28.12.2017 Symantec Cyber As 2017 draws to a close, here is what you can expect over the course of the upcoming year This past year, cyber criminals caused major service disruptions around the world, using their increasing technical proficiency to break through cyber defenses. In 2018, we expect the trend to become more pronounced as these attackers will use machine learning and artificial intelligence to launch even more potent attacks.
Gear up for a busy year ahead. Incidents like the WannaCry attack, which impacted more than 200,000 computers worldwide in May, are just the warmup to a new year of more virulent malware and DDoS attacks. Meanwhile, cyber criminals are poised to step up their attacks on the millions of devices now connected to the Internet of Things both in offices and homes.
As 2017 draws to a close, here is what you can expect over the course of the upcoming year:
Blockchain Will Find Uses Outside Of Cryptocurrencies, But Cyber criminals Will Focus On Coins and Exchanges
Blockchain is finally finding applications outside of crypto-currencies, expanding to inter-bank settlements, fuelled by increasing traction in IoT. However, these use cases are still in their infancy and are not the focus for most cyber criminals today. Instead of attacking Blockchain technology itself, cyber criminals will focus on compromising coin-exchanges and users’ coin-wallets since these are the easiest targets, and provide high returns. Victims will also be tricked into installing coin-miners on their computers and mobile devices, handing their CPU and electricity over to cyber criminals.
Cyber Criminals Will Use Artificial Intelligence (AI) & Machine Learning (ML) To Conduct Attacks
No cyber security conversation today is complete without a discussion about AI and ML. So far, these conversations have been focused on using these technologies as protection and detection mechanisms. However, this will change in the next year with AI and ML being used by cyber criminals to conduct attacks. It is the first year where we will see AI versus AI in a cybersecurity context. Cyber criminals will use AI to attack and explore victims’ networks, which is typically the most labour-intensive part of compromise after an incursion.
Supply Chain Attacks Will Become Mainstream
Supply chain attacks have been a mainstay of classical espionage and signals-intelligence operators, compromising upstream contractors, systems, companies and suppliers. They are highly effective, with nation-state actors using human intelligence to compromise the weakest links in the chain, as well as malware implants at the manufacture or distribution stage through compromise or coercion.
These attacks are now moving into the mainstream of cyber crime. With publicly available information on technology, suppliers, contractors, partnerships and key personnel, cyber criminals can find and attack weak links in the supply chain. With a number of high-profile, successful attacks in 2016 and 2017, cyber criminals will focus on this method in 2018.
This past year, cyber criminals caused major service disruptions around the world, using their increasing technical proficiency to break through cyber defenses. In 2018, we expect the trend to become more pronounced as these attackers will use machine learning and artificial intelligence to launch even more potent attacks.
File-less and File-light Malware Will Explode
2016 and 2017 have seen consistent growth in the amount of file-less and file-light malware, with attackers exploiting organizations that lack in preparation against such threats. With fewer Indicators of Compromise (IoC), use of the victims’ own tools, and complex disjointed behaviours, these threats have been harder to stop, track and defend against in many scenarios. Like the early days of ransomware, where early success by a few cyber criminals triggered a gold-rush like mentality, more cyber criminals are now rushing to use these same techniques. Although file-less and file-light malware will still be smaller by orders-of-magnitude compared to traditional-style malware, they will pose a significant threat and lead to an explosion in 2018.
Organisations Will Still Struggle With Security-as-a-Service (SaaS) Security
Adoption of SaaS continues to grow at an exponential rate as organizations embark on digital transformation projects to drive business agility. This rate of change and adoption present many security challenges as access control, data control, user behaviour and data encryption vary significantly between SaaS apps. While this is not new and many of the security problems are well understood, organizations will continue to struggle with all these in 2018.
Combined with new privacy and data protections laws going into effect globally, these will pose major implications in terms of penalties, and more importantly, reputational damage.
Organisations Will Still Struggle With Infrastructure-as-a-Service (IaaS) Security – More Breaches Due to Error, Compromise & Design
IaaS has completely changed the way organisations run their operations, offering massive benefits in agility, scalability, innovation and security. It also introduces significant risks, with simple errors that can expose massive amount of data and take down entire systems. While security controls above the IaaS layer are a customer’s responsibility, traditional controls do not map well to these new cloud-based environments – leading to confusion, errors and design issues with ineffective or inappropriate controls being applied, while new controls are ignored. This will lead to more breaches throughout 2018 as organizations struggle to shift their security programs to be IaaS effective.
Financial Trojans Will Still Account For More Losses Than Ransomware
Financial Trojans were some of the first pieces of malware to be monetised by cyber criminals. From simple beginnings as credential-harvesting tools, they have since evolved to advanced attack frameworks that target multiple banks, and banking systems, sending shadow transactions and hide their tracks. They have proven to be highly profitable for cyber criminals. The move to mobile, application-based banking has curtailed some of the effectiveness, but cyber criminals are quickly moving their attacks to these platforms. Cyber criminals’ profits from Financial Trojans is expected to grow, giving them higher gains as compared to Ransomware attacks.
Expensive Home Devices Will Be Held To Ransom
Ransomware has become a major problem and is one of the scourges of the modern Internet, allowing cyber criminals to reap huge profits by locking up users’ files and systems. The gold-rush mentality has not only pushed more and more cyber criminals to distribute ransomware, but also contributed to the rise of Ransomware-As-A-Service and other specializations in the cyber criminal underworld. These specialists are now looking to expand their attack reach by exploiting the massive increase in expensive connected home devices. Users are generally not aware of the threats to Smart TVs, smart toys and other smart appliances, making them an attractive target for cyber criminals.
IoT Devices Will Be Hijacked and Used in DDoS Attacks
In 2017, we have seen massive DDoS attacks using hundreds of thousands of compromised IoT devices in people’s homes and workplaces to generate traffic. This is not expected to change with cyber criminals looking to exploit the poor security settings and lax personal management of home IoT devices. Furthermore, the inputs and sensors of these devices will also be hijacked, with attackers feeding audio, video or other faked inputs to make these devices do what they want rather than what users expect them to do.
IoT Devices Will Provide Persistent Access to Home Networks
Beyond DDoS attacks and ransomware, home IoT devices will be compromised by cyber criminals to provide persistent access to a victim’s network. Home users generally do not consider the cyber security implications of their home IoT devices, leaving default settings and not vigilantly updating them like they do with their computers. Persistent access means that no matter how many times a victim cleans their machine or protects their computer, the attacker will always have a backdoor into victims’ network and the systems that they connect to.
Attackers Exploit The Move To DevOps
The agile, DevOps and DevSecOps movements are transforming IT and cyber-security operations in every organisation. With improved speed, greater efficiencies and more responsive delivery of IT services, this is quickly becoming the new normal. While all this works to the greater good, like any disruptive change, it offers opportunities not only for errors, but also for attackers to exploit. Much like the issues facing the move to SaaS and IaaS, organizations are struggling to apply security controls in these new models of CI/CD and automation. As environments change constantly, anomaly detection gets harder, with many existing systems creating far too many false positives to be effectively dealt with. In the next year, we’ll see a greater number of attackers taking advantage of this to cover their activities inside a victim’s environment.
Cryptowars Redux Enters Its Second Phase
The cryptowars were fought and won in the 1990s, or so everyone thought. Over the last two years, however, the struggle has re-emerged with governments, policy makers, law enforcement, technology companies, telcos, advertisers, content providers, privacy bodies, human rights organisations and pretty much everyone expressing different opinions on how encryption should be used, broken, circumvented or applied. The war will continue to be fought on a mostly privacy versus government surveillance basis, particularly for device and communications (email and messaging) encryption. Beyond that, though, expect to see content providers, telcos and advertisers influencing much of the adoption of transport layer encryption, as it’s often viewed as being at odds with their business models.
Kernel Exploit for Sony PS4 Firmware 4.05 Released, Jailbreak Coming Soon 27.12.2017 thehackernews Exploit Wishing you all a very 'belated' Merry Christmas. This holiday season Santa has a very special gift for all PlayStation gamers. Developer SpecterDev finally released a fully-functional much-awaited kernel exploit for PlayStation 4 (firmware 4.05) today—almost two months after Team Fail0verflow revealed the technical details of it. Now available on Github, dubbed "namedobj," the kernel exploit for the PlayStation 4 on 4.05FW allows users to run arbitrary code on the gaming console, enabling jailbreaking and kernel-level modifications to the system. Although PS4 kernel exploit does not include Jailbreak code, others can develop a full jailbreak exploit using it. Jailbreaking allows users to run custom code on the console and install mods, cheats, third-party applications, and games that are typically not possible because of the anti-piracy mechanisms implicated on the Sony PlayStation. "This release, however, does not contain any code related to defeating anti-piracy mechanisms or running homebrew," SpecterDev said. "This exploit does include a loader that listens for payloads on port 9020 and will execute them upon receival." It should be noted that for some users it may not work as smooth as it sounds. "This exploit is actually incredibly stable at around 95% in my tests. WebKit very rarely crashes and the same is true with kernel. I've built in a patch so the kernel exploit will only run once on the system. You can still make additional patches via payloads," SpecterDev warned. PS4 gamers who are running firmware version lower than 4.05 can simply update their console to take advantage of this exploit. Of course, Sony would not be happy with the launch of PlayStation 4 kernel exploit and would be trying hard to eliminate any vulnerability for the most recent version of PS4 firmware.
For the second year in a row, “123456” was the top password found in data dumps in 2017 27.12.2017 securityaffairs Hacking
For the second year in a row, “123456” was the top password found in data dumps in 2017 despite the numerous warning of using strong passwords. For the second year in a row, “123456” was the top password among the millions of cleartext passwords exposed online due to the numerous data breaches suffered by organizations and private firms.
The list was published by researchers at SplashData who analyzed more than five million user records containing passwords that were leaked online in 2017.
“Use of any of the passwords on this list would put users at grave risk for identity theft,” said a SplashData spokesperson in a press release.
The list of Top 100 Worst Passwords of 2017 is embarrassing, it includes a huge number of sports terms (football, baseball, soccer, hockey, Lakers, jordan23, golfer, Rangers, Yankees) and car brands (Corvette, Ferrari, Harley, Mercedes).
Users continue to use common names as their passwords, names like of Robert (#31), Matthew (#32), Jordan (#33), Daniel (#35) and many others continue to be widely used.
Top passwords are the basic components of lists used by hackers in brute force attacks based on dictionaries. Attackers will use the Top password list also to create common variations on these words using simple algorithms, for example by adding a digit or any other character combinations at the start or end of words.
Despite the numerous report published by the experts, users continue to adopt weak passwords and tend to reuse them to access several web services.
Let me close the post with the list of the Top 10 passwords extracted from the SplashData report.
The popular cryptocurrency exchange EtherDelta suffered a DNS attack 27.12.2017 securityaffairs Hacking
The popular cryptocurrency exchange EtherDelta was hacked, attackers conducted a DNS attack that allowed to steal at least 308 ETH ($266,789) as well as a large number of tokens. The spike in cryptocurrency values is attracting cybercriminals, the last victim is the popular cryptocurrency exchange EtherDelta that announced a potential attack against its DNS server. As result of the attack, the exchange suspended its service, below the tweet sent by the company that confirms that its server was hacked by attackers.
EtherDelta @etherdelta Dear users, we have reason to believe that there had been malicious attacks that temporarily gained access to @etherdelta http://EtherDelta.com DNS server. We are investigating this issue right now - in the meantime please DONOT use the current site.
9:34 PM - Dec 20, 2017 81 81 Replies 536 536 Retweets 359 359 likes Twitter Ads info and privacy The attackers spoofed EtherDelta’s domain to trick users into sending money.
“At least 308 ETH ($266,789) were stolen, as well as a large number of tokens potentially worth hundreds of thousands of dollars.” reported Mashable.
EtherDelta posted another tweet to warn its users and explain that the impostor’s app had no chat button on the navigation bar, nor did it have an official Twitter feed on the bottom right. EtherDelta advised all users not to use the site.
EtherDelta @etherdelta ⚠️ 2/2 *BE AWARE* The imposer's app has no CHAT button on the navigation bar nor the offical Twitter Feed on the bottom right. It is also populated with a fake order book.
9:48 PM - Dec 20, 2017 296 296 Replies 517 517 Retweets 410 410 likes Twitter Ads info and privacy On Dec. 22, the service was fully restored. The company clarified that users using the MetaMask or hardware wallet on EtherDelta were not affected by the attack, also users that had never imported their private key on the imposer’s phishing site are safe.
Recently another cryptocurrency exchange, the South Korean Youbit has gone bankrupt after suffering a major cyber attack for the second time this year.
Earlies December, the cryptocurrency mining market NiceHash confirmed it has fallen victim to a hacking attack that resulted in the loss of $60m worth of Bitcoin.
The EtherDelta hack is emblematic, even if EtherDelta is supposed to be decentralized the attack against its website caused serious problems to the company operations.
Mozilla patches five issues in Thunderbird, including a critical flaw 27.12.2017 securityaffairs Vulnerebility
Mozilla issued a critical security update to address five flaws in the popular open-source Thunderbird email client. The latest release, Thunderbird 52.5.2 version, fixes the vulnerabilities, including two issues rated as high, one rated moderate and another low.
The most severe flaw fixed with the Thunderbird 52.5.2 version is a critical buffer overflow vulnerability (tracked as CVE-2017-7845) that affects Thunderbird running on the Windows operating system.
“A buffer overflow occurs when drawing and validating elements using Direct 3D 9 with the ANGLE graphics library, used for WebGL content. This is due to an incorrect value being passed within the library during checks and results in a potentially exploitable crash.” reads the security advisory published by the Mozilla Foundation.
The two security vulnerabilities rated as high were CVE-2017-7846 and CVE-2017-7847. The first one (CVE-2017-7846) affects the Thunderbird’s RSS reader.
“It is possible to execute JavaScript in the parsed RSS feed when RSS feed is viewed as a website, e.g. via “View -> Feed article -> Website” or in the standard format of “View -> Feed article -> default format” reads the advisory.
The second high-severity issue tracked as CVE-2017-7847 also affect the RSS reader.
“Crafted CSS in an RSS feed can leak and reveal local path strings, which may contain user name.” states the advisory.
The moderate issue tracked as CVE-2017-7848 also affects the RSS feed, while low issue tracked as CVE-2017-7829 impacts email.
“It is possible to spoof the sender’s email address and display an arbitrary sender address to the email recipient. The real sender’s address is not displayed if preceded by a null character in the display string.” reads Mozilla’s advisory.
The spike in Bitcoin price is making it a less useful payment method in the cybercrime underground 27.12.2017 securityaffairs CyberCrime
The recent spike in the Bitcoin price and the fees associated with each transaction are making Bitcoin a less useful payment method in the cybercrime underground. We have a long debated the use of unregulated virtual currencies like Bitcoin in the criminal underground. Virtual currencies have a crucial role in facilitating illicit commerce, it is normal that their fluctuation could have a significant impact on the criminal ecosystem. The recent spike in the price of Bitcoin and the fees associated with each transaction are making Bitcoin a less useful payment method in the cybercrime underground.
Originally, one of the points of strength for Bitcoin was that payments would be fast, cheap, and convenient. This was true until the beginning of this year when Bitcoin fees were often less than $0.10.
Bitcoin price spike
The spike in the Bitcoin value and related fees per transaction has made Bitcoin far less attractive for conducting small-dollar transactions that represent the vast majority of payments in the criminal underground.
“As a result, several major underground markets that traffic in stolen digital goods are now urging customers to deposit funds in alternative virtual currencies, such as Litecoin. Those who continue to pay for these commodities in Bitcoin not only face far higher fees, but also are held to higher minimum deposit amounts.” wrote the popular investigator and security blogger Brian Krebs.
Krebs cited as an example the case of the black marketplace “Carder’s Paradise” that he recently analyzed, well its administrators admitted difficulties due to the spike in the value of Bitcoin.
Krebs explained that the current minimum deposit amount on Carder’s Paradise is 0.0066 BTCs (roughly USD $100). The deposit fee for each transaction is $15.14, this means that every time a user of the black market deposits the minimum amount into this shop is losing approximately 15 percent his deposit in transaction fees.
“The problem is that we send all your deposited funds to our suppliers which attracts an additional Bitcoin transaction fee (the same fee you pay when you make a deposit),” Carder’s Paradise explains. “Sometimes we have to pay as much as 5$ from every 1$ you deposited.”
“We have to take additionally a ‘Deposit fee’ from all users who deposit in Bitcoins. This is the amount we spent on transferring your funds to our suppliers. To compensate your costs, we are going to reduce our prices, including credit cards for all users and offer you the better bitcoin exchange rate.”
“The amount of the Deposit Fee depends on the load on the Bitcoin network. However, it stays the same regardless of the amount deposited. Deposits of 10$ and 1000$ attract the same deposit fee.”
“If the Bitcoin price continues increasing, this business is not going to be profitable for us anymore because all our revenue is going to be spent on the Bitcoin fees. We are no longer in possession of additional funds to improve the store.”
“We urge you to start using Litecoin as much as possible. Litecoin is a very fast and cheap way of depositing funds into the store. We are not going to charge any additional fees if you deposit Litecoins.”
In the case of the Carder’s Paradise, the huge volume of transactions allowed the administrators to lower the price of stolen credit cards to compensate the increase of the transaction fees, but it is an exceptional scenario.
“Our team made a decision to adjust the previous announcement and provide a fair solution for everyone by reducing the credit cards [sic] prices,” the message concludes.
Transaction fees are too high and operators of black marketplaces could be forced to refuse payments in Bitcoin.
Three fake Bitcoin wallet apps were removed from the official Google Play 27.12.2017 securityaffairs Android
Researchers from the mobile security firm Lookout have discovered three fake Bitcoin wallet apps in the official Play store, Google promptly removed them. Experts from mobile security firm Lookout have discovered three fake Bitcoin wallet apps in the official Play store. The fake Bitcoin wallet apps were removed by Google Play after security researchers reported their discovery to the tech giant.
The spike in Bitcoin prices is attracting crooks as never before, the number of attacks involving the cryptocurrency continues to increase.
The three fake applications tracked as PickBitPocket were developed to provide the attacker’s Bitcoin address instead of the seller’s one. The fake apps accounted for a total of up to 20,000 downloads before Google removed them from the Play store.
“Lookout has identified three Android apps disguised as bitcoin wallet apps, previously in the Google Play Store, that trick victims into sending bitcoin payments to attacker-specified bitcoin addresses.” reads the analysis published by Lookout.
“Google removed the apps immediately after Lookout notified the company. The apps collectively had up to 20,000 downloads at time of removal.”
The researchers explained that when users that installed the fake apps attempt to buy goods or services their payments are hijacked to the attacker’s wallet.
The three fake Bitcoin wallet apps discovered by Lookout are:
Bitcoin mining, which had between 1,000 and 5,000 installs at the time it was removed; Blockchain Bitcoin Wallet – Fingerprint, which had between 5,000 and 10,000 installs; Fast Bitcoin Wallet, which has between 1,000 and 5,000 installs.
“As Bitcoin captures broader interest, this means more people may be purchasing the cryptocurrency, or looking for mobile wallets to store their coins. Individuals should be vigilant in choosing a secure wallet and should also have a security solution in place to identify malicious activity on their device,” concluded Lookout.
ATMs operated by a Russian Bank could be hacked by pressing five times the ‘Shift’ key 27.12.2017 securityaffairs Hacking
ATMs operated by the Sberbank bank running Windows XP are affected by easily exploitable security vulnerabilities, they could be hacked by pressing five times the ‘Shift’ key. We have warned several times of risks for ATM running outdated Windows XP operating system. These systems could be easily hacked as recently discovered by an employee of the Russian blogging platform Habrahabr who reported that the ATMs operated by the Sberbank bank running Windows XP are affected by easily exploitable security vulnerabilities.
The user discovered that a full-screen lock that prevents access to various components of an ATM operating system could be bypassed by pressing five times special keys like SHIFT, CTRL, ALT, and WINDOWS.
By pressing the SHIFT key five times it is possible to access the Windows settings and displaying the taskbar and Start menu of the operating system, with this trick users can have access to Windows XP by using the touchscreen.
“Well, I, standing at the terminal of the Savings Bank with a full-sized keyboard and waiting for the operator to answer the phone, decided to press this Shift from boredom, naively believing that without functional keys this would lead to nothing. No matter how it is! Five times quick pressing of this key gave me that very little window, besides revealing the task panel with all the bank software.” wrote the user.
“Stopping the work of the batch file (see the taskbar on the video below), and then all the banking software, you can break the terminal.”
This vulnerability allows hackers to modify ATM boot scripts and install malicious code on the machine.
The users tried to report the issue to the Sberbank contact center, but unfortunately, the operator was not able to help the man and suggested him to contact the support service using the phone number written on the terminal itself.
According to the German website WinFuture, Sberbank had been informed of the security flaw in its ATM almost two weeks ago. The bank confirmed to have immediately fixed the security issue, but the user who discovered the flaw claimed that the issue is still present on the terminal he visited.
“In tech support, a friendly girl after I said that I want to report a vulnerability, immediately switched me to some other specialist. He first asked how to contact me and the terminal number, then on the nature of the problem, then I listened to music for a long time, and, after all, the guy said that the problem is fixed. ” continues the user.
“All this happened on the sixth of December. Two weeks later I decided to check that there is a terminal. Still, after all, they said that they “fixed” the problem, probably they should have already eliminated it, but no – it’s still there, the window still pops up.”
Security experts urge financial institutions to update the latest version of Windows for their ATMs.
Eliminace hesel je běh na dlouhou trať
27.12.2017 SecurityWorld Zabezpečení Odstranění hesel bude trvat roky, uznává oborová aliance FIDO. Podle jejích slov je však na dobré cestě k rychlejšímu, jednoduššímu a mnohem bezpečnějšímu standardu autentizace.
Aliance FIDO (dříve známá jako Fast Identity Online) má v úmyslu eliminovat hesla. Na první pohled to nevypadá jako těžký úkol. Mezi bezpečnostními experty probíhá diskuze, že hesla jsou dnes už špatným a zastaralým způsobem autentizace.
Důkazy jsou zdrcující. Většina lidí navzdory doporučením používat dlouhá a složitá hesla, měnit je alespoň jednou za měsíc a vyhnout se použití stejného hesla pro více webů tak nečiní.
Masivní úniky
Nedávná zpráva společnosti Verizon o únicích dat (Data Breach Incident Report) konstatuje, že 63 procent všech úniků dat bylo umožněno tím, že se použila ukradená, slabá anebo výchozí hesla.
I když mohou být hesla složitá, problémem je jejich potenciální ukradení. Jen v posledních měsících došlo k řadě oznámení o katastrofických únicích hesel – 33 milionů z Twitteru, 165 milionů z LinkedInu, 65 milionů z Tumbleru, 360 milionů z MySpace, 127 milionů z Badoo, 171 milionů z VK.com a další.
Nick Bilogorskly, šéf hrozeb ve společnosti Cyphort, nedávno uvedl, že nyní existuje více než miliarda účtů, jejichž přihlašovací údaje se prodávají on-line. Přirovnal je ke stovkám milionů klíčů schopných odemknout bankovní úschovné boxy jen tak ležící na zemi.
„Abyste otevřeli libovolný box, stačí ho zvednout a najít shodu,“ popisuje. „Ve skutečnosti je to horší, protože většina lidí používá stejný klíč k otevírání své kanceláře, auta i domu.“
Díky automatizaci je dnes možné vyzkoušet klíče pro miliony zámků řádově za sekundy. Podle studie výzkumníků z vysoké školy Dartmouth College, Pennsylvánské univerzity a USC je situace ve zdravotnictví ještě horší.
Tamější personál se totiž většinou snaží obcházet hesla, aby se zabránilo jakémukoli zpoždění při používání zařízení nebo přístupu k materiálu – hesla se běžně píší na lepicí papírky.
Podle zprávy zní otázka takto: Chceš mé heslo, nebo mrtvého pacienta? – zdravotnický personál se jen snaží dělat svou práci tváří v tvář často omezujícím a nepochopitelným pravidlům pro zabezpečení počítačů.
Eliminace hesel
Řešení pro takový děravý „bezpečnostní“ standard spočívá v tom, zbavit se ho, uvádí FIDO. Avšak aliance, která sama sebe popisuje jako konsorcium nezávislé na oboru, musí udělat více, než jen přesvědčit experty, či dokonce poskytovatele webového obsahu. Musí přesvědčit samotné uživatele – tedy ty, jež znají a používají hesla a kteří mohou projevovat iracionální odpor.
Neexistuje nic takového jako dokonalost. Vždy půjde o závody ve zbrojení. „Webové stránky, které se snaží být oblíbené, nemohou nutit své uživatele k ničemu,“ popisuje Gary McGraw, technologický ředitel společnosti Cigital.
„Twitter má dvoufaktorovou autentizaci (2FA) již nyní, ale nemusíte ji používat. Jen byste měli. Můžete jen pěkně poprosit – jinak je to ekonomický střet zájmů.
Vishal Gupta, výkonný ředitel společnosti Seclore, se domnívá, že masy přijmou jinou formu autentizace, pokud bude rychlejší a jednodušší, ale přesto si uvědomuje, že to není možné vynutit a že to bude dlouhá cesta.
„Je to velmi podobné jako rozdíl mezi platebními kartami s čipem i PIN a staršími verzemi, které měly jen magnetický proužek. Aby se to nahradilo, tak se na tom bude muset podílet hodně podniků,“ vysvětluje.
Samozřejmě dokonce i Brett McDowell, výkonný ředitel aliance souhlasí s tím, že „nutit poskytovatele webových služeb něco dělat je předem ztracené“. Řekl však, že FIDO s téměř 250 členskými organizacemi se nesnaží nic prosadit silou.
Cílem této skupiny je zajistit, aby to bylo neodolatelné – „dodat takové řešení, které budou poskytovatelé sami chtít implementovat, protože to bude v jejich vlastním zájmu,“ popisuje.
Autentizační systém, který zlepšuje uživatelskou zkušenost, „bude sám o sobě pro poskytovatele služeb lákavý“. Útočník by potřeboval mít ve své ruce fyzické zařízení uživatele, aby se mohl pokusit o útok. To se pro útočníky s finanční motivací nehodí a není to ani moc použitelné.
Jaké jsou možnosti
Argument uživatelské zkušenosti prezentuje FIDO na svém webu. Existují podle ní dvě možné metody:
UAF (User Authentication Standard) jednoduše vyžaduje, aby uživatel požádal o transakci a následně se prokázal pomocí biometrie, jako je například otisk prstu. U2F (Universal Second Factor) vyžaduje použít uživatelské jméno a heslo na lokálním zařízení. Uživatel následně dokončí transakci tak, že k počítači připojí USB klíč a stiskne na něm tlačítko.
McDowell uvádí, že rozdíl přinášející převratnou změnu spočívá v tom, že na rozdíl od hesel jsou autentizační pověřovací údaje vždy uložené v zařízení uživatele a nikdy se nikam nezasílají. Nemluvě o tom, že je to efektivní, protože dochází k eliminaci hrozeb odjinud – z jiných zemí i jiného města.
Problém s hesly není podle něj v samotných heslech, ale v tom, že jsou sdíleným tajemstvím, které znají nejen jednotliví uživatelé, ale také servery on-line poskytovatelů, odkud je ukrást je nejenže možné, ale dochází k tomu v počtech stovek milionů. To hackerům poskytuje „hesla zneužitelná pro další servery“.
McDowell prohlašuje, že UAF a U2F jsou mnohem rychlejší a pro uživatele pohodlnější, protože autentizace probíhá jednoduše „dotykem na snímač, pohledem do kamery nebo nošením náramku atd.“.
„Je to rozhodně rychlejší než hesla a mnohem rychlejší a pohodlnější než tradiční formy dvoufaktorové autentizace, jako jsou třeba jednorázová hesla (OTP).“
Možná rizika
Někteří experti ale uvádějí, že se zvyšuje riziko, že by útočníci mohli najít způsob, jak naklonovat biometrické vstupy, jako jsou skeny otisků prstů, hlasu či oční duhovky. „Já nechci poskytovat verzi své duhovky nikomu,“ uvádí McGraw.
McDowell uznává, že biometrické ověření lze podvést – nazývá to „prezentační útok“. Uvádí však, že standardy FIDO eliminují většinu rizik ze stejného důvodu, jak bylo už výše uvedeno – biometrické informace nikdy neopouštějí zařízení uživatele.
„Biometrický útok s využitím podvrhu proti pověřením FIDO lze uskutečnit jen tehdy, pokud by měl útočník fyzicky k dispozici zařízení uživatele,“ vysvětluje. „Nelze to udělat pomocí sociálního inženýrství, phishingu či malwaru.“
Gupta souhlasí, že to pravděpodobně velmi prodraží útoky a v důsledku toho zlepší zabezpečení. „Pokud nové formy autentizace dokážou zajistit, aby byly náklady na prolomení vyšší než hodnota získaná ze samotného průniku, budeme v bezpečí,“ vysvětluje.
Přesto si nikdo nemyslí, že hesla zmizí v dohledné době. Ačkoliv je McDowell velmi optimistický, co se týče standardu FIDO, je si vědom, že jeho přijetí bude trvat dlouho.
Poznamenává, že na trhu existuje více než 200 implementací s certifikací FIDO, které „překonaly jeho očekávání“.
Tato aliance také oznámila, že „Microsoft zaintegruje FIDO do systému Windows 10 za účelem autentizace bez použití hesla“ a že aliance také „pracuje s konsorciem WWW na standardizaci silné autentizace FIDO pro všechny webové prohlížeče a související webovou infrastrukturu“.
McDowell uznává, že „hesla se budou používat ještě dlouho. I když jsme na dobré cestě, abychom mohli vidět možnost použití autentizace FIDO ve většině aplikací a zařízení běžně používaných každý den, hesla budou v nadcházejících letech stále součástí těchto systémů.“
Přestože je McGraw příznivcem dvoufaktorové autentizace a jeho firma ji od svých zaměstnanců vyžaduje, připouští, že ve skutečnosti „nic jako dokonalost neexistuje. Vždy to budou závody ve zbrojení.“
Ochrání automatické zabezpečení i vás?
27.12.2017 SecurityWorld Zabezpečení automatizace zabezpečení začíná přesahovat rámec technologií pro prevenci a detekci a dosahuje až k dalším důležitým součástem IT infrastruktury za účelem spolehlivější ochrany.
O automatizaci zabezpečení se sice hodně mluví, ale některé pojmy jsou nejasné.
Například Gartner se ve své zprávě o inteligentní a automatizované kontrole zabezpečení zaměřil na komponentu threat intelligence a další nové prvky automatizace zabezpečení označil souhrnně poněkud obecnějším způsobem.
Zde jsou čtyři z nejnovějších a nejpokročilejších prvků, které byste měli uvážit při diskuzi o automatizaci zabezpečení:
Vykonávání pravidel
Jak významně vzrostla složitost sítí, stala se ruční správa souvisejících zásad zabezpečení téměř nemožnou. Automatizace vykonávání pravidel označuje automatizaci jakékoliv správní činnosti požadované zabezpečením IT.
Řada dodavatelů nabízí nástroje pro automatizaci správy zásad zabezpečení sítě, které dokážou pomoci snáze dodržet interní a regulační požadavky zabezpečení. Někteří také nabízejí automatizované služby pro úkoly správy, jako je přidání a odebrání uživatele a řízení životního cyklu uživatelů.
Automatizace přidání, odebrání a uživatelského přístupu může pomoci týmům IT získat větší kontrolu nad daty, náklady a časem. Společnosti nabízející tyto nástroje někdy o sobě uvádějí, že nabízejí automatizaci zabezpečení.
Monitorování varování a stanovení priorit
Někteří lidé pohlížejí na činnost automatizace optikou monitorování a stanovení priorit varování. Tradičně bylo monitorování a stanovení priorit varování ruční a velmi jednotvárnou úlohou.
Tým analytiků v provozním centru zabezpečení by musel shromažďovat data a doslova celý den zírat na monitory, aby mohl rozhodnout, jaké údaje byly důležité. V současné době existují metody pro automatizaci monitorování a stanovení priorit varování. Liší se ale rozsahem propracovanosti.
Například mohou zahrnovat stanovení pravidel a prahových hodnot, využívání threat intelligence a implementaci pokročilejší behaviorální analytiky a technologie strojového učení.
Nastavení pravidel a prahových hodnot má menší efektivitu, protože závisí na ručním zadání údajů od osoby, která rozhodne, jaká varování jsou důležitá a jaká ne.
Vyžaduje to také pravidelnou údržbu těchto pravidel, protože se počítačové hrozby stále mění a hackeři často přesně vědí, jaká varování budou firmy hledat.
Spoléhání se na threat intelligence je na druhou stranu o něco spolehlivější. Tato forma automatizace odkazuje na soubor threat intelligence z různých zdrojů, a to může pomoci společnostem zjistit, jaká varování hledat a jaká jsou pro ně skutečně důležitá.
Pokud například podnik dokáže využívat více zpravodajských zdrojů, dozví se, když se někde ve světě objeví určitý typ útoku. Automatizované zpracování threat intelligence potom může společnosti pomoci připravit její ochranu před potenciálním útokem dříve, než by bylo příliš pozdě.
Behaviorální analytika a strojové učení patří mezi nejpokročilejší formy automatizace monitoringu a stanovení priorit varování, protože se nespoléhají na pravidla a prahové úrovně tzv. známých hrozeb.
Namísto toho se tento typ technologie dokáže učit, jak vypadá normální chování sítě, a snadno a okamžitě může upozornit na libovolné neobvyklé chování a následně statisticky skórovat prioritu každé potenciální hrozby, kterou by bylo dobré prošetřit.
Plánování reakce na incidenty
Plánování reakce na incidenty se také označuje za automatizaci zabezpečení. Jedním ze způsobů, jak si lze představit tuto technologii, je inteligentní systém tiketů, který pomáhá společnostem sledovat vývoj bezpečnostního incidentu a koordinovat kroky potřebné reakce.
Dodavatelé v tomto segmentu pomáhají společnostem vytvářet manuály pro různé typy hrozeb, takže mohou automatizovat části svých reakcí, kdy se počítá každá vteřina.
Automatizují pracovní postupy a pomáhají firmám zajistit komunikaci s příslušnými interními a externími kontakty, dodržovat regulační předpisy pro záležitosti, jako je oznámení týkající se soukromí, a vytvářet jasné záznamy pro audit.
Vyšetřování, akce a náprava
Automatizace vyšetřování, akce a náprava pro počítačové hrozby se týkají využívání technologie k takovému plnění úkolů, jako by je vykonával kvalifikovaný počítačový analytik.
Ostatní prvky automatizace zabezpečení (od zásad přes stanovení priority až po plánování) pracují určitým způsobem na dosažení tohoto konečného cíle – rychlého zjištění hrozeb a jejich eliminaci dříve, než ovlivní provoz.
Existují různé aspekty, co by mohl dodavatel zautomatizovat v oblasti vyšetřování, akce a nápravy. Někteří například řeší jen jednu z těchto tří komponent, zatímco jiní se zaměřují na specifické úlohy, jako je například automatizace karantény kompromitovaných zařízení.
Existují také firmy, které využívají automatizaci a umělou inteligenci k řízení celého procesu od začátku až do konce, jako by to dělal počítačový analytik.
Všechny tyto technologie automatizace zabezpečení uvolňují přetížený personál zabezpečení a dovolují týmům zabezpečení méně se věnovat všedním (ale nezbytným) činnostem a více se zaměřit na strategické iniciativy, které umožní zvýšit zabezpečení jejich společnosti.
Podle údajů Breach Level Index bylo v roce 2015 kompromitovaných každý den průměrně 1,9 milionu on-line záznamů. To je 80 766 záznamů každou hodinu a 1 346 záznamů každou minutu.
Téměř nepřetržitý výskyt on-line narušení přitom nevykazuje žádné známky zpomalení, takže si společnosti nemohou dovolit, aby je zdržovaly nedořešené otázky o konceptu a schopnostech automatizace zabezpečení.
Je dobré dát automatizaci infrastruktury zabezpečení IT vysokou prioritu a připustit, že lze automatizovat více oblastí, aby společnost zůstala v bezpečí. Automatizace vykonávání zásad, monitorování varování a stanovení priorit a plánování reakce na incidenty může dramaticky zvýšit firemní produktivitu a snížit náklady.
Pomocí plné automatizace vyšetřování, akcí a nápravy pro hrozby mohou firmy ve velkém simulovat zkušenosti a logiku zkušených počítačových analytiků, a zaručovat tak silnější zabezpečení a dodržování předpisů celkově.
Výhody a nevýhody automatizace zabezpečení
Kolem použití automatizace v oblasti počítačové bezpečnosti existuje celá řada obav:
Ztráta kontroly -- V mnoha případech je největší překážkou k automatizaci jednoduše vnímaná ztráta kontroly. Ve skutečnosti může správný nástroj automatizace zajistit vyšší míru viditelnosti a lepší přehled o celém procesu počítačové bezpečnosti.
Nedostatek důvěry -– Pro vysoce kvalifikované pracovníky je snadné mít pocit, že jsou schopnější řídit reakce na incidenty, než by to dokázal počítač. Nedůvěra k technologii tak může být neuvěřitelně velkou překážkou, kterou je potřeba překonat, ale nakonec – s ohledem na změnu druhu, frekvence a složitosti útoků – je to marný argument.
Strach ze změny – Asi největším omylem týkajícím se automatizace je představa, že přijetí automatizace způsobí určitý zánik pracovních míst.
Co se stane, když technologie převezme proces reakcí na incidenty? Bude oddělení IT nahrazeno roboty? Faktem je, že zatímco automatizace určitě mění způsob, jakým lidé pracují, vytváří stejně tolik příležitostí, kolik jich eliminuje.
Pro řešení těchto vnímaných nevýhod lze ale použít řadu významných faktů o pozitivní úloze automatizace v počítačovém zabezpečení.
Sjednocení sil – Žádný vojenský velitel by nešel do boje s armádou významně menší co do velikosti, síly a schopností, než by měl jeho nepřítel. Stejný koncept může být a měl by být aplikovaný na důležité úlohy počítačové bezpečnosti. Automatizace poskytuje schopnost reagovat na příchozí útoky krok za krokem, a poskytuje přitom nejvyšší možnou úroveň ochrany.
Zvýšená efektivita – Přidání automatizace do procesu reakce na incidenty pomáhá zjednodušit pracovní postupy a vytvořit mnohem jednotnější a efektivnější prostředí. Nejenže tedy zvyšuje sílu organizace ve smyslu zabezpečení, ale způsobuje také zlepšení celkové hospodárnosti.
Méně chyb – Mnoho z nejpozoruhodnějších počítačových narušení v posledních letech nastalo v důsledku lidských chyb z přepracovanosti. I ten nejzkušenější odborník v oblasti IT může udělat čas od času nějakou chybu.
Některé chyby se však bohužel mohou ukázat jako neuvěřitelně nákladné. Automatizace tento problém eliminuje tím, že z některých nebo ze všech částí procesu odstraní lidský faktor.
Lepší rozhodování – Jednou z největších výzev, kterým šéfové IT čelí, je kolosální úkol dělat v reálném čase důležitá firemní rozhodnutí. Další výhodou automatizace je schopnost shromažďovat, analyzovat a zvýšit prioritu důležitých dat na kliknutí tlačítka, což dále zlepšuje detekci hrozeb a proces správy incidentů.
Vzhledem k tomu, že jsou průměrné roční náklady na počítačové útoky v rozmezí od desítek tisíc dolarů u malých firem až po řadu miliard u globálních podniků, je téma počítačové bezpečnosti něco, na co by měl každý šéf organizace v současné době pamatovat.
Ještě důležitější je, že v současné době používané strategie je potřebné řádně posoudit a dostatečně opevnit, pokud se firma nechce stát další obětí.
Navzdory mnoha mylným pohledům se automatizace ukazuje jako ideální nástroj pro zefektivnění a posílení procesu reakce na incidenty a vytvoření lepší linie obrany, která obstojí ve zkoušce času.
Hackněte hackery
26.12.2017 SecurityWorld Hacking Sledování on-line diskuzí na fórech hackerů vám poskytne představu o šťavnatých zranitelnostech, které váš dodavatel zatím neopravil.
V moři zranitelností volajících po vaší pozornosti je téměř nemožné zjistit, jaké problémy zabezpečení IT řešit jako první. Rady dodavatelů poskytují vyzkoušené prostředky pro ochranu před známými vektory útoků. Je zde ale ještě výhodnější možnost: Zjistit, o čem se baví samotní hackeři.
Vzhledem ke stále většímu prostoru, kde lze vést útoky, se většina organizací snaží provázat svůj cyklus správy zranitelností s oznámeními dodavatelů. Prvotní odhalení zranitelností zabezpečení však nemusí vždy pocházet přímo od dodavatelů.
Čekání na oficiální oznámení může způsobit, že budete mít vůči útočníkům zpoždění v řádu dnů či dokonce týdnů. Útočníci diskutují a sdílejí návody během hodin poté, co dojde k objevení zranitelnosti.
„On-line diskuze obvykle začínají za 24 až 48 hodin od úvodního zveřejnění,“ uvádí Levi Gundert, viceprezident threat intelligence ve společnosti Recorded Future, s odvoláním na firemní hloubkovou analýzu diskuzí v cizojazyčných fórech.
Rady dodavatelů, příspěvky na blozích, zprávy distribuované pomocí mailingových seznamů a varování skupin CERT – obránci nejsou jediní, kdo čte tato oznámení. Vědět, co vzbuzuje zájem útočníků a jakým způsobem hodlají díry zneužít dříve, než mohou dodavatelé zareagovat, je skvělý způsob, jak se svézt na další vlně útoků.
Upovídaný hacker
Chyba serializace objektů Java z minulého roku je dokonalým příkladem. Tato chyba byla poprvé popsána na konferenci v lednu 2015 a nepřitahovala pozornost až do 6. listopadu tohoto roku, kdy výzkumníci ze společnosti FoxGlove Security zjistili, že tento problém ovlivní vícejádrové základní podnikové aplikace, jako jsou například WebSphere a JBoss.
Společnosti Oracle trvalo dalších 12 dní a firmě Jenkins 19 dní vydání formálního oznámení, které se týkalo zranitelností v produktech WebLogic Server a Jenkins.
Komunity útočníků však začaly diskutovat o příspěvku na blogu FoxGlove Security za několik hodin a společnost Recorded Future zjistila, že kód umožňující zneužití, který ověřoval koncept, se objevil za pouhých šest dní.
Podrobný návod pro zneužití, popisující, jak vykonat útok, byl k dispozici 13. listopadu, tj. pět dní předtím, než firma Oracle cokoli vydala. V prvním prosincovém týdnu již útočníci prodávali jména zranitelných organizací a specifické odkazy pro vyvolání zranitelností těchto cílů.
„Je zřejmé, že doba mezi rozpoznáním zranitelnosti a okamžikem, kdy dodavatel vydá opravu nebo alternativní řešení, je pro aktéry hrozeb cenná, ale když se podrobné návody pro zneužití objeví ve více jazycích, může být tento rozdílový čas pro firmy doslova katastrofální,“ popisuje Gundert.
Zranitelnost OPcache Binary Webshell v PHP 7 je dalším příkladem toho, jaký mají útočníci náskok. Bezpečnostní firma GoSecure popsala nový exploit dne 27. dubna a společnost Recorded Future vydala návod vysvětlující, jak používat ověření konceptu odkazované v blogovém příspěvku GoSecure ze dne 30. dubna.
Jak firma GoSecure uvedla, vliv zranitelnosti na aplikace PHP nebyl univerzální. S výsledným návodem však bylo pro útočníky snadnější najít servery s potenciálně nebezpečnou konfigurací, která je činila zranitelnými vůči nahrání souboru.
„Oznamovaly to dokonce i obskurní blogy,“ připomíná Gundert. Většina lidí si přitom blogového příspěvku GoSecure nevšimla. Pokud nezíská blogový příspěvek dostatečnou pozornost u komunit obránců, může diskutovaný potenciální vektor útoku zůstat bez povšimnutí v důsledku velkého množství konkurenčních zpráv.
Na druhé straně bitevní linie však útočníci diskutují o chybě a sdílejí informace a nástroje pro její zneužití.
Čekání činí problémy
Jedním z důvodů, proč útočníci získávají tak velký náskok vůči dodavatelům a bezpečnostními profesionálům, je samotný proces oznamování zranitelností.
Oznámení dodavatelů je obvykle vázáno na okamžik, kdy chyba dostane identifikátor CVE (Common Vulnerability and Exposures). Systém CVE spravuje nezisková organizace Mitre.
Funguje jako centrální úložiště pro veřejně známé zranitelnosti zabezpečení informací. Když někdo najde zranitelnost zabezpečení – ať už je to majitel aplikace, výzkumník nebo třetí strana jednající jako zprostředkovatel – společnost Mitre dostane žádost o vydání dalšího identifikátoru CVE.
Jakmile Mitre přiřadí identifikátor, který pro zranitelnosti funguje podobně jako rodná čísla, mají podniky, dodavatelé a obor zabezpečení způsob pro identifikaci, diskuzi a sdílení podrobností o chybě, takže ji lze opravit.
V případech, kdy počáteční odhalení nepochází od dodavatelů, jako to bylo například s chybou serializace objektů Java, mají útočníci náskok vůči obráncům, kteří čekají na přiřazení identifikátoru CVE.
Tento časový rozdíl je kritický. Samozřejmě že když je nutné prozkoumat, vyhodnotit a zmírnit tolik zranitelností, ale pro boj s nimi jsou k dispozici jen limitované bezpečnostní zdroje, je filtrování zpráv o zranitelnostech na základě přiřazenosti identifikátoru CVE „rozumným postojem“, který organizacím umožňuje hrát na jistotu, vysvětluje Nicko van Someren, technologický ředitel Linux Foundation. Závěr je, že jakmile chyba má CVE, je její existence potvrzena a vyžaduje pozornost.
V poslední době se však samotný systém CVE stal překážkou. Několik bezpečnostních profesionálů si stěžovalo, že nemohou od společnosti Mitre získat CVE včas. Zpoždění má důsledky – je těžké koordinovat opravu chyby s dodavateli softwaru, partnery a dalšími výzkumníky, když neexistuje systém, který by zajistil, že se všichni zabývají stejnou záležitostí.
Součástí problému je také měřítko, protože je softwarový průmysl větší, než byl před deseti lety, a zranitelnosti se nalézají ve větším množství. Jak ukázala analýza společnosti Recorded Future, zpoždění v přiřazení CVE dává útočníkům čas k vytvoření a zdokonalení jejich nástrojů a metod.
„Existuje mnoho lidí, kteří věří, že pokud není přiřazen identifikátor CVE, nejde o reálný problém – a to je skutečný průšvih,“ uvádí Jake Kouns, šéf zabezpečení ve společnosti Risk Based Security.
Dalším problémem totiž je, že ne všechny zranitelnosti dostanou svůj identifikátor CVE, jako například webové aplikace, které jsou aktualizované na serveru a nevyžadují interakci se zákazníky.
Bohužel chyby mobilních aplikací, které vyžadují interakci se zákazníky pro instalaci aktualizace, také nedostávají identifikátory CVE. V loňském roce bylo oznámených 14 185 zranitelností, což je o šest tisíc více, než bylo evidováno v národní databázi zranitelností a ve CVE, uvádí zpráva „2015 VulnDB Report“ společnosti Risk Based Security.
„Skutečná hodnota systému CVE pro spotřebitele a pracovníky zabezpečení informací není v měření rizika a dopadu na zabezpečení, ale v katalogizování všech známých rizik pro systém bez ohledu na závažnost,“ popisuje Kymberlee Priceová, šéfka výzkumné činnosti ve společnosti BugCrowd.
Je čas začít naslouchat
Protože CVE nepokrývá každý exploit, musíte hledět za jeho hranice, pokud chcete dostat úplný obraz toho, s čím se můžete setkat. Znamená to, že byste měli přestat vázat své aktivity správy zranitelností výhradně na oznámení dodavatelů a začít zkoumat i další zdroje informací, abyste udrželi krok s nejnovějšími zjištěními.
Vaše týmy správy zranitelností budou efektivnější, pokud budou hledat zmínky o prověření konceptů na internetu a příznaky aktivity exploitů ve vašem prostředí.
Existuje mnoho veřejně dostupných informací o zranitelnostech, které nabízejí více než pouhé oficiální oznámení dodavatele. Těchto informací je ale tolik, že obránci nemohou očekávat, že by mohli udržet krok se všemi příspěvky na blozích, které odhalují různé zranitelnosti, s mailingovými diskuzemi mezi výzkumníky ohledně konkrétních chyb zranitelností a s dalšími veřejnými informacemi.
Namísto pokusu přihlásit se ke každému existujícímu mailingovému seznamu a RSS kanálu by měl váš tým správy zranitelností jít přímo na fóra a naslouchat, co říkají potenciální útočníci. To je ten nejlepší druh včasného varování.
„Pokud jsem ve své organizaci zodpovědný za správu zranitelností, měl bych dávat pozor na diskuze na fórech a hledat podstatné diskuze o konkrétních zranitelnostech,“ radí Gundert. „Neudržíte sice krok s nultým dnem, ale zachytíte chyby, o kterých byste se jinak dozvěděli z pokynů od dodavatelů až za týdny.“
Jako firma nabízející threat intelligence chce Recorded Future, aby podniky používaly její platformu k naslouchání diskuzím o hrozbách na fórech, anglických i cizojazyčných, existují však i další možnosti.
Organizace si mohou vybrat pro sledování diskuzí několik fór, kanálů IRC a dalších on-line zdrojů. Analytici z Record Future si všimli uživatelů důsledně sdílejících příspěvky psané jednotlivci, kteří se zdají být uznávaní jako spolehlivý zdroj informací.
Pouhé sledování toho, co tito „experti“ říkají, by mohlo pomoci odhalit diskuze o nejnovějších chybách. Sledování toho, co se sdílí na GitHubu, může také velmi pomoci při odkrývání plánů útočníků.
Threat intelligence pomáhá zlepšit poměr potřebných informací vůči šumu a odhalit užitečné informace, ale není to jediný způsob, jak najít tyto diskuze.
Obránci by měli sledovat, zda se v jejich sítích nezvýšila skenovací aktivita. Zvýšení indikuje pravděpodobnost, že existují diskuze o tom, jak vyvolat zranitelnosti.
Experti Recorded Future si například všimli, že skenování zaměřené na skriptovací stroj Groovy ve službě Elasticsearch začalo „téměř okamžitě“ po odhalení zranitelnosti pro vzdálené spuštění kódu. „Na fórech se také přetřásaly způsoby, jak zneužít a udržet systémy ve zkompromitovaném stavu,“ uvádí Gundert.
Chyby s možností vzdáleného spuštění kódu téměř okamžitě vyvolají on-line diskuze. Lokální exploity, které vyžadují, aby útočník nejprve v zařízení nějakým způsobem získal oporu, naopak tolik diskuzí nevyvolávají.
Ochrání vás zálohy před ransomwarem?
26.12.2017 SecurityWorld Viry Zálohy by měly ze své podstaty velice jednoduše posloužit k obnově provozu po ataku ransomwaru. Velmi často se tak ale neděje. Co je důvodem a jaká opatření je vhodné udělat, abyste mohli výhody back-upu využít i při těchto incidentech?
Teoreticky by nikdo neměl vyděračům využívajícím ransomware platit žádné peníze. Nemáme snad všichni v současné době zálohy? I spotřebitel má přístup k široké řadě bezplatných či levných zálohovacích služeb.
Zprávy jsou ale plné informací o institucích, jako jsou nemocnice, které by měly používat plány pro zajištění nepřetržitého provozu a využívat solidní zálohovací strategie.
Přesto však bylo podle FBI jen v USA zaplaceno více než 209 milionů dolarů v platbách za ransomware v průběhu prvních tří měsíců roku 2016, což je oproti pouhým 25 milionům dolarů za celý rok 2015 citelný nárůst.
Co se děje? Proč zálohy nefungují? Z důvodu finančních úspor některé organizace nezahrnují všechny své důležité soubory do svých záloh nebo nezálohují dostatečně často. Jiní zase své zálohy netestují a zjistí, že systémy nefungují, až když je příliš pozdě.
A konečně, některé společnosti ukládají své zálohy na síťové jednotky, kde je dokáže ransomware snadno najít a zašifrovat.
Jaký rozsah zálohování stačí?
Vždy je zde kompromis mezi cenou a bezpečností a většina organizací upřednostní své výdaje.
„Historicky bylo možné na klientském trhu v oblasti zálohování klientských dat vidět, že když oddělení IT viděla náklady na úložiště pro ukládání všech dat, moc se jim do takových investic nechtělo,“ uvádí David Konetski ze společnosti Dell.
To však podle něj platilo před exponenciálním snížením cen úložišť v období před pěti až deseti lety. „Nyní žijeme ve světě skutečně levných úložišť a cloudových úložišť,“ tvrdí Konetski.
Navíc by nemuselo stačit zálohovat jen důležitá data a dokumenty. Může být potřeba zazálohovat celé počítače, pokud jsou důležité pro podnikání.
Například ve zdravotnickém zařízení Hollywood Presbyterian Medical Center, kde nedávno zaplatili kyberzločincům ekvivalent 17 tisíc dolarů, ransomware nejenže zašifroval důležité soubory, ale rovněž vážně poškozoval provoz po dobu deseti dnů a přinutil personál vrátit se zpět k papírovým záznamům a faxům.
Místní zpravodajské organizace oznámily, že někteří pacienti s potřebou naléhavé péče byli převezeni do jiných nemocnic.
„Tento malware uzamkl přístup k některým počítačovým systémům a zabránil nám elektronicky komunikovat,“ uvedl výkonný ředitel Allen Stefanek této instituce v dopise veřejnosti. Pro nemocnici byla podle něj nejrychlejším způsobem obnovení systémů platba výkupného.
Ne vždy to však problém vyřeší. Objevily se i zprávy, že nemocnice například zaplatily výkupné a slíbené klíče nedostaly nebo se vznesl požadavek na ještě vyšší částku.
Pokud by byly okamžitě k dispozici čisté bitové kopie pro infikované počítače, mohla by nemocnice zcela smazat infikovaný hardware a obnovit na něm poslední dobrou verzi.
Organizace nemusejí ukládat několik kompletních kopií každého systému – přírůstkové zálohovací systémy jsou velmi efektivní, protože uloží jen poslední změny.
„Pokud dojde ke kompromitaci celého systému, můžete se vrátit zpět k holému hardwaru,“ vysvětluje Stephen Spellicy, šéf produktového managementu, ochrany podnikových dat a správy mobilních informací ve společnosti HPE.
Otestování záloh
Vytvoření komplexní strategie zálohování je komplikovaný proces, zejména pro velké podniky s více typy dat, souborů a systémů, které je potřeba chránit.
Tato komplexnost je jedním z důvodů, proč zálohy nefungují, upozorňuje Stephen Cobb, výzkumník z Esetu. Dalším důvodem je, že zálohy nemusejí proběhnout nebo může být proces obnovy příliš obtížný.
„Největší problém, se kterým se společnosti setkávají, když dojde k jejich napadení ransomwarem, spočívá v tom, že v nedávné době neudělaly test svého procesu obnovy,“ popisuje. „Zálohovaly, ale netrénovaly obnovení – existuje k tomu vtipný důkaz, když se někteří správci ptají: ‚Kolik trápení způsobí obnova ze zálohy ve srovnání s platbou výkupného?‘“
Mnoho firem nevykonává řádné testování svých záloh, potvrzuje Spellicy z HPE. „Jedním z hlavních důvodů, proč se nám daří najít zákazníky, je, že se neúspěšně snažili využít obnovení od jiného dodavatele a nyní hledají nové řešení. Když to potřebujete, musí to fungovat. Je to velmi kritické – pokud nemůžete zálohu využít, potom je bezcenná.“
Skrytí zálohy před zločinci
Kybernetičtí vyděrači vědí, že zálohy jsou jejich nepřítel číslo jedna, a přizpůsobují svůj ransomware tak, aby je vyhledával.
„Několik rodin ransomwaru ničí všechny stínové kopie (Shadow Copy) a body obnovení v systémech Windows,“ uvádí Noah Dunker, ředitel bezpečnostních laboratoří společnosti RiskAnalytics. „Mnoho typů ransomwaru se zaměřuje na všechny připojené disky a šifruje také zálohy, přestože to možná není promyšlený záměr.“
Každý souborový systém připojený k infikovanému počítači je potenciálně zranitelný stejně jako připojené externí pevné disky a zasunuté USB Flash disky.
Tipy pro spolehlivější zálohy
1. Každodenní zálohy
Používejte on-line službu pro synchronizaci souborů, která nepřetržitě zálohuje soubory, na nichž zaměstnanci pracují. Další možností je zapnout synchronizaci ve vlastní síti, ale pomocí proprietárních protokolů, aby záloha nebyla viditelná pro útočníky.
Nebo pokud není k dispozici nic jiného, by zaměstnanci měli začít používat starou metodu a navyknout si jednou nebo dvakrát denně zazálohovat své důležité soubory na externí disk, který bude jinak odpojený.
Pokud by ransomware vyřadil jejich počítač, mohou zaměstnanci pokračovat v práci z jiného místa, zatímco by docházelo k obnově funkce jejich počítače.
2. Střednědobé zálohy
Ukládejte pravidelné zálohy uživatelských počítačů na snadno dostupných zařízeních pro ukládání dat, která jsou logicky izolována od zbytku sítě. Použijte je k rychlému obnovení uživatelských počítačů do posledního funkčního stavu.
3. Dlouhodobé zálohy
Používejte off-line úložiště, fyzicky izolované od zbytku vaší společnosti, pro méně časté, ale komplexní zálohování všeho, co vaše firma potřebuje obnovit v případě nouze.
„Aby vaše zálohy odolaly ransomwaru, měli byste použít disky nepřipojené ke konkrétní pracovní stanici,“ prohlašuje Sam McLane ze společnosti ArcticWolf Networks. „Například můžete přenášet data přes síť na jinou pracovní stanici nebo úložné zařízení pomocí zálohovací aplikace. Zajistěte, aby toto úložné řešení zůstalo chráněné a nebylo dostupné uživatelským pracovním stanicím, zejména pokud mají přístup k internetu.“
Je potřeba používat bezpečnostní kontroly, které oddělí uživatele od záloh, radí Todd Feinman, výkonný ředitel společnosti Identity Finder, která se zabývá utajením dat. Dobrou praxí je také používat dobře zabezpečené a šifrované zálohování do jiné lokality.
„Není potřebný každodenní přístup – tyto zálohy jsou určené jen pro případ nouze, když vše ostatní selže,“ uvedl.
Pro každodenní použití, například když zaměstnanci nechtěně smažou důležité soubory a potřebují je obnovit, existuje mnoho služeb synchronizace souborů, dodává Feinman.
Tyto systémy budou neustále sledovat změny v souborech. Pokud se však do počítače dostane malware a zašifruje všechny soubory, bude toto zašifrování zrcadlené zálohovacím systémem také.
Naštěstí se obvykle uchovávají předchozí verze souborů. „Jakmile jsou aktuální soubory zašifrované, budou zašifrované i jejich zálohy. Firma tedy bude muset udělat obnovu pomocí předchozí zálohy, která zakódovaná není,“ říká Craig Astrich, ředitel společnosti Deloitte Cyber Risk Services.
Samotný ransomware se však může skrývat i v šifrovaných souborech, když dochází k jejich zálohování.
„Pokud dojde k zazálohování zakódovaného souboru v rámci zálohovacího procesu, může znovu zašifrovat prostředí po jeho obnovení,“ varuje Scott Petry, spoluzakladatel a výkonný ředitel společnosti Authentic8.
To by podle něj mohlo dostat uživatele do smyčky neustálého obnovování zálohy a zašifrování. Každý proces zálohování by se tedy měl dělat společně se skenováním na přítomnost malwaru, aby se odhalily tyto nebezpečné soubory před zálohováním či obnovením.
Netýká se to jen dat
Pokud ztráta souborů a zablokování systémů zásadně důležitých pro provoz nestačí, může ransomware napáchat ještě více škody. Může zakrývat další útoky.
„Pokrokoví hackeři využívají ransomware jako sekundární formu infekce nebo jako obranu proti reakci na incidenty,“ prohlašuje Tom Kellermann, výkonný ředitel společnosti Strategic Cyber Ventures.
Útočníci se mohou dokonce zmocnit firemní komunikace či webu, aby více rozšířili infekci ransomwarem.
Zákeřný červ děsí bezpečnostní experty i po letech
26.12.2017 Novinky/Bezpečnost Viry První verze zákeřného červa Confickera začala internetem kolovat už v roce 2008. Přestože zabezpečení počítačových systémů od té doby prošlo značným vylepšením, nové verze této hrozby stále nepřestávají strašit. Aktuálně dokonce tento nebezpečný malware patří mezi tři nejrozšířenější virové hrozby na světě. Vyplývá to ze statistik antivirové společnosti Check Point. Ve zmiňovaném roce 2008 byl Conficker několik dlouhých měsíců nejrozšířenější hrozbou vůbec, platilo to prakticky i celý rok 2009. V uplynulých letech však o sobě tento nezvaný návštěvník nedával vůbec vědět.
Zlom nastal až loni a letos před Vánocemi, kdy jej kyberzločinci začali hojně využívat. V tuzemsku i v zahraničí tak podle analýzy antivirové společnosti Check Point představoval tento červ třetí nejrozšířenější hrozbu vůbec.
První dvě příčky patří škodlivým kódům RoughTed a Rig ek, které jsou však výrazně mladší než zmiňovaný Conficker.
Napadl i počítače v elektrárně Conficker využívá zranitelnosti operačního systému Windows. Pro tu už dávno existuje bezpečnostní záplata, ale jak je ze statistik zřejmé, s její instalací si velká část uživatelů hlavu neláme. Na konci dubna se dokonce ukázalo, že se tento nebezpečný červ uhnízdil v počítačích v bavorské jaderné elektrárně Gundremmingen.
Autoři Confickera vybudovali po celém světě velkou síť infikovaných PC využitelných na libovolnou úlohu, poněvadž mohou díky viru ovládat počítače na dálku. Na jeho řízení použili autoři červa inovativní způsob. Každý den se vygenerují nové náhodné domény, kam se vir hlásí a žádá instrukce.
Tím prakticky bezpečnostním expertům znemožňují, aby mohli Confickera zcela vyřadit z provozu.
Důležité jsou aktualizace Většina antivirových programů by si nicméně i s tou nejnovější verzí měla poradit. Pokud ne, mohou pomoci s jeho vystopováním nejrůznější on-line antivirové skenery. Ty jsou zpravidla k dispozici zadarmo.
Jak zajistit, aby se červ do počítače vůbec nedostal? Bezpečnostní experti důrazně doporučují nainstalovat do počítače všechny přístupné bezpečnostní aktualizace, které jsou dostupné přes systém automatických aktualizací nebo přes stránku Windows Update.
Hackeři připravili ruské podniky o 116 miliard rublů
26.12.2017 Novinky/Bezpečnost Hacking Ruské firmy přišly letos kvůli kybernetickým útokům přibližně o 116 miliard rublů (zhruba 43 miliard korun), ztráty kvůli hackerům hlásí každá pátá společnost. Vyplývá to z první podobné zprávy ruské Národní výzkumné finanční agentury. Analytické finanční centrum provedlo v listopadu šetření mezi 500 firmami v osmi federálních okruzích země. Podle něj v Rusku letos následkem hackerských útoků přišel jeden podnik v průměru o téměř 300 000 rublů (přes 110 000 korun).
Ze zprávy dále vyplývá, že se s kybernetickými hrozbami setkala až polovina respondentů, a to především ve velkých podnicích, zhruba 60 procent vůči 46 až 47 procentům mezi středními a drobnými podnikateli. Nejvíce se firmy setkávají s počítačovými viry včetně vyděračských, s proniknutím do elektronické pošty a s přímými útoky na webové stránky.
Podniky riziko podceňují Přestože většina dotázaných podnikatelů o kybernetických hrozbách povědomí má, až 60 procent z nich si myslí, že je risk vůči jejich firmě minimální. Podle Kirilla Smirnova z výzkumné agentury ruské podniky míru nebezpečí často podceňují a nejsou připraveny hrozbám čelit.
Bezmála 90 procent dotázaných uvedlo, že se v rámci bezpečnostních opatření spokojí pouze s antivirovým programem. Bezpečnostní opatření, která musí dodržovat všichni zaměstnanci firmy, má jen 47 procent respondentů. Přístup k internetu omezuje svým zaměstnancům 45 procent společností. Dvaadvacet procent dotázaných podniků uvedlo, že svým pracovníkům dovoluje instalovat do firemních počítačů jakékoliv programy.
Teoreticky by si však novinka mohla odbýt premiéru na veletrhu CES, který se bude konat již tradičně zkraje ledna v americkém Las Vegas. Na něm totiž výrobci pravidelně odhalují zajímavou elektroniku, která se na pultech obchodů objeví v nadcházejících měsících.
