Krádeže v odlehlých bankovních systémů: Incident vyšetřování

11.11.2014 Incidenty
PUBLIKACE

BACKDOOR ELEKTRONICKÉ PLATBY FINANČNÍ MALWARE INTERNETOVÉHO BANKOVNICTVÍ KEYLOGGERY ZABEZPEČENÍ A VYUŽÍVÁ
Stále více společností se ptají Kaspersky Lab provést podrobné šetření bezpečnostních IT incidentů malware související vliv na jejich podnikání.

V tomto článku si popíšeme typický cybercriminal útok, jehož cílem je krást firemní finanční aktiva ze vzdáleného bankovního systému.

Popis incidentu

Organizace nedávno požádala Kaspersky Lab vyšetřovat incident, ke kterému došlo v podnikovém vzdáleném bankovního systému: bankovní zástupce kontaktoval účetní oddělení organizace a požádal o potvrzení platby v hodnotě 3 miliony rublů (asi US 80.000 dolar). Vyšlo najevo, že nikdo v organizaci nikdy neslyšel o této platby. Účetní byl jistý, že on nedělal, že platba; vysvětlil, že byl z jeho polední přestávce v době transakce.

Účetní používá bankovní software na svém pracovišti přípravu platební příkazy a poslat je do banky. Protokoly o tomto softwaru zaznamenal dvě podezřelé platby na stejnou adresu. První byl relativně malý zaplacení 300.000 rublů. To neznělo žádné poplašné zvony, a byla zpracována bez dotazu. Druhá platba v hodnotě 3 miliony rublů, upozornili zaměstnance u banky společnosti.

Bylo jasné, že účetní neučinila plateb sám, takže organizace podezření malware útoku. Ale jak je to možné? Byli pomocí specializovaného bankovní software s ochranou heslem. Jsou zapotřebí zvláštní soubor pro přístup ke vzdálenému bankovního systému, a banka by samo o sobě zjistit IP adresu odesílatele platby.

Vyšetřování

Hlavním cílem malware vyšetřování incidentu je přesně zhodnotit následky útoku, identifikovat každý napadeného počítače a zjistit, jak přesně malware pronikl oběti počítač (y). Organizace vliv pak může tyto informace použít k efektivnímu zmírnění slabé poškození a adres v jeho firemní bezpečnostní systém, aby se zabránilo takovým incidentům od události v budoucnu.

Během vyšetřování je také někdy možné detekovat dosud neznámého malwaru druhů a připojí svůj podpis k zabezpečení databází, která chrání ostatní uživatele od jejich budoucí dopad.

V tomto případě se obraz pevného disku z počítače Účetní byla poskytována do společnosti Kaspersky Lab Global Emergency Response Team (GERT) pro analýzu a vyšetřování.

Vzdálený přístup k pracovní ploše

Během našeho prvního průchodu analýzu pevného disku účetního znalce, jsme identifikovali upravenou verzi právního Remote Manipulator System , který umožňuje vzdálený přístup k počítači. Tento typ softwaru je často používán účetní a správce systému. Nicméně, tento program se nachází v podezřelé katalogu, měl podezřelý název ("C: \ Windows \ Dotcom \ wmiterm.exe" je příliš "týkající se systému" cesta, tak i pokročilý uživatel, je nepravděpodobné, že vůně krysu) a měl dvě úpravy, aby skryli svou činnost:

Ikona na hlavním panelu systému Windows byla skryta,
Klíč registru, kde se program uloží jeho konfigurace byla upravena: "HKLM \ SYSTEM \ Remote Manipulator System \ v4" byl změněn na "HKLM \ SYSTEM \ System \ System \ Remote \ Windows", který opět vypadá velmi podobně jako klíč registru systému na ,
Tyto změny jsou typické pro malware, takže jsme přidali podpisy tohoto programu antivirové databáze společnosti Kaspersky Lab - je detekován jako nebezpečný s výrokem "Backdoor.Win32.RMS".

Při analýze provozu Backdoor.Win32.RMS, jsme zjistili, že útočníci používali stáhnout další škodlivý program na oběti počítače, "Backdoor.Win32.Agent". (Tato detekce byla přidána do produktů Kaspersky Lab okamžitě). Že backdoor dodávané dálkové VNC (Virtual Network Computing) přístup k oběti počítače. Zajímavé je, že kód tohoto škodlivého softwaru má mnoho společného s modulem "hVNC" na Carberp Trojan. Zdrojový kód Carberp je k dispozici pro veřejný přístup.

Tak, jak se Backdoor.Win32.RMS propašovat na pracovní ploše účetního znalce?

Infikování Corporate Desktop

V databázi aplikace Microsoft Outlook, uloženy v souboru "Outlook.pst" na pevném disku, zjistili jsme, e-mail, který obsahuje přílohu s názvem "запрос ИФНС № АС-4-31339.doc" ("Federální daňová služba požádat č. AC- 4-31339.doc "). Kaspersky Lab Anti-Virus zjistil, že dokument Microsoft Office, jako nebezpečný s výrokem "Exploit.MSWord.CVE-2012 - 0158".

Mezi zločinci používají metody sociálního inženýrství: e-mail byl odeslán ve jménu ruskou Federální daňové služby, vyzval k okamžité akci, a za předpokladu, kontaktní údaje o skutečné daňové služby důstojníků.

GERT_1

"Federální Zdanění služby. Uveďte prosím všechny požadované dokumenty co nejdříve."

Účetní by jistě otevřel přílohu, která zneužije chybu zabezpečení v aplikaci Microsoft Word ke stažení samostatně rozbalení archivu ze vzdáleného serveru a pak inicializovat rozbalování. Archiv obsahoval dva soubory: "SYST.EXE", což je přejmenovaný verzi souboru archivátoru "7zip" a "SYST".

Během vybalování, zdrojový archiv zahájila archivu programu "SYST.EXE" s parametry instruktážní to rozbalit heslem chráněného archivu "SYST" pomocí zabudovaného heslo. Tento trik pomocí hesla chráněného heslem úspěšně obchází pokusy bezpečnostní software je při statickém rozbalování souboru, brání jeho detekci.

Rozbalení "SYST" vytvořila následující: soubor 'Backdoor.Win32.RMS "(které jsme již dříve zjištěný) a script' INST.CMD", který nainstalován backdoor v systému. Jedná se o skript, který zkopíruje soubory škodlivého programu je do složky "C: \ Windows \ Dotcom".

Poté, co jsme zjištěna na zadní vrátka, jsme začali chápat, jak se útočníci mohli ukrást peníze. Pokud by měl vzdálený přístup k počítači, mohou mít sami platební příkaz, a pak soubor s klíčem a IP adresu odesílatele bude legitimní. Ale my jsme ještě nevěděli, jak se zločinci dostali heslo pro přístup k bankovní software. Rozhodli jsme se podívat na keylogger programu.

Keylogger

Soubor 'Svchost.exe "přitahuje naši pozornost, který se nachází v kořenovém adresáři systémového disku. Ukázalo se, že keylogger (detekce přidána s výrokem "Trojan-Spy.Win32.Delf '); Rovněž obsahuje funkce pro řízení konfigurace Backdoor.Win32.RMS. Tato neobvyklá schopnost byla zřejmě zavedená zločinci, protože potřebovali nástroj pro řízení upraveného dálkového manipulátoru systém: oni skryté celou uživatelské rozhraní tohoto programu a použít jej pro správu konfigurace.

Také jsme zjistili, že tento keylogger byl stažen pomocí Backdoor.Win32.RMS.

Keylogger poslal protokol obsahující veškeré ukradené informace k C & C v pravidelných intervalech, a stále up-to-date kopii záznamu na pevném disku infikovaného počítače. Zjistili jsme, že bankovní heslo do hromady informací ukradli keylogger.

Bitevní plán

Po našem výzkumu jsme rekonstrukci akční plán počítačovými zloději ":

Mezi zločinci zahájil cílený útok pomocí sociálního inženýrství a Microsoft Word zranitelnost infikovat počítač účetnímu je s Backdoor.Win32.RMS.
S pomocí tohoto backdoor, že zločinci načíst další dva nebezpečné programy na oběti počítače: keylogger (Trojan-Spy.Win32.Delf) a další backdoor (Backdoor.Win32.Agent), který stanoví, vzdálený VNS přístup k oběti počítače.
Keylogger zachytil heslo ke vzdálenému bankovní účet.
Zatímco účetní byl od svého počítače, se zločinci používají Backdoor.Win32.Agent a přístup VNS k počítači spustit bankovní software jménem účetní.
Tyto zločinci používali heslo zachycuje keylogger pro vytvoření příkazu k úhradě v hodnotě 300.000 rublů a odeslat do banky.
O něco později, se vytvořil další platební příkaz, tentokrát v hodnotě 3 miliony rublů, a poslal jej do banky.
Jak jsme se dostali ke konci šetření jsme zjistili ještě další zajímavou skutečnost: IP-adresy C & C servery pro všechny škodlivých programů používaných v útoku patřil do stejné podsítě.

GERT_2

Schéma cybercriminal útoku

Také jsme zjistili, že zločinci velmi rychle jednal: trvalo jim jen čtyři dny provádět jejich plánované trestné činnosti. Tři dny strávil přípravou, a plán byl proveden během několika hodin na čtvrtý den.

Den 1. zločinci zaslán e-mail na účetní společnosti. Účetní číst e-maily, otevřel přílohu a škodlivého programu Backdoor.Win32.RMS byl stažen do svého programu. V následujících dnech se zločinci použít tento program pro sledování činnosti účetní je.

Den 4. zločinci používají Backdoor.Win32.RMS načíst keylogger Trojan-Spy.Win32.Delf oběti počítači a zachytil heslo k bankovnímu softwaru. Brzy poté naložili Backdoor.Win32.Agent a používal to, aby připojení k počítači účetního znalce. A poslali platební příkazy z obětí počítače do banky.

Oznamující obětí kybernetických zločinců "

Vzhledem k tomu, útočníci použili několik IP adres ze stejné podsíti, rozhodli jsme se blíže podívat na serveru C & C. Jak se ukázalo, že zločinci udělali chybu při konfiguraci jeden ze serverů, takže každý uživatel může vidět požadavků HTTP serverů C & C. To je, jak jsme byli schopni vystopovat IP adresy, ze kterých byly žádosti odeslané pomocí protokolu Keylogger je. Jak jsme zjistili, tam bylo několik počítačů s různými IP adres infikovaných virem keylogger.

Byl tam jeden zvláštní rys tohoto keylogger: když to bylo vypuštěno v infikovaném počítači, stáhnout nejnovější verzi svého protokolu ze serveru C & C. Proto každý uživatel mohl přečíst protokol keylogger, pokud otevřeli příslušnou URL adresu ve svém webovém prohlížeči. Rozhodli jsme se blíže na HTTP požadavků posílaných na serveru C & C, a v nich jsme našli názvy protokolů, které jsou keyloggery odeslaných na server C & C. V mnoha případech, protokoly obsahovaly název organizace, která vlastnila infikovaný počítač a "kontakty (Dalo by se také obětí obětí IP adresy pomocí zranitelnosti na serveru C & C). Tyto informace nám pomohlo kontaktovat další oběti (většina z nich byla účetní na malé a střední podniky), a varují, že jejich počítače byly infikovány. Oni byli velmi vděční za informace.

Vlastnosti bankovních útoků

Jak jsme si řekli na začátku článku, tento útok je typický případ krádeže peněz z firmy.

Počítačoví zločinci aktivně využívat sociální inženýrství vybízely uživatele k otevření souboru škodlivý.
Zaměstnanci, kteří se zabývají komerčně důležitých informací a zvládnout finanční společnosti potřebují školení o základech bezpečnosti IT. Společnost musí zavést bezpečnostní politiku, která by minimalizovala riziko zaměstnanců nedbalosti a způsobí infekci v podnikové síti.

Při útoku důležité cíle, zločinci mohou používat nové exploity pro dosud nepublikovaných zranitelnosti. V takových případech běžné detekční nástroje útoku, jako IDS, není dost dobrý.
Nicméně, 0-day exploity jsou příliš drahé pro použití v útocích na pravidelných společností. Zde obvykle vidět využije pro známé zranitelnosti. To znamená, že jednoduché kroky, jako je rychle aktualizace softwaru (zejména Microsoft Office a Java) a instalaci bezpečnostní řešení kvality může zajistit odpovídající úroveň ochrany.

Dalším rysem tohoto útoku je to, že zahrnuje právní software. Jedná se o rostoucí trend: vidíme zločinci pomocí legitimních aplikací získat vzdálený přístup k počítači oběti před stažením a spuštěním škodlivých souborů na nich.
Bezpečnostní produkty samozřejmě nebude vlajku používání legitimní software. Takže zločinci mohou používat tyto aplikace, ve snaze udržet své operace v tajnosti. V tomto útoku, tajemství bylo zajištěno pomocí verze Remote Manipulator System s úpravami do svého spustitelného souboru. Přidali jsme podpis pro tuto upravenou verzi Remote Manipulator System tak výrobky budoucí společnosti Kaspersky Lab bude detekovat.

Pokud se útočníci použít původní, nezměněné verze legitimní software, bude jediným řešením bude pro bezpečnostní systémy a upozorní uživatele pokaždé potenciálně nežádoucí program spuštěn. Všichni uživatelé, zejména ti, kteří se zabývají finanční a jiné důležité dokumenty, je třeba si uvědomit, že žádný bezpečnostní systém může poskytnout absolutní ochranu. Měli by věnovat pozornost oznámení systému a dávat pozor na jakékoli neobvyklé chování na svém počítači. Je důležité oznámit bezpečnostní pracovníci jakékoliv podezřelé události v systému.

V ideálním případě, výchozí popřít režim by měl být povolen na všech počítačích používají k provádění plateb v odlehlé bankovního systému; Tento režim omezuje přístup k Internetu a zabraňuje spuštění irelevantní, non-bílé listině software. Totéž platí pro počítače používané firemní uživatele pro práci s komerčně důležité (důležité obchodní informace).

Závěr

V těchto dnech, je hlavní hnací silou všech cybercriminal akce jsou peníze. Získání přístupu ke vzdáleným bankovních systémů je nejpřímější a přímočarý způsob, jak krást peníze z organizace. Je to trochu překvapivé, že vzdálené bankovní systémy jsou stále atraktivnější cíl pro cybercriminal útoků.

Každý, kdo používá vzdálené bankovních systémů je více než obeznámeni s bezpečnostními systémy začleněny do nich ... ale tak jsou zločinci. Použití hesel, klíčové soubory a žetony, stejně jako omezení IP přístupu, může ukolébat uživatele do falešného pocitu bezpečí.

Nicméně, žádný z těchto opatření, ať již samostatně nebo ve skupině, udělá cokoliv, aby zvýšení bezpečnosti, pokud jsou prováděny na ohrožení počítače. Na infikovaném počítači, hesla mohou být zachyceny, klíčové soubory mohou být zkopírovány. Počítačoví zločinci mohou vytvořit skrytý plochu a použít původní IP adresu a token připojen k počítači oběti.

Při vyšetřování bezpečnostních incidentů pravidelně dojít k následující situaci: škodlivý program je spuštěn na počítači, ale později se zjistí, že a odstraněn ze systému. Následně ovlivněn počítač je používán jako dříve, pokračuje a provádět bankovní operace s účetní jistý, že problém byl vyřešen.

Uživatelé si musí uvědomit, že jakmile je škodlivý program je spuštěn, počítač postiženy by měly být považovány ohrožena. První škodlivý soubor načte jen hlavní nebezpečný náklad. Že náklad se obvykle skládá z programů, které aktualizují po celou dobu uniknout detekci bezpečnostních produktů. Alternativně zločinci načíst legální software s úpravami, které umožňují zločinci se k němu připojit přes škodlivých C & C servery. V tomto případě nebudou zjištěny škodlivé programy.

S výhledem na to může způsobit obrovské škody do společnosti. Pokud byl zjištěn škodlivý program na počítači s kritickým informacím, musí být učiněna neprodleně opatření reakce na incidenty.

Je smutné, že naše zkušenosti ukazují, že organizace často bijí na poplach příliš pozdě, když už čelí finanční ztráty nebo vypnutí kritických výpočetních služeb. Kromě toho, o přijatých následných opatřeních v rámci firem obvykle ukáží být neúčinná, a často brání dalšímu vyšetřování.

Není tam žádná taková věc jako one-size-fits-all reakce na mimořádné události. Existuje příliš mnoho možných způsobů útoku venku. Například, v některých případech vypnutí počítače se okamžitě pomáhá zachovat data, která by se nevratně odstraněny škodlivým programem po určité době. V jiných situacích, když vypnutí zničí data paměti RAM, která je nezbytná pro následné vyšetřování. Pouze specialista vyšetřování incidentu může učinit správné rozhodnutí.

V každém případě, pokud existuje sebemenší podezření na vniknutí jakékoliv ohrožení by měl být počítač odpojen od Internetu a podnikové sítě a malware incidentů specialisté by měl být volán v.

Pouze detailní průzkum bezpečnostní události, může vést k účinné odpovědi.

Ruští hackeři špehovali pět let NATO

9.11.2014 Incidenty
Ruští hackeři podle nových informací zneužili díru v operačním systému Windows a špehovali počítače používané mezinárodní organizací NATO a západními vládami.

Stejná díra v operačním systému od Microsoftu byla podle bezpečnostní společnosti iSight Partners použita u počítačů na Ukrajině a v Polsku. Není zatím jasné, k jakým datům hackeři přistupovali, avšak spekuluje se, že hledali informace týkající se krize na Ukrajině. Microsoft mezitím uvedl, že díru ve svém OS opraví. Mluvčí Microsoftu oznámil, že společnost aktualizaci vydá v rámci balíku automaticky stahovaných aplikací.

„NATO ve světle nových zjištění hledá důkazy o potenciálním průniku do jeho sítí, které jsou připojeny k internetu,“ uvedl v oficiálním prohlášení mluvčí organizace. „Naši experti s využitím znalostí z předchozích kybernetických útoků proti NATO provádí analýzy a neočekává se, že by útok měl nějaký dopad na utajené operační sítě NATO, jež jsou odděleny od internetu.“

Mezi další oběti hackerského útoku, jenž byl mimo jiné prováděn za pomoci červa Sandworm, jsou firmy v energetickém a telekomunikačním průmyslu, bezpečnostní firmy, delegáti konference GlobSec o národní bezpečnosti a akademik, který je expertem na rusko-ukrajinské vztahy.

Hackerské útoky probíhaly pět let a vygradovaly v uplynulých měsících za použití tzv. zero-day díry ve Windows (tj. díry, o níž Microsoft dříve nevěděl a nejsou pro ni dostupné aktualizace), která hackerům umožnila zaměřit jejich kampaň na nové zdroje. I když iSight nemohlo s jistotou říci, zda mají hackeři vazby na ruskou vládu, jeden seniorní analytik uvedl, že všechno nasvědčuje podpoře kampaně ruským státem, jelikož hackeři zjišťovali informace a nesnažili se je zpeněžit.

Ve své šestnáctistránkové zprávě iSight popisuje, jak v lednu 2013 začal po NATO v elektronické podobě kolovat dokument, jenž se měl údajně týkat evropské diplomacie, avšak byl do něj zakomponován škodlivý kód. V tu samou dobu byly několika státům a akademikovi pracujícímu na otázkách ohledně Ruska zaslány e-maily se škodlivým kódem, jež měly údajně obsahovat seznam pro-ruských extrémistů.

O Sandworm - ikdyž pod jménem Quedagh - již dříve informovala i společnost F-Secure. Podle Mikka Hypponena z této firmy nebyl červ detekován roky.

„Tento červ tady je již několik let a používá DoS bot zvaný jako Black Energy, kteří hackeři přizpůsobili svým potřebám,“ uvedl Hypponen.

„Zajímavé je, že pokud je tento červ detekován IT profesionály, tváří se jako Black Energy, což většina expertů vyhodnotí jako zastaralou hrozbu, která je nyní téměř neškodná.“ Jak podotýká iSight, její odborníci v poslední době zachycují z Ruska čím dál víc hackerských útoků.

PoS prodejce potvrzuje Jimmy John porušení byla jejich vina
8.10.2014 Incidenty
Signature Systems, dodavatel POS systém, který byl jmenován jako pravděpodobné místo původu na porušení platební údaje Jimmy John je , potvrdil, že útočník (y) získal přístup k zadání uživatelského jména a hesla se společnost používá pro vzdálený přístup pokladní systémy. "neoprávněná osoba používá, aby byl přístup k instalaci malware navržen tak, aby sbírat data z platebních karet z karet, které byly udeřil přes terminály v některých restauracích. malware byl schopen zachytit jméno držitele karty, číslo karty, datum ukončení platnosti a ověřovací kód z magnetického proužku karty, "vysvětluje společnost. Kromě 216 Jimmyho Johnovy prodejen, dalších 108 restauračních míst - většinou máma-a-pop restaurací v Nové Anglii a Midwest (kompletní seznam a po dobu kompromisu zde ) - byly postiženy v jednom bod nebo jiný od června 16 a do poloviny září, kdy poslední malware byl odstraněn z některých zařízení POS. "malware byl navržen tak, aby se zabránilo detekci antivirové programy běžící na systému point-of-prodej, "společnost upozornil, a sdílené, že oni byli nejprve upozorněni na potenciální problém ovlivňující jedno místo restauraci 30. července. "Pracovali jsme tvrdě od té doby zjistit, co se stalo, zablokovat pokračovat, zajistit větší bezpečnostní opatření, a oznámí postižené obchodníci, "uvedly. Podle informací shromážděných Brian Krebs , bezpečnostní standardy PCI Rada schválila instalaci PDQ POS systému podpis Systems, pouze do 28.října 2013, takže některé z postižených restaurací, které tak učinil poté, co toto datum bude pravděpodobně udělena pokuta. Signature Systems v současné době pracuje na vývoji nové platební aplikace, která bude obsahovat point-to-point šifrování s cílem zmařit paměti škrábání malware. Krebs zjistil, že hlavní bezpečnostní důstojníky, firmu, která audit produkt PDQ, nefunguje a už před tím, než zavřeli, měl jeho certifikační autorita zrušit Security Standards Council PCI.

Tvorba obranu jedna organizace incidentu každého
4.10.2014 Incidenty
Finanční služby sdílení informací a analytické centrum (FS-ISAC), organizace zaměřená na sdílení důležitých informací kybernetická bezpečnost hrozeb po celém světě, a depozitář důvěra & Clearing Corporation (DTCC), infrastruktura poobchodní trh pro globální odvětví finančních služeb, oznámila vytvoření strategického společného podniku pro rozvoj a automatizační řešení na trhu, které napomáhají schopnosti kybernetické bezpečnosti a odolnosti organizací kritické infrastruktury, včetně finančních služeb, kanceláří a dalších po celém světě. joint venture s názvem Soltra, byla zřízena za účelem poskytovat software pro automatizaci a služby, které shromažďuje, pálit a urychlen přenos hrozbách z nesčetných zdrojů na pomoc chránit před kybernetickými útoky. pravda iniciativu mezioborovou přes 125 členů FS-isac a zástupci dalších důležitých odvětví, orgány státní správy a soukromého sektoru přispěla ke požadavků, architektury a designu automatizační software Soltra je roztok Soltra hran. pojmenovaný po jednom z nejznámějších středověkých maják požáru sítí v Evropě, které varovaly útočníků, Soltra hran se připojí a zefektivnit tok hrozby inteligence mezi komunitami , osoby a zařízení při zpracování velkých objemů dat hrozeb, zlepšuje efektivitu a umožňuje okamžitý zásah v boji proti hrozbě a zmírnění rizik. Soltra hran je v současné době testován uživateli, a bude k dispozici na konci roku 2014. řešení byl navržen v měřítku podporovat tisíce organizací a pálit velké množství dat do využitelných informací, který lze snadno pochopit a používat. Využívá otevřené standardy, včetně strukturovaných informací Threat výraz (STIX) a Trusted automatizovanou výměnu Ukazatel informací (TAXII). Řešení bude zahrnovat platformy, infrastrukturu a ekosystém pomáhat jednotlivým organizacím všech velikostí, jiné sdílení informací a analytických středisek (ISACs), počítačové hrozby odpovědi (CERT), průmyslové subjekty a dodavateli v soukromém sektoru, aby se spojily, aby zjednodušit sdílení informací o hrozbách pomocí Stix a TAXII. "Dnes, většina cyber informace ohrožení jsou poskytovány ručně uživatelům z různých, vzájemně nepropojených průmyslových zdrojů. Z tohoto důvodu, v průměru to může trvat firmám sedm hodin vyhodnotit každý hrozbu, "říká Mark Clancy, generální ředitel Soltra, CISO z DTCC a člen FS-ISAC. "S Soltra Edge incidentu jedna organizace se stává obrana každého. Toto řešení umožní klientům posílat, přijímat a ukládat kybernetické bezpečnosti hrozbách v efektivní a automatizované podobě, což umožňuje těmto firmám nasadit ochranu před možným kybernetickým útokem. " "Jako joint venture, Soltra sestavil prvotřídní tým a podpora od některých z nejuznávanějších společností na světě, aby na architekta a vytvořit řešení pro sdílení informací zítřka, "říká Bill Nelson, prezident Soltra a prezident a generální ředitel společnosti FS-ISAC. "Dnešní hrozba sdílení zpravodajských informací musí probíhat při rychlosti sítě. Je třeba snížit zátěž pro bezpečnostní analytiky a pro menší organizace. Musí být k dispozici pro všechny kritické sektory za účelem sdílení informací v rámci jednotlivých odvětví a také cross-sektoru se zvýšila odolnost před počítačovými hrozbami. "

216 Jimmy Johnovy obchody ovlivněna porušením dat
3.10.2014 Incidenty
Populární americký licenční sendvič restaurace řetězce Jimmy John je potvrdila, že utrpěl narušení dat, která ovlivnila přibližně 216 svých obchodů v celé zemi. Společnost byla poprvé oznámena možného bezpečnostního incidentu kreditních a debetních karet údaje zákazníků 30. července , 2014, a soudní znalci okamžitě najal třetích stran, na pomoc při vyšetřování. "Zatímco vyšetřování pokračuje, zdá se, že kreditních a debetních karet údaje zákazníků byla ohrožena poté, co útočník ukradl přihlašovací pověření od Jimmy John je point-of- prodejce prodej a používal tyto ukradené pověření pro vzdálený přístup k systému point-of-sale u některých firemních a franšízy místech mezi 16 června 2014 a 05.9.2014, "společnost sdílí . "karty ovlivněné touto událostí se zdají být ty Přijata v obchodech, a nezahrnoval ty karty ručně, nebo on-line. Informace o kreditní a debetní karty se jedná, může obsahovat číslo karty a v některých případech se jméno držitele karty, ověřovací kód, a / nebo karty datum expirace. Informace vstoupil on-line, jako je adresa zákazníka, e-mail a heslo, zůstanou v bezpečí. " Společnost říká, že jsem obsahovalo kompromis, a že budou instalovat šifrované Přejeďte strojů, provádění vylepšení systému a přezkoumávat své politiky a postupy pro jeho dodavatelů třetích stran s cílem zabránit podobných porušování v budoucnosti. Jak se dalo očekávat, které již byly poskytnuty bezplatné služby ochrany identity pro všechny zákazníky, kteří používají kreditní / debetní karty v jednom z Jimmyho Janových místech v uvedených termínech, a mají varoval potenciálně zasažených uživatelů phishing e-maily a hovory, které by mohly obdržet v důsledku tohoto oznámení. Podle Brian Krebs , dodavatelem point-of-prodej, jejichž log-in pověření bylo ohroženo je Pensylvania založené Signature Systems.

Spotřebitelé stále vinu společnosti za porušení dat
3.10.2014 Incidenty
Kupředu, každá firma zapojená do hlavní datové porušení, které se skutečně napadl, jako jsou maloobchodníci Home Depot, cíl, dobré vůle a Neiman Marcus, stejně jako banky, zdravotní péče, pojištění a poskytovatele služeb internetu, atd, se bude platit ještě vyšší cenu, pokud jsou informace zákazníků ohrožena. Ve skutečnosti, každý high-profil hack vybírat svou daň na Executive Suite a spodní linie podobně, říkají výsledky průzkumu provedeného HyTrust. Z průzkumu vyplývá, že více než polovina všech respondentů, 51%, bude mít své podnikání jinde po porušení, který ohrožuje osobní údaje, včetně adresy, čísla sociálního pojištění, a údaje o kreditní kartě. téměř tolik, 45,6% tvrdí, že zúčastněné podniky by měly být považovány za "kriminálně nedbalé" v okamžiku, kdy dojde k porušení, se většinou také věří, že všichni důstojníci společnosti by měl být odpovědný. více než třetina, 34,2% si myslí, nejhorší údaj být ohroženy, je číslo sociálního zabezpečení (SSN). Tato zjištění jsou významná, jelikož otázka bezpečnosti dat je celé titulky ... znovu. Jen tento měsíc, maloobchodní gigant Home Depot se stal poslední obětí masivní kybernetické útok, a my teď víme, že je to potenciálně největším maloobchodním narušení bezpečnosti v historii. Společnost uznala, že long-running, sofistikovaný hack s průniky počínaje zpět v dubnu za použití vlastní-postavený malware vedly k odcizení několika 56000000 kreditních a debetních karet. To by znamenalo, že předčí dokonce i ohromující ztráty plynoucí z útoku na cíl pozdě v roce 2013. Ta epizoda vedlo k velkým změnám v Executive Suite; to se teprve uvidí, jaký vliv nejnovější objevy z Home Depot bude mít, ale je pravděpodobné, že bude těžké. "Tam asi není jediný slámy, která rozbila velbloudí záda, je to jen naprostý objem příběhů o narušení dat, mnozí na společnosti, které vyvinuly zbrusu zákazníka příjemný, "řekl Eric Chiu, prezident na HyTrust. "Co je toto hlasování ukazuje, že společnosti jsou nakonec a nevyhnutelně, že se na účet svých bezpečnostních chyb. Spotřebitelé mají možnosti, a když tam jsou nekonečné příběhy o ztrátě důvěrných informací, jdou do jiných dodavatelů. Každé narušení bezpečnosti má zjevně přímý dopad na provoz, ale je tu nyní jasné důkazy o tom, že tam je rozsáhlé poškození značky stejně, a manažeři podílející se budou muset zaplatit. " Každá otázka dotázaných 2000 respondentů, který nabízí jasný výhled na rozvíjející se spotřebiteli způsob myšlení týkající se této složité problematice. Například:

Jednou je dost: Většina spotřebitelů (45,6%) za zlé, že společnosti, které se v okamžiku, kdy k porušení dat dochází, zatímco pouze 12% Potlacit odsouzení, dokud "to se stává více než jednou." Navíc tato ukazování prstem se zvyšuje s věkem, s 34% z 25 až 34 rok věku, kterým se okamžité vinu verše 51% těch 65 a nahoru. Více spotřebitelům, ale více odpouštět mají tendenci být; Horní odpověď pro ty, kteří $ 150K nebo více posunul k "když se to stane více než jednou." Vina je také více vehementně se zaměřil na porušené společností, pochopitelně, když je identita člověka odcizení nebo zneužití.
Příjmy a pohlaví Oblast: Vyšší výdělky se více zajímají o své SSNs: 36.5% těch, kteří učinili $ 50k- 74 dolarů citovat tento potenciální krádež jako nejzávažnější, zatímco klesá na 22,8% mezi těmi, takže $ 24k nebo méně. Mezitím žen (17,9%) jsou dvakrát častěji než u mužů (9,6%), se starat o ztrátu rodinné fotografie a upomínky.
Mluvit s jejich peněženky: Zatímco 51% respondentů celkově říci, že budou mít své podnikání jinam po porušení dat, toto číslo vyskočí na 60,2% mezi spotřebiteli v 35-44 věkovém rozmezí. Toto zjištění, která se zaměřuje na klíčové demografické, by měla dát maloobchodníci a další potenciální cíle významný důvod k obavám.
Chief Security Officers (OOS / CISO) berou na vědomí: Když zeptal se, kdo především by se měla konat "konečnou zodpovědnost" za chyby v informační bezpečnosti, 19,7% respondentů nedělají rozdíl mezi pracovníky s různou odpovědností a ukázal prstem na ' všichni důstojníci "společnosti. Avšak muži a ženy ve věku od 25 do 34 identifikovat organizace občanské společnosti jako nejvíce zodpovědný, zatímco v 45 - 54 věkové skupiny jít nejjednodušší na ně.
Správní rada vystupuje jednoduché: radě společnosti Představenstvo je hodnocena jako právnické osoby nejvíce "z obliga", pokud jde o odpovědnost za porušení dat.

Energie IT profesionálové ukazují překvapující optimismus
3.10.2014 Incidenty
Tripwire oznámila výsledky průzkumu 104 účastníků na summitu EnergySec bezpečnosti v Texasu. průmysl výzkum ukazuje, většina porušení jít neobjevený týdnů, měsíců nebo i déle. Přes tento důkaz, 66 procent respondentů věří, že by mohli odhalit porušení dat v kritických systémů v týdnu:

23 procent uvedlo, že bude trvat méně než 24 hodin
24 procent uvedlo, že bude trvat méně než 72 hodin
19 procent uvedlo, že bude trvat méně než týden.
10 procent respondentů uvedlo, detekce narušení dat bude trvat měsíc, 9 procent uvedlo, že by se za tři měsíce a 15 procent nebyli jisti, že by mohla odhalit porušení. "Výsledky průzkumu odrážejí překvapující optimismus," řekl Steven Parker, prezident EnergySec , nezisková organizace se tvořila podporovat organizace v rámci energetického sektoru při zajišťování jejich kritické technologické infrastruktury. "Detekce útoků je zásadní schopnost, a myslím, že je mnohem více práce je třeba udělat v této oblasti, než si většina organizací realizovat." Podle Mandiant 2014 M-Trends 2014: Za zprávy Porušení hrozeb zapotřebí průměrná doba na detekci porušení je 229 dnů . Ve zprávě se také uvádí, že počet firem, které zjištěn jejich vlastní porušení klesl z 37 procent v roce 2012 až 33 procent v roce 2013. "Vždycky říkám, že důvěra není kontrola, a naděje není strategie," řekl Dwayne Melancon, CTO pro Tripwire. "Bohužel, tato data naznačují, že mnoho odborníků v oblasti energetické bezpečnosti jsou příliš naděje na jejich vlastních schopností kybernetické bezpečnosti."

Nejlepší tipy na ochranu systémů před zneužitím důvěrných informací
2.10.2014 Incidenty
2014 Verizon dat Porušení Vyšetřování Zpráva odhalila znepokojující trend, což je skutečnost, že přístupová práva uživatelů se staly slabým místem v bezpečnostních politik pro většinu organizací. Zpráva potvrzuje tento trend tím, že řekne, že 88% bezpečnostních incidentů byly způsobeny nesprávným zasvěcených, také ukazuje, že pouze 9% z úniku dat byly objeveny díky neustálému auditu IT systémů. Problematika insider hrozeb zhoršuje s tím, že porušení může trvat od několika dnů až týdnů, aby se objevil, a v některých případech bude let projít až zjistíte, že citlivé informace byla prozrazena. Současně, podle zprávy 2014 InfoWorld Navigace IT, i když 89% IT profesionálů připustit nutnost investic do zabezpečení, pouze 44% velkých podniků a 13% malých a středních podniků ve skutečnosti plánují investovat a prosadit svou bezpečnostní politiku v blízké budoucnosti. Vzhledem k tomuto trendu, NetWrix vysvětluje, proč sledování přístupových práv na pravidelné základ a ochranné systémy proti obchodování zasvěcených zneužití je pro organizace všech velikostí. Chcete-li pomoci společnostem vyhnout se bezpečnostních incidentů a jejich ničivé důsledky, akcie NetWrix tři z nejlepších otázek, každá firma by měla být schopna odpovědět kladně na zajištění ochrany citlivých dat proti obchodování zasvěcených hrozby: Myslíte si, sledovat "činnost pravidelně? uživatelských účtů - to je důležité pro firmy, kde je počet uživatelských účtů se neustále mění, nebo pokud v důsledku vnitřních směny uživatelů oprávnění jsou pravidelně aktualizovány. Rizika se často ukrývají v aktivních účtů bývalých zaměstnanců a na účtech s redundantní oprávnění. Máte-li sledovat změny v rámci celé IT infrastruktury, budete mít kompletní přehled o tom, kdo provedl změnu, stejně jako kdy a kde byly provedeny změny; proto můžete sledovat jakýkoliv škodlivý účinek. Víte, vaše data a kdo má k němu přístup? - zrychlující se objem bezpečnostních incidentů, které byly způsobeny nesprávným použitím oprávnění ukazuje, že společnosti jsou vědomi nejen o tom, kdo má přístup k údajům, ale i tam, kde se tato data uložena, nahrané a sdílené. Sledování infrastruktury a sledování změn IT provedené citlivých dat vám pomůže minimalizovat narušení zabezpečení. Jsou vaši zaměstnanci vědomi toho, že jejich činnost je sledována? - Tento postup by měl být určitě součástí bezpečnostní politiky každé společnosti. Publikování anonymní zprávy a jejich sdílení mezi zaměstnanci vysvětluje lépe než slova, že každý je zodpovědný za bezpečnost dat, a to nutí zaměstnance, aby ovládat své jednání. "I s tím nezbytnosti chránit citlivá data, jen málo firem si uvědomuje, že je infrastruktura by měla být přijata pod kontrolou. Bohužel, mnohem méně z nich sledovat změny a kontrolovat přístupová práva uživatelů, "řekl Michael Fimin, generální ředitel a spoluzakladatel NetWrix. "Nicméně, s IT systémem audit na pravidelné umožňuje dávat pozor na všechny nebezpečné změny. S kompletní přehled v celé IT infrastruktuře usnadňuje nejen vyšetřování v případě narušení bezpečnosti dochází, ale také zaručuje, že vaše citlivá data jsou pod stálou kontrolou.

Hackeři pronikli systémy klíčových vojenských zakázkách
29.9.2014 Incidenty
Hackeři spojené s čínskou vládou úspěšně pronikli do počítačových systémů dopravy USA velení dodavatelů alespoň 20 krát v jednom roce, průniky, které ukazují, zranitelná místa v systému armády rozmístit vojáky a vybavení v krizi, vyšetřovací komise Senátu branného našel . Vyšetřování celoroční zjistil, že TRANSCOM, který je zodpovědný za globální pohyb vojáků a vybavení v USA, si byl vědom pouze dvou z těchto průniky. Dále bylo zjištěno, mezery v požadavky a nedostatek sdílení informací mezi vládními subjekty, které opustily příkaz z velké části vědomi počítačových kompromisů Číny dodavatelů, které jsou klíčem k mobilizaci a nasazení vojenských sil hlášení. "Musíme zajistit, aby kybernetické útoky nemohou narušit Naším posláním připravenost "řekl senátor Jim Inhofe, R-OK, postavený člen výboru. "Je důležité, že jsme dali na místo centrální clearinghouse, který usnadňuje pro kritické dodavatele, zejména těch, které jsou malé a střední podniky, hlásit podezřelé kybernetické aktivity bez přidání zátěže svých operací na podporu mise." vyšetřovací komise zaměřené na malé -recognized ale životně důležité americké vojenské aktiv: schopnost proniknout civilní leteckou, lodní a jiných dopravních prostředků rychlého nasazení amerických sil v dobách krize. Prostřednictvím programů, jako je například civilní rezervního letadlového parku, obchodních dopravních společností, z nichž někteří dělají málo nebo žádný OS ČR, vztahující se k podnikání v době míru, staly klíčovými prvky plánů TRANSCOM pro dojemné vojáky a zařízení po celém světě. Výbor zjistil, že v 12 -month období, které začíná 01.6.2012, tam bylo asi 50 útoky nebo jiné kybernetické události do počítačových sítí dodavatelů TRANSCOM. Nejméně 20 z nich bylo úspěšné útoky připisované na "pokročilé trvalé hrozby", termín používaný k označení sofistikované hrozby obyčejně spojený s vládami. Všechny tyto zásahy byly přičítány do Číny. Mezi zjištění šetření, je:

Čínská armáda vniknutí do TRANSCOM dodavatele v letech 2008 a 2010, že ohrožení e-maily, dokumenty, uživatelské heslo a počítačového kódu.
2010 vniknutí čínské armády do sítě a CRAF dodavatele, ve kterém byly odcizeny doklady, údaje o letu, pověření a hesla pro šifrované e-maily.
2012 čínská armáda vniknutí do více systémů na palubě obchodní lodi smluvně TRANSCOM.
Šetření ukázalo závažné nedostatky ve sdílení informací týkajících se kybernetické průniky. Průzkum výbor malou podmnožinu dodavatelů TRANSCOM objevil 11 vniknutí do Číny do dodavatelských sítí. Při šetření bylo rovněž zjištěno, že FBI nebo DoD byli vědomi nejméně devět dalších úspěšných zásahy ze strany Číny do dodavatelů TRANSCOM. Z těchto 20 průniky, TRANSCOM byl jen upozorněn dva. To rozdíl byl částečně výsledkem dodavatelů a TRANSCOM chybí společné chápání toho, co útoky by měly být hlášeny TRANSCOM. Také DoD agentury nemají jasnou představu o tom, jaké informace o počítačové zásahy mohou a měly by být sdíleny s TRANSCOM a dalších agentur v rámci oddělení. Výbor rovněž zjistil, že hlášení cyber narušení požadavky jsou zaměřené na zásahy, které ovlivňují DoD data. Někteří dodavatelé TRANSCOM, jako je několik craf leteckých společností, ale mohou dělat jen málo nebo žádný obchod s armádou až do vyzval v krizi. V době míru útoky na ty společnosti, se nemůže vztahovat na okamžitou ztrátu vojenských informací, ale mohl opustit ty společnosti, zranitelné ke ztrátě informací nebo narušení provozu, jsou-li aktivován na podporu vojenských operací. V reakci na zjištění šetření,, výbor zahrnoval ustanovení v jeho znění zákona o národní obrany povolení pro fiskální rok 2015 zaměřené na řešení mezer podávání zpráv a zlepšit způsob, jakým ministerstvo šíří informace o kybernetické průniky do počítačových sítí provozně kritických dodavatelů. "Národní státy a zločinecké syndikáty se nás útočí. Je to stejně důležité v dnešním světě na ochranu kritických informačních systémů a infrastruktury naší země, jak je chránit námořní koridory a zahraniční ekonomické zájmy, "řekl Carl Wright, generální ředitel TrapX bezpečnosti, dříve CISO americké námořní pěchoty.

jQuery.com Kompromis: Nebezpečí třetí strany Moderuje obsah
24.9.2014 Incidenty
jQuery je populární rámec Javascript, používá mnoho webových stránek (včetně isc.sans.edu). jQuery poskytuje mnoho funkcí, jako je snadný přístup k webservices, stejně jako pokročilé funkce uživatelského rozhraní. Pokud používáte jQuery, stránky mají možnost stáhnout a hostit kompletní kód, nebo nechat jQuery.com a je to CDN (Content Delivery Network) hostit kód.

Tam jsou dvě výhody umožňující jQuery.com hostit kód:

Výkon: Kód je obvykle doručena rychleji a uživatel již může mít kód mezipaměti když navštívil jinou stránku, která používala CDN hostil kopii jQuery.
Automatické aktualizace: Aktualizace jQuery jsou tlačeny k CDN vývojáři jQuery a webových stránek pomocí to bude automaticky dostávat aktuální kopii.
Na druhé straně, tam je důležitý nedostatek, a hlavní důvod, proč jQuery kód isc.sans.edu je hostována na našich serverech: S kód je "naslepo" v ceně od třetí stránky třetích stran, je možné, že kompromis této třetí místo strany bude mít vliv na bezpečnost vašich stránek.

Je smutné, že právě to se stalo v souladu s RiskIQ s jQuery.com [1]. Webové stránky byly napadeny a škodlivý kód byl injekčně přesměrování uživatele na škodlivé stránky. Naštěstí, knihovna jQuery nebyla ovlivněna. V opačném případě by se mnoho dalších lokalit byly odhaleny, a by byly ovlivněny návštěvníci těchto stránek. Tak je tomu zejména štěstí jako útok se zdá být cílené. Doména přesměrování použitá v tomto útoku byl jQuery-cdn.com. Že doména byla zaregistrována v den útoku byla poprvé všiml.

Particulary o je fakt, že jsem nemohl najít žádné prohlášení o útoku na jQuery.com. Pokud někdo má odkaz, dejte mi prosím vědět.

[1] http://www.net-security.org/malware_news.php?id=2869

Freenode trpí porušení žádá uživatele, změnit svá hesla
24.9.2014 Incidenty
Populární IRC síti Freenode utrpěl narušení bezpečnosti a žádá uživatele, změnit svá hesla, protože by mohl být ohrožen. "Dneska freenode infra tým všiml anomálii na jednom IRC server. Od té doby jsme zjistili, že to svědčí o Server je ohrožen neznámou třetí osobou, "zaměstnanci zveřejnil vysvětlení toho, co se stalo v sobotu. "Okamžitě jsme zahájili šetření zmapovat rozsah tohoto problému a nachází se podobné problémy s několika dalšími stroji a vzali ty offline. Pro Nyní, protože provoz v síti může být přičichl, doporučujeme, aby všichni změní své NickServ heslo jako preventivní opatření. "

"Vzhledem k tomu, může být přičichl provoz, můžete také chtít, aby zvážila všechny klíče kanálů nebo podobné tajné informace vyměňované po síti," dodali, a slíbil, že informuje uživatele o aktuální situaci v dané situaci. FreeNode se zaměřuje na podporu svobodných a open source softwarových projektů a je největší IRC síť na světě, čítající 80.000 a 90.000 uživatelů. Pokud jste uživatel FreeNode a použít správce hesel, zvažte výběr dlouhý a složitý heslo pro všechny vaše on-line účty. V FreeNode případu, heslo může obsahovat tolik jako 79 znaků.

Masivní únik Gmail pověření není v důsledku porušení
22.9.2014 Incidenty
Do teď, možná jste slyšeli, že došlo k úniku několika téměř 5 milionů uživatelské jméno a heslo kombinace spojené s účty Google. Podle RT zprávy , data byla k dispozici ke stažení na ruské bezpečnostní fórum Bitcoin uživatelem, který řekl, že 60 procent z kombinace jsou stále platné. Uživatelé Reddit byly komentovat únik na niti, která od té doby byla odstraněna, někteří říkají, že se jim podařilo nalézt jejich pověření mezi unikly jednou, jiné za zmínku, že hesla v pochybnost byly ty staré , jiní ještě prohlašovat, že oni nikdy použity zahrnuta hesla jejich účtů Google a positing že unikly pověření bylo pro jiné online účtů. Mezitím, Google již vyšetřuje únik a došel k závěru, že jejich systémy nebyly ohroženy. "Jeden z nešťastných skutečností na internetu je dnes jev známý v bezpečnostních kruzích jako "pověření dumps'-vysílání seznamů uživatelských jmen a hesel na webu. Neustále monitorování těchto skládek, abychom mohli rychle reagovat na ochranu našich uživatelů . Tento týden jsme identifikovali několik seznamů prohlašovat, že obsahují Google a pověření jiných poskytovatelů připojení k internetu "," tým Google Spam a zneužívání komentoval na svém blogu ve středu. "Zjistili jsme, že méně než 2% z uživatelského jména a hesla kombinací mohlo fungovat a naše automatické anti-Únos systémy by zablokoval mnohé z těchto pokusů o přihlášení. Jsme chráněná dotčené účty a vyžadovaly těmto uživatelům resetovat jejich hesla. " Oni vyzval, aby uživatelé používali silné, jedinečné heslo pro svůj účet Google a zvážit ověření 2-krokem ke zvýšení jeho bezpečnosti. Výzkumníci z CSI bezpečnosti Skupina se analyzují na trove a odhadují, že údaje, které jsou se datuje stejně jako tři roky. "Nemůžeme potvrdit, že je to opravdu až 60 procent, ale velké množství uniklých dat je legitimní," komentoval CSIS CTO Peter Kruse. Podle jejich analýzy, většina přihlašovací údaje patří USA a uživateli ve Velké Británii. Uživatelům se doporučuje změnit své heslo Google a změnit heslo spojené s účtem, kde použili svou adresu služby Gmail jako uživatelské jméno. Kdykoli je to možné, uživatelům se doporučuje nastavit dvoufaktorovou autentizaci.

Home Depot porušení potvrdil, odcizení info použít pro změnu PIN, sbírat peníze
20.9.2014 Incidenty
V stručným prohlášením , a nechutně opakované dotazy , Home Depot potvrdila, že utrpěl porušení svých systémů datových platby. Porušení může ovlivnit každého zákazníka, který má od útočníka dubna používal jejich platební kartu společnosti USA a Kanadské obchody. Zákazníci, kteří nakupovali on-line na HomeDepot.com a ti, kteří nakupovali v mexických obchodech společnosti pravděpodobně nebudou ovlivněny. Po ujištění zákazníkům, že jejich kontrola informací a PIN vázána na jejich debetních karet nebyly ohroženy porušením, společnost má, nicméně, vyzval uživatele, aby přezkoumaly své výpisy z účtu za podezřelých transakcích. Nakonec, oni se o to si uvědomit, že potenciálně dotčených zákazníků nebude zodpovědný za jakékoliv podvodné poplatky na svých účtech, a oni budou nabízeny zdarma Identity Protection a sledování úvěrových služeb. Žádné další podrobnosti o porušení samo o sobě dostali, tak to je ještě nepotvrzená, zda útočníci použili variantu BlackPOS (nebo Kaptoxa) malware pro sběr dat z platebních karet, jako anonymní zdroje hlášeny. Malware v pochybnost byl použit v Target porušení , a novější varianta byl spatřen se maskuje jako AV služeb. Ale fakt, že útočníci nedokázali dostat své ruce na PIN debetní karty znamená málo, jako počet banky potvrdily, že karty klonované pomocí ukradených údajů jsou používány po celém světě vybrat peníze z bankomatu. Jak je to možné? "data karty ukradené od zákazníků Home Depot a nyní k prodeji na prodejně činu Rescator [dot] cc zahrnuje jak informace potřebné pro výrobu padělané karty, stejně jako celé jméno legitimní držitele karty a město, stát, a ZIP úložiště Home Depot, ze kterého byla karta ukradený, " vysvětluje Brian Krebs. "PSČ údaje z obchodu je důležité, protože umožňuje, aby protivníci rychle a přesněji lokalizovat číslo a datum narození držitele karty za použití trestní služby v podzemí sociálního zabezpečení, které prodávají tyto informace." Zločinci používají vše Informace o trik automatické volání-in systém bank změnit PIN ke kartě. Tyto typy systémů zjistit totožnost volajícího kontrolou, zda telefonní číslo, ze kterého byl hovor, je stejný, kdo mají o souboru a uživatelé požadavek zadejte 3-místné ověřovací karta hodnoty karty, datum její platnosti, datum zákazníka narození a poslední čtyři číslice čísla sociálního zabezpečení zákazníka. Bohužel, změny mohou být provedeny, i kdyby tři z těchto pěti typy informací jsou k dispozici a jsou správné, a podvodníci mohou poskytnout jim. Některé banky začaly žádá všechny tyto bezpečnostní kontroly, které mají být vymazány před povolováním jakékoli změny na účtech, které mají být provedeny, ale.

Uživatelé eBay byli přesměrováni na podvodný web

18.9.2014 Incidenty
Experti upozornili na nové bezpečnostní riziko na největším aukčním portále světa eBay – někteří uživatelé byli po kliknutí na legitimní odkaz z eBay přesměrováni na web, který krade přihlašovací údaje.

Podvodná webová stránka vypadá zcela identicky jako eBay. Aukční portál byl o bezpečnostním riziku informován ve středu, aukce s nebezpečnými odkazy však odstranil až po telefonátu BBC další den. Bezpečnostní experti proto byli překvapeni, jak dlouho eBay trvala odezva. „eBay je velká společnost, která by měla mít tým připravený nepřetržitě,“ uvedl Steven Murdoch z Výzkumné skupiny zabezpečení informací University College v Londýně, jenž byl schopen podvodné aukce ještě před jejich odstraněním analyzovat.

U podvodných aukcí byla použita technika známá jako cross-site scripting (XSS), v rámci níž útočník vloží do vytvořené aukce s určitým produktem nebezpečný javascriptový kód. Ten následně automaticky přesměruje postížené uživatele skrze sérii jiných webových stránek na web téměř nerozeznatelný od legitimnéch stránek eBay. Zde je po uživateli žádáno zadání přihlašovacího jména a hesla. „Webové stránky, na něž je uživatel přesměrován, jsou téměř jistě útočníky používány k zakrytí stop,“ uvedl Murdoch a dodal, že falešná webová stránka, na niž byli uživatelé nakonec přesměrováni, obsahovala kód, díky němuž by bylo možné podniknout i další útoky.

„I když obvykle je eBay na útočníky dobře připraven, zde ho nachytali,“ dodal Murdoch. „Cross-site scripting je zcela jistě mezi top 10 bezpečnostními riziky, na něž si vlastníci webových stránek musejí dávat pozor.“ Mluvčí eBay se snažil nebezpečnost útoku zlehčit. „Nebezpečná byla pouze jedna jediná aukce na eBay.co.uk, do níž útočník integroval odkaz, který uživatele přesměrovával pryč z eBay,“ řekl mluvčí. „Bezpečnost na našem aukčním portálu bereme velmi vážně a aukci jsme ihned odstranili.“ BBC se však podařilo najít další dvě podvodné aukce, které vytvořil ten samý uživatel.

Na bezpečnostní riziko na eBay jako první upozornil Paul Kerr, který pracuje v IT a na eBay prodává jako „PowerSeller“. Aukční server Kerr kontaktoval krátce poté, co klikl na odkaz v jedné z aukcí a byl přesměrován. Kerrovi se na podvodné stránce ihned něco nezdálo. Jak však dodal, řada neopatrných uživatelů mohla útočníkům jednoduše naletět. „Někdo na podvodném webu své údaje určitě zadal. Nemůžete vědět, kolik ze stovek tisíc uživatelů eBay na odkaz kliklo,“ řekl Kerr, který celý proces přesměrování z eBay na podvodný web nahrál na video a umístil na YouTube.

Kaspersky odhalí hacknutí webové kamery či zranitelné Wi-Fi

17.9.2014 Incidenty
Novou verzi antimalwaru pro spotřebitele a SOHO představil Kaspersky Lab. Internet Security – Multi-Device 2015 chrání před riziky zařízení s Windows, OS X i Androidem.

Novinka obsahuje řadu nových technologií, které zlepšují úroveň ochrany před šifrovacím malwarem, zabraňují sledování uživatele webkamerou a ochraňují před riziky připojení k zranitelným Wi-Fi sítím.

Například funkce Webcam Protection proto monitoruje aplikace snažící se o připojení k webkameře, varuje před pokusy o přístup a v případě potřeby jej zablokuje (u Windows).

Modul System Watcher zase analyzuje všechny procesy spuštěné v operačním systému a obsahuje také funkci zálohování dat. Pokud odhalí podezřelý program pokoušející se změnit uživatelská data, okamžitě vytvoří zálohu souboru, kterou není možné změnit. Pokud další sledování naznačí, že daný program byl škodlivý, veškeré změny budou vráceny zpět (funguje u OS Windows).

A modul Wi-Fi Security Notification ověřuje přístupové body Wi-Fi a upozorňuje uživatele na možné hrozby – jako například zranitelné síťové připojení nebo přenos nezabezpečeného hesla na internetu.

Další funkce Internet Security – Multi-Device 2015 podle výrobce:

Vylepšení ochrany peněžních transakcí Safe Money. Ta nově blokuje přístup aplikací třetích stran do schránky webového prohlížeče, která může dočasně obsahovat citlivá data (například kopie přihlašovacích údajů). Safe Money nadále chrání před odezíráním obrazovky, škodlivými rozšířeními prohlížeče a dalšími potenciálně rizikovými doplňky (u Windows).
Pro uživatele placených Wi-Fi sítí a 3G či LTE připojení řešení obsahuje funkci Cost-Aware Networking, která snižuje množství dat odeslaných přístrojem přes internet (platí pro Windows 8 a výše).
Vylepšení technologie anti-phishingového modulu chránícího před nechtěnými škodlivými stránkami v oblasti analýzy textu, obrázků a odkazů.
Hlavní menu a rozhraní jsou nyní jednotné ve všech produktech. Uživatelé tak mohou ovládat zabezpečení snadněji – ať už jsou jejich platformy, verze produktů či zařízení jakékoliv. Kaspersky Lab také zlepšila efektivitu a snížila nároky na systémové zdroje bez vlivu na výkon operačního systému nebo úroveň zabezpečení.

HealthCare.gov porušení ovlivněn Test serveru, nikoli uživatelé
16.9.2014 Incidenty
Server v systému Healthcare.gov byla narušena, ale dobrá zpráva je, že neobsahuje spotřebitele osobní údaje. To byl jen vývoj server, který byl neměl být on-line, ale byl, a nebyl správně nakonfigurován a stále přijaté výchozí pověření, ČSÚ zprávy . porušení došlo v červenci a byl objeven 25. srpna během plánované Security Scan. Povaha malwaru, že útočníci zasadil na serveru a skutečnost, že to zůstalo v nečinnosti pomohlo to zůstat pod radarem tak dlouho. malware v otázce nebyl schopen exfiltrating informace - to bylo prostě chtěl lano serveru do botnet a používat jej pro rozesílání spamu a dělat to účastnit se útoků DoS, úředníci na amerického ministerstva zdravotnictví a sociálních služeb řekl. "Přijali jsme opatření k dalšímu posílení bezpečnosti," mluvčí útvaru zajištěno. Bylo by Zdá se, že útočníci se nezaměřuje výslovně na místo Healthcare.gov, ale byl až poté, co doplněk k jejich botnetu. "Kdyby se to stalo kdekoliv jiné než HealthCare.gov, nebylo by to zpráva, "uvedl senior Department of Homeland Security oficiální. HealthCare.gov, který je provozován v rámci federální vlády Spojených států, slouží jako on-line zdravotní pojištění výměny, kde obyvatelé USA můžete vyhledat soukromé zdravotní pojištění plány nebo, v případě, že vydělávají méně než čtyřnásobek federální hranice chudoby, mohou žádat o dotace a další podmínky pro Medicaid.

Krádeže v odlehlých bankovních systémů: Incident vyšetřování
15.9.2014 Incidenty

Stále více firem se ptají Kaspersky Lab provést podrobné šetření bezpečnostních IT incidentů malware související, které ovlivňují jejich podnikání.

V tomto článku si popíšeme typický cybercriminal útok, jehož cílem je krást firemní finanční aktiva ze vzdáleného bankovního systému.

Popis incidentu

Organizace nedávno požádala Kaspersky Lab vyšetřovat incident, ke kterému došlo v jeho firemní vzdáleném bankovního systému: zástupce banky kontaktovat účetní oddělení organizace a požádal o potvrzení platby v hodnotě 3 milionů rublů (asi US 80.000 dolar). Vyšlo najevo, že nikdo v organizaci nikdy neslyšel o této platby. Účetní byl jistý, že on nedělal, že platba; vysvětlil, že byl z jeho přestávka na oběd v době transakce.

Účetní používá bankovní software na svém pracovišti připravit platební příkazy a poslat je do banky. Protokoly o tomto softwaru zaznamenal dvě podezřelé platby na stejnou adresu. První byl relativně malý zaplacení 300.000 rublů. To neznělo žádné poplašné zvony, a byla zpracována bez dotazu. Druhá platba v hodnotě 3 milionů rublů, upozornili zaměstnance u banky společnosti.

Bylo jasné, že účetní neučinila plateb sám, takže organizace podezření malware útoku. Ale jak je to možné? Byli pomocí specializovaného bankovnictví software s ochranou heslem. Jsou zapotřebí speciální soubor, pro přístup ke vzdálenému bankovní systém a banky by samo o sobě zjistit IP adresu odesílatele platby.

Vyšetřování

Hlavním cílem malware vyšetřování incidentů je přesně zhodnotit následky útoku, identifikovat každý napadeného počítače a zjistit, jak přesně malware pronikl oběti počítač (y). Organizace postižených pak může použít tyto informace efektivně zmírnit nedostatky poškození a adres v jeho firemní bezpečnostní systém, aby se zabránilo takové incidenty ze se v budoucnosti.

Během vyšetřování je také někdy možné zjišťovat dosud neznámým malware druhů a připojí svůj podpis k zabezpečení databází, které chrání ostatním uživatelům jejich budoucí dopad.

V tomto případě se obraz pevného disku z počítače Účetní byla poskytována do společnosti Kaspersky Lab Global Emergency Response Team (GERT) pro analýzu a vyšetřování.

Vzdálený přístup k pracovní ploše

Během našeho prvního průchodu analýzu pevného disku účetního znalce, jsme identifikovali upravenou verzi právního Remote Manipulator System , který umožňuje vzdálený přístup k počítači. Tento typ softwaru je často používán účetní a správce systému. Nicméně, tento program se nachází v podezřelé katalogu, měl podezřelý název ("C: \ Windows \ Dotcom \ wmiterm.exe" je příliš "systém související s" cestou, tak i pokročilý uživatel, je nepravděpodobné, že vůně krysa) , a měl dvě úpravy, aby skryli svou činnost:

Ikona na hlavním panelu systému Windows byla skryta,
Klíč registru, kde se program uloží jeho konfigurace byl změněn: "HKLM \ SYSTEM \ Remote Manipulator System \ v4" byl změněn na "HKLM \ System \ System \ System \ Remote \ Windows", které opět vypadá velmi podobně jako klíče registru systému na .
Tyto změny jsou typické pro malware, a tak jsme přidali podpisy tohoto programu antivirové databáze společnosti Kaspersky Lab - je detekován jako nebezpečný s výrokem "Backdoor.Win32.RMS".

Při analýze provozu Backdoor.Win32.RMS, jsme zjistili, že útočníci používali stáhnout další škodlivý program na oběti počítače, "Backdoor.Win32.Agent". (Tato detekce byla přidána do produktů Kaspersky Lab okamžitě). To za předpokladu, backdoor vzdálené VNC (Virtual Network Computing), přístup k oběti počítače. Zajímavé je, že kód tohoto škodlivého softwaru má hodně společného s modulem "hVNC" na Carberp Trojan. Zdrojový kód Carberp je k dispozici pro přístup veřejnosti.

Tak, jak se Backdoor.Win32.RMS propašovat na plochu účetního je?

Infikování Corporate Desktop

V databázi aplikace Microsoft Outlook, uloženy v souboru "Outlook.pst" na pevném disku, jsme zjistili, e-mail, který obsahuje přílohu s názvem "запрос ИФНС № АС-4-31339.doc" ("Federální daňová služba požádat no. AC- 4-31339.doc "). Kaspersky Lab Anti-Virus zjistil, že dokument Microsoft Office, jako nebezpečný s výrokem "Exploit.MSWord.CVE-2012-0158."

GERT_1

"Federální Zdanění služby. Uveďte, prosím, všechny požadované dokumenty co nejdříve."

Během vybalování, archiv zdroj zahájila archivu programu "SYST.EXE 's parametry instruktážní to rozbalit heslem chráněný archiv" SYST "pomocí začleněn heslo. Tento trik pomocí hesla chráněného heslem úspěšně obchází pokusy bezpečnostní software je na statické rozbalování souboru, brání jeho detekci.

Rozbalení "SYST" vytvořila následující: soubor 'Backdoor.Win32.RMS "(který jsme již dříve zjištěný) a skript" INST.CMD ", který nainstalován backdoor v systému. Jedná se o skript, který kopírovat soubory škodlivého programu je do složky "C: \ Windows \ dotcom".

Poté, co jsme zjištěna na zadní vrátka, jsme začali chápat, jak se útočníci mohli ukrást peníze. Pokud by měl vzdálený přístup k počítači, mohou mít, aby jejich vlastní platební příkaz, a pak soubor s klíčem a IP adresa odesílatele by bylo oprávněné. Ale my jsme ještě nevěděli, jak se zločinci dostali heslo pro přístup k bankovní software. Rozhodli jsme se podívat na keylogger programu.

Keylogger

Soubor 'Svchost.exe "přitahoval pozornost, který se nachází v kořenovém adresáři systémového disku. Ukázalo se, že keylogger (detekce přidána s výrokem "Trojan-Spy.Win32.Delf '); je také obsahoval funkce pro řízení konfigurace Backdoor.Win32.RMS. Tato neobvyklá schopnost zřejmě představeno zločinci, protože potřebovali nástroj pro řízení upraveného Remote Manipulator System: ukryli kompletní uživatelské rozhraní tohoto programu a použít jej pro správu konfigurace.

Také jsme zjistili, že tento keylogger byl stažen pomocí Backdoor.Win32.RMS.

Keylogger poslal protokol obsahující veškeré ukradené informace C & C v pravidelných intervalech, a stále up-to-date kopii záznamu na pevném disku infikovaného počítače. Zjistili jsme, bankovním heslo do hromady informací ukradli keylogger.

Bitevní plán

Po našem výzkumu jsme rekonstrukci akční plán počítačovými zloději ":

Mezi zločinci zahájili cílený útok pomocí sociálního inženýrství a aplikace Microsoft Word zranitelnost infikovat počítač účetnímu je s Backdoor.Win32.RMS.
S pomocí tohoto backdoor, že zločinci načíst další dvě škodlivé programy do počítače oběti: keylogger (Trojan-Spy.Win32.Delf) a jiným backdoor (Backdoor.Win32.Agent), který stanoví, vzdálený VNS přístup k oběti počítače.
Keylogger zachytil heslo ke vzdálenému bankovní účet.
Zatímco účetní byl od svého počítače, se zločinci používají Backdoor.Win32.Agent a přístup VNS k počítači spustit bankovní software jménem účetní.
Mezi zločinci používali heslo zachycuje keylogger pro vytvoření příkazu k úhradě v hodnotě 300 tisíc rublů a odeslat do banky.
O něco později, se vytvořil další platební příkaz, tentokrát v hodnotě 3 milionů rublů, a poslal jej do banky.
Jak jsme se dostali ke konci šetření jsme zjistili, ještě jeden zajímavý fakt: IP-adresy C & C servery pro všechny škodlivých programů používaných v útoku patřil do stejné podsítě.

GERT_2

Schéma cybercriminal útoku

Také jsme zjistili, že zločinci velmi rychle jednal: trvalo jim jen čtyři dny plnit své plánované trestné činnosti. Tři dny strávil přípravou, a plán byl proveden během několika hodin na čtvrtý den.

Den 1. zločinci poslal e-mail na účetní společnosti. Účetní přečíst e-mail, otevřel přílohu a škodlivého programu Backdoor.Win32.RMS byl stažen do svého programu. V následujících dnech se zločinci použít tento program pro sledování činnosti účetní je.

Oznamující obětí kybernetických zločinců "

Vzhledem k tomu, útočníci použili několik IP adres ze stejné podsíti, rozhodli jsme se blíže podívat na serveru C & C. Jak se ukázalo, že zločinci udělali chybu při konfiguraci jeden ze serverů, takže každý uživatel může vidět HTTP požadavků na servery C & C. To je, jak jsme byli schopni vystopovat IP adresy, ze kterých byly žádosti odeslané pomocí protokolu Keylogger je. Jak jsme zjistili, tam bylo několik počítačů s různými IP adres infikovaných virem keylogger.

Byl tam jeden zvláštní rys tohoto keylogger: když to bylo vypuštěno v infikovaném počítači, stáhnout nejnovější verzi svého protokolu ze serveru C & C. Proto každý uživatel mohl zkontrolovat log keylogger pokud otevřeli příslušnou URL adresu ve svém webovém prohlížeči. Rozhodli jsme se, že mají blíže na HTTP požadavků posílaných na serveru C & C, a v nich jsme našli názvy protokolů, které jsou keyloggery odeslaných na server C & C. V mnoha případech, protokoly obsahovaly název organizace, která vlastnila infikovaný počítač a "kontakty (Mohli bychom také obětí obětí IP adresy pomocí zranitelnosti na serveru C & C). Tato informace se nám podařilo kontaktovat další oběti (většina z nich byla účetní na malé a střední podniky), a varují, že jejich počítače byly infikovány. Oni byli velmi vděční za informace.

Vlastnosti bankovních útoků

Jak jsme řekli na začátku tohoto článku, tento útok je typický případ krádeže peněz z firmy.

Počítačoví zločinci aktivně využívat sociální inženýrství vybízely uživatele k otevření souboru škodlivý.
Pracovníci, kteří se zabývají komerčně důležité informace a zpracovávat finanční společnosti potřebují školení o základech bezpečnosti IT. Společnost musí zavést bezpečnostní politiku, která by minimalizovala riziko zaměstnanců nedbalosti způsobuje infekci v podnikové síti.

Při útoku důležité cíle, zločinci mohou využívat nové exploity pro dosud nepublikovaných zranitelnosti. V takových případech pravidelně detekční nástroje útoku, jako IDS, není dost dobrý.
Nicméně, 0-day exploity jsou příliš drahé používat při útocích na pravidelných společností. Zde se obvykle vidět využije pro známé zranitelnosti. To znamená, že jednoduché kroky, jako je neprodleně aktualizaci softwaru (zejména Microsoft Office a Java) a instalaci bezpečnostní řešení kvality může zajistit odpovídající úroveň ochrany.

Ještě dalším znakem tohoto útoku je to, že zahrnuje právní software. Jedná se o rostoucí trend: vidíme zločinci používají legitimní aplikace získat vzdálený přístup k počítači oběti před stažením a spuštěním škodlivých souborů na nich.
Bezpečnostní produkty samozřejmě nebude vlajku použití legitimní software. Takže zločinci mohou používat tyto aplikace, ve snaze udržet své operace v tajnosti. V tomto útoku, tajemství bylo zajištěno pomocí verzi Remote Manipulator System s úpravami do svého spustitelného souboru. Přidali jsme podpis pro tuto upravenou verzi Remote Manipulator System, aby v budoucí produkty společnosti Kaspersky Lab bude detekovat.

Pokud se útočníci použít původní, nezměněné verze legitimní software, bude jediným řešením bude pro bezpečnostní systémy a upozorní uživatele pokaždé potenciálně nežádoucí program spuštěn. Všichni uživatelé, zejména ti, kteří se zabývají finanční a další důležité dokumenty, je třeba si uvědomit, že žádný bezpečnostní systém může poskytnout absolutní ochranu. Měli by věnovat pozornost systémových upozornění a dávat pozor na jakékoli neobvyklé chování na svém počítači. Je důležité oznámit bezpečnostní pracovníci jakékoliv podezřelé události v systému.

V ideálním případě by default deny režim by měl být povolen na všech počítačích používají k provádění plateb v odlehlé bankovního systému; Tento režim omezuje přístup k Internetu a zabraňuje spuštění irelevantní, non-bílé listině software. Totéž platí pro počítače používané firemní uživatele pracovat s komerčně důležité (business-critical) informací.

Závěr

V těchto dnech, je hlavní hnací silou všech cybercriminal akce jsou peníze. Získání přístupu ke vzdáleným bankovních systémů je velmi přímý a jednoduchý způsob, jak krást peníze z organizace. Je to malé překvapení, které na dálku bankovní systémy jsou stále více atraktivní cíl pro cybercriminal útoků.

Každý, kdo používá vzdálené bankovních systémů je více než obeznámen s bezpečnostními systémy, které jsou založeny v nich ... ale to jsou zločinci. Použití hesel, klíčových souborů a žetony, stejně jako omezení IP přístupu může ukolébat uživatele do falešného pocitu bezpečí.

Nicméně, žádný z těchto opatření, ať již samostatně nebo ve skupině, udělá cokoliv, aby zvýšení bezpečnosti, pokud jsou prováděny na ohrožení počítače. Na infikovaném počítači, hesla mohou být zachyceny, klíčové soubory mohou být kopírovány. Kyberzločinci si vytvořit skrytý plochu a použít původní IP adresu a token připojen k oběti počítače.

Při vyšetřování bezpečnostních incidentů pravidelně dojít k následující situaci: škodlivý program je spuštěn na počítači, ale později se zjistí, že a odstraněn ze systému. Následně ovlivněn počítač je používán jako dříve, pokračuje provádět bankovní operace s účetní jistý, že problém byl vyřešen.

Uživatelé si musí uvědomit, že jakmile je škodlivý program je spuštěn, počítač postiženy by měly být považovány ohrožena. První nebezpečný soubor načte jen hlavní nebezpečný náklad. To je užitečné zatížení se obvykle skládá z programů, které aktualizují po celou dobu uniknout detekci bezpečnostních produktů. Alternativně zločinci načíst legitimní software s úpravami, které umožňují zločinci se k němu připojit přes škodlivých C & C servery. V tomto případě nebudou zjištěny škodlivé programy.

Není tam žádná taková věc jako jeden-velikost-fits-all reakce na mimořádné události. Existuje příliš mnoho možných způsobů útoku venku. Například, v některých případech vypnutí počítače se okamžitě pomáhá chránit data, která by nevratně odstraněny škodlivým programem po určité době. V jiných situacích, když vypnutí zničí datové RAM, která je nezbytná pro následné vyšetřování. Pouze specialista vyšetřování incidentu může učinit správné rozhodnutí.

V každém případě, pokud existuje sebemenší podezření na vniknutí jakékoliv ohrožení by měl být počítač odpojen od internetu a firemní sítě, a malware incidentů specialisté by měl být volán v.

Pouze podrobné zkoumání bezpečnostní události, může vést k účinné reakci.

Montáž důkazy poukazují na Home Depot porušení
12.9.2014 Incidenty
Ještě oficiálně nepotvrzená, Home Depot hack vypadá čím dál pravděpodobnější, že se stalo. Když Nicole Perlroth uvedeno , zdrojem informací ukradené karty lze zjistit dvěma způsoby:

Donucovacích orgánů s pomocí bank můžete prohlédnout účtu historii transakcí postižených uživatelů ke společnému místě nákupu. To je to, co některé banky jsou v současné době dělá po koupi zpět čísla karet od podvodníků, které je prodávají.
Vyšetřovatelé podvodů obvykle nemají přístup k údajům o transakcích, ale lze použít údaje poskytnuté samotnými podvodníci (město, stát, a ZIP kód skladu, ze kterého byla karta ukradené) a zkontrolujte, zda je maloobchodník podezření, že byla porušena má obchody ve stejném PSČ.
Carders obvykle poskytují tento typ dat - a požádat o dodatečné platby za to - protože podvodníci, kteří používají padělané karty, bude chtít, aby se nákupy ve stejné oblasti, tak, aby se vydali systémy detekce podvodů bank. Vyzbrojeni touto informací, Brian Krebs sestavil seznam jedinečných poštovních směrovacích čísel svázaných s údaji o platebních karet z šarží aktuálně nabízených k prodeji na rescator (tečka) com , a porovnala je se seznamem jedinečných Home Depot poštovních směrovacích čísel. výsledek? 99,4 procent se překrývají. "Mezi těmito dvěma seznamy poštovních směrovacích čísel, tam jsou 10 poštovní směrovací čísla v údajích karet Rescator, že neodpovídají skutečným obchodů Home Depot," sdílel. Ale zdůraznil, že údaje v současné době na prodej je pravděpodobné, že jen "malý zlomek z karet, že jeho obchod bude uvedena do prodeje v nejbližších dnech a týdnech," což znamená, že seznam by mohl nakonec mít 100 procent překrývání. Pokud Home Depot byla skutečně porušena a informace z bankovních zdrojů o porušení, co byla zahájena v dubnu nebo začátkem května, je v pořádku, říká, že toto porušení mohlo ukázat, že je mnohem větší, že cíl je , který byl objeven po třech týdnech a vliv menšího počtu obchodů. Stále žádné zprávy o této věci od Home Depot, jehož mluvčí pouze potvrdila, že forenzní společnosti a bezpečnostní týmy vyšetřují potenciální porušení, a že oni přinesli Symantec a FishNet Bezpečnostní experti na pomoc při vyšetřování. Pokud Home Depot nakonec se ukáže, že byly porušeny, to bude zajímavé zjistit, jak se útočníci to povedlo. nedávném rozhovoru s Chrisem Hadnagy, generální ředitel společnosti Sociálně-Engineer, as, která provozuje sociální inženýrství Capture the Flag ( SECTF) u DEF CON, bylo zjištěno, že v letošním roce se tým, který byl přidělen úkol těžby potenciálně citlivé informace od zaměstnanců Home Depot byl nejúspěšnější a skončil vítězství v soutěži. "Téma letošní soutěže bylo maloobchod, na základě Cílová porušení odhalily v letošním roce, "Hadnagy sdílené Dark Reading. Chtěli zjistit, zda toto porušení vyzval prodejce, aby se více opatrní a v nejvyšší pohotovosti. "Bohužel, nebylo jedna společnost, kdo to udělal dobře. Ani jedno, kdyby byli svým klientům, by dostali známku potkávací." Během této falešném útoku, několik zaměstnanců Home Depot udělal otázku, proč se společnosti "IT oddělení" byla ne volání z podnikové řady, ale byl nakonec uklidněn vysvětlení sociálních inženýrů a požadované informace poskytlo. Pouze jeden zaměstnanec považován za hovor podezřelé a skončil bez rozdávání žádné informace.

Na internetu se objevilo přes 5 miliónů gmailových adres a hesel

11.9.2014 Incidenty
Na jednom diskuzním fóru se objevil soubor obsahující téměř 5 miliónů emailových adres a k nim náležící přístupová hesla.

Soubor na fórum btcsec.com umístil uživatel vystupující pod přezdívkou tvskit s tím, že přes 60 % přístupových údajů je stále platných.

„Nemůžeme potvrdit, že je to přesně 60 %, ale velká část dat je skutečně funkční,“ řekl Peter Kruse z dánské bezpečnostní společnosti CSIS Security Group, která své služby poskytuje hlavně úřadům a finančním institucím.

Výzkumníci z CSIS data analyzovali a došli k závěru, že přístupové informace pocházejí hned z několika různých zdrojů, přičemž v několika případech došlo k jejich úniku již před 3 lety. „Domníváme se, že data nepocházejí přímo od Googlu. Pravděpodobně byla získána z různých zdrojů, jejichž zabezpečení bylo prolomeno,“ napsal Kruse v emailu.
Zaujal vás tento článek? Přehled nejzajímavějších zpráv získáte odebíráním našeho newsletteru »

Jinými slovy, velká část hesel pro uvedené gmailové adresy nefunguje, protože jde o data z jiných webových stránek, kde uživatelé jako přihlašovací jméno použili svou emailovou adresu, ale zvolili jiné heslo. Problém tak mohli či stále mohou mít hlavně uživatelé, kteří pro Gmail i účet na jiných webech používají stejné přístupové údaje.

„Bezpečnost našich uživatelů je pro nás nesmírně důležitá. Nic nenasvědčuje tomu, že by došlo k překonání našich bezpečnostních mechanismů,“ napsal ve svém vyjádření Google.

To, jestli je váš účet mezi postiženými, můžete zjistit například na adrese https://isleaked.com/en, kde je k dispozici i databáze nedávno napadených účtů ruských freemailů yandex.ru a mail.ru.

Namecheap účty brute-přinucen CyberVor gangu?
6.9.2014 Incidenty
Kalifornie-založený registrátor domény a web hosting firma Namecheap byl terčem hackerů, společnosti VP hosting Matt Russell varoval v pondělí, a řekl, že útočníci se pomocí uživatelského jména a hesla data získaná z webů třetích stran hrubou silou svou cestu do účty svých zákazníků.

Russell řekl, že napadené přihlašovací údaje, které byly použity zkoumat účty pravděpodobně, které byly shromážděny v ruské společnosti CyberVor gangu, které mají údajně v rukou tolik jako 1,2 miliardy unikátních on-line přihlašovací údaje. Stále není jasné, proč se domnívají, že CyberVor gang - nebo jiný gang pomocí tohoto skrýš přihlašovací údaje -. je zapojen . "skupina za to pomocí uložených uživatelských jmen a hesel, aby simulovaly přihlášení webového prohlížeče pomocí falešné prohlížeče Tento software simuluje skutečné přihlašovací proces by uživatel použít v případě, že používáte Firefox / Safari / Chrome ke svému účtu Namecheap. Hackeři jdou přes jejich jméno / seznamu hesel a snaží se každý a každý, kdo se snaží a dostat se do uživatelských účtů Namecheap, "Russel sdílet . "Naprostá většina Tyto pokusy o přihlášení byly neúspěšné, protože údaje jsou nesprávné nebo staré a byly změněny hesla. Jako preventivní opatření jsme agresivně blokování IP adres, které se zdají být přihlášení pomocí ukradených dat heslem. Jsme také protokolování tyto IP adresy, a budou vyvážet pravidla blokování celé naší síti zcela eliminovat přístup do jakéhokoli systému nebo služby Namecheap, stejně jako výroba tato data k dispozici pro vymáhání práva. " Některé pokusy byly úspěšné, a společnost dočasně pozastaven se tato účetní závěrka a oznamování příslušných držitelů. "Naše brzy ukáže, že ti uživatelé, kteří používají stejné heslo pro svůj účet Namecheap, které jsou použity na jiných webových stránkách, jsou ti, kteří jsou zranitelní," dodal. "Tento útok slouží jako vhodnou příležitostí k připomenutí, že v netizens, neustále čelit nové a vyvíjející bezpečnostní hrozby. " poradil Russell všem uživatelům zvážit možnost ověření 2-faktor pro své on-line účtů kdykoli je to možné, aby se zabránilo tomuto typu útoku v budoucnosti. On také doporučuje používat silné hesla, které nepoužívají stejné uživatelské jméno / heslo kombinaci pro více různých webů, pravidelně snímací systémy pro malware, pomocí připojení SSL pro všechny webové stránky a používat zabezpečené připojení a sítě VPN při prohlížení internetu na otevřené Wi-Fi hotspot. "Máme rozhodla jít na veřejnost s dnešním incidentu, aby se pokusila vytvářet větší povědomí veřejnosti o otázkách bezpečnosti, které vyplývají z oblastí mimo naši kontrolu. Dobré zabezpečení je výsledkem společného úsilí mezi poskytovatelem služeb (USA) a zákazníkem (vy), "napsal a dodal, že dělají to, co je třeba udělat, aby si udržely zákazníky bezpečné.

Home Depot porušil, carders prodeji ukradené informace platebních karet
6.9.2014 Incidnety
Home Depot, populární americký kutil a výstavba prodejce, který se může pochlubit 2.200 obchodů v USA a 287 v zahraničí, zřejmě utrpěl narušení dat, která ohrožena zákazník kreditní karty. možnost byla poprvé označeny Brian Krebs , který dostal slovo, že dvě šarže kreditních a debetních karet informací zřejmě ukradené společnosti je v současné době v prodeji na neslavný rescator (tečka) cz podzemí mykací stroj na trhu. Jedna dávka zdánlivě obsahuje údaje karty evropských uživatelů, druhý, že zákazníci v USA. "Existují náznaky, že pachatelé tohoto zjevného porušení může být stejná skupina ruských a ukrajinských hackerů odpovědných za narušení dat v cíli, Sally Beauty a PF Chang je, mimo jiné, "poznamenal. "To není v tuto chvíli jasné, jak mnoho obchodů může mít byly ovlivněny, ale z předběžné analýzy vyplývá, že toto porušení může rozšířit do všech 2200 Home Depot obchodů ve Spojených státech. " alarm poprvé vznesena několika bank, kteří si koupili šarže kartu ze zločinců a šel přes ně k identifikaci dotčených zákazníků. Zdá se, že věří, že toto porušení může mít zpočátku se stalo koncem dubna nebo začátkem května 2014. Pokud ano, podvodníci by mohly mít ve svých rukou počet karet, které výrazně předčí číslo ohrožena Target porušení, Krebs poznamenal. "My 're hledáte do nějaké neobvyklé činnosti, které mohou poukazovat na možné porušení platební údaje a my pracujeme s našimi bankovními partnery a vymáhání práva, aby vyšetřily, "Home deportovat uvedeno v prohlášení zveřejněném na svých internetových stránkách. "Pokud se nám potvrdit, že došlo k porušení, budeme ujistěte se, že naši zákazníci jsou okamžitě informovány." Oni také ujistěte se, že upozornit na potenciálně dotčené zákazníky, kteří nebudou mít odpovědnost za případné podvodné obvinění. "Ujistěte se, že jsou úzce sledování vašich účtů a dostat se do svého vydavatele karty zjistíte jakékoli neobvyklou aktivitu, "radili. "Pokud se nám potvrdí porušení, budeme nabízet bezplatné služby ochrany identity, včetně sledování úvěru na všech potenciálně zasažených zákazníků." "potenciální porušení v Home Depot pocit deja vu v brázdě cílových masivní porušení v loňském roce. Hlášenou rozsah a časová osa se datuje k dubnu a květnu tohoto roku naznačují podobný typ události k dosažení cíle, kde útočníci byli schopni se dostat do sítě odčerpat velké množství dat, aniž by byla odhalena, "řekl Eric Chiu, prezident a spoluzakladatel společnosti na HyTrust. "Tyto porušení již bezpečnostní nebo IT problém, ale spíš obchodní záležitost s ohledem na potenciální masivních ztrát a poškození značky. Spotřebitelé by měli mít možnost očekávat lepší zabezpečení od nás. Zvlášť když organizace hit s porušením podobné jiní v jejich stejném odvětví ... a ještě horší, ten, který následuje po porušení svých vlastních systémů. " Philip Lieberman, generální ředitel společnosti Lieberman Software, řekl, že nebyl překvapen, co se to stalo. "Byli jsme v kontaktu s nimi před mnoha lety snaží se je přesvědčit, aby realizaci automatizační techniky otočit svá hesla, ale rozhodl se zavést levnější a horší řešení z off-shore společnosti. Zbytek cílů v uvedených článku podle Krebs koupil stejnou neefektivní technologie ze stejného off-shore společnost s podobnými výsledky. " "organizované zločinecké syndikáty nám aktivně zaměřují na maloobchodníky prostě proto, že jsem skutečně staly cíle; Tyto skupiny využívají vlastních chyb v platebních architektur a aplikací, mimo jiné taktiky, aby se do těchto obchodních řetězců a sifon data z nepozorovaně, "Ken Westin, bezpečnostní analytik Tripwire, zdůraznil. "Existuje jen málo, aby spotřebitelé mohli udělat přímo na chránit před těmito jakési kompromisy, "uzavírá Patrick Thomas, bezpečnostní konzultant společnosti Neohapsis. "Jistě všichni spotřebitelé by měli bedlivě sledovat na své výpisy z kreditní karty a kreditní zprávy, ale také mohou volit své dolary a ocenit společnosti, které veřejně demonstrují závazek k bezpečnosti."

Počítačoví zločinci rádi PayPal, finanční podvodnou na vzestupu
6.9.2014 Incidenty
Odborníci společnosti Kaspersky Lab zaznamenala podstatný nárůst ve výši finančního phishingu ve spamu. Tam byl 7,9 procentní body, zvýšení množství podvodných e-mailů, které využívají jména renomovaných bank, platebních služeb, on-line obchodů a podobné organizace. Výsledkem je, že takové zprávy představoval téměř 42 procent všech phishingových zpráv. Ze všech platebních systémů, zločinci věnována největší pozornost na PayPal:. odkazy na tuto službu spustil nejdramatičtější nárůst upozornění Celkový podíl spamu v e-mailovém provozu zvýšil o 2,2 procentního bodu v červenci, přinášet to 67 procent. USA je opět "vedoucí" země původu nevyžádané pošty: jedna šestina (15,3 procenta) ze všech globálního spam byl odeslán z této země. Rusko udržuje dlouhodobé druhé místo v tomto žebříčku s 5,6 procenta veškeré nevyžádané pošty; Toto, nicméně, je 1,4 procentních bodů méně než v červnu. Čína je i nadále na třetím místě, dodává 5,3 procenta světového spamu. Pokud se podíváme na témata spamu, dlouhé horké léto jistě zanechaly svou stopu. Zejména ruský segment internetu viděl nárůst spamových zpráv propagujících ochranu před slunečním zářením a předměty k boji teplo. V červenci Odborníci společnosti Kaspersky Lab také zaznamenala nárůst počtu nevyžádaných e-mailů, které nabízejí širokou škálu letních zboží, jako jsou:. Klimatizace, větráky, ochranu proti slunečnímu záření fólie pro okna, balenou vodu a sluneční brýle Letní také znamená dovolenou, a od každého chce vypadat co nejlépe na pláži, spammeři byli na straně nabídnout nějakou pomoc. Tam byl množství nevyžádaných e-mailů v reklamě července všechny druhy kosmetiky pro péči o pleť a sezónní slevy z kosmetických obchodů a salonů. Odborníci společnosti Kaspersky Lab také objevil video tutoriály inzerované jako "tajemství krásy" prozradil renomovaný stylista. Spammeři neměli přehlédnout pro firemní uživatele, a to buď, i když činnost je daleko od svého vrcholu v červenci. V polovině léta, zločinci se specializuje na distribuci reklamních e-mailů v ruské části internetu se rozhodl přitáhnout pozornost uživatelů s nabídkami spojené s pořádáním firemních akcí venku a vodní zábavy. "V létě, obchodní činnost zpomaluje a spammeři přejít na více lukrativní partnerem spam -. včetně některých škodlivých korespondenci Výsledkem je, že spam se stává trestným činem, a představuje větší riziko pro uživatele, tedy v červenci jsme si všimli, že spammeři vzali větší zájem v oblasti finančních služeb navíc na první místo v naší.. hodnocení škodlivých spamu příloh byl, poprvé po dlouhé době, pořízena Trojan downloader slouží k ukrást citlivá data uživatelů, "uvedl senior spam analytik Kaspersky Lab Tatyana Shcherbakova.

JPMorgan útočníci změněné bankovní záznamy
4.9.2014 Incidenty
Počet amerických bank, které zřejmě byly cílené a porušil hackery pomalu stoupá, protože novější zprávy říkají, že sedm finanční organizace byly zasaženy. nejmenované zdroje také říci, že rozsah útoků je také větší, že se původně myslelo, as JPMorgan hlášeny že útočníci změnit a odstranit některé bankovní záznamy. Podle bezpečnostních a bankovních expertů, počítačoví podvodníci byli známí dělat takové věci, i když jen zřídka. Podle Adam Kujawa, vedoucí Malware Intelligence v Malwarebytes Labs, je nepravděpodobné, že útočníci jsou "Průměrná zločinci." "Pokud hackeři jsou schopni toho dosáhnout, to znamená, že strávil značné množství času studiem systému záznamů [banky] Před zahájením jakékoliv vážné manipulace," řekl komentoval pro CNET. "Není to nemožné, ale pokud se jim podařilo změnit záznamy pomocí pověření na vysoké úrovni, a to takovým způsobem, aby byla nezjištěný." Opět platí, že v tuto chvíli nic konkrétního o identitě hackerů lze říci. Jak FBI a JPMorgan drží mámu, jak vyšetřování pokračuje. Vzhledem k tomu, jména ostatních pronásledovaných finančních institucí, které nebyly veřejně sdíleny, zákazníky všech amerických bank by měl být na pozoru neobvyklé aktivity na jejich účtech, a pečlivě prohlédnout každý email obdrželi od své banky, jak by se mohlo jednat o podvod. A krátce předtím, než byly odkryty na porušení zákazníci JPMorgan byl na přijímacím konci odborně řemeslně nebezpečných e-mailů zasílaných údajně bankou.

Apple iCloud bezpečnostních incidentů
3.9.2014 Incidnety

Je tu spousta zájmu v nedávné iCloud incidentu, kde byly ohroženy zřejmě několik "celebrit" účty. Omlouvám se říci, že to není fáma. To je také něco, co mohlo a mělo být zabráněno. Ukazuje se, že API pro "Find My iPhone" app neměl ochranu proti útoku hrubou silou. To, v kombinaci s první pár set řádků společného hesla slovníku (často stáhnout jako jméno souboru "500 nejhorších hesel") vedlo v některých cílových účtů budou kompromitována. A samozřejmě, jakmile heslo účtu úspěšně uhodl všechna data iCloud pro daný účet k dispozici útočníky. Takže žádná velká věda, ne uber hackerské schopnosti. Jen jeden vystaven útoku, základní kódování dovednosti a některé vytrvalost.

Poté, co prošel tohoto souboru hesel, opravdu zajímalo, kolik lidí používající některou z těchto hesel oceňují svá data na prvním místě.

Apple rychle opravil chybu, tak to už není ve hře (pokud váš účet byl ohrožen před zmírňování a jste nezměnili heslo). Kód je na GitHub, pokud máte zájem.

To jen posiluje společné téma, které - mírně řečeno - důvěřivý osobní údaje jednoduchých hesel se nedoporučuje. Pokud nemůžete používat složitá hesla (pro mě, to je větší než 15 znaků) nebo nemají druhý faktor, pak nepoužívejte službu.

FBI vyšetřuje banky porušení JPMorgan, USA
3.9.2014 Incidenty
V návaznosti na zprávy, že několik velkých Americké finanční ústavy, které měly své sítě narušit hackery tento měsíc, FBI a tajné služby byl připojen oficiální vyšetřování. Zatím jediný pojmenovaný cíl je JPMorgan Chase & Co, ale podle NYT , nejméně další čtyři banky byly zasaženy. Útočníci se podařilo exfiltrate GB citlivých dat, jako jsou kontrola a úspory zákazníků informace o účtu. Podle agentury Bloomberg , v jednom konkrétním případě útočníci využili nulového dne zranitelnost k získání opora v systémech společnosti. Podobný Zero Day byl nedávno použit v útocích na evropské banky. To je ještě neznámé, které by mohly být za útoky. Někteří bezpečnostní experti tvrdí, že jejich sofistikovanost mohou poukazovat na státem podporovaných hackery, a tam byly spekulace, že ruští hackeři mohou být na vině, případně spouštění útoky jako forma odplaty za ekonomických sankcí namířených proti Rusku v důsledku eskalace konfliktu na Ukrajině. Je také možné, že alespoň v JPMorgan případě útoku bylo částečně motivováno pomstou jako na začátku tohoto roku, banka zablokovala platby z ruského velvyslanectví na pobočky v USA schválený banky. Od útoků proti USA a evropského bankovního sektoru se v posledních několika měsících vzrostly, to je také docela možné, že tyto útoky jsou jen pokračováním předchozí, a může být zaměřen na shromažďování informací, které mohou být později zneužity ukrást peníze. "Firmy z našich Velikost bohužel zkušenosti kybernetických útoků téměř každý den, "uvedl mluvčí JPMorgan. "Máme několik vrstev obrany proti jakýmkoli hrozbám a neustále sledovat hladinu podvodům." Ale zdá se, že ani to nestačí, když tváří v tvář s odhodlaným útočníků.

50 potvrzen, možná více norské ropné společnosti hacknut
2.9.2014 Incidenty
50 norské ropné a energetické společnosti byly hacknutý a 250 další byli varováni kontrolovat své sítě a systémy pro důkazy o porušení, místní zprávy .

Mezi pravděpodobných cílů je Statoil, Norsko je největší ropná společnost. Identita ostatních firem, které byla porušena nebyly zveřejněny. Mluvčí Statoil potvrdil, že byli upozorněni na možný hack útok Národního bezpečnostního úřadu, norské bezpečnostní agentury, která mimo jiné, je obviněn z jednání s bezpečnostní záležitosti týkající se informačních a komunikačních technologií, stejně jako běžící národní CERT (NorCERT). Národní bezpečnostní úřad byl varován o útocích "mezinárodní kontakty", a zřejmě má tušení, kdo by mohl být za útoky, ale jsou volby nesdílet své podezření veřejně v tomto okamžiku. I když je to stále neznámé, co útočníci hledali, je pravděpodobné, že šli po duševního vlastnictví, obchodních a zákaznických dat. Není to poprvé, co norské ropné společnosti byly zasaženy cyber útočníci. Na konci roku 2011, nejméně deset ropy, plynu a obrany společnosti se sídlem v Norsku byl hacknut pomocí cílených spearphishing e-mailů a útočníků utekl s průmyslovými výkresů, smluv, uživatelská jména, hesla a tak dále.

Bývalý HHS kybernetická bezpečnost ředitel odsouzen za dětské porno
2.9.2014 Incidenty
Bývalý úřadující ředitel kybernetické bezpečnosti na amerického ministerstva zdravotnictví a sociálních služeb byl odsouzen federální porota v okrese Nebraska a zabývá se zneužívání dětí podniku, spiknutí za účelem propagovat a distribuovat dětskou pornografii, a přístup k počítači s úmyslem zobrazit dětskou pornografii v souvislosti s jeho členstvím ve stránkách dětské pornografie.

Timothy DeFoggi, 56, předtím Germantown, Maryland, je šestá samostatná být odsouzen jako součást probíhajícího vyšetřování zaměřeného na tři dětské pornografie webové stránky. tři stránky byly provedeny jediným správcem, který se od té doby byl odsouzen v okrese Nebraska o zapojení se do zneužívání dětí podniku v souvislosti s jeho správou lokalit. Podle důkazů předložených u soudu, DeFoggi registrován jako člen stránkách dne 2. března 2012 a udržoval jeho členství a činnost až do 08.12.2012, kdy Webová stránka byla pořízena podle FBI. Prostřednictvím internetových stránek, DeFoggi přístupné dětské pornografie, získával dětskou pornografii od ostatních členů, a vyměnili Soukromé zprávy s ostatními členy, kde projevili zájem o násilné znásilnění a vraždy dětí. DeFoggi dokonce navrhl setkání jednoho člena osobně plnit jejich vzájemné představy násilně znásilnění a vraždy dětí. Porota dosáhl svůj verdikt po čtyřdenním řízení před US náčelník okresní soudce Laurie Smith Camp. Trestání je naplánováno na 07.11.2014.

Prodejce krádeží identity odsouzen na 100 měsíců ve vězení
29.8.2014 Incidenty
Severní Kalifornie muž, který sloužil jako informační a prodejce dokumentu v krádeži identity a podvody s kreditními kartami prsten známý jako Carder.su byl odsouzen včera sloužit 100 měsíců ve federálním vězení. Ten byl dále uložena náhrada přibližně 50.500.000 dolar v restituci.

"Carder.su je zločinecká organizace, a jsme použili stejné zákony mob mlátit a vyšetřovacích metod jsme použili s jinými sítěmi organizovaného zločinu rozebrat prsten podvod," řekl asistent generálního prokurátora Caldwell. "Nová tvář organizovaného zločinu je velmi cyber-založené, a tento případ dokazuje schopnost oddělení je usilovat o členy těchto organizací, kde je najdeme." "struktura organizace Carder.su byl propracovanější a navrženy tak, aby se zabránilo útok soupeř organizace a se vyhnout detekci vymáhání práva, "řekl americký právník Bogden. "Jeho členové se definované role a byli zodpovědní za krádež více než 50 milionů dolarů. Pracujeme pilně s našimi orgány činnými v trestním partnery s cílem zajistit, aby lidé, kteří páchají tyto high-tech zločiny jsou vyřazeny z činnosti. " "Vzhledem k tomu, multi-věta roku je zřejmé, jedince podobné žalovaného, který nezákonnému obchodu s odcizenými identitami a ohrožení úvěru Informace karta by měla počítat se plnou vahou zákona, "řekl HSI asistent zvláštní agent v Charge Harris. "Tento typ podvodu dosáhla epidemických rozměrů a ekonomické dopady z těchto trestných činů se týká nás všech. HSI bude i nadále úzce spolupracovat se svými partnery, orgány činnými v trestním vidět, že jsou zapojeny budou postaveni před soud. " Makyl Haggerty, aka "Wave" a "G5", 24, Oakland, Kalifornie., přiznal ve své dohodě prosby, že v prosinci 2009, on stal se spojený s organizací Carder.su, zločinného podniku, jehož členové obchodované v datech oslabený kreditní karty účtu a padělaných identifikace, a spáchal praní špinavých peněz, pašování drog, a různé druhy počítačové kriminality. Konkrétně mu působila jako prodejce na webových stránkách organizace pomocí "Wave" a "G5" přezdívky, a prodával přibližně 1000 identifikační padělaných dokumentů a padělaných kreditních karet k ostatním členům Carder.su. Ten vyrábí a prodává licence padělky řidiče nejméně 15 států a Britské Kolumbie. Padesát šest jednotlivci byli obviněni ve čtyřech samostatných žalob na operace na volném trhu, které byly zaměřeny na organizaci Carder.su. K dnešnímu dni 25 jednotlivci byli odsouzeni a zbytek jsou buď na útěku nebo se čeká na soud. Haggerty přiznal v únoru k jednomu počtu účasti na vyděrač ovlivněny zkorumpované organizaci. Případy byly vyšetřovány HSI a americkou tajnou službou, a jsou stíháni Trial Attorney Jonathan Ophardt organizovaného zločinu trestního oddělení a Gang sekce a asistent USA Advokáti Kimberly M. Frayn a Andrew W. Duncan okresu Nevada.

CHS hackeři využili Heartbleed chybu
27.8.2014 Incidenty
Nedávné masivní Zdravotnické systémy Společenství porušení , která vyústila v kompromis osobních údajů některých 4,5 milionu pacientů, bylo provedeno tím, že využívá neslavný OpenSSL Heartbleed zranitelnost . Požadavek byl vyroben David Kennedy, generální ředitel bezpečnostní poradenské firmy TrustedSec, který řekl , že zatímco on a jeho společnost nejsou zapojeny do vyšetřování porušení, dostal informace od tří různých lidí blízkých vyšetřování. CHS se nevyjádřil k věci. "Útočníci byli schopni sbírat pověření uživatele z paměti na CHS Juniper zařízení přes Heartbleed zranitelnosti (který byl zranitelný v té době) a používat je pro přihlášení pomocí VPN," prozradil Kennedy v blogu . "Odtud, útočníci byli schopni podporovat jejich přístup do CHS prací svou cestu prostřednictvím sítě." CHS oznámil, že útok se stalo v dubnu a červnu 2014, které se shoduje s veřejným odhalením existence Heartbleed chyby. Je docela možné, že útočníci využili ke krátkému období, kdy systémy společnosti byly náchylné k němu. "čas mezi 0-day (den Heartbleed byl propuštěn) a opravy den (kdy Juniper vydala opravu), je nejvíce kritická doba pro organizaci, kde sledování a detekce stát podstatné prvky této bezpečnostní program. Mít schopnost detekovat a reagovat na útok, když se to stane, je klíčem k přijímání reakci na incidenty a rychle zmírnit hrozbu, "upozornil Kennedy ven. "To, co jsme můžete dozvědět zde je, že když dojde něco tak velký jako Heartbleed (vzácné), že je třeba zaměřit se na, okamžitě a neprodleně řešit obavy o bezpečnost. to Upevňovací co nejdříve nebo mají kompenzační kontroly na místě, než bylo zachránit celé toto porušení vyskytují na prvním místě. " porušení vyvolalo mnoho reakcí z bezpečnostní komunity, z nichž některé můžete přečíst zde .

Osobní info o 4,5 milionu nemocných odcizených v rozporu Hospital Group v USA
26.8.2014 Incident
Zdravotnické systémy Společenství, hlavní skupina, která provozuje 206 nemocnic po celých Spojených státech, utrpěl masivní porušení dat:. Osobní údaje některých 4500000 pacientů byl ukraden z jejich systémů Data v otázce zahrnuje pacientů jména, adresy, data narození, telefonní čísla a čísla sociálního zabezpečení. Zprávy o porušení zlomil poté, co společnost podala zprávu s Komisí pro cenné papíry a burzy. V ní se vysvětluje, že útok se stalo v dubnu a červnu 2014 a byl objeven v červenci. Firma najala forenzní odborníci z Mandiant vyšetřovat porušení, a věří, že útočník byl APT skupina pocházející z Číny, který byl schopný obejít bezpečnostní opatření společnosti a úspěšně kopírovat a přenášet určité údaje. Oni neřekli, která skupina je, nebo, pokud se domnívají, že pro připojení k čínské vládě. Mandiant odborníci také radí jim ohledně sanačních úsilí, a se ujistit, že všechny malware byl odstraněn ze systému společnosti. "Společnost byl informován federálními orgány a Mandiant, že vetřelec je obvykle požadována cenné duševní vlastnictví, jako jsou zdravotnický prostředek a údaje rozvoje zařízení, "uvedly. "Nicméně, v tomto případě se údaje přenášejí se identifikační údaje non-lékařské pacienta související s Společnost je lékař praxe operace a ovlivnila přibližně 4,5 milionu osob, které v posledních pěti letech, byl postoupen k nebo přijaté služby od lékařů přidružených společností. " Jedinou dobrou zprávou je, že kreditní karta pacientů, lékařské nebo klinické informace nemá byly ohroženy. "Z spotřebitele hlediska to je nejhorší typ porušení," komentoval Lamar Bailey, bezpečnostní ředitel R & D, Tripwire. "Když je ukradena finanční údaje, jako když čísla kreditních karet jsou ukradeny z prodejců, prodejci a vydavatelů karet jsou hit s podvodným poplatky a náklady na vytváření nové karty, ale pokud jsou osobní údaje ukradené - jméno, adresa, telefonní číslo, data narození a čísla sociálního zabezpečení -. budou mít dopad na osobu, nikoli společnost " "Jedná se o informace potřebné pro krádeže identity, aby zločinci otevřít účty v názvech 4.500.000 obětí. Druhá obava je, že tyto údaje mohou být použity na černém trhu, vytvářet nové identity pro mnoho zločinců a teroristů, "dodal, a vědomí, že někdo touto porušení okamžitě zmrazit svůj kredit zastavit nové úvěrové účty od bytí otevřené bez jejich souhlasu. "To je docela velký problém. Zdravotnické systémy se zdají být stále větší pozor na ně útočníky. To může být způsobeno každý poskytovatel zdravotní péče / network možná mají různé standardy pro informační bezpečnost (někteří možná více laxní než ostatní), "poznamenal Jonathan francouzština, bezpečnostní analytik s AppRiver. "Ignoroval, že došlo k porušení zdravotní péče a při pohledu na data, , je to podobné jako s většinou ostatních porušení, "poznamenal, a poukázal na to, že hlavní věc, kterou dělat starosti, je ohrožena čísla sociálního zabezpečení. "dalších údajů, samo o sobě může způsobit škodu, ale mají platné číslo sociálního zabezpečení, a další informace, vázaný s čísly může případně způsobit velké škody. A s 4,5 miliony z nich, jsem si představit tuto informaci, pokud se prodávají, může být docela výhodné pro útočníky, "dodal. Firma spolupracuje s federálními orgány činnými v trestním, pracuje na oznamování dotčeným jednotlivcům, a bude nabízet krádež identity ochranné služby k nim. Čas ukáže, jak nákladné toto porušení bude dopadat být pro společnost, ale některé z těchto nákladů bude zmírnit, pojištění odpovědnosti cyber / privacy vytáhli, aby se ochránili proti tomuto druhu ztráty.

Dodavatelé obrany USA stále čeká na pravidlech pro oznamování o narušení
25.8.2014 Incidenty
Americké ministerstvo obrany dodavatelů bude muset počkat až do 24.září vidět, jaké konkrétní předpisy, které budou muset dodržovat, pokud jde o podávání zpráv o počítačových porušení na DoD. Tento konkrétní požadavek byl pověřen Kongresem USA v loňském roce, v . pokus získat jasnou představu o typu a četnost útoků dodavatelé čelí americký Kongres bude vyžadovat "vymazána dodavatelé obrany" - tedy těch, kteří byly uděleny vůli DoD přístup, příjem nebo ukládání utajované informace - provést rychlé zprávy v důsledku úspěšného porušení, a zahrnout do ní popis techniky nebo metody používané v penetraci, vzorek škodlivého softwaru (jestliže je objeven), a souhrn informací vytvořených pro ministerstvo v souvislosti s programem oddělení, která byla potenciálně ohrožena kvůli takovému průniku. dodavatelé obrany se stal přednostní cíle pro kybernetické špionů, kteří, jak se zdá, zjišťují, že jejich sítě snáze porušení než ministerstev a agentur. března 2011 RSA hack se předpokládá, že byly provedeny s cílem ohrozit SecurID tokenů společnosti, široce používán velkým počtem společností, které obchodují s vládou. Protože společnosti čekají na pravidlech, které mají být potrestáni, vyjádřili obavy o vládními agenty je povolen přístup do svých sítí, aby mohli provádět forenzní analýzu útoku (kromě analýzy provedené dodavatelem). Oni nejsou spokojeni s možností se mají přístup Pentagonu k jejich obchodní tajemství, obchodní, finanční, a informace o zákaznících. dodavatelé jsou také dočkat, až uvidí, zda se Pentagon vrátí informace o přízeň a podíl na hrozby, kterou má s firmami, tak že mohou být lépe připraveni odrazit útok. Menší firmy se obávají, že v souladu se některá pravidla může být příliš nákladné, a nelze pro ně, což by v konečném důsledku, aby bylo nemožné udržet a získat nové státní zakázky. To, co dodavatelé jsou opravdu doufá, že se některé "jasné pokyny o tom, jak realizovat bez ohledu na požadavky vláda se snaží zavést," Daniel Stohr, ředitel komunikace pro sdružení Aerospace Industries, řekl Bloomberg Chris Strohma. "Nechceme, aby smluvní pracovníci poskytující jejich osobní výklad toho, co by, nebo by mělo být toto pravidlo, "poznamenal.

Pět kroků, aby se k ochraně hesel
21.8.2014 Incidenty
Zpráva vydaná tento týden prohlásil, že ruská počítačová kriminalita skupina ukradl 1200000000 uživatelských jmen a hesel od 420.000 webových stránek.

Zatímco někteří bezpečnostní experti zpochybňují zjištění zprávy, Symantec tvrdí, že potenciální hrozby jsou důležité brát vážně, a doporučuje spotřebitelům trvat pět kroků se chránit své nejcitlivější heslem chráněné informace: Věnujte zvláštní pozornost, aby vaše e-mailové pověření: mnoho uživatelů nepodaří uznávají, že jejich e-mailový účet může být přední dveře na celé jejich digitálního života. Přemýšlejte o tom, kolikrát jste mohli obnovit heslo na nějakém jiném místě a odkaz oživení zaslána na váš e-mailový účet. Kromě toho se zabránilo otevření e-maily od neznámých odesílatelů a kliknutím na podezřelé e-mailové přílohy; opatrní při kliknutí na lákavé odkazy zaslané prostřednictvím e-mailu, rychlých zpráv, nebo zveřejněné na sociálních sítích; a to důvěrné informace nesdílejí při odpovídání na e-mail. Změna hesla na důležitých místech: Je to dobrý nápad, aby okamžitě změnit hesla na stránky, které drží velké množství osobních informací, finanční údaje, a jiných soukromých dat. Počítačoví zločinci, kteří mají pověření by se mohl pokusit použít pro přístup k více informací o těchto účtech. To platí zejména, pokud jste použili stejné heslo na více místech. Útočníci se často snaží používat ukradené přihlašovací údaje na více místech. Vytvoření silnějších hesel: Při změně hesla, ujistěte se, že vaše nové heslo je minimálně osm znaků dlouhé, a že neobsahuje vaše skutečné jméno, uživatelské jméno, nebo jakékoliv jiné osobní identifikační údaje. Nejlepší hesla obsahují kombinaci malých a velkých písmen, číslic a speciálních znaků. Nikdy znovu nepoužívejte hesla: Jakmile hacker má informace o účtu a přihlašovací údaje, budou se snažit ji použít pro přístup ke všem svým účtům . To je důvod, proč je důležité vytvořit unikátní heslo pro každý účet. Pokud se liší vaše hesla na více přihlašovacích údajů, nebudou mít přístup k dalším stránkám se stejnými informacemi. Povolení dvoufaktorové autentizace: Mnohé webové stránky nyní nabízejí dva faktor (nebo dvou-krok) ověřování, který přidává další vrstvu bezpečnosti na Váš účet tím, že požaduje zadání hesla, plus kód, který obdržíte na vašem mobilním zařízení pomocí textové zprávy nebo tokenu generátor pro přihlášení k serveru. To může přidat složitost procesu přihlášení, ale výrazně zlepšuje zabezpečení vašeho účtu. Když nic jiného, použít na vašich nejdůležitějších účtů. Průměrný uživatel má 26 účtů chráněných heslem, ale obvykle používá pouze pět různých hesel, říká Symantec. V roce 2013, dva nejčastější hesla jsou "123456" a "heslo". Spotřebitelé, kteří trpí únavou heslo, a jsou odolné vůči pravidelně aktualizovat svá hesla. Symantec průzkum ukázal, že 38 procent lidí, kteří by raději čistit záchod, že přijít s novým heslem. nejčastější příčinou porušení a napadené záznamů ve velkých organizacích je ukraden pověření a výzkum tvrdí, že 80 procent z narušení dat by mohlo být odstraněny pomocí dvoufaktorové autentizace.

US DHS dodavatel dostane hacknut
14.8.2014 Incident
USIS, největší komerční poskytovatel vyšetřování pozadí na americké federální vlády, oznámil, že utrpěl porušení, které by vedly k ohrožení osobních údajů federálních zaměstnanců.

"Naše vnitřní bezpečnost IT tým nově zjištěný zdánlivý vnější cyber-útok na firemní síti USIS". Jsme okamžitě informován federální vymáhání práva, Úřad personálního řízení (OPM) a další příslušné federální agentury, "oni uvedl . "Úzce spolupracujeme s federálními orgány činnými v trestním a udrželi nezávislé počítačové forenzní vyšetřování firmu určit přesnou povahu a rozsah jakéhokoliv nezákonného vstupu do naší sítě. Odborníci, kteří se v hodnocení zmínilo o fakta shromážděná aktuální věří, že to má všechny znaky na státem podporované útok. " Žádné další podrobnosti byly zveřejněny jako vyšetřování stále probíhá, ale podle Washington Post , US Department of Homeland Security a amerického Úřadu personálního řízení dočasně pozastaveny práce se společností. Vzhledem k tomu, že někteří ze zaměstnanců DHS by mohly být ovlivněny, všichni obdrželi oznámení o tom. Společnost také přivítal tým US-CERT, a oni se provádí na místě posouzení a poradenství společnosti, co se týká porušení zmírnění. Neoficiální Zdroje říkají, že toto narušení je zdánlivě nesouvisí s porušením Úřadu sítí řídících pracovníků je objevil na začátku tohoto roku a vysledovat zpět do Číny.

Všechna hesla byly ztraceny: Co bude dál?

7.8.2014 Incidenty

Některé z nich mohou být humbuk. Ale bez ohledu na to, zda 500 milionů, 1,5 miliardy, nebo dokonce 3,5 miliardy hesla byly ztraceny jako včerejší zprávy nedisponují bezpečnostní států vzhledem veškeré úniky heslo, které jsme měli v průběhu posledních pár let je to docela fér předpokládat, že alespoň jeden z vašich hesel byl napaden v určitém okamžiku. [1]

ano. jsme o tom mluvili mnohokrát, ale nezdá se, že zestárnout smutně.

Takže co dál? Heslo jistě bylo prokázáno, že "nefunguje" pro autentizaci uživatelů. Ale je levná, přesto se používají ve většině webových stránek (včetně tohoto, ale my nabízíme možnost 2-faktor) Â

U webových stránek:

zkontrolovat hesel. Neexistuje žádná politika "pravdu", ale přijít s něčím, co odmítá zjevné slabá hesla, a na druhé straně umožňuje uživatelům vybrat si hesla, která mohou pamatovat (takže mohou mít jedinečné heslo pro váš web).
Ujistěte se, že vaše stránky pracuje s běžně používanými hesla manažerů. Jediný skutečný způsob, jak pro uživatele mít jedinečné heslo pro každý web je správce hesel.
zámek účty, které nebyly použity po dlouhé době, a odstranit své heslo z databáze vynucení obnovení hesla, pokud se pokusí znovu aktivovat
Uvažujme dva ověřování faktor, alespoň jako možnost a možná povinné pro vysoké účty hodnotou (například správci). Google ověřovatel je pravděpodobně ten nejjednodušší realizovat a je zdarma. Mluvili jsme o jiné alternativy v minulosti stejně.
Pro uživatele:

Mají jedinečné heslo pro každý web. Jako alternativu, může se jednat o jedinou "vyhodit", heslo pro weby, které se nepovažují za důležité. Ale uvědomte si, že na jednom místě, místo, které není teď důležité, může být důležité, protože děláte více podniků s nimi.
Pomocí Password Safe, pokud možno, který umožňuje synchronizovat lokálně, aniž byste museli poslat svou sbírku heslo do cloudu.
U významných míst, které neumožňují pro dva ověřování faktoru, zvážit "dvoudílný heslo":. Bude jedna část bude mít na heslo v bezpečí, zatímco druhá část zadáte do bezpečí část hesla je jedinečný na webu chvíli další druhá část může být stejná pro různé weby nebo alespoň snadno zapamatovatelné. To vám dá určitou ochranu proti ohrožení Password Safe.
Změna hesla jednou za čas (Já osobně rád každých 6 měsíců ...), zejména "statické" část těchto vysoce hodnotných hesla.
Zeptejte weby, které považujete za důležité provést autentizaci 2-faktor.
To je alespoň to, co jsem se přijít s při popíjení na své první šálek kávy pro day.Â

[1] http://www.holdsecurity.com/news/cybervor-breach/

Kyberzločinci ukradli údaje 1,2 miliardy uživatelů

7.8.2014 Incidenty
Společnost Hold Security oznámila, že neznámí ruští útočníci v současné době disponují databází s 1,2 miliardy uživatelských jmen a hesel ke stovkám tisíc webových portálů a půl miliardou e-mailových adres.

Jde pravděpodobně o největší databázi dat, kterou kdy kdo nakradl, a podle Hold Security byla shromážděna útoky na asi 420 000 webových stránek. „Dříve jsme se divili, když bylo kompromitováno 10 000 hesel. Nyní se nacházíme v době masových krádeží informací,“ uvedl zakladatel bezpečnostní společnosti Holden Security Alex Holden pro IDG News Service.

Hold Security nezveřejnilo názvy napadených webových stránek, avšak podle Holda jde jak o malé webové servery, tak o portály známé po celém světě. Americký list New York Times, jenž jako první se zprávou přišel, si najal nezávislého bezpečnostního experta, jenž autenticitu kradených dat potvrdil. „Tito kyberzločinci nevymysleli nic nového, pouze to udělali lépe a v takovém měřítku, že tento problém postihuje zcela každého,“ říká v rozhovoru Holden.

Podle dostupných informací se útočníci nacházejí na jihu Ruska a podle Holdena nic nenasvědčuje tomu, že by byli nějak provázáni s ruskou vládou. Skupinu má tvořit asi deset lidí ve věku okolo dvaceti let, kteří mají servery pronajaté v Rusku. Hold Security již brzy zveřejní nástroj, který lidem umožní zjistit, zda byly i jejich osobní údaje mezi těmi kradenými.
Zaujal vás tento článek? Přehled nejzajímavějších zpráv získáte odebíráním našeho newsletteru »

Tato rozsáhlá krádež dat je podle bezpečnostních expertů pro uživatele jen dalším varováním, aby nepoužívali stejné přihlašovací údaje k více webovým stránkám. Jak řekl Holden pro IDG News Service, „naučit lidi používat hesla bezpečně je velmi důležité.“ Avšak vina je taktéž na společnostech, které nejsou schopné data uživatelů řádně zabezpečit. „Pokud je to možné, používejte dvoufázovou autorizaci s použitím mobilního telefonu,“ doporučil Holden. Jak však bezpečnostní experti informovali tento týden, i dvoufázovou autorizaci je možné prolomit – naposledy se to povedlo jednomu australskému mladíkovi u PayPalu.

Hold Security hlídá průniky do systémů svých zákazníků a v minulosti informovalo o velkých krádežích dat. V říjnu minulého roku tato společnost přišla na krádež 150 milionů přihlašovacích údajů Adobe Systems a o měsíc později poukázala na krádež osobních dat poskytovatele internetové seznamky, společnosti Cupid Media. Jako zatím poslední velký průlom do souktomí byl v tomto roce označován průnik do systémů amerického řetězce Target, při němž bylo ukradeno čtyřicet milionů čísel kreditních a debetních karet a sedmdesát milionů osobních údajů.

Hesla a e-maily vývojářů Mozilly byly měsíc volně na webu

4.8.2014 Incidenty
Organizace Mozilla v pátek na svém oficiálním blogu oznámila, že kyberzločinci možná ukradli z její databáze e-mailové adresy a kryptograficky chráněná hesla tisíců vývojářů zapojených do jejích projektů.

Podle oficiálního příspěvku na blogu Mozilly bylo na veřejně přístupném serveru po dobu asi třiceti dnů od 23. června volně přístupných 76 000 e-mailů a 4 000 hesel. Nic údajně nenapovídá tomu, že by k těmto datům někdo tajně přistupoval, avšak představitelé Mozilly uvedli, že to při vyšetřování nemohlo být vyloučeno. Útočníci, kteří by prolomili šifrování, by hesla nemohli využít k přístupu do sítě Mozilla Developer Network, avšak mohli by je použít k přístupu k jiným účtům daných uživatelů – například k jejich webmailům. To, že data byla měsíc přístupná na veřejném serveru, bylo zapříčiněno selháním blíže nespecifikovaných procesů uvnitř Mozilly. „V naší komunitě jsme známí tím, že nám záleží na soukromí a bezpečnosti. A tato nešťastná událost nás opravdu velmi mrzí,“ uvedli na oficiálním blogu Stormy Peters a Joe Stevensen z Mozilly. „Šifrovaná hesla byla zašifrována sama o sobě nelze je využít k přihlášení k portálu MDN. Je však možné, že někteří naši uživatelé použili svá původní hesla MDN k přihlašování na jiné webové portály. Postiženým uživatelům jsme proto poslali e-maily s varováním, aby si daná hesla raději preventivně změnili. Pokud jste tedy heslo používali i jinde, doporučujeme je změnit,“ stojí v příspěvku na blogu s tím. Následuje ujištění, že zaměstnanci Mozilly nyní usilovně pracují na zlepšení svých procesů tak, aby se možnost podobné události v budoucnu snížila. Případné dotazy lze zasílat na e-mailovou adresu security@mozilla.org.

Mozilla také zřídila nové vlákno na svém oficiálním fóru, kam kdokoli, kdo by mohl být postižen, může vložit svůj dotaz či žádost o radu. Problém se zveřejněnými daty vývojářů přichází jen několik týdnů po vydání webového prohlížeče Firefox 31, který přináší řadu bezpečnostních vylepšení a změn, jež mají „pomoci k vytvoření bezpečnějšího ekosystému pro uživatele i vývojáře“.

Evropská centrální banka vydíral v důsledku porušení dat
2.8.2014 Incident
Evropská centrální banka (ECB) - centrální banka pro euro - utrpěl porušení dat, a teprve objevil po obdržení vydírání dopis od útočníka. Dobrou zprávou je, že porušení zapojit pouze databázi sloužící veřejnosti banky webové stránky, která obsahovala pouze e-mailové adresy a další kontaktní údaje, které zanechaly lidí, registrovaných na události v ECB. "byly ohroženy žádné interní systémy či tržní citlivých dat," banka potvrdila ve čtvrtek. "Databáze slouží částí internetových stránkách ECB, které shromažďují registrace na akce, jako jsou Kongresy a návštěvy ECB. Je fyzicky oddělen od veškerých vnitřních systémů ECB." Zatímco většina údajů v kompromitaci databáze byla šifrována, některé e-mailové a fyzické adresy a některá telefonní čísla nebyly, a banka okamžitě začal kontaktovat lidi, jejichž data byla přístupná. Doufejme, že oni jsou také říkat jim, aby si dávaly pozor na potenciální útoky typu phishing a Vishing pokusy, stejně jako krádeže identity. Banka se také změnil všechna hesla v systému jen v případě, a potvrdil, že chyba zabezpečení, která byla využívána v rozporu bylo řešit. Německé policie byli informováni o krádeže a začali vyšetřování (sídlo banky je ve Frankfurtu nad Mohanem). "porušení ECB je poslední v dlouhé řadě vysoce profilových útoků proti finančním cílům. Zatímco prohlášení ECB se snaží ubezpečit veřejnost, že tato databáze byl oddělen od systémů na trhu (což je standardní dobré praxe), výsledek porušení proti nízké hodnoty (v kontextu), webové stránky ECB je disproporční špatný tisk a značky škoda, "Will Semple, VP výzkumu a inteligence pro Alert Logic, komentoval pro Help Net Security. "Bude zajímavé sledovat trhy, aby zjistili, zda tato událost přináší obavy důvěru v ECB v průběhu několika příštích dnů." "To je také dobrý příklad v základním problémem, se kterým organizace se snaží zvládnout problémy," Cyber "," on poznamenal. "Tradiční rizik přístup založený na hodnocení bezpečnosti a kontroly designu umožní webové stránky a nízká úroveň / nízká hodnota má být vybudována, bez ochran, jako je šifrování dat v klidu a při tranzitu. Vezmeme-li přístup ke stejné hrozba na základě otázka, kterou jsme si radikálně odlišnou odpověď. Faktor poškození reputace a vlivu důvěry na trhu v důsledku útoku na nízké úrovni a začít navrhovat pro kybernetickou odolnost proti hrozbě spíše než "přijatelné riziko".

UK údaje hlídací pes utrpěl narušení bezpečnosti dat
24.7.2014 Incidenty
Porušení dat může opravdu stát komukoliv - jen se zeptejte komisař pro informace Úřad ve Velké Británii (ICO).

Pohřben v nedávné době zveřejnila 2013-2014 výroční zprávy , orgán za úkol ujistit se, že ve Spojeném království organizace - soukromé a vládní - udržet zákazníky a uživatelská data v bezpečí, uvedla, že utrpěla "non-triviální zabezpečení dat incidentu." " Incident byl zpracovaný jako self-reported porušení. To byl vyšetřován a léčen žádný odlišně od podobných incidentů hlášených k nám ostatním. Také jsme provedli interní vyšetřování, "uvedli. "Dospělo se k závěru, že pravděpodobnost poškození či strádání veškeré dotčené subjekty údajů byla nízká a že nepředstavuje závažné porušení zákona o ochraně osobních údajů. plný šetření byla provedena s doporučeními a přijatých. vnitřní vyšetřování byla také uzavřena. " The Times uvádí , že žádné další podrobnosti o porušení byly sdíleny s veřejností a mluvčí úřadu řekl, že ti, kteří chtějí vědět, co se stalo, bude muset předložit o svobodném přístupu k žádosti o informace. Zda je taková žádost by vlastně být produktivní, je jiná věc - je na alespoň jeden předchozí příklad, ve kterém je podobný požadavek nevedl k hledané informace.

96% organizací zasažených bezpečnostního incidentu v uplynulém roce
23.7.2014 Incidenty
Nová zpráva ForeScout ukázala, že více než 96 procent organizací zaznamenalo výrazný bezpečnostní IT událost v uplynulém roce. Většina IT organizací si uvědomuje, že některé z jejich bezpečnostních opatření jsou nezralé nebo neúčinné, ale jen 33 procent má vysokou jistotu, že jejich organizace zlepší jejich méně vyspělé bezpečnostní prvky.

Zvýšení provozní složitost a hrozeb ovlivnily bezpečnostní kapacitu za více než 43 procent vnímají prevenci problému, identifikace, diagnostika a náprava jsou náročnější než před dvěma lety. V souhrnu, jeden ze šesti organizací, měl pět nebo více významných bezpečnostních incidentů v uplynulých 12 měsících. Zatímco důvěra v řízení bezpečnosti IT se objeví optimistický, celkové výsledky ukázaly rozpor v účinnosti a pravděpodobně investice ve srovnání s případy, kdy byli nejvíce působivých. Průzkum upozorňuje :

Jeden ze šesti organizace měly pět nebo více významných incidentů, a 39 procent má dva nebo více incidentů.
Top bezpečnostní incidenty složená z phishingu, porušení zásad dodržování, neschválený zařízení a aplikace používat, a neoprávněný přístup k datům.
40 procent uvedlo, že úkoly řízení bezpečnosti jsou náročnější nyní než před dvěma lety; konkrétně problém prevence, diagnostika, identifikace a sanace.
Nejčastěji citovaná bezpečnostní otázky byly před škodlivým softwarem a pokročilých hrozeb, aplikace a zabezpečení bezdrátové sítě, přístup k síti zdrojů, neschválenému aplikace a osobní použití mobilních zařízení a úniku dat.
Kontrolní postupy uvedené jako relativně nezralé byly osobní využití mobilních zařízení, obvod hrozeb, řízení zásob a koncový bod shody, virtualizace bezpečnosti, nepoctiví zařízení a bezpečnostní aplikace. Nicméně pouze 54 procent respondentů uvedlo, že byli poněkud důvěru v pravděpodobnosti zlepšení v průběhu příštích 12 měsíců.
Přes 61 procent citované nejnižší k nedůvěře v síti zařízení inteligenci, udržování standardů konfigurace a obranu na zařízení, a zajistit virtuální stroj a vzdálená zařízení dodržovat politiku.
Prvních pět bezpečnostních technologií vnímán jako největší interoperability hodnoty byly brány firewall, anti-malware, řízení přístupu k síti (NAC), správu mobilních zařízení (MDM), a detekce pokročilé hrozby (ATD).
Potvrzení těchto zjištění, Nicholas Sciberras, Product Manager u společnosti Acunetix uvádí: "Odkrývání všechny otázky zabezpečení je komplikovaný a časově náročný úkol, a často ani není provedena správně, nebo ne dělat vůbec To platí zejména pro malé a střední podniky. podniky, které nemají šířku pásma a odborné znalosti k tomu, aby jejich obvodové sítě a webová bezpečnost jsou dost silná, což umožňuje snadný přístup k interním zdrojům. To, co většina organizací si neuvědomuje, je, že většina otázek bezpečnosti mohou být detekovány automaticky pomocí skenování sítě a zabezpečení webu . řešení " Průmysl a regionální zdůrazňuje:

Malware a APT útoky byly hodnoceny jako nejvyšší prioritu napříč všemi odvětvími a regiony, ale zdá se, že tam je menší pravděpodobnost, že investovat další prostředky pro snížení obvodové hrozby.
Významné politické shody porušení, které konzumují velké množství času zotavit se z nastala v průměru 2,6 krát za posledních 12 měsíců na souhrnu ve všech třech regionech, ale ve Spojených státech ve srovnání s Británii a zemích Dach.
Výroba, vzdělávání a finanční sektor obecně zdají být náchylnější k phishingové útoky, zatímco sektor zdravotnictví bylo více pravděpodobné, že vyšší než průměrné porušení zásad dodržování. Výjimka je výrobní vertikální ve Velké Británii, kde nepotrestány aplikace a využití zařízení, porušení Splnění zásad a zero-day malware ukázal další incidenty.
Zdravotní péče se více zajímají o sledování problematiky úniku dat ve srovnání s jinou výrobu, školství, maloobchodu a financí. Ve srovnání s ostatními vertikály ve Velké Británii a / nebo bezpečnostních zájmů, sledování úniku dat je zdaleka nejdůležitější otázce ke zdravotní péči ve Velké Británii; , a zejména v oblasti DACH neschválený použití zařízení a aplikace a narušení systému se problematičtější.
Finanční instituce byly předmětem několika incidentům způsobeným útoky typu phishing, porušení zásad dodržování, neschválenému použití aplikace a úniku dat, a celkově nalezeno problému sanace náročnější ve srovnání s ostatními odvětvími.
Pokud jde o definici politiky, technických kontrol a možností zmírnění, vzdělávací sektor obecně se zdá nejméně rozvinuté, zatímco finanční sektor se objeví nejzralejší. Ve Velké Británii se také, finanční sektor se zdá být nejvíce zralý, ale je to především sektor zdravotnictví ve Velké Británii, která se zdá být méně vyspělé.
Země v regionu DACH mají menší důvěru ve zlepšení nástrojů pro správu zásob, než jejich protějšky ve Velké Británii a USA
78 procent respondentů v průměru citován BYOD, že mají vliv na GRC. Zatímco maloobchodní sektor se zdá být více progresivní na BYOD bezpečnosti obecně, evropské respondenti citované stírání dat a šifrování jako mají větší dopad na řízení, rizik a dodržování předpisů (GRC).
Průzkum, který provedla a sestavil IDG Connect v průběhu května a června roku 2014, ukazuje na povahu bezpečnostních hrozeb a rozsah obrany splatnosti uspořádanou proti organizacím s více než 500 zaměstnanci v oblasti financí, výroby, zdravotnictví, maloobchodu a vzdělávání v USA, Velká Británie, Německo, Rakousko a Švýcarsko.

Porušení vystaven 22800000 osobní záznamy z New Yorku
23.7.2014 Incidenty

Generální prokurátor Eric T. Schneiderman vydala novou zprávu zabývající rostoucí počet, složitost a náklady na narušení dat ve státě New York. Zpráva ukazuje, že počet hlášených zabezpečení dat porušení v New Yorku více než ztrojnásobily mezi lety 2006 a 2013. Ve stejném období, 22800000 osobní záznamy Newyorčanů byli vystaveni téměř 5.000 narušení dat, které náklady veřejného a soukromého sektoru v New Yorku vzhůru 1,37 miliardy dolarů v roce 2013.

Kromě toho zpráva také zjistil, že hackerské útoky - ve kterých musí třetí strany získat neoprávněný přístup k datům uloženým na počítačovém systému, -. Byly hlavní příčinou narušení bezpečnosti dat, což představuje zhruba 40 procent všech porušení "Jak jsme se stále více sdílejí naše osobní informace s obchody, restauracemi, poskytovatelů zdravotní péče a dalších organizací, měli bychom být schopni využívat výhod nové technologie, aniž by sami v ohrožení. Bohužel, náš rozsáhlý pohled na narušení dat zjistili, že miliony Newyorčanů byli vystaveni bez jejich vědomí či souhlasu. Je jasné, že široká, koordinovaná veřejná osvětová kampaň musí probíhat, aby zajistily, že každý z nás - od velkých korporací, aby malé a střední podniky a rodiny - jsou lépe chráněni, "řekl generální prokurátor Schneiderman. "Kupředu, budu prosazovat spolupráci mezi průmyslu a odborníci na bezpečnost, aby zajistily, že organizace po celém státě a zemi mají přístup k nástrojům nutných k zabezpečení našich dat, takže můžeme nejlépe řešit tuto složitou a stále rostoucí problém, "dodal Schneiderman. 2013 byl rok rekordní v narušení bezpečnosti dat , během níž byly vystaveny 7.300.000 záznamů Newyorčanů ve více než 900 narušení bezpečnosti dat. Obrovský počet postižených Newyorčanů v roce 2013 byl do značné míry tažen dvěma maloobchodních mega porušení na cíl a Living Social, které vedly některé dabovat 2013 "Rok na obchodní Porušení." Takzvané mega-porušením také stále více časté: Pět z 10 největších porušení hlášených Úřadu generálního prokurátora došlo od roku 2011. Žádná organizace je osvobozen od tohoto trendu: V osmiletém období analyzované dnešní zprávě, velmi různorodou sadu organizací od místních rodinných podniků velké nadnárodní korporace hlášeny zabezpečení dat porušení na Úřadu generálního prokurátora. Zatímco nejnovější a široce medializované mega-porušením patřilo prodejců, narušení bezpečnosti osobních údajů mají vliv také na zdravotní péči a finanční služby průmysl. Poptávka na sekundárních trzích za ukradené informace zůstává silný. Čerstvě nabyté čísla ukradené kreditní karty, může vynést až $ 45 za záznamu, zatímco jiné typy osobních informací, jako jsou čísla sociálního zabezpečení a informací on-line účtu, může přikázat i vyšší ceny. Non-finanční informace mohou být ještě cennější, protože podvodné použití je obtížné odhalit a informace mohou být použity pro širší škálu účelů. Například, ukradený Facebook účtu může poskytnout přístupový bod pro širokou škálu uživatelských účtů, nebo mohou být použity jako prostředek k ukrást informace od ostatních v rámci sociální sítě daného jedince. Přes rizika spojená s tímto narušením bezpečnosti dat, jednotlivců a organizací může mít praktické kroky k lepšímu chránit sami sebe před hrozbami. I když to může být nemožné zcela zabránit ztrátě dat, mohou organizace, které implementují bezpečnostní údaje plány výrazně snížit škody způsobené porušením bezpečnosti dat. . Kromě toho se mohou jednotlivci i nadále ostražití a přijmout opatření, aby se ochránili proti porušování Úřadu generálního prokurátora naznačuje, že spotřebitelé chránit před hrozbami následujícími způsoby:

Vytvoření silného hesla pro on-line účtů a aktualizovat často. Používejte různá hesla pro různé účty, a to zejména pro webové stránky, kde jste šířených citlivé informace, jako jsou kreditní karty nebo čísla sociálního pojištění.
Pečlivě sledovat výpisy z kreditní karty a debetní karty každý month.If najdete nějaké neobvyklé transakce, neprodleně kontaktujte svou banku nebo kreditní karty agenturu.
Nepište dolů nebo ukládání hesel v elektronické podobě. Pokud tak učiníte, být velmi opatrní na to, kde budete ukládat hesla. Uvědomte si, že veškerá hesla uložená v elektronické podobě (např. v dokumentu textového procesoru nebo mobilního telefonu poznámek) lze snadno ukradena a poskytnout podvodníky s one-stop nakupování pro všechny vaše citlivé informace. Pokud jste ručně zápisu hesla, neskladujte je na očích.
Neposílejte žádné citlivé informace o sociální media.Information jako jsou narozeniny, adresy a telefonní čísla mohou být použity podvodníci k ověření informací o účtu. Praxe minimalizace údajů techniky. Nepoužívejte overshare.
Vždy být informován o aktuálním hrozeb. Zůstat až do dnešního dne mediálních zpráv o narušení bezpečnosti dat a spotřebitelských rad.
Celá zpráva je k dispozici zde .

OfficeMalScanner pomáhá identifikovat zdroj kompromisu
23.6.2014 Incidenty

Při práci nedávno forenzní případ jsem měl možnost šířit příslovečný křídla trochu a využít několik nástrojů, které jsem měl to před.
Ve středu budování mé soudní časovou osu I uvedeného určit počáteční útok vektor, působící na předpokladu, že to byl jeden webový obsah pomocí škodlivého reklamu nebo místa ohrožena web využívat sadu, nebo byl nebezpečný odkaz nebo přílohu dokumentu e-mailem. Jedna zajímavá proměnná vynikla při prohlížení souboru PST oběti. Její společnost byla ve středu pronájem, hledá kandidáty na několik pozic, a přijímal četné e-maily s přílohami životopis, jak PDF a DOC / DOCX. Už jsem zjistil, primární malware kompromis systému oběti, tak jsem prostě potřeboval zjistit, jestli tam byl škodlivý e-mail, který dorazil před založený na časových razítek. Jednou z konkrétních e-mail s Word doc připojené stál přímo tak, jak dorazil v 12:23 hod. téhož dne malware kompromisu později v poledne. Detekce Antimalware okamžitě identifikoval jako přílohu TrojanDownloader: W97M/Ledod.A. Tento údajný příloha životopis byl také pro John Cena, která mě popraskané jako jsem opravdu obeznámeni s WWE profesionální zápasník se stejným názvem. Bohužel, technické detaily pro W97M/Ledod.A byla slabá na to nejlepší a vše jsem musel jít od začátku byl "tento trojan můžete stahovat a spouštět další malware nebo potenciálně nežádoucího softwaru do vašeho počítače." Jo, díky za to. Co je špatné forensicator dělat? Frank Boldewin je (Reconsructer.org) OfficeMalScanner na záchranu! Tento nástroj funguje jako kouzlo, když chcete rychlý způsob skenování pro shell kód a šifrovaných souborů PE, stejně jako tahání makro detaily z ošklivé dokumentů sady Office. Jako vždy, když se rozhodnete pracovat s Mayhem, to je nejlepší, aby tak učinily v izolovaném prostředí; Vedu OfficeMalScanner na Windows 7 virtuální stroj. Pokud jste právě běží OfficeMalScanner se ven definující žádné parametry, je to laskavě skládky možnosti pro vás, jak je vidět na obrázku 1 .

OfficeMalScanner možnosti

Obrázek 1

Pro tento konkrétní vzorek, když jsem běžel OfficeMalScanner.exe "John Cena Resume.doc" skenování výsledek " Žádné škodlivé stopy nalezené v tomto souboru! " byla vrácena. Jak mě nástroj poradili, běžel jsem OfficeMalScanner.exe "John Cena Resume.doc" informace , jak dobře a udeřil plat nečistoty, jak je vidět na obrázku 2 .

OfficeMalScanner najde kód makra

Obrázek 2

Když jsem otevřel ThisDocument z C: \ tools \ OfficeMalScanner \ John Cena RESUME.DOC-maker jsem byla léčena na adresu URL a spustitelný užitečného zatížení Doufal jsem, jak je vidět na obrázku 3 .

OfficeMalScanner výsledky

Obrázek 3

Trochu virustotal.com a urlquery.net výzkum dodevelopments.com mi řekl všechno, co jsem potřeboval vědět, čistý litevské zlo ve formě IP adresy 5.199.165.239 .
A trochu trekking všech škodlivých exe let je známo, že se v souvislosti s tím IP adresa a voila, měl jsem zdroj.

Viz Jared Greenhill 's writeup na týchž pojmů na EMC RSA Security Analytics Blog a vlastní Lenny Zeltser 'y Analýza Škodlivé Dokumenty Cheat Sheet , kde jsem se poprvé dozvěděl o OfficeMalScanner. Dřívější související deníky patří dekódování společný XOR zmatku v škodlivého kódu a analýza škodlivého souborů ve formátu RTF pomocí OfficeMalScanner v RTFScan (Lenny je El Jefe).

Doufám, že se někteří z vás na SANSFIRE 2014. Budu tam v pondělí večer státu internetu Panelová diskuse v 07:15 a představí C3CM Porážka Command, Control, Communications a digitálních útočníci v úterý večer v 8 : 15.

Hacker Klade Hosting kód obslužných prostorách Out of Business
19.6.2014 Incidenty
Kód prostory, kód-hosting a softwarová platforma pro spolupráci, který byl vyřazen z činnosti útočník, který smazaných dat a zálohování společnosti.

Úředníci psal zdlouhavé vysvětlení a omluvu na internetových stránkách společnosti, slíbil, že strávit své stávající zdroje pomáhají zákazníkům získat zpět bez ohledu na data mohou být ponechána.

"Kód Prostory nebude moci pracovat nad rámec tohoto bodu, budou náklady na řešení tohoto problému na datum a očekávané náklady na refundace zákazníkům, kteří byli opuštěni, aniž by služby, které zaplatil za dal kód mezery v nevratném pozici jak finančně, tak v Podmínky probíhající důvěryhodnosti, "četl poznámku. "Jako například v tuto chvíli nemáme jinou možnost, než ukončit obchodování a soustředit se na podporu našim postiženým zákazníkům v exportu zbývající údaje, které jsou vlevo s námi."

Začátek konce byl útok DDoS zahájeno včera, který byl doprovázen vniknutí do Amazon EC2 ovládacím panelu Kódových prostory. Požadavky vydírání byly ponechány pro kód místa okolí úředníků, spolu s adresou Hotmail, kterou měli použít kontaktovat útočníky.

"Na základě poznání, že někdo měl přístup k naší ústředně, jsme začali zkoumat, jak byl přístup získal, a to přístup, který člověk musel dat v našich systémech," řekl Kód prostory. "Bylo jasné, že dosud žádný přístup ke stroji bylo dosaženo díky vetřelec nemá své soukromé klíče."

Kód Prostory řekl, že změnil své EC2 hesla, ale rychle zjistil, že útočník byl vytvořen záložní přihlášení, a jakmile pokusy o využití byly všiml, že útočník začal odstranění artefaktů z panelu.

"Konečně se nám podařilo získat naše přístupový panel zpět, ale ne dřív, než se odstraní všechny snímky, EBS, S3 kbelíky, všechny AMI je, některé případy, EBS a několik příkladů strojů," řekl Kód prostory. "Stručně řečeno, většina našich dat, zálohování, konfigurace strojů a mimo zálohy byly buď částečně, nebo zcela odstraněny."

"Stručně řečeno, většina našich dat, zálohování, konfigurace strojů a mimo zálohy byly buď částečně, nebo zcela odstraněny."
Amazon Web Services zákazníci jsou zodpovědné za pověření řízením. Amazon, nicméně, má vestavěnou podporu pro dvoufaktorové autentizace, které lze použít s AWS účty a účty spravované nástrojem AWS Identity a Access Management. AWS IAM umožňuje kontrolu nad přístupem uživatelů, včetně jednotlivých pověření, rozdělení rolí a nejméně výsady.

Do 12 hodin Kód prostory šel z životaschopného podniku k devastaci. Společnost oznámila, že všechny její SVN repozitáře-zálohování a snímky, byly odstraněny. Všechny objemy EBS obsahující databázové soubory byly odstraněny. Několik starých svn uzly a jeden git uzel zůstaly nedotčeny, uvedla firma.

Vyrovnávací paměť kódu místa okolí služeb zahrnuje sliby plné redundance a že kód je kopírovat a distribuovat mezi datovými centry na třech kontinentech.

"Zálohování dat je jedna věc, ale to nemá smysl bez plánu obnovy, a to nejen, že plán obnovy - a ten, který je dobře vycvičený a osvědčil se znovu a znovu," řekl Kód prostory. "Kód Prostory má celý plán obnovy, který byl prokazatelně pracovat a je, ve skutečnosti, cvičil."

Hacker Využije NAS Chyby dolu $ 620K v Dogecoin
19.6.2014 Incidenty, Zranitelnosti
Hacker, dobře-zběhlý v malware a využívat vývoje, využil chyb v Synology Network Attached Storage boxy populární domácích uživatelů až těží více než 600.000 dolarů v hodnotě digitální měny Dogecoin.

Výzkumníci Pat Litke a David Shear Dell SecureWorks "Counter Threat Unit zveřejněny podrobnosti o útoku, který využíval čtyři chyby zabezpečení v systému Synology DiskStation Manager boxy "Linux-založený operační systém. Chyby byly hlášeny v září loňského roku a oprava v únoru.

Útoky se stal veřejností na 8 únoru, kdy uživatelé hlásili špatný výkon a vysoké využití procesoru, Litke a smyku řekl.

"Nakonec bylo zjištěno, že příčinou nadměrné spotřeby zdrojů bylo kvůli nelegitimní software, který byl infikován systémů, který ironicky, byl uložen ve složce s označením" PWNED, "řekli.

Chyby byly vážné, a uživatelé byli vystaveni po dobu pěti měsíců.
Chyby byly vážné, a uživatelé byli vystaveni po dobu pěti měsíců. Výzkumník Andrea Fabrizi hlášeny problémy, dne 10. září. Chyby v rozmezí od vzdáleného emise soubor ke stažení, kde ověřené Uživatelé byli umožněno stáhnout si soubor-včetně hesel souborů vlastněných jiným uživatelům systému DSM, na příkaz vstřikování zranitelnosti, a dva problémy, které vedly k dílčí dálkové obsahu ke stažení.

Litke a smyku řekl, že s použitím pokročilé vyhledávání Google, by útočníci najít téměř milion přiznání za ohrožené Synology NAS boxy a často mohly být směřovány přímo na souborovém systému Box.

Mezi 1 února a 9. května vyhledává portu 5000, stejný port, na kterém Synology NAS boxy poslouchat, vzrostla na nebývalou úroveň, SANS Internet Storm Center řekl.

Litke a ve smyku, mezitím se podařilo vypáčit "pwned" složku našel na napadených krabic a netrvalo jim dlouho přijít na to, že hackeři se důlní cryptocurrency. Útočník klesl CPUMiner malware, který byl vylepšený pro Synology NAS hardware. Malware otevřel zadní vrátka a připojit přes port 8332 na vzdálený server, Litke a smyku řekl.

"Tato adresa není známa žádná veřejně dostupných důlních bazénů," řekli, "a bylo tedy pravděpodobné, soukromý bazén používá herec hrozeb pro osobní zisk."

Výzkumníci byli schopni najít důkazy o cryptocurrency blockchain v kódu řetězce, stejně jako na botmaster je veřejný klíč, který odpovídal konkrétní Dogecoin peněženku.

"Zkoumáním kladkostroje Dogecoin na této adrese (stejně jako jeden další), jsme byli schopni se shodují celkové vytěžené hodnotu přes 500 milionů Doge, nebo zhruba 620.496 dolar USD (z nichž většina byla vydělal v lednu a únoru tohoto rok), "napsal Litke a ve smyku.

"K dnešnímu dni, tento incident je jeden z nejdůležitějších ziskové, nelegitimní důlní provoz. Tento závěr je částečně založen na předchozích šetření a výzkumu, kterou vykonal Counter Threat Unit, stejně jako další vyhledávání na internetu, "řekli. "Jako cryptocurrencies nadále nabírat rychlost, jejich popularita jako cíl pro různé malware budou i nadále stoupat."

Vzhledem k tomu, popularita a potenciální zisk z Bitcoin a dalších cryptocurrencies, to je přirozené, že hackeři by mohly obrátit svou pozornost k nedovolené těžby. Počet případů byly hlášeny, dokonce méně než možné podnik pomocí CoinKrypt malware na Android zařízení k těžbě Litecoin a Dogecoin. Mobilní zařízení nemají moc zpracování a zdrojů stolních počítačů a serverů, například, aby CoinKrypt podnik trochu víc než na obtíž.

AT & T varuje zákazníky datových Porušení
19.6.2014 Incidenty
AT & T oznámila některé ze svých mobilních telefonů, které zaměstnanci jednoho ze svých dodavatelů zobrazena nějaké informace o zákaznících, včetně data narození a čísla sociálního pojištění, ve snaze vytvářet kódy, které by mohly být použity k odemknutí zařízení.

Firma neupřesnila, kolik zákazníků bylo postiženo porušením, a nezdá se, že jakákoliv finanční informace byly přístupné. AT & T poslal dopis do Kalifornie generální prokurátor vysvětlovat porušení, a řekl, že v důsledku tohoto incidentu bylo ukončeno zaměstnanců zhotovitele, kteří byli zodpovědní za porušení.

"AT & T závazek na soukromí zákazníků a zabezpečení dat je nejvyšší prioritou, a bereme ty závazky velmi vážně. Nedávno jsme zjistili, že zaměstnanci jednoho z našich poskytovatelů služeb porušil naše přísná pravidla ochrany soukromí a zabezpečení přístupu k vašemu účtu bez oprávnění od dubna 9 a 21 dubna 2014, a při tom by byli schopni zobrazit vaše číslo sociálního zabezpečení a možná vaše datum narození, "říká dopis.

"AT & T věří, že zaměstnanci přístup k vašemu účtu jako součást úsilí požadovat kódy od AT & T, které se používají k odemknutí AT & T mobilní telefony na sekundárním trhu s mobilními telefony, takže tato zařízení pak mohou být aktivovány u jiných poskytovatelů telekomunikačních služeb."

Bezpečnostní experti říkají, že i když tam zřejmě žádný přímý finanční dopad na zákazníky, porušení je stále znepokojující.

Bezpečnostní experti říkají, že i když tam zřejmě žádný přímý finanční dopad na zákazníky, porušení je stále znepokojující.
"Každý správcem informací pro spotřebitele, jako je AT & T, bude čelit událost, jako je tento. Co odděluje ty, které měl věřit od ostatních je přehlednost a důvěra v komunikaci tváří v tvář s oznámením, jako je tento. Zákazníci by měli cítit jistotu, že společnosti pověřené jejich citlivých informací žádáte technické kontroly, aby se zabránilo trestní přečiny, ne jen doufat, že jejich uživatelé nebudou chovat "počítadlo na způsob, jakým jsme se vyžadují naše dodavatele k podnikání," řekl Trey Ford, globální bezpečnostní stratég Rapid7.

"Zákazníci a veřejnost bude chtít vědět, kdy počáteční porušení se stalo, jak se to stalo, jak to bylo zjištěno, a jak dlouho trvalo detekce. Chceme vědět, že problém byl obsažen, jaká data byla ovlivněna, a jak by to mohlo být opraveno, a v budoucnu zabránit. AT & T neposkytl informace na jejich zpřístupnění. "

Ve svém dopise, AT & T říká, že nabízí postiženým zákazníkům ročně volného úvěrového monitoringu a doporučuje, aby lidé změnu hesel k jejich účtům jako prevence.

Odhad nákladů na porušení dat, cloud
17.6.2014 Incidenty
IT a bezpečnostní odborníci očekávají, cloud služby znásobit pravděpodobnost a ekonomický dopad narušení dat, jak proniknout do podniku. Oni také ukazují, že rozsah použití a odpovědnosti za zabezpečení cloudových služeb zůstává mezi IT velkou neznámou, podle Netskope.

Zpráva vychází Ponemon Institute v květnu 2014 Náklady na porušení studie dat, které zřídil cenu 201,18 dolarů za ztracené nebo ukradené zákazníka záznamu. Za porušení dat zahrnující 100.000 nebo více zákazníků zaznamenává náklady by přišel jen více než 20 milionů dolarů. Respondenti byli požádáni, aby odhadli aktuální pravděpodobnost porušení dat takového rozsahu, a pak, jak zvýšit využívání cloudových služeb by se změnilo, že pravděpodobnost. Ve zprávě se uvádí, že tato násobí pravděpodobnost narušení dat, které co nejvíce 3x. "S 201 dolarů cenovka pro každého záznamu ztracené, náklady na porušení dat pouhých 100.000 záznamů je 20 milionů dolarů. Představte si, pak v případě, že pravděpodobnost, že porušení dat byly až na trojnásobek jednoduše proto, že zvýšila své využití cloudu. To je to, co podnikové IT lidé přicházejí o vypořádání se s, a že jsem začala uznávat, že je třeba sladit své bezpečnostní programy představují pro něj, "řekl Sanjay Beri, CEO a zakladatel společnosti Netskope. "Zpráva ukazuje, že i když existuje mnoho firmě -ready aplikace jsou dnes k dispozici, nejistota z rizikových aplikací krade přehlídku pro IT a bezpečnostních profesionálů. Přepisování tento příběh vyžaduje kontextuální znalosti o tom, jak jsou tyto aplikace používají a efektivní způsob snižování rizika, "říká Beri. "Byli jsme sledování nákladů na porušení dat po celá léta, ale nikdy jsem neměl příležitost podívat se na Potenciální rizika a ekonomické dopady, které by mohly pocházet z mraku zejména, "řekl Dr. Larry Ponemon, předseda a zakladatel Ponemon Institute. "Je to fascinující, že vnímané riziko a ekonomický dopad je tak vysoká, pokud jde o cloud využití app." Nedostatek důvěry v cloud zvyšuje očekávání porušení dat přes palubu, respondenti se domnívají, že jejich vysoké hodnoty IP a data zákazníků jsou méně bezpečný, pokud využití cloudových služeb se zvyšuje. Respondenti uvedli, že věří, že je nedostatek náležité péče při provádění a monitorování bezpečnostních programů v rámci společnosti a mají nejistotu o bezpečnostních postupech poskytovatel cloud služeb, přičemž se uznává, že existují neznámé cloud služby v síť. To vše vede k obecné vnímání, že pravděpodobnost, že došlo k porušení dat se zvyšuje v dnešním IT prostředí.

Respondenti odhadují, že každé zvýšení 1 procento při využívání cloud služeb bude mít za následek 3 procent vyšší pravděpodobnost narušení dat. To znamená, že organizace používá 100 cloudových služeb bude muset přidat 25 více zvýšit pravděpodobnost narušení dat o 75 procent pouze.
Více než dvě třetiny (69 procent) respondentů se domnívají, že jejich organizace není aktivní při posuzování informací, které je příliš citlivá, které mají být uloženy v cloudu.
62 procent respondentů věří, že cloud služby v používání jejich organizaci nejsou důkladně prověřeni pro zabezpečení před nasazením.
Téměř tři čtvrtiny (72 procent) respondentů věří, že jejich poskytovatel cloud služeb by se jim neprodleně oznámit kdyby k porušení dat, zahrnující ztrátu nebo odcizení jejich duševního vlastnictví nebo důvěrné obchodní informace, a 71 procent si myslí, že by se bezprostředně obdržel oznámení po porušení zahrnující ztrátu nebo odcizení dat zákazníka.
Respondenti věří, 45 procent z všech softwarových aplikací užívaných organizacemi jsou v cloudu, ale přesně polovina (22,5 procenta) z těchto aplikací nejsou viditelné pro IT.
Respondenti odhadují, že 36 procent z kritických aplikací se sídlem v cloudu, ale IT postrádá výhled do téměř poloviny z nich.
Ponemon Institute zkoumal 613 IT a bezpečnostních odborníků v USA, kteří jsou obeznámeni s využitím jejich společnosti cloud služeb. Průzkum webová probíhal v březnu 2014.

Hackeři Porušení Domino Francie, žádost o výkupné platba
17.6.2014 Incidenty, Kriminalita
Skupina hackerů volat sebe tvrzení "Rex Mundi" porušila zranitelné servery patřící do Domino Francii a Belgii, krást citlivé informace téměř 600.000 zákazníků. Skupina požaduje platbu ve výši € 30,000 z Domino výměnou za informace o této chybě zabezpečení se vykořisťované a záznamy, které učinily off se.
Domino viceprezident komunikací Tim McIntyre potvrdil útok na e-mailové rozhovoru s Threatpost, ale zdůraznil, že porušení ovlivní pouze zákazníci ve Francii a Belgii, a že žádné finanční údaje byly vystaveny. Ten také potvrdil, že skupina hacker kontaktovat Domino je ve Francii náročnou dodatečnou platbu kromě vyhrožovat přes Twitter. McIntyre říká, že společnost nemá v úmyslu platit skupiny žádné peníze.
Rex Mundi Twitter rukojeť bylo pozastaveno, i když není jasné, jestli to krok se vztahuje k útoku nebo hrozby údajně dopustil.
"Žádný zákazník kreditní karty nebo finanční informace byla ohrožena, protože jejich systém je poněkud zastaralý a nepřijímá rozkazy kreditní karty," řekl McIntyre Threapost. "Plány jsou již na místě, aby se systém převalit na platformě používáme v USA To nemá vliv na trh mimo Francii a Belgii. Stránka byla zajištěna. "
Hutný vyhledávání v minulých titulky ukáže, že Rex Mundi - který překládá doslovně od latin jako "král světa" - má za sebou historii prohlašovat hacky různých organizací a náročné výkupné platby z nich.
Skupina tvrdila v položce dpaste.com, že od té doby byl odstraněn, že utekl s 592.000 Domino zákaznických záznamů, a to především z Francie s téměř 60.000 z těchto záznamů patřil belgické uživatelům.
Ukradené informace jsou řekl, aby obsahoval veškeré jména zákazníků, adresy, telefonní čísla, e-mailové adresy, hesla, dodací instrukce a oblíbená pizza zálivky.
Rex Mundi říká, že stránky jsou stále zranitelné, i když tvrzení Domino to není pravda. Skupina hacker říká, že to bude dělat na informace, které má ukradené veřejnosti o 8 PM CET (2 EDT), pokud neobdrží platbu.
# Hacker skupina vyžaduje € 30k z @ Domino poté, co kradl 600.000 zákazníků záznamy.

AT & T hacker chce US vláda platit za čas strávil ve vězení
30.5.2014 Incidenty
V otevřeném dopise adresovaném členům New Jersey okresního soudu, FBI a DOJ, Andrew "weev" Auernheimer hledá peněžní náhradu za dobu byl omezen na jurisdikci New Jersey okresního soudu a strávil ve federálním vězení poté, co byl odsouzen za publikování seznamu e-mailů a AT & T ověřování ID časných iPad osvojitele.

"Já jsem, v průběhu 3 let, bylo dosaženo oběť zločinného spolčení ti ve federální vládě. To bylo spiknutí pobuřování a velezrady, dopouštějí se násilí v omezeném počtu federálních agentů, aby mě zbavil mé ústavní práva na spravedlivý proces a protiprávně mě ve vězení, "řekl napsal . "To není halucinace z mé strany. Tato tvrzení byla ve skutečnosti ověřeny třetí obvodního odvolacího soudu, když se uvolnil falešný rozsudek proti mně uložené soudem soudce Susan D. Wigenton. " Auernheimer, hacker a člen Goatse Security, byl odsouzen strávit 41 měsíců ve vězení za svou roli ve sklizni a publikování e-mailů a AT & T ověřování identifikátorů 114.000 brzy-osvojitele na Apple iPad v roce 2010. Jeho věta byla vyklizena kvůli technicality: byl odsouzen New Jersey federální soud, a to navzdory skutečnosti, že žil v Arkansasu a servery on a jeho spiklence přístupné byly umístěny v Texasu a Gruzie. Tam je ještě možnost, že vláda bude apelovat případ k Nejvyššímu soudu, a pokud ne, že bude znovu obviněn v novém jurisdikci. Přesto, že je tlačí na této žádosti. "Chci, historie zaznamenává, že jsem upřímný a veřejný pokus získat náhradu za násilí, vláda dopustil proti mně. Ať jsem se dál, chci, aby lidé věděli, že jsem se snažil civilní a mírové řešení první, "uvedl. On se ptá na 28296 Bitcoins (dosáhly částky 13 milionů $) - jeden pro každou hodinu každého (1179) den, že "nebylo povoleno svobodně vykonávat své svobody jako občan. " "Nesouhlasím s tím Spojené státy dolary, protože to je přednostní měna zločineckých organizací, jako je například FBI, ministerstvem spravedlnosti, ATF, a Federálního rezervního systému a já nemám pomáhat podnikům trestní vyděračství," došel k závěru, a dodal, že se bude řídit peníze "na dobrou a charitativní účely." "Andrew Auernheimer byl odsouzen po procesu před porotou, a obvinění proti němu byla zamítnuta na základě místa, ne na jejich zásluhy. Jakýkoli návrh na Opak je nepochopení názoru soudu, "mluvčí New Jersey Okresního soudu komentoval dopis.

San Diego State varuje možných dat Porušení
30.5.2014 Incidenty
San Diego State University oznámil některé ze svých současných i bývalých enrollees, že některé z jejich osobní údaje mohou být přístupné neoprávněnými uživateli, poté, co byl nalezen databáze obsahující informace, které mají být přístupné pomocí kdokoliv v kabelové síti postiženého oddělení.

Databáze v otázce patří do Pre-College Institute, která je součástí školy Pedagogické fakultě, která podporuje vzdělávání ve středních a vysokých škol. V dopise zaslaném Úřadu generálního prokurátora v Kalifornii, SDSU CIO řekl, že škola nemá žádné náznaky, že data byla vždy přístupné útočníky, nebo dokonce neoprávněnými uživateli nebo používané k nekalým účelům.

"Databáze byla řízena Pre-College Institute a obsahuje vaše jméno, číslo sociálního zabezpečení, datum narození, adresu a další osobní údaje potřebné k poskytnutí pre-vysokoškoláci různé služby. Ty byly nebo jsou zapsáni v jednom z programů Pre-College Institute. Databáze byla zamýšlel být používán pouze zaměstnanci Pre-College Institute, ale to bylo chybně nakonfigurován, aby jakýkoliv počítač připojený ke kabelové síti SDSU, s programem "FileMaker", otevřete jej. Kabelové sítě SDSU se skládá z kanceláře, některé laboratoře a knihovny, " Dopis říká, že z Chrise Xanthos, spolupracovník viceprezident pro obchodní operace a CIO,.

"SDSU bere svou odpovědnost k ochraně vašich osobních údajů velmi vážně, a omlouváme se za nesprávnou konfigurací databáze. Při učení tohoto stavu, Pre-College Institute překonfigurovat databázi k dispozici pouze pro zaměstnance pracující v Ústavu podporu pre-vysokoškolské studenty. "

Není to neobvyklé, kdo se dozví o porušení dat, která vyplývá z nějaké formy konfigurací nebo lidské chyby, a to zejména v prostředích, jako jsou vysoké školy, kde jsou sítě často jsou otevřeny ve výchozím nastavení. Vysoké školy a univerzity jsou společné cíle pro útočníky, kteří vědí, že školy zpravidla nakloněni otevřených sítí a ukládat cenné osobní údaje desítky tisíc studentů, fakulty a zaměstnance.

Mnoho velkých univerzit byli terčem útočníků v posledních letech, zejména University of Maryland, který utrpěl závažné porušení dat na začátku tohoto roku.

Monsanto Trpí dat Porušení při Precision výsadbu jednotky
30.5.2014 Incidenty
Monsanto, masivní mezinárodní zemědělský konglomerát, který zakládá porušení dat, která zahrnovala osobní údaje zákazníků a zaměstnanců jeho Precision výsadbu dceřiné společnosti. Porušení včetně jména, adresy, možná sociálního zabezpečení čísla a některé finanční informace o účtu.

Společnost objevil porušení 27. března, ale to nebyla zveřejněna až na začátku tohoto měsíce. Představitelé společnosti tvrdí, že incident vyústil formulář neoprávněnému přístupu k serveru, který obsahoval citlivé informace o více než 1200 zákazníků a zaměstnanců Přesné Výsadba. Dceřiná společnost poskytuje zemědělské služby a zemědělské stroje a zařízení.

"Dne 27. března jsme zjistili, neoprávněný přístup k našim systémy došlo prostřednictvím stranou. Soubory na postižených serverech obsahovaly osobní údaje, včetně jména zákazníků, adresy, identifikační čísla (daň, která v některých případech může být číslo sociálního zabezpečení), a (v některých případech), finanční informace o účtu. Navíc, některé personální data byla uložena na serverech, včetně některých daňových formulářů W2, které obsahovaly jméno zaměstnance, adresu a čísla sociálního pojištění a (pro malý počet zaměstnanců), čísla řidičských průkazů, "Reuben Shelton, generální rada na Precision Výsadba, napsal v porušení informačním dopise do kanceláře Maryland generálního prokurátora.

Je zajímavé, že ačkoli společnost nemá myslet, že incident byl součástí pokusu o krádež informací postižených zákazníků, to je práce s FBI na něj.

"Věříme, že tento neoprávněný přístup nebyl pokus ukrást informace o zákaznících; Je však možné, že soubory, které obsahují osobní údaje mohou být přístupné, a proto jsme udělali toto oznámení, "říká dopis.

"Tento incident byl zvládnut a my jsme spolupracuje s přední forenzní firmy pochopit a sanaci tohoto problému. Kromě toho jsme požádali Federální úřad pro vyšetřování o pomoc. "

Porušení údaje Monsanto má některé podobnosti s jinou tento týden v San Diego State University incidentu . Úředníci na SDSU řekl, že některé informace na konkrétní databázi byla přístupná neoprávněným uživatelům na určitou dobu, ale neměli žádný důkaz, že to bylo vždy dostupné všem zaměstnancům a studentům, kteří by to viděli, nebo podle útočníci.

Hackeři napadli Avast a ukradli uživatelská data

27.5.2014 Incidenty
Cílem hackerů se občas stanou i ti, kteří by proti jejím útokům měli být nejlépe zabezpečení – antiviroví specialisté. Minulý víkend se to „podařilo“ Avastu, jehož webové komunitní fórum podpory napadli útočníci a získali databázi s přezdívkami, jmény, e-mailovými adresami a kontrolními součty hesel.

Webové fórum Avastu je tak nyní podle blogového zápisku dočasně mimo provoz a šéf společnosti Vince Stecker uklidňuje komunitu, že únik dat se týká pouze 0,2 % uživatelů z dvousetmilionového balíku, kteří přispívali do komunitního fóra podpory.

eBay ohlásil unik údajů o uživatelích včetně hesel

23.5.2014 Incidenty
Aukční server vyzval své uživatele ke změně hesel poté, co se útočníci dostali do firemní sítě společnosti. Ovšem s velkým zpožděním.

Jak eBay uvedl ve svém prohlášení, kyberzločincům se na přelomu února a března podařilo získat přístupové údaje k několika zaměstnaneckým účtům a proniknout tak do korporátní sítě. Společnost prý na prolomení ochrany přišla teprve před dvěma týdny.

Po realizaci rozsáhlých testů společnost došla k závěru, že nedošlo ke zneužití žádných uživatelských účtů. Není prý ani známo, že by došlo k neautorizovanému přístupu k informacím finančního charakteru jako například k platebním údajům z kreditních karet. Tento typ dat je totiž uložen samostatně v zašifrovaném formátu.

Data z dceřiné společnosti PayPal podle eBay také nebyla zneužita, protože jsou rovněž uložena na jiném serveru.

Databáze, ke které se útočníci dostali, obsahuje uživatelská jména, zašifrovaná hesla, emailové adresy, fyzické adresy, telefonní čísla a data narození, nikoliv však finanční údaje.

Přestože tedy dosud nedošlo ke zneužití žádného uživatelského účtu, eBay svým uživatelům doporučil změnu hesla. Současně se svým zákazníkům samozřejmě omluvil a vyjádřil nad celou událostí politování. Ve spolupráci s bezpečnostními složkami se prý již snaží identifikovat možné útočníky.

Z eBay bylo ukradeno 145 miliónů hesel

22.5.2014 Incidenty
Největší aukční server světa eBay postihl kybernetický útok. Při něm se pirátům podařilo odcizit 145 miliónů hesel. Zástupci firmy nyní dotčené uživatele budou vyzývat ke změně svých přístupových údajů, uvedl server Mashable. Útok se měl uskutečnit už na přelomu února a března, zástupci firmy však o něm informovali až tento týden.
„Uživatele budeme vyzývat ke změnám hesel kvůli kybernetickému útoku, který ohrozil databázi se šifrovanými hesly a další údaje,“ stojí v prohlášení společnosti. Do vnitřní sítě se kyberzločinci dostali pomocí odcizených zaměstnaneckých účtů.

Kromě šifrovaných hesel se tak dostali podle vyjádření eBaye také k e-mailovým adresám, uživatelským jménům, fyzickým adresám, telefonním číslům a datům narození. Údaje týkající se financí však odcizeny údajně nebyly.

„Neexistuje žádný důkaz, že by byly jakékoliv finanční informace zpřístupněny útočníkům nebo jinak ohroženy. Přesto nyní činíme veškerá opatření, abychom chránili naše zákazníky,“ uvedla pro server Mashable mluvčí společnosti eBay Amanda Millerová.

Platební brána PayPal je prý v bezpečí
Uživatelé se podle ní nemusí obávat zneužití údajů týkajících se platební brány PayPal, kterou eBay vlastní. Pomocí ní probíhají platební transakce nejen na tomto aukčním serveru, ale také na mnoha dalších.

„PayPal data jsou uložena odděleně v zabezpečené síti a všechny finanční informace týkající se těchto účtů jsou zakódovány,“ konstatovala mluvčí.

Zároveň dodala, že obezřetní by měli být lidé, kteří používají stejná hesla pro více internetových účtů. Aby k nim nezískali počítačoví útočníci přístup, měli by je z preventivních důvodů také změnit.

eBay ohrožena data narušení, vyzývá Změna hesla
21.5.2014 Incidenty
On-line prodej a aukce obří eBay bude svým zákazníkům žádat změnit svá hesla ještě dnes kvůli kybernetického útoku, který ohrožena server, který obsahuje zašifrovaná hesla a jiné non-finanční informace.

Společnost tvrdí, že nevěří, že došlo k jakékoli neoprávněné činnosti zákaznického účtu v důsledku porušení. Kromě toho, eBay Inc tvrdí, že uživatel finanční data, stejně jako PayPal informace nejsou ohroženy, protože tato data jsou uložena v šifrované formáty na samostatné, nedotčených serverů.

"Cyberattackers ohrožena malý počet zaměstnanců pověření log-in, který umožňuje neoprávněný přístup k podnikové síti eBay," uvedla společnost v prohlášení. "Práce s donucovacími orgány a předními bezpečnostními experty, společnost agresivně záležitost vyšetřuje a uplatňování nejlepší forenzní nástroje a postupy na ochranu zákazníků."

Informace uložené na eBay kompromitaci databáze je řekl, aby zahrnoval jména zákazníků, zašifrovaná hesla, e-mail a fyzické adresy, telefonní čísla a data narození.

eBay tvrdí, že jako první objevil před dvěma týdny ohrožena pověření zaměstnanců.
eBay tvrdí, že jako první objevil před dvěma týdny ohrožena pověření zaměstnanců. Někdy mezi tehdy a teď společnost tvrdí, že identifikoval, která byla ovlivněna databáze a je nyní kontaktovat odpovídajícím zákazníky.

Trey Ford, globální bezpečnostní stratég Rapid 7, tvrdí, že k porušení došlo někdy v období od února do začátku března. Ford rovněž poznamenává, že uživatelé by měli mít na pozoru před každého kontaktu je prohlašovat, že je eBay - jako zvýšení souvisejících phishingových útoků je pravděpodobné.

Držitelé eBay účtu by měl obdržet e-mailové oznámení od společnosti někdy později během dne. eBay bude také post oznámení na svých internetových stránkách v té době. Není jasné, proč se firma čeká, až později v průběhu dne informovat své zákazníky.

Nicméně, uživatelé budou nakonec nuceni změnit svá hesla na eBay a vyzval ke změně hesla pro jiné účty, pokud se stalo, že se pomocí stejných hesel tam.

Výrobce Hardware LaCie utrpěl celoroční porušení dat
27.4.2014 Incidenty
Francouzský skladování počítačový hardware výrobce LaCie utrpěl porušení dat, který ovlivnil dosud nepotvrzený počet svých zákazníků. "Dne 19. března 2014 FBI informoval LaCie, že zjistila, že neoprávněná osoba používají malware k získání přístupu k informacím z transakcí zákazníků které byly provedeny prostřednictvím internetových stránek LaCie, "společnost sdílené v oznámení incidentu . "jsme najali vedoucí soudní vyšetřování firmu, která provádí důkladné vyšetřování, a pomáhající nám v provedení dodatečných bezpečnostních opatření. Na základě šetření bylo zjištěno, věříme, že transakce provedené mezi 27 březnem 2013 a 10.3.2014 byl ovlivněn. " Informace, které byly pravděpodobně ohrožena při porušení obsahuje jméno zákazníka, adresu, e-mailovou adresu, číslo platební karty, datum ukončení platnosti karty, a pravděpodobně i jejich uživatelských jmen a heslo. "Jako preventivní opatření jsme dočasně zakázali e-commerce část webových stránek LaCie, když jsme přechod na poskytovatele, který se specializuje na zabezpečených služeb zpracování plateb. Budeme pokračovat v přijímání on-line objednávky, jakmile jsme dokončili přechod, "řekli, a dodal, že budou nutit reset hesla pro všechny zákazníky. Zákazníci se doporučuje, aby se na pozoru podvodné poplatky na své karty, a upozornit své banka okamžitě v případě, že na místě některé z nich. Dosud společnost nenabídla žádnou úvěr a služby na ochranu proti krádeži identity zdarma dotčeným zákazníkům.

Whitehat hacker poruší servery UMD nastartovat zabezpečení sanace
25.4.2014 Incidenty
Daving Helkowski, softwarový architekt / inženýr, který pracuje pro poradenství v oblasti softwaru Canton Group, udělal velkou chybu, že již přišel o práci a může skončit až ho to stálo ještě víc.

Canton Group byl najat na University of Maryland School of Public Health provádět webové stránky migraci v důsledku mnohem propagoval porušení, která vyústila v kompromis osobních informací o určitém 310.000 pracovníků a studentů. Podle čestného prohlášení o agenta FBI okruhu vyšetřování, Helkowski identifikovat zranitelnosti v rámci sítě UMD používané útočníky, a on zřejmě nahlásil. Ale poté, co univerzita nepohnul opravit díru dost rychle na jeho vkus, že zneužila ji k porušení sítě stejným způsobem, že předchozí útočníci, a vzal osobní údaje uložené na serverech. On pak anonymně poslal dopis Chcete-li Task Force univerzity o kybernetické bezpečnosti , je varování opět o bezpečnostních děr, které mají být pevné, a ukázal jim na Pastebin příspěvku, ve kterém on uvedeny některé z ukradených informací. Nabídl se, že spolupracovat s nimi, aby jim pomohla zaplnit díry a zeptal se na oplátku nebude účtován s jakýmikoliv zločiny. , ale, bohužel pro něj, on také podělil o své plány s dvěma kolegy na Canton Group v parní chaty, a to je to, co ukázal FBI správným směrem. Před dvěma dny, Helkowski začala reddit vlákno, ve kterém vysvětlil okolnosti razie, která byla v nedávné době provedeny na jeho domě. Tvrdí, že spolupracovali s úřady. "Během RAID poskytnutých jsem 20 šifrovací znak + Systém heslo, můj KeePass heslo, umístění mého keyfiles, a úplný popis všeho. Jsem v podstatě" přiznal "vše na FBI už. Můj postoj je, že jsem neudělal nic" morálně špatné. " Můj pokus celou dobu bylo pomoci univerzitní zlepšit jejich bezpečnost, "řekl sdílená . University of Maryland se veřejně vyjádřil na hack 20. března řekl, že FBI je informoval o hack a že "zásah za následek žádná veřejná verze jakýchkoliv informací a bez poškození instituci, s výjimkou propuštění osobních údajů jednoho vyššího úředníka univerzity, který byl oznámen. " Udělali Ujistěte se, že vědomí, že tyto dva hacky byly nesouvisí. V návaznosti na zjevení jeho přestoupení, Helkowski bylo nechat jít Canton Group. Ten dosud nebyl formálně obviněn, ale to může snadno změnit v příchozích týdnů.

Celosvětově Interaktivní mapa cyberthreat
22.4.2014 Incidenty
Kaspersky Lab spustila interaktivní cyberthreat mapu , která představí si kybernetických bezpečnostních incidentů se vyskytují po celém světě v reálném čase.

Typy hrozeb zobrazené jsou škodlivé objekty zjištěné během na-internetu a on-demand skenování, e-mailu a webu antivirových odhalení, stejně jako objekty identifikovaných zranitelností a detekce subsystémů narušení. V dnešním světě hrozbách, jen to trvá několik minut, aby se šíří nové škodlivé aplikace nebo spam. Globálně distribuované cloud-based infrastruktury společnosti Kaspersky Lab - Kaspersky Security Network (KSN) -. Pomáhá produktŧ společnosti Kaspersky Lab dostávat informace o nových podezřelých souborů a dalšími hrozbami téměř okamžitě poté, co se objeví vnitřní KSN mechanismy shrnují data odeslaná automaticky z tisíců chráněných zařízení, jejichž uživatelé souhlas ke sdílení informací o podezřelých programů se kterými se setkávají. Po porovnáním chování souboru na různých počítačích, kontrola proti databázi stovek tisíc legitimních aplikací a pomocí heuristických algoritmů, systém vydá předběžný verdikt o tom, zda je nebo není objekt je škodlivý. Pokud je škodlivý, přístup k Objekt je okamžitě blokován pro všechny ostatní uživatele Kaspersky Lab, čímž se zabrání epidemii. KSN má nejnovější informace o bezpečnostních incidentech, které se přidávají do mapy světa v reálném čase, takže každý může prohlédnout širokou škálu hrozeb, a rychlost, s jakou se šíří. Uživatelé mohou otáčet zeměkouli a přiblížit k jakékoliv část světa, aby se blíže podívat na místní hrozeb. Různé typy hrozeb zjištěných v reálném čase, jsou vyznačeny různými barvami. Uživatel může přinést popis každé hrozby na obrazovce nebo zakázat zobrazování typy hrozeb. Kromě sdílet tlačítka pro uživatele sociálních sítí, jsou tlačítka pro přepínání: barva pozadí, jazyk rozhraní a režim zobrazení (plochá mapa nebo otáčení zeměkoule). K dispozici je také šikovný odkaz zkontrolujte, zda je počítač napaden škodlivým softwarem. "Každý den Kaspersky Lab zpracovává více než 300.000 škodlivé objekty. Před třemi lety to bylo jen 70.000, ale antivirové technologie také mění s dobou a nemáme problém vyrovnat se s tímto obrovským proudem provozu, "uvedl Denis Zenkin, vedoucí podnikové komunikace u společnosti Kaspersky Lab. "Tam, kde se útoky pocházejí? Kde se uživatelé kliknou na nebezpečné odkazy nejčastěji? Jaké typy malware jsou nejčastější? Jedná se o druh otázek se zeptal spoustou uživatelů. Naše nová mapa Cyberworld hrozeb umožňuje každému vidět rozsah kybernetické aktivity v reálném čase a získat chuť, jaké to je být jedním z našich odborníků. "

Nalezení Bleeders

22.4.2014 Incidenty

Nyní, zběsilé šílenství kolem "Heartbleed" se uklidnila, a většina míst je oprava, je čas obíhat zpět. Pro server v komunitních škol, které jsem znal byl ovlivněn, chtěl jsem zjistit, jestli někdo stáhl všechna data přes Heartbleed během zhruba 36 hodin, kdy zranitelnost stal se široce známý, a když byly nasazeny IDS podpisy a záplaty na ochranu místo.

Problém je v tom, Heartbleed zanechává v podstatě žádné stopy v logu httpd serveru, takže kontrola tam útoky nepomohlo. Po trochu přemítání, jsme přišli s nápadem korelovat protokol brány firewall s log webového serveru. Pokud firewall viděl řadu tcp/443 (HTTPS) připojení k webovému serveru z určité IP, ale tytéž spoje nebyly v protokolu webového serveru, je pravděpodobné bylo, že jsme se ocitli na odvzdušňovací.

První IP, že korelace skript identifikovány jako potenciálně podezřelé se ukázalo být vlastněn SSLlabs, a pravděpodobně patří k jejich veřejné SSL skeneru, aby každý používal na vrcholu paniky. Takže .. skript Zdálo se, že funguje dobře, a byl vytažením "správné" typy připojení.

O něco později jsme zjistili, další IP, zapsanou do ISP v Malajsii. Dvacet minut hitů jen na firewallu, rychlostí asi jeden každých 5 sekund, následuje 5 minut pauza, následuje hity jak na firewallu a na webovém serveru. Hmm, zvláštní :). Šance jsou vysoké, to bylo ve skutečnosti někdo, kdo se snažil nejprve ukrást cookie aktivních relací, a pak se pokusil znovu použít soubory cookie k vloupat Pro druhou část útoku, přehlídky protokolu webového serveru GET požadavky na aplikaci, následuje 302 přesměrování na stránku "přihlášení", takže "něco" muselo špatně na straně útočníka buď krást cookies, nebo v sestřihu zpět do svých falešných žádostí. Po dalších 20 minutách a asi 60 žádostí, které byly zodpovězeny s přesměrování, útočník se vzdal.

Jaké nástroje a metody jste použili k identifikaci "heartbleed" úniky, k nimž došlo v časovém rozpětí, kdy jsou vaše stránky byl zranitelný, ale IDS instrumentace a záplatování byl opravdu zatím k dispozici? Neváhejte a dejte nám vědět prostřednictvím kontaktního formuláře, nebo sdílet v komentářích níže!

Banky žalovat cíl a Trustwave za škody způsobené porušením dat
14.4.2014 Incidenty
Porušení Cílová data byla jednou z největších v novodobé historii, a byl katastrofální pro více než jen zákazníky, kteří měli své informace ukradený. Nejnovější z nich, kteří budou muset vypořádat s jeho důsledky je bezpečnostní firma Trustwave, který spolu s cílovou sám, byl jmenován do třídy žaloby, podané skupinou bank u amerického okresního soudu pro severní obvod Illinois. Žalobci, v čele s Trustmark národní bankou a Green Bank, tvrdí, že "Target nepravdivě ujistil bank a svým zákazníkům, že jejich počítačové sítě a Point of Sale systémy splňovaly s průmyslovými standardy na ochranu důvěrné informace o platbě zákazníků, "zatímco opakovaně ignoruje a rozhodování o tom, na zlepšení, která by mohla zajistit jeho pokladní systémy, není-li, aby využil této příležitosti k podpoře využití čipových karet v jeho obchody a nedaří zavést a udržovat bezpečnostní záruky doporučeno Visa. "Došlo k porušení dat, protože Cílová nesplňovaly průmyslové standardy," banky tvrdí. "Cíl není upřednostňovat bezpečnost dat, a externě své povinnosti zabezpečení dat na Trustwave, který nedokázal přinést cílového systémy až s průmyslovými standardy." Trustwave je obviněn z nedostatku rozpoznat slabá místa zabezpečení počítačových systémů TARGET je, a není-li na místě známky zločinci "narušení. "nepodařilo Trustwave žít až do své sliby, nebo ke splnění průmyslových standardů. Trustwave nedostatky, naopak, nechá hackeři způsobit data narušení a krást Cílové zákazníků osobní údaje a citlivé údaje platební karty. Kromě toho, Trustwave nedokázal včas odhalit a nahlásit Data Porušení k cílové nebo veřejnosti, "oni žalobci uzavřena. Banky tvrdí, že škody na nich je "monumentální" - podle sdružení spotřebitelů bankéřů, jejichž porušení má stát své členské banky v USA více než 172.000.000 dolarů jen proto, aby znovu problém ukradené platební karty, a toto číslo nezahrnuje podvodné nákupy a neoprávněných výběrů hotovosti banky také měla absorbovat. Banky se snaží, aby cíl a Trustwave kryt všechny škody, které jim vznikly kvůli porušení.

Sally Beauty platební karty porušení data potvrdila
3.4.2014 Incidenty
Mezinárodní kosmetika maloobchodník Sally Beauty Holdings potvrdila, že utrpěl porušení dat, která vyústila v případné krádeži dat platebních karet uložených v jejich systémech.

"Jak jsme již dříve uvedl, 5. března, naše systémy zjištěn neoprávněný pokus o vniknutí do naší sítě Sally Beauty Supply LLC. V době tohoto objevu, jsme okamžitě najal top-tier forenzní firmy (Verizon), aby prošetřila tento bezpečnostní incident" které uvedl v prohlášení vydala v pondělí. "Jako výsledek tohoto probíhajícího vyšetřování, jsme nyní objevili důkazy o tom, že méně než 25000 záznamy obsahující kartu-současný (track 2) Údaje o platební kartě byly neoprávněně k dispozici na našich systémech a jsme tomu uvěřit mohou být odstraněny. Jak ukázaly zkušenosti v předchozích bezpečnostních dat incidentů u jiných společností, je obtížné zjistit s jistotou rozsah a zabezpečení dat porušení / incidentu před dokončením komplexní soudního vyšetřování. Jako výsledek, budeme ne spekulovat, pokud jde o rozsah nebo povaha bezpečnostní údaje incidentu. " Na rozdíl od práce s Verizon, firma také spolupracuje s americkou tajnou službou, která má také zahájila vyšetřování porušení. "Budeme poskytovat vhodná upozornění na postižených spotřebitelů a další, podle potřeby, protože fakta se vyvíjejí a my se dozvědět více, "že společnost dospěla k závěru, nutit zákazníky, aby zkontrolovat své webové stránky v nejbližších termínech aktualizace, dávat pozor na výpisech z platebních karet pro jakékoliv podvodné nebo podezřelé činnosti , a dejte si pozor na phishing pokusy vydávat za společnost a požádala je, aby sdílení osobních nebo finančních informací. "V tuto chvíli jsme přesvědčeni, údaje platební karty karty současnost - jméno zákazníka, kreditní nebo debetní karty čísla, a na karty Datum expirace a CVV - byl ovlivněn. Nedomníváme se, že citlivé informace, (jiné než čísla karet), jako jsou čísla sociálního zabezpečení nebo data narození, byla ohrožena jako součást tohoto vydání. Kromě toho, Sally Beauty neshromažďuje údaje o PIN, a proto by nemělo být ohroženo, "uvedla společnost v sekci FAQ o porušení. To je ještě známo, kolik zákazníků byly postiženy.

EU stanovuje obrovské pokuty pro firmy, které porušují soukromí uživatelů
3.4.2014 Incidenty
Poslanci vložena silnější ochranná opatření pro osobní údaje občanů EU, která se dostane do zemí mimo EU v celkové opravy zákonů EU na ochranu osobních údajů hlasovalo ve středu.

Cílem nových pravidel je jak dát lidem větší kontrolu nad svými osobními údaji a aby bylo jednodušší pro firmy pracovat přes hranice, tím, že stejná pravidla platí ve všech členských státech EU. Poslanci rovněž zvýšila pokuty, které mají být uloženy na firmy, které porušují pravidla, až 100 milionů € nebo 5% z celosvětového obratu. 19-rok-staré právní předpisy EU EU v oblasti ochrany údajů naléhavě potřebují aktualizovat držet krok s pokrokem informací . technologie, globalizace a rostoucí využívání osobních údajů pro účely vymáhání práva "Mám jasnou zprávu Radě:. každá další odklad by bylo nezodpovědné občané Evropy očekávají, že delivera silnou regulaci široký ochrany údajů v EU-li tam jsou. některé členské státy, které nechtějí poskytovat po dvou letech jednání, většina by měla pokračovat bez nich, "vysvětlil zpravodaj pro obecné nařízení o ochraně údajů, Jan Philipp Albrecht (Greens / EFA, DE). Chcete-li lépe chránit občany EU před dohledové činnosti, jako jsou ty, představila od června 2013 Poslanci mění pravidla, která vyžadují, aby všechny firmy (např. vyhledávače, sociální sítě nebo úložiště cloud poskytovatele služeb), aby usilovala o předchozí povolení vnitrostátního orgánu pro ochranu údajů v rámci EU před zveřejněním každý občan EU osobních údajů do třetí země. Firma by také informovat dotyčnou osobu o žádosti osoby. Firmy, které porušují pravidla by měla směřovat pokuty až do výše 100 milionů €, nebo až 5% jejich ročního celosvětového obratu, podle toho, která je větší, říkají poslanci. Evropská komise navrhla sankce až do výše 1 milionu € a 2% celosvětového ročního obratu. Nová pravidla by také měla lépe chránit data na internetu. Patří mezi ně právo na to, aby osobní údaje vymazány, nové limity pro "profilování" (pokusy analyzovat a předpovídat výkonnost člověka při práci, ekonomická situace, umístění, atd.), požadavek používat jasné a srozumitelně vysvětlit zásady ochrany osobních údajů. Každý poskytovatel internetových služeb, kteří chtějí zpracovávat osobní údaje by nejprve musel získat svobodný, dobře informovaný a výslovný souhlas dotyčné osoby. Balíček ochrana dat se skládá z obecného nařízení se vztahuje na většinu zpracováním osobních údajů v Evropské unii, v jak veřejný, tak soukromý sektor, a směrnice se vztahuje na osobní údaje zpracovávané pro prevenci, vyšetřování a stíhání trestných činů nebo prosadit trestní sankce (prosazování práva). Evropský parlament hlasoval o svém prvním čtení návrhu legislativy, aby se konsolidovat práci udělal tak daleko a předat k dalšímu parlamentu. Tím je zajištěno, že poslanci nově zvolení května mohou rozhodnout, že nebudou začínat od nuly, ale stavět na práci vykonanou v průběhu aktuálního období. Návrh nařízení byl schválen 621 hlasy pro, 10, a 22 členů se zdrželo hlasování. Návrh směrnice byl schválen 371 hlasy pro, 276, s 30 členů se zdrželo hlasování. Definitivní podoba nařízení bude dokončena poté, co Evropský parlament, Rada a Komise projednává a schvaluje ji. Přijetí nařízení se očekává v roce 2014, a jeho vymáhání od roku 2016.

IBM: Nikdy jsme sdílené klientských dat s NSA
3.4.2014 Incidenty
IBM je nejnovější tech obří popírat jakoukoli účast PRISM sběru dat programu NSA a tvrdí, že dosud nemáte nastaven vlastní zadní vrátka ve svých produktech.

"S ohledem na širokou škálu vládou navrhovaným předpisů na celém world vztahující se k nakládání a zpracování údajů, klienti nás žádal o otázky o svých údajů - jak nejlépe zajistěte, kde ji najít, a jak bude reagovat by vlády měly Přístup k žádosti, "Robert C. Weber, IBM senior viceprezident pro právní a regulační záležitosti, a generální ředitel, poznamenal v blogu v pátek. "To je také předmětem zájmu našich zaměstnanců, našich partnerů a našich akcionářů. Vzhledem k tomu, globální diskuse o ochraně osobních údajů a soukromí, jsme chtěli sdělit náš pohled na tyto otázky. " Uvedl, že IBM není dána z klientských dat NSA nebo jiné vládní agentury, ať již prostřednictvím PRISM nebo jakékoliv jiné dohledu a sběru dat programu ; že nebyly poskytnuty údaje klienta uložených mimo Spojené státy americké vládě na základě jakéhokoli vnitrostátního bezpečnostního pořádku; že nemají dát zadní vrátka ve svých produktech jménem jakémukoli vládnímu orgánu, ani to, že poskytují Zdrojový kód softwaru nebo šifrovací klíče k nim, aby jim bylo možné přistupovat k datům klienta; a že jsou v souladu s místními zákony - včetně zákonů na ochranu soukromí -. ve všech zemích, ve kterých společnost působí berouce na vědomí, že většina z jeho klienty patří společnosti a organizace, poukázal na to, že pokud vláda chce přístup k údajům v držení IBM jménem podnik klienta, by se očekávat, že vláda jednat přímo s klientem. "U údajů podniku klienta uložených mimo území Spojených států, IBM věří, že každá americká vláda snaha o získání těchto údajů by mělo jít prostřednictvím mezinárodně uznávaných právních kanálů," řekl řekl a dodal, že v případě, že společnost je někdy podávané s národní bezpečnosti, aby nařizuje jim, aby poskytly údaje zákazníků, by napadnout a případné gag objednávky u soudu. Nakonec, on sdílel to, že společnost je toho názoru, že vlády by měly ne podkopávat komerční technologie, které jsou určeny k ochraně obchodních dat, a že oni by měli přemýšlet o zrušení "krátkozraká politiky, jako jsou požadavky na lokalizačních údajů." Dodal také, že americká vláda by měla otevřít diskusi o reformách dozoru a dát veřejnosti větší vhled do různých údajů a sběr zpravodajských programů, které běží, aby získal důvěru veřejnosti.

Daňové souvislosti s krádeží identity se zvýší
1.4.2014 Incidenty

Daňové souvislosti s krádeží identity je na vzestupu let a ITRC předpovídá, že nebude zpomalovat v roce 2014.

Javelin Strategy & výzkum 2014 Report podvodného zneužití totožnosti našel výskyt krádeží identity vzrostl na 13,1 milionu lidí v roce 2013, což je druhý nejvyšší počet v 11 letech. I podle ITRC, daně související s krádeží identity je jedním z hlavních hnacích sil růstu v celkovém počtu krádeží identity. Procento totožnosti případů krádeží daně související hlášeny oběti call centra na ITRC více než zdvojnásobil za posledních pět let. To bylo odhaleno v FTC Consumer Sentinel Network knize, že za poslední čtyři roky, Florida, Georgia, Louisiana, Mississippi a Alabama se trvale hlášeny vysokou míru vládního související s krádeží identity. V roce 2013, tyto státy hlášeny přibližně polovina jejich celkových stížností krádeže identity byly spojeny s tímto typem trestné činnosti. Západní Virginie identity stížnosti proti krádeži vzrostl z 9 procent v roce 2010 na 44 procent (remizoval s Alabama) v roce 2013. Podle ITRC, uvádí se větší populace starších jedinců, vojenští příslušníci a zvýšené hladiny organizovaného finanční kriminality se obvykle uvádějí vyšší výskyt daně související s krádeží identity. Informace používané k přípravě daně, jako je W-2 formuláře a příjmy, je poklad pro zloději identity, což zločinu zvláště převládající v tomto ročním období. Jak tyto dokumenty měnit ruce, musí být zvláštní pozornost věnována ochraně osobních údajů, ať už elektronické nebo papírové. Tím, daně související čas krádeže identity je objeveno, že obecně nelze vystopovat zpět k osobním údajům je přesným zdrojem původu, která činí 360 taktiky prevence ještě důležitější. ITRC doporučuje tyto tipy, jak předcházet daňovým související s krádeží identity:

Soubor svých daní, jakmile je to možné. Čím déle budete čekat, tím víc času zloděj identity musí podat přiznání za vás
Chraňte svůj počítač a mobilní zařízení s firewally, anti-virus software a komplexních hesel
Nenoste kartu sociálního zabezpečení nebo jiné dokumenty s číslem sociálního zabezpečení s vámi
Objednejte si kopii svého volného roční kreditní zprávy z každé ze tří úvěrové zpravodajské agentury. Uspořádejte tyto žádosti v průběhu celého roku
Shred všechny no-již potřebné doklady v daňové oblasti, které obsahují citlivé informace, s kříž-Cut Shredder. Dokumenty zahrnují příjmy, W-2 formuláře a daňové přípravce faktury.

300000 směrovače ohrožena v DNS únos kampaně
10.3.2014 Incidenty | Počítačový útok
Některé 300.000 potvrdila - ale s největší pravděpodobností mnohem více - se malá kancelář / domácí kanceláře (SOHO) routery byly ohroženy a jejich nastavení DNS změnil používat dvě IP adresy v Londýně, účinně umožňuje dosud neznámé útočníci provádět Man-in-the-middle útoky . "K dnešnímu dni jsme identifikovali více než 300.000 přístrojů, převážně v Evropě a Asii, které věříme, že byly zneužity v rámci této kampaně, ten, který sahá až do nejméně poloviny prosince roku 2013," hlásil výzkumníky Team Cymru, kteří zahlédl několik postižené TP-Link Wi-Fi routery v lednu začala vyšetřovat záležitost.

"Směrovače oba malé kanceláře / domácí kanceláře (SOHO), třídy zařízení, která uvedené Wi-Fi připojení, místní DNS, DHCP a služby zákazníkům, a nebyly s použitím výchozích hesel," poukázali. , ale některé z nich byly spuštěny verze firmware zranitelné Cross-Site Request padělání útoky, a alespoň jeden běhu firmware sportovní nedávno objevil . chybu, která umožňuje útočníkům ke stažení konfiguračního souboru přístroje, které, samozřejmě, obsahuje pověření pro správu Dotčené routery pocházejí od různých výrobců - výše uvedené TP-Link, D-Link, Micronet, a jiní - a oni jsou převážně nacházejí ve Vietnamu, Indii, Itálii, Thajsku, a Kolumbie, ale také v Srbsku, Ukrajině a Bosně a Hercegovině. Zajímavostí této kampaně je, že Zdá se, že v současné době jsou DNS dotazy zaslané těchto dvou IP adresy jsou předávány na legitimní servery. "Pokusy o přihlášení do místních bankovních webových stránek v postižených zemích, a stáhnout aktualizace softwaru od společnosti Adobe a další vše se zdá fungovat normálně, i když mnoho požadavků vyřešit nápadně pomalu nebo se nepodařilo dokončit. Webové stránky jsme testovali také se objevil na normálního zobrazení reklamy pomocí těchto DNS serverů, "výzkumníci zjistili. Takže buď to hmotnost ohrožena je příprava pro pozdější neplechu, nebo škoda již byla provedena. Vědci Team Cymru si všimli jisté podobnosti mezi touto kampaní a ještě jedna, která byla většinou omezena na cílení zákazníků z několika polských bank, ale k závěru, že "jemné rozdíly v tradecraft zaměstnaných je pravděpodobné, že [se] dodržují buď samostatné kampaně do stejné skupiny, nebo více aktérů s využitím stejné techniky pro různé účely. " Oni také dodal, že nevěří, že také nedávno objevil Měsíc červ cílení kampaně Linksys routery se montuje stejným útočníky. Vědci oznámily orgány o této kampani, a také výrobci z dotčených zařízení. Team Cymru mluvčí Steve Santorelli sdílet s PC Pro , že dvě IP adresy, které jsou DNS dotazy jsou přesměrovány jsou umístěny na strojích v Nizozemsku, ale jsou registrovány UK-založená společnost 3NT řešení. IP rozsahy této společnosti již dříve a opakovaně byl spojován s spamování stránkách. Vědci mají společné užitečné techniky pro zmírnění tohoto typu útoku v whitepaper . "Jako bar je stále aktivována pro ohrožení koncových stanic, počítačoví zločinci se obracejí na nové metody pro dosažení jejich požadovaných cílů, bez přístupu k počítačům obětí přímo. Kampaň je uvedeno v této zprávě je poslední v rostoucím trendu Team Cymru je pozorován kybernetických zločinců zaměřených SOHO routery, "oni poznamenal. Není divu, že zločinci jsou jít po těchto zařízení, za předpokladu, že jsou notoricky plné využitelnosti bezpečnostních děr, a uživatelé jsou laxní, pokud jde o změnu hesla výchozí správce?

Uživatelé Netflix cílené na aktivní technickou podporu podvod
9.3.2014 Kriminalita | Incidenty
Bezpečnostní výzkumník Malwarebytes 'Jerome Segura nedávno analyzoval spíše tvůrčí technickou podporu podvod, který se aktivně zaměřenou na uživatele Netflix. Neříká, jak se potenciální cíle lákal na falešnou Netflix přihlašovací stránku, která je prvním krokem k podvést, ale je to velmi pravděpodobné, že obdrží falešné Netflix e-mail je varování, že jejich účet byl napaden. Jakmile předložit své přihlašovací údaje na falešné přihlašovací stránky, které se potýkají s upozorněním, říká jejich účet byl pozastaven a nutit je, aby volání na konkrétní daň bez telefonní číslo: "Když jsem volal na číslo, rogue podpora zástupce se mě stáhnout" Netflix podpůrného softwaru "," Segura sdílel jeho dobrodružství s podvodníky. software v otázce je TeamViewer, populární program pro vzdálené přihlašování, že podvodníci poté použít k připojení k cílovému PC. Scammer snažil se ho přesvědčit, že jeho účet Netflix byla pozastavena z důvodu nezákonné činnosti, že jeho počítač byl hacknutý, a že by se nechal Microsoft Certified Technician opravit svůj počítač - a zaplatit téměř 400 dolarů za službu. "Během našeho rozhovoru, že podvodníci nejsou nečinné," poznamenal. "Oni šli přes mé osobní soubory a nahrát ty, které vypadalo zajímavé pro ně, jako" bankovní 2013.doc '. " "Další zvláštní věc je, když mě požádal o obrázku ID a fotografie z mé kreditní karty od Internetu .. není bezpečné, a oni potřebovali důkaz mé identity jsem nemohl vyrobit jeden, proto se aktivuje svou webovou kameru, takže jsem mohl ukázat, že karty, které jim na jejich obrazovce " Jeho analýza říká, že podvod je nový a stále pokračuje - doména oni používali byl zaregistrován a nedávno aktualizován - tak varuje uživatele, aby byl opatrný. V tomto konkrétním podvod, mohli by přijít o všechno:. Peníze, důvěrné soubory, a osobní a informace o účtu Pokud chcete vidět a slyšet, jak celý scamming proces rozvíjí.

Programy třetích stran odpovědné za 76% chyb v populární software
7.3.2014 Incidenty | Bezpečnost
Programy třetích stran jsou zodpovědné za 76% zranitelností objevených ve 50 nejpopulárnějších programů v roce 2013, tvrdí, že výsledky ze společnosti Secunia zranitelnost Review 2014, která je založena na vzorku sedmi milionů uživatelů PSI společnosti. Zranitelnost recenze Secunia analýzy globální trendy zranitelnosti, a má mimořádně důkladný pohled na 50 nejoblíbenějších programů na soukromých počítačích - Top 50 portfoliu. Tyto 50 programy prostupují podnikové IT infrastruktury, a to buď jako integrální obchodní nástroje, které jsou schválené, sledovány a udržovány při operacích IT - pro čtenáře, například PDF a internetových prohlížečů, nebo jako aplikace na soukromých zařízení zaměstnanců a managementu, používaných na pracovišti s nebo bez povolení. V těchto 50 nejlepších programů, byly objeveny v roce 2013 celkem 1208 zranitelností. Programy třetích stran byly zodpovědné za 76% takovou zranitelnost, i když jsou tyto programy představují pouze 34% z 50 nejpopulárnějších programů o soukromých počítačů. Podíl programů (včetně operačního systému Windows 7) společnosti v Top 50 je přední 33 produktů - 66%. I tak programy Microsoft jsou zodpovědní pouze za 24% zranitelností v Top 50 programů v roce 2013. Zatímco tam je hojnost zranitelnosti, je důležité zdůraznit, že jedna chyba je všechny hackeři potřebují k porušení bezpečnosti. nedávné a neobvykle dobře zdokumentovaný příklad toho, jak jedna známá zranitelnost může způsobit katastrofu je narušení bezpečnosti v US Department of Energy v roce 2013, které vznikly náklady ve výši 1,6 milionů dolarů a vyústil v krádež osobních informací z 104.000 zaměstnanců a jejich rodin. narušení bezpečnosti v US Department of Energy byl způsoben kombinací manažerských a technologických nedostatků systému - ideální živnou půdu pro hackery, které jim umožní využívat zranitelností přítomných v infrastruktuře. Klíčové poznatky z hodnocení:

76% zranitelností ve 50 nejpopulárnějších programů na soukromých počítačích, v roce 2013 postižených programů třetích stran, zdaleka přečíslení na 8% zranitelností nalezených v operačních systémech nebo 16% zranitelností objevených v programech Microsoft. roce 2012, byla tato čísla 86% (non-Microsoft), 5,5% (operační systémy) a 8,5% (Microsoft).

V 1208 zranitelnosti byly objeveny v 27 výrobků na Top 50 portfoliu.
17. Produkty třetích stran, které představují pouze 34% produktů jsou zodpovědné za 76% zranitelností objevených v Top 50 let. Ze 17 programů třetích stran, 10 byli zranitelní. Z 33 programů společnosti Microsoft v Top 50, 17 byly zranitelné.

Programy společnosti Microsoft (včetně operačního systému Windows 7) tvoří 66% výrobků v Top 50, ale byl odpovědný pouze za 24% zranitelností.
Během pětiletého období, podíl třetích stran zranitelnosti se pohybuje kolem 75% - v roce 2013 to bylo 76%.
Celkový počet zranitelných míst v Top 50 nejpopulárnějších programů byl 1208 v roce 2013, ukazuje nárůst o 45% na 5 roků trendu. Většina z nich byly hodnoceny podle Secunia buď jako "vysoce kritické" (68,2%) nebo "velmi kritické" (7,3%).
V roce 2013, 2289 zranitelné produkty byly objeveny s celkem 13073 chyb v nich.
86% zranitelností v Top 50 měla záplaty jsou k dispozici v den zveřejnění v roce 2013, tedy výkon na opravu koncových bodů je v rukou všech koncových uživatelů a organizací.
79% zranitelností ve všech produktů měla záplaty jsou k dispozici v den zveřejnění v roce 2013.
V roce 2013, 727 zranitelnosti byly objeveny v 5 nejpopulárnějších prohlížečů: Google Chrome, Mozilla Firefox, Internet Explorer, Opera, Safari.
V roce 2013, 70 zranitelnosti byly objeveny v 5 nejoblíbenějších čtenářů PDF: Adobe Reader, Foxit Reader, PDF-XChange Viewer, Sumatra PDF a Nitro PDF Reader.
"To je jedna věc, že programy třetích stran jsou zodpovědné za většinu slabých míst na typické PC, spíše než programy společnosti Microsoft. Nicméně, další velmi důležitý bezpečnostní faktor je, jak snadné je aktualizovat programy společnosti Microsoft v porovnání s programy třetích stran. Docela jednoduše, automatizace se kterou se aktualizace zabezpečení společnosti Microsoft jsou k dispozici koncovým uživatelům - prostřednictvím automatické aktualizace, systém řízení konfigurace a aktualizace služeb - zajišťuje, že se jedná o poměrně jednoduchý úkol k ochraně soukromých počítačů a firemní infrastruktury před zranitelností objevených Microsoft produkty. To není tak s velkým počtem třetích stran dodavatelů, z nichž mnozí nemají buď schopnosti, zdroje nebo bezpečnostní zaměření, jak vydělat aktualizace zabezpečení automaticky a snadno dostupné, "řekl technický ředitel firmy Secunia, Morten R. Stengaard.

Linux Memory Dump s Rekallu

7.3.2014 Incidenty

Paměť dumpingu reakce na incidenty není nic nového, ale od té doby se uzamčena přímý přístup k paměti (/ dev / mem) na Linuxu, jsem měl špatné zkušenosti dumping paměti. I obvykle skončí shazovat server asi 60 procent času při sběru dat s Fmem.

Nová verze Linux paměti dumpingu utility Rekallu (předchozí s názvem Winpmem) nedávno vyšel. Já jsem testoval to na nejnovější verzi Ubuntu a RedHat EL 5 a ještě narazit na žádné problémy s kolekce.

Pokud máte to štěstí, že prostředí, ve kterém máte skupiny serverů se stejnými úrovněmi náplasti, měli byste spustit následující kroky na non-kompromitaci serveru. Navíc, pokud je ohrožena systém VM, můžete naklonovat, a provádět tyto akce na klonu. Ujistěte se, že budete sbírat všechny ostatní těkavé údaje (MACtimes, lsof, PS atp ..), než se výpis paměti, protože to může ještě způsobit nestabilitu systému a nechcete přijít o data.

Příprava k odběru
Nainstalujte Linux Kernel záhlaví
Ubuntu
> Sudo apt-get install linux-headers-server zip
CentOS / Redhat
> Yum install kernel-headers GCC

Stáhněte si a kompilace Rekallu
Když spustíte makefile, automaticky se vytvoří část profilu na serveru. To bude muset být kopírován mimo server pro analýzu.
> Wget http://downloads.rekall.googlecode.com/git/Linux/linux_pmem_1.0RC1.tgz
> Tar-zxvf linux_pmem_1.0RC1.tgz
> Cd linux
> Značka

Poznámka: Pro Redhat / CentOS systému, budete muset nastavit proměnnou Makefile KHEADER.

Zkopírujte tento soubor do svého analýzu stroje volatilita pod volatility adresáři / plugins / překrývání / linux /.
Načíst ovladače jádra
> Sudo insmod pmem.ko
> Sudo lsmod | grep pmem
pmem 12680 0

Sbírejte paměti
Teď, když je disk vložen, nové zařízení je k dispozici / dev / pmem. Chceme kopírovat paměti na externí zařízení / akcii.
Počet položek v {} je třeba změnit na mimořádné události, aby byly užitečné pro analýzu
> Dcfldd if = / dev / pmem bs = 512 conv = noerror, sync of = / {USBDRIVE} / mount / {servername.date}. Memory.dd hash = md5, sha256 hashlog = / {USBDRIVE} / {servername.date }. memory.dd-hash.log

Uvolnění ovladače
> Sudo rmmod pmem.ko
Analýza pomocí Rekallu
Nyní, že kolekce je dokončena, musíme být schopni zkoumat výpis stavu paměti. Zkopírujte obraz paměti do analýzy pracovní stanici.

Nainstalujte Rekallu
> Sudo apt-get install python-pip python-dev
> Sudo pip nainstalovat Rekallu

Build Rekallu profil
Nyní je třeba vytvořit profil, který bude pracovat s Rekallu. Převést soubor, který byl zkopírován ze serveru a název něco užitečného pro budoucí analýzu.
> Rekal.py convert_profile 3.5.0-45-generic.zip Ubuntu3.5.0-45-generic.zip
> Rekal.py - profil ./Ubuntu3.5.0-45-generic.zip-f / media / mem.dd pslist

Chcete-li zadat interaktivní shell, nechcete přidat plugin na příkazovém řádku
> Rekal.py - profil ./Ubuntu3.5.0-45-generic.zip-f / media / mem.dd

Chcete-li zobrazit dostupné pluginy, použijte interaktivní shell:
> Rekal.py info [tab] [tab]

plugins.arp plugins.check_idt plugins.convert_profile plugins.dwarfparser plugins.info plugins.lsof plugins.null plugins.psaux plugins.vmscan
plugins.banner plugins.check_modules plugins.cpuinfo plugins.fetch_pdb
.....

Chcete-li získat více informací o konkrétním plugin používat? po Earth název
mem 12:38:31> plugins.pslist?

Některé z více užitečných pluginů jsou:
plugins.bash-hledá historie bash
plugins.check_modules-List načíst moduly
plugins.dmesg - shromažďuje dmesg vyrovnávací paměti
plugins.lsof
plugins.netstat
plugins.pslist

Volitelné (Chcete-li použít volatilita pro analýzu)
Jsem strávil mnoho času na to, ale volatilita nebude moci používat Rekall výchozí profil. Můžete také provést níže uvedené kroky a přečtěte si výpis paměti volatility. Hádám, že je zapotřebí pouze malé změny v souboru, ale já jsem kopal hlouběji v tomto okamžiku.

> Sudo apt-get install dwarfdump
> Wget https://volatility.googlecode.com/files/volatility-2.3.1.tar.gz
> Tar-zxvf volatilitu 2.3.1.tar.gz
> Cd volatility-2.3.1/tools/linux
> Značka
> Zip Ubuntu {Kernel ver}. Zip. / Module.dwarf / boot/System.map- `uname-r`

Pro více informací o Rekallu
http://docs.rekall.googlecode.com/git/tutorial.html

Pro více informací o nestabilitě analýzy Linux
https://code.google.com/p/volatility/wiki/LinuxMemoryForensics

Tom Webb

Téměř 310,000 ovlivněn University of Maryland porušení

28.2.2014 Incidenty
University of Maryland je nejnovější instituce vyššího vzdělávání, aby trpěli porušení dat značného rozsahu a rozměrů, jak byly zkopírovány a exfiltrated ze svých sítí téměř 310.000 záznamů pracovníků a studentů. "zvláštní databázi záznamů vedených podle našeho IT oddělení bylo porušil včera. Tato databáze obsahovala 309.079 záznamy fakulty, zaměstnanců, studentů a přidružených pracovníků z College Park a Shady Grove areálech, které byly vydány v univerzitní ID od roku 1998, "Wallace D. Loh, univerzitní prezident vysvětlil v prohlášení zveřejněném . na internetových stránkách ve středu "se záznamy zahrnuté jméno, rodné číslo, datum narození, a Univerzitní identifikační číslo Žádné jiné informace byly ohroženy -. žádný finanční, akademické, zdraví, nebo kontakt (telefon, adresa) informace." Podle Diamondback , porušení došlo v úterý mezi 4 a 5 hodin, a byla zjištěna mezi 8 a 9 hodin téhož dne. Brian Voss, univerzitní viceprezident informačních technologií, sdílené, že útočníci se neobtěžoval s pozměňování dat sítě univerzity. Také, že zřejmě byly velmi schopný. "pracoval někdo kolem velmi přísné bezpečnostní a získal přístup k těmto údajům. Ten, kdo se to zlomil přes několik úrovní zabezpečení, aby bylo možné získat tento soubor, "řekl Voss, a poukázal na to, že porušení nebylo úspěšné, protože někdo nechal otevřené dveře, nebo udělal chybu. "Univerzity jsou zaměření na dnešních globálních útoků na IT systémy. Nedávno jsme zdvojnásobili počet našich bezpečnostních techniků IT a analytiků. Jsme také zdvojnásobila své investice do nástrojů zabezpečení top-end. Je zřejmé, že je třeba udělat více a lépe, a my, "komentoval Loh. "Počítačová forenzní vyšetřovatelé zkoumají porušené soubory a protokoly s cílem určit, jak byly naše sofistikované, multi-vrstvené bezpečnostní obrany obešel." prosazování práva byla rovněž zahrnuta v šetření. Univerzita má v úmyslu nabídnout jeden rok zdarma úvěrového monitoringu všech dotčených osob, a varoval je, aby pozor na phishing e-maily a telefonáty, které by mohly vydávat se na univerzitu, a požádat je, aby sdílet osobní a finanční informace.