chyby v datových náročných odvětví a funkcemi. Tato aktiva analýzu interních dat v organizaci pro měření chování, a pak porovnat výsledky ve specifických skupinách vrstevníků identifikovat anomálie, které indikují podezřelé aktivity. Na základě výsledků, doporučení vyšetřování je. zamezení podvodů jako službu: IBM nabídne čtyři úrovně pult možností podvodů jako službu - včetně hostingu, správy aplikací, chování Modeling & Scoring a Analytics & Referral generace - které používají předplatné -model založený na dávají klientům flexibilní možnosti, které odpovídají jejich obchodním potřebám a technické požadavky. Proti podvodům centrum IBM o způsobilosti dává klientům globální přístup k odborným znalostem, včetně podvodů odborníků v oboru, pokročilé analytické schopnosti a technických implementačních služeb.


0-day Microsoft Word chyba využívány v cílených útoků
6.4.2014 Zranitelnosti
Microsoft vydal poradní upozornění zabezpečení vzdáleného spuštění kódu, který je využíván v "omezených cílených útoků zaměřených na aplikaci Microsoft Word 2010." Tato chyba ovlivňuje všechny podporované verze aplikace Word.

Počítače uživatelů mohou být ohroženy, pokud se otevře speciálně vytvořený soubor ve formátu RTF pomocí verze aplikace Microsoft Word, nebo se náhled nebo otevře speciálně vytvořenou ve formátu RTF e-mailové zprávy v aplikaci Microsoft Outlook při použití aplikace Microsoft Word jako e-mailový prohlížeč. Microsoft Word je výchozí e-mailový čtenář v aplikaci Microsoft Outlook 2007, Microsoft Outlook 2010 a Microsoft Outlook 2013. využívání této zranitelnosti může mít za následek útočník získává uživatelskými právy správce na stroji (tj. úplnou kontrolu systému) v případě, že uživatel používá admin účtu. "Ve webovém útoku, útočník mohl být hostitelem webu, který obsahuje webovou stránku, která obsahuje speciálně vytvořený soubor ve formátu RTF, který se používá, aby se pokusili tuto chybu zabezpečení zneužít. Navíc, dané weby a weby, které přijímají nebo hostit materiál poskytovaný uživateli a reklamu nebo by mohly obsahovat speciálně vytvořený obsah zneužívající tuto chybu zabezpečení, "vysvětlili. Uživatelé mohou zlákat k návštěvě těchto webových stránek prostřednictvím nevyžádaných e-mailů a IM. Naštěstí pro všechny, kteří se bojí o terčem, Microsoft má k dispozici Fix to nástroj, který zabraňuje chyba být využit, alespoň dokud je vydán trvalý fix. Pokud z jakéhokoli důvodu nechcete používat Fix It, existuje několik možných řešení pro dočasné řešení problému (viz pod "Doporučené postupy"). Žádné další podrobnosti o probíhajících útocích byly sdíleny. Je známo pouze to, že tři osoby z týmu Google Security Team ohlásil chybu.


10000 uživatelé GitHub nechtěně odhalí své AWS tajné přístupové klíče
6.4.2014 Hrozby
GitHub vývojáři, kteří jsou také uživatelé Amazon Web Services se doporučuje zkontrolovat kód, které zveřejněn na svých stránkách projektu a odstranit tajné klíče pro přístup k jejich účtu AWS mohou zaslali neúmyslně.

"Při přístupu AWS programově, můžete ověřit svou identitu a identitu svých aplikací pomocí přístupového klíče. Přístupový klíč se skládá z přístupového klíče ID (něco jako AKIAIOSFODNN7EXAMPLE) a tajný přístupový klíč je (něco jako wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY ), "je to vysvětleno v AWS "Best Practices pro správu AWS Klávesové zkratky dokument. "Každý, kdo má svůj přístupový klíč má stejnou úroveň přístupu k vašim zdrojům AWS, které děláte. Proto jdeme do významných délek chránit své přístupové klíče , a v souladu s naším modelem sdílené odpovědnosti, měli byste stejně. " Ale někteří uživatelé byli laxní, pokud jde o ochranu jejich klíče. "Viděli jsme pár případů, kdy zákazníci odeslali omylem svá přístupová kořenového klíče k veřejnému kódu repozitáře, proto doporučujeme minimalizovat svou plochu bezpečnostní odstraněním (nebo ne), vytvoření přístupových kořenové klíče dohromady, "které je uvedeno v nedávném blogu. Klávesy jsou snadno zjistitelné pomocí jednoduchého GitHub vyhledávání a, v závislosti na Ty Miller, zakladatel penetrační testování firma Threat Intelligence, téměř 10.000 z nich lze v současné době nalézt na populární hostingové služby pro softwarových projektů. Když vysvětlil IT News Austrálie, udělal vyhledávání a testován jeden z objevených klíče, aby zjistili, zda má přístup účet AWS a nepořádek s ním. A udělal - on nahrál a poté se termín smaže soubor z účtu. On říká, že to mohl udělat mnohem horší. "Pokud se jedná o vývojáři, kteří vytvářejí aplikace pro podniky a korporace AWS klíče unikly - byste mohli jít a odstranit celý svůj životní prostředí," podotkl. generální ředitel Securosis Rich Mogull byl jedním z lidí, kteří, přes naprostý chybí- smýšlení, zapomněl odstranit jeho AWS tajný klíč od kódu se zveřejněné na GitHub. A útočník ho objevil a používal to, aby běžet až 500 dolarů poplatků. Podobný problém byl označen na začátku tohoto roku, kdy GitHub nový vyhledávač odhalila hesla a soukromé šifrovací klíče, které neopatrný vývojáři zapomněli odstranit z jejich kódu. Ke zmírnění chyby, jako jsou tyto, GitHub vytvořila a pravidelně aktualizuje uživatelskou příručku pro důkladně odstranění citlivých dat z jejich git repozitáře. Mezitím, AWS se doporučuje , aby uživatelé vytvořit uživatele AWS správa identit a přístupu (IAM) s přístupovými klíči namísto vytvoření klávesové zkratky pro jejich Účet root.


Basecamp dostane DDoSed a vydíral
6.4.2014 Počítačový útok
Basecamp, dříve známý jako 37signals, se podařilo z velké části zmírněn DDoS útok který začal dnes (24. března), ve 08:46 centrálního času, a které z jeho služeb k dispozici pro uživatele po dobu několika hodin.

"Cílem je, aby se Basecamp, a zbytek našich služeb, nedostupných tím, že zaplaví síť s falešnými žádostmi, takže nic legitimní může projít. Tento útok byl zahájen spolu s pokusem o vydírání, které se snažila, abychom zaplatit, aby se zabránilo tento útok , "Basecamp David Heinemeier Hansson je vysvětleno v příspěvku na GitHub. "Všimněte si, že tento útok se zaměřuje na síťové propojení mezi našimi servery a internet. Všechna data jsou v bezpečí a zdravé, ale nikdo není schopen dostat se do něj tak dlouho, dokud útok . je úspěšně proveden To je jako parta lidí, kteří blokují přední dveře a nedopustit vás do svého domu Obsah vašeho domu jsou v bezpečí -.. si prostě nemůžete dostat, dokud se dostat z cesty " společnost odmítla zaplatit útočníka, a jejich šetření bylo zjištěno, že v posledních několika týdnech, stejné zločinci byly montážní tento typ útoku proti Fotolia, Setkání v GitHub, a mnoho dalších. "My jsme spojily své úsilí v oblasti vymáhání práva s ostatní oběti teď, a pracuje se stejným agentem na případu. Zatímco pátrání po těchto zločinců je notoricky těžké, budeme dělat naše nejlepší postavit je před soud, "řekl a dodal, že ve většině případů vydírání poznámka přišel z adresy odpovídající vzoru Dari *** @ gmail. com . útok se v současné době výrazně zpomalil, a většina služeb společnosti lze přistupovat uživatelé. Přesto to neznamená, že útočníci se neobnoví ji. "Další oběti nám vyprávěl o tom, jak by útočník převzít přestávka, a zkuste to znovu později s jinou metodou, "sdílel. počáteční útok dosáhl 20Gbps, ale podle dřívějších obětí, mohou útočníci ještě lépe než to. Hansson říká, že 95 procent všech zákazníků, mohou nyní přístup služby, ale že jejich servery "se napínat trošičku pod masivní zatížení zadržovanou poptávku," tak oni mohou očekávat nějaké zpomalení. "Pokud útok pokračuje, budeme psát kompletní pitvu do 48 hodin," řekl uzavřena.


NSA ohroženy servery Huawei, špehoval své vedení
6.4.2014 Špionáž
Po celá léta, americká vláda byla velmi hlasitý o jeho nedůvěry čínský telekomunikační gigant Huawei, ostře blokování akvizice a převzetí, které by umožnily, aby společnost získat více půdy na americké půdě a nutí některé zahraniční vlády, aby přijaly stejný postoj. Oni věřili - a ještě dělat -., Že Huawei měl přímé styky s čínskou vládou, a by vložte zadní vrátka do svých produktů, aby špehovat Američany Přes to všechno, a ve světle všech nedávných odhalení o špionážní činnosti nestátních subjektů, neměl by přijít jako překvapení, že po celou dobu, US rozvědka byla hrabající hluboko přesně v sítích, které společnosti. Podle The New York Times , NSA se podařilo ohrozit servery v Shenzhen ústředí Huawei, dostat své ruce v podobě zdrojového code a další informace o populárních síťových zařízení společnosti, a sledovat komunikaci ze společnosti CEO Ren Zhengfei a předsedkyně představenstva Sun Yafang. operace byla kódovým označením "Shotgiant," a sahá až do roku 2009, jeho údajný cíl bylo zjistit, zda Huawei měl vazby na lidové osvobozenecké armády (zakladatel a CEO společnosti Huawei býval PLA inženýr). ale jiný, možná ještě důležitější cílem bylo najít způsob, jak dospět ke kompromisu technologii společnosti, jak je používán po celém svět. "Mnozí z našich cílů komunikovat přes Huawei vyrábí produkty," uvedl dokument NSA sdílena Edward Snowden. ". Chceme, aby se ujistil, že víme, jak využít tyto produkty získat přístup k sítím v zájmu" Huawei je největší telekomunikační zařízení výrobce na světě - to vyrábí síťová zařízení, chytré telefony a tablety, optický kabel, a další - a je přímým konkurentem amerických "Cisco Systems. Americká vláda opakovaně uvedl, že nevykonává hospodářskou špionáž, a že oni nesdílejí inteligenci, které shromažďujeme s americkými společnostmi "zvýšit svou mezinárodní konkurenceschopnost a zvýšit jejich spodním řádku." Bohužel , ztratili hodně ze své důvěryhodnosti v posledním roce nebo tak nějak, a to poslední zjevení je jen další hřebík do rakve. I když by bylo naivní si myslet, že Spojené státy dělají to, co ostatní vlády nemají, věc se všemi tato zjevení je, že strhnout obraz americká vláda byla budova sama o sobě po celá desetiletí. Der Spiegel rovněž zveřejnila zprávu o týchž dokumentů, a oni říkají, že spolu vtip Huawei, US zpravodajská agentura zaměřená také bývalý čínský prezident Hu Ťin-tchao, Čínské ministerstvo obchodu, banky, jakož i další telekomunikační společnosti. Také, že Shotgiant provoz byl podporovaný koordinátora Bílého domu inteligence a FBI. To je zajímavé poznamenat, že žádný z těchto dokumentů se konečně říci, zda Huawei je vázána na PLA nebo čínská vláda. "Pokud taková špionáž byla skutečně provedena, pak je známo, že společnost je nezávislý a nemá žádné neobvyklé vazby na jakékoli vládě a této znalosti by měly být předávány veřejnosti, aby ukončila éru mis- a dezinformace, "komentoval Huawei mluvčí Bill Plummer. "Pokud je to pravda, ironie je, že přesně to, co děláte, je pro nás to, co vždy platí, že Číňané dělají skrze nás."


Palo Alto Networks získat Cyvera
6.4.2014 IT
Palo Alto Networks oznámila definitivní dohodu o převzetí Cyvera, soukromě vlastněná kybernetické společnost se sídlem v Tel-Avivu v Izraeli. Podle podmínek dohody bude Palo Alto Networks získání všech nesplacených základním kapitálu Cyvera za celkovou kupní cenu ve výši přibližně 200 milionů USD. Akvizice by měla být dokončena v druhé polovině fiskálního roku 2014, podléhá obvyklým podmínkám a regulačních recenze. Cyvera, který má 55 zaměstnanců, vyvinula nabídku, která chrání podniky před počítačovými hrozbami pomocí jedinečný přístup k blokování neznámé, nula -day útoky na koncový bod. doplnění této jedinečné schopnosti k zabezpečení podnikové platformy Palo Alto Networks se rozšíří schopnost zákazníků bezpečně umožní aplikacím a chránit uživatele před známými a neznámými kybernetických hrozeb na jakémkoliv zařízení, přes jakoukoliv síť. Mark McLaughlin, Prezident a generální ředitel společnosti Palo Alto Networks komentuje: "Tato událost představuje klíčový mezník v naší strategické podnikové bezpečnostní vize se rozšiřuje naše další generace bezpečnostní platformu s velmi inovativním přístupem k předcházení útokům na koncovém To nám umožňuje urychlit dodávku.. na trhu je jen velmi integrované a automatizované bezpečnostní platformu podnikové zahrnující síť, koncové body, a mrak. Pro ​​zákazníky, to znamená do nejdůmyslnější a automatizované prevenci hrozeb pro celou organizaci.


New nezisková proti internetovým starty kriminality
6.4.2014 Kriminalita
Odborníci a firmy v informační bezpečnosti průmyslu tvořily pevné základy domény (SDF), neziskovou, veřejně řízené organizace oddaný k identifikaci a prevenci internetové počítačové kriminality s využitím DNS.

Zahájen v ICANN 49. veřejné zasedání, SDF je podpořena některé z odvětví předních bezpečnostních informací firem a organizací, včetně: (. Spolupráce) Facebook, Verizon, Verisign, Enom, Name.com, CIRA (. Ca), CO internetu, CrowdStrike , APWG (Anti-Phishing Working Group), objevující se hrozby, ESET Anti-Virus, DomainTools, Internet Identity, Cocca, Mailshell, Blacknight Solutions, popředí bezpečnost, a skupina SecDev. Založený bezpečnostní výzkumník Chris Davis zodpovědný za identifikaci Mariposa botnet, domény odborník a jeden ze sedmi keyholders na bezpečném kořenové zóně Norma Ritchie, a ctihodný kdo je kdo dobrovolníků a poradců z celé bezpečnostních a domény průmyslu, SDF byla vytvořena s cílem zabránit trestné zneužívání v oblasti průmyslu. SDF bude poskytovat no-náklady na nástroje, technologie, výzkum a bezpečnostní informace na úvodní segmentu trhu název internetové domény registrátoři, registry, provozovatelů ccTLD a gTLD operátorů. V nadcházejících měsících, SDF plánuje rozšířit služby poskytovatelů hostingu, provozovatelé DNS, CERTS, vymáhání práva a ostatních provozovatelů internetové infrastruktury. Zločinci již dlouho používají doménová jména pro řízení botnetů, distribuovat malware, a ohrozit nic netušící návštěvníky. API produktu SDF umožňuje svým uživatelům získat okamžitý "bonity", založené na bezpečnostní pověsti a kontaktní validaci dat. To je užitečné zejména v doménových jmen transakcí, jako například vytvoření nového účtu, registrace domény, a rekordní aktualizace. "ICANN nedávno pověřila, že registrátoři domén musí ověřit poštovní adresy, telefonní čísla a e-mailové adresy, které jsou k dispozici jako kontaktní informace při registraci domény proces, "řekl Norm Ritchie, předseda SDF. "Mnoho nových gTLD registry se zavázaly přijmout aktivnější roli v boji proti zneužívání domén v jejich TLD. SDF poskytuje zcela zdarma službu, která ověřuje nejen registračních údajů kontakt poskytované ale také umožňuje registrátor a registru vědět, jestli jsme viděli, že data použitá v minulosti ve vztahu k počítačové kriminalitě. " "Rightside byl časný zastánce SDF a její poslání. Během posledních dvou let, SDF byl tiše a obratně sestavování rozsáhlou databázi o škodlivých domén a herců. Bylo to vynikající zdroj pro nás. Jsme velmi hrdí a rádi, že se partnerem Secure nadace domény a těšíme se na začlenění validace kontaktní údaje služby do našich registrace domén procesů, "říká Wayne Maclaurinův, CTO Poptávka mediálních společností ENom, Name.com a Rightside registru . "Za naší aktuální nabídce nástrojů a služeb, jsme také věnována zvyšování nákladů a rizika počítačové kriminality," řekl Chris Davis, prezident SDF. "S našimi partnery budeme analyzovat stovky tisíc vzorků malwaru denně a aktivně spolupracovat s registry, registrátorů a poskytovatelů hostingu na odstavení trestní velení a řízení infrastruktury. zaměstnanci a výzkumní pracovníci dobrovolnických a analytici neúnavně stanovit trestní uveďte autora inteligenci správné světovými organizacemi činnými v trestním řízení a pomoci, aby tyto zločince před soud. "


Uživatelé Gmailu dostat plný, vždy-na HTTPS
6.4.2014 Zabezpečení
Google učinil dobře na jeho slova a zavedl výchozí šifrování všech uživatelů Gmailu. "Od dnešního dne bude Gmail vždy použít šifrované připojení HTTPS při kontrole, nebo poslat e-mail," Nicolas Lidzborski, Gmail Security Engineering Olovo, společná minulý týden. "Dnešní změna znamená, že nikdo nemůže poslouchat na vaše zprávy, jak jdou tam a zpět mezi vámi a Gmail servery-bez ohledu na to, zda používáte veřejné Wi-Fi nebo se přihlásit ze svého počítače, telefonu nebo tabletu."

"Kromě toho, každý e-mailovou zprávu posíláte nebo přijímáte-100 procent z nich, je šifrována a pohybuje se uvnitř. To zaručuje, že vaše zprávy jsou bezpečné nejen tehdy, když se pohybují mezi vámi a servery Gmailu, ale také, jak se pohybují mezi daty společnosti Google center, něco, co jsme udělali nejvyšší prioritu po odhaleních v létě letošního roku, "řekl vysvětlil , se zmiňovat o špionáži odhalila NSA informátorů Edward Snowdena. vždy-na HTTPS znamená, že Gmail bude trochu pomalejší pro uživatele, ale ne moc. Také nová bezpečnostní opatření chrání e-maily pouze tehdy, pokud odesílatel i příjemce používají Gmail, jako většina ostatních poskytovatelů e-mailových neměl zahrnovat stejnou ochranu. Konečně, Lidzborski doporučuje uživatelům, aby zvážila další způsoby, jak udržet sebe v bezpečí, zatímco pomocí své e-maily účtu, jako je například výběr silných hesel a které umožňují ověření 2-step.


Jednání s katastrofou - Short Malware Incident Response

6.4.2014 Viry

Měl jsem klienta, zavolejte mi v poslední době se plné výpadku služby - jeho servery nebyly dosažitelné, jeho VOIP telefony, dávali mu více statický než hlas, a jeho Exchange server nebyl odesílání nebo přijímání pošty - skoro všechno bylo v režimu offline. I VPN'd v (nebyl jsem na místě), a začal s firewallem, protože to bylo dost špatné, že je to vše, co jsem mohl nejprve dostat z relace VPN. Žádné překvapení, viděl jsem tisíce událostí za sekundu, létání, co vypadalo jako:

Takže hned to vypadá jako malware, vysílání na UDP portech 137 a 138 (NetBIOS Name služeb a datagramů). Můžete'' ll obvykle mají nějakou úroveň těchto téměř jakékoli síti, ale objem v tomto případě dost DOS vysoká téměř vše, co jsem měl to štěstí, aby mé SSH sezení (viz níže), bude dost dlouho, aby si věci pod kontrolou . A ano, to jsem byl já, který byl za pondělní příspěvek na toto téma, pokud to zní povědomě Chcete-li získat síť do jisté zdání použitelnosti, ssh'd jsem každý spínač v pořadí a dal vysílání limity pro každý port přepínače:

Na Cisco:
rozhraní gigabitethernet0 / x
úroveň bouře-ovládání vysílání 20 (20 procent)
nebo
na úrovni broadcast storm-control 100 pps (paketů za sekundu) na HP ProCurve: rozhraní x vysílací limit 5 (kde x je procento Celková možná doprava) na HP Comware: int koncert x/0/y vysílání potlačení pps 200 nebo bouře-Zachovat vysílání pps 200 200 (můžete udělat to v procentech, jak dobře, pokud budete chtít)
 

Kde mohu, snažím se dělat to v paketech za sekundu, takže diskuse s klientem může být "Samozřejmě jsme vypnout tento port se -. Není výrobní provoz v prostředí, které by měly generovat více než 100 přenosů za sekundu"

S tím udělal, jsem se mohl dostat na server syslog. Potřebovali jsme rychle-a-špinavé seznam infikovaných hostitelů, v pořadí, kolik žalu byly příčinou.

Za prvé, pojďme odfiltrovat záznamy o zájmu - vše, co má broadcast adresu a odpovídající netbios portu v něm - to je hostitel okna, takže budeme používat příkazy pro Windows (plus některé příkazy GNU):

typ syslogcatchall.txt | najít "172.xx.yy.255/13"

Ale my opravdu nechceme celou syslog záznam, a tento krátký filtr nám stále zůstává s tisíci akcí projít Pojďme zúžit: za prvé, pojďme používat "cut" vytáhnout jen zdrojovou IP z těchto událostí zájem.
 

cut-d ""-f 7

Bohužel, toto pole obsahuje i zdrojový port, takže pojďme odstranit, že pomocí "/" jako pole delimeter, a vezměte si pouze zdrojovou IP adresu (pole jedno)

cut-d "/"-f 1

Použijte třídit a uniq-c (-c vám dává počet pro každou zdrojovou IP)
a pak použít třídění / r udělat reverzní druh založený na počtu záznamů všeho dohromady, dostaneme:

Typ syslogcatchall.txt | najít "172.xx.yy.255/13" | cut-d ""-f 7 | cut-d "/"-f 1 | sort | uniq-c | sort / r> infected.txt

To nám dalo soubor 15 řádek, seřazená tak, že nejhorší pachatelé byli na vrcholu seznamu, s počtem záznamů pro každého. Můj klient se těchto 15 stanic v režimu offline a začali hands-o posouzení a "atomovku z oběžné dráhy" rutinní na ně, protože jejich AV balíček nezachytil problematický malware. Co ještě můžeme naučit během tohoto incidentu?

Pracovní stanice by nikdy neměla být na serveru VLAN.
Každý portu přepínače potřebuje základní zabezpečení nakonfigurován na něj (broadcast limity dnes)
a souvisejících, avšak ne přímo souvisejících lekce ...

Jejich hostem bezdrátové sítě byl použit jako základna pro stahování torrentů
Jejich hostem bezdrátové sítě měl také infikované pracovní stanice (my vyskočila Shun na firewallu pro tento jeden).
Jejich server syslog nebyl byl záplatovaný WSUS - že chudí serveru neviděl patch od prosincového Patch Tuesday

Co nám chybí?
Než jsem se dostal místě vám infikované počítače byli všichni znovu zobrazen, takže jsme neměli šanci posoudit skutečný malware. Nevíme, co to dělá kromě této vysílací činnosti, a nemají žádný dobrý způsob, jak pro práci, pro jistotu, jak se dostal do životního prostředí. I když od té doby to destilovaný až na jednu infikovanou notebooku, můj odhad by je to malware, který sebrali doma, ale to je jen odhad v tuto chvíli. Jen poznámku na okraj, ale důležitý - řez, uniq, sed a grep jsou na syslog server, pokud je hostitel * nux, ale pokud narazíte syslog na Windows, tyto příkazy jsou stále do značné míry musíte mít. Jak můžete vidět, s těmito příkazy jsme byli schopni pálit několik milionů záznamů až 15 použitelné, žalovatelné řádků textu během několika minut - opravdu cenný sada nástrojů a dovedností, aby se v případě nehody. Společnost Microsoft poskytuje tyto nástroje ve své "SPU" - Subsystém pro unixové aplikace založené, který byl k dispozici již mnoho let a téměř všechny verze systému Windows. Nebo pokud potřebujete shodit jen některé z těchto příkazů na serveru během incidentu , zvláště pokud nemáte vlastní, že server, můžete dostat to, co potřebujete od gnutools (gnuwin32.sourceforge.net) - Pořád to soupravu na mém notebooku právě pro tento druh situací. Jakmile se dostanete na kloub pomocí těchto nástrojů , zjistíte, že vaše prsty budou typu "grep", místo nálezu nebo Findstr v žádném okamžiku!


Patch Tuesday pre-oznámení - XP oficiálně stává nepřítel příští týden
6.4.2014 Zranitelnosti

Microsoft zveřejnil svůj pravidelný pre-oznámení pro Patch Tuesday zde: http://technet.microsoft.com/en-us/security/bulletin/ms14-apr

Můžeme očekávat, že:

Konečné, ano konečné záplaty pro XP
Konečné záplaty pro Office 2003 i - to dostal mnohem méně než stiskněte XP, ale je stejně důležitá (http://office.microsoft.com/en-ca/help/support-is-ending-for-office-2003 -HA103306332.aspx)
Běžné opravy na ostatních verzích systému Windows a IE
Pár aktualizací WSUS a Windows Update. Změny systému Windows Update často za následek úterních aktualizacích příštích dvou částí - uvidíme v úterý Myslím, že
Takže po úterý XP a Office 2003 vstoupit do řad "internetu nepřátelských věcí" - platformy, které již nejsou záplaty dodavatelem jak vznikají nové problémy, takže se rychle stávají ohrožena. To zahrnuje věci jako na televizoru, DVR nebo domácí směrovač internetu, lednici, treadmill, IV čerpadla srdce Monitor nebo kardiostimulátoru - Oh, a pravděpodobností vaše i telefonicky - přečtěte si naše příběhy během posledních pár měsíců (nebo let opravdu ) pro více informací o nich. Bohužel, toto XP událost stane, vše naráz - miliony nepřátelských hostitelů jsou přidány do nepřátelské armády najednou.

Naštěstí, můžeme s tím něco udělat. Aktualizace pro systém Windows 7 a 8 je levné, je-li váš hardware je na tento úkol. Pokud máte starší hardware, vidím používá Windows 7/8, který je schopen desktop hardware za $ 100 - 200 dolarů v těchto dnech, a notebooky se zdají být ve stejném rozsahu. Pokud se chystáte na novou platformu Windows není ve vaší budoucnosti, jste pravděpodobně již při pohledu na jednoho z nejpopulárnějších distribucí Linuxu - distribucí like Unbuntu, nebo Xubunto nebo mincovna, které se snaží napodobit uživatelské rozhraní, které mnozí domácí uživatelé jsou obeznámeni s . Tam je podobný řada možností pro Office (upgrady a alternativ).

Použijte náš komentář formulář a dejte nám vědět, co děláte, nebo jste udělal pro uživatelskou komunitu (nebo rodinných příslušníků), které by mohly být stále na XP nebo Office 2003 po úterý.


Tyto podivné e-maily s adresami URL v nich může vést k Android malware
6.4.2014 Mobil

Pravděpodobně jste dostali některé z těchto e-mailů v průběhu několika posledních měsíců (Viděl jsem první z tohoto druhu nejnovější na začátku února), dostali jsme jeden na manipulátory seznam dříve tento týden, který podnítil tento deník. Zdá se, že docela neškodné, mají malý nebo žádný text a URL, jako je uvedeno níže.

Poznámka: výše uvedený odkaz nevede k malware už, tak jsem se zakrýt to.

Většina se zdají být zaslány z Yahoo! (nebo Yahoo! souvisejících e-mailových adres), takže mohou být přichází z adres, které byly napadeny v rozporu s Yahoo! zpět v lednu. Zvláštní věc na tom je, že pokud budete postupovat podle URL z Linuxu, Windows a Mac dostanete spammy stránky (Nevzpomínám si, jestli to bylo kanadské lékárny, nebo co), ale to, co můj kolega na $ dayjob (všechny zásluhu na Stan), zjistil, je, že pokud jste otevřeli e-mail, na zařízení se systémem Android (nebo následovat odkazy se systémem Android User-agent a referencí), toto místo vede ke stažení nejnovější verze DroidNotCompatible Android malware (což je samo o sobě, a zajímavé vzorek, ale nechám, že pro další deník). První URL vedla k 302 přesměrování na stránku, která zahrnovala škodlivý APK v meta tagu refresh. Můžete změnit uživatelského agenta řetězec s-U spínače wget nebo-Přechod na kroutit, pokud si chcete vyzkoušet popadl věci z Linux / Unix příkazovou řádku (což je, samozřejmě, jak jste všichni surfovat po internetu stejně, že jo?).

Odnést, pokud je tam jeden, je to, že při sledování podezřelých adres URL, ne jen předpokládat, že stránka není zajímavá jen proto, že nic špatného se stalo, když jste se na to díval ze svého obětního prohlížení prostředí (všichni máte jeden z nich, zda vám si to uvědomuje nebo ne, špatná zpráva je, že může být vaše hlavní systém). Zkuste s dalšími uživatelskými agenty (a / nebo referencí) a uvidíme, co se stane. Máte sbírku svých oblíbených User-Agent řetězce byste chtěli používat? Není-li dostatečný zájem, snad dáme do stránky buď zde na hlavní stránce nebo přes na manipulátory serveru se některé z více užitečných ty.


Hrozby Finanční kybernetické v roce 2013. Část 1: phishing

4.4.2014 Analýza
Zdroj: Kaspersky
Úvod: Peníze a rizika ve světě, multi-zařízení
Finanční útoky: znepokojující trend
Bližší pohled na finanční phishing cíle
Hlouběji do dynamiky útoků
Phishing proti OS X: první náznaky rostoucí hrozbou
Úvod: Peníze a rizika ve světě, multi-zařízení

To bylo docela málo let, co útočníci začali aktivně krást peníze z uživatelských účtů v on-line obchody, e-platebních systémů a on-line bankovních systémů. Nicméně, pro většinu z té doby koule finančních podvodníků "činnosti byl omezen řadou faktorů, zejména relativně omezený rozsah elektronických platebních nástrojů.

V uplynulých letech, elektronické peníze roste na významu. Pohodlí a univerzální přístupnost elektronických platebních systémů a on-line bankovních služeb přiláká obrovské množství uživatelů, a v mnoha zemích banky a finanční instituce jsou vážně zvažuje úplné přerušení peněžních toků ve prospěch bezhotovostních plateb. 2013 Průzkum provedený International B2B ve spolupráci se společností Kaspersky Lab také ukazuje rostoucí popularitu digitálních platby: 98% respondentů uvádí, že pravidelně používají on-line bankovnictví nebo platebních systémů, nebo nakupovat on-line.

Tento rostoucí obliba bezhotovostních transakcí je doprovázen rostoucím počtem přístrojů, na kterých lze provádět finanční transakce. Jak se ukázalo ve stejném průzkumu, PC a notebooky jsou stále "hlavní" zařízení, ze kterých mohou uživatelé přistupovat finanční služby: 87% respondentů uvedlo, že provádějí operace zahrnující elektronické peníze pomocí stolního počítače nebo notebooku. Nicméně, podíl mobilních zařízení používaných pro stejné účely je podstatné: 22% a 27% dotázaných, resp používat tablety či chytré telefony pro některé finanční operace.

Samozřejmě, že tyto trendy přitahuje nežádoucí pozornost. Dramatický růst počtu uživatelů všech typů platebních systémů přilákala zločinci, a oni investují stále rostoucí zdroje do podvodů, se kterými se mohou poprvé získat přístup k finančním údajům uživatelů a pak do jejich skutečné peníze. Přestože finanční útoky patří mezi nejsložitější a dražších typů útoků, které jsou také velmi lukrativní, protože jakmile úspěšný, poskytují přímý přístup k penězům obětí. Jakmile je on-line bankovní účet přístup, vše, co zůstává, je, aby se peníze a peněžní ji do, zatímco malware spisovatel nebo majitel botnetu navržen tak, aby spuštění DDoS útoky nebo rozesílat spam má stále najít klienty ke koupi své služby.

Za více než 16 let, společnost Kaspersky Lab vyvinula nástroje na ochranu proti všem druhům kybernetických útoků, včetně finančních útoků. Vývoj takových technologií je nemožné bez rutinní podrobné analýzy nových vzorků malwaru, sociální inženýrství a dalších nástrojů používaných zločinci se podílejí na finančním podvodům. Jedním z nejobecnějších závěrů, které lze vyvodit z této analýzy je, že na rozdíl od mnoha jiných typů útoků, finanční útoky škodlivého softwaru typicky obsahovat velmi rozmanitou sadu nástrojů - od phishingových stránek napodobovat legitimní webové stránky finančních institucí, k využití zranitelných míst v populární software a psaní na míru škodlivých programů.

Protože finanční kybernetické útoky jsou složité, analýza toho, jak mají dopad bezpečnosti uživatele vyžaduje komplexní přístup. To je důvod, proč při přípravě této zprávy, odborníci společnosti Kaspersky Lab považován za hrozby Windows podél hrozeb zaměřených na OS X a Android; "Specializované" malware, stejně jako ostatní programy, které jsou potenciálně schopné krádeže finančních údajů; a to nejen šíření nebezpečných trojské koně, ale také phishingové útoky, které mohou být účinným nástrojem pro koaxiální cenné finanční údaje z neopatrných uživatelů. Podle názoru společnosti Kaspersky Lab, tento komplexní přístup je jediný způsob, jak dosáhnout cíle této studie, která měla poskytnout co nejširší obraz krajiny cyber-hrozby zaměřené na on-line financí, a pokusit se zhodnotit rozsah nebezpečí, že takové kybernetické hrozby představují.

Metodika zprávy

Studie používá de-osobní údaje získané od Kaspersky Security Network . Kaspersky Security Network je celosvětově distribuované infrastruktury cloud-based určeny pro zpracování v reálném čase údaje o hrozeb, které uživatelé Kaspersky Lab s nimiž se setkávají. Kaspersky Security Network byl vytvořen s cílem zajistit, aby informace o nejnovějších hrozbách se dodává pro uživatele produktů společnosti Kaspersky Lab tak rychle, jak je to možné. Díky této síti, informace o nové hrozbě je přidán do databáze během několika minut dříve neznámé hrozby jsou objeveny. Další funkce KSN je shromažďovat anonymizované statistiky o hrozbách, které přistávají na uživatelských počítačích. Je to pro každého uživatele dobrovolné rozhodnutí poskytnout své informace KSN. Údaje obdržené tímto způsobem byl použit jako základ pro tuto zprávu.

Vědci studovali údaje o počtu případů, kdy aplikace Kaspersky Lab komponenty úspěšně chráněny proti phishingu (pod Microsoft Windows a Apple OS X), malware (pod Windows) a mobilní malware (pod Google Android). Kromě toho se podíval na statistiky o počtu uživatelů napadených. Výzkum také analyzuje informace o geografické šíření útoků a jejich intenzitě.

Výzkum pokrývá celý rok 2013; data jsou analyzována ve srovnání s ekvivalentními údaji shromážděnými v roce 2012. Hlavním předmětem výzkumu je terčem phishingových kampaní: počet blokovaných pokusů o stažení falešné stránky platebních systémů, on-line bankovních systémů, internetových obchodů a dalších cílů v souvislosti s finančními institucemi. Kromě toho, odborníci společnosti Kaspersky Lab je vybrán několik desítek vzorků malwaru vytvořené speciálně ukrást finanční údaje, a analyzovat, jak často byly pozorovány "v divočině" během období výzkumu.

As crypto-měna Bitcoin stal velmi populární v roce 2013, odborníci společnosti Kaspersky Lab se oddělili hrozby spojené s výrobou a odcizení této měny do zvláštní kategorie, a následuje svého vývoje.

Hlavní zjištění

Podle informací získaných od ochrany subsystémů produktů společnosti Kaspersky Lab 2013 došlo k dramatickému nárůstu počtu útoků financí související.

Níže jsou uvedeny hlavní závěry výzkumu:

31.45% všech phishingových útoků v roce 2013 cílených finančních institucí
22,2% ze všech útoků zapojeny stránky falešných bank; Podíl bankovního phishing zdvojnásobil ve srovnání s 2012.
59,5% bankovních phishingových útoků využíván jména pouhých 25 mezinárodních bank. Zbytek útoků používal jména 1.000 + ostatní banky.
38.92% ze všech případů, které vyžadovaly zásah bezpečnostních technologií společnosti Kaspersky na počítačích Mac byly vyvolány "finanční" phishingových stránek.
Dále ve výzkumném textu, budeme diskutovat podrobněji, jak útoky vyvíjet v průběhu času, podívat se na jejich zeměpisné rozložení, a podívejte se na seznamy svých cílů.

Phishing hrozby

Phishing, nebo vytvářet falešné kopie stránek k získání důvěrných uživatelských dat, je velmi běžné počítačové hrozby. To je do značné míry způsobeno tím, že k nasazení nejjednodušší podvodnou kampaň, zločinci nemusíte mít specifické znalosti programování - je to dost, aby se určité dovednosti při vytváření webových stránek. Hlavním cílem phishingu je přesvědčit oběti, které jsou na návštěvě skutečné místo, ne falešný. Tyto pokusy jsou často úspěšné, takže phishingové kampaně se používají i jako hlavní nástroj k získání citlivých informací o uživateli a jako součást komplexního útoku nalákat uživatele na stránky, ze kterých malware budou staženy na jejich zařízení.

Podle naší studie, phishingové stránky jsou často používány v kybernetické útoky zaměřené na krádeže uživatelských finanční údaje. Nicméně předtím, než přikročí k podrobné analýze těchto útoků, že by bylo užitečné, aby předložila celkový obraz o phishingových hrozeb v roce 2013.

Útoky a uživatelé
Na ochranu rostlin Kaspersky Lab mají čtyři sub-systémů pro boj proti phishingu. Phishing databáze (podobné škodlivých databází soubor podpisu) jsou uloženy na uživatelských zařízení a obsahuje seznam nejčastějších phishing odkazy aktivní, když byla databáze uvolněna. Druhý sub-systém je anti-phishing cloud databáze, která na ochranu rostlin Kaspersky Lab poradit, pokud uživatel všimne podezřelý odkaz, který dosud nebyl zahrnut v místní anti-phishing databáze. Cloud Databáze je aktualizována rychleji než lokálními a je určen k detekci velmi nejnovější phishingu

Produkty Kaspersky Lab se také integruje dva automatické systémy pro detekci phishingu odkazy a stránky: Mail anti-phishing a anti-phishing Web. Mail Anti-phishing sleduje odkazy v e-mailech uživatelů, pokud jde o práci s jedním z populárních e-mailových klientů (Microsoft Outlook, atd.). Web Anti-phishing kontroly všeho, co se zobrazí v prohlížečích uživatelů, využívající sadu heuristických pravidel, a je schopen detekovat nové phishingové stránky, i když neexistuje žádná informace o nich v žádné databázi.

Pro účely této zprávy, Kaspersky Lab použít pouze údaje získané z webových anti-phishing, protože to je obecně jen vyzval-li informace o novém phishing stránky chybí z databáze společnosti Kaspersky Lab. Kromě toho, že umožňuje určit cíl pro útok typu phishing

Web anti-phishing podíl na celkovém počtu detekuje v roce 2013
 

Podle společnosti Kaspersky Lab, v roce 2013 asi 39,6 milionu uživatelů čelí phishingových útoků, což představuje nárůst o 2,32% oproti roku 2012.

Více než 600 milionů oznámení o phishing odkazů a stránek, s nimiž se setkávají našimi uživateli přijeli ze všech čtyř Kaspersky Lab anti-phishing subsystémů. V roce 2012 to bylo téměř stejné. Ve stejné době se počet útoků blokovaných heuristickou Web Anti-phishing vzrostl o 22,2% více než ve stejném období - od 270 milionů v roce 2012 na přibližně 330 milionů v roce 2013. To může být způsobeno neustálým vylepšení na heuristické detekčního systému.

Geografie útoků
V roce 2013, většina phishingových útoků blokovaných Kaspersky Lab (30,8%), cílené uživatele v USA. Druhá přišla Ruska (11,2%), následuje Německo (9,32%).

Nejčastěji zaútočili zemí v roce 2013
 

Zde a níže, data jsou poskytována společností Kaspersky Security Network.

Ve srovnání s předchozím rokem, v roce 2013 seznam nejčastěji napadl zemích došlo k významným změnám. Například podíl na útocích na ruských uživatelů snížil o 9,19 procentního bodu, zatímco procento útoků na uživatele v USA výrazně zvýšil - v roce 2013 z 17,56% v roce 2012 30,8%. Podíl útoků na německé uživatele také vzrostla o 3,49 procentního bodu, z 5,83% na 9,32%.

Tam by mohlo být několik důvodů pro toto geografické rozdělení. Již jsme viděli, snížení množství útoků v některých zemích a zvýšení dalších zemích. Pokles by mohl být výsledkem takových faktorů, jako je posílení opatření pro boj proti počítačové kriminalitě, složitější registraci doménového jména postupy, atd. růst může být vyvolána "přirozené" nárůst celkového počtu uživatelů internetu a jednotlivé webové zdroje: sociální sítě stránky, internetové obchody, atd. častěji lidé stáhnout webové stránky, tím větší pravděpodobnost, že se setkáte s phishingových stránek.

Cíle
Jak je patrné z níže uvedeného grafu, většina útoků v roce 2013 napodobil sociálních sítí - o 35,4%. Finanční a phishing cíle - falešné bankovní weby, platební systémy a on-line obchody - činil 31,45%. Poštovní služby skončil třetí s 23,3% útoků.

Phishing cíle v roce 2013
 

Výrazně, ve srovnání s 2012, rozdělení cílů podle typu výrazně změnila v roce 2013. Podíl útoků s použitím falešných sociálních sítí stránky se zvýšila o 6,79 procentního bodu a dosáhla 35,39%, zatímco podíl finančních útoků vzrostl o 8,5 pb a činila 31,45%. Ve stejné době, podíl útoků využívají falešné webové stránky mailových služeb se snížily o 10,5 pb na 23,3% a online hry poklesla z 3,14% v roce 2012 až 2,33% v roce 2013.

Phishing cíle v roce 2012 a 2013
 

Finanční útoky prokázaly nejvýraznější nárůst v roce 2013 oproti roku 2012, který dává prostor pro podrobnější analýzu dynamiky takových útoků.

Finanční útoky: znepokojující trend
V roce 2012, 22,95% všech phishingových útoků cílených finančních služeb jednoho druhu nebo jiný: 11.92% ze všech útoků bylo provedeno s použitím falešného banky a on-line bankovní weby, 5,66% cílené internetové obchody, a 5.37% cílené platebního styku stránky.

Finanční phishing v roce 2012

Nicméně, v roce 2013 rozdělení útoků v kategorii "Online Finance" dramaticky změnila. Procento phishing zaměřených bank téměř zdvojnásobil a dosáhl 22,2%. Podíl internetových obchodů vzrostla nepatrně - z 5,66% na 6,51% - zatímco podíl platebních systémů se snížil o 2,63 s. The závěr je zde zřejmá: útočníci se stále více zaměřují na bankovní webových služeb, a to je jeden z nejsilnějších trendů v oblasti oblast phishingových hrozeb.

Finanční phishing cíle v roce 2013

Tento trend je ještě jasný, když je finanční phishing oddělen od ostatních kategorií. V roce 2013, falešné bankovní stran tvoří 70,59% všech Kaspersky Lab Web Anti-phishing zjištěných v kategorii Online financí, ale o rok dříve činil podíl banky phishingu byla pouze 51,95%.

Procento útoků na on-line obchodů se snížil z 24,66% v roce 2012 - 20,71% v roce 2013, zatímco podíl útoků na platebních systémů poklesl z 23,39% na 8,7%.

Finanční phishing až v roce 2012 | Finanční phishing až v roce 2013
 

Bližší pohled na finanční phishing cíle
Banky
Ačkoli Kaspersky Lab anti-phishing databáze obsahuje více než tisíc jména bank, které byly napadeny, nebo jsou v nebezpečí, že budou napadeni kvůli své popularitě, drtivá většina všech phishingových útoků s použitím falešných bankovních stránek využíván jména pouhých 25 organizací.

V roce 2013, tato 25 bank přilákala asi 59,5% všech "bankovních" útoky. Nicméně, většina z těchto organizací jsou největší mezinárodní bankovní značek, které působí v desítkách zemí po celém světě. Široké povědomí o značce je jedním z hlavních nástrojů pro phisherů: více populární značka, tím snazší je pro zločinci použít jeho jméno lákat uživatele na falešné webové stránky.

Útoky proti bankám v roce 2013
 

Platební systémy
Stejně jako v případě útoků na banky, rozdělení útoků na platební systémy do značné míry závisí na povědomí o značce - téměř 90% ze všech phishingových útoků v této kategorii klesl na jednu z pěti světových značek: PayPal, American Express, MasterCard International, Visa nebo Western Union

Útoky proti platebních systémů v roce 2013

PayPal je velmi populární systém pro provádění on-line plateb, je stejně populární s hackery - množství útoků na tomto systému dosáhl 44,12%.

Příklad stránky phishing imitující webové stránky PayPal

Významný podíl útoků napodobil American Express - 26,26%. MasterCard International a Visa Inc stránky jsou zaměřeny mnohem méně často: tyto systémy tvořily 11,63% a 6,36% útoků, resp.

Příklad stránky phishing imitující webové stránky Visa

Internetové obchody
Již několik let po sobě Amazon.com (61.11% v roce 2013) byl nejvíce populární kryt pro phishingové útoky v kategorii Internetové obchody.

Příkladem falešné Amazon stránky zaměřené uživatelům v Německu

Jako největší on-line obchod, který nabízí širokou škálu zboží, Amazon je známý pro mnoho uživatelů. Proto je oblíbený u podvodníků, kteří vytvářejí falešné stránky.

Významný podíl útoků (12,89%) používat značku Apple. Obecně platí, že útočníci se snaží napodobit stránky on-line prodejnách Apple zařízení, stejně jako App Store a iTunes Store.

Útoky na on-line obchodů v roce 2013

Mezi tradiční phisher cílů je internetové aukční web eBay (12%), a čínský internetový obchod Alibaba (4,34%) se stává stále více atraktivní pro podvodníky. V roce 2013 to bylo spojené další čínský internetového obchodu - Taobao (1,26%). Téměř 3% všech útoků na on-line obchodech klesly na MercadoLibre.com, jihoamerické verzi eBay. Výše uvedený diagram znázorňuje "mezinárodní" charakter finančního phishing. Jak lze vidět, že oběti útoků jsou nejen anglicky mluvící uživatele, ale také lidi, kteří mluví čínsky, španělština, portugalština, a několik dalších jazyků.

Hlouběji do dynamiky útoků
Profesionální a marketingové aktivity společnosti, které jsou využívány v phishingovými nástrahami také ovlivňuje počet útoků.

Tento trend lze ilustrovat grafem útoků, které využívaných značku Apple.

Útoky využívající značku Apple v druhé polovině roku 2013

V průběhu roku se dynamika společnosti Kaspersky Lab, bezpečnostní technologie detekce hrozeb, které využívají společnosti Apple ochranná známka byla série vrcholy a žlaby v rozmezí od 1 do 2500 operací za den. Nicméně, jak je vidět z grafu výše, byly tam dva výrazné vrcholy, které se shodovalo s datem iPhone 5s a 5c byly vyhlášeny dne 10. září 2013 a vyhlášením iPad Air a iPad Mini s sítnice displeji dne 22. října 2013.

Logika je v tomto případě jasné: Apple zařízení jsou vždy horkým tématem pro zprávy a diskuse na Internetu, zvláště když nový produkt, má být propuštěn. Pro podvodníky, pomocí "horkých" klíčových slov je obvyklý způsob, jak přilákat diváky na falešné stránky, a jak je z grafu patrné, tato metoda funguje.

Apple není jen phisher cíl, který ukazuje korelaci mezi počtem útoků a činnosti společnosti. Přírodní katastrofy a high-profil mezinárodní akce přilákat aktivní krytí a diskuse v médiích a na internetu, což vede ke vzniku tzv. tematické phishing a spam. Podobně rozsáhlé marketingové kampaně v držení banky, e-obchod nebo jiných obchodních nebo finančních institucí se může stát záminkou pro phishing

Logický závěr pro banky, platebních systémů a ostatních finančních institucí pravidelně provozujících on-line marketingových aktivit je jednoduchý: při zahájení reklamní kampaně cílem přilákat nové podniky, nezapomeňte varovat zákazníky o možných kybernetických hrozeb.

Phishing proti OS X: první náznaky rostoucí hrozbou
Počet škodlivých útoků na majitele počítačů se systémem OS X byla vždy výrazně nižší než počet útoků na uživatele systému Windows. To může být snadno vysvětlit: když Apple aktivně podporuje své počítače a notebooky Mac po celém světě, se počet uživatelů těchto zařízení je zdaleka neodpovídá počtu počítačů běžících pod Windows. Vzhledem k tomu, zločinci chtějí maximalizovat své zisky, přirozeně věnovat větší pozornost uživatele systému Windows. Nicméně, toto tvrzení je platné pouze, pokud jde o malware. Útočník nemusí dělat nic zvláštního k útoku na uživatele Mac přes phishing: když Windows a OS X má zásadní rozdíly, které znemožňují napsat "univerzální" škodlivých programů pro obě platformy, uživatelé PC i Mac stáhnout stejný webové stránky a phishingu hrozby, které se šíří s pomocí techniky sociálního inženýrství jsou stejně nebezpečné pro uživatele počítačů Mac, protože jsou pro uživatele systému Windows. Výsledky studie společnosti Kaspersky Lab potvrzují tuto skutečnost.

Je však třeba poznamenat, že z technických důvodů pouze Kaspersky Lab se stal schopen shromažďovat relevantní statistické údaje od uživatelů počítačů Mac v listopadu 2013 všichni Mac související informace v této studii bylo sklizeno v listopadu a prosinci 2013. I když je období pozorování je krátká, získané údaje poskytuje vhled do krajiny hrozeb ohrožujících OS X uživatele a pomáhá definovat rozdíly ve srovnání s celkovým obrázku.

V roce 2013, 7,8% z Kaspersky Lab anti-phishing odhalení chráněných počítačů Mac. Téměř polovina z těchto útoků cílených uživatelů v USA (47,55%); 11.53% útoků bylo registrováno v Německu a 5,47% ve Velké Británii. Seznam nejčastěji napadl zemí také Švédsko a Austrálie.

Nejčastěji napadl země: uživatelé Mac
Rozdíly v distribuci útoků země lze vysvětlit relativní využití počítačů Apple v těchto zemích. Tradičně, USA a vyspělé evropské země jsou největšími trhy pro zařízení Apple.

Majitelé Mac čelí phishingových útoků tak často, jak uživatelé počítačů se systémem Windows, ale jejich šance stát se obětí finanční útoku jsou ještě větší.

V průběhu vykazovaného období, o 38.92% ze všech Kaspersky Lab anti-phishing detekcí na počítačích Apple zapojen "finanční" phishingových stránek. To je téměř o 7,5 procentního bodu více než "finanční" podíl na celkovém objemu útoků. 29.86% z celkového počtu útoků došlo, když uživatelé se snažili vstoupit falešné bankovní weby; on-line obchody a aukce činil 6,6%, zatímco platební systémy představovaly 2,46% všech anti-phishing detekce.

Finanční phishing: Mac
 

To byl názor odborníků společnosti Kaspersky Lab se na finanční phishing v roce 2013. Ačkoli phishing je poměrně časté hrozbou, pokud jde o finanční počítačové trestné činnosti tvoří relativně malou část celkového krajiny kybernetických hrozeb finančních. Klíčovou roli zde hraje finanční malware, nebezpečného softwaru, schopnou získat údaje uživatelů pro přístup k on-line účty a krást peníze oběti. To bude projednáno v další části zprávy společnosti Kaspersky Lab.


Nyní můžete koupit smartphony s předinstalovaným spyware
3.4.2014 Mobil
Věděli jste, že místo instalace špionážní app na telefonu cílového, můžete nyní dárek je jeden s aplikací již předinstalován na to? MTechnology LTD vydala čtyři populární smartphone modely s předinstalovaným jeho dobře-přijal monitorování mSpy softwaru. "V současné době k dispozici na HTC One, Nexus 5, Samsung Galaxy S4 a iPhone 5s, spotřebitelé na celém světě již nebudou muset starat o smartphone kompatibilitu se softwarem nebo získat fyzický přístup k cílovému telefonu, "chlubil se. "Balíček zahrnuje předplatné na jeden rok na pojistné mSpy software, zachytit širokou škálu mobilních dat, včetně hovorů, e-mailů, SMS, stisky kláves, Viber, WhatsApp a Skype chaty, umístění a další. " Tento software byl původně navržen jako nástroj rodičovské kontroly, ale od té doby se stala populární v jiném mezeru na trhu:. malé a střední podniky, které se obávají o své zaměstnance exfiltrating nebo úniku firemních dat, nebo o tom, jak se používají firemní zařízení Společnost klade břemeno pomocí aplikace a zařízení legálně na zákazníky. "My Spy (mSpy) je určena pro sledování vašich zaměstnanců nebo nezletilé děti na smartphone nebo mobilní zařízení, které vlastníte nebo máte správné souhlas k monitoru. Jste povinni upozornit uživatele na zařízení, které jsou monitorovány, "říká disclaimer na internetových stránkách společnosti. , ale všichni víme, že tento nástroj je povinen být použity bez předchozího oznámení cíl - a to zejména pokud jde o pochybovat o manžele a potenciálně zneužívající partnery. Nabídkou telefonů (a v budoucnu tabletách) již předinstalovány monitorovací aplikace, společnost je ještě jednodušší pro zákazníky špehovat ostatní bez jejich vědomí a souhlasu. aplikace sama o sobě je nezjistitelné a neviditelné, takže je pravděpodobné, cílů objevování náhodou, že jsou špehoval jsou velmi štíhlé. aplikace nezasahuje do každodenní činnosti cílových zařízení. "špionážní" lze přístup k informacím o činnosti cílového přes cloud-based, heslem chráněné ovládací panel, z místa, kde on nebo ona může také vzdáleně zablokovat přístup na určité programy, webové stránky a aplikace, omezit příchozí hovory, zamknout telefon, a tak dále. Ve světě, kde se to stalo normální předpokládat, že vlády mohou chyba telefonu nebo špehovat své činnosti Tento typ nabídky nebude, obávám se, že, vyvolávají mnoho pobouření veřejnosti. Ve skutečnosti, věřím, že Andrei Shimanovich, COO mSpy, když říká, že "balík softwaru mSpy je v přímé reakci na zpětnou vazbu jsme byli přijímání od našich zákazníků. "


24 milionů routery vystavit ISP na DNS-based útoky typu DDoS
3.4.2014 Počítačový útok
DNS-založené DDoS zesílení útoků se výrazně zvýšil v posledních měsících, zaměřených na zranitelné domácí routery po celém světě. Jednoduchý útok může vytvořit 10s Gb provozu narušit poskytovatele sítě, podniky, webové stránky a jednotlivci kdekoli na světě.

Nominum Nejnovější výzkum ukazuje:
Více než 24 milionů domácích routerů na internetu mají otevřené DNS, proxy, které vystavují ISP na DNS-založené útoky typu DDoS
V únoru 2014 více než 5,3 milionu těchto směrovačů byly použity pro vytvoření útoku provoz
Při útoku v lednu 2014 více než 70% z celkového DNS provozu v síti poskytovatele byla spojena s amplifikací DNS
DNS je zdaleka nejvíce populární protokol k zahájení zesílení útoků s více dostupnými zesilovači, než v příštích čtyřech protokolů dohromady.
Zesílení útoků DNS vyžaduje trochu zručnosti a úsilí a způsobit velké škody; To je důvod, proč jsou stále více populární. Vzhledem k tomu, zranitelné domácích routerů maskovat cíl útoku je obtížné pro ISP k určení konečného určení a příjemce obrovských vln zesíleného provozu. provozu od částky zesílení až bilionů bajtů denně narušení ISP sítí, weby a jednotlivců. Dopad na ISP je čtyřnásobně:

Dopad sítě generované nebezpečný provoz syceném dostupné šířky pásma
Dopad na náklady generované špice v telefonní hovory, způsobené přerušovaným přerušení služby
Vliv příjmů jako špatná zkušenost internet vede ke zvýšení chrlit nebo retenčních nákladů
Pověst dopad jako nežádoucí provoz směřuje vrstevníky.
"Stávající na místě DDoS obrany nepracují proti dnešním zesílení útoků, které mohou být spuštěny na libovolné zločinec, který chce dosáhnout maximální škody s minimálním úsilím," vysvětlil Sanjay Kapoor, viceprezident pro strategii, Nominum. "I když ISP používají osvědčené postupy k ochraně svých sítí, mohou stále stávají oběťmi, a to díky vlastní zranitelnosti v otevřených proxy serverů DNS."


Gang ovládat ColdFusion využije rozšiřuje botnet napadených e-commerce weby
3.4.2014 Botnet
Německý web francouzské automobilky Citroën je poslední z celé řady vysokoškolských profilu vozík stránek, které byly napaden hackerem gangu multiplikátorem Adobe ColdFusion zranitelnosti. Podle The Guardian , webové stránky se jedná - shop.citroen.de - je místo pro nákup Citroën-themed dary, a byl provozován třetí stranou web design společnosti anyMotion. Hackeři se podařilo to kompromis a instalovat backdoor, který by dal jim trvalý přístup k serveru, na kterém byl hostitelem, a uživatel informace, obsažené. anyMotion zřejmě zavřel zadní vrátka a pracuje na zjištění, zda server byl jinak ohrožena. Dosud není známo, jaká data byla ukradena, ale Citroën byl naléhání své německé zákazníky na kontrolovat své zůstatky na bankovních účtech podezřelých transakcí, které, zdá se, naznačují, že údaje platební karta byla zřejmě chytil. Společnost také obnovit uživatel a administrátor hesel, takže je pravděpodobné, že informace byla rovněž ohrožena. "Tato zpráva obsahuje dva velmi důležité body k provozování podnikání na internetu," komentoval Lancope CTO Tim Keanini. "První je, že zůstat až do dnešního dne v současné době využívaných zranitelnosti může být jen dost rozpětí času k nápravě, než váš příští v řadě. Pokud víte, v pondělí, že verze 123 aplikací ABC je využívána, a do úterý jste upgradovali nebo zmírnit zranitelnost, můžete vytáhnout z cílového prostoru. Můžete si být jisti, že tito lidé jsou na stopě další oběti na internetu, které odpovídají kritériím této oběti. To ještě není u konce. "Druhým důvodem je skutečnost, že" bezpečnost je odpovědností každého ". Jen proto, že outsourcing nějakou funkci společnosti neznamená, že bezpečnost jejich problém, a už je tvůj problém. Ve skutečnosti, měli byste si projít celý seznam partnerů, které máte, a zeptejte se sami sebe, pokud některý z těchto obchodních funkcí byly využity, co by to bylo na kontinuitu svého podnikání. Nyní je čas, aby povrch těchto závislostí, a to po jejich porušení, "dodal. Podle Brian Krebs, předchozí cíle tohoto stejného gangu patří džem a želé výrobce Smucker je a kreditní karty pro zpracování firmy Securepay, řetězec amerických datových makléřů, PR Newswire, Adobe a, konečně, Citroën, dvě americké společnosti zabývající se prodejem osvětlovací techniky v jejich on-line obchodů, a LaCie, Seagate vlastnictví hardware společnosti. "Obě společnosti, kteří se dohodli mluvit se mnou byli oba osvětlení firmy, a jak se poprvé dozvěděl na svých stránkách ohrožuje po platebních kartách firma Discover upozornil své procesory karty do vzoru podvodné aktivity na karty, které byly nedávno použity v obchodech, "řekl poznamenal . dvě dotčené společnosti jsou Elightbulbs.com a Kichlerlightinglights.com , oba koho nakonec rozhodla pro outsourcing zpracování kreditní karty třetí osobou, aby se zabránilo je zodpovědný za platební kartou datových kompromisů v budoucnosti. Jak se to stane, Elightbulbs.com dokonce najal bezpečnostní shody firmu vyzkoušet stránky a servery pro bezpečnost trhliny těsně před porušením byl vykonán, a firma vynechal ColdFusion nedostatky zneužity útočníky.


Trustwave získává Cenzic
3.4.2014 IT
Trustwave oznámila akvizici Cenzic, finanční podmínky nebyly zveřejněny. Spojením vznikne integrovaný testovací bezpečnostní platformu, která má pomoci podnikům identifikovat a řešit bezpečnostní nedostatky,.

Powered by své patentované technologii krupobití, Cenzic umožňuje organizacím průběžně posuzovat cloud, mobilní a webové aplikace pro zranitelnosti. V důsledku akvizice, Trustwave přinese i statické a dynamické testování zabezpečení jako integrované, předplatné-založené služby, které pomohou zabezpečit tyto aplikace po celou dobu jejich životního cyklu. Integrace řešení Cenzic s webových aplikací brány firewall a bezpečnostní informace a systémy pro správu událostí, včetně těch z Trustwave, nabízí další vrstvu ochrany. "Tato akvizice spojuje dva přední bezpečnostní, kteří pochopili sílu automatizace přináší do řízení agresivní a vyhýbavé hrozby my" re vidět dnes, "řekl Robert McCullen, předseda představenstva a generální ředitel společnosti Trustwave. . "Cenzic je vysoce automatizovaný a škálovatelná platforma pro testování zabezpečení supercharges naši schopnost poskytovat integrované testování přes vysoký objem žádostí Tato akvizice představuje další milník ve strategii Trustwave poskytovat komplexní, automatizované a integrované zabezpečení, dodržování předpisů a hrozbách řešení pro průmysl - vše dodáno prostřednictvím cloudu. " Testování dnešní cloud, mobilní a webové aplikace vyžaduje kombinaci statických a dynamických zkoušek bezpečnostní aplikace technik. "Trh pro testování bezpečnosti aplikací se rychle mění. Technologické trendy, jako je mobilní aplikace, pokročilé webových aplikací a dynamických jazyků, nutí nutnost kombinovat statické a dynamické testování schopností, které přetváří na celý trh," napsal průmyslových analytiků v . Nedávná zpráva o testování bezpečnosti aplikací testování statické zabezpečení aplikací (SAST) zkoumá, non-spuštěné aplikace při pohledu na zdrojový kód nebo binární soubory - často před životně důležité aplikace spuštěna. Dynamické testování bezpečnosti aplikací (DAST) se zaměřuje na trvale sondy spuštěné aplikace se podívat na zranitelná místa na průběžně. Podniky a vlády stále více spoléhají na oblaku, mobilních a webových aplikací pro interakci se zákazníky, partnery a dodavateli, a tyto aplikace jsou stále na riskovat před hackery, kteří zneužívají chyby zabezpečení. Cenzic průzkum zjistil, že 96 procent všech aplikací testovaných v roce 2013 měl jednu nebo více závažných bezpečnostních zranitelností s mediánem 14 na jednu žádost. Cenzic automatizuje testování zabezpečení napříč všemi aplikacemi typů - cloud, mobilní a webové. Řešení Cenzic měřítko z jedné aplikace do nasazení na podnikové úrovni, a jeho inteligentní technologie používá chování, stavové a učení algoritmy pomoci zajistit co nejvyšší přesnost pro automatizované vyhodnocování i těch nejsložitějších aplikací. Společnost byla založena v roce 2000 a sídlí v Silicon Valley, Cenzic testuje více než půl milionu on-line aplikací a pomáhá zabezpečit biliony dolarů z obchodu pro Fortune 1000 společností, vládních agentur, univerzit a malých a středních podniků.


Neutralita: Průmysl Poslanci chtějí přísnější pravidla proti blokování soupeře služeb
3.4.2014 KyberŠpionáž
By poskytovatelé internetu už nebudou moci blokovat nebo zpomalit internetové služby poskytované jejich konkurenti, říká Výbor pro průmysl, který v úterý schválila pravidla pro ochranu neutralitu. Podle posledního návrhu EU "telekomunikační" právní předpisy balíček Poslanci také hlasovali proti "roaming", navíc náklady na používání mobilního telefonu v jiné zemi EU. Tyto poplatky by měly být zakázán od 15. prosince 2015 poslanci říkají. "S dnešním průmyslu výboru hlasovat Evropský parlament přijal jeden velký krok směrem k upevnění telekomunikační jednotného trhu. Výbor ne pouze navrhla zrušit poplatky za roaming pro hlasová volání, SMS a dat Do 15. prosince 2015, ale rovněž předložila věcné návrhy, např. na účinnou správu spektra, která umožní 4G a 5G nasazení v celé Evropě, "řekl Pilar del Castillo Vera (EPP, ES), který vede práci Parlamentu s balíčkem. "Navíc máme postavený v dalších záruk pro internetové otevřenosti, tím, že uživatelé mohou spouštět a poskytovat aplikace a služby podle svého výběru, stejně jako posílení internet jako hlavní hnací síly konkurenceschopnosti, hospodářský růst, sociální rozvoj a inovace ", dodala. Její zpráva byla adopted 30 hlasy k 12, a 14 členů se zdrželo hlasování. neutralita sítí: konec diskriminace soutěžících poslanců inserted přísná pravidla, aby se zabránilo telekomunikačních firem z ponižující nebo blokovat připojení ke službám a aplikacím svých konkurentů na internet. V roce 2012, například, regulátor EU pro telekomunikace BEREC uvedlo, že několik poskytovatelů internetu bylo blokování nebo zpomalování služby, jako "Skype" (používá se pro telefonování přes internet). Firmy by ještě mohli nabídnout specializované služby vyšší kvality, jako je například video na vyžádání a obchodních-kritické datově náročných cloud aplikací, za předpokladu, že to není v rozporu s rychlostí internetu slíbil dalším zákazníkům. Opatření k blokovat nebo zpomalit internet by být povoleno pouze ve výjimečných případech, např. pokud výslovně nařízeno soudem. Ukončení poplatků za roaming v roce 2015 velká většina členů výboru couval plány k zákazu "roaming" poplatků v rámci EU, ze dne 15. prosincem 2015. Nicméně, k ochraně telekomunikačních společností na "anomální nebo zneužívajícím využití maloobchodních roamingových služeb", poslanci žádají Evropskou komisi, aby stanovily pravidla pro výjimečné případy, ve kterých by podniky dovoleno uplatňovat poplatky. Tyto poplatky by však být pod víčky stanovených v současných pravidel roamingu. Na rozdíl od Komise, MEPS viděl není třeba regulovat ceny za mezinárodní telefonní hovory uskutečněné z volajícího domovské zemi.


Sally Beauty platební karty porušení data potvrdila
3.4.2014 Incidenty
Mezinárodní kosmetika maloobchodník Sally Beauty Holdings potvrdila, že utrpěl porušení dat, která vyústila v případné krádeži dat platebních karet uložených v jejich systémech.

"Jak jsme již dříve uvedl, 5. března, naše systémy zjištěn neoprávněný pokus o vniknutí do naší sítě Sally Beauty Supply LLC. V době tohoto objevu, jsme okamžitě najal top-tier forenzní firmy (Verizon), aby prošetřila tento bezpečnostní incident" které uvedl v prohlášení vydala v pondělí. "Jako výsledek tohoto probíhajícího vyšetřování, jsme nyní objevili důkazy o tom, že méně než 25000 záznamy obsahující kartu-současný (track 2) Údaje o platební kartě byly neoprávněně k dispozici na našich systémech a jsme tomu uvěřit mohou být odstraněny. Jak ukázaly zkušenosti v předchozích bezpečnostních dat incidentů u jiných společností, je obtížné zjistit s jistotou rozsah a zabezpečení dat porušení / incidentu před dokončením komplexní soudního vyšetřování. Jako výsledek, budeme ne spekulovat, pokud jde o rozsah nebo povaha bezpečnostní údaje incidentu. " Na rozdíl od práce s Verizon, firma také spolupracuje s americkou tajnou službou, která má také zahájila vyšetřování porušení. "Budeme poskytovat vhodná upozornění na postižených spotřebitelů a další, podle potřeby, protože fakta se vyvíjejí a my se dozvědět více, "že společnost dospěla k závěru, nutit zákazníky, aby zkontrolovat své webové stránky v nejbližších termínech aktualizace, dávat pozor na výpisech z platebních karet pro jakékoliv podvodné nebo podezřelé činnosti , a dejte si pozor na phishing pokusy vydávat za společnost a požádala je, aby sdílení osobních nebo finančních informací. "V tuto chvíli jsme přesvědčeni, údaje platební karty karty současnost - jméno zákazníka, kreditní nebo debetní karty čísla, a na karty Datum expirace a CVV - byl ovlivněn. Nedomníváme se, že citlivé informace, (jiné než čísla karet), jako jsou čísla sociálního zabezpečení nebo data narození, byla ohrožena jako součást tohoto vydání. Kromě toho, Sally Beauty neshromažďuje údaje o PIN, a proto by nemělo být ohroženo, "uvedla společnost v sekci FAQ o porušení. To je ještě známo, kolik zákazníků byly postiženy.


83% podniků nejsou připraveny pro on-line bezpečnostního incidentu
3.4.2014 Bezpečnost

Arbor Networks oznámila výsledky průzkumu o problematice připravenosti reakce na incidenty. Economist Intelligence Unit dotazovaných 360 vedoucích obchodních lídrů, z nichž většina (73%) je řízení C-level nebo členové představenstva z celého světa, s 31% se sídlem v Severní Americe, 36% v Evropě a 29% v Asii a Tichomoří . Zpráva ukazuje, že přes 77 procent firem, které trpí incident v posledních dvou letech, více než třetina firem (38 procent) stále nemá plán reakce na incidenty na místě by mělo dojít k incidentu. Pouze 17 procent podniků na celém světě jsou plně připraveny pro on-line bezpečnostního incidentu. More připravené firem, které mají plán reakce v místě obvykle spoléhají na IT oddělení, aby v čele tohoto procesu, ale většina také čerpat externích zdrojů - především IT forenzní experti , specialista právní poradci a odborníky činné v trestním řízení. "Je povzbuzující tendence k formalizaci přípravy odezvy firemní události. Ale se zdrojem a dopadu hrozeb stále těžší předvídat, manažeři by se měl ujistit, že reakce na incidenty se stane organizační reflex, spíše než jen plán stáhl z regálu, "řekl James Chambers, vedoucí redaktor The Economist Intelligence Unit. Arbor Sítě prezident Matthew Moynahan dodal: "Jak tyto nálezy ukazují, pokud jde o kybernetických útoků, žijeme v" kdy "ne" kdyby "světě. V důsledku nedávných vysokých profilových cílených útoků v maloobchodním sektoru, schopnost společnosti na rychle identifikovat a klasifikovat a incidentů, a provést plán odezvy, je důležité, aby nejen chrání firemní majetek a údaje o zákaznících, ale značka, pověst a spodní vedení společnosti. " Úroveň připravenosti se brzdí nedostatek porozumění o hrozbách

Pouze 17 procent vedoucích pracovníků cítí plně připraven k incidentu.
41 procent vedoucích pracovníků cítí lepší pochopení možných hrozeb by jim pomohla lépe připraveni.
S formální plán nebo tým na místě má významný vliv na pocit připravenosti mezi manažery.
Polovina všech společností, pocit, že jsou schopni předvídat dopad podnikání, pokud dojde k porušení.
Důraz na pověsti je hnací silou utváření plánů a procesů
Dvě třetiny manažerů tvrdí, že účinně reagovat na mimořádné události lze zvýšit reputaci svého podniku.
Procento organizací, které mají nyní tým reakce na incidenty a plán na místě je nastaven na svahu nad 80 procent v příštích několika letech.
Firmy, které utrpěli nehodu za posledních 24 měsíců jsou dvakrát jak pravděpodobný, že má dohodu s odborníkem třetí strany, jako podniky, které nejsou utrpěli nehodu.
Firmy zůstat zdrženlivý o zveřejňování incidentů a sdílení informací o hrozbách
57 procent organizací se dobrovolně hlásit případy, kdy nejsou právně povinna tak učinit.
Pouze třetina firem sdílení informací o incidentech s jinými organizacemi za účelem šíření osvědčených postupů a měřítko vlastní odpovědi.


Sledování divákům
3.4.2014 Bezpečnost

Mnoho firem dnes mají různé IDS a IPS zařízení prováděné v jejich vnitřní síti (zejména pokud je třeba v souladu s PCI DSS, například). Takže tato zařízení se realizovat sledovat různé provoz na různých rozhraní / obvodů ve společnosti, ale otázka, jsem se zeptal, jak si můžeme být jisti, že IDS / IPS dělá svou práci?

Je zřejmé, že některé jednoduché monitorování by mělo být na místě - to se obvykle skládá z příkazu ping na zařízení nebo sbírat různé čítače, jako jsou paměti, využití procesoru a podobně. To je obvykle dost, aby se ujistil, že přístroj je a funkční. Ale otázkou je - jak se ujistit, že IDS / IPS je vlastně detekci škodlivého provozu nebo síťových útoků?

Zřejmá odpověď na tuto otázku je, aby se pokusili něco poslat škodlivý, a zjistit, zda IDS / IPS správně identifikoval útok. Takže následující možnosti (nebo všechny z nich) může být provedena:
Můžeme automaticky stahovat eicar.com a uvidíme, jestli IDS / IPS detekován soubor škodlivý.
Můžeme provádět automatické skenování s nmap nebo spustit libovolný NSE nmap skript. Typicky, normální skenování (SYN skenování) by měla spustit IDS / IPS. To je také dobrý test, zda IDS / IPS je zjišťování chování sítě.
Můžeme poslat využívat po síti. Zatímco přemýšlel, co poslat jsem prolistoval pytbull, který je IDS / IPS testování rámec (více na http://pytbull.sourceforge.net/ ). Pytbull přichází s partou útoků, které mohou být použity k testování své IDS / IPS zařízení. Na konci jsem se rozhodl, že to bylo příliš složité, tak to bylo mnohem jednodušší prostě vzít nějaký shell kód, prepend NOP sled ní (ano, tak to vypadá skutečný) a použít Scapy poslat.
Výše uvedené "útoky" může být nyní naplánováno - pro každý plán, zařízení IDS / IPS by měl detekovat (a / nebo blok) takové útoky. Chcete-li ověřit, že vše funguje v pořádku, měl by také vytvořit vhodnou soubor protokolu, který pak může být automaticky ověřen s SIEM; pokud útok byl proveden, a tam byl žádná detekce víme, že se něco pokazilo s jedním zařízením IDS / IPS nebo sítě mezi sondou a přístrojem - bez ohledu na to, co naše standardní monitoring říká.

Takže, jaké mechanismy se použít k ověření své IDS / IPS pracuje v pořádku? Dejte nám vědět!


Digitální zařízení používaná každý den, které by mohly vést k narušení bezpečnosti
3.4.2014 Bezpečnost

Narušení bezpečnosti osobních údajů náklady USA podnikům v průměru 5,4 milionu dolarů na události v roce 2012, v závislosti na Ponemon Institute a Cintas Corporation. S rostoucím počtem digitálních zařízení v dnešních podniků, je již nestačí pouze pro zabezpečení dat uložených na dokladech nebo v počítačové soubory, "řekl Dr. Larry Ponemon, předseda a zakladatel Ponemon Institute. ". Data uložená na digitálních zařízení, jako jsou faxy a směrovače, musí být bezpečně zlikvidovány, aby mu zabránil dostat do nepovolaných rukou" Nejběžnější přehlédnout digitální zařízení, které by mohly být přístupový bod k porušení bezpečnosti patří: Staré pevné disky. Mnoho zlikvidovat nebo nezvěstní pro pevné disky obsahují důvěrné a zpětně získatelné informace. Důvěrné údaje, které skončí ve špatných rukou může poškodit dobré jméno vaší společnosti a mít závažné negativní finanční důsledky. Typické metody odstraňování dat pevný disk přicházejí s mnoha riziky, protože jsou časově náročné, náchylné k selhání lidského faktoru a, v mnoha případech, a to v souladu s právními předpisy pro likvidaci odpadu. Kompletní fyzická likvidace je nejlepší způsob, jak ochránit tuto citlivá data. Použijte zničení pevného disku služby na místě, které bezpečně a účinně ničí pevné disky počítačů prostřednictvím recyklačního procesu kompatibilní, což eliminuje riziko narušení dat a pomáhá organizacím zůstat v souladu se státními a federální likvidaci zákony. strojů kopírování. Nejnovější generace digitálních kopírek jsou "inteligentní" stroje používané ke kopírování, tisk, skenování, fax a e-mailové dokumenty. Digitální kopírky vyžadují pevné disky pro správu příchozích pracovních míst a pracovní vytížení. Pevný disk v digitální kopírky archiv údajů o každém dokumentu, že procesy, které mohou často obsahují citlivé informace, jako jsou čísla sociálního zabezpečení a čísla účtů. Pokud nemáte podniknout kroky k ochraně těchto dat, to může být ukradené z pevného disku, a to buď dálkovým přístupem nebo extrakcí údajů, jakmile disk odstranil. Některá zařízení obsahují bezpečnostní funkci, která vám umožní přepsat pevný řízení, které by mělo být provedeno nejméně jednou za měsíc. Přepsání není vždy postará o 100 procent informací, nicméně. To je vždy chytrý nápad mít certifikovaný dodavatel zničí pevný disk stroje na konci své životnosti. faxových přístrojů. fax sedí venku je nejen snadné pro přístup zaměstnanců, ale také umožňuje putování oči Všimněte si data, jak chodí od. Většina firem používá jeden fax na několik zaměstnanců, což vytváří další příležitosti pro ztracených dokumentů a manipulováno dat. Vytvoření firemní politiku, faxování, které by měly zakázat zaměstnancům opustit dokumenty bez dozoru u faxu. Zvažte také přihlášení nesprávně faxy pomoci identifikovat rizika a zranitelná místa, a pomůže vám rozvíjet lepší záruky. Podobně jako kopírovací stroje, faxy obsahují pevné disky, které ukládají data z každého dokumentu, které předávají, který by měl být bezpečně zničen certifikovaným prodejcem na konec životního cyklu stroje. routery. Ať už používáte kabelový nebo bezdrátový směrovač, pokud není správně nakonfigurován, to by mohlo představovat potenciální bezpečnostní rizika. Piráti pomocí připojení k Internetu mohou nejen zpomalit vaše připojení, mohou také získat přístup k důvěrným informacím. Heslo chrání váš směrovač šifrování spojení a zabráníte neoprávněnému přihlášení Měli byste také vypnout vysílání v nastavení routeru, aby se zabránilo ostatním uživatelům vidět název vaší sítě. Navíc, změnit heslo správce bezprostředně po nákupu, aby se zabránilo hackerům nalezení společného výrobce hesla na internetu. Mobilní zařízení. Mobilní zařízení umožňují zaměstnancům pracovat prakticky kdekoli a kdykoli, což umožňuje větší flexibilitu a produktivitu. Podle Juniper Research, do roku 2014, průměrný počet mobilních zařízení přistupujících sítě organizace dosáhne 3,3 na jednoho zaměstnance. Podniky musí dát přinést si vlastní zařízení (BYOD) a politiky, mobilní zařízení určené k ochraně proti možnému riziku odcizení nebo chybějící mobilního zařízení. Účinná politika by měla zahrnovat vzdělávací programy pro řešení mobilní závazky, a zvýšených bezpečnostních opatření, jako je například vzdálené vymazání, což umožňuje, aby společnost na dálku smazat data ze zařízení, jakmile jsou oznámeny bylo odcizeno nebo ztraceno. "Podniky čelí mnoha riziko narušení dat, "dodal Ponemon. "Je důležité mít na paměti a připraven na rizika, která jsou nejvíce často přehlíženy k maximalizaci zabezpečení vašich podnikových informací.


EU stanovuje obrovské pokuty pro firmy, které porušují soukromí uživatelů
3.4.2014 Incidenty
Poslanci vložena silnější ochranná opatření pro osobní údaje občanů EU, která se dostane do zemí mimo EU v celkové opravy zákonů EU na ochranu osobních údajů hlasovalo ve středu.

Cílem nových pravidel je jak dát lidem větší kontrolu nad svými osobními údaji a aby bylo jednodušší pro firmy pracovat přes hranice, tím, že stejná pravidla platí ve všech členských státech EU. Poslanci rovněž zvýšila pokuty, které mají být uloženy na firmy, které porušují pravidla, až 100 milionů € nebo 5% z celosvětového obratu. 19-rok-staré právní předpisy EU EU v oblasti ochrany údajů naléhavě potřebují aktualizovat držet krok s pokrokem informací . technologie, globalizace a rostoucí využívání osobních údajů pro účely vymáhání práva "Mám jasnou zprávu Radě:. každá další odklad by bylo nezodpovědné občané Evropy očekávají, že delivera silnou regulaci široký ochrany údajů v EU-li tam jsou. některé členské státy, které nechtějí poskytovat po dvou letech jednání, většina by měla pokračovat bez nich, "vysvětlil zpravodaj pro obecné nařízení o ochraně údajů, Jan Philipp Albrecht (Greens / EFA, DE). Chcete-li lépe chránit občany EU před dohledové činnosti, jako jsou ty, představila od června 2013 Poslanci mění pravidla, která vyžadují, aby všechny firmy (např. vyhledávače, sociální sítě nebo úložiště cloud poskytovatele služeb), aby usilovala o předchozí povolení vnitrostátního orgánu pro ochranu údajů v rámci EU před zveřejněním každý občan EU osobních údajů do třetí země. Firma by také informovat dotyčnou osobu o žádosti osoby. Firmy, které porušují pravidla by měla směřovat pokuty až do výše 100 milionů €, nebo až 5% jejich ročního celosvětového obratu, podle toho, která je větší, říkají poslanci. Evropská komise navrhla sankce až do výše 1 milionu € a 2% celosvětového ročního obratu. Nová pravidla by také měla lépe chránit data na internetu. Patří mezi ně právo na to, aby osobní údaje vymazány, nové limity pro "profilování" (pokusy analyzovat a předpovídat výkonnost člověka při práci, ekonomická situace, umístění, atd.), požadavek používat jasné a srozumitelně vysvětlit zásady ochrany osobních údajů. Každý poskytovatel internetových služeb, kteří chtějí zpracovávat osobní údaje by nejprve musel získat svobodný, dobře informovaný a výslovný souhlas dotyčné osoby. Balíček ochrana dat se skládá z obecného nařízení se vztahuje na většinu zpracováním osobních údajů v Evropské unii, v jak veřejný, tak soukromý sektor, a směrnice se vztahuje na osobní údaje zpracovávané pro prevenci, vyšetřování a stíhání trestných činů nebo prosadit trestní sankce (prosazování práva). Evropský parlament hlasoval o svém prvním čtení návrhu legislativy, aby se konsolidovat práci udělal tak daleko a předat k dalšímu parlamentu. Tím je zajištěno, že poslanci nově zvolení května mohou rozhodnout, že nebudou začínat od nuly, ale stavět na práci vykonanou v průběhu aktuálního období. Návrh nařízení byl schválen 621 hlasy pro, 10, a 22 členů se zdrželo hlasování. Návrh směrnice byl schválen 371 hlasy pro, 276, s 30 členů se zdrželo hlasování. Definitivní podoba nařízení bude dokončena poté, co Evropský parlament, Rada a Komise projednává a schvaluje ji. Přijetí nařízení se očekává v roce 2014, a jeho vymáhání od roku 2016.


US oznamuje přechod dohledu nad systému doménových jmen Internetu je
3.4.2014 IT

Ministerstva obchodu USA v Národní telekomunikační a informační administrace (NTIA) oznámila svůj záměr přechod klíčové název internetové domény funkce globální mnohostrannou komunitu.

Jako první krok, NTIA se ptá na Internetové sdružení pro přidělování jmen a čísel (ICANN) svolat globální zúčastněné strany, aby vypracovala návrh na přechod na aktuální úlohu NTIA v koordinaci systému doménových jmen na internetu je (DNS). "My pozvat vlády, soukromý sektor, občanská společnost a další internetové organizací z celého světa, aby se k nám připojil v rozvoji tohoto transformačního procesu, "řekl Fadi Chehade, ICANN prezident a generální ředitel společnosti. "Všechny zúčastněné strany si zaslouží hlas v řízení a správě tohoto globálního zdroje jako rovnocenní partneři." odpovědnost NTIA zahrnuje procesní roli podávání změny do souboru autoritativní kořenové zóny - databáze obsahující seznamy jmen a adres všech nejvyšší úrovně domény - stejně jako slouží jako historické správce DNS. NTIA v současné době smlouvy s ICANN provádět Internet Assigned Numbers Authority (IANA), funkcí a má dohoda o spolupráci s Verisign, za kterých vykonává související funkce pro správu kořenové zóny. Přechod NTIA z jeho role je závěrečnou fázi privatizace DNS, jak je uvedeno vládou USA v roce 1997. "Načasování je správné zahájit proces přechodu," řekl náměstek ministra obchodu pro komunikace a informační Lawrence E. Strickling . "Těšíme se, že ICANN svolání zúčastněné strany v rámci globální internetové komunity sestavit vhodný plán přechodu." ICANN je jedinečnou pozici, protože jak aktuální IANA funkce dodavatelem a globální koordinátor pro DNS, jak je vhodné strana svolat proces mnohostranné rozvíjet plán přechodu. NTIA informovala ICANN, že se očekává, že ve vývoji návrhu, ICANN bude spolupracovat s přímo dotčených stran, včetně pracovní skupiny Internet Engineering (IETF), Internet Architecture Board (IAB), Internet Society (ISOC), . regionální internetové registry (RIR), operátoři název domény nejvyšší úrovně, VeriSign a další zainteresované global stakeholders NTIA sdělil ICANN, že přechod návrh musí mít širokou podporu komunity a zaměřit na tyto čtyři zásady:

Podpora a posílení modelu mnohostranné;
Udržujte bezpečnost, stabilitu a odolnost tohoto internetového DNS;
Uspokojení potřeb a očekávání zákazníků na celém světě a partnery služeb IANA; a,
Zachovat otevřenost internetu.
NTIA nepřijme návrh, který nahrazuje roli NTIA s vládou vedl nebo mezivládní organizace řešení. Od počátku ICANN, se zúčastněné strany vlády USA a Internet Předpokládá se, že americká role ve funkcích IANA by být dočasné. Ministerstvo obchodu je 10.06.1998 Prohlášení o politiky uvedl, že americká vláda "se zavázala k přechodu, který umožní, aby soukromý sektor, aby se vedení pro správu DNS." ICANN jako organizace dozrála a kroky v posledních letech ke zlepšení jeho odpovědnost a transparentnost a jeho technická způsobilost. Současně, mezinárodní podpora pokračuje v růstu na modelu mnohostrannou řízení internetu, o čemž svědčí pokračující úspěch Fóra pro správu internetu a pružné správcovství různých internetových institucí. Zatímco zainteresované strany spolupracovat přes ICANN-svolané procesu rozvíjet přejít návrhu, bude stávající úloha NTIA zůstávají beze změny. Aktuální IANA funkce smlouva vyprší 30.září 2015. Nezávisle na americkém přechodu, role internetových technických organizací, včetně role ICANN jako správce unikátního identifikátoru systému na internetu je, zůstávají beze změny. Unikátní funkcí Internetu je identifikátor není zřejmé, pro většinu uživatelů internetu, ale hrají důležitou roli v udržování jediné, globální, jednotný a interoperabilní internet. "I přesto, že ICANN bude i nadále provádět tyto životně důležité technické funkce, USA dlouho představoval den, kdy by správcovství nad nimi být převedeni na globální komunitu, "řekl Dr. Stephen D. Crocker, ICANN rada Předseda. "Jinými slovy, všichni jsme dávno známé místo určení. Nyní je na naší globální komunitě zúčastněných stran určit nejlepší cestu k nám se tam dostat." "globální proces mnoha zúčastněných stran je definován zařazením, a to bude nějakou dobu trvat, aby ujistěte se, že jsme získali všechny potřebné vstupy, "řekl Chehade. "V době, kdy současný kontrakt s americkou vládou vyprší v září 2015 budeme mít definovaný a jednoznačný postup pro globální mnohostrannou péči o výkonu ICANN těchto technických funkcí." první dialog o vývoji přechodného procesu v rámci celého Společenství začne března 23-27 během ICANN 49. veřejné zasedání, v Singapuru. Všechny globální zúčastněné strany jsou srdečně zváni k účasti osobně nebo na dálku. "Je to historický krok, aby se řízení internetu opravdu globální, a označí významný pokrok směrem k vytvoření modelu více zúčastněných stran, jak obhajoval v nedávném sdělení Komise" komentoval Neelie Kroes, Evropská komisařka pro digitální agendu. "Je to velmi aktuální oznámení, před důležitou konferenci mnoha zúčastněných stran v Sao Paulu v zásadách internetových správy a budoucího vývoje ekosystému správy" dodala. "Evropská komise bude spolupracovat s USA a se všemi světovými zúčastněnými stranami s cílem zavést globalizace funkcí IANA v procesu, který je odpovědný a transparentní, a to způsobem, který zajistí otevřený internet a že budou podporovat lidská práva."


New ověřený šifrovací algoritmus je odolný proti roztroušené zneužití
3.4.2014 Bezpečnost
Nippon Telegraph a telefonní Corporation, Mitsubishi Electric Corporation a University of Fukui společně vyvinuli ověřený šifrovací algoritmus, který nabízí robustní odolnost proti vícenásobné zneužití.

Algoritmus byl zapsán v soutěži pro ověřené Šifrování:. Security, použitelnost a projektové Robustnost (CAESAR), na základě kterých algoritmus by měl být nasazen na stále bezpečnou a spolehlivou informační technologie Nový algoritmus je hlavní předností je odolnost vůči více zneužití v ověřené šifrovacích operacích, které poskytují současné důvěrnosti a integrity. Jedním z problémů zneužití je útočník dělat falešnou zprávu, pokud holé jsou uvolněny před jejich integrita je ověřena. Jakmile je konvenční systém výstupy dešifrovat holý text z manipulováno dat bez ověřování, může útočník ukázat manipulováno dat jako non-manipulováno. Vzhledem k tomu, k tomu dojde u mnoha běžných systémů nový algoritmus řeší problém, což umožňuje s relativně nízkým paměťová zařízení správu dat velkoobjemové. Dalším typickým problémem je opakované použití kódového slova. V případě společné autentizační algoritmus s názvem Advanced Encryption Standard s Galois Counter Mode (AES-GCM), neopakovatelné speciální parametr, nebo nonce, je nezbytné pro dosažení bezpečnosti. Nicméně, algoritmus je velmi odbarvené pokud je kódové slovo opakovaně, takže nový algoritmus řeší tento problém pro zachování bezpečnosti i po opakovaném použití. nový algoritmus přijímá zprávy delší než 64 gigabajty limit AES-GCM a funguje to rychleji, než AES-GCM na mnoha platformách. CAESAR soutěž CAESAR je soutěž organizována tak, aby důkladně posoudila ověřené šifrovací algoritmy testováním jejich odolnost vůči více třetích stran cryptanalyzing útoky prokázat svou bezpečnost, použitelnost a robustnost. Algoritmy, které obdrží od jiného výrobce dešifrování pomocí CAESAR se očekává, že získat široké přijetí, což je důvod, proč se tento nový algoritmus byl předložen do soutěže. Kandidátské algoritmy budou promítány ročně a první výsledky budou vyhlášeny 15. ledna 2015 s konečnými výsledky budou oznámeny 15. prosince 2017. Na základě výsledků CAESAR soutěže základě NTT a Mitsubishi Electric v úmyslu na výzkumu a vývoji služby a produkty pro machine-to-machine (M2M) aplikací, které zahrnují jejich nový algoritmus, a tím přispět ke zvýšení bezpečnosti a spolehlivosti v oblasti informačních technologií.


IBM: Nikdy jsme sdílené klientských dat s NSA
3.4.2014 Incidenty
IBM je nejnovější tech obří popírat jakoukoli účast PRISM sběru dat programu NSA a tvrdí, že dosud nemáte nastaven vlastní zadní vrátka ve svých produktech.

"S ohledem na širokou škálu vládou navrhovaným předpisů na celém world vztahující se k nakládání a zpracování údajů, klienti nás žádal o otázky o svých údajů - jak nejlépe zajistěte, kde ji najít, a jak bude reagovat by vlády měly Přístup k žádosti, "Robert C. Weber, IBM senior viceprezident pro právní a regulační záležitosti, a generální ředitel, poznamenal v blogu v pátek. "To je také předmětem zájmu našich zaměstnanců, našich partnerů a našich akcionářů. Vzhledem k tomu, globální diskuse o ochraně osobních údajů a soukromí, jsme chtěli sdělit náš pohled na tyto otázky. " Uvedl, že IBM není dána z klientských dat NSA nebo jiné vládní agentury, ať již prostřednictvím PRISM nebo jakékoliv jiné dohledu a sběru dat programu ; že nebyly poskytnuty údaje klienta uložených mimo Spojené státy americké vládě na základě jakéhokoli vnitrostátního bezpečnostního pořádku; že nemají dát zadní vrátka ve svých produktech jménem jakémukoli vládnímu orgánu, ani to, že poskytují Zdrojový kód softwaru nebo šifrovací klíče k nim, aby jim bylo možné přistupovat k datům klienta; a že jsou v souladu s místními zákony - včetně zákonů na ochranu soukromí -. ve všech zemích, ve kterých společnost působí berouce na vědomí, že většina z jeho klienty patří společnosti a organizace, poukázal na to, že pokud vláda chce přístup k údajům v držení IBM jménem podnik klienta, by se očekávat, že vláda jednat přímo s klientem. "U údajů podniku klienta uložených mimo území Spojených států, IBM věří, že každá americká vláda snaha o získání těchto údajů by mělo jít prostřednictvím mezinárodně uznávaných právních kanálů," řekl řekl a dodal, že v případě, že společnost je někdy podávané s národní bezpečnosti, aby nařizuje jim, aby poskytly údaje zákazníků, by napadnout a případné gag objednávky u soudu. Nakonec, on sdílel to, že společnost je toho názoru, že vlády by měly ne podkopávat komerční technologie, které jsou určeny k ochraně obchodních dat, a že oni by měli přemýšlet o zrušení "krátkozraká politiky, jako jsou požadavky na lokalizačních údajů." Dodal také, že americká vláda by měla otevřít diskusi o reformách dozoru a dát veřejnosti větší vhled do různých údajů a sběr zpravodajských programů, které běží, aby získal důvěru veřejnosti.


Upgrade Android, Výtahové Můj malware

3.4.2014 Mobil

Nová studie [1] [2] o Indiana University Bloomington ukazují, že aktualizace všech Android zařízení může útočníkovi umožnit eskalovat apps oprávnění.

Vědci objevili nový druh zranitelnosti názvem hromadná vady, zranitelnost existuje v balíčku Management Service.

Při nové aplikace nainstalována na staré verzi Android požádat o povolení pro funkce, které neexistují v této verzi Androidu, ale když upgradu uživatel na novou verzi, Android udržuje všechna oprávnění, která znamenají, že budou pracovat v nové verze Android.

Vědci vyvinuli detekce službu, tzv. SecUp, který implementuje skeneru na zařízení uživatele zachytit škodlivé aplikace, jejichž cílem je využít pileupu zranitelnost.

Stejně jako mnoho jiných hrozeb, nejlepší zmírňování instalaci pouze důvěryhodný software.

[1] http://www.informatics.indiana.edu/xw7/papers/privilegescalationthroughandroidupdating.pdf

[2] http://www.scmagazine.com/pileup-flaws-enable-privilege-escalation-during-android-updates-researchers-find/article/339854/


cmd.so Synology Scanner také na směrovačích

3.4.2014 Bezpečnost

Včera jsme mluvili o skeneru hledá Synology zařízení, která byla systémem na ARM CPU vybavené DVR. Při pohledu na několika dalších zdrojů těchto vyšetření, jsme vidět pár, který nepochází z obdobných DVR. První odhad byl, že skenování pochází ze zařízení, která seděla za NAT bránou a nebyl vystaven. Na tomto místě, mohlo by to být "něco", dokonce i starý dobrý infikovaných Windows PC.

K našemu překvapení, alespoň v jednom případě se ukázalo, že binární stejným názvem, "cmd.so", byl spuštěn na NAT router sám. Navíc, druhý proces běžel, která vypadala stejně jako Bitcoin horník jsme viděli běží v infikovaných DVR. Je smutné, že jsme nebyli schopni získat binární soubory, ale Processlist vypadá dost podobně, aby se nám věřit, že to je stejné základní binární právě sestaven pro MIPS v tomto případě (router v otázce používá MIPS CPU).

První obrázek ukazuje Processlist s "cmd.so". V tomto případě, binární bylo upuštěno v / var / run, ne / dev, pravděpodobně z důvodu odlišné architektury router umožňuje přístup pro zápis do / var / run. Obrazovka Přehlídka ukazuje částečný výstup příkazu "ps" provedené pomocí směrovače webovým administrátorského rozhraní.

cmd.so v Processlist.

Obrázek 1: Částečný Seznam procesů s "cmd.so". Klikněte na obrázek pro větší verzi.

Obrázek 2: Částečné "ps" výstupu ukazuje podezření Bitcoin horníka. V tomto případě, se nazývá TgW66Q.

Tento proces si myslíme, že je kopie na minerd používá stejné parametry příkazu řádku jako procesu jsme identifikovali jako minerd na DVR.

Pokud máte router, jako je tento, podívejte se, co najdete. Nemáme ještě potřebovat kopii příslušných spustitelné potvrdit naše podezření.


Backdoor v Samsung Galaxy objevené zařízení
1.4.2014 Zranitelnosti

Vývojáři Replicant, je "zcela zdarma / libre verzi Android", objevili backdoor v řadě Samsung Galaxy zařízení, které by mohlo umožnit útočníkovi získat vzdálený přístup k nim a jejich obsahu "Dnešní telefony jsou vybaveny dvěma samostatnými procesory: jeden je univerzální aplikace, procesor, který běží hlavní operační systém, např. Android,. druhý, známý jako modem, pásma, nebo rádio, má na starosti komunikaci s mobilní telefonní sítě Tento procesor běží vždy proprietární operační systém , a tyto systémy je známo, že mají zadní vrátka, díky nimž je možné vzdáleně převést modem do vzdálené špionážní zařízení, "řekl jeden z vývojářů vysvětlil v příspěvku na Free Software Foundation blogu. "špionáž může zahrnovat aktivaci mikrofon zařízení, ale to mohlo také použít přesné GPS polohy zařízení a přístup ke kameře, stejně jako uživatelská data uložená v telefonu. Kromě toho, modemy jsou spojeny po většinu času do sítě operátora, takže na zadní vrátka téměř vždy k dispozici. " Ve své práci se analyzovat tento proprietární program, dodáno a běží na zařízeních Samsung, a zjistili, že to umožňuje modem číst, zapisovat a mazat soubory na úložiště telefonu, a také k přístupu a upravovat osobní údaje uživatele o několik zařízení. "za předpokladu, že modem běží proprietární software a lze dálkově ovládat, že backdoor poskytuje vzdálený přístup k datům v telefonu, a to i v případě, kdy je modem izolované a nemůže získat přístup k ukládání přímo," upozornil Pavel Kocialkowski ven. ale tam je řešení tohoto problému:. vyměnit tento OS pro volný jeden - Replicant, například "Pokud modem žádá číst nebo zapisovat soubory, Replicant nespolupracuje s ním," říká Kocialkowski, ale přidává varování: "Replicant nespolupracuje s zadní vrátka, ale v případě, že modem může převzít kontrolu hlavního procesoru a přepsat software v latter, není tam žádný způsob, jak pro hlavní procesor systém, jako Replicant to zastavit. Ale aspoň víme, že jsme uzavřeli jednu konkrétní backdoor. " Další technické podrobnosti o backdoor a seznam dotčených zařízení lze vyzvednout zde .


Rekordní ceny za Pwn2Own a Pwnium soutěžících
1.4.2014 Konference

Výsledky prvního dne tradičních Pwn2Own hackerské soutěže na CanSecWest konferenci v současné době probíhá ve Vancouveru jsou, a poražení jsou Adobe, Microsoft a Mozilla.

Tým z francouzské bezpečnostní firmy a zranitelnosti / zneužít prodejce Vupen se hrabal v 300000dolar krakování Adobe Reader ($ 75,000), MS Internet Explorer 11 ($ 100,000), Adobe Flash ($ 75,000) a Mozilla Firefox ($ 50,000). Firefox byl ohrožen další dva doba ve stejný den od bezpečnostních výzkumníků Mariusz Mlynski a Jüri Aedla, z nichž každý obdržel $ 50,000 cenu. "Máme pwnd Adobe Reader XI se přetečení haldy + PDF sandbox útěku (aniž by se spoléhat na chyby jádra)," komentoval Vupen na jeho účtu Twitter. "Máme pwnd IE11 na Win8.1 pomocí použití-po-free kombinaci k objektu zmatku v makléřem obejít IE pískoviště." Je zajímavé si povšimnout, že iniciativa společnosti Hewlett-Packard Zero Day (ZDI) - organizátoři Akce - změnila některá pravidla soutěže téměř na poslední chvíli, a nejdůležitější je, že každý, kdo uspěje rozlousknout jeden z cílů bude odměněn, a ne jen první tým nebo jednotlivec, který jej řídí. Samozřejmě, že zranitelností / využije, musí být jiný. "Bylo fascinující vidět různé způsoby, které výzkumníci obchází karantény a způsoby, které zřetězené více zranitelná," ZDI manažer výzkumu zranitelnosti Brian Gorenc komentoval výsledky na celý den. Než soutěž začala, Google je a ZDI tým zúčastnil v Pwn4Fun, samostatné akci, která skončila v úspěšné využití řady nově objevených zranitelností v prohlížeči Safari a IE. Ceny (82.500 dolar celkem) byly darovány do kanadského Červeného kříže. Také ve středu, první den Google sponzorované Pwnium soutěži skončil jeden badatel využití Chrome OS na HP Chromebook 11, vyhrál i notebook a cenu 150,000 dolarů. Soutěž pokračuje ve čtvrtek. Pwn2Own pokračuje, a naplánované "útoky" jsou proti Safari, IE, Firefox, Flash a Chrome. Bohužel zde nejsou žádné naplánované soutěžící pro okázale oznámila Exploit Unicorn událost multi-produktu.


ES-Rada zveřejňuje hack e-mailových účtů zákazníků
1.4.2014 Incidenty

Mezinárodní rada pro elektronickou komerci Consultants (EC-Council), což je organizace, která poskytuje školení a certifikací pro bezpečnostní profesionály, se konečně sdílí některé další podrobnosti o tom, jak byla jejich webové stránky poškozeno v únoru.

Potvrdily, že znetvoření byl výsledek otravy DNS útok, protože jejich registrátor domény byla ohrožena. "Jako útok se stalo přes víkend, bezpečnostní tým EC-Rady měl problémy dosáhnout vhodné registrátora domény personálu k řešení této situace. Jako Výsledkem je, že hacker byl schopen udržet si kontrolu systému registrátora a doména EC-Rady během tohoto období, "oni poznamenal v prohlášení zveřejněné ve středu na svých stránkách. "registrátor domén v otázce nebyl schopen zabezpečit své servery úroveň požadovanou podle ES-Radou a během tohoto období, registrátor domény byla vystavena alespoň dva více časů. " Ale to nebylo všechno, protože stejný útočník podařilo udělat další škody. "ES Rada používá poskytovatele cloud služeb pro podnikové e-mail. Jakmile privilegium domény bylo dosaženo, hacker pak vydal žádost o resetování hesla na poskytovatele e-mailových služeb. Tato obcházet osvědčených postupů mezi ES a Rady o použití složitých hesel a ověřování 2-faktor, "vysvětlili. "S přístupem pro správce na poskytovatele e-mailových služeb, hacker byl schopen ohrozit malý počet e-mailových účtů, než bezpečnostní tým EC-rada byla schopna reagovat na porušení. To vedlo k neoprávněnému přístupu do zpráv v těchto specifických e-mailových schránek na krátkou dobu trvání. Mezi potenciálně napadené účty představují přibližně 2% jejich zákazníků. " Bohužel, organizace není tak přesto potvrzují, že všechna data na těchto účtech byl ohrožen, ale oni jsou za předpokladu, že má, a varují postižené uživatele předpokládat stejný a chránit odpovídajícím Oni říkají, že žádné údaje o kreditní kartě byla ohrožena.. Mezitím, oni říkají, že provedly několik změn, které by měly pomoci zabránit budoucím nehodám, jako je tento: oni "přenést svou doménu k jinému registrátorovi, změnil Politiky týkající se nakládání s osobními údaji, zlepšit existující zásady uchovávání dat, představila dvoufaktorovou autentizaci pro členské portály, a vylepšených bezpečnostních postupů a systémů, "a to je jen začátek. Nakonec řekl, že spolupracují s orgány činnými v trestním řízení v rámci 3 kontinenty v naději, že jedinec za hack je ulovené a stíhány. Ty pořád říkáš, že útočník je jeden, který se zdá naznačovat, že vědí přesně, kdo to je.


1Password 4.2 obsahuje 30 nových funkcí
1.4.2014 Software

Populární správce OS X heslo 1Password dosáhl verze 4.2, která obsahuje více než 30 nových funkcí a vylepšení.

1Password mini
Nyní můžete upravovat položky přímo v 1Password mini!
Upravit generované hesla 1Password mini, příliš
Výrazně zlepšila odpovídající URL umožňuje přihlášení na stránky s sub domén snadno
Konfigurace URL shodu pro subdomén v 1Password> Předvolby> Prohlížeč
Vylepšená podpora pro více Chrome profilů
Pro všeobecný zájem, 1Password mini nyní ukazuje Secure Notes!
1Password mini nyní podporuje přibližné vyhledávání. Například: "oogle" se nyní vrátí položky s názvem "Google".
Automatické ukládání
Okno 1Password je automatické ukládání vás vyzve k uložení nových přihlašovacích jmen ve vaší primární trezoru ve výchozím nastavení
Automatické ukládání nyní prohledává všechny klenby před dotazem uložit / aktualizovat nové Logins
Nyní si můžete vybrat, které klenba použít při ukládání nového Přihlášení.
Položka Editace
Nyní můžete obnovit editaci, pokud 1Password zámky nebo skončí ve středu změny
Můžete dokonce přepínat klenby při editaci položky a obnovení střihu při přepnutí zpět
Snadno přejmenovat tagy přímo v postranním panelu
Editace položky poznámka nyní podporuje Undo / Redo.
Zálohy
Nové tlačítko Najít Backup umožňuje obnovit externí záložní soubory
Nyní můžete obnovit ze zálohy při zahájení 1Password poprvé.
Synchronizace
Vylepšená synchronizace výkon
Vylepšená synchronizace hlášení chyb.
Nové jazyky
Katalánština a dánština lokalizace.
Tweaky
Použijte Go & Fill z hlavní aplikace, i když Váš prohlížeč není otevřen
Nyní můžete řadit podle kategorie v bezpečnostní audit
Vylepšený import z CSV
Rozmačkaný mnoho chyb hlášené naše úžasné zákazníky.


NetWrix uvolní šest nových auditu řešení

1.4.2014 Software

NetWrix vydala šest nových řešení NetWrix auditor, každý nabízené s až pětkrát více funkcí než dříve. "Jako organizace pracovat na realizaci komplexní zabezpečení a dodržování předpisů iniciativy, musí být změna hloubky audit rozšířit do více vrstev, aby bylo zajištěno, že výsledné údaje poskytuje pohled nejen . se systémové změny, ale i na případné změny základních systémů, jako jsou Windows Server běží Active Directory nebo používat jako souborový server nebo SQL databáze, "řekl Michael Fimin, generální ředitel, NetWrix Funkce zahrnuty do každého roztoku NetWrix auditor nyní zahrnují: NetWrix Auditor pro Active Directory - nyní obsahuje auditování Active Directory, Active Directory zotavení, Group Policy auditování a vypršení platnosti hesla upozorňování stejně jako Windows Server Audit, Event Log Management a Uživatel aktivity nahrávání videa za jednu licenci. NetWrix auditora pro souborové servery - nyní zahrnuje soubor systému Windows Server Audit, EMC Storage auditování a NetApp Filer Audit stejně jako Windows Server Audit, protokolu událostí Správa a činnost uživatelů Video Recording pro jednu licenci. NetWrix Auditor for Exchange - nyní obsahuje Exchange Server auditování a Mailbox Access auditování, stejně jako Windows Server Audit, Event Log Management a uživatelské aktivity nahrávání videa za jednu licenci. NetWrix auditora pro SQL Server - nyní zahrnuje SQL Server auditování stejně jako Windows Server Audit, Event Log Management a činnost uživatelů Video Recording pro jednu licenci. NetWrix auditor pro VMware - VMware nyní obsahuje auditování stejně jako Windows Server Audit, Event Log Management a Uživatel aktivity video záznamu pro jednu licenci. NetWrix auditora pro Windows Server - základní řešení (je součástí všech řešení výše), který obsahuje Windows Server auditování, událost Log Management a Uživatel aktivity nahrávání videa za jednu licenci.


High-Bandwidth zesílení NTP DDoS útoky stupňovat

1.4.2014 Počítačový útok

Prolexic vydal s vysokým rizikem upozornění poradenství na NTP zesílení útoků DDoS . Tato metoda útok kypěl v popularitě v letošním roce, poháněný dostupnosti nových DDoS sady nástrojů, které usnadňují vytvářet high-šířka pásma, high-objem DDoS útoky proti on-line cílům.

"V průběhu měsíce února, jsme viděli použití NTP zesílení útoků proti přepětí 371 procent proti naší klientské základny," řekl Stuart Scholly, SVP / GM Security, Akamai Technologies. "Ve skutečnosti, největší útoky jsme viděli na naší síti v letošním roce byli všichni NTP zesílení útoků." Zatímco NTP zesílení útoky byly hrozbou pro mnoho let, počet nových DDoS útoku sady nástrojů, a proto je snazší pro nebezpečné herci zahájit útoky se jen několik serverů. Vzhledem k současné dávky NTP zesílení útoku sady nástrojů, by se zlými úmysly aktérů zahájit 100 Gbps útoky - nebo větší - s využitím jen několik ohrožené NTP serverů. Ve pouhý měsíc (únor 2014 vs ledna 2014):

Počet NTP amplifikace útoků vzrostl 371,43 procenta
Průměrná šířka pásma vrchol DDoS útok zvýšil 217,97 procenta
Průměrný vrchol DDoS útok objem vzrostl 807,48 procenta.
Na rozdíl od největších útoků v posledních dvou letech, amplifikace útoky NTP nebyly zaměřeny na konkrétní odvětví. Obory zaměřené podle NTP zesílení útoků v únoru součástí financování, herní, e-Commerce, internetové a telekomunikační, média, školství, poskytovatelé SaaS a bezpečnost. V laboratoři Prolexic Security Engineering & Response Team prostředí, simulované NTP zesílení útoků produkoval zesílené odpovědi 300x nebo více na šířku pásma útoku a 50x pro objem útoku, takže to extrémně nebezpečná metoda útoku.


Malaysian Airlines letu MH370 našel" video je podvod

1.4.2014 Kriminalita

Cyber ​​podvodníci zneužívají zájem veřejnosti o osud nedávno zmizelo letadlo na Malaysia Airlines letu MH370 nalákat uživatele na vyplňování on-line průzkumy a stahování malware. podvod je v současné době šíří na Facebooku, kde se zprávy, která prohlašuje, že chybí letadlo bylo zjištěno, V Bermudském trojúhelníku a že cestující jsou naživu, a nabízí podívat se na "záchranném video" se objevují. Bohužel pro ty, kteří doufají, že dobré zprávy, odkaz nabídl vede k falešné Facebook stránky, která bude nejprve požádat je, aby "share" stránky, pak přesměrovat na jinou stránku zdánlivě hosting video. , ale opět se oběti budou vyzváni k proskočit obručí, tj. kompletní on-line průzkumy, aby se "dokázat, že je člověk" a sledovat videa. obraz použitý ve zprávě je, že při leteckém neštěstí nedaleko Bali, které se stalo v loňském roce. "Průzkumy se zeptat uživatelům poskytovat své mobilní telefonní čísla, údajně proto, aby se výsledky průzkumu se nebo se zaregistrujte pro cenu. Ale bude v pořádku tisku na straně informovat uživatele, že tím, že předloží svá telefonní čísla, oni jsou vlastně přihlášení do velmi drahé předplatné SMS, která trvá několik dolarů z telefonního účtu uživatele pokaždé, když se odešle text, " vysvětluje Hoax-Slayer . "Ostatní průzkumy a nabídky mohou požádat uživatelům poskytovat své jméno, adresu a telefonní číslo pro pokračování účasti. Tato informace bude později být sdíleny s on-line marketingu, což má za následek nechtěné e-maily, telefonní hovory a pozemní poštou. "

IT Pro portál také zprávy o podobném podvodu dělá kola na Facebooku -. obraz používá odlišný a tvrzení podobná, a to podvod zřejmě vyzývá uživatele ke stažení malware maskující se jako slibované videa Toto není první ani poslední čas, který nejchladnější kybernetické podvodníky a malware trhovců používat falešnou zprávu o tragických událostech uživatelům podvod. Je to vždy dobrý nápad, aby si své novinky od renomovaných zpravodajských serverů a aby se zabránilo podobné nabídky, když přijdou e-mailem, Facebook nebo jiné sociální sítě.


Cíl se nepodařilo jednat o malware upozornění a známky porušení
1.4.2014 Viry

Masivní Cílová data porušení by se dalo snadno zabránit pouze tehdy, pokud jeho IT tým měl dost rozumu, aby důkladně podívat na upozornění, že obdržel od 1600000dolar detekce malware nástroj, pomocí FireEye, která byla nasazena méně než rok před porušením. funkce technologie FireEye je jako první linii obrany detekce / a "vydává" počítačové síti organizace tak, že hackeři by útočí na ně. V systému TARGET v případě, že ano, a nástroj všiml první a následné instance malwaru, že útočníci nasazené na něm. Záznamy byly zaznamenány tým v Indii, který byl dohlédněte na věci, a hlásil do hlavního týmu IT v Minneapolis. Bohužel, tento tým strčil asi trochu a rozhodl se dělat nic. "porušení mohla být tam se zastavil bez lidského zásahu. Systém má možnost automaticky vymazal malware, jak je to detekováno., ale podle dvou lidí, kteří ověřovali výkon FireEye je po porušení, bezpečnostní tým Target obrátil tuto funkci vypnout, "Bloomberg Businessweek zprávy . Zdá se, že toto není tak neobvyklé, jak bezpečnostní týmy se často rozhodnou mít poslední slovo, pokud jde o tento typ rozhodnutí. Je smutné, že nereagovala včas a adekvátně k potlačení nebezpečí sami. Podle některých zpráv, je možné, že tým není důvěryhodný nástroj FireEye je dost, když skončil nasazení této technologie v celé IT systému společnosti jen několik měsíců před porušením, která začala v listopadu. Na druhou stranu, když AV systém společnosti - Symantec Endpoint Protection -. Také zahlédl POS paměti škrábání malware kolem Díkůvzdání, a výslovně upozornil na to přijde ze stejného serveru, který FireEye skvrnami hrozba byla pomocí, které by reagovaly Proč neměli ještě třeba určit. Cílová mluvčí Molly Snyder komentoval zprávy tím, že společnost se prozkoumat upozornění, ale odmítl je. "na jejich interpretaci a vyhodnocení této činnosti základě [Target zabezpečení] tým určil, že to neopravňuje k okamžité následné kroky. S odstupem času jsme se zkoumá, zda, pokud byly provedeny různé rozsudky výsledek může být jiný, "uvedla. Dovedu si představit, hlavy se otáčely ve bezpečnostního týmu v pravý čas. Cíl je další chyby se nedělají dobrou práci , když segmentovat své sítě, a ne si všímat malware, který nainstaloval sám, jak a napodobil název legitimní software pro správu IT sady použité Target. "Pokud se bezpečnostní tým Cíl je už navázala na nejčasnějších záznamů FireEye, mohlo by to být hned za hackerů na jejich únikové cestě. malware měl uživatelská jména a hesla pro místa zastávek servery zlodějům vložené do kódu, podle Jaime Blasco, výzkumník pro zabezpečení firemních AlienVault Labs, "komentoval novinářům. "Target zabezpečení by se přihlásili na servery sami, se nachází v Ashburn, Virginia, Provo, Utah, a Los Angeles, a viděl jsem, že odcizené údaje sedí tam čeká denně pickup hackery., ale v době, kdy společnost vyšetřovatelé na to přišel, že údaje byly dávno pryč. " Tyto nové objevy (a předchozí zprávy ), ukazují, že mnoho společností se snadno investovat do dobré technologie, ale jsou samozřejmě skimping na najímání lidí, kteří budou vědět, jak ji používat efektivně. Upřímně doufám, že další společnosti a maloobchodníci budou učit se z těchto chyb, a proto zlepšit jejich obranu.


Daňové souvislosti s krádeží identity se zvýší
1.4.2014 Incidenty

Daňové souvislosti s krádeží identity je na vzestupu let a ITRC předpovídá, že nebude zpomalovat v roce 2014.

Javelin Strategy & výzkum 2014 Report podvodného zneužití totožnosti našel výskyt krádeží identity vzrostl na 13,1 milionu lidí v roce 2013, což je druhý nejvyšší počet v 11 letech. I podle ITRC, daně související s krádeží identity je jedním z hlavních hnacích sil růstu v celkovém počtu krádeží identity. Procento totožnosti případů krádeží daně související hlášeny oběti call centra na ITRC více než zdvojnásobil za posledních pět let. To bylo odhaleno v FTC Consumer Sentinel Network knize, že za poslední čtyři roky, Florida, Georgia, Louisiana, Mississippi a Alabama se trvale hlášeny vysokou míru vládního související s krádeží identity. V roce 2013, tyto státy hlášeny přibližně polovina jejich celkových stížností krádeže identity byly spojeny s tímto typem trestné činnosti. Západní Virginie identity stížnosti proti krádeži vzrostl z 9 procent v roce 2010 na 44 procent (remizoval s Alabama) v roce 2013. Podle ITRC, uvádí se větší populace starších jedinců, vojenští příslušníci a zvýšené hladiny organizovaného finanční kriminality se obvykle uvádějí vyšší výskyt daně související s krádeží identity. Informace používané k přípravě daně, jako je W-2 formuláře a příjmy, je poklad pro zloději identity, což zločinu zvláště převládající v tomto ročním období. Jak tyto dokumenty měnit ruce, musí být zvláštní pozornost věnována ochraně osobních údajů, ať už elektronické nebo papírové. Tím, daně související čas krádeže identity je objeveno, že obecně nelze vystopovat zpět k osobním údajům je přesným zdrojem původu, která činí 360 taktiky prevence ještě důležitější. ITRC doporučuje tyto tipy, jak předcházet daňovým související s krádeží identity:

Soubor svých daní, jakmile je to možné. Čím déle budete čekat, tím víc času zloděj identity musí podat přiznání za vás
Chraňte svůj počítač a mobilní zařízení s firewally, anti-virus software a komplexních hesel
Nenoste kartu sociálního zabezpečení nebo jiné dokumenty s číslem sociálního zabezpečení s vámi
Objednejte si kopii svého volného roční kreditní zprávy z každé ze tří úvěrové zpravodajské agentury. Uspořádejte tyto žádosti v průběhu celého roku
Shred všechny no-již potřebné doklady v daňové oblasti, které obsahují citlivé informace, s kříž-Cut Shredder. Dokumenty zahrnují příjmy, W-2 formuláře a daňové přípravce faktury.


Pwn2Own 2014 končí, $ 850k distribuovány úspěšných hackery
1.4.2014 Konference
Den dva na hackerské soutěže Pwn2Own na konferenci CanSecWest ve Vancouveru skončila s Safari, Internet Explorer, Firefox, Chrome a Flash jít dolů.

Tým Vupen pokračoval včerejší řetězec úspěchů tím, že udeří Chrome se zneužít chyby zabezpečení použití-po-free v Blink a Webkit remizoval s sandbox útěku Chrome, a přidal další $ 100,000 300,000 dolarů dříve získal. Mají staženy jejich vstup za to, že jít na Safari. prohlížeč Apple byl místo toho úspěšně "pwned" od Liang Chen Keen týmu, který se děje doma s 65,000 dolary v kapse a, samozřejmě, notebook, že to udělal on. Chcete-li, že bude také přidat polovinu 75000dolar on a Zeguang Zhao z team509 byly uděleny pro přetečení haldy Adobe Flash s sandbox obtokem, který vyústil v kódu. George Hotz (aka "geohotovu"), slavný iPhone a PlayStation 3 hacker, sestřelil Firefox i když s out-of-vázané čtení / zápis zranitelnosti, a dostal 50,000 amerických dolarů za to. úspěšný pokus na praskání Internet Explorer byl vykonán Sebastian Apelt a Andreas Schmidt. Jsou využívány dva use-po-bez chyby a zranitelnosti jádra, a vysloužily 50.000 dolarů hlavu. Jung Hoon Lee ASRT také vzal šanci na IE, ale byl neúspěšný. Nakonec anonymní výzkumník, který vstoupil do soutěže na základě plné moci se podařilo využít libovolný čtecí / zapisovací chyba s sandbox bypass, což mělo za následek spuštění kódu, ale bude udělena pouze 60.000 dolary kvůli jedné části prezentace je v kolizi s zranitelnosti prezentované ve středu v soutěži Pwnium sponzorované firmou Google. Letošní Pwn2Own viděl rekordní počet přihlášek. Účastníci byli odměněni 850.000 dolarů celkem -. Bez dobročinné dary nebo hodnoty notebooků a ZDI bodů "Všechny zranitelnosti byly zveřejněny na svých prodejců v Poslanecké zveřejňování, a každý bude pracovat na řešení těchto problémů prostřednictvím svých příslušných postupů , "komentoval Angela Gunn, Senior Security Content Developer, HP Security Research.


Dejte si pozor na dobře provedenou Google Docs podvod typu phishing
1.4.2014 Phishing

Velmi přesvědčivě phishing spam kampaň je v současné době cílení Google Docs a Google navigovat uživatele. Všechno to začíná s e-mailem, který říká, potenciální oběti, že důležitý dokument čeká být viděn na Google Docs, a lze zobrazit kliknutím na odkaz nabízené. Bohužel , odkaz směruje uživatele na legitimní vypadající, ale falešnou přihlašovací stránce Google. "falešná stránka je skutečně hostované na serverech Google a podává přes SSL, takže stránky ještě přesvědčivější. Podvodníci se prostě vytvořili složku uvnitř Google Pohon účet, označen jako veřejnost, nahrál soubor existuje, a pak použít funkci náhledu Disku Google, aby si veřejně přístupné URL, aby ve svých zprávách, "Symantec vědci vysvětlit . pokus o podvod je ještě obtížnější rozpoznat v době, kdy Víte, že přihlášení do Google je něco, co uživatelé obvykle požádán, aby při přístupu na odkaz Google Docs. Ale jakmile oběti předložily své přihlašovací údaje, které jsou odeslány na vzdálený server, a oběti jsou přesměrovány na skutečném dokumentu Google Docs s cílem dokončit iluze.


GFI WirelessSentry přináší Wi-Fi připojení na vedení, aby malé a střední podniky
1.4.2014 Bezpečnost

GFI Software představila GFI WirelessSentry (GFI WISE), řešení cloud-based navržen tak, aby správcům IT sledovat, spravovat a zabezpečit své bezdrátové sítě.

GFI Wise používá lehkou senzor na lokálním počítači u každého přístupového bodu, ve spojení s webové konzoly pro správu cloud. Po nasazení senzor, automaticky identifikuje v blízkosti bezdrátové sítě a přístupové body, které pak mohou být monitorovány a řízeny prostřednictvím řídicího panelu, které lze přistupovat pomocí prohlížeče. Vlastnosti zahrnují: Prodejce a AP Agnostic: Není potřeba nahradit stávající přístupové body, jako GFI moudrý pracuje s existující hardware. Výsledkem je, že náklady jsou udržovány na nízké úrovni, a že je třeba pro vysokozdvižné upgrade zařízení jsou odstraněny, spolu s dodavatele lock-in. vzdálenou správu sítí Wi-Fi: GFI WISE je cloud-based konzole umožňuje sítě dostupné prakticky odkudkoliv přes web- na základě konzole. Bezdrátové posouzení a detekce zranitelnosti: Detekce bezdrátového narušení systému GFI Wise (WIDS) zvyšuje bezpečnost tím, že detekuje hrozby a zranitelnosti, včetně podvodů, přístupových bodů a kolem bezdrátové síti organizace, upozorňování IT zaměstnanců na jejich existenci. monitorování šířky pásma: GFI Wise senzory sledovat bezdrátové připojení a provoz na přístupovém bodu. Senzory hlasování do webové konzole na nakonfigurované intervalu přes zabezpečené připojení. Při check-in, senzor posílá aktualizované připojení zařízení a informace o využití na webové konzole. VIP Monitoring: GFI Wise umožňuje schopnost označit určitá zařízení, jako jsou To zajišťuje administrátoři dostávat okamžitá upozornění, když tato zařízení připojit do sítě, "VIP". a ukazuje jejich umístění. Skutečné upozornění čas: GFI Wise umožňuje správcům IT a správcům bezdrátové sítě sledovat své sítě pomocí ovládacího panelu. Kromě toho, pomocný personál může přijímat v reálném čase upozornění na kritické a varovné událostí prostřednictvím SMS nebo e-mailu. "GFI moudrý je důležitý nástroj pro IT administrátorům monitorovat, spravovat a zabezpečit svou bezdrátovou majetek," řekl Sergio Galindo, generální ředitel Infrastruktura Business Unit v GFI Software. "Jeho schopnost sledování pomáhá snižovat bezdrátové sítě se čas, jeho schopnost vedení umožňuje uživatelům spravovat bezdrátové sítě s více místech, a její bezpečnostní funkce, dělá vše, co od identifikace nepoctiví přístupových bodů a detekci všech klientských zařízení s připojením k bezdrátové síti, aby jejich umístění hrozeb a zranitelnosti klientských sítí. Jedná se o velmi jednoduchý a přímočarý způsob, jak pro IT administrátorům monitorovat a spravovat jejich sítě, za velmi rozumnou cenu. "


Druhá NSA Crypto nástroje Nalezeno v RSA BSAFE
1.4.2014 Šifrování

Tým akademiků vydala studii o zhoubného Dual ES DRBG použitého algoritmu RSA Security Bsafe a dalších kryptografických knihoven, které obsahuje nové důkazy, že Národní bezpečnostní agentura používá druhý šifrovací nástroj, spolu s Dual ES DRBG v Bsafe usnadnit špionáže.

Obvinění v přísně tajné dokumenty unikly Edward Snowden říct NSA převrácený standardy NIST před procesu lety s cílem přispět slabiny algoritmu Dual ES DRBG. Reuters pak hlásil v prosinci, že RSA Security byla věnována 10000000 dolar , aby bylo výchozí nastavení generátoru náhodných čísel v Bsafe. Tyto knihovny jsou nejen v produktech RSA, ale v dobrém počtu komerčních a open source softwarových balíků.

Papíru, " na praktické využitelnosti Dual ES v TLS realizací , "k závěru, že Dual ES mohou být popraskané v krátké době vzhledem k jeho inherentní předvídatelnost nedostatky v generování náhodných čísel. Zahrnutí rozšířeného Random rozšíření v Bsafe snižuje čas potřebný k prasknutí algoritmus exponenciálně, ze tří hodin na Microsoft Windows SCHANNEL II na čtyři sekund Bsafe pro C. Vědci také testována implementace OpenSSL je duální ES a zjistil, že nejvíce obtížné bezva.

Zpráva dnes ráno agentura Reuters outed přítomnost rozšířeného Random ve Dual ES DRBG, rozšíření funguje v rozporu s jejím posláním zvýšení náhodnosti čísel generovaných algoritmem.

Reuters dnes řekl, že při použití rozšířeného Random není všudypřítomný, RSA postaven podporu rozšířeného náhodné Bsafe pro Javu v roce 2009. Příspěvek vysvětluje, jak výzkumníci používají 40.000 amerických dolarů v hodnotě serverů v jejich experimentu a že praskání Bsafe pro C a Bsafe pro Javu byly nejvíce přímočaré útoky.

"V Bsafe implementace TLS, aby Dual ES zadní dveře velmi snadno využít dvěma způsoby," napsali vědci. "Java verze BSAFE patří otisky prstů v připojení, takže je lze snadno identifikovat. C verze BSAFE umožňuje drastické zrychlení v útoku tím, že vysílá delší řetězce náhodných bitů, než by se na první pohled představit, že je možné s ohledem na standardy TLS. "

Stephen Checkoway, asistent výzkumu profesor na Johns Hopkins, řekl agentuře Reuters, že by to bylo 65000 krát rychleji s rozšířenou Random.

RSA Security uvedla, že odstraní Rozšířená náhodném pořadí v posledních šesti měsících, ale jeho technický ředitel Sam Curry nechtěl komentovat, zda vláda zaplatila RSA zahrnout protokol v Bsafe stejně.

RSA doporučuje vývojářům v září na rozjezd Dual ES DRBG, jeden týden po NIST udělal podobnou doporučení. Ale experti byli skeptičtí algoritmu dlouho předtím, než Edward Snowden a dohled byly součástí lexikonu den-to-day. V roce 2007, kryptografie odborníci Dan Shumow a Niels Ferguson dal prezentaci mezník na nedostatky v algoritmu, a Bruce Schneier napsal klíčový esej, ve kterém je řekl, že nedostatky v Dual ES DRBG "se dá popsat pouze jako zadní vrátka."

Schneier napsal, že algoritmus byl pomalý a měl zkreslení, což znamená, že náhodná čísla, které vyvolá nejsou tak náhodné. Podle nového dokumentu, za předpokladu, že útočník generované konstanty v Dual ES jako NSA by měla, pokud je vložena backdoor do RNG-by měl být schopen předvídat budoucí výstupy.

"Co Shumow a Ferguson ukázal, je, že tato čísla mají vztah s druhým, tajné sady čísel, která mohou působit jako jakýsi kostlivců. Pokud víte, že tajné čísla, můžete předvídat výstup generátoru náhodných čísel po sběru pouhých 32 bajtů svým výkonem, "napsal Schneier v eseji. "Chcete-li dát, že v reálných podmínkách, jen je třeba sledovat jeden TLS šifrování připojení k Internetu za účelem prolomení bezpečnosti tohoto protokolu. Pokud víte, že tajné čísla, můžete zcela rozbít jakékoliv konkretizaci Dual_EC_DRBG.

"Vědci nevědí, co tajná čísla," řekl Schneier. "Ale kvůli tomu, jak algoritmus funguje, osoba, která vyrábí konstanty mohl vědět, že měl matematický možnost produkovat konstanty a tajné čísla v tandemu."

Během víkendu, Steve Marquess, zakládající partner v Nadaci OpenSSL Software, udeřil FIPS 140-2 testování validace a spekuloval, že nedostatky v Dual ES DRBG byla pečlivě naplánována a provedena, přirovnávat je k pokročilé přetrvávající hrozby v příspěvku na jeho osobní webové stránky . FIPS 140-2 je standardem vlády, proti kterému kryptografické moduly jsou certifikovány.

Marquess řekl FIPS-140-2 validace zakazuje změny ověřených modulů, volat to "politováníhodné".
"To je, myslím, snad ještě víc než riggingem norem, jako je Dual ES DRBG, je skutečný dopad kryptografického modulu programu ověřování," napsal. "Je to hrozně brání přirozeně se vyskytující proces evoluční zlepšení, které by jinak omezit užitečnost vědomě využívaných zranitelnosti."

Nabídl se modul OpenSSL FIPS jako příklad, kde zranitelnosti žijí na, včetně Lucky 13 a CVE-2014-0.076.

"To je důvod, proč jsem se dlouho na záznamu jako pověst, že" ověřen modul je nutně méně bezpečné, než jeho unvalidated ekvivalent ", např. OpenSSL FIPS modulu oproti skladem OpenSSL," řekl.

Dual DRBG ES, však není ve výchozím nastavení povolena v objektu modulu OpenSSL FIPS, ale jeho přítomnost nabízí útočníkovi, který je na serveru jinou cestou možnost, aby mohl tiše.

"Jako APT zástupce již máte přístup k mnoha cílových systémů prostřednictvím různých prostředků, jako je" kvantový zachytit "stylu vzdálených kompromisů a přístup k produktům na několika místech v dodavatelském řetězci. Nechcete instalovat Ransomware nebo ukrást čísla kreditních karet, chcete decentní a trvalý přehled o všech elektronických komunikacích, "napsal Marquess. "Ty chceš odejít jako malou stopu, která, jak je to možné, a latentní realizace Dual ES DRBG v modulu OpenSSL FIPS pomáhá diskrétní kompromis. Tím, jen přepsat pár slov objektového kódu můžete tiše umožnit využití Dual ES, zda je režim FIPS je vlastně povoleno, nebo ne. Udělej to v živé paměti, a máte v podstatě nezjistitelné hack. "

Marquess řekl, že nejlepší obrana je nemít kód dárek vůbec, a že OSF se snaží, aby se ho odstranit ze svého FIPS modulu.


Aféra NSA mění přístup firem k citlivým datům

1.4.2014 Zabezpečení
Podle průzkumu mezi velkými podniky se v tomto segmentu mění přístup ke způsobu práce s citlivými údaji.

S tím, jak se postupně objevují informace o rozsáhlé špionáži americké agentury NSA, které získal její bývalý spolupracovník Edward Snowden, mění se i postoj korporací ke komerčně citlivým údajům. Tato změna může mít podle nově zveřejněné studie velký dopad i na internet. Podle průzkumu mezi 1 000 korporací z celého světa postupně nastane odklon od cloudů k jiným, bezpečnějším způsobům nakládání s firemními daty.

S tím souvisí i tlak některých zemí na peering v jednotlivých oblastech tak, aby data v jejich rámci neputovala přes USA, jak je tomu v mnoha případech v současnosti. Snahy v tomto směru vyvíjejí například Německo s Francií v Evropské unii nebo Brazílie v Latinské Americe.

Daniel Castro z Nadace pro informační technologie a inovace, která průzkum pořádala, konstatoval, že výzkum potvrdil, že americké technologické firmy v následujících letech výrazně pocítí pokles důvěry zbytku světa k americkým technologiím. „Snowdenova odhalení způsobila postoj vedoucích pracovníků IT k pořizování nových technologií,“ uvedl Castro. „Společnosti si nyní nekonkurují jen v ceně a kvalitě, ale i v zeměpisné poloze. To může být posledním hřebíkem do rakve pro vizi o globálním internetu bez hranic,“ dodal.

Podle výzkumu téměř třetina dotázaných přesouvá své privátní data do míst, „kde podle jejich názoru budou v bezpečí“ a 16 % jich odložilo nebo zrušilo své smlouvy s poskytovateli cloudových služeb.

Americké technologické podniky již vyjádřily své znepokojení nad možnými dopady aféry kolem NSA na jejich možnosti podnikání po celém světě, například zakladatel Facebooku Mark Zuckerberg a Eric Schnidt, předseda představenstva Googlu, se setkali s prezidentem Barackem Obamou, aby mu vyjádřili své obavy o negativní komerční dopad amerického špionážního programu.

Podle Castra ale americká politika nepostihuje pouze globální korporace. „V tomto případě nejde pouze o velké hráče, ale i o začínající a střední firmy. Tato situace ve svém důsledku podkope i jejich základy,“ upozornil Castro.