- Hacking -

H  Aktualizace  Analýzy  Android  Apple  APT  Bezpečnost  BigBrother  BotNet  Cloud  Exploit  Hacking  Hardware  ICS  Incidenty  IoT  IT  Kongresy  Kriminalita  Kryptografie  Kyber  Mobilní  OS  Ostatní  Phishing  Podvod  Ransomware  Rizika  Rootkit  Sociální sítě  Software  Spam  Těžařské viry  Útoky  Viry  Zabezpečení  Zranitelnosti

Úvod  Kategorie  Podkategorie 0  1  2  3  4  5 

Hackeři se dostali do cloudu Tesly běžícím na Amazonu a těžili kryptoměny
22.2.2018 Novinky/Bezpečnost Hacking

Hackeři se dostali do cloudu Tesly běžícím na Amazonu a těžili kryptoměnyHackeři se dostali do cloudu Tesly běžícím na Amazonu a těžili kryptoměnyHackeři se dostali do cloudu Tesly běžícím na Amazonu a těžili kryptoměnyHackeři se dostali do cloudu Tesly běžícím na Amazonu a těžili kryptoměnyHackeři se dostali do cloudu Tesly běžícím na Amazonu a těžili kryptoměny24 FOTOGRAFIÍ
zobrazit galerii
Bezpečnostní společnost RedLock, která se specializuje na kyberútoky a odhalení děr v systémech, objevila hacknutý účet na AWS (Amazon Wev Services) společnosti Tesla.

Tesla používá cloudovou platformu Amazonu na mnoho věcí, kromě sběru dat z automobilů i analýzu a podobně. RedLock odhalil, že jeden z administračních účtů neměl heslo a hackeři přes něj využívali výkon cloudu k těžení kryptoměn.

V rámci odměn za odhalení chyb Tesla vyplatila RedLocku pouze 3 tisíce dolarů, takže lze předpokládat, že nešlo o nějaký kritický účet, který by měl vliv na celou platformu či zabezpečení uživatelských dat. Ostatně podle vyjádření zástupců šlo pouze o testovací účet pro interní automobily Tesla.

Právě bezpečnost celé platformy je pro automobilový průmysl stále kritičtější. Obzvláště s příchodem autonomních systémů, které budou zpracovávat data z obrovského množství vozů a budou pochopitelně obsahovat i soukromá data o jednotlivých jízdách daných uživatelů. Pro hackery mají taková data jistě vysokou cenu a v nejhorším případě by případné hacknutí mohlo ovlivnit i samotnou funkčnost platformy, která bude v nějaké formě udržovat autonomní vozidla neustále připojená a kontrolovaná.

Hackeři zneužili cloudový systém Tesly k těžbě kryptoměn

22.2.2018 Novinky/Bezpečnost Hacking
Cloudový systém amerického výrobce elektromobilů Tesla napadli hackeři a využili ho k těžbě kryptoměn. Podle sdělení společnosti RedLock, která se zaměřuje na kybernetickou bezpečnost, pronikli do administrativní konzole Kubernetes, která nebyla chráněna heslem. Dopad útoku na bezpečnost vozidel ani dat zákazníků Tesla zatím nezjistila. Jak uvedl server televize CNBC, ohroženy byly účty na úložišti Amazon Web Services (AWS).

Kubernetes je systém navržený společností Google, zaměřený na optimalizaci cloudových aplikací.

Společnost RedLock nesdělila, jaká kryptoměna byla těžena. Obdobné problémy podle ní měly i další přední firmy včetně britské pojišťovny Aviva a nizozemského výrobce SIM karet Gemalto. Průnik do systémů Tesly však byl sofistikovanější a používal několik různých strategií, aby zabránil odhalení hackerů.

Tesla problém po informaci RedLocku okamžitě vyřešila. Automobilka oznámila, že dopad na ochranu dat klientů ani na bezpečnost vozidel nezjistila. Podle mluvčího se kybernetický útok dotkl jen automobilů používaných zaměstnanci firmy.

Z analýz RedLocku je zřejmé, že poskytovatelé cloudových služeb jako Amazon, Microsoft a Google dělají, co mohou, a žádný z velkých útoků v loňském roce se nestal z důvodu jejich nedbalosti, prohlásil představitel společnosti Gaurav Kumar. "Bezpečnost je však společnou odpovědností. Organizace na všech úrovních jsou povinny sledovat infrastrukturu rizikových konfigurací, neobvyklých aktivit uživatelů a podezřelého síťového provozu," zdůraznil.

Olympijské hry jsou rájem pro hackery. Denně se uskuteční milióny útoků

20.2.2018 Novinky/Bezpečnost Hacking
Zraky snad všech sportovních fanoušků se v posledních týdnech ubírají k Pchjongčchangu, kde se konají 23. zimní olympijské hry. Ty lákají – stejně jako v minulých letech – také počítačové piráty. Bezpečnostní experti varují, že počet útoků v době olympiády vzroste o milióny každý den.

Na útoky počítačových pirátů by měli být připraveni také uživatelé, kteří se do Pchjongčchangu vůbec nevydali a jednotlivá sportovní klání sledují z pohodlí svého obýváku.dynamic-picture-free1__660762

Počítačoví piráti totiž prakticky vždy podobně hojně sledované akce zneužívají k tomu, aby šířili nejrůznější škodlivé kódy. Sázejí především na to, že diváci touží po co nejrychlejších a nejzajímavějších zprávách.

Na sociálních sítích, různých chatovacích skupinách i v nevyžádaných e-mailech je tak možné narazit na odkazy na fotografie i videa o aktuálních výkonech či počtu medailí. Velmi často však takové výzvy směřují na podvodné stránky, kde číhají škodlivé kódy.

Výjimkou nejsou ani odkazy na videa, která však nejdou přehrát. Uživatel údajně pro jejich shlédnutí potřebuje nainstalovat speciální plugin, ve skutečnosti jde však o počítačový virus.

Počty útoků raketově rostou
Útoky nicméně nejsou nijak výjimečné ani v samotném místě konání her. V průběhu pekingských her v roce 2008 bylo podle antivirové společnosti Kaspersky Lab detekováno okolo 190 miliónů kybernetických útoků (12 miliónů denně). V Londýně v roce 2012 jich analytici zaznamenali 200 miliónů a v roce 2014 při hrách v Soči 322 miliónů. Během poslední olympiády v Riu před dvěma lety odborníci odhalili celých 570 milionů útoků.

„Olympijské hry vždy vedle úžasných sportovních výkonů nabízejí i jedinečnou přehlídku nejnovějších technologií, které často předznamenávají další vývoj. Vzhledem k obrovské důležitosti technologií pro bezproblémový chod této události je nezbytné zajistit jejich bezpečnost. Lákají totiž velké množství hackerů, jejichž cílem je narušit hlavní komunikační a informační systémy a způsobit chaos,“ uvedl Mohamad Amin Hasbini, bezpečnostní analytik ve společnosti Kaspersky Lab.

První útok postihl hry v Pchjongčchangu už během předminulého pátku, kdy probíhalo slavnostní zahájení. Tehdy kyberzločinci prováděli nájezdy na webové stránky her a korejské televizní systémy, cílem bylo kompletní vyřazení z provozu.

Šlo o tzv. DDoS útok, při kterém stovky tisíc počítačů začnou přistupovat v jeden okamžik na konkrétní server. Ten zpravidla nezvládne tak vysoké množství požadavků zpracovat a spadne. Pro běžné uživatele se pak takto napadená webová stránka tváří jako nedostupná.

Dva útoky již byly odvráceny
Hackerům však útok nevyšel, neboť na něj byli administrátoři tamních počítačových systémů připraveni. Zástupci Mezinárodního olympijského výboru to bez dalších podrobností potvrdili o několik dní později.

Přestože znají původ útoku, odmítli jej komentovat. Nechtějí prý ohrozit průběh her politickými tahanicemi. „Podobné snahy hackerů nejsou nijak výjimečné. Důležité je, že se nám je podařilo opětovně odrazit a že nijak nebyl ohrožen průběh her,“ zdůraznil pro agenturu Reuters mluvčí Mezinárodního olympijského výboru Mark Adams.

I z dalších zpráv je nicméně zřejmé, že administrátoři mají s počítačovými systémy na olympiádě plné ruce práce. Už od konce loňského roku totiž měl probíhat sofistikovaný hackerský útok na počítače více než tří tisíc klíčových zaměstnanců, kdy by se pomocí škodlivého kódu dostali útočníci k citlivým datům, případně mohli manipulovat na dotčených strojích se zobrazovanými informacemi.

Také tento útok se však podařilo ještě před startem olympiády odvrátit.

Hackněte hackery

26.12.2017 SecurityWorld Hacking
Sledování on-line diskuzí na fórech hackerů vám poskytne představu o šťavnatých zranitelnostech, které váš dodavatel zatím neopravil.

V moři zranitelností volajících po vaší pozornosti je téměř nemožné zjistit, jaké problémy zabezpečení IT řešit jako první. Rady dodavatelů poskytují vyzkoušené prostředky pro ochranu před známými vektory útoků. Je zde ale ještě výhodnější možnost: Zjistit, o čem se baví samotní hackeři.

Vzhledem ke stále většímu prostoru, kde lze vést útoky, se většina organizací snaží provázat svůj cyklus správy zranitelností s oznámeními dodavatelů. Prvotní odhalení zranitelností zabezpečení však nemusí vždy pocházet přímo od dodavatelů.

Čekání na oficiální oznámení může způsobit, že budete mít vůči útočníkům zpoždění v řádu dnů či dokonce týdnů. Útočníci diskutují a sdílejí návody během hodin poté, co dojde k objevení zranitelnosti.

„On-line diskuze obvykle začínají za 24 až 48 hodin od úvodního zveřejnění,“ uvádí Levi Gundert, viceprezident threat intelligence ve společnosti Recorded Future, s odvoláním na firemní hloubkovou analýzu diskuzí v cizojazyčných fórech.

Rady dodavatelů, příspěvky na blozích, zprávy distribuované pomocí mailingových seznamů a varování skupin CERT – obránci nejsou jediní, kdo čte tato oznámení. Vědět, co vzbuzuje zájem útočníků a jakým způsobem hodlají díry zneužít dříve, než mohou dodavatelé zareagovat, je skvělý způsob, jak se svézt na další vlně útoků.

Upovídaný hacker

Chyba serializace objektů Java z minulého roku je dokonalým příkladem. Tato chyba byla poprvé popsána na konferenci v lednu 2015 a nepřitahovala pozornost až do 6. listopadu tohoto roku, kdy výzkumníci ze společnosti FoxGlove Security zjistili, že tento problém ovlivní vícejádrové základní podnikové aplikace, jako jsou například WebSphere a JBoss.

Společnosti Oracle trvalo dalších 12 dní a firmě Jenkins 19 dní vydání formálního oznámení, které se týkalo zranitelností v produktech WebLogic Server a Jenkins.

Komunity útočníků však začaly diskutovat o příspěvku na blogu FoxGlove Security za několik hodin a společnost Recorded Future zjistila, že kód umožňující zneužití, který ověřoval koncept, se objevil za pouhých šest dní.

Podrobný návod pro zneužití, popisující, jak vykonat útok, byl k dispozici 13. listopadu, tj. pět dní předtím, než firma Oracle cokoli vydala. V prvním prosincovém týdnu již útočníci prodávali jména zranitelných organizací a specifické odkazy pro vyvolání zranitelností těchto cílů.

„Je zřejmé, že doba mezi rozpoznáním zranitelnosti a okamžikem, kdy dodavatel vydá opravu nebo alternativní řešení, je pro aktéry hrozeb cenná, ale když se podrobné návody pro zneužití objeví ve více jazycích, může být tento rozdílový čas pro firmy doslova katastrofální,“ popisuje Gundert.

Zranitelnost OPcache Binary Webshell v PHP 7 je dalším příkladem toho, jaký mají útočníci náskok. Bezpečnostní firma GoSecure popsala nový exploit dne 27. dubna a společnost Recorded Future vydala návod vysvětlující, jak používat ověření konceptu odkazované v blogovém příspěvku GoSecure ze dne 30. dubna.

Jak firma GoSecure uvedla, vliv zranitelnosti na aplikace PHP nebyl univerzální. S výsledným návodem však bylo pro útočníky snadnější najít servery s potenciálně nebezpečnou konfigurací, která je činila zranitelnými vůči nahrání souboru.

„Oznamovaly to dokonce i obskurní blogy,“ připomíná Gundert. Většina lidí si přitom blogového příspěvku GoSecure nevšimla. Pokud nezíská blogový příspěvek dostatečnou pozornost u komunit obránců, může diskutovaný potenciální vektor útoku zůstat bez povšimnutí v důsledku velkého množství konkurenčních zpráv.

Na druhé straně bitevní linie však útočníci diskutují o chybě a sdílejí informace a nástroje pro její zneužití.

Čekání činí problémy

Jedním z důvodů, proč útočníci získávají tak velký náskok vůči dodavatelům a bezpečnostními profesionálům, je samotný proces oznamování zranitelností.

Oznámení dodavatelů je obvykle vázáno na okamžik, kdy chyba dostane identifikátor CVE (Common Vulnerability and Exposures). Systém CVE spravuje nezisková organizace Mitre.

Funguje jako centrální úložiště pro veřejně známé zranitelnosti zabezpečení informací. Když někdo najde zranitelnost zabezpečení – ať už je to majitel aplikace, výzkumník nebo třetí strana jednající jako zprostředkovatel – společnost Mitre dostane žádost o vydání dalšího identifikátoru CVE.

Jakmile Mitre přiřadí identifikátor, který pro zranitelnosti funguje podobně jako rodná čísla, mají podniky, dodavatelé a obor zabezpečení způsob pro identifikaci, diskuzi a sdílení podrobností o chybě, takže ji lze opravit.

V případech, kdy počáteční odhalení nepochází od dodavatelů, jako to bylo například s chybou serializace objektů Java, mají útočníci náskok vůči obráncům, kteří čekají na přiřazení identifikátoru CVE.

Tento časový rozdíl je kritický. Samozřejmě že když je nutné prozkoumat, vyhodnotit a zmírnit tolik zranitelností, ale pro boj s nimi jsou k dispozici jen limitované bezpečnostní zdroje, je filtrování zpráv o zranitelnostech na základě přiřazenosti identifikátoru CVE „rozumným postojem“, který organizacím umožňuje hrát na jistotu, vysvětluje Nicko van Someren, technologický ředitel Linux Foundation. Závěr je, že jakmile chyba má CVE, je její existence potvrzena a vyžaduje pozornost.

V poslední době se však samotný systém CVE stal překážkou. Několik bezpečnostních profesionálů si stěžovalo, že nemohou od společnosti Mitre získat CVE včas. Zpoždění má důsledky – je těžké koordinovat opravu chyby s dodavateli softwaru, partnery a dalšími výzkumníky, když neexistuje systém, který by zajistil, že se všichni zabývají stejnou záležitostí.

Součástí problému je také měřítko, protože je softwarový průmysl větší, než byl před deseti lety, a zranitelnosti se nalézají ve větším množství. Jak ukázala analýza společnosti Recorded Future, zpoždění v přiřazení CVE dává útočníkům čas k vytvoření a zdokonalení jejich nástrojů a metod.

„Existuje mnoho lidí, kteří věří, že pokud není přiřazen identifikátor CVE, nejde o reálný problém – a to je skutečný průšvih,“ uvádí Jake Kouns, šéf zabezpečení ve společnosti Risk Based Security.

Dalším problémem totiž je, že ne všechny zranitelnosti dostanou svůj identifikátor CVE, jako například webové aplikace, které jsou aktualizované na serveru a nevyžadují interakci se zákazníky.

Bohužel chyby mobilních aplikací, které vyžadují interakci se zákazníky pro instalaci aktualizace, také nedostávají identifikátory CVE. V loňském roce bylo oznámených 14 185 zranitelností, což je o šest tisíc více, než bylo evidováno v národní databázi zranitelností a ve CVE, uvádí zpráva „2015 VulnDB Report“ společnosti Risk Based Security.

„Skutečná hodnota systému CVE pro spotřebitele a pracovníky zabezpečení informací není v měření rizika a dopadu na zabezpečení, ale v katalogizování všech známých rizik pro systém bez ohledu na závažnost,“ popisuje Kymberlee Priceová, šéfka výzkumné činnosti ve společnosti BugCrowd.

Je čas začít naslouchat

Protože CVE nepokrývá každý exploit, musíte hledět za jeho hranice, pokud chcete dostat úplný obraz toho, s čím se můžete setkat. Znamená to, že byste měli přestat vázat své aktivity správy zranitelností výhradně na oznámení dodavatelů a začít zkoumat i další zdroje informací, abyste udrželi krok s nejnovějšími zjištěními.

Vaše týmy správy zranitelností budou efektivnější, pokud budou hledat zmínky o prověření konceptů na internetu a příznaky aktivity exploitů ve vašem prostředí.

Existuje mnoho veřejně dostupných informací o zranitelnostech, které nabízejí více než pouhé oficiální oznámení dodavatele. Těchto informací je ale tolik, že obránci nemohou očekávat, že by mohli udržet krok se všemi příspěvky na blozích, které odhalují různé zranitelnosti, s mailingovými diskuzemi mezi výzkumníky ohledně konkrétních chyb zranitelností a s dalšími veřejnými informacemi.

Namísto pokusu přihlásit se ke každému existujícímu mailingovému seznamu a RSS kanálu by měl váš tým správy zranitelností jít přímo na fóra a naslouchat, co říkají potenciální útočníci. To je ten nejlepší druh včasného varování.

„Pokud jsem ve své organizaci zodpovědný za správu zranitelností, měl bych dávat pozor na diskuze na fórech a hledat podstatné diskuze o konkrétních zranitelnostech,“ radí Gundert. „Neudržíte sice krok s nultým dnem, ale zachytíte chyby, o kterých byste se jinak dozvěděli z pokynů od dodavatelů až za týdny.“

Jako firma nabízející threat intelligence chce Recorded Future, aby podniky používaly její platformu k naslouchání diskuzím o hrozbách na fórech, anglických i cizojazyčných, existují však i další možnosti.

Organizace si mohou vybrat pro sledování diskuzí několik fór, kanálů IRC a dalších on-line zdrojů. Analytici z Record Future si všimli uživatelů důsledně sdílejících příspěvky psané jednotlivci, kteří se zdají být uznávaní jako spolehlivý zdroj informací.

Pouhé sledování toho, co tito „experti“ říkají, by mohlo pomoci odhalit diskuze o nejnovějších chybách. Sledování toho, co se sdílí na GitHubu, může také velmi pomoci při odkrývání plánů útočníků.

Threat intelligence pomáhá zlepšit poměr potřebných informací vůči šumu a odhalit užitečné informace, ale není to jediný způsob, jak najít tyto diskuze.

Obránci by měli sledovat, zda se v jejich sítích nezvýšila skenovací aktivita. Zvýšení indikuje pravděpodobnost, že existují diskuze o tom, jak vyvolat zranitelnosti.

Experti Recorded Future si například všimli, že skenování zaměřené na skriptovací stroj Groovy ve službě Elasticsearch začalo „téměř okamžitě“ po odhalení zranitelnosti pro vzdálené spuštění kódu. „Na fórech se také přetřásaly způsoby, jak zneužít a udržet systémy ve zkompromitovaném stavu,“ uvádí Gundert.

Chyby s možností vzdáleného spuštění kódu téměř okamžitě vyvolají on-line diskuze. Lokální exploity, které vyžadují, aby útočník nejprve v zařízení nějakým způsobem získal oporu, naopak tolik diskuzí nevyvolávají.

Hackeři připravili ruské podniky o 116 miliard rublů

26.12.2017 Novinky/Bezpečnost  Hacking
Ruské firmy přišly letos kvůli kybernetickým útokům přibližně o 116 miliard rublů (zhruba 43 miliard korun), ztráty kvůli hackerům hlásí každá pátá společnost. Vyplývá to z první podobné zprávy ruské Národní výzkumné finanční agentury.
Analytické finanční centrum provedlo v listopadu šetření mezi 500 firmami v osmi federálních okruzích země. Podle něj v Rusku letos následkem hackerských útoků přišel jeden podnik v průměru o téměř 300 000 rublů (přes 110 000 korun).

Ze zprávy dále vyplývá, že se s kybernetickými hrozbami setkala až polovina respondentů, a to především ve velkých podnicích, zhruba 60 procent vůči 46 až 47 procentům mezi středními a drobnými podnikateli. Nejvíce se firmy setkávají s počítačovými viry včetně vyděračských, s proniknutím do elektronické pošty a s přímými útoky na webové stránky.

Podniky riziko podceňují
Přestože většina dotázaných podnikatelů o kybernetických hrozbách povědomí má, až 60 procent z nich si myslí, že je risk vůči jejich firmě minimální. Podle Kirilla Smirnova z výzkumné agentury ruské podniky míru nebezpečí často podceňují a nejsou připraveny hrozbám čelit.

Bezmála 90 procent dotázaných uvedlo, že se v rámci bezpečnostních opatření spokojí pouze s antivirovým programem. Bezpečnostní opatření, která musí dodržovat všichni zaměstnanci firmy, má jen 47 procent respondentů. Přístup k internetu omezuje svým zaměstnancům 45 procent společností. Dvaadvacet procent dotázaných podniků uvedlo, že svým pracovníkům dovoluje instalovat do firemních počítačů jakékoliv programy.

Teoreticky by si však novinka mohla odbýt premiéru na veletrhu CES, který se bude konat již tradičně zkraje ledna v americkém Las Vegas. Na něm totiž výrobci pravidelně odhalují zajímavou elektroniku, která se na pultech obchodů objeví v nadcházejících měsících.

Na systém VŠE mířil hackerský útok, škola podala trestní oznámení
26.12.2017 Lupa.cz Hacking
Hackerský útok tuto neděli odstavil systém Vysoké školy ekonomické v Praze, informuje web Aktuálně.cz, který vychází ze studentského serveru iList. Šlo konkrétně o Integrovaný studijní informační systém (InSIS).

„Řada studentů FMV, kteří měli zapsané předměty s indentem 2SM, dostala oznámení o odebrání z termínů zkoušek, státnic nebo o zanesení výsledné známky z kurzu. O hodinu později začali studenti dostávat e-maily o chybě a útoku na systém,“ píše iList.

Škola napadení potvrdila s tím, že prozatím nechce zveřejňovat podrobnosti. VŠE také podala trestní oznámení na neznámého pachatele. Incident prý nemá vliv na probíhající zkouškové období. Útok se dotkl zejména Fakulty mezinárodních vztahů.

VŠE na webu vydala stručné informace, kde se píše, že se škola „stala terčem závažného kybernetického útoku“. Rozhodnuto bylo o mimořádných opatřeních, kdy do 27. prosince bude přístup do InSIS možný pouze ze školní sítě a uživatelé také mají povinnost okamžité změny hesla.

Na InSIS se útočilo už dříve. Útočník se snažil získat uživatelská jména a hesla studentů. Ve dvou textech to opět rozebíral iList.

Těžařský gigant NiceHash přišel o 1,3 miliardy korun. Ukradli je hackeři

7.12.2017 Novinky/Bezpečnost Hacking
Těžařský gigant NiceHash, který sdružuje statisíce novodobých zlatokopů těžících virtuální měny, se stal terčem hackerů. Ti vysáli všechny uložené peníze. A jde o pořádný balík – 60 miliónů dolarů, tedy v přepočtu zhruba o 1,3 miliardy korun. Informovali o tom zástupci uskupení NiceHash.
Virtuální měny se těší tak velké popularitě především pro své vysoké a rychle rostoucí kurzy. Například jedna mince bitcoinu, což je aktuálně nejpopulárnější kryptoměna, má nyní hodnotu 14 300 dolarů (310 500 Kč). [celá zpráva]

Popularitě nicméně nahrává také fakt, že za pořízení virtuálních mincí nemusí uživatelé zaplatit ani korunu. Pokud mají dostatečně výkonný počítač, mohou si nainstalovat speciální software a s jeho pomocí kryptoměny doslova těžit – tento program totiž používá předem nastavené výpočty, jejich výsledkem je zisk virtuálních mincí. Za ty je pak možné nakupovat prakticky cokoliv.

A právě proto vzniklo uskupení NiceHash. Jde v podstatě o těžební gigant, do kterého se dobrovolně přihlašují lidé a nabízejí výkon svých počítačů pro těžbu bitcoinů. Zisk si pak spravedlivě rozdělují mezi sebe.

Zmizely všechny bitcoiny
Jenže jak teď vedení uskupení NiceHash sdělilo, nyní si nebude co rozdělovat. Počítačoví piráti doslova vybílili úplně celou virtuální peněženku tohoto těžařského gigantu. Jak již bylo uvedeno výše, šlo v přepočtu o rekordních 1,3 miliardy korun.

Zločinci a počítačoví piráti se na virtuální měny, především tedy populární bitociny zaměřují velmi často. Využívají totiž toho, že transakce v této měně nejsou jakkoli vystopovatelné. A proto je velmi nepravděpodobné, že by se podařilo dopadnout kyberzločince, kteří stojí za tímto útokem na NiceHash.

Vedení těžařského gigantu zatím mlčí o tom, jak bude celou situaci řešit. Plány prý budou jednotlivým uživatelům oznámeny později.

Bitcoinového boomu využívají počítačoví piráti

7.12.2017 SecurityWorld Hacking
Rostoucí hodnotu Bitcoinů provází také nárůst malwaru zaměřeného právě na kryptoměnu.

Společnost Malwarebytes vykázala, že během jediného měsíce zastavila téměř 250 milionů pokusů o propašování těžebního malwaru do počítačů bez vědomí jejich uživatelů. Podle jiné firmy – Symantecu – je nárůst malwaru souvisejícího s těžbou kryptoměny za nedávné období desetinásobný.

Hackeři přitom k jeho šíření používají jak specializovaný software, tak nabourané webové stránky, ale i emaily. Jejich zvýšenou aktivitu podnítila právě rostoucí cena Bitcoinu, jehož hodnota se oproti začátku letošního roku zdesetinásobila a před pár dny překonala hranici 10 000 dolarů (214 500 Kč).

„Okolo kryptoměny se vytvořil obrovský hype a spousta lidí se na ní teď snaží vydělat,“ komentuje Candid Wuest ze Symantecu. Bitcoin přitom není primárním cílem kyberzlodějů – ti se, vzhledem k náročnosti jeho těžby, soustředí převážně na ostatní kryptoměny, jako je například Monero, jež si nežádá takový výkon, a k jehož těžbě lze zneužít třeba i chytrého mobilního telefonu. A jejich hodnota také stoupá.

Dle zprávy společnosti Malwarebytes její bezpečnostní software v těchto dnech zablokuje denně v průměru osm milionů pokusů o propašování těžebního malwaru do PC, a to většinou z webových stránek, které hackeři napadli. Škodlivý kód však mohou obsahovat i rozšíření či doplňky webových prohlížečů.

Jakmile se tento kód dostane do počítače, zapojí ho do těžebního procesu tak, že ždíme procesor téměř na 100 %. Na chytrých telefonech se to může projevit nejen snížením výkonu, ale také rychlým vybíjením baterie.

Donedávna těžební malware fungoval jen s využitím zapnutého prohlížeče oběti, nové typy však dokážou těžit i bez toho, aby byl prohlížeč zapnutý.

„Trik je v tom, že i když se prohlížeč jeví jako zavřený, další skrytý zůstává nadále otevřený,“ popisuje Jerome Segura z Malwarebytes, jak malware funguje. Uživatel si miniaturního okna skrytého pod panelem nástrojů prakticky nemá možnost všimnout.

Procesory od Intelu mohou napadnout hackeři

27.11.2017 Novinky/Bezpečnost Hacking
Ovládnout cizí počítače na dálku mohou hackeři kvůli nově objevené chybě v procesorech Intel. Ta je hodnocena bezpečnostními experty jako velmi závažná. Upozornil na to český Národní bezpečnostní tým CSIRT.CZ.

„Společnost Intel vydala bezpečnostní doporučení ke zranitelnostem firmwaru produktů Management Engine (Intel ME) ve verzi 11.0/11.5/11.6/11.7/11.10/11.20, Server Platform Services (SPS) verze 4.0 a Trusted Execution Engine (Intel TXE) verze 3.0,“ sdělil Novinkám Pavel Bašta, bezpečnostní analytik CSIRT.CZ, který je provozován sdružením CZ.NIC.

Ten zároveň zdůraznil, že všechny tyto produkty obsahují bezpečnostní zranitelnosti firmwaru, které mohou být v krajním případě útočníkem zneužity k převzetí kontroly nad systémem. Na dálku si tak počítačoví piráti mohou s napadeným strojem dělat, co se jim zlíbí. Klidně i odcizit uživatelská data, nebo majitele sestav šmírovat při práci na PC.

V ohrožení jsou firmy i jednotlivci, neboť zmiňované nástroje jsou nedílnou součástí drtivé většiny moderních procesorů Intel. Riziko se tedy týká nejen firem, ale také jednotlivých uživatelů.

Záplaty jsou již na světě
Intel začal problém okamžitě řešit. „V reakci na problémy identifikované externími výzkumníky prověřila společnost Intel důkladně všechny své technologie. Bohužel jsme skutečně objevili slabé stránky zabezpečení, které by mohly ohrozit některé platformy,“ uvedli v prohlášení zástupci společnosti Intel.

Dále čipový gigant zveřejnil procesorové řady, kterých se problémy týkají. Jejich přehled naleznete v tabulce na konci článku.

Opravy vydal samotný Intel. Například společnosti Lenovo, Dell a HP nicméně informovaly, že záplaty nabízejí pro své zákazníky také prostřednictvím vlastních webových stránek. Majitelé dotčených platforem by tak neměli v žádném případě otálet a měli by co nejrychleji nainstalovat všechny aktualizace pro své počítače.

„Administrátorům systémů se doporučuje aktualizovat pomocí dostupné záplaty,“ uzavřel Bašta.

Jaké systémy jsou zranitelné
6., 7. a 8. generace rodiny procesorů Intel Core
Produktová řada procesorů Intel Xeon E3-1200 v5 a v6
Procesorová řada Intel Xeon Scalable
Procesor Intel Xeon řady W
Rodina procesorů Intel Atom C3000
Apollo Lake procesor Intel Atom řady E3900
Apollo Lake Intel Pentium
Procesory řady Celeron N a J

Bezpečnostní experti bijí na poplach. Útoků na bankovní účty přibývá

5.10.2017 Novinky/Bezpečnost Hacking

Motivace počítačových pirátů v posledních týdnech je jasná – peníze. Kyberzločinci se totiž stále častěji zaměřují na bankovní účty svých obětí. Vyplývá to z analýzy bezpečnostní společnosti Check Point o největších kybernetických hrozbách za měsíc srpen.
Podle kybernetických analytiků počítačoví piráti používají stále častěji bankovní trojské koně. Do žebříčku deseti nejrozšířenějších škodlivých kódů se totiž dostaly hned tři viry cílící na bankovní účty.

„Identifikují, kdy oběť navštíví webové stránky banky, a pak pomocí techniky webinject nebo sledováním stisknutých kláves kradou přihlašovací údaje a další citlivá data, jako jsou například PIN kódy. Trojské koně mohou také zkusit ukrást přihlašovací údaje přesměrováním obětí na falešné bankovní internetové stránky,“ zdůraznil Peter Kovalčík, SE Manager ve společnosti Check Point.

Hlavní motivací peníze
Do desítky nejrozšířenějších škodlivých kódů se dostaly bankovní trojské koně Zeus, Ramnit a Trickbot.

Daří se také vyděračským virům z rodiny ransomware. Například Globeimposter byl druhým nejčastějším malwarem na světě. Ačkoli byl objeven v květnu 2017, až do srpna se masivně nešířil. Globeimposter šifruje soubory a od obětí požaduje platbu za dešifrování cenných dat.

Touha po penězích je tak ze strany počítačových pirátů evidentní. „Finanční zisk je hlavním motivem pro drtivou většinu kyberzločinců a bohužel pro to mají k dispozici i celou řadu nástrojů,“ uvedl bezpečnostní expert.

Nejrozšířenější virus oslabil
„V Top 10 malwarových rodinách vidíme vysoce efektivní variantu ransomwaru i celou řadu bankovních trojanů, což znovu ukazuje, jak vynalézaví umí hackeři být ve snaze vydělat peníze. Organizace musí být při ochraně své sítě ostražité a proaktivní,“ dodal Kovalčík.

Celým statistikám nicméně vévodil škodlivý kód Roughted, který je využívaný k útokům na podnikové sítě. Ten kraloval žebříčku nejrozšířenějších virů už o měsíc dříve, aktuálně jeho podíl nicméně klesl z 18 % na méně než 12 %.

Tři nejrozšířenější škodlivé kódy
1. RoughTed
Rozsáhlá malvertisingová kampaň RoughTed je využívána k šíření odkazů na nebezpečné webové stránky a k šíření škodlivého obsahu, jako jsou scam, adware, exploit kity a ransomware. Může být použita k útoku na jakýkoli typ platformy a operačního systému, vyhne se nástrojům na blokování reklamy a sleduje chování uživatelů, aby byl finální útok co nejrelevantnější.
2. Globeimposter
Ransomware maskovaný jako varianta ransomwaru Globe. Byl objeven v květnu roku 2017 a je distribuován spamovými kampaněmi, malvertisingem a exploit kity. Při šifrování připojuje ke každému zašifrovanému souboru koncovku .crypt.
3. HackerDefender
Uživatelský rootkit pro Windows může být využit ke skrytí souborů, procesů a klíčů registru, a také k implementaci backdooru a přesměrování portu, který funguje na základě TCP portů otevřených stávajícími službami. Takže skryté backdoory není možné najít tradičními postupy.

Deloitte se stala obětí hackerského útoku, trval delší dobu

27.9.2017 Novinky/Bezpečnost Hacking
Globální konzultační společnost Deloitte, která je jednou ze čtyř největších svého druhu na světě, se stala obětí sofistikovaného hackerského útoku. Server deníku The Guardian dnes uvedl, že při útoku firmě unikly důvěrné e-maily a také informace o některých z jejich největších klientů. Útok zřejmě trval několik měsíců a odhalen byl letos v březnu.

Společnost, která je registrována v Londýně, ale světovou centrálu má ve Spojených státech, informaci potvrdila. Podle jejího sdělení přišla o data týkající se jen malého počtu klientů. Firma nyní provádí kontrolu, o úniku dat zatím bylo informováno šest subjektů.

Jedna z největších soukromých firem v USA poskytuje audit a daňové poradenství, stejně jako poradenství v oblasti počítačové bezpečnosti. Mezi klienty má největší světové banky, nadnárodní společnosti, mediální podniky, farmaceutické koncerny i vládní agentury.

The Guardian uvedl, že útok byl zjištěn letos v březnu, má se ale za to, že útočníci měli přístup do systému společnosti už od října či listopadu 2016.

Využili účet administrátora
Hackeři se do něho dostali prostřednictvím globálního e-mailového serveru s využitím účtu administrátora, který teoreticky umožňuje privilegovaný a neomezený přístup do všech oblastí. Podle zdrojů listu stačilo hackerům prolomit jen jedno heslo, systém ověření ve dvou krocích nepoužívá. Na pět milionů e-mailů, které si vyměnilo 244.000 zaměstnanců s klienty, bylo uschováno v cloudovém úložišti Azure firmy Microsoft.

The Guardian se domnívá, že vedle e-mailové pošty měli hackeři přístup i k uživatelským jménům a heslům, IP adresám nebo informacím o zdravotním stavu.

Útok byl zřejmě cílen na Spojené státy. O vysoce citlivé záležitosti byla informována jen hrstka nejvýznamnějších partnerů a právníků společnosti. Dosavadní vyšetřování – pod krycím jménem Windham – zatím nedospělo k závěru, za jde o útok osamělého vlka, konkurenční firmy, ani o státem podporovaný útok.

V roce 2012 byla společnost Deloitte zařazena mezi nejlepší poradce v oblasti počítačové bezpečnosti na světě.

Hacknutý CCleaner je mnohem zákeřnější než se zdálo. Update na novou verzi nestačí, proveďte obnovu systému
21.9.2017 Živě.cz Hacking
Program CCleaner umí pořádně pročistit Windows. Nyní se ale ukázal jako poněkud špinavé koště...Až na aktuální chybu je to jinak program velmi schopný. Vyčistí jak systém, tak aplikace a registryOptimalizovat zde můžete například start systémuK dispozici jsou i pokročilé funkce pro analýzu diskuNebo vyhledávání duplicitních souborů

Na začátku týdne vydali tvůrci nástroje CCleaner zprávu o napadení jejich serverů. Ty téměř celý měsíc uživatelům servírovaly infikovaný instalační soubor aplikace obsahující malware. Ten měl za cíl vzdálenou správu napadeného stroje. Jako spolehlivé řešení tohoto problému byla uvedena pouhá aktualizace programu na novou verzi. Nyní však přichází bezpečnostní odborníci Cisca s podrobnější analýzou, která ukazuje, že útok je mnohem sofistikovanější, než se v pondělí zdálo.
Experti Cisca v rámci bezpečnostní skupiny Talos dostali k dispozici zdrojový kód a databázi z řídícího serveru útočníků. Ukazují primární cíl hackerů – napadaní interních sítí velkých technologických společností. Útočníci filtrovali napadené počítače, které komunikovali z některé z vybraných domén, mezi nimiž najdeme Samsung, Sony, Vmware, Microsoft, O2, Google a rovněž i samotné Cisco.

Malware odesílal na servery útočníků informace například o verzi systému či administračních právech. Zároveň ale také kompletní
(zdroj: Cisco)
Autoři analýzy uvedli, že asi v polovině případů bylo infikování počítačů z těchto domén úspěšné. Backdoor může být dále využíván pro další útoky na interní sítě společností.

Domény, na které útočníci primárně cílili (zdroj: Cisco)
Pro uživatele, kteří v posledním měsíci instalovali nebo aktualizovali CCleaner na verzi 5.33, je však důležitější důrazné doporučení na obnovu systému ze zálohy. Původně byla jako dostačující řešení uváděna instalace nové čisté verze aplikace. Ta však nemusí odstranit všechny komponenty malwaru, díky nimž se mohou útočníci pokusit o druhou vlnu infikování systému.
Cílem útočníků může být podle Cisca průmyslová špionáž v napadených společnostech. V analýze se rovněž objevily stopy, které pojí útok s Čínou. Je to především použití kódu, který se v minulosti objevil při útocích skupiny Group 72, jež je spojována právě s čínskou vládou. Jeden z konfiguračních souborů na řídícím serveru, který komunikoval s napadenou aplikací, měl potom jako časové pásmo nastavenou právě Čínu.

Populární CCleaner infikoval dva milióny počítačů virem

21.9.2017 Novinky/Bezpečnost Hacking
CCleaner je velmi oblíbený program, který slouží k čištění zbytkových souborů v počítači. Jedna z jeho posledních aktualizací však obsahovala virus, jímž byly infikovány dva milióny počítačů. Škodlivým kódem přitom byla nakažena oficiální verze programu dostupná přímo na stránkách výrobce.

Virus v aplikaci CCleaner objevil tým bezpečnostních výzkumníků Cisco Talos, který neprodleně informoval zástupce Avastu o tom, že jsou jejich uživatelé v ohrožení.

Zavirovaná verze programu tak byla vcelku rychle z oficiálních stránek stažena. I přesto se škodlivým kódem podle odhadů bezpečnostních expertů nakazily dva milióny počítačů z různých koutů světa. Výjimkou nejsou ani stroje z České republiky, i když přesný počet tuzemských obětí zatím není známý.

V počítači přitom virus, který se šířil prostřednictvím CCleaneru, dokáže udělat pěknou neplechu. „Pokud je tento malware v počítači uživatele nainstalovaný, mohou získat hackeři přístup do uživatelova počítače i do ostatních propojených systémů,“ uvedli bezpečnostní experti.

„Následně pak mohou získat přístup k citlivým datům či přístupovým údajům k internetovému bankovnictví nebo jiným účtům,“ zdůraznili výzkumníci z týmu Cisco Talos s tím, že hrozba je tedy pro uživatele velmi vážná.

Přes dvě miliardy stažení
Že byla jedna z aktualizací CCleaneru skutečně zavirovaná potvrdili už i zástupci antivirové společnosti Avast. Právě tento podnik za vývojem bezplatného nástroje pro čištění počítačů stojí. Všem uživatelům se zástupci Avastu omluvili.

Program CCleaner se těší tak velké popularitě především proto, že je poskytován zadarmo a jeho výsledky jsou velmi dobré. Dokáže z operačního systému Windows odstranit dočasné soubory, nepotřebná data i nepoužívané položky v registru.

CCleaner si po celém světě stáhly už více než dvě miliardy lidí.

Populární nástroj CCleaner obsahuje malware, je potřeba rychlý update

20.9.2017 SecurityWorld Hacking
Aktualizace oblíbeného nástroje pro optimalizaci a čištění počítače CCleaner obsahovala nebezpečný malware. Pokud je tento malware v počítači uživatele nainstalovaný, mohou získat hackeři přístup do uživatelova počítače i do ostatních propojených systémů.

Následně pak mohou získat přístup k citlivým datům či přístupovým údajům k internetovému bankovnictví nebo jiným účtům. Na incident upozornil bezpečnostní tým Cisco Talos.

Windowsovská 32bitová verze 5.33.6162, která byla ke stažení mezi 15. srpnem a 12. zářím 2017, obsahovala nebezpečný malware, který v průběhu aktualizace infikoval uživatelská zařízení.

V tuto chvíli už byla infikovaná verze stažena a není dostupná. Nicméně mnoho uživatelů je stále vystaveno riziku i po updatu nástroje. Infikován byl také CCleaner Cloud, verze 1.07.3191.

Zdroj: Cisco

Podle Avastu, pod který v současnosti CCleaner patří, ke kompromitaci došlo ještě před akvizicí firmy Piriform, což je původní tvůrce CCleaneru. K té došlo v polovině července 2017, ke kompromitaci programu zadními vrátky (backdoorem) ale už začátkem července.

Také počet zasažených uživatelů je prý relativně nízký – Avast hovoří o celkově 2,27 milionu a vzhledem k proaktivnímu přístupu k aktualizaci co největšího počtu uživatelů je to nyní pouze 730 000 uživatelů, kteří stále používají příslušnou verzi (5.33.6162).

Tito uživatelé by měli podle Avastu co nejdříve své programy upgradovat, i když prý nejsou ohroženi, protože malware byl na straně serveru CnC zakázán.

CCleaner je jeden z nejrozšířenějších nástrojů pro čistění a optimalizaci výpočetních zařízení. Jednoduše dokáže odstranit nepotřebné aplikace a tím zrychlit chod počítačů či chytrých telefonů. Na konci roku 2016 dosáhl program více než 2 miliard stažení a každý týden narůstal počet jeho uživatelů o 5 milionů.

Hackeři získali informace o 143 miliónech klientů Equifaxu

8.9.2017 Novinky/Bezpečnost Hacking
Americká úvěrová kancelář Equifax přiznala útok hackerů, při kterém byly ukradeny informace o 143 miliónech lidí. Útočníci získali čísla sociálního zabezpečení, data narození, adresy a další citlivé údaje, uvedla agentura AP.
Equifax je jedna ze tří úvěrových kanceláří v USA, která funguje podobně jako registr dlužníků. Věřitelé spoléhají na informace shromážděné úvěrovými kancelářemi, které jim pomáhají při schvalování půjček na bydlení, auta a poskytnutí kreditních karet. Někdy je využívají i zaměstnavatelé při rozhodování, koho přijmout.

Hackeři měli k údajům přístup zřejmě od poloviny května do července letošního roku. Získané údaje mohou podvodníkům stačit k tomu, aby ukradli identitu osob, což může mít negativní vliv na jejich další životy. „Na stupnici od jedné do deseti je to desítka z hlediska možnosti krádeže identity,” řekl bezpečnostní analytik firmy Gartner Avivah Litan. „Úvěrové kanceláře o nás uchovávají množství údajů, které ovlivňují téměř všechno, co děláme.”

S varováním otáleli
Equifax útok odhalila 29. července, klienty však varovala až nyní. Společnost odmítla komentovat, proč tak učinila.

Útok na Equifax není největší v USA. Při nejméně dvou útocích na firmu Yahoo se hackerům podařilo nabourat do nejméně jedné miliardy uživatelských účtů na celém světě. Při tomto útoku však hackeři nezískali citlivé údaje jako čísla sociálního zabezpečení nebo čísla řidičských průkazů. Útok na Equifax však může být největší krádeží čísel sociálního zabezpečení, která jsou jedním z nejčastěji používaných údajů pro potvrzení totožnosti. Při útoku za zdravotní pojišťovnu Anthem v roce 2015 byla ukradena čísla zhruba 80 miliónů lidí.

Kromě osobních informací hackeři také získali čísla kreditních karet zhruba 209 000 Američanů a určité citlivé dokumenty, které obsahovaly osobní informace o 182 000 Američanech. Equifax rovněž varovala, že útočníci mohou mít omezené osobní informace o obyvatelích Británie a Kanady.

Agentura Bloomberg upozornila, že podle dokumentů pro burzovního regulátora tři vysocí představitelé firmy jen několik dní po odhalení útoku prodali akcie v celkové hodnotě 1,8 miliónu USD (39 miliónů Kč). Equifax v prohlášení uvedla, že ani jeden z nich v době prodeje akcií o útoku nevěděl.

Hackeři mohou napadnout kardiostimulátor. A zabít člověka na dálku

5.9.2017 Novinky/Bezpečnost Hacking
Ještě před pár lety jsme se počítačových pirátů báli tak maximálně ve virtuálním světě, mohli napadnout náš e-mail nebo bankovní účet. Americká agentura FDA (Food and Drug Administration) však nyní upozornila, že hackeři dokážou napadnout i kardiostimulátory. Způsobit tak mohou vážné zdravotní komplikace, v krajním případě i smrt.

Problémové kardiostimulátory od společnosti Abbott
Problém se týká pouze kardiostimulátorů od společnosti Abbott, ve kterých není nainstalován nejnovější ovládací software – tzv. firmware.

O problému se vědělo již několik měsíců, zahraniční média na něj začala upozorňovat však až nyní, neboť Abbott konečně vydal očekávanou aktualizaci firmwaru, která riziko útoku eliminuje. V ohrožení je podle údajů FDA přinejmenším půl miliónu uživatelů.

Útočník může být pár metrů od oběti
Problém se zabezpečením se týká moderních kardiostimulátorů, které mají přístup na bezdrátovou síť. To proto, aby lékaři mohli kontrolovat pacienta na dálku.

Útočníkovi stačí, aby byl ve vzdálenosti 15 metrů od oběti a měl notebook s bezdrátovým připojením a škodlivým programem. S jejich pomocí dokáže využít chybu v ovládacím softwaru přístroje, který se používá k léčbě poruch srdečního rytmu.

Ve chvíli, kdy je kardiostimulátor pod jeho kontrolou, může s ním dělat cokoliv. Třeba ho jednoduše vypnout nebo jej přetížit a zcela zničit. Dává to tedy hackerovi bez nadsázky možnost proměnit se ve vraha.

Pacienti nemohou aktualizaci provést sami
Problém představuje i to, že pacienti na rozdíl od chytrých telefonů a počítačových tabletů nemohou nijak jednoduše firmware v kardiostimulátoru aktualizovat. Pro tento úkon musí navštívit svého lékaře, který update provede. Aktualizace navíc probíhá v nouzovém režimu, což s sebou přináší další rizika, například nesprávnou funkčnost zařízení či jeho selhání.

Prozatím nebyl žádný útok prostřednictvím objevené chyby odhalen, riziko je nicméně reálné. Celá kauza navíc ukazuje, jak jsou nejrůznější zařízení připojená na internet v dnešní době zranitelná.

Podvodníci to zkouší přes tiskárny. Pak důvěřivce oškubou

21.8.2017 Novinky/Bezpečnost Hacking
Na pozoru by se měli mít v posledních dnech lidé, kteří obdrží e-mail s naskenovaným souborem. I když se může na první pohled zdát, že jej zaslala skutečně nějaká tiskárna, ve skutečnosti jde o podvod. A počítačovým pirátům jde pouze o to, aby mohli důvěřivce oškubat.
Jak útočí vyděračské viry

Na napadeném stroji dokážou vyděračské viry udělat pěkný nepořádek. Nejprve zašifrují všechna data uložená na pevném disku. Za jejich zpřístupnění pak útočníci požadují výkupné, a to klidně i několik tisíc korun.
Kyberzločinci se zpravidla snaží v majiteli napadeného stroje vzbudit dojem, že se ke svým souborům dostane po zaplacení pokuty. Ta byla údajně vyměřena za používání nelegálního softwaru apod. I proto jim celá řada lidí již výkupné zaplatila.
Zaplatit zpravidla chtějí v bitcoinech, protože pohyby této virtuální měny se prakticky nedají vystopovat. A tím logicky ani nelegální aktivita počítačových pirátů.
Ani po zaplacení výkupného se ale uživatelé ke svým datům nedostanou. Místo placení výkupného je totiž nutné virus z počítače odinstalovat. Zpřístupnit nezálohovaná data je už ale ve většině případů nemožné.
Dnes 15:54
Na množící se podvody upozornil český Národní bezpečnostní tým CSIRT.CZ. Podle něho zneužívají podvodníci fakt, že moderní tiskárny skutečně dokážou naskenované dokumenty odeslat přímo do e-mailové schránky.

„Aktuálně zaznamenáváme zvýšený výskyt e-mailů přesvědčivě se tvářících jako oskenovaný soubor poslaný tiskárnou,“ uvedl Pavel Bašta, bezpečnostní analytik CSIRT.CZ, který je provozován sdružením CZ.NIC.

Přílohu vůbec neotevírat
Podle něj nebezpečí tkví právě v příloze, která je součástí nevyžádaného e-mailu. „V příloze je přiložený archív s příponou .rar. V archívu je zabalený .vbs skript, který již poté dokáže napáchat škodu,“ podotkl Bašta.

„Dle některých výzkumníků se s největší pravděpodobností jedná o novou variantu ransomwaru Locky, který šifruje soubory oběti a přidává jim následně příponu .lukitus. Námi zachycený vzorek je v současnosti úspěšně detekován pouze některými antiviry,“ varoval bezpečnostní expert.

To jinými slovy znamená, že nový škodlivý kód, který se šíří prostřednictvím příloh v e-mailu, nemusí antivirové programy vůbec rozeznat. Uživatelé tak po otevření přílohy vlastně ani nemusí vědět, že si zavirovali počítač.

Chce výkupné
Locky přitom dovede v počítači udělat pěknou neplechu. Po spuštění přílohy v nevyžádaném e-mailu se do PC nahraje vyděračský virus, který dále škodí. Zašifruje data a za jejich zpřístupnění požaduje výkupné.

Útočníkům jde tedy především o peníze. Ani po zaplacení výkupného však uživatelé nemají jistotu, že se ke svým datům dostanou. Místo toho je totiž nutné virus z počítače odinstalovat. Zpřístupnit nezálohovaná data je už ale ve většině případů nemožné.

Ruští hackeři napadli evropské hotelové sítě, špehovali jejich zákazníky

21.8.2017 Novinky/Bezpečnost Hacking
Útok postihl hotely v sedmi evropských zemích a v Izraeli. Bezpečnostní experti se domnívají, že hackeři chtěli prostřednictvím hotelových wi-fi sítí sledovat vládní činitele.
Narušení internetových sítí hotelů v sedmi evropských zemích a v Izraeli má mít na svědomí hackerská skupina ATP28 z Ruska, která je rovněž podezřelá z pokusu o ovlivňování loňských voleb amerického prezidenta. Podle společnosti FireEye se útočníci zaměřili na několik firem z oblasti pohostinství a na konkrétní hotelové sítě.

„Existují určité náznaky, že hackeři ve skutečnosti hledali způsob, jak se dostat do zařízení vládních činitelů a obchodních zástupců, kteří využívají hotelovou síť wi-fi,“ uvedl server Securityweek.com. Napadené země nespecifikoval.

Útok měl ve všech případech stejný scénář. Hackeři zaslali vybranému zaměstnanci hotelu e-mail s přílohou Hotel_Reservation_Form.doc, která obsahovala makra. Jejich prostřednictvím skupina ATP28 šířila malware GameFish. Jde o backdoor, který útočníci použili i při nedávné kybernetické kampani proti Černé Hoře před jejím vstupem do NATO.

Jakmile hackeři získali přístup do hotelové sítě wi-fi, využili exploitu EternalBlue SMB, který byl použit i při šíření ransomwarových kampaní WannaCry a Petya.

Stačilo 12 hodin na ovládnutí notebooku
Skupina rovněž využila nástroj Responder, který jí umožnil zasílat uživatelská jména a hesla z napadených počítačů na vzdálený řídicí server. V jednom konkrétním případu, k němuž došlo již v roce 2016, stačilo, aby se oběť připojila k hotelové síti a za pouhých dvanáct hodin skupina ATP28 ovládala jeho zařízení a využívala jeho obsah.

Běžně tyto útoky probíhají na dálku, ale v tomto případě byl útočník zřejmě připojen na stejné síti jako jeho oběť – byl jí tedy fyzicky nablízku.

Nejde o jedinou škodlivou kampaň zaměřenou na zákazníky velkých hotelových sítí v Evropě. Známý je rovněž případ malwaru DarkHotel, který souvisel s informacemi o vládních záležitostech v Jižní Koreji, a také Duqu 2.0, který se zaměřil na hosty evropských hotelů, kteří vyjednávali se zástupci Západu o íránském jaderném programu. Bezpečnostní experti předpokládají, že v těchto případech byli angažováni vládou najatí hackeři z Ruska a Číny.

Veřejná wi-fi představuje nebezpečí, říká expert
„Veřejné sítě wi-fi představují velké riziko kdekoli, nejen v hotelích. Používáním takové sítě se uživatel vystavuje nebezpečí infiltrace různých typů škodlivého kódu. Útočníci se nemusí zaměřovat pouze na vládní činitele a představitele velkých firem, mohou tímto způsobem šířit třeba i vyděračský ransomware,“ upozorňuje Václav Zubr, bezpečnostní expert společnosti ESET. „Největší nebezpečí hrozí u otevřených wi-fi sítí, na které se lze připojit bez zadání hesla. Nicméně i zaheslované sítě mohou představovat riziko,“ dodává.

Podle Zubra je vhodnější při cestování používat vlastní datový přístup k internetu, případně privátní wi-fi sítě, které nemůže využívat veřejnost. „Riziko nečíhá jen v hotelích. Představují ho i veřejné wi-fi sítě a hotspoty na nádražích, letištích, v obchodních centrech nebo přímo v prostředcích veřejné dopravy. Není výjimkou, že si hackeři sami vytvoří wi-fi síť, kterou otevřou veřejnosti, aby potom její uživatele napadnou,“ varuje Václav Zubr.

Hackeři hlásí, že ukradli Hru o trůny

1.8.2017 Novinky/Bezpečnost Hacking
Podle serveru Entertainment Weekly ukradla skupina hackerů společnosti HBO několik pořadů a navíc údajně i scénář seriálu Hra o trůny. Vedení HBO ale neuvedlo, o co přesně šlo.
Společnost HBO vydala jen obecné prohlášení, že došlo „ke kyberincidentu“ a byl ukraden nějaký materiál. “Okamžitě jsme zahájili vyšetřování a spolupracujeme s bezpečnostními složkami a externími firmami zaměřenými na kyberbezpečnost. Ochrana dat je pro nás nejvyšší priorita a bereme vážně zodpovědnost za data, která spravujeme.“

Hackeři tvrdí, že mají 1,5 terabytu dat, a podle serveru už nějaké epizody seriálů Ballers a Room 104 visí na internetu. Není však jasné, kdo to udělal.

HBO nechce potvrdit ani množství dat, ani konkrétní názvy pořadů.

Některým americkým reportérům však přišel e-mail, kde se kdosi vytahuje, že se podařil „největší únik dat“ a že jde o HBO a Hru o trůny: „Máte to štěstí, že jste první pionýři, kteří mohou být svědky toho úniku a mohou si to stáhnout. Užijte si to a šiřte dál. Dáme interview tomu, kdo to bude dobře šířit.“

Italské ministerstvo zahraničí se stalo terčem hackerského hnutí Anonymous

21.6.2017 Novinky/Bezpečnost Hacking
Italské ministerstvo zahraničí v úterý oznámilo, že vyšetřuje pokus o hackerský útok na své počítače. Hackerská skupina, která se označuje jako italská odnož hnutí Anonymous, předtím zveřejnila některá data, která podle ní ukradla z počítačů ministerstva. Není zatím jasné, zda jsou mezi těmito údaji nějaké citlivé informace, uvedla agentura Reuters.
Ministerstvo v prohlášení uvedlo, že s úřadem prokurátora spolupracují při vyšetřování jeho technici, podrobnosti o pokusu proniknout do počítačů ale neuvedlo.

Hackeři o útoku informovali na serveru cyberguerrilla.org. Na server nahráli například tabulky nazvané "ubytování zaměstnanců" a "cestování/výdaje". Umístili tam například i odkazy na soubory obsahující stovky e-mailových adres.

"Jen se dál bavte na svých summitech, ve svých komisích... G7, G8, zpravodajské služby, sledování, terorismus," píše se na stránce. "Už jsme věděli, že my Italové platíme. Mezitím si prosím užijte necenzurované zveřejnění některých dat ukradených z vašeho vzácného informačního systému," napsali hackeři.

Hackeři mohou špehovat lidi přes kamery. Kvůli chybám v ovládacím softwaru

20.6.2017 Novinky/Bezpečnost Hacking
Zneužít chyby v IP kamerách čínské výroby mohou relativně snadno počítačoví piráti. Touto cestou pak mohou špehovat bez vědomí uživatele lidi, kteří se budou nacházet před objektivem. Na chyby upozornila bezpečnostní společnost F-Secure.

Opticam i5 HD
FOTO: archív výrobce
Zranitelnosti umožňují útočníkovi ovládnout kameru, sledovat video a v některých případech i získat přístup k dalším zařízením nacházejícím se ve stejné síti,“ varoval Pavel Bašta, analytik Národního bezpečnostního týmu CSIRT.CZ.

Zranitelnosti byly objeveny prozatím ve dvou kamerách čínské společnosti Foscam. Konkrétně v modelech Foscam C2 a Opticam i5 HD.

Opticam i5 HD
Jak upozornili bezpečnostní výzkumníci společnosti F-Secure, postižených IP kamer bude daleko více, neboť totožný ovládací software používá více výrobců. „Je pravděpodobné, že se zranitelnosti budou nacházet i v dalších značkách, jako jsou Chacon, 7links, Netis, Turbox, Thomson, Novodio, Nexxt, Ambientcam, Technaxx, Qcam, Ivue, Ebode a Sab,“ doplnil Bašta.

Aktualizace zatím chybí
To představuje poměrně velké bezpečnostní riziko, neboť počítačoví piráti mohou kvůli chybám snadno získat nadvládu nad poměrně velkým množstvím kamer. Zda už byla chyba skutečně zneužita, však v tuto chvíli není jasné.

Samotní uživatelé se před objevenými trhlinami příliš chránit nemohou. Musí totiž počkat až do doby, kdy jednotliví výrobci vydají aktualizace ovládacích softwarů jednotlivých kamer. To ale může trvat klidně i několik týdnů.

Jedinou spolehlivou obranou je tak v tomto případě bohužel pouze odpojení kamer od počítačové sítě.

Hackeři napadli litevské plastické chirurgie. Kradli citlivé fotografie

2.6.2017 Novinky/Bezpečnost Hacking
Litevská policie vyšetřuje hackerský útok proti řetězci klinik plastické chirurgie, jehož pachatelé ze serverů ukradli často citlivé fotografie tisíců klientů a klientek. Hackerská skupina Tsar Team, údajně napojená na Rusko, s pomocí ukořistěných databází vydírala klienty z Norska, Německa, Dánska, Británie a dalších zemí Evropské unie.
Žádosti o výkupné nebyly většinou úspěšné, a tak hackeři podle litevských vyšetřovatelů několik stovek fotografií zveřejnili v březnu a další dnes, napsal litevský zpravodajský server 15min.

Fotografie většinou zachycují stav klientů a klientek před operací, mnohé z nich jsou značně intimní. Některým obětem prý musela být poskytnuta psychologická pomoc.

Útočníci podle litevského serveru žádali od svých obětí částky od 50 do 2000 eur (až 53 000 korun). Podle zástupce náčelníka litevského policejního sboru Andžéjuse Roginskise při pátrání po původcích útoku spolupracuje Litva s některými zahraničními partnery.

Podaří-li se pachatele dopadnout, hrozí jim až deset let vězení.

Stránky obce na Klatovsku napadl hacker, smazal a změnil data

2.6.2017 Novinky/Bezpečnost Hacking
Z internetových stránek obce Ježovy na Klatovsku někdo smazal téměř veškeré informace. Starosta Pavel Křivohlavý už podal trestní oznámení a případ začala vyšetřovat policie.
„Zástupce obce nám oznámil, že neznámý pachatel neoprávněně získal přístup do počítačového systému na internetové doméně obce a zde uložená data neoprávněně smazal a změnil,“ sdělila Právu mluvčí policie Dana Ladmanová.

Podle ní kriminalisté v případu zahájili úkony trestního řízení pro podezření ze spáchání přečinu neoprávněný přístup k počítačovému systému a nosiči informací. „Vzhledem k tomu, že prověřování případu je na samém počátku, nelze podat další informace,“ dodala Ladmanová.

Pro starostu je celá věc záhadou. „V tuto chvíli proto nemám vysvětlení. Nemyslím si, že jde o cílený útok na obec. Webové stránky nám spravuje firma přes svůj server, takže mohl to být útok na ni a my to odnesli poškozením stránek,“ uvedl Křivohlavý.

Podle něj kvůli útoku nejsou některé informace na stránkách obce momentálně přístupné. Některé údaje jsou také pozměněné, například jméno místostarosty. „Snažíme se ze záloh obnovit původní stav,“ dodal starosta.

Hackeři napadli vydavatele amerického deníku USA Today, ohrozili data 18 tisíc zaměstnanců

23.5.2017 Novinky/Bezpečnost Hacking
Jedno z největších amerických novinových vydavatelství Gannet Co, do jehož portfolia patří i deník USA Today, napadli hackeři a získali citlivá data o 18 tisíc současných i dřívějších zaměstnancích. K průniku do vnitřní sítě vydavatelství došlo prostřednictvím phishingové zprávy, kterou pachatel zaslal na oddělené lidských zdrojů společnosti, uvedl server WeLiveSecurity.com.
E-mail vytvářel dojem, že pochází od manažera vydavatelství, který si vyžádal potvrzení přihlašovacích údajů do sítě. Útočníci se poté dostali do databáze zaměstnanců firmy.

Druhý velký útok po Gmailu
Vydavatelství v oficiálním prohlášení popřelo, že by existoval byť jen náznak úniku citlivých osobních údajů. E-mailové účty zaměstnanců, jejichž data mohli útočníci získat, ale podrobí důsledné kontrole. K útoku mělo dojít již 30. března, kdy se pachatel pokusil prostřednictvím jednoho z napadených uživatelských účtů provést bankovní převod peněz, který se mu nezdařil.

Podezřelou transakci zachytilo finanční oddělení vydavatelství, které iniciovalo rozsáhlé vyšetřování. Incident byl prozrazen ve stejnou dobu, kdy rezonovala kauza s podobným útokem na uživatele služby Gmail.

Podle nevládní organizace Internet Society by firmy jako Gannet Co měly lépe předcházet případnému průniku nežádoucích osob k citlivým datům. „Pokud chtějí minimalizovat riziko narušení dat a průniků do zařízení, musí používat nejnovější systémy zabezpečení a mít povědomí o tom, jak řešit hrozby spojené se sociálním inženýrstvím,“ prohlásil Olaf Kolkman, ředitel divize internetových technologií v organizaci Internet Society.

„Naše zpráva za rok 2016 došla k závěru, že pokud by americké firmy zavedly patřičná opatření, mohly by se vyhnout až 93 procentům všech průniků do svých systémů,“ dodal.

Ohroženy mohou být i české firmy
Úniky citlivých osobních a obchodních dat patří podle bezpečnostního experta společnosti ESET Václava Zubra mezi největší kybernetické hrozby firem, ale i různých veřejných institucí. „Mnohé organizace zcela zásadně podceňují bezpečnostní opatření. Velmi často pomíjí bezpečnostní školení pro své zaměstnance. Přitom to je právě lidský faktor, který hraje při phishingových útocích a sociálním inženýrství hlavní roli,“ uvedl Zubr.

„Každá společnost by měla provádět minimálně jednou ročně povinná školení bezpečnosti práce na internetu pro své zaměstnance,“ dodává.

Neznámý hacker ve jménu kanceláře slovenské sněmovny žádá peníze

12.5.207 Novinky/Bezpečnost Hacking
Neznámý hacker patrně získal kontrolu nad e-mailem šéfa kanceláře slovenského parlamentu Daniela Guspana a jeho jménem žádá oslovené partnery z EU o peníze. Vyplývá to ze čtvrtečního oznámení kanceláře slovenské sněmovny.
"Jeho jménem a pod jeho oficiální adresou komunikuje neznámá osoba se všemi partnery, kancelářemi parlamentů všech členských zemí Evropské unie, jakož i řídícími pracovníky odpovědnými za oblast mezinárodní spolupráce v rámci parlamentů Evropské unie," informovala kancelář slovenské Národní rady.

V prohlášení také oznámila, že celou situaci považuje za útok na bezpečný chod parlamentu a snahu o mezinárodní diskreditaci Daniela Guspana. Kancelář uvedla, že vzniklou situaci ohledně e-mailů začala řešit s policií i s parlamenty členských států EU.

Guspan se dostal do centra pozornosti v dubnu, kdy vyšlo najevo, že vydal nařízení, na jehož základě pracovníci parlamentu museli otevírat vybrané dopisy adresované poslancům a některé zásilky jim ani nepředat. Opozice to označila za porušení ústavou chráněného listovního tajemství. Když se aféra dostala na světlo, Guspan platnost kontroverzních částí nařízení pozastavil.

Hackeři napadli desítky tisíc počítačů. Zneužili nástroje špiónů

25.4.2017 Novinky/Bezpečnost Hacking
Není žádným tajemstvím, že tajné služby disponují sofistikovanými nástroji pro špionáž různých počítačových systémů. A výjimkou není ani americká Národní agentura pro bezpečnost (NSA). Právě špiónského nářadí této agentury se však zmocnili počítačoví piráti. A začali je okamžitě zneužívat.
V arzenálu NSA – a nutno podotknout i dalších tajných služeb – se v internetové éře běžně objevují tzv. exploity, tedy speciální programy umožňující získat přístup na nejrůznější weby, služby, ale také pro nejrůznější dokumenty.

A právě podobných nástrojů, které z NSA unikly před týdnem, se zmocnili počítačoví piráti. Podle serveru The Hacker News je již několik hackerských organizací zneužívá k útokům.

V praxi mohou díky zmiňovaným exploitům útoky kyberzločinci vypadat následovně. Prostřednictvím jednoho škodlivého kódu by se útočníci dostali do administračního rozhraní nějakého sportovního areálu, který nabízí stažení rozpisu tréninků v textovém dokumentu formátu Word. Ten by pomocí dalšího exploitu infikovali tak, že by mohli sledovat v podstatě každého uživatele, který by tento soubor stáhnul z daného webu.

O tom, že je počítač infikován, by samozřejmě uživatel neměl ani ponětí. Dokument by se mu normálně otevřel, avšak spolu s ním by zároveň na pevný disk stáhnul i nezvaného návštěvníka – právě prostřednictvím něho by pak útočník získal přístup ke všem datům.

Přes 100 000 napadených počítačů
Podobným způsobem se podařilo za pouhý týden proniknout hackerům do několika tisíc počítačových systémů, jak upozornili bezpečnostní výzkumníci švýcarské bezpečnostní společnosti Binary Edge.

Těm se podařilo objevit již přes 100 000 počítačů, které byly napadeny různými hackerskými organizacemi pomocí nástrojů od NSA. Zda se útoky uskutečnily i v Česku, zatím není jasné.

Zpravidla jde o stroje běžící na operačním systému Windows. Jde však o starší systémy od Microsoftu, desítek se údajně hrozba netýká, upozornil server The Hacker News.

Převezmou kontrolu
Útoky se údajně týkaly systémů Windows XP, Windows Server 2003, Windows 7 a Windows 8. Je nicméně nutné zdůraznit, že majitelé sedmiček a osmiček by měli být proti útokům chráněni, pokud mají stažené všechny nejnovější aktualizace. Například pro Windows XP však již bezpečnostní updaty nevycházejí, uživatelé tak nemohou být chráněni.

Nad napadeným strojem mohou počítačoví piráti převzít zcela kontrolu. Stejně tak mohou přistupovat k datům uloženým na pevném disku, případně celý stroj zotročit a využívat k dalším útokům.

Hackeři napadli prezidentův počítač, nahráli mu tam dětské porno

27.3.2017 Novinky/Bezpečnost  Hacking
Počítač prezidenta Miloše Zemana na zámku v Lánech se před rokem stal terčem hackerů. Nahráli do něj fotografie dětského porna. Hackerský útok potvrdil v nedělním pořadu Pressklub rádia Frekvence 1 sám Zeman.
„Pustil jsem počítač a nevěřícně jsem asi deset vteřin zíral, co se to děje, než mi došlo, že jde o hackerský útok,“ popsal Zeman. Ačkoliv chtěl na útočníka podat trestní oznámení, měl smůlu. „IT specialisté mi oznámili, že útok přišel z Alabamy a na tu jsme s trestním oznámením krátcí,“ uzavřel prezident.

Hlava státu se v loňském roce nestala první obětí z řad vrcholných českých politiků, kterým se hackeři nabourali do počítačů. Vloni v lednu prolomili soukromou e-mailovou schránku premiérovi Bohuslavu Sobotkovi (ČSSD). Stáhli z ní desítky zpráv, v nichž se projednávaly státní i soukromé záležitosti.

Krátce před Vánocemi roku 2015 hackeři nabourali také Sobotkův twitterový účet a objevily se na něm falešné tweety, které volaly po boji proti uprchlíkům a označovaly je za invazní armádu.

Hackerské útoky zažila v roce 2013 také Strana práv občanů. U některých článků se místo snímků politiků objevily pornofotky. S napadením facebookového profilu se potýkal také poslanec Jaroslav Foldyna (ČSSD). Do e-mailu se nabourali počítačoví zločinci i exministru zahraničí Janu Kavanovi (ČSSD) či bývalému premiérovi Vladimíru Špidlovi (ČSSD).

Google a Yahoo mají problém, hacker prodává přes milión jejich účtů

23.3.2017 Novinka/Bezpečnost Hacking
Nabídka se objevila na černém online tržišti a obsahuje přihlašovací údaje k 1,2 miliónu uživatelských účtů, které byly prolomeny v letech 2008 až 2016.
Přihlašovací údaje pro víc než milión účtů internetových služeb Gmail a Yahoo prodává hacker, který používá přezdívku SunTzu583. Mezi nabízenými uživatelskými profily je i 100 tisíc účtů Yahoo prolomených v roce 2012 při hackerském útoku na web Last.fm, upozornil server Infosecurity-magazine.com. Nabízené údaje představují uživatelská jména, e-mailové adresy a hesla.

Dalších 145 tisíc účtů Yahoo, které zahrnuje nabídka hackera SunTzu583, získal prodejce patrně při útocích na Adobe v roce 2013 a na MySpace, který sice proběhl již v roce 2008, ale informace o něm byly zveřejněny až loni. Počty nabízených účtů na Yahoo jsou ale směšně nízké v porovnání s počty prodávaných účtů ke službě Gmail.

Dohromady jde téměř o milión účtů, z nichž půl miliónu pochází ze tří kybernetických útoků: prolomení internetového fóra Bitcoin Security Forum, útoku na Tumblr v roce 2013 a hackerského útoku na MySpace v roce 2014, během něhož útočníci získali i výše zmíněné účty Yahoo.

Změňte si heslo, radí expert
Zbývajících 450 tisíc nabízených účtů Gmail získali útočníci během celé řady akcí proti webům a službám Last.fm, Adobe, Dropbox, Tumblr a dalším. Kompletní sadu 1,2 miliónu účtů nabízí hacker výměnou za bitcoiny, internetovou měnu, kterou obvykle vyžadují kybernetičtí útočníci při vyděračských kampaních ransomware. Jeden bitcoin se v přepočtu prodává za 30 tisíc korun. Yahoo ani Google se zatím k faktu, že jsou statisíce jejich účtů nabízeny v nelegální aukci, nevyjádřily.

„Každopádně to je další špatná zpráva pro Yahoo. Společnost v posledních letech přiznala řadu bezpečnostních incidentů, při nichž byla ohrožena osobní data jejích zákazníků u více než miliardy účtů,“ konstatuje web Infosecurity-magazine.com. „Uživatelé, kteří si nejsou jisti, zda se nestali terčem útoku, a obávají se, že se jejich účet Gmail nebo Yahoo nachází mezi obchodovanými položkami, by si měli okamžitě změnit přístupová hesla k těmto účtům,“ radí Miroslav Dvořák, technický ředitel společnosti ESET.

Pro přístup k účtům by uživatelé měli podle Dvořáka používat dvoufaktorovou autentizaci, která vedle klasického hesla využívá ještě jednorázově generované potvrzovací heslo, které uživateli přijde formou textové zprávy na mobilní telefon nebo e-mailem.

Známý hacker iPhonů a PlayStationu 3 si objednal Teslu. Dostal ale varování, že hackování může znamenat vězení
8.3.2017 Živě.cz Hacking

Hackera George Hotze, který se proslavil hacknutím například herní konzole PlayStation 3 nebo prvního iPhonu pro použití s různými operátory, asi není nutné blíže představovat. Tentokrát o sobě nechal vědět ve spojení se společností Tesla a objednávkou elektromobilu.
Slavný hacker iPhonu a PlayStationu končí se startupem, který měl udělat z každého auta samořízené
George Hotz si totiž dle informací Electreku objednal nejnovější elektromobil Tesla Model S vybavený Autopilotem druhé generace, která už obsahuje veškeré senzory a systémy pro plně autonomní provoz, byť toho zatím není schopná a uživatelé si musí počkat na budoucí softwarovou aktualizaci.

Před oficiálním dodávkou byl ale dle jeho tvrzení kontaktován osobně přímo právníky Tesly, kteří ho upozornili, že krádež duševního vlastnictví je trestní čin. Týká se to především toho, pokud by Hotz prolomil ochranu Tesly a získal tak například záznamy z Autopilota a další údaje o systému.
Hotz totiž minulý rok oficiálně ukončil startup Comma.AI, který měl umožnit snadnou a levnou instalaci některých jednodušších autonomních funkcí pro vybraná vozidla, která je standardně nepodporují a výrobce je ani nenabízí. Vlastní startup ale z důvodu legislativních tlaků ukončil a softwarový projekt vyvíjí pod volnou licencí a názvem Open Pilot. Kromě podpory některých vozů Honda a Acura lze předpokládat, že chtěl přidat i Teslu.

Po tomto varování se ale George Hotz rozhodl objednávku raději zrušit. Uvidíme, jestli je to tedy jen na oko a v budoucnu se v rámci projektu „náhodou“ podpora Tesly s hacknutou verzí softwaru objeví.

Blikající LEDka může být zneužita k úniku dat

26.2.2017 SecurityWorld Hacking
Izraelští vývojáři přišli na způsob, jak hacknout počítač pomocí diody hard disku.

Zdánlivě neškodně blikající kontrolky stolních počítačů či serverů mohou napáchat pořádné škody. Izraelští vývojáři přišli s novým způsobem, jak se skrz ně nabourat do počítače a dostat z něj citlivá data. Svůj objev prezentují videem, v němž hacknutý počítač skrz LED diodu vysílá data, která čte nedaleko poletující dron.

Metodu vyvinuli za účelem poukázání na zranitelnost tzv. air gap zařízení, tedy systémů či počítačů postrádajících z bezpečnostních důvodů bezdrátové technologie nebo počítačů záměrně odpojených od internetu. Takové obvykle obsahují vysoce důvěrné informace nebo slouží k ovládání důležitých infrastruktur. Už v minulosti se však k jejich datům podařilo proniknout například s využitím hluku vydávaného větrákem počítače či diskem anebo třeba s pomocí vyzařovaného tepla.

Nejnovější metoda k hacknutí využívá blikání LED diody hard disku aktivní v okamžicích, kdy na disku probíhá čtení nebo zápis dat. Výzkumníci zjistili, že za pomocí malwaru mohou diodu kontrolovat tak, aby blikáním vysílala binární signály, což podle nich stačí k přenosu až 4000 bitů za sekundu, zkrátka dost na to, aby z počítače získali hesla či šifrovací klíče bez toho, aby vzbudili jakékoliv podezření.

„Diody na disku blikají s takovou frekvencí, že si nikdo nemůže všimnout čehokoliv divného,“ uvedl vedoucí výzkumného týmu Mordechai Guri.

K přečtení vysílaného signálu pak je třeba už jen kamera nebo optický senzor, přičemž Izraelci tvrdí, že ho dokážou přijímat až ze vzdálenosti dvaceti metrů, klidně i zpoza oken budovy. S čočkami s náležitým zoomem pak tato vzdálenost může být ještě větší.

Uplatnit tento hack v praxi by však nejspíš nebylo snadné, vývojářům totiž zatím chybí to podstatné – malware, kterým by LED diodu ovládali, a hlavně by vždy tento malware do vytipovaného počítače potřebovali nějak dostat, což vzhledem k obvyklým důkladným ochranným opatřením u air gap systémů, bude klíčovým problémem. Výzkumníci zároveň férově zmínili jednoduché řešení, jak podobnému hacku předcházet. Diodu stačí přelepit páskou...

Falešné nabídky už neletí. Podvodníci zkoušejí zcela nový trik

23.2.2017 Novinky/Bezpečnost Hacking
V loňském roce se na internetu doslova roztrhl pytel s falešnými nabídkami na slevy a výhodné akce. Kyberzločinci se tak často vydávali za obchodníky nebo zástupce nějaké finanční společnosti a z důvěřivců lákali přihlašovací údaje či se jim snažili infikovat počítač škodlivým virem. Letos však přišli s daleko sofistikovanějším podvodem. Uživateli zobrazí jen roztodivné klikyháky.
Před novým trikem varoval Národní bezpečnostní tým CSIRT.CZ, který je provozován sdružením CZ.NIC.

„Byl zaznamenán nový trik, jak donutit uživatele k instalaci malwaru. V tomto případě je malware distribuován s pomocí webových stránek, na kterých se zobrazují nesmyslné znaky,“ uvedl Pavel Bašta, bezpečnostní analytik CSIRT.CZ.

Podobné znaky se často zobrazují například v textových dokumentech, pokud v počítači není nainstalovaný použitý font písem. Uživatel tak musí v praxi znakovou sadu manuálně doinstalovat, aby si mohl text přečíst.

Místo nového fontu virus
A přesně na to sázejí počítačoví piráti. „Uživateli je zobrazena výzva k instalaci balíčku fontů pro Google Chrome s tím, že tím bude problém vyřešen,“ konstatoval Bašta.

„Pokud uživatel na trik skočí, problémy mu teprve začnou, neboť si místo fontů nainstaluje do svého počítače trojského koně, nebo dokonce ransomware Spora,“ doplnil bezpečnostní analytik s tím, že s podobnými útoky se mohou uživatelé setkat i na legitimních webových stránkách, které se podaří počítačovým pirátům napadnout.

Chtějí výkupné
Ransomware je souhrnné označení vyděračských virů, které dělají bezpečnostním expertům vrásky na čele již několik posledních měsíců. Útoky těchto nezvaných návštěvníků probíhají vždy na chlup přesně.

Nejprve zašifrují vyděračské viry všechna data uložená na pevném disku. Za jejich zpřístupnění pak útočníci požadují výkupné, a to klidně i několik tisíc korun.

Kyberzločinci se zpravidla snaží v majiteli napadeného stroje vzbudit dojem, že se ke svým souborům dostane po zaplacení pokuty. Ta byla údajně vyměřena za používání nelegálního softwaru apod. I proto jim celá řada lidí již výkupné zaplatila.

Ani po zaplacení výkupného se ale uživatelé ke svým datům nedostanou. Místo placení výkupného je totiž nutné virus z počítače odinstalovat. Zpřístupnit nezálohovaná data je už ale ve většině případů nemožné.

Nečitelné webové stránky, respektive nabídka instalace chybějícího fontu, jsou jen další snahou kyberzločinců, jak šířit vyděračské viry.

Finanční sektor zasáhla série útoků, hackeři matou vyšetřovatele

22.2.2017 SecurityWorld Hacking
V posledních měsících se na finanční organizace z celého světa svalila vlna organizovaných a sofistikovaných útoků od neznámých hackerů. Nejnovější poznatky vyšetřovatelů ukazují, že v malwaru rozesílaném po bankách jsou záměrně vložena ruská slova, která mají vyšetřovatele svést na špatnou stopu.

Výzkumníci z firmy BAE Systems, která se zaměřuje na kybernetickou bezpečnost, nedávno získala a analyzovala vzorky malwaru souvisejícího se sérií útoků. Hackerský malware zasáhl 104 organizací ze 31 zemí, přičemž většinou se jednalo o banky.

V malwaru výzkumníci objevili několik příkazů a textových řetězců v ruštině; jazyk je však natolik zvláštní, že jednotlivé fráze byly zřejmě do ruštiny přeloženy pomocí online překladačů. Výsledný text nedává rodilému ruskému mluvčímu příliš smysl.

„V některých případech pozměnil nepřesný překlad celkový smysl slov,“ píší vědci v příspěvku na blogu. „To silně naznačuje, že pro strůjce útoků není ruština rodný jazyk a tedy, že využití ruských slov je ‚falešným signálem‘.“

Zvláštní chování má zřejmě zmást vyšetřovatele útoků. Některé technické důkazy však nasvědčují, že vzorky malwaru a celkově útoky jako takové lze přiřadit ke skupině v odborných kruzích známé jako Lazarus.

Lazarus je aktivní již minimálně od roku 2009 a je viněn z různých útoků proti vládám a soukromým organizacím po celém světě, od Jižní Korey po USA.

Někteří odborníci se rovněž přiklání k názoru, že za útok na Sony Pictures Entertainment z roku 2014, při kterém unikla některá soukromá data a bylo vyřazeno několik počítačů, může právě Lazarus. FBI a jiné americké zpravodajské agentury pak přímo obvinili také Severní Koreu.

Jméno skupiny Lazarus se skloňuje i ve spojitosti s krádeží 81 milionů dolarů z centrální banky Bangladéše z konce minulého roku. V tomto útoku hackeři využili malware k manipulaci s počítači využívanými bankou k přesunu finančních prostředků skrze síť SWIFT. Pokusili se přesunout 951 milionů celkově, ale některé z transakcí selhaly a část se následně úspěšně podařilo zaslat zpět do banky po detekování útoku.

Dříve v únoru malwarový útok zasáhl několik polských bank, útoky mají pocházet z malwarem nakažené stránky polské finanční správy.

Výzkumníci s BAE Systems a Symantecu útoky v Polsku propojili s větší sérií útoků, které započaly již v říjnu. Podobným způsobem došlo k narušení zabezpečení i v národní bance Mexika a největší státem vlastněné bance Uruguaye.

Software malwaru použitý v útocích nese společné znaky s nástroji dříve připsanými skupině Lazarus.

Ruského původu je hned několik hackerských skupin, které se navíc specializují na banky. Tyto skupiny používají přesně cílený druh phishingu (spear-phishing), aby si nejprve v bankách vytvořily pomyslný vstupní bod, pochopily interní procedury, které banka používá, a až poté začaly krást peníze. Výzkum BAE Systems napovídá, že Lazarus se snaží o to, aby jeho aktivita vykazovala podobné rysy jako ruskojazyčné hackerské skupiny.

Láska za 19 000 korun. Policisté varují před podvody na seznamkách

20.2.2017 Novinky/Bezpečnost Hacking
Na pozoru by se měli mít lidé hledající lásku na internetu. Ukazuje to nedávný případ, kdy žena poslala do USA 750 amerických dolarů (zhruba 19 000 Kč) muži, který o sobě tvrdil, že je vdovec. Peníze mu měly zajistit přepravu zavazadel z jeho vojenské mise. Když ale žena finanční prostředky poslala, přestal komunikovat.
Podle policistů nejde o ojedinělé případy. Lidé by měli být při komunikaci na internetu obezřetní, uvedla policejní mluvčí Marie Šafářová. Například v Olomouckém kraji již dříve vzniklo speciální oddělení pro boj s internetovou kriminalitou.

Poslední případ vyšetřují kriminalisté od minulého týdne, muž od své oběti vylákal platbu na zahraniční bankovní účet. „Vydával se za vdovce z Ameriky, architekta, který má devítiletou dceru. Také ženě sdělil, že momentálně působí jako voják v Afghánistánu a mise právě končí. Domluvili se na schůzce v České republice s tím, že nejprve pošle svá zavazadla," uvedla mluvčí.

Podle kriminalistů mohou být stejným nebo obdobným způsobem kontaktovány další ženy na seznamovacích portálech. Policisté proto lidi nabádají, aby nejen na sociálních sítích, ale i jinde v prostředí internetu byli zvlášť opatrní a ostražití. Poukazují přitom na to, že anonymita internetu umožňuje pachatelům jednoduše vyhledávat potenciální oběti.

Na internetu číhají další hrozby
Je nicméně důležité upozornit na to, že na internetu nečíhají pouze podvodníci lákající finanční hotovost. Nástrah je zde daleko více a je nutné podotknout, že některé jsou daleko vážnější, jak ukazuje trilogie filmů Seznam se bezpečně!, za kterými stojí společnost Seznam.cz.

První dva díly byly postaveny na reálných příbězích. V jednom z nich se například představil 14letý David, který se spřátelil na internetu s neznámým dospělým mužem. Ten mu nabízel dvoutisícovou úplatu za to, že mu pošle fotky a video s obnaženým tělem. Zachycen je i rozhovor s pedofilem Miroslavem či 16letým Patrikem, který se živil jako dětský prostitut. [celá zpráva]

Třetí díl pojednává o kauze skautských vedoucích z Ústí nad Labem, kteří vydírali intimními snímky děti na internetu a na čtyři desítky z nich pohlavně zneužili.

Jednou z ústředních postav filmu je odsouzený skautský vedoucí Martin Mertl, který před kamerou popsal, jak útoky probíhaly. Exkluzivně Novinkám již sám dříve popsal, že v celé kauze byl hlavním pachatelem. [celá zpráva]

Celou trilogii Seznam se bezpečně! můžete sledovat na stránkách www.seznamsebezpecne.cz.

Podle policejních statistik počet trestných činů páchaných prostřednictvím internetu klesl, loni to bylo 286 případů, o rok dříve 405. Pro vedení policie je i nadále potírání kyberkriminality jednou z priorit v letošním roce, uvedl na konci ledna náměstek krajského policejního ředitele Radovan Vojta.

Autor známého doplňku pro Kodi si chtěl vyřizovat účty, a tak do něj umístil DDoS
8.2.2017 Živě.cz Hacking

Scéna okolo populárního přehrávače Kodi v minulých dnech zažila nepříjemnou aféru. Autor jednoho z populárních doplňků Exodus, který slouží ke streamování filmů a seriálů z internetu, si chtěl pomocí obrovské základny uživatelů vyřizovat účty se svými kritiky a do kódu doplňku zakomponoval pokus o DDoS.

Multimediální přehrávač Kodi na Android TV

Podle TorrentFreaku byl autor Exodu, který na internetu vystupoval pod přezdívkou Lambda, ve sporu s jistými kritiky, kteří chtěli odhalit jeho skutečnou identitu. Toho se Lambda jako autor pirátského doplňku obával, a tak v rámci aktualizace umístil do kódu Exodu několik řádů s příkazy, které cyklicky načítaly webové adresy, které patřily jeho nepřátelům.

Kód v Pythonu, který ve smyčce prováděl HTTP GET požadavky. Při velkém počtu uživatelů doplňku autor doufal, že způsobí neplechu a zahltí webový server.

Zvídavým uživatelům však jen tak něco neunikne, a tak se brzy začali ptát, proč se doplněk snaží na pozadí otevřít asi čtyřicet webových spojení pokaždé, když skrze něj začnou cokoliv streamovat.

Lambda se nakonec musel přiznat, že chtěl poškodit své kritiky a funkci upravil jako volitelnou pro své podporovatele. Zašel však příliš daleko, znedůvěryhodnil celou scénu a přišel o účet v katalogu s doplňky. Nakonec Kodi fakticky opustil.

Domácí kino Kodi na Android TV

Celý případ připomněl, že s instalací jakéhokoliv kódu třetí strany musíme vždy myslet na to, že jej může nedůvěryhodný autor zneužít. Nemusí se přitom vždy jednat o malware, který by nám měl citelně ublížit, ale třeba právě o to, že se nás pokusí zapojit do útoku typu DDoS jako v tomto případě.

Útočník ovládl 160 000 tiskáren, tiskne na nich varování před útoky
7.2.2017 Root.cz Hacking
„Pro lásku boží, zavřete si ten port,“ objevuje se na ASCII-artových letácích, které vyjíždějí ze 160 000 tiskáren po celém světě. Hodný hacker se tak snaží upozornit na bezpečnostní chybu v PostScriptu.
Skupina odborníků z University Alliance Ruhr objevila chybu „cross-site printing“ (XSP) ve staré implementaci PostScriptu a PJL v laserových tiskárnách. Chyba se týká tiskáren zvučných jmen jako Dell, Brother, Konica, Samsung, HP a Lexmark. Úspěšný útočník ji může zneužít ke získání hesel, dolování citlivých údajů z tiskové fronty nebo k odstavení zařízení.

Stará chyba v PS a PJL
Problém je o to horší, že chyba není nová, ale v zařízeních je ukrytá desítky let. Dovoluje útočníkovi procházet souborový systém tiskárny, pokud k ní má přístup a může tisknout – to lze zařídit po síti nebo pomocí USB. Objevitelé chyby vytvořili nástroj v Pythonu, který dovoluje vzdáleně manipulovat s tiskovou frontou, číst soubory na disku, přistupovat k paměti tiskárny nebo zařízení fyzicky zničit.

Celkem bylo zveřejněno šest různých bezpečnostních mezer umožňujících přetečení zásobníku, ukradení hesel a zachycení tiskových úloh. Jedna z metod nazvaná Cross-Origin Resource Sharing (CORS) dokáže ve spojení s XPS využít k prolomení webové rozhraní tiskárny, které je přístupné na TCP portu 9100. Útočník podstrčí oběti stránku se skrytým iframe, který pak začne z uživatelova počítače komunikovat s tiskárnou skrytou uvnitř sítě.

Požadavek může obsahovat příkazy v jazycích PostScript nebo PJL, jak popisuje wiki na hacking-printers.net. Podle autorů je možné také posílat data z tiskárny zpět do prohlížeče, pokud se k tomu připraví správně výstupy PostScriptu. Je tak možné na straně tiskárny například emulovat HTTP server a povolit si přístup z JavaScriptu. Tiskárnu je pak možné plně ovládnout.

Hodný útočník
Nedlouho po odhalení této bezpečnostní chyby začalo hučet 160 000 tiskáren po celém světě – od velkých kancelářských strojů až po tiskárny u pokladen. Neznámý útočník s přezdívkou Stackoverflowin je všechny vzdáleně ovládl a začal na nich tisknout varovné „letáky“ s informacemi o tom, že zařízení je zranitelné a mělo by být zabezpečeno.

Stackoverflowin je ve vaší tiskárně
Obrázků existuje víc, na internetu se začínají objevovat jejich fotografie. Společné mají to, že je na nich ASCII-artový obrázek (robot/počítač) a krátký vysvětlující text. Součástí je i kontakt nebo odkaz na twitterovský účet.

Pro lásku boží, zavřete si ten port!
Útočník o sobě tvrdí, že je mu méně než 18 let a že jeho nástroj hledá veřejně dostupné tiskárny s otevřeným přístupem RAW, IPP (Internet Printing Protocol) a LPR (Line Printer Remote) na TCP portech 9100, 631 a 515. Pak na ně posílá tiskové úlohy. Prý ho nejvíce překvapilo, jak snadné to celé bylo. Pomocí zmap prohledal internet a pak spustil jednoduchý program v C, který rozeslal úlohy. Do většiny tiskáren můžete takto poslat svůj firmware – ten nemusí být podepsaný, tvrdí.

Text vypadá například takto:

stackoverflowin the hacker god has returned, your printer is part of
a flaming botnet, operating on putin's forehead utilising BTI's
(break the internet) complex infrastructure.
[ASCII ART HERE]
For the love of God, please close this port, skid.
-------
Questions?
Twitter: https://twitter.com/lmaostack
-------
Uživatelé hlásí zprávy vyjíždějící z mnoha různých modelů tiskáren, například Afico, Brother, Canon, Epson, HP, Lexmark, Konica Minolta, Oki a Samsung. Není vyloučeno, že může jít i o výrobky dalších firem. Podle mladíka prý bylo takto vytištěno varování na 160 000 zařízeních, ale je napadnutelných tiskáren je více než 300 000.

Zatím jde o „hodný spam“, který má poukázat na potenciálně vážný problém. I když vytištěná prohlášení tvrdí, že tiskárny jsou součástí botnetu, není to podle útočníka pravda. Takové riziko tu ale skutečně je, pokud by tiskárny někdo začal masivně zneužívat, mohl by z nich postavit botnet podobný Mirai a libovolně zneužívat. Přestože tato ukázka je vlastně také nelegální, zatím nebyl nikdo skutečně nijak poškozen.

Provozujete síťovou tiskárnu? Podívejte se, jaké porty vystavuje do sítě.

Hackeři úspěšně napadli e-maily ministerstva zahraničí. Dostali se i ke komunikaci samotného ministra
31.1.2017 Živě.cz Hacking
Začátkem letošního roku odhalily interní mechanismy Ministerstva zahraničních věcí hackerský útok na e-maily zaměstnanců MZV. Podle ministra zahraničních věcí, Lubomíra Zaorálka, došlo k úniku velkého množství komunikace včetně té z nejvyšších míst – náměstků a samotného ministra.

Zaorálek na tiskové konferenci ubezpečil, že se únik dat týká e-mailových schránek, a nikoliv klasifikovaných informací, pro jejichž správu využívá ministerstvo interní oddělený systém. Pro vyšetřování byla vytvořena pracovní skupina pod vedení Národního bezpečnostního úřadu, na které se podlí i úřad vlády, informační služby či Národní centrum kybernetické bezpečnosti.

Klepněte pro větší obrázek
Při útoku na e-mail Ministerstva zahraničních věcí útočníci získali komunikaci ministra i jeho náměstků

Ministr Zaorálek uvedl, že útok podle odborníků připomínal svým charakterem napadení e-mailů Demokratické strany ve Spojených státech a vyjádřil domněnku, že byl útok proveden cizím státem. Podle ministra je třeba posílit personální i finanční prostředky pro kyberochranu veřejných institucí.

O způsobu útoku můžeme zatím pouze spekulovat a počkat na závěry pracovní skupiny, která incident vyšetřuje. Vzhledem k rozsahu útoku se dá předpokládat proniknutí přímo k e-mailovému serveru nebo chabé zabezpečení e-mailových schránek bez šifrování, které by umožnilo odposlech komunikace. O úniku dat ještě před samotným prohlášením ministra zahraničí informoval web Neovlini.cz, který uvedl, že útok trval několik měsíců a vážnost situace dokládá fakt, že unikly i citlivé informace o spojencích.

Hackeři napadli e-maily ministerstva zahraničí. A rovnou v nejvyšších patrech

31.1.2017 Novinky/Bezpečnost Hacking
E-mailové účty ministra zahraničí Lubomíra Zaorálka (ČSSD) a jeho náměstků napadly hackeři. V úterý o tom informoval server Neovlivní.cz.
„Jde o tisícovky dat, která byla postupně stažena ze schránek ministra a náměstků. Včetně tajných informací,” citoval server zdroj obeznámený s případem.

Mluvčí resortu Michaela Lagronová napadení účtů potvrdila. Uvedla však, že nemá informace o tom, že by došlo k vyzrazení utajovaných informací.

Hackeři loni ukradli 4 miliardy digitálních záznamů. Rekord překonali o miliardu
31.1.2017 Živě.cz Hacking
Kyberzločinci kradou data zneklidňujícím tempem. Během roku 2016 počet útoků a ukradených dat výrazně vzrostl na nový rekord. Informuje o tom bezpečnostní agentura Risk Based Security. Celkem 4,149 zaznamenaných útoků znehodnotilo 4,2 miliardy digitálních záznamů. Je to o miliardu více než byl předchozí rekord z roku 2013.

Na internet unikly nahrané hovory marketingové firmy, obsahují detaily o jménech, adresách i kreditních kartách
Hlavními cíli byly podniky. Celkem stály za 55 % všech případů. Hackeři ale také útočili na zdravotnická zařízení nebo vládní agentury. „Počet zaznamenaných případů překonal všechna očekávání. A nejhorší je, že skutečná čísla budou pravděpodobně mnohem vyšší,“ sdělila Inga Goddijn, viceprezidentka Risk Based Security.

Velký podíl na výši čísla mělo Yahoo a jeho stovky tisíc ukradených dat. Není však samo. V průměru se počet kradených dat pohyboval mezi 500 tisíc a 10 miliony. Nejvíce útoků bylo zaznamenáno v USA (1,971) a v Británii (204), ale také v Kanadě (119), Brazílii (71), Austrálii (59) a Rusku (49).
„Válku proti kyberzločincům opravdu nevyhráváme. Daří se jim lépe než kdy dříve,“ uvádí Goddijn na stránkách společnosti. Často jsou podle ní kradeny citlivé údaje, jejichž vlastnictvím můžou útočníci přijít ke značnému zisku.

Rozdílem oproti předchozím rokům bylo, že loni útočníci útočili více cíleně. Dříve bylo hodně útoků oportunistických, ale nyní hackeři cílí na konkrétní společnosti, které shromažďují konkrétní data. Nezisková organizace Online Trust Alliance proto varuje, že obětí útoků se můžou stát i malé společnosti. Situace navíc bude postupně horší než lepší, takže pokud ještě někdo nevzal digitální zabezpečení svého podniku vážně, je nejvyšší čas to udělat.

Francie se připravuje na kyberútoky během květnových prezidentských voleb

23.1.2017 Novinky/Bezpečnost Hacking
Nejen Německo se obává narušení voleb, o které se při loňském výběru nového prezidenta Spojených států pokusili hackeři z Ruska. V pohotovosti je i Francie.
Francouzská státní agentura Anssi, zaměřená na kybernetickou obranu, se pilně připravuje na nadcházející prezidentské volby, které proběhnou letos v květnu. Podle šéfa Anssi Guillauma Pouparda chce zabránit pokusům o ovlivňování veřejného mínění, kterého se měli dopouštět hackeři spojovaní s Kremlem při amerických prezidentských volbách.

Poupard v rozhovoru pro francouzskou zpravodajskou televizi France 24 uvedl, že samotné politické strany nejsou schopny čelit sofistikovaným hackerským útokům, které jsou navíc podporovány cizím státem.

„Je to dost vážná situace, protože na jedné straně stojí silní útočníci, zatímco na straně druhé jsou politické strany. Je třeba si uvědomit, že politické strany jsou v podobné situaci jako malé a střední podniky – nejsou vybaveny k tomu, aby se samy s touto situací dokázaly vypořádat,“ prohlásil Poupard.

„Nejde o útoky jednotlivců, kteří je provádějí jen proto, aby viděli, co se pak stane. Jde o řízenou strategii, která zahrnuje kybernetické útoky, narušování sítí a úniky informací,“ dodal.

Rizikové sčítání hlasů
Podle Pouparda je situace o to vážnější, že si francouzská agentura pro kybernetickou obranu nemůže být jista, zda mezi útočníky nejsou i ti, kteří „pravidelně chodí klepat na dveře ministrů“. Anssi je podle svého šéfa připravena okamžitě varovat veřejnost, pokud dojde k únikům citlivých politických informací před samotnými prezidentskými volbami.

Bezpečnostní experti ale nesdílejí obavy, že by mohlo dojít k reálnému ovlivnění výsledku voleb. Například podle Ilji Kolochenka, generálního ředitele bezpečnostní společnosti High-Tech Bridge, k takovému scénáři nemůže dojít v tak rozvinuté zemi, jakou je Francie.

Velkým rizikem je elektronické hlasování.
Miroslav Dvořák, technický ředitel společnosti ESET
Určitá obezřetnost je ale na místě, doplňuje Miroslav Dvořák, technický ředitel společnosti ESET. „Jedna věc je snaha o ovlivňování veřejného mínění, druhá samotné zajištění ochrany sčítání hlasů. Jakákoli elektronická komunikace je napadnutelná a v případě voleb musí být opravdu dobře zabezpečena,“ vysvětluje.

„Velkým rizikem je elektronické hlasování, ale i když tato forma není v některých zemích povolena, výsledky sčítání hlasů z jednotlivých volebních místností se poté odesílají elektronicky do centrály a to je určitá slabina, která je zneužitelná,“ uvedl Dvořák.

Francouzská média v souvislosti s prezidentskými kandidáty upozorňují, že populární šéfka krajně pravicové Národní fronty Marie Le Penová, jíž průzkumy přisuzují hladký postup do druhého kola voleb hlavy státu, získala k financování své kampaně úvěr od ruských bank. Nový prezident nahradí v Elysejském paláci dosluhujícího Françoise Hollanda, který kvůli mimořádné nepopularitě u voličů ani nezkouší obhájit mandát.

Ruští hackeři sestřelili web fotbalového mistrovství Afriky

22.1.2017 Novinky/Bezpečnost Hacking
Skupina ruských hackerů se v sobotu přihlásila k tomu, že vyřadila z provozu internetové stránky probíhajícího fotbalového mistrovství Afriky. Protestují tak proti tomu, že se turnaj koná v Gabonu, kde se po loňských volbách a následných nepokojích drží u moci prezident Ali Bongo.

Internetové stránky probíhajícího fotbalového mistrovství Afriky
Skupina, která se nazývá New World Hackers, kontaktovala agenturu AP s tím, že web CAFonline.com vyřadila z provozu. Stránky v sobotu večer skutečně nebyly v provozu.

Představitelé afrického fotbalu však zatím nepotvrdili, zda je to skutečně kvůli hackerskému útoku, uvádí AP.

Vše nicméně nasvědčuje tomu, že šlo o tzv. DDoS útok. Ten má vždy stejný scénář. Stovky tisíc počítačů začnou přistupovat v jeden okamžik na konkrétní server. Ten zpravidla nezvládne tak vysoké množství požadavků zpracovat a spadne. Pro běžné uživatele se pak takto napadená webová stránka tváří jako nedostupná.

"Udělali jsme to na protest proti Gabonu. Pořádají mistrovství Afriky v zemi, kde diktátor Ali Bongo zabíjí nevinné lidi," stálo v e-mailu doručeném AP. Srpnové volby v zemi loni zpochybnil opoziční kandidát Jean Ping a prohlásil se za jejich vítěze. Výsledky vyvolaly nepokoje se zhruba stovkou obětí. Gabonský ústavní soud v září potvrdil vítězství dosavadního prezidenta Bonga.

Kyberzločinci mohou zaútočit dokonce už i na hřeben

22.1.2017 Novinky/Bezpečnost Hacking
Přibývá tzv. chytrých přístrojů, které sbírají nejrůznější, více či méně užitečná data. A roste také nebezpečí jejich zneužití. Teoreticky tak mohou kyberzločinci v dnešní době napadnout na dálku klidně i hřeben.

Chytrý může být v dnešní době už i hřeben. Na snímku je nový model od společnosti L’Oréal, který byl odhalen na veletrhu CES.
Tak například chytré sportovní hodinky – změří vám vzdálenost, kterou jste uběhli, a údaj odešlou do programu v telefonu. Tam už se můžete podívat, kolik jste uběhli včera, před měsícem nebo jakou vzdálenost zaběhl váš kamarád na druhém konci republiky.

Jenže výrobci se u těchto relativně užitečných věcí nehodlají zastavit. „Veletrh spotřební elektroniky (CES) v Las Vegas byl přehlídkou nápadů, jak připojit k internetu věci, u nichž by to mohlo být prospěšné,“ uvádějí stránky popsci.com.

Zmiňují hřeben od společnosti L’Oréal, jenž provede rozbor vašich vlasů, nebo polštář nahrávající zvuk vašeho chrápání či pohyby během spánku. Jakmile je takový výrobek připojen k internetu, může být teoreticky ovládnut někým cizím, hackerem.

Ten jej využije ve své armádě počítačů a s ní vyřadí z provozu třeba poskytovatele určité služby na internetu.

Armáda zotročených zařízení
Vojsko složené z chytrých polštářů, hřebenů či odpadkových košů může vypadat legračně, ovšem podobně se chytré fotoaparáty loni v říjnu zapojily do útoku, jenž způsobil problémy i společnostem jako Amazon či Twitter. 

S desítkami tisíc napadených zařízení, která je poslechnou na slovo, jsou schopni šířit nevyžádané e-maily nebo provádět DDoS útoky.

Na zařízení tzv. internetu věcí, tedy na chytré přístroje, které jsou schopny připojovat se na internet a komunikovat mezi sebou prostřednictvím této celosvětové počítačové sítě, se tak zaměřují kyberzločinci stále častěji. U nich totiž bezpečnost zatím nikdo nijak dramaticky neřeší, čehož se snaží kyberzločinci využít.

Odposlouchávání a prolamování Wi-Fi sítí zabezpečených pomocí WPA2
4.1.2017 Root.cz Hacking
V tomto článku si podrobně popíšeme, jak funguje zabezpečení WPA2-PSK a následně se podíváme na možnosti odposlouchávání a prolamování hesla.
WPA2 (Wi-Fi Protected Access 2) je dnes alespoň podle statistik projektu Wifileaks nejrozšířenějším způsobem zabezpečení Wi-Fi sítí v České republice. Existuje ve dvou variantách, WPA2-Personal (neboli WPA2-PSK), kde všichni klienti využívají stejné sdílené heslo a WPA2-Enterprise, který je po bezpečnostní stránce lepší, avšak díky nutnosti RADIUS serveru a složitější implementaci je vhodný, jak již z názvu plyne, spíše do podnikové sféry. My se podíváme na první variantu, která je typickým zástupcem zabezpečení většiny domácích sítí a v následujících odstavcích budu pod pojmem WPA2 myslet variantu WPA2-Personal.

Pokud zde očekáváte nějakou revoluční metodu, díky které budete schopni prolomit silné heslo u sítě vašeho souseda, tak vás musím zklamat – WPA2 je při správné konfiguraci stále bezpečné. Ani zde nečekejte sérii pěti příkazů, které bezmyšlenkovitě vložíte do terminálu svého Kali Linuxu a bude z vás „obávaný hacker“. Spíše se pokusím popsat, jak specifikace IEEE 802.11 a WPA2 funguje z bezpečnostního hlediska, rozebereme si 4-way handshake paket po paketu a různé další zajímavé aspekty. Těchto znalostí poté využijeme pro dešifrování WPA2 provozu ostatních klientů (za předpokladu, že známe sdílené heslo) a také se podíváme na slovníkový útok proti zachycenému handshake s cílem získat heslo.

Simulace a nalezení sítě
Pro účely tohoto článku jsem si vytvořil síť s názvem (SSID) root_wpa2, která bude zabezpečená pomocí WPA2-PSK s heslem PrisneTajneHeslo. Protože jsem u této sítě neskryl SSID, AP (Access Point) bude periodicky (zde konkrétně 10× za vteřinu) vysílat tzv. Beacon frames, které patří k jedněm z řídících rámců standardu IEEE 802.11:

Beacon frames
Obsahují SSID sítě (maximálně 32 znaků), timestamp, interval vysílání beacon rámců, RSN (Robust Secure Network) – informace ohledně zabezpečení, podporované rychlosti a další:

AP je odesílá z toho důvodu, aby případným klientům dal vědět o existenci své sítě a možnosti připojení. Díky tomu vidíte na svém zařízení seznam dostupných Wi-Fi sítí. Tomuto mechanismu, kdy klienti poslouchají výzvy od jednotlivých AP na všech kanálech, se říká pasivní skenování.

Většina zařízení však zároveň kvůli efektivitě využívá i aktivního skenování, což znamená, že na každém kanálu vysílají rámce Probe Request na broadcastovou adresu ff:ff:ff:ff:ff:ff. Těmito rámci se klienti ptají přítomných AP, které sítě jsou přítomné. Probe Request nemusí být všeobecný, ale může se dotazovat na jednu konkrétní síť. Vaše zařízení se obvykle tímto způsobem ptá na všechny sítě, které máte uložené. Toho lze bohužel využít pro sledování a fingerprinting, ale to je nad rámec tohoto článku.

AP na Probe Request odpovídá rámcem Probe Response, který je téměř stejný jako Beacon (obsahuje detaily o nabízené síti), takže ho nemá cenu nijak zdlouhavě popisovat:

Autentizace a asociace
Jakmile si vaše zařízení vybere cílovou síť (ať již pomocí automaticky vysílaných Beacon rámců nebo v případě např. skrytého SSID kombinací Probe Request/Response), dojde k autentizaci a asociaci spojení. Celý proces vypadá takto:

Autentizace a asociace
Prvním rámcem je Authentication. Komunikaci začíná klient, který odesílá tento rámec s příznakem Request. AP následně odpoví stejným rámcem, avšak s příznakem Response, a to buď kladně, nebo zamítavě. Pro nás budou stěžejní hlavně tyto 3 položky:

Authentication Algorithm – bude mít vždy hodnotu 0 (Open System), druhou možností je 1 (Shared Key), která je již však zastaralá a dnes se nepoužívá
Authentication SEQ – 1 pro Request, 2 pro Response
Status Code – návratový kód (0 = v pořádku)
Ukázky:

Authentication Request

Authentication Response
Jakmile se dokončí autentizace, nastane čas na asociaci. Ta začíná tím, že klient odešle rámec Association Request. Cílem tohoto rámce je, aby si AP nealokoval pro naše spojení prostředky a sdělil nám AID (Association Identifier). Obsahem je název SSID, podporovaná rychlost, možnosti šifrování (RSN) a mnoho dalších podrobností:

Association Request
AP po přijetí rámce Association Request ověří, zda všechny pole v žádosti vyhovují tomu, co sám podporuje. Pokud dojde ke kompatibilitě, odešle AP rámec Association Response s návratovým kódem 0. Pozor, na rozdíl od autentizace, která využívá stejný rámec, pouze s jinou hodnotou SEQ, se u asociace využívají 2 různé řídící rámce. Obsahem je hlavně již zmíněné AID a další specifikace podporované AP:

Association Response
Všechny tyto výše uvedené řídící rámce jsou pořád pouze standardem IEEE 802.11, nezávisle na zvoleném typu zabezpečení. Některé další si představíme v průběhu článku, jakmile na ně dojde řada. Pokud chcete, tak si je můžete odchytávat. Stačí si přepnout svojí Wi-Fi kartu do monitorovacího módu (tedy aby zachytávala veškerý provoz, nejen ten, který je určen pro ni). Využít můžete například oblíbeného programu airmon-ng. Syntaxe je airmon-ng <start|stop> <interface> [channel] , takže například:

airmon-ng start wlan0
TKIP vs. CCMP
Trochu odbočím – někde se můžete setkat s termíny WPA2-PSK-TKIP a WPA2-PSK-CCMP. Jedná se o způsob šifrování a zajištění autentizace. TKIP (Temporal Key Integrity Protocol), který se používal v první verzi WPA (i když z důvodů kompatibility existuje někde i u WPA2) využívá k šifrování proudovou šifru RC4 a k autentizaci zpráv keyed-hash algoritmus Michael. Modernější a mnohem častěji využívaný protokol CCMP (Counter Mode CBC-MAC Protocol) šifruje data pomocí šifry AES a k ověření autentizace využívá CBC-MAC. CCMP je z hlediska bezpečnosti mnohem lepší, proto se v následujícím textu omezím pouze na tuto variantu.

Generování PSK
Po úspěšné autentizaci a asociaci, která je stejná pro všechny typy zabezpečení, se dostáváme k detailům samotného WPA2. Jako první krok si obě strany spočítají sdílený tajný klíč PSK (Pre-shared key). PSK závisí pouze na názvu sítě – SSID (zde konkrétně root_wpa2) a heslu (v našem případě PrisneTajneHeslo). PSK se počítá s pomocí funkce pro derivaci klíče PBKDF2 s využitím HMACu založeném na SHA1, konkrétně:

PSK = PBKDF2 (HMAC-SHA1, heslo, SSID, 4096, 256)
4096 je počet iterací (kvůli zpomalení) a 256 je velikost výstupu v bitech. Tyto hodnoty jsou pevně dané. Konkrétní hodnotu PSK si můžete spočítat například na stránkách Wiresharku:

PSK generator
Jak je vidět, PSK si může spočítat klient i AP samostatně, ještě před jakýmkoliv handshakem a tento klíč je vždy stejný (dokud nezměníme SSID nebo heslo). Někdy se můžete setkat ještě s termínem PMK (Pairwise Master Key). Pro WPA2-Personal je PSK to samé jako PMK, u WPA2-Enterprise se PMK počítá odlišně. V našem případě tedy platí, že PSK == PMK a nadále budu používat pouze termín PSK. Hodnota klíče PSK je následně použita pro výpočet klíče PTK (Pairwise Transient Key), který se již používá pro samotné šifrování dat (unicast). Během handshaku si strany vymění ještě GTK (Group Temporal Key), který vznikne z GMK (Group Master Key) a je určen pro šifrování multicast/broadcast provozu. To není pro účely toho článku až tak zásadní, GTK tedy nebude probrán tak podrobně.

4-way handshake
4-way handshake je mechanismus výměny 4 zpráv, během kterých se klient a AP vzájemně dohodnou na šifrovacích klíčích PTK/GTK a ověří si, že jsou na obou stranách stejné.

4-way handshake
Na počátku AP vygeneruje 32 bajtů náhodných dat označovaných jako ANonce (A jako Authenticator). To samé udělá klient, který vygeneruje SNonce (S jako Supplicant).

První zprávu, jejímž obsahem je ANonce, odesílá AP klientovi. Klient má nyní všech 5 komponent pro výpočet šifrovacího klíče PTK:

PSK si spočítal na základě SSID a hesla
SNonce si sám vygeneroval
ANonce obdržel v první zprávě 4-way handshaku od AP
svoji MAC adresu zná
MAC adresu AP vidí v komunikaci
Výpočet PTK probíhá tak, že se všechny tyto atributy vloží do pseudonáhodné funkce PRF-384, využívající HMAC-SHA1. Výsledkem je 48 bajtů dlouhý šifrovací klíč PTK. Obsah této první zprávy není nijak šifrován ani podepsán.

Ve druhé zprávě odešle klient svojí náhodnou hodnotu SNonce a MIC (Message Integrity Code), který je spočítán z této zprávy. MIC slouží k autentizaci zprávy a ověření datové integrity. K jeho výpočtu je využit CBC-MAC a jako klíč se použije PTK. AP má nyní také všech 5 komponent pro výpočet PTK:

PSK si spočítal na základě SSID a hesla
ANonce si sám vygeneroval
SNonce obdržel v druhé zprávě 4-way handshaku od klienta
svojí MAC adresu zná
MAC adresu klienta vidí v komunikaci
Navíc z této zprávy sám spočítá MIC a porovná ho s přijatým MIC. Pokud se rovnají, tak PTK má na obou stranách stejnou hodnotu a tudíž se bude šifrovat stejným klíčem.

Ve třetí zprávě odešle AP klíč GTK, který je vytvořen z náhodných hodnot GMK a GNonce a je zašifrovaný pomocí PTK. GTK je, jak jsem již zmiňoval, použit pro šifrování multicast/broadcast provozu. K celé této zprávě je opět spočítán MIC, aby si i klient mohl ověřit shodnost PTK.

Nyní si klient dešifruje a nainstaluje GTK a odešle AP poslední zprávu (opět podepsanou MIC), která slouží pouze jako potvrzení. Proces celého 4-way handshaku zjednodušeně znázorňuje následující schéma:

4-way handshake
Nyní mají obě strany spočítán stejný klíč PTK, který slouží k šifrování unicast provozu a je s každým připojením jiný (kvůli jiným hodnotám SNonce a ANonce). Tento klíč a ani samotný PSK nikdy není přenesen po síti. AP si musí držet několik klíčů PTK, protože každý klient má odlišný. Z tohoto důvodu nemohou klienti jednoduše rozšifrovat a sledovat provoz ostatních.

Abychom těch zkratek neměli málo, PTK (48 bajtů) doopravdy není jeden klíč (jak jsem pro jednoduchost popisoval výše), ale dělí se na 3 podklíče:

prvních 16 bajtů – KCK (Key Confirmation Key) – slouží pro výpočet MIC při handshaku
druhých 16 bajtů – KEK (Key Encryption Key) – použit pro šifrování dalších podrobností při handshaku (např. GTK)
posledních 16 bajtů – TEK (Temporal Key) – použit pro šifrování/dešifrování samotných dat (unicast) pomocí šifry AES-128
Dešifrování provozu ostatních klientů
Dost bylo teorie, přesuňme se k praxi. Našim cílem bude odposlouchávat komunikaci ostatních klientů, připojených na stejnou síť za podmínky, že známe sdílené heslo (v našem případě PrisneTajneHeslo). To za normálních okolností není možné, protože jak jsme si během popisu 4-way handshaku vysvětlili, každý klient používá pro šifrování unikátní klíč PTK (resp. jeho podčást TEK). Podívejme se na následující diagram, který nám vykresluje, co všechno je potřeba, abychom mohli spočítat TEK ostatních klientů:

Zelená políčka známe:

SSID buď víme anebo odposlechneme z Beacon/Probe Response rámců
heslo musíme znát, to je nutná podmínka
PSK si spočítáme pomocí funkce PBKDF2
MAC adresy klienta a AP vidíme v zachycené komunikaci
Abychom mohli spočítat PTK a odvodit si z něj TEK, potřebujeme znát ještě náhodné hodnoty SNonce a ANonce. Jak jsme si popsali výše, tyto hodnoty jsou přeneseny během prvních 2 zpráv handshaku a nejsou nijak šifrované. Stačilo by nám tedy tyto zprávy zachytit a měli bychom všechny vstupy pro funkci PRF-384 a výpočet šifracích klíčů ostatních klientů.

K handshaku dochází ale pouze při navazování spojení a takové čekání, než se oběť znovu připojí, může být nekonečné. Naštěstí můžeme využít toho, že řídící rámce 802.11 nejsou nijak šifrované ani podepsané a lze je snadno podvrhnout. Na tento účel nám poslouží rámec Deauthentication, který se využívá pro ukončení spojení. Odešleme ho s podvrhnutou zdrojovou MAC adresou, kdy se budeme vydávat za oběť, čímž způsobíme její odpojení od sítě. Spojení sice bude ihned automaticky navázáno, takže si toho pravděpodobně nikdo nevšimne, my však zachytíme handshake a tím pádem i ANonce a SNonce.

Praktická ukázka
Vše níže uvedené budu provádět z Kali Linuxu, obecně vám však postačí jakákoliv distribuce s uvedenými programy. Nejprve si deaktivujeme primární rozhraní wlan0 a přepneme Wi-Fi kartu do monitorovacího módu:

ifconfig wlan0 down
airmon-ng start wlan0
Pomocí jakéhokoliv programu budeme zachytávat veškerý provoz na monitorovacím rozhraní (pravděpodobně mon0). Já využiji známý nástroj Wireshark. Pro zjednodušení si lze nastavit filtr na eapol.type == 3, což nám bude zobrazovat pouze rámce patřící k handshaku. Pokud jsme zatím handshake nezachytili, můžeme poslat podvrhnutý deautentizační rámec pomocí programu aireplay-ng:

aireplay-ng -0 1 -a 38:2c:4a:4e:06:1d -c 0c:e7:25:5a:1b:14 mon0
kde:

-0 znamená deautentizaci
1 znamená, že se bude deautentizovat pouze 1× (můžete i vícekrát, případně 0 pro nekonečnou deautentizaci)
-a 38:2c:4a:4e:06:1d je MAC adresa AP
-c 0c:e7:25:5a:1b:14 je MAC adresa klienta, kterého chceme odpojit
mon0 je název rozhraní
Poté byste měli vidět deautentizační rámce spolu s ihned automaticky navázaným spojením a tedy zachyceným handshakem:

Deautentizace a následný handshake
Pokud bude handshake neúplný (například 3 zprávy ze 4), je nutné celý proces zopakovat. Jestli nevíte, kde zjistit MAC adresy AP a případné oběti, můžete na to použít program airodump-ng:

airodump-ng --essid root_wpa2 -a mon0
kde:

–essid root_wpa2 je název SSID sítě
-a znamená, že se nám budou zobrazovat připojení klienti
Jak je vidět na screenshotu níže, k naší Wi-Fi síti root_wpa2 (MAC 38:2C:4A:4E:06:1D) jsou připojení dva klienti (MAC 0C:E7:25:5A:1B:14 a 6C:27:79:77:8A:60). Tyto informace tedy můžeme využít pro aireplay-ng.

airodump-ng
Jakmile jsme oběť deautentizovali a zachytili handshake, získali jsme díky tomu i náhodná data SNonce a ANonce. Nyní nám nic nebrání provoz dešifrovat symetrickou šifrou AES s právě vypočteným klíčem TEK. Využijeme k tomu opět Wireshark – konkrétně Edit → Preferences → Protocols → IEEE 802.11. Zde zaškrtneme Enable decryption a klikneme na Edit. Nyní vybereme typ wpa-pwd a klíč vepíšeme ve formátu heslo:SSID .

Wireshark
Od této doby by měl Wireshark dešifrovat veškerý provoz (i real-time) všech klientů, ke kterým zachytil handshake. Pokud nebudou data šifrovaná nějakou další vrstvou (HTTPS, VPN…), tak útočník uvidí vše – webové stránky, které navštěvujete, vaše uživatelská jména i hesla, obsahy odeslaných formulářů, obsahy zpráv atd.

Dešifrovaná komunikace
Prolamování hesla
Druhou a poslední praktickou ukázkou v tomto článku bude prolamování hesla. Tedy situace, kdy k Wi-Fi síti zabezpečené pomocí WPA2-PSK (CCMP) heslo neznáme. Samozřejmě jednou z možností je zkoušet jedno heslo po druhém (ideálně z nějakého slovníku) přímo pokusem o připojení – to je však extrémně pomalé a lehce detekovatelné.

My místo toho využijeme výše uvedených znalostí k provedení tzv. offline útoku. To znamená, že se pokusíme heslo prolomit lokálně, aniž bychom se neustále dotazovali AP. Pokud neznáme heslo, ztroskotáme hned na začátku celého procesu, protože nebudeme schopni pomocí funkce PBKDF2 spočítat PSK. Z toho vyplývá, že naše snažení bude spočívat ve zkoušení mnoha různých hesel jako vstupu do funkce PBKDF2. Jak ale ověřit, že je heslo správné?

Pokud si ještě pamatujete 4-way handshake, tak ve druhé zprávě je i autentizační kód MIC, který se spočítal pomocí CBC-MAC a klíče KCK (prvních 16 bajtů PTK). Náš postup bude tedy následující:

Opět si zachytíme 4-way handshake kvůli získání ANonce a SNonce, i když tentokrát by nám stačily jen první 2 zprávy.
Vezmeme první heslo ze slovníku a spočítáme PSK pomocí PBKDF2.
Spočítáme si PTK pomocí funkce PRF-384 (vše potřebné již známe).
Z právě vypočteného klíče si oddělíme prvních 16 bajtů – klíč KCK.
Spočítáme MIC druhé zprávy s využitím CBC-MAC a klíče KCK.
Pokud se zachycený MIC rovná našemu právě vypočtenému, heslo z bodu 2 je správné. Když je MIC různé, vracíme se k bodu 2 a zkoušíme druhé heslo ze slovníku atd.
Jak je na výše uvedeném algoritmu vidět, vše lze počítat i ověřovat lokálně. Nejpomalejší částí celého procesu je funkce PBKDF2, která má pro zpomalení nastaveno 4096 iterací. Jelikož je založená na HMACu s využitím SHA1, musíme spočítat 8192 SHA1 hashů pro vyzkoušení jediného hesla. Spolu s minimální délkou hesla 8 znaků (maximum je 63) je možné prolomit heslo víceméně jen s využitím slovníkového útoku. Bruteforcing, tedy zkoušení všech možných kombinací, je díky velké časové náročnosti téměř nemožný.

Praktická ukázka
Opět využiji Kali Linux a moji testovací síť root_wpa2, tentokrát s neznámým heslem. Protože se zde bude plno věcí opakovat, budu to brát stručněji. Nejprve si opět přepneme kartu do monitorovacího módu:

ifconfig wlan0 down
airmon-ng start wlan0
Dále si programem airodump-ng zjistíme kanál, na kterém AP vysílá:

airodump-ng mon0

Na tomto kanálu začneme zachytávat veškerý provoz a ukládat ho do souboru:

airodump-ng –-channel 6 –-essid root_wpa2 mon0 –-write /tmp/root_wpa2
Mezitím z druhé konzole vyhodíme libovolného klienta, abychom zachytili handshake:

aireplay-ng -0 1 -a 38:2c:4a:4e:06:1d -c 0c:e7:25:5a:1b:14 mon0
Jakmile zachytíme 4-way handshake, objeví se nám to ve výstupu programu airodump-ng a můžeme ho ukončit:

Nyní máme v souboru/tmp/root_wpa2-01.cap uložen veškerý provoz včetně handshaku a můžeme se pokusit prolomit heslo, k čemuž budeme potřebovat nějaký slovník. Pro testovací účely jsem si vytvořil vlastní:

root@i5sb:~# cat /tmp/list.txt
SpatneHeslo
NespravneHeslo
Kdepak
PrisneTajneHeslo
TohleToNeni
AniTohle
Použiji program aircrack-ng, kterému předám wordlist a zachycený provoz:

aircrack-ng –w /tmp/list.txt /tmp/root_wpa2-01.cap

Jak je vidět, aircrack-ng prolomil heslo vcelku rychle. Reálná rychlost na mém starším notebooku (Intel Core i5–2410M) je přibližně 1800 hesel za vteřinu. Zrychlení na GPU/FPGA/ASIC bude markantní, avšak při dostatečně dlouhém a neslovníkovém heslu jste pořád v bezpečí.

Jak se bránit
Co se týká odposlouchávání provozu, tam je nejdůležitější uvědomění si, že kdokoliv zná heslo, může sledovat veškerý váš provoz. Pro domácí využití lze doporučit pořízení routeru, který umožňuje mít více SSID (a ke každému jiné heslo). Jedno SSID pro vás, další pro návštěvy, nájemníky apod. Pokud jste někde mimo domov, doporučuji využít šifrovaného VPN spojení – osobně se na veřejných hotspotech bez VPN téměř nepřipojuji. V neposlední řadě je zde možností využít WPA2-Enterprise módu, což rozhodně kvůli složitější implementaci nelze doporučit všem.

Pokud chcete zabránit prolomení hesla, rada je velmi jednoduchá – zvolte dostatečně dlouhé a neslovníkové heslo. Zajímavostí, kterou moc lidí netuší, je, že bezpečnost vaší sítě závisí i na zvoleném SSID. Proč? Pokud budete mít např. defaultní SSID, které mají další statisíce lidí po celém světě, je zde mnohem větší šance, že si útočníci předpočítali dostatečně velké rainbow tabulky pro vaše SSID (do funkce PBKDF2 vstupuje jak heslo, tak SSID). To jim šanci na prolomení hesla mnohonásobně zvýší. Například na placené službě GPUHASH.me se můžete pokusit prolomit heslo k zachycenému handshaku.

Bezpečnost Wi-Fi je velmi široké téma a rozhodně by nebylo na škodu probrat i nějaké další věci, namátkou – více řídících rámců 802.11, útoky na WEP/WPA, generování a používání klíče GTK pro multicast/broadcast, prolomení WPA2 přes WPS, útok Hole196 apod. Už tak je však tento článek příliš dlouhý, necháme si to tedy na někdy příště.

Odhalit kybernetické vyděrače je opět těžší. Přicházejí s pokročilejší formou maskování

19.12.2016 SecurityWorld Hacking
Bezpečnostní tým Talos společnosti Cisco varuje před novou kampaní počítačových vyděračů. Kampaň, která začala pravděpodobně 24. listopadu, využívá nevyžádanou poštu k šíření vyděračského softwaru Cerber 5.0.1. CHtějí 1000 dolarů.

Provedení útoku je poměrně jednoduché – v nevyžádané poště obdrží oběť jednoduchý odkaz, který využívá přesměrování Google a anonymizační služby Tor. Klikem na odkaz dojde ke stažení infikovaného dokumentu v MS Word. Po rozkliknutí odkazu v něm jsou data oběti zašifrována. Za jednoduchým postupem se však skrývá pokročilé maskování útočníka. Ransomware kampaně vždy využívaly Tor, avšak vůbec poprvé se setkáváme s tím, že Tor slouží k hostingu nakaženého dokumentu i spouštěného souboru.

Tento postup znamená, že je mnohem obtížnější odstavit servery, na kterých je umístěn škodlivý obsah. Nová verze ransomwaru Cerber po obětech nejčastěji vyžaduje platbu v hodnotě téměř 1,4 bitcoinů, tedy zhruba 1000 dolarů. V případě, že částku uživatel neuhradí do 5 dnů, hrozí útočníci zdvojnásobením požadované částky.

Nejnovější distribuční kampaň ukazuje, že se útoky počítačových vyděračů neustále vyvíjí. Kyberzločinci využívají stále pokročilejší metody k infikování napadených systémů a zároveň skrývání škodlivé aktivity před odhalením a analýzou. V tomto případě se setkáváme s případem, kdy s využitím systému Tor distribuují nakažený dokument (ve Wordu) i spouštěný soubor.

Nový útok se od jiných vyděračských kampaní liší navenek svojí relativní jednoduchostí – nevyužívá profesionálně vytvořené podvodné e-maily a pokročilé skriptovací techniky ke skryté instalaci vyděračského softwaru. Zprávy naopak působí velmi neprofesionálně, jsou stručné a bez příloh. Zdánlivou legitimitu jim dodává jméno adresáta v předmětu, jehož se snaží přimět ke kliknutí na odkaz v těle zprávy.

Z hlediska technického provedení útoku se však jedná o nový přístup založený na anonymizační službě Tor k zamaskování aktivity a znemožnění vysledování serverů, na nichž je škodlivý software uložen. K němu se uživatel dostane právě kliknutím na odkaz, který zneužívá přesměrování Google. Užití domény „onion.to“ v prvotním přesměrování umožňuje útočníkům využít proxy službu Tor2Web k přístupu ke zdrojům v síti Tor bez nutnosti instalace klienta Tor do napadeného systému. Systém oběti pouze stáhne speciálně upravený dokument MS Word, který po otevření (za předpokladu, že má uživatel povolená makra) do počítače stáhne a spustí samotný vyděračský software Cerber.

Yahoo oznámilo rekordní únik dat - hackeři mají údaje více než miliardy uživatelů
15.12.2016 Živě.cz Hacking
Půlmiliardový únik uživatelský dat, který Yahoo potvrdilo v září letošního roku nebyl zdaleka největší. Včera totiž Yahoo zveřejnilo výsledky vyšetřování, které vedlo v souvislosti s napadením jeho systému v srpnu 2013. A zjištění je značně šokující – útočníci získali údaje k více než miliardě účtů včetně hesel zabezpečených slabý hešovacím algoritmem MD5.

Hesla nejsou zdaleka jediným údajem, který mají útočníci k dispozici. Patří k nim kromě uživatelských jmen také jména reálná, telefonní čísla, data narození i odpovědi na bezpečnostní otázky. Některé z nich mohou být v podobě holého textu. Hackeři se tak naštěstí nedostali k platebním údajům, které jsou uloženy v oddělené databázi.

Část e-mailu s informacemi o úniku dat, který aktuálně Yahoo rozesílá svým uživatelům

Aby toho nebylo málo, Yahoo ve své zprávě píše i o dalším bezpečnostním průšvihu. Útočníci totiž získali přístup ke zdrojovému kódu služeb Yahoo a dokázali podvrhnout uživatelské soubory cookies. Díky tomu se mohli jednoduše přihlásit k cizím uživatelským účtům. Firma takto postiženým uživatelům cookies zneplatnila.

Yahoo samozřejmě nabádá všechny uživatele, kteří měli v roce 2013 registrovaný účet ke změně hesla a firma taktéž resetovala bezpečnostní otázky, jejichž odpovědi nebyly šifrované. Zarážející je však především prohlášení v e-mailu pro uživatele, v němž se píše, že útočníci nezískali hesla v holém textu. To je však pravda pouze z části – na straně Yahoo byl využíván algoritmus MD5, který se za dostatečné zabezpečení dá považovat stěží. Můžeme tedy předpokládat, že potenciální útočníci velkou část hesel již dávno získali. Jak (ne)funguje MD5 si každý může ověřit třeba na webu Hashkiller.co.uk.

Útočili na nás hackeři, tvrdí ruská Centrální banka

2.12.2016 Novinky/Bezpečnost Hacking
Do systému ruské Centrální banky se letos dostali hackeři a s pomocí zfalšovaných hesel se pokusili ukrást přes dvě miliardy rublů (800 milionů korun). Hlavní ruská banka to v pátek oznámila v Moskvě. Víc než polovinu částky se podařilo zachránit, stojí v prohlášení. Kam se poděl zbytek, banka neuvádí.
Informaci o hackerském útoku obsahovala bankovní výroční zpráva o stabilitě ruského finančního systému.

„Rizika kybernetických útoků mohou ovlivňovat finanční stabilitu, jsou-li terčem strategicky důležité banky a opory finanční infrastruktury,“ uvádí se v prohlášení.

Ruská kontrarozvědka FSB v pátek obvinila „zahraniční zpravodajské služby“, že se chystají s pomocí kybernetických útoků destabilizovat ruský finanční systém.

Centrála, odkud se útoky údajně mají řídit, se nachází v Nizozemsku a patří ukrajinské společnosti BlazingFast. Ta uvedla, že podezření prověří. Sérii útoků prý chystají cizí tajné služby už v pondělí.

Vše pod kontrolou
Rusko varovalo před útoky ze zahraniční nedlouho po informaci amerických bezpečnostních služeb, že ruští hackeři podnikli útoky na servery Demokratické strany s cílem ovlivnit prezidentské volby. Viceprezident Joe Biden tehdy pohrozil, že USA na ruské útoky „náležitě“ odpoví.

Po varování FSB se pátek v ruském tisku objevily zprávy ujišťující veřejnost, že finanční systém je proti kybernetickým útokům zajištěn. Dokonalou ochranu před hackery mají prý hlavní banky, Centrální banka má jejich bezpečnostní zajištění pod kontrolou.

Také hlavní ruští mobilní operátoři a poskytovatelé přístupu do internetu ujistili uživatele, že žádné nebezpečí nehrozí.

Hackeři ukradli statisíce hesel. Z druhého největšího erotického webu

30.11.2016 Novinky/Bezpečnost Hacking
Zbystřit by měli pánové a dámy, kteří navštěvují erotické stránky. Druhý největší web s lechtivou tématikou Xhamster.com totiž napadli počítačoví piráti. Z databáze se jim podařilo odcizit přístupové údaje několika stovek tisíc uživatelů.
Server Xhamster je po Pornhubu druhým nejoblíbenějším serverem s erotickou tématikou na internetu. Dokonce patří mezi stovku nejnavštěvovanějších stránek na celém světě, patří mu 76. místo.

Právě proto jsou informace o úniku dat uživatelů tak znepokojující. Server Motherboard upozornil na to, že útočníci se dostali k přihlašovacím údajům bezmála 400 000 uživatelů.

K úniku mělo údajně dojít v průběhu letošního roku. To však zatím zástupci Xhamsteru oficiálně nepotvrdili. Podle serveru Motherboard však byla hesla na serveru špatně zašifrovaná, a tak hacker či hackeři neměli s odcizením citlivých dat příliš mnoho práce.

Raději změnit heslo
Uživatelé služby Xhamster by si tak z preventivních důvodů měli změnit heslo. A to i na dalších internetových službách, kde používají stejné přihlašovací údaje. Tím prakticky eliminují riziko, že se díky uniklému heslu počítačoví piráti dostanou i na jejich další služby.

Bezpečné heslo by mělo mít minimálně šest znaků a mělo by obsahovat číslice a ideálně velká i malá písmena. Heslo by naopak v žádném případě nemělo být tvořeno jménem uživatele, jednoduchými slovy (jako například „heslo”) nebo pouhou posloupností číslic.

400 miliónů odcizených hesel
V poslední době jde už o několikátý velký únik přihlašovacích údajů, při kterém se počítačoví piráti zaměřili na erotické servery. 

Před dvěma týdny ses například ukázalo, že z lechtivých serverů bylo odcizeno rekordních 400 miliónů hesel. Podle serveru LeakedSource se únik přihlašovacích údajů týká serverů Adultfriendfinder.com, Penthouse.com, Cams.com a Stripshow.com.

K samotnému útoku mělo dojít přitom už v minulém měsíci, detaily však byly prozrazeny až předminulý týden.

K tak velkému balíku hesel se počítačoví piráti dostali kvůli chybě přímo na serveru Adultfriendfinder.com. Tu využili k tomu, aby se dostali na servery provozovatelů, kteří stojí i za dalšími zmiňovanými weby.

Druhý největší pornoweb napadli hackeři. Získali e-maily a hesla stovek tisíc uživatelů
30.11.2016 cnews.cz Hacking
Po rozsáhlém útoku na FriendFinder Networks, při němž došlo k úniku 412 milionů přihlašovacích údajů, byl napaden další web s lechtivou tematikou – Xhamster.com. Podle monitoru Alexa jde o 76. nejnavštěvovanější web světa a druhý nejpopulárnější ve své kategorii hned za Pornhubem.

Motherboard za základě svých zdrojů píše, že se útočníci zmocnili uživatelských jmen, e-mailů a hesel 380 000 účtů. Mezi nimi byly tradičně i e-maily americké armády nebo různých státních úřadů. Magazín vyzkoušel novou registraci s uvedenými maily (50 náhodných) a web tvrdil, že je nelze použít, protože už v databázi jsou.

Neznámý útočník prý objevil zranitelnost Xhamsteru někde v letošním roce, stáhl a dešifroval špatně hashovaná hesla (MD5) a tento balík dat pak prodával. Provozovatelé webu se nicméně brání, že hesla jsou u nich dobře chráněná a jejich rozluštění je prý téměř nemožné.

Pokud na Xhamsteru náhodou máte účet, měli byste ihned změnit heslo. Pokud stejnou kombinaci jména/e-mailu a hesla používáte i na jiných, třeba důležitějších stránkách, pak hesla změňte i tam.